Tant que les chefs de projet web sortiront à peine de l'école, que des stagiaires s'occuperont de la sécurité et surtout qu'on recherchera le prestataire le moins cher, cela continuera.
On installe tout (par exemple PHP, MySql, hébergement Linux, CMS...) tel quel sans se soucier s'il y a des failles de sécurité, et il ne faut pas faire d'upgrades car "ça risque de tout casser" (c'est pas faux mais il faut quand même le faire)... Dans ma grande carrière dans le web, le seul point mentionné au chapitre sécurité dans les cahiers des charges c'est faire un backup de la base de données...
Ensuite je me souviens que l'UMP avait fait réaliser un précédent site par des prestataires offshore, ça avait défrayé la chronique il y a 4 ou 5 ans.
A mon avis (stats perso, lol) 98% des sites web sont hackables en moins de 30 secondes, 1% sont à la portée d'un hacker chevronné qui s'acharnera jusqu'à trouver une porte d'entrée et reste 1% qui aura une vraie politique de sécurité mais le risque zéro n'existe pas. C'est sans doute aussi un peu la faute aux protocoles, aux langages web, aux éditeurs qui produisent du code, des API que personne ne comprend et une documentation peu claire.
Partager