AFUP Forum PHP 2019 Baromètre Planète PHP

La parole est aux speakers : Xavier Leune

Jusqu’au Forum PHP 2018, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils aborderont lors de leur conférence !

La conférence

Sécurité, Bug Bounty & PHP

Malgré une prise de conscience ces dernières années, l'écosystème PHP a une culture de la sécurité très peu développée. Après plus de 2 ans d'expérience sur des programmes de bug bounty, retour sur quelques failles marquantes.

Starring:

  • Curl, l'ami qui peut se retourner contre vous
  • La vérité sur les IP
  • L'image bombing, multiplier les bits

Lors de ce talk le but est de combattre l'effet Dunning-Kruger et de se rendre compte qu'en tant que développeur PHP, à propos de sécurité, nous savons que nous ne savons rien. Mais rassurez-vous, rien n'est perdu ! Nous verrons ensemble comment combattre ce constat.

Grace Hopper
25/10/2018
16:25-17:05

Le bug bounty est-il un chocolat fourré à la noix de coco avec une bestiole dedans ?

Très bonne vanne ! Malheureusement malgré mon attrait pour les barres chocolatées, mon dégoût des bestioles prend le dessus. C’est un sujet moins goûtu qui nous attend pour cette conférence.
Le concept de bug bounty est assez simple et proposé depuis assez longtemps par de grandes sociétés telles que Google, Facebook, Microsoft, etc. Il s’agit tout simplement d’inviter des chercheurs en sécurité à venir chercher des failles de sécurité sur ses sites / applications, directement sur la plateforme de prod et de les remonter. Des récompenses peuvent alors leur être attribuées, selon les règles de chaque programme. Cela pouvant aller d’un simple goodie à une rétribution financière avec des montants parfois très élevés. Les chercheurs en sécurité étant des personnes ayant des compétences dans la recherche de vulnérabilité, mais qui ne souhaitent pas en faire d’usage malveillant (des « white hat » si vous voulez).

As-tu déjà dû gérer une intrusion ou un hack ? Et si oui quelles sont les principales leçons que tu en as retenu ?

Étant assez exposés, nos sites sont très régulièrement exposés à des tentatives d’intrusion, que ça soit des tentatives de connexion simplistes en ssh ou des tentatives de vol de compte utilisateur en bruteforce. À notre connaissance nous n’avons jamais eu d’intrusion réussie dans notre infra ou de vol de compte, en dehors de celles qui ont eu lieu dans le cadre d’un programme de bug bounty. C’est un excellent moyen d’apprendre la sécurité à la vitesse grand V.

Quel est cet effet Dunning-Kruger dont tu parles dans la description de ta conférence ?

L’effet Dunning-Kruger est un biais cognitif très intéressant qui nous touche tous. Ce biais induis que sur les domaines sur lesquels nous avons le moins de connaissances / compétences, nous pensons au contraire être beaucoup plus qualifiés que nous ne le sommes en réalité. C’est souvent le cas concernant la sécurité chez les développeurs PHP, qui est un domaine qui me semble dans l’ensemble assez mal maîtrisé tout en étant crucial dans notre métier.
Je souhaite donc dans cette conférence essayer de montrer la complexité du sujet, afin d’inviter les visiteurs à dépasser le « mont de la stupidité » et à découvrir l’envergure du domaine de la sécurité. Cela pour que chacun ait envie d’approfondir ses connaissances et pourquoi pas s’ouvrir à un nouveau champ d’expertise.

Le speaker

Xavier Leune
Xavier Leune
Xavier est le directeur Technique Adjoint chez CCM Benchmark Group, éditeur media à forte audience. Il est également un ancien président @afup

Autres interviews

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies pour améliorer votre navigation. plus d'infos

1. Qu’est-ce qu’un cookie?

Un Cookie est un petit fichier texte enregistré sur votre terminal (ordinateur, tablette, smartphone, etc.), à l’occasion de la consultation d’un service en ligne grâce à votre logiciel de navigation. Il permet à son émetteur d’identifier le terminal dans lequel il est enregistré, pendant la durée de validité ou d’enregistrement du Cookie. Lors de la consultation de notre site Internet, des informations relatives à la navigation de votre terminal sont susceptibles d'être enregistrées dans ces fichiers dits "Cookies". Ces derniers sont installés sur votre terminal, sous réserve des choix que vous auriez exprimés concernant les Cookies et que vous pouvez modifier à tout moment.

2. A quoi servent les cookies émis sur notre site ?

Seul l’émetteur d’un cookie est susceptible de lire ou de modifier les informations qui y sont contenues.
Les cookies utilisés sur notre site permettent :

3. Vos choix concernant les cookies

Vous disposez de différents moyens pour gérer les cookies. Tout paramétrage que vous pouvez entreprendre sera susceptible de modifier votre navigation sur notre site et sur Internet en général et vos conditions d'accès à certains services de notre site nécessitant l'utilisation de cookies. Vous pouvez à tout moment exprimer et modifier vos souhaits en matière de cookies, par les moyens décrits ci-dessous. L'accord sur les cookies L'enregistrement d'un cookie dans un terminal est essentiellement subordonné à la volonté de l'utilisateur du terminal, que celui-ci peut exprimer et modifier à tout moment et gratuitement à travers les choix qui lui sont offerts par son logiciel de navigation. Si vous avez accepté dans votre logiciel de navigation l'enregistrement de cookies dans votre terminal, les cookies intégrés dans les pages et contenus que vous avez consultés pourront être stockés temporairement dans un espace dédié de votre terminal. Ils y seront lisibles uniquement par leur émetteur.

Le refus des cookies Si vous refusez l'enregistrement de cookies dans votre terminal, ou si vous supprimez ceux qui y sont enregistrés, vous ne pourrez plus bénéficier d'un certain nombre de fonctionnalités qui sont néanmoins nécessaires pour naviguer dans certains espaces de notre site. Tel serait le cas si vous tentiez d'accéder à votre compte ou à votre abonnement qui nécessite de vous identifier. Tel serait également le cas lorsque nous, ou nos prestataires, ne pourrions pas reconnaître, à des fins de compatibilité technique, le type de navigateur utilisé par votre terminal, ses paramètres de langue et d'affichage ou le pays depuis lequel votre terminal semble connecté à Internet. Le cas échéant, nous déclinons toute responsabilité pour les conséquences liées au fonctionnement dégradé de nos services résultant de l'impossibilité pour nous d'enregistrer ou de consulter les cookies nécessaires à leur fonctionnement et que vous auriez refusés ou supprimés. Les choix offerts par votre logiciel de navigation Vous pouvez configurer votre logiciel de navigation de manière à ce que des cookies soient enregistrés dans votre terminal ou, au contraire, qu'ils soient rejetés, soit systématiquement, soit selon leur émetteur. Vous pouvez également configurer votre logiciel de navigation de manière à ce que l'acceptation ou le refus des cookies vous soient proposés ponctuellement, avant qu'un cookie soit susceptible d'être enregistré dans votre terminal. Pour la gestion des cookies et de vos choix, la configuration de chaque navigateur est différente. Elle est décrite dans le menu d'aide de votre navigateur, qui vous permettra de savoir de quelle manière modifier vos souhaits en matière de cookies. Selon votre navigateur, consultez le lien ci-dessous pour configurer votre navigateur et refuser les cookies :