PROJET AUTOBLOG

Shaarli - le hollandais volant

Site original : Shaarli - le hollandais volant

⇐ retour index

Le ministère de la Santé et la CADA refusent de rendre public le code du Health Data Hub

mercredi 28 avril 2021 à 17:54

2021 et ils font encore de la sécurité par l’obscurité… C’est fatiguant…

Pour ceux qui connaissent pas : la sécurité ne réside pas dans le fait de cacher la porte d’entrée, mais dans la robustesse de la clé.

Si le programme est suffisamment sûr, suffisamment bien code, suffisamment bien audité, alors le rendre public ne poserait aucun problème de sécurité. La sécurité d’un système d’information (un SI) ne doit pas reposer sur ça. Elle doit reposer sur la taille du mot de passe et les algorithmes de chiffrement utilisés (les algos devant être, eux-mêmes, publics).

Pour info, Linux, qui fait tourner l’ISS, vos Box, votre téléphone, vos télé, tous les supercalculateurs du monde, Google, Amazon, Facebook, votre banque et votre voiture… est libre, open-source et le code source est ouvert à tout le monde, y compris vous, moi, les pirates… Mais aussi les gens bien intentionnés et les programmeurs payés par tous les acteurs qui l’utilisent (les gouvernements, la Nasa, Google, Microsoft, Intel…).

Cette ouverture permet de rendre le code le plus sûr possible et le plus exempt de défauts possible. Un code 100 % sécurisé ça n’existe pas, mais on s’en approche avec l’open-source.

Dans la vraie vie, la sécurité d’un coffre fort ne doit pas résider dans le fait qu’il soit caché. Elle doit résider dans le choix de ses matériaux, sa serrure, sont code secret, etc.
Un coffre fort en papier ne sert à rien. Même caché, il finira toujours par être trouvé. Faut pas se leurrer.
Alors que s’il est en titane blindé à l’adamantium doublé de kevlar avec une porte de tungstène qui demande 2 clés + un code à 24 lettres + une empreinte digitale + d’attendre qu’on soit un jour pair + (…), alors on pourrait le mettre devant sa porte, personne ne pourra l’ouvrir même avec de la dynamite. C’est ça, la sécurité en informatique.

Là, ce que la CADA et la France fait, c’est « non, ne regardez pas comment on a construit ça ! ». On peut dès lors imaginer le pire :
— mots de passes stockés en clair, voire codées en dur
— informations personnelles stockées en clair
— logiciels et bibliothèques obsolètes
— serveurs non protégées

Ils n’ont vraiment rien compris.


— (permalink)