Jour 11 • Nouvelle semaine !

Pour commencer cette troisième semaine de stage, j’ai commencé par mettre sous forme de rapport la présentation de l’audit de vendredi dernier. En parallèle, j’ai essayé de planifier une réunion avec B., responsable du développement pour qu’on puisse lui exposer les failles trouvées, et les solutions à mettre en place pour pallier ces vulnérabilités. Ça n’a pas été si facile car B. est très pris en ce moment, mais nous avons rendez-vous mercredi après-midi.

Ce qui a été intéressant de constater, c’est que dans la version du framework Zend utilisée — la version 1.2 —, l’échappement des caractères  n’est pas fait par défaut lors de la récupération des données reçues (POST ou GET).

L’après-midi a été un peu plus calme. J’ai pu me concentrer sur les recommandations de sécurité lors du développement d’applications web. Cela m’a permis aussi de revoir un peu l’objet PDO en PHP, très pratique pour se prémunir des injections SQL.

A. a aussi du plancher sur la déclaration d’un avis pour la CNIL (au dessus d’un déclaration CNIL), car il est vrai que certaines rubriques ne sont pas très claires… Il est assez difficile de faire rentrer son application dans les cas prévus. Surtout dès qu’il s’agit de servies externes ou hébergés par un prestataire : il n’est pas toujours facile d’obtenir comment la sécurité a été mise en place, ou quels matériels ils possèdent…

Jour 1 • Arrivée

Hé bien tout s’est bien passé. Je suis arrivé à vers huit heures et quart, et j’ai pu de suite rencontré mon maître de stage, A., qui est le responsable sécurité du système d’information.

Après une rapide installation sur mon poste de travail1, j’ai pu accéder… à mes emails ! Quelle classe d’avoir une adresse email avec l’extension de la ville dans laquelle on fait son stage

La matinée a été calme. J’ai commencé par apprendre à me servir de la photocopieuse pour fournir une copie de la convention de stage aux secrétaires, avant de discuter avec le “premier” stagiaire2. Il m’a montré les différentes failles et exploits qu’il a trouvés et utilisés sur un certains nombres de sites audités et liés à la collectivité locale. L’après-midi a été principalement occupée par une réunion dans laquelle A. m’a présenté — et représenté pour P. qui connaissait déjà — l’organisation de la DSIT, les différentes personnes, etc. Nous avons ensuite parlé des différents axes que je vais suivre pour mon stage. On peut donc grossièrement voir ça comme :

  1. Rédiger un document de synthèse pour les développeurs : « best practices » pour le développement, et les tests automatiques à faire ;
  2. Corriger les failles découvertes par mon co-stagiaire ;
  3. Collaborer avec une stagiaire s’occupant d’un nouveau site web pour vérifier en parallèle la sécurité.

La journée a touchée à sa fin vers 17 heures 30, l’heure de rentrer.
Une journée remplie, qui semble en annoncer d’autres remplies et intéressantes.


  1. En réalité, un portable HP connecté à une station de travail avec un second écran, ainsi que clavier et souris 

  2. P. est arrivé avant moi, et repartira après moi…