Ça fait très longtemps que j’ai envie de faire un journal sur le sujet. Bien conscient que celui-ci mérite un travail documenté, pensé et soigné, j’ai sagement évité de m’astreindre à cet exercice.
Cette courageuse procrastination (je ferai peut-être un journal sur la procrastination, bientôt…) me permet donc présentement de vous gratifier de cet article bâclé, peu clair, rédigé en fin de journée avec les yeux rouges et l’esprit cotonneux. Je compte sur vous pour le lire d’un esprit alerte d’une forme olympique, ou une autre forme qui vous sied davantage tant que vous restez attentifs.
Le principe de « moindre privilège » tout le monde connaît, ou voit à peu près l’idée : on file pas la clé de l’abri de jardin où est rangé la tronçonneuse à son neveu de six ans qui veut jouer dans la jardin, ni à la mère de ce dernier, dont on sait trop que la propension à aller fouiller partout ou elle peut n’a d’égale que sa volonté de nuire à son entourage immédiat, de manière aussi subite que les conditions le lui permettent. De la même manière, on ne donne que l’unique clé d’une voiture bien identifiée à son neveu qui veut faire un tour du bled dans une caisse potable, on ne lui refile pas le code universel permettant d’ouvrir toutes les portes des garages réservés aux véhicules de luxe dont on décore modestement sa vie dès qu’on a un peu d’argent.
Dans le domaine de l’informatique, on s’abstient de crier à travers l’openspace : « POUR LE STAGIAIRE LUNDI J’AI LAISSÉ UN POST-IT AVEC LE MOT-DE-PASSE ROOT DU GROS SERVEUR POUR L’INVENTAIRE ! C’EST "P3TITP0NEY-007SUPER" ! TASSON C’EST ÉCRIT SUR LE POST-IT, VOUS Lui direz s’il trouve pas ? Hein ? Bon… bah, j’y vais… À moi l’écrasage de pédale vigoureux en dénivelé exponentiel ! Salut… ».
Non, on ne fait pas ça. On confie discrètement le post-it à Marie-Sylviane ou Jean-Mi qui vont accueillir Barnabé lundi à la machine à café.
On change régulièrement les serrures : elle est bien révolue l’époque où on gardait un même mot-de-passe durant toute sa carrière. Même si c’était tout de même le meilleur moyen de réussir à mémoriser le truc, si c’était "B4-barre_du_4_20_12" ou "b4b4r_du92"… après quelques années, faut avouer que des fois il y avait des vols de post-it… ou parfois même des qui étaient collés sous le bureau, au niveau du tiroir ! On était encore pas toujours à l’abri qu’en revenant de la cantine, une application à la con nous redemande le même mot de passe qu’on avait pourtant saisi la semaine dernière !
Le temps passant, ces processes de sécurisation s’affinant (post-it plus petit, stockage des mots de passes sur les téléphone portables personnels, solidarité effective pour retenir aussi les mots de passe de ses collègues pour les jours de gueule dans le pâté), l’industrie du cyber-secure détecta un problème majeur, une nécessité vitale : les clients se montraient chaque jours moins paranoïaques, pire ! ils commençaient à développer une forme primitive d’hygiène numérique ! Dans une large partie de la clientèle on avait parfois totalement banni les post-it ! Si l’industrie n’agissait pas en urgence il était possible que la clientèle sorte de son territoire pour aller sur celui du commerce pour faire part de questionnement technique précis ! Çà ne devait, ça ne pouvait pas arriver ! Il fallait trouver une parade pour remettre l’utilisateur à sa place. Celle d’un⋅e subalterne sachant taire d’éventuelles remarques critiques envers la direction, la société. Certainement pas un employé de base, prolétaire prétentieux qui pourrait aspirer à faire valoir le mérite de sa probité comme une qualification monnayable.
La parade à cette fâcheuse tendance ? Le concept de “Zero trust”. Qu’on pourrait traduire par « Aucune confiance. ». Pour simplifier, ça revient à appliquer le principe de moindre privilège à son paroxysme, à exiger pour chaque action une authentification à deux (ou plus) facteurs, à révoquer tout autorisation au bout d’une minute trente d’inactivité (un feu d’artifice de timeout). Et tutti quanti.
Alors que s’agit-il de dénoncer ? Puisque nous sommes dans le cadre d’un journal, et qu’en conséquent, il faut dénoncer l’hérésie. Et bien c’est simple, Zero trust ce n’est pas faire disparaître la confiance jadis accordée aux colaborateurs et à leur professionnalisme, Non ! Il s’agit en fait d’abandonner cette confiance protéiforme et naturelle, pour la transmettre intégralement à un ou deux acteurs économiques (US ou Chine en pratique).
Alors Zero Trust, n’en mangez pas, c’est une arnaque !
# ZeroTrust ce n'est pas ça !
Posté par Colin Pitrat (site web personnel) . Évalué à 7 (+5/-0).
Une simple lecture de la page Wikipedia de Zero Trust aurait permis d'éviter de dire n'importe quoi pourtant. Parce que Zero Trust, c'est principalement l'idée de ne pas diviser le monde en deux: l'extérieur, dangereux, dont on se méfie et l'intérieur, sûr et auquel on fait confiance (ou parfois en 3 avec une DMZ: zone démilitarisée).
Avec Zero Trust, être à l'intérieur du réseau d'entreprise ou à l'extérieur ne change pas grand chose. Ce qui permet d'avoir l'accès, ce sont les facteurs d'authentification : terminal (seul le matériel autorisé peut se connecter, identifié grâce à du matériel cryptographiques dédié), mot de passe, second facteur (typiquement une clef de sécurité).
Alors oui, ça peut nécessiter de faire confiance aux fournisseurs de matériel (Chinois, Américains) et aux fournisseurs de logiciels (si on n'est pas stupide, on utilise de l'open-source, donc Chinois et Américains encore, entre autre, mais plus généralement mondiaux et, de plus en plus, LLMs). Mais cela est vrai dans n'importe quel architecture de sécurité informatique. À moins que tu veuilles nous vendre une nouvelle solution : ZeroMatosZeroSoft.
[^] # Re: ZeroTrust ce n'est pas ça !
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Ça semblait bien parti pour arriver à une conclusion qui suit le rail de la dénonciation :
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: ZeroTrust ce n'est pas ça !
Posté par Earered . Évalué à 2 (+1/-0).
Je trouve que sa description colle bien à la définition de 2018 du NIST
et relève un problème typique du secteur de la sécurité
l'absence de preuve de rentabilité
L'argument de vente en cyber ne tourne pas rond, ce n'est pas un «contexte, problème, impact financier du problème, rentabilité de la solution», mais essentiellement de la peur, faire imaginer la catastrophe sans se poser la question de l'efficacité de la solution proposé rapporté à son coût ou la peur du gendarme via les normes.
Il est évident qu'il faut de la sécurité, mais il y a bien peu de rationalité dans le choix des moyens à mettre en œuvre. Et les contextes européens dans lesquelles ce genre de solution peut sembler raisonnable sont vraisemblablement la cible d'États. AMA, il vaudrait mieux dépenser l'argent dans des sauvegardes et des tests grandeur nature de restauration des systèmes et des données (sujet sur lequel il y a des données suffisante pour prouver que ce n'est pas une arnaque).
[^] # Re: ZeroTrust ce n'est pas ça !
Posté par Colin Pitrat (site web personnel) . Évalué à 4 (+2/-0).
Quand tu as des centaines ou des milliers d'employés, une stratégie de sécurité du type "l'extérieur du réseau c'est la jungle, à l'intérieur c'est sûr" est évidemment très risquée. Il suffit de réussir à compromettre une seule machine d'un seul employé ou de réussir à brancher un terminal quelque part sur le réseau pour pouvoir facilement avoir accès à la totalité des ressources.
L'idée qu'il vaut mieux une forteresse autour de chaque machine qu'une forteresse autour de l'entreprise est plutôt évidente quand on regarde la façon dont les piratages massifs ont lieu en entreprise (Google a donné pas mal de détail sur l'opération Aurora par exemple.
[^] # Re: ZeroTrust ce n'est pas ça !
Posté par Marotte ⛧ . Évalué à 5 (+2/-0). Dernière modification le 16 juin 2026 à 21:05.
Si la forteresse autour de chaque machine est en tout point identique d’une machine à l’autre, la multitude de forteresses se réduit en pratique à une seule et unique forteresse protégeant l’ensemble du système d’information.
On touche là une problématique connexe au sujet du journal. En matière de gestion de parc, quelle est la voie à suivre, l’homogénéité ou l’hétérogénéité ? Ou bien encore un juste équilibre entre ces idéaux théoriques ?
Je ne développe pas parce que je pars encore en sucette littéroïde et tout le monde sait déjà de quoi il retourne.
(ndr: j’étais pratiquement sûr d’inventer un mot nouveau avec ce « littéroïde », et bien même pas dis-donc !)
[^] # Re: ZeroTrust ce n'est pas ça !
Posté par Earered . Évalué à 3 (+2/-0).
il y a un monde entre l'intérieur est sûr aucun risque et zéro trust.
Peu d'entreprise de milliers de personnes vont fournir un badge qui ouvre toute les portes de tous les sites.
Et à contrario, les sessions hyper courtes sont en contradiction avec les normes d'accessibilité.
C'est genre d'âneries qu'on reproche à la doctrine arbitraire.
[^] # Re: ZeroTrust ce n'est pas ça !
Posté par Marotte ⛧ . Évalué à 4 (+1/-0).
On ne fait que le diviser autrement :
Oui. Mais un service ne peut pas être open-source (on ne peut que lui faire confiance quant à la réalité de son utilisation de logiciel opensource). Dans la pratique, je suis curieux de connaître des structures ayant internalisé ce genre d’architecture, et qui donc de ce fait continuent à pratiquer une gestion de la confiance impliquant plusieurs de leurs collaborateurs, les fabricants et fournisseur divers de leur matériels. Donc de ne pas considérer que l’administrateur réseau au sein du datacenter doit être considéré à priori de la même manière (soumis aux mêmes nécessité d’authentification) que le prestataire commercial extérieur à l’entreprise, connecté depuis le portail captif de l’hôtel de Trou-la-Marmotte.
Pour revenir à la distinction intérieur/extérieur, ce n’est pas tout à fait vrai, car dès qu’on implémente une règle qui se base en partie sur l‘identification d’un matériel on fait de facto cette distinction (et en pratique ce n’est pas la théorie qui s’applique…). D’après la définition que tu donnes, Zero Trust devrait aller de pair avec BYOD (Bring Your Own Device), or je n’ai pas l’impression que ce soit souvent le cas. C’est dommage, ça constituerait un aspect positif de ce merdier…
J’ai une solution révolutionnaire de terminal mobile qui s’autodétruit de manière aléatoire mais ce n’est pas le lieu ici d’en faire la pro
# Aiguisé comme lame, pointu comme manchot, chauffé comme une RAM et puissant comme un cloud Dassault
Posté par devnewton 🍺 (site web personnel) . Évalué à 5 (+2/-0).
Pour un post it Zero Trust, tu peux utiliser une passgrid.
Ce post est offensant ? Prévenez moi sur https://linuxfr.org/board
# J'ai pas tout lu...
Posté par Dring . Évalué à 10 (+11/-0).
…car j'ai vite réalisé que ce journal avait été tapé à la main et non généré avec l'aide d'un LLM alors qu'il est bien connu que c'est la seule façon raisonnable de faire un journal.
Ce petit supplément d'âme est totalement écœurant et très certainement dangereux ; imagine que tout le monde se mette à faire pareil, et c'est une crise économique sans précédent avec la faillite de nombreuses entreprises œuvrant pourtant pour le bien commun et la sauvegarde de notre planète, hier encore si froide.
J'espère que les admins linuxfr prendront rapidement les armes pour éviter que de telles infâmies ne se reproduisent à la manière de lapins introduits en douce dans la cale d'un galion espagnol en route pour les Indes.
[^] # Re: J'ai pas tout lu...
Posté par Faya . Évalué à 6 (+4/-0). Dernière modification le 10 juin 2026 à 21:33.
Tu rigoles mais on dirait bien que quelque-chose se trame. Actuellement sur la page d'accueil il y a 12 contenus (dépêches, journaux, liens) à la suite sans rapport avec l'IA. Et pourtant ça parle de sécurité (Tchap), d'hébergement, de santé (Cadmium), de programmation (Rust) et même de robots mais aucun LLM. A Change Is Gonna Come
[EDIT] Je m'apprêtais en plus à faire un petit journal pour parler de l'utilisation des LLM par les auteurs de nos logiciels libres à la suite d'une interview de Jean-Baptiste Kempf (VLC) où il dit qu'il utilise Claude intensivement. Mais du coup je m'abstiens pour ne pas interrompre le passage de l'ange.
[^] # Re: J'ai pas tout lu...
Posté par passke (site web personnel) . Évalué à 3 (+2/-0).
Le calme avant la tempête ?
[^] # Re: J'ai pas tout lu...
Posté par Marotte ⛧ . Évalué à 6 (+3/-0).
Tu es dur, j’écris sans raisonnement construit et articulé mais en agglutinant des bribes d’idées plus ou moins probables, ça revient au même !
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.