Attention peinture fraiche

Bienvenue sur le blog de Zythom v2 🙂

La peinture est encore fraiche, et il reste du travail de configuration, et d’apprentissage de WordPress, mais c’est le but.

L’ancien blog (v1) restera à l’adresse https://zythom.blogspot.com et me servira de repli si tout explose ici. La sécurité de WordPress est incertaine à mes yeux.

Bienvenue à tous ceux qui atterrissent ici. L’aventure continue.

Des news

Bonjour à tous les lecteurs, les anciens comme les nouveaux qui atterrissent ici en nombre (c’est rafraîchissant ;-). J’ai plusieurs articles dans les tuyaux mais les vacances ont été mouvementées et m’ont tenu LDC alors que j’avais prévu des trucs pour fêter les 13 ans de ce blog…

Une petite présentation rapide pour les nouveaux arrivants :

– Ce blog est pour moi un cahier extime sur lequel je partage mes expériences. C’est un plaisir d’écriture pour moi, mais aussi une expérience. J’explique tout cela dans la page “A propos” que je vous invite à lire.

Le blog v1 totalise aujourd’hui 1014 billets en ligne, malgré sa destruction par un voyou en 2012, et le nettoyage régulier que je peux faire. Le principe des blogs étant la présentation des billets par ordre antéchronologique, je vous propose de les lire au format livre que vous trouverez en téléchargement gratuit sur cette page. Les formats papiers sont destinés à mes proches, mais vous pouvez également les acquérir (sur la même page).

– Les 10 billets les plus lus à cette date sont les suivants :

– De tous les billets du blog v1, celui que je préfère est celui-ci : Yéléna. Je pleure de nouveau à chaque fois que je le relis… Je pense aussi parfois à Manon13 en espérant qu’elle mène une vie heureuse 10 ans après, malgré tout.

–  Ce blog ne m’a pas valu que des amis. La liberté de parole fournie par internet casse les codes habituels, et rend caduc l’intérêt des représentants et portes paroles officiels. Les petits peuvent s’exprimer directement, et je ne m’en suis pas privé. Cela a donné l’Affaire Zythom.

– J’ai travaillé 25 ans dans la même entreprise. Avec passion et implication. Je raconte cette tranche de vie sous la forme d’une série de billets courts “à rebondissements” regroupés sous l’intitulé 25 ans dans une startup.

– En tant qu’expert informatique, je travaille surtout pour les magistrats (missions judiciaires) ou pour les avocats (missions privées), mais jamais par l’intermédiaire de ce blog. Une brève recherche sur internet vous donnera mon vrai nom si nécessaire. J’accepte par contre volontiers de dialoguer par email et de répondre à des questions, en fonction de mes capacités (voir les détails sur ma page Contact). Notez que je n’ai pas encore la discipline mentale pour appliquer les règles de Crocker, et que j’encourage un formalisme minimum (bonjour, merci, mots complets…). C’est lié à mon éducation, je suis un peu coincé.

– J’adore partager mes passions avec des personnes. Mais je suis un peu timide face aux inconnus, sauf en amphithéâtre devant mes étudiants (c’est assez curieux). Du coup, mes proches sont un peu assommés par mes histoires de serveurs, de réseaux, d’astronomie, d’optimisation de fonctions à très grand nombre de variables, de réseaux de neurones, d’IA, de calculs parallèles, de mots de passe, de NAS, de sauvegardes, d’IDS… Alors ils me soutiennent dans ma démarche d’écriture sur ce blog. Ça les laisse souffler un peu.

– J’aime beaucoup aussi lire les autres blogueurs. Je profite de votre arrivée en ces lieux pour vous inciter à aller aussi ailleurs 🙂 Voici ma liste de blogs préférés, je vous en souhaite une bonne lecture (attention, certains ont du contenu subversif non filtré 😉 :

Le meilleur de la Justice
•    de bric et de blog
•    Decryptages : droit, nouvelles technologies…
•    ITEANU Blog
•    Journal d’un avocat
•    Maître Mô

Les chapeaux blancs
•    binaire
•    Blog de Stéphane Bortzmeyer
•    Korben
•    Le Hollandais Volant
•    n0secure.org
•    SkullSecurity

Le 4e pouvoir
•    Authueil
•    Coulisses de Bruxelles
•    BUG BROTHER
•    La Plume d’Aliocha

Les soigneurs
•    Alors voilà.
•    Au Pays Des Vaches Mauves
•    Boules de Fourrure
•    Farfadoc
•    Journal de bord d’une jeune médecin généraliste de Seine-Saint-Denis
•    Juste après dresseuse d’ours
•    Le blog de MimiRyudo
•    Les carnets du Docteur Lazarre

Cerveau gauche
•    Pourquoi Comment Combien
•    Science étonnante
•    Tu mourras moins bête

Cerveau droit
•    Déjà-vu
•    Globalement Inoffensif
•    Kozeries en dilettante

Blogs BD
•    .chez kek.
•    BlogLaurel
•    Bouletcorp
•    BugBlog
•    Creali
•    Debybloog
•    Fabriqué à mains nues
•    Fortuworld
•    Le blog de Jeromeuh
•    Le blog de Zelba
•    Les petits riens
•    MALIKI – Webcomic
•    Margaux Motin
•    Mélakarnets
•    Petit précis de Grumeautique
•    Trentenaire, marié, 2 enfants
•    YODABLOG

L’Empire des sens (NSFW)
•    Bellaminettes Blog
•    Oh Joy Sex Toy
•    Pingoo
•    The Rock Cocks

Amusez-vous bien !

Extrait de http://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur Olivier Ka

Comment survivre à ses utilisateurs ?

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l’interface entre la chaise et le clavier. C’est drôle, et cela rappelle que l’être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c’est quand la blague est prise au premier degré dans un service informatique : l’ennemi, c’est l’utilisateur ! C’est un peu facilement oublier que dans “service informatique”, il y a le mot “service”. Donc, au lieu d’essayer de faire culpabiliser l’utilisateur, je trouve qu’il est plus sain d’essayer de le former, ou au moins de l’informer, en plus de le protéger.

L’informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L’ensemble est orchestré par des logiciels comprenant des millions d’instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l’expérience sont indispensables au bon fonctionnement de ce que l’on appelle l’informatique.

Et au sommet se trouve l’utilisateur.
Et parfois il fait n’importe quoi…

Plutôt que “Comment survivre à une cyberattaque ?”, les articles de presse devraient s’intituler : “Comment survivre à ses utilisateurs ?”. C’est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique “Sécurité informatique, ne pas en avoir peur“. Petit tour d’horizon :

Les liens piégés :
L’utilisateur de l’outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C’est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d’URL masquent les vraies URL, des caractères très semblables (issus d’une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d’hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l’utilisateur “ne cliquez pas sur les liens bizarres”, alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas “l’utilisateur a cliqué sur un lien piégé”. Cela fera l’objet d’un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. “ALORS ? Mmmmm… tout ça pour ça ?”. Le Conseil d’Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI… Dans une politique de sécurité du système d’information, on appelle cela la chaine de responsabilité. En cas d’attaque réussie (entreprise arrêtée, données dans la nature…) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l’opérateur qui reçoit des ordres qu’il ressent comme aberrant, jusqu’à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite (“je ne peux pas être considéré comme responsable, je dormais à ce moment-là“).
Pourtant tout le monde connaît la loi de Murphy : “Tout ce qui est susceptible d’aller mal, ira mal”. Une attaque informatique réussie arrivera. Les équipes informatiques doivent s’y préparer, et LA HIÉRARCHIE AUSSI. C’est, de mon point de vue, aussi l’objet d’une PSSI. J’y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l’utilisateur n’appelle son service informatique qu’en dernier recours… quand il est vraiment VRAIMENT obligé. C’est un problème. D’un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa “valeur ajoutée” prend tout son sens (cas graves, pannes majeures, etc.). De l’autre, l’utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que “Skype souhaite se mettre à jour”, “la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE”. Alors, il a parfois envie de hurler “MAIS POURQUOI CA CHANGE TOUT LE TEMPS ?”. Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l’utilisateur et son service informatique. C’est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d’utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N’IMPORTE QUOI ! L’utilisateur doit avoir confiance en son service informatique, qui n’est pas là pour le piéger, mais pour l’aider.

Les mots de passe :
Souvent seule protection à l’accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l’utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : “Ah, vous allez me demander de changer mon mot de passe ?”. 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D’EN CHANGER TOUT LE TEMPS… Il faut arrêter un peu avec ça : plus on demande à l’utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d’une politique de sécurité. Celle que je préconise fera l’objet d’un billet dédié, lui aussi destiné à l’utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu’on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu’ils ne le feront pas, ou mal, ou pas assez… C’est le boulot du service informatique de faire les sauvegardes des données dans les règles de l’art. Ce n’est pas un savoir faire de l’utilisateur. Le pire en la matière étant de dire aux utilisateurs : “nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau”. Ah oui ? Mais beaucoup d’utilisateurs ont des ordinateurs portables. Qu’on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l’utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises…) ou aux particuliers.

Vous l’avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d’un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C’est cette difficulté qui fait la beauté de ce métier.

Le junior aux cheveux blancs

C’est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d’essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c’est plus simple : de Directeur des Systèmes d’Information (DSI), je suis devenu Responsable de la Sécurité du Système d’Information (RSSI). Ça sonne presque pareil, et puis c’est toujours dans l’informatique.

C’est vrai. Mais ces deux fonctions n’ont presque rien à voir entre elles. Le DSI que j’étais, décidait des orientations des évolutions du système d’information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d’autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l’inverse !).

Quand on vient de sortir d’une école où l’on a appris toutes ces connaissances, c’est “facile” : il ne manque que l’expérience. Cette expérience pourra, par exemple, s’acquérir dans une société de service dédiée à la sécurité, ou à l’ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c’est une autre paire de manche : l’expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J’ai la chance d’avoir été bien accueilli par une équipe d’ingénieurs qui, passé le moment gênant où ils se demandaient ce qu’allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m’initier à leur système d’information bien plus complexe que celui que j’avais mis en place dans ma vie professionnelle antérieure.
Et surtout, j’ai bien prévenu que je ne deviendrai jamais aussi bon qu’eux dans leur domaine d’expertise respectif. Ce n’est ni mon objectif, ni ma fonction.

Beaucoup d’entreprises n’ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance… et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s’exercent, se corrigent, s’entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n’ont pas besoin d’un chef d’orchestre pour leur donner le rythme, l’un d’entre eux s’y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n’est pas nécessairement un virtuose d’un instrument (même si elle peut l’être), et surtout, elle ne peut pas remplacer chacun des membres de l’orchestre.

Le RSSI peut être ce chef d’orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d’améliorer la sécurité. Il n’est pas nécessairement expert d’un domaine pointu (pentesteur, admin réseau…) même s’il peut l’être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l’entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu’un certain nombre de personnes de l’entreprise se disent “ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là !”.

De même que l’harmonie musicale d’un orchestre est l’affaire de tous les musiciens, du chef d’orchestre, de la qualité des instruments, de la salle, de l’historique du groupe, la sécurité est l’affaire de tous : l’équipe réseaux, l’équipe de développement, l’équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l’instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d’expertises judiciaires où j’ai pu constater in situ beaucoup d’erreurs à ne pas faire, et où j’ai pu étudier les chapeaux noirs pour essayer d’être un chapeau blanc.

Il me faut accepter d’être un junior aux cheveux blancs.
Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It’s the hat