Extia - D'abord qui, ensuite quoi !

Le blog
Entre failles de sécurité d’une part et modélisation de l’autre

Partager
actuality.blog.title

​Mercredi 9 décembre, les Comet’ IT de Lyon et Makers d’Île de France ont organisé leur dernier événement de l’année. D’un côté, les participants ont pu apprendre à sécuriser leur développement web et de l’autre à créer un mini pot de fleur aimanté. Au total, c’est près de 80 participants cumulés qui ont répondu présent sur ces deux événements. 

La soirée a débuté avec la Comet’ IT Lyon, un événement présenté par Colin, Lead de la communauté. Il a commencé par énoncer quelques constats sur la sécurité informatique, notamment :

- le manque de sensibilisation des développeurs (beaucoup n'ont aucune connaissance de la sécurité, le sujet étant peu évoqué en entreprise ainsi qu'en école),

- la très grande majorité des applications web présentent au moins une faille de sécurité,

- une application web étant exposée, c'est souvent l'élément le plus attaqué d'un réseau informatique et qui peut servir de porte d'entrée vers le reste du réseau.

Il a montré en live quelques exemples de code vulnérable et de failles. Les deux les plus répandues étant : 

- l'injection SQL : une faille côté serveur qui permet d'exfiltrer ou de modifier les données d'une application,

- le XSS : une injection de code dans le navigateur qui va permettre, entre autres, de voler des cookies à un utilisateur (et donc d'usurper son identité), de le rediriger à son insu ou bien de défigurer le site.

Ces démonstrations ont été faites sur Juice Shop de l'OWASP, une application open source conçue pour être vulnérable et utilisée à des fins éducatives.

Colin, a ensuite présenté le Top 10 de l'OWASP, une liste des dix failles les plus répandues et dangereuses sur les sites web actuellement. Puis, quelques bonnes pratiques de développement sécurisé (concernant le stockage des mots de passe, la validation des entrées utilisateur, la gestion d'erreur, etc.). 

Pour clôturer cette présentation, l'approche DevSecOps a été évoquée avec notamment les tests automatisés de sécurité : analyse statique, analyse dynamique et analyse des dépendances. Quelques outils permettant de réaliser ces tests ont été présentés et les participants ont pu voir le résultat de leur implémentation basique sur GitLab CI.

L’intérêt de cette session, était de faire prendre conscience aux développeurs que la sécurité de leur application n'était pas à négliger, ni à reléguer au second plan, et de donner quelques techniques simples à mettre en place pour éviter les écueils les plus fréquents.



Plus tard dans la soirée, c’est la Comet’ Makers qui a pris le relais avec son second atelier de modélisation 3D en visio. 

Mini pot de fleurs aimanté.

​L’objectif de cet événement était de créer un "mini pot de fleurs aimanté" via le logiciel Fusion 360.

​Jérémy, Lead de la communauté, a commencé par présenter aux participants les quelques paramétrages nécessaires pour le bon déroulement de l’atelier. Puis, il a animé la modélisation du pot de fleur “pas à pas” comme lors du premier atelier.  

Il n'y a pas de bonne ou mauvaise manière de concevoir en tant que telle. Ce sont les contraintes de création qui sont communiquées qui vont déterminer les procédés à utiliser. Dans le cas présent, nous n'avions pas de contraintes. 

Jérémy a donc décidé d'envisager la création de notre pot de fleurs avec des symétries, des extrusions et des réplications d'actions. 

Ce dessin était plus long à réaliser et mobilise plus de fonctionnalités que lors du précédent événement. Les Leads de la Comet’ ont décidé de créer et de transmettre des dessins intermédiaires permettant aux participants de raccrocher les wagons si besoin. 

Un tutoriel rédigé par les Leads sera bientôt disponible pour tous ceux qui souhaitent créer leur pot de fleurs en toute autonomie. En attendant, vous pouvez d'ores et déjà installer Fusion 360 et créer votre support de téléphone grâce aux deux tutoriels réalisés par la Comet’. 

Rendez-vous en 2021 pour nos prochains Meetup® Event online. Et d’ici là, n’hésitez pas à nous suivre sur notre page Twitter @CometByExtia et à consulter notre site internet dédié aux Meetup® Event.

WANTED !
1000 2021 Nos offres d'emploi Candidature spontanée Serez-vous le prochain ? Extia recrute talents en