Informatique

Sérieusement c'est bien le domaine de l'informatique le plus méconnu de tous.

Ca fait depuis quelques années déjà que je remonte des vulnérabilités à des entreprises en échange d'argent, ma plus grosse récompense est d'environ 5000€ pour une vulnérabilité d'éxecution de code PHP à distance donc j'ai une certaine expérience dans le domaine

J'ai remarqué à quel point les gens, mêmes les developpeurs n'y connaissaient rien à la sécurité informatique

Même les termes simples et génériques tels que confidentialité, intégrité, authentification, contrôle d'accès, les gens y comprennent que dalle en fait

Les developpeurs ont zéro culture en sécurité informatique, par exemple un type qui fait du back-end va mettre en place une protection contre l'injection SQL en nettoyant et en validant les entrées utilisateurs parce qu'il l'a lu quelque part mais va complètement ignorer les contrôles d'accès des objets de l'application parce qu'il n'a pas fait une étude en amont sur son application Et c'est comme ça qu'on se retrouve avec des fuites de données sur de grosses entreprises.

On s'en rends compte par le simple fait que SQLMap fonctionne sur beaucoup de site. Si les gens savaient coder sécurisé cela reluirait à néant cet outil.

Il suffirait que tout le monde utilise un ORM pour corriger 75% des injections SQL et des framework adaptés et à jour pour les 25% restant.

Sous wordpress ?

En effet, il n'y a pas assez de connaissance en securite informatique. Mais ca s'arrange. En general les cours de systeme a la fac parlent de ces choses la. Et je ne parle pas juste du cours d'OS mais de tous les cours de systeme (base de donne, systeme de fichier, architectures, ...)

En 2013, ACM et IEEE ont publie leur recommendation de ce que tous les etudiants avec un diplome d'informaique doivent savoir. C'est une liste minimal et pas prescriptive. Il y a 9 heures dans le curriculum dedie aux questions de securite. Et des aspects de securite apparaissent dans d'autre domaine. Les aspects legaux sont dans la partie "societe", les questions d'isolation et de virtualisation sont dans la partie Systeme. Les questions de fiabilite, verification et validation sont dans la partie "ingenirie". Les questions de correctness sont dans la partie developement. Le curriculum estime le nombre d'heure de contenu lie a la securite devrait etre au moins a 73. Ca represente en gros un quart de la recommendation minimale.

Apres la recommendation est recente. Et les programmes prennent du temps a s'adapter. Perso, j'ai vu tout ca quand j'etais a la fac. La ou je travaille les cours de securite sont encore optionel, mais on travaille a les integrer dans le programme de facon obligatoire. Mais les cours obligatoires parlent un peu de securite dans les cours de programmation, ingenirie, systeme, et base de donnee.

Hello,
c’est dans quel langage que tu rencontres le plus de fail.

Ça me rappelle j’étais en mission pour une ssii, un collègue maintenait un site en php quand il découvre une page permettant de faire des requêtes sql et d’afficher le résultat, la page était en libre accès (même s’il y avait aucun lien vers elle dans le site) et dispo sur le site de prod 🤣

C'est bien beau l'auteur d'en faire un topic mais ne pourrais-tu pas être un peu plus précis et énoncer des exemples concrets de ce qui a pu te choquer ? A moins que ça soit en DLC

Clairement.
Quasi pas de cours ni de sensibilisation. Seuls les dévs expérimentés y font attention (et encore, pas tous). Rien qu'une base type OWASP est méconnu. Les usines logicielles, pour beaucoup n'intègre pas d'analyseur statique de code (exemple : SonarQube), et quand c'est utilisé, on ne corrige pas les problèmes car "on fera ça plus tard".

Je mettrai aussi en doute beaucoup d'experts sécurité. Je suis dév mobile. On m'a dit que l'app sur laquelle je bosse allait avoir un audit de sécurité. Au moment où celui-ci a débuté, on m'a demandé où se trouvait la BDD sur Android... J'espère juste que les auditeurs n'étaient juste pas habitué à Android (ni à faire une rechercher internet...).

Dans les petits projets/sites/apps où tu as une équipe limitée voire un seul freelance qui pond son wpress, évidemment la sécu va être problématique

Par contre des que tu es dans des entreprises plus grandes, t'auras généralement un pôle sécu + des dev qui font quand même gaffe + des guideline de sécu a respecter

Ça bouge depuis qq années

Auteur combien de points root me ?