Je résume le fil de la discussion*:
Moonwalker avec ses connaissances manifestes qui fleurent celui qui a mis les mains dans le cambouis résume avec sagesse les éléments essentiels d'une bonne politique de sécurité :
«Une bonne politique de sécurité sur Mac OS X c'est à mon sens*:
faire les mises à jour de sécurité (quand bien même elles introduiraient des bugs avec certaines applications)
s'informer en lisant le descriptif des dites mises à jour de sécurité et en surveillant les actualités Mac
ne pas installer de logiciels dont on ne soit sûr (lorsqu'on entre son mot de passe administrateur pour installer un logiciel, c'est toutes les portes de son OS qu'on ouvre à celui-ci)
lire les commentaires sur les dits logiciels par les autres utilisateurs (MacUpdate, VersionTracker, MacGeneration, etc...) et vérifier au besoin le contenu du paquet d'installation
faire attention aux sites qu'on visite
ne pas naviguer avec une session dotée de droits administrateurs (l'administration c'est pour administrer)
faire des sauvegardes régulières
tout ce à quoi je n'ai pas encore pensé, mais que d'autres ajouteront»
BSOD fait écho à Moonwalker les deux faisant la paire (j'ai vérifié*!) précise que*:
«La plus grosse faille, la plus grosse faiblesse, reste bel et bien l'utilisateur en lui -même, par sa crédulité ou son manque de vigilance.»
hippo sulfite en bon professionnel qui a dû en baver avec les virus (me trompe-je ?) confirme que :
«
je suis en accord avec vous, sur le fait que la protection ne doit pas être prise à la légère même sur un Mac.»
Il rappelle avec raison que les antivirus agissent contre les virus et non contre les autres éléments (spyware, phishing, spam
), confirmant ainsi ce que j'avais écrit
«Je trouve que l'on se focalise trop sur la question des virus informatiques qui ne représente qu'un aspect des possibilités de malveillances.»
1) Spyware, phishing, virus informatiques, spam = des actes de violence
Ces composants (spyware, phishing, spam
) souvent qualifiés de
malicieux, comme s'il s'agissait de blagues de potaches sont en fait des formes d'agressions que je qualifierais d'intolérables. Le fait est que les utilisateurs de Windows s'y sont souvent habitués comme un fait inéluctable. De temps en temps, un vol de criquets de la variété malware fait des ravages. Depuis quelque temps, il semblerait qu'un ras-le-bol commence à s'exprimer. Il y a même des transfuges sur Mac, lequel accède au rang d'outil utilisable y compris pour l'entreprise, alors que précédemment, il ne suscitait que haussement d'épaules, voir le qualificatif de "jouet". Sa sainteté Microsoft perd ses ailes et redescend de son nuage. Pour donner le change, il s'offre un cloud computing pour remplacer l'auréole (je sais, c'est un peu facile).
Dans les entreprises, des mesures drastiques sont mises en oeuvre (pare-feu, interdiction formelle de charger un logiciel quel qu'il soit en dehors des gestionnaires de réseaux ou des webmestres
), ce qui induit une rigidification des relations entravant une part de la nécessaire créativité ou/et de la souplesse pour s'adapter, améliorer ce qui doit l'être
Les procédures de validation sont longues; les relations ne sont plus que verticales (déjà qu'elles ont tendance à l'être spontanément); j'en passe et des meilleures.
Quant aux utilisateurs individuels dont certains travaillent à domicile ils sont encore plus exposés. À leur insu, leur ordinateur peut devenir le relais pour brouiller l'origine de méfaits illicites. Ils sont souvent peu conscientisés, disposent de moyens insuffisants et ne prennent pas assez le temps de lire les modes d'emploi et se documenter pour être en prise avec l'actualité.
2) Mon expérience professionnelle
J'étais assistant social spécialisé dans les questions de négligences, carences et mauvais traitements infantiles. La violence intrafamiliale et conjugale, je connais. Je sais aussi qu'il existe des méthodes éprouvées pour permettre à ces familles de revenir à une vie agréable, dans laquelle les plus vulnérables sont protégés. Il n'y a qu'une petite part de ces familles dont le pronostic est sombre et ou la récupérabilité est sans espoir. Évidemment, comme dirait M. de la Palisse, plus on peut intervenir précocement, plus les chances de récupération sont bonnes et moins l'intervention coûte cher. Enfin, il existe une règle absolue, ne jamais intervenir seul, ce qui signifie que la pluridisciplinarité est nécessaire. Dans cette configuration, on fait moins de c
lorsqu'on est plusieurs. Autrement dit, grâce à la solidarité et au partage, ce qui parait inéluctable ne l'est plus que dans une faible mesure.
Pour aggraver mon cas, j'ai été aussi infirmier diplômé en soins généraux. J'ai appris que la gravité de la maladie n'est pas proportionnelle au nombre de tuyaux qui relient le malade dans son lit, à des machines bizarres autant qu'étranges qui font bip et parfois beuh*!
Ce que je veux dire en livrant mes expériences professionnelles, c'est que nous ne sommes pas impuissants face à la maladie ou l'agression. Plus on reste isolé, plus tard on établit un diagnostic correct, plus difficile est la résolution des problèmes. L'addition des compétences est sans aucun doute une force surprenante qui permet de dépasser bien des écueils a priori infranchissables.
Pour l'informatique, c'est la même chose. Je ne crois pas que nous soyons impuissants contre les malwares qui nous pourrissent la vie. Par contre, il faut poser les bons diagnostics et utiliser les bons outils pour les contrer.
3) Mon expérience informatique
Le phishing, je connais peu. Ma seule expérience provient d'un mail adressé depuis un site français d'ethnologie. Il faut croire que j'étais suffisamment vigilant et la naïveté du texte n'a pas eu prise sur ma crédulité. Résultat, je me suis désinscrit du site en question à toute vitesse et je ne le visite plus. J'ai perdu un lieu où je pouvais nourrir mon insatiable curiosité.
Le spam, je connais mieux. J'utilise internet depuis plus de dix ans (je ne sais plus, c'est trop vieux). Jamais vu un spam. Sauf que cette année, pendant quelques mois, réception toutes les 8 à 12 heures d'un spam en allemand (une histoire de casino ???), puis d'autres d'une pharmacie canadienne en anglais, puis, etc. Je n'avais pas changé mes habitudes. Que sétait-il donc passé ? J'ai réagi dans la droite ligne de ce que suggèrent Moonwalker et BSOD : c'est ma faute, c'est ma très grande faute, c'est moi qui
(pour l'auto-allumage de la culpabilité, je peux écrire un dictionnaire*!!!).
Pour couronner le tout, une de mes correspondantes me reproche de lui avoir envoyé des fichiers vérolés (depuis un mac, quoi que c'est que ça ?). Ni une, ni deux, une action sur Intego, j'achète un pack avec VirusBarrier, Personnal Antispam et NetBarrier tant qu'à faire. Résultat des courses, aucun virus sur mon Mac. Ma correspondante sur PC a reconnu plus tard que le problème était chez elle.
Je téléphone au service technique Mac de mon Fournisseur internet pour lui raconter mon envahissement soudain par des spams. J'apprends qu'ils subissent le même problème avec les mêmes spams. Quelque temps plus tard, j'apprends que l'antispam de mon compte a été désactivé pour une raison x. Réactivé, plus de spams. Et je lis il y a 2 ou 3 jours que Bernard Le Du, rédacteur de l'excellent
Vous et votre Mac (VVMac), en reçoit des centaines chaque jour (
VVMac, déc. 2008,Mobile.me, Bilan personnel et conclusion, p. 69). Comme rédacteur en chef, il est bien entendu excessivement exposé. Mais peut-on dire qu'il manque de vigilance et qu'il est crédule*? Sûrement pas.
J'ai 20 ans d'expérience d'utilisateur d'un Mac. Je l'ai utilisé professionnellement. Je n'ai jamais été un bricoleur de l'informatique. Je me suis construit quelques piles Hypercard à l'époque. Mon expérience de programmation et de bidouillage s'arrête là. Mais je ne suis plus un novice. J'étais quand même bien content de lire les conseils de bonne politique de sécurité sur Mac OS X de Moonwalker. Lorsque j'ai reçu mon nouvel iMac, j'ai oublié de créer une session réservée à l'administration et travailler sur une session standard. Je le savais, mais je n'ai pas eu le réflexe. Merci Moonwalker, j'ai rectifié à tout de vitesse.
4) Mon diagnostic
Au risque de passer pour sensible, je pense qu'il faut nommer un chat un chat. Ces malwares (spyware, phishing, spam
) relèvent sans le moindre doute d'actes abusifs. Il n'y a rien de malicieux. Ce ne sont pas ou plus des blagues de potaches. Ou si exceptionnellement. Ce sont des actes criminels au sens où ils empiètent largement sur le droit des usagers et bien entendu des plus vulnérables. Certains de ces composés sont non seulement criminels, mais immoraux (
http://www.tsr.ch/tsr/index.html?siteSect=342401&sid=9900787&cKey=1226993186000, c'est édifiant). Ils sont destructeurs. C'est donc intolérable et nous avons le devoir de protéger les plus vulnérables, dont nos enfants et nos petits-enfants.
Ce sont des actes criminels, car nécessitant un financement rarement à la portée d'un individu. Ce sont des organisations, des industries ou des entreprises qui disposent de moyens importants qui sont à l'origine de cet envahissement. Si ce sont des choix purement publicitaires, ces entreprises font l'impasse sur le minimum du minimum d'éthique et de morale. Normal, quand on se fait la guerre à outrance*
La normalité devrait être que l'on en soit débarrassé; que nos enfants puissent surfer sur internet en toute quiétude et que ce soit un lieu d'échanges au plus grand bénéfice de l'humanité. À une certaine époque, certains en ont rêvé. D'autres y croient encore. Mais c'est devenu un cauchemar et ce nest pas demain la veille que les choses changeront. Il faudrait une volonté politique. Déjà que pour bien d'autres sujets il n'y en a pas eu (on en connaît le résultat aujourd'hui), alors, inutile de croire au Père Noël. Comptons sur nous-mêmes, c'est plus sûr.
5) De la recherche de solutions à la portée de tout un chacun
Avec les Mac, nous sommes dans une situation géniale. Pas de virus jusqu'à maintenant; des spywares, je ne sais pas (les macs pourraient servir de relais passif, sans en aucun effet sur eux, vrai/pas vrai*?). En revanche, nous sommes exposés au phishing et au spam comme tout le monde, car ils sont véhiculés par les courriels devenus à cette occasion des pourriels. Aucune plate-forme informatique d'épargnée. Le jeu du gendarme et du tricheur bat son plein.
Prétendre que
«La grande faiblesse, reste bel et bien dans l'utilisateur lui-même.» est à la fois parfaitement fondé et pourtant profondément injuste. Il existe une certitude, nous sommes tous inégaux devant ces malwares condamnables. Il y a des personnes expérimentées, sûres d'elles-mêmes. Une grande cohorte possède une expérience (juste) suffisante, qui peut-être procure un sentiment de sécurité quelque peu trompeur. Enfin, il y tous les autres qui font ce qu'ils peuvent, car ils débutent.
Même des personnes averties peuvent avoir la vie pourrie par ce déversement de pourriels, qui occuperait environ 70% du trafic internet si j'ai bien compris alors que l'on a besoin de bande passante pour d'autres choses plus utiles et quelques fois véritablement constructives.
La comparaison avec
«c'est comme de sortir de chez soi à des heures indues dans un quartier louche fait courir plus de risques que de rester chez soi et ne sortir qu'à certaines heures et dans des quartiers sécurisés» me laisse tout de même perplexe. C'est un peu comme de dire que
«mieux vaut être beau, riche et en bonne santé que pauvre moche et malade». c'est une lapalissade qui ne mène à rien, si ce n'est à attribuer une supposée responsabilité à un utilisateur qui n'a peut-être commis aucune imprudence particulière. Je suis assez d'accord, il vaut mieux placer toute la responsabilité sur l'Autre. C'est meilleur pour Soi (pardonnez-moi, je rigole).
De surcroît, il existe des dissonances. Pour
Le Chapelier et pour
lukarmars, la politique de sécurité d'Apple n'est pas aussi sérieuse qu'ils le souhaiteraient. Pour
Moonwalker, au contraire, Apple fait du bon travail, dans le cadre d'une politique qui lui est propre, soit conserver le secret jusqu'à ce que le problème soit réglé. Je constate que ce sont des points de vue quelque peu polarisés. S'y ajoute la note d'Apple recommandant l'usage d'un antivirus, note retirée peu de temps après.
Pour le profane, ce n'est pas particulièrement facile à comprendre. Il y a donc un effort à faire. Par conséquent, en matière de sécurité et pas seulement de sécurité antivirale*:
Quelles attitudes individuelles adopter pour prévenir et retarder le plus possible l'arrivée de virus sur notre plate-forme*? Les risques sont faibles, mais ils ne sont pas nuls. Pour ma part, continuer d'utiliser VirusBarrier relève de la méthode Coué. Je vais la conserver, car ça me fait du bien et cela me rassure. Pour le reste, adieu va !
Pour ce qui est les spywares, je n'en sais rien. Pas la moindre idée, si ce n'est que certains concepteurs de logiciels se donnent le droit d'obtenir des informations sur Dieu sait quoi relativement au matériel et aux logiciels utilisés, plus ou moins à l'insu de leur clientèle. Pour quel usage, ce n'est pas précisé. N'est-ce pas Intego*? (Je ne sais pas si ce fournisseur a abandonné cette politique, mais durant un temps, des reproches lui ont été faits en ce sens).
Pour ma part, je vais faire miens les conseils de Bonne politique en matière de sécurité de Moonwalker. Ils me paraissent pleins de bon sens et je crois qu'ils relèvent d'un consensus certain pour nombres de personnes compétentes en informatique.
Subsiste la question du phishing et du spam. Être en éveil et prudent, c'est un conseil valide, mais insuffisant. Même des personnes particulièrement averties peuvent être contaminées. On l'a vu plus haut.
Dépister le phishing demande des connaissances et de l'entraînement. Il faut vraiment avoir le réflexe d'aller bien lire l'adresse URL, connaître sa syntaxe
Lorsque c'est possible, il faut vérifier les certificats. Là aussi, le réflexe n'est pas inné. Quant aux pourriels, un site aussi innocent qu'un site d'ethnologie peut servir de relais à son insu et se faire pirater sa liste d'adhérents.
Que faut-il donc entreprendre pour limiter, voire empêcher l'invasion du spam*?
Malgré mes 20 ans d'expérience utilisateur, je m'allie à celles et ceux qui se déclarent des sous-doués de l'informatique et qui pourtant sont intéressés, voire même trouve du plaisir à utiliser cet outil fantastique qu'est le Mac. Il ne faut pas que l'expérience utilisateur positive des utilisateurs de Mac soit gâchée.
Mais les sous-doués ont besoin de recettes. Avec pertinence hippo sulfite énonce
«À chaque risque ça parade». Donc*:
Une bonne politique (de prévention et/ou d'éradication) en matière de phishing et de spam c'est*: «
».
Une bonne politique (de prévention) en matière de spywares c'est*: «
».
Merci pour eux. Merci pour moi.
Jean-Bernard