Une porte blindée sur une maison en carton

@Blsd,

J’entame un premier brouillon d’article sur l’idée qu’il est futile de mettre en place des systèmes hyper sécurisés pour protéger des données s’il est possible d’y accéder par des moyens beaucoup moins sécurisés. L’équivalent d’une porte blindée montée sur une maison en carton: une personne qui veut s’y introduire va simplement casser le mur en carton au lieu de s’énerver contre la porte :slight_smile:

Le brouillon se trouve ici et je te préviens dès qu’il est prêt pour une relecture.

A++

1 Like

J’ai terminé un premier brouillon et je n’en suis pas super content. Je pense qu’il y a tout ce que je voudrais dire mais ça ne se lit pas très bien. Qu’en dis-tu ?

1 Like

Bonjour @loic

Si ça te convient, je te propose de relire cet article la semaine du 21 septembre ?
Avant, je suis un peu chargée :slight_smile:

Merci !

1 Like

Ca marche, je décale mon planning en fonction!

J’ai pu relire l’article cet après-midi. Je l’ai un peu martyrisé, j’espère que tu ne m’en voudras pas :wink:
N’hésite pas si des commentaires ne sont pas clairs ou pas lisibles au vu des croisements de remarques que j’ai pu faire !

1 Like

J’archive ici la version actuelle du document parce que je tente une nouvelle rédaction.

maison-carton(3).odt (18.5 KB)

  • Utiliser plutôt l’idée d’une fenêtre ouverte (négligence qui renvoie a la pratique) que des murs en carton (matériaux inadéquat qui renvoie aux outils)
  • Ne pas utiliser Reality Winner qui renvoie à une négligence journalistique mais Terry Alburry qui montre la compromission de l’anonymat en exploitant le maillon le plus faible de la chaine plutôt qu’une erreur humaine. En l’occurrence une perquisition au domicile de T. Albury pour y saisir les documents transmis via SecureDrop à https://theintercept.com/

    On August 2 9, 201 7, a federal search warrant was executed at the defendant’s residence in Shakopee, Minnesota. Agents found and seized approximately 58 sensitive and classified U.S. government documents involving multiple government agencies. These documents were recovered on a thumb drive that was wrapped up in an envelope with a reporter (’'Reporter A’s") telephone number affixed to it.

  • Il est utile d’ajouter dans la conclusion la distinction entre les experts informatiques et les autres. C’est la réponse à de nombreuses questions:
    • Pourquoi ne pas avoir installé SecureDrop pour la MLA ?
    • Est-ce que je dois toujours m’adresser à une organisation qui a SecureDrop pour bénéficier du meilleur niveau de sécurité
    • A quoi sert SecureDrop en vrai ?
  • J’ai tenté d’éviter de dévaloriser l’outil pour répondre à la remarque qui soulignait que c’était le cas dans la précédente version, en appuyant sur le couple pratique / outil, sur l’évolution et l’installation des outils.
  • J’ai fait un lien entre l’intro et la conclusion via la tentative de communication par courriel chiffré de E. Snowden parce que c’est un bon exemple et que c’est peu connu. Cela démontre le problème d’un manque de pratique d’un outil de communication et ses conséquences.

J’ai créé un nouveau document pour cette version assez différente. Pour éviter une relecture inutile, j’ai surligné en vert les passages qui ont été conservés tel quel.

equilibre-outils-pratiques(1).odt (9.0 KB)

1 Like

Le document n’est pas sur le cloud… Ou alors je ne le trouve pas…
Je l’y mets, à partir du document que tu as mis en pièce jointe, pour pouvoir l’éditer collaborativement.

1 Like

Nouvelle relecture et nouvelles propositions disponibles sur la version collaborative.

J’ai tout a fait oublié de le partager, merci d’avoir corrigé le problème!

@Blsd c’est définitivement pas un article facile, j’adore débattre avec toi sur le sujet :slight_smile: Il faudrait qu’on discute un peu de vive voix sur la conclusion avant de revenir sur la rédaction. J’ai introduit une idée qui manquait dans la première version et qui est fondamentale selon moi: il faut distinguer les experts en informatique (Edward Snowden) et les autres. Ceux qui sauront quoi faire de SecureDrop et les autres. Les organisations qui savent se servir de SecureDrop et les autres. Si on a pas bien en tête cette distinction, on essaye de faire la quadrature du cercle. Alors que c’est tout a fait inutile.

1 Like

Quand voudrais-tu en discuter ? :slight_smile:

1 Like

Maintenant ? Blague à part je n’étais pas très disponible aujourd’hui. Mais demain à part un rdv téléphonique à 10am c’est tout vide donc c’est un peu quand tu veux.

1 Like

Je vais reprendre le travail sur ce texte. Un peu de temps a passé, j’espère que ça a bien décanté :slight_smile:

equilibre-outils-pratiques.odt (13.5 KB)

1 Like

Pour archive, une proposition de réécriture basée sur le texte qui précède.

equilibre-ag.odt (39.4 KB)

Discussions, relectures, temps passé m’ont donné envie de tenter une rédaction totalement différente, sur l’idée de transmettre un message assez simple: Améliorer la sécurité c’est un gros travail, mais on peut y aller petit a petit, ça vaut le coup. Il faut juste ne pas rester paralysé a ne rien faire. Et ne pas céder à la tentation de croire qu’en achetant un produit ça va miraculeusement résoudre le problème. J’ai cédé à l’envie, je ne sais pas ce que ça vaut mais voila.


La sécurité n’est pas un produit, c’est une pratique quotidienne

Les organisations de défense des droits humains mettent un point d’honneur à protéger la confidentialité des données qui leur sont confiées. La Maison des Lanceurs d’Alerte plus que tout autre parce que le succès de sa mission en dépend. L’intérêt général peut difficilement prévaloir si les communications sont espionnées et que les documents se retrouvent dans de mauvaises mains.

Malheureusement les logiciels, les lois et les entreprises qui dominent internet ne facilitent pas les choses: aucun logiciel de visio conférence n’est chiffré de bout en bout, depuis 2017 une loi permet aux autorités Françaises de surveiller internet et les GAFAMS ont été pris plus d’une fois la main dans le sac de nos données personnelles.

Changer ses habitudes

Face à ces difficultés, il est tentant de baisser les bras et d’accepter une impuissance à améliorer la situation comme une fatalité. Comment faire changer le mastodonte Google afin que GoogleDocs assure la confidentialité des documents ? C’est une mission impossible mais il y a beaucoup plus simple: remplacer GoogleDocs par Nextcloud/OnlyOffice. Et une stratégie similaire s’applique efficacement dans de nombreux autres cas.

C’est par petites étapes, progressivement, que la sécurité peut être améliorée. Par exemple choisir une passphrase facile à mémoriser au lieu d’avoir un mot de passe écrit sur un post-it. Ou bien se tourner vers le logiciel libre pour réduire le risque d’être exposé à des virus. Ou encore se parler au téléphone avec une application chiffrée au lieu d’un appel vocal non-chiffré.

Pour avancer sur ce long chemin il suffit d’être guidé par des formations qui montrent quel direction prendre: choisir ce logiciel plutôt qu’un autre, changer une habitude par une autre.

Attention aux produits

Au bout de combien de temps, à ce rythme, une organisation peut-elle imaginer disposer du niveau de sécurité le plus élevé, celui dont aurait eu besoin Edward Snowden ? Quelque mois pour les personnes assez motivées pour y passer l’essentiel de leur temps. Peut-être quelques années pour celles dont le travail quotidien ne permet pas un tel investissement.

L’écueil le plus courant, mais aussi le plus facile à éviter, c’est d’imaginer qu’en faisant l’acquisition du logiciel le plus sécurisé qui soit (SecureDrop par exemple) cela entrainera nécessairement une amélioration du niveau de sécurité. A défaut d’une solide discipline forgée au fil du temps, cela serait aussi inefficace que d’installer une porte blindée sur un mur en papier.

Réaction à chaud d’une première lecture : cette réécriture est bien, je suis assez favorable aux idées simples expliquées simplement :slight_smile:

Il y a toutefois des éléments très intéressants (et qui rendaient l’article un peu moins généraliste) de la version précédente qui ont sauté. Je me demande dans quelle mesure on ne pourrait pas les y réintégrer ?

Par ailleurs, je trouvais l’accroche de la version précédente (qui a sauté ici également) très parlante. Mais peut-être qu’elle n’est plus en accord avec le message que tu veux faire passer ?

En tout cas, je pense que cette réécriture est une bonne voie pour lever les limites que nous avions observé sur les versions précédentes (la dimension trop pessimiste ou la critique trop ciblée)

1 Like

Voici (encore) une nouvelle rédaction qui reprend des éléments des deux documents, plus une conclusion totalement différente. C’est ici pour co-édition (même pour les personnes qui n’ont pas de compte sur https://cloud.enough.community):

Et je joins une copie pour archive.

equilibre-securite.odt (25.7 KB)

Version intermédiaire pour archive:

equilibre-securite-va.odt (25.8 KB)

Version intermédiaire pour archive:

equilibre-securite-va.odt (20.3 KB)