L'insécurité numérique

La sécurité du numérique, serait-elle une illusion?

Techno: Proposé le 30 avril 2020 par Max actualisé le 7 mai 2020

Dans la vie réelle, nous n'achèterions pas, en principe, sauf cas rare de perversité! une table ou une chaise bancale. Dans le monde du numérique et de l'édition de logiciels, c'est le contraire, nous achetons et installons sur nos ordinateurs des logiciels mal conçus, avec des failles de sécurité connues ou non. Curieux paradoxe!

L'équivalent de la notion de privacy by design la protection des données personnelles dès la conception semble ne pas exister dans le secteur du développement de logiciels. Peut-être parce que comme un menuisier est sensé fabriquer une table ou une chaise stable, on s'attend à ce que les développeurs de logiciels en fassent autant.

Et pourtant non! Le développement informatique s'est fait sans prendre suffisamment en considération la sécurité.

Cette négligence est à l'origine de tous les piratages, virus, ransomwares, chevaux de Troie etc.

Ces faiblesses de développement, potentielles failles de sécurité, sont connues, documentées et exploitées par des pirates informatiques mais aussi par des services d'états, comme a pu le révéler Edward Snowden.

C'est ainsi que le ransomware WanaCry fut créé à partir d'une faille de sécurité, déjà répertoriée et exploitée par la NSA.La National Security Agency est un organisme gouvernemental du département de la Défense des États-Unis, responsable du renseignement d'origine électromagnétique et de la sécurité des systèmes d'information du gouvernement

Un autre rançongiciel apparaît à la même période, au printemps 2017, que WanaCry, nommé Notpetya, qui utilise la même vulnérabilité que WanaCry mais en diffère par ce qu'il rend les données chiffrées définitivement inaccessibles. Il est donc vain de verser la moindre rançon.

Le ransomware ou rançongiciel dont le principe voudrait qu'après paiement d'une rançon, par exemple en crypto-monnaie, vous récupériez une clef de déchiffrement pour retrouver l'accès à vos fichiers.

Mais quelle confiance accorder à un malfaiteur, quelle certitude de recevoir ladite clef, quelle garantie de bonne fin?

Malheureusement, aucune, l'escroquerie peut se poursuivre en vous adressant une mauvaise clef, volontairement ou par erreur, ou encore à cause d'un disfonctionnement de la clef due à une erreur de programmation ne permettant de récupérer qu'une partie du fichier, etc.

En réalité, la seule réponse possible est de réinitialiser vos disques durs et de restaurer vos ordinateurs dans leur état initial lors de la première mise en service, de réinstaller vos logiciels et applications puis de restaurer les fichiers.

Cela n'est possible évidemment que si vous disposez de sauvegardes régulières et récentes ou si vous avez développé un plan de continuité d'activitéGuide du Secrétariat général de la défense et de la sécurité nationale à télécharger pour réaliser un Plan de continuité d'activité au format PDF.

Avec la multiplication des usages d'Internet, un autre risque est apparu, celui de la fuite de données, dû là encore aux piratages de fichiers, de bases de données locales ou en ligne permettant l'accès à des informations normalement confidentielles, telles que, notamment, les identifiants et mots de passe de connexion à des boites mail, à des comptes en ligne, rendant possible l'usurpation d'identité et évidemment l'extorsion de fonds entre autres malversations.

En résumé, pour renforcer la résistance de votre système d'information aux attaques informatiques, il faut mettre à jour tous vos ordinateurs et changer régulièrement vos mots de passe.

Mais pas seulement, il convient de former les personnels, le maillon faible de la chaîne de sécurité, à la sécurité informatique comme on le fait pour la santé et la sécurité au travail.

Remarque: il est possible de se demander, si la pérexistence existence et permanence de ces failles et erreurs de conception n'ont d'autres buts que de nous inciter, non seulement à actualiser la partie logicielle de nos ordinateurs, créant, de fait, une dépendance aux fournisseurs en nous contraignant à suivre l'évolution voulue par l'éditeur comme le fait Microsoft par exemple avec ses successives version de son système d'exploitation windows, mais aussi de remplacer nos matériels par de plus récents, sensément meilleurs, accélérant l'obsolescence de ceux-ci.

Commentaire: Le risque numérique concerne tout à la fois les ordinateurs, les réseaux, les logiciels de gestion et la bureautique, mais aussi l'industrie dont les chaînes de production sont de plus en plus équipées d'automates intégrant des processeurs et des mini-programmes, le commerce traditionnel et l'e-commerce, les objets connectés, les hôpitaux dont les matériels de soins ou de diagnostics dépendent, également d'une informatique embarquée et plus largement presque toute l'activité économique de nos sociétés, à l'exception de mon pote âgé.ou potager, au choix c'est valable pour les deux.

Addenda :

N'allez pas croire que cet article fut rédigé par un esprit rétrograde, proche de la sénescence, mais plutôt dans l'esprit de sensibiliser à la réalité du risque numérique autrement qu'en assénant des truismes sur le sujet.

Actualisation du 7 mai 2020

L'exemple de Zoom est une sorte de confirmation de cet article et met en évidence, ô combien, la sécurité est négligée, peut-être dû à un lancement prématuré.
A lire: La fulgurante ascension de l’application Zoom freinée par des failles de sécurité et Zoom met en place de nouvelles mesures de sécurité

Lectures complémentaires: Print Friendly and PDF - fleche retour au debut