Il y a des enjeux majeurs
délaissés des pouvoirs publics qui n’ont pas eu le réflexe ni la connaissance
nécessaire, particulièrement tout ce qui concerne l’informatique, le numérique,
les réseaux, et particulièrement l’enfumage et l’enculade professionnelle. On y
est, la psychologie aussi, et ses problèmes d’induction et d’aimantation
possible vers des auto-tortures et auto-prisons de l’esprit. Elles se produisent
presque sous l’aval du gouvernement et du peuple qui ne comprennent pas ce qui
leur arrive.
On voit, dans les séries, des
zooms sur le dos d’une cuillère du dos d’une cuillère, des policiers petits
spécialistes de la saisie des mots de passe, des ordinateurs qui cassent les
clés de cryptage.
En réalité, les cryptages basés
sur les certificats sont généralement inviolables et inviolés. Voir mon article
sur les certificats de sécurité. Il faudrait plusieurs durées d’univers complets
pour qu’un ordinateur puisse décrypter ces clés de
cryptage.
Les mots de passe saisis suivant
les règles sûres non plus. Bon, il y a tout de même les bonnes pratiques pour
choisir son mot de passe, et les méthodes pour les
déduire.
A savoir : Le logiciel par lequel on entre par un mot de passe
peut utiliser des technologies tel que la pause après la saisie d’un mauvais mot
de passe, le faux avis d’échec de la saisie lors d’une saisie d’une série de
mauvais mots de passe et d’autres…
L’insécurité informatique vient
parfois des portes dérobées, parfois ouvertes pour la justice elle-même, mais
surtout habituellement des failles de sécurité, toutes ces petites zones
laissées libres d’accès auxquelles on n’a pas
pensé.
On n’a pas pensé par exemple à
faire des pages Internet et des Mails qui permettent de contrôler autrement qu’à
l’œil les messages qui tentent sous une apparence officielle de nous pousser au
petit clic final fatal.
Si on veut éviter le mimétisme, il nous faut des signaux
d’identification totalement et assurément inaccessibles par le simple dessin à
l’écran.
J’attends toujours les mails qui contiendront un lien
automatiquement vérifié vers leur version en ligne avec un certificat d’identité
parmi les plus sûrs, tel celui de l’Identité Numérique de La Poste. Ou
l’affichage du cadenas et sa société aussi sur le texte du
lien.
Ou un outil de La Poste qui permet de partager des courriers
officiels identifiés, assurés, classés et non modifiables, ou alors avec
versions.
Le circuit d’identification sûr
des circuits tribaux des réseaux est quelque chose qui manque aux outils de
l’avenir, je le sais. Dans l’avenir, il sera un peu trop facile de simuler un
être, ne serait-ce qu’avec des formes de reprographie
dynamique.
Anonymous et la liberté
d’expression voudraient revendiquer l’anonymat, pourquoi pas, mais avec beaucoup moins de
droits, de pouvoir et de possibilités d’organisation tant qu’on ne s’est pas
identifié dans ce cas. Un niveau intermédiaire est l’acquisition d’un
pseudonyme, mais il faut connaître à quoi il est relié assurément. Mais on ne
peut ignorer qu’il y a tout un gouffre entre les deux
mondes.
iPhone y a pensé, rien ne
s’installe jamais hors de son Apple Store. Ça
marche.
Windows 8 a repris le pas avec
son Windows Store et son bac à sable, désormais, on passe là par des
applications qui n’ont aucune possibilité de ne pas respecter des règles d’accès
aux périphériques, au disque, et aux autres ressources. On les y autorise au
compte-goutte, en fonction des besoins, ayant été averti du besoin que nous
comprenons, ou non. Là aussi, les principales formes de sécurité sont
respectées. Mais sous Windows, le bac à sable ne gère pas assez de cas, ne
permet aucune autorisation d’accès à une ressource grande ouverte, ce qui fait
que de nombreux logiciels sont encore obligés de passer par une installation non
sécurisée, il suffit d’écrire un logiciel qui s’installera hors du Windows
Store. Genre DropBox, iTunes, anti-spam, ou programme de copie
régulière…
Les explorateurs d’Internet
permettent de visiter le monde entier, et doivent être particulièrement
sécurisés. En plus d’être différents selon l’éditeur, le système d’exploitation
et la version, ce qui requiert des sites testés et adaptés à chacune de ces
plateformes, chacune peut ou non installer des outils supplémentaires.
Maintenant on évite ces extensions, car autant Windows installe régulièrement
des mises à jour sécurisées par Microsoft, autant chacun de ces outils tiers
peut contenir et contient des failles de sécurité, qui, à la charge de l’éditeur
tiers, rendent caduque toute sécurité développée par l’éditeur de
l’explorateur.
La faille de sécurité de Mai puis
Juin 2017 se situait dans les outils de gestion des postes en parc en
entreprise, mais venait aussi de la manière dont les entreprises installent les
mises à jour Microsoft, souvent avec un temps de latence. Si elles veulent les vérifier, autant
qu’elles se regroupent afin de faire des séquences plus
rythmées.
Il semblerait que nos ordinateurs
personnels soient désormais pas trop mal sécurisés grâce à Microsoft et
Apple.
Attention : Cela signifie
que c’est vous qui êtes responsables lors de l’ouverture d’un mail d’un
répliquant, lors du fameux petit clic final fatal, ou lors de l’installation
d’un logiciel parti à la grande aventure hors du bac à sable. Attention aussi ne
pas passer par les sites de téléchargement de logiciels. Il faut toujours passer
par le site de l’éditeur. Et installer le meilleur anti-spam anti-virus :
Nod32, en tout cas pas Norton, effet 2 Chevaux garanti depuis des
lustres.
Et on évite difficilement l’une
de ces 2 failles. J’ai 2 amis différents qui connaissaient 2 hackers différents
qui ont joué avec lui à « Je te parie que je peux pénétrer ton ordinateur
chez toi d’ici ». Et les 2 hackers ont tous les 2
gagné.
De même, un ami connait un
directeur de banque qui a missionné un hacker professionnel pour tester la
sécurité. Il a pu pénétrer un peu jusqu’à 80% des ordinateurs. Certaines banques
cachent leurs failles. Le test de
vulnérabilité est un bon test. Le contrôle des IP émettrices est la meilleure
solution.
De même que dans l’émission Cash
Investigation, Elise Lucet a demandé à une école d’anti-hackage de pénétrer
l’ordinateur d’un collègue à Paris. Ils lui ont juste demandé d’installer une
ancienne version d’Internet Explorer, et ils ont pu le filmer sans qu’il le
voie, l’écouter, regarder le contenu de son écran et de son disque
dur.
En ce qui me concerne, Microsoft
m’a signalé le même jour deux tentatives de pénétration de mon compte par le bon
mot de passe par des personnes se situant à Orange et à
Biarritz.
Apple m’a signalé le jour où j’ai
ajouté une sécurité sur mon compte qu’un ordinateur d’un type que je n’ai pas à
Lille utilisait mon compte. Et, tout en travaillant à Roland-Garros comme chaque
année, grâce à cette sécurité, j’ai appris qu’un ordinateur inconnu dans ville
parisienne n’avait pas pu se connecter après avoir tapé le bon mot de passe.
Pour Microsoft comme pour Apple, le mot de passe était inviolable, jamais écrit
nulle part, et non lisible à l’écran.
Chez mon hébergeur pas cher, mon
site a été pénétré plusieurs fois jusqu’à ce que je leur demande de changer tous
leurs mots de passe administrateur. Puis depuis plus
rien.
Du coup je suis passé chez
l’hébergeur Ikoula, et là, ce fut pénétration sur pénétration. Ils n’ont jamais
voulu changer leur mot de passe. Pourtant, mon site était simple, il n’y avait
pas de faille, cette fois-ci j’ai inventé des mots de passe hyper-complexes
tapés en frappant dans tous les sens, je ne l’ai même pas lu ni
stocké.
L’intrusion, on aurait dit une
simulation d’intrusion informatisée, mais qui en savait trop pour ne pas avoir
étudié la question. C’était des bouts de scripts HTML insérés en base. Avec un
ami, nous avons constaté que ces scripts renvoyaient vers un autre site. Dans la
redirection, un sous-sous répertoire d’une banque, il n’y avait qu’un dessin
d’enfant, mais très très rarement, nous constations que le message se
transformait en captation d’informations disponibles dans le navigateur, tant
que possible, ceux-ci étant plus bavards à l’époque. On profitait de la
répétition de ce script sur ma page pour, de façon camouflée, essayer de
détecter qui lisait mon site.
Il s’est aussi produit de petites
transformations afin de, en un tout petit minimum de modifications, rendre mon
site inefficace à la lecture.
Maintenant, je suis chez
Microsoft et ça va.
L’amie de mon père a reçu un
message d’une connexion à Facebook sur son ordinateur alors qu’on était au
restaurant. Moi, j’ai reçu un appel de chez moi pendant que j’assistais à Salut
Les Terriens. A noter aussi que trois de mes Tweets se sont transformés en plein
milieu de l’ensemble, à moins qu’on ait recréé l’écart de temps, car je les
avais relus plusieurs fois, afin de faire supposer une situation politique qui
n’est pas la mienne ou de cacher d’autres tweets, avec des messages décrivant
purement le fonctionnement de la droite, ce qui n’est même pas mon style de
messages, j’avais dédié ma boucle de Tweets à un usage très précis dont ils ne
se sont pas aperçus.
Cela remet selon moi en cause le
vote électronique. A moins qu’on ait moyen de vérifier chez soi sur informatique
le vote qui a été enregistré pour nous, donc avec conservation sur le réseau.
Par exemple déjà, les banques sont capables d’enregistrer le mot de passe en le
découpant avec un certificat de sécurité sur chaque bout, ce qui fait que seul
vous êtes capables de le décoder. La sécurité, c’est soit de faire simple, soit
de faire complexe.
J’ai un exemple, lorsque j’ai
passé un test Microsoft, j’ai eu la note minimum très exactement, malgré un très
grand nombre de critères, alors que j’avais pu détecter non pas avec mon savoir
mais aussi avec ma logique à priori toutes les questions. Comme si une décision
avait poussé à me donner une note d’office ou bureaucratique. J’ai bien vu
l’homme qui a pris en photo la palissade de travaux pile au moment où je
passais, juste à la sortie. Une note qui ne sort pas de l’office d’examens, dont
c’est le résultat qui compte.
Cela me rappelle le mois où Dieu
a commencé à se faire connaître à moi. Il jouait à des jeux de taquinerie, par
exemple, lorsque j’allumais ma calculatrice en panne, il répondait à mes
questions dans la tête soit en affichant 1, soit en affichant un zéro. A un
moment, à un chiffre près, elle a affiché le mot SOLEIL bien connu des
mathématiciens. Ce chiffre était parlant lui
aussi.