URL: https://linuxfr.org/users/m4rotte/journaux/science-sans-confiance-n-est-que-bruit-de-lame Title: Science sans confiance n’est que bruit de lame Authors: Marotte ⛧ Date: 2026-06-10T03:21:43+02:00 License: CC By-SA Tags: sécurité, nova et radio Score: 18 Ça fait très longtemps que j’ai envie de faire un journal sur le sujet. Bien conscient que celui-ci mérite un travail documenté, pensé et soigné, j’ai sagement évité de m’astreindre à cet exercice. Cette courageuse procrastination (je ferai peut-être un journal sur la procrastination, bientôt…) me permet donc présentement de vous gratifier de cet article bâclé, peu clair, rédigé en fin de journée avec les yeux rouges et l’esprit cotonneux. Je compte sur vous pour le lire d’un esprit alerte d’une forme olympique, ou une autre forme qui vous sied davantage tant que vous restez attentifs. Le principe de « moindre privilège » tout le monde connaît, ou voit à peu près l’idée : on file pas la clé de l’abri de jardin où est rangé la tronçonneuse à son neveu de six ans qui veut jouer dans la jardin, ni à la mère de ce dernier, dont on sait trop que la propension à aller fouiller partout ou elle peut n’a d’égale que sa volonté de nuire à son entourage immédiat, de manière aussi subite que les conditions le lui permettent. De la même manière, on ne donne que l’unique clé d’une voiture bien identifiée à son neveu qui veut faire un tour du bled dans une caisse potable, on ne lui refile pas le code universel permettant d’ouvrir toutes les portes des garages réservés aux véhicules de luxe dont on décore modestement sa vie dès qu’on a un peu d’argent. Dans le domaine de l’informatique, on s’abstient de crier à travers l’openspace : « POUR LE STAGIAIRE LUNDI J’AI LAISSÉ UN POST-IT AVEC LE MOT-DE-PASSE ROOT DU GROS SERVEUR POUR L’INVENTAIRE ! C’EST "P3TITP0NEY-007SUPER" ! TASSON C’EST ÉCRIT SUR LE POST-IT, VOUS Lui direz s’il trouve pas ? Hein ? Bon… bah, j’y vais… À moi l’écrasage de pédale vigoureux en dénivelé exponentiel ! Salut… ». Non, on ne fait pas ça. On confie discrètement le post-it à Marie-Sylviane ou Jean-Mi qui vont accueillir Barnabé lundi à la machine à café. On change régulièrement les serrures : elle est bien révolue l’époque où on gardait un même mot-de-passe durant toute sa carrière. Même si c’était tout de même le meilleur moyen de réussir à mémoriser le truc, si c’était "B4-barre_du_4_20_12" ou "b4b4r_du92"… après quelques années, faut avouer que des fois il y avait des vols de post-it… ou parfois même des qui étaient collés sous le bureau, au niveau du tiroir ! On était encore pas toujours à l’abri qu’en revenant de la cantine, une application à la con nous redemande le même mot de passe qu’on avait pourtant saisi la semaine dernière ! Le temps passant, ces processes de sécurisation s’affinant (post-it plus petit, stockage des mots de passes sur les téléphone portables personnels, solidarité effective pour retenir aussi les mots de passe de ses collègues pour les jours de gueule dans le pâté), l’industrie du cyber-secure détecta un problème majeur, une nécessité vitale : les clients se montraient chaque jours moins paranoïaques, pire ! ils commençaient à développer une forme primitive d’hygiène numérique ! Dans une large partie de la clientèle on avait parfois totalement banni les post-it ! Si l’industrie n’agissait pas en urgence il était possible que la clientèle sorte de son territoire pour aller sur celui du commerce pour faire part de questionnement technique précis ! Çà ne devait, ça ne pouvait pas arriver ! Il fallait trouver une parade pour remettre l’utilisateur à sa place. Celle d’un⋅e subalterne sachant taire d’éventuelles remarques critiques envers la direction, la société. Certainement pas un employé de base, prolétaire prétentieux qui pourrait aspirer à faire valoir le mérite de sa probité comme une qualification monnayable. La parade à cette fâcheuse tendance ? Le concept de “Zero trust”. Qu’on pourrait traduire par « Aucune confiance. ». Pour simplifier, ça revient à appliquer le principe de moindre privilège à son paroxysme, à exiger pour chaque action une authentification à deux (ou plus) facteurs, à révoquer tout autorisation au bout d’une minute trente d’inactivité (un feu d’artifice de timeout). Et tutti quanti. Alors que s’agit-il de dénoncer ? Puisque nous sommes dans le cadre d’un journal, et qu’en conséquent, il faut dénoncer l’hérésie. Et bien c’est simple, Zero trust ce n’est pas faire disparaître la confiance jadis accordée aux colaborateurs et à leur professionnalisme, Non ! Il s’agit en fait d’abandonner cette confiance protéiforme et naturelle, pour la transmettre intégralement à un ou deux acteurs économiques (US ou Chine en pratique). Alors Zero Trust, n’en mangez pas, c’est une arnaque !