Sécurité: par la lumière ou l'obscurité ? : Différence entre versions

De Wiki ECOPOL
(reformulation allégée)
Ligne 1 : Ligne 1 :
 
== Version PDF et imprimée ==
 
== Version PDF et imprimée ==
  
1982 : une puissante explosion a lieu en Sibérie, celle d'un gazoduc. Résultat : « c'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace », explique Thomas Reed, ancien directeur de l'armée de l'air américaine, dans ses mémoires. Cause de l'explosion : une défaillance du système de contrôle informatisé que des espions avaient subtilisé à une entreprise canadienne ; la CIA avait bidouillé le logiciel pour qu'il se détraque au bout d'un certain moment.
+
1982 : une puissante explosion a lieu en Sibérie, celle d'un gazoduc. Résultat : « c'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace », explique Thomas Reed, ancien directeur de l'armée de l'air américaine, dans ses mémoires. Cause de l'explosion : une défaillance du système de contrôle informatisé que des espions avaient subtilisé à une entreprise canadienne ; la CIA avait bidouillé le logiciel pour qu'il se détraque au bout d'un certain moment.
 
Voilà un exemple de ''bombe logique''. Depuis cette histoire vraie, rien n'a changé : la dépendance aux réseaux informatiques interconnectés constitue une menace pour notre société mondialisée. Le secteur de la Défense est un exemple particulièrement édifiant. Terroristes et pirates peuvent provoquer des paniques aux niveaux financier, médical, militaire, logistique.
 
Voilà un exemple de ''bombe logique''. Depuis cette histoire vraie, rien n'a changé : la dépendance aux réseaux informatiques interconnectés constitue une menace pour notre société mondialisée. Le secteur de la Défense est un exemple particulièrement édifiant. Terroristes et pirates peuvent provoquer des paniques aux niveaux financier, médical, militaire, logistique.
 
La sécurité sur internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques ''clients'') qu'au niveau collectif (les postes informatiques ''serveurs'').
 
La sécurité sur internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques ''clients'') qu'au niveau collectif (les postes informatiques ''serveurs'').
Ligne 7 : Ligne 7 :
 
----
 
----
  
La sécurité par l'obscur. La méthode la plus largement utilisée en ce qui concerne la sécurité informatique, tant pour les services militaires que bancaires, s'appuie sur le principe de secret de fabrication. On surnomme cette formule « La sécurité par l'obscur ». Elle permet d'éviter que le code informatique soit lisible et donc que des failles de sécurité puissent être identifiées. Elle ne répond pas nécessairement de manière très efficace au besoin de sécurité, mais elle offre la sécurité psychologique des concepteurs du système de sécurité et de ceux qui les supervisent que « le code ne pourra pas tomber dans de mauvaises mains. » Ce n'est néanmoins pas le code qui fait la sécurité, mais son absence de failles. Le nombre de personne habilitées à tester et anticiper les failles est donc réduit à ceux qui ont accès au code et qui sont employés. Bien que très largement dominante, cette méthode reste passablement défaillante puisque n'importe qui peut tenter de la briser sans qu'un grand nombre d'experts ait pu veiller à ce qu'elle ne soit pas défaillante. [à compléter]
+
La ''sécurité par l'obscurité'' s'appuie sur le principe du ''secret de fabrication'' : si vous ne savez pas comment fonctionne mon système de l'intérieur, alors vous ne pourrez pas le prendre en faute. Pour ce faire, les auteurs des programmes informatiques tiennent au secret le code source faisant fonctionner leurs logiciels. Seuls un petit nombre de personnes, triées sur le volet, peuvent le lire, le modifier, donc aussi le vérifier et l'améliorer. Bien qu'on puisse être tenté de croire que cette approche soit la plus sûre, il s'avère que, dans les faits, elle connait de nombreuses défaillances ; il arrive fréquemment qu'un futé (hacker) trouve une faille, malgré tout, et détourne le logiciel de sa fonction première.
 +
 
  
 
----
 
----
  
La sécurité, basée sur la défense collective du bien commun, s'appuie sur l'idée que, si le code qui permet d'assurer la sécurité est en libre accès pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Car toute la communauté des développeurs de logiciels pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, proposer des bugs, s'entendre, et au final faire émerger un degré de sécurité supérieur basé sur l'intelligence collective. C'est le modèle de la sécurité de la lumière adopté et promu notamment par la communauté Free bsd qui, dans le monde du logiciel libre, est une communauté dont l'objectif de sécurité est au cœur des préoccupations.  [quelques chiffres et lien pour en savoir plus de Free bsd]
+
La sécurité par la transparence s'appuie sur l'idée que si le code source est en libre consultation pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Des développeurs de logiciels de tous horizons pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur basé sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a la sécurité pour principale préoccupation.  [quelques chiffres et lien pour en savoir plus de Open BSD]
La sécurité par la lumière est néanmoins déjà adoptée pour certains systèmes de vote, pour certains systèmes militaires (ceux qui utilisent le système GNU/Linux, qui est à la base de tout système informatique [voir système d'exploitation] et aussi la distribution de Debian [voir distribution Debian et les DJ du logiciel libre])
+
La sécurité par la transparence est néanmoins déjà adoptée pour certains systèmes de vote, pour certains systèmes militaires (ceux qui utilisent le système GNU/Linux, qui est à la base de tout système informatique [voir système d'exploitation] et aussi la distribution de Debian [voir distribution Debian et les DJ du logiciel libre])
  
 
---
 
---
  
=== Encart: Cryptographie: une enveloppe pour les emails ===
+
=== Encart : Chiffrement : une enveloppe pour les courriels ===
  
Envoyer un email c'est un peu comme envoyer une carte postale. On y met pourtant des données personnelles ou même des données de travail que l'on ne coucherait jamais sur une carte postale. Crypter un message revient à utiliser une enveloppe.
+
Envoyer un courriel c'est un peu comme envoyer une carte postale : tout le monde peut le lire pourvu qu'on ait un peu de compétences informatiques et qu'on soit sur le passage du message. Pourtant, personne ne mettrait des données personnelles ou même de données de travail sur une carte postale. Chiffrer un message revient à utiliser une enveloppe.
  
  
=== Encart: Clef PGP ===
+
=== Encart : Clef GPG ===
  
Le système le plus simple et le plus efficace pour crypter des message est d'utiliser une clef PGP. C'est un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de 5minutes. Il permet d'assurer un très haut niveau de confidentialité des données.
+
Le système le plus efficace pour chiffrer des message est d'utiliser une clef GPG. Cela nécessite un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de 5 minutes. Il permet d'assurer un très haut niveau de confidentialité des données. La contrainte est que pour qu'un échange soit sécurisé, l'expéditeur et le destinataire l'utilisent...
  
  
=== Encart: Matériel de guerre ===
+
=== Encart : Matériel de guerre ===
  
Les états surveillent de près tout ce qui touche à leur cryptographie. Ils ont longtemps été très restrictifs dans l'utilisation des systèmes de cryptage. Ils considèrent qu'il s'agit de matériel de guerre. Les agences de renseignement ainsi que les trafiquants d'armes et de drogue utilisent des systèmes cryptés pour faire circuler l'information.  
+
Les états surveillent de près tout ce qui touche à leur cryptographie. Ils ont longtemps été très restrictifs dans l'utilisation des systèmes de chiffrement. Ils considèrent qu'il s'agit de ''matériel de guerre''. Les agences de renseignement ainsi que les trafiquants d'armes et de drogue utilisent de tels systèmes pour faire circuler l'information.  
  
  
=== Encart: Cryptographie késako? ===
+
=== Encart : Chiffrement késako? ===
  
La cryptographie est un concept mathématique complexe et d'astuces. C'est aussi une course poursuite perpétuelle entre crypteurs et décrypteurs. Il est souvent difficile de distinguer les gentils des méchants ou de dire de quel côté se situe le service de renseignement des états, démocratique ou non. La généralisation de la numérisation des données ou des communications a fait exploser la demande de cryptographie.
+
Le chiffrement est un concept mathématique complexe. C'est aussi une course poursuite perpétuelle entre ''chiffreurs'' et ''déchiffreurs''. Il est souvent difficile de distinguer les gentils des méchants ou de dire de quel côté se situe le service de renseignement des états, démocratiques ou non. La généralisation de la numérisation des données ou des communications a fait exploser la demande de chiffrement.
  
 
''Adapté de Lucia Sillig paru dans le temps Genève Janvier 2011 et d'un commentaire de Grégoire Ribordy directeur de la société de cryptographie genevoise ID Quantique''
 
''Adapté de Lucia Sillig paru dans le temps Genève Janvier 2011 et d'un commentaire de Grégoire Ribordy directeur de la société de cryptographie genevoise ID Quantique''
  
La cryptographie a toujours été utilisée en temps de guerre déjà à l'époque de Jules César, quant aux premiers ordinateurs ils sont le fruit des efforts de décryptages de messages ennemis pendant la seconde guerre mondiale (voir référence la machine de Turing http://www.netizen3.org/index.php/Machine_de_Turing)
+
Le chiffrement  a toujours été utilisé en temps de guerre, déjà à l'époque de Jules César ; quant aux premiers ordinateurs ils sont le fruit des efforts de décryptages de messages ennemis pendant la seconde guerre mondiale (voir référence la machine de Turing http://www.netizen3.org/index.php/Machine_de_Turing)

Version du 8 février 2011 à 16:09

Version PDF et imprimée

1982 : une puissante explosion a lieu en Sibérie, celle d'un gazoduc. Résultat : « c'est l'incendie non-nucléaire le plus gigantesque que l'on ait jamais pu voir depuis l'espace », explique Thomas Reed, ancien directeur de l'armée de l'air américaine, dans ses mémoires. Cause de l'explosion : une défaillance du système de contrôle informatisé que des espions avaient subtilisé à une entreprise canadienne ; la CIA avait bidouillé le logiciel pour qu'il se détraque au bout d'un certain moment. Voilà un exemple de bombe logique. Depuis cette histoire vraie, rien n'a changé : la dépendance aux réseaux informatiques interconnectés constitue une menace pour notre société mondialisée. Le secteur de la Défense est un exemple particulièrement édifiant. Terroristes et pirates peuvent provoquer des paniques aux niveaux financier, médical, militaire, logistique. La sécurité sur internet est un enjeu stratégique. Elle s'exerce tant au niveau individuel (les postes informatiques clients) qu'au niveau collectif (les postes informatiques serveurs).


La sécurité par l'obscurité s'appuie sur le principe du secret de fabrication : si vous ne savez pas comment fonctionne mon système de l'intérieur, alors vous ne pourrez pas le prendre en faute. Pour ce faire, les auteurs des programmes informatiques tiennent au secret le code source faisant fonctionner leurs logiciels. Seuls un petit nombre de personnes, triées sur le volet, peuvent le lire, le modifier, donc aussi le vérifier et l'améliorer. Bien qu'on puisse être tenté de croire que cette approche soit la plus sûre, il s'avère que, dans les faits, elle connait de nombreuses défaillances ; il arrive fréquemment qu'un futé (hacker) trouve une faille, malgré tout, et détourne le logiciel de sa fonction première.



La sécurité par la transparence s'appuie sur l'idée que si le code source est en libre consultation pour tout le monde, ceci va augmenter sa probabilité d'être sûr et inattaquable, donc sans défaillances. Des développeurs de logiciels de tous horizons pourront le télécharger et regarder son mode de fonctionnement, identifier les failles, dénicher des bugs, s'entendre et, au final, aboutir à un degré de sécurité supérieur basé sur l'intelligence collective. Ce modèle est adopté et promu par la communauté Open BSD qui, dans le monde du logiciel libre, a la sécurité pour principale préoccupation. [quelques chiffres et lien pour en savoir plus de Open BSD] La sécurité par la transparence est néanmoins déjà adoptée pour certains systèmes de vote, pour certains systèmes militaires (ceux qui utilisent le système GNU/Linux, qui est à la base de tout système informatique [voir système d'exploitation] et aussi la distribution de Debian [voir distribution Debian et les DJ du logiciel libre])

---

Encart : Chiffrement : une enveloppe pour les courriels

Envoyer un courriel c'est un peu comme envoyer une carte postale : tout le monde peut le lire pourvu qu'on ait un peu de compétences informatiques et qu'on soit sur le passage du message. Pourtant, personne ne mettrait des données personnelles ou même de données de travail sur une carte postale. Chiffrer un message revient à utiliser une enveloppe.


Encart : Clef GPG

Le système le plus efficace pour chiffrer des message est d'utiliser une clef GPG. Cela nécessite un petit programme qui s'installe sur tous les ordinateurs et qu'on apprend à manipuler en moins de 5 minutes. Il permet d'assurer un très haut niveau de confidentialité des données. La contrainte est que pour qu'un échange soit sécurisé, l'expéditeur et le destinataire l'utilisent...


Encart : Matériel de guerre

Les états surveillent de près tout ce qui touche à leur cryptographie. Ils ont longtemps été très restrictifs dans l'utilisation des systèmes de chiffrement. Ils considèrent qu'il s'agit de matériel de guerre. Les agences de renseignement ainsi que les trafiquants d'armes et de drogue utilisent de tels systèmes pour faire circuler l'information.


Encart : Chiffrement késako?

Le chiffrement est un concept mathématique complexe. C'est aussi une course poursuite perpétuelle entre chiffreurs et déchiffreurs. Il est souvent difficile de distinguer les gentils des méchants ou de dire de quel côté se situe le service de renseignement des états, démocratiques ou non. La généralisation de la numérisation des données ou des communications a fait exploser la demande de chiffrement.

Adapté de Lucia Sillig paru dans le temps Genève Janvier 2011 et d'un commentaire de Grégoire Ribordy directeur de la société de cryptographie genevoise ID Quantique

Le chiffrement a toujours été utilisé en temps de guerre, déjà à l'époque de Jules César ; quant aux premiers ordinateurs ils sont le fruit des efforts de décryptages de messages ennemis pendant la seconde guerre mondiale (voir référence la machine de Turing http://www.netizen3.org/index.php/Machine_de_Turing)