La Toile est à la croisée des chemins en matière de sécurité. C’est l’avis de Dan Geer, responsable sécurité d’In-Q-Tel, le fonds d’investissement de la CIA. L’expert a réalisé, hier, la keynote inaugurale de Black Hat 2014. « La complexité et la variété des systèmes informatiques ne cessent de croitre, et avec elles leur fragilité. Un bon hacker suffisamment motivé peut pirater presque n’importe quoi aujourd’hui. Il est probable que la surface d’attaque des systèmes augmente désormais plus vite que notre capacité à les protéger », estime-il.
Mais tout n’est pas perdu. Dan Geer pense qu’on peut encore redresser la barre et donne une dizaine de recommandations. Son idée la plus étonnante est le rachat de toutes les vulnérabilités par le gouvernement américain, dans le but de les rendre publiques. Ainsi, personne ne pourrait plus les utiliser pour en faire une arme logicielle et la sécurité globale du web se trouverait améliorée. « Je pense que le nombre de vulnérabilités est suffisamment limité pour pouvoir procéder à un rachat total. Il suffirait que le gouvernement américain propose 10 fois le montant du marché pour le faire », explique-t-il. Pour l’instant, malheureusement, l’état américain fait partie des pays qui se sont engagés dans une course à l’armement logiciel, avec à la clé la constitution d’un stock de failles de sécurité. Un changement de mentalité est donc nécessaire.
Responsabiliser les fournisseurs
Une autre idée est de responsabiliser davantage les éditeurs de logiciels. A ce sujet, il revient 3 700 années en arrière, en citant le code de Hammurabi: « Si un constructeur construit une maison pour quelqu’un, mais le fait mal, et cette maison s’écroule et tue quelqu’un, alors ce constructeur doit être tué ». Sans aller jusque-là, Dan Geer estime que les éditeurs doivent payer si des dommages sont créés par l’utilisation normale d’un logiciel. De la même manière, il ne faudrait pas permettre aux éditeurs « d’abandonner un logiciel », c’est-à-dire arrêter sa maintenance alors qu’il est encore largement utilisé, tout en préservant ses droits de propriété intellectuelle. « Si un code n’est plus entretenu, il faudrait qu’il tombe dans le domaine public et devienne open source », suggère l’expert informatique. Il s’agirait d’une sorte d’expropriation pour le bien commun. Elle pourrait, par exemple, s’appliquer pour Windows XP.
Ces propositions sont plutôt radicales, mais trouvent un bon écho dans la communauté des experts en sécurité. « Tant que les systèmes informatiques n’étaient pas massivement interconnectés, il était relativement simple de lutter contre les problèmes de sécurité, estime ainsi Ross Anderson, un spécialiste des systèmes de paiement. Avec Internet, il faut procéder différemment et imaginer des mécanismes de régulation et d’incitation permettant de limiter la casse, comme cela se fait dans le champ de l’économie par exemple. Les propositions de Dan Geer vont dans le bon le sens, même si elles ne vont pas plaire à tout le monde. »
Source:
Les 10 propositions de Dan Geer
Retrouvez toutes les informations sur la conférence Black Hat dans notre dossier spécial
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.