Concernant les backdoors, la position de Sophos est très claire : #nobackdoors !

Oublions un instant les ransomwares, l’Internet des objets, ainsi que toutes les autres histoires de cybersécurité de ces derniers jours…

…sauf le sujet brûlant de 2016 : #nobackdoors.

En résumé, des backdoors sont des failles délibérément programmées, qui vous permettent de contourner le système de sécurité d’un ordinateur, et ce à votre guise.

Cela reviendrait à cacher un double des clés de votre appartement sous votre paillasson, au cas où vous perdriez votre clé en faisant vos courses.

Vous savez très bien que vous réduisez à néant vos efforts de sécurité, mis en œuvre en achetant cette serrure de très bonne facture, pour vous protéger de manière optimale dans un premier temps…

…cependant, avouez-le, si personne ne pense à regarder sous le paillasson, votre stratégie est gagnante !

Malheureusement, tout le monde connait l’astuce du paillasson, ainsi votre serrure haut de gamme ne vous sert strictement plus à rien !

Il s’agit exactement du même type de risque auquel nous sommes exposés lorsque nous acceptons de créer des backdoors programmées, au sein des produits de cybersécurité.

C’est la raison pour laquelle, à chaque fois que nous écrivons au sujet des backdoors sur les blogs Sophos, nos lecteurs en général expriment, d’une seule voix, leur consternation, en laissant des commentaires comme : “Qu’est-ce qu’ils s’imaginaient ?”, “Qui a pu imaginer un instant que tout cela pouvait bien se finir ?”.

En effet, qui ?

Voici quelques exemples astuces utilisées pour implanter des backdoors au niveau des mots de passe :

Toutes ces approches comportent des risques évidents et sérieux :

En d’autres termes, comme ceux utilisés par exemple par l’Information Technology Industry Council : “affaiblir la sécurité avec pour objectif de faire progresser la sécurité n’a tout simplement aucun sens“.

Nous sommes d’accord, et c’est la raison pour laquelle nous publions notre propre page #nobackdoors, accessible depuis le site internet Sophos.

Faire bloc pour #nobackdoors est particulièrement important aujourd’hui, au moment même où Apple doit se battre contre une injonction de la cour américaine, qui exige de la compagnie de créer une backdoor afin de permettre au FBI d’avoir accès à un iPhone protégé par mot de passe, qui s’avère être une pièce à conviction cruciale dans le cadre d’une enquête criminelle.

Il s’agit d’une affaire avec une portée sociale et émotionnelle très forte, car le FBI veut seulement une backdoor concernant un seul téléphone, celui appartenant à Syed Rizwan Farook.

Farook n’est plus là pour fournir son mot de passe lui-même : il a en effet été tué, en compagnie de sa femme, après avoir assassiné 14 personnes et blessé grièvement 22 autres, lors d’une fusillade à San Bernardino, en Californie, le 2 décembre 2015.

Néanmoins, Apple est déterminé à garder les pieds sur terre, en argumentant que la création d’une backdoor logicielle, même dans un drame comme celui-ci, ouvrirait la boîte de pandore du craquage de mots de passe.

En autorisant les backdoors sur les iPhones, Apple trahirait effectivement des millions de clients respectueux de la loi, et ouvrirait la porte pour de futures demandes similaires auprès d’autres entreprises américaines et leurs clients.

Sans surprise, d’autres entreprises américaines, telles que Google, WhatsApp et Microsoft, soutiennent Apple et disent #nobackdoors.

Et Sophos partage, bien évidemment, ce point de vue, car affaiblir la sécurité avec pour objectif de faire progresser la sécurité n’a tout simplement aucun sens.

Suivre @SophosFrance
Billet inspiré de “Sophos says: #nobackdoors!” par Paul Ducklin de Naked Security
Partagez “Concernant les backdoors, la position de Sophos est très claire : #nobackdoors!” avec http://wp.me/p2YJS1-2t6