Puisque l'on m'a invoqué lors d'un précédent article, me voici, tel le diable sortant de la boîte. Qui suis-je ? Boris Goudounov, bien sûr. Vous m'aviez oublié, grave erreur. Je suis le vice président de MCA, vous me remettez ?
Je suis aujourd'hui très heureux, toutes mes affaires prospèrent. Il faut dire que j'ai eu un peu peur l'hiver dernier. En effet, par voie de presse, j'apprenais, ce que je savais d'ailleurs depuis pas mal de temps, et pour cause, que la marine française avait été attaqué par le vers Conflicker. Normal que je le sache, on m'avait payé pour l'infecter. Par contre, que voyais je ? l'armée, et en plus française communiquait sur un incident de sécurité. Mais quelle est cette hérésie, je croyais bêtement qu'en France on ne communiquait pas sur ce type d'incident. Ou bien, qu'en France, il n'y avait pas d'incident de sécurité informatique, ce qui faisait de ce pays, le pays le plus sécurisé du monde. Heureusement, depuis tout est rentré dans l'ordre, et plus un communiqué n'est paru. Oui, vous avez bien lu le mot heureusement dans ma prose.
Eh oui, à tout prendre, j'aime beaucoup (non plutôt j'adore) lorsque les sociétés confondent dissimulation d'information (que l'on trouve très facilement sur n'importe quel moteur de recherche) et sécurité. Bien sûr, la sécurité repose sur le fait de dissimuler des informations, mais cacher des informations que l'on peut retrouver, cela s'appelle de la sécurité à travers l'obscurité (ou STO Security Through Obscurity). En fait, cette croyance (car c'en est une) repose sur le fait qu'un produit (au sens large) est fiable parce qu'il éveille peu d'intérêt ou qu'il est mal connu. Dissimuler certains éléments n'est pas mauvais en soi, mais pas mal de sociétés confondent « certains éléments » avec « toute l'informatique ».
Et alors, c'est là que j'interviens, ces sociétés se sentant à l'abri tombent de très haut lorsque l'on me demande de les attaquer, cela en devient même trop facile, un peu comme un château de cartes, une petite faille et tout s'effondre. Donc, basé sa sécurité sur je ne communique rien peut être à moyen terme une mauvaise stratégie. Dans un autre ordre d'idée, je citerai l'exemple de Mac OS, il y a quelques années. Apple clamait haut et fort que son système était plus sécurisé que celui de son illustre concurrent. Bien sûr, Mac Os totalisait alors bravement moins de 4% des systèmes d'exploitation installés, et n'intéressait personne, même pas moi. C'est bizarre, quand même, lorsque ce système a un peu évolué en terme de part de marché, on s'est mis à y trouver pas mal de failles, étrange, non ? Tout système informatique a des failles, ceci est un axiome, et par conséquent toujours vrai. Ce n'est pas le fait de ne rien communiquer qui vous en protégera, peut être bien au contraire... Surtout, ne confondez pas dissimulation et sécurité.
Au fait, on m'a accusé mais je ne suis pour rien, d'être parti prenante sur les récentes attaques qui ont secouées le web. Pourquoi, je n'avais rien à y gagner, je suis un chef d'entreprise, je ne travaille pas pour rien. D'ailleurs, mon offre d'emploi tient toujours.
_