13.11.19

#15 – Ocean’s 14, les cambrioleurs de données – Maxime Ropelewski

“Toute application est vulnérable”

A l’heure de RGPD et des hacks quotidien, il est important de concevoir des applications et des services sécurisés.

Facile à dire. La sécurité est un sujet conséquent. Entre les failles connues, ou encore inconnues, d’un OS, d’un langage, d’un framework et des librairies utilisées, s’ajoutent les failles créées par un code mal pensé ou mal blindé. Alors comment se prémunir de ces problèmes ? Comment les repérer ? Comment les combler ? Comment mitiger les problèmes ? 

Ce nouvel épisode d’IFTTD – If This Then Dev, présenté par Bruno Soulez et produit par CosaVostra, s’intéresse au “pentest”, ces test de pénétrations, mené par des pros, qui vont parcourir votre site en profondeur et tenter d’y trouver le plus de failles ou d’accès dérobés que possible.

Le D.E.V. de la semaine est Maxime Ropelewski, pentesteur. Dans son quotidien, Maxime et ses équipes, sont mandatés par des entreprises pour explorer un site ou une app et trouver toutes les failles possibles. Un métier de fourmi et surtout d’ingéniosité. Si certaines failles sont évidentes et facilement exploitable, en général une entreprise qui demande un pentest a déjà écumé une partie des failles les plus simples. Chaque pentesteur a ses préférences, ces méthodes de prédilections, mais tous arrivent toujours à leur but.

Maxime nous parle de l’OWASP, des failles les plus courantes mais surtout les méthodes de pentest, avec un constat simple: toute application est vulnérable.

Les pentesteurs ont aussi une mission de prévention en éduquant les développeurs aux failles les plus courantes.

On évoque aussi la nécessité de veille dans ce métier, que ce soit pour découvrir de nouvelles failles, de nouvelles méthodes pour les exploiter ou de nouveaux services créés pouvant être vulnérable.

Liens évoqués pendant l’émission

OWASP:

https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Articles:

https://fr.wikipedia.org/wiki/Cyber-braquage_de_la_banque_centrale_du_Bangladesh

https://www.nytimes.com/interactive/2018/05/03/magazine/money-issue-bangladesh-billion-dollar-bank-heist.html

Pour s’entrainer :

https://www.root-me.org

https://www.hackthebox.eu/home

Retrouvez tous nos épisodes sur notre site https://ifttd.io/listes-des-episodes/

Version compilée

Continuons la discussion

@ifthisthendev (https://twitter.com/ifthisthendev)

@bibear (https://twitter.com/bibear)

Discord (https://discord.gg/FpEFYZM)

Facebook (https://www.facebook.com/ifthisthendev/)

LinkedIn (https://www.linkedin.com/company/if-this-then-dev/)