Couverture "Qu'est ce qu'un environnement sécurisé et confidentiel ?"

Qu'est ce qu'un environnement sécurisé et confidentiel ?

Par admin, 23 décembre, 2022

Dans cet article, nous allons voir ce qui fait qu'un environnement en informatique est sécurisé et confidentiel.

Partez du principe où, aucune entreprise n'est de confiance. La seule règle, c'est la transparence.

Vous devez faire la distinction entre sécurité et confidentialité, qui sont deux choses différentes :

  • La sécurité : C'est la façon dont vos informations personnelles sont protégées.
  • La confidentialité : C'est la façon dont vos informations personnelles sont utilisées.

L'idéal est bien entendu d'avoir la sécurité et la confidentialité.

Prenons un exemple : La messagerie de Facebook "Messenger" est sécurisé, car elle chiffre vos données de bout en bout. Cependant, elle n'est pas confidentielle, car Facebook a accès à vos contacts. De plus "Messenger" n'est pas open source, Facebook peut donc avoir le double de votre clé privé pour accéder aux conversations. Le modèle économique de Facebook repose sur l'exploitation de vos données personnelles, ce n'est plus un secret. 

Le matériel

Lorsque vous achetez des appareils connectés, veillez à ce qu'il y ait un cache de confidentialité sur la webcam et un bouton physique pour couper les micros. Couper la webcam et les micros depuis le logiciel ne suffit pas.

Vous pouvez achetez des caches de confidentialité pour quelques euros sur Amazon, ca fera plus propre qu'un morceau de scotch. Je vous conseille un cache avec un visuel rouge.

Image

Les programmes et servives

Pour qu'un programme ou qu'un service soient sécurisés et confidentiels, comme par exemple, les VPN, les messageries de courriel, les gestionnaires de mot de passe, ... Ils doivent respecter les cinq conditions suivantes.

1- Expliquer clairement son modèle économique

La première chose à regarder, c'est le modèle économique d'un programme ou d'un service. Souvenez-vous de ceci :

Quand c'est gratuit, c'est vous le produit

Il existe des programmes et des services réellement gratuit, sans compromettre vos données personnelles. Ils fonctionnent grace aux dons ou aux services qu'ils proposent, en plus de la version gratuite (des fonctionnalités dédié au monde de l'entreprise, un service d'hébergement cloud, ...).

2- Être open source

L'open source est de loin, le point le plus important pour s'assurer qu'un code est sécurisé et offre réellement une confidentialité.

Si le code d'un programme n'est pas open source (code propriétaire), cela signifie que vous devez faire confiance à son développeur (une entreprise ou une personne). Ne faites jamais confiance à un programme dont les sources sont fermées.

Pour qu'un programme soit transparent, son code doit être publié publiquement (c'est le principe du code open source). Cela permet a quiconque d'en vérifier la fiabilité, la sécurité et la confidentialité.

Code fermé = Programme opaque, qui n'est pas de confiance.

Code open source = Programme transparent, qui est de confiance.

Un programme open source n'est pas forcément un programme gratuit. Son code peut être libre ou sous licence. Dans les deux cas, le code est transparent, car open source.

Prenons un exemple : NordVPN est un service de VPN dont les logiciels ont un code source, fermé. Lorsque vous créez un compte chez ce prestataire, rien ne vous garanti que celui-ci n'a pas une copie de votre clé privée.

3- Utiliser des protocoles de chiffrement open source

Il existe une multitude de protocoles pour chiffrer votre trafic. Comme pour le code d'un programme, le code d'un protocole de chiffrement doit être open source.

Reprenons l'exemple précédent : NordVPN a créé son propre protocole de chiffrement NordLynx, qui est à source fermée. Celui-ci est basé sur le protocole WireGuard, qui est open source. NordLynx n'étant pas open source, rien ne vous garanti que NordVPN n'est pas en mesure de déchiffrer votre trafic.

4- Être audité par des tiers

Une fois qu'un programme respecte les deux points précédents, son code doit être audité par des tiers. Un code open source est publié publiquement, il peut donc être audité par tout le monde. C'est un plus, si le développeur organise des audites avec des experts en sécurité.

5- Organiser des chasses aux bogues

Une chasse aux bogues (en anglais "bug bounty") est un programme de récompenses, organisé par des entreprises ou des développeurs. Lorsqu'une personne découvre un bogue (une vulnérabilité), celle-ci reçoit une prime.

L'organisation d'une chasse aux bogues, permet de rendre un code extrêmement fiable. À condition que les primes soient conséquentes, pour attirer les experts.

Étiquettes