Dans les domaines techniques comme les technologies de l’information, les définitions sont fondamentales. Ce sont les éléments constitutifs de la construction d’applications et de systèmes utiles. Pourtant, malgré cela, il est facile d’assumer la définition d’un terme et de le manier en toute confiance avant de découvrir sa véritable signification. Les deux cas étroitement liés qui me démarquent sont la «sécurité» et la «vie privée».
Je dis cela en pleine conscience que, dans mes nombreux écrits sur la sécurité de l’information, je n’ai jamais distingué ces deux concepts. Ce n’est qu’après avoir observé une confusion suffisante de ces termes que j’ai décidé d’en examiner mon propre traitement occasionnel.
Ainsi, dans le but de consolider ma propre compréhension, différencions correctement la «sécurité de l’information» et la «confidentialité de l’information».
Sécurité vs confidentialité: définitions qui comptent
Dans le contexte des technologies de l’information, quelle est exactement la sécurité et la confidentialité?
- Sécurité est la propriété de refuser aux parties non autorisées d’accéder ou de modifier vos données.
- Confidentialité est la propriété de prévenir l’observation de vos activités par des tiers à qui vous ne consentez pas expressément à observer ces activités.
Comme vous pouvez le voir, ces principes sont liés, ce qui est une des raisons pour lesquelles ils sont généralement échangés. Cette distinction devient compréhensible avec des exemples.
Commençons par une instance où la sécurité s’applique, mais la confidentialité ne le fait pas.
Spotify utilise un logiciel Digital Rights Management (DRM) pour garder ses médias sécurisés mais pas privés. DRM est un sujet à part entière, mais il utilise essentiellement la cryptographie pour faire respecter le droit d’auteur. Dans le cas de Spotify, c’est ce qui constitue le streaming plutôt que le simple téléchargement: le fichier de la chanson est présent sur votre appareil (au moins temporairement) comme si vous l’avez téléchargé, mais la cryptographie DRM de Spotify vous empêche d’ouvrir le fichier sans l’application Spotify.
Les données sur Spotify (fichiers audio) sont sécurisées car seuls les utilisateurs de l’application peuvent diffuser l’audio et le contenu en diffusion ne peut pas être conservé, ouvert ou transmis à des non-utilisateurs. Cependant, les données de Spotify sont pas Privé car presque toute personne ayant une adresse e-mail peut être un utilisateur. Ainsi, dans la pratique, l’entreprise ne peut contrôler qui exactement peut accéder à ses données.
Un exemple de sécurité plus complexe sans confidentialité est les médias sociaux.
Lorsque vous vous inscrivez à une plate-forme de médias sociaux, vous acceptez un accord de licence (CEUL) pour les utilisateurs finaux autorisant la plate-forme pour partager vos données avec ses partenaires et ses affiliés. Vos données stockées avec des «parties autorisées» sur les serveurs contrôlées par la plate-forme et ses affiliés seraient considérés comme sécurisés, à condition que toutes ces entités défendent avec succès vos données contre le vol par des parties non autorisées.
En d’autres termes, si tous ceux qui sont autorisés (par accord) à avoir vos données le cryptent en transit et au repos, isolent et segments leurs réseaux, etc., alors vos données sont sécurisées, peu importe combien d’affiliés les reçoivent. Dans la pratique, plus les parties ont vos données, plus il est probable que l’un d’eux soit violé, mais en théorie, ils pourraient tous défendre vos données.
D’un autre côté, toutes les données que vous fournissez au réseau social ne sont pas privées car vous ne pouvez pas contrôler qui utilise vos données et comment. Dès que vos données atterrissent sur les serveurs de la plate-forme, vous ne pouvez pas limiter ce qu’ils en font, y compris le partage de vos données avec d’autres entités, que vous aussi ne peut pas contrôler.
Les deux exemples illustrent la sécurité sans confidentialité. En effet, la confidentialité implique la sécurité, mais pas l’inverse. Tous les carrés sont des rectangles, mais tous les rectangles ne sont pas des carrés. Si vous avez la confidentialité, ce qui signifie que vous pouvez appliquer complètement la façon dont une partie utilise vos données (ou non), elle est sécurisée par définition car seules les parties autorisées peuvent accéder à vos données.
Appareils mobiles: sécurisé mais pas privé
Le mélange de sécurité et de confidentialité avec désinvolture peut conduire les gens à mal comprendre les propriétés de sécurité de l’information qui s’appliquent à leurs données dans un scénario donné. En réévaluant pour nous-mêmes si une technologie donnée nous offre la sécurité et la vie privée, nous pouvons avoir une compréhension plus précise de la façon dont nos données sont accessibles.
Une idée fausse importante que j’ai remarqué concerne les appareils mobiles. J’ai l’impression que la sphère de contenu de confidentialité numérique considère les appareils mobiles comme non sécurisés car ils ne sont pas privés. Mais alors que le mobile est conçu pour ne pas être privé, il est spécialement conçu pour être sécurisé.
Pourquoi donc?
Parce que la valeur des données est de le garder entre vos mains et hors de vos concurrents. Si vous collectez des données mais que quelqu’un d’autre peut saisir votre copie, vous n’êtes pas seulement sans avantage, mais aussi dans un désavantage, car vous êtes la seule partie à avoir dépensé du temps et de l’argent pour les collecter de la source.
Avec un examen minutieux, nous constatons que chaque élément d’un système d’exploitation mobile qui pourrait être commercialisé en tant que fonctionnalité de confidentialité est, en fait, strictement une fonctionnalité de sécurité.
Les professionnels de la cybersécurité ont salué les autorisations d’application comme une foulée majeure dans la vie privée. Mais qui sont-ils conçus pour aider? Ces menus s’appliquent aux applications qui demandent l’accès à certains matériels, des microphones et des caméras au stockage de mémoire flash et aux radios sans fil. Cette fonction de restriction d’accès sert le développeur du système d’exploitation en permettant aux utilisateurs de verrouiller la plupart de leurs concurrents que possible en prenant leurs données. Le développeur du système d’exploitation mobile contrôle le système d’exploitation avec un code compilé non auditable. Pour tout ce que vous savez, les commandes d’autorisation sur toutes les applications natives du système d’exploitation pourraient être ignorées.
Cependant, même si nous supposons que le développeur du système d’exploitation ne contrecarne pas vos restrictions sur leurs propres applications, les applications de première partie jouissent toujours de la place de la place. Il y en a plus; Ils sont préinstallés sur votre appareil, facilitent les fonctionnalités de l’appareil mobile de base, nécessitent plus d’autorisations et perdent souvent des fonctions de base lorsque ces autorisations sont refusées.
Les Os mobiles sont également en sandbox chaque application, forçant chacune à exécuter dans un environnement logiciel isolé, inconscient des autres applications et du système d’exploitation sous-jacent. Cela aussi profite au vendeur du système d’exploitation. Comme les paramètres d’autorisation de l’APP, cette fonctionnalité rend plus difficile pour les tiers de saisir les mêmes données que le système d’exploitation ingère sans effort. Le système d’exploitation s’appuie sur ses propres processus de fond pour obtenir les données et les murs les plus précieux de toutes les autres applications à partir de ces processus.
La sécurité mobile n’est pas conçue avec vous à l’esprit
Le contrôle de sécurité mobile le plus puissant est le déni des privilèges racine à toutes les applications et aux utilisateurs (en plus, encore une fois, le système d’exploitation lui-même). Bien que cela contribue grandement à assurer la sécurité des données de l’utilisateur, il est tout aussi efficace pour soumettre tout et tous ceux qui utilisent l’appareil pour les diktats du système d’exploitation. L’avantage de sécurité est indéniable: si votre compte d’utilisateur ne peut pas utiliser Root, alors tout logiciel malveillant qui compromet qu’il ne peut pas non plus.
De même, car vous n’avez pas de contrôle complet sur le système d’exploitation, vous ne pouvez pas reconfigurer votre appareil pour la confidentialité du fournisseur du système d’exploitation.
Je ne désoblige à aucun de ces contrôles de sécurité. Tous renforcent la protection de vos données. Je dis qu’ils ne sont pas principalement faits pour le bénéfice de l’utilisateur; c’est secondaire.
Ceux d’entre vous qui connaissent mon travail pourraient voir la barre de défilement près du bas de cette page et me demander pourquoi je n’ai pas encore mentionné Linux. La réponse est que les systèmes d’exploitation de bureau, mon type de système d’exploitation Linux préféré, bénéficient de leur propre examen. Dans un suivi de cette pièce, je vais discuter du paradoxe de la sécurité et de la confidentialité de bureau.
Veuillez rester à l’écoute.
