jeudi 30 septembre 2010

Sécurité opérationnelle, sécurité pragmatique?

Une conférence donnée à la BruCon s'intitule "You Spent All That Money And You Still Got Owned... ". Je suis particulièrement d'accord avec ce titre. Aujourd'hui ou on arrive à construire des voitures fiables, a garantir la distribution d'électricité, et les trains arrivent à l'heure [1], comment se fait-il que la sécurité informatique soit encore et toujours à la ramasse? (je ne prononcerai pas l'antienne « la sécurité est un échec, (c) News0ft ».

Qu'est ce qui peut expliquer cela? La sécurité coûte cher, certes, mais surtout, elle est contraignante! Les données informatiques sont tout de même faite pour être lues, modifiées, communiquées et partagées. La sécurité informatique est là afin d'empêcher que certaines personnes puissent lire, communiquer, modifier ou partager ces données. Bien entendu, la sécurité informatique doit savoir à qui ces données sont destinées et à qui ces données sont interdites, les protéger durant le transport et leur stockage; la chanson est connue. Présentées de cette manière on observe immédiatement l'orthogonalité du traitement.
Les informations doivent circuler, mais rester confinées. Dilemme. Au milieu de tout cela, il y a l'utilisateur pour qui la sécurité est une contrainte souvent mal vécue (allez écouter le bureau des plaintes des administrateurs systèmes qui imposent des modes drastiques concernant les mots de passes, leurs longueurs, leurs fréquences de changement etc..).

Bref, comment conjuguer sécurité et utilisabilité de l'outil informatique? Comment rendre la sécurité opérationnelle, et non pas la confiner à des laboratoires? Ne faut il pas plutôt réfléchir à une sécurité que je qualifierai de pragmatique? Point majeur à prendre en compte, l'utilisateur n'a pas à se soucier de la sécurité. Au plus la sécurité est invisible au mieux elle est utilisée et donc utile et efficace. La question se pose alors: Quelle sécurité est opérationnelle? Quelle seraient les systèmes de sécurisation pragmatiques, donc utilisés, et efficace?

Si je prends le HTTPS, c'est intéressant transparent à l'utilisateur, cela corrige des tas de problèmes, mais c'est attaqué avec plus ou moins de succès d'ailleurs. Preuve de son utilisation.
L'ASLR, le W^X les canaris, c'est complètement invisible à l'utilisateur, et ça marche. Ca bloque ceux qui veulent smasher la stack, mais ça n'empêche certes pas de continuer à faire du fun et du profit.
Le SSO, c'est très bien, ça simplifie la vie de l'utilisateur. C'est ardu à mettre en oeuvre (et pleins de chausses trappes), mais cela évite de retrouver la liste des mots de passe sur des post-it.

Peut être pourrions nous classer les produits de sécurité selon leur innocuité dans le désagrement fourni. Si c'est léger, alors c'est à creuser. Tous les systèmes de sécurité invisibles ne seront pas fiables, mais les systèmes de sécurité trop contraignants sont condamnées à ne pas être employés...

4 commentaires:

  1. Qu'est ce qui peut expliquer cela?

    Hummmm...
    Par exemple l'idée, ô combien brillante, que les modèles qui fonctionnent pour des domaines maîtrisés, comme la mécanique automobile, sont transposables à l'informatique ? Parmis d'autres raisons...

    RépondreSupprimer
  2. Il manquait la note de base de page, je l'ajoute donc:
    [1] Ces trois exemples sont ôh combien révélateur de la parfaite sécurité et de l'assurance qualité. (je m'excuse de ce délai, mon train avait du retard ce matin ;) )

    RépondreSupprimer
  3. @Sid: De toute façon les analogies ne sont qu'une représentation de la réalité souvent tronquées et qui ne lui colle pas forcément, j'ai déjà lu ça quelque part:
    http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies

    RépondreSupprimer
  4. :)

    C'est juste que pour pouvoir faire, prenons au exemple complètement au hasard, du risk management, il faut une connaissance suffisante du domaine d'application pour qu'il devienne un minimum maîtrisable et prédictible. Ce qui suppose d'une part des données détaillées disponible pour construire des modèles, et la capacité à transposer ces modèles dans le futur.
    Je n'ai pas l'impression que l'informatique soit un domaine suffisamment maîtrisé, documenté et stable pour que ce soit efficace à des coûts acceptables, ne serait-ce qu'à considérer la vitesse à laquelle il se renouvelle...

    RépondreSupprimer