Connexion
C’est quoi la sécurité informatique ?
Repasse-moi cette bouteille de lait
La sécurité informatique n’existe pas. Ou n’existe plus. Il fut un temps (lointain) où il était possible de rendre un système informatique à peu près sûr, mais ce temps-là a disparu, au gré de la complexification exponentielle de nos systèmes.
Quand on fait de la sûreté des systèmes (au sens large, pas seulement informatique, la sûreté est l’assurance qu’un système fait correctement ce qu’il doit faire, ce qui implique aussi de le faire en toute sécurité), on nous apprend très vite que la fiabilité globale d’un système est égale à celle du composant le plus faible : lorsque, dans une chaîne, un des maillons se brise, la chaîne ne remplit plus son rôle.
Tout au plus peut-on réutiliser les petits bouts encore intacts pour certains usages, mais certainement pas pour l’usage initial. Imaginez une chaîne servant à fermer une porte ou un grillage avec un cadenas de haute qualité. Si la chaîne se brise, et même si le cadenas est intact, la porte pourra être ouverte.
L’informatique contemporaine est un infâme « accumoncellement » de chaînes de plus en plus longues, composées de maillons de plus en plus fragiles, puisqu’étant eux-mêmes des chaînes complexes, etc. Au risque de passer pour un vieux con (je regrette le temps où on pouvait me traiter de jeune con), l’équivalent des premiers systèmes d’exploitation pouvaient tenir en quelques kilo-octets (si, si) et donc pouvaient quasiment être validés formellement (le Graal en sûreté informatique).
Comptez les lignes de codes pour Windows ou Linux : on navigue désormais sur des dizaines de millions de lignes. Pour un attaquant, il suffit d’une erreur, alors que le défenseur quant à lui n’a tout simplement pas droit à l’erreur : cette loi n’est encore une fois pas spécifique à l’informatique, mais la complexité croissante ne confine guère à l’optimisme.
De quoi en pousser certains à la technophobie pour lutter contre cette complexification à outrance… Oui, ça fait toujours bizarre d’entendre un spécialiste informatique dire qu’il est technophobe, n’est-ce pas Ferd ?
Plus sérieusement, faute de pouvoir prendre des mesures coercitives, douloureuses et autoritaires, il faut faire avec. Et c’est bien là tout le sujet : on ne sécurise pas un système informatique (au sens où on le rend sûr et inattaquable), car ça devient impossible. Non, on gère les risques liés à l’utilisation des systèmes informatiques.
Par ailleurs, le crime suit l’usage : plus l’informatique sert à des activités importantes ou ayant de la valeur, plus cela va intéresser les petits malins et les grands criminels. Nous voilà donc avec un cocktail explosif : des menaces à profusion (un monde plein de malfaisants) et des systèmes hypercomplexes (présentant des vulnérabilités).
