Quels sont les 5 problèmes fondamentaux dans une application?
- Aucun test unitaire
- HTTP au lieu de HTTPS
- Aucune autorisation
- Mauvaise protection des mots de passe
- Requêtes SQL vulnérables aux injections
Pourquoi l’absence de tests unitaires est un problème de sécurité?
Parce que les développeurs hésitent à modifier le code, ce qui stagne la production et produit des failles non corrigées.
Pourquoi utiliser HTTP plutôt que HTTPS est dangereux?
Parce que les données (passwords, tokens, etc) transitent en clair et peuvent être interceptées.
Qu’est-ce que le manque d’autorisation implique?
N’importe quel utilisateur peut accéder à des ressources sans contrôle de droits.
Pourqoi les requêtes SQL sont dangereuses dans l’application?
Parce qu’elles sont vulnérables aux attaques par Injection SQL.
Pourquoi la protection actuelle des mots de passe est inadéquates?
Parce qu’ils ne sont pas stockés avec des mécanismes de hachage sécurisés, ils sont alors vulnérables aux attaques rainbow tables.
Quelles sont les bonnes pratiques pour prévenir l’injection SQL?
- Utiliser des prepared statements
- Employer les bonnes fonctions d’exécution (execute plutôt que executeScript)
- Utiliser correctement les fonctionnalités des ORM
Utiliser un ORM garantit-il d’être protégé contre les injections SQL?
Non car un ORM peut être mal utilisé.
Écrire des requêtes SQL à la main garantit-il une vulnérabilité?
Non, tout dépend des protections utilisées.
Pourquoi on ne veut pas utiliser username/password pour chaque requête?
Parce que le mot de passe circulerait constamment donc produit un grand risque de fuite ou de vol.
Quel est l’objectif principal de l’authentification après le login?
Pouvoir prouver qu’un utilisateur est déjà authentifié sans redemander le mot de passe.
Quelle solution est recommandée en 2025 pour le hachage de mdp?
Argon2 selon l’OWASP
Pourquoi MD5 et SHA sont maintenant considérés comme insécuritaires?
- Trop rapides
- Vulnérables au cracking et rainbow tables
Qu’est-ce qu’un JWT?
Un token qui représente l’identité d’un utilisateur authentifié.
Pourqoi utiliser un JWT plutôt qu’un username/password?
- Le mdp n’a pas besoin de circuler après le login
- Le token peut être transmis automatiquement au serveur
Pourquoi écrire sa propre implémentaiton JWT est une mauvaise idée de production?
Parce que gérer cryptographie et sécurité soi-même mène souvent à des failles.
Où peut-on stocker un JWT côté client?
DAns le navigateur (cookies sécurisés ou local/session storage)
Pourquoi stocker un JWT est-il plus sécuritaire que stocker le username/password?
- Le mot de passe ne circule plus
- Le JWT peut être expiré ou révoqué
- Moins de risques en cas de vol
