10 raisons pour lesquelles les failles de sécurité des sites web ne sont et ne seront jamais corrigées
Je suis tombé sur cette compilation des raisons pour lesquelles les vulnérabilités de sécurité des applications web ne sont jamais corrigées publiée par Jeremiah Grossman.
Je vous propose aujourd’hui une traduction en français d’excellentes excuses qui pourraient être drôles si elles n’étaient pas un facteur d’échec trop important pour faire de l’humour.
Malheureusement malgré l’aspect humoristique de cet article, cela est si vrai et en tant que Directeur de projet informatique, expert e-commerce, je suis régulèrement confronté à ce genre de choses.
1. Personne au sein de la société n’est responsable du maintien du code existant. Ou si c’est le cas, plus personne ne le comprend.
2. Développer de nouvelles fonctionnalités est plus important que les corrections de sécurité.
3. Le code concerné a été produit par un partenaire qui s’est mis aux abonnés absents.
4. Le site / l’application est obsolète et devrait “bientôt” être remplacé.
5. La solution au problème rentre en conflit avec les impératifs business.
6. Nous acceptons les risques que nous fait courir une potentielle exploitation de cette vulnérabilité.
7. Cette correction n’est pas nécessaire au bon fonctionnement de l’application.
8. Personne dans la société ne comprend ce genre de problèmes.
9. Les utilisateurs sont trop bêtes pour tenter de l’exploiter.
10. Notre support n’enregistre pas de tickets de ce niveau.
11. Nous avons toujours fait comme ça, et ça n’a jamais posé de problèmes
Les vulnérabilités de sécurité sont encore, à tort, considérées comme le parent pauvre du développement, car pas directement visibles des utilisateurs finaux… jusqu’à exploitation. Les conséquences en termes d’images sont pourtant catastrophiques et nécessitent de véritables plans de crise. Mais, contrairement au Loto, ça n’arrive qu’aux autres.
