10 raisons pour lesquelles les failles de sécurité des sites web ne sont jamais corrigées

Buffer

En publiant tous mes bookmarks locaux en retard sur Diigo – dont je vous recommande chaudement l’usage aussi bien que la toute nouvelle interface – je suis tombé sur cet compilation des raisons pour lesquelles les vulnérabilités de sécurité des applications web ne sont jamais corrigées publiée par Jeremiah Grossman et augmentée par ses lecteurs. Je vous propose aujourd’hui une traduction en français d’excellentes excuses qui pourraient être drôles si elles n’étaient pas un facteur d’échec trop important pour faire de l’humour.

  1. Personne au sein de la société n’est responsable du maintien du code existant. Ou si c’est le cas, plus personne ne le comprend.
  2. Développer de nouvelles fonctionnalités est plus important que les corrections de sécurité.
  3. Le code concerné a été produit par un partenaire qui s’est mis aux abonnés absents.
  4. Le site / l’application est obsolète et devrait “bientôt” être remplacé.
  5. La solution au problème rentre en conflit avec les impératifs business.
  6. Nous acceptons les risques que nous fait courir une potentielle exploitation de cette vulnérabilité.
  7. Cette correction n’est pas nécessaire au bon fonctionnement de l’application.
  8. Personne dans la société ne comprend ce genre de problèmes.
  9. Les utilisateurs sont trop bêtes pour tenter de l’exploiter.
  10. Notre support n’enregistre pas de tickets de ce niveau.
  11. Nous avons toujours fait comme ça, et ça n’a jamais posé de problèmes

Les vulnérabilités de sécurité sont encore, à tort, considérées comme le parent pauvre du développement, car pas directement visibles des utilisateurs finaux… jusqu’à exploitation. Les conséquences en termes d’images sont pourtant catastrophiques et nécessitent de véritables plans de crise. Mais, contrairement au Loto, ça n’arrive qu’aux autres.

Buffer
Publié le 29 septembre 2009 à 07h41 Publié sous et Labels développement, sécurité, web

À propos

Frédéric de Villamil

Je m'appelle Frédéric de Villamil, et quand je ne déploie pas ma mauvaise humeur et ma mauvaise foi sur le Web, je suis un super héros chargé de sauver le monde. Vous pouvez me suivre sur Twitter.

  1. Pierre le 29 septembre 2009 à 23h18

    En effet il est difficile de faire comprendre à un client qu’il faut aussi prévenir une maintenance préventive après la mise en ligne de son site internet.

    Car l’erreur (la faute) reste humaine. Et puis ça coûte de l’argent d’avoir un administrateur à temps plein sur un site internet.

    Pierre

  2. xethorn le 02 octobre 2009 à 20h35

    Tres bonne liste, je trouve qu’elle reflete (meme un peu trop) la realite. Il manque aussi une ligne: celle du geek qui ne veut pas remettre le nez dans un code qu’il a ecrit.

    Et evidement, les exploitations des failles, “ca n’arrive qu’aux autres”.

    xethorn

    Twitter: http://twitter.com/xethorn Flickr: http://flickr.com/xethorn

  3. Webving le 03 octobre 2009 à 16h24

    Au delà des failles de sécurité, cette liste peut quasiment s’appliquer sans changer un mot aux simples bugs ou erreurs d’ergonomie…

  4. Olivier le 23 avril 2010 à 15h23

    À quelques détails près, cette liste peut s’appliquer à tout et n’importe quoi.

    J’aime bien la liste des “10 trucs” qui a 11 items. ;)

Réagir à 10 raisons pour lesquelles les failles de sécurité des sites web ne sont jamais corrigées

Afin de maintenir le niveau global de ce site, les commentaires font l'objet d'une politique de modération qualitative basée sur des critères non écrits et totalement subjectifs, donc injustes.

Les commentaires écrits en langage SMS, inutiles, déplacés, injurieux ou relevant du spam seront systématiquement supprimés sans avertissement préalable.

Les trackbacks sont fermés pour cause de spam.