La sécurité informatique a 4 sous

S'il y a bien une catégorie de gens que l'on refuse de critiquée, c'est bien les gens de la sécurité informatiques. Pourtant, les décisions en matière de sécurité informatiques laissent souvent perplexes de nombreuses personnes. Parmi les exemples douteux, on pourrait citer les exemples suivants :

• Obliger des utilisateurs à avoir un mot de passe tellement compliqué que les utilisateurs ont de la difficulté à s'en souvenir. Résultat, une grande partie des utilisateurs utiliseront la fonction de mot de passe oublié laquelle enverra le courriel de réinitialisation ou carrément un nouveau mot de passe dans une boite de courriel non sécurisé. En somme, dans un endroit où tout le monde peut voir en claire le mot de passe ou le lien de réinitialisation.
• Demande des questions secrètes pour, bien sûr, sécurisé le compte, entre autres parce que le mot de passe n'est pas facile a retenir, et on trouve sur le compte Facebook par exemple, toutes les informations personnelles permettant de trouver les réponses à ces questions secrètes. Encore, une fois, un mauvais principe amenant plus de problèmes que de solution.
• Utiliser une empreinte digitale avec le doigt comme référence alors que l'appareil recouvert de ses mêmes empreintes digitales avec le doigt. Il alors assez facile de recueillir l'empreinte et de l'appliquer directement sur le protecteur et d'avoir accès à l'appareil. On nous dira alors, bien, il faut mettre des gants, l'ennui c'est que l'écran tactile ne reconnaît pas les gangs... Donc, vous voyons un mauvais principe appliquer avec des mauvaises solutions et ont obtient encore plus de mauvais résultats.
• Ajouter un script sur un serveur de production tuant n'importe quel processus en arrière-plan durant plus de 5 minutes sans discernement. La machine ne sont pas instantané, comment peut-on arriver à la conclusion des processus légitime devrait être supprimer automatiquement s'ils doivent traiter plusieurs d'enregistrement.
• Sécuriser l'infrastructure de serveur informatique, mais ne pas encrptyer la communication réseau effectuée entre un serveur Web et un serveur de base de données. Ainsi, n'importe quel "sniffeur" réseau pourra voir passer les mots de passe et le compte utilisateur de la base de données pourvu qu'il est un accès réseau à l'entreprise (même si c'est un mode réseau invité). Dans cet exemple, il aurait d'abord fallu sécuriser la communication entre les 2 serveurs bien avant le serveur lui-même ! Pourtant, de nombreux spécialistes réseau font ce genre de bourbes.
• Il y a également les faux positifs que les spécialistes en sécurité informatiques on tendance a ce fier un peu trop. Par exemple, si vous avez un fichier de 0 octet avec un nom correspondant à un nom de fonction comme «echo.htm» ce n'est pas un virus. Ce genre de boulette assez commun lorsqu'un équipe de développement est confrontée aux spécialistes de sécurité. Dans certains cas, ce sont des codes d'erreurs 406 étant retournés par les serveurs.

D'un côté, il y a les responsables de sécurité traitant les utilisateurs comme des idiots, en leur reprochant d'avoir cliqué sur un lien hameçonnage dans un courriel non légitime, de l'autre, il y a un système informatique en entier aillant des faiblesses importantes et des situations que ne devrait pas être possible (exemple, surfer sur une page Web et se faire attaquer au niveau matériel de la machine).

Étant donné qu'en 2018 au Québec, on a constaté une augmentation des fraudes de %17, on est en droit de se demander si le remède n'est pas pire que la maladie. Le nombre de responsables de sécurité informatique et les fraudes en même temps... C'est un paradoxe assez troublant, a se demander si on ne confit pas les clefs de nos coffres à aux personnes moins dignes de confiance...