"Les gouvernements, les militaires et les entreprises menacent la sécurité du Net"
Selon le DSI de British Telecom au RSA 2012

Le , par MiaowZedong, Membre émérite
La conférence annuelle RSA sur la sécurité informatique a eu lieu hier à San Francisco. Dans son élocution, l'expert en sécurité, cryptographe et DSI chez BT Bruce Schneier a déclaré que les groupes de "hackers" criminels ne représenteraient pas la principale menace pour la sécurité sur Internet; celle-ci viendrait des gouvernements, des militaires et des entreprises.

Les tentatives de légiférer de la part de gouvernements qui ne comprennent pas le fonctionnement d'internet sont un problème majeur, selon lui. Ces lois sont proposées parfois avec les meilleures intentions du monde, ou alors résultent du lobbying de groupes qui souvent ne comprennent pas plus ce dont ils parlent que les politiciens. Pour Schneier, ce qui a fait reporter les lois SOPA/PIPA ce n'est pas leur caractère "mauvais" ou le black-out de Wikipedia, mais le lobbying de Google et ses alliés.

De plus, les policiers cherchent toujours à avoir une meilleure traçabilité sur Internet. Ainsi, les propositions d'un "kill switch" pour l'Internet Nord-Américain. Pour Schneier, "même si c'était faisable, ce serait une mauvaise idée". Il met en avant les communications par satellite, qui peuvent actuellement échapper aux législations nationales.

L'armée représenterait une menace particulière. Selon Schneier, il y a actuellement des indications plausibles que la Chine et les USA auraient miné leurs réseaux respectifs avec des bombes logiques. Pour lui, HBGary, la société de sécurité qui travaillait pour le gouvernement US, serait un marchand de cyberarmes. Schneier s'attend à ce que l'armée investisse lourdement dans le réseau électrique et le tronc d'Internet dans les années à venir. Il déclare "[la communauté de la sécurité IT] les retenons aussi longtemps que possible, mais je pense que nous allons perdre. Le résultat est moins de sécurité pour nous tous."

Finalement, Schneier s'en prend à "Big Data, Inc.". Il cite comme exemples de "Big Data" Google, Facebook, Amazon, Apple et l'agrégateur de données ChoicePoint. Pour lui, "Big Data" est désormais un groupe d'intérêts industriels extrêmement puissant, comparable au "Big Oil".

"Big Data" ôterait le contrôle de leurs appareils aux utilisateurs. Schneier a sorti un iPhone pour annoncer "je ne peux pas effacer des données de manière acceptable, je ne peux pas faire tourner un antivirus de manière acceptable" sur iOS. Il dénonce ce qu'il appelle la "sécurité féodale", où les utilisateurs laissent le contrôle de leur sécurité aux fournisseurs en échange de l'utilité des services.

À la fin, Schneier déclare "Il y a une guerre en cours contre l'ordinateur à fonction générale [general purpose computer]" et appelle aux armes les professionnels de la sécurité informatique. Il conclut "L'industrie de la sécurité n'a pas de lobby, le bon sens n'a pas de lobby, l'excellence technique n'a pas de lobby[...]dans les décennies à venir, l'avenir de l'Internet sera décidé par des gens en dehors de l'IETF, et je me fais du souci. Je ne pense pas qu'ils feront du bon travail."

Sources

Et vous:
Pensez-vous qu'il est légitime que la police ait plus de visibilité sur l'Internet?
Partagez-vous les craintes de Schneier concernant la militarisation du Web?
Que pensez-vous de "Big Data"?
Croyez-vous que les professionnels techniques doivent avoir plus de poids politique?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de deathness deathness - Membre émérite http://www.developpez.com
le 01/03/2012 à 10:39
Etre de la profession n'indique pas du tout qu'on est les compétences pour diriger l'avenir de celle-ci

ça revient un peu à dire sinon que n'importe quel dev peut être chef de projet. C'est vrai pour certain, faux pour d'autre car c'est tout simplement pas le même métier!
Avatar de coshibe coshibe - Membre averti http://www.developpez.com
le 01/03/2012 à 10:41
L'armée représenterait une menace particulière. Selon Schneier, il y a actuellement des indications plausibles que la Chine et les USA auraient miné leurs réseaux respectifs avec des bombes logiques. Pour lui, HBGary, la société de sécurité qui travaillait pour le gouvernement US, serait un marchand de cyberarmes. Schneier s'attend à ce que l'armée investisse lourdement dans le réseau électrique et le tronc d'Internet dans les années à venir. Il déclare "[la communauté de la sécurité IT] les retenons aussi longtemps que possible, mais je pense que nous allons perdre. Le résultat est moins de sécurité pour nous tous."

Je n'ai pas bien compris quel role l'armée vient jouer ici. Quelqu'un pourrait m'éclairer un peu?

Concernant le lobbys, il est malheureux qu'on n'exploite pas plus les scientifiques de la fonction publique dont on peut attendre beaucoup plus d'objectivité. Ou alors qu'on utilise des personnes accréditées Secret Défense dont on sait qu'on peut avoir confiance.
Avatar de glad33bx glad33bx - Membre régulier http://www.developpez.com
le 01/03/2012 à 10:47
Ne pas confondre élocution et allocution

http://fr.wikipedia.org/wiki/Allocution
Avatar de Guilp Guilp - Membre éprouvé http://www.developpez.com
le 01/03/2012 à 13:38
Citation Envoyé par Bluedeep  Voir le message
Sans même parlert de l'aspect un peu comique d'un ministère de l'IT (et pourquoi pas un ministèrede la plomberie-chaufferie et du BTP ?), je pense que tu as la mémoire un peu courte.

En effet, à chaque fois qu'à la tête d'un ministère on a mis un ministre de la profession, ça été plus que mitigé comme résultat.

Arpaillange à la justice, Guillaume à l'agriculture, et j'en passe ... ça n'a pas vraiment fait des étincelles.

Citation Envoyé par deathness  Voir le message
Etre de la profession n'indique pas du tout qu'on est les compétences pour diriger l'avenir de celle-ci

ça revient un peu à dire sinon que n'importe quel dev peut être chef de projet. C'est vrai pour certain, faux pour d'autre car c'est tout simplement pas le même métier!

Sans trop entrer dans les détails, je n'ai jamais dit qu'on devait mettre des ministres spécialistes, "de la profession". Je parlais de la possibilité de les juger, connaitre leurs avis et connaissances sur certains domaines/questions importantes d'actualité, avant de leur donner le ministère...
Avatar de MiaowZedong MiaowZedong - Membre émérite http://www.developpez.com
le 02/03/2012 à 17:31
Sur un sujet connexe, les experts réunis au RSA 2012 ont sonné l'alerte sur le vote par Internet.

Illustrant les problèmes du "e-voting", en 2010 le conseil de l'éducation de Washington, DC avait lancé un challenge aux hackers après avoir mis en place une plateforme de vote en ligne. Les "gagnants" ont été le professeur Halderman de l'Université du Michigan et ses étudiants. En quelques heures seulement, le professeur et son équipe avaient trouvé une faille leur permettant d'injecter des scripts shell.

Ils ont ensuite pu modifier tous les bulletins dans le système, remplaçant les candidats réels par des IA fictives telles Skynet ou Bender (le robot ivrogne de la série Futurama). Ils ont également pu récupérer un PDF contenant les listes éléctorales, et introduire un extrait de la chanson de l'équipe de football américain de leur université et le mot "owned" dans les écrans de vote.

Finalement ils ont trouvé les traces de nombreuses autres tentatives d'intrusion, qu'ils ont bloquées. Le professeur Haldermann a depuis mis en ligne une description de cette affaire.

Aujourd'hui 33 États des US ont introduits des solutions d'e-voting, et les experts ne croient pas à la sécurité de ces plateformes; d'autant plus que ce sont souvent des programmes propriétaires, donc que les États ne peuvent pas légalement auditer leur code source. Cette tendance ne s'est pas répandue en Europe jusqu'à présent, ce qui semble être une bonne chose.

D'après The Register.
Avatar de el_slapper el_slapper - Expert éminent sénior http://www.developpez.com
le 05/03/2012 à 10:27
Pour le vote informatique, qu'il soit par machine, par internet, par téléphone, ou que sais-je, la seule solution, à mon sens, de garantir la qualité des restitutions, c'est de faire comme les banques font des traces d'audit : on liste et on enregistre tout ce qui se fait. Le 25 janvier à 9h12, le client Martin a changé les options de sa carte bleus. Le 28 janvier à 17h18, le citoyen Martin a voté pour le candidat Poutou.

Si ça n'est pas fait, le premier programmeur venu peut injecter des valeurs en dur dans le programme, la machine peut être trafiquée, le réseau peut être hacké, etc...

Evidemment, ça pose le problème de l'anonymisation du vote. Conclusion : les bulletins papier, c'est très bien.
Avatar de Jon Shannow Jon Shannow - Membre expert http://www.developpez.com
le 05/03/2012 à 11:25
Pensez-vous qu'il est légitime que la police ait plus de visibilité sur l'Internet? Oui, bien évidemment ! Il est important que la loi s'applique à internet.
Partagez-vous les craintes de Schneier concernant la militarisation du Web? Tout à fait. Mais, qui pouvait en douter ?
Que pensez-vous de "Big Data"? Il fallait s'attendre à ça de la part des USA.
Croyez-vous que les professionnels techniques doivent avoir plus de poids politique? Bof. Je ne suis pas sûr que ça changerait grand-chose. Chacun tirerait la couverture vers lui, pour favoriser son intérêt.

Citation Envoyé par grunk  Voir le message
Ca m'a toujours fasciner qu'on puisse devenir ministre de l'éducation sans jamais avoir enseigné ou encore ministre de la santé sans aucune notion de santé publique ...

Heu ! Les exemples ne manquent pas au contraire.
Jospin était prof, il me semble !
Et Roselyne Bachelot est pharmacienne.
C'est justement leur lien avec les professionnels (cas des laboratoires pharmaceutiques pour Bachelot, par exemple) qui font qu'ils ne sont plus impartiales !
Avatar de deathness deathness - Membre émérite http://www.developpez.com
le 05/03/2012 à 13:08
Citation Envoyé par el_slapper  Voir le message
Pour le vote informatique, qu'il soit par machine, par internet, par téléphone, ou que sais-je, la seule solution, à mon sens, de garantir la qualité des restitutions, c'est de faire comme les banques font des traces d'audit : on liste et on enregistre tout ce qui se fait. Le 25 janvier à 9h12, le client Martin a changé les options de sa carte bleus. Le 28 janvier à 17h18, le citoyen Martin a voté pour le candidat Poutou.

Si ça n'est pas fait, le premier programmeur venu peut injecter des valeurs en dur dans le programme, la machine peut être trafiquée, le réseau peut être hacké, etc...

Evidemment, ça pose le problème de l'anonymisation du vote. Conclusion : les bulletins papier, c'est très bien.

Les bulletins sont tout aussi falsifiable. Sauf que c'est bien plus difficile de falsifier significativement!
Le problème d'internet, c'est que si tu trouves une faille tu peux facilement influencer significativement l'ensemble des votes.

Alors que pour le papier, tu peux très facilement falsifier dans un bureau de vote si t'y est, mais c'est tout.
L'impact sera insignifiant: augmenter par exemple de 5% les votes sur un candidat pour le bureau de vote. Et donc relativement que dalle au niveau national. Si c'est plus, ça se remarque et c'est invalidé pour recomptage. Ce genre de situation se produit à chaque élection, mais cela reste donc marginal et non significative.
Avatar de coshibe coshibe - Membre averti http://www.developpez.com
le 05/03/2012 à 16:06
On parle de vote à l'échelle nationale et donc d'une application un minimum sécurisée, ce qui implique qu'on ait des cartes d'identités à puce. Ainsi pour voter il faut un lecteur de carte à puce(chose qui se fait deja en belgique par exemple). Donc un vote veut dire une adresse ip, une location. Donc pour frauder cela devient relativement compliqué.

D'une il faut le faire quand tout le monde a voté car si une personne essaie de voter 2 fois on risque d’éveiller les soupçons. Donc à la fin du vote et avant que l'application ne soit bloqué... ca ne laisse pas beaucoup de temps pour faire passer 200/300k de faux votes, apres avoir récupéré la liste des personnes qui n'ont aps voté bien sur...

Donc si on voulait on pourrait mettre en place un vrai systeme de vote electronique. Mais cela demande des gros moyens et je ne suis aps sur que ca soit nécessaire.

Par contre pour moi un referendum qui coute des millions pour demander oui/non à une question que les gens ne liront pas, parce qu'ils votent à la tete du president ca c'est une depense inutile. Mais je m'egare^^
Avatar de Jon Shannow Jon Shannow - Membre expert http://www.developpez.com
le 05/03/2012 à 16:21
Citation Envoyé par coshibe  Voir le message
Par contre pour moi un référendum qui coute des millions pour demander oui/non à une question que les gens ne liront pas, parce qu'ils votent à la tete du president ca c'est une dépense inutile. Mais je m'egare^^

Heu ! Et le vote pour la constitution européenne, pour lequel quasiment tous les politiques appelaient à voter "OUI", et qui donna un "NON" retentissant, comment tu appelles cela ?

(Par contre, le fait que le président suivant se permette d'annuler le référendum en question pour faire adopter de force ce que les gens ont refusé, là, c'est une belle leçon de démocratie ! Tient, c'est bizarre, mais c'est le même gars qui aujourd'hui promet des référendum pour les sujets de société, s'il est élu ! Remarque, qu'il ne prend pas de risque, vu ce qu'il fait des résultats des référendums. Ha ! On me dit dans l'oreillette, qu'il ne faut pas tenir compte de ce qui a été fait, le mossieur en question aurait complètement changé. )
Avatar de jaaf64 jaaf64 - Nouveau membre du Club http://www.developpez.com
le 07/03/2012 à 8:25
Pensez-vous qu'il est légitime que la police ait plus de visibilité sur l'Internet?

Oui mais dans des limites très encadrées par la loi et certainement pas plus que dans la vie courante. Je n'accepte pas un flic planqué dans mes chiottes ou dans ma chambre à coucher.
Partagez-vous les craintes de Schneier concernant la militarisation du Web?

Tout à fait.
Que pensez-vous de "Big Data"?

Je les regarde avec beaucoup de circonspection et de craintes. C'est d'abord et avant tout la cupidité qui dirige leurs actes (même si ça ne se voit pas directement).
Croyez-vous que les professionnels techniques doivent avoir plus de poids politique?

Pas forcément autant mais un poids significatif, et à la condition que leur indépendance soit totalement garantie.
Offres d'emploi IT
Analyste SI-métier (poste également ouvert aux stagiaires, alternants et VIE du groupe)-(H/F)
Société Générale - Ile de France - Val-de-Marne
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Chargé(e) de mission au CERT Société Générale (H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil