La sécurité est un échec. C'est le titre qu'avait choisi [Nicolas Ruff|http://news0ft.blogspot.com/] pour son talk à SSTIC en 2009. Depuis, il a entretenu sur son blog un certain nombre de billets étayant son propos. Si je suis de l'avis de ce maître es Ruff, je vais plus loin en affirmant que la sécurité informatique n'existe pas. En effet, quid du débordement de tampon si au moment de remplir son contenu on vérifie les entrées ? Comment avoir une injection SQL lorsque la requête est correcte et contenue dans sa sémantique ? Et qu'est ce qu'une politique de sécurité sinon un ensemble d'usage intelligent, de procédure de suivi et de tableaux de bords ? C'est dans cette approche que j'ai lu "[So Long, And No Thanks for the Externalities|http://research.microsoft.com/users/cormac/papers/2009/SoLongAndNoThanks.pd]". Ce papier sort des laboratoires de Microsoft et se propose en un peu moins de douze pages d'analyser l'impact de la sécurité et de sa non applicabilité en terme de bénéfice ou, en des mots plus simples, pourquoi les utilisateurs choisissent (consciemment ou non) de ne pas appliquer les consignes de sécurité que les RSSI et leurs services tentent désespérément de faire comprendre et suivre. Ainsi, en quelques paragraphes, [Cormac|http://research.microsoft.com/en-us/people/cormac/] s'attaque à l'intérêt de la complexité des mots de passe, la détection du phishing par les utilisateurs, les certificats SSL et le danger de l'attaque par interception. À chaque fois il nous présente le coût, les bénéfices potentiels et les bénéfices actuels. C'est ainsi que sur la problématique du phishing, il sort l'équation simple, mais criante de vérité : sur 180 000 000 américains connectés, le coût du phishing est estimé à 60 000 000 de dollars sur une année. Il en fait alors un calcul simple, le coût du phishing revient à 33 cents par utilisateur. Il ramène ensuite cela au coût à l'heure d'un salaire de base, soit 7,25 $. En résultat, on obtient que si le temps dévolu à éduquer votre interlocuteur dépasse 2 minutes et 34 secondes, l'enseignement revient plus cher que le préjudice lui-même. Je n'évoquerai pas même ici l'entretien réccurrent nécessaire à la tâche. Si je vous laisse lire le contenu de l'article pour que vous en goûtiez la substantifique moelle, je dévoile une partie de l'intérêt de la conclusion. En effet, si le bilan peut sembler à la fois pessimiste et terriblement réaliste, il ouvre tout de même vers une note d'espoir. Si l'éducation n'est pas la panacée, apprendre en s'amusant peut être la voie de l'avenir.