Pour gérer vos consentements :

Les développeurs freelance un risque pour la sécurité ?

Le sujet est clairement polémique, car il s’interroge sur le travail des développeurs freelance et leur capacité à intégrer les questions de sécurité au sein des applications, des sites, etc. Le point de départ de cette histoire est l’externalisation de la refonte d’un blog édité par Robert Hansen, spécialiste du mobile. Ce dernier a constaté pas moins de 6 backdoors PHP dans le rendu.

Deux écrémages avant de finaliser les projets

Tripwire, éditeur de sécurité, a donc eu l’idée de mener une expérience, auprès de 25 développeurs indépendants. L’équipe VERT (Vulnerability and Exposure Research Team) de Tripwire a envoyé un courrier à l’ensemble des candidats avec le même projet, la création d’un site web avec différentes fonctionnalités. L’objectif pour l’équipe était d’observer les problèmes de sécurité comme la présence de backdoor, des mots de passe dans le code ou d’autres éléments malveillants. Il souhaitait également voir les failles dans le code.

Après un écrémage, 17 développeurs indépendants ont été recrutés et ont mis entre 7 et 9 jours pour rendre leur copie. L’équipe VERT a constaté au préalable qu’aucun des développeurs n’a pensé à demander quelles distributions ou versions spécifiques du serveur seraient utilisées. Un second écrémage s’est déroulé pour différents motifs (dépassement du budget, délai rallongé, etc.). Au final, 10 freelance ont rendu un projet à peu près finalisé et dans les temps.

Des sites avec plusieurs failles de sécurité

Et dans les premiers rendus, l’équipe de spécialistes a diagnostiqué pas mal de problèmes de sécurité. « Le premier code rendu contenait un vecteur d’injection SQL aisément reconnaissable », peut-on lire sur le blog de VERT Tripwire. Dans son analyse sécurité, la sentence est sans appel : chaque site est truffé de vulnérabilités. Ainsi, tous les sites acceptent le téléchargement de documents provenant d’utilisateurs non autorisés. Plusieurs sites peuvent voir leur authentification contournée par une injection SQL basique. Une majorité de sites permettent l’exécution de code à distance.

Pour Craig Young, chercheur principal en sécurité chez Tripwire, « il n’est pas surprenant de constater que chaque site web comprenne des failles de sécurité. Le processus de création est parsemé de problèmes de communication et de pratiques douteuses du début à la fin ». Et d’ajouter que « si cela avait été un projet d’entreprises plus important, il aurait dépassé le budget, les délais et aurait été très difficile à gérer. En plus de cela, le client aurait un site Web non sécurisé ».

Pour éviter ces risques, Tripwire recommande de bien choisir les prestataires externes, notamment à l’étranger. Elle conseille également d’analyser tous les projets finalisés avec un scanner de vulnérabilités et dans l’idéal de réaliser un pentest (test de pénétration) avant de finaliser le paiement du projet.

A lire aussi :

Les développeurs Scala freelances encore les mieux payés

Quel est le portrait-robot du freelance IT ?

Crédit Photo : visualhunt

Recent Posts

IT souveraine : 6 pépites made in France

Digital workplace, formation logicielle, ITSM, IoT… Coup d’œil sur six entreprises françaises qui ont accroché…

4 heures ago

Gestion du risque IT : le top 10 des fournisseurs

Qui sont les têtes d'affiche de l'ITRM (gestion du risque IT) et comment leurs offres…

6 heures ago

Orange : qui est Christel Heydemann, la nouvelle directrice générale ?

Christel Heydemann devrait être nommée directrice générale du groupe Orange ce 28 janvier. Retour sur…

8 heures ago

ESN : Inetum reprise par Bain Capital

Le fonds qatari Mannai qui possède 99% du capital d'Inetum est entré en négociation exclusive…

10 heures ago

CircleCI étend son offre gratuite face à GitHub Actions

CircleCI a procédé à un élargissement de son offre gratuite. Comment se positionne-t-elle désormais par…

11 heures ago

Log4j : SolarWinds rattrapé par la faille

On a découvert, dans l'un des logiciels de SolarWinds, une faille susceptible de favoriser des…

13 heures ago