Sécurité informatique: le dilemme de la défense fractale

Publié par Adrien le 09/06/2015 à 00:00
Source: Stefan Lueders, Computer Security Team - Copyright CERN
Les fractales mathématiques ne sont-elles pas magnifiques ? Les ensembles de Mandelbrot et de Julia, le triangle de Sierpi?ski, l'éponge de Menger, le flocon de Koch (voir ici)... Basées sur des règles mathématiques simples, elles se développent rapidement en une mosaïque de facettes légèrement différentes les unes des autres. Plus vous vous en approchez, plus vous découvrez de nouvelles caractéristiques et des éléments semblables mais non identiques à l'image globale.

La sécurité informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le traitement automatique de...) est analogue à ces fractales, mais en moins joli: simple au premier abord, mais de plus en plus complexe à mesure que vous vous intéressez aux détails. Plus vous creusez, plus la surface (Une surface désigne généralement la couche superficielle d'un objet. Le terme a plusieurs acceptions, parfois objet géométrique, parfois frontière physique, et est souvent abusivement confondu avec sa mesure, sa...) d'attaque grandit, et plus les possibilités offertes à des personnes mal intentionnées se multiplient, tel le flocon de Koch, dont le périmètre (Le périmètre d'une figure plane est la longueur du bord de cette figure. Le calcul du périmètre sert par exemple à déterminer la...) grandit exponentiellement à chaque étape.

Ainsi donc, la surface devant être défendue grandit, couche par couche, au fur (Fur est une petite île danoise dans le Limfjord. Fur compte environ 900 hab. . L'île couvre une superficie de 22 km². Elle est située dans la...) et à mesure que l'on suit les bits et les bytes: cela commence au niveau des puces, des contrôleurs et des mémoires vives, où ils s'assemblent en données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) et instructions. Ces données, contrôlées par un système d'exploitation, s'échangent à travers des protocoles (des réseaux) et des interfaces pour donner naissance à des applications faciles à utiliser. Enfin, avec un clavier et une souris (Le terme souris est un nom vernaculaire ambigu qui peut désigner, pour les francophones, avant tout l’espèce commune Mus musculus, connue aussi comme animal de compagnie ou de laboratoire, mais aussi de nombreuses espèces...), l'être humain, ou "wetware", interagit avec ces applications pour donner naissance à plus de bits et de bytes.

Bien que ces abstractions rendent notre vie (La vie est le nom donné :) plus simple en occultant toute la complexité (La complexité est une notion utilisée en philosophie, épistémologie (par exemple par Anthony Wilden ou Edgar Morin), en physique, en biologie (par exemple par Henri...) du matériel informatique et des langages utilisés, elles rajoutent à la zone de défense des méandres dans lesquels l'expert en sécurité informatique pourra patauger et se perdre. Plus vous évoluez "haut" dans ces abstractions, plus la défense devient difficile, et plus les possibilités d'attaque sont faciles.

Au coeur même du système, au niveau des processeurs ou de la mémoire vive (La mémoire vive, mémoire système ou mémoire volatile, aussi appelée RAM de l'anglais Random Access Memory (que l'on traduit en français par 'mémoire à accès aléatoire'), est la...), la complexité rend la détection d'attaques sophistiquées impossible. Des chercheurs de Google (Google, Inc. est une société fondée le 7 septembre 1998 dans la Silicon Valley en Californie par Larry Page et Sergey Brin, auteurs du moteur de recherche Google....) ont récemment trouvé comment manipuler les données stockées dans la mémoire (D'une manière générale, la mémoire est le stockage de l'information. C'est aussi le souvenir d'une information.) vive en inversant un grand nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) de fois certains bits. Disséquer une puce ne permet même pas d'identifier les altérations physiques qui pourraient avoir été effectuées. Nous ne pouvons qu'espérer que personne n'ait implanté de matériel malveillant chez nous...

Mais continuons notre ascension dans la complexité: tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) le monde (Le mot monde peut désigner :) sait que tout logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements effectués automatiquement par un appareil informatique. Y sont inclus les instructions de traitement, regroupées sous forme de...) contient des bugs. Les applications et les systèmes d'exploitation sont plus difficiles à défendre vu leur grand nombre de lignes de code. Une étude explique que, pour chaque millier de lignes de code écrites, en moyenne (La moyenne est une mesure statistique caractérisant les éléments d'un ensemble de quantités : elle exprime la grandeur qu'auraient chacun des membres de l'ensemble s'ils étaient...) 10 à 20 défauts sont introduits (Steve McConnell, "Code Complete", 1993). Ainsi, des bugs sont découverts régulièrement, des vulnérabilités sont sans cesse publiées. Les logiciels "open source" sont peut-être une réponse à ce problème, mais qui peut examiner minutieusement des millions de lignes de code ? Comment s'assurer que les compilateurs, qui transforment le code lisible des logiciels en code machine, font bien ce qu'ils sont censés faire ?

Les interfaces (API) et les protocoles, au niveau suivant, ne sont pas plus sûrs. Bien qu'ils soient souvent restreints et théoriquement définis, ils sont souvent énormes et présents absolument partout. Le protocole à la base d'internet (Internet est le réseau informatique mondial qui rend accessibles au public des services variés comme le courrier électronique, la messagerie instantanée et le World Wide Web, en utilisant le...), "IP", en est un parfait exemple. La version IPv4 (L'Internet Protocol version 4 ou IPv4 est la première version d'IP à avoir été largement déployée, et forme encore la base (en 2007) de l'Internet. Elle est...) avait ses faiblesses, mais un grand nombre d'entre elles étaient connues et des parades étaient en place. La version qui se répand de nos jours (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début (par rapport à minuit heure locale) et...), IPv6 (IPv6 (Internet Protocol version 6) est un protocole réseau sans connexion de la couche 3 du modèle OSI.), apporte peu en termes de sécurité, mais beaucoup en termes de vulnérabilités inconnues. Qui plus est, au fur et à mesure que le code est modifié pour s'adapter à cette nouvelle version, qui sait combien de nouveaux bugs sont introduits ?

Enfin, tout en haut de la chaîne (Le mot chaîne peut avoir plusieurs significations :), il est malheureusement souvent très efficace de s'attaquer directement à nous, utilisateurs, ou à nos appareils. Notre défense peut facilement être brisée, que ce soit par persuasion, tromperie ou même agression physique (La physique (du grec φυσις, la nature) est étymologiquement la « science de la nature ». Dans un sens général et ancien, la physique désigne la connaissance de la...). Quelqu'un de mal intentionné et d'habile pourra, en utilisant toute la gamme des sentiments et des relations humaines, vous faire faire pratiquement ce qu'il voudra pour pouvoir contourner les mesures de sécurité: on est là dans le domaine de la manipulation. Et si le malfaiteur arrive à voler ou à avoir en main (La main est l’organe préhensile effecteur situé à l’extrémité de l’avant-bras et relié à ce dernier par le poignet. C'est un organe destiné...) ces appareils que nous utilisons de nos jours - ordinateurs portables, téléphones intelligents, tablettes... - la défense a évidemment perdu.
Cet article vous a plus ? Vous souhaitez nous soutenir ? Partagez-le sur les réseaux sociaux avec vos amis et/ou commentez-le, ceci nous encouragera à publier davantage de sujets similaires !
Page générée en 0.360 seconde(s) - site hébergé chez Amen
Ce site fait l'objet d'une déclaration à la CNIL sous le numéro de dossier 1037632
Ce site est édité par Techno-Science.net - A propos - Informations légales
Partenaire: HD-Numérique