Questions d'ordre humain

Les humains sont la clé pour ce qui est de la sécurité de tout système où on trouve... des humains. Sur ce sujet, vaste et passionant, plusieurs rubriques...

• Selon David Braue en 2005, une meilleure sécurité ne passe pas nécessairement par un raffinement technologique : http://www.zdnet.com/better-security-not-about-tech-mitnick-1139183334/

Divulgation

Que faire quand on pense avoir trouvé un trou de sécurité, un vecteur d'attaque possible ou un chemin permettant de réaliser une intrusion dans un système donné? Les vendeurs de logiciels prônent la « divulgation responsable » : informer le vendeur d'abord, et travailler de concert avec lui pour régler le problème, et n'informer le grand public que par la suite. D'autres préconisent une divulgation immédiate, voyant en cela un moyen de pression pour motiver le vendeur à corriger le problème illico, et – on peut le présumer du moins – à raffiner ses pratiques et outils en amont.

• Le Wiki sur le sujet : http://en.wikipedia.org/wiki/Full_disclosure
• En 2007, Scott Berlinato discute de pratiques de divulgation et des risques, légaux et autres, de divulguer une vulnérabilité une fois celle-ci découverte : http://www.csoonline.com/article/221113/software-vulnerability-disclosure-the-chilling-effect
• Dans ce texte de 2012, Nicole Kobie discute de « divulgation responsable » : http://www.pcpro.co.uk/features/359800/when-is-it-right-to-go-public-with-security-flaws

Hameçonnage (Phishing)

Le hameçonnage, nommé Phishing en anglais, est une forme d'ingénierie sociale (on pourrait parler d'attrape-nigaud, mais dans ce cas nous serions toutes et tous de potentielles nigaudes ou de potentiels nigauds) par laquelle on amène un usager à poser des actions qui le mettront dans le pétrin sans le savoir. Ces attaques, qui s'apparentent à des fraudes d'identité (par exemple, une page ressemblant énormément à celle d'une grande banque, parfois en trichant sur un caractère dans l'URL et en copiant carrément les images du site d'origine), peuvent causer des dégâts importants.

• En 2004, Paul Roberts rapporte qu'une entreprise prétend que son logiciel est capable de détecter des sites Web frauduleux, plus particulièrement des tentatives de hammeçonnage : http://www.pcworld.com/article/117392/does_that_web_site_look_phishy.html
• En 2006, Riva Richmond parle de préoccupations quant aux logiciels qui se prétendent capables de détecter des tentatives de hameçonnage : http://online.wsj.com/public/article/SB116649577602354120-5U4Afb0JPeyiOy1H_j3fVTUmfG8_20071218.html?mod=rss_free
• Texte de 2005 par David Watson, Thorsten Holz et Sven Mueller qui nous invite à « connaître notre ennemi » pour mieux combattre le hameçonnage : http://www.honeynet.org/papers/phishing/
• Article de Lee Gomes en 2005 relatant comment les hameçonneurs s'y prennent pour attraper leurs victimes : http://online.wsj.com/public/article/0,,SB111922540322063658-k2iziFe2OaO0z3gRtu_AvHbEtKk_20060620,00.html?mod=blogs
• Article de David Banks en 2005 expliquant comment on tentait alors d'éduquer les gens pour que ceux-ci parviennent mieux à faire face aux tentatives de hameçonnage : http://online.wsj.com/public/article/0,,SB112424042313615131-z_8jLB2WkfcVtgdAWf6LRh733sg_20060817,00.html?mod=blogs
• En 2006, Brian Krebs discute de ce qui était alors selon lui le nouveau visage du hameçonnage : http://blog.washingtonpost.com/securityfix/2006/02/the_new_face_of_phishing_1.html
• Texte de 2007 (du moins ça semble être le cas) par Collin Jackson, Daniel R. Simon, Desney S. Tan et Adam Barth et décrivant les tentatives de hameçonnage par images : http://www.usablesecurity.org/papers/jackson.pdf
• En 2012, Scott Hanselman nous explique (et il a bien raison) que le jour où les hameçonneurs maîtriseront l'orthographe et l'épellation, nous serons faits comme des rats : http://www.hanselman.com/blog/IfMalwareAuthorsEverLearnHowToSpellWereAllScrewedTheComingHTML5MalwareApocalypse.aspx
• Il y eut un temps où les hameçonneurs tentaient de faire croire aux usagers que Microsoft les contactait. Une mise à jour publiée en 2003 à ce sujet : http://www.accountingweb.com/topic/technology/how-you-can-tell-if-microsoft-security-related-message-genuine

Interactions avec les usagers

Comme l'ont indiqué plusieurs experts déjà, une chaîne est aussi solide que son plus faible maillon. Dans bien des firmes, l'usager est ce maillon (ce qui explique entre autres le succès du hameçonnage). Lors d'interactions avec les usagers, il faut faire très attention, et trouver le bon dosage entre convivialité et sécurité. Ce n'est absolument pas une tâche simple...

• Linux est-il plus sécuritaire que Windows? Selon Thom Holwerda, en 2006, rien n'est moins clair. Après tout, de part et d'autres, il y a des usagers... http://www.osnews.com/story/13568
• Le problème avec certains dialogues de sécurité dans le monde Microsoft Windows, expliqué par Philip Cohen en 2011 : http://usersinhell.com/unhappy-security-dialogs/
• Une checklist de saines pratiques avec Microsoft Windows à la maison, par Scott Granneman en 2004 : http://www.securityfocus.com/columnists/220

Pratiques d'entreprises

On a beaucoup ri de la sécurité chez certaines entreprises au début du XXI^e siècle, mais aujourd'hui, l'immense majorité des entreprises prennent cette question très au sérieux.

En 2005, Mark Burnett relate le douloureux apprentissage de la sécurité chez Microsoft : http://www.theregister.co.uk/2005/06/07/win2000_is_most_successful_microsoft_failure/