Jusqu’au Forum PHP 2025, retrouvez nos interviews de speakers pour mieux comprendre leur parcours et le sujet qu’ils ou elles aborderont lors de leur conférence !

La conférence

Les bases de la sécurité des développements Web La sécurité est aujourd'hui au cœur des développements informatiques. Les intrusions, rançongiciels et autres types de cyberattaques touchent tous les jours de nouvelles entreprises. Le développement web n'échappe évidemment pas à cela, les sites et applications étant souvent l'une des portes d'entrée privilégiées pour les hackers. Nous allons voir les principales failles et mesures à appliquer : La configuration du serveur HTTP L'injection SQL Le cross-site scripting (XSS) Le server-side request forgery (SSRF) Le cross-site request forgery (CSRF) Nous verrons notamment des techniques simples pour se prémunir de chaque type d'attaque.

Cécile HAMEREL - HJK 10/10/2025 14:20-14:40

Tu as créé et maintiens le framework PHP Temma, peux-tu nous en parler ?

J’ai créé Temma en 2007, pour les besoins du site ComprendreChoisir (renommé plus tard Ooreka, aujourd’hui absorbé par PagesJaunes). À l’époque, le paysage des frameworks était très différent, et cela se justifiait.

Suivant la philosophie du Manifeste PHP Way of Life, les outils adaptés aux équipes de plusieurs centaines de devs ne sont pas ceux dont une équipe de 12 personnes a besoin. Au fil du temps, Temma a évolué, et aujourd’hui il remplit un vide entre les micro-frameworks et les gros frameworks bien connus. Il est rapide à prendre en main ; il facilite le développement, sans réinventer ou cacher tous les concepts du langage, sans forcer à tout réapprendre. Les développeurs et développeuses Temma sont avant tout des développeuses et des développeurs PHP.

Temma peut convenir à tous types de projets. Il a été utilisé sur des sites faisant plus de 30 millions de pages vues par mois, et utilisé pour des activités réglementées où la conformité et la sécurité sont particulièrement importantes.

Le but de Temma est de nécessiter moins de lignes de code que d’autres solutions pour atteindre le même résultat, mais sans pour autant perdre la maîtrise : il n’y a pas d’effets magiques, pas de choses qui se déclenchent sans qu’on le sache, pas d’effets de bords causés par des mécanismes que seuls des experts du framework pourraient anticiper.

Les évolutions du framework privilégient la rétrocompatibilité, évitant à ses utilisateurs de consacrer du temps uniquement à suivre les montées de version. La majorité des ajouts fonctionnels se font avec des extensions (plugins, attributs). Temma n’a connu qu’une seule rupture de rétrocompatibilité en 18 ans d’existence.

Penses-tu que l’utilisation de librairies ou frameworks déresponsabilise les développeurs et développeuses sur les questions de sécurité ?

Du point de vue de la sécurité, les frameworks ont permis d’améliorer considérablement les choses, en évitant les intrusions causées par l’ignorance des failles les plus communes, et celles causées par les copier-coller hasardeux de code. Ils ont répandu un grand nombre de bonnes pratiques, et évité beaucoup de problèmes.

Mais effectivement, j’ai croisé beaucoup de gens qui ne se souciaient pas des questions de sécurité, sous prétexte que « c’est géré par le framework ». Pourtant, beaucoup de choses nécessitent quand même d’être implémentées correctement, ou d’être configurées en connaissance de cause.

Sans compter qu’il y a toujours une latence entre l’apparition d’une bonne pratique, son implémentation dans un framework, puis son adoption concrète. Se tenir à jour sur toutes les évolutions d’un framework est difficile, année après année, et beaucoup de gens gardent l’habitude de traiter une faille toujours de la même manière, sans voir qu’elle peut être gérée de manière différente, plus simplement ou plus efficacement.

Il y a aussi le risque que la révélation d’une faille découverte sur un framework ou un CMS rende vulnérables tous les sites qui sont basés dessus. On considère habituellement que les avantages sont supérieurs aux risques − tant que les mises à jour sont appliquées régulièrement.

Donc l’effet positif des frameworks est absolument indéniable, mais ils ne doivent pas servir à se dédouaner. Trop de sites ne résistent pas au « pentest » (test d’intrusion) le plus simple, même en étant basés sur des frameworks réputés.
D’ailleurs, si je peux donner un conseil, c’est de faire tester son site par une équipe de sécurité, ne serait-ce qu’en « boîte noire » (sans connaissance des systèmes internes, comme le ferait un hacker lambda). C’est toujours riche d’enseignements.

Y a-t-il un cas de faille de sécurité qui t’a particulièrement marqué ?

Il y a une faille qui est très vieille maintenant, mais qui est assez emblématique pour les répercussions qu’elle a eues dans la communauté PHP.

Fin 2004, de nombreux forums de discussions basés sur le logiciel PHPBB version 2 (très répandu à l’époque) ont été « défacés », leurs pages remplacées par un message moqueur. C’était l’œuvre du vers Santy, qui utilisait un paramètre GET non filtré (et passé à preg_replace() avec le modificateur /e) pour exécuter du code sur le serveur.

Je me souviens qu’à l’époque cette faille avait mené à une certaine prise de conscience. Subitement, le développement web était devenu moins insouciant, à plus forte raison dans le monde PHP. On peut remarquer que c’était juste avant l’arrivée des frameworks PHP, la réflexion autour des bonnes pratiques et la professionnalisation du langage. Je ne dis pas qu’il y a un rapport de cause à effet, mais que cet événement a été un jalon dans une période d’évolution générale.

Plus proche de nous, Drupageddon (2014) montre que l’injection SQL a beau être la faille la plus connue, elle reste toujours d’actualité.
Encore plus récemment, les alertes CVE-2021-3129 (Laravel, 2021) et CVE-2024-50340 (Symfony, 2023) montrent que la sécurité commence par une configuration correcte.

Une conférence présentée par

Amaury BOUCHARD

Directeur technique chez Homunity, Amaury a été coordinateur de l'AFUP Paris dans les années 2010. Il a donné des conférences au Forum PHP, au PHP Tour et lors de meetup, ainsi que dans des universités et des écoles d'ingénieurs. Il a réalisé plusieurs projets open-source (framework Temma, outil de sauvegarde Arkiv, outil de déploiement Dispak…), et a mené la rédaction du manifeste PHP Way of Life. Il est l'auteur du blog De geek à directeur technique, du manifeste PHP Way of Life, ainsi que du compte PHP Zen sur les réseaux sociaux.

Autres interviews

• La parole est aux speakers : Jori Stein
• La parole est aux speakers : Baptiste Langlade
• La parole est aux speakers : Thibaut Soulcié
• La parole est aux speakers : Olivier Mairet
• La parole est aux speakers : François Zaninotto
• La parole est aux speakers : Damien Alexandre
• La parole est aux speakers : Louis Vareille