Dans un contexte où on assiste à une recrudescence des menaces informatiques ainsi que des révélations sur les programmes de surveillance des données à l'échelle gouvernementale comme PRISM, le débat autour de la vie privée et la protection des données digitales se voit relancé. Nombreux sont ceux qui ont opté pour une sensibilisation de l'utilisateur à la sécurité, espérant certainement leur offrir un moyen plus sûr de se protéger. Un journaliste de technologie, ancien programmeur professionnel, a quant à lui choisi une autre approche quand il a répertorié les six erreurs les plus reproduites par les développeurs relatives à la sécurité, erreurs qu'il n'a pas manqué de qualifier de stupides.
La première erreur qu'il met en évidence est une mise en garde bien souvent répétée aux apprentis webmaster : « ne jamais faire confiance aux données utilisateur ». Il invite les développeurs à faire attention aux types de données qui transitent sur leurs sites. « si vous êtes chanceux les données en provenance de vos utilisateurs pourraient entraîner un plantage de votre application ou la rendre moche » rappelant que certains utilisateurs intelligents et mal intentionnés pourraient effacer votre base de données ou pire encore. « Vérifiez que le type de données que vous attendez est bel et bien celui que vous recevez, pas plus pas moins ».
Pour lui, monter son propre système de chiffrement est une mauvaise initiative. Il préconise l'utilisation de solutions ayant déjà fait leurs preuves. Il remarque également que beaucoup de développeurs, surtout du côté des novices, accordent trop facilement des privilèges d'administration. De plus il recommande de penser à la gestion d'erreurs : « C'est souvent lorsque votre code échoue que vous êtes le plus vulnérable » rappelle-t-il. Et enfin il préconise l'utilisation des protocoles SSL/HTTPS. « Il y a une raison pour laquelle Google se sert de HTTPS » assure-t-il en expliquant que la connexion en devient plus sûre.
L'avis d'un développeur : nous avons demandé à un membre de notre communauté, gangsoleil, de commenter ces propos. Pour lui, un des problèmes actuels de la sécurité des applications vient du fait que les développeurs n'ont pas été formés sur le sujet et il précise « Attention, je ne dis pas qu'ils ne savent pas développer une application, je dis qu'il leur manque quelques bases, que j'estime fondamentales, sur la conception logicielle. »
Il soutient l'avis du journaliste qui estime qu'un développeur devrait envisager le pire dans une métaphore très imagée : « De même qu'un avion doit être capable de voler aussi bien lorsqu'il fait beau que dans un orage, un code doit fonctionner dans les conditions normales, mais aussi dans les pires conditions. ». D'ailleurs à ce propos il donne en exemple un cas de figure à prendre en considération lors d'une conception : « Votre code se sert d'un fichier ou d'une base de données ? Oui, il doit être capable de ne pas crasher si je supprime (violemment) le fichier ou la base de données. »
Toutefois il n'est pas convaincu par l'exemple pris par le journaliste sur Google « Enfin, quant au fait que Google utilise HTTPS, je trouve cet exemple assez mauvais car Google n'utilise toujours pas HTTPS comme protocole par défaut pour la recherche -- d'où le plugin HTTPS everywhere de l'EFF. »
Source : Venturebeat
Et vous ?
Avez-vous remarqué d'autres erreurs chez les développeurs ? Que préconisez-vous pour améliorer la sécurité des applications ? 
Envoyé par imikado
