Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Mot à coucher dehors : Snake Oil Security

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Commentaires Commentaires fermés sur Mot à coucher dehors : Snake Oil Security

La suite de notre série des acronymes et autres mot tordus du petit monde de la sécurité. Snake Oil Security, la potion magique de la sécurité ?


Si le terme vous évoque l’Ouest américain au temps de la diligence, ce n’est pas un hasard : la sécurité « huile de serpent » a les mêmes propriétés que le produit vendu sur la place du village par le bonimenteur de passage. Grâce à une recette unique et forcément secrète, elle soigne tout et plus encore.

Dans son contexte informatique, le terme Snake Oil Security a été popularisé par Bruce Schneier il y a déjà fort longtemps. Schneier relevait dès 1999 que le problème des mauvais produits de sécurité, c’est qu’ils ressemblent souvent aux bons. Et, notamment, que leurs éditeurs font les mêmes promesses et affichent les mêmes fonctionnalités que les vendeurs de produits honnêtes.

Pour les différencier, Bruce Schneier proposait alors de se méfier de quelques comportements :

– Des affirmations pseudo-mathématiques, telles que « unique in-house developed incremental base shift algorithm » ou encore l’excellent « The base of VME is a Virtual Matrix, a matrix of binary values which is infinity in size in theory and therefore have no redundant value »

– Des grandes découvertes mathématiques. Comme, au hasard, la très récurrente nouvelle méthode qui permet de factoriser des grands nombres premiers en quelques secondes pour casser les clés RSA.

– Des signes évidents d’incompétence : « Public Key encryption is exactly that, you are not the only party involved in the generation, integrity, and security of all the keys/passwords used to encrypt your e-mail, documents, and files »

– Des outils de chiffrement à usage unique présentés comme l’arme absolue. Si l’approche est effectivement très sûre, elle n’est tout simplement pas applicable dans la majorité des cas. Et les éditeurs qui prétendaient le contraire vendaient généralement un système rendu largement faillible afin de le rendre utilisable dans un contexte grand public.

– Et, bien entendu, des très habituelles références à des produits « acclamés » (par qui ?), des « preuves mathématiques » (qui ne disent rien sur l’implémentation du produit) et des concours de piratage (les pirates assez doués pour casser le système garderont leur découverte pour eux).

Cet inventaire à la Prévert des « mauvais ingrédients » du marketing de la sécurité a bientôt dix ans. Bien entendu il n’est abordé ici que pour illustrer notre mot du jour. En ces temps d’excellence technologique, plus personne n’oserait un tel marketing.

Non ?


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.