INFORMATIQUE: La sécurité, quelle comédie ?

La sécurité informatique : une exigence, une priorité numéro un… Sauf que des experts remettent en cause son sérieux, évoquant même le « théâtre » des mesures destinées à rassurer l’utilisateur mais qui ne seraient d’aucune utilité en matière de sécurité.
Security theatre — « des mesures qui rassurent sans pour autant améliorer la sécurité ». Bruce Schneier, cryptographe et expert en la matière, alertait le monde au sujet de ce simulacre à grande échelle en 2003. On est alors dans la période post-attentat du World Trade Center (9/11/2001) et de nouveaux protocoles sont mis en place dans les aéroports. Dans son article « In Praise of Security Theatres », Bruce Schneier argue sur l’efficacité du contre-terrorisme : des mesures qui ne posent que des défis mineurs aux professionnels de la terreur, les forçant à ne modifier que les détails d’un modus operandi bien rodé, selon lui. Et les illustrations ne manquent pas : l’on divise les 200 ml du lait de bébé dans deux bouteilles de 100 ml avant d’embarquer ; ou encore le scanner facial qui n’est efficace qu’à 30 %. Mais l’objectif se veut de rassurer. Or, « si la réalité de la sécurité est mathématique, elle fonctionne aussi sur les sentiments — sur des réactions psychologiques aux risques comme aux contre-mesures ». Toutefois, dit l’expert, ces deux aspects ne sont pas les mêmes : « On peut être secure sans se sentir secure et se sentir secure alors qu’on ne l’est pas du tout. » C’est cela le théâtre de la sécurité : le maintien de l’illusion en vue d’agir sur la psychologie. Le magazine PC Plus, dans son édition de juillet 2012, aborde ce thème.
Password
Le mot de passe : garant de l’illusion de sécurité ? Le password, en informatique, peut rimer avec « dépasse » ou « trépas », surtout s’agissant des automated password changes — changements de mots de passe automatisés. Bien sûr, rapporte PC Plus, changer de password régulièrement peut paraître une bonne idée. Mais obliger tous les employés d’une société à en changer résulte souvent en une dégradation lexicale, voire en l’adoption d’habitudes laxistes ; en d’autres mots, se conforter dans une rotation entre dates d’anniversaire, de mariage, ou encore plus farfelu : password1, password2, password3. Quelque chose de générique peut aisément remplacer un original effectivement « original » pour son cachet inventif.
Qu’on se pose alors les vraies questions : pourquoi changer de mot de passe s’il n’a pas été compromis ? ou paradoxalement, pourquoi changer de mot de passe même s’il a été compromis ? La logique du changement automatisé relève du non-sens dès le départ. Et changer de mot de passe toutes les six semaines n’est pas plus sécurisant pour autant, selon l’auteur de l’article. Et si on avait piraté votre compte durant cet intervalle ? Changer de mot de passe à la sixième semaine équivaudrait à se faire croire que le pirate aurait gentiment patienté quelques semaines avant de mettre à profit son avantage stratégique… Ce qui revient à penser qu’un voleur qui vous pique vos clefs de maison attende avant de passer à l’action. Insensé ! Or, le seul moyen de rendre quelque changement efficace (de mot de passe, ou de clef) serait qu’il intervienne au moment où le délit sera commis. Chose très improbable.
Par ailleurs, il est prouvé que le moyen le plus efficace d’installer quelque logiciel malicieux n’est pas de deviner les mots de passe. Et Bruce Schneier est sans équivoque : « Seuls les amateurs visent les machines, les pros visent les personnes. » Un rapport de Cumac Hurley (Microsoft, 2010) abonde dans le même sens : « Le meilleur moyen de diffuser un malware est de faire en sorte que l’utilisateur l’installe lui-même, ce qui fait du facteur humain l’élément central des exploits les plus sérieux. » Dans ce contexte, le pirate n’a nullement besoin de connaître le mot de passe de ses victimes ! Il utilise le backdoor créé par l’utilisateur qui installe le logiciel malicieux.
Antivirus
Le théâtre de la sécurité, c’est aussi beaucoup de bruit pour rien. Par exemple, nombre de majors des antivirus payants font perdre du temps aux utilisateurs avec des pop-ups « Il est temps de se procurer une mise-à-jour ». Mais a-t-on besoin de toujours savoir ce qui se trame ? Être constamment rassuré n’équivaut-il pas à « anguille sous roche » ? S’il est vrai qu’on paie des counsellors et autres motivational speakers pour raviver la flamme, alors l’antivirus pourrait s’apparenter dans bien des cas à un psy virtuel. Oui, tout va bien, dans le meilleur des mondes. « Votre système est clean. » Mais clean ne veut pas dire « inviolable ». Malheureusement, un virus intelligent saura contourner les paramètres de sécurité — grâce notamment au fait de n’être pas encore inclus dans la base de données de l’antivirus — tandis que l’utilisateur lambda sera gentiment rassuré que tout est à jour, clair, et fonctionne de manière optimale… tandis que le petit intrus fait son petit bonhomme de chemin destructeur.
Le contraire est tout aussi vrai. L’antivirus gratuit de Microsoft, Security Essentials, approcherait le problème d’un autre angle : le déni du Security Theatre. Et le doute prend place. « Suis-je protégé ? Microsoft a-t-il abandonné le projet ? » Et on finit par surfer sur la toile tout en se rongeant les ongles. PC Plus conclut donc à ce propos : indéniablement, un équilibre pourrait être atteint. L’objectif : la voie du milieu entre l’efficacité et le soutien psychologique.
Back-up
Et l’on se sent « bien dans ses baskets » lorsque l’on exporte les dossiers importants dans des Hard Disk (HD) externes en pensant qu’ils sont désormais protégés. Faux. Archi-faux. La majeure partie des utilisateurs laissent leur disque dur externe connecté à leur PC. Ce qui implique que si le pire se produit, aucune donnée n’est épargnée. En cas d’incendie, le HD part en fumée. En cas d’attaque virale, le HD est infecté…
Toutefois, les données peuvent être conservées sur un autre site. Mais là encore, la procédure se révèle très loin d’être pratique. C’est le cas avec la technologie Cloud mais qui ne rassure pas non plus. Comment faire confiance à une société nuageuse, brumeuse, au visage dissimulé, qui s’occuperait de vos données. PC Plus cite Graham Cluley, expert chez Sophos : « Ce théâtre est authentique… Ils menacent notre sécurité. Si nous continuons à nous laisser distraire par tout ce fla-fla, il y a risque qu’on s’y complaise : moins de ressources, moins d’efforts, moins de technologies derrière ces choses qui importent. » Et le fla–fla qui commence par un lol de circonstance finit en flop. Psychodrame.