La sécurité informatique grand public est un échec

billet signet

Ce billet est la reproduction d’un billet de @dascritch. Les fautes sont de moi, le texte d’origine est ici

En 2012, j’ai été invité par des comparses du Tetalab pour faire une présentation à la toute première cryptoparty de Toulouse. Puis ces mêmes comparses m’ont poussé à en reprendre l’organisation pour monter la seconde, et d’autres encore… Je croyais qu’on pouvait combattre l’insécurité endémique de nos ordinateurs en formant les utilisateurs autour de nous.

Nous avons des partenaires indirects formidables comme les Café Vie Privée, l'EFF, Mozilla (et son formidable Bulletin de Santé d’Internet), Brave, Exodus Privacy, Let’s Encrypt, les LUG comme Toulibre, les bibliothèques publiques ou la presse comme NextInpact, les articles d’Amaelle Guiton dans Libération ou Le Canard Enchainé qui vient de sortir un cahier spécial de fort belle facture. Nous avons vu des progrès inespérés comme le passage grandissant au https:// ou encore la progression de Silence ou des outils de mots de passe hors-ligne et sécurisés. Sans oublier le nombre croissants de livres de vulgarisation écrits par des vrais spécialistes de la question (mais qui ne se vendent trop peu)…

Et pourtant, la sécurité informatique grand public est un échec, et malgré les cryptoparty et autres évènements sur la vie privée organisés un peu partout, les avancées sont nulles. Franchement nulles.

D'abord parlons de nous-même :

Parce qu’on n’a pas toujours le temps. On n’a que trop rarement pu caler les rendez-vous pour répéter, nos slides n’ont pas été centralisés suffisamment tôt, ou tout simplement, nous n’étions pas assez nombreux pour animer. Le faire tout seul, je l’ai fait trop souvent et me gène profondément. Je sais débiter nos mantras, mais d’autres doivent se l’approprier. Il y a un regard très différent du public quand on est plusieurs et qu’on tourne : l’ambiance est plus vivante, ils osent alors vous aborder. L’inclusivité passe aussi par les dialogues individuels car les cas personnels demandent du conseil.

Parce que trop d’entre nous se prennent trop au sérieux. Devant le public, il faut rappeler qu’on dit parfois des bêtises, qu’on est peut-être un peu trop paranos,… Si vous ne jouez que sur la peur, vous ne valez pas mieux que les vendeurs d’antivirus ou les partis extrémistes : vous usez de bas-instincts et donc vous n’aidez pas les gens à réfléchir. Vous êtes exactement comme ceux qui poussent des mesures liberticides à chaque attentat.

Parce que je vois encore trop de slides illisibles à 10 mètres. Pourquoi vouloir caser 15 lignes de texte ? Une seule idée par slide, c’est si compliqué ? Nous n’avons pas qu’un public de spécialistes, ne les noyez pas. C’est justement pour apprendre à parler à un public de non-spécialistes que j’ai toujours cherché de nouveaux orateurs.

Parce que nombre d’intervenants potentiels veulent faire des conférences de 2 heures non-stop sur des concepts techniques comme la protection mémoire du kernel linux, les principes mathématiques des algos PGP ou le routage BGP, et qu’ils trouvent infantilisant de parler de force de mot de passe ou de vérifier les droits d’une application. Stop ! Redescendez de votre piédestal ! On ne monte pas une Def Con ! On respire, et on regarde les gens dans la rue : ils ont besoin que nos propos restent simples et humbles.

Parce qu’on a pas recentralisé toutes nos productions. Notamment les slides, la documentation, etc… ou mutualisé avec des associations amies.

Parce que les outils ne sont pas prêts :

L’usage du PGP dans les e-mails ? Outre que via un webmail c’est risible, les outils actuels ne sont absolument pas pratiques. Dans la plupart des cas d’usages où j’ai pu convertir des gens, ils l’ont abandonné après un mois car trop compliqués. On a un immense souci de travail sur l’UX, sur l’interface, sur la traduction, sur la documentation, sur les tutoriels.

Les outils de double-authentification ? Très bien, sauf qu’il est impossible d’exporter les clés privés des apps android en dehors du smartphone sans manœuvres trèèèès compliquées (rooter le smartphone, copier dans une arborescence non publique, redérooter le smartphone). Eh oui, la conception est trop costaud. Si le smartphone est réinstallé, cassé, perdu, volé ou changé, les accès sont perdus.

Les réseaux sociaux fédérés ? Très bien là aussi, mais vous n’attirez aucune marque, aucun gros club sportif, aucune administration et très rarement les médias. Les gens se servent de Facebook et de Twitter pour lire des infos, pour remonter des problèmes, les community managers deviennent maintenant plus réactifs que les hotlines téléphoniques. Et, outre le comportement détestable de certains admins, les outils de transfert de comptes entre instances ne résolvent pas plein de manques assez déplorables.

Les outils d’auto-hébergement tels que les CHATONS ? Très bien là encore… sauf que j’ai vu des gens mettre leurs documents sur un petit raspberry pi, sans onduleur et surtout sans backups. L’administration de trop nombreux serveurs reste une catastrophe, l’installation d’instances personnelles est souvent traité par dessus la jambe, alors promettre à Monsieur Michu il sera plus libre de perdre tous ses courriels et documents sur un serveur d’un particulier plutôt que chez Google… on frise l’irresponsabilité. Ces gens là iront au mieux vers les instances de leurs FAI ou du constructeur d’ordinateur, au pire vers le bancassureur (coucou les filiales de la Caisse des dépôts et Consignation) ou l’État.

Les distributions Linux ? J’ai des exemples d’un manque flagrant de tests. Impossible d’y passer quelqu’un qui a déjà du mal avec son Windows si c’est pour risquer à la mise à jour des plantages de drivers vidéo à répétition. Si on suggère une telle migration, il faut en accepter les responsabilités. Or, il y a trop peu d’évènements grand-publics de soutien à Linux. J’ai cherché à Paris pour mes parents, à part le premier samedi du mois à la Villette, c’était misère de LUG.

La communauté logicielle en général ? Les logiciels de sécurisation et les logiciels libres qui s’y rapportent manquent cruellement de moyens et de participants (développeurs, graphistes, UX, rédacteurs de documentations, relecteurs, traducteurs, testeurs,…). Songez à la triste histoire d’OpenSSH sur lequel repose une part importante de notre sécurité mais l’entité qui la développe, OpenBSD, n’a qu’un budget famélique au point d’avoir risqué la fermeture 6 mois après les révélations Snowden.

Tant qu’on n’a pas un effort global de ce côté là, on restera avec des outils de nerds avec des fonctions de fou, mais totalement incapables d’apporter de la sécurité à tout le monde. Autant proposer des cours d’autodéfense via le tir avec une automitrailleuse.

Parce qu'on n'est pas aidés

Par AdBlock Plus et consorts qui rançonnent les éditeurs pour passer les pubs et donc opèrent un antipub sélectif basé sur le pizzo.

Par des journaux qui tordent l’application du RGPD et le consentement avec plus de 5000 cases à décocher.

Par Apple qui interdit tout autre moteur de rendu web sur ses produits autres que son webkit bugué. On a bien compris qu’ils ont plutôt intérêt à favoriser leur app store proprio et exclusif.

Par les journaux et personnalités politiques qui ne parlent de Tor que comme un outil de criminalité. Si Reporters Sans Frontières, et les autres ONG qui s’en servent pouvaient défendre plus souvent cet outil qui leur est indispensable, peut-être il y aurait plus de gens qui installeraient des relais et des points de sortie pour que Tor soit un peu plus rapide.

Par les banques qui considèrent un mot de passe numérique à 4 à 8 chiffres comme "sûr" sans aucune double vérification, ni même un travail d’impact. Ou encore par PayPal qui n’accepte pas les mots de passe avec le caractère espace dedans et/ou de plus de 20 caractères (si si ! essayez !).

Par les banques, encore, qui on poussé le paiement sans contact alors qu’il n’y a rien de moins sécurisé comme moyen de paiement à tous points de vue (confidentialité, solidité, piratage).

Par les banques, encore et toujours, qui parlent de "signature numérique" la recopie du code envoyé par SMS, dont le début est parfaitement visible sur un smartphone verrouillé, ou qui considèrent leurs sites comme "sûrs" alors qu’ils sont hyper-mal notés en solidité https://, mais qui n’acceptent toujours pas les pièces jointes par PGP.

Par les "spécialistes" en sécurité qui poussent la biométrie, alors qu’elle n’est qu’un moyen d’identification, nullement d’authentification et de consentement, et qui possède des risques énormes en terme de sécurité et de fuites de données personnelles.

Par les constructeurs de véhicules et l’Union Européenne qui impose désormais une connectivité non-stop sur tous les véhicules neufs, sans réelle possibilité de déconnexion pour les acheteurs.

Par les opérateurs mobiles et les équipementiers qui ont poussé la non-neutralité du net par défaut dans le futur réseau 5G, au lieu de distribuer différemment les usages.

Par l’État qui veut censurer "le porno" sur internet en obligeant à déclarer son identité à un tiers public pour l’accès à du contenu "pour personnes majeures". Vous seriez capable de définir le porno avec des critères absolus, vous ? Car dans d’autres démocraties occidentales, les articles sur le cancer du sein, l’avortement ou les tableaux avec scènes naturistes y sont classés comme tels. Eh oh ! Mounir ! Elles serviront à quoi ces listes d’érotomanes ainsi constituées ?

Par Yubikey qui se sert de l’e-mail renseigné pour les alertes sécurité afin d’envoyer des "articles promotionnels", c’est à dire du spam.

Par Facebook qui se sert du numéro de téléphone renseigné pour la double-authentification pour faire "des pushes publicitaires", c’est à dire encore du spam. Merci pour ce moment de sabotage.

Mais encore…

Parce que la CNIL a étrangement communiqué sur le RGPD : " on sera très cool durant les premiers mois". Erreur de communication, erreur de stratégie, trop de personnes l’ont pris à la légère. Et d’un autre côté, la CNIL n’a pas eu les moyens de répondre au flot de questions qui leur sont arrivées (rajouter des pépètes dans la Hahahadopi était plus urgent).

Parce que des institutionnels (ou supposés) vous appellent et ont déjà calé une date, un lieu, des conditions pour une conférence et vous convoquent pour la faire. Ben non, nous sommes bénévoles, et pas à votre disposition pour votre cycle mensuel de conférences. Et oui, nous avons des conditions : si l’accès n’y sera pas ouvert à tout public, non, ce n’est pas une cryptoparty pour nous, et vous ne pouvez nous en imposer le nom.

Parce qu’au nom de la lutte antiterroriste ou sous couvert de smart city, des (ir)responsables politiques poussent la vidéo-surveillance couplée à des algorithmes de reconnaissance ; toujours dans cette névrose d’un freak-control, voulant absolument reconnaître les gens dans la rue ou les transports en communs, savoir qui ils sont, où ils vont et à quelle heure. Une banalisation des moyens de pistage, avec une vision idyllique de se que fait la Chine, capable "d’arrêter des criminels dans la rue", en oubliant que lesdits "criminels" sont bien souvent des opposants politiques ou des gens qui ne revenaient pas à des personnes puissantes. Ce qui laisse songeur quand à la conception de la démocratie chez nos décideurs politiques. Oui, même si nous sommes innocents, nous avons forcément quelque chose à cacher. Nous sommes devenus des citoyens suspects de n’importe quoi, ce n’est pas nous les paranos mais ceux qui poussent cette politique de surveillance totale.

Parce que des bien-pensants m’ont tancé de faire des cryptoparty pour le grand public , alors que nous suivons le mouvement tel que l’a voulu Asher Wolf en le lançant : aller dans les restaus, les cafés, les bibliothèques et ouvrir l’audience à toutes et à tous sans favoriser un public précis. Car dans les problèmes de sécurité, tout le monde est concerné, on ne progressera qu’ensemble.

Parce que certains font de l’entrisme politique, militant pour une cause qui n’a rien à voir avec le sujet, veulent absolument faire un sujet qu’ils jugent "indispensable" dans la cryptoparty et deviennent verbalement insultants et violents quand on leur fait remarquer que ce n’est absolument pas le sujet. Les théories du complot, les causes syndicales ou la publicité pour des logiciels n’y ont rien à y faire. Mélanger tous les combats est devenu à la mode pour empêcher toute résolution sereine. Pourquoi vouloir tout envenimer si ce n’est pour ne volontairement rien résoudre et laisser tout le monde dans la fange ?

Parce qu’on est mal défendus quand la Quadrature Du Net dit officiellement que l’adoption de l’article 13 de la "directive copyright n’est pas une défaite". Je résume leur raisonnement : "si c’est censuré chez les GAFAM, les gens iront vers les CHATONS". Non, jamais le grand public se tournera vers les CHATONS pour ça, jamais. C’est la seule asso du genre à considérer comme une victoire une défaite majeure pour la liberté d’expression. Outre une perte de crédibilité effrayante avec cette concession inacceptable, ils ont envoyé balader les positions de l'EFF, de Wikimedia/Wikipedia et de l’euro-député Julia Reda du Parti Pirate. L’Article 13 va surtout justifier l’autodafé de toutes les œuvres originales publiées sur Youtube depuis 2005, pour lesquels la plateforme a un rôle oublié mais primordial pour les petits créateurs qui se font voler leurs contenus par des gros producteurs institutionnels : l’antériorité, en tant que tiers indépendant des partis. Oui, vous avez craché à la gueule à des milliers de créateurs en leur disant "z’aviez qu’à ne pas être sur Youtube !", alors que les solutions alternatives utilisables n’ont émergé qu’en début d’année, donc vous êtes complices de ce lobby industriel du divertissement que vous vouliez changer y’a 10 ans. Il y a pourtant des personnes formidables au sein de LQDN mais… Pourquoi faire le jeu de la Hadopi ? Pourquoi juger aussi génial l’arrivée d’une censure automatique de robot-copyright sans intervention humaine avec de potentiels faux-positifs contre des œuvres originales ou dans le domaine public ? Pourquoi abandonner la défense de nos libertés pour un résultat aussi… médiocre ?

Avait-on vraiment besoin de se tirer dans les pattes ?

Merci de nous rappeler combien notre combat manquait d'embûches

Depuis 5 ans, certains ont redirigé les attaques qui me sont personnellement destinées contre le collectif, étant le plus visible du groupe. Pour des accusations de pouvoir, d’intérêt pécunier, de court-circuiter des institutions et de captation d’attention des personnes qu’ils snobent eux-même. Pourtant, j’ai jamais voulu faire des cryptoparty un business, une rente ou une exclusivité : j’ai bien d’autres activités, et je produit bien d’autres choses en tant que bénévole sans jamais avoir voulu en tirer un quelconque bénéfice, sinon de m’instruire. Et d’ailleurs, j’ai toujours relayé les communications autours d’événements qui allaient dans le même sens. Espérons que ces voix persifleuses se calment, ou déploient leur trop plein d’énergie sur d’autres causes qui en ont bien plus besoin.

Il y a de la place pour tout le monde : des lieux, du public, des moyens, des orateurs, ce n’est vraiment pas ça qui manque. Plus il y en a, mieux ça sera pour nous tous. Et on n’a pas le temps de se chamailler stupidement.

NON, je n’abandonne pas les cryptoparty. Faute de temps, j’ai délégué à un autre, mais je participe toujours si je n’ai pas à prendre en charge la logistique.

Par contre, j’insiste sur le fait d’y mettre plus d’histoire, d’aller au-delà de nos ordinateurs. En week-end à Berlin, Jérémie Zimmermann m’a conseillé d’aller faire un tour à la Topographie de la Terreur. L’exposition extérieure nous montre comment le parti Nazi a pris complètement le pouvoir en Allemagne en une seule année ; et pas que de l’État, mais aussi des clubs sportifs, des universités et des syndicats. Nous n’avons eu le temps de faire le musée de la Stasi, mais je suis convaincu qu’un fichage des individus n’est pas envisageable de sitôt en Allemagne. Cela explique en partie que les transports en communs y sont réellement anonymes.

On a un sérieux besoin de se remettre en question, d’améliorer la qualité sur l’ensemble de la chaine de sécurisation informatique. Si un effort global n’est pas fait sur tout l’échelle, c’est Echelon qui gagnera.


18 commentaires

Désolé d’être un peu cynique, mais n’est-ce pas surtout :

Parce que tout le monde s’en fout. Je veux dire, cela n’intéresse pas les gens, ils ne sont pas sensibiliser à la sécurité ou à ta sécurité. Certes, tu fais ce que tu peux pour les sensibiliser, mais pour s’y déplacer il faut déja s’y intéresser, non ?

Merci pour cet témoignage ! (qui au passage remporte la palme du sous-titre le plus mensonger de tous nos billets ;) )

SpaceFox

A la base je voulais simplement faire un billet-signet mais je trouvais que ca na rendait pas hommage au texte d’origine donc je me suis motivé sans changer le sous titre. Après, c’est en quelque sorte un billet signet car y’a le lien d’origine dedans =p

ez613 > Spontanément oui, je suis de ton avis. Mais, en fait je sais pas. La plupart des gens ont un antivirus, sont conscient des problèmes que peuvent poser les ransomware, le vol d’identité …. Après c’est plus sur des questions de vie privée où là, oui, le travail reste à faire.

IMHO la réponse est simple : les gens s’en fichent de la sécurité, et ils ont plutôt raison. Tant que les "experts" en sécurités n’auront pas compris cette réalité, ils continuerons à se parler entre eux et rager dans leur coin contre le grand public qui n’y comprends rien.

A l’inverse, je vois rarement les gens du libre/sécurité rejoindre des combats essentiels a mes yeux comme celui ci . Par contre pour pondre des logiciels horribles qui marchent que sous linux et que personne utilisera jamais, là y a du monde. :D

+0 -7

Ton argument est au moins imprécis @Demandred : les gens se fichent de la sécurité informatique, mais qui laisse son logement ou son véhicule ouvert ? Pratiquement personne.

Plus exactement, « les gens » se fichent de la sécurité dans les cas suivants :

  • Quand ils ne comprennent pas les conséquences (la majorité des problèmes de sécurité informatique),
  • Quand ils sont persuadés de maitriser les conséquences (tous ces professionnels qui bossent au mépris des règles de sécurité parce que « t’inquiète, je gère »),
  • Quand personne ne leur impose des règles (les assurances pour les portes 3 points par exemple),
  • Quand la procédure de sécurité est trop chiante par rapport au risque encouru.

Y’a plein de leviers d’actions, en réalité.

Oui, c’était sous entendu en fait ce genre de réflexion. Ils s’en "fichent" par rapport aux standards/pratiques évoquées dans l’article. Les gens se contentent d’un niveau de sécurité basique et simple et ne vont pas se prendre la tête plus loin.

Un peu comme pour reprendre ton exemple, les gens ferment leur porte de maison à clef, mais ils sont peu nombreux à mettre un système de vidéo-surveillance et d’alarme.

+0 -0

C’est intéressant mais je souhaite commenter quelques passages :

Les distributions Linux ? J’ai des exemples d’un manque flagrant de tests. Impossible d’y passer quelqu’un qui a déjà du mal avec son Windows si c’est pour risquer à la mise à jour des plantages de drivers vidéo à répétition. Si on suggère une telle migration, il faut en accepter les responsabilités. Or, il y a trop peu d’évènements grand-publics de soutien à Linux. J’ai cherché à Paris pour mes parents, à part le premier samedi du mois à la Villette, c’était misère de LUG.

Pour être dans le milieu, les LUG se sont essentiellement des bénévoles qui ont rarement des salles réservées en veux-tu en voilà. Organiser des rencontres à haute fréquence demande du temps, des gens et des salles prêtes à cela et c’est un exercice compliqué.

Par les banques qui considèrent un mot de passe numérique à 4 à 8 chiffres comme "sûr" sans aucune double vérification, ni même un travail d’impact. Ou encore par PayPal qui n’accepte pas les mots de passe avec le caractère espace dedans et/ou de plus de 20 caractères (si si ! essayez !).

Ça dépend. Un mot de passe à 6–8 caractères c’est sécurisé si tu n’as le droit qu’à 3 tentatives comme souvent. Car ainsi le brut force ne fonctionne pas. Cela l’est certainement plus que des mots de passe plus complexes mais avec tentatives infinis.

On pourrait améliorer la sécurité encore plus, c’est vrai, mais cette sécurité supplémentaire a un coût non nul. Et en cas de soucis dans la sécurité, c’est la banque qui paye les frais, pas le clients directement. Donc si pour la banque une sécurité moindre est plus rentable, ce n’est pas un vrai soucis.

Ensuite cela dépend aussi des pays. En Belgique l’authentification de base passe par l’authentification via la carte bancaire et son code pin. C’est plus sécurisé, mais ça a un coût et c’est assez pénible à l’usage honnêtement.

Par les banques, encore, qui on poussé le paiement sans contact alors qu’il n’y a rien de moins sécurisé comme moyen de paiement à tous points de vue (confidentialité, solidité, piratage).

Pareil que plus haut j’ai envie de dire.

Par les constructeurs de véhicules et l’Union Européenne qui impose désormais une connectivité non-stop sur tous les véhicules neufs, sans réelle possibilité de déconnexion pour les acheteurs.

Pas vraiment, la norme dit qu’en cas d’accident, le système doit envoyer des données pour alerter les secours rapidement. Il ne dit pas que le système doit être connecté en temps normal. Faut se méfier de ce genre de distorsions des faits.

De toute façon, la voiture autonome approche et imposera la connectivité permanente. Les transports en communs sont rarement anonymes aussi (billet nominatif, abonnements, paiement de billets par cartes bancaires ou téléphones). Pour s’assurer de la liberté de circulation ne soit pas menacée par l’enregistrement de tous les déplacements d’une personne, il vaut mieux agir pour que ces données soient traitées convenablement que de s’offusquer de leur existence pourtant indispensable à long terme.

+2 -0

Ça dépend. Un mot de passe à 6–8 caractères c’est sécurisé si tu n’as le droit qu’à 3 tentatives comme souvent. Car ainsi le brut force ne fonctionne pas. Cela l’est certainement plus que des mots de passe plus complexes mais avec tentatives infinis.

Je ne suis pas d’accord. La limite de 3 tentatives te protège du bruteforce vertical (tester tous les passwords possibles sur un même compte) mais pas du bruteforce horizontal (tester un même password sur tous les comptes). C’est à dire, si un site limite les passwords des utilisateurs à 8 chiffres, et limite à 3 tentatives sur un même compte, tu pourras toujours tester le password "12345678" sur tous les comptes sans que tu sois bloqué (et sans que ça lève d’alerte). En testant horizontalement des mots de passes très courants tu trouveras des couples compte/password valident sans te faire bloquer par la limite de tentatives par compte.

De plus, le jour où ta base de donnée se fait siphonner, tous les mots de passes seront cassés en quelques secondes/minutes.

On pourrait améliorer la sécurité encore plus, c’est vrai, mais cette sécurité supplémentaire a un coût non nul. Donc si pour la banque une sécurité moindre est plus rentable, ce n’est pas un vrai soucis.

Je me demande franchement quel est le surcout de ne pas limiter la taille du password. Quand il s’agit d’ajouter des couches de sécurité en profondeur on peut se demander quel est la balance bénéfice/risque/investissement, mais pour des mesures basiques de sécurité là non prendre la rentabilité comme seul indicateur n’est pas sérieux.

Pas vraiment, la norme dit qu’en cas d’accident, le système doit envoyer des données pour alerter les secours rapidement. Il ne dit pas que le système doit être connecté en temps normal. Faut se méfier de ce genre de distorsions des faits.

Si on regarde le passé, tout nous pousse à nous interroger sur cette connectivité. Est-ce que demain on va pas se rendre compte qu’en fait la connectivité se fait en permanence? On nous assurera que ce sont que des données de debug et de statistiques pour l’amélioration du service. Puis on se rendra compte que dans ces stats il y a notre géolocalisation, et on nous assurera qu’elle n’est pas du tout enregistré. Etc, etc… On ne peut qu’être très vigilant quand on a déjà été abusé des dizaines de fois.

+2 -0

Je vais rebondir sur deux-trois trucs que je lis…

Ou encore par PayPal qui n’accepte pas les mots de passe avec le caractère espace dedans et/ou de plus de 20 caractères (si si ! essayez !).

N’oublions pas la Fenêtre aux quatre couleurs qui, pour ses comptes mails, limite seulement à 16 caractères. Et que vu qu’on utilise ce même compte pour sécuriser son ordinateur utilisant l’OS de cette même firme « parce que c’est "plus pratique" »…

Par les banques, encore, qui on poussé le paiement sans contact alors qu’il n’y a rien de moins sécurisé comme moyen de paiement à tous points de vue (confidentialité, solidité, piratage).

J’ai cette très belle anecdote à ce sujet d’un de mes anciens professeurs de physique au gymnase (école publique qui fournit le baccalauréat en Suisse, j’imagine qu’on dirait « lycée » en France). Un élève lui a été "confié" pour rédiger son travail de maturité (titre probablement très suisse qui vient avec le baccalauréat) sur ces puces RFID, notamment les paiements sans contact.
D’une part, il y a eu des pressions pour que l’élève change de sujet pour son travail quand il a fait des expériences qui prouvaient qu’à douze mètres et avec un appareillage simple et relativement peu encombrant, il était possible de lire les informations de ces puces.
D’autre part, il s’est rendu compte que les puces sont très similaires pour les cartes de crédit et les passeports biométriques.

Je vous laisse, je vais pas prendre un avion à l’aéroport. Je vous ferai un petit résumé des nationalités qui y transitent. J’accepte les dons, mais n’en ai pas vraiment besoin, les personnes étudiées donnent déjà assez.

+4 -0

Merci pour l’article très enrichissant.

Souvent, quand je lis ou entends des conférences sur des sujets aussi importants pour la société, je me pose la question un peu bête : "ouais, il a raison, qu’est-ce-que je peux bien faire, moi ?".

Et du coup, sur tous ces sujets (alors ça vaut pour l’environnement, la liberté de la presse, etc.) je me dis qu’il manque une forme de comm' essentielle, un espèce de matrice avec :

  • temps que je souhaite investir
  • mon niveau d’expertise

Et dans les cases : ce que je peux faire concrètement.

Exemple dans la première case en haut à gauche on pourrait retrouver "utiliser un gestionnaire de mots de passe hors-ligne" c’est simple, ça ne demande pas vraiment d’investissement incroyable, et c’est sain. En bas à droite, je peux imaginer "j’organise une cryptoparty dans laquelle je donne un talk à destination du grand public". J’ai besoin d’être costaud sur le sujet, d’avoir un paquet de temps et de motivation à dispo, et la valeur ajoutée est gigantesque.

Je me demande si ce n’est pas fait car c’est beaucoup trop complexe à écrire / mettre en place (possiblement) ou trop sujet à débats ("mais putain t’as mis : voter pour le parti pirate aux élections européennes en haut à gauche, ça se fait pas…"). Pourtant, sur plein plein de sujets, j’ai l’impression que les gens qui lisent des articles ou sortent de conférences sortent relativement convaincus, mais n’en repartent pas avec une liste d’actions concrètes.

Note amusante : c’est complètement valable pour ZdS d’ailleurs, avec une matrice qui m’a l’air plutôt simple. Peut-être même qu’on pourrait essayer de faire l’exercice ici ?

NB : pour l’environnement, on pourrait faire plusieurs types de matrice notamment une dans laquelle on se sert du "confort sacrifié".

+4 -0

Les gens n’en ont rien à foutre de la sécurité en général, alors la sécurité informatique faut pas demander. Quand ça leur retombe sur la gueule, c’est déjà pas mal si ils comprennent leur erreur, mais c’est pas ça qui les rend capables d’anticiper.

Au bout d’un moment il faut peut-être arrêter d’essayer d’aider les copains quand ils veulent pas qu’on les aide… :/

Après la sécurité absolue n’existe pas non plus, c’est toujours le résultat d’un compromis entre le risque, la valeur de ce qu’on protège et de l’intérêt des personnes extérieures d’accéder à ces données.

Je veux dire, si quelqu’un vole mon compte ZdS, cela me ferait chier mais ça ira. Pas de données persos, possibilité de nuisance assez nulle et le risque d’un vol est faible (car peu intéressant). Donc mettre une protection en béton avec un mot de passe hyper complexe n’est pas spécialement utile.

Par contre pour accéder à mon compte courriel principal, qui regorge de données persos, permet d’éventuellement se connecter à tous mes autres comptes, cela devient plus sérieux. Et je vais exiger plus de mon fournisseur de courriel que de ZdS de ce côté là aussi.

Le but n’est pas d’être infaillible, car en réalité c’est impossible, ce qu’il faut c’est que l’attaque soit coûteuse pour que l’attaquant abandonne.

+4 -0

Renault> Dans ton équation tu oublies de prendre en compte le coût de la protection. Une protection peut être mis en place sur quelque chose de peu risqué si le coût est très faible.

Si tu as déjà mis en place un gestionnaire de mot de passe, générant des mots de passes forts pour tes comptes importants, l’utiliser aussi pour des sites moins sensibles a un coût nul. Donc pourquoi ne pas le faire aussi?

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte