![[Home]](http://meatballwiki.org/meatball.gif)
SécuritéParObscurité
MeatballWiki | RecentChanges | Random Page | Indices | CategoriesSécuritéParObscurité est un moyen de décourager les attaques irréfléchies en évitant la proéminence. Les exemples extraits de l'EspaceViande comprennent :
- Les opérations de données du CBI (Credit Bureau Incorporated) dans la banlieue d'Atlanta, qui est un bâtiment de bureaux sans caractère avec aucune indication extérieure de son intention.
- Les équipements pour les échanges téléphoniques, qui sont toujours presques "unmarked"
- Les parties extérieures tenues par des nudistes et des groupes de ravers ; le public général est généralement non averti de la date ou du lieu.
Ainsi, la SécuritéParObscurité est vraiment efficace contre les attaquants décontractés avec de faibles motivations ou de faibles ressources, tout spécialement dans les cas où une présence évidente d'une installation ou d'un évenement pourrait elle-même suffisamment encourager des attaques. Dans ces cas là, c'est une défense efficace à moindre coût qui a l'avantage de réduire le ChampDuConflit?. A l'inverse, c'est une méthode molle quand elle est utilisée contre des attaquants motivés et pleins de ressources.
Les premiers systèmes informatiques faisaient confiance à l'obscurité en tant que bonne mesure de protection, qui restait efficace jusqu'à ce que la disponibilité massive des modems et des ordinateurs personnels ne démarre aux environs de 1990. A ce moment, les ressources requises pour mener une attaque substantielle ont considérablement chuté et beaucoup de systèmes précédemment non compromis furent pénétrés dans les années qui s'en suivirent.
La SécuritéParObscurité a été surutilisée comme une stratégie annoncée par les sociétés de logiciel et les personnels des systèmes d'information durant toute une période durant laquelle des solutions de sécurité plus efficaces ne pouvaient pas être implémentées rapidement ou à meilleur marché.
Beaucoup de sociétés de logiciel dans ce domaine ont incorporé des encryptages mous et une authentification molle dans leurs produits et refusé de discuter des détails "propriétaires", sous le prétexte que si les fonctionnements de la mécanique étaient compris il serait plus facile de les battre en brèche. Le temps a montré la sottise de cette méthode d'implémentation de sécurité "faites-nous confiance" ; la plupart des personnes aujourd'hui préfèrent EviterIllusion et chercher un moyen de SécuritéDure efficace qui a été publiquement examiné.
Un sujet en rapport est la Stéganographie, qui est le processus d'encoder les données dans des fichiers média (des exemples classiques utilisés dans des formats non compressés TIFF et BMP) de telle sorte que la donnée apparaît comme faisant partie du bruit inhérent dans l'image.
C'est une solution architecturale où les domaines des problèmes sont maintenues en permanence dans l'obscurité. Une approche plus dynamique est de LimiterVisibilité.
Voir aussi PracticalObscurity à traduire en ObscuritéPratique, WikiPedia:Security_through_obscurity
Plus d'exemples
Une version de cela est "hiding in plain sight" - déguiser quelqu'un en le plaçant parmi d'autres choses qui sont généralement non examinées en détails. Exemples :
- Inclure un NomUtilisateur parmi les liens Category ou Dossier relégués en bas de la page.
- Casser le ModèleDeLien ou utiliser <nowiki></nowiki>, de telle façon que le mot lien n'appelle pas quelque attention à soi-même en étant mis en valeur comme un lien. Les intéressés qui sont déterminés copieront/colleront ce ModèleDeLien à l'intérieur d'une URL et obtiendront tout de même la page. [Précaution : "être intéressé" et "savoir que les URLs son non opaques, des chose éditables" ne font pas de corrélation]
- Créer une page NomUtilisateur nulle, qui redirecte simplement vers la page de vrai intérêt et puis signer des commentaires inoffensifs.
- Installer un réseau d'imprimante et lui donner le nom de " ". Oui, un espace. Personne ne le verra dans son interface utilisateur de sélecteur d'imprimante, et ainsi personne ne le sélectionnera.
- Une sorte de sécurité a surtout une face parfaitement sans fonctionnalité -- simplement le pseudo et nom du fabricant. Les côtés sont aussi en métal brossé. Pas de combinaison à composer, pas de serrure, rien. Même si vous saviez que la combinaison était "123", comment sauriez-vous presser la première lettre sur le nom du fabricant, la seconde sur le nom du fabricant et la troisième lettre sur le nom du fabricant ?
- Une sorte de fermeture à bouton poussoir avait seulement quatre boutons différents. J'ai observé quelqu'un la déverouiller : son coude bougeait seulement en avant 3 fois. Combien de temps me prendrait t'il pour essayer toutes les combinaisons de nombres à 3 chiffres en base 4 ? Moins de 10 minutes, mais je ne pourrais pas encore déverrouiller la parte. Quand on m'a donné la combinaison, j'ai appris que je devais tenir deux boutons spécifiques en même temps presser sur le dernier bouton pour la déverrouiller (si j'avais pressé ces deux boutons l'un après l'autre, elle ne se serait pas déverrouillée)
- découper un compartiment secret dans un livre, puis le "cacher" à la vue de tous dans une bibliothèque. (I hope this isn't too much of a spoiler for "The Shawshank Redemption" movie).
- "The Purloined Letter" short story 1841 d'Edgar Allan Poe (1809-1849) http://www.kingkong.demon.co.uk/gsr/purloind.htm
LangueFrançaise PageTranslation SecurityByObscurity [DossierSécuritéDouce]