La sécurité informatique, «quoss’a donne»?

La loi du moindre effort

Exclusif

Ne vous en faites pas trop avec la sécurité de vos données. Parce que si vous vous en faites un tout petit peu, vous aurez déjà un énorme avantage sur le reste de l’humanité.

Depuis une bonne décennie, je prêche la bonne vertu en matière de sécurité informatique. Je la prêche dans les magazines, sur le Web, à la radio, dans les podcasts, et à la télévision. Visiblement, je prêche dans le désert.

Il suffit pour s’en convaincre de faire un rapide tour d’horizon de l’actualité technologique des dernières semaines. Attachez vos ceintures, ça ne sera pas joli, joli.

Connaissez-vous la vieille blague du gars qui invite un ami boiteux à aller prendre une marche dans le bois? Quand son ami lui demande pourquoi, il répond : «Parce que si on rencontre un ours, je n’ai pas besoin de courir plus vite que lui pour me sauver, j’ai seulement besoin de courir plus vite que toi!»

D’un mot de passe cave à l’autre

En 2010, Symantec disait que le mot de passe le plus souvent utilisé par les internautes était «123456». Oui, comme celui des valises du président et du bouclier atmosphérique dans le film Spaceballs. Est-ce la faute à Mel Brooks?

Eh bien, une étude récemment publiée par SplashData démontre que «password» a supplanté «123456» en 2011 et 2012… Avant de lui redonner la première place en 2013. Le bon vieux «password» se retrouve maintenant sur la deuxième marche du podium, devant des classiques comme «qwerty» et «abc123».

En fait, parmi les 25 mots de passe les plus communs en 2013, 15 faisaient déjà partie de la liste en 2012, et le petit nouveau le mieux classé est… «123456789».

On peut toujours essayer de se consoler en se disant que les gens qui choisissent des mots de passe caves en choisissent des plus longs qu’avant, j’imagine.

S’appeler «Target» (Cible), c’est courir après le trouble

Vous avez peur que votre petite entreprise ne soit la cible des malfaiteurs? N’ayez crainte, ils ont des «cibles» plus attrayantes à attaquer. Pourquoi se donner la peine de piéger un resto de quartier quand on peut voler 70 millions de cartes de crédit et de débit à un des plus grands détaillants en Amérique du Nord, d’un seul coup?

Le pire : il semblerait que les données des clients n’étaient même pas chiffrées (ou cryptées) sur les serveurs de Target, mais que le logiciel pirate qui s’en est emparé, lui, chiffrait les données avant de les retransmettre.

Wow. Juste wow.

Le comptant ne vous rendra pas plus content

Abandonner les cartes au profit des espèces sonnantes et trébuchantes vous semble soudainement une bien bonne idée? Détrompez-vous. Parce que 95% des guichets automatiques au monde roulent encore sous Windows XP, la plupart d’entre eux sous la version régulière qui sera officiellement abandonnée par Microsoft en avril prochain. À peine 15% des machines aux États-Unis auront été mises à jour (à Windows 7) au moment où XP ne sera plus supporté.

Un élément critique du système bancaire international soumis à un OS dont les failles ne seront réparées par personne. Aucune chance que ça finisse mal, n’est-ce pas?

Qu’est-ce qu’on fait, maintenant?

Connaissez-vous la vieille blague du gars qui invite un ami boiteux à aller prendre une marche dans le bois? Quand son ami lui demande pourquoi, il répond : «Parce que si on rencontre un ours, je n’ai pas besoin de courir plus vite que lui pour me sauver, j’ai seulement besoin de courir plus vite que toi!»

Rappelez-vous de cette belle maxime et ne vous inquiétez pas trop. Dites-vous que si vous adoptez un gestionnaire de mots de passe, n’importe lequel, que vous installez un anti-virus le moindrement à jour, et que vous chiffrez les données de vos clients avec une solution d’affaires de base, vous aurez déjà fait 1 000 fois plus d’efforts que l’immense majorité de vos semblables et que ce sera sans doute bien assez!

Sauf bien sûr si la NSA décide de venir pirater votre ordinateur hyper-secret même pas relié à Internet en installant des émetteurs radio dans vos câbles USB, mais ça, on en reparlera un autre jour.

Après tout, les pirates sont des gens d’affaires : ils vont là où ils peuvent gagner le plus d’argent possible avec le minimum d’effort. Il ne sert à rien de s’inquiéter de la qualité de la serrure sur votre porte quand tous vos riches voisins laissent les leurs grandes ouvertes.

  • Benoît Gagnon

    Les pirates sont des gens d’affaires, oui. Mais ce sont des gens d’affaires qui automatisent beaucoup de tâches. Donc, ce n’est pas nécessairement la façon d’agir des gens qui font en sorte qu’ils sont des cibles, mais bien souvent, le simple fait qu’ils utilisent une version, ou l’autre d’un système. Un robot scan et hop! votre machine est ciblée. Comme tu dis, faire le minimum est souvent bien. Cependant, je trouve dommage qu’on soit si dépendant face à des entreprises qui ne rayonnent bien souvent pas par leurs compétences…

    • http://stech72.tumblr.com/ Steve C

      je plussoie que le nombre de bots qui cherchent des portes sur le Net est complètement inimaginable

      (des centaines de millions d’après Symantec et Esset)

      Donc effectivement d’es qu’un système faible apparait , les piranhas sont immédiatement sur place pour le dévorer …..

  • http://stech72.tumblr.com/ Steve C

    La sécurité informatique c’est une farce et une business à la fois ..

    Primo quand on croise quelque routeur on s’aperçoit rapidement que les simples précautions d’usage ne sont souvent même pas appliqué , que les TI parfois trop souvent n’activent même pas l’ensemble des services de base des SE respectif … ET par la suite on paye a gros $$ es solution en sécurité pour souvent patcher nos coins ronds . .. ET informatique , le simple fait de suivre TOUTES les procédures de base, sécurise presque a 95% un parc voir un réseau en lui même …… mais bon quand on regarde la commission Charboneau , le simple fait de suivre une procédure semble extrêmement difficile .

    Donc quand on part de la base on ne peut exiger mieux des départements pour qui l’informatique même si vitale pour leur entreprise ne représente pas plus d’intérêt que leur grille-pain de cantine ….. ..

    Bref si on déroule la chaine ….. il est normal que les aberrations nommées dans ton « post » se retrouve comme une généralité dans cette société de consommation . Ce qui tue ce n’est pas les idées malfaisantes … ce qui tue c’est le laxisme ….. ( culture du « bah spa grave » )

  • Doum

    Wow pour cette référence à Spaceballs et son fameux mot de passe !!

  • Doum

    Mon travail m’amène parfois à travailler de soir dans les locaux où l’équipe IT de la compagnie est installée. Et se sont presque les pires personnes qui ne respectent pas les règles élémentaires; mot de passe écrit sur des papiers « post-it » collé derrière l’écran, des cartes à puce laissés dans le lecteur du PC, des « computers lock » automatique non activé, et j’en passe…

  • CO2

    je me demande pourquoi les DAB roulent sous windows XP alors que les systemes microsoft sont les pires en matiere de securité, pourquoi pas linux ou unix ??

    • Max

      C’est pas mieux linux ou unix, si tu les maintiens pas ni les installe pas correctement. Si ton OS de Microsoft est patché et configuré correctement c’est pas tant pire qu’un autre.