Comme je le disais plus haut également : oui, il est bon de réagir quand il y a un souci (même si alerter Mme Michu et la faire paniquer n'est peut-être pas la meilleure stratégie, dixit Michel : c'est soigner plus qu'il ne faut le travail de terroristes et leur faire de la « pub »). Le problème de fond reste sur l'éducation, qu'il s'agisse d'utilisateurs finaux, d'administrateurs système ou de Webmasters au milieu.
Des projets d'éducation, il y en a un tas. J'avais initié et épaulé il y a quelques années un projet d'actions à but éducatif : en accord et en coordination avec quelques gros acteurs, il était question de distribuer du phishing bénin pour alerter une fois les identifiants naïvement donnés par l'utilisateur sur les dangers de sa pratique et les conséquences imaginables s'il avait s'agit d'une véritable menace. Je peux imaginer le même genre de chose concernant quelques failles anciennes, qu'il s'agisse de l'interpréteur javascript ou du viewer PDF. Il vaut mieux tomber sur un exploit qui alerte gentiment sur les risques et redirige vers une explication détaillée et éducative que de répandre un virus affichant la flamme bleu-blanc-rouge. Le risque étant évidemment le degré suivant si l'éducation n'a pas suffis (sans compter la masse évidente de questions légales que ça soulève). On Fri, 2011-12-23 at 11:46 +0100, Eric Freyssinet wrote: > Bonjour, > > Tout à fait, l'un n'empêche pas l'autre. > > C'est aussi pour ça que je tiens un blog où je parle de notre boulot > et de ce qui va autour, pour sensibiliser et partager. C'est aussi > pour cela que nous avons lancé un projet de centre d'excellence contre > la cybercriminalité (projet 2CENTRE) dont l'une des ambitions est > d'évaluer l'ensemble des besoins en formation dans ce domaine. > Sur le terrain aussi, des gendarmes font régulièrement de la > sensibilisation auprès de publics très variés (enfants, mais aussi > parents par exemple) > > Cordialement, > > E.F. > > 2011/12/23 Rémi Bouhl <remibo...@gmail.com>: > > Bonjour, > > > > Le 23/12/2011 08:52, Eric Freyssinet a écrit : > > > > > > > >> En l'occurrence, il s'agit ici (dans le sujet contextuel dont je parle > >> sur mon blog) d'une escroquerie qui utilise l'image d'une entité > >> publique (ce serait la même chose pour une grande marque) et la > >> meilleure arme contre les escroqueries (là c'est mon boulot, désolé), > >> c'est d'informer le public. Je passe sur les dizaines de messages de > >> remerciement, les mots-clés qui ont permis de tomber sur l'article > >> publié sur le blog, les discussions avec des victimes... > >> Donc non, contrairement à ce que vous dites, l'information du public sur > >> les risques, leur mode de diffusion et au moment d'un incident, leur > >> expliquer comment s'en prémunir fait partie de notre travail. Et oui, > >> c'est une méthode efficace de lutte contre les escroqueries. > > > > > > > > Vu l'ampleur de ce type de problème, est-ce qu'il ne serait pas plutôt > > nécessaire d'attaquer le problème globalement, via une éducation de fond, > > plutôt que d'essayer d'alerter les gens (qu'ils soient end-users ou > > hébergeurs) à chaque problème plus grave que la moyenne? > > > > En restant conscient que l'un n'empêche pas l'autre.. mais on semble manquer > > cruellement d'un traitement de fond sur ces questions. > > > > C'est la parabole de l'homme à qui on apprend à pêcher au lieu de lui donner > > du poisson, sauf que le "fishing" se fait dans l'autre sens :) > > > > > > Rémi. > > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > -- Pierre Jaury <pie...@jaury.eu> +33(0)1.83.64.80.90 Réalisateur, hébergeur et infogéreur indépendant Internet hosting, outsourcing and development as a freelancer
signature.asc
Description: This is a digitally signed message part