Les développeurs Freelance, plus malveillants que des salariés ?

Je tombe sur le cul. Je viens de lire un article au sujet des développeurs Freelance. La question est : « faire appel à un Freelance est-il un risque pour la sécurité ». Et là, je m’attendais à de possibles problèmes de NDA (accord de non-divulgation ) avec de possibles conflits d’intérêt… ou bien des développeurs pas trop axés sécurité qui codent avec les pieds… Mais non, l’étude dont il est question incrimine plus profondément les développeurs.

Des Freelance seraient plus susceptibles que des salariés de mettre en place des backdoors (portes arrières) dans le système afin de…. Pourquoi faire ? Faire chanter le client et ne plus jamais bosser de sa vie car t’es grillé ensuite ? Quoi, espionner le client pour le plaisir parce que tu n’as rien d’autre à faire ??? Je ne comprends pas : soit ceci est vrai et je n’ai pas vu arriver le coup dans la profession (je bosse souvent avec des indépendants quand même – mais des gars que je connais le plus souvent), soit c’est du pipeau ! J’en sais rien, je ne vois même pas l’intérêt de cela. Ce serait comme dire que les gynécologues sont des obsédés sexuels qui prennent des photos de vagins en secret pour les regarder chez eux ! On parle de « pratiques douteuses ». Et la déontologie bordel ?  On nous confie souvent le coeur d’un système, il faut en prendre soin ! Vous vous attendez vous en allant vous faire opérer que le chirurgien vous colle un truc pour vous tracer avec son smartphone et faire rire ses potes sur le green ? J’ai souvent des potes qui me demandent de jeter un oeil à leur ordinateur – j’ai certainement pas envie de savoir sur quels sites douteux ils surfent ou voir leur dernière sex-tape (non, j’ai pas des amis douteux, c’est la nature humaine de faire ce genre de chose – toi lecteur, tu n’es pas un monstre, on a tous un jardin secret). Bref, pour moi c’est du même niveau. Un client, ça te fait vivre, tu lui dois un minimum de respect. Et la base, c’est déjà de se respecter soi-même suffisamment pour ne pas tomber dans ce genre de bassesses.

Relevons toutefois que l’expérience a été réalisée avec des Freelances, mais on s’est bien gardé de le faire avec des salariés !

Pour éviter ces risques, «Tripwire recommande de bien choisir les prestataires externes, notamment à l’étranger ». Ah là, y-a peut-être quelque chose de différent… maintenant qu’on retrouve son code source dans la nature parce qu’on s’est adressé à un mercenaire sans foi ni loi… oui, pourquoi pas. Et puis quand on confie son dev à l’étranger, y-a souvent une question d’allégeance… La guerre économique est une réalité. On sait que beaucoup d’appareils électroniques chinois comme des smartphones permettent l’écoute et l’espionnage de leurs utilisateurs. Au profit de services secrets étrangers, mais pas seulement pour la sécurité de l’état – pour des raisons de concurrence économique également !

Cette notion de «backdoor» m’interpelle. Y-a un coté véritablement malveillant : soit de voler des données de l’entreprise pour les revendre, soit de faire chanter par la suite. Bon, je suis peut-être trop idéaliste, mais ça ne m’empêche pas de prendre des précautions :

  • Que cela soit en interne (salarié) ou en externe (indépendant), ne jamais donner accès au « Tout », mais seulement à une partie. Et faire en sorte que personne ne puisse ré-assembler le tout à part vous. Pas toujours facile à mettre en place, mais au moins pour les parties critiques.

  • Généraliser le concept de l’Honey Pot : toujours tester la fidélité de ses collaborateur en laissant des données supposées cruciales (mais qui ne le sont pas), en permettant à la personne de s’en saisir facilement alors qu’elle sait que ce n’est pas dans son attribution. Si elle le fait,  c’est pas très engageant…

  • Toujours prévoir du pentest avec les jeux d’essai… ne serait-ce que pour les erreurs, pas seulement pour la malveillance

  • Payer les gens correctement pour ne pas qu’ils se sentent floués et qu’ils estiment qu’ils ont le droit moral de se payer autrement. Les intéresser le plus possible aux résultats.

  • Travailler le plus possible avec des gens qu’on connaît – encore une fois, ce n’est pas toujours possible, mais en tous cas, j’essaye. Je confie de petites missions, je place des gens directement chez des clients et je demande des retours de chaque coté. La confiance, ça se gagne.

Voilà, c’est en tous cas ce qu’il me vient à l’esprit en rédigeant cet article.Je dois avouer que je n’aime pas trop cette appellation de “freelance”. Cela a un coté “Mercenaire” qui me dérange. Je n’aime pas trop le “One Shot” – je préfère avoir peu de clients, mais bosser plus souvent avec eux. C’est un choix, et aussi un risque c’est vrai. Cela m’a déjà desservi par le passé. Mais c’est ainsi.

Et vous ? Vous connaissez des cas de développeurs indépendants qui injectent des backdoors dans leurs productions ? Je vous avoue qu’en consulting,  quand je débutais, j’ai vu des choses pas jolies faites par des salariés qui voulaient se venger de leur employeur… mais des externes, pas vu.

Si t’as pas envie de bosser avec quelqu’un, ben tu trouves un autre client. Si t’es mauvais et que tu trouves pas, change de métier.

Ces articles pourraient aussi vous intéresser …

Sinclair ZX81: Vous vous souvenez ?

Parlons du Sinclair ZX81, et examinons à quoi ressemble son principal composant, le Ferranti ULA. L’ordinateur de ma jeunnesse, pas certain 😉