- Sécurité
- Université
- 2h00
Safety et Undefined Behavior : Lab interactif de sécurité inter-langages
Date mercredi
Horaire 8h00 à 10h00
Salle Amphi A
Description
Le code compile, la suite de tests est au vert et la CI a validé le déploiement. Pourtant, en production, c'est le crash inexpliqué, la faille silencieuse ou le fameux comportement indéfini (Undefined Behavior). La safety d'une application va bien au-delà de la simple gestion de la mémoire. À travers un format Lab interactif de 2 heures, ce module vous propose de traquer les anomalies de conception à travers une multitude d'écosystèmes : Go, Python, C/C++, Bash, JS, Java, ... N'importe quel téléphone ou ordinateur avec une connexion internet suffira. Rassurez-vous : il n'est pas nécessaire de maîtriser la syntaxe de tous ces langages. Un bagage général devrait suffire. De plus, une partie des snippets projetés ne sont pas des cas d'école théoriques, mais de véritables bugs issus de la production. Certains même reconnaîtront le cas d'origine, les autres devront le découvrir par l'analyse statique. Le concept : la portion de code incriminée est projetée. Votre mission consiste à trouver la faille structurelle (Data races, Typestate invalide, erreurs de concurrence temporelle) puis à cliquer directement sur le segment coupable via l'application web du Lab. L'expérience s'adapte à votre niveau d'engagement : participez en mode passif/anonyme depuis le fond de la salle en accumulant des points sur l'application, ou installez-vous aux premiers rangs pour un mode interactif où vous pourrez prendre le micro et expliquer techniquement la nature du bug identifié. Venez affûter votre œil face aux limites sémantiques de nos outils quotidiens.
Orateur·ices
Julien Laurenceau
Ingénieur Dev/DevOps chez Thales Services Numériques, développeur Go fraîchement converti à Rust. Je navigue entre le code et l'infrastructure Cloud Native (GCP, CKA, Cilium). En parallèle, je suis co-auteur de Kubesleeper, un projet open source en Rust permettant le scale-to-zero sur Kubernetes.
Actions rapides
Les sessions futures sur le même thème
- Sécurité
- Conférence
Agents Smith vs OAuth2 + DPoP : stopper le replay et le vol de bearer tokens
Vous vivez dans la Matrice : un Bearer Token (access_token) vous donne l’accès à vos applications… mais si un Agent Smith l’intercepte ? Game over. Il a tous vos accès sans demande de mot de passe, pas de preuve de possession – vous avez donc juste une illusion de contrôle. Suivez le lapin blanc jusqu’à DPoP (Demonstration of Proof-of-Possession, RFC 9449) : vos tokens deviennent inséparables d’une clé privée. Prouvez que vous êtes L’élu, ou rien. Restons au pays des merveilles, et descendons avec le lapin blanc au fond du gouffre : * PKCE, la première barrière contre l’interception du code d’autorisation * Les failles critiques des bearer tokens * Comment DPoP fonctionne * Les pièges d’implémentation dans le monde réel où les Agents se cachent encore … pour montrer qu’il est temps de sortir de l’illusion que toute la sécurité est faite avec les bearer tokens. Pour devs, architectes et équipes sécu qui veulent arrêter de vivre dans le rêve bleu.
Jeudi
9h30 à 10h25 - Amphi B- Sécurité
- Conférence
Comment bien mettre en place une mauvaise gestion des mots de passe
On est en 2026 et l'authentification par mot de passe est toujours largement utilisée. Mais bon, il faut que les utilisateurs arrêtent d'utiliser "toto" ou "azerty"... Alors je vais faire comme d'habitude et imposer un mot de passe de 10 caractères avec 1 majuscule, 1 minuscule, 1 chiffre et 2 caractères spéciaux comme ça je serai tranquille... Êtes-vous sûr·e de vos pratiques ? Êtes-vous prêt·e à confronter vos intuitions à la réalité mathématique ? Dans cette conférence, nous allons creuser le sujet d'une "bonne" politique de mots de passe, bien comprendre ce qu'est un mot de passe dit "robuste" ou "complexe" et voir des concepts clés pour critiquer objectivement la gestion de ceux-ci dans un SI. Nous mènerons une réflexion progressive et illustrée afin de bien appréhender et s'approprier ces concepts. L'objectif est de tordre le cou aux pratiques contre-productives, aux intuitions erronées et autres fausses bonnes idées. Cette conférence s'adresse à toutes personnes créant ou utilisant un SI : développeuses, chef de projet, directrice de SI, architectes, responsables de produit, MOA, utilisateurs...
Jeudi
12h30 à 13h25 - Amphi A- Sécurité
- Conférence
De développeur à hacker : savoir casser, c'est savoir protéger ⚔️
Aujourd'hui, on prend conscience de l'importance de la cybersécurité. Le moindre piratage peut causer des pertes importantes, tant au niveau image que financier. Les premiers acteurs de la sécurité sont les développeurs. Avec une vision basée sur la seule protection des SI, ils n'envisagent pas les possibilités de l'attaquant. Ne faudrait-il pas changer ce fonctionnement et passer dans la peau de l'attaquant pour élargir notre vision de la cybersécurité ? Comme le dit le dicton : "ce sont les braconniers qui font les meilleurs gardes-chasse" 😉 Chaque développeur devrait coder avec en tête : "comment je pourrais bien casser ça ?" Devenir hacker c'est revenir aux basiques (modèle OSI, algorithmie...) et accroître sa polyvalence. Au cours de ce talk, nous allons voir pourquoi la cybersécurité embarquée dans les équipes de développement est un atout majeur pour les projets, et quelles compétences doivent être apprises afin d'acquérir une maîtrise complète des systèmes d'information en place. L'objectif est qu'en sortant, vous soyez convaincu qu'il est essentiel de "penser au hack de son code" au moment même de son écriture, et que vous soyez armés pour proposer une correction 💪
Jeudi
12h30 à 13h25 - Amphi E