177 - Mais où sont passés les développeurs web genevois?

starbuck - 02.03.2010 | 3 réactions | #link | rss

Tag(s): commedansdubeurre

gasf2010

securite

web

protection des donnees

donnees personnelles

owasp

openid

Ce sera bientôt une tradition je le sens: je co-organise une conférence sur l'intégration des technologies d'authentification forte dans les applications web, qui se tiendra jeudi prochain à Genève.

Une fois de plus, l'observation de la distribution professionnelle des inscrits révèle une très maigre participation de la part de la communauté de développeurs, architectes et chefs de projets web dans de la région suisse romande.
Pourquoi?

^{(Je tiens à préciser que ce billet n'a pas pour vocation de remplir désespérément des sièges: plus de 250 personnes sont déjà inscrites à l'évènement, cela dépasse de loin toutes mes attentes et nous pose déjà de nombreuses préoccupations logistiques.)}

Le constat était similaire l'an dernier lors du premier meeting OWASP à Genève: malgré une audience proche de 100 participants, seule une très faible minorité provenait des fonctions techniques du développement d'applications web. La majorité des participants était constituée de consultants, cadres supérieurs, des directeurs, des enseignants et même des inspecteurs de police. Les secteurs majoritairement représentés: la banque, les assurances, la santé, l'administration publique et les sociétés de services en sécurité. L'origine géographique? 20% de non-genevois, dont des participants venus de France (et non pas uniquement de France voisine) et de Suisse alémanique.

Le même schéma semble se reproduire pour le 4 mars prochain. Où sont passés les développeurs web de Romandie?

En y réfléchissant, je vois six explications:

Mon collègue et moi-même sommes nuls en marketing.
Un autre événement technique majeur a lieu au même moment.
Les frais de participation sont trop élevés.
Ils maîtrisent déjà tous le sujet.
Ils s'en foutent royalement.
Ils ne connaissent pas les fusées OWASP.

Parcourons-les une-à-une.

Nuls en marketing?

Admettons que nous sommes nuls en marketing. C'est l'hypothèse la plus probable à mon goût. Mais si c'est le cas, il y a un autre problème, pire encore.

Nous avons essentiellement communiqué sur des canaux proches de la sécurité de l'information. Plus de deux cent personnes ont manifesté leur intérêt en retour. Ceci représente une palette considérable d'entreprises de la région genevoise et alentours, et plus encore si l'on considère que la majorité des personnes inscrites dans les listes que nous avons utilisées occupent des postes de management ou de direction.

Le problème est dans le champ "entreprise" de la liste des participants: je constate que seule une très petite minorité d'entreprises a fait circuler l'information en interne de manière concluante. L'on constate clairement dans la liste de participants les rares cas où la personne visée par nos communications a convaincu des collègues de l'accompagner.

Qu'en est-il des autres? L'information a-t-elle été relayée en interne ou pas? Ou est-ce que de nombreuses personnes préfèrent venir comme seules représentantes de leur employeur à de tels événements? Dans le second cas, il s'agit très clairement d'une erreur stratégique. Je détaillerai plus bas pourquoi.

Conflit d'agenda?

Je n'ai pas trouvé de vacances scolaires ni entendu parler d'un concert de Tokio Hotel (j'aurais moi-même été le premier à vouloir repousser l'événement!)

J'ai toutefois constaté à la mi-février l'annonce d'une soirée "check-in night" à Genève pour les amateurs du logiciel Foursquare. Ce genre de rencontre aurait effectivement le potentiel d'attirer une grande communauté de développeurs et chefs de projets web mais allons bon, soyons réalistes: c'est Genève! Il n'y a certainement pas plus de 50 personnes qui ont réellement compris la fonctionnalité check-in...de Foursquare (en tous cas le leaderboard n'indiquait que 34 personnes, dont 2-3 gros tricheurs la dernière fois que je l'ai observé).

De plus la conférence a lieu un jeudi, en fin de journée, l'accès y est gratuit et elle se tient en un lieu central qui est l'Université de Genève. Les excuses "trop cher" (que l'on reproche fréquemment aux événements traitant de sécurité de l'information) ou trop loin (que l'on reproche également à ces mêmes événements) ne sont donc pas applicables.

Le problème ne semble pas venir de là.

Trop cher?

Je me répète. C'est gratuit pour les participants. Les sponsors s'occupent de payer.

Hasbeen?

S'il y en a qui pensent cela, une petite explication est méritée.

L'authentification forte est une technologie en devenir dans le secteur des services web grand public. Les banques, les instituts financiers, l'armée, les gouvernements l'ont déjà adoptée depuis de nombreuses années.

Trois grandes forces en oeuvre agissent aujourd'hui en faveur de l'authentification forte.

Premièrement, la technologie a atteint sa maturité. L'on observe l'entrée de nouveaux acteurs sur le marché, ils proposent des produits et services innovants, souvent beaucoup moins coûteux que les premiers arrivés, et offrant des niveaux de sécurité répondant plus que largement aux attentes des consommateurs, des collaborateurs ou des directeurs.

Deuxièmement, le cybercrime profite des faiblesses des authentifications simples par mot de passe. (Oui oui, cybercrime est encore un mot sensationnel pour certains mais il a une signification bien plus concrète pour une population croissante) En effet, une proportion non négligeable d'attaques résulte de vulnérabilités induites par l'utilisation de mots de passes statiques (mot de passe statique = mot de passe qui ne change pas au fil des connexions) par les utilisateurs.

La présence de l'authentification forte dans une architecture n'est pas un rempart par excellence mais constitue, aujourd'hui encore, une barrière forte au vol d'identité et de mots de passes, qui sont deux pré-requis pour de nombreuses attaques à finalité lucrative.

Troisièmement, tout devient 'web'. Inutile de tergiverser sur cet argument, il est temps de généraliser l'authentification forte au web en général, surtout dans les services faisant une exploitation de données personnelles.

Quels sont les risques actuels?

Lorsque vous connectez votre ordinateur ou votre téléphone dans un réseau public (bar, café, aéroport, gare, réseau wi-fi de la ville, etc.) et consultez votre messagerie électronique, votre espace de stockage privé (images ou fichiers), un site communautaire ou un réseau social, votre compte en banque et j'en passe, toutes les données échangées peuvent généralement être interceptées par les systèmes se trouvant dans votre rayon proche.

Dans ces données, l'on trouve: les identifiants et mots de passes, les messages privés, les recherches effectuées sur le web, les pages visitées et j'en passe. Cette situation est également applicable lorsque vous consultez vos données depuis tout ordinateur ne vous appartenant pas.

L'authentification forte n'est pas une solution miracle, elle n'empêche pas le vol d'informations. (si certains vous le prétendront, ne les croyez-pas!)

Toutefois, elle augmente fortement la sophistication des efforts requis que l'on vous vole vos identifiants et mots de passes. La majorité des dispositifs d'authentification forte implémentent en effet une fonctionnalité dite OTP (one-time password) consistant à faire évoluer le mot de passe au fil du temps. Pensez-à la petite calculette e-banking: vous devez chaque fois saisir un code d'accès différent pour entrer dans la zone protégée.

Dans cette situation, même si quelqu'un intercepte vos identifiants d'accès, ils ne sont plus valable dans les millisecondes qui suivent.

Alors, non, le sujet n'est pas hasbeen.

Cela ne me concerne pas

En fait, oui. La vraie question est de se demander à quel moment vous allez réagir:

avant la concurrence
après la concurrence
après la claque (si vous êtes encore en place)

Il faut comprendre ici que des lois et des réglementations sur la protection des données personnelles sont sur le chemin de l'adoption un peu partout dans le monde. Pourquoi? Simplement parce que les entreprises ont pour intérêt naturel de sécuriser leur business bien avant les données personnelles.

La protection des données personnelles n'étant pas dans les intérêts naturels des entreprises, les pays dans lesquels l'État a pour rôle, entre autres, d'assurer la protection des consommateurs, se sont donc vus dans l'obligation d'adopter des lois qui contraindront les entreprises à protéger les données de leurs consommateurs.

Certain argueront que la Suisse dispose déjà d'une Loi sur la Protection des Données. Certes. Mais c'est insuffisant. Ces nouvelles lois, telles que les directives européennes, auront pour particularité de contraindre les entreprises à reconsidérer leurs positions pour 2 raisons:

Elles seront exposées à de lourdes amendes ;
Elles seront contraintes de communiquer publiquement les incidents de sécurité survenus sur les données personnelles;

Oui oui vous avez bien lu. Une entreprise exposant des données personnelles dans un service en ligne sera prochainement amendable et aura un devoir de transparence envers sa clientèle et ses collaborateurs en cas d'une brèche de sécurité dans son système d'information dû à une négligence de sécurité.

Cette nouvelle donne encouragera beaucoup de monde à tenter de trouver des failles de sécurité, qu'il s'agisse de pure curiosité, d'une vraie volonté de nuire, de conclure sur des contrats de sécurisation (la mafia de la sécurité n'est pas un mythe) ou tout simplement, dans le cadre d'opérations hostiles par la concurrence. Les entreprises qui sauront protéger efficacement les données personnelles de leurs clients et collaborateurs auront une longueur d'avance.

Sur qui reposera cette compétence? Sur tous les acteurs du développement et de l'acquisition de logiciels. Les cycles de développement et d'acquisition de logiciels sécurisés proposent tous une approche intégrale de la sécurité, tout au long du cycle. Celle-ci s'étend de la première étude d'opportunité (identification des lois applicables en matière de sécurité et confidentialité) à la maintenance du produit (dispositif de réponse d'urgence en cas de brèche de sécurité - CERT) en passant par la conception sécurisée (modélisation de la menace et contremesures), l'implémentation sécurisée (directives de codage sécurisé et revue de code) et la vérification de la sécurité (tests de sécurité, conformité aux exigences, etc.).

Le constat à l'origine de ce billet est simple: tous les acteurs sont fortement représentés aux conférences sur la sécurité logicielle à l'exception d'un groupe: les développeurs et architectes d'applications web.

C'est peut-être une des raisons pour lesquelles des rapports concluent encore à ce jour que les failles de sécurité les plus présentes dans les applications, tous types confondus, restent des failles de type web...

Jamais entendu parler de la fusée OWASP?

son surnom? le 'aïe'.

C'est également l'hypothèse la plus probable. L'objet que vous voyez représenté ci-dessus est un projectile en mousse composé d'un corps fuselé aérodynamique (48gr. aéro-expensés) et d'un élastique à son extrémité.

L'élastique, c'est pour donner une vitesse et une trajectoire à la fusée. La mousse, c'est pour réduire la douleur lors de l'impact.

Une cinquantaine de fusées similaires sera disposée aléatoirement sous des sièges dans la salle, à la libre disposition de la personne qui s'en emparera.

A ce titre, les organisateurs veilleront bien entendu à ce qu'aucun élément audiovisuel (photo, son, vidéo) compromettant pour les participants ne soit diffusé hors de la conférence.

Pour conclure

Comme indiqué au début de ce billet, je cherche des éléments de réponse qui me permettront de mieux cibler d'éventuels événements futurs. Si vous avez des idées, n'hésitez pas!

D'ici-là, si vous êtes développeur d'applications web, architecte, chef de projets ou chef d'entreprise et que vous souhaitez en savoir plus sur l'authentification forte et ce qu'elle peut apporter à un service en ligne: Geneva Application Security Forum, le jeudi 4 mars prochain à Genève. Les inscriptions sont ouvertes jusqu'à mercredi soir, via le site officiel: geneva-appsec-forum.ch.

Les réactions à cet article:

Chris, 02.03.2010 16:23

Mon expérience me dit que malheureusement la securité n'est pas une priorité majeure de bcp de développeur. C'est encore trop souvent un thème qui est mis de coté et qui arrive au dernier moment.

vitor, 03.03.2010 11:07

Ce qui est intéressant aussi, c'est de voir que les cadres supérieurs, directeurs et autres têtes pensante s'intéressent à cet aspect. Est-ce que cela entrainera une exigence du management à avoir des applications sécurisée? Et si oui, comment font-ils passer le message dans leurs organisations? Et pourquoi n'encouragent-ils pas leurs fonctions techniques à participer à ce genre d'évènement et à se former?

On en saura probablement plus dans quelques temps/années/siècles

Sinon je pense que t'as bien ciblé le problème:

- Il y a d'une part les développeurs qui ne sont peut-être même pas au courant que leurs applications ne peuvent être attaquées, ou qui pense qu'ils ne sont pas touchés par ça

- Et d'une autre part les exigences des chefs de projets qui veulent à tout prix respecter le cahier des charges et remplir toutes les exigences du client à la livraison de l'application.

De ce fait, les développeurs n'ont pas vraiment le temps ni peut-être même l'envie de s'attaquer à la (tentative) de sécurisation de l'application en cours de développement.

Sauf que, comme tu dis, gentiment les choses bougent. Et même s'il n'y a pas chapitres "sécurité" dans l'offre, cela devra faire partie intégrante des exigences, puisque requis par la loi, on l'espère, prochainement.

Un developpeur, 05.03.2010 14:55

Salut

Qqs remarques postconf d'un développeur en sécu.

1. Les presentations 1 et 3 valaient le coup, c'etait pas une mince affaire de contenter un public si diversifié.

2. La prez numero 2 etait soporifique. Certains utilisent encore les .ppt comme des documents à lire comme des bouquins.

3. Mon seul vrai coup de gueule: la présence d'une société vendant une techno plus que fumeuse:
- un algo proprietaire (il faut un NDA pour savoir comment ca marche)
- clairement une implementation soft des cartes à grille, avec une "protection" des grilles par un mdp par on ne sait quel algorithme
- le tout présenté à coup d'arguments qui fleurent bon le "snake oil"

Le plus étonnant, c'est que cette "techno" bancale, fermée et certainement bourrée de failles soit mentionnée dans la prez de S. Maret, du reste très didactique.

Reste que je reviendrai certainement l'an prochain avec d'autres collègues développeurs.

a+

comme dans du beurre
177 - Mais où sont passés les développeurs web genevois? starbuck - 02.03.2010 \| 3 réactions \| #link \| rss Tag(s): commedansdubeurre gasf2010 securite web protection des donnees donnees personnelles owasp openid Ce sera bientôt une tradition je le sens: je co-organise une conférence sur l'intégration des technologies d'authentification forte dans les applications web, qui se tiendra jeudi prochain à Genève. Une fois de plus, l'observation de la distribution professionnelle des inscrits révèle une très maigre participation de la part de la communauté de développeurs, architectes et chefs de projets web dans de la région suisse romande. Pourquoi? ^{(Je tiens à préciser que ce billet n'a pas pour vocation de remplir désespérément des sièges: plus de 250 personnes sont déjà inscrites à l'évènement, cela dépasse de loin toutes mes attentes et nous pose déjà de nombreuses préoccupations logistiques.)} Le constat était similaire l'an dernier lors du premier meeting OWASP à Genève: malgré une audience proche de 100 participants, seule une très faible minorité provenait des fonctions techniques du développement d'applications web. La majorité des participants était constituée de consultants, cadres supérieurs, des directeurs, des enseignants et même des inspecteurs de police. Les secteurs majoritairement représentés: la banque, les assurances, la santé, l'administration publique et les sociétés de services en sécurité. L'origine géographique? 20% de non-genevois, dont des participants venus de France (et non pas uniquement de France voisine) et de Suisse alémanique. Le même schéma semble se reproduire pour le 4 mars prochain. Où sont passés les développeurs web de Romandie? En y réfléchissant, je vois six explications: Mon collègue et moi-même sommes nuls en marketing. Un autre événement technique majeur a lieu au même moment. Les frais de participation sont trop élevés. Ils maîtrisent déjà tous le sujet. Ils s'en foutent royalement. Ils ne connaissent pas les fusées OWASP. Parcourons-les une-à-une. Nuls en marketing? Admettons que nous sommes nuls en marketing. C'est l'hypothèse la plus probable à mon goût. Mais si c'est le cas, il y a un autre problème, pire encore. Nous avons essentiellement communiqué sur des canaux proches de la sécurité de l'information. Plus de deux cent personnes ont manifesté leur intérêt en retour. Ceci représente une palette considérable d'entreprises de la région genevoise et alentours, et plus encore si l'on considère que la majorité des personnes inscrites dans les listes que nous avons utilisées occupent des postes de management ou de direction. Le problème est dans le champ "entreprise" de la liste des participants: je constate que seule une très petite minorité d'entreprises a fait circuler l'information en interne de manière concluante. L'on constate clairement dans la liste de participants les rares cas où la personne visée par nos communications a convaincu des collègues de l'accompagner. Qu'en est-il des autres? L'information a-t-elle été relayée en interne ou pas? Ou est-ce que de nombreuses personnes préfèrent venir comme seules représentantes de leur employeur à de tels événements? Dans le second cas, il s'agit très clairement d'une erreur stratégique. Je détaillerai plus bas pourquoi. Conflit d'agenda? Je n'ai pas trouvé de vacances scolaires ni entendu parler d'un concert de Tokio Hotel (j'aurais moi-même été le premier à vouloir repousser l'événement!) J'ai toutefois constaté à la mi-février l'annonce d'une soirée "check-in night" à Genève pour les amateurs du logiciel Foursquare. Ce genre de rencontre aurait effectivement le potentiel d'attirer une grande communauté de développeurs et chefs de projets web mais allons bon, soyons réalistes: c'est Genève! Il n'y a certainement pas plus de 50 personnes qui ont réellement compris la fonctionnalité check-in...de Foursquare (en tous cas le leaderboard n'indiquait que 34 personnes, dont 2-3 gros tricheurs la dernière fois que je l'ai observé). De plus la conférence a lieu un jeudi, en fin de journée, l'accès y est gratuit et elle se tient en un lieu central qui est l'Université de Genève. Les excuses "trop cher" (que l'on reproche fréquemment aux événements traitant de sécurité de l'information) ou trop loin (que l'on reproche également à ces mêmes événements) ne sont donc pas applicables. Le problème ne semble pas venir de là. Trop cher? Je me répète. C'est gratuit pour les participants. Les sponsors s'occupent de payer. Hasbeen? S'il y en a qui pensent cela, une petite explication est méritée. L'authentification forte est une technologie en devenir dans le secteur des services web grand public. Les banques, les instituts financiers, l'armée, les gouvernements l'ont déjà adoptée depuis de nombreuses années. Trois grandes forces en oeuvre agissent aujourd'hui en faveur de l'authentification forte. Premièrement, la technologie a atteint sa maturité. L'on observe l'entrée de nouveaux acteurs sur le marché, ils proposent des produits et services innovants, souvent beaucoup moins coûteux que les premiers arrivés, et offrant des niveaux de sécurité répondant plus que largement aux attentes des consommateurs, des collaborateurs ou des directeurs. Deuxièmement, le cybercrime profite des faiblesses des authentifications simples par mot de passe. (Oui oui, cybercrime est encore un mot sensationnel pour certains mais il a une signification bien plus concrète pour une population croissante) En effet, une proportion non négligeable d'attaques résulte de vulnérabilités induites par l'utilisation de mots de passes statiques (mot de passe statique = mot de passe qui ne change pas au fil des connexions) par les utilisateurs. La présence de l'authentification forte dans une architecture n'est pas un rempart par excellence mais constitue, aujourd'hui encore, une barrière forte au vol d'identité et de mots de passes, qui sont deux pré-requis pour de nombreuses attaques à finalité lucrative. Troisièmement, tout devient 'web'. Inutile de tergiverser sur cet argument, il est temps de généraliser l'authentification forte au web en général, surtout dans les services faisant une exploitation de données personnelles. Quels sont les risques actuels? Lorsque vous connectez votre ordinateur ou votre téléphone dans un réseau public (bar, café, aéroport, gare, réseau wi-fi de la ville, etc.) et consultez votre messagerie électronique, votre espace de stockage privé (images ou fichiers), un site communautaire ou un réseau social, votre compte en banque et j'en passe, toutes les données échangées peuvent généralement être interceptées par les systèmes se trouvant dans votre rayon proche. Dans ces données, l'on trouve: les identifiants et mots de passes, les messages privés, les recherches effectuées sur le web, les pages visitées et j'en passe. Cette situation est également applicable lorsque vous consultez vos données depuis tout ordinateur ne vous appartenant pas. L'authentification forte n'est pas une solution miracle, elle n'empêche pas le vol d'informations. (si certains vous le prétendront, ne les croyez-pas!) Toutefois, elle augmente fortement la sophistication des efforts requis que l'on vous vole vos identifiants et mots de passes. La majorité des dispositifs d'authentification forte implémentent en effet une fonctionnalité dite OTP (one-time password) consistant à faire évoluer le mot de passe au fil du temps. Pensez-à la petite calculette e-banking: vous devez chaque fois saisir un code d'accès différent pour entrer dans la zone protégée. Dans cette situation, même si quelqu'un intercepte vos identifiants d'accès, ils ne sont plus valable dans les millisecondes qui suivent. Alors, non, le sujet n'est pas hasbeen. Cela ne me concerne pas En fait, oui. La vraie question est de se demander à quel moment vous allez réagir: avant la concurrence après la concurrence après la claque (si vous êtes encore en place) Il faut comprendre ici que des lois et des réglementations sur la protection des données personnelles sont sur le chemin de l'adoption un peu partout dans le monde. Pourquoi? Simplement parce que les entreprises ont pour intérêt naturel de sécuriser leur business bien avant les données personnelles. La protection des données personnelles n'étant pas dans les intérêts naturels des entreprises, les pays dans lesquels l'État a pour rôle, entre autres, d'assurer la protection des consommateurs, se sont donc vus dans l'obligation d'adopter des lois qui contraindront les entreprises à protéger les données de leurs consommateurs. Certain argueront que la Suisse dispose déjà d'une Loi sur la Protection des Données. Certes. Mais c'est insuffisant. Ces nouvelles lois, telles que les directives européennes, auront pour particularité de contraindre les entreprises à reconsidérer leurs positions pour 2 raisons: Elles seront exposées à de lourdes amendes ; Elles seront contraintes de communiquer publiquement les incidents de sécurité survenus sur les données personnelles; Oui oui vous avez bien lu. Une entreprise exposant des données personnelles dans un service en ligne sera prochainement amendable et aura un devoir de transparence envers sa clientèle et ses collaborateurs en cas d'une brèche de sécurité dans son système d'information dû à une négligence de sécurité. Cette nouvelle donne encouragera beaucoup de monde à tenter de trouver des failles de sécurité, qu'il s'agisse de pure curiosité, d'une vraie volonté de nuire, de conclure sur des contrats de sécurisation (la mafia de la sécurité n'est pas un mythe) ou tout simplement, dans le cadre d'opérations hostiles par la concurrence. Les entreprises qui sauront protéger efficacement les données personnelles de leurs clients et collaborateurs auront une longueur d'avance. Sur qui reposera cette compétence? Sur tous les acteurs du développement et de l'acquisition de logiciels. Les cycles de développement et d'acquisition de logiciels sécurisés proposent tous une approche intégrale de la sécurité, tout au long du cycle. Celle-ci s'étend de la première étude d'opportunité (identification des lois applicables en matière de sécurité et confidentialité) à la maintenance du produit (dispositif de réponse d'urgence en cas de brèche de sécurité - CERT) en passant par la conception sécurisée (modélisation de la menace et contremesures), l'implémentation sécurisée (directives de codage sécurisé et revue de code) et la vérification de la sécurité (tests de sécurité, conformité aux exigences, etc.). Le constat à l'origine de ce billet est simple: tous les acteurs sont fortement représentés aux conférences sur la sécurité logicielle à l'exception d'un groupe: les développeurs et architectes d'applications web. C'est peut-être une des raisons pour lesquelles des rapports concluent encore à ce jour que les failles de sécurité les plus présentes dans les applications, tous types confondus, restent des failles de type web... Jamais entendu parler de la fusée OWASP? son surnom? le 'aïe'. C'est également l'hypothèse la plus probable. L'objet que vous voyez représenté ci-dessus est un projectile en mousse composé d'un corps fuselé aérodynamique (48gr. aéro-expensés) et d'un élastique à son extrémité. L'élastique, c'est pour donner une vitesse et une trajectoire à la fusée. La mousse, c'est pour réduire la douleur lors de l'impact. Une cinquantaine de fusées similaires sera disposée aléatoirement sous des sièges dans la salle, à la libre disposition de la personne qui s'en emparera. A ce titre, les organisateurs veilleront bien entendu à ce qu'aucun élément audiovisuel (photo, son, vidéo) compromettant pour les participants ne soit diffusé hors de la conférence. Pour conclure Comme indiqué au début de ce billet, je cherche des éléments de réponse qui me permettront de mieux cibler d'éventuels événements futurs. Si vous avez des idées, n'hésitez pas! D'ici-là, si vous êtes développeur d'applications web, architecte, chef de projets ou chef d'entreprise et que vous souhaitez en savoir plus sur l'authentification forte et ce qu'elle peut apporter à un service en ligne: Geneva Application Security Forum, le jeudi 4 mars prochain à Genève. Les inscriptions sont ouvertes jusqu'à mercredi soir, via le site officiel: geneva-appsec-forum.ch. Les réactions à cet article: Chris, 02.03.2010 16:23 Mon expérience me dit que malheureusement la securité n'est pas une priorité majeure de bcp de développeur. C'est encore trop souvent un thème qui est mis de coté et qui arrive au dernier moment. vitor, 03.03.2010 11:07 Ce qui est intéressant aussi, c'est de voir que les cadres supérieurs, directeurs et autres têtes pensante s'intéressent à cet aspect. Est-ce que cela entrainera une exigence du management à avoir des applications sécurisée? Et si oui, comment font-ils passer le message dans leurs organisations? Et pourquoi n'encouragent-ils pas leurs fonctions techniques à participer à ce genre d'évènement et à se former? On en saura probablement plus dans quelques temps/années/siècles Sinon je pense que t'as bien ciblé le problème: - Il y a d'une part les développeurs qui ne sont peut-être même pas au courant que leurs applications ne peuvent être attaquées, ou qui pense qu'ils ne sont pas touchés par ça - Et d'une autre part les exigences des chefs de projets qui veulent à tout prix respecter le cahier des charges et remplir toutes les exigences du client à la livraison de l'application. De ce fait, les développeurs n'ont pas vraiment le temps ni peut-être même l'envie de s'attaquer à la (tentative) de sécurisation de l'application en cours de développement. Sauf que, comme tu dis, gentiment les choses bougent. Et même s'il n'y a pas chapitres "sécurité" dans l'offre, cela devra faire partie intégrante des exigences, puisque requis par la loi, on l'espère, prochainement. Un developpeur, 05.03.2010 14:55 Salut Qqs remarques postconf d'un développeur en sécu. 1. Les presentations 1 et 3 valaient le coup, c'etait pas une mince affaire de contenter un public si diversifié. 2. La prez numero 2 etait soporifique. Certains utilisent encore les .ppt comme des documents à lire comme des bouquins. 3. Mon seul vrai coup de gueule: la présence d'une société vendant une techno plus que fumeuse: - un algo proprietaire (il faut un NDA pour savoir comment ca marche) - clairement une implementation soft des cartes à grille, avec une "protection" des grilles par un mdp par on ne sait quel algorithme - le tout présenté à coup d'arguments qui fleurent bon le "snake oil" Le plus étonnant, c'est que cette "techno" bancale, fermée et certainement bourrée de failles soit mentionnée dans la prez de S. Maret, du reste très didactique. Reste que je reviendrai certainement l'an prochain avec d'autres collègues développeurs. a+ Cliquez pour ajouter votre commentaire	Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles Vous souhaitez me contacter rapidement et de façon confidentielle? cliquez-ici (si le destinataire affiché n'est pas "commedansdubeurre", n'envoyez rien!) Les Quiz en cours Lutter contre le phishing pour pas cher Derniers articles · 269 - Bulletin cybersécurité et menaces Internet - #012 · 268 - Bulletin cybersécurité et menaces Internet - #011 · 267 - Bulletin cybersécurité et menaces Internet - #010 · 266 - Bulletin cybersécurité et menaces Internet - #009 · 265 - Bulletin cybersécurité et menaces Internet - #008 · 264 - Ces applications mobiles qui nous prennent notre liste de contacts · 263 - Bulletin cybersécurité et menaces Internet - #007 · 262 - Bulletin cybersécurité et menaces Internet - #006 · 260 - Bulletin cybersécurité et menaces Internet - #005 · 261 - Sécurité des applications web: cours à Montréal et Ottawa Rubriques Actualité Analyses Billets techniques Hors sujet Autour du même sujet Bruno Kerouanton Sylvain Maret Data breaches chronology Hackersblog project HITB Intelligentzia - Stéphane Koch Secunews.be Sid Swiss security blog Zythom, expert judiciaire Et ailleurs (à compléter) Acerberos Le Scal Turb(l)o(g) Recherche articles réactions Me contacter
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch

Nuls en marketing?

Conflit d'agenda?

Trop cher?

Hasbeen?

Cela ne me concerne pas

Jamais entendu parler de la fusée OWASP?

Pour conclure

Les réactions à cet article:

Les Quiz en cours

Derniers articles

Rubriques

Autour du même sujet

Et ailleurs (à compléter)

Recherche