(In)sécurité informatique

securite-informatique.jpgAinsi Skype serait une véritable passoire en terme de sécurité informatique permettant d’écouter les conversation téléphoniques entre scientifiques, BlackBerry une société dont la vocation première serait de lire les mails échangés par les VIP et les FireWalls CheckPoint un outil israélien dont tous les échanges finiraient sur le bureau du Mossad. Dans le monde informatique, et particulièrement depuis l’émergence d’Internet, se faire peur est devenu un tel business que tout risque potentiel devient un risque réel.

Pourtant, à bien y réfléchir, s’il y a un incontestable danger dans les échanges sur Internet, il provient, outre de l’utilisateur lui-même, de son fournisseur d’accès. En effet, qui est mieux placé pour savoir qui vous êtes (à travers le contrat que vous signez avec lui), la volumétrie échangée, les protocoles utilisés (autrement dit à quoi sert l’accès), les sites les plus fréquentés (vos centres d’intérêt), etc. ? D’autant que tout bon fournisseur d’accès se débrouille pour blinder ses contrats en se mettant hors jeu en cas de problème de confidentialité.

Avant de se demander si BlackBerry est capable de casser une clef de chiffrement 3DES, peut-être devrions nous commencer par repérer et réparer les principales faiblesses de nos systèmes d’information.

Share

Commentaires

Je voudrais simplement noter comme commentaire que l'ensemble des logiciels que vous citez se retrouvent communément, pour partie du moins dans le système d'information des entreprises. Etre capable d'analyser les vulnérabilité d'un Blackberry ou du moins de connaitre le niveau de confiance que lui porter est un tout premier prérequis à l'analyse de tout système d'information (pour peu que Blackberry soit utilisé par les fameux VIP de l'entreprise!).

Par ailleurs, le simple fait que le risque soit potentiel ne lui enlève pas son niveau de gravité en cas d'occurrence pour un système d'information donné. Et que dire d'un risque avéré en informatique si ce n'est qu'il est alors déjà trop tard pour y échapper, cf les propagations de virus dans les entreprises et sur les PC des particuliers.
Les menaces qui pèsent sur un système d'information (et pas seulement le système informatique) doivent simplement être évaluées, jaugées par rapport à des impacts sur l'entreprise ou son système d'information. Et c'est vrai, que pour diverses raisons, l'entreprise est parfois amenée à accepter de ne pas couvrir un risque donné, soit parce que l'impact de son occurence est considéré comme négligeable, soit que le rapport coût/gain sur le chiffre d'affaire n'est pas favorable à sa couverture. A moins que le réglementaire ou la loi ne lui impose de couvrir le risque, par exemple la confidentialité des données personnelles ou encore la lutte contre la pédophilie.

Vous faites par ailleurs bien de rappeler que techniquement personne n'est réellement anonyme sur Internet. Seules les techniques de chiffrement apportent un niveau de confidentialité pour échanges Web (HTTPS) ou de messagerie (GnuPG, XMIME...), à moins d'employer des relais d'anonymisation qui permettent de surfer anonymement à partir de points neutres du réseau Internet. Ne soyons pas naifs, le simple fait qu'il existe un point d'entrée dans ce système d'anonymisation présente un risque pour que l'individu puisse être tracé mais il suffit qu'un seul maillon de la chaine garantisse l'anonymat pour que le système complet joue correctement son rôle. A chacun d'estimer pour lui le risque alors encouru!

Et pour illustrer les mésaventures que l'on peut rencontrer au niveau du réseau et des fournisseurs d'accès, je vous propose de jetter un oeil sur le cas de ATT aux Etats-Unis.

Au sujet de Blackberry, une petite annecdote.
Je discutais avant hier avec un responsable important de la sécurité d'un groupe français de télécommunication.
Son service est chargé de faire des recommandations en matière de sécurité à ses différents départements. Après une analyse du fonctionnement des Blackberry, il s'avère que l'ensemble des informations chiffrées passe par les serveurs blackberry et uniquement par ceux-ci.
Après une négociation infructueuse avec BB, le service recommande donc à ses directions (informatiques et opérationnelles) de ne pas utiliser la technologie BB.
4 semaines plus tard, l'ensemble des cadres de l'entreprise recevait un équipement BB en dotation et une offre spécifique était mise en oeuvre pour les particuliers avec force relance commerciales....
Alors, conscience?mercantilisme? ou lobbying BB? A vous la réponse, si vous l'avez...!

Ajouter un commentaire