Armetiz

Dernièrement, j'ai cédé à FaceBook, alors que je refusais de m'y inscrire, la tentation de voir à quoi cela ressemble fut trop forte.
Et c'est dans un élan de folie que je me lance dans l'inscription.

Allant un peu trop vite, je renseigne mal mon adresse mail – thomasthomas [at] hotmail.com à la place de thomastourlourat [at] hotmail.com.
C'est en me souvenant que dans les mails de confirmation, certains sites n'hésitent pas à vous afficher en clair votre mot de passe.

Cela soulève deux problèmes liés à la confidentialité de l'information.

Premièrement, thomasthomas [at] hotmail.com existe très probablement, quelqu'un aurai donc reçu mon mot de passe et aurai pu naviguer sur l'ensemble des sites en se faisant passer pour moi.
On entre donc dans l'usurpation d'identité.

Deuxièmement, le problème ne devrai même pas se poser, aucun programmeur ne doit enregistrer les mots de passe en clair dans une Base de données.
En effet, pourquoi conserver l'information brute quand on peut simplement conserver son Hash.

Dans un article précédant, je vous parlais du livre « Sécurité informatique » de Laurent Bloch, qui fait référence à l'intervention de Mr X sur les risques encourus à conserver les mots de passe en clair.
Pour résumer, en cas de litige entre l'administrateur et un utilisateur Lambda, ce dernier pourrai vous accuser d'usurper son identité.
De plus, les mots de passe en clair sont une cible pour les attaquants, ce qui amène l'administrateur à mettre des mesures de sécurité en passe. Alors que s'il n'y avait qu'un simple Hash, ce serai une table de base de données moins importante pour les pirates.

Pour conclure, j'ai été heureux de voir que FaceBook n'a pas affiché mon mot de passe dans l'email de confirmation, et que dans la configuration de mon compte sur leur site, il n'apparaît nul part.

Dernièrement je me suis offert « Sécurité informatique – Principes et méthode » de Laurent Bloch, et Christophe Wolfhugel.

Bon livre sur la sécurité Informatique en général, il aborde les problèmes liés à la programmation sur les architectures courantes ainsi qu'aux réseaux qu'ils soient de petites ou grandes envergures.

Ne vous attendez pas à avoir des explications détaillées sur le paramétrage des outils, mais plutôt « Comprendre les menaces informatiques pour les juguler » – Dixit la couverture.

Les auteurs sont parfois « tranchants », plutôt du genre à penser qu'il vaut mieux apprendre à pécher que de fournir un stock de poisson.

Si vous voulez découvrir, ou même vous spécialisez dans la sécurité d'une domaine IT – Réseau ou Programmation – je vous conseille sa lecture.
En effet il fournit une vision global et reprend tous les aspects de la sécurité, en passant du management aux problèmes causés par les protocoles propriétaires.
La partie concernant les droits et obligations juridiques des Administrateurs Réseaux m'a appris quelques notions intéressantes. Ce qui m'a donné envie d'acheter un autre livre plus complet sur le droit informatique, car même en ayant eu des cours de droit dispensés à l'école, on saute beaucoup de point important. Et nul n'est censé ignorer la loi.

Quelques citations qui m'ont amusées :

• « La présente section sur le management de la sécurité présente des normes et des méthodes que nous n'approuvons pas; elles ne sont pas inutiles, mais nuisibles. » page 20
• « Si votre politique de sécurité repose sur l'éducation des utilisateurs, alors elle est vouée à l'échec. » page 228
• « Le système ou le pare-feu qui protège, c'est celui pour lequel il y a sur le site un ingénieur (oui, un ingénieur, les gens qui savent faire ça sont des ingénieurs) » page 229

PS : N'hésiter pas à consulter le site de Laurent Bloch, car il a des choses très intéressantes à raconter.