Actus

p.08 Brèves
p.09 Côté livres...
p.10 OWASP Top 10 : le palmarès pour 2018
p.18 PostgreSQL 10, quelques nouvelles fonctionnalités

Repères

p.26 Comprendre la compilation Just-In-Time

Dossier : Développement sécurisé

p.36 Retour d’expérience d’intégration des aspects sécurité dans un cycle de développement logiciel p.50 Expérimentations autour de l'injection de code en Python
p.58 Java : comment utiliser correctement son gestionnaire de sécurité
p.76 Le renforcement de la sécurité des applications et sites web avec CSP
p.88 Quels outils pour l'audit d'intrusions d'applications web ?
p.100 Les options pour faire du compilateur C un ami qui vous veut du bien
p.109 Découverte de Frama-C, l'un des outils incontournables d'analyse de code en C

Témoignages

p.116 Gros plan sur les attaques par canaux auxiliaires : entretien avec Clémentine Maurice, chercheuse en sécurité

Décryptage

p.120 À quoi servent les coredumps lorsque l'un de vos programmes crashe ?

Des virus et ransomware circulent de par le monde, ce n’est un secret pour personne. En 2017, deux cyberattaques ont été mises en avant : WannaCry en mai et NotPetya en juin. Adylkuzz qui opérait durant la même période n’a par exemple pas ou peu été cité. Nous sommes ici en présence de trois cyberattaques majeures parmi des dizaines d’autres, mais ce qu’il est intéressant de rappeler, c’est que ces attaques utilisent toutes une faille et que cette faille est le plus souvent le résultat de négligences de développeurs. On se souvient par exemple de la faille goto fail chez Apple en 2014. Si ça ce n’est pas une erreur de développeur...

Ce qui revient à exécuter goto fail quel que soit le résultat du test du second if.

En respectant simplement des règles de codage strictes, l’erreur aurait pu apparaître un peu plus clairement au moment des copier/coller du développeur étourdi :

D’où l’intérêt d’être un minimum sensibilisé aux différents types d’attaques possibles, comment essayer de s’en prémunir et quels outils employer pour tester les programmes et colmater les brèches en amont. Il est en effet beaucoup moins chronophage de rechercher les failles en amont et de les corriger plutôt que de risquer une attaque qui surviendra nécessairement au plus mauvais moment, qu’il faudra corriger dans l’urgence et qui aura nécessairement un impact négatif sur l’image de votre logiciel/société.

Nous verrons ainsi :

• comment réaliser un audit d’intrusion ;
• quelles sont les attaques les plus fréquentes contre les applications web ;
• comment intégrer l’ensemble des aspects sécurité dans le cycle de développement logiciel ;
• quelles options employer avec gcc pour produire du code de meilleure qualité et plus sécurisé ;
• et bien d’autres choses encore qui devraient vous être fort utiles...

Pour finir, si vous tenez entre vos mains la version papier de ce magazine, vous aurez nécessairement remarqué un changement de forme pour ce premier hors-série nouvelle formule : finis les mooks et place à un magazine plus varié qui fera bien entendu la part belle au dossier principal, mais qui vous permettra également de vous informer sur des sujets connexes. Je vous laisse le découvrir sans plus attendre et vous souhaite une bonne lecture !

Tristan Colombo