Certains développeurs freelances et étudiants en IT ne sécurisent pas les mots de passe au stockage à moins d’y être invités
selon une étude
Des chercheurs de l’institut d'informatique de l’université de Bonn, en Allemagne, ont réalisé une étude sur la nécessité qu’accordent les étudiants en informatique et les développeurs indépendants à la sauvegarde sécurisée de mots de passe dans une base de données. Dans le rapport de fin d’étude fourni par l’équipe, il est dit que sans incitation explicite, un grand nombre des étudiants faisant partie de l’étude n’ont mis en place aucun stockage sécurisé des mots de passe. Le constat est presque pareil dans le rang des développeurs freelances qu’ils ont par la suite testé suivant les mêmes exercices. Pour réaliser l’étude, les chercheurs ont demandé à 40 étudiants en informatique de mettre en œuvre le processus d'inscription à un réseau social universitaire.
La moitié des participants ont utilisé Java (JSF) et l'autre moitié, le framework Spring. Spring offre une bibliothèque de support qui implémente le stockage des mots de passe avec un haut niveau de sécurité. Avec JSF, les participants ont dû mettre en œuvre eux-mêmes le salage et le hachage. Ensuite, pour vérifier si les participants se rendraient compte de la nécessité d'un stockage sécurisé des mots de passe sans y être invités, les auteurs ont donné à la moitié des participants une description des tâches qui ne mentionnait pas la sécurité, tandis que les étudiants de l'autre moitié ont été explicitement chargés de mettre en œuvre un programme de sécurité pour la solution.
L’équipe de recherche a pu tirer plusieurs conclusions de cela. Dans un premier temps, ils ont remarqué qu’aucun des participants non amorcés (c’est-à-dire ceux qui n'ont pas été explicitement chargés de créer une solution, sécurisée) n'a conservé les mots de passe de façon sécuritaire. Deux d'entre eux ont tenté de créer une solution sécurisée, mais ont abandonné et remis une solution non sécurisée. Sur les 20 participants qui ont été explicitement chargés de créer une solution sécurisée, 12 ont mis en œuvre un certain niveau de sécurité. Puis, dans un second temps, ils ont constaté qu’en comparant les différents frameworks (JSF vs. Spring), un plus grand nombre de participants qui ont mis en œuvre une certaine sécurité ont obtenu un score élevé pour la sécurité grâce à la mise en œuvre par défaut de Spring.
Dans les conditions de Spring, tous les participants sauf un ont obtenu la note la plus élevée de 6 points sur un total possible de 7. Dans les conditions du JSF, l'écart était beaucoup plus grand avec des valeurs allant de 2 à 6. Et enfin, une troisième conclusion renseigne que tous les participants qui ont réalisé une solution sécurisée ont utilisé le "copier-coller" pour le faire, c'est-à-dire qu'aucun des participants n'a réalisé de solution sécurisée en écrivant son propre code.
L’autre partie de l’étude a porté sur 43 développeurs freelances qu’ils ont engagés sur Freelancer.com en se faisant passer pour une petite entreprise et qu’ils ont payés par la suite. Cette fois encore, une majorité parmi ces développeurs n’a pas pensé à une manière sécuritaire de sauvegarder les mots de passe sans y être explicitement invités. « Les développeurs indépendants sont conscients que leurs clients utiliseront leur solution dans le monde réel. Cependant, la qualité des solutions était comparable à celle des solutions des étudiants », lit-on dans le rapport en ce qui concerne développeurs freelances.
Toutefois, il y a quelques précisions de la part des chercheurs au sujet des résultats ci-dessus. Lorsqu’ils ont posé la question aux étudiants de comprendre pourquoi ils n’ont pas mis l’accent sur un stockage sécurisé des mots de passe, ils ont déclaré qu’ils le feraient s’il s’agissait d’une réelle entreprise. C'est d'ailleurs cette déclaration qui a poussé les chercheurs à étendre l'étude aux développeurs freelances. Cela dit, ce qui sème un peu la confusion c'est pourquoi une grande partie des développeurs freelances qui croient travailler pour une réelle entreprise et en plus d’être payés n’ont pas pris à cœur une sauvegarde sécurisée des mots de passe ?
À un moment où le piratage de données prend de plus en plus de l'ampleur, n’est-ce pas une nécessité première chez les développeurs de penser à plus de sécurité lorsqu’il s’agit de sauvegarder des données à caractère personnel ? Pour obtenir plus d’informations sur la méthodologie utilisée et les différentes conclusions retenues par l’équipe de recherche, vous pouvez consulter le rapport dans son entièreté. L’étude a montré que les étudiants et les développeurs freelances qui y ont participé à l'étude ont presque la même manière de procéder, c’est-à-dire qu’ils ne trouvent pas nécessaire de mettre en place une sécurité autour du stockage des mots de passe à moins d’y être invités. Est-ce parce qu’ils ne sont pas informés sur la qualité que cela apporte à un logiciel ou qu’ils ignorent les risques encourus par un système où les données ne disposent pas d’une sécurité qualifiable ?
Source : Rapport de l'étude
Et vous ?
Selon vous, pourquoi les étudiants et les développeurs indépendants n'ont pas jugé utile de sécuriser le stockage de mot de passe ?
En plus du salage et le hachage, de quelle autre manière pourrait-on sécuriser le stockage de mot de passe, selon vous ?
Voir aussi
Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutive et est suivi par « password » comme en 2017
La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, Selon un rapport
Les mots de passe Windows NTLM à 8 caractères peuvent être piratés en moins de 2,5 heures, selon des chercheurs
A l'avenir, vos réactions cérébrales pourraient devenir des mots de passe, car elles sont uniques et vous n'aurez rien à retenir
Partager