Cela vous est sans doute déjà arrivé de recevoir un email un
peu bizarre mais pourtant semblant venir d’une entreprise ou d’une
administration tout à fait officielle, voire bien connue, disant vous avertir d’une
erreur ou d’un cadeau, ou autre alerte, et vous demandant soit de cliquer sur
un lien Internet joint, soit d’ouvrir une pièce attachée – pour découvrir que l’un
comme l’autre cache un virus qui s’installe sur votre poste de travail, ou
pire, permet à un pirate de se faire passer pour vous.
Ce type de malveillance, une forme de leurre destiné à piéger
les employés pour en tirer les moyens de pénétrer en toute impunité et
discrétion, entre dans la famille dite du « social engineering » qui regroupe les multiples façons de tromper
la vigilance d’un employé d’entreprise envers la sécurité. Et comme l’utilisateur
légitime qui clique sur le lien, ou ouvre la pièce jointe, décide de cette
action, le système informatique n’a – soi-disant – aucun moyen de refuser cette
autorisation implicite d’accès que l’employé accorde ainsi au pirate. Le pirate
devient dès lors un utilisateur légitime. Imparable.
Il s’agit probablement d’un des fléaux de l’informatique
moderne, tant il est fréquent que les pirates de tous poils arrivent à leurs
fins de cette manière. Au point où il est désormais de bon ton parmi les
professionnels de crier au besoin urgent de sensibiliser les utilisateurs afin
de les inciter à vérifier cent fois la vraisemblance de tels emails avant de
cliquer ou ouvrir les pièces jointes. Autrement dit, on met sans vraiment le
dire la faute sur l’utilisateur qui n’y est pourtant pour rien, faute de mieux.
Il y a pourtant un autre message à porter, un message qui
pointe du doigt les véritables fautifs et qui permettrait donc de régler ce problème une
fois pour toutes. Revenons sur les responsabilités en jeu. Pourquoi l’utilisateur clique-t-il ? Parce qu’il n’imagine
pas que suivre un lien Internet puisse être suffisant pour qu’un virus s’installe.
De même, il ouvre les pièces jointes parce qu’il n’imagine pas qu’elles
puissent contenir un code malveillant que sa machine laisse s’exécuter sans plus
de contrôle.
Et c’est bien sûr l’utilisateur qui a raison. Le problème n’est
pas à son niveau, il est dans le manque de contrôle dont les systèmes tel
Windows font preuve. Ou plus exactement, le problème vient de systèmes d’exploitation
trop permissifs par défaut, que personne ne prend la peine de sécuriser.
Il faut le dire. Il n’est pas normal qu’un fichier pdf
puisse contenir du code malveillant : responsabilité Adobe. Idem s’agissant
d’un doc (traitement de texte) : Microsoft. Et surtout, pourquoi le
système suppose-t-il qu’ouvrir un document revient à donner à ce code l’autorisation
à s’exécuter sans plus de limitation sur la machine de l’utilisateur ?
Celui-ci ne doit pas être vu comme un administrateur.
Ce qui me gêne vraiment, c’est que ce bon sens ne trouve pas
plus d’écho dans la profession. A croire que les grands éditeurs logiciels influent
sur les experts pour que leur attention soit portée ailleurs.
No comments:
Post a Comment