Agile et sécurité étaient le thème d’une session sur la sécurité dans un cadre agile. Le show était assuré par Jason Li et Jeff Hoff (Aspect Security).
Leur mise en scène presque théâtrale a fait oublier le niveau un peu faible de la présentation. Elle réservait tout de même quelques slides très intéressants que l’on vous doit de partager !

Sécurité

La présentation s’est d’abord focalisée sur la sécurité en rappelant quelques unes des principales failles de sécurité :

• Cross Site Scripting (XSS) : injecter un code/script malveillant en entrée d’un site (champ de saisie, paramètre) qui reprend ces données telles quelles pour les écrire dans la page renvoyée au navigateur. Le code est alors interprété/exécuté par le navigateur. Cette faille permet notamment de voler les informations contenues dans la session ou les cookies, ou encore de rediriger vers un autre site.
  
  http://domain.com/hello?name=<script>evil()</script>

  <html>
<body>Hello <script>evil()</script> !</body>
</html>


• Cross-Site Request Forgeries (CSRF) : exploiter l’authentification d’un utilisateur pour lui faire exécuter des actions implicites, en remplaçant l’URL d’une image par une URL malveillante
  
<img src="http://domain.com/logo.gif" />
<img src="http://domain.com/user/delete/123" />

• Access control : une mauvaise gestion des accès permet de se faire passer pour un autre utilisateur
  
http://domain.com/user/edit?userId=123
SELECT * FROM user WHERE userId=123

• SQL injection : injecter du code SQL en entrée d’un site (champ ou paramètre) qui est utilisé tel quel dans une requête SQL.
  
http://domain.com/search?id=123; DROP TABLE users;
SELECT * FROM users WHERE userId=123; DROP TABLE users;


Ces failles sont dans l’ensemble bien connues mais il en existe beaucoup d’autres et il n’est pas toujours facile de trouver la documentation correspondante. Pire, peu de développeurs connaissent les outils sur lesquels s’appuyer pour protéger leurs applications de ces failles.

OWASP

La bonne surprise de cette présentation fut la découverte du Open Web Application Security Project (OWASP), une communauté ouverte qui a pour but d’améliorer la sécurité des applications. Ils essaient de donner plus de visibilité sur les problèmes de sécurité et propose des solutions pour tester et protéger son application.

Pour la visibilité, OWASP publie des documents de référence comme le Top 10 des failles de sécurité (2007).
Il existe des relais un peu partout dans le monde, et logiquement il existe OWASP France. Des évènements sont régulièrement organisés, le prochain aura par exemple lieu le 7 juillet (à 14h malheureusement).

Pour les solutions, OWASP fournit une Enterprise Security API (ESAPI) .
Nous n’avons pas encore eu le temps de tester cette API sur le terrain mais nous espérons revenir rapidement sur ce sujet. Si vous avez des retours d’expérience à nous faire partager, n’hésitez pas à donner votre avis !

Agile

Et l’agile dans tout ça ? C’est le côté moins réussi de la session. Jason et Jeff ont essayé de nous expliquer « comment prendre en compte la sécurité dans un développement agile ».

Leurs propositions se résument à :

• Créer des user stories sur la sécurité, à inclure dans le product backlog.
• Inclure la sécurité dans les tests unitaires, lancés par l’intégration continue.

Dans l’ensemble ce fut une présentation plutôt réussie, et elle eut le mérite de remettre la sécurité dans le cadre du développement, et non à la fin de vie d’un projet. La sécurité devrait être prise en compte dès les tests et la Definition of Done.