Sunday, March 20, 2016

Je veux pouvoir cliquer

Cela vous est sans doute déjà arrivé de recevoir un email un peu bizarre mais pourtant semblant venir d’une entreprise ou d’une administration tout à fait officielle, voire bien connue, disant vous avertir d’une erreur ou d’un cadeau, ou autre alerte, et vous demandant soit de cliquer sur un lien Internet joint, soit d’ouvrir une pièce attachée – pour découvrir que l’un comme l’autre cache un virus qui s’installe sur votre poste de travail, ou pire, permet à un pirate de se faire passer pour vous.

Ce type de malveillance, une forme de leurre destiné à piéger les employés pour en tirer les moyens de pénétrer en toute impunité et discrétion, entre dans la famille dite du « social engineering » qui regroupe les multiples façons de tromper la vigilance d’un employé d’entreprise envers la sécurité. Et comme l’utilisateur légitime qui clique sur le lien, ou ouvre la pièce jointe, décide de cette action, le système informatique n’a – soi-disant – aucun moyen de refuser cette autorisation implicite d’accès que l’employé accorde ainsi au pirate. Le pirate devient dès lors un utilisateur légitime. Imparable.

Il s’agit probablement d’un des fléaux de l’informatique moderne, tant il est fréquent que les pirates de tous poils arrivent à leurs fins de cette manière. Au point où il est désormais de bon ton parmi les professionnels de crier au besoin urgent de sensibiliser les utilisateurs afin de les inciter à vérifier cent fois la vraisemblance de tels emails avant de cliquer ou ouvrir les pièces jointes. Autrement dit, on met sans vraiment le dire la faute sur l’utilisateur qui n’y est pourtant pour rien, faute de mieux.

Il y a pourtant un autre message à porter, un message qui pointe du doigt les véritables fautifs et qui  permettrait donc de régler ce problème une fois pour toutes. Revenons sur les responsabilités en jeu. Pourquoi l’utilisateur clique-t-il ? Parce qu’il n’imagine pas que suivre un lien Internet puisse être suffisant pour qu’un virus s’installe. De même, il ouvre les pièces jointes parce qu’il n’imagine pas qu’elles puissent contenir un code malveillant que sa machine laisse s’exécuter sans plus de contrôle.

Et c’est bien sûr l’utilisateur qui a raison. Le problème n’est pas à son niveau, il est dans le manque de contrôle dont les systèmes tel Windows font preuve. Ou plus exactement, le problème vient de systèmes d’exploitation trop permissifs par défaut, que personne ne prend la peine de sécuriser.

Il faut le dire. Il n’est pas normal qu’un fichier pdf puisse contenir du code malveillant : responsabilité Adobe. Idem s’agissant d’un doc (traitement de texte) : Microsoft. Et surtout, pourquoi le système suppose-t-il qu’ouvrir un document revient à donner à ce code l’autorisation à s’exécuter sans plus de limitation sur la machine de l’utilisateur ? Celui-ci ne doit pas être vu comme un administrateur.

Ce qui me gêne vraiment, c’est que ce bon sens ne trouve pas plus d’écho dans la profession. A croire que les grands éditeurs logiciels influent sur les experts pour que leur attention soit portée ailleurs.

No comments: