Quel utilisateur se soucie de la sécurité informatique ?
Par François Lasselin le mercredi, octobre 10 2007, 09:31 - Sécurité - Lien permanent
Il est courant dans nos sociétés occidentales de verrouiller sa voiture quand on la quitte ou de fermer sa porte la nuit. Mais à l'opposé, en informatique, on se protège peu. Le mot de passe reste écrit sur un post-it collé à l'écran quand il est imposé, et reste inexistant s'il ne l'est pas. Les sessions utilisateur restent ouvertes en permanence, etc... Pourtant, l'informatique occupe une place de plus en plus importante et concentre des informations personnelles ou professionnelles dont la valeur est comparable à des biens matériels.
Dans Paris, sur internet ou au téléphone, la sécurité informatique est présente (ou absente).
Cet été la mairie de Paris a mis en place les très médiatiques Vélib (location de vélo). Mais c'est oublié également l'ouverture de nombreuse borne wifi dans les lieux publics, idéal pour relever ces mails entre 2 rendez-vous ? Parfait pour passer des coups de fil en voip ? Pratique pour surfer sur ses sites favoris ? ... Peut-être. Mais ces réseaux ne sont pas sécurisés. Il est extrêmement simple grâce à l'écoute des données qui transitent sur un réseau sans fil Wi-Fi, d'accéder à des comptes mail (boîte pro, ou webmail yahoo, gmail, ..) ou à des sites internet Facebook, MySpace, LinkedIn ou Flickr. Les bornes parisiennes ne sont pas cryptées, toutes les données y transitent en clair. Se connecter à un site ou à sa boîte mail reviendrait à diffuser par onde radio son login et mot de passe (ou le cookie de connexion).
Il est donc facile d'écouter le réseau et de récupérer cookies, mot de passe et accès au service utilisé par l'internaute nomade. Des outils comme dsniff se révèlent particulièrement impressionnants de simplicité. Dsniff extrait les mots de passe d'un flux de données. Pratique pour vérifier la sécurité d'une installation cet outil n'en reste pas moins utilisable à de mauvaises fins. L'utilisation de protocoles sécurisés type https ou de vpn permet de fermer cette brèche, mais on perd l'aspect un pratique recherché initialement.Google est devenu un synonyme de recherche sur internet (un peu comme Sopalin à la place d'essuie-tout). Au delà du moteur de recherche, Google offre de nombreux services largement utilisés et répandus : Gmail, Gtalk, Gmap, Gcalendar, Google toolbar... Le succès initial de Google avec son moteur de recherche a pour origine la pertinence des résultats et l'efficacité de la publicité contextuelle. Ces 2 aspects sont dus à une orientation et à une politique orientées sur
- l'analyse (indexation) du contenu et
- son stockage.
- Les e-mails de gmail et les conversations de gtalk les agendas dans le gcalendar sont indexés.
- Les emails et conversations sont stockés. Effacez un mail, videz la corbeille, le message est toujours sur les serveurs Google..
On peut aujourd'hui considérer toute application Google comme un Spyware en puissance.Certaines entreprises en ont fait les frais. Des webagency avait l'habitude de déposer des éléments de travail sur un serveur web (pour les aller-retour avec le client, etc...). Un collaborateur accède via son navigateur à cet espace. Le collaborateur en question utilise la google toolbar. La toolbar enregistre les navigations de ses utilisateurs. Google analyse les navigations réalisées. Finalement, le robots google vient indexer les contenus et rend disponible des travaux qui n'étaient pas destinés à être diffusés. Les entreprises ont donc indirectement manqué de discrétion et violé le secret professionnel. “Google est ton ami ..." On est tenté de douter de ces affirmations. Difficile de penser que la toolbar est un mouchard !
Pourtant Google l'explique ici.
Les outils grands publics ne devraient donc pas être considérés comme utilisables dans un environnement professionnel.
La sécurité de l'information ne se limite pas à l'informatique. Dans une grande entreprise française privée près de l'étoile. On peut lire cette note dans les salles de réunions près des téléphones : « Ce téléphone est muni d'un interrupteur. Même raccroché, un téléphone est un amplificateur. Si vous estimez que le sujet de la réunion est confidentiel, déconnectez le téléphone à l'aide de l'interrupteur » C'est quand même assez fort! Est-ce trop ? Difficile à dire. Le piratage n'est pas un acte rare. Cet été a été particulièrement riche :
- Monster a subi un vol de données sur les profils de 1,3 million d'utilisateurs du portail (sur un total de 73 millions). Monster a confirmé que des noms, identifiants, adresses électroniques et postales ont été subtilisés, mais pas de numéros de compte bancaires.
- Le code source de facebook a été diffusé sur internet. Cela est dommageable à plusieurs niveaux, la valeur ajoutée d'un outil est dans le travail qui a été nécessaire pour le réaliser. Le diffuser revient à diffuser la recette pour le reproduire. La sécurité d'un service en ligne non open source repose en partie sur le fait que le code source n'est pas accessible. On ne peut donc a priori pas identifier les failles de sécurité..
Si une serrure 3 points est un bon compromis pour un appartement et si une enveloppe suffit à préserver la confidentialité d'un courrier alors pourquoi tous nos e-mails n'utilisent-ils pas PGP ? Il y a tant à dire sur ce sujet... Le sécurité est avant tout un compromis. « La sécurité » (absolue) n'existe pas, il faut parler de sécurité comme d'une échelle et de tel ou tel niveau à atteindre. Et d'ailleurs, la porte de chez vous est-elle suffisamment résistante ? Le niveau de sécurité est à adapter à la valeur des informations ou des biens à protéger. Une carte postale se dispense d'enveloppe, mais les entreprises devraient être plus attentives. Il est souvent beaucoup plus facile d'entrer par la ligne adsl que par la porte...
Commentaires
coucou, article très intéressént :) je me demandais ceque tu voulais indiquer dans cette précisionb : "un peu comme sopalin a la place d'essuie-tout" ... A+
Bonjour,
L'objet de cette phrase est d'illustrer le fait que des noms propres issus de marques prennent parfois la place de nom commun. Ainsi, dans le langage courant , le mot réfrigérateur a été remplacé par frigidaire (marque de Général Motors) ou Aspirine (laboratoire Bayer) a remplacé l'acide acétyl salicilyque et Walkman (Sony) le baladeur.
De même, Google devient google pour désigner la recherche sur internet mais ce n'est pas le point essentiel de l'article. J'espère que son complément rend la lecture plus aisée.
Bonne continuation
François