Sabotage du code source de mon site par un dev


#1

Bonjour,
j’aimerais savoir si il est possible qu’après la livraison de mon site sur mon serveur, mon prestataire (c’est un développeur web) pouvait saboter le code source et donc le site ?
Si cela est le cas comment puis-je m’en prévenir ?
Merci d’avance.


#2

En fait, en théorie non, en pratique tout dépend du niveau de sécurité qui a été mis en place.
Le développeur avait-il accès au site de production :

  • Si non, pas de soucis à avoir. Une fois le code déployé, il ne conserve pas de lien avec l’ancien.
  • Si oui : danger. Il faut supprimer l’ensemble des accès à la production qu’il avait pour s’assurer qu’il ne peut pas revenir dessus. Si l’accès ce fait par un compte générique (99 % des cas), il faut changer le mot de passe de ce compte.

Si le site permet de lui mm d’injecter du code (sous forme de plugin ou autre).
Il faut supprimer les accès au site à ce développeur, changer les mots de passe des comptes génériques.

Enfin, dernier cas, il est également possible que la personne est mis en place des routines ou des actions dans le code qui ne s’active qu’à partir d’une certaine date (mais dans ce cas, il t’en veux vraiment).
La, il faut juste lire le code est identifier les zones à problèmes.

Mis à part le dernier cas, les points que j’ai énoncé ne sont pas un minimum de la sécurité qui devrait être mise en place à partir qu’un développeur (prestataire ou non) quitte une structure.


#3

D’une manière générale, faire ce genre de chose n’est pas très malin.
Si j’ai un contrat ou un historique avec vous, même en cas de désaccord, je ne vais pas détruire le site :
c’est ma réputation professionnelle, notre contrat, et ma responsabilité légale en jeu.

Réglez ça ensemble à l’amiable ou lancez une riposte légale.

Par contre si votre site a été saboté par quelqu’un d’autre, il est vulnérable.
Que ce soit par la volonté du dev (il vous attaque, mais pas avec ses accès habituels pour ne pas qu’on l’attrape), par la faute du dev ou des outils (le site n’était pas sécurisé) ou pour une autre raison (un attaquant a trouvé une faille même si votre dev était bon et de bonne foi), je vous recommande de trouver très rapidement un prestataire pour audit et correctif de sécurité.


#4

Tout est possible. Qu’il l’ait fait ou non. Il n’y a rien d’autre à ajouter.

Il a peut être laisser une faille volontairement tout comme ça peut être un plugin qu’il a utilisé qui en a introduit une (intentionnellement ou non c’est un autre débat) et ce n’est pas de la mauvaise intention de la part du dev. Le mieux est de voir avec lui.

Le web est plein de robots à la recherche de failles. Et ils ne le font pas pour un internet plus sûr.


#5

Merci à tous pour ces renseignements et votre aide pour tous ces éclaircissements !!! Je reviens vers vous rapidement après la livraison de mon site car rien ne se passe comme prévu.