Marine du Mesnil
Speaker
Marine du Mesnil
About Marine
Marine du Mesnil is particularly interested in computer security and is involved in the Theodo Security Guild to help developers create compliant products by training them and helping them fix flaws in their projects.
She follows the OWASP publications and is interested in access control, which has become the main cause of website vulnerabilities and is ranked in the Top 1 of the new OWASP Top 10. She works on automation to increase security and reduce mental charge for developers.
CI / CD: Correct Implementation or Continuous Deception
Des secrets volés, une récupération de votre code, une RCE (Remote Code Execution)… Voici quelques exemples de ce qui peut arriver si votre CI n’est pas correctement configurée et sécurisée. Et pourtant, la CI / CD est souvent hors scope des tests d’intrusion et personne ne prend la responsabilité de la sécuriser. Les CI / CD nous ont apporté beaucoup de sécurité et d’améliorations de qualité dans nos pratiques de code au quotidien, en apportant des standards de code et en faisant tourner des outils pour automatiser nos pratiques de sécurité. Elles font cependant partie de la surface d’attaque de nos applications et doivent être analysée, mises à jour et sécurisées au même titre que le code. Certaines configurations par défaut sont même dangereuses ! Dans ce talk, vous verrez comment faire des injections dans les CI / CD, récupérer des secrets ou exécuter des scripts et quels sont les bons moyens pour les sécuriser.
Guide de survie pour créer son authentification à l’intention des développeurs
Il existe de très nombreuses options pour implémenter ses systèmes d’authentification et chacune présente des pièges et des erreurs types à éviter. Quand un développeur vient spontanément demander de l’aide à notre équipe de sécurité, 90% du temps le sujet est l’authentification. Depuis plus de 6 ans à aider les développeurs, nous avons recueilli les questions les plus courantes telles que : Faut-il utiliser un JWT ou un cookie ? Comment configurer mon client pour implémenter du SSO avec OIDC ? Comment permettre aux utilisateurs de ne pas être déconnectés de manière intempestive ? En les illustrant avec des histoires et des cas concrets, nous vous montrerons les compromis et les bonnes pratiques. Vous repartirez avec des idées d'amélioration (et peut-être même des erreurs à corriger) pour vos applications.