Le 11 septembre 2014 s’est déroulé dans les locaux de Mozilla à Paris le meeting du chapitre français de l’OWASP.
Animée par Sébastien Gloria, l’un des leaders français de l’OWASP, cette réunion a permis de présenter deux sujets très intéressants :
- SonarQube
- Security Storms are Brewing in Your JavaScript
SonarQube
SonarQube est développé par la société SonarSource. Ce n’est ni un projet OWASP, ni un projet orienté sécurité. En effet, SonarQube est un logiciel multiplateforme développé en Java, libre (sous licence LGPL), permettant de mesurer la « qualité » d’un code source.
SonarQube défini les 7 axes suivants afin de mesure la qualité du code source d’un projet :
- Architecture et conception
- Règle de développement
- Code dupliqué
- Tests unitaires
- Commentaires
- Complexité
- Bug
La qualité du code influant directement sur le niveau de sécurité d’une application, un rapprochement est en train de se faire entre SonarQube et l’OWASP afin d’intégrer un profil « OWASP Top 10 Java » permettant de vérifier le respect des Bonnes Pratiques en terme de développement sécurisé. Si ce profil est une réussite, d’autres pourraient également voir le jour par la suite.
De nombreux plugins sont également disponibles pour accompagner SonarQube : certains sont gratuits et d’autres payants.
À l’heure actuelle, des règles sont disponibles pour plusieurs langages de programmation tels quel C, C++, JavaScript, Java, PHP, Cobol, ABAP, etc.
Cette présentation a été enregistré, la vidéo est disponible sur le site de Mozilla. Ce projet est également détaillé sur le site de l’OWASP.
Security Storms are Brewing in Your JavaScript
Cette deuxième présentation, intitulée Security Storms are Brewing in Your JavaScript a été réalisée par Laurent Levi de la société Checkmarx venu tout droit d’Israël.
Au cours de celle-ci, Laurent a présenté au moins une technique d’injection XSS que nous ne connaissions pas.
Oui oui, XSS, le fameux « Cross Site Scripting ». Laurent a mis un point d’honneur à démontrer que le temps de la simple pop-up était révolu, et que les nouvelles technologies telles que le HTML5 offrent une véritable cure de jouvence à ces attaques ; leur permettant à présent d’aller plus loin que le simple vol d’informations tel que la valeur du cookie de session.
