Deux ou trois choses que vous ne savez peut-être pas sur la sécurité de votre site Web

La présentation

Vidéo

Télécharger

PDF

Le sujet

Même si vous n'êtes pas programmeur, vous êtes tous au courant des attaques XSS, CSRF, des injections SQL, etc. Mais, une fois le site Web en place et bien programmé pour éviter ces attaques, il en reste d'autres que vous n'avez peut-être pas évaluées. Après un rappel comme quoi les attaques les plus simples sont souvent les meilleures, je parlerai :


  • des attaques par déni de service, aussi bien volumétriques (force brute) que plus subtiles. C'est typiquement à votre hébergeur et à l'opérateur réseau de s'en occuper. Mais il est bon d'être au courant de ce qu'ils font.

  • des dangers spécifiques au DNS : vous croyez que votre nom de domaine www.jesuisleplusbeau.example mène forcément sur votre site ?
    Pas toujours, grâce aux attaques par empoisonnement DNS. Vous verrez pourquoi il faut demander DNSSEC à votre hébergeur.

  • des subtilités de HTTPS : le petit cadenas vous protège ? Vraiment ?
    Depuis le succès de l'opération Tulipe Noire, on ne peut plus croire les autorités de certification. Y a-t-il d'autres pistes ?

Présenté par Stéphane Bortzmeyer

Stéphane Bortzmeyer

Stéphane Bortzmeyer est ingénieur R&D à l'AFNIC (Association Française pour le Nommage Internet en Coopération, registre des noms de domaines en .FR). Il s'occupe entre autre de sécurité, notamment du DNS. Sa spécialité n'est pas le Web mais il y connait quand même deux ou trois choses.

Avant l'AFNIC, il a travaillé chez des acteurs Internet très divers, de la web agency au centre de recherche.

Il tient un blog sur les réseaux, l'informatique, les normes, en http://www.bortzmeyer.org/