10 raisons pour lesquelles les failles de sécurité des sites web ne sont jamais corrigées

En publiant tous mes bookmarks locaux en retard sur Diigo – dont je vous recommande chaudement l’usage aussi bien que la toute nouvelle interface – je suis tombé sur cet compilation des raisons pour lesquelles les vulnérabilités de sécurité des applications web ne sont jamais corrigées publiée par Jeremiah Grossman et augmentée par ses lecteurs. Je vous propose aujourd’hui une traduction en français d’excellentes excuses qui pourraient être drôles si elles n’étaient pas un facteur d’échec trop important pour faire de l’humour.

1. Personne au sein de la société n’est responsable du maintien du code existant. Ou si c’est le cas, plus personne ne le comprend.
2. Développer de nouvelles fonctionnalités est plus important que les corrections de sécurité.
3. Le code concerné a été produit par un partenaire qui s’est mis aux abonnés absents.
4. Le site / l’application est obsolète et devrait “bientôt” être remplacé.
5. La solution au problème rentre en conflit avec les impératifs business.
6. Nous acceptons les risques que nous fait courir une potentielle exploitation de cette vulnérabilité.
7. Cette correction n’est pas nécessaire au bon fonctionnement de l’application.
8. Personne dans la société ne comprend ce genre de problèmes.
9. Les utilisateurs sont trop bêtes pour tenter de l’exploiter.
10. Notre support n’enregistre pas de tickets de ce niveau.
11. Nous avons toujours fait comme ça, et ça n’a jamais posé de problèmes

Les vulnérabilités de sécurité sont encore, à tort, considérées comme le parent pauvre du développement, car pas directement visibles des utilisateurs finaux… jusqu’à exploitation. Les conséquences en termes d’images sont pourtant catastrophiques et nécessitent de véritables plans de crise. Mais, contrairement au Loto, ça n’arrive qu’aux autres.