
La moitié des participants ont utilisé Java (JSF) et l'autre moitié, le framework Spring. Spring offre une bibliothèque de support qui implémente le stockage des mots de passe avec un haut niveau de sécurité. Avec JSF, les participants ont dû mettre en œuvre eux-mêmes le salage et le hachage. Ensuite, pour vérifier si les participants se rendraient compte de la nécessité d'un stockage sécurisé des mots de passe sans y être invités, les auteurs ont donné à la moitié des participants une description des tâches qui ne mentionnait pas la sécurité, tandis que les étudiants de l'autre moitié ont été explicitement chargés de mettre en œuvre un programme de sécurité pour la solution.
L’équipe de recherche a pu tirer plusieurs conclusions de cela. Dans un premier temps, ils ont remarqué qu’aucun des participants non amorcés (c’est-à-dire ceux qui n'ont pas été explicitement chargés de créer une solution, sécurisée) n'a conservé les mots de passe de façon sécuritaire. Deux d'entre eux ont tenté de créer une solution sécurisée, mais ont abandonné et remis une solution non sécurisée. Sur les 20 participants qui ont été explicitement chargés de créer une solution sécurisée, 12 ont mis en œuvre un certain niveau de sécurité. Puis, dans un second temps, ils ont constaté qu’en comparant les différents frameworks (JSF vs. Spring), un plus grand nombre de participants qui ont mis en œuvre une certaine sécurité ont obtenu un score élevé pour la sécurité grâce à la mise en œuvre par défaut de Spring.
Dans les conditions de Spring, tous les participants sauf un ont obtenu la note la plus élevée de 6 points sur un total possible de 7. Dans les conditions du JSF, l'écart était beaucoup plus grand avec des valeurs allant de 2 à 6. Et enfin, une troisième conclusion renseigne que tous les participants qui ont réalisé une solution sécurisée ont utilisé le "copier-coller" pour le faire, c'est-à-dire qu'aucun des participants n'a réalisé de solution sécurisée en écrivant son propre code.
L’autre partie de l’étude a porté sur 43 développeurs freelances qu’ils ont engagés sur Freelancer.com en se faisant passer pour une petite entreprise et qu’ils ont payés par la suite. Cette fois encore, une majorité parmi ces développeurs n’a pas pensé à une manière sécuritaire de sauvegarder les mots de passe sans y être explicitement invités. « Les développeurs indépendants sont conscients que leurs clients utiliseront leur solution dans le monde réel. Cependant, la qualité des solutions était comparable à celle des solutions des étudiants », lit-on dans le rapport en ce qui concerne développeurs freelances.
Toutefois, il y a quelques précisions de la part des chercheurs au sujet des résultats ci-dessus. Lorsqu’ils ont posé la question aux étudiants de comprendre pourquoi ils n’ont pas mis l’accent sur un stockage sécurisé des mots de passe, ils ont déclaré qu’ils le feraient s’il s’agissait d’une réelle entreprise. C'est d'ailleurs cette déclaration qui a poussé les chercheurs à étendre l'étude aux développeurs freelances. Cela dit, ce qui sème un peu la confusion c'est pourquoi une grande partie des développeurs freelances qui croient travailler pour une réelle entreprise et en plus d’être payés n’ont pas pris à cœur une sauvegarde sécurisée des mots de passe ?
À un moment où le piratage de données prend de plus en plus de l'ampleur, n’est-ce pas une nécessité première chez les développeurs de penser à plus de sécurité lorsqu’il s’agit de sauvegarder des données à caractère personnel ? Pour obtenir plus d’informations sur la méthodologie utilisée et les différentes conclusions retenues par l’équipe de recherche, vous pouvez consulter le rapport dans son entièreté. L’étude a montré que les étudiants et les développeurs freelances qui y ont participé à l'étude ont presque la même manière de procéder, c’est-à-dire qu’ils ne trouvent pas nécessaire de mettre en place une sécurité autour du stockage des mots de passe à moins d’y être invités. Est-ce parce qu’ils ne sont pas informés sur la qualité que cela apporte à un logiciel ou qu’ils ignorent les risques encourus par un système où les données ne disposent pas d’une sécurité qualifiable ?
Source : Rapport de l'étude
Et vous ?


Voir aussi




Vous avez lu gratuitement 474 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.