Pourquoi ne pas croiser le Web2.0 FAIL avec la sécurité?
Actuellement, le service Web2.0 qui fait parler de lui est Twitter. Réseau social, suivi d'informations, fil d'actualités, on ne sait pas forcément très bien le définir (et encore moins son modèle économique), mais les faits sont là: de plus en plus de monde l'utilise et on lui prédit un avenir radieux.
Dernièrement, une "faille" (les guillemets sont de rigueurs) dans Twitter a permis à un pirate de récupérer des documents confidentiels concernant l'avenir de Twitter, son modèle économique, ses projections financières etc...
On a de nouveau entendu parler du cloud, du Web2.0 sur l'air de "It's Five AM, do you know where your datas are?", de la sécurité etc...
Ceci dit, la faille n'en est pas une. Un document de Techcrunch l'explique très bien.
Tout a reposé sur le temps libre d'un hacker français qui a pu trouver le password de la boite gmail d'un employé, puis d'un autre, etc.. en se basant sur deux points:
- les utilisateurs emploient toujours le même mot de passe pour tous les services 'in the cloud' donc la connaissance d'un mot de passe permet d'accéder à tous les documents de l'user (google docs, MobileMe, etc..)
- l'industrie des services en ligne utilise toujours une case "Mot de passe oublié?" qui se base sur une question censée être secrète. Mais dans l'air du temps qui comprend les réseaux sociaux et l'étalement des données privées, des questions comme le nom de jeune fille de la mère, le nom du chien, ou les 4 derniers chiffres du numéro de téléphone ne sont plus des données secrètes.
Alternativement, le blog de Matthieu Suiche, parlait lui d'une faille de conception entre Twitter et TwitPic en deux posts: "Security 2.0 is not a failure it's a nightmare" et "Security 2.0 Fairy tales and art of deception". Effectivement, ça n'est pas non plus une faille trouvée après une recherche poussée dans les fondements du code, mais la réaction de Twitter en devient glaçante. Et donc cette faille en est vraiment une: est-ce que Twitter comprend ce qu'est la sécurité, et pourquoi un PIN à 10^4 possibilités, c'est trop peu.
On a plus parlé de Britney Spears (son compte s'est fait pirater via cette faille) que de la faille en elle-même..
Les grandes questions de base concernant l'exposition de la vie privée (autant dans son exposition que dans l'impossibilité de sa non suppression par la suite) et concernant la localisation des données dans ce fameux cloud Web2.0 ne sont toujours pas abordée.
J'en profite pour faire un link vers un blog en anglais de C.Hoff, rationalsurvivability, qui a défaut de donner des solutions, pose souvent les bonnes questions (ce qui est souvent aussi important) concernant le duo infernal: Virtualisation + Cloud.
Pour rebondir sur ta proposition, je propose un Grenelle du Fail :)
RépondreSupprimer\o/
RépondreSupprimerJe pressens que le grenelle du FAIL soit un échec :)