James Mickens : « La cybersécurité est et restera une grosse m… ! » (vidéo)

Pourquoi la sécurité des ordinateurs, des smartphones et des objets connectés est, et restera, une tâche impossible.

Par Charles Bwele.

James Mickens est un diplômé du Georgia Institute of Technology qui a fait ses armes dans le département R&D de Microsoft, a enseigné à la division des systèmes d’exploitation parallèles et distribués du MIT, et diffuse actuellement son savoir dans les amphithéâtres de Harvard.

Dans son intervention au NDC Oslo 2015 (regroupant des sessions internationales de conférences technologiques, un peu à l’image des TED Talks) imprégnée d’ironie et d’humour noir, il explique comment et pourquoi la sécurité des ordinateurs, des smartphones et des objets connectés est, et restera, une tâche intrinsèquement sisyphienne.

1/ Les interfaces de connexion (sockets) prolifèrent à la vitesse grand V et de facto démultiplient les points d’échanges de données. Prodiguant une adresse IP à tout et à n’importe quoi, l’internet des objets (un thermostat, un grille-pain, une ampoule, une automobile, etc.) est un véritable cauchemar. Malheur à la maison connectée et à sa domotique inondée de technologie made in Globalization !

2/ La diversité professionnelle des équipes de conception/développement est à la fois une bénédiction et une malédiction car elle contribue, directement ou indirectement, à accroître la complexité et donc la vulnérabilité des produits/solutions technologiques.

3/ La cryptographie est un casse-tête ridicule car il soulève perpétuellement les problèmes de la confiance et de l’authenticité. Qui conçoit les clés de chiffrement Qui attribue les clés publiques aux développeurs de clés ? Y a-t-il des clés à risques ? Qui établit les listes de clés fiables et celles à risques ? Que faire en cas d’erreur dans cette liste ? De plus, le pire ennemi de la cryptographie n’est pas forcément un brillant mathématicien doublé d’un programmeur extraordinaire mais très souvent un adolescent un peu trop geek/nerd qui consacrera toute sa matière grise et toute son énergie à casser des codes de sécurité. Au final, la cryptographie n’a rien et n’aura rien d’une balle d’argent.

4/ La législation patauge face au rythme de l’évolution technologique. Dans le cas typiquement américain, c’est la Cour suprême qui fait littéralement la loi mais celle-ci est dirigée par des seniors (très) vieille école… à l’instar de leurs homologues européens.

Outre ces facteurs, Mickens n’oublie pas de mentionner que « le crime c’est cool, c’est excitant et ça paie ». Ce n’est pas nécessairement le cas de la cybersécurité en général, et des langages de programmation en particulier qui ne facilitent guère l’écriture de codes dédiés à la sécurité.


Sur le web