Le sujet est clairement polémique, car il s’interroge sur le travail des développeurs freelance et leur capacité à intégrer les questions de sécurité au sein des applications, des sites, etc. Le point de départ de cette histoire est l’externalisation de la refonte d’un blog édité par Robert Hansen, spécialiste du mobile. Ce dernier a constaté pas moins de 6 backdoors PHP dans le rendu.
Tripwire, éditeur de sécurité, a donc eu l’idée de mener une expérience, auprès de 25 développeurs indépendants. L’équipe VERT (Vulnerability and Exposure Research Team) de Tripwire a envoyé un courrier à l’ensemble des candidats avec le même projet, la création d’un site web avec différentes fonctionnalités. L’objectif pour l’équipe était d’observer les problèmes de sécurité comme la présence de backdoor, des mots de passe dans le code ou d’autres éléments malveillants. Il souhaitait également voir les failles dans le code.
Après un écrémage, 17 développeurs indépendants ont été recrutés et ont mis entre 7 et 9 jours pour rendre leur copie. L’équipe VERT a constaté au préalable qu’aucun des développeurs n’a pensé à demander quelles distributions ou versions spécifiques du serveur seraient utilisées. Un second écrémage s’est déroulé pour différents motifs (dépassement du budget, délai rallongé, etc.). Au final, 10 freelance ont rendu un projet à peu près finalisé et dans les temps.
Et dans les premiers rendus, l’équipe de spécialistes a diagnostiqué pas mal de problèmes de sécurité. « Le premier code rendu contenait un vecteur d’injection SQL aisément reconnaissable », peut-on lire sur le blog de VERT Tripwire. Dans son analyse sécurité, la sentence est sans appel : chaque site est truffé de vulnérabilités. Ainsi, tous les sites acceptent le téléchargement de documents provenant d’utilisateurs non autorisés. Plusieurs sites peuvent voir leur authentification contournée par une injection SQL basique. Une majorité de sites permettent l’exécution de code à distance.
Pour Craig Young, chercheur principal en sécurité chez Tripwire, « il n’est pas surprenant de constater que chaque site web comprenne des failles de sécurité. Le processus de création est parsemé de problèmes de communication et de pratiques douteuses du début à la fin ». Et d’ajouter que « si cela avait été un projet d’entreprises plus important, il aurait dépassé le budget, les délais et aurait été très difficile à gérer. En plus de cela, le client aurait un site Web non sécurisé ».
Pour éviter ces risques, Tripwire recommande de bien choisir les prestataires externes, notamment à l’étranger. Elle conseille également d’analyser tous les projets finalisés avec un scanner de vulnérabilités et dans l’idéal de réaliser un pentest (test de pénétration) avant de finaliser le paiement du projet.
A lire aussi :
Les développeurs Scala freelances encore les mieux payés
Quel est le portrait-robot du freelance IT ?
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…