Sujets-libres.fr

Informatique, logiciels libres, internet, humeurs et… le reste !

Perception de la sécurité informatique

Rédigé par -Fred- Aucun commentaire

La sécurité informatique n'est pas mon domaine d'activité professionnel. Je ne m'y intéresse qu'à titre personnel, parce que c'est un angle intéressant pour mieux comprendre des systèmes quels qu'ils soient dans leur globalité. Du coup, lorsque je tombe sur un nouveau système, j'ai tendance malgré moi à rechercher d'abord quels sont les moyens d'en abuser, qu'est-ce qui ne va pas et qu'est-ce qui pourrait être amélioré. L'idée n'est pas de le faire pour exploiter la chose (ce qui peut être répréhensible dans certains cas) mais plutôt d'aiguiser mon esprit critique.

Ceci étant dit, je vois régulièrement des situations potentiellement problématiques et pour lesquelles les utilisateurs ou les responsables (des systèmes concernés) ne s'alarment pas.

L'administrateur qui oublie juste la sécu

Un exemple parmi d'autre, combien de sites web vous réaffichent votre mot de passe suite à votre inscription ou pire, vous l'envoi par mail ensuite ? On en voit de moins en moins mais quand même, on en trouve toujours dans la nature. Nul besoin d'être un spécialiste pour comprendre que dans ce cas de figure, votre mot de passe ne peux être que stocké en clair en base de donnée. Zéro protection et à la moindre fuite de la base de donnée, vous perdez. J'ai même connu un site qui, pour je ne sais quelle raison, me renvoyait périodiquement mon login et mon mot de passe en clair par mail. Sans commentaire...

L'utilisateur qui ne veut pas de contraintes

L'utilisateur lui même a sa part de responsabilité. Les mots de passe ne sont certes pas la panacée mais on doit encore souvent faire avec. Ils sont souvent perçu comme une contrainte (il faut à la fois en avoir un plutôt robuste, s'en souvenir (avec ou sans outils dédiés) et ne pas le réutiliser ailleurs). L'utilisateur lui veut juste accéder à un service et j'en croise régulièrement qui préfèrent sacrifier cette sécurité pour un peu plus de confort et de rapidité. J'ai à travailler avec des utilisateurs qui ont à gérer leurs identifiants. Ils sont nombreux à me donner leur mot de passe si je dois intervenir sur leur compte alors que je peux faire autrement (réinitialisation temporaire si besoin puis procédure pour qu'ils renseignent leur nouveau mot de passe). Personne n'a rien à cacher mais pourtant, on ferme presque tous la porte des toilettes quand on y va, allez comprendre...

Soit dit en passant, le mots de passe que l'on me communique sont systématiquement faibles (aussi faible que peut le permettre le système qui les demandent en tout cas).

L'utilisateur je m'en foutiste actif

L'utilisateur, toujours lui, n'est parfois pas très regardant sur ses propres données (ça le regarde) mais ne l'est pas plus lorsqu'il s'agit des données des autres. Je n'ai pas de compte Facebook mais probablement que grâce à quelques unes de mes connaissances, je dispose peut être déjà un compte fantôme chez eux grâce aux fonctionnalités telles que le partage des contacts, le tag de photos où je pourrais apparaître à mon insue, etc...

Ceci dit, l'envoi de mail à une liste de plusieurs utilisateurs avec tout le monde en destinataire principal ou en cc, c'est pareil. On peut vouloir faire les choses bien, on reste à la merci des ceux qui s'en foutent (j'ai encore eu le cas récemment avec mon adresse mail professionnelle). On peut limiter la casse en utilisant des adresses mail uniques par exemple mais bon, quand on peut le faire, c'est une démarche supplémentaire et ça ne résous pas le problème de fond.

Le développeur "pragmatique"

Il y a quelques années, dans une ancienne boîte où je travaillais, une application développée en interne par un cadre (de bonne volonté mais non informaticien) a été mise en production. L'outil servait au suivi temps réel des ordres de fabrication dans l'entreprise. Jusqu'à là, rien d'anormal, l'application nécessitant entre autre la création d'un compte pour chaque utilisateur interne. En regardant de plus près, je me suis rendu compte que cette application posait plusieurs problèmes plus ou moins importants :

  • Premier problème, les mots de passe : en plus d'être imposés par le concepteur de l'outil aux utilisateurs, il s'agissait en fait de la date de naissance (la justification ? ça au moins les utilisateurs s'en souviennent). Là, c'était juste un gros gag car non comptant de choisir un mot de passe faible et prédictible, cela montrait un vrai problème organisationnel dans la mesure où même un cadre ne doit pas avoir accès à des données RH (qui plus est sans le consentement des utilisateurs !).
  • Second problème, par mesure de simplicité, l'application en question était basée sur une feuille excel bourrée de macro cachées et interrogeant une base MySQL. Ce qui était drôle là dedans, c'est qu'il était possible depuis n'importe quel poste du SI d'interroger cette base de données et d'en ressortir par exemple toutes les informations personnelles des utilisateurs internes ou de tout casser ni vu ni connu. Même dans le cadre d'une application interne dans une boîte de quelques centaines de personnes, on ne peux pas exclure de potentielles usurpations d'identité ou des actes de malveillance interne.
  • Dernier problème, j'ai pu voir ces choses sans avoir accès aux sources de l'application. En effet, le développeur pratiquait ce que l'on nomme pudiquement de la rétention d'information (mais il ne manquait pas d'apposer son copyright sur l'application en question ; ce qui soit dit en passant n'a pas la moindre valeur dans ce contexte). Il est très compliqué dans ces conditions de travailler sereinement afin de faire corriger ce qui doit l'être.

J'ai remonté ces problèmes mais cela n'a été suivi d'aucun effet. J'ai bien compris que la sécurité, dans le cas présent, ce n'était pas la priorité.

Conclusion

Ces quelques exemples montrent que la sécurité n'est pas tant un problème technique qu'un problème humain avant tout. Il existe toujours des solutions relativement efficaces aux problèmes de sécurité mais si, pour de bonnes ou de mauvaises raisons elles ne sont pas mises en œuvre, elles ne servent à rien.

Écrire un commentaire

Quelle est la cinquième lettre du mot lgbpas ?

Fil RSS des commentaires de cet article