A moins d’y être explicitement invités, les développeurs n’accorderaient pas vraiment d’importance à la sécurité du stockage des mots de passe, selon une étude de l’institut d’informatique de l’université de Bonn (Allemagne) relayée par Developpez.com.
Aucun étudiant n’a créé son propre code
Les universitaires ont d’abord suivi 40 étudiants en informatique qui ont dû programmer un système d’enregistrement des utilisateurs pour un faux réseau social. Certains ont utilisé le framework Spring et l’autre Java (JSF). La moitié d’entre eux a eu pour consigne de mettre en œuvre un programme de sécurité pour l’enregistrement des utilisateurs.
Bilan. Les chercheurs ont remarqué que les étudiants qui n’avaient eu aucune directive n’ont pas conservé les mots de passe de manière sécurisée. Parmi les 20 autres, 12 sont parvenus à assurer un certain niveau de sécurité. Mais tous l’ont fait en recopiant une solution déjà existante. Aucun participant n’a écrit son propre code.
Les développeurs freelance n’ont pas fait mieux
Pour se défendre, les étudiants ont déclaré qu’ils auraient sécurisé leur système s’ils avaient travaillé pour une vraie entreprise. C’est pourquoi les chercheurs ont décidé d’étendre leur expérience à des développeurs en freelance selon les mêmes modalités. Engagés sur Freelancer.com, 43 développeurs ont été évalués. Et, là encore, lorsqu’ils n’étaient pas invités à le faire, ils n’ont pas mis en place un système de mots de passe sécurisé.
Même si les développeurs étaient conscients de travailler pour un client, «la qualité des solutions était comparable à celle des solutions des étudiants», note les auteurs de l’étude. Eux aussi ont proposé des copiés-collés plutôt qu’une programmation originale. Un comportement bien loin des bonnes pratiques en matière de cybersécurité.