James
Mickens est un diplômé du Georgia Institute of
Technology qui a fait ses armes dans le département R&D de
Microsoft, a enseigné à la division des systèmes d'exploitation
parallèles et distribués du MIT, et diffuse actuellement son savoir
dans les amphithéâtres de Harvard.
Dans
son intervention au NDC
Oslo 2015 (regroupant des sessions internationales de
conférences technologiques, un peu à l'image des TED Talks)
imprégnée d'ironie et d'humour noir, il explique comment et
pourquoi la sécurité des ordinateurs, des smartphones et des objets
connectés est et restera une tâche intrinsèquement sisyphienne.
1/
Les interfaces de connexion (sockets)
prolifèrent la vitesse grand V et de facto démultiplient
les points d'échanges de données. Prodiguant une adresse IP à tout
et à n'importe quoi, l'internet des objets (un thermostat, un
grille-pain, une ampoule, une automobile, etc), l'internet des objets
est un véritable cauchemar. Malheur à la maison connectée et à sa
domotique inondée de technologies made in Globalization !
2/
La diversité professionnelle des équipes de
conception/développement est à la fois une bénédiction et une
malédiction car elle contribue, directement ou indirectement, à
accroître la complexité et donc la vulnérabilité des
produits/solutions technologiques.
3/
La cryptographie est un casse-tête ridicule car il soulève perpétuellement les problèmes de la confiance et de l'authenticité.
Qui conçoit les clés de chiffrement Qui attribue les clés
publiques aux développeurs de clés ? Y a -t-il des clés à
risques ? Qui établit les listes de clés fiables et celles à
risques ? Que faire en cas d'erreur dans cette liste ? De plus, le
pire ennemi de la cryptographie n'est pas forcément un brillant
mathématicien brillant doublé d'un programmeur extraordinaire mais
très souvent un adolescent un peu trop geek/nerd qui
consacrera toute sa matière grise et toute son énergie à casser
des codes de sécurité. Au final, la cryptographie n'a rien et
n'aura rien d'une balle d'argent.
4/
La législation patauge face au rythme de
l'évolution technologique. Dans le cas
typiquement américain, c'est la cour suprême qui fait littéralement
la loi mais celle-ci est dirigée par des seniors (très) vieille
école... à l'instar de leurs homologues européens.
Outre
ces facteurs, Mickens n'oublie pas de mentionner que
le crime c'est cool, c'est excitant et ça paie. Ce
n'est pas nécessairement le cas de la cybersécurité en général,
et des langages de programmation en particulier qui ne facilitent
guère l'écriture de codes dédiés à la sécurité.
Aucun commentaire:
Enregistrer un commentaire