Le plus rapide, c’est le lion !

Deux amis se promènent dans la savane. Tout à coup, un lion visiblement affamé surgit de derrière un bosquet. Il s’élance avec une puissance et une vitesse incroyable vers les deux hommes avec manifestement la ferme intention d’en faire son repas.

Voyant cela, l’un des deux hommes se met à courir de toutes ses forces.
Le deuxième l’interpelle :
« Ce n’est pas la peine de courir ! Tu n’iras jamais assez vite pour battre un lion à la course ! »
« Battre le lion à la course, peut-être pas, mais te battre à toi, c’est sûr que oui ! »

J’ai lu le compte-rendu fait par mon ami @Korben sur sa visite à la Defcon XX de Las Vegas. Il ne fait aucun doute qu’il s’est amusé comme un gamin dans un magasin de jouets et je regrette de n’avoir pas eu l’opportunité de l’accompagner, en particulier cette année qui me semble avoir été un grand cru !

Je vous invite vraiment à lire son article vous aussi car il parle évidemment de sécurité, mais surtout de failles de sécurité plutôt inédites et de Hacks malins donc de Hackers très malins. Il donne une jolie série d’exemples tirés des démonstrations auxquelles Korben a pu assister, incluant les slides de présentation pour la plupart. C’est assez stupéfiant.

Fruit du hasard mais créant un faisceau d’attention sur le sujet, un autre article tout aussi passionnant – même si plus grave – sort presque en même temps et excite la petite planète tech ces jours-ci. Il s’agit de celui de Mat Honan qui explique comment il s’est fait hacker son compte Gmail, puis son compte Amazon, son compte Twitter et enfin son compte iCloud, perdant ainsi la plus grande partie de sa vie numérique tout en servant de plateforme de spam sur Twitter. Il l’a fait principalement pour montrer que ni Apple, ni Amazon ne prennent suffisamment les choses au sérieux en matière de sécurité… et je pense que cela peut-être décliné à des milliers d’autres services simplement moins visibles. Cela va rapidement changer vu l’ampleur de ce bad buzz dans la Valley.

Normalement, lorsque vous aurez lu ces 2 notes, vous devriez commencer à avoir des sueurs froides et à vous dire que vous n’êtes pas en sécurité. Et bien, vous avez raison, vous n’êtes vraiment pas en sécurité.

Le fait est qu’il n’y a pas vraiment de système qui ne puisse être cassé pour peu qu’un hacker talentueux y mette vraiment du coeur, du temps et un peu de moyens. Depuis que les 0 et les 1 existent, c’est un combat permanent entre ceux qui sécurisent et ceux qui fracturent, le jeu du gendarme et du voleur version digitale… et sans limite ni frontière. Bien-sûr, Hollywood a créé la légende en nous abreuvant pendant 30 ans de Wargames-like, mais ce serait faire affront au vrai piratage du quotidien, qui s’intéresse bien plus aux entreprises ou aux individus qu’aux systèmes informatiques centraux du gouvernement américain, laissant cela aux Chinois et autre Nord-Coréens, sans doute…

La très grande majorité des hackers de haut-vol sont des gens qui ne sont pas animés par de mauvaises intentions, au contraire. Ils recherchent des failles de sécurité pour le sport mais aussi par militantisme, pour amener les éditeurs des services ou softwares incriminés à corriger celles-ci avant que cela ne provoque de vrais dégâts. Ils ont fait progresser la sécurité sur Internet bien plus que n’importe quelle autre « corporation » et défendent le plus souvent une certaine conception de ce que devrait être l’Internet, à la fois neutre et libre. Je me sens évidemment totalement en phase avec ça – le talent technique en moins me concernant – car la Neutralité du Net devrait être une priorité, en particulier ces dernières années, alors que la pression économique entre fournisseurs de tuyaux toujours plus lents, fournisseurs de contenus toujours plus gourmands et consommateurs toujours plus exigeants ne cesse d’augmenter. La Neutralité au milieu n’arrange pas grand monde, même si tous et en particulier les 2 derniers, devraient la défendre.

Evidemment, dire qu’il est impossible de rendre sa vie numérique inviolable ne signifie pas qu’il ne faut pas essayer de se protéger un peu. Activer la double authentification sur Google ou ne pas laisser son Mac accessible via iCloud, pour reprendre les 2 exemples soulignés par Mat Honan, est une bonne base. Ne pas utiliser les mêmes mots de passe partout, les choisir relativement complexes avec des chiffres, des lettres, des majuscules, des minuscules, pas de mot qui soit trouvable dans un dictionnaire, etc… est aussi un élément de base indéniable. A ce stade, vous n’êtes toujours pas en sécurité – encore une fois, il est impossible d’y être vraiment – mais vous n’avez pas particulièrement facilité les choses. Enfin, utiliser un VPN un peu sérieux et professionnel, est aussi dans les bonnes pratiques auxquelles nous devrions tous nous astreindre.

Evidemment, c’est pénible de devoir connecter le VPN à chaque fois comme il est pénible de taper un mot de passe compliqué, notamment sur un téléphone. Le choix de faire ces efforts vous appartient, tout comme vous appartient le choix de vous mettre à courir ou pas dans la savane.

Au final, vous l’avez compris, l’objectif n’est pas de battre les lions à la course mais plutôt de battre tous ceux qui ont décidé de ne pas courir en laissant leur système d’information personnel largement accessible pour un hacker un peu astucieux. Ceux qui présentent un certain intérêt pour un hacker ne sont pas nombreux et il y a peu de chances que vous et moi en fassions parti. Même la majorité des fraudes à la carte bancaire – ce que l’on a toujours à l’esprit comme très sensible – se font via des systèmes qui génèrent des numéros vérifiés à la volée – la malchance voulant que cela tombe parfois sur vous – et non par des numéros volés. La meilleure protection reste donc cet équilibre subtil entre les efforts que vous faites pour vous protéger et l’intérêt que cela représente de vous hacker. Comme nous représentons un intérêt assez faible (je parle pour la majorité d’entre nous car si vous êtes ministre ou VIP, votre cote d’intérêt monte immédiatement beaucoup plus haut :-)), les efforts à produire pour trouver cet équilibre restent accessibles à tout un chacun.

En d’autres termes, je pense q’il est inutile de vous construire un Fort Knox numérique si vous n’avez pas quelques tonnes d’or à protéger mais de là à regarder le lion sans bouger en essayant de vous convaincre que ça va aller, il y a sans doute des attitudes intermédiaires !

PS : Dis-donc Manu, 2 backlinks en DoFollow dans cette même note, tu vas enfin voir l’audience décoller un peu sur ton blog ! 😀

2 réflexions sur “ Le plus rapide, c’est le lion ! ”

  1. La sécurité des systèmes est en effet très difficile à assurer. Il me semble vain de pouvoir penser lutter contre une bande de gamins russes surdoués (russe c’est pour l’exemple). S’ils ont décidé de craquer mon serveur par ex, je leur fais confiance, ils y arriveront.

    Mais déjà, quand je vois que G+ ou facebook mettent en public toutes les images de leurs réseaux, qu’elles soient publiques ou privées (l’adresse est simplement « hashée » mais accessible publiquement si on la connait, donc trouvable en parsant une url), alors qu’un simple bout de code pourrait l’empêcher, il y a peut etre des questions à se poser sur la confiance qu’on peut avoir dans ces sociétés quand à la protection de nos données…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.