• [^] # Re: La faute à qui?

    Posté par . En réponse au message La sécurité informatique ça sert à rien .... Évalué à 2.

    Ce n'est pas encore idéal bien évidemment mais l'industrie va quand même en ce sens.

    Je ne dirais pas que c'est toute l'industrie. Regarde les téléphones portables, les mises à jour Android sont au bon vouloir du constructeur, qui, la plupart du temps, n'en propose pas, ou très peu. D'après ce que j'ai compris, Google essaye de changer ça, mais pendant plus de 10 ans, le standard de l'industrie a été de vendre des téléphones conçus comme des lave-vaisselles ; ils iront à la décharge avec la même version de l'OS que quand on les a mis dans la boîte à la sortie de l'usine.

    Après je vois quand même nombre d'utilisateurs qui reportent / refusent d'appliquer les mises à jour de leur produit.

    Ils ne font pas ça pour emmerder le monde. S'ils font ça, c'est soit que leur matériel n'est pas connecté au réseau, soit qu'il est conçu pour ne pas être mis à jour, soit que la mise à jour va tout péter, ou soit qu'ils ont peur que la mise à jour pète tout parce que ça leur est déja arrivé par le passé. Toutes ces raisons m'ont l'air assez légitimes, et le fait même qu'il existe un risque de nuisance associé à une mise à jour de sécurité pose la question, encore une fois, de la qualité des produits et des procédures fournis par les industriels.

    N'oublions pas malgré tout que la sécurité implique forcément plus de contraintes pour l'utilisateur, si on souhaite qu'elle soit efficace

    C'est aussi ça le problème, et je ne vois pas pourquoi ça serait vrai dans l'absolu. On pourrait aussi très bien décider que par définition, un système efficace est un système qui n'ajoute aucune contrainte pour l'utilisateur, ou des contraintes très ponctuelles. Un bon exemple à mon avis est la généralisation d'HTTPS, qui est relativement transparente.

    Encore une fois, c'est une histoire de manière de penser dans l'industrie. Souvent, en sécurité informatique, on va privilégier des sytèmes complexes qu'on pense très robustes (par exemple, PGP associé à l'échange de clés entre personnes se connaissant physiquement). Résultat, c'est tellement robuste que personne ne l'utilise réellement. Si tu compares avec les standard d'autres industries (aéronautique, équipements médicaux, centrales nucléaires ...), la philosophie est souvent très différente : (i) la sécurité ne se fait jamais au détriment de "l'expérience utilisateur" (la psychologie est très fortement prise en compte), (ii) la sécurité est obtenue en superposant des procédures redondantes qui sont indivuellement trouées, (iii) jamais un équipement n'est mis sur le marché dans un état non sécurisé avec l'espoir qu'il le devienne après coup, etc. D'autres "industries" ont des pratiques beaucoup plus crades (pharmacie, médecine, phytosanitaire, agroalimentaire...), alors qu'il n'y a aucune raison a priori pour que ça soit le cas : c'est juste une question d'organisation, de normalisation, et de priorité. Aussi une question de législation, parce que quand une companie aérienne doit payer une fortune pour chaque personne écrabouillée dans un crash, alors ça fait réfléchir sur l'importance de la sécurité. Pourtant, ça n'a jamais été aussi bon marché de voyager en avion, comme quoi ça ne coûte pas forcément plus cher.

    En gros, si Microsoft devait te payer 1000€ de dommages et intérêt pour chaque écran bleu, j'aurais tendance à pesner que l'OS serait beaucoup plus stable, que les drivers seraient bien bien carrés, que MS forcerait les constructeurs de matériel à publier et respecter leurs specs et à ne pas changer leurs chipsets tous les 15 jours. Si tu pouvais demander des dommages et intérêts pour les données perdues, alors moins de logiciels écraseraient des fichiers au pif, les disques durs seraient certainement plus fiables, les systèmes proposeraient par défaut des disques dupliqués, des systèmes de sauvegarde automatique fiables, etc. Bref, c'est seulement des mauvaises pratiques industrielles, une course au pognon rapide et au développement technologique irraisonné, qui a mené à la situation actuelle. Ça fait tellement longtemps qu'on entend des conneries du type "c'est de ta faute si ton ordi est lent, tu n'avais qu'à réinstaller le système tous les ans", "tu as oublié de défragmenter ton disque, du coup ça a flingué la tête, c'est normal c'est pas conçu pour ça", "ton compte a été piraté parce que tu n'as pas mis un mot de passe de 24 caractères avec des chiffres et de la ponctuation", "c'est de ta faute si tu as perdu tes données quand tu as mis à jour ton système, tu n'avais qu'à les dupliquer avant", "ton manque de productivité est seulement dû au fait que tu n'as pas lu les 400 pages de doc, puisqu'il suffit de faire control-shift-AltGr-A pour afficher le menu des options de personnalisation"... On finit par croire que c'est normal de chier sur les utilisateurs, ils n'ont qu'à se renseigner, qu'à étudier pendant 10 ans le fonctionnement d'un ordinateur, de savoir utiliser une ligne de commande, de comprendre le principe du chiffrement asymétrique, de deviner quel logiciel installer pour des backups automatiques, pour chiffrer le disque, pour créer un portefeuille de mot de passe... et surtout, de les engueuler quand ils n'ont pas installé le bon logiciel parmi les 127 existants. Alors oui, reporter la faute sur les utilisateurs qui n'arrivent pas à gérer 250 mots de passes, je trouve ça sacrément gonflé. Les utilisateurs font ce qu'ils peuvent et ce qu'ils pensent faire bien avec des produits défectueux et mal conçus.