Bonjour,
Oui, il existe des risques majeurs à l’utilisation de widgets personnalisés (widgets intégrés via le « Custom url » ou via le « Custom Widget Builder ») : code malveillant ou failles de sécurité. Nous observons par ailleurs que nombre de ces widgets sont créés avec l’IA, et que le code n’est pas toujours maîtrisé, ce qui est encore plus dangereux.
Pour les instances DINUM et ANCT, le positionnement est très clair :
- Nous recommandons uniquement l’utilisation des widgets présents dans la bibliothèque de widgets personnalisés
- Nous allons faire une sélection de plusieurs widgets, ceux que nous jugeons les plus utiles
- Nous allons auditer cette séléction de widgets - et seuls ceux dignes de confiance après audit, et maintenables seront ajoutés à nos instances (par exemple, les custom widgets dont le vibecode a produit du code illisible par les humains ne seront pas retenus)
- Nous allons proposer un guide de contribution, pour donner des lignes directrices pour le développement des custom widgets - pour qu’ils soient potentiellement intégrables aux instances de l’Etat
- Nous allons ajouter un bandeau préventif à tous les posts forum présentant des widgets personnalisés. Nous mettrons aussi en place de la sensibilisation sur nos canaux internes.