Re: UEFI à la Debconf

Page principale

Répondre à ce message
Auteur: Bruno Cudini
Date:  
À: Yves Martin
CC: Hervé de Dianous, ML Guilde
Sujet: Re: UEFI à la Debconf
Salut,

On Sun, Jul 15, 2012 at 05:48:04PM +0200, Yves Martin wrote:
> J'ai l'habitude de dire que la sécurité n'est là que pour emm[..]er
> l'utilisateur en lui disant que c'est pour son bien. Vision paternaliste
> sans pédagogie: on impose une solution technique pour économiser le coût
> d'une formation/sensibilisation...


Ca, c'est malheureusement ce que l'on voit le plus souvent. Arrivé à un
certain niveau de sécurité technique, il devient plus ou moins inutile
d'en rajouter, dans la mesure où l'humain devient le maillon faible. Une
faille CVE de 2009 sur un service ouvert sur le réseau, c'est plus
facile que du social engineering. Il faut donc voir la formation autant
que possible, mais c'est souvent compliqué puisque tu n'es pas le seul à
penser que la sécurité est là pour "emm[...] l'utilisateur", l'empêcher
de mettre sa date de naissance en mot de passe et le forcer à retenir un
pass différent de celui qu'il met sur facebook.

Mais pour autant, je pense que l'utilisation d'une techno qui sécurise
le boot peut être intéressante aussi. On voit souvent dans le domaine de
la sécurité, des propositions d'amélioration pour rendre un service plus
sûr. Et comme ça a l'air trop compliqué pour Mme Michu, c'est rejeté
sans autre forme de procès. C'est comme ça qu'on se retrouve avec des
systèmes peu secure, sous prétexte que si c'est trop compliqué personne
s'en servira, et les utilisateurs avancés se retrouvent sans rien.

Donc quitte à former les gens, on peut aussi les former à refuser les
dérives d'une technologie, qui en elle même est assez intéressante pour
l'aspect sécurité, mais qui en pratique sera très certainement récupérée
par des marketeux pour garantir que les gens restent captifs.