A propos de sécurité informatique

170326 3 min
- Les fraudes aux scrutins électroniques
On essaie à chaque fois de compliquer le processus afin de minimiser la fraude, au point de promouvoir l'usage de bitcoins. Mais cela est absolument absurde, car dans ce cas c'est la fraude elle-même qui est sécurisée et indécelable. Le seul moyen d'obtenir une certitude pleine et entière de l'intégrité d'un vote, est qu'il ne soit pas secret, afin que d'autres puissent le vérifier. Ainsi, si chacun vérifie plus de deux autres votes, la sécurité provient de la redondance des résultats.

- Les mots de passe semi-connus
Les sites ont l'absurde indélicatesse de vous rembarrer quand votre mot de passe est "insuffisant pour la sécurité". Il y a des petites barres de progression pour dire "rouge, c'est mal !" et "vert, c'est bien". Ils nous disent "ho, il faut qu'il y ait au moins 8 caractères !", "et pas plus de douze SVP", puis : "ah ! là il faut mettre une majuscule !", "ah : là il faut mettre un nombre", "ah oui et aussi un signe non alphanumérique".
Mais finalement, qu'est-ce qui est fait, si ce n'est de réduire le nombre de combinaisons qu'un crack devrait tester ?
Comment marche le crack ? Il teste toutes les lettres, chiffres et signes, en commençant par les solutions à 1 caractère, puis à 2, puis à trois etc... Ici, pas besoin de faire ça, commencer à la huitième itération permet d'économiser tout ce temps de calcul. Ensuite, en sachant qu'il y a au moins un signe, une majuscule et un nombre, ça réduit encore les possibilités. (Ensuite, évidemment, l'IA cherche les mots de passes connus, s'ils ont une logique, et les termes auquel l'usager est le plus attaché.) Finalement, ce procédé ne fait que faciliter le travail du crack.

- les non-mots de passe
Un truc idiot est de mettre un mot de passe sur les appareils qui ne nécessitent aucune sécurité. L'exemple flagrant est ce qui se passe à la mort d'un usager, comment récupérer des documents, ou lire des mails si on ne peut même pas accéder aux données dans son portable ? Finalement, à chaque fois que meure quelqu'un qui avait des activités qui méritent d'êtres connues (tels que des lanceurs d'alerte, des scientifiques, des enquêteurs), le fait de brimer l'accès à leur données ne fait que faciliter le travail de ceux qui l'ont probablement assassiné ! On peut parier que certaines affaires criminelles auraient pu etre mises à jour, ou aboutir, si on avait eu accès à ces données.
Donc quoi qu'il arrive, gardez vos fichiers à transmettre après votre mort dans un lieu non sécurisé, est l'assurance qu'ils servent.

medium.com