SuperCoach

Hier soir était l’occasion pour un ami de me demander du temps pour son portable. « Il y a un truc qui cloche » me dit-il, et pourtant « je n’ai rien fait, je voulais justement sécuriser mon portable. » Aïe !

Les premières vingt-six secondes m’ont permis de constater que :

- l’antivirus n’était pas à jour
- le système d’exploitation (Windows XP) ne l’était pas non plus

Les dix-huit mille secondes suivantes (comprendre, la soirée d’environ cinq heures) m’ont permis de rétablir partiellement sa machine, du moins, lui permettre d’en récupérer les données sans trop de soucis.

Je ne rentrerai pas dans les détails mais encore une fois, si vous me lisez, suivez bien les conseils qui suivent. Le mieux est d’en imprimer une check-liste au-dessus de votre écran et de la reproduire AU MOINS chaque semaine. :

- Parcourez votre disque afin d'identifier les données qui vous sont importantes et notez-les dans un document texte. Une liste non exhaustive : vos favoris, vos discussions en ligne, votre courrier électronique, toutes vos créations, les photos de votre séjour au Japon, le bureau de votre poste de travail, votre dossier ‘mes documents’ et vos bases de données ;

- Mettez votre système d’exploitation à jour. Sur Windows, il suffit d’ouvrir Internet Explorer et de cliquer sur ‘Outils’ puis ‘Windows Update’. Si vous utilise Windows  2000 ou XP, activez les mises à jours automatiques ;

- Si ce n’est pas déjà fait, installez un logiciel anti-virus. Les logiciels anti-virus font partie des rares logiciels vendus à un prix raisonnable. Pour le service rendu, ne soyez pas chauvin. Si toutefois vous ne souhaitez tout de même rien débourser et continuer à encourager un monde où les produits resteront qualitativement médiocres, téléchargez-en un disponible gratuitement, par exemple ici.

- Si ce n’est pas déjà fait, configurez votre anti-virus pour qu’il se mette lui-même à jour QUOTIDIENNEMENT comme un grand.

- Vérifiez que votre anti-virus soit bien à jour.

- Si ce n’est pas déjà fait, installez un outil de détection de mouchards et autres logiciels ayant pour seul et unique objectif que de vous pourrir votre quotidien (et celui des autres) appelés ‘malware’ ou ‘spyware’. Ces outils sont gratuits, je vous conseille AdAware et Spybot .

- Lancez un contrôle de votre machine avec les logiciels installés à l’étape précédente.

- Effectuez une sauvegarde des données identifiées lors de la première étape de cette check-list. Pour ma part j’utilise le logiciel ‘robocopy’, se chargeant très bien de synchroniser mes données entre mes postes de travail et les points de sauvegarde.

- Vérifiez que la sauvegarde se soit bien déroulée en tentant de récupérer quelques données aléatoirement ; un moyen simple de tester votre confiance est de supprimer les données sauvegardées. Si vous n’osez pas le faire, c’est que vos sauvegardes ne sont peut être aussi bien effectuées qu’il ne paraît.

- Si vous effectuez toutes ces opérations sans trop de problème, vous pouvez même vous permettre le luxe d’installer un pare-feu. Par contre je ne rentrerai pas dans les détails sur ce point afin d’éviter toute question pouvant ressembler à du « j’ai installé xxx et je n’arrive plus à yyy ».

- Finalement , promettez-vous de vous conduire comme un grand durant la semaine à venir, d’éviter de cliquer n’importe où, de ne pas ouvrir les documents envoyés par des personnes que vous ne connaissez pas et d’éviter un maximum de cliquer sur des boutons ayant un ‘oui’, ‘ok’, ‘accepter’, ‘continuer’ comme inscription.

- Ajoutez une petite barre verticale sur votre feuille intitulée « semaines passées sans appeler mon pote hyper sympa qui s’y connaît un peu en informatique ».

Vous voyez bien que ce n'est pas du tout quelque chose de compliqué ou de fastidieux, même moi j'y arrive et pourtant: cela ne fait même pas quinze ans que je touche des ordinateurs!

Il y a quelques jours un client m’a contacté pour évaluer l’intervention d’un prestataire en sécurité informatique.

Sa mission était de sécuriser et isoler un poste de travail utilisé par les candidats aux emplois dont l’évaluation nécessite un ordinateur. Ces candidats sont laissés ‘tranquilles’ une petite heure afin de répondre à une sorte de QCM web-based contenant des questions techniques.

Mon intervention s’est formulée sous forme de ‘challenge’ : j’avais pour objectif de sortir physiquement des données internes de l’entreprise.

Lorsque je me suis connecté au profil, j’ai vite constaté que beaucoup de choses avaient effectivement été verrouillées. Cependant, l’icône d’un programme de messagerie instantanée clignotait en bas à droite…

Il y a deux morales dans l’histoire:

1) C’est de l’argent facile. Ca c’était la morale à laquelle tout professionnel pense mais ne l’exprime pas tout haut. Je dois sûrement manquer de déontologie… =/

2) La seconde morale s’adresse aux décideurs qui passeraient par ici. Demander à un prestataire de sécurité de ‘sécuriser’ une partie ou toute votre infrastructure informatique n’a aucune valeur (si ce n’est pour votre comptabilité) si vous ne faites pas tester la sécurité après coup. Ce test ne doit pas forcément être effectué par un autre prestataire mais, c’est mieux ; )

 

(anciennement titré: Site web commercial : quels mots choisir ?)
Tests ...
Dans mon boulot, je suis quotidiennement confronté à des débats (quelques fois stériles) sur le sujet de la sécurité informatique. L'un de nos services le plus demandé est le test d'intrusion. Pour ceux et celles qui n'ont jamais entendu ce terme, il s'agit, très basiquement, d'une simulation d'attaque par des spécialistes en sécurité de l'information. Tout est réalisé en grandeur nature à la seule exception du traitement confidentiel de l'activité: les données 'récupérées' sont restituées au client.

Selon le type de client, le test d'intrusion peut inclure des attaques sociales (techniques visant à déclencher une action humaine abaissant le niveau de sécurité global de la société) ou dans de rares cas, des attaques destructices, afin de tester le dispositif de sécurité mis en place. Bien entendu, c'est le produit qui se vend le mieux car il fournit une réponse très claire et précise aux dirigeants se posant encore la question sur le niveau de sécurité de leur infrastructure.


Pénétration ou intrusion ?
La raison de ce billet se focalise sur le terme de 'test d'intrusion' lui-même. Le terme nous vient de l'anglais:  'Penetration test'. Ce dernier donne par traduction littéraire 'test de pénétration' et par traduction sémantique 'test d'intrusion'.

Lors de mon dernier review de la concurrence, j'ai constaté une récente mise en valeur des termes 'test de pénétration'. Au sein de la société , nous sommes un peu divisés entre ces deux appelations, certains affirment que 'penetration test' est un 'test de pénétration', d'autres, que cela se traduit par 'test d'intrusion'. La question se pose: sur quel terme faut-il communiquer ?


Selon les dictionnaires...
J'ai également jeté un oeil sur les définitions fournies par Google. Ce dernier propose pour 'pénétration' des définitions allant de "Aptitude du planeur à prendre plus ou moins vite sa vitesse." à "taux de ménages ou individus ayant acheté le produit ou la marque sur la plage de temps considérée" en passant par "Intersection de deux combles de dimensions différentes, dont les faîtages et les sablières respectifs ne sont pas situés au même niveau, et qui forment des noulets."

Bref, pas de quoi choquer mon petit frêre. Google me propose cependant de consulter la définition de "double pénétration", qui, comme vous le devinerez, nomme bel et bien un chat un chat!

Déçu par ces réponses, je saute donc sur le terme "intrusion": 

"L'intrusion est le fait pour une personne ou un objet de pénétrer, dans un espace (physique, logique, relationnel) défini où sa présence n'est pas souhaitée."

autre définition:
"C’est le sport favori des pirates. Pour procéder à une intrusion, autrement dit pénétrer votre système informatique sans votre consentement, ils exploitent les failles du système d’exploitation (Windows par exemple), et/ou des logiciels que vous utilisez."

C'est déjà bien plus parlant.


Selon la masse...
Ca se gâte un peu. La méthode la plus simple est de donner une place équivalente aux deux termes sur des pages différents d'un site web.

Si, par chance, les moteurs de recherche indexent ces pages sur les termes, il sera possible de consulter via les statistiques (les referers pour les connaisseurs) quel terme les visiteurs ont précisemment saisi dans le moteur de recherche.

Une chose est sûre: les chiffres sont parlants. Choisir le bon terme n'est pas la meilleure solution, tout autant que de privilégier le terme dérivé: les deux termes drainent tout autant de visiteurs.


Pour conclure.
Test d'intrusion ou test de pénétration ? Pour moi, 'test d'intrusion' est le terme correct. Les sociétés de sécurité informatique utilisant l'autre terme n'ont simplement pas effectué une démarche plus aboutie que la simple traduction litérale.

En termes de visibilité, l'analyse montre également qu'il ne serait pas sage de sous-estimer les anglicismes. Bien que l'on puisse se trouver dans un environnement de puristes, il convient, lorsqu'il s'agit de capter d'éventuels prospects via un site web, de ne pas négliger de privilégier des termes de grand public plutôt que les termes exacts.

Bon. Il ne me reste plus qu'à convaincre l'autre moitié des collaborateurs!

Qu'en pensez-vous ? Avez-vous déjà vécu de telles situations sur des termes concernant d'autres secteurs ? Tout feedback est le bienvenu!