Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

La sécurité par l’obscurité : histoire, critiques et risques

Découvrez comment l’authentification multifacteur (MFA) adaptative combat les brèches de données, la compromission des mots de passe faibles et les attaques de phishing.

Mis à jour: 30 août 2024 Temps de lecture: ~

Sujette

Security

Sommaire

 

Cet article a été traduit automatiquement.

 

Le concept de sécurité par l'obscurité (STO) repose sur l'idée qu'un système peut rester sûr si les vulnérabilités sont secrètes ou cachées. Si un attaquant ne connaît pas les faiblesses, il ne peut pas les exploiter. Le revers de la médaille est qu'une fois que cette vulnérabilité est exposée, l'informatique n'est plus sécurisée. Il est communément admis que la sécurité par l'obscurité n'est efficace que si elle est utilisée comme une couche de sécurité et non comme l'ensemble du système de sécurité. STO est un sujet controversé dans le monde IT. En soi, l'informatique est une mesure de sécurité inefficace.

Qu'est-ce que la sécurité par l'obscurité ?

Obscurité signifie inconnu. La sécurité par l'obscurité vise à assurer la sécurité d'un système en gardant secrète la connaissance des technologies de l'information. Les mécanismes internes et le fonctionnement d'un système sont conservés sur la base du "besoin de savoir". Si personne en dehors du groupe central n'est au courant de leur existence ou de leurs vulnérabilités, le système peut rester sûr. En théorie, cela fonctionne, mais la marge d'erreur humaine est importante. En cas de fuite, l'ensemble du système peut être compromis.

Histoire du STO

Le concept de sécurité par l'obscurité a une longue histoire, les premiers opposants remontant aux années 1850. remontent aux années 1850. La technologie de l'information impliquait le concept de publication de la manière de crocheter avec succès une serrure à la pointe de la technologie à l'époque. Bien que l'indignation ait été grande, on a fait valoir que les personnes qui cherchent à s'introduire dans le système savent déjà comment faire et que le fait d'exposer les failles de la conception ne les rendra pas plus vulnérables aux attaques. La STO est un aspect traditionnel de la cryptographie, les agences gouvernementales, telles que la NSA (National Security Agency), employant des cryptographes dont le travail était tenu secret. De l'autre côté, principe de Kerckhoff datant de la fin du19e siècle, stipule que le système cryptographique doit être sûr tant que la clé est gardée secrète, même si tous les autres éléments du système sont connus.

Obscurité de l'architecture par rapport à la technique

La sécurité par l'obscurité est par essence un concept peu sûr, dans la mesure où les technologies de l'information signifient que le secret caché, ou l'entité inconnue, est la clé qui permet de déverrouiller l'ensemble du système. Dans ce cas, une fois que l'ennemi possède cette clé, il a accès à tout. En technique, la sécurité par l'obscurité est un concept peu sûr lorsqu'il est utilisé de manière isolée. Lorsqu'elle est utilisée dans le cadre de l'architecture d'un système et en tant que couche indépendante, la sécurité par l'obscurité peut être une mesure de sécurité efficace. Par exemple, le camouflage est une mesure de sécurité utile, mais si vous pouvez voir à travers l'informatique, l'informatique n'est plus efficace à moins qu'il n'y ait une protection supplémentaire sous la couche camouflée.<

Une bonne obscurité comparée à une mauvaise obscurité

Le STO comme seule méthode de protection de vos actifs est une mauvaise idéeEn revanche, lorsqu'il est utilisé en conjonction avec d'autres mesures de sécurité, le système informatique peut être un outil utile. La sécurité par obscurcissement sert à rendre plus difficile la reconnaissance d'un acteur malveillant ou d'un utilisateur non autorisé. Il leur sera plus difficile d'exploiter les vulnérabilités de quelque chose qu'ils ne peuvent pas voir en premier lieu. Il s'agit là d'exemples concrets de sécurité par l'obscurité :

  • La porte est fermée, mais la clé est cachée sous le paillasson.
  • Déployer des voitures-leurres autour de l'actif que vous essayez de protéger, seuls les acteurs clés sachant dans quelle voiture se trouve l'actif.
  • L'utilisation d'un système à source fermée qui ne permet qu'à certaines personnes de connaître le fonctionnement des technologies de l'information.
  • Écrire votre mot de passe sur un bout de papier et le cacher sous le clavier de votre ordinateur.

Une bonne STO consiste à rendre les clés de votre système moins visibles tout en veillant à ce qu'elles soient correctement protégées.

Critique de STO

L'environnement IT devient de plus en plus complexe et de plus en plus d'utilisateurs ont besoin d'y accéder, ce qui augmente le nombre de personnes "au courant". De plus en plus d'utilisateurs ont une connaissance approfondie du fonctionnement des systèmes, ce qui leur permet de deviner facilement les informations qui n'ont pas été divulguées. Pour ces raisons, le STO est souvent critiqué comme étant une méthode inefficace, en particulier lorsqu'il est utilisé comme principal ou unique formulaire de sécurité. En outre, une fois la clé découverte, le système est ouvert et vulnérable aux attaques si le STO est la seule méthode de protection de l'informatique. Une fois découvert, il n'y a plus de protection. le code source ouvert est régulièrement utilisé et largement disponible. Même le National Institute of standard and Technologies (NIST) des États-Unis ne recommande pas l'utilisation d'une source fermée pour sécuriser les logiciels. Le secret n'est pas synonyme de sécurité - pas en soi.

Ce n'est pas une méthode de sécurité autonome

En bref, la sécurité par l'obscurité n'est pas un bon concept. Les technologies de l'information servent à remplacer la sécurité réelle par le secret, ce qui signifie que si quelqu'un, par exemple un acteur malveillant, apprend la clé ou l'astuce du système, les technologies de l'information ne sont plus sûres. La sécurité par l'obscurité peut constituer un bon niveau de sécurité complémentaire lorsqu'elle est utilisée en tandem avec d'autres outils et mesures de sécurité. Les technologies de l'information ne doivent jamais être utilisées comme seule méthode pour assurer la sécurité de votre système, mais elles peuvent ajouter une couche supplémentaire de protection en gardant les choses cachées et moins visibles. La sécurité par l'obscurité fonctionne comme une réduction de la probabilité, ce qui diminue les chances de piratage ou de compromission de votre système. Cela diffère de la réduction de l'impact, qui ajoute un blindage supplémentaire contre la compromission de la sécurité. Dans l'ensemble, le STO est un sujet controversé qui présente certains avantages, mais uniquement lorsqu'il est utilisé correctement et qu'il s'accompagne de mesures de sécurité supplémentaires de haut niveau.

Références

La sécurité par l'obscurité (STO). (juillet 2013). Techopedia.

Principe de Kerckhoff. (2020). Crypto-IT.

La sécurité par l'obscurité : Le bon, la brute et le truand. (mai 2020). Le Cyber correctif.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter