Humeur : à propos de la sécurité

de | 2017-02-17

Pour cette fois, ce ne sera pas un passionnant article technique rempli d’informations stupéfiantes et de bloc de commandes inédites (« la cinquième va vous surprendre ! ») mais un court billet d’humeur issu d’une réflexion personnelle. Donc, pour cette fois, ce ne sera pas rédigé avec le « nous » journalistique mais avec le « je » de moi-même.

Ceci étant posé, abordons le sujet : la sécurité.

En informatique, il y a un dicton qui sonne comme une boutade, un slogan publicitaire : « la sécurité : avant c’est trop cher, après c’est trop tard ». Existe-t-il un autre secteur où ce fatalisme est aussi clairement exprimé ? Considéré comme un fait et non comme un problème ? J’ai beau chercher, je n’en vois pas. Imaginez ce type de raisonnement dans l’aviation, l’industrie ou la médecine : effrayant, non ?

Depuis la fin de l’année dernière, les histoires de piratages, de compromissions et de détournement se multiplient. En parallèle, j’ai eu le cas où un interlocuteur refusait de payer pour une option ajoutant les mots de passes dans ElasticSearch (L’option X-Pack. A sa décharge, il faut dire que le coût fait réfléchir : plus de 10 000 euros pour 3 nœuds).

Ce qui m’a amené à faire travailler ma mémoire : depuis que je sévis dans ce domaine, combien de fois ai-je été confronté à ce comportement ? Ci-dessous, une série de dates et d’évènements plus ou moins en rapport.

  • 1995: Sortie de « Hackers », film avec Angelina Jolie. Présente les hackers comme des gamins turbulents, la connexion RNIS (modem numérique) comme l’avenir. Le méchant est un administrateur de bases de données. Il perd à la fin. C’est une fiction. Malgré les contre-exemples depuis 20 ans, le public pensent toujours que le hacking est une distraction de jeunes qui feraient mieux de faire du sport.
  • 1999-2000 : après deux décennies d’expérimentations diverses, l’essor d’internet et de la messagerie permet la propagation de masses des vers informatiques. C’est l’époque de Melissa et ILoveYou. 17 ans plus tard, la méthode « ouvrez cette photo de insérer_ici_nom_de_celebrité_féminine » fonctionne toujours. Commentaire entendu à l’époque : « Un antivirus ? C’est cher et ça prend toutes les ressources. Il n’y a qu’à faire attention« . Au même moment, Matrix fait des virus, hackers et manteaux en cuir les nouveaux éléments du chic scénaristique.
  • En vrac, sur la période, et de mémoire : des données personnelles qui devraient être chiffrées dans la base ? « Il existe une option mais elle est trop cher« . Les DBA ne devraient pas voir toutes les informations ? « Il existe une option mais elle est trop chère« . Les données de production devraient être modifiées si elles sortent vers d’autres environnements ? « On va pas s’embêter. Et puis nous sommes entre nous.« . Les politiques de mots de passe ? « On va pas s’embêter. Login = mot de passe pour tout le monde« … Alors que pour ce dernier point, la majorité des éditeurs (même Sybase, c’est dire) propose des moyens de gérer les politiques de sécurité. Sortie de Die Hard 4, qui met en scène un jeune hacker, beau et courageux, qui gagne à la fin. C’est une fiction.
  • 2008 : le virus Confiker se propage de manière alarmante. En soi, il n’est pas dangereux mais les spécialistes craignent une activation qui pourrait briser internet. Sa complexité et la variété des moyens de propagation marque un changement d’époque. Les autorités gouvernementales ne voient pas le problème (« Il ne fait rien« ) . Les spécialistes finissent par se faire entendre (« Il pourrait s’activer et devenir très dangereux« ). Lire le passionnant livre de Marc Bowden sur le sujet.

    Worm, Marc Bowden

    Worm, Marc Bowden

  • Autour de 2010 : les rackets par déni de service (DDos) deviennent monnaie courante. Réponse entendue : « On est protégé : on a des firewalls« . A coté de ça, les attaques et escroqueries sur le web deviennent de plus en plus sophistiquées, profitant de l’enrichissement des fonctionnalités. Cross-side Scripting (XSS), SQL injection… Il me semble qu’à cette période le magazine MISC était déjà en kiosque.
  • 2014-2015 : les attaques par dénis de service atteignent des records historiques. Par exemple : 400 Gps de donnés reçues. Une centaine de Blu-rays à la seconde!  Pas d’inquiétude : « On est protégé : on a des firewalls perfectionnés« . Sortie du film « Hacker », de Michael Mann avec Chris Hemsworth, montrant les hackers comme de grands blonds musclés qui gagnent à la fin. C’est une fiction.

    Hacker, de M. Mann

    Hacker, de M. Mann

  • Fin 2016, le malware Mirai manque de faire tomber l’hébergeur français OVH. Les DNS racines américains sont attaqués. Nouveauté : il cible les petits appareils connectés : ampoules, balances, radiateurs, en plus des vecteurs habituels
  • Depuis le début de cette année : Mirai toujours à plein régime. Un hôtel autrichien se fait pirater ses serrures ‘intelligentes’ : ses clients sont coincés à l’extérieur des chambres. L’hôtel doit payer une rançon. De plus en plus d’articles sur le vol de données stockées dans du NoSQL (Cassandra, MongoDB, ElasticSearch…).
  • Il y a quelques jours: « On va pas payer pour de l’authentification. C’est du back-office. On a qu’à mettre un reverse proxy« .

Franchement, j’aimerai être optimiste mais je ne pense pas que dans 20 ans les mentalités auront changé. Il y a manifestement un biais très profond dans les esprits de ceux qui doivent sortir les chèques : si le risque n’est pas sûr, à quoi bon payer ? C’est le même raisonnement que j’ai déjà entendu concernant les sauvegardes (« A quoi bon réserver tout ce disque si on ne s’en sert jamais ?« ), les tests de restaurations (« A quoi bon réserver tout ce disque et ces machines si les sauvegardes sont faites sans erreur ?« ), les tests de sécurité (« A quoi bon faire ces tests puisque tout le monde est gentil, que nous avons des firewall et veux-tu bien sortir de mon bureau maintenant ?« ).

Si vous, lecteur de passage, aviez une anecdote, un contre-exemple, une occasion où votre interlocuteur a vu la lumière de la raison suite à votre argumentation, je vous en prie : partagez votre expérience dans les commentaires ci-dessous et illuminez ma journée.  Je conclurais sur un second dicton, moins populaire mais tout aussi souvent vérifié : « Les entreprises apprennent dans la douleur ». Piètre consolation mais consolation néanmoins.

En attendant: ouvrez l’oeil !

Complément d’information pour ceux que ça intéresse : Wikipedia Timeline of computer viruses

Des problèmes ? des questions ? Exprimez-vous ! Les commentaires sont ouverts. Coquilles et fautes de grammaires sont notre lot quotidien : signalez-les nous à m.capello@dbsqware.com