C’est un article qui fait beaucoup parler de lui depuis quelques jours. Il est signé d’un vice-président de Microsoft, Scott Charney, en charge du programme pour la TrustWorthy Computing (l’informatique de confiance, la politique de sécurité maison) et s’avère être un véritable manifeste pour un Internet débarrassé des cybercriminels grâce à une surveillance accrue de nos ordinateurs. Il fait en cela écho au récent rapport de sécurité semestriel de Microsoft, qui évoque notamment une forte recrudescence des botnets.
Dans ce papier, intitulé « Défense collective : appliquer les modèles de santé publique à Internet » [en PDF, NDLR], Scott Charney met en parallèle les politiques de santé publique dans le monde réel et la façon dont on pourrait les appliquer dans le cyberespace.
« Pour s’occuper des cybermenaces et des botnets en particulier, les gouvernements, l’industrie et les consommateurs devraient soutenir des initiatives en matière de cybersécurité conçues sur les mêmes modèles que celles permettant de s’occuper des maladies humaines », détaille ainsi S. Charney.
On comprend plus précisément ces propos quelques lignes plus loin : « Pour qu’une société soit en bonne santé, ses membres doivent être au courant de risques basiques de santé et éduqués pour les éviter. Les pratiques communes pour limiter la propagation de maladies vont de principes très simples (se laver les mains) à des choses systématiques (à l’école, les étudiants peuvent être obligés d’être vaccinés avant admission, prévenus si d’autres étudiants montrent des symptômes, obligés de rester à la maison s’ils sont infectés). Dans le monde physique, il y a aussi des lois internationales, nationales et locales de santé qui identifient, traquent et contrôlent la propagation des maladies en incluant, quand nécessaire, la mise en quarantaine d’individus pour éviter l’infection des autres. »
Couper l’accès à Internet aux ordinateurs vérolés
L’idée de Scott Charney est aussi simple qu’inquiétante. Selon lui, les ordinateurs peuvent être, comme nous, largement victimes de virus. Ils devraient donc être surveillés pour être maintenus en bonne santé, afin d’assurer plus de sécurité à tous sur Internet. « Les gouvernements et l’industrie pourraient engager des activités plus méthodiques et systématiques pour améliorer et maintenir la santé des populations d’appareils dans l’écosystème informatique, en promouvant des mesures préventives, en détectant les appareils infectés, en notifiant leurs utilisateurs, en permettant à ces utilisateurs de traiter ces ordinateurs infectés, et en prenant des mesures supplémentaires pour s’assurer que les ordinateurs infectés ne mettent pas d’autres systèmes en danger. »
En substance : il faut donc élaborer des systèmes de contrôle, notamment gouvernementaux, afin de n’avoir sur le réseau que des ordinateurs « sains ». Quitte à « mettre en quarantaine » – soit couper l’accès à Internet – des machines vérolées jusqu’à ce qu’elles aillent mieux. Scott Charney précise même que les gouvernements, l’industrie et les FAI, devraient vérifier la « santé » d’un ordinateur a priori avant de lui autoriser l’accès à la Toile !
Selon lui, les antivirus, pare-feu et autres outils de sécurité que nous utilisons actuellement sont « inadéquats pour combattre les botnets » d’autant que de nombreux utilisateurs n’ont pas les compétences suffisantes pour faire face aux menaces du Web.
Le responsable de Microsoft propose donc d’une part l’élaboration de « certificats de santé numérique » pour nos ordinateurs, qui permettraient de prouver que la machine n’est pas infectée. Et d’autre part de moyens d’identification des machines potentiellement infectées, qui impliqueraient « l’analyse et le partage de données […] concernant le trafic réseau et la télémétrie des produits ».
Vives réactions sur le web
Inutile de dire que ce papier a provoqué des commentaires acerbes un peu partout sur le Web, notamment sous le billet de blog qui accompagnait sa publication, riche de plus de 100 commentaires… Tous extrêmement critiques envers la démarche de Scott Charney. Nombreux sont ceux qui, utilisant un système d’exploitation moins touché par les botnets (comme Mac OS X ou une distribution GNU/Linux), ont bien du mal à comprendre pourquoi ils devraient supporter un tel modèle contre une menace qui concerne essentiellement les OS de Microsoft.
D’autres dénoncent quant à eux le côté ubuesque de cette proposition de mettre en quarantaine des ordinateurs infectés : « Vous ne pouvez pas empêcher une personne malade d’aller voir un médecin, or Internet est le docteur du PC », dit notamment l’un d’eux. Comment faire, en effet, pour supprimer un virus de son ordinateur si on ne peut se connecter à Internet pour mettre à jour son antivirus ou télécharger un fix ?
Bernard Ourghanlian, le « Monsieur sécurité » au sein de Microsoft France, que nous avons eu au téléphone il y a deux jours, a tout de même relativisé un peu les propos de S. Charney. « Le modèle qu’il propose fait couler beaucoup d’encre et c’est logique, nous a-t-il indiqué. Sans aller jusqu’à la coupure de l’accès à Internet, j’estime que les gens devraient en savoir un minimum sur la sécurité informatique. On admet comme normal d’avoir un permis de conduire pour prendre une voiture. Le fait est que certains internautes font courir des risques à d’autres parce que leurs machines ne sont pas sécurisées. » B. Ourghanlian dit être pour un « permis de l’Internet » qui serait octroyé après des cours, notamment auprès des jeunes, afin de limiter les risques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.