Après les « IT Managers » qui détournent des centaines de milliers de dollars en équipements, ou celui-ci qui chiffra par dépit les disques de la municipalité de San Francisco, voici, nous apprend ComputerWorld, l’administrateur-pirate qui tente de détourner argent et informations des disques de son ancien employeur. A croire qu’Outre-Atlantique, la douceur des méthodes des chefs du personnel est inversement proportionnelle au niveau de sensibilité de l’entreprise concernée. Dans le cas présent, il s’agissait des données appartenant à un fond de pensions, établissement dont le caractère spéculatif a provoqué la crise financière que l’on sait.
Un homme, cependant, s’interdit de tirer sur le pianiste. La « culpabilité évidente de l’insider » est un cas trop souvent agité, une thèse bien pratique pour les gagne-petit de la sécurité. Car c’est là, explique Richard Bejtlich, une façon bien pratique de focaliser les attentions sur une personne que l’on peut contraindre, accuser, condamner. Il faut en finir avec le mythe du « 80 % de la cyber-délinquance provient de l’intérieur » », dit-il. C’est un prétexte pour mieux masquer les milliers d’attaques qui nous viennent de l’extérieur, et contre lesquelles il est bien difficile de trouver l’origine. Pas de visage, pas de nom, pas même parfois d’indice, nul mobile personnel autre que le profit, aucun lien avec la victime –si ce n’est un intérêt commun pour la préservation des failles connues-, l’attaquant extérieur met d’autant plus mal à l’aise qu’il est insaisissable. C’est une autre façon de considérer l’un des « principes de Schneier » : l’on aime à surestimer les dangers que l’on connaît et sous-estimer ceux que l’on ignore. Corolaire de cet axiome douteux : l’on aime à légiférer et encadrer les dangers potentiels que l’on se sent capable de toucher du doigt, et laisser dans un vide abyssal les crimes que l’on sait ne pouvoir punir. C’est avec ce genre de syllogisme que l’on risque d’entraver chaque jour un peu plus les RSSI, admins, CSO et autres responsables IT, qui, submergés de « politiques, règles de fonctionnement, principes de précaution et mesures de prudence conservatoires », passent plus de temps à éviter de faire ce qui est interdit que de pratiquer leur propre métier.
C’est là, bien entendu, une vision très exagérée, très caricaturale du problème. Mais guère plus caricaturale que celle qui consiste à dire « encore un admin corrompu ».