L'ANSSI lance oups.anssi.fr

Imagem de capa

NDLR: pour rédiger cet article, nous avons fait appel à notre toute nouvelle stagiaire japonaise rencontrée au SSTIC, mademoiselle Ômi Ti. Son style étant aux antipodes de notre précédente stagiaire SSTIC Ella Prono (RIP), nous espérons qu’elle saura tout aussi bien vous séduire qu’elle n’a su séduire la rédaction avec son café sans filtre.


Bonne surprise et réjouissances cette semaine pour tous les professionnels de la cybersécurité francophone alors que l’ANSSI vient d’annoncer la création du site oups.anssi.fr lors d’un festival célébrant ses 10 ans d’existence et précédant le SSTIC. Ce site bâti sur le modèle du site oups.gouv.fr (et faisant appel au même développeur, un certain Kévin, comme la console de votre navigateur peut en attester) aura pour objectif de sensibiliser un peu plus les professionnels de la sécurité informatique aux erreurs les plus communes qu’ils peuvent commettre dans leur métier, et à donner des conseils pour y remédier.

On peut pour l’instant y trouver les erreurs les plus communes comme par exemple « utiliser une disposition de clavier azerty », une manœuvre qui est très risquée d’un point de vue de l’opsec puisque vos erreurs de frappe risquent bien vite de révéler votre disposition clavier, une information potentiellement précieuse. Il est suggéré de rémédier à cette erreur en utilisant « la disposition de clavier zzertz, où les lettres a, z, q, w et y zont remplacées par des z ». Dans cet exemple précis, l’ANSSI met également en avant l’impact économique positif d’un tel choix, puisque « un clavier azerty en vaut deux ».

Si la liste originale ne se veut pas exhaustive, l’ANSSI compte bien sur l’ensemble de la communauté pour l’aider à combler les éventuelles lacunes. C’est dans le cadre d’une rump hier soir à la conférence annuelle de propagande de l’ANSSI (appelée le SSTIC dans les milieux les mieux informés) que Guillaume Poupardopoulos a lancé son appel à la communauté, ayant revêtu son ancienne cagoule de pirate pour l’occasion. Cet appel a finalement pris la forme d’un dialogue entre le public et lui, dont voici un extrait [NDLR : ce dialogue est retranscrit exactement, mais traduit de l’ancien français. Hélas, l’événement attirant principalement les dinosaures de la sécurité française, la forme du dialogue reste quelque peu antique] :

Guillaume Poupardopoulos : J’en appelle à tout le SSTIC pour remplir notre site.
Public #1 : Vous espérez du public quelque dire insolite ?
Guillaume Poupardopoulos : Qu’utilisez-vous comme logiciel spécifique, par exemple ?
Public #1 : L’assistant Clippy pour chiffrer tout mon disque, il me semble. Proposer une autorité de séquestre dans ce contexte, voilà qui est inédit.
Guillaume Poupardopoulos : ParallélépipèdOS en est maître, j’en atteste, et êtes-vous donc conquis ? Recommandez-vous le système de la maison ?
Public #1 : C’est bien le seul OS que j’aime sans condition. Je suggère aussi de changer de cagoule régulièrement.
Guillaume Poupardopoulos : Tiens donc, vous n’aimez pas vivre dangereusement ?
Public #1 : Qu’un drone m’abatte pour mes actes, ce serait tragique.

Les propositions ont fusé jusque tard dans la nuit, et ont inévitablement conduit à une beuverie. La sécurité française peut dormir sur ses deux oreilles, l’ANSSI veille au grain.