Paru sur le blogue du Hackfest.

Les paradigmes de sécurité sont parfois curieux. Il n’y a pas si longtemps, je joignais un fichier à un courriel. Outlook m’avertit que ce fichier est potentiellement dangereux, basé sur l’extension du fichier. Que cela ne tienne, je zippe le fichier et essaie de nouveau. Cette fois, Outlook me laisse faire. Ce processus est à la portée de n’importe qui et n’exige pas des « über 1337 skillz ».

Rien comme un exemple dans la vraie vie pour comprendre les implications. Prenons les contrôles de sécurité dans les aéroports. C’est comme si j’essayais de passer la sécurité avec un objet prohibé et que le seul fait de l’emballer me permet de passer la sécurité sans me faire arrêter.20 C’est assez grave comme manquement dans le contrôle de sécurité. Heureusement, les aéroports ont mis en place des mesures beaucoup plus sophistiquées, qui permettent justement de repérer facilement des objets camouflés.

Vous me direz qu’il n’y a rien là… Et effectivement il n’y a rien là… Sauf que nous sommes en train d’éduquer les utilisateurs à sciemment contourner les mesures de sécurité parce qu’elles nuisent à leur travail. Ça ne vient pas défaire tout ce que nous avons essayé de mettre en place depuis des années? De nier que nous sommes en train d’éduquer les utilisateurs à contourner les systèmes que nous mettons en place est terriblement dangereux. De penser que les utilisateurs sont incapables de trouver par eux-mêmes les mesures de contournement, c’est faire abstraction de l’existence de Google… En plus, l’humain aime naturellement contourner les limites. Dans une ancienne vie, quelques utilisateurs avaient eu vent du mot de passe administrateur des postes de travail. Ça n’a pas été trop long que l’ensemble des employés disposait de cette information… Et ça à une époque où Internet n’était pas encore d’usage courant et que Google n’était qu’un rêve.

L’enjeu dans tout ça, c’est que cette fonctionnalité d’Outlook a été ajoutée à la fin des années 90, où les vers comme iloveu se propagé à vitesse grand V… Et ce fut une bonne chose à l’époque, permettant ainsi de freiner la propagation de vers informatiques. Nous sommes maintenant 10 ans plus tard… Cette mesure est ancienne, mais toujours nécessaire puisque les utilisateurs ne sont pas encore pleinement conscients des risques auxquels ils s’exposent… Mais on les éduque à contourner la mesure. D’ailleurs, beaucoup de mesures de sécurité sont brisées, sans aucune solution de remplacement.

Il y a une dose d’essaie erreur dans le processus de mise ne place des contrôles de sécurité. Malheureusement, nous ne prenons pas la peine de regarder dans d’autres domaines, comme l’ingénierie ou la sécurité physique, pour apprendre de leurs erreurs et nous éviter nous-mêmes de tomber dans les mêmes erreurs.