Security & PrivacyLunch Talk15min
JWT : maîtrisez la sécurité des jetons stateless
La présentation illustre, via un cas concret d’intégration FranceConnect+ conforme eIDAS et aux recommandations de l’ANSSI, comment renforcer la sécurité des JWT. Elle expose les vulnérabilités courantes des jetons d’authentification et propose des bonnes pratiques pour durcir les implémentations et fiabiliser les applications modernes.
Naima OuartiEquisign
talkDetail.whenAndWhere
Wednesday, April 22, 12:35-12:50
TBA 6
talks.roomOccupancytalks.noOccupancyInfo
Au travers d'un cas concret - mise en place des recommandations de l'ANSSI pour une intégration FranceConnect+ dans une application répondant aux normes eIDAS, transformez vos JWT de simples conteneurs de données en remparts de sécurité robustes.
Quand on évoque une façon d'authentifier ses utilisateurs de manière sécurisée, on pense immédiatement à OpenID. Que l'on s'intègre avec les API proposées par Google ou que l'on consomme une solution spécifique IAM, tout cela repose sur l'échange de jetons JWT. Mais, bien que ceux-ci soient devenus le standard de facto pour les authentifications modernes, leur apparente simplicité cache de nombreux pièges de sécurité.
Attaque sur les algorithmes de signature, fuite de données dans le payload ou encore vol de jeton ? Que cela ne vous parle pas plus que cela, ou que, malheureusement, vous avez déjà rencontré quelques mésaventures, vous repartirez de cette conférence avec des bonnes pratiques à mettre en place pour durcir vos implémentations et ainsi blinder vos applications.
Quand on évoque une façon d'authentifier ses utilisateurs de manière sécurisée, on pense immédiatement à OpenID. Que l'on s'intègre avec les API proposées par Google ou que l'on consomme une solution spécifique IAM, tout cela repose sur l'échange de jetons JWT. Mais, bien que ceux-ci soient devenus le standard de facto pour les authentifications modernes, leur apparente simplicité cache de nombreux pièges de sécurité.
Attaque sur les algorithmes de signature, fuite de données dans le payload ou encore vol de jeton ? Que cela ne vous parle pas plus que cela, ou que, malheureusement, vous avez déjà rencontré quelques mésaventures, vous repartirez de cette conférence avec des bonnes pratiques à mettre en place pour durcir vos implémentations et ainsi blinder vos applications.
Naima Ouarti
Architecte technique chez Equisign, je me concentre principalement sur l'optimisation des performances de notre application LetReco. Mon expérience dans l’électronique renforce mon intérêt pour la précision du code, sa sécurité et sa vitesse.
Les applications SaaS, sensibles lors des mises en production en raison de leur impact direct sur les utilisateurs, nécessitent une attention particulière. Cela nourrit mon engagement envers la qualité et la stabilité du code.
En dehors de mon travail chez Equisign, le cross-training occupe une place importante dans ma vie. Ce sport, tout comme l'informatique, met à l'épreuve ma capacité à me dépasser. Souvent, le véritable défi réside dans l’affrontement de ses propres limites, face à des charges lourdes qui sont parfois intimidantes.
Les applications SaaS, sensibles lors des mises en production en raison de leur impact direct sur les utilisateurs, nécessitent une attention particulière. Cela nourrit mon engagement envers la qualité et la stabilité du code.
En dehors de mon travail chez Equisign, le cross-training occupe une place importante dans ma vie. Ce sport, tout comme l'informatique, met à l'épreuve ma capacité à me dépasser. Souvent, le véritable défi réside dans l’affrontement de ses propres limites, face à des charges lourdes qui sont parfois intimidantes.
talkDetail.shareFeedback
talkDetail.feedbackNotYetAvailable
talkDetail.feedbackAvailableAfterStart
talkDetail.signInRequired
talkDetail.signInToFeedbackDescription
occupancy.title
occupancy.votingNotYetAvailable
occupancy.votingAvailableBeforeStart
talkDetail.signInRequired
occupancy.signInToVoteDescription
comments.speakerNotEnabledComments