Meetup Secure Web Paris #1: Browser to Browser encryption and DevSec (in French)

3
minutes
Mis à jour le
15/9/2019

Share this post

Secure Web Paris est une série de meetup qui réunit les curieux et passionnés de la sécurité des applications web. Hier j’ai eu la chance d’assister à ...

#
Meetup & Conferences
#
Security

Secure Web Paris est une série de meetup qui réunit les curieux et passionnés de la sécurité des applications web.

Hier j’ai eu la chance d’assister à la première édition de cet événement. Dans cet article je vais vous partager ce que j’ai appris grâce aux talks de Dimitri Merejkowski de Tanker.io et Michaël Mollard de Sipios.

Browser to Browser encryption

Tanker.io est une entreprise qui fournit des outils permettant à des développeurs de réaliser du chiffrement de bout en bout entre les navigateurs des utilisateurs d’une application.

L’objectif d’une telle solution est de chiffrer directement les données chez le client afin de le protéger contre une éventuelle fuite de donnée des serveurs de l’entreprise. Cela donne également à l’entreprise un argument de plus dans sa politique de respect des données utilisateurs.

Concrètement, le client chiffre lui même les données dans son navigateur et envoie au serveur une version chiffrée de ses données. Les serveurs de Tanker n’ont pas les moyens de déchiffrer ces données. Elles ne pourront être déchiffrées qu’avec un secret gardé sur le navigateur de l’utilisateur.

Un tel chiffrement est possible de manière sécurisée car les navigateurs disposent maintenant d’environnements sandboxés. Les informations stockées peuvent l’être de manière totalement hermétique entre deux onglets par exemple. Finalement, la sécurité est intimement liée à la confiance et les technologies actuelles nous permettent d’avoir une bonne confiance dans le chiffrement côté navigateur.

Comment former les développeurs aux enjeux de la sécurité ?

Il n’est plus nécessaire de rappeler les enjeux de la sécurité des applications web. Pourtant dans la majorité des projets, les contraintes de sécurité sont rarement prises en compte lors de la phase de développement. Un audit de sécurité est souvent prévu à la fin du projet et conduit souvent à des développements supplémentaires liés à la sécurité. Cela a pour conséquence de retarder la livraison des applications…

Ce problème a pour origine le manque de communication entre les experts de la sécurité et les développeurs.

Experts de la sécurité et développeurs ne communiquent pas !

DevSec est un mouvement dont l’objectif est de former les développeurs aux problèmatiques de sécurité, cela permet à l’image de DevOps et de la partie opérationnelle, d’intégrer dès la phase de développement les meilleures pratiques en matière de sécurité.

Michaël a partagé avec nous son retour d’expérience sur la mise en place de DevSec chez Sipios, voici ses conseils pour aider à démarrer le plus vite possible !

  • Former et intéresser les Devs: parler des vulnérabilités connues et sensibiliser aux problèmes de sécurité. Plusieurs milliards de dollars sont depensés chaque mois par les entreprises à causes de tels problèmes !
  • Checker les vulnérabilités connues: des outils comme NPM audit ou Snyk peuvent aider les développeurs à détecter les problèmes dès la conception.
  • Apprenez et améliorez vous grâce à l’analyse statique: les outils Sonarqube et Checkmarx vous seront d’une grande aide !

Conclusion

Ce que j’ai découvert durant ce meet up c’est que l’univers de la sécurité est beaucoup plus grand que ce que j’avais imaginé. On peut apprendre énormément sur les outils qui existent et les méthodes à mettre en place pour sécuriser les applications web.

Mettre en place DevSec peut vous permettre de progresser énormément dans le domaine de la sécurité. De plus utiliser le chiffrement de bout en bout permet de donner la garantie à vos utilisateurs que leurs données ne seront pas accessibles, même à l’intérieur de votre organisation.

Si les enjeux de sécurité vous intéressent, Secure Web Paris est le meet-up idéal pour vous ! Un meet up est organisé tous les premiers mercredi du mois, n’oubliez pas de vous inscrire ! https://www.meetup.com/fr-FR/Secure-Web-Paris/