Les développeurs freelance négligent souvent la sécurité des données utilisateurs
Négligence et incompétence sont fréquemment observées chez les développeurs freelance lorsqu'il s’agit de sécuriser les mots de passe des utilisateurs de service en ligne. Un constat issu d’une étude de chercheurs de l’université de Bonn.
Une étude de l’université de Bonn montre que les programmeurs freelance ne stockent pas les mots de passe de façon sécurisée sauf en cas de demande explicite. Et quand ils le font, ils utilisent souvent des méthodes désuètes. Les développeurs de Facebook ne sont donc pas les seuls à manquer de rigueur en matière de chiffrement de mots de passe (Ooops… Facebook oublie de chiffrer des centaines de millions de mots de passe).
L’utilisation du chiffrement ne va pas de soi
Pour parvenir à ce constat, les chercheurs ont embauché 43 développeurs indépendants sur la plateforme Freelancer.com. Leur mission consistait à implémenter le processus d’inscription pour un réseau social. La moitié des freelancers ont reçu une consigne les incitant à stocker les mots de passe d'une manière sécurisée, les autres restaient libres de les stocker comme ils le souhaitaient. Pour évaluer un éventuel impact de la rémunération, les indépendants étaient payés soit 100 ou 200 euros. La mission se complétait d’un questionnaire. Sur les 43 programmeurs, 18 n’ont pas livré de solutions intégrant le chiffrement des mots de passe. 15 d’entre eux n’avaient pas eu de consigne spécifique. Trois freelancers ayant reçu la consigne ne l’ont donc pas respectée. Une majorité de solutions non sécurisées ont en outre été livrées par les développeurs les moins payés.
Manque de connaissances
Les chercheurs de l’université de Bonn ont également remarqué qu’un certain nombre de programmeurs indépendants pensent que l’encodage de l’information en base 64 représente à lui seul une méthode sûre pour la sécurisation des mots de passe. De plus, chiffrement et hachage sont perçus par certains comme des termes synonymes, sans compter que des méthodes désuètes visant à sécuriser les mots de passe étaient fréquemment utilisées. Il apparaît que seuls 15 des 43 développeurs ont mis en œuvre la technique cryptographique de salage. L’étude montre aussi qu’une large part des freelancers embauchés se sont contentés de copier-coller du code trouvé sur le web, soulignant qu’ils n’ont pas les compétences nécessaires pour développer un système sécurisé à partir de zéro. Moralité: pour ce type de mission, les entreprises ont intérêt à choisir avec précaution leurs collaborateurs externes. Ou d'opter pour la technologie d'authentification WebAuthn (Les services web n’ont plus de raison d’exiger un mot de passe).
Lire l'étude complète: A Password-Storage Field Study with Freelance Developers.
