Forum général.hors-sujets La sécurité informatique ça sert à rien …

Posté par (page perso) . Licence CC by-sa
2
17
mai
2017

… et en plus ça nous complique la vie.

Si je considère moi même que la sécurité informatique est une chose importante, nécéssaire, vitale, je ne peut que constater que c'est loin d'être le cas pour la majorité des non techniciens informatiques qui m'entourent.
Et de façon à peu prés aussi valable que l'argument du "J'ai rien à cacher", j'ai à faire à ce bout de non argument sur l'inutilité de la sécurité informatique.

Quels arguments peu on utiliser face à des gens qui utilisent (presque) un mot de passe "ABcd123*" ?

  • # Trop compliqué

    Posté par . Évalué à 5.

    Le problème de la sécurité informatique est, selon moi, que c'est bien trop compliqué.

    Aujourd'hui à chaque fois que je me connecte sur un site sur lequel je ne suis pas automatiquement loggué (sur un autre ordinateur, suite à l'acquisition d'un nouvel appareil…), je suis obligé de galérer, tester tout mes mots de passe courant en essayant de me souvenir de la date à laquelle j'ai créé ce compte et le mot de passe que j'utilisais à l'époque, etc…

    Pourtant mon système de mot de passe paraissait assez simple et efficace initialement : 3 niveaux de mot de passe :
    - 1 pour les sites n'ayant aucune possibilité de me nuire (pas d'accès à la CB, aucune information personnelle, etc…) que je ne change jamais.
    - 1 pour les sites ayant des données sur ma vie (réseaux sociaux principalement) et sur lesquels il m'arrive de payer en CB que je change régulièrement.
    - 1 pour mon adresse mail, clé de tout car sert à récupérer éventuellement l'accès aux autres, que je change plus régulièrement encore.

    De plus chaque fois que c'est proposé, j'active la "two step verification".

    Oui mais voilà, aujourd'hui j'ai au moins 4 appareils sur lesquels je suis loggué sur ces divers comptes et changer le mot de passe régulièrement est devenu un calvaire. De plus, sous prétexte de sécurité, il arrive souvent que les sites demandent des mots de passe ayant des critères non compatibles avec le mot de passe standard. Certains sites (les banques notamment) proposent des mots de passe numériques… Ce système simple devient finalement bien complexe.

    Il est vraiment très courant d'avoir à utiliser la récupération de mot de passe par email car après quelques essais, il faut se rendre à l'évidence, on ne retrouvera pas le mot de passe pour ce site obscur sur lequel on se loggue 1 fois tout les 2 ans. Oui mais… peut-être que je n'ai pas accès à mes mails à l'endroit où je suis actuellement ? Et avec de la chance le nouveau mot de passe créé devra être différent des 10 derniers mots de passe utilisés sur ce compte…

    Bref, aujourd'hui en 2017, n'y a-t-il pas une solution à ce problème ? Personne n'a trouvé de moyen simple et efficace de reconnaître un utilisateur sans avoir à faire appel à une mémoire d'éléphant ?

    Si la sécurité d'un lieu (physique ou virtuel) deviens un calvaire, les utilisateurs vont trouver un moyen de la contourner. C'est au concepteur de ces systèmes de trouver la solution, pas aux utilisateurs de s'adapter.

    • [^] # Re: Trop compliqué : mémoire

      Posté par (page perso) . Évalué à 7.

      Bref, aujourd'hui en 2017, n'y a-t-il pas une solution à ce problème ? Personne n'a trouvé de moyen simple et efficace de reconnaître un utilisateur sans avoir à faire appel à une mémoire d'éléphant ?

      keepass ?

      (De mon côté je me suis implémenté une solution équivalente, à l'aide de pwgen, et des scripts bash. Ma base de mot de passe est protégée avec ma clef ssh).

      • [^] # Re: Trop compliqué : mémoire

        Posté par . Évalué à 5. Dernière modification le 17/05/17 à 13:38.

        Ceci est pour toi une solution simple ?

        Comment tu l'utilises chez un amis par exemple ? En voyage à l'étranger dans un cybercafé ? Sur un téléphone ? Sur une tablette (qui ne t’appartiens pas) ?

        • [^] # Re: Trop compliqué : mémoire

          Posté par (page perso) . Évalué à 4.

          Ceci est pour toi une solution simple ?

          Plus simple en tout cas que de retenir tous mes mots de passe dans ma tête, plus sécurisé qu'un simple fichier texte stocké dans un répertoire caché sur mon pc du boulot.

          Comment tu l'utilises chez un amis par exemple ? En voyage à l'étranger dans un cybercafé ? Sur un téléphone ? Sur une tablette (qui ne t’appartiens pas) ?

          Je pense que ça dépend des usages des uns et des autres. En lisant tes questions, je pense avoir un usage différent de toi de l'utilisation d'internet :

          Les deux mots de passe dont j'ai besoin au quotidien sont enregistrés dans les paramètres de mon téléphones (boite courriel et agenda via owncloud). L'occasion ne s'est jamais présentée d'avoir à rechercher un mot de passe pour un site quelconque quand je suis chez des amis. À l'étranger, s'il y a internet dans l'hôtel, je me connecte chez moi via ssh. Si réellement je ne peux pas, bah tant pis, ça attendra que je sois de retour chez moi.

        • [^] # Re: Trop compliqué : mémoire

          Posté par . Évalué à 5.

          Si tu l'as déjà sur ton téléphone, ça te permet au pire des cas de recopier manuellement le mot de passe si tu es sur une machine qui n'est pas la tienne et que tu n'as pas possibilité de la récupérer facilement.

          Personnellement, je synchronise la base avec git, mais comme elle est chiffrée, tu peux la mettre sur un dropbox ou équivalent si tu n'as pas envie de te prendre la tête.

        • [^] # Re: Trop compliqué : mémoire

          Posté par . Évalué à 6.

          Comment tu l'utilises chez un amis par exemple ? En voyage à l'étranger dans un cybercafé ? Sur un téléphone ? Sur une tablette (qui ne t’appartiens pas) ?

          Ne jamais faire confiance a un système qui ne t’appartient pas (keylogger),
          utilise un système sur clef USB ou attente de rentrer chez toi.

          Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.

        • [^] # Re: Trop compliqué : mémoire

          Posté par . Évalué à 3.

          J'ai keepass, et je réplique la base sur mon smartphone - l'application keepass a été portée. En fait ca evolue (relativement) peu, donc une synchro hebdo pour moi serait suffisante (meme si c'est journalier actuellement).

          Cette problématique de mots de passe est bien réelle malheureusement…. Et le cirque de changement de mot de passe, en plus d'etre fastidieux, est aussi risqué (je me souviens d'un mot de passe que j'ai changé et pas immédiatement consigné dans Keepass… ptain….)

  • # Et je suis d'accord

    Posté par . Évalué à 1.

    Désolé, mais je n'en ai pas non plus :(

    C'est un combat qui "fera suer tout le monde" au meme titre que les horaires imposés.
    L'efficacité ou la flegme ont tout le temps le dernier mot.

    Le seul moment où ca bouge, c'est après un problème. Mais bon ca fait frémir 15 jours, et encore….

  • # En quoi est-ce grave ?

    Posté par . Évalué à 0.

    Après tout, nous prônons bien l'ouverture du code, ici…alors, l'ouverture des boîtes mail, pourquoi pas ? (:

    Plus sérieusement, les gens ne s'inquiètent que quand il leur arrive quelque chose. En échangeant des banalités par mail, ils ne risquent pas grand-chose.

    • [^] # Re: En quoi est-ce grave ?

      Posté par (page perso) . Évalué à 8. Dernière modification le 17/05/17 à 16:32.

      Je garde le souvenir d'une conférence de Laurent Chemla à Pas sage en seine, expliquant le passage de la vie privée à la conscience politique : son argument est de dire que la conscience politique, le fait de se construire une opinion, a besoin d'une vie privée. Je n'avais pas pensé à ça avant d'assister à sa conférence, et c'est depuis quelque chose que je garde en tête : l'individu à besoin d'intimité pour exister.

      Même s'il s'agit d'une banalité, continueras-tu à chanter sous la douche, si tu sais que tu peux être surveillé ? Même si tu ne risques pas grand chose, partageras-tu ton opinion par mail sur [insérer ici le sujet du moment] si tu sais que tes échanges peuvent être lus ?

      Pour revenir aux courriels : est-ce que tu accepterais que ta boîte aux lettres (qui est posée chez toi, ou dans le hall de ton immeuble) soit gérée par le supermarché du coin ? Il y aurait plein d'avantages, tu pourrais recevoir dans ta boite au lettres les prospectus sur les promotions du moment qui te concernent (moins de publicités inutiles), le supermarché s’occuperait également de récupérer tes colis trop gros qui ne rentrent pas dans la boite (faudra juste aller les chercher à côté du rayon boucherie), et même de changer les boîtes pour suivre les normes postales (ils ont un designer qui te permet de choisir entre trois coloris). Bien sûr, ça implique de laisser un double des clef, mais bon, tu ne risques pas grand chose (-:

      (j'ai marché dans ton troll, je sais. J'espère juste l'avoir fait du pied gauche, histoire de me porter chance !)

      • [^] # Re: En quoi est-ce grave ?

        Posté par . Évalué à 5. Dernière modification le 17/05/17 à 17:05.

        Ton exemple est incomplet : il faudrait que tu ajoutes la possibilité au supermarché du coin de lire ton courrier et d'ouvrir tes colis pour te proposer des publicités plus ciblées. Parce que tant que le supermarché ne va pas lire mon courrier, ça ne me ène pas trop …

      • [^] # Re: En quoi est-ce grave ?

        Posté par . Évalué à 1.

        :)

        Ce n'est pas vraiment un troll, je demandais plutôt la réflexion inverse, pour voir quand cela était grave.

        Je fais plutôt attention à ma vie privée, d'ailleurs, et je conseille aux gens d'en faire autant, sans tomber dans l'alarmisme non plus.

        Étant souvent confronté à des hommes, je leur demande souvent de me laisser l'accès à leur webcam ainsi que le numéro de leur compagne, en promettant que je n'en ferais rien. :)

        Pour défendre le point de vue de la "non-gravité", je remarque que beaucoup de personnes "n'en ont rien à foutre". Des personnes souvent…franches, assez "vraies" si je devais les juger. Des gens qui n'ont rien à cacher parce qu'ils n'ont rien à prouver, qui ont un avis qu'ils émettent en conservant toujours une part de respect et de politesse envers les autres.
        Ce sont des gens qui admettent volontiers "ne rien faire de mal".

        Pour ma boîte aux lettres, elle pourrait devenir un peu plus utile qu'à la simple réception de factures, si jamais elle était dirigée par le supermarché du coin. Cela pourrait d'ailleurs aider à cibler mes besoins sans que je n'ai à faire venir du matériel de très loin, cela pourrait même aider à l'échange local.

        Après, il y a bien évidemment une part de données qu'on peut laisser accessibles et une autre qu'on ne peut pas. Je regrette par exemple mes échanges mails avec quelques personnes dont les boîtes ont été piratées.

        Le fait est, qu'en "cachant tout", on n'aide pas la société à progresser vers une transparence mesurée. Au final, 4 ans après les fuites d'Edward Snowden, les gens sont à peine intéressés par leur vie privée. On peut imaginer qu'ils le sont par "méconnaissance", mais aussi parce qu'il n'y a pas vraiment d'incidence sur leur vie.
        Après 4 ans, on ne peut pas considérer cela comme "factuel", je le conçois bien, mais malgré tout ce que j'ai pu lire un peu partout ou écouter, j'ai souvent vu des gens qui semblaient donner une importance mal mesurée à la vie privée (comme à son absence) mais qui pouvaient rarement en démontrer l'influence sur la vie de tous les jours, sur la vie d'une personne.

        Honnêtement, quand je vois Amazon qui me propose des appareils photos alors que j'en ai déjà acheté un…je me dis qu'on est loin de l'IA capable de manipuler des masses et des opinions.

        Qui plus est, avec l'évolution technologique actuelle, les modes changent : il y a 10 ans, Google dominait tout. Désormais, pour beaucoup de gens, Internet, c'est Facebook. La nouvelle génération délaisse Facebook pour d'autres réseaux sociaux, etc.
        Sans parler d'équilibre, je dois bien dire que les "données personnelles" sont loin d'influer sur les habitudes des gens…

        Après, on peut penser au chantage, au long terme, voire à des lois dangereuses et rétroactives, on peut penser à l'usurpation d'identité, etc. Mais au final, les gens sont plus inquiets de l'insécurité que de ce qui peut leur arriver sur le net.
        Au pire, ils perdent toutes leurs photos et leur compagnon apprend qu'untel a une affaire. Rien de nouveau sous le soleil…

        Disons qu'en ne créant pas de "nouveau problème", la sécurité informatique ne gêne pas grand-monde.

        Je ne veux pas en minimiser l'importance (ni le travail de ceux qui bossent pour), seulement exprimer un ressenti très "quotidien".

        Merci pour le partage de la conférence, je regarderai et verrai si mon avis évolue. :)

  • # lol

    Posté par . Évalué à 2.

    Quels arguments peu on utiliser face à des gens qui utilisent (presque) un mot de passe "ABcd123*" ?

    c'est pas ton probleme, c'est le leur, c'est leur responsabilité;

    ya bien des gens qui laissent leur clés trente secondes sur le contact;
    d'autres qui la laissent pareilement le temps d'aller chercher le courrier.
    tu penses vraiment pouvoir résoudre le probleme de sécurité du grand public?

    la réponse : c'est impossible, le grand public estime qu'il ne s'agit pas d'un probleme, c'est leur mode de fonctionnement c'est tout.

    aujourd'hui comme dans cinquante ans des grand mere et autres chefs d'entreprises, etudiats, chercheurs d'emploi, utiliseront 1234 pour déverrouiller leur téléphone ou abcdef pour leur ordinateur.
    Ils ne changeront pas leur habitudes pour toi, pour une raison bien fondée :

    ils ont le droit de refuser la sécurité.

    C'est idiot de penser ainsi, mais certains refusent de monter dans une wolksvagen parce qu'ils sont mercedec ou peugot mordicus, et ont le droit d'avoir des pratiques idiotes.

    Il faut juste, en france, cerner une notion dont les francais ont beaucoup de mal avec :
    ce qui est inapprouvable par ta personne peut etre totalement approuvé par d'autres.

    et faut laisser faire.

    (ex: le lectorat de NXI, réputé pour etre linux-integriste, qui refuse de voir que le libre peut etre autant que le propriétaire, source de grosses failles de sécurité.. et pourtant)

    donc voila, dis toi qu'il n'y a pas de probleme de sécurité, comme moi, car leurs mauvaises habitudes ne sont pas un probleme mais un choix délibérément assumé.

    et si ils perdent leurs photos de vacances, ils chouineront pas ou apprendront, c'est plus une leçon de vie qui éduque qu'une campagne de sensibilisation, tu peux me croire.

    Qui aime changer ses habitudes? Qui? Vraiment?
    Ils le feront pas pour tes beaux yeux..

  • # ...

    Posté par . Évalué à 2.

    C'est un combat qui "fera suer tout le monde" au meme titre que les horaires imposés.
    L'efficacité ou la flegme ont tout le temps le dernier mot.

    Le seul moment où ca bouge, c'est après un problème. Mais bon ca fait frémir 15 jours, et encore….

    mais qui tu es pour pouvoir imposer des habitudes correctes et raisonnées aux gens la ou ils sont dans la légitimité totale et absolue de continuer à prendre de mauvaises habitudes?

    la flemme doit avoir le dernier mot car ils s'agit de la responsabilité pleine et totale de l'utilisateur final.
    Soit t'assumes pour lui, soit il assume lui-meme.

    Il s'agit plus d'un probleme de responsabilités et de civisme qu'un probleme de logiciels libres, on est bien d'accord.

    et ce combat ne fera pas suer tout le monde, mais seulement ceux qui considerent qu'il y a un probleme.
    Pour moi il n'y a pas de probleme.
    Et il n'y a pas non plus de "fin de probleme" donc, parce que le proverbe 'les habitudes ont la vie dure' est renforcé tous les jours un peu plus, légitimement.

    • [^] # Re: ...

      Posté par . Évalué à 4.

      mais qui tu es pour pouvoir imposer des habitudes correctes et raisonnées aux gens la ou ils sont dans la légitimité totale et absolue de continuer à prendre de mauvaises habitudes?

      Ben je suis quelqu'un dont les coordonnées personnelles pourraient être récupérées pa un pirate parce qu'un tiers n'a pas bien sécurisé son téléphone ou a un mot de passe pourri sur son compte mail et du coup je me retrouve spammé parce quelqu'un a récupéré son carnet d'adresse, ou alors des photos ou j'apparais ont été récupérées sur Facebook (alors que je n'ai pas de compte facebook).

      Le problème de la sécurité n'est pas à considérer de façon égoiste, elle peut avoir des conséquences sur d'autres.

      et ce combat ne fera pas suer tout le monde, mais seulement ceux qui considerent qu'il y a un probleme.
      Pour moi il n'y a pas de probleme.

      Personnellement je suis d'avis qu'on devrait pouvoir trainer en justice une personne (ou une société) qui aurait mal sécurisé les accès à son compte de façon délibérée ou par négligence lorsque des informations concernant un tiers ont été dérobées.

  • # La faute à qui?

    Posté par . Évalué à 5.

    Accuser les utilisateurs de ne pas être capables de se protéger, c'est vraiment une réaction d'informaticien. Il faut savoir assumer ses erreurs, techniques, logistiques, et ses erreurs de communication.

    En toute logique, il est tout à fait anormal de fournir à des clients des systèmes aussi fragiles, capables de s'autodétruire à la moindre fausse manip. On a construit une industrie qui n'a que très peu de standards, qui les respecte mal de toutes manières, qui joue en permanence avec l'obfuscation et les pratiques déloyales envers ses cilents (blobs binaires planqués partout). Les systèmes d'exploitation sont des logiciels très complexes, et en plus, le matériel évoluant à une vitesse sidérale, les nouvelles versions sortent avant qu'on ait pu corriger la plupart des bugs. On peut ajouter à ça des pratiques générales assez douteuses (sur la qualité du code, sur les pratiques commerciales des éditeurs de logiciels…), et hop, on se retrouve avec des systèmes instables, buggués, troués de partout, et très vulnérables à tout type d'attaque, d'intrusion, ou de dysfonctionnement.

    Le logiciel libre évite une partie de ces problèmes, mais pas tous. En particulier, on a souvent la réaction stupide d'accuser l'utilisateur : "tu es trop nul d'avoir perdu tes données, tu n'avais qu'à faire une sauvegarde", "il fallait lire les 10000 lignes de changelog avant de faire la mise à jour, c'était bien écrit que ça ne fonctionnait pas sur ton système". Bref, pour en revenir à la sécurité, c'est super important, mais ça n'est pas de la compétence de l'utilisateur. Une bagnole, maintenant, ça sonne quand on ne met pas sa ceinture ; c'est le genre de système verteux très efficace, qui retourne la responsabilité de la prise de décision : tu restes libre de ne pas mettre ta ceinture, mais tu ne peux pas reprocher au constructeur de ne pas t'avoir fait comprendre que c'était ta décision et ta responsabilité.

    • [^] # Re: La faute à qui?

      Posté par . Évalué à 4.

      Le logiciel libre évite une partie de ces problèmes

      Hum : c'est faux. Il y a autant de systèmes fragiles capables de s'autodétruire à la moindre fausse manip dans le libre que dans le proprio. Mis à part le problème des blobs binaire et des pratiques générales douteuses (dans lesquelles j'inclus les blobs binaires, d'ailleurs), pour le reste le libre n'est pas mieux loti que le proprio.

      on a souvent la réaction stupide d'accuser l'utilisateur

      Ben oui, on va pas dire que c'est la faute au système si l'utilisateur ne fait pas régulièrement ses mises à jour et qu'il perd ses données parce qu'un assaillant a exploité une faille corrigée de son système. D'autre part c'est bien l'utilisateur qui est responsable s'il perd les données qu'il ne sauvegarde pas.

      pour en revenir à la sécurité, c'est super important, mais ça n'est pas de la compétence de l'utilisateur

      Bien sur que si, les outils ne sont là que pour aider, mais pas pour prendre des décisions à la place de l'utilisateur.

      Une bagnole, maintenant, ça sonne quand on ne met pas sa ceinture ; c'est le genre de système verteux très efficace, qui retourne la responsabilité de la prise de décision

      Absolument pas : ce n'est qu'une aide : si tu te fais arrêter sans ceinture, tu ne pourras pas te retourner contre le constructeur parce que le système de signalisation de ceinture non bouclé était en panne. Tu paieras l'amende, c'est tout. Peut-être que tu pourras essayer d'obtenir un geste comercial auprès du constructeur, mais je doute fort qu'il soit contraint légalement à quoi que ce soit. Alors certes, ce genre de système, c'est pratique, utile, mais ça ne renverse en rien la responsabilité de quoi que ce soit. C'est exactement la même chose avec le GPS : tu ne pourras pas te défausser de ta responsabilité si tu prends un sens interdit non référencé par ton GPS.

      tu restes libre de ne pas mettre ta ceinture, mais tu ne peux pas reprocher au constructeur de ne pas t'avoir fait comprendre que c'était ta décision et ta responsabilité.

      Donc ça veut dire que c'est la faute aux constructeurs si avant les gens ne mettaient pas leur ceinture ? N'importe quoi. Tu ne serais pas du genre à vouloir brider les voitures à 130 KM/H sous pretexte qu'en France on est pas autorisé à aller plus vite sur l'autoroute ?

      • [^] # Re: La faute à qui?

        Posté par . Évalué à 0.

        D'autre part c'est bien l'utilisateur qui est responsable s'il perd les données qu'il ne sauvegarde pas.

        Je ne suis pas d'accord, si les données sont effacées à cause d'un bug quelconque dans un logiciel ou dans l'OS, c'est bien le logiciel qui est responsable. L'utilisateur, on peut lui reprocher éventuellement un manque de prudence, mais on ne peut pas lui imputer la responsabilité de la perte.

        C'est exactement la même chose que quand tu te fais cambrioler alors que tu avais laissé la porte ouverte : le responsable est le cambrioleur, pas toi. L'idée que le manque de prudence entraine un partage de culpabilité est malsaine et pernicieuse, c'est exactement ce qui conduit à dire que porter une jupe disculpe les violeurs, par exemple.

        je doute fort qu'il soit contraint légalement à quoi que ce soit.

        Je ne parlais pas de responsabilité légale. Et pour l'exemple du GPS, je pense que le partage de responsabilité se plaide, en fonction des circonstances (par exemple si tu peux prouver la négligence du constructeur du GPS).

        Donc ça veut dire que c'est la faute aux constructeurs si avant les gens ne mettaient pas leur ceinture

        Si c'était aussi simple que ça, il n'y aurait pas de détrompeurs, de dispositifs de sécurité, sur les outils, matériels et autres trucs dangereux. Il est évident que les constructeurs se doivent de minimiser les risques de blessure ou de mauvaise utilisation des objets qu'ils vendent, et ils le font, d'ailleurs ; soit volontairement, soit contraints par des normes de sécurité.

        Tu ne serais pas du genre à vouloir brider les voitures à 130 KM/H

        Oui, je serais du genre. Le débridage n'a pas à être illégal, mais un industriel n'a pas à te vendre un produit qui, par défaut, est conçu pour faire des choses inutiles et illégales. C'est socialement accepté partout ; un modem wifi n'émet que sur les canaux où il a le droit de le faire, une clé n'ouvre que la serrure avec laquelle elle est vendue, etc.

        • [^] # Re: La faute à qui?

          Posté par (page perso) . Évalué à 2.

          C'est exactement la même chose que quand tu te fais cambrioler alors que tu avais laissé la porte ouverte : le responsable est le cambrioleur, pas toi.

          Sauf que l'assurance peut t'envoyer balader si tu as été négligeant dans l'affaire. Ton assurance ici, ce sont des sauvegardes hors ligne. Car toutes deux permettent un éventuel retour à l'état avant l'infraction subie.

          Le débridage n'a pas à être illégal, mais un industriel n'a pas à te vendre un produit qui, par défaut, est conçu pour faire des choses inutiles et illégales.

          Sauf que la voiture est vendue dans d'autres pays et que tu peux y aller dans d'autres pays avec. Une voiture vendue en Belgique serait bridée à 120 km/h et quand elle passe la frontière ce serait la merde pour aller à 130 km/h ou plus suivant le pays ?

          Il faudrait uniformiser légèrement la question pour rendre cela possible.

          un modem wifi n'émet que sur les canaux où il a le droit de le faire

          Car les limites de fréquences ont été normalisées avant pour éviter d'avoir des soucis suivant où le gars déménage dans l'UE par exemple. Cela simplifie quand même les choses.

        • [^] # Re: La faute à qui?

          Posté par . Évalué à 4.

          Je ne suis pas d'accord, si les données sont effacées à cause d'un bug quelconque dans un logiciel ou dans l'OS, c'est bien le logiciel qui est responsable.

          Euh … Si tu disposes d'une version corrigée du logiciel et que tu n'as pas fait le nécessaire pour l'installer, ben c'est pas la faute de l'éditeur. Si on reprend l'exemple de la serrure et de la porte: suppose que tu aies acheté une serrure et que celle-ci soit défectueuse : ton fourniseur t'envoie une autre serrure, gratos, parce qu'il s'est rendu compte que celle qu'il t'a vendue est défectueuse : si tu refuses de la changer, et que tu te fais cambrioler, est-ce la faute du fournisseur ? Non, c'est toi qui es négligeant.

          Oui, je serais du genre.

          C'est bien ce qui me semblait.

          Le débridage n'a pas à être illégal, mais un industriel n'a pas à te vendre un produit qui, par défaut, est conçu pour faire des choses inutiles et illégales.

          Inutiles : c'est ton point de vue. Et come dit par ailleurs, il n'y a pas d'uniformité dans les limitations de vitesse en Europe, donc problématique.

          Si on suit ton raisonnement, on en arrive à un tas d'interdictions absurdes telles que :
          - interdire les outils de scan de port, de détection de failles, ou tout autre outil utilisé par des pirates => sert à des trucs illégaux
          - interdire les outils d'échange qui permettent d'échanger des fichiers sous droits d'auteur restrictifs
          - interdire les outils de cryptographie (qui sont à l'origine des armes)

          D'autres te trouveront plein d'autres exemples …

          Ah oui, on peut aller dans ce sens là avec l'école : si un gamin ne s'en sort pas, c'est la faute à l'Education Nationale, à ses profs (alors que le gamin ne fait rien en cours).

          Quand je vois ce genre de mentalité, cette façon de se déresponsabiliser et de rendre les autres responsables de ses propres erreurs, je me dis qu'on s'en sortira jamais.

          • [^] # Re: La faute à qui?

            Posté par . Évalué à 1.

            Quand je vois ce genre de mentalité, cette façon de se déresponsabiliser et de rendre les autres responsables de ses propres erreurs, je me dis qu'on s'en sortira jamais.

            C'est exactement mon point de vue : quand je vois ce genre de mentalité chez des professionnels, cette façon de se déresponsabiliser et de rendre les particuliers et les clients responsables des failles et des erreurs de conception dans les produits et les services qu'ils vendent, je me dis qu'on en sortira jamais.

            • [^] # Re: La faute à qui?

              Posté par (page perso) . Évalué à 4.

              On ne peut pas dire que les éditeurs de logiciels ne fassent rien pour simplifier l'utilisateur autour de la question quand même.

              Suffit de voir par exemple l'énergie déployée ces derniers temps par Microsoft pour sécuriser son système : antivirus / pare-feu par défaut, mises à jour automatiques, création de bac à sable autours de composants critiques, maintenance très longue de leur produit en terme de correctifs de failles…

              De plus en plus d'applications ont des mises à jour automatiques ou forcent la main (comme Firefox qui n'exécute Flash que s'il est à jour) et prennent la question au sérieux. Ce n'est pas encore idéal bien évidemment mais l'industrie va quand même en ce sens.

              Après je vois quand même nombre d'utilisateurs qui reportent / refusent d'appliquer les mises à jour de leur produit. Que ce soit sur leur ordinateur ou leur téléphone. L'éditeur ne peut pas non plus forcer trop la main pour X ou Y raisons, l'utilisateur a aussi son rôle à jouer.

              N'oublions pas malgré tout que la sécurité implique forcément plus de contraintes pour l'utilisateur, si on souhaite qu'elle soit efficace. On doit trouver un compromis. Car mettre toute une sécurité pour que finalement l'utilisateur utilise un mot de passe bidon car flemme d'en apprendre un autre et tout s'écroule.

              • [^] # Re: La faute à qui?

                Posté par . Évalué à 2.

                Ce n'est pas encore idéal bien évidemment mais l'industrie va quand même en ce sens.

                Je ne dirais pas que c'est toute l'industrie. Regarde les téléphones portables, les mises à jour Android sont au bon vouloir du constructeur, qui, la plupart du temps, n'en propose pas, ou très peu. D'après ce que j'ai compris, Google essaye de changer ça, mais pendant plus de 10 ans, le standard de l'industrie a été de vendre des téléphones conçus comme des lave-vaisselles ; ils iront à la décharge avec la même version de l'OS que quand on les a mis dans la boîte à la sortie de l'usine.

                Après je vois quand même nombre d'utilisateurs qui reportent / refusent d'appliquer les mises à jour de leur produit.

                Ils ne font pas ça pour emmerder le monde. S'ils font ça, c'est soit que leur matériel n'est pas connecté au réseau, soit qu'il est conçu pour ne pas être mis à jour, soit que la mise à jour va tout péter, ou soit qu'ils ont peur que la mise à jour pète tout parce que ça leur est déja arrivé par le passé. Toutes ces raisons m'ont l'air assez légitimes, et le fait même qu'il existe un risque de nuisance associé à une mise à jour de sécurité pose la question, encore une fois, de la qualité des produits et des procédures fournis par les industriels.

                N'oublions pas malgré tout que la sécurité implique forcément plus de contraintes pour l'utilisateur, si on souhaite qu'elle soit efficace

                C'est aussi ça le problème, et je ne vois pas pourquoi ça serait vrai dans l'absolu. On pourrait aussi très bien décider que par définition, un système efficace est un système qui n'ajoute aucune contrainte pour l'utilisateur, ou des contraintes très ponctuelles. Un bon exemple à mon avis est la généralisation d'HTTPS, qui est relativement transparente.

                Encore une fois, c'est une histoire de manière de penser dans l'industrie. Souvent, en sécurité informatique, on va privilégier des sytèmes complexes qu'on pense très robustes (par exemple, PGP associé à l'échange de clés entre personnes se connaissant physiquement). Résultat, c'est tellement robuste que personne ne l'utilise réellement. Si tu compares avec les standard d'autres industries (aéronautique, équipements médicaux, centrales nucléaires …), la philosophie est souvent très différente : (i) la sécurité ne se fait jamais au détriment de "l'expérience utilisateur" (la psychologie est très fortement prise en compte), (ii) la sécurité est obtenue en superposant des procédures redondantes qui sont indivuellement trouées, (iii) jamais un équipement n'est mis sur le marché dans un état non sécurisé avec l'espoir qu'il le devienne après coup, etc. D'autres "industries" ont des pratiques beaucoup plus crades (pharmacie, médecine, phytosanitaire, agroalimentaire…), alors qu'il n'y a aucune raison a priori pour que ça soit le cas : c'est juste une question d'organisation, de normalisation, et de priorité. Aussi une question de législation, parce que quand une companie aérienne doit payer une fortune pour chaque personne écrabouillée dans un crash, alors ça fait réfléchir sur l'importance de la sécurité. Pourtant, ça n'a jamais été aussi bon marché de voyager en avion, comme quoi ça ne coûte pas forcément plus cher.

                En gros, si Microsoft devait te payer 1000€ de dommages et intérêt pour chaque écran bleu, j'aurais tendance à pesner que l'OS serait beaucoup plus stable, que les drivers seraient bien bien carrés, que MS forcerait les constructeurs de matériel à publier et respecter leurs specs et à ne pas changer leurs chipsets tous les 15 jours. Si tu pouvais demander des dommages et intérêts pour les données perdues, alors moins de logiciels écraseraient des fichiers au pif, les disques durs seraient certainement plus fiables, les systèmes proposeraient par défaut des disques dupliqués, des systèmes de sauvegarde automatique fiables, etc. Bref, c'est seulement des mauvaises pratiques industrielles, une course au pognon rapide et au développement technologique irraisonné, qui a mené à la situation actuelle. Ça fait tellement longtemps qu'on entend des conneries du type "c'est de ta faute si ton ordi est lent, tu n'avais qu'à réinstaller le système tous les ans", "tu as oublié de défragmenter ton disque, du coup ça a flingué la tête, c'est normal c'est pas conçu pour ça", "ton compte a été piraté parce que tu n'as pas mis un mot de passe de 24 caractères avec des chiffres et de la ponctuation", "c'est de ta faute si tu as perdu tes données quand tu as mis à jour ton système, tu n'avais qu'à les dupliquer avant", "ton manque de productivité est seulement dû au fait que tu n'as pas lu les 400 pages de doc, puisqu'il suffit de faire control-shift-AltGr-A pour afficher le menu des options de personnalisation"… On finit par croire que c'est normal de chier sur les utilisateurs, ils n'ont qu'à se renseigner, qu'à étudier pendant 10 ans le fonctionnement d'un ordinateur, de savoir utiliser une ligne de commande, de comprendre le principe du chiffrement asymétrique, de deviner quel logiciel installer pour des backups automatiques, pour chiffrer le disque, pour créer un portefeuille de mot de passe… et surtout, de les engueuler quand ils n'ont pas installé le bon logiciel parmi les 127 existants. Alors oui, reporter la faute sur les utilisateurs qui n'arrivent pas à gérer 250 mots de passes, je trouve ça sacrément gonflé. Les utilisateurs font ce qu'ils peuvent et ce qu'ils pensent faire bien avec des produits défectueux et mal conçus.

                • [^] # Re: La faute à qui?

                  Posté par (page perso) . Évalué à 4.

                  Je ne dirais pas que c'est toute l'industrie. Regarde les téléphones portables, les mises à jour Android sont au bon vouloir du constructeur, qui, la plupart du temps, n'en propose pas, ou très peu

                  La situation est moins aisée que tu sembles le faire croire.
                  Déjà Google publie des versions de Android très régulièrement, ce qui demande un gros travail de suivi de la part des constructeurs.

                  Tu oublies aussi que ce sont les fondeurs, type Qualcomm, à l'origine du problème. Pour une puce donnée, en général ils ne proposent qu'un noyau fixe avec des utilitaires autour eux aussi fixes pour exploiter le matos. Le suivi des versions des outils pour une version précise d'un processeur est complexe (le noyau Linux évolue très très vite), le noyau étant assez exigeant sur la qualité des correctifs, peu de fondeurs tentent de mettre le tout dans la branche officielle.

                  Résultat les constructeurs sont condamnés à suivre la politique du fondeur de leur puce ce qui limite la possibilité du suivi d'Android. Sans oublier que bien sûr, toute branche à maintenir pour le constructeur a un coût, coût qui monte vite (car il y a beaucoup de travail à effectuer sur chaque modèle). Si seul Apple ou presque parvient à le faire c'est uniquement parce qu'ils maitrisent toute la chaine, qu'ils ont très peu de modèles (car grosso modo qu'une gamme) et qu'ils vendent assez chers leurs produits pour faire de la maintenance sur la durée.

                  Notons malgré tout qu'avec l'évolution technique, les logiciels pour l'exploiter s'alourdissent… Avec un matériel fixe tu ne peux pas accepter éternellement de nouveaux logiciels au risque d'être inutilisable (suffit de voir les commentaires des gens à propos de leur ordi ou iPhone quand il y a eu la mise à jour de trop du système). Donc que faire ? Ce n'est pas une question simple. Vraiment. La mise à jour éternelle n'est pas techniquement possible et demanderait un coût élevé que le consommateur doit payer, le veut-il, le peut-il ?

                  Très peu d'industries ont à ce soucier de cette problématique de la maintenance sans payer un service le temps de cette maintenance. Économiquement il faudrait peut être passer à un modèle de location / abonnement.

                  S'ils font ça, c'est soit que leur matériel n'est pas connecté au réseau, soit qu'il est conçu pour ne pas être mis à jour, soit que la mise à jour va tout péter, ou soit qu'ils ont peur que la mise à jour pète tout parce que ça leur est déja arrivé par le passé. Toutes ces raisons m'ont l'air assez légitimes, et le fait même qu'il existe un risque de nuisance associé à une mise à jour de sécurité pose la question, encore une fois, de la qualité des produits et des procédures fournis par les industriels.

                  Donc l'utilisateur doit mettre à jour le produit, mais ne le fait pas pour X raisons, mais c'est de la faute de l'éditeur ? Foutage de gueule.

                  C'est aussi ça le problème, et je ne vois pas pourquoi ça serait vrai dans l'absolu. On pourrait aussi très bien décider que par définition, un système efficace est un système qui n'ajoute aucune contrainte pour l'utilisateur, ou des contraintes très ponctuelles. Un bon exemple à mon avis est la généralisation d'HTTPS, qui est relativement transparente.

                  HTTPS nécessite quand même de vérifier l'URL et le certificat pour que ce soit réellement efficace. Peu de gens le font pourtant.
                  Le chiffrement impose malgré tout des contraintes incontournables que l'utilisateur doit comprendre, même si on peut simplifier cela, cela ne peut pas être totalement transparent.

                  Si tu compares avec les standard d'autres industries (aéronautique, équipements médicaux, centrales nucléaires …), la philosophie est souvent très différente : (i) la sécurité ne se fait jamais au détriment de "l'expérience utilisateur" (la psychologie est très fortement prise en compte), (ii) la sécurité est obtenue en superposant des procédures redondantes qui sont indivuellement trouées, (iii) jamais un équipement n'est mis sur le marché dans un état non sécurisé avec l'espoir qu'il le devienne après coup, etc.

                  Aussi une question de législation, parce que quand une companie aérienne doit payer une fortune pour chaque personne écrabouillée dans un crash, alors ça fait réfléchir sur l'importance de la sécurité. Pourtant, ça n'a jamais été aussi bon marché de voyager en avion, comme quoi ça ne coûte pas forcément plus cher.

                  Tu as travaillé dans l'aéronautique ? Moi oui. Ce que tu dis reste assez aberrant.

                  Développer un logiciel en aéronautique c'est super cher et limité. Prétendre le contraire c'est ignorer les processus de développements et de certifications qui sont longues et coûteuses. Cela permet de produire un code assez sûr, oui, mais assez cher et obsolète. Cela est adapté pour l'aéronautique mais pas pour le grand public.

                  Car oui, le contrôleur moteur de l'avion, partie critique, ce n'est pas un processeur Intel dernière génération qui le gère mais un microcontrôleur de 30 ans de conception derrière, de tests et assez rudimentaire pour que son comportement soit très prédictible. Nos processeurs modernes font trop de choses, pour améliorer les perfs, apporter des fonctionnalités, que l'aéronautique ne pourra pas avant très longtemps sans doute utiliser dans des sections plus ou moins critiques. En gros nos processeurs modernes dans un avion ne font que du multimédia car peu important si ça foire.

                  L'avion utilise des protocoles réseaux ancestraux pour la même raison, qui ne sont pas adaptés à l'Internet moderne et qui ne sont pas sécurisés d'un point de vue applicatif (mais on s'en fou, le hacker ne peut pas se brancher aux fils de l'avion, par contre la transmission doit être fiable).

                  Bref, se reposer sur la fiabilité de l'aéronautique c'est cool, mais je crois que tout le monde préfère l'informatique moderne avec une fiabilité parfois discutable (et encore, elle s'améliore) que celle que l'aéronautique utilise qui a en réalité des décennies de retard.

                  Tu oublies également qu'un avion a une durée de vie très longue ce qui permet d'amortir les coûts importants de son développement et de sa production. Un ordinateur qui a une durée de vie de 30 ans, je doute de sa pertinence.

                  En gros, si Microsoft devait te payer 1000€ de dommages et intérêt pour chaque écran bleu, j'aurais tendance à pesner que l'OS serait beaucoup plus stable, que les drivers seraient bien bien carrés, que MS forcerait les constructeurs de matériel à publier et respecter leurs specs et à ne pas changer leurs chipsets tous les 15 jours.

                  Pourtant ces procédures arrivent peu à peu, tu as déjà utilisé Windows récemment ? C'est plutôt fiable et sécurisé maintenant. Et ce sans que ce soit une contrainte légale.

                  les disques durs seraient certainement plus fiables, les systèmes proposeraient par défaut des disques dupliqués, des systèmes de sauvegarde automatique fiables,

                  Les disques durs sont quand même assez fiables, il y a des limites inhérentes à la technologie employée, la fiabilité absolue n'existe pas.
                  Note que ce que tu proposes, si c'est imposé de standard, cela augmenterait de fait le prix des produits. Qui va payer ? Celui qui galère à acheter son ordinateur à 300€ ?

                  Bref, pour synthétiser, on peut faire mieux, clairement. Mais l'industrie prend déjà cela en compte peu à peu (depuis 15 ans les progrès du secteurs sont notables). En tout cas tu ne peux te baser sur des secteurs très réglementés comme l'aéronautique car tu mets sous le tapis les problèmes de ces secteurs d'activité qui accusent un décalage important par rapport à la technologie actuelle. Tu oublies aussi la contraintes du coût et des difficultés de faire une réelle maintenance. Avec le modèle économique actuel, cela n'est guère possible de faire ce que tu souhaites.

                • [^] # Re: La faute à qui?

                  Posté par . Évalué à 1. Dernière modification le 19/05/17 à 11:53.

                  En gros, si Microsoft devait te payer 1000€ de dommages et intérêt pour chaque écran bleu, j'aurais tendance à pesner que l'OS serait beaucoup plus stable, que les drivers seraient bien bien carrés, que MS forcerait les constructeurs de matériel à publier et respecter leurs specs et à ne pas changer leurs chipsets tous les 15 jours.

                  En gros, tu as utilisé Windows 98 il y a quine ans, et tu en déduis que ni l'OS ni les drivers, ni rien d'autre n'a bougé d'un iota depuis.

                  Bravo. Tu viens de prouver ton ignorance.

                  Genre, rien que pour les drivers : Savais tu que depuis Windows Vista, une majeure partie du pilote graphique tourne en espace utilisateur, permettant de relancer le pilote graphique instantanément en cas de plantage la plupart du temps, et ce sans perdre la session graphique en cours ?

                  Ça t'en bouche un coin, hein ?

                  Et que ça n'existe pas sous Linux / BSD ? autre OS libre ?

                  Et ce n'est que UN exemple.

                  Et pourtant ça date de 2006, soit y'a 11 ans. Je te laisse imaginer toutes les avancées que contient Windows et ses pilotes depuis 15 ans. Si tu cherches un peu, tu trouveras plein de documentation (comme cet aperçu). Enfin, si enlèves tes ouillères d'abord, bien entendu.

                  Alors sur les leçons de stabilité et de sécurité (couf HeartBleed couf), Microsoft n'a aucune leçon à recevoir d'une ancien utilisateur de Windows 98SE !

                  "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

    • [^] # Re: La faute à qui?

      Posté par . Évalué à 1.

      La faute à qui ?

      Aux règles ?

      Utiliser « abc123 » comme mot de passe n'est possible que parce que c'est possible. Rend le impossible et ça ne sera plus possible ( j'adore ce genre de tournures de phrases :)

  • # suite

    Posté par . Évalué à 1.

    perso, quand je lis le post initial:

    des non techniciens informatiques qui m'entourent.
    Et de façon à peu prés aussi valable que l'argument du "J'ai rien à cacher", j'ai à faire à ce bout de non argument sur l'inutilité de la sécurité informatique.

    Quels arguments peu on utiliser face à des gens qui utilisent (presque) un mot de passe "ABcd123*" ?

    il s'agit bien ici d'un point de vue ciblant le grand public, les michu, PAS les pro/entreprises.

    donc oui, selon moi la sécurité est leur affaire en fonction du niveau qu'ils leur accordent.
    Un niveau de paranoïa est tout autant légitime qu'un niveau zéro, puisque de toute façon seul une personne individuelle est concernée, de par sa pleine responsabilité et conscience.

    Pour conclure :
    quand on parle du GP, tu n'es PAS là pour imposer tes manières aux gens. Former, sensibiliser, ca marchera un peu un petit bout de temps.

    Mais une personne qui souhaite utiliser abc comme mot de passe ou ne choisir aucun code sur son appareil est totalement légitime de le faire.

    ya bien des gens qui laissent leur porte d'entrée ouverte quand ils s'éloignent de chez eux..

    vous n'etes pas la pour imposer vos bonnes habitudes aux autres, ils les apprendront si nécessaire d'eux-meme, et en attendant ont absolument le droit tout à fait légitime d'en avoir de mauvaises.

    • [^] # Re: suite

      Posté par (page perso) . Évalué à 3.

      J'ai ici un profil un peu particulier, à avoir pas mal d'informaticien (de tout bord) dans ma vie personelle, et à avoir un profil trés hybride profesionellement, avec une double casquette informaticien / utilisateur : J'ai de nombreuses mission, et une certaine reconnaissance, d'informaticien, tout en étant finalement un simple utilisateur au milieux d'un service de purs utilisateurs (qui ont parfois du mal avec les concepts de sécurité informatique).

      Je parle parfois d'informatique, de liberté numérique et de sécurité comme certains collégues nous parlent de leurs passion pour le vélo (et argumentent sur les bienfait d'en faire).

      Et si je leurs parle parfois de sécurité informatique, et essaye d'argumenter dans ce sens, c'est essentiellement pour leur apporter un point de vue différent du leur (comme j'en ai sur le vélo).

      Aprés, étant gestionnaire d'une application dont il sont de gros utilisateurs, j'ai fait le choix d'être assez souple ou ouvert, et de ne crier (ou restreindre) au nom de la sécurité que quand il y as un réel danger. Et donc tout seuf leur imposer des ensemmble interminable de régles.

      En un sens je grogne juste une fois de temps en temps pour essayer d'éduquer un peu. Certains apprendrons un peu, d'autres non. C'est le jeu (je fait partis des réfractaire du vélo)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.