jeudi 17 octobre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Le problème

L´adoption de formats standard est nécessaire à l´échange de documents. Les débuts de la bureautique ont fait apparaître de nombreux formats incompatibles. Chaque éditeur cherchait à verrouiller sa clientèle sur sa seule solution.

Le « retro enginering » est autorisé en France et dans la plupart des pays. Un utilisateur régulier d´un logiciel a le droit de décortiquer un programme pour comprendre comment il fonctionne, et établir une interopérabilité avec un autre logiciel. Cet autre logiciel peut avoir pour objet de remplacer le premier. Ainsi, la plupart des suites bureautiques ouvrent le format .doc de MS Word. Quelques difficultés peuvent apparaître lorsque celles-ci ne sont pas parfaitement bien conçues.

Le format .doc enregistre par défaut les brouillons précédents des textes, des informations sur la version de Word, de Windows, etc... Cela peut être très indiscret. Avec khexedit, un éditeur hexadécimal, fonctionnant dans KDE sous GNU/Linux, on peut découvrir des informations importantes, voire stratégiques ! Des entreprises risquent de perdre beaucoup d´argent du fait de ces indiscrétions.

Dans le cadre d´une politique de sécurité il faut éviter les formats binaires fermés invérifiables et préférer les formats transparents. La conservation des documents suppose également que les formats ne deviennent pas obsolètes dans le futur et puissent toujours être lus lorsque toutes les machines actuelles auront été remplacées.

La solution : des formats transparents

On peut les décortiquer facilement pour les vérifier. L´encodage des caractères est fixé et public. Ses différentes versions, suivant les langues, sont documenté dans de nombreux manuels. En France, on utilise l´encodage ISO-8859-15. La norme future est l´UTF-8 international.

Parmi les formats texte, on a :
- le plus simple, le format ASCII en .txt
- le format html qui est un texte comportant des balises

par exemple un titre est encadré par

Titre

,
un sous titre par

sous titre

,
etc..
Les formats de donnés comme le .csv (comma separated values) ou le DIF (Data Interchange Format) sont des formats rustiques, peu à même de contenir un code malveillant. Ils sont vérifiables, et lus par de très nombreuses applications1. Normalement, ils permettent des transferts de données avec des tableurs comme excel ou gnumeric, des systèmes de gestion de bases de données comme MySQL ou PostGRESQL ou même des éditeurs de texte.

Le format .csv est fait pour contenir des tableaux de valeurs. Quand on ouvre un fichier .csv, on s´aperçoit que les lignes du tableau sont des lignes de texte, et les colonnes sont séparées par des virgules (d´où le nom). Comme avec la langue française les virgules servent à autre chose, on peut utiliser aussi des points-virgules, des tabulations, etc...

On peut écrire un tableau de valeur destiné à être lu par un tableur récent avec l´éditeur du (Free) DOS.

Les professionnels de la conservation d´archives numériques préfèrent ces formats rustiques parce qu´en cas de dommages du support physique les pertes sont limitées à la zone abîmée.

Les formats dérivées des formats textes

Le format XML est l´exemple type. Il est dérivé du html. Dans le html, les balises

etc... sont normées et en nombre limité. En XML, on peut mettre les balises que l´on veut2. La description de l´effet de ces balises se fait dans un fichier séparé. On sépare donc la structure du document de son apparence (comme avec les feuilles de style). Le XML est un langage structuré de donnée.

Il peut servir à beaucoup de choses. C´est un langage d´avenir. Il est utilisé dans le format des documents OpenOffice.org. Un fichier .sxw traitement de texte, ou .sxc (tableur) est en XML zippé. Si on remplace l´extension .sx* par .zip, on s´aperçoit que l´on a affaire à un répertoire zippé.

Une fois décompressé, on voit qu´il contient plusieurs fichiers textes pour les données et leur mise en forme. Tout est accessible et vérifiable. On peut donc même accéder au contenu sans OpenOffice ou sa visionneuse2, mais au prix de la perte de la mise en forme. Abiword ou kword utilisent des formats similaires et peuvent utiliser le format OpenOffice.org

Le format odt

Il est tiré du format OpenOffice.org. Il est destiné à devenir le format standard des administrations européennes, grâce justement à sa transparence. C´est un format libre et documenté. Tout le monde peut le mettre dans son application. Pour l´instant, seul OpenOffice 2.0 l´utilise, mais bientôt d´autres logiciels le feront.

C´est une bonne idée que les documents échangés dans une administration ou une entreprise soient déjà à ce format. La suite open Office est gratuite à télécharger, copier, installer, et utiliser.

D´autres formats

Il existe des formats propriétaires mais dont la documentation est publiée. Le format PostScript sert pour les imprimantes. PostScript est un langage compris par toutes les imprimantes sérieuses. Le format pdf est un PostScript enrichi.

Pour les images: png

Pour la musique: ogg vorbis

Pour les textes: rtf

En conclusion, il faut préférer les formats libres, ou au moins documentés chaque fois que c´est possible. Le choix des formats peut être aussi stratégique que celui des logiciels.