Hello,
Sympa la vidéo de l'expert en réunion, effectivement pas très éloignée du réel

. Dommage qu'elle contienne une pointe de sexisme.
Alors !

Nos discussions et mes dernières actions techniques sur fortdissy.info ont fait progresser mon point de vue.
En octobre dernier, fortdissy.info s'est réfugié sous le protectorat de Cloudflare, bénéficiant ainsi de la sécurité et de la rapidité de leur plateforme.
Sur les 30 derniers jours, Clouflare a optimisé 2, 3 millions de requêtes
demandées par les quelques 18 000 visiteurs uniques de fortdissy.info (voir stats complètes en suivant le lien). Dans le même temps, Google Analytics en compte 12 800. C'est dire si les bloqueurs de pub et de traceurs se sont généralisés : l'écart doit provenir des bloqueurs de type Ghostery, Adblock ou uBlock, qui sont inefficaces avec Clouflare.
Je me suis longtemps méfié de Cloudflare et pour plusieurs raisons : d'abord je n'appréciais pas du tout la logique ultra centralisée de leur système. Il y a quatre ans déjà, Seb Sauvage denonçait les méfaits dans un de ces billets et je m'étais rangé à son point de vue :
CloudFlare: Le syndrôme Akismet ?
Seb Sauvage a écrit :CloudFlare est mis en place à l'initiative des webmasters. Il se place entre les internautes et votre site web. Il agit comme un reverse-proxy: Toute requête HTTP destinée à votre site passe d'abord par les serveurs CloudFlare qui l'analysent et éventuellement la bloquent. Le service offert par CloudFlare est trop tentant: Protection contre le spam, les DDOS, statistiques, CDN, cache... le tout dans un service gratuit. Tellement tentant qu'un quart des internautes passent sans le savoir par CloudFlare.
[...]
Gardez bien à l'esprit que CloudFlare voit la totalité des requêtes envoyées à votre site par les internautes. Cela inclue donc également les formulaires, les logins/mots de passe... bref, tout. Et bien sûr, votre propre connexion au panel d'admin web.
Je suis peut-être parano (où est mon chapeau en papier d'alu ?), mais pourquoi devrais-je permettra à une société un accès total et détaillé à tout le trafic de mon site, mots de passe y compris ? Il y a assez de mon hébergeur.
Cloudflare a mis à jour ses statistiques d'utilisation. Il y a quatre ans, "un quart des internautes passaient sans le savoir par Cloudflare". Aujourd'hui, Cloudflare annonce que ses serveurs "
font transiter tous les mois approximativement un trillion de pages pour plus de 2,2 milliards de visiteurs uniques" (1 trillion = 1 millier de milliards = 1 000 000 000 000

). Chacune des requêtes et chacun des visiteurs sont identifiés par un numéro unique et les événements sont historisés. C'est surprenant : Cloudflare rencontre plus de visiteurs différents tous les mois que
Facebook n'en a d'actifs (1, 55 milliards).
Entre le point de vue adopté il y a quatre ans et celui d'aujourd'hui, un gouffre nous sépare : le web s'est totalement transformé. Le chiffrement des connexions s'est généralisé. Et puis, à l'époque, nous avions la sensation de pouvoir nous soustraire à la centralisation du web tout simplement en agissant de façon décentralisée. Aujourd'hui, il n'y a pas d'issue : la sécurité à bas coût est un prérequis, la rapidité d'accès un impératif. Or et pour exemple, une attaque par déni de service (DDoS)
s'achète quelques dollars et en un click dans le darknet. A l'inverse, les protections anti-DDoS coûtent cher et sont naturellement mutualisables. Enfin, une équipe dédiée à la sécurité coûte un bras.
L'engagement
J'ai été souvent impressionné et séduit par l'esprit d'engagement qui anime généralement les experts en sécurité informatique
oeuvrant en mode défensif. Tels des moines soldats, ils travaillent pour l'idéal qu'
on leur a mis en tête et la mission qu'on leur a confié. L'engagement est total et repose sur la logique du bit : zéro ou un. Ce manque de nuance m'a longtemps gêné, d'autant que la mise en application commence toujours
par un défaut de confiance envers autrui. Il suffit de lire la configuration de base d'
un pare feu pour un serveur web pour comprendre comment tourne l'esprit d'un administrateur sécurité. Observez la première ligne :
Code : Tout sélectionner
sudo ufw default deny incoming // refuse toute connexion entrante sur le serveur
sudo ufw allow 22 // accepte toute connexion sécurisée au serveur (authentification utilisateur requise)
sudo ufw allow 80 // autorise toute connexion au serveur web (http)
sudo ufw allow 443 // autorise toute connexion au serveur web (https)
sudo ufw enable // démarre le pare feu
Pour ma part, j'aime fonctionner à l'inverse :
commencer par accorder entièrement ma confiance, donner sa chance à la situation. Et je dois bien admettre que ces deux approches diamétralement opposées ne peuvent être transcendés

. En même temps, mettez en place un système fermé pensé par un cerveau sécuritaire et vous aurez la garantie que personne n'utilisera le service (Facebook par exemple
a mis en place une passerelle directement connectée au réseau Tor). Il faut trouver le juste équilibre entre ces deux fonctionnements, et il semble que déléguer la sécurité à des équipes dédiées, sans perturber pour autant le mode de fonctionnement des autres est très performant.
J'invite les plus curieux d'entre vous à
lire la réaction d'un des ingénieurs sécurité chez Google juste après que Edward Snowden ait révélé l'infiltration de la NSA
à l'insu de leur plein gré dans leurs datacenters. Cela transpire l'engagement tout en gardant une bonne dose d'humour !
La fin de l'hyper-contrôle
Nous sommes passés à l'âge des apps, ces bouts de code qui se mettent à jour tous seuls en mode silencieux. Nous ne souhaitons plus avoir à nous soucier de la mise à jour de nos outils informatiques. Nous souhaitons utiliser des outils simples, adaptés, sécurisés et à bas coût. L'hyper-maîtrise que je souhaitais à l'époque de Seb Sauvage n'est plus envisageable : le modèle n'est pas un ordinateur coupé du monde dans sa forteresse, mais des briques logicielles qui se mettent à jour au gré des évolutifs.
J'ai récemment pris en délit de sale code une extension Wordpress ayant le toupet de
promettre dans son descriptif qu'elle ne faisait qu'une seule chose. En vérifiant rapidement le code, je me suis rendu compte qu'elle hébergeait un bot :
J'ai remonté ma revue de code dans les avis sur l'extension. Selon les stats wordpress.org, le plugin n'a été installé que sur une centaine de Wordpress, mais que se passe-t'il à plus grande échelle ? Utilisateurs de Windows 10, prenez conscience
des soubassements de Windows 10.
Il faut faire la part des choses : on a besoin de tracer l'utilisation d'une application pour en garantir sa sécurité, voir pour automatiser les processus de sécurisation (mise à jour de filtres antivirus ou antispam par exemple), mais on ne sait jamais vraiment quelles données transitent et pour quels usages tant qu'on n'a pas le nez dans le code mais aussi du côté des serveurs (et encore). Et dans le même temps, la logique du bunker (je suis en sécurité dans mon coffre-fort et nulle part ailleurs), ne fonctionne pas sur le web : il suffit de suivre le flux de mise à jour d'une instance Linux (apt-get update) pour réaliser à quel point tout est interdépendant de tout, et que les mises à jour se situent à plein de niveaux applicatifs différents.
J'aimerais pour autant continuer à fonctionner en accordant ma confiance par défaut.
Alors je me suis résolu à me fier à ceux qui s'investissent le plus dans la vie de la cité, ceux qui donnent de leur temps pour la communauté, ceux qui déploient une énergie démesurée pour conserver leur cohérence, ceux qui défendent des valeurs fortes, ceux qui sont conscients du contexte éternellement changeant,
ceux chez qui l'ont palpe leur engagement dans leurs actions. Etre insensible aux autres.
Le pouvoir exorbitant des techos
Dans une récente interview, Linus Torwalds, créateur de Linux (le système d'exploitation
le plus utilisé au monde) et l'homme considéré par Bloomberg Buinessweek comme étant "
l'individu dont l'action a le plus influencé le monde économique ces 20 dernières années" s'est amusé de cette définition et a résumé sobrement ce qu'il pense de la portée de son pouvoir :
Linus Torvalds a écrit :Le seul pouvoir que j'ai réellement est de dire non.
Non à quoi ? Aux
backdoors dans Linux ?
De son côté, Cloudflare, le service aux 2,2 milliards de visiteurs uniques,
a fait une belle démonstration de la portée réelle de son pouvoir et de sa responsabilité : ok pour implémenter les nouveaux standards de sécurité (
le fameux SHA-2 dont Snoopy parlait), mais sans les imposer sous peine de désagréments pour une partie de la planète. En substance :
Clouflare dans son blog a écrit :L'apparente bonne nouvelle est que le SHA-2 est globalement supporté par au moins 98,31% des navigateurs web. Supprimer 1,69% des connexions sécurisées peut ne pas sembler beaucoup, mais cela représente 37 millions de personnes. C'est équivalent à supprimer l'accès au web à la Californie toute entière sauf à ce qu'elle change ses appareils.
[...]
Malheureusement, la majorité de ces utilisateurs sont installés dans les pays les plus pauvres, avec les politiques les plus répressives et secoués par des guerres. Autrement dit, ce seront les populations les plus vulnérables qui n'auront plus accès aux ressources internet si le SHA-2 est imposé.
Cloudflare annonce par là-même qu'ils prennent en charge le SHA-1 pour les navigateurs n'étant pas compatibles avec la nouvelle norme de sécurité. Facebook, Alibaba et bien d'autres font de même, et je trouve ça très bien joué. Les utilisateurs de Windows XP doivent respirer !
Le pouvoir exorbitant des techos est supplanté par un pouvoir que l'on appelle communément "politique", et qui évite bien des effets de bord. Faut de tout pour faire un monde comme chantait l'autre !
https://www.youtube.com/watch?v=8p9dDGZC2Tg
