Du 26 au 28 mars au Grand Palais de Lille s’est tenu le Forum InCyber, avec Clément l’expert en sécurité chez JetDev, nous avons participé au premier jour.
Si vous n’y avez jamais assisté voici un petit aperçu de ce que l’on peut y trouver !
Pourquoi est-ce important de s’intéresser à la sécurité quand on est dev ?
En tant que développeur, j’ai toujours considéré la sécurité comme une partie intégrante de la qualité de code. Tout comme il est de notre ressort de s’assurer que notre code est maintenable et évolutif, il est également de notre devoir de veiller à ce qu’il soit sécurisé, que notre projet soit exposé sur internet, ou sur le réseau interne de l’entreprise.
L’avènement de réglementations telles que le RGPD souligne l’importance de la conformité de nos logiciels aux normes de protection des données. Enfin, être sensibilisé à la sécurité permet de gérer les réponses aux incidents avec plus de sérénité.
La sécurité ne doit pas être une réflexion d’après coup, mais un aspect intégré tout au long du processus de développement, en témoigne l’apparition de la culture DevSecOps qui encourage la collaboration étroite entre développement, opérationnel et sécurité depuis la conception jusqu’à la production.
Le Forum InCyber
Anciennement nommé Forum International de la cybersécurité (FIC), lancé en 2007 par la Gendarmerie Nationale c’est un événement européen, considéré comme the place to be pour la cybersécurité.
On y trouve un salon avec plein de stands nous présentant des solutions pour répondre à nos divers besoins de sécurité ainsi qu’un forum dédié au partage d’expériences avec des conférences, talks, masterclass, demo technique, etc.
Les talks
Pour vous donner une idée du type de présentations données, voici celles nous ont plu.
Démo d’attaque
Au détour d’un stand, nous sommes tombés sur le « Hacking Lab », au menu : ambiance Hacking avec murs sombres et néons rouges, et plusieurs démos d’attaques:
Ingénierie sociale, à la source des attaques.
Du point de vue de l’attaquant, le duo Fabrice Litaize et Nathalie Granier, nous font plonger dans les coulisses des attaques par ingénierie sociale. Grâce à l’analyse comportementale et les facteurs psychologiques, ils nous montrent comment collecter des données professionnelles et personnelles pour ensuite les exploiter.
Un talk très accessible, qui nous sensibilise à toutes ces actions qui nous semblent anodines sur les réseaux sociaux, et qui laissent une trace facilement exploitable par des personnes malintentionnées.
From nothing to domain admin: en RedTeam tout est permis
En matière de sécurité, la Red Team est l’équipe qui simule des attaquants, tandis que la Blue Team est celle chargée de la défense.
Lors de cette démonstration d’attaque, Quentin Depriester nous a montré, au travers de quelques-unes des dernières missions de la Red Team d’Advens, comment, grâce à l’OSINT, les appels téléphoniques, l’envoi de SMS piégés, le phishing sur Teams, le contournement de l’authentification double facteur, l’implantation sur le réseau, etc., ils parviennent à acquérir de nombreux privilèges en partant simplement du nom de l’entreprise.
Cette démonstration était non seulement très impressionnante, mais aussi parsemée d’humour, on y a découvert de nombreuses techniques mises en œuvre. La partie sur l’intrusion physique, digne d’Ocean’s Eleven, me conforte dans ma pensée qu’il est important que tout le monde soit sensibilisé à la sécurité dans une entreprise.
Retour d’expérience et partage sur l’analyse de différentes cyberattaques en Afrique et plus particulièrement dans le domaine bancaire.
Encore une démo d’attaque, Clement DOMINGO, alias SAXX, nous emmène en Afrique pour décortiquer le cas d’une attaque qui a eu lieu sur plusieurs banques, on part d’un simple document Word et tel Alice qui suit le lapin blanc, nous suivons SAXX au pays des fails, des infostealers, ransomgangs, traffers, etc., un veritable voyage dans l’univers du cybercrime.
Enfin, nous prenons un peu de recul, sur ce type de campagne et sur leurs impacts. Très orienté environment Windows, cette présentation un peu moins accessible pour les moldus était très dense.
Les jetons secrets de l’API dévoilés : L’analyse d’un million de domaines révèle les risques critiques du web moderne
Antoine Carossio, co-fondateur d’Escape, nous explique comment ils ont monté une méthodologie pour analyser un million de domaines afin de récupérer plus de 18 000 jetons d’API dont 41% étaient hautement critiques. En plus de nous exposer les résultats, l’intervenant nous fournit une liste de contrôle pratique pour sécuriser nos API.
Les jetons d’API, en tant que développeur web, voilà un sujet qui me parle bien, les résultats de l’analyse d’Escape sont effarants, ce qui semble transparaitre est le manque de formation de développeurs sur les bonnes pratiques et le manque d’outils lié à la sécurité dans la partie CI / CD. #DevSecOps
Masterclass
Nous avons aussi assisté à plusieurs masterclass pour ouvrir nos chakras et notre culture générale, mais celle que nous avons retenue concerne l’aléatoire :
OpenTRNG : une initiative open-source de générateurs physiques de nombres vraiment aléatoires
Les générateurs de nombres vraiment aléatoires (en anglais True Random Number Generators) c’est la base en cybersécurité. Florian Pebay-Peyroula, après nous avoir rappelé les bases de la génération de nombres aléatoires, nous présente l’initiative OpenTRNG qui a pour objectif de fournir en open-source à la communauté les éléments disponibles dans la littérature scientifique.
Un sujet très loin de ce que nous faisons au jour le jour, peut-être un mini-projet sur FPGA pour le JetLab cet été ?
En bref
Le FIC c’est super intéressant même quand on est développeur, certes, il y a beaucoup de stands de commerciaux, présents pour vendre leur solution, des conférences très poussées ou des sujets de recherches tout aussi poussés. Mais c’est aussi l’occasion d’être sensibilisé aux enjeux de la sécurité, découvrir de nouvelles technologies, rencontrer des experts et faire le plein d’inspiration.
