Discussion :

[Stéphane le calme]

Internet devrait-il être sécurisé par défaut ? Non, selon le responsable de la sécurité de Facebook
qui estime que cela ne devrait pas être la responsabilité des FAI

Internet aujourd'hui est un réseau ouvert utilisant des protocoles et des mécanismes de transport souvent insécurisés. Mais cette caractéristique est à double tranchant dans la mesure où cela permet par exemple à des virus de se propager.

Pour illustrer ce cas de figure, nous pouvons évoquer WannaCry, le ransomware qui s’est appuyé sur des exploits de la NSA pour se déployer sur des centaines de milliers d’ordinateurs dans le monde dans une campagne d’attaques qui a fait couler beaucoup d’encre.

Comment se prémunir de ce type de situation ?

En France, les services de la Police judiciaire et ceux des Renseignements territoriaux se sont vu retirer l’accès à plus de 80 % d’Internet. S’ils veulent accéder à un site qui en fait partie, ils doivent demander l’autorisation à leur hiérarchie, qui leur répond sous 24 heures. Une hiérarchie qui espère sécuriser le réseau informatique de la police nationale le plus rapidement possible afin de rétablir des connexions complètes.

Quels sites les policiers peuvent-ils consulter dans le cadre de leurs missions d’enquête et de renseignement ? Le syndicat « Vigi ministère de l’Intérieur », remonté contre la mesure, a posté une infographie montrant que les services concernés avaient accès aux sites de vente en ligne et de la banque Rothschild, mais pas aux sites concernant Daesh, un « bloc identitaire » ou les black blocs. « VIGI demande à notre administration de nous laisser faire notre travail, plutôt que de nous ‘infantiliser’, en nous ‘fliquant’ avec un filtrage Internet inadapté ! »

L’une des voies envisagées par de nombreux acteurs du Web pour améliorer la sécurité sur le Web est d'intégrer la sécurité dans l’essence même d'Internet. Une voie que ne semble pas apprécier le responsable en chef de la sécurité de Facebook, Alex Stamos.

Dans une session de questions et réponses, Stamos a répondu à une question sur le fait de sécuriser Internet par défaut et a estimé qu’il ne s’agissait pas là de la bonne approche.

« Je crois fermement dans le principe de bout en bout, je pense que nous devrions avoir des opérateurs neutres dans le milieu et il ne devrait pas être la responsabilité des FAI de sécuriser l'Internet. »

Durant son allocution, Stamos a conseillé aux participants de ne pas se concentrer sur les vulnérabilités zero day, mais plutôt sur les abus quotidiens, afin d'améliorer la sécurité globale sur Internet.

Source : VIGI (Facebook), eSecurityPlanet

Et vous ?

Que pourrait impliquer, selon-vous, « sécuriser Internet dans son essence » ?
Partagez-vous le point de vue d'Alex Stamos ou estimez-vous qu'il s'agit là d'une solution pertinente ?

[grunk]

Partagez-vous le point de vue d'Alex Stamos ou estimer vous qu'il s'agit là d'une solution pertinentes ?

Il est évident que Stamos à raison. On ne peut pas essayer de "sécuriser" (LOL) internet sans qu'il y'est de débordements. Peut être que free va juger les site d'orange dangereux par exemple , du coup dans le doute je bloque ... Ou alors peut être qu'un autre va proposer une option à 10€ pour avoir accès au site qui permettent de télécharger un fichier (parce que sinon c'est trop dangereux) ...
La protection de chrome est un bel exemple d'effet de bord indésirable. Ça arrive de voir des sites légitimes marqués comme dangereux.

Internet doit rester un simple tuyaux avec les risques que cela comporte, à l'utilisateur d'être éduqué.

En entreprise , limiter l'accès à internet c'est contre productif au possible. Ça devrait être binaire. Soit on accède à tout, soit à rien.
Faire une demande pour accéder à un site c'est lourd, c'est maintenant que j'en ai besoin pas dans 24h.
Et puis quand on bloque trop l'utilisateur c'est là qu'il cherche à contourner et créer de vrais problème de sécurité.

[abriotde]

Bloquer quelques sites en entreprises ne fera pas forcément de mal même si c'est aisément contournable mais cette liste doit être très réduite. Mais alors pour la police qui interpelle un délinquant et veux vérifier ses dires (son mot de passe youporn par exemple) pendant sa garde à vue ne le pourra pas (le délai ne le permet pas). Cela n'a pas de sens alors même qu'en sois les sites sont légaux.
On savait déjà que l'administration française était une aberration de lourdeur en voici une preuve supplémentaire.
J'ai toujours été un militant de la liberté quel quelle soit et chaque jour j'ai des exemples pour renforcer mes convictions.

[Iradrille]

Sécurité != censure.

Censurer une majorité de sites ne permet pas de protéger sa vie privée; d'éviter le tracking; cela ne permet pas non plus de prouver son identité (ni de vérifier l'identité de quelqu'un); cela ne protège pas non plus du piratage.
Cela permet de protéger en partie l'entreprise contre les fuites de données : "bloquons pastebin / les sites de partages de fichiers / les webmails / ... -> problème de fuites de donnes réglé... Tant que l'employé de pense pas à utiliser son smartphone..."

Que pourrait impliquer, selon-vous, « sécuriser Internet dans son essence » ?

Reprendre la phase de design d'Internet à zéro et partir du principe que tout doit être prouvé (ie: aucune confiance possible), et que tout échange peut être intercepté et altéré (man in the middle).
Internet n'a malheureusement jamais été pensé pour la sécurité, et sans de gros changements, il ne sera probablement jamais entièrement sécurisé.

Partagez-vous le point de vue d'Alex Stamos ou estimez-vous qu'il s'agit là d'une solution pertinente ?

Ce genre de chose doit être utilisé à 100% pour être efficace :
- fouille à l'entrée / sortie
- aucun appareil électronique autorisé
- surveillance "visuelle" (cameras / gardes / ...) des employés
- besoin d'autorisation d'un supérieur pour toute sortie d'infos (droit d'écriture sur ports USB / impressions / ...)
- ...

Sinon, ça fait simplement chier les employés sans apporter grand chose : "on a bloqué tel site car tu ne devrais pas avoir besoin d'y accéder, mais si jamais tu en as besoin, on te laisse ton smartphone et la 4G...".
Mais de toutes façons, cela ne permet pas de sécuriser Internet, simplement d'éviter les fuites de données.

[Invité]

Déjà, il faudrait se mettre d'accord sur ce qu'on entend par "sécurité". S'agit-il de filtrer et de censurer les contenus ou de chiffrer tout ce qui peut l'être ?