Journal La confiance et la sécurité dans le cyberespace

Posté par . Licence CC by-sa.
Tags : aucun
6
13
nov.
2018

Cher journal,

J'apprends par hasard que :

"Le 12 novembre, à l’occasion de la réunion à l’UNESCO du Forum de gouvernance de l’internet (FGI), le Président de la République, Emmanuel Macron, a lancé l’Appel de Paris pour la confiance et la sécurité dans le cyberespace. Cette déclaration de haut niveau en faveur de l’élaboration de principes communs de sécurisation du cyberespace a déjà reçu l’appui de nombreux États, mais aussi d’entreprises privées et d’organisations de la société civile."

Le lien

Je vais rester coi (quoi ?) sinon va encore me dire que je fais le schtroumpf à lunettes.

Quand pensez vous ?

  • # Quand pensez vous ?

    Posté par (page perso) . Évalué à 10 (+24/-1).

    Quand pensez vous ?

    Un peu tout le temps.

  • # Le bullshit et le bullshit dans le bullshit

    Posté par . Évalué à 10 (+10/-1).

    Ce document est plein de bonnes intentions, mais sans détails concrets législatifs contraignants, ça reste du vent.

    Ce qui serait concret :
    - Interdiction à la vente/location des appareils (Internet of Things/Shit) et des logiciels qui n'ont pas de garantie de mise à jour pendant 5 ans
    - Interdiction de vendre des appareils de la part des fabricants ne respectant pas leurs garanties de mise à jour, ainsi qu'une amende en pourcentage du CA et deux ans d'emprisonnement du CEO/PDG
    - Interdiction d'exploiter des failles de sécurité sans les publier publiquement ;
    - Interdiction d'utilisation d'appareils non mis à jour sur Internet. Une amende dans le cas où on se fait chopper dans ce cas là ;
    - Un registre international, public et centralisé de failles de sécurité découvertes depuis plus de 6 mois et/ou corrigées. Avec un système de soumission de failles de sécurité de façon anonymes.

    Rien qu'avec tout ça, on serait bien.

    • [^] # Re: Le bullshit et le bullshit dans le bullshit

      Posté par . Évalué à 6 (+4/-0). Dernière modification le 13/11/18 à 16:00.

      Pour les 2 premiers point, j'abbonde dans ton sens mais pour le reste …

      Interdiction d'exploiter des failles de sécurité sans les publier publiquement

      Que tu les publies pu pas, il est déjà interit d'exploiter des failles de sécurité …

      Interdiction d'utilisation d'appareils non mis à jour sur Internet.

      C'est un peu étrange comme interdiction, et difficile à mettre en oeuvre (à moins que la formulation soit maladroite ?)

      Sinon pour le 3eme point j'irais plutôt sur un registre de découvertes de failles de sécurité dévoilées au jour le jour. En effet, je ne vois pas pourqui on devrait attendre 6 mois pour divulguer une faille de sécurité. Je dois pouvoir décider si je continue à utiliser un produit/service qui présenterait un risque dès que le trou est découvert.

      • [^] # Re: Le bullshit et le bullshit dans le bullshit

        Posté par . Évalué à 5 (+5/-1).

        Que tu les publies pu pas, il est déjà interit d'exploiter des failles de sécurité

        À part si t'es un service d'intelligence d'un état, auquel cas t'as zéro chance d'être jugé. Et c'est justement le cœur de mon point.

        C'est un peu étrange comme interdiction, et difficile à mettre en oeuvre (à moins que la formulation soit maladroite ?)

        Non, c'est exactement mon point. Je suis pour des mécanismes de détection des failles, les mêmes utilisées par les botnets (scan), mais façon riposte graduée de l'Hadopi. Ça n'enlèverait pas 100% des machines exploitables, mais au moins celles exploitables facilement à distance.

        Je dois pouvoir décider si je continue à utiliser un produit/service qui présenterait un risque dès que le trou est découvert.

        Non, parce que dans ce cas là c'est faire encourir un risque à d'autres personnes, comme une voiture qui ne passe pas le contrôle technique. Ton appareil pollue le net et met en danger d'autres machines, il est enlevé du net. Et si tu refuses de l'enlever, on te coupe ta connexion, même pour une entreprise.
        Mon point est que personne ne devrait consciemment pouvoir décider d'affaiblir le tout qu'est Internet en risquant d'agrandir un ou plusieurs botnets, parce que ça l'arrange.

        • [^] # Re: Le bullshit et le bullshit dans le bullshit

          Posté par (page perso) . Évalué à 4 (+2/-0).

          Je suis pour des mécanismes de détection des failles, les mêmes utilisées par les botnets (scan), mais façon riposte graduée de l'Hadopi.

          Donc j'ai un serveur dans le Ternet, le machin gouvernemental (agrée par la CNIL, bien entendu) qui tente de détecter les failles essaye de tipiaker ce serveur pour, justement, rendre l'Internet plus sûr. Mais comment puis-je différencier les vrais méchants http://kremvax.su/ des vrais gentils https://pour-ton-bien.gouv.fr/ ? Et auprès de qui je vais aller porter plainte ? Et si je kickbanne le détecteur étatique de pureté, ne vais-je pas faire sonner une alerte quelque part dans la cave de la place Beauvau ?

          Tout cela me semble difficile à graduer, en fait…

          * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

    • [^] # Re: Le bullshit et le bullshit dans le bullshit

      Posté par . Évalué à 3 (+2/-0).

      • Interdiction d'utilisation d'appareils non mis à jour sur Internet.

      Si ton appareil n'est pas à jour, cette interdiction t'empêche de l'utiliser pour le mettre à jour par internet.
      Deadlock !!

      Ou alors ça oblige à avoir un deuxième appareil pour mettre à jour le premier. Mais si les deux appareils se retrouvent en retard d'une version (ce qui arrive à chaque nouvelle version), alors encore deadlock. Ou alors il te faut un troisème appareil, etc.

      • [^] # Re: Le bullshit et le bullshit dans le bullshit

        Posté par . Évalué à -1 (+1/-3). Dernière modification le 14/11/18 à 08:49.

        Si ton appareil n'est pas à jour, cette interdiction t'empêche de l'utiliser pour le mettre à jour par internet.
        Deadlock !!
        Ou alors ça oblige à avoir un deuxième appareil pour mettre à jour le premier. Mais si les deux appareils se retrouvent en retard d'une version (ce qui arrive à chaque nouvelle version), alors encore deadlock. Ou alors il te faut un troisème appareil, etc.

        D'où mon principe de réponse graduée. D'abord on prévient le détenteur de la connexion internet qu'une machine n'est pas à jour, en fournissant les informations qui ont permis de l'identifier. Puis quelques temps plus tard, on met en demeure la personne physique ou morale de mettre à jour son appareil, puis on coupe si la personne refuse.
        C'est à combiner avec de l'information pour expliquer comment mettre à jour ses appareils, comment retirer leur accès à Internet, voire une liste de prestataires agréés pour aider les gens à mettre à jour.

      • [^] # Re: Le bullshit et le bullshit dans le bullshit

        Posté par . Évalué à 1 (+0/-1).

        Ou alors ça oblige à avoir un deuxième appareil pour mettre à jour le premier. Mais si les deux appareils se retrouvent en retard d'une version (ce qui arrive à chaque nouvelle version), alors encore deadlock. Ou alors il te faut un troisème appareil, etc.

        Ça relancerait la croissance !

        splash!

    • [^] # Re: Le bullshit et le bullshit dans le bullshit

      Posté par (page perso) . Évalué à 1 (+2/-2).

      "- Interdiction d'utilisation d'appareils non mis à jour sur Internet. Une amende dans le cas où on se fait chopper dans ce cas là ;"

      J'utilise un kernel 2.4 si j'en ai envie. Avec un stack tcp/ip maison bourée de trous de secus.

    • [^] # Re: Le bullshit et le bullshit dans le bullshit

      Posté par (page perso) . Évalué à 5 (+3/-0). Dernière modification le 14/11/18 à 16:48.

      Interdiction d'exploiter des failles de sécurité sans les publier publiquement

      Donc je peux tranquillement exploiter des failles de sécurité si elles sont publiées publiquement.

      Reste à définir « publiquement ». Une sous-page de mon site web perso, non accessible aux moteurs de recherche, c'est bon ? C'est public, accessible à n'importe quel humain venant sur mon site web. Et comme c'est sur mon site perso, ça « prouve » que c'est publié.
      Il faut améliorer pour prouver que c'est publié avant la mise en œuvre.

  • # Je vais rester coi

    Posté par (page perso) . Évalué à 5 (+3/-0).

    (quoi ?)

    cela fait déjà quelques remous outre-Atlantique : https://it.slashdot.org/story/18/11/12/2115206/more-than-50-nations-launch-paris-call-to-fix-hate-speech-and-cyberattacks-china-and-russia-not-among-signatories-trump-administration-reluctant-to-sign

    So the idea is to censor the internet, in order to prevent censorship???

    L'idée c'est de censurer Internet, afin d'empêcher la censure ?

    • [^] # Re: Je vais rester coi

      Posté par (page perso) . Évalué à 3 (+6/-4).

      Je voulais écrire un journal sur ce sujet, mais j'ai pas trop le temps. Il y a une grosse tentative en ce moment pour censurer l'internet en France : nos dirigeant veulent établir un intranet français un peu comme la Chine (c'est pour notre bien, bien sûr : c'est pour lutter contre les pédonazis).

      Quand la liberté d'expression, c'est : "t'as le droit de dire ce que l’État t'autorise à dire", c'est normal que ça se réduise d'années en années…

      • [^] # Re: Je vais rester coi

        Posté par . Évalué à 1 (+3/-2). Dernière modification le 13/11/18 à 17:22.

        C'est malheureusement la conséquence directe et inévitable de la conception française de la liberté d'expression, où l'on est libre de s'exprimer "sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi", laissant la liberté publique à la merci de l'interprétation du législateur (et donc en Vème de l'exécutif).

        La constitution américaine est beaucoup plus ferme ("shall not be infringed") sur les libertés ce qui a ses défauts mais surtout ses avantages, et force la loi à respecter l'intention de celui qui l'a écrite.

        EDIT: Ma mauvaise foi m'a tout de même fait négliger le rôle du conseil constitutionnel

        • [^] # Re: Je vais rester coi

          Posté par . Évalué à 10 (+9/-0).

          Je suis régulièrement étonné de voir, ici sur linuxfr mais aussi ailleurs, l'importance que donnent les français à la limitation de leur liberté d'expression. Comme aux US je crois que les interdictions devraient surtout concerner les appels à la violence mais je préfère que les pédonazis puissent s'exprimer librement et qu'ainsi on sache à qui on a à faire ! Plutôt qu'ils aillent se cacher sur d'obscurs forums et se monter le bourrichon entre eux.
          En tant que noir, je trouve ça limite rassurant que le voisin puisse dire qu'il n'aime pas """ma race""" plutôt que rester dans l'ignorance alors qu'il n'en pense pas moins.
          + Oui, la version française prête le flanc à la censure étatique. Sans pour autant considérer qu'on y est, le mille-feuille des interdictions (même en privé ! ) fait que la loi est peu lisible et au final une interdiction de plus ou de moins… Ouais j'ai pris la pente savonneuse mais par exemple je n'aurais jamais pensé qu'on puisse être condamné juste pour avoir dit que "les contrôles d’identité au faciès « sont non seulement monnaie courante, mais se multiplient »".

      • [^] # Re: Je vais rester coi

        Posté par . Évalué à 5 (+3/-0).

        "nos dirigeant veulent établir un intranet français un peu comme la Chine"
        Si tu ne veux pas passer pour un complotiste, il faut nous fournir quelques sources crédibles.
        J'ai aussi entendu au bistrot que "les nazis reptiliens vivent dans la terre creuse", mais il ne s'agit pas d'un documentaire.

  • # De la légitimité des exceptions...

    Posté par (page perso) . Évalué à 7 (+6/-1).

    Quand pensez vous ?

    Un des problèmes est que les politiques veulent de la sécurité et de la confiance partout, excepté partout où ça ne les arrange pas (et ça fini par représenter beaucoup).

    Un autre problème est qu'ils ne ratent jamais une occasion de faire la danse du ventre devant les pires escrocs. La dernière en date étant de demander à une multinationale complice (notamment mais pas seulement) de fraude électorale à grande échelle (on parle de plus de gens que d'électeurs français ; niveau confiance ça place le curseur) de travailler mains dans la mains et d'aider l'état dans sa volonté de « modérer » l'expression. (Je ne dis pas qu'il ne faut rien faire ; mais là c'est un peu comme proposer à Guy Georges de travailler à ses cotés contre le harcèlement sexuel).

    Adhérer à l'April, ça vous tente ?

  • # C'est du vent...

    Posté par . Évalué à 2 (+1/-0). Dernière modification le 14/11/18 à 12:45.

    …encore que le vent peut servir à faire avancer (ex : voilier) ou à créer de l'énergie (ex : éolienne).

    Je n'ai pas compris : à qui a-t-il lancé l'appel ? Si c'est un appel en l'air c'est compréhensible. Sinon :

    • l'Etat français dématérialise tous les services, l'exemple des impôts où la déclaration papier ne sera plus disponible (date incertaine) est un bon exemple.
    • les banques utilisent de plus en plus ce monde virtuel, l'exemple des banques en lignes se suffit à lui même.
    • les individus, au delà de confier volontairement leurs données personnelles à des entreprises (réseaux sociaux en particulier), l'explosion (à vue de nez) des ventes en ligne ces dernières années prouve que la confiance est là.

    Cela fait des années que tout la société se dirige avec une grande confiance vers le cyberespace. Il y a toujours eu un travail pour rendre cet espace plus sécurisé.

    Comme je n'ai pas tout compris, il est possible que mon avis soit totalement à côté de la plaque mais d'après ce que je crois avoir compris, cet appel est une constatation d'une situation sauf que ce constat aurait pu être fait il y a 15 ans et aurait été plus pertinent à l'époque.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.