Sécurité: par la lumière ou l'obscurité ? : Différence entre versions

De Wiki livre Netizenship
Ligne 1 : Ligne 1 :
== Encadré mots-clés ==
+
''sécurité, obscurité, lumière, secret de fabrication, identification, coopération.''
 +
-----
  
sécurité, obscurité, lumière, secret de fabrication, identification, coopération.
+
Juin 1982 : une puissante explosion a lieu en Sibérie, qui frappe un gazoduc. « C'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace », racontera dans ses mémoires Thomas Reed, ancien patron de l'armée de l'air américaine. A l’origine de l'explosion, une défaillance du système de contrôle informatisé que des espions avaient réussi à subtiliser à une entreprise canadienne : la CIA était intervenue sur le logiciel afin qu'il se détraque au bout d'un temps donné. Ceci est un exemple de bombe logique. Depuis cette histoire vraie, rien n'a changé : sa dépendance aux réseaux informatiques interconnectés constitue plus que jamais une menace pour notre société mondialisée. Le secteur militaire est particulièrement concerné, bien entendu, mais terroristes et pirates peuvent également provoquer de graves crises suivies de paniques en intervenant dans les champs financier, médical ou logistique d’un pays. La sécurité sur Internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques clients) qu'au niveau collectif (les postes informatiques serveurs). Et dans ce domaine comme dans d’autres, mieux vaut prévenir que guérir.  
 
 
 
 
1982 : une puissante explosion a lieu en Sibérie, celle d'un gazoduc. Résultat : « c'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace », explique Thomas Reed, ancien directeur de l'armée de l'air américaine, dans ses mémoires. Cause de l'explosion : une défaillance du système de contrôle informatisé que des espions avaient subtilisé à une entreprise canadienne. La CIA avait bidouillé le logiciel pour qu'il se détraque au bout d'un certain moment.
 
Voilà un exemple de ''bombe logique''. Depuis cette histoire vraie, rien n'a changé : la dépendance aux réseaux informatiques interconnectés constitue une menace pour notre société mondialisée. Le secteur de la Défense est un exemple particulièrement édifiant. Terroristes et pirates peuvent provoquer des paniques aux niveaux financier, médical, militaire ou logistique.
 
La sécurité sur internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques ''clients'') qu'au niveau collectif (les postes informatiques ''serveurs'').
 
  
 
== Posséder l’information c’est détenir le pouvoir ==
 
== Posséder l’information c’est détenir le pouvoir ==
  
Cacher la clé de son appartement dans la boîte aux lettres et présumer que personne ne la trouvera, est-ce là vraiment la meilleure manière de mettre ses biens en sécurité? Pourtant c’est cette option que choisissent la plupart des grandes entreprises numériques. Concrètement, la clé est la faille de sécurité connue par son fabriquant, qu’il préfère cacher aux yeux du public en espérant que personne ne la découvre et ne la révèle, plutôt que d’avertir ses utilisateurs pour qu’ils se préparent à l’éventualité d’être cambriolés.
+
Cacher la clé de son appartement dans sa boîte aux lettres et présumer que personne ne la trouvera n’est pas nécessairement la stratégie la plus efficace si l’on espère mettre ses biens en sécurité. C’est pourtant cette option que choisissent la plupart des grandes entreprises numériques. Concrètement, la clé est la faille de sécurité connue par son fabricant : celui-ci préfère la dissimuler aux yeux du public en espérant que personne ne la découvrira et ne la rendra publique, plutôt que d’avertir ses utilisateurs qu’ils courent le risque d’être cambriolés et qu’ils doivent se préparer à cette éventualité.
 +
On parle dans ce cas de « sécurité par l'obscurité », appuyée par le principe du secret de fabrication : si vous ne savez pas comment fonctionne mon système de l'intérieur, alors vous ne pourrez pas le prendre en faute. Pour ce faire, les auteurs des programmes informatiques gardent au secret le code source qui permet à leurs logiciels de fonctionner. Cela revient en quelque sorte à autoriser quelqu’un à conduire une voiture, mais en lui interdisant d'en soulever le capot au prétexte que ce qui s’y trouve est dangereux et classé « secret défense » ; même pour un mécanicien. Seuls un petit nombre de personnes, triées sur le volet, sont donc autorisées à lire le logiciel, à le modifier, à la vérifier et à l’améliorer. Cette approche pourrait passer pour la plus sûre, or il s'avère qu’elle connaît, en pratique, de nombreuses défaillances. Dans le meilleur des cas, un  indiscret futé (hacker) trouvera une faille, malgré toutes les précautions prises, et détournera le logiciel de sa fonction première ; dans le pire des cas c’est un scélérat (cracker) qui trouvera la clé : les conséquences de son action pourront alors être désastreuses.
  
Dans ce cas on parle de ''sécurité par l'obscurité'' appuyé par le principe du ''secret de fabrication'': si vous ne savez pas comment fonctionne mon système de l'intérieur, alors vous ne pourrez pas le prendre en faute. Pour ce faire, les auteurs des programmes informatiques tiennent au secret le code source faisant fonctionner leurs logiciels. Comme si on permettait de conduire une voiture, mais en interdisant d'aller voir ce qu'il y a sous le capot. Argument : sous le capot, c'est secret défense, c'est dangereux. Même pour les mécaniciens. Seuls un petit nombre de personnes, triées sur le volet, peuvent lire le logiciel, le modifier, donc aussi le vérifier et l'améliorer. Bien qu'on puisse être tenté de croire que cette approche soit la plus sûre, il s'avère que, dans les faits, elle connaît de nombreuses défaillances. Dans le meilleur des cas, un futé (hacker) trouve une faille, malgré tout, et détourne le logiciel de sa fonction première ; dans le pire de cas c’est un scélérat (cracker) qui trouve la clé et les conséquences peuvent être désastreuses.
+
== Et si fournir la clé était la solution ? ==
  
== Et si fournir la clé était la solution ? ==
+
Le principe de la sécurité par la transparence s'appuie sur l'idée que si un code source est laissé à la libre consultation de tout un chacun, sa probabilité de sécurité et d’inviolabilité s’en trouvera augmentée. Des développeurs de logiciels venus de tous horizons pourront le télécharger et observer son mode de fonctionnement, identifier ses failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur reposant sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a fait de la sécurité sa préoccupation première. La sécurité par la transparence a également été adoptée dans le cas de certains systèmes tels que GNU/Linux, qui est à la base de tout système informatique, ? On peut dire ça aussi fermement ? et pour la distribution de Debian
  
 
La sécurité par la transparence s'appuie sur l'idée que si le code source est en libre consultation pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Des développeurs de logiciels de tous horizons pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur basé sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a la sécurité pour principale préoccupation.
 
La sécurité par la transparence s'appuie sur l'idée que si le code source est en libre consultation pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Des développeurs de logiciels de tous horizons pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur basé sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a la sécurité pour principale préoccupation.
 
La sécurité par la transparence est néanmoins déjà adoptée pour certains systèmes comme GNU/Linux, qui est à la base de tout système informatique et aussi pour la distribution de Debian [lien interne]
 
La sécurité par la transparence est néanmoins déjà adoptée pour certains systèmes comme GNU/Linux, qui est à la base de tout système informatique et aussi pour la distribution de Debian [lien interne]
 
 
La sécurité sur internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques ''clients'') qu'au niveau collectif (les postes informatiques ''serveurs'').
 
Car la dépendance aux réseaux informatiques interconnectés constitue une menace réelle pour notre société mondialisée. Le secteur de la Défense est un exemple particulièrement édifiant. Terroristes et pirates peuvent provoquer des paniques aux niveaux financier, médical, militaire ou logistique. Mieux vaut donc prévenir que guérir.
 
  
 
== Quelques infos ==
 
== Quelques infos ==
Ligne 27 : Ligne 20 :
 
=== Chiffrement : une enveloppe pour les courriels ===
 
=== Chiffrement : une enveloppe pour les courriels ===
  
Envoyer un courriel c'est un peu comme envoyer une carte postale : tout le monde peut le lire pourvu qu'on ait un peu de compétences informatiques et qu'on soit sur le passage du message. Pourtant, personne ne mettrait des données personnelles ou même de données de travail sur une carte postale. Chiffrer un message revient à utiliser une enveloppe.
+
Envoyer un courriel, c'est un peu comme envoyer une carte postale : toute personne se trouvant sur le chemin du message et possédant un minimum de compétence informatique sera capable de le lire. Personne, pourtant, en principe, ne livrerait à une carte postale des données très personnelles, ni même des informations professionnelles sensibles. Chiffrer un message revient à utiliser une enveloppe.
  
 
=== Clef GPG ===
 
=== Clef GPG ===
  
Le système le plus efficace pour chiffrer des messages est d'utiliser une clef GPG. Cela nécessite un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de 5 minutes. Il permet d'assurer un très haut niveau de confidentialité des données. La contrainte est que pour qu'un échange soit sécurisé, il faut que l'expéditeur et le destinataire l'utilisent...
+
Le système le plus efficace pour chiffrer des messages consiste à utiliser une clé GPG. Cela nécessite un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de cinq minutes. Il permet d'assurer un très haut niveau de confidentialité des données. Seule contrainte : pour qu'un échange soit sécurisé, il faut que l'expéditeur et le destinataire utilisent le même système.
  
 
=== Matériel de guerre ===
 
=== Matériel de guerre ===
  
Les États surveillent de près tout ce qui touche à leur cryptographie. Ils ont longtemps été très restrictifs dans l'utilisation des systèmes de chiffrement. Ils considèrent qu'il s'agit de ''matériel de guerre''. Les agences de renseignement ainsi que les trafiquants d'armes et de drogue utilisent de tels systèmes pour faire circuler l'information.  
+
Les États surveillent de près tout ce qui touche à leur cryptographie. Ils sont longtemps restés très restrictifs quant à l'utilisation des systèmes de chiffrement, considérant qu'il s'agit de matériel de guerre. Les agences de renseignement ainsi que les trafiquants d'armes et de drogue utilisent de tels systèmes pour faire circuler l'information.
  
 
=== Chiffrement késako? ===
 
=== Chiffrement késako? ===
  
Le chiffrement est un concept mathématique complexe. C'est aussi une course poursuite perpétuelle entre ''chiffreurs'' et ''déchiffreurs''. Il est souvent difficile de distinguer les gentils des méchants ou de dire de quel côté se situe le service de renseignement des états, démocratiques ou non. La généralisation de la numérisation des données ou des communications a fait exploser la demande de chiffrement.
+
Le chiffrement est un concept mathématique complexe. Il est aussi le fruit d’une course poursuite perpétuelle entre chiffreurs et déchiffreurs. Difficile, du reste, dans cet affrontement pas toujours pacifique, de toujours distinguer les gentils des méchants, et de dire à coup sûr de quel côté se situe le service de renseignement des États, démocratiques ou non. La généralisation de la numérisation des données ou des communications a fait exploser la demande de chiffrement. <ref>Adapté d’un article de Lucia Sillig paru dans Le temps (Genève, janvier 2011) et d'un commentaire de Grégoire Ribordy, directeur de la société de cryptographie genevoise ID Quantique. </ref>
 +
 
  
''Adapté de Lucia Sillig paru dans le temps Genève Janvier 2011 et d'un commentaire de Grégoire Ribordy directeur de la société de cryptographie genevoise ID Quantique''
+
Le chiffrement a toujours été utilisé en temps de guerre. C’était déjà le cas à l'époque de Jules César. Les premiers ordinateurs sont le fruit des efforts de décryptage des messages ennemis pendant la Seconde Guerre mondiale (lire à ce sujet « la machine de Turing »).
  
Le chiffrement a toujours été utilisé en temps de guerre, déjà à l'époque de Jules César. Quant aux premiers ordinateurs, ils sont le fruit des efforts de décryptages de messages ennemis pendant la seconde guerre mondiale (voir référence la machine de Turing http://www.netizen3.org/index.php/Machine_de_Turing)
 
  
 
[[Fichier:petiteshistoires5.jpg]]
 
[[Fichier:petiteshistoires5.jpg]]
  
 
== Sources et notes ==
 
== Sources et notes ==
 +
 +
<references/>
  
 
http://www.openbsd.org/fr/
 
http://www.openbsd.org/fr/

Version du 21 septembre 2011 à 14:35

sécurité, obscurité, lumière, secret de fabrication, identification, coopération.


Juin 1982 : une puissante explosion a lieu en Sibérie, qui frappe un gazoduc. « C'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace », racontera dans ses mémoires Thomas Reed, ancien patron de l'armée de l'air américaine. A l’origine de l'explosion, une défaillance du système de contrôle informatisé que des espions avaient réussi à subtiliser à une entreprise canadienne : la CIA était intervenue sur le logiciel afin qu'il se détraque au bout d'un temps donné. Ceci est un exemple de bombe logique. Depuis cette histoire vraie, rien n'a changé : sa dépendance aux réseaux informatiques interconnectés constitue plus que jamais une menace pour notre société mondialisée. Le secteur militaire est particulièrement concerné, bien entendu, mais terroristes et pirates peuvent également provoquer de graves crises suivies de paniques en intervenant dans les champs financier, médical ou logistique d’un pays. La sécurité sur Internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques clients) qu'au niveau collectif (les postes informatiques serveurs). Et dans ce domaine comme dans d’autres, mieux vaut prévenir que guérir.

Posséder l’information c’est détenir le pouvoir

Cacher la clé de son appartement dans sa boîte aux lettres et présumer que personne ne la trouvera n’est pas nécessairement la stratégie la plus efficace si l’on espère mettre ses biens en sécurité. C’est pourtant cette option que choisissent la plupart des grandes entreprises numériques. Concrètement, la clé est la faille de sécurité connue par son fabricant : celui-ci préfère la dissimuler aux yeux du public en espérant que personne ne la découvrira et ne la rendra publique, plutôt que d’avertir ses utilisateurs qu’ils courent le risque d’être cambriolés et qu’ils doivent se préparer à cette éventualité. On parle dans ce cas de « sécurité par l'obscurité », appuyée par le principe du secret de fabrication : si vous ne savez pas comment fonctionne mon système de l'intérieur, alors vous ne pourrez pas le prendre en faute. Pour ce faire, les auteurs des programmes informatiques gardent au secret le code source qui permet à leurs logiciels de fonctionner. Cela revient en quelque sorte à autoriser quelqu’un à conduire une voiture, mais en lui interdisant d'en soulever le capot au prétexte que ce qui s’y trouve est dangereux et classé « secret défense » ; même pour un mécanicien. Seuls un petit nombre de personnes, triées sur le volet, sont donc autorisées à lire le logiciel, à le modifier, à la vérifier et à l’améliorer. Cette approche pourrait passer pour la plus sûre, or il s'avère qu’elle connaît, en pratique, de nombreuses défaillances. Dans le meilleur des cas, un indiscret futé (hacker) trouvera une faille, malgré toutes les précautions prises, et détournera le logiciel de sa fonction première ; dans le pire des cas c’est un scélérat (cracker) qui trouvera la clé : les conséquences de son action pourront alors être désastreuses.

Et si fournir la clé était la solution ?

Le principe de la sécurité par la transparence s'appuie sur l'idée que si un code source est laissé à la libre consultation de tout un chacun, sa probabilité de sécurité et d’inviolabilité s’en trouvera augmentée. Des développeurs de logiciels venus de tous horizons pourront le télécharger et observer son mode de fonctionnement, identifier ses failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur reposant sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a fait de la sécurité sa préoccupation première. La sécurité par la transparence a également été adoptée dans le cas de certains systèmes tels que GNU/Linux, qui est à la base de tout système informatique, ? On peut dire ça aussi fermement ? et pour la distribution de Debian

La sécurité par la transparence s'appuie sur l'idée que si le code source est en libre consultation pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Des développeurs de logiciels de tous horizons pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur basé sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a la sécurité pour principale préoccupation. La sécurité par la transparence est néanmoins déjà adoptée pour certains systèmes comme GNU/Linux, qui est à la base de tout système informatique et aussi pour la distribution de Debian [lien interne]

Quelques infos

Chiffrement : une enveloppe pour les courriels

Envoyer un courriel, c'est un peu comme envoyer une carte postale : toute personne se trouvant sur le chemin du message et possédant un minimum de compétence informatique sera capable de le lire. Personne, pourtant, en principe, ne livrerait à une carte postale des données très personnelles, ni même des informations professionnelles sensibles. Chiffrer un message revient à utiliser une enveloppe.

Clef GPG

Le système le plus efficace pour chiffrer des messages consiste à utiliser une clé GPG. Cela nécessite un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de cinq minutes. Il permet d'assurer un très haut niveau de confidentialité des données. Seule contrainte : pour qu'un échange soit sécurisé, il faut que l'expéditeur et le destinataire utilisent le même système.

Matériel de guerre

Les États surveillent de près tout ce qui touche à leur cryptographie. Ils sont longtemps restés très restrictifs quant à l'utilisation des systèmes de chiffrement, considérant qu'il s'agit de matériel de guerre. Les agences de renseignement ainsi que les trafiquants d'armes et de drogue utilisent de tels systèmes pour faire circuler l'information.

Chiffrement késako?

Le chiffrement est un concept mathématique complexe. Il est aussi le fruit d’une course poursuite perpétuelle entre chiffreurs et déchiffreurs. Difficile, du reste, dans cet affrontement pas toujours pacifique, de toujours distinguer les gentils des méchants, et de dire à coup sûr de quel côté se situe le service de renseignement des États, démocratiques ou non. La généralisation de la numérisation des données ou des communications a fait exploser la demande de chiffrement. [1]


Le chiffrement a toujours été utilisé en temps de guerre. C’était déjà le cas à l'époque de Jules César. Les premiers ordinateurs sont le fruit des efforts de décryptage des messages ennemis pendant la Seconde Guerre mondiale (lire à ce sujet « la machine de Turing »).


Petiteshistoires5.jpg

Sources et notes

  1. Adapté d’un article de Lucia Sillig paru dans Le temps (Genève, janvier 2011) et d'un commentaire de Grégoire Ribordy, directeur de la société de cryptographie genevoise ID Quantique.

http://www.openbsd.org/fr/

Sources iconographiques

http://www.petiteshistoiresdinternet.ch/