jeudi 17 octobre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Les Digital Rights Management (DRM) ont parfois été présentés comme la solution. Une puce électronique de la carte mère produit un chiffrage des fichiers. L´utilisateur ne possède pas la clé de ce chiffrage. Cette fonction est à but commercial. On peut acheter un disque qui ne sera lu que si le vendeur envoie l´autorisation de le faire, la licence, par Internet.

Il a été dit que les DRM assureraient que ainsi seul des logiciels "sécurisés" et certifiés auraient le droit de démarrer. Ce serait la fin des virus, des spywares et des copies pirates. Pour les copies pirates, on peut observer que leur flux ne diminue pas pour autant même aux Etats-Unis ou la loi DMCA protège les DRM. Pour la musique, les documents, tout ce qui est lu est l´occasion d´un flux copiable. Sauf à maîtriser parfaitement la chaîne de transmission, ce qui veut dire par exemple avoir aussi des enceintes DRM, chez tout le monde, on ne pourra empêcher les piratages.

On se trouve alors devant un OS que ne contrôle pas l´utilisateur, mais le fournisseur du système.

Intrinsèquement, les DRM en usage commercial, avec vérification de licence à distance sont un système intrusif. Il demande qu´une instance externe accéde au système, ait des droits que ni l´utilisateur, ni l´administrateur, ne contrôlent. Le logiciel d´utilisation des DRM va ainsi appeler des informations non contrôlées à l´extérieur qui vont gérer une partie des ressources de la machine.

Des pirates ont déjà exploité ce mécanisme finalement proche de celui de bien des spywares. Le logiciel d´utilisation des DRM peut lui même être compromis.
Potentiellement, ce chiffrage dont l´utilisateur ne contrôle pas la clé peut être appliqué à TOUS les fichiers. Alors même si le vendeur du système d´exploitation ou les fournisseurs de musique en ligne se sont comportés de manière honnête et respectueuse, l´usager se trouve dans une position de dépendance totale par rapport à ceux qui à l´avenir contrôlent sa machine et possèdent par ailleurs la liste complète de ses fichiers, puisqu´une licence a été générée pour chacun d´entre eux.
Quel risque aussi si l´utilisateur entre en conflit avec le fournisseur d´un logiciel utilisant les DRM, ou simplement s´il arrête son activité ! Ses donnés peuvent devenir simplement inaccessibles.