Sécurité informatique : meilleur code, moins de problèmes
À l’origine de beaucoup d’incidents de sécurité informatique, on retrouve une négligence ou des erreurs non intentionnelles commises par des développeurs web ou des programmeurs. Dans leur travail effréné, du fait de priorités mal gérées ou simplement de leur ignorance, les principes de sécurité de base sont omis ou oubliés.
Les vulnérabilités qui en résultent peuvent rester dormantes jusqu’à ce qu’une personne mal intentionnée les découvre et décide de frapper fort. Dans le passé, des incidents de sécurité informatique ont mis en danger la réputation du CERN : sites web vandalisé avec des messages à connotation négative pour l’Organisation, fichiers contenant des « hashes » de mots de passe, données à accès restreint publiées, etc. À la racine du problème, de la négligence !
En consultant la liste du top 10 des erreurs de développement web, vous constaterez que les bévues les plus fréquentes sont : 1) ne pas filtrer les données en entrée, par exemple accepter « < » ou « > » dans les champs de saisie alors que vous n’attendez qu’un nombre ; 2) le manque de validation de ces données : vous vous attendiez à une date de naissance, alors pourquoi acceptez-vous des lettres ou le mois numéro 13 ? ; 3) ne pas gérer correctement les sessions, l’authentification et l’autorisation, par exemple lors de l’utilisation de « cookies », de jetons de sécurité (« tokens ») ou du chiffrement fait maison... Les possibilités d’erreur sont nombreuses, mais ce n’est pas une fatalité. Vous pouvez sécuriser votre application web et la rendre inattaquable en suivant quelques étapes faciles et rapides. Prévenez les incidents de sécurité informatique en suivant notre cours pratique consacré au développement de programmes sécurisés (en anglais uniquement : « Developing secure software » ). Le prochain cours aura lieu le 14 mars prochain et il reste encore quelques places... Inscrivez-vous vite !
Après avoir suivi ce cours, si vous en voulez encore plus, l’équipe de sécurité informatique du CERN, avec l’aide d’un « WhiteHat » de l’équipe réseau mondialement reconnu, propose des cours de formation en profondeur sur les tests d’intrusion et la détection de vulnérabilités (en anglais uniquement : https://indico.cern.ch/category/6159/). Une centaine de personnes ont déjà participé à nos formations pratiques. Vous voulez apprendre à déjouer les hackers? Inscrivez-vous simplement ici.
N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.
par Stefan Lueders, Computer Security Team