Halte à la désinformation, la "brosécurité"

La désinformation est souvent involontaire, et doit être évitée, mais elle est amplifiée par la façon dont les réseaux sociaux sont utilisés. Beaucoup de personnes ne sont tout simplement pas qualifiées pour débattre sur certains sujets, et pourtant ce sont les personnes que l'on entend le plus.

La désinformation moderne a un caractère viral : une fois l'information fausse tranmise à d'autres personnes, elle se répandra forcément, si bien que certains seront convaincus et défendront corps et âme sa prétendue véracité ; sans doute au nom d'une question d'égo, car l'humain est un être d'égo avant tout qui n'aime pas concéder avoir été dans le faux.

La sécurité informatique basée sur l'évidence

Le relativisme est une bonne chose, mais peut être parfois l'ennemi de la véracité. Il y a des faits objectifs, on ne peut pas être "sûr de rien" sans quoi la science ne pourrait jamais avancer : les mathématiques commencent par des postulats, des points de départ évidents et admis (aussi appelés axiomes).

Enfin, et je le répète peut-être à chaque fois, gardez un esprit critique sur tout ce que vous lisez pour éviter d'être à votre tour le vaisseau de la désinformation. Je suis l'auteur de ces lignes, et je ne suis pas omniscient, je vous propose "ma" vérité que je souhaite basée sur l'évidence plutôt que la spéculation et l'idéologie.

Je fais donc également référence à l'evidence-based medicine, autrement dit la médecine moderne, factuelle, celle qui prône les études cliniques randomisées en double aveugle et qui est à l'origine de la pharmacologie moderne également. On peut comparer la sécurité informatique à la sécurité d'un corps humain, au fond : dans des sujets aussi sensibles, le factuel doit donc primer.

Le modèle de menace, souvent négligé

Le modèle de menace est un principe fondamental en sécurité informatique, bien trop souvent oublié lors de débats animés en ligne.

Contre qui souhaitez-vous vous protéger ? De quoi ?
‌‌Jusqu'à quels sacrifices ?

Contrairement à ce que certains pensent, sécurité et vie privée sont intrinsèquement liés : il n'y a pas pire atteinte à la vie privée qu'une intrusion malveillante dans votre système informatique.

Autrement dit, tout est question de compromis. Le risque zero d'une intrusion est difficilement atteignable, mais il peut l'être si vous vivez en autarcie sans connexion quelconque au monde extérieur. À mon sens, tout est question de minimiser ce risque et cela passe par de bonnes pratiques communes : réduire sa surface d'attaque et maintenir à jour son système.

Le mythe de l'open-source garant

L'open-source signifie qu'un code source est ouvert, à la portée de tous. Selon sa licence, il peut être réutilisé de différentes façons (commerciales et/ou personnelles), avec ou sans parentalité associée ; mais dans tous les cas, c'est un code qui peut être consulté tout le monde.

L'open-source a longtemps été vanté comme un gage de sécurité :

  • Un code ouvert peut être audité par n'importe qui, il y a donc de plus fortes chances de détecter des vulnérabilités.
  • Un code ouvert est transparent, donc il est difficile d'y intégrer du code malveillant, comme des portes dérobées par exemple.

Par exemple, les contributeurs du noyau Linux doivent également lever leur anonymat au moment de leur contribution, ce qui ajoute la confiance à la transparence.

Le problème, c'est que cet avantage de sécurité par rapport à un code "fermé" est très souvent théorique. Bien sûr, il faut promouvoir des solutions robustes et ouvertes, mais il ne faut surtout pas associer automatiquement l'ouverture à la sûreté. En réalité, beaucoup de projets open-source sont même très négligeants de la sécurité.

Quelques exemples récents de ce que ça implique :

CVE-2020-13777 GnuTLS audit: be scared - anarcat
CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Blog
The Qualys Research Team has discovered a heap overflow vulnerability in sudo, a near-ubiquitous utility available on major Unix-like operating systems. Any unprivileged user can gain root privileges…

De plus, il est à souligner qu'un code fermé (tout comme une architecture informatique, composée d'un parc de serveurs par exemple) peut être audité de façon transparente et indépendante. Ces mêmes audits "professionnels" existent bien également pour du code ouvert.

Ce premier exemple servira à illustrer l'evidence-based security : des faits plutôt que des croyances. Le libre (et l'open-source en général) est une excellente chose, mais il peut aussi être le Cheval de Troie idéal dans certaines circonstances. Il ne faut jamais baisser la garde.

À venir...

Je comptais tout écrire dans un seul article mais au fur et à mesure de l'écriture, je me suis rendu compte que la longueur allait être sub-optimale quant à l'accroche du lecteur et son intégration des informations.

Je vais donc proposer au cours de ce mois plusieurs articles de taille modérée qui traiteront un sujet unique. Nous allons aborder prochainement :

  • La sécurité, ou plutôt l'insécurité, du versant desktop de Linux
  • L'état actuel du modèle de sécurité mobile (Android, iOS, "Linux phones")
  • Le rôle du chiffrement, et les enjeux liés à la révolution quantique
  • Recommandations générales d'hygiène numérique (navigateurs, extensions, DNS, OS, "défenses proactives", etc.)

On peut considérer le précédent article sur les VPN comme une partie de cette série. Donc si cela vous intéresse, je vous y réfère :

Les VPNs et leur mésusage
Les VPN sont aujourd’hui des outils bien connus du grand public. Leur intérêt est toutefois questionnable, et leur usage est souvent loin d’être optimal.

Ma relation à la sécurité informatique

Je m'intéresse à la sécurité informatique depuis mon plus jeune âge. Je dévorais des bouquins à ce sujet et m'amusais comme tout bon script kiddie avec certains outils pour faire quelques bêtises (jamais rien de méchant !) à l'époque où Kali Linux s'appelait encore BackTrack.

Je ne m'intéressais pas seulement à l'attaque, mais aussi (et surtout maintenant) à la défense, que ce soit sur mon PC Windows, mon Macbook, mon iPad, mon smartphone Android ou encore mon serveur Linux (j'ai d'ailleurs longtemps utilisé Linux sur desktop, mais ce n'est plus le cas depuis des années). J'essaie donc d'être impartial et je m'intéresse aux bonnes pratiques universelles, peu importe la plateforme sous peu qu'elle soit moderne.

Ce long travail de veille technologique sur la sécurité est continuel, mais je souhaite en partager un instantané partiel.