Dans le domaine de la cybersécurité, nous parlons beaucoup des acteurs de la menace et du code vulnérable, mais ce qui n’est pas suffisamment discuté, ce sont les vulnérabilités intentionnelles et le fait de devenir votre propre acteur de la menace. Même lorsque vous prenez des décisions avec les meilleures intentions, il est possible de travailler contre vos propres intérêts. Un domaine dans lequel nous voyons cela provient des développeurs de sites Web qui tentent de protéger leur travail. Il peut être tentant d’incorporer un code permettant au développeur d’accéder aux fichiers du site, également connu sous le nom de porte dérobée, dans le cas où le client choisit de ne pas payer, afin que le développeur puisse supprimer son code ou endommager le site.
Bien que la mise en œuvre d’une porte dérobée puisse sembler être une solution viable pour protéger votre investissement en ressources, elle s’accompagne de problèmes éthiques et juridiques potentiels, en plus des risques de sécurité supplémentaires d’une porte dérobée codée en dur dans le site Web. Il y a toujours de meilleures options disponibles, même si elles sont moins pratiques pour le client et le développeur. Lors du développement d’un site Web, le développeur doit garder à l’esprit que ses besoins sont tout aussi importants que ceux du client. Garder cela à l’esprit aidera à prévenir les situations pouvant conduire à la mise en place d’une porte dérobée sur le site Web.
L’une des principales raisons pour lesquelles un développeur Web peut être tenté d’inclure une porte dérobée codée en dur est de s’assurer que son travail n’est pas utilisé sans paiement. Une pratique courante chez les développeurs de sites Web consiste à exiger 50 % des frais de développement à l’avance, la somme restante étant payée à la livraison du projet terminé. Surtout parmi les développeurs indépendants, il n’est pas rare de commencer le développement avant même que les frais initiaux ne soient payés, et même de fournir le code final avant que le paiement final ne soit reçu. La crainte qu’un client n’effectue pas de paiement peut amener un développeur à croire que c’est une bonne idée de coder en dur une porte dérobée dans le projet, afin que le développeur puisse supprimer son code ou supprimer entièrement le site en guise de représailles.
Ce qui devrait être évident, c’est qu’endommager intentionnellement un site Web constitue une violation des lois dans de nombreux pays et peut entraîner des amendes ou même des peines de prison. Aux États-Unis, le Computer Fraud and Abuse Act de 1986 (CFAA) définit clairement l’utilisation illégale des systèmes informatiques. Selon 18 USC § 1030 (e)(8), le simple fait d’accéder à des systèmes informatiques d’une manière qui utilise des privilèges ou des niveaux d’accès supérieurs à ceux autorisés constitue une violation de la loi. De plus, endommager intentionnellement le système ou les données est également un crime. La peine pour violation de la CFAA peut inclure des peines allant jusqu’à la prison à vie, en plus de lourdes sanctions financières.
Supposons qu’un développeur utilise une porte dérobée sur un site Web sur lequel il a travaillé simplement pour accéder aux fichiers de manière non approuvée. Même s’ils ne causent aucun dommage au système ou aux fichiers, le développeur pourrait encourir des amendes de 5 000 $ et jusqu’à cinq ans de prison. L’utilisation de la porte dérobée pour supprimer le site ou endommager les fichiers ou le système peut entraîner des peines de prison encore plus longues et des amendes encore plus importantes. On pourrait faire valoir que ces sanctions sont excessives, mais il est également important de se rappeler qu’elles sont conçues comme des moyens de dissuasion puisque la plupart des auteurs de menaces ne sont jamais pris.
Dans l’état actuel des choses, cependant, les développeurs indépendants qui tentent de protéger leur travail sont beaucoup plus susceptibles d’être arrêtés et poursuivis que les escrocs dans les pays sans accord d’extradition. Un client peu scrupuleux qui connaît la loi pourrait également utiliser la menace de poursuites pour extorquer davantage de travail non rémunéré à un développeur indépendant qui a détourné son site.
Même au-delà des ramifications juridiques potentielles, ces pratiques peuvent entraîner un bouche-à-oreille négatif, ce qui peut nuire à la réputation du développeur. Même si le développeur est en mesure d’éviter les problèmes juridiques liés à ces actions, le fait d’être perçu comme contraire à l’éthique peut avoir un impact négatif sur les bénéfices futurs, voire entraîner la faillite d’une entreprise.
Une autre considération est le fait qu’une porte dérobée ajoute une vulnérabilité potentielle au site Web du client. Si le développeur est en mesure d’accéder au site par des moyens illégitimes, un attaquant potentiel peut être en mesure d’utiliser la même méthode pour accéder aux fichiers du site. La sécurité doit toujours être une considération lors du développement d’un site Web ou de l’une de ses fonctionnalités. L’implémentation d’un code non sécurisé peut entraîner des conséquences similaires à celles d’endommager intentionnellement un site Web.
Plutôt que d’ajouter une porte dérobée au site Web d’un client, il est préférable de définir des attentes claires avec un client concernant les livrables et la manière dont ils seront touchés par des paiements en retard ou manquants. Il est crucial d’utiliser des contrats écrits pour préciser ces attentes. Si possible, commencez par un contrat écrit standard que tous les clients sont tenus de signer et demandez à un avocat de l’examiner pour les problèmes potentiels.
S’il existe un accord en place qui décrit le fait qu’aucun code ne sera fourni sans paiement intégral, le développeur n’a aucune obligation d’implémenter le code sur le serveur de production jusqu’à ce qu’il ait été entièrement payé. Un serveur de développement sous le contrôle du développeur doit toujours être utilisé, et une fois les accords respectés, le code peut être déplacé du serveur de développement vers le serveur de production du client.
Remarque : Il ne s’agit pas d’un avis juridique et nous vous recommandons de vous familiariser avec toutes les lois applicables et de consulter un professionnel du droit agréé dans votre région.
Source link