Sécurité informatique

Il y a des enjeux majeurs délaissés des pouvoirs publics qui n’ont pas eu le réflexe ni la connaissance nécessaire, particulièrement tout ce qui concerne l’informatique, le numérique, les réseaux, et particulièrement l’enfumage et l’enculade professionnelle. On y est, la psychologie aussi, et ses problèmes d’induction et d’aimantation possible vers des auto-tortures et auto-prisons de l’esprit. Elles se produisent presque sous l’aval du gouvernement et du peuple qui ne comprennent pas ce qui leur arrive.

On voit, dans les séries, des zooms sur le dos d’une cuillère du dos d’une cuillère, des policiers petits spécialistes de la saisie des mots de passe, des ordinateurs qui cassent les clés de cryptage.

En réalité, les cryptages basés sur les certificats sont généralement inviolables et inviolés. Voir mon article sur les certificats de sécurité. Il faudrait plusieurs durées d’univers complets pour qu’un ordinateur puisse décrypter ces clés de cryptage.

Les mots de passe saisis suivant les règles sûres non plus. Bon, il y a tout de même les bonnes pratiques pour choisir son mot de passe, et les méthodes pour les déduire.

A savoir : Le logiciel par lequel on entre par un mot de passe peut utiliser des technologies tel que la pause après la saisie d’un mauvais mot de passe, le faux avis d’échec de la saisie lors d’une saisie d’une série de mauvais mots de passe et d’autres…

L’insécurité informatique vient parfois des portes dérobées, parfois ouvertes pour la justice elle-même, mais surtout habituellement des failles de sécurité, toutes ces petites zones laissées libres d’accès auxquelles on n’a pas pensé.

On n’a pas pensé par exemple à faire des pages Internet et des Mails qui permettent de contrôler autrement qu’à l’œil les messages qui tentent sous une apparence officielle de nous pousser au petit clic final fatal.

Si on veut éviter le mimétisme, il nous faut des signaux d’identification totalement et assurément inaccessibles par le simple dessin à l’écran.

J’attends toujours les mails qui contiendront un lien automatiquement vérifié vers leur version en ligne avec un certificat d’identité parmi les plus sûrs, tel celui de l’Identité Numérique de La Poste. Ou l’affichage du cadenas et sa société aussi sur le texte du lien.

Ou un outil de La Poste qui permet de partager des courriers officiels identifiés, assurés, classés et non modifiables, ou alors avec versions.

Le circuit d’identification sûr des circuits tribaux des réseaux est quelque chose qui manque aux outils de l’avenir, je le sais. Dans l’avenir, il sera un peu trop facile de simuler un être, ne serait-ce qu’avec des formes de reprographie dynamique.

Anonymous et la liberté d’expression voudraient revendiquer l’anonymat, pourquoi pas, mais avec beaucoup moins de droits, de pouvoir et de possibilités d’organisation tant qu’on ne s’est pas identifié dans ce cas. Un niveau intermédiaire est l’acquisition d’un pseudonyme, mais il faut connaître à quoi il est relié assurément. Mais on ne peut ignorer qu’il y a tout un gouffre entre les deux mondes.

iPhone y a pensé, rien ne s’installe jamais hors de son Apple Store. Ça marche.

Windows 8 a repris le pas avec son Windows Store et son bac à sable, désormais, on passe là par des applications qui n’ont aucune possibilité de ne pas respecter des règles d’accès aux périphériques, au disque, et aux autres ressources. On les y autorise au compte-goutte, en fonction des besoins, ayant été averti du besoin que nous comprenons, ou non. Là aussi, les principales formes de sécurité sont respectées. Mais sous Windows, le bac à sable ne gère pas assez de cas, ne permet aucune autorisation d’accès à une ressource grande ouverte, ce qui fait que de nombreux logiciels sont encore obligés de passer par une installation non sécurisée, il suffit d’écrire un logiciel qui s’installera hors du Windows Store. Genre DropBox, iTunes, anti-spam, ou programme de copie régulière…

Les explorateurs d’Internet permettent de visiter le monde entier, et doivent être particulièrement sécurisés. En plus d’être différents selon l’éditeur, le système d’exploitation et la version, ce qui requiert des sites testés et adaptés à chacune de ces plateformes, chacune peut ou non installer des outils supplémentaires. Maintenant on évite ces extensions, car autant Windows installe régulièrement des mises à jour sécurisées par Microsoft, autant chacun de ces outils tiers peut contenir et contient des failles de sécurité, qui, à la charge de l’éditeur tiers, rendent caduque toute sécurité développée par l’éditeur de l’explorateur.

La faille de sécurité de Mai puis Juin 2017 se situait dans les outils de gestion des postes en parc en entreprise, mais venait aussi de la manière dont les entreprises installent les mises à jour Microsoft, souvent avec un temps de latence. Si elles veulent les vérifier, autant qu’elles se regroupent afin de faire des séquences plus rythmées.

Il semblerait que nos ordinateurs personnels soient désormais pas trop mal sécurisés grâce à Microsoft et Apple.

Attention : Cela signifie que c’est vous qui êtes responsables lors de l’ouverture d’un mail d’un répliquant, lors du fameux petit clic final fatal, ou lors de l’installation d’un logiciel parti à la grande aventure hors du bac à sable. Attention aussi ne pas passer par les sites de téléchargement de logiciels. Il faut toujours passer par le site de l’éditeur. Et installer le meilleur anti-spam anti-virus : Nod32, en tout cas pas Norton, effet 2 Chevaux garanti depuis des lustres.

Et on évite difficilement l’une de ces 2 failles. J’ai 2 amis différents qui connaissaient 2 hackers différents qui ont joué avec lui à « Je te parie que je peux pénétrer ton ordinateur chez toi d’ici ». Et les 2 hackers ont tous les 2 gagné.

De même, un ami connait un directeur de banque qui a missionné un hacker professionnel pour tester la sécurité. Il a pu pénétrer un peu jusqu’à 80% des ordinateurs. Certaines banques cachent leurs failles. Le test de vulnérabilité est un bon test. Le contrôle des IP émettrices est la meilleure solution.

De même que dans l’émission Cash Investigation, Elise Lucet a demandé à une école d’anti-hackage de pénétrer l’ordinateur d’un collègue à Paris. Ils lui ont juste demandé d’installer une ancienne version d’Internet Explorer, et ils ont pu le filmer sans qu’il le voie, l’écouter, regarder le contenu de son écran et de son disque dur.

En ce qui me concerne, Microsoft m’a signalé le même jour deux tentatives de pénétration de mon compte par le bon mot de passe par des personnes se situant à Orange et à Biarritz.

Apple m’a signalé le jour où j’ai ajouté une sécurité sur mon compte qu’un ordinateur d’un type que je n’ai pas à Lille utilisait mon compte. Et, tout en travaillant à Roland-Garros comme chaque année, grâce à cette sécurité, j’ai appris qu’un ordinateur inconnu dans ville parisienne n’avait pas pu se connecter après avoir tapé le bon mot de passe. Pour Microsoft comme pour Apple, le mot de passe était inviolable, jamais écrit nulle part, et non lisible à l’écran.

Chez mon hébergeur pas cher, mon site a été pénétré plusieurs fois jusqu’à ce que je leur demande de changer tous leurs mots de passe administrateur. Puis depuis plus rien.

Du coup je suis passé chez l’hébergeur Ikoula, et là, ce fut pénétration sur pénétration. Ils n’ont jamais voulu changer leur mot de passe. Pourtant, mon site était simple, il n’y avait pas de faille, cette fois-ci j’ai inventé des mots de passe hyper-complexes tapés en frappant dans tous les sens, je ne l’ai même pas lu ni stocké.

L’intrusion, on aurait dit une simulation d’intrusion informatisée, mais qui en savait trop pour ne pas avoir étudié la question. C’était des bouts de scripts HTML insérés en base. Avec un ami, nous avons constaté que ces scripts renvoyaient vers un autre site. Dans la redirection, un sous-sous répertoire d’une banque, il n’y avait qu’un dessin d’enfant, mais très très rarement, nous constations que le message se transformait en captation d’informations disponibles dans le navigateur, tant que possible, ceux-ci étant plus bavards à l’époque. On profitait de la répétition de ce script sur ma page pour, de façon camouflée, essayer de détecter qui lisait mon site.

Il s’est aussi produit de petites transformations afin de, en un tout petit minimum de modifications, rendre mon site inefficace à la lecture.

Maintenant, je suis chez Microsoft et ça va.

L’amie de mon père a reçu un message d’une connexion à Facebook sur son ordinateur alors qu’on était au restaurant. Moi, j’ai reçu un appel de chez moi pendant que j’assistais à Salut Les Terriens. A noter aussi que trois de mes Tweets se sont transformés en plein milieu de l’ensemble, à moins qu’on ait recréé l’écart de temps, car je les avais relus plusieurs fois, afin de faire supposer une situation politique qui n’est pas la mienne ou de cacher d’autres tweets, avec des messages décrivant purement le fonctionnement de la droite, ce qui n’est même pas mon style de messages, j’avais dédié ma boucle de Tweets à un usage très précis dont ils ne se sont pas aperçus.

Cela remet selon moi en cause le vote électronique. A moins qu’on ait moyen de vérifier chez soi sur informatique le vote qui a été enregistré pour nous, donc avec conservation sur le réseau. Par exemple déjà, les banques sont capables d’enregistrer le mot de passe en le découpant avec un certificat de sécurité sur chaque bout, ce qui fait que seul vous êtes capables de le décoder. La sécurité, c’est soit de faire simple, soit de faire complexe.

J’ai un exemple, lorsque j’ai passé un test Microsoft, j’ai eu la note minimum très exactement, malgré un très grand nombre de critères, alors que j’avais pu détecter non pas avec mon savoir mais aussi avec ma logique à priori toutes les questions. Comme si une décision avait poussé à me donner une note d’office ou bureaucratique. J’ai bien vu l’homme qui a pris en photo la palissade de travaux pile au moment où je passais, juste à la sortie. Une note qui ne sort pas de l’office d’examens, dont c’est le résultat qui compte.

Cela me rappelle le mois où Dieu a commencé à se faire connaître à moi. Il jouait à des jeux de taquinerie, par exemple, lorsque j’allumais ma calculatrice en panne, il répondait à mes questions dans la tête soit en affichant 1, soit en affichant un zéro. A un moment, à un chiffre près, elle a affiché le mot SOLEIL bien connu des mathématiciens. Ce chiffre était parlant lui aussi.

Print | posted on Friday, July 6, 2018 12:40 AM

Feedback

No comments posted yet.

Your comment:





 
Please add 5 and 6 and type the answer here:

Copyright © Frédéric Decréquy

Design by Bartosz Brzezinski

Design by Phil Haack Based On A Design By Bartosz Brzezinski