L’infonuagique est-elle une si bonne idée qu’on le croit?

23 mai 2011 Mme Natmark 5 commentaires

Récemment, le service de partage de fichiers Dropbox (www.dropbox.com) faisait la manchette, alors qu’il était démontré que, contrairement à sa déclaration que l’information transigée par son entremise était entièrement chiffrée et que ses employés ne pouvaient pas en consulter le contenu, il fut démontré que les employés *pouvaient* consulter le contenu des fichiers, mettant les utilisateurs à risque de recherches ou de fouilles gouvernementales, d’employés malveillants ou d’entreprises tentant d’intenter des poursuites massives en violation de droits d’auteurs (lire l’article à www.wired.com/threatlevel/2011/05/dropbox-ftc/).

Quand allons-nous comprendre que RIEN de ce qui réside dans le « grand nuage » n’est à 100 % confidentiel?

Prenons un exemple simple, pour ne pas dire simpliste : une maison. Pour qu’elle soit pratique, une maison doit avoir une porte pour nous permettre d’y entrer et d’en sortir. Elle doit également avoir un système d’aération pour permettre à l’air d’y circuler. Elle aura aussi une ou plusieurs fenêtres pour y laisser pénétrer la lumière du jour et voir ce qui se passe au-dehors. Dès lors, la porte, le système de ventilation et la fenêtre deviennent autant de points d’accès potentiels pour pénétrer dans la maison.

Ainsi en est-il des différents espaces de stockage sur la grande toile, qui ne sont ni plus ni moins que de grandes maisons numériques, comportant portes, fenêtres et issues diverses pour laisser entrer et sortir l’information et où nous entreposons nos « meubles numériques »; nos données personnelles, financières ou d’affaires.

Tout comme une maison, ces systèmes possèdent différents « chiens de garde » pour empêcher les intrusions : clés, codes d’accès, mots de passe et filtres. Et encore comme les maisons, quelqu’un trouvera moyen d’y pénétrer s’il y consacre l’énergie et le temps nécessaires. Et malgré ce que l’on pourrait croire, le savoir-faire informatique y compte pour très peu.

Pourquoi la sécurité totale n’existe-t-elle pas, sur Internet comme ailleurs? Principalement à cause des multiples maillons faibles que nous représentons nous-mêmes. Demandez à n’importe quel technicien informatique de vous raconter d’où ils ont vu leurs clients sortir leur information et vous ne serez pas surpris.

Nous notons nos différents mots de passe, NIP et autres codes d’accès dans un calepin ou sur un bout de papier que nous traînons dans nos poches ou notre portefeuille. Nous les notons sur la jaquette interne d’un dossier ou sur un Post-It collé à l’intérieur d’un tiroir ou d’une porte de crédence au bureau. Nous allons nous chercher un café sans verrouiller notre poste de travail, question de sauver du temps. Nous choisissons des mots de passe faciles à deviner. Pire, nous confions carrément nos accès à des personnes *de confiance* et oublions de les modifier une fois ces personnes sorties de notre vie. Bref, nous laissons la clé sous le paillasson!

Pourquoi nous surprenons-nous donc lorsque des géants comme Sony, Apple, Facebook, Twitter, Google et autres, sont victimes de bris de sécurité? Comment osons-nous même nous plaindre alors que l’évidence même nous indique que la sécurité numérique totale n’est pas de ce monde?

Alors que plusieurs gourous informatiques clament que nous nous dirigeons vers l’infonuagique ou l’informatique en nuage, le fameux « Cloud computing », je me questionne sérieusement si les entreprises sont prêtes à confier leurs données stratégiques à la grande Toile.

La grande illusion, c’est de croire que l’on a le contrôle de notre information personnelle, point! Ce contrôle, nous le perdons petit à petit en faisant nos affaires bancaires en ligne et à chaque fois que nous ouvrons un compte virtuel quelque part : achats en ligne, cartes de crédit, compte Google, Gmail, Hotmail, Yahoo, Facebook, LinkedIn, Twitter… Petit à petit, question de pouvoir continuer à faire partie de ce monde numérique, nous cédons volontairement notre information aux géants qui nous jurent qu’ils vont protéger notre vie privée. Même notre gouvernement nous enjoint de remplir notre formulaire de recensement en ligne… nom, adresse, date de naissance… Même si vous le remplissez en format papier, votre information sera saisie en format numérique et fera partie d’une banque quelconque, quelque part, reliée au grand réseau mondial. Et dire qu’on riait en lisant « 1984 »…

Ma question demeure, sommes-nous vraiment prêts à entrer dans l’ère de l’infonuagique?

Réflexions 2.0, Sécurité cloud computing, infonuagique, Sécurité, vie privée

Commentaires

Trackback

Ecrit par Claude Ducharme le 23 mai 2011.

Sommes-nous vraiment prêts à entrer dans l’ère de l’infonuagique? La réponse est non et ceci pour plusieurs raisons.

La première concerne les services offerts. L’infonuagique est le résultat d’un développement qui utilise les mêmes technologies dont nous nous servons déjà pour les services du Web. Elle représente en fait une nouvelle vague d’utilisateurs qui viennent s’ajouter à la masse déjà grande de ceux qui participent aux réseaux sociaux et qui se partagent des vidéos sur You Tube pour ne nommer que ceux-là. L’infonuagique vient donc ajouter une pression supplémentaire sur le réseau internet.

Le problème avec les technologies sur lesquelles nous nous basons pour offrir des services de plus en plus « sécurisés » est qu’elles sont complexes et dépendent de l’expertise des ingénieurs et des techniciens qui les utilisent. Or, les TIC (tecnologies de l’information) ont une histoire qui démontre une volatilité telle qu’elle ne retient pas les grandes expertises requises. Les périodes creuses du passé n’ont pas conservé les meilleurs cerveaux qui se sont tournés vers d’autres domaines et les modèles économiques actuels préconisent les salaires peu élevés et les déploiements rapides. Les architectures déployées peuvent alors présenter des failles qui se révèlent souvent avec la croissance.

Une autre raison réside dans la nature de la commercialisation. Nous vivons à une époque où le marketing est devenu très important. Il est plus important en fait de convaincre le public que ses données sont sécurisées que de sécuriser lesdites données. Les ressources destinées à mettre sur le marché un produit iront d’abord au marketing, parfois aux dépens des infrastructures technologiques.

Il y a enfin à l’autre extrémité, l’utilisateur qui, lui-même, n’est pas prêt. L’infonuagique est à la mode, tout comme Facebook et Twitter, mais correspondent-ils à un besoin réel pour tous?

Avant de faire un choix, l’utilisateur fera-t-il les validations nécessaires pour comprendre la sécurité réelle ainsi que les risques liés à un service de l’infonuagique?

Mon expérience me rappelle combien il est difficile d’amener un utilisateur à adopter une politique de sécurité disciplinée et de sauvegarder régulièrement ses données dans un endroit sûr. Aussi, pour toutes ces raisons, je crois que nous ne sommes pas prêts.
Ecrit par Mme Natmark le 24 mai 2011.

Ah Claude! Je reconnais bien l’ingénieur logiciel et le responsable du contrôle de la qualité en toi. Je suis entièrement d’accord avec tout ce que tu avances… Merci de ce commentaire plus qu’informatif et ce coup d’oeil à l’intérieur de la grande machine des TI.
Ecrit par Claude Ducharme le 24 mai 2011.

Il me vient en tête les paroles de Jacques Brel : « Et puis si j’étais le bon Dieu. Je crois que je serais pas fier. Je sais on fait ce qu’on peut. Mais il y a la manière. »

Dans toute chose il y a ce qu’on fait et la manière de le faire. Tout comme le guichet automatique s’est imposé, l’infonuagique deviendra incontournable. Aussi, il faudra connaître la meilleure façon de travailler avec ces technologies et se doter de procédures qui minimisent les risques.

La manière d’utiliser le Dropbox dont il est question plus haut serait, par exemple, d’encrypter nous-même nos données sur disque. Vous ne laisseriez pas la clé de votre coffre-fort à un étranger, n’est-ce pas? Et le courriel? N’est-ce pas le plus grand Dropbox que nous ayons? Pouvons-nous nous permettre de déposer des informations confidentielles dans une enveloppe transparente et la poster dans un système qui emprunte des voies peu recommandables et inconnues? C’est ce à quoi ressemble le courriel. La manière d’utiliser le courriel est de placer l’information sensible dans une enveloppe que seul le destinataire peut ouvrir. Il faut la protéger soi-même avant de la transmettre.

Un consommateur vérifie normalement la qualité du produit qu’il veut acheter. Il sera même méfiant et critique face aux nouveautés. Il doit en être de même pour les technologies qui le servent. Il doit se sentir suffisamment informé pour évaluer un produit selon ses propres critères et demander de l’information au besoin.

La question à garder à l’esprit est : « Est-ce que mes données sont protégées en tout temps et si elles le sont, qui a la clé? »
Ecrit par François Hétu le 27 mai 2011.

Toujours, nous remettons la sécurité de nos renseignements à des tiers.

À moins d’être soi-même un expert en cryptographie appliquée, il est impossible de protéger par nos propres moyens nos renseignements. Ou alors, il faudrait tout mémoriser, comme ces agents secrets qui avalent le bout de papier sur lequel leur mission est inscrite…

Le cloud n’est tout simplement pas plus sécuritaire, mais pas moins non plus qu’une autre solution d’hébergement de données. Comme dans toute chose, la réputation du tiers à qui sont confiés les renseignements est capitale.

Google, par exemple, a fait ses classes du point de vue de la sécurité de son cloud. Un white paper a été publié à cet effet. Cette approche standardise la sécurité du cloud Google, ce qui est rassurant.

Un peu de bon sens de la part de l’utilisateur n’est pas mauvais non plus. Notre entreprise a abandonné l’usage (expérimental) de LastPass il y a près d’une année, parce qu’il semblait probable qu’un « entrepôt » de mots de passe serait fatalement hacké un jour, tant l’appât est invinciblement attirant. (Cela semble s’être produit il y a 2 semaines.)

Je vous étonnerai certainement en disant que nous utilisons Dropbox pour les mots de passe maintenant, encryptés dans un fichier inviolable puisque, pour l’ouvrir, un fichier clé, non partagé, est nécessaire. Le fichier de mots de passe est une aiguille dans une botte de foin, encrypté 128 bits, qui n’attire l’attention de personne. Ce n’est pas le cas de Lastpass, qui est une plage de nudistes juste en périphérie d’une prison à sécurité minimale pour pépères pervers.
Ecrit par Mme Natmark le 28 mai 2011.

Merci pour ce commentaire François. Je te dirai que je suis d’accord avec toi sur plusieurs points. Tout semble toujours sécuritaire, jusqu’à ce qu’on détienne quelque chose que quelqu’un d’autre désire s’approprier. Comme ce que tu indiques concernant LastPass, l’appât est en effet très attirant.

Pour continuer dans le même sens de ta métaphore, même si l’information confiée à un grand serveur n’est ni plus ni moins qu’une aiguille dans une botte de foin, dès que la botte devient alléchante et réputée contenir un trésor, elle deviendra une cible. Et tous les grands services du même type deviendront indéniablement des cibles. Il ne suffira alors que de mettre le feu à un seule brindille pour que toute la botte prenne feu.

C’est là que réside, à mon humble avis, l’avantage des petits hébergeurs privés. Puisqu’ils sont quasi-inconnus, les chances d’être ciblés sont quand même plus minces qu’un géant comme Google, puisque le « trésor » que contient leurs serveurs sont non seulement limités, mais de peu d’intérêt. La masse d’information critique est peu d’importante si un serveur comporte 200 ou 300 plus petits clients que si il en contient des dizaines de milliers.

L	Ma	Me	J	V	S	D
« avr				juin »
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Blogue Natmark.net

L’infonuagique est-elle une si bonne idée qu’on le croit?

Commentaires

Ne ratez rien !

Derniers articles

Dernières entrées

Liens Natmark

Références SEO

Sécurité

Trouvailles