- Sécurité
- Conférence
- 55 min
Comment proposer une UX passwordless à base de passkeys
Date mercredi
Horaire 9h00 à 9h55
Salle Amphi D
Description
Fini les listes de mots de passe à retenir et les oublis stressants ! Grâce aux passkeys, il devient possible de se connecter de façon sûre et rapide, sans compromis sur la sécurité. Cette conférence explique simplement ce que sont les passkeys et comment différents scénarios de passkeys fonctionnent. Au programme : une présentation des standards derrière les passkeys et des concepts techniques fondamentaux, ainsi que des exemples concrets pour comprendre le fonctionnement de plusieurs types d'implémentation des passkeys (clé matérielle YubiKey, téléphone, Windows Hello…), accompagnés de démonstrations. Vous découvrirez les points forts de ces technologies (simplicité d’usage, robustesse face au phishing…), les contextes les plus adaptés à chaque type de passkey, mais aussi leurs limites et les questions à se poser avant de les adopter. Rejoignez-nous pour entrevoir un quotidien numérique plus simple, sans avoir à jongler avec des mots de passe !
Orateur·ices
Daria Hervieux
Daria aime construire des systèmes qui tiennent la route, capables de résister au temps et à la complexité. En plus de vingt ans de parcours, elle a contribué à des projets très variés : de la sécurisation d’applications mobiles à la supervision de véhicules autonomes, en passant par des solutions bancaires B2B – et quelques autres aventures techniques parfois improbables. Aujourd’hui architecte logicielle chez Numih France, elle travaille sur le Dossier Patient Informatisé, un domaine où la fiabilité et la sécurité ne se discutent pas. Artisane du logiciel dans l’âme, Daria est convaincue que la qualité et la sécurité ne s’ajoutent pas à la fin, mais relèvent d’un soin quotidien, du premier design jusqu’à la ligne de code la plus simple.
Nailya Bogrova
Ingénieure en informatique depuis 2011, je me spécialise dans le développement du back-end (C# .net Core 6, Java et Python) tout en m'intéressant de plus en plus à la cybersécurité. Computer engineer since 2011, I have been working as a back-end developer(C# .net Core 6, Java and Python), while becoming more and more interested in cybersecurity.
Actions rapides
Les sessions futures sur le même thème
- Sécurité
- Conférence
REX – Construire un poste d’administration conforme SecNumCloud
SecNumCloud est aujourd’hui la plus haute référence en matière de sécurité pour les services cloud en france, mais ses exigences peuvent sembler complexes, notamment lorsqu’il s’agit des accès d’administration. Dans ce talk, nous partagerons notre retour d’expérience concret sur la conception et la mise en place d’un poste d’administration sécurisé permettant à nos équipes d’exploiter et d’administrer la plateforme tout en respectant les exigences SecNumCloud de l’ANSSI. À travers un retour d’expérience terrain, nous expliquerons nos choix techniques, les contraintes rencontrées, les erreurs commises et les solutions mises en place. Pas de théorie abstraite : du pragmatique et du vécu. Nous aborderons les grands principes (séparation des usages, durcissement, traçabilité, contrôle des accès), l’architecture retenue, les compromis réalisés et les bénéfices concrets pour les équipes. Ce talk ne prétend pas être une interprétation officielle du référentiel : nous ne sommes ni experts ni auditeurs SecNumCloud. Il s’agit d’un retour d’expérience honnête et opérationnel, destiné à démystifier SecNumCloud et à montrer qu’il est possible d’allier sécurité forte et efficacité opérationnelle.
Mercredi
12h30 à 13h25 - Amphi D- Sécurité
- Conférence
Agents Smith vs OAuth2 + DPoP : stopper le replay et le vol de bearer tokens
Vous vivez dans la Matrice : un Bearer Token (access_token) vous donne l’accès à vos applications… mais si un Agent Smith l’intercepte ? Game over. Il a tous vos accès sans demande de mot de passe, pas de preuve de possession – vous avez donc juste une illusion de contrôle. Suivez le lapin blanc jusqu’à DPoP (Demonstration of Proof-of-Possession, RFC 9449) : vos tokens deviennent inséparables d’une clé privée. Prouvez que vous êtes L’élu, ou rien. Restons au pays des merveilles, et descendons avec le lapin blanc au fond du gouffre : * PKCE, la première barrière contre l’interception du code d’autorisation * Les failles critiques des bearer tokens * Comment DPoP fonctionne * Les pièges d’implémentation dans le monde réel où les Agents se cachent encore … pour montrer qu’il est temps de sortir de l’illusion que toute la sécurité est faite avec les bearer tokens. Pour devs, architectes et équipes sécu qui veulent arrêter de vivre dans le rêve bleu.
Jeudi
9h30 à 10h25 - Amphi B- Sécurité
- Conférence
Comment bien mettre en place une mauvaise gestion des mots de passe
On est en 2026 et l'authentification par mot de passe est toujours largement utilisée. Mais bon, il faut que les utilisateurs arrêtent d'utiliser "toto" ou "azerty"... Alors je vais faire comme d'habitude et imposer un mot de passe de 10 caractères avec 1 majuscule, 1 minuscule, 1 chiffre et 2 caractères spéciaux comme ça je serai tranquille... Êtes-vous sûr·e de vos pratiques ? Êtes-vous prêt·e à confronter vos intuitions à la réalité mathématique ? Dans cette conférence, nous allons creuser le sujet d'une "bonne" politique de mots de passe, bien comprendre ce qu'est un mot de passe dit "robuste" ou "complexe" et voir des concepts clés pour critiquer objectivement la gestion de ceux-ci dans un SI. Nous mènerons une réflexion progressive et illustrée afin de bien appréhender et s'approprier ces concepts. L'objectif est de tordre le cou aux pratiques contre-productives, aux intuitions erronées et autres fausses bonnes idées. Cette conférence s'adresse à toutes personnes créant ou utilisant un SI : développeuses, chef de projet, directrice de SI, architectes, responsables de produit, MOA, utilisateurs...
Jeudi
12h30 à 13h25 - Amphi A