mercredi 18 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Sécurité informatique : le plus grand risque est humain

Sécurité informatique : le plus grand risque est humain

Bruno Guglielminetti, Ledevoir.com

lundi 20 novembre 2006, sélectionné par Spyworld

logo

Depuis six ans, l’Institut SANS et le FBI publient une liste annuelle des menaces informatiques qui ont fait le plus de dommages pendant l’année et qui sont toujours d’actualité. Des risques qui demandent à être résolus dans l’immédiat par les entreprises qui offrent ses produits ou services, mais également par les particuliers eux-mêmes en assurant la mise à jour régulière de leur équipement informatique.

L’institut américain, renommé pour son enseignement de la sécurité auprès des gestionnaires de réseau comme des professionnels de la sécurité, voit le facteur humain comme un des plus grands risques informatiques de tous les temps. Particulièrement avec l’accroissement du nombre de failles informatiques de type « zero-day » qui sont sans correctif connu pendant une courte ou longue période. Et l’accroissement important du phénomène de l’hameçonnage en 2006 illustre lui aussi l’importance du facteur humain dans la gestion de risque informatique.

Au palmarès Le palmarès intitulé « Top 20 Internet Security Attack Targets » (www.sans.org/top20) pointe également le secteur de la téléphonie IP comme source de menace importante dans le domaine de l’informatique et des télécommunications. Que ce soit pour frauder les consommateurs en pillant leurs banques de temps pour revendre illégalement les minutes de conversations en ligne ou pour « simplement » embourber ou neutraliser les réseaux de téléphonie traditionnels, les services de téléphonie Internet et les serveurs devraient être bien gardés.

L’édition 2006 du classement SANS s’intéresse également à la Chine, un pays qui, selon eux, fait preuve de trop de laxisme en matière de protection de la propriété intellectuelle et qui encourage donc la culture de l’ingénierie inversée pour créer des produits et logiciels illégalement.

L’institut américain SANS conserve toujours sur son radar les produits de l’éditeur Microsoft. Des logiciels, pensons au fureteur Internet Explorer, au lecteur multimédia Windows Media, à la trousse de bureautique Office ou au logiciel de courriel Outlook, qui sont probablement la plus grande source de préoccupation et de menace provenant d’une seule et même entreprise. Microsoft a beau investir des millions de dollars en sécurité, autant dans la prévention que dans la mise à jour de ceux-ci, les pirates trouvent toujours autant d’inspiration et de failles à investir pour le plus grand drame des millions d’utilisateurs de produits du géant informatique.

Mais le rapport annuel ne laisse pas pour autant de côté les environnements Mac et Unix. Dans son évaluation des menaces à surveiller, l’Institut SANS estime que le système d’exploitation Mac OS X et certaines faiblesses dans la configuration de l’environnement UNIX pourraient également fragiliser une partie de la société.

Respirer par le nez

Cependant, dans toute cette gestion de la menace informatique, il faut garder son sang-froid et respirer par le nez. De plus en plus, on voit des cas d’automatisation de l’évaluation du risque qui ne valent pas le monitoring de la menace par l’humain. Le meilleur exemple, c’est cette fausse alerte, la semaine dernière, où des milliers d’utilisateurs du service de protection antivirus Windows Live OneCare de Microsoft ont eu droit à un message de mise en garde lorsqu’ils se sont branchés au site de la messagerie Gmail de Google. Heureusement, Microsoft a réglé la chose depuis, mais combien de ces internautes qui ont eu droit à cette fausse détection ont peut-être décidé de ne plus utiliser le service de Google de peur d’être en présence d’une menace informatique.

L’autre aspect de la menace informatique qu’il ne faut pas négliger, c’est la répression de celle-ci. De plus en plus de pays semblent prendre la chose au sérieux, et notamment l’Angleterre qui fait figure de pionnière dans le domaine et qui vient encore de modifier ses lois pour mieux s’adapter à la menace informatique et, donc, à cette nouvelle forme de criminalité. La nouvelle loi « Police and Justice Act 2006 » votée la semaine dernière vient donner des armes à une loi déjà existante depuis 1990 au sujet du piratage informatique. Et c’est ainsi qu’aujourd’hui la loi anglaise intègre maintenant un article pour traiter « des actes non autorisés perpétrés avec l’intention d’altérer le fonctionnement d’un ordinateur ».

Avec cet amendement à la loi britannique, un individu qui s’amuse à commettre des attaques sur un ou des sites Web pourrait écoper d’une sentence de prison de dix ans. Mieux encore, la nouvelle loi condamne la création et la distribution de logiciels qui servent à pirater ou attaquer des sites Web. Dans ce cas, ou pour un acte plus simple de piratage, la loi prévoit des peines d’emprisonnement de six mois à deux ans.

bguglielminetti@ledevoir.com

Bruno Guglielminetti est réalisateur et chroniqueur nouvelles technologies à la Première chaîne de Radio-Canada. Il est également le rédacteur du Carnet techno (www.radio-canada.ca/techno).


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :