Batch: Pourquoi les experts en sécurité crient-ils au loup à chaque faille découverte?

Publié le

Aujourd’hui Bash, hier Heartbleed, demain…? A chaque annonce d’une faille de sécurité, les experts et commentateurs essaient de maximiser la gravité du problème et d’alerter le grand public comme les spécialistes sur ces problèmes de sécurité récurrents. Seul problème, le grand public n’en a cure et les spécialistes guettent surtout cette occasion pour sortir un billet analytique qui arrivent tous à la même conclusion: Demain, ce sera pire.

BASH: Un fail pour Unix

Pour une fois, ce ne sont pas les systèmes de Microsoft qui sont pointés du doigt mais l’OS libre Linux et le sytème UNIX. En effet, une faille gravissime a été découverte, dans l’interpréteur en ligne de commande Bash, sorte de traducteur entre l’homme et la machine. Les premiers patches circulent déjà et Apple, qui utilise cet interpréteur dans ses dernières versions de Mac OS X, devrait également procéder à une mise à jour dans les heures qui viennent.

Vieux de 25 ans, Bash est utilisé dans tellement d’applications qu’il est impossible de les dénombrer toutes. Il est aussi illusoire de penser que la vague de correctifs qui va être déployée va éradiquer complément le problème. En revanche, cette faille qui a été largement commentée sur sa dangerosité ne va servir encore une fois qu’à relancer le débat sur la sécurité informatique globale, l’Open Source, etc, etc…Sans aller plus loin.

Un sujet comme un autre

Tremblez brave gens, encore une fois l’ennemi Hacker et sa cohorte se masse devant vos portes et va ébranler les fondations même de votre vie privée. Comme avec HeartBleed. Comment ça vous ne vous êtes rendus compte de rien? C’est normal, puisque ces alertes de sécurité ont pour mission d’alerter les internautes et non de recoller les morceaux. C’est encore le cas ici, puisque si aucune intrusion n’a été rendue publique et jusqu’à maintenant rien n’a transpiré chez les pirates qui sévissent underground. Autant dire que depuis 25 ans, les hypothétiques personnes au courant de cette faille ont adopté un profil vraiment très bas…

Mais, les experts en sécurité et journalistes se doivent d’alerter le plus de monde possible, pour deux raisons complémentaires:

-Tous les ingénieurs réseaux, développeurs, programmeurs et autres ne sont pas forcément au fait des dernières nouvelles en matière de sécurité. Et pour cause! Pour être au courant de ce genre de nouvelles, il faut suivre l’actualité et se créer éventuellement des alertes ou fréquenter des lieux de discussions entre professionnels. Beaucoup de conditions requises pour se tenir au courant, et surtout d’appliquer des correctifs qui mettent parfois beaucoup de temps à arriver.

-Le public se fiche comme de l’an 40 des prérogatives techniques et de l’origine du problème. Peu sensibilisé aux questions de sécurité informatique, il ne voit que les conséquences et reste averti des éventuels problèmes quand un éditeur ou un webmaster l’averti qu’un incident est arrivé et qu’il doit mettre à jour ses identifiants. Alors, chacun y va de son alerte plus ou moins alarmiste, tout d’abord pour sensibiliser plus de monde sur la question, et pour essayer de créer un événement, générateur de débats et si possible source de popularité.

Entendons-nous bien, ces annonces sont importantes voire obligatoire pour que les parties intéressées puissent réagir. Mais elles sont été détournées de leur but premier et servent dorénavant d’appui aux sempiternels débats autour de la cyber-sécurité, tandis qu’aucune autre forme de sensibilisation n’est apportée par les instances en place ou la presse spécialisée qui a du mal à vulgariser les concepts les plus élémentaires en la matière…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet