10-17, 15:00–18:00 (America/New_York), Track 4 (2104B)
Language: Français
Atelier sur la sécurité des APIs couvrant de l'autorisation à la validation au edge. Protégez vos applications avec une stratégie de défense moderne.
L'atelier est structuré pour analyser les vecteurs d'attaque Web et implémenter les défenses correspondantes au sein de chaque module.
Un environnement interactif, comprenant des défis de CTF, avec des APIs et un Frontend sera mis à la disposition des participants; apporter votre laptop!
Introduction (5 minutes)
- Présentation de l’approche qui consiste à déconstruire la sécurité des APIs en analysant les vulnérabilités offensives pour mieux comprendre et implémenter les solutions défensives.
1. Autorisation (1h25)
-
CTF Guidé - Offensive (45 mins)
Nous débuterons avec un exercice pratique de compromission d'une API. En utilisant un token JWT légitime, nous allons manipuler son contenu (algorithme et payload) pour effectuer une élévation de privilèges et contourner les contrôles d'accès. -
Défense du Frontend (JWT/OIDC) (30 mins)
En réponse au CTF, nous allons analyser les correctifs essentiels dans le code source incluant la validation stricte de la signature, le rejet des algorithmes faibles, et les vérification systématique de l'émetteur et de l'audience. -
Architecture Défensive du Backend (service à service) (10 mins)
Nous présenterons les stratégies défensives pour sécuriser les communications internes. Le focus sera mis sur les modèles d'authentification machine-à-machine pour garantir une confiance zéro entre les services.
Pause (15 minutes)
2. Validation (1 heure)
- La direction des routes : Analyse du Bypass et Verrouillage.
Nous analyserons d'abord comment des ambiguïtés dans l'interprétation des routes entre un proxy et l'application peuvent mener à un autorization bypass. Ensuite, nous implémenterons la défense en liant l'autorisation directement aux fonctions du code via des décorateurs. -
Le contrat de données : Injection et Validation Stricte.
Nous démontrerons comment un attaquant exploite un contrat de données laxiste pour injecter des payloads malicieux. La contremesure consistera à définir et appliquer un schéma de données rigoureux avec des librairies comme Zod ou Pydantic pour rejeter toute donnée non conforme à l'entrée. -
Sécurité et validation au niveau du “edge”
Nous appliquerons des contrôles de validations comme l’authentification, l’inspection du trafic et le filtrage des menaces directement au niveau du “edge” afin de bloquer en amont les attaques.
3. Gestion des Secrets (15 minutes)
- Nous conclurons avec les pratiques fondamentales pour la gestion des secrets, une discipline purement défensive. Nous aborderons l'importance capitale d'utiliser un gestionnaire de secrets (vault) pour le stockage, la journalisation et la rotation, afin d'éviter les fuites qui rendent possibles de nombreuses attaques.
Conclusion et Questions (10 minutes)
- Synthèse de l'approche intégrée attaque/défense pour chaque thème, suivie d'une période de questions pour discuter de l'application de ces concepts dans des projets réels.
Jonathan est Conseiller Expert en Sécurité Applicative chez Cybereco où il appuie les partenaires d’innovations et anime des communautés de pratiques. Il est passionné par la sécurité applicative et apprécie l'analyse d'architecture, la revue de code, les défis CTF, la modélisation des menaces et la démystification des outils de sécurité. Jonathan détient un baccalauréat en génie logiciel de l'ÉTS Montréal et cumule plus de 20 ans d'expérience en technologies de l'information et en sécurité.
Mickael Nadeau est le cofondateur de CYBERDEFENSE.AI. Sa passion pour la sécurité et la technologie l'a conduit à suivre de nombreuses formations techniques. Il a également dirigé des recherches sur le piratage de jeux vidéo, ce qui a donné lieu à de nombreuses conférences et ateliers ces dernières années. Il fait partie des survivants de Corelan et a obtenu le titre CertifiedBrute de Brutelogic. Blague à part, il est également connu comme le magicien en matière d'architecture de sécurité cloud.