• [^] # Re: La faute à qui?

    Posté par (site web personnel) . En réponse au message La sécurité informatique ça sert à rien .... Évalué à 4.

    Je ne dirais pas que c'est toute l'industrie. Regarde les téléphones portables, les mises à jour Android sont au bon vouloir du constructeur, qui, la plupart du temps, n'en propose pas, ou très peu

    La situation est moins aisée que tu sembles le faire croire.
    Déjà Google publie des versions de Android très régulièrement, ce qui demande un gros travail de suivi de la part des constructeurs.

    Tu oublies aussi que ce sont les fondeurs, type Qualcomm, à l'origine du problème. Pour une puce donnée, en général ils ne proposent qu'un noyau fixe avec des utilitaires autour eux aussi fixes pour exploiter le matos. Le suivi des versions des outils pour une version précise d'un processeur est complexe (le noyau Linux évolue très très vite), le noyau étant assez exigeant sur la qualité des correctifs, peu de fondeurs tentent de mettre le tout dans la branche officielle.

    Résultat les constructeurs sont condamnés à suivre la politique du fondeur de leur puce ce qui limite la possibilité du suivi d'Android. Sans oublier que bien sûr, toute branche à maintenir pour le constructeur a un coût, coût qui monte vite (car il y a beaucoup de travail à effectuer sur chaque modèle). Si seul Apple ou presque parvient à le faire c'est uniquement parce qu'ils maitrisent toute la chaine, qu'ils ont très peu de modèles (car grosso modo qu'une gamme) et qu'ils vendent assez chers leurs produits pour faire de la maintenance sur la durée.

    Notons malgré tout qu'avec l'évolution technique, les logiciels pour l'exploiter s'alourdissent... Avec un matériel fixe tu ne peux pas accepter éternellement de nouveaux logiciels au risque d'être inutilisable (suffit de voir les commentaires des gens à propos de leur ordi ou iPhone quand il y a eu la mise à jour de trop du système). Donc que faire ? Ce n'est pas une question simple. Vraiment. La mise à jour éternelle n'est pas techniquement possible et demanderait un coût élevé que le consommateur doit payer, le veut-il, le peut-il ?

    Très peu d'industries ont à ce soucier de cette problématique de la maintenance sans payer un service le temps de cette maintenance. Économiquement il faudrait peut être passer à un modèle de location / abonnement.

    S'ils font ça, c'est soit que leur matériel n'est pas connecté au réseau, soit qu'il est conçu pour ne pas être mis à jour, soit que la mise à jour va tout péter, ou soit qu'ils ont peur que la mise à jour pète tout parce que ça leur est déja arrivé par le passé. Toutes ces raisons m'ont l'air assez légitimes, et le fait même qu'il existe un risque de nuisance associé à une mise à jour de sécurité pose la question, encore une fois, de la qualité des produits et des procédures fournis par les industriels.

    Donc l'utilisateur doit mettre à jour le produit, mais ne le fait pas pour X raisons, mais c'est de la faute de l'éditeur ? Foutage de gueule.

    C'est aussi ça le problème, et je ne vois pas pourquoi ça serait vrai dans l'absolu. On pourrait aussi très bien décider que par définition, un système efficace est un système qui n'ajoute aucune contrainte pour l'utilisateur, ou des contraintes très ponctuelles. Un bon exemple à mon avis est la généralisation d'HTTPS, qui est relativement transparente.

    HTTPS nécessite quand même de vérifier l'URL et le certificat pour que ce soit réellement efficace. Peu de gens le font pourtant.
    Le chiffrement impose malgré tout des contraintes incontournables que l'utilisateur doit comprendre, même si on peut simplifier cela, cela ne peut pas être totalement transparent.

    Si tu compares avec les standard d'autres industries (aéronautique, équipements médicaux, centrales nucléaires ...), la philosophie est souvent très différente : (i) la sécurité ne se fait jamais au détriment de "l'expérience utilisateur" (la psychologie est très fortement prise en compte), (ii) la sécurité est obtenue en superposant des procédures redondantes qui sont indivuellement trouées, (iii) jamais un équipement n'est mis sur le marché dans un état non sécurisé avec l'espoir qu'il le devienne après coup, etc.

    Aussi une question de législation, parce que quand une companie aérienne doit payer une fortune pour chaque personne écrabouillée dans un crash, alors ça fait réfléchir sur l'importance de la sécurité. Pourtant, ça n'a jamais été aussi bon marché de voyager en avion, comme quoi ça ne coûte pas forcément plus cher.

    Tu as travaillé dans l'aéronautique ? Moi oui. Ce que tu dis reste assez aberrant.

    Développer un logiciel en aéronautique c'est super cher et limité. Prétendre le contraire c'est ignorer les processus de développements et de certifications qui sont longues et coûteuses. Cela permet de produire un code assez sûr, oui, mais assez cher et obsolète. Cela est adapté pour l'aéronautique mais pas pour le grand public.

    Car oui, le contrôleur moteur de l'avion, partie critique, ce n'est pas un processeur Intel dernière génération qui le gère mais un microcontrôleur de 30 ans de conception derrière, de tests et assez rudimentaire pour que son comportement soit très prédictible. Nos processeurs modernes font trop de choses, pour améliorer les perfs, apporter des fonctionnalités, que l'aéronautique ne pourra pas avant très longtemps sans doute utiliser dans des sections plus ou moins critiques. En gros nos processeurs modernes dans un avion ne font que du multimédia car peu important si ça foire.

    L'avion utilise des protocoles réseaux ancestraux pour la même raison, qui ne sont pas adaptés à l'Internet moderne et qui ne sont pas sécurisés d'un point de vue applicatif (mais on s'en fou, le hacker ne peut pas se brancher aux fils de l'avion, par contre la transmission doit être fiable).

    Bref, se reposer sur la fiabilité de l'aéronautique c'est cool, mais je crois que tout le monde préfère l'informatique moderne avec une fiabilité parfois discutable (et encore, elle s'améliore) que celle que l'aéronautique utilise qui a en réalité des décennies de retard.

    Tu oublies également qu'un avion a une durée de vie très longue ce qui permet d'amortir les coûts importants de son développement et de sa production. Un ordinateur qui a une durée de vie de 30 ans, je doute de sa pertinence.

    En gros, si Microsoft devait te payer 1000€ de dommages et intérêt pour chaque écran bleu, j'aurais tendance à pesner que l'OS serait beaucoup plus stable, que les drivers seraient bien bien carrés, que MS forcerait les constructeurs de matériel à publier et respecter leurs specs et à ne pas changer leurs chipsets tous les 15 jours.

    Pourtant ces procédures arrivent peu à peu, tu as déjà utilisé Windows récemment ? C'est plutôt fiable et sécurisé maintenant. Et ce sans que ce soit une contrainte légale.

    les disques durs seraient certainement plus fiables, les systèmes proposeraient par défaut des disques dupliqués, des systèmes de sauvegarde automatique fiables,

    Les disques durs sont quand même assez fiables, il y a des limites inhérentes à la technologie employée, la fiabilité absolue n'existe pas.
    Note que ce que tu proposes, si c'est imposé de standard, cela augmenterait de fait le prix des produits. Qui va payer ? Celui qui galère à acheter son ordinateur à 300€ ?

    Bref, pour synthétiser, on peut faire mieux, clairement. Mais l'industrie prend déjà cela en compte peu à peu (depuis 15 ans les progrès du secteurs sont notables). En tout cas tu ne peux te baser sur des secteurs très réglementés comme l'aéronautique car tu mets sous le tapis les problèmes de ces secteurs d'activité qui accusent un décalage important par rapport à la technologie actuelle. Tu oublies aussi la contraintes du coût et des difficultés de faire une réelle maintenance. Avec le modèle économique actuel, cela n'est guère possible de faire ce que tu souhaites.