En sécurité informatique, il y a des vérités qu’on retrouve régulièrement et qu’on peut généraliser facilement. Microsoft en a énoncé une dizaine, très intéressantes, et sans être totalement absolues, indiscutables, ou complètes, elles contiennent de très nombreux points de repères et principes valables indépendamment de toute technologie.
- Si un méchant peut vous convaincre de faire tourner son programme sur votre ordinateur, alors ce n’est plus tout à fait votre ordinateur.
- Si un méchant peut modifier le système d’exploitation de votre ordinateur, alors ce n’est plus tout à fait votre ordinateur.
- Si un méchant peut accéder physiquement à votre ordinateur, alors ce n’est plus tout à fait votre ordinateur.
- Si un méchant peut exécuter du contenu actif sur votre site web, alors ce n’est plus tout à fait votre site web.
- Les mots de passe faibles l’emportent sur la sécurité.
- Un ordinateur n’est sécurisé qu’autant que son administrateur est digne de confiance.
- La sécurité de données chiffrées est la même que celle de la clé de chiffrement.
- Un anti-malwares (anti-virus) non mis à jour n’est que légèrement plus efficace que de ne rien faire.
- L’anonymat absolu est inatteignable en pratique, en ligne ou hors ligne.
- La technologie n’est pas la panacée.
Au sujet de la loi #10, Bruce Schneier dit même :
If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.
Version originale, en anglais, sur le site de Microsoft :
- If a bad guy can persuade you to run his program on your computer, it’s not solely your computer anymore.
- If a bad guy can alter the operating system on your computer, it’s not your computer anymore.
- If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore.
- If you allow a bad guy to run active content in your website, it’s not your website any more.
- Weak passwords trump strong security.
- A computer is only as secure as the administrator is trustworthy.
- Encrypted data is only as secure as its decryption key.
- An out-of-date antimalware scanner is only marginally better than no scanner at all.
- Absolute anonymity isn’t practically achievable, online or offline.
- Technology is not a panacea.
Source : https://technet.microsoft.com/en-us/library/hh278941.aspx