Cette fuite de données me rappelle une expérience vécue dans mon ancienne entreprise. J'ai vu les mots de passe des employés compromis, ce qui a permis à des pirates d'exploiter les données et le code de l'entreprise à des fins malveillantes. Ce sujet a fait grand bruit en 2017 ; vous pouvez le retrouver sur les réseaux sociaux. Être licencié dans ce cas était une infraction mineure ; certains ont même été emprisonnés.
Plus tard, j'ai été transféré à l'équipe de sécurité pour corriger cette vulnérabilité. Pour résoudre des problèmes similaires, nous avons développé un programme en Python. Nous avons configuré manuellement quelques mots-clés liés à l'entreprise et effectué des recherches quotidiennes dans les API sur des plateformes comme GitHub. Si nous trouvions des informations relatives à l'entreprise, nous envoyions immédiatement une alerte par e-mail, puis les analysions manuellement. Vous seriez surpris d'apprendre qu'avec une stratégie aussi simple, nous découvrions encore des fuites presque tous les deux mois.
Cela ne nécessite aucune technologie de pointe. Toute entreprise, de taille moyenne ou grande, devrait disposer d'un tel système pour se protéger. CSDN, en tant que plateforme, devrait disposer d'un mécanisme de détection pour alerter les auteurs. GitHub déploie déjà des efforts.
Je pense que beaucoup de développeurs manquent cruellement de connaissances en sécurité. Ils ne comprennent pas ce qui doit rester confidentiel, ne comprennent pas la différence entre clés privées et clés publiques, et ne savent même pas bien utiliser Git. Après avoir découvert le mot de passe, ils soumettent un commit pour le supprimer. WTF… 4/n
J'ai déjà écrit un articlecatcoding.me/p/avoid-mistak… des erreurs au travail](https://t.co/2TccYUbe0B), mais il n'est pas assez complet. La sécurité est un vaste sujet, voici donc quelques études de cas à titre de référence. Adoptez une attitude respectueuse envers votre travail, surtout lorsque votre code et votre travail affectent de nombreux utilisateurs. Même une petite erreur peut causer des dommages importants.
Une formation à la sécurité est également indispensable, dès l'embauche et régulièrement par la suite. Même les principes de sécurité les plus simples doivent être constamment inculqués aux employés. Pour une entreprise, il faut se protéger de la moindre difficulté. Une fois que l'effectif atteint un certain seuil, impossible de savoir où se situe le seuil minimum.
Je continuerai à écrire sur tout ce qui me vient à l'esprit. Notez que je n'ai pas mentionné le nom de l'entreprise. Ce problème de sécurité constitue une faille majeure. Les produits de l'entreprise sont principalement vendus aux États-Unis, grâce à la chaîne d'approvisionnement bien établie et à l'expertise technologique de Shenzhen. Les Américains ne sont pas aussi performants pour fabriquer des produits similaires. Par conséquent, cette fuite de données a été constamment remise en question, et dans le contexte de la guerre commerciale sino-américaine, la Chine exige également que les données ne soient pas stockées sur des serveurs américains.
Durant ces deux ou trois années, en tant que service Internet d'une entreprise de matériel informatique, nous avons consacré la majeure partie de notre temps à résoudre, corriger et corriger les failles. Nous avons progressivement réduit notre utilisation d'Amazon et migré autant que possible vers Alibaba Cloud, en utilisant également les serveurs d'Alibaba à l'étranger. Nous nous étions même préparés au pire : si tous les serveurs américains étaient fermés, nous avions déjà déployé un ensemble de serveurs sur les nœuds Alibaba Cloud en Europe.
La rumeur courait que notre entreprise était sur la liste noire américaine, mais elle n'a été officiellement ajoutée que longtemps après notre inscription effective. Durant cette période, l'entreprise était en proie à la panique, procédant à des cycles de rectification et d'introspection.
Bien qu'épuisé, la guerre commerciale de l'époque m'a donné une certaine motivation pour travailler, car j'avais l'impression de vivre un moment historique rare. D'ailleurs, si je me remémore la guerre commerciale dans quelques années, je me souviendrai sûrement de la sensation de rentrer chez moi, épuisé, et de m'y allonger.
Parlons maintenant de sécurité. Le matériel étant le cœur de métier de notre entreprise, nous devions naturellement nous doter d'outils et de protections réseau, un processus dans lequel j'ai investi un temps considérable. J'étais chargé d'évaluer les produits et de collaborer avec les fournisseurs tiers pour leur mise en œuvre au sein de l'entreprise. Tout au long de ce processus, j'ai réalisé à quel point ces fournisseurs de sécurité, pourtant puissants, peuvent être radins. Bien sûr, du point de vue de l'entreprise, cette radinerie est nécessaire ; nous devons également réaliser des économies.
Ce que je déteste particulièrement, c'est la pratique consistant à exploiter la réputation de sa propre entreprise. De nombreux fabricants espèrent capitaliser sur cet avantage, évinçant ainsi considérablement les fabricants tiers. Les périodes d'essai des produits sont prolongées à maintes reprises, parfois même pendant près d'un an et demi, sans même passer par le processus d'achat. Lorsque les essais ne sont plus vraiment disponibles, il faut lancer le processus d'achat, avec trois ou quatre entreprises parmi lesquelles choisir. Il est compréhensible que certains soient voués à devenir de la chair à canon.
Prenons l'exemple de la numérisation de code. Cet outil est proposé par de nombreux fabricants, tant nationaux qu'internationaux. Les fabricants étrangers ont naturellement été écartés, mais les fabricants nationaux étaient fabriqués aussi bien par de grandes entreprises que par des startups. J'ai testé deux produits des deux entreprises pendant au moins un an, et lorsque j'ai eu trop honte de leur envoyer un e-mail pour prolonger la période d'essai, j'ai finalement décidé de l'acheter. Après de longues négociations et quelques marchandages via d'autres canaux, le prix final était si bas que j'en avais du mal à y croire. 12/n
Disons les choses ainsi : le prix de cet ensemble d’outils de sécurité équivaut à peu près au salaire mensuel d’un ingénieur en développement de sécurité de niveau intermédiaire. Vous pouvez imaginer le défi incroyable que la partie B a dû relever, après des négociations aussi longues et ardues et l’ampleur des ressources humaines nécessaires à notre essai, pour finalement accepter ce prix. Mais un accord est toujours mieux que rien, n’est-ce pas ? Finalement, nous avons signé.
Au cours de ce processus, mes collègues et moi avons également été confrontés à la servitude du marché tiers, parfois très subtile. Par exemple, voyant que mon collègue aimait les chiens, une vendeuse l'a invité à aller courir et promener son chien le week-end, et une autre l'a invité à prendre un café le soir, et ainsi de suite. Bien sûr, nous étions tous des codeurs travailleurs et timides.
On comprend donc la tentation à laquelle ont dû faire face les employés du service des achats. Une année, plusieurs personnes du service des achats ont été arrêtées et emprisonnées. Nombre d'entre elles ont touché des pots-de-vin de fournisseurs, tandis que d'autres ont manipulé l'entreprise et vendu des produits de qualité inférieure. Plus tard, j'ai appris que la formation d'intégration du service des achats comprenait une visite en prison.
Il est difficile pour une entreprise de prendre la sécurité au sérieux si elle n'a jamais subi de pertes. L'entreprise pour laquelle je travaillais à l'époque était une licorne depuis de nombreuses années, réputée tant au niveau national qu'international. Mais avant cet incident majeur, sa gestion de la sécurité était assez arriérée. Et c'était le niveau qu'une entreprise se prétendant innovante technologiquement pouvait atteindre. Imaginez donc le niveau de sécurité des administrations publiques.