Popcorn disallow

Si tu t'attendais, gentil lecteur bienveillant, à trouver des noms ou des indices en clair dans l'article, c'est raté.

Par contre, des mises en garde, oui.

Cela fait le 3ème outil que j'utilise qui comporte une faille de sécurité. C'est une fois de trop pour moi, d'où la motivation de rédiger un rapide billet de blog ici. Quand je parle de faille :

  1. Le genre de truc qui vient sans prévenir. J'utilise l'outil le plus simplement du monde, comme il est prévu de le faire. Et après une action (par exemple, valider un formulaire) j'ai à l'écran des informations que je ne devrais pas avoir. Des informations qui ne concernent pas MA transaction, mais celles d'autres utilisateurs de l'outil. C'est donc un bug, qui livre en clair des informations très confidentielles, sur des personnes, leurs préférences et leurs utilisations.
  2. Le truc que tu fais par curiosité, un clic droit sur un lien qui te permet d'avoir accès à une partie à laquelle personne d'autre que le développeur ne devrait accéder. Et là ce sont les infos de la plateforme qui sont livrées en clair.
  3. Le truc où tu changes un ID auto-incrémenté dans l'URL du navigateur, pour voir. Et là, paf! tu peux parcourir tout le fichier client un par un.

A chaque fois, j'ai contacté immédiatement la personne responsable (par chance c'est souvent en phase de lancement car je suis très early adopter). Ensuite, je ne fais pas de suivi : que le bug ou la faille soit patché(e), cela ne me concerne plus. Par contre je n'utilise plus l'outil ou la plateforme. Chat echaudé craint l'eau froide...

Si jamais Julien Gadhano lit ces lignes, je lui ai même fait sa pub ^^

S'il vous plaît, testez et faites tester vos développements !

Pour que ce soit bien clair : dans les 3 cas ci-dessus, je ne suis jamais allé plus loin que :

  • valider un formulaire en ligne tout ce qu'il y a de plus normal
  • faire un clic droit sur un lien pour l'ouvrir dans une nouvelle fenêtre
  • changer un chiffre qui est en clair dans le paramètre d'une URL

Rien qui ne relève donc du domaine fantasmagorique du hacking. Juste une action que n'importe qui peut faire. Et c'est bien ce qui m'inquiète...

Imaginez ce qu' {un outil | une plateforme | un site} destiné à faire {son netlinking | ses audits SEO | son monitoring de mots-clés} (aucun indice en rapport avec mes 3 mésaventures, je prends les besoins les plus génériques en SEO) peut avoir à livrer comme informations stratégiques.

Le SEO étant par définition concurrentiel (votre client, énième acteur sur un secteur sans réél avantage différençiant, veut se positionner comme les dizaines d'autres de ses compétiteurs dans les 3 premières SERPS de Google), il va sans dire que la sécurité devrait être la priorité de tout développement d'outil. Sans quoi il est possible sur un malentendu de tomber sur de précieuses informations qui permettent de connaître tout ou partie de la stratégie de référencement naturel mise en place...

Si vous souhaitez mettre en place un outil SEO sans être développeur vous-même (vous avez donc sous-traité), rappelez-vous la base de la profession : être curieux

Si vous l'êtes dans vos actions SEO, pourquoi ne pas l'être avec vos propres outils ?

Cherchez la faille dans vos programmes tout comme vous cherchez à comprendre comment Google classe les sites dans ses pages de résultats.

De l'autre côté, j'appelle les SEO à faire preuve de plus de prudence lorsqu'ils utilisent des outils en ligne (qui peuvent donc être par définition piratés) avec ces quelques conseils par exemple :

  • Ne prenez pas d'identifiant qui permette de vous retrouver immédiatement
  • Utilisez une adresse email dédiée et non explicite (par exemple, achetez un NDD whois masqué juste pour pouvoir utiliser un mail)
  • Choisissez des mots de passe à usage unique (par site) et forts 
  • Si l'outil émet des factures et exige une adresse, pourquoi ne pas faire appel à un service de boîte postale si vous êtes une entreprise ? 

Enfin, pour avoir une idée de ce qu'un développeur peut avoir dans la tête, je vous invite à (re)lire l'interview de Didier Sampaolo pour le blog Beta Test à l'occasion du TeknSeo 2013 : http://beta-test.me/post/beta-test-wassistant

Et sinon, il n'y a pas que moi qui le dit, cf. https://twitter.com/512banque/status/1182325081663578118 :

Les gars ça sert à rien de vous précipiter à sortir un truc pas prêt, mieux vaut au contraire laisser les autres sortir en premier, et arriver avec une offre meilleure + un outil de migration. L'avantage n'est pas toujours à celui qui tape en premier. "measure twice, cut once"