Description
Jeux en ligne, transactions sécurisées ou encore génération de mots de passe, les nombres aléatoires sont partout. Face à ces cas d’usage sur des fonctionnalités souvent considérées comme critiques, comment s’assurer que les données aléatoires générées sont de qualité suffisante ?
Cette conférence sera articulée autour de l’audit sécurité d’un jeu (fictif) de poker en ligne.
Dans un premier temps, nous rappellerons brièvement ce qu’est une donnée aléatoire.
Dans un second temps, nous effectuerons une analyse statistique des tirages de cartes sur cette application. Vous découvrirez ainsi un outil python permettant d’évaluer les sorties de générateurs aléatoires : Random Test Tool (RTT).
Suite à cette revue de données générées, nous vous présenterons une brève analyse du code de l’application vulnérable.
Enfin, nous listerons les écueils à éviter et les bonnes pratiques à mettre en œuvre lors de l’utilisation de générateurs aléatoires au sein des applications.