— Article en partenariat avec Master Dev France —

Vous vous souvenez de cette époque lointaine (genre lointain lointain vers mi-2020) où les conférences et autres salons faisaient régulièrement l’actualité du web et des métiers de la tech ? Et bien cela commence peu à peu à revenir à la normale, avec le rendez-vous tech annuel Master Dev France (ex meilleur Développeur de France qui a été lancé en 2013 pour la première fois), après une pause de 2 ans, crise sanitaire oblige).

Cet évènement majeur propose notamment le plus grand concours de code en live (sans filet !) de l’Hexagone, ainsi que diverses conférences animées par des personnalités de la tech et en lien avec des sujets qui nous parlent à tous !

Ce 9 mars 2023 marque donc la 8e édition et vous pouvez vous y inscrire gratuitement !

Si vous n’avez jamais participé à l’une des précédentes éditions, et que vous ne savez pas trop à quoi vous attendre, vous pourrez y retrouver un tas d’activités différentes. Il y a bien sûr la partie salon ainsi que de nombreuses animations qui prendront une place conséquente au bâtiment de la Porte de Versailles.

Vous allez pouvoir y retrouver plusieurs dizaines d’entreprises (grands groupes français, associations majeures du numérique …), des écoles de la tech, des éditeurs… qui présenteront leur travail et/ou vous feront participer à divers workshops, etc. Sans oublier les médias qui vont se faire le plaisir de relayer l’évènement ! Bref vous allez pouvoir mettre les mains dans le cambouis et faire un truc assez fou : discuter avec de vraies gens et leur poser des questions. 

Et en spécial bonus, Master Dev France offrira un NFT réalisé par l’artiste Léo Caillard à chaque visiteur de l’événement ! Les visiteurs pourront collecter des NFTs auprès des partenaires de l’événement via des QR codes disposés à l’entrée et sur leurs stands.  Partenaire de la Talent Fair, évènement RH dédié aux développeurs et recruteurs du Web3, Master Dev France offrira à ses visiteurs une expérience unique : la fusion de son NFT avec celui de la « Talent Fair » de la Paris Blockchain Week. Une première mondiale dans le cadre d’un événement professionnel ! 

Le programme prévoit une bonne vingtaine de conférences sur des sujets tech d’actualité, notamment le Web3 (et l’Internet décentralisé au sens large),  l’Intelligence Artificielle, les applications quantiques du futur…Du coup ce sera l’occasion d’avoir de bonnes introductions pour ceux qui voudraient en apprendre plus sur le métavers, la blockchain, le hack éthique, la cybersécurité, la régulation dans la crypto, l’éthique autour de l’IA, les algorithmes, l’inclusion numérique etc. En fin de journée, il y aura même un concert gratuit ! Ne mangez pas trop à midi, il faudra être en forme 😉

En parallèle de ces conférences (et c’est ce qui fait battre mon petit cœur un peu plus fort), il y aura un gros concours pour les développeurs et développeuses. Le choix des armes sera assez vaste puisque chacun pourra choisir son langage préféré parmi une liste de 15 (PHP, Python, Java, C++ …). 2000 participants de toute l’Europe sont attendus pour ce concours de code live qui offrira 3 très beaux challenges algorithmiques et des prix plutôt sympas.

Plus de 30 000€ sont à se répartir entre les meilleurs. Il y aura même une récompense pour celui ou celle qui codera de la manière la plus écoresponsable. 7 sessions qualificatives (sélection des 25 meilleurs de chaque) + la finale qui formeront une sorte de fil rouge de la journée.

Vous êtes dev et vous voulez participer ? Il est encore temps de vous inscrire via ce formulaire. Et si c’est l’un d’entre vous qui l’emporte je veux 30% des gains un « merci tonton Korben » sur scène lors de la remise du prix :p

Sur place vous allez pouvoir jongler entre conférences et sessions de code live tout au long de la journée. Ce genre d’évent c’est souvent assez sport pour faire tout ce qui nous intéresse donc pensez à planifier un peu. Tout en sachant que votre planning va tomber à l’eau une fois sur place parce que vous vous serez laissé entrainer par un truc ou l’autre. En tous cas c’est toujours ce qu’il m’arrive 😉

Une autre ambition de Master Dev France est de mettre en lumière la place des femmes dans le milieu du dev et de la tech. Eh oui, notre monde professionnel est encore trop souvent perçu comme un milieu où elles n’ont pas toute la présence qu’elles méritent. Cela se traduit notamment par une équipe 100% féminine pour le concours de code et la présence de nombreuses intervenantes expertes de leurs sujets !

La journée (qui attend 5000 visiteurs) est organisée par Docaposte, la filiale numérique de La Poste, experte dans le traitement de la data et des données sensibles en particulier (comme les signatures électroniques, l’hébergement des dossiers médicaux, l’archivage numérique ou tout ce qui touche à l’identité numérique…).

En tous cas ça fait du bien de revoir ce genre de salons et de conférences de manière régulière dans un monde post-pandémie ! Des tas de devs et de geeks vont enfin pouvoir retrouver un semblant de vie sociale, quelques jours chaque année 😉

L’évènement se tiendra le jeudi 9 mars 2023 au Parc des Expositions de Paris, Porte de Versailles – Hall 5.2.

Inscrivez-vous gratuitement au Master Dev France 2023 !

Si vous vous demandez ce qui transite toute la journée par votre carte réseau et que vous voulez voir ça en temps réel, il existe de nombreux outils, dont Sniffnet qui est totalement open source et qui va vous permettre de surveiller tout ça.

Sniffnet est développé en Rust et fonctionne aussi bien sous Linux, macOS et Windows. Une fois l’adaptateur réseau sélectionné, vous verrez des graphiques (rafraichis en temps réel) présentant la quantité de paquets et d’octets transitant par seconde.

Vous pourrez alors classer ça par quantité de paquets, par quantités d’octets ou par fraicheur de la connexion :-).

Les paquets seront alors filtrés par protocole (HTTP, DNS, HTTPS, DHCP…etc.) et vous pouvez dès le lancement de l’application, choisir justement le protocole que vous voulez observer. Par contre, vous ne verrez pas le contenu de ces paquets comme on pourrait le faire avec un Wireshark. Sniffnet permet simplement de faire des statistiques et vous pourrez même exporter un rapport au format TXT qui contiendra toutes les informations suivantes :

• Adresses IP source et destination
• Ports source et destination
• Protocoles transportés
• Nombre de paquets et d’octets échangés
• Timestamp initial et final de l’échange d’informations

Si comme moi, vous ne trouvez pas le bouton d’export, il se situe en bas à droite, mais pour le voir, il vous faudra agrandir la fenêtre au maximum.

Sinon, ça vous intéresse ?

Alors pour commencer, il vous faut Rust à installer comme ceci sous macOS et Linux (pour Windows, cliquez ici) :

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

Ouvrez ensuite un nouveau terminal, pour recharger votre Shell et entrez la commande suivante pour installer Sniffnet :

cargo install sniffnet

La bestiole va alors s’installer et vous permettre d’un seul coup d’oeil de voir l’ensemble de votre trafic réseau.

J’ai bien aimé la fonction « affichage clair » / « affichage sombre » qui n’est ni plus ni moins qu’une inversion de couleur. Très malin (et pas si moche finalement).

+ d’infos ici.

Si vous avez Firefox et que vous vous êtes amusé à y enregistrer tous vos mots de passe, bah c’est pas ouf. Parce que ça peut s’extraire un peu trop rapidement / facilement.

Alors bien sûr Firefox propose de mettre un mot de passe maitre sur son gestionnaire de mot de passe pour sécuriser le machin, mais si vous souhaitez migrer vers un truc un peu plus costaud comme Bitwarden ou Keepass, voici un script python qui va vous aider à extraire vos mots de passe contenus dans Firefox.

Ce script s’appelle tout simplement Firefox Decrypt et il fonctionne aussi bien avec Firefox d’origine ou des dérivés comme Seamonkey, Waterfox, SamanthaFox et même Thunderbird. Évidemment, vous devrez connaitre le mot de passe maitre si vous en avez mis un.

Et au final, vous obtiendrez soit une sortie console, soit un CSV, un fichier texte, un JSON..etc. Il y a même un format pass spécifique pour ce gestionnaire de mots de passe en ligne de commande.

Une fois le script récupéré sur Github, vous n’avez qu’à le lancer avec les paramètres suivants pour par exemple récupérer un CSV :

python firefox_decrypt.py --format csv

Il ira chercher tout ça dans le répertoire profiles de Firefox ou de Thunderbird et si vous l’avez mis à un endroit un peu exotique, vous pouvez spécifier son emplacement avec ce paramètre :

python firefox_decrypt.py /répertoire/profiles.ini/

Bon export à tous !

Que vous soyez chercheur en sécurité ou développeur, vous savez sans doute à quel point il est important de maintenir votre code et vos dépendances à jour afin d’éviter au max les vulnérabilités. Sauf que voilà, c’est super galère, notamment quand le projet utilise de nombreuses libs externes.

Bref, pour vous aider, il y a OSV pour Open Source Vulnerabilities. Il s’agit d’un projet qui vous permettra de manipuler et trouver facilement toutes les vulnérabilités connues qui se cachent vos dépendances open source.

Le projet se compose de services comme ce site web, une API ou encore des outils d’analyses capables d’agréger, et indexer les données concernant les vulns… et également d’une base de données ouverte utilisant un format de données dédiées aux vulnérabilités.

Ce schéma OSV est super facile a intégrer et à utiliser et vient comme ça remédier à de nombreux problèmes liés aux vulnérabilités dans les logiciels open source. Ainsi, vous ne le savez peut-être pas, mais des bases de données de vulnérabilités comme GitHub Security Advisories, PyPA, RustSec…etc. utilisent ce schéma OSV.

Si vous voulez voir un exemple réel de ce format JSON, cliquez ici.

{
  "schema_version": "1.3.0",
  "id": "GHSA-c3g4-w6cv-6v7h",
  "modified": "2022-04-01T13:56:42Z",
  "published": "2022-04-01T13:56:42Z",
  "aliases": [ "CVE-2022-27651" ],
  "summary": "Non-empty default inheritable capabilities for linux container in Buildah",
  "details": "A bug was found in Buildah where containers were created ...",
  "affected": [
    {
      "package": {
        "ecosystem": "Go",
        "name": "github.com/containers/buildah"
      },
      "ranges": [
        {
          "type": "SEMVER",
          "events": [
            {
              "introduced": "0"
            },
            {
              "fixed": "1.25.0"
            }
          ]
        }
      ]
    }
  ],
  "references": [
    {
      "type": "WEB",
      "url": "https://github.com/containers/buildah/commit/..."
    },
    {
      "type": "PACKAGE",
      "url": "https://github.com/containers/buildah"
    }
  ]
}

Pour installer le scanner de vulnérabilités d’OSV, ouvrez un terminal et lancez la commande d’install en Go suivante :

go install github.com/google/osv-scanner/cmd/osv-scanner@v1

Après pour scanner du code, lancez l’outil comme ceci :

osv-scanner -r /repertoire

Vous aurez plus d’infos sur le scanner ici sur Github.

Bref, c’est un projet super utile, que ce soit pour scanner vos propres projets, faire de l’analyse ou tout simplement créer votre propre base de vulns maison, sans avoir à réinventer la roue. En rendant votre base de données disponible au format OSV, vous permettrez à d’autres personnes de l’utiliser, de contribuer ou mutualiser la donnée.

Merci à Letsar pour le partage !

Bien que je ne sois pas un grand expert Ruby, je pense à vous qui aimez ce langage puisqu’aujourd’hui on va parler de RuboCop !

Cet outil génial et totalement libre va vous aider à améliorer votre code Ruby en un clin d’œil !

Vous savez comment c’est : On écrit du code, on se concentre sur la logique de son algo, et on oublie les petits détails de style qui font toute la différence comme l’indentation ou tout ce qu’on peut retrouver comme « Bonnes pratiques » dans le guide de styles communautaire de Ruby.

C’est là que RuboCop entre en jeu.

Il va vous obliger à suivre la plupart des règles énoncées dans le guide de style communautaire Ruby et va vous permettre de mettre en forme votre code. Mais RuboCop, c’est plus qu’un simple « linter » puisqu’il est également capable de signaler les problèmes présents dans votre code. Il peut ainsi les corriger automatiquement et ça, c’est vraiment cool parce que la vie est assez dure comme ça ;-).

RuboCop est super paramétrable puisque la plupart de ses comportements peuvent être modifiés dans la config et vous pouvez même créer vos propres règles si vous en avez besoin ! De plus, il est compatible avec toutes les implémentations de Ruby et dispose de nombreuses extensions prêtes à l’emploi (par exemple rubocop-rails, rubocop-rspec, rubocop-performance et rubocop-minitest). Enfin, il est également compatible avec de nombreux éditeurs/IDE et est utilisé par de nombreux services en ligne tels que HoundCI, Sider et CodeClimate.

Au niveau installation, rien de complexe. Vous pouvez l’installer en utilisant la commande suivante :

gem install rubocop

Si vous préférez utiliser Bundler, il suffit d’ajouter une ligne pour RuboCop dans votre Gemfile (en mettant, l’option require à false, puisque c’est un outil autonome) :

gem 'rubocop', require: false

RuboCop, est conçu pour rester stable dans ses versions mineures, que ce soit en termes d’API ou de configuration des règles. Vous pouvez donc l’utiliser en toute confiance sans vous inquiéter de possibles ruptures de compatibilité.

Pour l’utiliser, il vous suffit alors de lancer la commande suivante directement dans le dossier de votre projet ruby :

rubocop

Et voilà !

RuboCop va parcourir votre code et vous signaler tous les problèmes qu’il a trouvés. Vous pouvez même lui demander de corriger automatiquement certains problèmes en utilisant l’option --auto-correct.

À tester d’urgence. Cliquez ici pour en savoir plus.