Les développeurs Freelance, plus malveillants que des salariés ?

Je tombe sur le cul. Je viens de lire un arti­cle au sujet des développeurs Free­lance. La ques­tion est : « faire appel à un Free­lance est-il un risque pour la sécu­rité ». Et là, je m’attendais à de pos­si­bles prob­lèmes de NDA (accord de non-divul­ga­tion ) avec de pos­si­bles con­flits d’intérêt… ou bien des développeurs pas trop axés sécu­rité qui codent avec les pieds… Mais non, l’étude dont il est ques­tion incrim­ine plus pro­fondé­ment les développeurs.

Des Free­lance seraient plus sus­cep­ti­bles que des salariés de met­tre en place des back­doors (portes arrières) dans le sys­tème afin de…. Pourquoi faire ? Faire chanter le client et ne plus jamais boss­er de sa vie car t’es gril­lé ensuite ? Quoi, espi­onner le client pour le plaisir parce que tu n’as rien d’autre à faire ??? Je ne com­prends pas : soit ceci est vrai et je n’ai pas vu arriv­er le coup dans la pro­fes­sion (je bosse sou­vent avec des indépen­dants quand même – mais des gars que je con­nais le plus sou­vent), soit c’est du pipeau ! J’en sais rien, je ne vois même pas l’intérêt de cela. Ce serait comme dire que les gyné­co­logues sont des obsédés sex­uels qui pren­nent des pho­tos de vagins en secret pour les regarder chez eux ! On par­le de « pra­tiques dou­teuses ». Et la déon­tolo­gie bor­del ?  On nous con­fie sou­vent le coeur d’un sys­tème, il faut en pren­dre soin ! Vous vous atten­dez vous en allant vous faire opér­er que le chirurgien vous colle un truc pour vous trac­er avec son smart­phone et faire rire ses potes sur le green ? J’ai sou­vent des potes qui me deman­dent de jeter un oeil à leur ordi­na­teur — j’ai cer­taine­ment pas envie de savoir sur quels sites dou­teux ils sur­fent ou voir leur dernière sex-tape (non, j’ai pas des amis dou­teux, c’est la nature humaine de faire ce genre de chose — toi lecteur, tu n’es pas un mon­stre, on a tous un jardin secret). Bref, pour moi c’est du même niveau. Un client, ça te fait vivre, tu lui dois un min­i­mum de respect. Et la base, c’est déjà de se respecter soi-même suff­isam­ment pour ne pas tomber dans ce genre de bassess­es.

Relevons toute­fois que l’ex­péri­ence a été réal­isée avec des Free­lances, mais on s’est bien gardé de le faire avec des salariés !

Pour éviter ces risques, «Trip­wire recom­mande de bien choisir les prestataires externes, notam­ment à l’étranger ». Ah là, y‑a peut-être quelque chose de dif­férent… main­tenant qu’on retrou­ve son code source dans la nature parce qu’on s’est adressé à un mer­ce­naire sans foi ni loi… oui, pourquoi pas. Et puis quand on con­fie son dev à l’é­tranger, y‑a sou­vent une ques­tion d’al­légeance… La guerre économique est une réal­ité. On sait que beau­coup d’ap­pareils élec­tron­iques chi­nois comme des smart­phones per­me­t­tent l’é­coute et l’es­pi­onnage de leurs util­isa­teurs. Au prof­it de ser­vices secrets étrangers, mais pas seule­ment pour la sécu­rité de l’é­tat — pour des raisons de con­cur­rence économique égale­ment !

Cette notion de «back­door» m’interpelle. Y‑a un coté véri­ta­ble­ment malveil­lant : soit de vol­er des don­nées de l’entreprise pour les reven­dre, soit de faire chanter par la suite. Bon, je suis peut-être trop idéal­iste, mais ça ne m’empêche pas de pren­dre des pré­cau­tions :

  • Que cela soit en interne (salarié) ou en externe (indépen­dant), ne jamais don­ner accès au « Tout », mais seule­ment à une par­tie. Et faire en sorte que per­son­ne ne puisse ré-assem­bler le tout à part vous. Pas tou­jours facile à met­tre en place, mais au moins pour les par­ties cri­tiques.

  • Généralis­er le con­cept de l’Hon­ey Pot : tou­jours tester la fidél­ité de ses col­lab­o­ra­teur en lais­sant des don­nées sup­posées cru­ciales (mais qui ne le sont pas), en per­me­t­tant à la per­son­ne de s’en saisir facile­ment alors qu’elle sait que ce n’est pas dans son attri­bu­tion. Si elle le fait,  c’est pas très engageant…

  • Tou­jours prévoir du pen­test avec les jeux d’essai… ne serait-ce que pour les erreurs, pas seule­ment pour la malveil­lance

  • Pay­er les gens cor­recte­ment pour ne pas qu’ils se sen­tent floués et qu’ils esti­ment qu’ils ont le droit moral de se pay­er autrement. Les intéress­er le plus pos­si­ble aux résul­tats.

  • Tra­vailler le plus pos­si­ble avec des gens qu’on con­naît – encore une fois, ce n’est pas tou­jours pos­si­ble, mais en tous cas, j’essaye. Je con­fie de petites mis­sions, je place des gens directe­ment chez des clients et je demande des retours de chaque coté. La con­fi­ance, ça se gagne.

Voilà, c’est en tous cas ce qu’il me vient à l’esprit en rédi­geant cet article.Je dois avouer que je n’aime pas trop cette appel­la­tion de “free­lance”. Cela a un coté “Mer­ce­naire” qui me dérange. Je n’aime pas trop le “One Shot” — je préfère avoir peu de clients, mais boss­er plus sou­vent avec eux. C’est un choix, et aus­si un risque c’est vrai. Cela m’a déjà desservi par le passé. Mais c’est ain­si.

Et vous ? Vous con­nais­sez des cas de développeurs indépen­dants qui injectent des back­doors dans leurs pro­duc­tions ? Je vous avoue qu’en con­sult­ing,  quand je débu­tais, j’ai vu des choses pas jolies faites par des salariés qui voulaient se venger de leur employeur… mais des externes, pas vu.

Si t’as pas envie de boss­er avec quelqu’un, ben tu trou­ves un autre client. Si t’es mau­vais et que tu trou­ves pas, change de méti­er.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.