Lorsqu'il s'agit d'inscrire des utilisateurs sur un site Internet ou de gérer des connexions il y a des bonnes et des mauvaises pratiques mais il y a aussi des pratiques abusives (comme la récolte d'infos dont le site n'a que faire pour fonctionner). On doit lutter contre les automates, les spammeurs et les piratages.
Protéger nos espaces membres pour sécuriser nos services, nos utilisateurs et leurs données n'est pas une mince affaire dans un monde connecté où toutes les adresses IP et les noms de domaine sont en permanence attaqués par des automates en chasse de nouvelles infos à revendre, usurper ou de serveurs à utiliser pour en attaquer d'autres !
De nos jours beaucoup d'espaces membres de sites web sont aussi utilisés depuis des logiciels ou applications mobiles afin de gérer un compte utilisateur avec une inscription depuis un site web.
Les éditeurs de réseaux sociaux et gros sites web ont tenté de prendre la main sur cette thématique en proposant de passer par eux pour gérer nos connexions (piquant au passage les infos de nos utilisateurs et nous contraignant à passer par eux à vie).
Les éditeurs de systèmes d'exploitation s'y sont mis pour "sécuriser le web" tout en enfermant les internautes dans des solutions plus ou moins propriétaires aboutissant à la mode du "zéro password" (qui n'est pas forcément une mauvaise chose).
La vérification des utilisateurs, la double authentification, l'utilisation de tokens ou de systèmes biométriques est de mise. Ca aboutit plus ou moins à l'API Passkeys relativement complexe à mettre en oeuvre mais malgré tout bientôt incontournable alors qu'on n'a toujours pas WebAuthn partout.
A l'occasion des cours de codage web donnés à l'ESILV l'an dernier j'avais amorcé une série d'exercices et de projets autour de cette thématique. Il est temps d'avancer dessus et les finaliser pour les ouvrir la communauté.
Je ne suis pas expert en sécurité informatique ou du web mais m'y connais assez pour donner quelques recommandations de bon sens afin de réduire les risques et rendre les choses plus compliquées pour des automates, tout en partant du principe que de nos jours si quelqu'un veut vraiment accéder il trouvera un moyen un jour ou l'autre.
Aucun système n'est infaillible (en commençant par l'utilisateur, point de faiblesse exploité par les espions depuis la nuit des temps et probablement même à l'époque des dinosaures quand les reptiliens vivaient encore en surface).
Je vous propose donc de me retrouver sur Twitch entre 16 et 19 heures cette semaine pour une thématique purement web autour des inscriptions et connections à des sites web (mais aussi via API depuis autre chose qu'un site car je vais m'en servir aussi depuis Delphi sur des projets à venir).