vendredi 13 décembre 2019    || Inscription
BanniereNews
 
 

Mission impossible : « La mission, si vous l’acceptez … Ce système s’autodétruira dans 10 secondes … ». Grand classique du cinéma. Cette fonctionnalité, supposée être ultra sécurisante, fait son chemin pour s’introduire dans les systèmes d’information de nos entreprises. Face « à la menace médiatique NSA/Snowden », il faudrait des systèmes autodestructibles : l’informatique doit avoir sur elle une capsule de cyanure lui permettant de ne plus rien dire si on l’interroge.

 

Le sujet est repris par les médias grand public depuis quelques années. Le 27 décembre, le Figaro Economie présente le nouveau téléphone mobile ultra sécurisé produit par Boeing et Black Berry et écrit "Ce smartphone a la particularité de «s'autodétruire» s'il tombe entre de mauvaises mains. En clair, les données et les applications s'effacent de l'appareil en cas d'intrusion ou de tentative de l'ouvrir pour le trafiquer".

L’information n’est pas nouvelle, Le Figaro l’avait déjà annoncé en mars dernier et on trouve de nombreuses annonces antérieures sur le web de la part de nombreux médias. Un lecteur averti ne comprend pas pourquoi un quotidien tel que le Figaro publie un tel article le 27 décembre 2014 qui n'apporte aucune information nouvelle.

Des équipements autodestructibles ….

La protection des données à caractère personnel est désormais placée à un tel niveau que l’on pourrait se demander si un bombardement des data-centers des GAFA ne pourrait pas être étudié ? Le mot clé est celui de la « confidentialité » des informations.

Ce besoin de sécurité n’est cependant pas simple à traiter. On peut prévoir des plans de reprises d’activité après la destruction physique d’un ordinateur : c’est une mesure de récupération. On réinstalle un nouveau système à l’identique.  En cas de vol d’une donnée confidentielle, la récupération est plus délicate : il faudrait tuer le voleur …. Ne pouvant simplement envisager une telle mesure dans un pays démocratique, nous envisageons donc l’autodestruction des systèmes informatiques eux-mêmes. C’est logique ! L’ordinateur et le smartphone ne parleront pas … Et ainsi, le besoin de confidentialité serait-il assuré.

Certes, mais une appréciation cindynique (sciences des dangers et des risques) ne saurait se faire que sur un seul et unique besoin de sécurité. Notre société a aussi un énorme besoin de « disponibilité » de ses systèmes informatiques.

… qui peuvent aussi être indispensables

Que risque-t-il de se passer si le système de paiement par cartes bancaires n’est plus disponible la veille de Noël ou la veille du nouvel an dans les grands magasins et hyper-marchés ? Les « honnêtes » clients ne vont-ils pas finir par sortir, avec leurs achats, sans passer par les caisses qui ne fonctionnent plus et en accusant la terre entière ???

Une appréciation des risques doit se faire en prenant en compte l’ensemble des besoins de sécurité. L’autodestruction d’un système de communication fait très bon effet durant les 20 premières secondes de « Mission impossible ». Elle n’est pas nécessairement très réaliste pour le système d’information d’une entreprise.

Un pirate « titille le système » et essaie de lire quelques informations et celui-ci s’autodétruit ! Le scénario peut être réalisé sur un très large périmètre et à très grande échelle.  La confidentialité est assurée, mais la disponibilité ….

La sécurité est un compromis entre plusieurs dimensions. Elle peut demander des efforts de communication et de sensibilisation du grand public. Pour autant, ne faut-il pas élever très rapidement le niveau de compréhension de certains commentateurs grand public ?

PS : Nous ne nous prononçons pas dans « ce papier » sur le sérieux de la sécurité du téléphone mobile de Boeing. Celui-ci peut avoir prévu des protections réelles contre les attaques en déni de service portant sur une entreprise. Nous soulignons la « légèreté » des articles publiés  autour de ce produit par des auteurs ne connaissant rien aux questions de sécurité.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS