Sécurité: par la lumière ou l'obscurité ? : Différence entre versions

De Wiki ECOPOL
(Page créée avec « == Reste à faire == Non disponible pour le moment == Titres et intros alternatives == Non disponible pour le moment == Citations diverses (en option) == Non disponible pou… »)
 
 
(35 révisions intermédiaires par 11 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
== Reste à faire ==
+
''sécurité, obscurité, lumière, secret de fabrication, identification, coopération.''
Non disponible pour le moment
+
-----
  
== Titres et intros alternatives ==
+
Juin 1982 : une puissante explosion a lieu en Sibérie, qui frappe un gazoduc.
Non disponible pour le moment
 
  
== Citations diverses (en option) ==
+
« C'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace » racontera dans ses mémoires Thomas Reed, ancien patron de l'armée de l'air américaine. À l’origine de l'explosion, une défaillance du système de contrôle informatique que des espions avaient réussi à subtiliser à une entreprise canadienne. La CIA était intervenue sur le logiciel afin qu'il se détraque au bout d'un temps donné. Ceci est un exemple de bombe logique. Depuis cette histoire vraie, rien n'a changé : sa dépendance aux réseaux informatiques interconnectés constitue plus que jamais une menace pour notre société mondialisée. Le secteur militaire est particulièrement concerné, bien entendu, mais terroristes et pirates peuvent également provoquer de graves crises suivies de paniques en intervenant dans les champs financier, médical ou logistique d’un pays. '''La sécurité sur Internet est un enjeu stratégique.''' Elle s'exerce tant au niveau individuel (les postes informatiques clients) qu'au niveau collectif (les postes informatiques serveurs). Et, dans ce domaine comme dans d’autres, mieux vaut prévenir que guérir.
Non disponible pour le moment
 
  
== Encart-s (en option) ==
+
=== Posséder l’information c’est détenir le pouvoir  ===
Non disponible pour le moment
+
Cacher la clé de son appartement dans sa boîte aux lettres et présumer que personne ne la trouvera n’est pas nécessairement la stratégie la plus efficace si l’on espère mettre ses biens en sécurité. C’est pourtant cette option que choisissent la plupart des grandes entreprises numériques.
  
== Corps de l'article ==
+
Concrètement, la clé est la faille de sécurité connue par son fabricant : celui-ci préfère la dissimuler aux yeux du public en espérant que personne ne la découvrira et ne la rendra publique, plutôt que d’avertir ses utilisateurs qu’ils courent le risque d’être cambriolés et qu’ils doivent se préparer à cette éventualité. On parle dans ce cas de « sécurité par l'obscurité », appuyée par le principe du secret de fabrication : si vous ne savez pas comment fonctionne mon système de l'intérieur, alors vous ne pourrez pas le prendre en faute. Pour ce faire, les auteurs des programmes informatiques gardent au secret le code source qui permet à leurs logiciels de fonctionner.
  
= Générique =
+
=== Et si fournir la clé était la solution ? ===
Une puissante explosion a lieu en Sibérie, c'est l'explosion d'un gazoduc. Résultat: « c'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace », explique Thomas Reed , ancien directeur de l'armée de l'air américaine, dans ses mémoires. Cause: une défaillance du système de contrôle informatisé que des espions avaient subtilisé à une entreprise canadienne; la CIA avait bidouillé le logiciel pour qu'il se détraque au bout d'un certain moment. Voilà un exemple de bombe logique. Cette histoire vraie s'est passée en 1982. Depuis, rien n'a changé. Les menaces sont au niveau du degré de dépendance que notre société mondialisé et particulièrement les militaires éprouve à l'usage des réseaux informatiques interconnectés. Terroristes et pirates, peuvent provoquer des paniques au niveau financier, médical, militaire, transports, ... La sécurité sur internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les post-clients informatiques) qu'au niveau collectif (les post-serveurs informatiques, alias les Perceval Computer, PC).
+
La sécurité par la transparence s'appuie sur l'idée que si le code source est en libre consultation pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Des développeurs de logiciels de tous horizons pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur basé sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a la sécurité pour principale préoccupation. La sécurité par la transparence est néanmoins déjà adoptée pour certains systèmes comme GNU/Linux, qui est à la base de tout système informatique, et aussi pour la distribution Debian.  
  
= Dominant =
+
=== Quelques infos ===
La sécurité par l'obscur. La méthode la plus largement utilisée en ce qui concerne la sécurité informatique, tant pour les services militaires que bancaires, s'appuie sur le principe de secret de fabrication. On surnomme cette formule « La sécurité par l'obscur ». Elle permet d'éviter que le code informatique soit lisible et donc que des failles de sécurité puissent être identifiées. Elle ne répond pas nécessairement de manière très efficace au besoin de sécurité, mais elle offre la sécurité psychologique des concepteurs du système de sécurité et de ceux qui les supervisent que « le code ne pourra pas tomber dans de mauvaises mains. » Ce n'est néanmoins pas le code qui fait la sécurité, mais son absence de failles. Le nombre de personne habilitées à tester et anticiper les failles est donc réduit à ceux qui ont accès au code et qui sont employés. Bien que très largement dominante, reste passablement défaillante vu que n'importe qui peut tenter de la briser sans qu'un grand nombre d'experts ait pu veiller à ce qu'elle ne soit pas défaillante. [à compléter]
+
==== Chiffrement : une enveloppe pour les courriels ====
 +
Envoyer un courriel, c'est un peu comme envoyer une carte postale : toute personne se trouvant sur le chemin du message et possédant un minimum de compétence informatique sera capable de le lire. Personne, pourtant, en principe, ne livrerait à une carte postale des données très personnelles, ni même des informations professionnelles sensibles. Chiffrer un message revient à utiliser une enveloppe.  
  
= Citoyen =
+
==== Clé GPG  ====
 +
Le système le plus efficace pour chiffrer des messages consiste à utiliser une clé GPG. Cela nécessite un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de cinq minutes. Il permet d'assurer un très haut niveau de confidentialité des données. Seule contrainte : pour qu'un échange soit sécurisé, il faut que l'expéditeur et le destinataire utilisent le même système.
  
La sécurité, basée sur la défense collective du bien commun, s'appuie sur l'idée que, si le code qui permet d'assurer la sécurité est en libre accès pour tout le monde, ceci va augmenter sa probabilité d'être sûre et inattaquable, donc sans défaillances. Car toute la communauté des développeurs de logiciels pourront la télécharger et regarder son mode de fonctionnement, identifier les failles, proposer des bugs, s'entendre, et au final faire émerger un degré de sécurité supérieur basé sur l'intelligence collective. C'est le modèle de la sécurité de la lumière adopté et promu notamment par la communauté Free bsd qui, dans le monde du logiciel libre, est une communauté dont l'objectif de sécurité est au coeur des proccupations.  [quelques chiffres et lien pour en savoir plus de Free bsd]
 
La sécurité par la lumière est néanmoins déjà adoptée pour certains systèmes de vote, pour certains systèmes militaires (ceux qui utilisent le système GNU/Linux, qui est à la base de tout système informatique [voir système d'exploitation] et aussi la distribution de Debian [voir distribution Debian et les DJ du logiciel libre])
 
Non disponible pour le moment
 
  
== Sources (en option) ==
+
[[Fichier:petiteshistoires5.jpg]]
Non disponible pour le moment
 
  
== Autres documents pour usages complémentaires (en option) ==
+
== Notes et références ==
Non disponible pour le moment
+
<references/>
 +
 
 +
== Annexes ==
 +
 
 +
=== Liens externes ===
 +
*http://www.openbsd.org/fr/
 +
 
 +
*http://www.petiteshistoiresdinternet.ch/

Version actuelle datée du 20 septembre 2012 à 14:58

sécurité, obscurité, lumière, secret de fabrication, identification, coopération.


Juin 1982 : une puissante explosion a lieu en Sibérie, qui frappe un gazoduc.

« C'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace » racontera dans ses mémoires Thomas Reed, ancien patron de l'armée de l'air américaine. À l’origine de l'explosion, une défaillance du système de contrôle informatique que des espions avaient réussi à subtiliser à une entreprise canadienne. La CIA était intervenue sur le logiciel afin qu'il se détraque au bout d'un temps donné. Ceci est un exemple de bombe logique. Depuis cette histoire vraie, rien n'a changé : sa dépendance aux réseaux informatiques interconnectés constitue plus que jamais une menace pour notre société mondialisée. Le secteur militaire est particulièrement concerné, bien entendu, mais terroristes et pirates peuvent également provoquer de graves crises suivies de paniques en intervenant dans les champs financier, médical ou logistique d’un pays. La sécurité sur Internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques clients) qu'au niveau collectif (les postes informatiques serveurs). Et, dans ce domaine comme dans d’autres, mieux vaut prévenir que guérir.

Posséder l’information c’est détenir le pouvoir

Cacher la clé de son appartement dans sa boîte aux lettres et présumer que personne ne la trouvera n’est pas nécessairement la stratégie la plus efficace si l’on espère mettre ses biens en sécurité. C’est pourtant cette option que choisissent la plupart des grandes entreprises numériques.

Concrètement, la clé est la faille de sécurité connue par son fabricant : celui-ci préfère la dissimuler aux yeux du public en espérant que personne ne la découvrira et ne la rendra publique, plutôt que d’avertir ses utilisateurs qu’ils courent le risque d’être cambriolés et qu’ils doivent se préparer à cette éventualité. On parle dans ce cas de « sécurité par l'obscurité », appuyée par le principe du secret de fabrication : si vous ne savez pas comment fonctionne mon système de l'intérieur, alors vous ne pourrez pas le prendre en faute. Pour ce faire, les auteurs des programmes informatiques gardent au secret le code source qui permet à leurs logiciels de fonctionner.

Et si fournir la clé était la solution ?

La sécurité par la transparence s'appuie sur l'idée que si le code source est en libre consultation pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Des développeurs de logiciels de tous horizons pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur basé sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a la sécurité pour principale préoccupation. La sécurité par la transparence est néanmoins déjà adoptée pour certains systèmes comme GNU/Linux, qui est à la base de tout système informatique, et aussi pour la distribution Debian.

Quelques infos

Chiffrement : une enveloppe pour les courriels

Envoyer un courriel, c'est un peu comme envoyer une carte postale : toute personne se trouvant sur le chemin du message et possédant un minimum de compétence informatique sera capable de le lire. Personne, pourtant, en principe, ne livrerait à une carte postale des données très personnelles, ni même des informations professionnelles sensibles. Chiffrer un message revient à utiliser une enveloppe.

Clé GPG

Le système le plus efficace pour chiffrer des messages consiste à utiliser une clé GPG. Cela nécessite un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de cinq minutes. Il permet d'assurer un très haut niveau de confidentialité des données. Seule contrainte : pour qu'un échange soit sécurisé, il faut que l'expéditeur et le destinataire utilisent le même système.


Petiteshistoires5.jpg

Notes et références


Annexes

Liens externes