Mon premier blog

Le titre peut surprendre (surtout quand on connait ma soeur, mais ca marche quand meme sinon), qu'est-ce que j'ai bien pu fumer pour mettre les mots "sécurité" et "ma soeur" dans la meme phrase ??

Mais revoyons la meme scène, au ralenti:

La sécurité (sous entendu sécurité informatique, surtout, mais pas forcément seulement) est une partie importante de mon travail, voire de ma facon de penser, et que vous le vouliez ou non, j'en parle, j'ai meme fait une catégorie exprès ici, et elle se remplira.

"ma soeur" (attention, il y a un piège: j'ai plusieurs soeurs !!!) est passée chez moi il y a quelques semaines (oui, je sais, à peu près tout le monde s'en fout, mais vous avez décidé de lire MON blog, alors va falloir assumer, maintenant, si vous etes pas contents, z'avez qu'a faire votre propre blog, mettre dedans des trucs que vous avez envie de lire, puis mettre un lecteur de flux RSS sur votre propre blog.....), et lors d'une discussion tardive et arrosée, on en est venus à parler de mon blog. Ma soeur est donc devenue lectrice de mon blog (enfin, si ca passe sur un MAC ;-). Ca peut paraitre anodin en soi, mais c'est en fait une première mondiale: il y a maintenant un lecteur (enfin, une lectrice, pour etre exact) de ce blog qui le lit parceque je lui en ai donné l'adresse !!!

Eh oui, c'est comme ca, le temps ou ce blog était réservé à l'élite des hackeurs capables de découvrir seuls son adresse est révolue, on avait déjà eu connaissance de sombres histoires de divulgation de l'URL il y a quelques temps, et maintenant, meme ma soeur sait lire mon blog, vous vous rendez compte ?

Mais continuons notre analyse au ralenti, à peu près au moment ou Xor a presque fini d'enfiler son scaphandre de combat:

J'ai rien fumé, et mon haleine fétide de ricard digne d'un représentant des forces de l'ordre exercant sur la cannebière n'est due qu'a l'excès de bonbons à la réglisse.

Le contexte est éclairci, Xor est pret à aller botter le cul du super méchant de l'épisode d'aujourd'hui, il reste quand meme le point essentiel de cette séquence: pourquoi "sécurité" et "ma soeur" dans la meme phrase ???

Bah tout simplement parceque ca me choque que ca vous choque. Revenons à l'épisode précédent: pendant que Steven déclarait sa flamme a Sandy, que l'infame JR se bourre la gueule à la vodka frelatée et au mélange 2 temps sans plomb, et que Cruz se demande ou a bien pu passer Pamella qui lui avait pourtant donné rendez vous sur la jetée, et qui va bientot avoir 2 jours de retard, j'étais aux Rencontres Mondiales du Logiciel Libre avec un super bagde marqué "Directeur de thème Sécurité" (enfin, c'est ce qui aurait été marqué si j'avais pris le temps de remplir correctement un truc).

D'habitude, un thème sécurité dans ce genre d'évènements, c'est:

• des développeurs venus présenter la dernière super fonctionnalité de la mort qui déchire tout d'une application de sécurité,

• des "hackeurs" (promis, je ferai un billet sur "hacker" un jour, et meme que je viendrai rééditer ce billet pour mettre un lien) venus présenter le super top méga dernier virus/ver/machine à café, spécialement concu pour contourner les applications elles memes spécialement concues pour détecter les vers/virus/autres.

• d'autres hackeurs venus présenter leur super top méga dernier "0 Day exploit" (en gros, un truc pour faire des machins pas bien sur des bidules, et qui n'est encore connu par personne).

• des gens dans la salle qui écoutent plus ou moins (les deux paramètres importants qui influent sur la qualité d'écoute sont la puissance de la voix du conférencier et la qualité de réception du réseau Wifi).

• Quelques gars qui essaient de pourrir le réseau Wifi, soit en saturant le point d'accès, soit en faisant d'autres trucs presque pas connus depuis des années. Des fois, ils arrivent quand meme à récupérer des logins/mots de passes d'autres personnes......

• Pour les grosses confs, quelques gens discrets qui bossent pour des agences de gouvernements en 3 lettres (au hasard, NSA, CIA, DST, DGSE (ah, zut, la ca fait 4 lettres....), etc....), et qui sont a peu près les seuls à se placer de facon précise dans la salle (de préférence juste derrière ou juste à coté d'une personne dite "intéressante").

• Parfois, l'armée, qui se place traditionnellement en "rangs".

• Accessoirement, un gars qui s'est perdu, et qui attend poliment la fin de la conf avant de sortir.

Cette description assez précise (très fortement inspirée d'une excellllllente rump session des SSTIC de 2006, malheureusement pas dispo sur le site des actes du SSTIC) laisse une question en suspens: ils sont ou les autres, les gens "normaux", ceux de la vie de tous les jours ?

Déjà, que les choses soient claires tout de suite: ils ne sont pas dans mon cul, j'ai vérifié.

Non, ces gens, ils sont en train d'acheter des tshirts de geek a l'accueil, ils sont dans d'autres confs quand il y en a, ils sont au bar, chez eux, au boulot, en vacances, bref, ils sont effectivement AILLEURS !

Pourquoi ? Bah d'abord parcequ'ils n'y comprennent rien à un bout de code assembleur, ne savent pas ce que c'est qu'un "buffer overflow", et sont persuadés qu'ils n'y comprendront rien à toutes ces conférences des gars qui font de la sécurité. Et ils ont raison !!!!

Ensuite, parcequ'ils sont persuadés que, de toutes facons, la sécurité est l'affaire des gens qui bossent dans la sécurité, et que ca ne les concerne pas. Et la, ils ont TORT !!!

La, je vous vois venir, vous etes déjà en train de vous dire "ouhla, le VANHU il dérive encore de ses sujets, ils doivent etre bien chargés, ses bonbons". Et pourtant, non. Je vous parlais de ma présence aux RMLL cette année, et cette description des conférences de sécurité est très exactement le début de la conférence/débat que j'ai animé cette année aux RMLLs.

Pourquoi ? Parceque justement, la sécurité n'est pas que le problème des gens qui font de la sécurité, mais c'est bien l'affaire de tous, y compris de ma soeur. CQFD......

Alors forcément, c'est bien gentil d'en arriver à cette conclusion, mais comme disait un grand philosophe, c'est pas le tout de remonter les problèmes, faut aussi apporter des solutions.

Et c'est la que ca se complique. J'apportais volontairement un problème épineux sur la table ronde des RMLLs (bon, ok, elle était pas "ronde", et était déjà a peine "table", mais bon) sans proposer mes solutions, parceque c'était justement un débat ouvert, et que je ne voulais pas imposer mes solutions.

Entre autres choses qui se sont dites (avec un peu de chances, vous aurez bientot ici ->>>> <<<<- la un lien vers la vidéo de la conf), la discussion a amené un problème intéressant: est-ce que les gens ont envie de savoir à quel point ils vivent dans un monde non sécurisé ?

Ont-ils vraiment envie de savoir à quel point il est parfois facile de prendre le controle de leur ordinateur, de récupérer leurs mots de passes, de lire leurs mails, de voir leurs photos de vacances, d'utiliser leur ordinateur pour attaquer d'autres machines (et ca au moins, tout le monde devrait se sentir concerné, et le sera quand la police viendra faire une perquisition chez eux a 6h du matin.....) ?

Mais ont-ils aussi envie de savoir que leur carte de crédit n'est pas du tout aussi sure que les banques l'affirment ? Ont ils envie de savoir à quel point il est facile de forcer la plupart des serrures, pourtant utilisées pour fermer leur porte de maison ? Ont ils envie de savoir qu'il est assez facile d'ouvrir leur super méga top voiture récente, pourtant équipée d'une alarme qui fait "bip bip" (non, l'alarme ne fait pas "beep beep", mais bien "bip bip". regardez de plus près, elle a bien été fabriquée en chine) dès qu'on s'éloigne un peu avec la clé "qui marche sans qu'on aie besoin de la mettre dans le contact" ?

Soyons lucides, la réponse est: NON, ils n'ont pas envie de savoir.

Mais un certain "Theo de R.", utilisateur anonyme d'un système d'exploitation obscur, et personne pas forcément très recommandable sur le plan social et humain, a dit quelquechose qui pourrait a peu près se traduire par "ma sécurité dépend de la sécurité de tous".

Il est donc peut etre temps que tous les "experts en sécurité" arretent un peu de se toucher entre eux, et (re?)commencent un travail important, lourd, pénible, et qui ne sera probablement jamais achevé: expliquer aux gens "normaux" que la sécurité informatique (et la sécurité en général) les concernent, eux aussi, et que s'il est tout à fait compréhensible que tout le monde ne s'intéresse pas forcément à tous ces détails techniques, tout le monde devrait au moins essayer d'acquérir un minimum de culture générale en sécurité.

La prochaine fois, on parlera d'un autre sujet épineux et hautement philosophique: SuperTomate !