Magazine High tech

Mais où est la culture de la sécurité dans les produits technologiques?

Publié le 17 août 2016 par _nicolas @BranchezVous
Mais où est la culture de la sécurité dans les produits technologiques? Exclusif

Si vous n’avez pas suivi la scène de la sécurité ces derniers temps, vous allez vous rapidement vous rendre compte que nous sommes dans la chenoute. La grosse chenoute.

Ouais, disons que les dernières semaines ont été particulièrement décourageantes en ce qui concerne la sécurité. Pendant que vous preniez vos vacances – vachement méritées en passant – des spécialistes de la sécurité de l’information s’en donnaient à cœur joie pour défaire la sécurité de certains systèmes.

J’ai essentiellement trois cas pour vous.

La chaleur monte

Tout d’abord, je vous ai maintes fois mentionné mon appréhension pour l’Internet des objets et la crainte de voir ces technologies exploitées par des individus malintentionnés. Eh bien, ce n’est pas pour me vanter, mais j’avais comme un p’tit peu raison. Lors du DEF CON qui vient tout juste de se terminer, des hackers ont créé un rançongiciel s’attaquant spécifiquement à des thermostats connectés.

Le genre de message que vous ne voulez surtout pas voir (Photo : Ken Munro).

Le genre de message que vous ne voulez surtout pas voir (Photo : Ken Munro).

Grosso modo, le maliciel bloque la température à 99 degrés Fahrenheit (37,22°C) jusqu’à ce que l’utilisateur verse un Bitcoin (environ 550$ US actuellement) aux attaquants. Du beau gros fun en devenir je vous jure! J’ai hâte de voir les hôpitaux et les CHSLD qui vont devoir composer avec ce genre d’attaques.

Ça va (encore) mal chez Volkswagen

Ensuite, si vous ne l’aviez pas vu, bien la sécurité de millions de véhicules est à risque depuis qu’un groupe de chercheurs en sécurité a prouvé que la sécurité cryptographique des systèmes de déverrouillage de porte des voitures Volkswagen est, disons, pas mal déficiente.

Un exemple d'un Arduino équipé d'un récepteur radio (Photo : Wired).

Un exemple d’un Arduino équipé d’un récepteur radio (Photo : Wired).

À quel point déficiente? Au point où toutes les voitures construites depuis 1995 pourraient être déverrouillées avec un bidule à 40$. Sans commentaire.

Lorsque les pirates sont tout ouïe

Finalement, mentionnons cette nouvelle qui est littéralement à glacer le sang. Des individus malintentionnés pourraient éventuellement voler les données d’un PC en écoutant le bruit que fait un disque dur. C’est un chercheur israélien qui en est venu à cette conclusion en faisant état de ses travaux de recherche.

Bon, «heureusement», le tout est limité à une distance de 6 pieds (un peu moins de 2 mètres), mais cela demeure un type d’attaque qui fera assurément saliver bon nombre d’agences d’espionnages.

Une solution?

Je sais ce que vous pensez. Vous êtes en train de vous dire : «C’est ben beau Gagnon, mais tout ce que tu fais, c’est nous faire peur. Donne-nous des solutions!»

La vaste majorité des produits technologiques présents sur le marché sont pensés en fonction de leurs usages et fonctionnalités.

Si j’en avais, je serais probablement richissime et en train de dire des niaiseries dans une élection. Donc, non, je n’en ai pas de toutes faites. Et, de toute façon, il n’y en a probablement pas de manière tangible. Comme je m’évertue à le dire, la sécurité parfaite n’existe pas et n’existera jamais. Cependant, toutes ces failles sécuritaires seraient assurément diminuées si une chose avait été prise en considération : introduire une vision de sécurité dans la base même de l’échafaudage de ces produits. Je m’explique.

La vaste majorité des produits technologiques présents sur le marché sont pensés en fonction de leurs usages et fonctionnalités. C’est par la suite que la couche de sécurité est apposée. On cherche ainsi à conserver ces usages et fonctionnalités, tout en tentant de limiter les dégâts possibles au cœur d’un objet technologique en mettant des serrures sur des portes. Cependant, la solution devrait plutôt résider dans une logique inverse : peut-on essayer de voir s’il est possible de diminuer au maximum le nombre de portes, avant même de penser leur attribuer des serrures?

tropdeportes

Alors que la pensée de sécurité arrive actuellement dans les phases ultérieures d’un développement, elle devrait faire partie du design même d’un produit technologique. Le tout devrait être fait en amont, au début même des balbutiements d’un produit quelconque. Ce qui permettrait, à la base, d’avoir les garde-fous empêchant certaines actions.

Certes, ça nuirait probablement à certains usages et certaines fonctionnalités, mais ça permettrait assurément que l’on se retrouve devant quelques situations comme celles décrites plus haut. En imposant la vision de sécurité dans processus de conception, on assure ainsi que l’ensemble de la «chaîne de production» est au fait des problématiques en devenir.

Dans cette optique, les spécialistes de la sécurité ne seraient donc plus des emmerdeurs tentant de limiter la portée de certaines options présentes alors qu’un produit est avancé, mais feraient plutôt partie prenante de l’échafaudage complet du produit.

Cela est d’autant plus pertinent que la sécurité est en grande partie liée à un design bien fait. Montrez-moi une mesure de sécurité dont le design est déficient et je vous montrerai une mesure de sécurité que les utilisateurs tenteront d’outrepasser. Quand le garde-fou devient trop difficile à gérer pour l’utilisateur moyen, il tente tout simplement de l’outrepasser. De là l’importance d’avoir un processus industriel bien ficelé où la culture de sécurité est bien présente.


Vous pourriez être intéressé par :

Retour à La Une de Logo Paperblog

Ces articles peuvent vous intéresser :

A propos de l’auteur


_nicolas 159485 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte

Magazine