Les six idées les plus stupides en sécurité informatique (2005)

 (ranum.com)
5 points par GN⁺ 2024-07-16 | 1 commentaires | Partager sur WhatsApp
  • Les six idées les plus stupides en sécurité informatique
    • La sécurité informatique reste un « sujet brûlant »
    • Pourquoi rencontre-t-on encore des problèmes malgré tout le temps et l'argent investis ?

Autoriser par défaut

  • L'« autorisation par défaut » se présente sous diverses formes
  • On la voit le plus souvent dans les règles de pare-feu
  • Lorsqu'une nouvelle vulnérabilité est découverte, l'administrateur doit décider s'il faut la bloquer
  • L'« autorisation par défaut » entraîne une compétition sans fin avec les hackers
  • Le concept inverse, le « refus par défaut », est une bonne idée

Énumérer les mauvaises choses

  • Aux débuts de la sécurité informatique, il n'existait que quelques failles de sécurité bien connues
  • « Énumérer les mauvaises choses » consiste à lister et bloquer tous les éléments malveillants
  • Les éléments malveillants sur Internet sont devenus plus nombreux que les éléments légitimes
  • « Énumérer les mauvaises choses » est inefficace, et « énumérer les bonnes choses » est une meilleure approche

Intrusion et correctif

  • L'« intrusion et correctif » consiste à trouver les bugs puis à les corriger
  • Cette méthode ne résout pas les problèmes fondamentaux du code
  • Découvrir des vulnérabilités de sécurité et les corriger n'est pas une solution fondamentale
  • Les systèmes de sécurité doivent être conçus comme sûrs dès la phase de conception

Le hacking, c'est cool

  • Considérer le hacking comme quelque chose de cool est une idée stupide
  • Le hacking est un problème social, pas un problème technique
  • Héroïser les hackers revient à encourager le hacking
  • C'est aussi une idée stupide que les experts en sécurité apprennent des techniques de hacking

Formation des utilisateurs

  • La formation des utilisateurs est la version humaine de l'« intrusion et correctif »
  • Former les utilisateurs n'est pas une solution fondamentale
  • Au lieu de résoudre le problème, une meilleure approche consiste à l'éliminer

L'action vaut mieux que l'inaction

  • L'idée selon laquelle « l'action vaut mieux que l'inaction » est une idée stupide
  • Avant d'adopter une nouvelle technologie, il vaut mieux l'examiner suffisamment et attendre
  • Il faut se souvenir qu'« il est plus facile de ne pas commettre d'action stupide que de mener une action intelligente »

Résumé de GN⁺

  • Cet article traite des erreurs stupides couramment commises en sécurité informatique
  • Il est important de résoudre les problèmes fondamentaux lors de la conception de systèmes de sécurité
  • Une culture qui considère le hacking comme cool peut aggraver le problème du hacking
  • Une approche qui s'attaque fondamentalement au problème est nécessaire plutôt que de miser sur la formation des utilisateurs
  • Lors de l'adoption de nouvelles technologies, il est important de les examiner suffisamment et d'avancer avec prudence

À lire aussi

1 commentaires

 
GN⁺ 2024-07-16
Avis sur Hacker News

  • « Default Deny » n’est pas plus difficile que « Default Permit », mais cela permet aux responsables de la sécurité IT de mieux dormir

    • En revanche, les autres personnes de l’entreprise sont très agacées lorsque rien ne fonctionne sans de multiples interventions supplémentaires avec le service IT
    • Plus les gens sont agacés, plus ils sont susceptibles d’utiliser des contournements qui affaiblissent les principes de sécurité IT
    • Une bonne sécurité IT devrait être comme une magie invisible pour l’utilisateur et qui ne gêne pas

  • À la fin des années 1990 et au début des années 2000, Marcus Ranum et Bruce Schneier soutenaient que la divulgation des vulnérabilités était nuisible

    • Cependant, ce point de vue n’a pas été démontré
    • Aujourd’hui, la plupart des conférences universitaires sur la sécurité incluent des recherches sur les attaques

  • Étonnant qu’il n’y ait aucune mention des mots de passe

    • Les règles de composition des mots de passe et leur rotation sont fondamentalement absurdes
    • Il faut permettre aux utilisateurs de choisir des mots de passe faciles à mémoriser

  • Affirmer qu’il n’y a pas besoin de tests de sécurité est la pire position possible en matière de sécurité

    • Affirmer aussi que le hacking n’est pas un problème technique mais un problème social est un point de vue erroné

  • Une approche orientée sécurité crée de l’inconfort pour les utilisateurs

    • Il est important de trouver un équilibre entre sécurité et praticité
    • Étudier les vulnérabilités et les exploits est bénéfique pour apprendre la sécurité

  • Le hacking est une activité intéressante, mais accéder aux données et aux systèmes d’autrui ne l’est pas

    • Il est utile de comprendre et de manipuler à fond ses propres systèmes

  • Apprendre les exploits est utile pour étudier à la fois la théorie et la pratique

  • Le problème est le compromis malheureux entre utilisabilité et sécurité

    • Des approches comme « Default Permit » nuisent à la sécurité
    • Les mots de passe sont difficiles à retenir et peu pratiques pour les utilisateurs

  • Faire confiance au client signifie que le modèle de sécurité est brisé

  • L’approche « Penetrate and Patch » rend le travail de sécurité dénué de sens

    • Trouver et corriger les vulnérabilités devient plus important que concevoir un système sûr
    • Il est préférable de distinguer l’accès illégal du conseil en sécurité