Blog

Vie privée, vie publique ou bien gérer la sécurité informatique

Vie privée, vie publique ou bien gérer la sécurité informatique

Posté le dimanche 2 avril 2017 à 12:51:02

L'informatique est un monde à part qui présente certaines similitudes avec le monde réel. Il peut être divisé en deux parties: l'espace privé et l'espace public. La frontière entre les deux univers n'est pas un mur en brique ou en béton, mais le routeur, la fameuse box des fournisseurs d'internet, comme Orange®, Free®, Bouygues Telecom® ou SFR/Numericable® par exemple, pour ne citer que les principaux. Côté cable téléphonique (ADSL, VDSL) ou de la fibre optique, c'est le monde public (dénommé WAN en anglais), la jungle qui nourrit les médias et réseaux sociaux d'histoires croustillantes et souvent fantasmatiques, et côté prise Ethernet (format RJ45) ou Wifi, c'est le monde privé (dénommé LAN en anglais, L pour Local).

Une usage standard de l'internet consiste à maintenir une bonne étanchéité entre les deux mondes, à savoir que les commandes informatiques permettant de prendre le contrôle des objets dans le réseau privé (Wifi ou cablé, c'est la même chose, dans le premier les ondes portant l'information, dans le second, ce sont les électrons dans le fil de cuivre) depuis le réseau public sont filtrées ou interdites. De même que l'on ferme sa porte et presque tous les accès de sa maison. Quelques commandes restent autorisées, permettant notamment de dialoguer sur le web avec les navigateurs, les logiciels de mails, de voir la télévision, d'écouter de la musique en streaming. Elles sont très contrôlées en principe, et seuls les logiciels malveillants (virus, ver...), les fameux malwares, utilisent les failles toujours moins nombreuses des logiciels pour prendre la main et contrôler les appareils dans le réseau privé à l'insu de leurs utilisateurs. Donc visiter un site douteux, récupérer une archive inconnue peut présenter des risques importants, et ruiner en un clic la sécurité de base fournie par les box ! L'hameçonnage (fishing) est un autre moyen dans lequel l'utilisateur accède à un site leurre, le conduisant à révéler malgré lui des données confidentielles. Finalement, toutes ces techniques pirates correspondent à des procédures analogues permettant d'accéder au réseau privé depuis le réseau public pour rechercher des informations confidentielles (banque, travail...) qui pourront ensuite être utilisées aux dépends de leurs propriétaires. Dans certains cas, il est même possible de crypter les disques des ordinateurs privés depuis l'extérieur, et il faut alors payer une rançon pour déverrouiller le piège (ransomware). Une chose est certaine, le rôle de l'utilisateur est crucial pour affaiblir les protections fournies par défaut avec la box. C'est l'utilisateur qui est le point faible, d'autant qu'il n'a en général aucune formation à ce sujet, si ce n'est des informations souvent parcellaires, obscures et anxiogènes venant des médias. Il se sent en général désarmé face à la menace, ne sachant quelle approche simple et systématique avoir.

Le degré de fragilité de la sécurité informatique est fonction de plusieurs critères. Le système informatique joue un rôle certain en raison de possibles faiblesses de conception. On sait ainsi que Windows® de Microsoft®, pour ne pas le nommer, est un système fragile potentiellement, et que sa corruption par des logiciels malveillants est assez facile. C'est pour cela que les anti-virus ou autres programmes équivalents sont tellement importants. Ce n'est pas le cas pour les systèmes de type Unix (MacOS®, iOS® d'Apple ou Android® de Google® sont des systèmes basés sur des noyaux Unix, comme tous les Linux), dont la structure est particulièrement robuste. C'est ainsi, et c'est pour cela que les machines fonctionnant avec un système basé sur Unix présentent un très faible risque de corruption complet du système. C'est un gros argument de vente dont Apple® ne se prive pas d'ailleurs !

La récupération de données confidentielles sur Internet est un risque potentiel sérieux, qui peut compromettre la sécurité de sa propre configuration mais aussi celle des autres par le carnet d'adresses mails ou téléphoniques stockés sur l'ordinateur, mais aussi le contenu de tous les fichiers. Combien de fois n'ai-je pas reçu des mails étranges d'amis, m'indiquant qu'ils étaient au bord de la faillite et qu'il fallait les aider financièrement. La bonne blague ! Lorsque l'on accède à sa boite mail ou à un site internet de manière standard, les informations échangées entre ordinateurs peuvent circuler sur le réseau sans protection particulière. Ainsi, toute personne mal-intentionnée ou robot (botnet) peut venir récupérer ces informations sensées être confidentielles en 'écoutant' la conversation avec des outils qu'il est très facile à télécharger gratuitement. Si l'on ne prend pas garde, envoyer à un membre de sa famille des codes d'accès présente ainsi un risque sérieux de compromettre la sécurité informatique de toute le monde si le message tombe entre des mains malveillantes. Le risque n'est pas nécessairement immédiat, les données subtilisées pouvant être utilisées ultérieurement dans des attaques dont on ne se rend même pas toujours compte. Pour pallier à ce réel talon d'Achille, toutes les connexions internet tendent à devenir sécurisées ou cryptées alors que celles-ci n'étaient réservées qu'aux transactions bancaires dans un passé encore récent. Les navigateurs privilégient désormais systématiquement les protocoles 'https', caractérisés par le petit cadenas devant l'adresse, tandis que les ports d'accès mail par lesquels transitent uniquement les communications sécurisées sont également couramment utilisés. Sans entrer dans les détails, la sécurité informatique repose sur l'échange de certificats ou de clés numériques générés par des algorithmes complexes qui valident la confidentialité de la connexion. Il faut posséder les deux clés, l'une sur le serveur, l'autre sur la machine client, celle de l'utilisateur, pour pouvoir établir la connexion qui sera cryptée par les clés. Les répertoires où sont stockés les clés sont en général inaccessibles à tous, sauf à l'administrateur de l'ordinateur et au programme qui les utilise. Changer les droits d'accès à ces répertoires peut affaiblir considérablement la sécurité informatique, mais en général, très peu de monde est concerné par cette intervention de spécialiste. Les échanges sécurisés existent depuis longtemps, mais leur emploi était restreint, car ils nécessitent des moyens de calculs plus puissants pour crypter/décrypter les données à la volée. Les ordinateurs d'aujoud'hui, avec des puces dédiées notamment, font cela très bien. Cette question du cryptage systématique des échanges informatiques va devenir un point essentiel de la sécurité informatique avec l'émergence massive des objets connectés de toute sorte (électroménager, voiture, etc).

A noter qu'il existe toujours les fameux VPN (Virtual Private Network ou réseau privé virtuel qui cryptent les échanges d'un bout à l'autre de la ligne), mais le surcroit de protection qu'ils apportent est inutile si l'on utilise les connexions sécurisées actuelles (https, ssh et autres), que cela soit pour les mails ou la navigation internet. Les VPN ne gardent leur sens que pour contourner intentionnellement des filtres informatiques gênants, comme par exemple accéder à certains sites occidentaux bloqués depuis la Chine !! En effet, l'adresse elle-même du site est cryptée, et pas seulement les échanges. Là est la différence. Tous les VPN ne se valent pas, mais cela fonctionne bien en général.

La généralisation des méthodes à deux facteurs utilisant des machines tierces (codes SMS) est aussi un facteur supplémentaire de sécurité. Il est largement utilisé pour les transactions bancaires, permettant d'identifier le client de manière quasi-certaine, via des connexions sécurisées évidemment. Par ailleurs, les méthodes CAPTCHA permettent de s'assurer que l'utilisateur est bien un être vivant et non un robot usurpant une identité. Ces multiples barrières souvent complémentaires permettent d'atteindre une sécurité informatique raisonnable actuellement.

Malgré toutes les sécurités mises en place, la fragilité intrinsèque de tout l'édifice informatique reste éminemment liée aux comportements de l'utilisateur lui-même, notamment avec la navigation internet en eaux troubles et les mails douteux. Pour se prémunir du risque, les anti-virus peuvent toujours être très utiles, en bloquant une erreur potentiellement fatale. Les navigateurs internet prennent également de plus en plus au sérieux ce type de problème, et chaque jour, la sécurité de ces outils est renforcée en amont. Les logiciels anti-virus, dont le spectre d'action est généralement bien plus large que les virus eux-mêmes, offrent une sécurité significative pour des risques uniquement bien documentés. Il faut pour cela mettre à jour régulièrement les bases de connaissance de ces outils, ce qui est effectué automatiquement la plupart du temps. Mais ils ne sont pas infaillibles, et il est toujours possible de se faire dérober des informations confidentielles de manière accidentelle. C'est là que la bonne gestion des mots de passe prend tout son sens, en étanchéifiant les échanges, de sorte que les dégats restent limités. La démultiplication des moyens d'accès aux sites internet et aux boites mails par les smartphones et tablettes rend la gestion de ces mots de passe encore plus délicate, la tentation étant alors de simplifier leur usage en utilisant, pour tous les accès, des règles mémorisables faciles à découvrir car trop simples (date anniversaire, suite de chiffres simples, etc). Et le piège se referme alors sur l'utilisateur qui se croit protégé alors qu'il ne l'est pas.

En effet, le principe de base de la sécurité par mot de passe est d'avoir un code unique et complexe pour chaque accès privé ! Dans ce cas, le risque d'intrusion ou de malversation est circonscrit au site ou à la boite mail concernée, et ne se propage pas ! Un bon mot de passe bloque la propagation du risque de piratage ! Pour éviter d'utiliser le même mot de passe pour chaque accès ou des codes trop simples, il faut alors utiliser des logiciels de gestion de mots de passe, qui générent des clés aléatoires longues, extrêmement difficiles à déchiffrer et par principe non mémorisable. Tout l'inverse de ce que font la plupart des utilisateurs. Ce n'est plus à l'usager de gérer la multitude de ses mots de passe, mais au logiciel dédié. Le seul qu'il doit mémoriser est celui qui lui permet d'accéder à la bibliothèque de ses mots de passe, quand c'est nécessaire. Il existe un grand nombre de ces outils multi-plateformes, multi-systèmes, bien intégrés à la plupart des applications qui offrent ce service. Un exemple 1password® pour MacOS®, iOS® et Windows®. Mais il y en a bien d'autres. Cette approche permet de ne jamais taper soi-même ses mots de passe, de ne jamais les rendre lisibles par dessus l'épaule, et de préserver ainsi la confidentialité à toute étape. Il ne faut jamais oublier que les transports en commun (train, avion, bus) sont des lieux privilégiés de piratage des données, autant que l'accès à des sites vérolés ! Peu de monde s'en soucie, et c'est dommage.

Enfin, la sécurité des accès aux sessions informatiques est à prendre en compte de la même manière, d'autant que l'on est de plus en plus nomade. Il faut absolument sécuriser l'accès à tous ses appareils, ordinateur portable, smartphone, tablettes, etc. Un code à quatre chiffre peut être 'cassé' en quelques dizaines de secondes. Avec deux chiffres de plus, il faut des dizaines d'heures avec des outils de professionnels. A méditer.

A l'heure où l'informatique fait partie intégrante de notre quotidien, prendre la sécurité informatique au sérieux n'est pas une chose anodine. Comme le fameux risque 'zéro' n'existe pas, il faut prévenir celui-ci en limitant au maximum les possibilités d'intrusion. Circonscrire le risque est alors la démarche la plus robuste. Pour cela, utiliser des mots de passe assez longs, non-mémorisables est la clé ! Il est donc nécessaire de déléguer la gestion de ces codes à des outils bien pensés à cet effet. C'est une démarche volontaire qui demande un effort intellectuel initial non-négligeable, mais le bénéfice est immense ensuite, avec une simplification de la vie informatique, car les mots de passe ne viennent plus encombrer le quotidien. En attendant que les technologies progressent et permettent de s'affranchir des mots de passe et filtrent les actions malveillantes. Cela viendra certainement, mais il faudra en attendant gérer correctement l'informatique du présent pour qu'elle reste une source d'amélioration de l'existence et non d'aliénation à des procédures fastidieuses, dont on sait qu'elles finissent toujours par être abandonnées. C'est à ce prix que la vie privée peut être préservée raisonnablement dans un univers public virtuel qui n'est pas dénué de risques. Et quant à la paranoïa de l'espionnage par big brother, si elle existe certainement pour des raisons économiques ou politiques justifiées ou inavouables, elle n'a pas réellement de fondement pour le commun des mortels. L'intrusion furtive sur des connexions sécurisées nécessite des moyens techniques considérables, très onéreux, et pas toujours efficaces ! Par ailleurs, la méthode bac à sable ou sandboxing qui est généralisée permet d'éviter à des logiciels très officiels d'avoir des comportements indésirables en venant fouiller les données privées sans l'accord de l'usager. Ce n'est qu'en se connectant vers l'extérieur que l'on livre quelques données sur soi-même avec l'adresse IP, et celles-ci sont déjà largement utilisées à des fins commerciales et/ou statistiques, sans que cela ne vienne empiéter de manière trop intrusive dans la sphère privée. Pas de quoi en tous cas créer des crises d'angoisse face à un terrible complot !

...

Retour

[+532]     [+20]     Partager: