Ça fait 25 ans que j'enseigne le dev : je forme mes étudiants en informatique avec le souci des bonnes pratiques : du beau code optimisé et efficace (ça s'appelle d'ailleurs du hacking) robuste en gérant de manière intelligente la mémoire. Pour moi, par exemple la programmation sur un arduino est aux antipodes des bonnes pratiques en matière de programmation 😭. La difficulté sur la formation en cybersécurité est la mise en place de scénarii de hack plausibles parce qu'une fois qu'on a fait le TP sur le dépassement de capacité d'un tableau ou de l'injection de code dans un formulaire SQL, il ne reste pas grand chose. Au moins quand je fais faire le développement d'une app qt ou Android, j'ai plein d'idées 😝

David

L’injection de chaînes de caractères non maîtrisées est un des plus grand classique. Il y a bien sûr les requêtes SQL, mais aussi le code HTML, et autre (le célèbre bug Log4J est dans cette famille).

L’usage maladroit de la cryptographie est probablement plus difficile à introduire dans un TP.

Tu as aussi l’architecture sécurisée. Prend Postfix : il y a des processus différents avec des droits non privilégiés lorsque cela ne se justifie pas (seule la livraison dans les boîtes aux lettres qui nécessite de se faire passer pour chaque utilisateur a des droits élevés, le reste est restreint à un user postfix sans droits exceptionnel). C’est plus robuste qu’un processus tout en un qui aurait les droits avancés. C’est un exemple à méditer (mais cela ne fait pas un TP).

Le coup du dépassement de tampon devrait être plus rare avec l’usage des langages de plus haut niveau que le C (Java, Php…)