Petites réponses sur la sécurité de l’information.

Notre quotidien est aujourd’hui constellé d’interactions à travers Internet.

Dans les années 1990, nous nous connections volontairement à Internet. La généralisation de l’=adsl= des années 2000 a créé une permanence de la connexion de nos foyers. Depuis les années 2010 et le mobile haut débit, nous sommes individuellement connectés partout où nous allons.

Les services en ligne (le cloud) ont rendu notre information accessible, et a supprimé le support de l’information de notre environnement.

Nous entrons dans un nouveau stade avec l’ajout de petits agents autonomes qui interagissent en permanence et hors de notre contrôle avec Internet. Il s’agit évidemment des objets connectés (Internet des Objets, iot en anglais). Votre téléviseur qui réagit à la voix, le robot-aspirateur qui vous fait un rapport, votre thermostat qui rallume le chauffage la veille de votre retour de congés, votre autoradio qui alerte les secours et votre assureur.

Internet n’est pas un tuyau vers des services

Les géants qui fournisseurs vos services Internet ont réussi à créer l’image d’un Internet comme un simple accès centralisés vers leurs systèmes. C’est la tendance de la minitélisation d’Internet.

Cette vision, outre le fait qu’elle verrouille un Internet marchand à l’opposé des principes de sa fondation, cache à l’utilisateur une réalité et le berce dans une chimère éloignée de la réalité.

Internet a été conçu pour que tous les utilisateurs, particuliers et organisation fournisseur de services, soient interconnectés au même niveau — ou même qu’un utilisateur en même temps utilise des services sur Internet et fournisse d’autres services sur Internet. Des autoroutes, des routes secondaires, des déssertes locales, permettent à chaque utilisateur d’accéder à n’importe quel autre utilisateur. À une vitesse luminique qui supprime les distances.

Cette interconnexion et la suppression des contraintes de distance permettent à tout le monde d’aller frapper à la porte de n’importe qui. C’est pratique, mais cela suppose aussi que l’on ait confiance dans sa porte d’entrée si on veut éviter de se retrouver squatté par le premier venu.

Je – Tu – Il – Nous sommes connectés

Lorsque nous connectons une application (le client de messagerie électronique du téléphone) à un service (le serveur du fournisseur), nous utilisons une route entre cette application et le service, à travers un maillage dont un des éléments est le service. La communication peut alors se promener sur les fils du maillage entre l’objet et le service.

Et effectivement, au début des années 2000, lorsque l’on connectait un boîtier adsl à Internet, on exposait toutes les ressources de sa maison (ses imprimantes, ses répertoires partagés, etc) à tous sur Internet. Depuis, la majorité des boîtiers intègrent des éléments de sécurité pour éviter cela. Pas tous ; une carte des partages de fichiers accessibles se trouve facilement sur shodan… (⚠ il est illégal d’essayer d’accéder aux fichiers…)

Avec Internet, quels risques prenons-nous ?

Avec toutes ses portes que nous avons sur Internet, et nos données qui circulent et sont stockées dans ce maillage, mesurons-nous vraiment ce que nous mettons en jeu ? Sommes-nous capables de garder la protection que nous souhaitons ?

La vérité est qu’aujourd’hui, les voyous isolés comme les groupes criminels parcourent Internet pour récupérer toute valeur mal protégée.

La question qui reste à poser est : « ai-je de la valeur accessible sans une protection adaptée ». La mauvaise perception de la sécurité individuelle vient qu’il est difficile d’évaluer :

• quels sont les biens accessibles,
• où est sont ces biens et comment sont-ils protégés,
• quelle est la valeur de ces biens ?

Et moi ?

Les informations publiques annoncent chaque jour des vols de données massifs (petite recherche dans les dernières nouvelles) ou des menaces pour la sécurité des banques / états / entreprises / secrets d’État / voitures / … sans que nous en voyions réellement l’impact dans notre quotidien.