Le 5 juin 2014, l’AFUP Paris a organisé un rendez-vous sur la sécurité web dans les superbes locaux de Mozilla. Au programme, une introduction à l’OWASP, un rappel sur les façons de protéger son site en PHP et enfin, une présentation sur les stratégies mises en place pour sécuriser les applications web Firefox OS.
L’OWASP, l’univers, et le reste
par Sébastien GIORIA
Sébastien Gioria, leader d’OWASP France, a commencé par nous alerter sur les principales sources des failles de sécurité du code : les copier-coller des tutoriels remontés en premier dans les moteurs de recherche. A travers plusieurs statistiques, il nous a informé sur les types de sites les plus vulnérables (notamment dans les secteurs liés aux banques ou à la santé) et les principales motivations des hackers (amusement, aspect financier etc.).
L’OWASP (Open Web Application Security Project) est une communauté qui travaille sur la sécurité des applications web et qui fournit de nombreuses ressources telles que de la documentation pour se renseigner sur les types d’attaques (cf. le «top 10»), des cheat sheets (cf. celle pour le PHP) ou encore des outils pour tester la vulnérabilité de ses sites (cf. le ZAP pour «Zed Attack Proxy»).
La sécurité avec PHP
par Christophe Villeneuve
Christophe Villeneuve, consultant IT chez Neuros, nous a fait un bon rappel sur les possibilités de protection pour ses sites en PHP. En partant d’exemples de failles tirées du top 10 de l’OWASP, il nous a rappelé les erreurs a éviter aussi bien au niveau du code que dans la configuration serveur.
Firefox OS
par Stéphanie Ouillon
Stéphanie Ouillon est ingénieure sécurité sur Firefox OS, le système d’exploitation pour smartphone développé par Mozilla et conçu autour des techonologies web. Via une démonstration, elle nous a présenté ce qui est mis en place pour sécuriser les applications web Firefox OS. Une politique de sécurité des contenus ou «CSP» est imposée par défaut. Par exemple, certaines fonctions considérées comme «dangereuses» pour la sécurité provoquent une erreur de code (par exemple l’utilisation de eval()). On peut aussi restreindre l’installation d’une application depuis un marketplace précis, activer des permissions pour utiliser des APIs etc. Tout ceci est paramétrable dans l’app manifest (fichier JSON). Il faut savoir qu’il est impossible d’abaisser les restrictions de la CSP par défaut.
Elle a également parlé de «scanjs», un outil en cours de développement chez Mozilla qui permet d’analyser du code JS statique afin de déceler les éventuelles failles.
La démonstration a été faite grâce au simulateur Firefox OS fourni par l’app manager.
Toutes les conférences ont été filmées et seront disponibles prochainement sur l’espace vidéo de l’AFUP.
