mars 14th, 2013

La Députée Sandrine Doucet (PS, Gironde) rapporte notre éminent confrère Xavier Berne de PC-Inpact, pose une question relative à la complexité des mots de passe utilisés par nos concitoyens. Que, comme le prétend notre confrère, l’idée ait germée après la lecture du dernier rapport de Deloitte ou d’une de ces centaines d’alertes sur la récurrence du fameux 123456 et autres AZERTY, n’a en soi que très peu d’importance. Ce qui ressort de cette question de Sénateur, c’est qu’une fois de plus, un politique prend conscience d’un problème technique excessivement parcellaire et tend à en faire une question de priorité.

Certes, qu’un grand commis de l’Etat s’inquiète du manque de sensibilisation en matière de sécurité informatique est une chose louable. Mais en général, ces attentions relèveraient plus du « coup médiatique » que d’un réel souci d’efficacité. L’on a ainsi entendu, au fil des deux dernières décennies, maints Ministres et Députés s’interroger sur la nécessité du chiffrement des correspondances numériques, sur l’importance d’alertes liées à des vagues de spam/scam et autres escroqueries « électronico-épistolaires », ou encore sur l’impérieuse urgence de vendre auprès de tous l’idée de la sacro-sainte trinité « firewall-antivirus-contrôle parental », seules armes capables de protéger la famille des hordes de cyberpédophiles-violeurs-poseurs de bombes chevauchant le far-west de l’Internet. Séries de dispositions qui, rappelons-le, ont eu pour conséquence un empilement de dispositions juridiques (lopsi, loppsi, LCEN…) souvent considérées comme plus liberticides qu’efficaces. Ceci sans oublier la création de la loi et de la commission Hadopi, qui au lieu de juguler le piratage des œuvres de l’esprit, n’arrivent au final qu’à condamner les particuliers pour « défaut de sécurisation »… autrement dit de le punir pour « délit d’incompétence informatique ».

Bref, les politiques tentent, à périodes régulières, d’apporter une réponse technique à une question technique. Lesquelles questions et réponses, comme tout ce qui touche à la technique, sont rapidement frappées d’obsolescence. Alors pourquoi ne pas prendre le problème par le bon bout et envisager tout simplement de proposer une réponse politique (et donc pérenne) à la question de la cyber-sécurité des cyber-citoyens ?

A commencer, peut-être, par la création d’un CERT grand public, comme cela se fait au sein des principaux pays européens voisins. Ou peut-être en tentant de diffuser des outils simples d’emploi, gratuits et non-obligatoires, adaptés aux besoins du citoyen non technicien. Dispositions d’autant plus nécessaires puisque le « citoyen techno-incompétent » conspué par l’Hadopi, incapable de choisir un mot de passe solide ou un antivirus gratuit et efficace, devient, durant les heures de travail, qui un fonctionnaire, qui un employé de bureau, qui un artisan, qui un chef d’entreprise de grande ou moyenne envergure utilisant généralement force outils informatiques. La fonction créerait-elle une « intelligence de la cyber-sécurité » uniquement durant les heures ouvrables ? Cela est peu probable, et l’on peut, sans trop se tromper, estimer qu’à de très rares exceptions sectorielles (armée, police, justice, corps de métier pour qui la sécurité est un réflexe), le manquement persistant des Gouvernements successifs à traiter le risque à la racine, c’est-à-dire au niveau citoyen, a contribué à la fragilisation des infrastructures d’Etat et de notre Industrie. Avec un Cert Grand Public efficace, un « hack de l’Elysée » via une page Facebook aurait eu considérablement moins de chance de survenir…

Il est grand temps que chaque Français puisse avoir droit à une information non biaisée, objective, dénuée de toute influence commerciale et autres statistiques douteuses. Ce n’est que par une éducation constante et dégagée de toute influence liée à l’actualité que pourront, par voie de conséquence, être consolidés les systèmes d’information des secteurs industriels et des collectivités territoriales. Mais attention, il faut avoir un certain courage politique pour oser se lancer dans une telle aventure sans gloire ni promesse de récompense, pour refuser les succès faciles offerts par les annonces « FUD » (peur-incertitude-doute) qui attirent, le temps d’un 20 Heure, l’attention de quelques médias.

A la mode et gratuit : une nouvelle version de SSL Audit, le scanner SSL/TLS écrit par Thierry Zoller. A télécharger sur le site de l’auteur.

Virus caché et persistant : pourquoi faut-il systématiquement formater un disque dur après une attaque virale importante ? A lire sur le site du Sans l’article rédigé par Mark Baggett (sujet d’une présentation à Schmoocon 2013).

La vente des tickets « early birds » pour la conférence sécurité parisienne NoSuchCon#1 est ouverte depuis le début de cette semaine (http://www.nosuchcon.org/#registration)