Spécial sécurité : l'art de formater "à bas niveau" un utilisateur 2.0
Faudra-t-il passer un permis pour utiliser Internet ? C'est la question sur laquelle s'arrêtent nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information. Pourquoi ? Parce que cette idée émane de Craig Mundie, Chief Research and Strategy Officer chez Microsoft, et que, dans son esprit, il ne semble pas seulement question de former les internautes mais aussi, semble-t-il, de formater les esprits aux usages d'Internet. Histoire d'en faire un espace propre, marchant au pas cadencé des trames 802.1 formatées et filtrées...
1 - L’art de « formater à bas niveau » un utilisateur 2.0
2 - L’art de « formater à bas niveau » un utilisateur 2.0 (suite)
1 - L’art de « formater à bas niveau » un utilisateur 2.0
Deux papiers viennent agiter le landernau de l’administration. Le premier est signé Lauren Weisnstein et s’arrête sur une idée émise à Davos par Craig Mundie, Chief Research and Strategy Officer chez Microsoft : il faudrait instaurer un « permis de conduire sur Internet ». Logique, pour circuler sur les autoroutes de l’information. Attention, pas un papier de complaisance, mais un véritable examen qui permette à nos Etats Nations de régner sur une populace sachant que « The Internet is the biggest command and control center for every bad guy out there ». Et de continuer « We need a kind of World Health Organization for the Internet», un espace propre, marchant au pas cadencé des trames 802.1 formatées et filtrées …
On ne peut s’empêcher de penser aux propos de Monsieur Frédéric Lefebvre qui voyait en Internet un nid de psychopathes, de violeurs, de poseurs de bombes, de manipulateurs et de dangereux capitalistes libéraux. Mais alors que le porte-parole de l’UMP souhaite placer un policier derrière chaque abonné au câble et à l’ADSL, Mundie, pour sa part, opte pour une solution correspondant plus à une vision américaine du problème : transformer chaque citoyen en individu responsable, capable de prendre lui-même la sécurité d’Internet en main quitte à la faire respecter en cas d’absence d’autorité locale. En caricaturant à l’extrême, l’on peut conclure qu’il se répand une idée étrange au sein de certaines édiles, celle qu’Internet est une arme et qu’il est bon que l’emploi de cette arme soit placé sous le contrôle d’un examen sélectif. Le terme « permis de conduire » est certes moins choquant mais l’idée sous-jacente, le but et le résultat sont strictement semblables. On imagine très bien ce à quoi un permis de surfer pourrait ressembler : La version poids-lourd demanderait un calcul de masque de sous-réseau, la théorie et pratique d’un sniffer (hormis en France ou de tels outils sont assimilés par la LCEN à des armes de destruction massive) et la récitation par cœur des 1024 premiers « well known port number », à rebours et sans compter sur ses doigts. La version Permis VL n’exigerait que quelques notions d’architectures simplifiées, une analyse pratique des principaux protocoles de chiffrement, une qualification Microsoft Certified Professional orientée Firewall/antivirus, et un test rapide de l’acuité visuelle permettant à l’impétrant-internaute de reconnaître du premier coup d’œil une page de phishing, un bon navigateur d’un mauvais parmi un tas de version d’I.E., de Chrome, de Firefox et de Safari.
L’on pourrait même imaginer des « permis mobylette » et des stages de « conduite accompagnée » limités strictement à l’enceinte du réseau local, dans le cadre étroit d’un protocole non routable… à tout hasard Netbeui, histoire de préparer à l’examen en question. Changer de carte Ethernet de secours, vérifier la vidange des caches, contrôler les niveaux de spam, apprendre à boucler sa ceinture périmétrique, maîtriser sa vitesse durant les téléchargements (légaux) de fichiers (encore plus légaux).
Parano, Mundie ? Pas le moins du monde. The Raw Story rapporte même les propos de André Kudelski, l’héritier de la prestigieuse marque Nagra –magnétophones mythiques des grandes heures de la Radio- et businessman de l’industrie du chiffrement antipirate de contenus audios et vidéos : « New internet might have to be created forcing people to have two computers that cannot connect and pass on viruses. "One internet for secure operations and one internet for freedom ». Il a fallu des années pour que certains responsables sécurité comprennent qu’une machine délivrant les Certificats Primaires d’un C.A. soit enfermée dans un coffre et isolée de tout réseau, il faudra bien un siècle pour persuader les petits internautes d’acheter chacun deux ordinateurs pour maintenir le taux de croissance des touristes de Davos ...
2 - L’art de « formater à bas niveau » un utilisateur 2.0, suite
Un second article, nuancé et tout en « second degré », contrairement aux propos des Mundies et Kudelski durant leur villégiature Helvétique, est sorti de la plume de Mark Hofman du Sans. Lequel nous fait revivre les temps héroïques de l’informatique, depuisl’utilisateur release 0.1, avec terminaux passifs et administrateurs-rois, à l’usager 2.0 résosocialisé, en passant par toutes les étapes intermédiaires : 0.5, avec les premiers PC, 1.0, avec l’apparition des premiers réseaux locaux et le « oui c’est possible, il suffit d’ajouter une License X-Y et une liaison BCS à double arbre à came en tête et brassage à jarretières. Et c’est d’ailleurs avec le « Uzer One pohinte ziro » que sont apparus les premiers problèmes d’administration, de gestion des droits d’accès et (ce que ne mentionne pas l’auteur) l’apparition spontanée de développements « maison » pondus à l’aide de compilateurs exotiques faisant appel à des langages « structurés » (dBase/Clipper, Bascom, Turbo Pascal…). User 1.0 a dû progressivement se faire « upgrader » par phases successives que Mark Hofman survole rapidement. Pour faire place enfin à User 2.0, une nouvelle race qui vit et meurt avec son téléphone 3G, ses propres applications « profilées », ses messageries instantanées, ses Tweets, ses Myspace et autres Facebook. Certes, explique Hofman, on entendit brièvement les cris d’agonie des vieux admins, ceux relevant encore des générations 0.1 à 1.9 (silent releases et build intermédiaires non comprises). Les salles informatiques résonnent encore de« ils n’utiliseront ces internetteries que lorsque l’on aura arraché mes prises RJ45 de mes doigts roidis par la mort »… mais à partir du moment où ce vent de folie anti-sécuritaire était compensé par un surcroît de productivité, à quoi bon lutter contre le progrès ? et l’on a dû mettre à niveau Admin 1.9 avec un Service Pack 2.0. Car si Admin 0.x et 1.x déployaient des prodiges de savoir pour protéger les infrastructures, les serveurs, des applications, Admin 2.0 doit, pour sa part, se focaliser sur la sécurisation des données. Un tout autre sport, une nouvelle approche, de nouvelles batailles également. Comme par exemple comment intégrer dans ce lot les utilisateurs de Macs qui persistent à penser que leurs machines ne peuvent être infectées…
Le commencement de la fin, expliquait Markus Ranum, s’est amorcé lorsque les services marketing et opérationnels ont demandé aux informaticiens si « telle ou telle chose était possible » et d’en exiger la mise en application à peine entendu le « oui » des DSI. Sans bien sûr attendre le « mais » qui inévitablement devait suivre. UnMais qui annonce les risques, les contraintes, les catastrophes potentielles. Imaginons un instant que le temps puisse se replier, que l’on puisse un jour proposer à User 0.5 et Admin 1.0, entre deux IBM PC dotés de cartes d’émulation 5250 et des tous premiers écrans Hercule, un monde ouvert à Internet, qui ne connaîtrait plus la limitation à 19600 bauds et les réseaux à 1 ou 4 Mb/s, où l’on passerait sans transition du CRT monochrome au LCD 32 millions de couleurs… mais un monde également peuplé de spam, scam, attaques Web, infections virales, vagues de botnets, vols d’identités… Pas certain que User 0.5 en abandonnerait son UA Profs et son traitement de texte Ebdic .