lundi 22 octobre 2012

L’échec du e-commerce français

J'ai envie d'un Google Galaxy Nexus. C'est quand même pratique pour tester Android 4.1 ou webOS 1.0. Pas de problème, puisque la page officielle de Google France me donne la liste des revendeurs: des opérateurs, mais également des sites connus comme RueDuCommerce. J'opte pour ce dernier. Je paie en ligne sur leur site (mais que font-ils de mon numéro de carte bleue ? La même chose que la FNAC ?). Il n'y a que deux options de livraisons: deux jours après pour 8 euros, ou le lendemain pour 9 euros. Soit.
Le lendemain, pas de livraison. Je consulte mon compte client, et là, c'est le drame:
Afin de valider votre commande et vous permettre de recevoir votre colis au plus vite, nous avons besoin de pièces justificatives.
* QUELLES PIECES JUSTIFICATIVES FAUT-IL ENVOYER ?
Nous vous demandons de nous adresser, pour valider votre commande :
- une copie de votre pièce d'identité (carte nationale d'identité, passeport ou permis de conduire)
- une copie recto verso de la carte bancaire ayant servi au règlement de votre commande en prenant soin de ne laisser apparaitre que les 4 premiers et 2 derniers chiffres du numéro sur l'avant et en masquant sur l'arrière de la carte :
- le cryptogramme (ce qui garantit la sécurité totale de votre envoi et empêche toute utilisation de la carte)
- le numéro complet de la carte bancaire qui peut apparaitre en creux.
* POURQUOI CES PIECES JUSTIFICATIVES ?
Pour vous protéger ! Afin de vous garantir une parfaite sécurité de paiement et vous défendre contre toute tentative d'utilisation frauduleuse de votre moyen de paiement, nous devons nous assurer que la personne débitée est bien celle qui a commandé sur notre site.
* COMMENT ADRESSER CES PIECES JUSTIFICATIVES ?
Vous pouvez nous adresser les documents en indiquant impérativement votre numéro de commande :
> Par e-mail : verifications2.rdc@sc.rueducommerce.com (photographie ou scan lisible)
> Par courrier : Mais attention au délai : les produits en stock vous sont réservés pendant 4 jours seulement !
RueDuCommerce - Service vérification
44-50 avenue du Capitaine Glarner
93585 Saint Ouen Cedex
> Par fax (non recommandé - et si utilisé, veillez à paramétrer un mode de scan ultra-fin) : 01 72 93 14 01
SRSLY. Envoyer mon numéro de carte bleue et mon CVV par email (en clair) ou par fax ? En 2012 ? C'est ça le e-commerce ? Est-ce que ces gens ont entendu parler de PCI/DSS, de 3D Secure, d'assurance contre la fraude bancaire ?

Notez le: "pour vous protéger". Cela protège éventuellement le vendeur (et encore cela reste à démontrer – car je ne vois pas en quoi cela protège contre quelqu'un qui aurait volé physiquement mon portefeuille), mais en ce qui me concerne, j'ai plutôt l'impression que ça contribue à diminuer le niveau de protection de ma carte bancaire …

Effectivement, je suis un peu couillon: j'aurais pu me renseigner, car RueDuCommerce pratique cette politique depuis bien longtemps semble-t-il. Du coup j'ai rapidement fait le tour des critiques concernant les autres revendeurs français proposés par Google (comme Expansys): elles sont toutes mauvaises.
Bref, je vais sur Amazon Marketplace, je trouve un revendeur allemand totalement inconnu qui dispose de 92% d'évaluations positives, j'achète en un clic, j'ai une protection contre la fraude, et je suis livré … un jour plus tôt que prévu !


Je ne sais pas où on est du redressement productif et de la création de valeur dans le numérique, mais si le e-commerce français a pour seul modèle Père-Noël.fr, pas étonnant que Amazon, Apple iTunes et autre Google Play récupèrent la plus grosse part du gâteau …

PS. Le Galaxy Nexus est un excellent téléphone par ailleurs, et l'un des rares à supporter le NFC. Cerise sur le gâteau, la ROM Google intègre nativement Google Music, alors que l'application n'est pas disponible sur le Market français :)

jeudi 4 octobre 2012

L'obligation morale de dire: WAT?

Je ne suis pas aux Assises de la Sécurité. Je travaille (dur, et tard). Mais il faut bien dire que le discours d'ouverture de Patrick Pailloux (directeur de l'ANSSI) sur le thème "le courage de dire non" était quand même très attendu … et déjà très largement commenté ici ou .
Commençons par les détails (je vous réserve le meilleur pour la fin).

Les sanctions

Voilà un point sur lequel je suis entièrement d'accord: une règle n'est suivie d'effet que s'il existe des sanctions … appliquées (donc édifiantes). N'importe quel parent aura appris "à la dure" cette leçon de terrain.
Le problème ? Après avoir écrit des politiques de sécurité (mais aussi des chartes d'accès Internet et autres documents opposables) en tant que consultant pendant des années, je n'en ai jamais vu aucune appliquée (et encore moins sanctionnée). Le document ne sert que de parapluie juridique. D'ailleurs personne (en dehors de la sécurité) ne l'a jamais lu.
Quelle surprise lorsque je suis amené à travailler avec des partenaires allemands ou anglo-saxons du domaine de la défense, et qu'ils me demandent effectivement de poser une bandelette sur l'objectif de mon téléphone portable (les photographies étant interdites sur à peu près n'importe quel site sensible dans le monde) …
L'autre problème du bâton, c'est qu'il ne fonctionne bien qu'avec la carotte. Or la sécurité "défensive" est actuellement perçue comme essentiellement vexatoire: le RSSI "saute" s'il y a un problème, l'utilisateur doit changer son mot de passe tous les X jours (ce qui est totalement inutile dans les faits), etc. Elle ne procure aucune récompense. A contrario les attaquants n'ont que la pure satisfaction du succès, et ne sont pour ainsi dire jamais punis (puisque jamais attrapés). Dans ces conditions, on comprend qu'ils mettent plus d'ardeur à nous attaquer que nous à nous défendre …

La maturité

Je vous livre cette citation telle quelle: "Pendant longtemps j'ai dit qu'il ne doit pas y avoir de sanction dans le domaine de la sécurité car le niveau de maturité est tel que cela ne sert à rien. Je pense qu'on est en train d'élever ce niveau et cela commence à se savoir qu'il faut faire de la sécurité informatique !".
Voilà enfin une bonne nouvelle ! Les autorités de certification ne font plus n'importe quoi, les prestataires labellisés ont été notifiés, l'algorithme SHA-3 a été sélectionné, bref: que des motifs de satisfaction pour le RSSI qui va enfin pouvoir se consacrer à des tâches plus nobles que de convaincre ses utilisateurs de ne pas tout mettre dans Dropbox, et sa direction générale de ne pas faire suivre leurs emails professionnels sur une adresse @icloud.com !

Les analogies

Un piège classique pourtant: celui de l'analogie. Mais qui a relu ce discours ?
"Quand vous sortez de chez vous, vous fermez les portes à clé": certes, mais vous changez les serrures tous les 30 jours ? Vous achetez des serrures complexes, en prenant soin de mélanger serrure à goupille, serrure à pompe, et serrure à gorge ? Vous prenez soin de ne pas racheter la même serrure que les 24 modèles précédents quand vous en changez ? Et surtout, à quoi cela sert-il, puisqu'un expert met quelques minutes pour crocheter n'importe quelle serrure ?
La serrurerie est à l'image des mots de passe: un échec. Les gens ferment essentiellement leur porte parce que l'assurance leur impose une serrure certifiée A2P avec au moins 3 points d'ancrage. Mais dès qu'on s'éloigne des grandes villes, les maisons restent ouvertes d'une manière ou d'une autre - le chien de garde étant souvent beaucoup plus efficace qu'une serrure sur un périmètre indéfendable. C'est le bon sens paysan.
"Vos papiers sont triés": bien sûr, mais comment faire lorsque la lettre laisse une trace dans l'enveloppe (le répertoire temporaire) et la poubelle qui l'a contenue ? Et comment faire lorsque le papier doit être photocopié quotidiennement de manière incrémentale, et transporté sur 2 ou 3 autres sites de stockage physique ?
J'arrête là. Il ne faut pas utiliser d'analogie entre le monde "physique" et le monde "numérique". C'est comme imaginer que les anges s'ennuient et voudraient avoir Facebook.

Le guide d'hygiène informatique

Il est ici (ou en version simplifiée sur laquelle je base mon analyse). Mon Dieu! Et je ne parle pas de la mise en page digne de Word 97 (le document a pourtant été produit avec Excel 2010), mais bien du fond.
Dès le 1.1, ça part assez mal: "établir la liste des briques matérielles et logicielles utilisées". Tout simplement impossible: aucun éditeur ne fournit cette information. C'est en passant des semaines à auditer un logiciel qu'on réalise la quantité de frameworks Java imbriqués, ou l'utilisation cachée de toutes les librairies Open Source "classiques": ZLib, OpenSSL, LibPNG, LibFreeType … sans parler des appliances qui sont conçues pour être des boites noires.
"Brique" signifie peut-être de réaliser un inventaire de haut niveau sans rentrer dans ces détails techniques scabreux. Et c'est ainsi qu'on se retrouve avec un Cisco Call Manager 4 vulnérable au ver Blaster, des produits qui sont tous vulnérables à la même faille XML, ou du FCKEditor dans à peu près n'importe quelle application Web … mais du point de vue du vendeur, son produit n'a pas de faille de sécurité (connue).
Je passe rapidement sur le reste du document qui est à l'avenant ("12 caractères minimum pour les mots de passe", "changer les mots de passe tous les 90 jours", "privilégier une authentification par carte à puce", etc.) pour me concentrer sur l'essentiel: on retrouve dans ce document les principes stratosphériques que tous les consultants refilaient à leurs clients dans les années 90 tout en se gardant bien de proposer une implémentation. Je vous laisse en juger:
4.3. "Surveiller les accès de manière centralisée et permanente."
4.4. "Pour chaque accès Internet, utiliser des passerelles d'interconnexion sécurisée."
15.1. "Désactiver les services applicatifs inutiles."
15.2. "Restreindre les privilèges utilisateurs."
24.6. "Diversifier les technologies utilisées dans la passerelle dans la limite de la maintenabilité du parc."
26. "Eviter l'usage de technologies sans fil (Wifi)."
30. "Ne pas donner aux utilisateurs de privilèges d'administration. Ne faire aucune exception."
34.1. "Ne pas laisser des imprimantes ou photocopieurs multifonctions connectés au réseau dans un couloir."
Si vous voulez un bon conseil de consultant repenti, ne touchez à rien et changez de version de Windows. C'est beaucoup plus efficace que d'essayer de "désactiver les services applicatifs inutiles" ou de "restreindre les privilèges utilisateurs" sur votre Windows XP.
Quant à "surveiller les accès", c'est à peu près ce que tout le monde fait depuis 10 ans. Mais c'est un peu comme la vidéosurveillanceprotection: tant qu'on ne sait pas ce qu'on cherche, on a un peu du mal à trouver. Enfin on sait déjà que lequipe.fr est un watering hole de premier choix pour compromettre la majorité des entreprises françaises entre 9h00 et 11h00: j'attends maintenant le RSSI qui va dire "non".
Je passe pudiquement sur le "utiliser des passerelles sécurisées". Je ne me rappelle pas avoir vu un vendeur de passerelle non "sécurisé par la technologie AES 256 bits approuvée par le NIST" ces dernières années, donc on est tranquille.

Le fond du problème

Bref, ce discours est du pain béni pour un trollblog.
Mais pour identifier le vrai problème de fond, il ne faut pas chercher plus loin que le titre: on ne demande pas au RSSI de dire oui ou non.
Il peut donner son avis éventuellement, voire dissiper beaucoup d'énergie pour retarder un projet, mais la sécurité n'a pour ainsi dire jamais le dernier mot. Sinon la carte vitale 1, le vote par Internet, ou les impôts sans certificat n'existeraient pas.
Le RSSI (dans le privé) a un rôle de conseil, d'évaluation des risques, de préconisation. Il est parfois CIL ou responsable du PCA/PRA. Mais je n'en ai vu aucun pouvoir interdire à quiconque d'utiliser un iPad. Surtout dans une entreprise moderne, où la mobilité est un atout pour compresser le temps (et donc les coûts), et où la majorité des intervenants sont des sous-traitants dont la cuisine interne échappe complètement au RSSI "maison" - en dehors du traditionnel contrat, qui indique parfois que l'intervenant doit être "sécurisé" (sans fixer aucune exigence ni aucune sanction d'ailleurs).
Comme "il n'est pas de problème qu'une absence de solution ne puisse résoudre", la messe est dite: le RSSI ne dira pas non. Ca n'est pas une question d'oser. C'est qu'on ne lui pose pas la question.

Conclusion (TL;DR)

La conclusion du discours est toujours la même: l'ANSSI recrute ("des candidats de valeur qui n'ont pas trop besoin de sommeil" - si si c'est marqué dans le discours officiel). D'ailleurs c'est le bon moment pour ceux qui veulent se planquer pendant la crise: j'ai entendu dire que les critères d'acceptation avaient baissé.
En ce qui concerne le challenge (dont le discours parle également), je crois que tout le monde a arrêté. Bien sûr, quand on prend 1 an pour rédiger un rapport en LaTeX, on peut bien trouver 6 mois pour faire des challenges (défis en français). Mais après il faut trouver des copains qui veulent bien jouer.
Sur ce, j'aurais aimé conclure proprement, mais il est tard donc je laisse le mot de la fin à Twitter (source).

Mise à jour du 4 octobre 13:15: correction de typos (merci aux relecteurs)