1. #1
    Membre confirmé
    Homme Profil pro
    ValueError
    Inscrit en
    avril 2016
    Messages
    395
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : ValueError

    Informations forums :
    Inscription : avril 2016
    Messages : 395
    Points : 533
    Points
    533

    Par défaut Les développeurs sont-ils de plus en plus incompétents en sécurité informatique ?

    Salut à tous !


    Je viens pester ici, car je n'en peux plus ! Je vais devenir dingue ! J'ai besoin de comprendre !
    Et où à part sur un forum fréquenté par des développeurs professionnels pourrais-je avoir ne serait-ce qu'un début d'explication ?

    Une chose qui commence à me taper sur le système est cette mode du digicode mot de passe à 4, 6 ou 8 chiffres, mais qu'est-ce que c'est que ce bins ?
    C'est en train de se répandre sur internet comme une trainée de poudre, et surtout paradoxalement sur des sites à données sensibles, c'est dingue !

    Comment les administrateurs et développeurs peuvent-ils implémenter ce genre de truc ? Sont-ils réellement incompétents ?
    N'y a-t-il plus de formations en sécurité dans le développement web ? Dans l'administration de sites web ? Ça coûte trop cher ? Y a t-il autre chose sous-jacent de moins évident ?
    Je ne comprends pas.

    Ce qui est pire, c'est que parfois ce digicode est inexistant dans certaines parties de ces sites, c-a-d que la saisie du mot de passe se fait au clavier dans un champ de formulaire html, alors autant dire que pour faire un brute force sur un nombre à 4, 6 ou 8 chiffres, c'est du gâteau, et même s'il y avait un éventuel blocage sur un compte après x tentatives échouées, il est évident que l'on tombera inéluctablement sur un bon mot de passe de tel compte au bout d'un moment, et je suis certain que ça doit être encore plus simple.

    Je ne suis pas un as en sécurité informatique, bien au contraire, ni même en crack de mots de passe (ça ne m'intéresse pas), je ne bosse pas dans l'informatique, mais quand même, pas besoin d'être sorti de saint-cyr pour se rendre compte que ces systèmes sont foireux.

    Et si j'ai besoin d'entrer un mot de passe avec ce *!§%! de digicode dans un lieu public où n'importe qui peut zieuter mon écran, parce que oui, tant qu'à faire, faisons des digicodes gigantesques, histoire que tout le monde puisse le voir de loin ! Je dois amener une couverture avec moi pour faire une isolation entre moi et mon écran avec le reste du monde ?

    Un autre exemple d'incompétence, j'ai modifié récemment mes coordonnées bancaires pour un service nécessaire duquel j'ai un prélèvement automatique chaque mois (type fournisseur de flotte, énergie, tél.), vous savez quoi ? Ces idiots m'ont envoyé un email de confirmation avec mes nouvelles coordonnées bancaire en clair dans l'email, aaaaahhhhhh, au-secours, pourquoi ? Mais pourquoi ?

    Je suis conscient que la sécurité informatique est un domaine très pointu, mais tout de même, il y a des bases que tout développeur devrait connaître, et je suis certain que même pour un utilisateur lambda sensé, pour lequel se retrouver devant un écran ne rend pas bête comme ses pieds (bon ça court pas les rues je sais), doit aussi se rendre compte que c'est problématique d'un point de vue confidentialité et sécurité des données.

    Aussi, mais pourquoi les sites de banques en lignes, ou autres types de sites avec données très sensibles viennent insérer des scripts google externes ou autres scripts de clouds alakon ? Au-secours !

    Remarque, lorsqu'on voit que même sur un site de développeurs pros en informatique, on vient également insérer du javascript google, on comprend le pourquoi du comment (moinssez-moi pour ce tacle gratuit, je l'ai bien mérité).

    Note: J'ai voulu écrire dans la partie débats sur le développement, mais je me suis ravisé, car mon sujet ne respecte sans doute pas la forme requise pour un vrai débat objectif, même si pour moi, ce sujet est bien sérieux.

  2. #2
    Expert éminent
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    6 702
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 6 702
    Points : 9 433
    Points
    9 433
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  3. #3
    Membre éprouvé

    Homme Profil pro
    Retraité
    Inscrit en
    juin 2012
    Messages
    575
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Retraité
    Secteur : Biens de consommation

    Informations forums :
    Inscription : juin 2012
    Messages : 575
    Points : 1 048
    Points
    1 048

    Par défaut

    Une chose qui commence à me taper sur le système est cette mode du digicode mot de passe à 4, 6 ou 8 chiffres
    Il y-en a un à six chiffres pour la banque postale, mais les chiffres n'ont jamais la même position dans la grille. Pour valider l'entrée il ne faut pas seulement les chiffres mais aussi la position x,y exacte qu'ils occupent.

  4. #4
    Expert confirmé
    Homme Profil pro
    Analyste/ Programmeur
    Inscrit en
    juillet 2013
    Messages
    2 361
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Analyste/ Programmeur

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 361
    Points : 5 324
    Points
    5 324

    Par défaut

    Citation Envoyé par mm_71 Voir le message
    Il y-en a un à six chiffres pour la banque postale
    Ou le site de Paul (<- Pôle Emploi) ... chacun ces références

  5. #5
    Membre émérite
    Avatar de Pyramidev
    Homme Profil pro
    Développeur
    Inscrit en
    avril 2016
    Messages
    573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : avril 2016
    Messages : 573
    Points : 2 587
    Points
    2 587

    Par défaut

    Bonjour,

    Citation Envoyé par bistouille Voir le message
    Et si j'ai besoin d'entrer un mot de passe avec ce *!§%! de digicode dans un lieu public où n'importe qui peut zieuter mon écran, parce que oui, tant qu'à faire, faisons des digicodes gigantesques, histoire que tout le monde puisse le voir de loin ! Je dois amener une couverture avec moi pour faire une isolation entre moi et mon écran avec le reste du monde ?
    Pour clarifier les propos de mm_71, l'avantage d'un pavé numérique à l'écran dont les chiffres ont une position aléatoire est que, si ton ordi se fait pirater de telle sorte que l'attaquant sait sur quelles touches tu as appuyé et quels mouvements tu as fait avec ta souris mais ne sait pas ce que tu vois à l'écran, alors il ne saura pas quel code tu as entré.
    Pour plus d'infos, tu peux faire des recherches avec le mot-clef keylogger. Exemple : page Wikipédia en français.

    Citation Envoyé par bistouille Voir le message
    Un autre exemple d'incompétence, j'ai modifié récemment mes coordonnées bancaires pour un service nécessaire duquel j'ai un prélèvement automatique chaque mois (type fournisseur de flotte, énergie, tél.), vous savez quoi ? Ces idiots m'ont envoyé un email de confirmation avec mes nouvelles coordonnées bancaire en clair dans l'email, aaaaahhhhhh, au-secours, pourquoi ? Mais pourquoi ?
    Ça, par contre, c'est un vrai problème. Mais tu ne peux pas savoir si cette erreur de conception a été faite par un développeur.

    Comme l'illustre le lien de Jipété, les développeurs suivent les ordres qu'on leur donne. La même image en version originale (en français) :
    Nom : Strip-Daily-coder-mot-de-passe-en-clair-650-finalV2.jpg
Affichages : 200
Taille : 271,4 Ko
    URL : http://www.commitstrip.com/fr/2018/0...functionality/

  6. #6
    Expert confirmé Avatar de ManusDei
    Homme Profil pro
    vilain troll de l'UE
    Inscrit en
    février 2010
    Messages
    1 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : vilain troll de l'UE

    Informations forums :
    Inscription : février 2010
    Messages : 1 552
    Points : 4 051
    Points
    4 051

    Par défaut

    L'entreprise de ma conjointe en est à la 3ème case. Pour le moment.
    http://www.traducteur-sms.com/ On ne sait jamais quand il va servir, donc il faut toujours le garder sous la main

  7. #7
    Expert éminent
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    6 702
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 6 702
    Points : 9 433
    Points
    9 433

    Par défaut

    Citation Envoyé par ManusDei Voir le message
    L'entreprise de ma conjointe en est à la 3ème case. Pour le moment.
    Imprime-lui le strip, et qu'elle en laisse traîner des exemplaires à la cantine (si elle existe) ou à la machine à café ou à d'autres endroits stratégiques.
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  8. #8
    Membre émérite
    Femme Profil pro
    dba
    Inscrit en
    juillet 2007
    Messages
    3 919
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Canada

    Informations professionnelles :
    Activité : dba

    Informations forums :
    Inscription : juillet 2007
    Messages : 3 919
    Points : 2 525
    Points
    2 525

    Par défaut

    En tant que dba, si j'avais gagné 100$ à chaque fois que j'ai conseillé de crypter les colonnes des mots de passes (et même de les configurer sensible à la casse)...

  9. #9
    Expert éminent sénior
    Profil pro
    Inscrit en
    décembre 2007
    Messages
    4 975
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : décembre 2007
    Messages : 4 975
    Points : 21 432
    Points
    21 432

    Par défaut

    Citation Envoyé par 7gyY9w1ZY6ySRgPeaefZ Voir le message
    (et même de les configurer sensible à la casse)...
    Comme ton login sur DvP?

    J'exècre le case sensitive(mais je peux le comprendre dans certains cas).
    Les 4 règles d'airain du développement informatique sont, d'après Michael C. Kasten :
    1)on ne peut pas établir un chiffrage tant qu'on a pas finalisé la conception
    2)on ne peut pas finaliser la conception tant qu'on a pas complètement compris toutes les exigences
    3)le temps de comprendre toutes les exigences, le projet est terminé
    4)le temps de terminer le projet, les exigences ont changé
    Et le serment de non-allégiance :
    Je promets de n’exclure aucune idée sur la base de sa source mais de donner toute la considération nécessaire aux idées de toutes les écoles ou lignes de pensées afin de trouver celle qui est la mieux adaptée à une situation donnée.

  10. #10
    Membre émérite
    Femme Profil pro
    dba
    Inscrit en
    juillet 2007
    Messages
    3 919
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Canada

    Informations professionnelles :
    Activité : dba

    Informations forums :
    Inscription : juillet 2007
    Messages : 3 919
    Points : 2 525
    Points
    2 525

    Par défaut

    Citation Envoyé par el_slapper Voir le message
    Comme ton login sur DvP?
    Tout à fait !
    Citation Envoyé par el_slapper Voir le message
    J'exècre le case sensitive(mais je peux le comprendre dans certains cas).
    Pour un mot de passe, le comprends-tu ?

  11. #11
    Membre actif
    Inscrit en
    mai 2006
    Messages
    70
    Détails du profil
    Informations forums :
    Inscription : mai 2006
    Messages : 70
    Points : 223
    Points
    223

    Par défaut

    Comme ça son login est securisé, mais comme mot de passe il utilise son prenom :p

  12. #12
    Membre émérite
    Femme Profil pro
    dba
    Inscrit en
    juillet 2007
    Messages
    3 919
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Canada

    Informations professionnelles :
    Activité : dba

    Informations forums :
    Inscription : juillet 2007
    Messages : 3 919
    Points : 2 525
    Points
    2 525

    Par défaut

    Citation Envoyé par virginieh Voir le message
    Comme ça son login est securisé, mais comme mot de passe il utilise son prenom :p
    Je suis découvert !

  13. #13
    Expert confirmé Avatar de ManusDei
    Homme Profil pro
    vilain troll de l'UE
    Inscrit en
    février 2010
    Messages
    1 552
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : vilain troll de l'UE

    Informations forums :
    Inscription : février 2010
    Messages : 1 552
    Points : 4 051
    Points
    4 051

    Par défaut

    Citation Envoyé par Jipété Voir le message
    Imprime-lui le strip, et qu'elle en laisse traîner des exemplaires à la cantine (si elle existe) ou à la machine à café ou à d'autres endroits stratégiques.
    Elle s'est déjà engueulée avec le RH sur le sujet donc elle va éviter (car en plus c'est interdit par la CNIL).
    http://www.traducteur-sms.com/ On ne sait jamais quand il va servir, donc il faut toujours le garder sous la main

Discussions similaires

  1. Réponses: 100
    Dernier message: 31/03/2014, 14h56
  2. Les développeurs sont-ils condamnés par leurs convictions ?
    Par Hinault Romaric dans le forum Actualités
    Réponses: 33
    Dernier message: 27/03/2014, 19h49
  3. Les développeurs sont-ils des destructeurs d’emploi ?
    Par Hinault Romaric dans le forum Débats sur le développement - Le Best Of
    Réponses: 448
    Dernier message: 13/09/2013, 17h11
  4. Les développeurs sont-ils des destructeurs d’emploi ?
    Par Hinault Romaric dans le forum Actualités
    Réponses: 345
    Dernier message: 05/05/2013, 17h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo