Bonjour à tous,

Je déménage à l'adresse https://zythom.fr

Les nouveaux flux RSS sont les suivants :- https://zythom.fr/feed/ (billets)
- https://zythom.fr/comments/feed/ (commentaires)

Le blog de Zythom v1 reste ici, et ses 1015 billets écrits de 2006 à 2019.
Une page se tourne, et l'aventure continue ailleurs, comme un prolongement de ces lieux.

Vous pouvez mettre à jour vos Signets / Favoris / Marques-pages :-)

Bonjour à tous les lecteurs, les anciens comme les nouveaux qui atterrissent ici en nombre (c'est rafraîchissant ;-). J'ai plusieurs articles dans les tuyaux mais les vacances ont été mouvementées et m'ont tenu LDC alors que j'avais prévu des trucs pour fêter les 13 ans de ce blog...

Une petite présentation rapide pour les nouveaux arrivants :

- Ce blog est pour moi un cahier extime sur lequel je partage mes expériences. C'est un plaisir d'écriture pour moi, mais aussi une expérience. J'explique tout cela dans la page "A propos" que je vous invite à lire.

- Le blog totalise aujourd'hui 1014 billets en ligne, malgré sa destruction par un voyou en 2012, et le nettoyage régulier que je peux faire. Le principe des blogs étant la présentation des billets par ordre antéchronologique, je vous propose de les lire au format livre que vous trouverez en téléchargement gratuit sur cette page. Les formats papiers sont destinés à mes proches, mais vous pouvez également les acquérir (sur la même page).

- Les 10 billets les plus lus à cette date sont les suivants:

• Cracker les mots de passe
• TeamVieux
• Si vous n’avez rien à cacher, vous n’avez rien à craindre
• Quand on tire sur un faible 
• Sans fil et sans filet
• Le plein de pr0n
• Face à TrueCrypt
• GPS
• L'Orange lui va si bien
• La honte

- De tous les billets du blog, celui que je préfère est celui-ci : Yéléna. Je pleure de nouveau à chaque fois que je le relis... Je pense aussi parfois à Manon13 en espérant qu'elle mène une vie heureuse 10 ans après, malgré tout.

-  Ce blog ne m'a pas valu que des amis. La liberté de parole fournie par internet casse les codes habituels, et rend caduc l'intérêt des représentants et portes paroles officiels. Les petits peuvent s'exprimer directement, et je ne m'en suis pas privé. Cela a donné "l'Affaire Zythom".

- J'ai travaillé 25 ans dans la même entreprise. Avec passion et implication. Je raconte cette tranche de vie sous la forme d'une série de billets courts "à rebondissements" regroupés sous l'intitulé "25 ans dans une startup".

- En tant qu'expert informatique, je travaille surtout pour les magistrats (missions judiciaires) ou pour les avocats (missions privées), mais jamais par l'intermédiaire de ce blog. Une brève recherche sur internet vous donnera mon vrai nom si nécessaire. J'accepte par contre volontiers de dialoguer par email et de répondre à des questions, en fonction de mes capacités (voir les détails sur ma page "Contact"). Notez que je n'ai pas encore la discipline mentale pour appliquer les règles de Crocker, et que j'encourage un formalisme minimum (bonjour, merci, mots complets...). C'est lié à mon éducation, je suis un peu coincé.

- J'adore partager mes passions avec des personnes. Mais je suis un peu timide face aux inconnus, sauf en amphithéâtre devant mes étudiants (c'est assez curieux). Du coup, mes proches sont un peu assommés par mes histoires de serveurs, de réseaux, d'astronomie, d'optimisation de fonctions à très grand nombre de variables, de réseaux de neurones, d'IA, de calculs parallèles, de mots de passe, de NAS, de sauvegardes, d'IDS... Alors ils me soutiennent dans ma démarche d'écriture sur ce blog. Ça les laisse souffler un peu.

- J'aime beaucoup aussi lire les autres blogueurs. Je profite de votre arrivée en ces lieux pour vous inciter à aller aussi ailleurs :-) Voici ma liste de blogs préférés, je vous en souhaite une bonne lecture (attention, certains ont du contenu subversif non filtré ;-) :

Le meilleur de la Justice
•    de bric et de blog
•    Decryptages : droit, nouvelles technologies...
•    ITEANU Blog
•    Journal d'un avocat
•    Maître Mô

Les chapeaux blancs
•    binaire
•    Blog de Stéphane Bortzmeyer
•    Korben
•    Le Hollandais Volant
•    n0secure.org
•    SkullSecurity

Le 4e pouvoir
•    Authueil
•    Coulisses de Bruxelles
•    BUG BROTHER
•    La Plume d'Aliocha

Les soigneurs
•    Alors voilà.
•    Au Pays Des Vaches Mauves
•    Boules de Fourrure
•    Farfadoc
•    Journal de bord d'une jeune médecin généraliste de Seine-Saint-Denis
•    Juste après dresseuse d'ours
•    Le blog de MimiRyudo
•    Le blog de Stockholm
•    Les carnets du Docteur Lazarre

Cerveau gauche
•    Pourquoi Comment Combien
•    Science étonnante
•    Tu mourras moins bête

Cerveau droit
•    Déjà-vu
•    Globalement Inoffensif
•    Kozeries en dilettante

Blogs BD
•    .chez kek.
•    BlogLaurel
•    Bouletcorp
•    BugBlog
•    Creali
•    Debybloog
•    Fabriqué à mains nues
•    Fortuworld
•    Le blog de Jeromeuh
•    Le blog de Zelba
•    Les petits riens
•    MALIKI - Webcomic
•    Margaux Motin
•    Mélakarnets
•    Petit précis de Grumeautique
•    Trentenaire, marié, 2 enfants
•    YODABLOG

L'Empire des sens (NSFW)
•    Bellaminettes Blog
•    Oh Joy Sex Toy
•    Pingoo
•    The Rock Cocks

Amusez-vous bien !

Extrait de http://salemoment.tumblr.com/ avec l'aimable autorisation de l'auteur Olivier Ka

Une blague circule dans les milieux informatiques : tous les problèmes viendraient de l'interface entre la chaise et le clavier. C'est drôle, et cela rappelle que l'être humain est faillible, même avec toutes les protections possibles. Ce qui est moins drôle, c'est quand la blague est prise au premier degré dans un service informatique : l'ennemi, c'est l'utilisateur ! C'est un peu facilement oublier que dans "service informatique", il y a le mot "service". Donc, au lieu d'essayer de faire culpabiliser l'utilisateur, je trouve qu'il est plus sain d'essayer de le former, ou au moins de l'informer, en plus de le protéger.

L'informatique se construit sur des composants électroniques incroyablement complexes, assemblés au sein de cartes électroniques tout aussi complexes, reliées par des réseaux informatiques aux infrastructures et aux règles incroyables. L'ensemble est orchestré par des logiciels comprenant des millions d'instructions. A tous les niveaux se trouvent des humains spécialistes et dont la formation et l'expérience sont indispensables au bon fonctionnement de ce que l'on appelle l'informatique.

Et au sommet se trouve l'utilisateur.
Et parfois il fait n'importe quoi...

Plutôt que "Comment survivre à une cyberattaque ?", les articles de presse devraient s'intituler : "Comment survivre à ses utilisateurs ?". C'est une question à laquelle je vais essayer de répondre dans ma nouvelle rubrique "Sécurité informatique, ne pas en avoir peur". Petit tour d'horizon :

Les liens piégés :
L'utilisateur de l'outil informatique auquel je pense est humain : il va nécessairement cliquer à un moment ou un autre sur un lien piégé. C'est inéluctable. Même les meilleurs se font prendre : les raccourcisseurs d'URL masquent les vraies URL, des caractères très semblables (issus d'une langue étrangère) permettent de créer des noms de sites web quasi-identiques aux originaux, le ciblage des victimes devient plus fins (les courriers d'hameçonnage ont de moins en moins de fautes), etc. Donc, au lieu de dire à l'utilisateur "ne cliquez pas sur les liens bizarres", alors que pour un utilisateur lambda, tous les liens sont bizarres, je préfère étudier les protections techniques mises en place pour le cas "l'utilisateur a cliqué sur un lien piégé". Cela fera l'objet d'un billet dédié, à destination des débutants en sécurité informatique, et des utilisateurs non spécialistes mais curieux du sujet.

Les attaques :
Le RSSI est attendu au tournant : à la première attaque réussie, tous les regards se tournent vers lui. "ALORS ? Mmmmm... tout ça pour ça ?". Le Conseil d'Administration met la pression sur le Directeur Général, le DG se tourne vers son Directeur des données qui appelle son DSI, lequel convoque le RSSI... Dans une politique de sécurité du système d'information, on appelle cela la chaine de responsabilité. En cas d'attaque réussie (entreprise arrêtée, données dans la nature...) la pression est énorme. Je pense que le succès de la série Chernobyl tient aussi du fait que beaucoup de personnes se reconnaissent dans l'opérateur qui reçoit des ordres qu'il ressent comme aberrant, jusqu'à appuyer sur le bon bouton, et déclencher la catastrophe. toute la hiérarchie le considère comme RESPONSABLE. Et les parapluies sortent très vite ("je ne peux pas être considéré comme responsable, je dormais à ce moment-là"). Pourtant tout le monde connaît la loi de Murphy : "Tout ce qui est susceptible d'aller mal, ira mal". Une attaque informatique réussie arrivera. Les équipes informatiques doivent s'y préparer, et LA HIÉRARCHIE AUSSI. C'est, de mon point de vue, aussi l'objet d'une PSSI. J'y reviendrai dans un billet dédié (teasing :).

Le lien de confiance :
Combien de fois ai-je pu constater que l'utilisateur n'appelle son service informatique qu'en dernier recours... quand il est vraiment VRAIMENT obligé. C'est un problème. D'un côté, le service informatique, souvent en sous-effectif, préfère ne traiter que les cas où sa "valeur ajoutée" prend tout son sens (cas graves, pannes majeures, etc.). De l'autre, l'utilisateur est laissé seul face à son incompétence supposée et développe des stratégies de contournement face à une complexité toujours plus grande. Il reçoit tous les jours des messages de son ordinateur lui indiquant que "Skype souhaite se mettre à jour", "la mise à jour de votre antivirus nécessite le redémarrage de votre poste, merci de cliquer sur OUI TOUT DE SUITE ou sur OUI DANS UNE MINUTE". Alors, il a parfois envie de hurler "MAIS POURQUOI CA CHANGE TOUT LE TEMPS ?". Il faut stabiliser le poste de travail, rétablir un lien de confiance entre l'utilisateur et son service informatique. C'est aussi pour cela que je suis contre les campagnes de faux phishing où le but est de compter combien d'utilisateurs ont cliqué sur un lien piégé forgé par le service informatique, et HA HA ON VOUS AVAIT DIT DE NE PAS CLIQUER SUR N'IMPORTE QUOI ! L'utilisateur doit avoir confiance en son service informatique, qui n'est pas là pour le piéger, mais pour l'aider.

Les mots de passe :
Souvent seule protection à l'accès aux données, le mot de passe est le premier concept de sécurité auquel est confronté l'utilisateur. Quand je me présente comme RSSI, tout le monde, sans exception, me dit : "Ah, vous allez me demander de changer mon mot de passe ?". 50 ans que les services informatiques demandent aux utilisateurs de choisir un mot de passe complexe, ET D'EN CHANGER TOUT LE TEMPS... Il faut arrêter un peu avec ça : plus on demande à l'utilisateur de changer son mot de passe souvent, plus il va choisir un mot de passe simple. La politique de gestion des mots de passe est la clef d'une politique de sécurité. Celle que je préconise fera l'objet d'un billet dédié, lui aussi destiné à l'utilisateur. Je vais tenter de démontrer aux lecteurs de ce blog (avocat, magistrat, secrétaire, autodidacte, et tous les mékeskidis qui atterrissent par hasard ici) qu'on peut avoir autant de mots de passe complexes que de comptes informatiques actifs ET LES MÉMORISER (teasing).

Les sauvegardes :
Beaucoup de services informatiques demandent à leurs utilisateurs de faire des sauvegardes des données de leurs postes, tout en sachant qu'ils ne le feront pas, ou mal, ou pas assez... C'est le boulot du service informatique de faire les sauvegardes des données dans les règles de l'art. Ce n'est pas un savoir faire de l'utilisateur. Le pire en la matière étant de dire aux utilisateurs : "nous ne sauvegardons pas les données locales de vos postes de travail, merci de mettre vos données sur le réseau". Ah oui ? Mais beaucoup d'utilisateurs ont des ordinateurs portables. Qu'on le veuille ou non, les données importantes SONT EN LOCAL sur les postes de travail. Il faut donc les sauvegarder et investir dans une solution de sauvegarde (partielle ou totale) des données locales de l'utilisateur. Là aussi, je vais présenter une solution dans un futur billet de blog, solution destinée aux petites structures (cabinets, autoentreprises...) ou aux particuliers.

Vous l'avez compris, les informaticiens doivent survivre aux utilisateurs en les considérant comme des clients d'un service qui doit les former, les encadrer, les protéger, les aider et les encourager. C'est cette difficulté qui fait la beauté de ce métier.

C'est une sensation étrange que de repartir de zéro. Je suis pourtant sûr que beaucoup de monde a vécu cette expérience. Un magistrat qui devient vigneron, un commercial dans un grand groupe qui devient chocolatier, ou un salarié qui devient entrepreneur, savent de quoi je parle : ce sentiment de repartir de rien, d'essayer de construire quelque chose sur de nouvelles compétences à acquérir, en faisant le deuil de compétences qui ne servent plus.

Moi, c'est plus simple : de Directeur des Systèmes d'Information (DSI), je suis devenu Responsable de la Sécurité du Système d'Information (RSSI). Ça sonne presque pareil, et puis c'est toujours dans l'informatique.

C'est vrai. Mais ces deux fonctions n'ont presque rien à voir entre elles. Le DSI que j'étais, décidait des orientations des évolutions du système d'information de mon entreprise (le schéma directeur), puis négociait le budget associé, puis mettait en musique les décisions qui en découlaient (les mains dans le cambouis). Et nous faisions des miracles.

Le RSSI a une toute autre fonction, plus spécialisée bien sûr, mais qui demande d'autres compétences. La sécurité informatique est une jeune science où le RSSI est en posture de défense, face aux attaquants de tous poils. Et pour cela, il faut de solides connaissances techniques, sur lesquelles il faut construire de solides connaissances méthodologiques (et l'inverse !).

Quand on vient de sortir d'une école où l'on a appris toutes ces connaissances, c'est "facile" : il ne manque que l'expérience. Cette expérience pourra, par exemple, s'acquérir dans une société de service dédiée à la sécurité, ou à l'ANSSI avec un CDD de trois ans très bien vu sur un CV (petit salaire mais grosse notoriété). Quand on a 55 ans et que sa formation initiale date de plus de 30 ans, c'est une autre paire de manche : l'expérience est là, mais les connaissances techniques et surtout méthodologiques, peuvent laisser à désirer, ou dater quelque peu.

J'ai la chance d'avoir été bien accueilli par une équipe d'ingénieurs qui, passé le moment gênant où ils se demandaient ce qu'allait bien pouvoir leur apporter ce (presque)grand-père, a accepté de m'initier à leur système d'information bien plus complexe que celui que j'avais mis en place dans ma vie professionnelle antérieure.
Et surtout, j'ai bien prévenu que je ne deviendrai jamais aussi bon qu'eux dans leur domaine d'expertise respectif. Ce n'est ni mon objectif, ni ma fonction.

Beaucoup d'entreprises n'ont pas de RSSI et gèrent pourtant malgré tout la sécurité informatique : un administrateur réseau, un développeur logiciel ou un responsable informatique sont des professionnels qui doivent savoir intégrer la sécurité dans leurs activités (et qui connaissent son importance... et ses limites).

Finalement, on peut comparer tout cela à un groupe de musiciens qui composent, s'exercent, se corrigent, s'entrainent et enfin se produisent en public, sur des petites scènes, puis sur des grandes scènes. Ils n'ont pas besoin d'un chef d'orchestre pour leur donner le rythme, l'un d'entre eux s'y colle en général (par exemple le batteur).

Les problèmes peuvent apparaître quand le nombre de musiciens augmente. Dans un grand orchestre, il faut une personne qui donne le rythme. Cette personne n'est pas nécessairement un virtuose d'un instrument (même si elle peut l'être), et surtout, elle ne peut pas remplacer chacun des membres de l'orchestre.

Le RSSI peut être ce chef d'orchestre en matière de sécurité : il coordonne les moyens, les techniques, les méthodes, les procédures, etc. qui permettent d'améliorer la sécurité. Il n'est pas nécessairement expert d'un domaine pointu (pentesteur, admin réseau...) même s'il peut l'être. Mais surtout, il ne peut pas à lui tout seul gérer la sécurité informatique de toute l'entreprise, ni se substituer à tous les professionnels sur lesquels cette sécurité repose. Ma hantise du moment est qu'un certain nombre de personnes de l'entreprise se disent "ah maintenant je ne crains plus rien concernant les attaques informatiques, puisque le RSSI est là !".

De même que l'harmonie musicale d'un orchestre est l'affaire de tous les musiciens, du chef d'orchestre, de la qualité des instruments, de la salle, de l'historique du groupe, la sécurité est l'affaire de tous : l'équipe réseaux, l'équipe de développement, l'équipe support, le RSSI, les moyens financiers et tous les utilisateurs qui manipulent des logiciels et des données.

Pour l'instant, dans mon reboot professionnel, mes seules armes sont ma volonté de mettre le feu à mes neurones, et mes 20 années d'expertises judiciaires où j'ai pu constater in situ beaucoup d'erreurs à ne pas faire, et où j'ai pu étudier les chapeaux noirs pour essayer d'être un chapeau blanc.

Il me faut accepter d'être un junior aux cheveux blancs.
Ad augusta per angusta (Victor Hugo, Hernani, mot de passe des conjurés)

It's the hat

Introduction - billet n.62

Quand j'ai écrit l'introduction de cette série de billets, en juin 2018, je n'avais pas encore trouvé d'emploi, et je ne savais pas comment la série allait se terminer. J'avais besoin d'écrire sur tout ce que j'avais ressenti pendant cette période pour évacuer tout ce mal être qui menaçait de m'envahir.

J'avais à l'époque deux chemins possibles : soit je trouvais un nouveau travail passionnant, soit je ne trouvais pas de nouvel emploi et il me fallait transformer celui que j'occupais en travail passionnant.

Après tout, j'ai parfaitement conscience que le différent stratégique que j'ai eu avec mon directeur général est assez banal, même si je l'ai mal vécu, et que j'aurais pu/dû le surmonter.

Lorsque j'ai donné ma démission, j'ai tenu à ce que les raisons de mon départ ne soient connues que par la DRH et le directeur général. Pendant sa période de préavis, le salarié conserve un devoir de loyauté envers son employeur. Je ne voulais pas semer la zizanie dans la startup, en étalant un différend stratégique qui pouvait décrédibiliser la direction, je n'ai donc parlé à personne des raisons exactes de mon départ, expliquant qu'une proposition d'emploi que je ne pouvais pas refuser m'avait été faite dans une belle entreprise (ce qui n'est pas complètement faux).

C'est aussi la raison de l'arrêt de la publication des billets en octobre 2018 et du mystérieux billet n°37.5 qui se terminait par ces mots :

2019 sera pour moi une année de grands changements. Le blog va également changer d'orientation. J'en parlerai dans l'épilogue de la série des "25 ans dans une startup". Merci pour votre patience.

J'ai effectué ma période de préavis de trois mois, en terminant le plus proprement possible tous les projets que j'avais engagés, en formant du mieux que je pouvais, comme je l'ai toujours fait, mon nouveau chef de projets. J'ai également eu la chance de pouvoir côtoyer ma successeure pendant deux mois et lui transmettre le plus d'informations possibles, y compris tout le savoir informel accumulé pendant 25 ans. J'ai pu la présenter aux réseaux professionnels d'échanges de bonnes pratiques auxquels j'ai participé et que j'ai pu apprécier pendant tant d'années.

Le plus difficile pendant cette période de préavis a été de ne pas pouvoir démarrer les projets importants de transformation numérique que j'avais détaillés dans le schéma directeur présenté au personnel de la startup, faute de pouvoir en assumer le bon déroulement et les difficultés. Les derniers jours ont également été très éprouvants, car je quittais certaines personnes que j'avais beaucoup appréciées (et sans pouvoir leur dire pourquoi j'abandonnais le navire).

Et au mois de janvier 2019, j'ai donc démarré un nouveau métier, en prenant un poste de RSSI dans une grande école de commerce qui m'a fait confiance. Le défi est important, car non seulement je change de métier, mais aussi d'entreprise, de collègues, de région, de mode de vie... Jusqu'ici tout va bien, et l'avenir dira si j'ai bien fait ou si je me suis lamentablement vautré... L'année 2019 sera pour moi, de toutes manières, une année de grands changements. Je vais commencer par essayer de finir correctement ma période d'essai...

En écrivant cette histoire, je ne pensais pas qu'elle aurait autant de succès parmi les lecteurs de ce blog. J'en ai été surpris. Il s'agissait surtout pour moi d'un travail d’autothérapie par l'écriture, mais je ne vais pas me plaindre, et j'espère que quelques-uns d'entre vous, surtout parmi les plus jeunes, pourront en tirer des leçons profitables. Merci aussi pour tous vos emails de soutien, les échanges et les interactions.

Le blog va changer d'orientation. La thématique va changer : je voudrais partager avec vous ma découverte du monde de la sécurité informatique. C'est un monde où la discrétion est reine, où les échanges sont plutôt souterrains et où la technique est très importante. C'est drôle, c'est exactement comme l'univers des experts judiciaires...

Justement, à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j'ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m'acheminé-je doucement vers une fin d'activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j'ai commencé en 1999, j'avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l'informatique. J'ai aujourd'hui cet âge-là et, même si je me sens encore dynamique, je pense qu'il faut savoir laisser la place et ne pas finir par porter ce titre d'expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.

Concernant le télétravail, c'est un sujet dont je parlerai dans un billet dédié, tant j'ai été surpris par la difficulté que l'auto-discipline demande. Heureusement, j'ai été bien conseillé et je ne m'en sors pas trop mal.

La téléfamille, c'est plus difficile. Là aussi j'en parlerai dans un billet dédié.

Merci à tous ceux et à toutes celles qui m'ont lu jusqu'ici.
Je transmets également mon bonjour aux anciens collègues qui me lisent ici (j'ai les noms ;-)

A bientôt pour de nouvelles aventures.

Tweet du 5 janvier 2019. Maintenant vous faites partie de ceux qui savent ;-)