L'ouverture du code source est souvent associée à une meilleure sécurité [1]. Mais cette idée est mise à mal par mon expérience : comment un débutant en sécurité peut-il trouver, en moins d'un mois, plus de 25 failles de sécurité dans du logiciel libre ? Un constat est à faire : l'ouverture ne répond pas magiquement aux impératifs de sécurité. En mars 2017, alors débutant complet en penetration testing, je me lance dans l'apprentissage des XSS, un type d'attaque contre les applications web. En mettant en pratique ces connaissances, je trouve rapidement et facilement beaucoup de XSS dans des applications web libres (notamment celles que nous hébergeons à Framasoft). Certaines fonctionnalités peu connues des navigateurs web créent les mêmes failles dans de nombreux logiciels. Cette conférence partira du constat que le logiciel libre (tout comme le logiciel propriétaire) est face à un problème important : celui de la sécurité. Nous partagerons ensuite des astuces pour que d'autres débutants se mettent eux-aussi à chercher et corriger des XSS. Cette conférence s'adresse aux non-développeurs curieux de la sécurité, ainsi qu'aux dévelopeurs et mainteneurs qui veulent améliorer leurs logiciels et leurs pratiques. [1] https://fr.wikipedia.org/wiki/Logiciel_libre#S.C3.A9curit.C3.A9
Speakers: Martin Gubri