Vigilance sécuritéMots de passe et cartes de crédit, troisième partie

Jesper M. Johansson

Sommaire

Surcharge des technologies de mise à jour
Messages incohérents sur la sécurité
Les cases à cocher en question
Appel aux armes

Dans les deux derniers numéros de TechNet Magazine, nous avons vu comment les professionnels de la sécurité et du secteur informatique dans son ensemble troublent les consommateurs et entravent les efforts de sécurité. Dans les deux premières parties de cette série, je me suis concentré sur des sujets tels que les solutions qui fournissent des informations incorrectes aux consommateurs, surchargent

le flux de travail d'ouverture de session et enseignent de mauvais comportements. Jusqu'ici, nous avons vu de nombreux exemples de la façon dont l'industrie, soucieuse de prouver son intérêt pour la sécurité des consommateurs, n'a fait qu'aggraver la situation. Dans cette troisième et dernière partie, nous verrons comment certaines des technologies les plus importantes qui sont mises à la disposition des consommateurs ne répondent pas aux attentes de ces derniers. Je conclurai en lançant un appel aux armes.

Surcharge des technologies de mise à jour

L'un des principes les plus importants, la condition sine qua non, en fait, de la sécurité électronique est de garder tout vos logiciels à jour. Presque tous les grands fournisseurs de logiciels proposent désormais un moyen semi-automatique quelconque de maintenir au moins certains de leurs logiciels à jour. Cependant, les choses ne sont pas aussi simples que cela.

Tout d'abord, plus vous avez de logiciels, plus vos mises à jour seront nombreuses. Et plus vous avez de fournisseurs de logiciels, plus les mécanismes de mise à jour à utiliser seront nombreux. Cela peut causer une certaine confusion.

Par exemple, si vous laissez les paramètres par défaut en place, Internet Explorer® se mettra à jour lui-même. Toutefois, Internet Explorer n'est qu'un conteneur pour d'autres technologies. L'impact potentiel de ce fait a été démontré à la conférence de CanSecWest de 2008 où Shane Macaulay a utilisé une combinaison de vulnérabilités dans Java and Adobe Flash pour pirater un Mac. (Les détails n'étaient pas nombreux au moment de la rédaction de cet article car la vulnérabilité n'avait pas encore été révélée). Ce que je veux dire, cependant, c'est que bien qu'aucune de ces technologies ne soit un composant intégré, elles sont toutes deux disponibles sur la plupart des ordinateurs parce qu'elles sont largement utilisées sur Internet. Toutes deux sont difficiles à maintenir à jour : elles ont chacune un mécanisme de mise à jour automatique mais qui ne se déclenche pas très souvent.

En outre, la plupart des utilisateurs finaux ne savent tout simplement pas que ces technologies sont là et qu'elles ont besoin d'être mises à jour. Dans de nombreux cas, ces technologies ont été fournies dans l'image OEM de l'ordinateur qui, pour le consommateur, est indifférenciable du système d'exploitation. Pour l'utilisateur final, si Windows® Update dit qu'il n'y a pas de mise à jour, c'est qu'il n'y a pas de mise à jour.

Le second problème est que les mécanismes de mise à jour sont souvent plus complexes que nécessaire. Il est peu probable qu'un mécanisme de mise à jour dont le mode n'est pas entièrement automatique soit largement utilisé car les utilisateurs ne savent généralement pas qu'ils doivent exécuter cet outil. En outre, dans la plupart des cas, l'utilisateur doit avoir des privilèges d'administrateur pour pouvoir installer les mises à jour, et dans le pire des cas, l'utilisateur doit avoir des privilèges d'administrateur juste pour être informé de la disponibilité d'une mise à jour.

Enfin, les fournisseurs utilisent de plus en plus des technologies de mise à jour logicielle pour déployer des logiciels sans rapport que l'utilisateur n'a pas installés, par exemple des barres d'outils. Les technologies de mise à jour logicielle qui, au départ, étaient exclusivement destinées à déployer des mises à jour de logiciels, sont désormais utilisées pour distribuer également d'autres logiciels.

En guise d'exemple, nous citerons le service Microsoft® Windows Update (figure 1) et Apple Software Update (figure 2). Apple et Microsoft ont tous deux choisi d'utiliser leurs mécanismes de mise à jour non seulement pour mettre à jour des logiciels mais aussi pour déployer des logiciels que l'utilisateur n'a pas installés au départ.

Figure 1 Utilisation de Windows Update pour déployer Silverlight (Cliquez sur l'image pour l'agrandir)

Figure 2 Utilisation des mises à jour logicielles d'Apple pour distribuer Safari (Cliquez sur l'image pour l'agrandir)

Dans le cas d'Apple, iTunes et Safari vous sont proposés même si vous n'avez installé que QuickTime. Il est intéressant de noter qu'ils sont également sélectionnés par défaut.

Dans le cas de Windows Update, le logiciel le plus récemment déployé par le service de mise à jour est Silverlight™. Microsoft a utilisé cette technique dans le passé pour distribuer de nouveaux logiciels. À son crédit, au moins Microsoft n'a-t-il pas coché par défaut la case d'installation des nouveaux logiciels.

Cette stratégie de distribution de nouveaux logiciels via un mécanisme de mise à jour cause deux problèmes aux utilisateurs. Tout d'abord, beaucoup de ces utilisateurs finiront par avoir sur leurs ordinateurs un nombre de logiciels beaucoup plus important qu'ils n'en avaient au départ. Comme vous le savez, les logiciels, quels qu'ils soient, comportent des bogues, et certains de ces bogues peuvent entraîner des vulnérabilités en matière de sécurité. Et certaines de ces vulnérabilités finiront par être utilisées dans des attaques. Par conséquent, certains utilisateurs seront attaqués par des logiciels dont ils n'ont pas besoin ou qu'ils n'utilisent même pas et qui ont été déployés sur leur ordinateur par un mécanisme de mise à jour logicielle.

En outre, les utilisateurs peuvent se faire une fausse idée de la valeur des mécanismes de mise à jour logicielle. Si les utilisateurs découvrent que les mécanismes de mise à jour logicielle sont utilisés pour déployer des logiciels au lieu de proposer de nouvelles mises à jour, ils risquent de les considérer comme étant inutiles et de ne plus les utiliser. Imaginez ce que doit ressentir un utilisateur qui a été victime d'une attaque via une vulnérabilité provenant d'un programme qu'il n'utilise jamais mais qu'il a installé par le biais d'un mécanisme de mise à jour logicielle !

L'intégrité et la sécurité de l'écosystème technologique peuvent être sérieusement compromises si les utilisateurs ne font plus confiance aux technologies chargées d'assurer leur sécurité. Une fois que les utilisateurs auront perdu cette confiance, ces technologies commenceront à être rejetées et ne seront finalement plus utilisées. Si les technologies qui sont essentielles à la protection, telles que les technologies de mise à jour, ne bénéficient plus de la faveur du grand public, l'ensemble de l'écosystème technologique sera compromis. La protection de cet écosystème constitue la raison pour laquelle Microsoft distribue des mises à jour de sécurité même aux ordinateurs qui exécutent des logiciels piratés.

Par comparaison, j'ai beaucoup de respect pour l'interface de mise à jour de Mozilla Firefox, propre et conçue pour un usage bien déterminé, et illustrée par la figure 3. J'espère que Mozilla continuera d'éviter la tentation de distribuer des logiciels supplémentaires via son outil de mise à jour logicielle.

Figure 3 L'interface de mise à jour logicielle de Firefox est l'une des plus propres de l'industrie (Cliquez sur l'image pour l'agrandir)

Messages incohérents sur la sécurité

Ce serait quand même formidable si l'industrie se mettait d'accord, un jour, sur un message commun à envoyer aux consommateurs. Bien sûr, la concurrence dans l'industrie est essentielle, mais les consommateurs ont besoin de savoir ce que le terme sécurité doit signifier pour eux. Malheureusement, ils ne le sauront pas si l'industrie continue de leur envoyer des messages contradictoires. Franchement, je serais déjà satisfait si les entreprises commençaient déjà par mettre un peu de cohérence dans leurs propres messages.

Certes, l'industrie n'acceptera probablement jamais de se mettre d'accord sur un message commun, mais les entreprises doivent au moins faire preuve de cohérence et d'honnêteté dans leurs messages. Vu qu'il est absolument vital que les clients continuent à faire confiance aux technologies de sécurité, l'industrie dans son ensemble doit faire mieux.

Parallèlement, nous devons aussi remettre en question ce qui représente de la valeur aujourd'hui. Par exemple, je ne crois pas que les antivirus soient aussi efficaces ou même critiques aujourd'hui que ne le laisse entendre l'industrie. Considérons l'ordinateur que mon fils, âgé de sept ans, utilise et l'ordinateur qui se trouvent dans ma cuisine. Tous deux sont dotés de logiciels antivirus depuis trois ans, et durant tout ce temps, aucun n'a lancé d'alerte pour quoi que ce soit. Je ne dis pas que nous devrions oublier les antivirus ; à ce stade, ils représentent un composant fondamental de l'écosystème technologique. Il est clair que si nous désinstallions brusquement tous les antivirus, les pirates ne tarderaient pas à en profiter et nous commencerions à voir davantage d'infections.

Ce que je veux dire, c'est que l'industrie doit réfléchir sur les fonctionnalités dont les utilisateurs ont vraiment besoin dans leurs produits de sécurité, sur l'efficacité de ces fonctionnalités et sur la façon dont les entreprises communiquent ces besoins et ces valeurs aux consommateurs. Pour le moment, les utilisateurs reçoivent beaucoup trop de messages contradictoires, exagérés et souvent faux sur la sécurité.

Les cases à cocher en question

En guise d'exemple, l'industrie des logiciels de sécurité ne jure que par les suites. Aujourd'hui, les logiciels de sécurité sont presque exclusivement distribués sous forme de lots de fonctionnalités sans aucun rapport apparent. Et il n'y a pas pratiquement pas d'informations sur les fonctionnalités dont les utilisateurs ont réellement besoin.

Cela semble se traduire par une course effrénée à la coche Si listes de vérification représentent, certes, un bon moyen de comparer des produits, elles peuvent aussi donner naissance à des fonctionnalités qui ne sont pas nécessaires ou désirables, ou même qui n'ont aucun sens. Les figures 4 à 7 présentent quatre listes de coches de quatre fournisseurs de logiciels de sécurité différents. Est-il logique de supposer que le produit comportant 17 coches est supérieur à celui qui n'en a que 10 ?

En réalité, je trouve ces figures plutôt amusantes. À la figure 4, le produit a reçu une coche parce qu'il s'agit d'une nouvelle version. Le produit de la figure 5 obtient une coche car, d'après l'entreprise, « il empêche les attaques provenant de sites Web détestables ». Le produit de la figure 6 obtient des points supplémentaires parce qu'il « protège les enfants en ligne ». Il est évident que personne ne voudrait d'un produit qui ne protègerait pas les enfants. Le gagnant obtient, toutefois, le prix de la créativité pour avoir inclus des fonctionnalités telles que le nettoyage de Registre et la défragmentation de disque dur dans une suite de sécurité. La première fonctionnalité est rarement, voire jamais, nécessaire et la seconde est déjà intégrée au système d'exploitation. En fait, le système d'exploitation Windows inclut déjà des solutions pour 15 des 17 coches illustrées par la figure 7.

Figure 4 Ce produit haut de gamme possède seulement 10 coches (Cliquez sur l'image pour l'agrandir)

Figure 5 Ce produit avec 11 coches doit être meilleur (Cliquez sur l'image pour l'agrandir)

Figure 6 Attendez ! Celui-ci a 12 coches (Cliquez sur l'image pour l'agrandir)

Figure 7 Mais ce produit à 17 coches doit être le meilleur, non ? (Cliquez sur l'image pour l'agrandir)

Nous constatons ici des tendances inquiétantes. Non seulement ces produits dupliquent des fonctionnalités qui existent déjà dans le système d'exploitation (chose que l'on a oublié de mentionner dans les documents de marketing), mais ils affirment également des choses qui ne sont absolument pas vraies. Par exemple, aucun logiciel de sécurité au monde ne peut véritablement arrêter les attaques ; il ne peut que contribuer à les empêcher. De même, aucun produit ne peut vraiment cacher votre présence aux pirates.

Le problème, c'est que la sécurité logicielle a été principalement conçue autour de la protection des utilisateurs contre des vulnérabilités rendues possibles par des produits créés par d'autres fournisseurs. Toutefois, comme ces fournisseurs sont de plus en plus aptes à protéger leurs propres clients, le modèle commercial de l'industrie de la sécurité logicielle est menacé. Pourtant, l'industrie de la sécurité logicielle a assurément beaucoup à offrir à mesure que de nouvelles menaces apparaissent ; toutefois, les fournisseurs doivent aider les clients à gérer les risques, et non pas simplement à éviter des menaces qui ne sont plus vraiment des menaces.

Appel aux armes

S'il y a une chose que j'aimerais que les lecteurs retiennent de cette série en trois parties, c'est qu'en tant qu'industrie, nous devons être honnêtes avec nos utilisateurs et nos clients. Nous devons expliquer les risques et comment leur faire face. Et nous devons enfin commencer à offrir aux utilisateurs ce dont ils ont besoin pour se protéger.

Ma plus grande inquiétude à propos de toutes ces « solutions », c'est qu'il y a de bonnes chances qu'elles dégradent la sécurité à long terme. Si les utilisateurs, et même les responsables informatiques, pensent réellement que ces produits résoudront les risques de sécurité réels, en particulier tous les risques que ces produits prétendent à tort pouvoir neutraliser, nous risquons de perdre l'occasion de montrer aux consommateurs comment ils peuvent véritablement se protéger.

Prenons l'exemple des systèmes d'authentification par mot de passe. Si les utilisateurs pensent qu'ils sont effectivement protégés par les modules complémentaires faibles ajoutés aux systèmes d'authentification par mot de passe dont j'ai parlé dans la première partie de cette série, ils peuvent devenir encore moins vigilants et utiliser des mots de passe encore plus faibles. Dans les pires cas que j'ai soulignés dans cette série, la technologie oblige en fait l'utilisateur à utiliser une sécurité plus faible que celle qu'il aurait utilisée si la nouvelle technologie n'avait pas été implémentée. Cela signifie que lorsque les utilisateurs malveillants trouveront le moyen de vaincre ces systèmes, ce qui n'est souvent pas compliqué, nos problèmes de sécurité empireront. Cela pourrait ébranler la confiance de manière considérable et pousser les utilisateurs à se détourner des solutions possédant une vraie valeur.

Nous devons prendre des mesures maintenant pour protéger l'écosystème technologique sur lequel reposent nos entreprises. L'innovation doit, bien sûr, être encouragée, mais nous devons également tout faire pour éviter que des innovations non nécessaires n'entravent l'analyse des risques réels, sinon, nous n'aurons qu'une comédie sécuritaire qui finira par se retourner contre nous.

Il en va de même pour les autres exemples que j'ai abordés. Prenez le mirage de sécurité, par exemple. Il n'est d'aucune utilité : il donne aux utilisateurs un faux sentiment de sécurité et permet aux fournisseurs de service en ligne d'offrir des optimisations qui causent des dommages indirects aux utilisateurs. Entre temps, il suffirait de quelques milliers d'euros, ou peut-être de quelques dizaines de milliers d'euros dans les cas les plus extrêmes, pour fournir aux utilisateurs les informations dont ils ont besoin. Est-ce vraiment trop demander aux fournisseurs que de consacrer une telle somme à la protection de leurs clients et de leurs entreprises ?

Les implications d'une telle situation sont nombreuses. Tout d'abord, nous devons combattre la perception selon laquelle les utilisateurs sont incapables de prendre des décisions et doivent donc en être empêchés. Il est tout à fait possible de montrer aux utilisateurs comment prendre des décisions. Après tout, ces utilisateurs ont déjà pris de nombreuses décisions : ils ont notamment décidé d'acheter un ordinateur, d'utiliser votre site, d'acheter l'un de vos produits ou de vos services, etc. Tout comme les gens doivent apprendre à conduire une voiture en toute sécurité, ils doivent apprendre à utiliser un ordinateur en toute sécurité. Aujourd'hui, les attaques ciblent les utilisateurs personnellement, et la technologie ne peut pas écarter les utilisateurs pour prendre les décisions à leur place. Les technologies de sécurité doivent plutôt être des systèmes d'aide à la décision, qui fournissent les bonnes informations au bon moment pour permettre à l'utilisateur de prendre une décision intelligente.

Les pires interfaces utilisateur au monde proviennent de solutions de sécurité parce que les applications ont été conçues pour empêcher l'utilisateur de prendre tout type de décision ou pour décharger (froidement) sur lui toutes les données disponibles. Aucune de ces approches ne fonctionne. La première met les utilisateurs en péril parce qu'il n'est pas possible de se reposer sur la technologie pour faire le bon choix. Et si la technologie est perçue comme étant un frein aux objectifs professionnels de l'utilisateur, elle ne tardera pas à être désactivée. La seconde conception, quant à elle, n'est pas appropriée parce que les gens n'aiment pas trop entendre parler d'adresses IP, d'ID de processus et d'autres données qui ne signifient rien pour eux. Ils souhaitent tout simplement savoir ce que l'ordinateur fait avec leurs mots de passe et leurs cartes de crédit. C'est là, après tout, le vrai objectif de la sécurité.

Jesper M. Johansson est architecte de logiciels, chargé des problèmes de sécurité logicielle et contribue à l’élaboration de TechNet Magazine. Titulaire d'un doctorat en systèmes d'informations de gestion, il a plus de 20 ans d'expérience dans le domaine de la sécurité et est MVP dans le domaine de la sécurité d'entreprise. Son dernier ouvrage s'intitule Windows Server 2008 Security Resource Kit.