Le Pew Internet and American Life Project vient de publier une étude sur la compréhension des termes désignant les risques informatiques . Qu'est-ce que le phishing, c'est quoi un feed RSS, expliques-moi ce qu'est le podcasting, les spywares et adwares en deux mots... et sincèrement, mis à part le mot spam, le commun des mortels américains ne saisit pas très bien le contenu sémantique profond de ce louchébèm pour technoïdes. Il serait très intéressant qu'un organisme neutre, tel que le Clusif, puisse entamer une recherche semblable dans le cadre de catégories socioprofessionnelles précises (caissiers d'agences, usagers du secteur tertiaire, responsables d'entreprises, commerçants...). En mesurant l'incompréhension des gens « normaux » face au jargon de la profession, l'on comprendrait alors mieux pourquoi les mesures de protection sont parfois négligées. La connaissance commence avec l'explication du sens des mots, un détail que les mathématiciens, les informaticiens, les juristes et les rédacteurs de notes administratives n'ont pas toujours parfaitement saisi.

Sarah D. Scalet de CIO rebondit sur cette information et écrit un article intitulé « Comment le phishing a tué les mots de passe, et pourquoi c'est une bonne chose ». Il est vrai qu'après l'affaire CardSystems, après les multiples alarmes de virus-vers et réseaux de Bot chargés de capturer les mots de passe d'accès bancaires, passées les alertes prévenant de l'inefficacité des procédures mises en oeuvre par les banques en général, on se doutait bien que les mots « login password » avaient pris un coup de vieux. Un jour, nous promet l'auteur de l'article, ils seront aussi surannés que les mots haquenée, coudée, nenni ou promesse électorale.

Et notre consoeur d'annoncer avec un optimisme d'airain (pardon, d'acier inox, soyons de notre époque) que déjà Bank of America, un grand piraté devant l'Ethernet, mettait au point une méthode d'identification par établissement de profil. Pourquoi mon client, habituellement sous Windows XP et utilisant telle classe d'adresse IP m'interroge-t-il avec un NetBSD raccordé au réseau d'un autre fournisseur de service ? Alertons la personne concernée. Et l'on en revient à l'analyse d'un « comportement typique » excluant les personnes itinérantes ou qui passent d'un système à l'autre, possèdent 5 ou 6 lieux de consultation possibles, crashent leurs systèmes toutes les 2 semaines ou tout simplement sont efficacement protégées par un bon firewall. Ajoutons également que même ce genre d'information peut parfaitement être « spoofée » dès lors que l'attaquant a connaissance de ce type de procédure. Enfin, une telle analyse revient à donner à chaque banque le droit de « Snorter » les stations de ses propres clients sous prétexte de sécurité. Non seulement ce genre de pratique est contraire à la LCEN, mais encore il placerait l'usager dans une situation de vulnérabilité sans précédent. Il faudrait alors « autoriser » un type d'analyse de signature et pas un autre... en fonction de quel protocole ? Et de quelle manière ce protocole serait-il sécurisé ?

Ajoutons que les « hackers noirs » qui pratiquent ces tentatives d'escroqueries à grande échelle connaissent parfois bien mieux les procédures de vérification d'identité que les banquiers eux-mêmes. A titre d'exemple, à peine les organismes financiers ont-ils décidé de tester l'efficacité des fameux claviers virtuels, que déjà quelques spécialistes français de la sécurité ont relevé des failles dans le système. L'un en découvrant un site « hébergeant » les frappes des claviers virtuels capturés à partir d'un site de phishing, l'autre en s'apercevant que l'usage dudit clavier virtuel débouchait sur l'émission... non pas du résultat de la frappe, mais carrément du hashcode du mot de passe en question.

L'on entend déjà les partisans de l'identification biométrique avancer les arguments de « l'infalsifiable preuve »... Rien ne trompe un scanner d'empreintes digitales... hormis une empreinte prise à la vapeur de colle cyanoacrylate ou le doigt sectionné du propriétaire légitime -de tels cas ont été hélas répertoriés-. L'analyse de l'iris doit très certainement pouvoir être contournable, à l'aide d'une macrophotographie ou ... pire encore (voir le film Minority Report »). L'analyse d'ADN est, contrairement à ce que beaucoup affirment, la chose la plus simple à contourner, puisque tout être vivant « sème » sa signature génétique au moindre mouvement : cheveux, peaux mortes, égratignures, mouchoirs... Et quand bien même parviendrait-on à échantillonner un élément infalsifiable et prouvant que l'émetteur de la « preuve » n'agit pas sous la contrainte, que l'on devrait s'assurer de l'inviolabilité de la mise en forme binaire de cette information et de sa transmission. Une sorte de mélange d'analyse génétique, de test comportemental, crypté à l'aide d'une clef « one time pad » elle-même transmise à l'aide d'un réseau quantique. Vous avez dit R.O.I. ?

La solution -si l'on peut espérer la trouver- n'est pas nécessairement du côté de l'escalade technologique. Chaque nouvelle technique comporte les gènes de sa propre mort, et c'est en combattant ces gènes que l'on peut espérer une certaine amélioration de la situation. Le mot de passe est toujours vivant et à la mode dans 99% des applications en état de fonctionnement. Ce qui a succombé, c'est la certitude de son inviolabilité. Et le meilleur moyen de minimiser l'impact de ce manque de fiabilité reste ce que les RSSI et CSO font le mieux depuis des années : informer et sensibiliser. Inciter à changer les mots de passe le plus souvent possible, appliquer des « politiques » de mots ou phrases complexes, éviter d'inscrire les « pin numbers » des cartes token sur le dos de l'objet, ne pas ouvrir de courrier de provenance inconnue, ne pas... etc etc. L'enquête de Pew Internet and American Life Project ne comporte aucun autre enseignement : la sécurité, c'est avant tout un problème sémantique, pas seulement une question technique.

. Web-profils.com, la place de marché du conseil et de l'ingénierie