Projet Licence 3 :
Langages utilisés : Python / HTML / PHP / CSS / Kotlin
Dans le cadre de ma dernière année de licence en informatique, j’ai eu l’opportunité de travailler sur un projet passionnant en cybersécurité, aux côtés de Pierrot Caudron et Youssef Radouan. Un grand merci à Igor Stéphan pour avoir accepté le sujet que nous lui avons proposé : Développement d'un outil de détection de vulnérabilités web
.
Présentation du sujet :
Dans un contexte où les menaces numériques sont en constante augmentation, ce projet a pour objectif de développer un outil capable de détecter les vulnérabilités des applications web, en se basant sur le Top 10 de l’OWASP.
Différents programmes ont été développés, chacun étant dédié à la détection d’une faille spécifique, en combinant analyse statique et dynamique. À l’issue de l’analyse, si une vulnérabilité est détectée, un rapport est généré.
Un environnement de test réaliste (d'après nous) a été conçu, reposant sur un site bancaire fictif décliné en plusieurs versions, allant d’une version intentionnellement vulnérable à des versions de plus en plus sécurisées. Le projet s’est concentré sur plusieurs vulnérabilités critiques du classement OWASP, notamment le Broken Access Control, les injections SQL et XSS, ainsi que les attaques par dictionnaire.
Ce que j'en retiens :
Lors du développement de notre environnement de test, nous avons intégré plusieurs mesures de sécurité essentielles pour protéger les données et les comptes utilisateurs :
- Hachage sécurisé des mots de passe en base de données ;
- Utilisation de requêtes préparées pour éviter les injections SQL ;
- Mise en place de délais de réponse (timeouts) pour limiter les attaques par force brute ;
- Blocage des comptes via une application mobile, en cas de trop nombreuses tentatives de connexion infructueuses ;
- Ajout d’un CAPTCHA pour différencier les humains des bots ;
- Et enfin, une authentification à deux facteurs (2FA) pour renforcer la protection des accès.
Ces protections permettent de réduire significativement les vecteurs d’attaque et donc les risques associés.
En cherchant à comprendre comment certaines vulnérabilités pouvaient être exploitées, nous nous sommes d’abord intéressés à leur fonctionnement, puis à leurs causes profondes. Cela nous a permis d’identifier les mauvaises pratiques à éviter lors du développement d’un site sécurisé. Nous avons ainsi pu réinvestir ces nouvelles connaissances pour mieux nous en prémunir.
La meilleure défense passe donc par la compréhension de notre adversaire.
Enfin, je tiens à remercier Pierrot Caudron et Youssef Radouan pour leur implication dans ce projet.
Consulter notre rapport de stage/projet :
Si vous souhaitez en savoir plus sur notre projet, je vous invite à consulter notre rapport, disponible en libre accès sur DUNE.