Failles de sécurité répertoriées

lundi 8 août 2016, par ID

Un vieil article sur les failles de sécurité côté utilisateurs, que j’ai dû mettre en ligne au début des années 2000 et toujours d’actualité grosso modo, hélas. Il suffit de remplacer cédérom par clé USB ! Et, éventuellement, pour les obsessionnels de la connexion, on peut considérer que le paragraphe sur le courrier électronique est un peu dépassé, quoique...

Il ne s’agit pas ici de failles de logiciels contre lesquels les utilisateurs ne peuvent grand-chose le plus souvent à part télécharger les mises à jour, mais des autres, celles que l’on peut éviter ou limiter même si on n’est pas informaticien. On peut aussi les appeler « incohérences » de sécurité si on veut. Cette petite liste n’est ni exhaustive, ni une extrapolation, ni même un « enjolivement » de la réalité. Elle est présentée sans ordre particulier. Comme on peut le voir la sécurité des données ne se limite pas aux ordinateurs et aux logiciels et le cumul de quelques petites failles peut aboutir à un joli essaimage d’informations confidentielles.

L’entrée des bureaux se fait en passant un doigt autorisé sur un dispositif spécial, mais sur un panneau en évidence traînent des mots de passe et des identifiants.

Un badge est nécessaire pour prendre l’escalier et accéder à certains étages, mais pas quand on prend l’ascenseur.

Quand le personnel de l’accueil n’est pas là, on ne peut entrer dans les bâtiments que si l’on possède le code d’accès mais le code d’accès on vous le donne sans vous demander qui vous êtes.

Il y a un code d’accès pour entrer dans les bureaux à chaque étage, mais c’est le même partout et c’est le même depuis plusieurs années.

Il faut entrer identifiants et mots de passe pour utiliser ordinateurs et logiciels, mais il y en a tellement qui changent tout le temps que l’on finit par les noter sur un bout de papier qui traîne sur le bureau.

Le logiciel de messagerie a des fonctions permettant de déléguer certaines tâches à des collègues ou à des collaborateurs, mais comme on n’a pas reçu de formation on ne sait même pas que ça existe et on donne ses identifiants sur un post-it à charge pour la personne concernée d’aller vérifier votre courrier pendant vos vacances sur votre machine.

La plupart des applications sont en réseau et il n’y a pas de lecteurs de supports externes de données, mais on peut tout de même télécharger et installer des logiciels sur les disques durs.

Le système informatique est paranoïaque et plus gardé et protégé que le Kremlin dans les périodes soviétiques fastes mais n’importe qui peut entrer dans les locaux et on peut faire des sauvegardes sur des supports mobiles (cédéroms par exemple).

Il y a des processus particulièrement bien faits pour sauvegarder ses données sur le réseau mais l’espace y est public donc les données confidentielles aussi et il n’est pas prévu d’autre système de sauvegarde : lecteurs de bande, disques externes, graveurs etc.

Les sauvegardes fonctionnent de façon automatique mais on ne va jamais vérifier si tout va bien et si effectivement elles sauvegardent bien tout comme il faut, sauf en cas de pépin évidemment.

À suivre ?