All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Mais où est la culture de la sécurité dans les produits technologiques?

Par Benoît Gagnon – le dans Actualités
Si vous n’avez pas suivi la scène de la sécurité ces derniers temps, vous allez vous rapidement vous rendre compte que nous sommes dans la chenoute. La grosse chenoute.

Ouais, disons que les dernières semaines ont été particulièrement décourageantes en ce qui concerne la sécurité. Pendant que vous preniez vos vacances – vachement méritées en passant – des spécialistes de la sécurité de l’information s’en donnaient à cœur joie pour défaire la sécurité de certains systèmes.

J’ai essentiellement trois cas pour vous.

La chaleur monte

Tout d’abord, je vous ai maintes fois mentionné mon appréhension pour l’Internet des objets et la crainte de voir ces technologies exploitées par des individus malintentionnés. Eh bien, ce n’est pas pour me vanter, mais j’avais comme un p’tit peu raison. Lors du DEF CON qui vient tout juste de se terminer, des hackers ont créé un rançongiciel s’attaquant spécifiquement à des thermostats connectés.

Le genre de message que vous ne voulez surtout pas voir (Photo : Ken Munro).
Le genre de message que vous ne voulez surtout pas voir (Photo : Ken Munro).

Grosso modo, le maliciel bloque la température à 99 degrés Fahrenheit (37,22°C) jusqu’à ce que l’utilisateur verse un Bitcoin (environ 550$ US actuellement) aux attaquants. Du beau gros fun en devenir je vous jure! J’ai hâte de voir les hôpitaux et les CHSLD qui vont devoir composer avec ce genre d’attaques.

Ça va (encore) mal chez Volkswagen

Ensuite, si vous ne l’aviez pas vu, bien la sécurité de millions de véhicules est à risque depuis qu’un groupe de chercheurs en sécurité a prouvé que la sécurité cryptographique des systèmes de déverrouillage de porte des voitures Volkswagen est, disons, pas mal déficiente.

Un exemple d'un Arduino équipé d'un récepteur radio (Photo : Wired).
Un exemple d’un Arduino équipé d’un récepteur radio (Photo : Wired).

À quel point déficiente? Au point où toutes les voitures construites depuis 1995 pourraient être déverrouillées avec un bidule à 40$. Sans commentaire.

Lorsque les pirates sont tout ouïe

Finalement, mentionnons cette nouvelle qui est littéralement à glacer le sang. Des individus malintentionnés pourraient éventuellement voler les données d’un PC en écoutant le bruit que fait un disque dur. C’est un chercheur israélien qui en est venu à cette conclusion en faisant état de ses travaux de recherche.

Bon, «heureusement», le tout est limité à une distance de 6 pieds (un peu moins de 2 mètres), mais cela demeure un type d’attaque qui fera assurément saliver bon nombre d’agences d’espionnages.

Une solution?

Je sais ce que vous pensez. Vous êtes en train de vous dire : «C’est ben beau Gagnon, mais tout ce que tu fais, c’est nous faire peur. Donne-nous des solutions!»

La vaste majorité des produits technologiques présents sur le marché sont pensés en fonction de leurs usages et fonctionnalités.

Si j’en avais, je serais probablement richissime et en train de dire des niaiseries dans une élection. Donc, non, je n’en ai pas de toutes faites. Et, de toute façon, il n’y en a probablement pas de manière tangible. Comme je m’évertue à le dire, la sécurité parfaite n’existe pas et n’existera jamais. Cependant, toutes ces failles sécuritaires seraient assurément diminuées si une chose avait été prise en considération : introduire une vision de sécurité dans la base même de l’échafaudage de ces produits. Je m’explique.

La vaste majorité des produits technologiques présents sur le marché sont pensés en fonction de leurs usages et fonctionnalités. C’est par la suite que la couche de sécurité est apposée. On cherche ainsi à conserver ces usages et fonctionnalités, tout en tentant de limiter les dégâts possibles au cœur d’un objet technologique en mettant des serrures sur des portes. Cependant, la solution devrait plutôt résider dans une logique inverse : peut-on essayer de voir s’il est possible de diminuer au maximum le nombre de portes, avant même de penser leur attribuer des serrures?

tropdeportes

Alors que la pensée de sécurité arrive actuellement dans les phases ultérieures d’un développement, elle devrait faire partie du design même d’un produit technologique. Le tout devrait être fait en amont, au début même des balbutiements d’un produit quelconque. Ce qui permettrait, à la base, d’avoir les garde-fous empêchant certaines actions.

Certes, ça nuirait probablement à certains usages et certaines fonctionnalités, mais ça permettrait assurément que l’on se retrouve devant quelques situations comme celles décrites plus haut. En imposant la vision de sécurité dans processus de conception, on assure ainsi que l’ensemble de la «chaîne de production» est au fait des problématiques en devenir.

Dans cette optique, les spécialistes de la sécurité ne seraient donc plus des emmerdeurs tentant de limiter la portée de certaines options présentes alors qu’un produit est avancé, mais feraient plutôt partie prenante de l’échafaudage complet du produit.

Cela est d’autant plus pertinent que la sécurité est en grande partie liée à un design bien fait. Montrez-moi une mesure de sécurité dont le design est déficient et je vous montrerai une mesure de sécurité que les utilisateurs tenteront d’outrepasser. Quand le garde-fou devient trop difficile à gérer pour l’utilisateur moyen, il tente tout simplement de l’outrepasser. De là l’importance d’avoir un processus industriel bien ficelé où la culture de sécurité est bien présente.

Continuez votre lecture

Où s’en va la sécurité?

Où s’en va la sécurité?

Benoît Gagnon -
Tchap, la messagerie sécurisée de l’État français, connaît déjà des failles… de sécurité

Tchap, la messagerie sécurisée de l’État français, connaît déjà des failles… de sécurité

Matthieu Carlier -
Windows 10 19H1 : les nouveautés de la mise à jour

Windows 10 19H1 : les nouveautés de la mise à jour

Branchez-vous -
Facebook continue sur sa lancée : des millions de mots de passe Instagram stockés en clair

Facebook continue sur sa lancée : des millions de mots de passe Instagram stockés en clair

Branchez-vous -
30 ans de la Game Boy : voici l’histoire de l’enfant chérie des consoles portables

30 ans de la Game Boy : voici l’histoire de l’enfant chérie des consoles portables

Branchez-vous -
Guide : choisir une caméra IP pour la sécurité de son domicile

Guide : choisir une caméra IP pour la sécurité de son domicile

Branchez-vous -
Microsoft tacle Google Stadia qui «dispose de l’infrastructure, mais pas du contenu»

Microsoft tacle Google Stadia qui «dispose de l’infrastructure, mais pas du contenu»

Branchez-vous -
iOS 13 : mode sombre, fonctionnalités revues… toutes les nouveautés qui nous attendent

iOS 13 : mode sombre, fonctionnalités revues… toutes les nouveautés qui nous attendent

Branchez-vous -
Écouteurs sans fil : Microsoft veut concurrencer les AirPods 

Écouteurs sans fil : Microsoft veut concurrencer les AirPods 

Branchez-vous -
PlayStation 5 : « un prix attractif », selon son architecte 

PlayStation 5 : « un prix attractif », selon son architecte 

Branchez-vous -
iOS 13 et macOS 10.15 : gros changements en perspective

iOS 13 et macOS 10.15 : gros changements en perspective

Branchez-vous -
Microsoft Outlook, Hotmail et MSN piratés : vérifiez vos emails

Microsoft Outlook, Hotmail et MSN piratés : vérifiez vos emails

Branchez-vous -
Avec Reborn 3, Opera déclare la guerre à Chrome

Avec Reborn 3, Opera déclare la guerre à Chrome

Branchez-vous -
Ces mots de passe sont les plus piratés au monde

Ces mots de passe sont les plus piratés au monde

Branchez-vous -
Fin d’iTunes : pourquoi Apple renonce à son appli phare?

Fin d’iTunes : pourquoi Apple renonce à son appli phare?

Branchez-vous -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.