La sécurité sur Internet expliquée à ma maman
Et la sécurité sur Internet, elle en est où ?
C’est plus ou moins la question que me posait un journaliste récemment. Avouons –le, Kitetoa.com a mis en sommeil ses articles sur les sites mal configurés à l’exception de quelques-uns (principalement des spammeurs). Pourquoi ? N’était-ce pas ce qui avait contribué à la renommée du site ?
Si. En effet. Mais comme rien ne change vraiment en proportion, qu’il y a toujours à peu près autant de sites mal configurés laissant filer les données personnelles des visiteurs crédules, il nous semble que ces articles ont un aspect répétitif qui est un peu lassant in fine.
Vous l’aurez compris, il y a toujours un vrai problème de sécurité sur ce réseau. Mais les choses ne sont pas toutes blanches ou toutes noires. Dans le même temps, le niveau de sécurité a énormément augmenté ces dernières années. Paradoxe ?
Non.
Développons...
Le Net est un réseau peu sûr. Vouloir y faire transiter des données de manière sécurisée est donc à priori une hérésie. Voici ce que disait à ce propos Dr. Mudge il y a de nombreuses années dans une interview accordée à Kitetoa.com : « The root of the matter stems from people wanting to conduct business and commerce in a secure fashion when the foundation they want to do this on was never intended to be a secure commerce setting ».
Pour autant, la présence forte de sites à vocation commerciale sur le Net s’explique assez simplement. Ce réseau est devenu un standard de fait. Adopté par une large majorité d’utilisateurs, il permet à Mme Michu de faire ses courses tout en faisant, sans le savoir, de l’informatique. Elle fait de l’informatique complexe sans même s’en rendre compte. C’est toute la puissance de ce réseau. Il met à disposition de ses utilisateurs des outils simples, abordables, intuitifs.
Vu le faible niveau de sécurité et les articles de plus en plus fréquents, y compris dans la presse grand public, sur les incidents mettant en cause des données personnelles, les responsables de sites marchands (banques, vente en ligne, etc) ont massivement investi dans des produits de sécurité informatique.
D’autant que les sites marchands étaient peu à peu reliés à leur infrastructure interne. Pour vendre un produit, il faut bien interroger la base de données qui concerne les stocks, envoyer un ordre de livraison, etc. Il fallait onc protéger ce lien entre l’externe (le site) et l’interne (le système d’information). Qui plus est, le protocole HTTP étant devenu la norme, celui-ci s’est imposé en interne. Intranets, Extranets, applications métier, bref, tout passe sous IP et tout devient « web compliant ».
La demande en produits de sécurité très pointus s’est développée. Et le paysage n’a plus rien à voir avec celui de la dernière moitié des années 90.
On peut toujours construire des murs, des défenses, des remparts, même autour d’une ville. Il suffit de s’y mettre. C’est ce qu’on fait la plupart des entreprises.
Ceci étant posé, il y aura toujours des gens armés d’une bonne dose de volonté, d’ingéniosité de temps pour percer ces défenses. Ces gens là ont toujours existé et existeront toujours. Ce n’est pas une nouveauté, Sun Tzu dissertait déjà sur le sujet vers le Vème siècle avant Jésus Christ.
D’autant que la ville s’étend à peu près au même rythme que la construction des remparts. Un tout petit peu plus vite même. Ce qui fait qu’il faut construire de nouvelles protections en permanence. Certaines maisons restent isolées à l’extérieur des remparts. Il y a en effet une croissance énorme du nombre de machines connectées au réseau et parfois, de manière erratique. Augmentant de fait le nombre de points d’entrées possibles et les risques d’erreurs.
Il suffirait de demander à une grande entreprise de dresser un plan précis de son réseau pour s’en convaincre. Combien de machines ? A quels endroits ? Quels logiciels et quelles versions sont installées sur les machines ? La liste des ports ouverts, les protocoles acceptés, combien de modems oubliés dans un coin, de machines de développement...
Ne parlons même pas de la téléphonie. Tous les efforts de protection sont concentrés sur la porte d’entrée d’Internet. Pas grand chose pour la téléphonie qui est aujourd’hui, la plupart du temps, installée sur un ordinateur en contact avec le réseau interne. Il n’y a donc probablement à ce stade ni vainqueur ni vaincu dans la lutte entre sécurité et insécurité. Il n’est pas certain que les opposants soient départagés dans un avenir proche.
Ceci dit, contrairement à une idée reçue, les grands perdants en cas de problème ne seront peut être pas ceux que l’on croit. Les cabinets de conseil relayés par la presse nous rabâchent les oreilles avec le risque de cyber guerre. Selon eux, les Etats et les entreprises sont ceux qui souffriraient d’une attaque informatique de grande envergure.
Pas certain. Il est fort possible que ce soient les utilisateurs qui payent les pots cassés.
Depuis des années, les acteurs du secteur des NTIC mettent à disposition des utilisateurs, et principalement de Mme Michu, des outils qui lui simplifient la vie. C’est l’effet Web 2.0. L’utilisateur fait de l’informatique sans le savoir, sans même s’en rendre compte. Il devient acteur, produit des contenus, participe, etc.
Là où par le passé il y avait l’IRC pour discuter en temps réel, le mail pour échanger du courrier asynchrone, le Web pour consulter des contenus, Usenet pour échanger dans des forums de discussion, il y a maintenant des outils qui intègrent toutes ces fonctionnalités et concentrent tous les flux, tous les contenus dans une seule main.
Le concept du Panoptique trouve ici une concrétisation à l’heure cyber.
Comme l’indiquait au Monde 2 dans un article sur les risques liés à l’évolution du réseau, Ryan Junell, désormais, les gens remplissent leurs fiches de police eux-mêmes. Les services de renseignement ayant, avec le Net version Web 2.0, externalisé leur travail auprès de ceux-là mêmes qui font l’objet de leur attention. Le juriste Sébastien Canevet, estimait pour sa part dans le même article que « la fracture numérique se situe […] entre ceux qui se font utiliser par le Net et ceux qui savent l’utiliser ».
La concentration entre les mains d’une seule entreprise des flux échangés par les utilisateurs ainsi que leurs données personnelles pose un vrai problème.
Premier problème, en cas de piratage de cette entreprise, toutes les informations sont immédiatement collectées par une personne mal intentionnée. Les possibilités de chantage, d’usurpation d’identité, d’actes malveillants deviennent purement monstrueuses.
Sans être complètement paranoïaque, c’est probablement parce que l’on n’a pas encore vu d’article parlant du piratage complet d’un des sites de ce genre (Facebook ou Twitter par exemple, même si quelques articles commencent à rendre compte de failles) qu’il faut s’inquiéter. En matière de sécurité informatique, ce qui doit inquiéter les entreprises et les particuliers, c'est ce qui ne se voit pas, pas ce qui est révélé.
Deuxième problème, la génération des 15-20 ans actuelle. Elle n’a aucune compréhension technique de ce qui se passe sur ce réseau. Mais elle l’utilise énormément. Combien de photos de soirées arrosées, de poses suggestives, de déconnades potaches fixées à tout jamais sur le Net ? C’est bien la dernière chose à laquelle doit penser un adolescent aujourd’hui, mais les directions des ressources humaines ne manqueront pas de tomber sur ce genre d’informations le jour où ils postuleront pour un poste. Et ce ne sont pas les fausses protections de la vie privée proposées par ces sites qui empêcheront les DRH de se faire une idée fausse.
Bienvenue dans le Web 2.0.
Si le Web 2.0 ressemble déjà à ça, à quoi ressemblera la suite ?
