25 mars 2018

Qu’est-ce-que la sécurité

Bonjour,

Je voudrais aujourd’hui, vous parler de la sécurité et de ce qu’elle implique. Un président américain (Benjamin Franklin) disait « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. » .

En réalité, on parle souvent sans définir ce dont on parle. On parle de sécurité et lorsque l’on demande ce que c’est, on nous répond « mais, tu sais bien… ». Non, je ne sais pas. La sécurité peut avoir de nombreux visages. La sécurité, ce peut-être :

  • Se protéger d’un ennemi mais il faut alors, définir l’ennemi.
  • Garantir un état des choses, mais il faut alors, donner un délai, car rien n’est immuable.
  • Se protéger d’accidents mais il faut alors, définir ces accidents potentiels.

La sécurité n’est jamais absolue

Le mot sécurité fait penser à un absolu. Si une zone est sécurisée, il n’y a plus aucun danger. C’est la promesse du mot. Mais rien n’est absolu sur cette Terre, et ce n’est donc qu’une promesse.

Prenons l’exemple de la sécurité avec le WIFI. Beaucoup de connexions vous demandent un mot de passe pour des raisons de sécurité. Mais il y a plusieurs formats de mot de passe, pourquoi ? Les premiers mots de passe étaient des clefs WEP, mais aujourd’hui une clef WEP se découvre (avec des outils adaptés) en 5 minutes. La sécurité était donc illusoire et il a fallu inventer le WPA… Mais cela n’était pas encore suffisant… Il y a eu le WPA2, et cela continuera. Donc le mot de passe vous protège, mais pas de façon absolue. C’est comme la porte de votre maison, malgré tous les verrous un voleur qui le veut vraiment, peut vous cambrioler.

Une sécurité absolue n’existe donc pas, et ce que nous appelons sécurité est en fait un ou des obstacles que nous mettons en place pour qu’une personne mal intentionnée ne réussisse pas, ou qu’un accident ne survienne pas. C’est pourquoi aucune entreprise ne vous garantira que ses outils fonctionneront à 100%. Ce qu’une entreprise promet, c’est les efforts qu’elle consentira pour qu’aucun problème ne survienne et pour vous tirer d’affaire si un événement imprévu arrive.

Dans mon précédent travail, il m’arrivait de travailler dans des centres serveurs extrêmement sécurisés. Il fallait des badges pour passer des sas, il y avait des portes coupe-feu, des onduleurs qui faisaient tout un étage en cas de coupure de courant, des groupes électrogènes pour pallier les problèmes des onduleurs (en cas de coupure de plus de 20 minutes), des alimentations générales doublées avec deux centrales électriques. Et bien, nous avons eu un cas où les deux alimentations ont été coupées, l’onduleur a fonctionné, mais la coupure a duré plus de 20 minutes et le groupe électrogène ne s’est pas lancé… Il n’y a pas de sécurité absolue.

L’humain et la sécurité

De plus les portes coupe-feu sont très ennuyeuses. Lorsque vous avez un serveur de 20 kg dans les bras, ces portes sont des obstacles. Alors vous mettez un extincteur pour bloquer la porte… Et il n’y a plus de porte coupe-feu. Réfléchissez, cela arrive tout le temps. Les mots de passe nous ennuient tous ! Combien de mots de passe se baladent, collés sur un PostIt, ou rangés dans un tiroir ? N’avez-vous jamais utilisé le compte de quelque d’autre ?

Si l’on ne pense pas à la facilité d’utilisation, on crée des bugs humains. Pour qu’une sécurité fonctionne il faut que les hommes y adhèrent.

Si les hommes ne voient pas l’utilité de la sécurité, ils essaieront de la contourner. Si vous avez le sentiment que les procédures mises en place sous couvert de sécurité ont d’autres buts, vous n’accepterez pas ces procédures. Je ne parle pas ici d’esprits révoltés, d’actions contre les procédures et le système, mais juste de la volonté humaine d’aller au plus simple. Si les connexions par mot de passe sont trop complexes, tout le monde utilisera le même.

Pour que le système de sécurité fonctionne sans l’adhésion des personnes qui l’utilisent, il faut mettre en place de la coercition. Vous obligez ainsi les agents du système à suivre les procédures et la sécurité augmente pendant quelque temps. Mais certains n’aiment pas la contrainte, et ils vont devenir de plus en plus véhéments contre le système, jusqu’à le saboter lorsqu’ils en auront l’occasion, ce qui ne manquera pas d’arriver.

L’adhésion des utilisateurs d’un système de sécurité est donc vitale pour ce système. Si vous n’arrivez pas à avoir l’adhésion des utilisateurs, votre sécurité périclitera à coup sûr.

L’ennemi

Maintenant que nous avons fixé que la sécurité ne peut pas être totale et que l’humain doit être en son centre, intéressons-nous aux buts de la sécurité.

Comme nous l’avons défini plus haut, la sécurité peut-être mise en place pour se protéger d’un ennemi. Par exemple une entreprise ne veut généralement pas que ses concurrents puissent avoir ses plans de projets de développement, il faut donc mettre en place une sécurité pour éviter que ces plans ne sortent des laboratoires de recherche.

Mais qu’en est-il de nos données personnelles ? Qui sont nos ennemis ? J’en vois plusieurs…

  1. Des connaissances qui nous veulent du mal.
  2. Les entreprises qui utilisent nos données pour nous vendre des choses.
  3. L’état pour nous surveiller et/ou nous manipuler.

Est-ce-que le nouveau règlement européen RGPD nous protège ?

Pour le point un, le RGPD n’en parle pas car il ne parle que de traitement, en fait d’opérations par lot, de bases de données, de fichiers. A titre personnel en plus, vous pouvez faire vos propres fichiers sans crainte (heureusement, sinon il faudrait un responsable des données pour la liste de vos amis). Ce n’est donc pas le RGPD qui vous protègera de l’utilisation de vos données personnelles par une autre personne qui vous voudrait du mal. Si il y a harcèlement, la loi s’appliquera et vous pourrez porter plainte, mais cela ne concerne pas le RGPD.

Pour le point deux, le RGPD est mis en avant par les médias. Effectivement, le RGPD parle beaucoup de la protection des traitements faits sur vos données, mais un élément très important est passé sous silence, la libre circulation des données. En effet, la libre circulation des données n’est ni limitée ni interdite pour des raisons de protection des données. En clair, lorsque l’on reproche à FaceBook d’avoir vendu des données personnelles de 50 millions d’utilisateurs on est de mauvaise foi. FaceBook avait le droit avant le RGPD, et l’aura encore plus après, de vendre vos données personnelles ! C’est même ça son business. Et le RGPD règlemente la circulation des données personnelles en disant qu’elle doit être libre, sans limite et sans restriction, même si vos données sont en jeu. Il est évidemment impossible de protéger les données personnelles des citoyens si ces mêmes données sont en vente libre.

Pour le troisième point, la surveillance étatique n’est peut-être pas une peur du citoyen en France, pourtant il y a de plus en plus de surveillance. Que dit le RGPD sur ce sujet ? Principalement, il donne des autorisations spéciales aux administrations pour que les règles de protection de données soient assouplies. Il organise les échanges entre administrations, entre administrations de pays différents, et surtout une libre circulation des données des administrations nationales ou des entreprises vers les administrations européennes. Nous avons donc ici une mise en place d’une possible surveillance de masse par l’union européenne. En clair le RGPD ne nous protège pas de la surveillance de masse par les états ou par les instances européennes.

Garantir la constance

Lorsque l’on a un projet, rien n’est plus agréable que de commencer avec des éléments sûrs. La constance du système (politique, monétaire, législatif, etc.) est le premier travail de l’état. La constance d’un système permet de se projeter dans l’avenir et donc de s’investir.

En informatique, nous avons besoin de savoir si nos données seront utilisables dans le futur, si nos applications continueront à fonctionner, si nous n’allons pas perdre tout le travail accumulé.

Ceux qui avaient investi dans le Newton d’Apple, ont été déçus, le Newton a été abandonné par Apple. Ceux qui ont acheté des téléphones Windows, sont déçus. Ceux qui utilisaient iWeb n’ont plus de mises à jour. Ceux qui croyaient en Yahoo! n’y croient plus. Même dans l’open source, des projets périclitent. Il n’y a jamais de garantie.

La RGPD traite de ce sujet de la seule façon possible via son article 20 « Droit à la portabilité des données ». On ne peut pas être sûr qu’une application reste valable ad vitam aeternam, mais on peut demander à ce que les données personnelles puissent être extraites dans un format facilement lisible.

Les accidents

Lorsque vous prenez une assurance maladie, cela ne vous garantit pas que vous ne serez pas malade ! Mais que vous aurez une aide si un pépin vous arrive. Cependant, vous regardez avant de traverser, vous ne laissez pas votre enfant de 5 ans jouer avec la tronçonneuse, etc… En informatique, c’est pareil.

Le RGPD (article 24) demande aux entreprises qui ont des données personnelles de mettre en place des sécurités pour ces données. Cela implique qu’il y ait une politique pour sécuriser les données stockées et pour sécuriser les traitements de ces données. Cela va évidemment coûter beaucoup aux entreprises mais va améliorer les processus.

Pour l’utilisateur, c’est cependant un peu inutile. Effectivement, il sera heureux d’apprendre que ses données sont protégées par l’entreprise, mais comme dans le même temps le RGPD donne le droit à cette même entreprise de vendre les données comme bon lui semble… Les risques sont, me semble-il, bien plus grands de voir des données utilisées contre votre gré si elles circulent librement entre entreprises, plutôt que de voir des données volées puis utilisées (auquel cas la loi est là pour punir les voleurs).

Conclusion

La sécurité est un sujet complexe et simple à la fois. Si l’on veut sécuriser quelque chose il faut d’abord savoir de quoi l’on a peur. Le RGPD, bien que présenté comme une avancée dans la protection des données, me semble dangereux pour nos données à cause de la libre circulation de celles-ci. Il implique tout de même une prise de conscience obligatoire par les entreprises, ce qui ne peut pas faire de mal, mais ne nous protège réellement pas pour autant.

Pour protéger des données, il ne faut pas qu’elles circulent librement, c’est pourquoi mes applications gardent les données dans l’appareil. Mes applications fonctionnent sans aucune connexion internet assurant par la même le plus haut niveau de sécurité possible.

Je continue cependant à être victime d’incompréhension, car toutes les entreprises fonctionnent maintenant sur des modèles connectés, et personne ne comprend pourquoi je fais les choses à l’ancienne alors qu’un modèle client-serveur m’assurerait un revenu régulier et des clients captifs. Ma philosophie est qu’il faut laisser la porte de la cage ouverte pour que l’oiseau se sente libre de partir et de revenir. Et je la laisse volontairement ouverte !

Emmanuel CROMBEZ