Vous n'avez pas besoin de verrouiller votre porte d'entrée à moins que vous ne soyez un voleur.

C'est la même idée à tous égards.

Chaque personne doit prendre des mesures raisonnables pour se protéger, ainsi que ses biens, de ceux qui pourraient lui nuire ou porter atteinte à ses biens, conformément à son meilleur jugement des risques.

Vous achetez une serrure et verrouillez votre porte d'entrée si vous vivez dans une ville, à proximité de centaines de milliers d'autres. Il y a une raison pour ça. Et c'est la même raison pour laquelle vous verrouillez votre porte d'entrée Internet.

Ma première pensée est de demander: "Avez-vous quelque chose de précieux que vous ne voulez pas que quelqu'un d'autre ait?"

Si la réponse est Oui, alors continuez avec «Faites-vous quelque chose pour le protéger?»

À partir de là, vous pouvez suggérer des moyens de protéger ce qui est précieux (modéliser les menaces, modéliser les attaques, etc.).

Comme le disent les droits de Miranda: "tout ce que vous dites peut et sera utilisé contre vous devant un tribunal". Juste après que la police ait fini de vous donner les droits Miranda, ils disent alors "mais si vous êtes innocent, pourquoi ne nous parlez-vous pas?" Cela conduit de nombreuses personnes à être reconnues coupables de crimes parce qu'il est effectivement utilisé contre eux devant un tribunal. Voici une superbe vidéo sur YouTube qui explique en détail pourquoi vous ne devriez jamais parler aux flics, surtout si vous êtes innocent: http://www.youtube.com/watch?v=6wXkI4t7nuc

L'un des crimes les plus courants en Amérique est la "conspiration". Les pirates informatiques ne sont souvent pas reconnus coupables de l'activité de piratage, mais de complot. C'est parce que la police a des journaux de discussion d'eux discutant des attaques. Même si vous n'êtes pas vraiment impliqué, n'avez pas l'intention de participer à l'attaque de piratage et même essayé de décourager vos amis de le faire, vous pouvez être reconnu coupable de «complot».

Dans diverses juridictions, vous êtes susceptible d'être condamné à une amende ou à la faillite si vous ne sécurisez pas vos systèmes. Exemples spécifiques:

• Conservation des données personnelles des clients. Au Royaume-Uni, si vous ne protégez pas ces données de manière appropriée, vous pouvez être condamné à une amende.
• Si vous manipulez des données de carte de crédit et ne mettez pas en œuvre la sécurité appropriée, vous constaterez peut-être que VISA / Mastercard vous interdira d'utiliser leurs services.
• Si vous êtes un inscrit auprès de la SEC et que vous ne suivez pas les directives Sarbanes-Oxley, vous pouvez être condamné à une amende ou pire.
• etc etc

Vaut avoir lu la question de @ Tate de novembre 2010 sur des sujets pour lancer des conversations sur la sécurité.

Exemples simples:

1. données commerciales confidentielles. Ce n'est pas illégal (ou si c'est le cas, vous devriez obtenir un emploi différent), mais cela pourrait fournir un avantage aux concurrents sur le marché si la confidentialité est compromise. Si cela est encore trop abstrait, pensez à l'impact personnel du licenciement pour avoir été la personne qui a divulgué les secrets commerciaux.

2. vol d'identité. Vous ne pouvez rien faire d'illégal, mais quelqu'un d'autre peut-il le faire en votre nom?

La sécurité ne consiste pas à faire quelque chose d'illégal, mais à quelqu'un d'autre faisant quelque chose d'illégal (qui aura un impact sur vous).

Si vous ne cryptez pas vos appels téléphoniques, quelqu'un pourrait savoir ce que tout votre vendeur font et peuvent essayer de voler vos clients.Si vous ne déchiquetez pas vos documents, quelqu'un pourrait utiliser toutes ces informations pour monter une attaque d'ingénierie sociale contre votre entreprise, pour voler des données R&D, des prototypes, des designs ...

Chaque fois que quelqu'un apporte cette déclaration, je réponds toujours par: "Vous ne pouvez pas croire que tout le monde dans le monde respecte les lois".

En effet, si tout le monde dans le monde est un citoyen respectueux des lois, vous peut laisser votre porte d'entrée ouverte, mais comme nous le savons, il y a des criminels et beaucoup d'autres personnes qui peuvent entrer dans votre porte d'entrée / de derrière avec divers motifs - qui sait quel mal ils peuvent infliger.

Pourquoi les citoyens respectueux des lois ont-ils besoin d'une sécurité renforcée?

Les individus doivent protéger leurs informations pour garder le contrôle sur leur propre vie.

Bien que cette affirmation semble extrême, je pense que je peux l'illustrer avec quelques exemples simples.

Exemple 1:

Contexte: Vous êtes un ancien alcoolique. Même si vous ne buvez plus d'alcool, vous avez tendance à être généreux en état d'ébriété. Vous transportez également généralement une somme d'argent importante avec vous.

Mallory sait: vous êtes un ancien alcoolique, vous êtes généreux en état d'ébriété et vous transportez généralement une somme d'argent importante avec vous. Mallory soupçonne également qu'il ne faudra que deux ou trois verres pour vous enivrer.

Scénario: Vous rencontrez des amis Alice et Bob, et l'ami de Bob Mallory dans un restaurant qui sert également de l'alcool. Pendant votre réunion, Mallory prend du soda pour la table, ajoutant secrètement une quantité indétectable d'alcool à votre soda. Alice et Bob partent. Mallory continue de raconter une triste histoire sur son besoin d'argent. Vous donnez l’argent à Mallory et ne la voyez plus jamais ou n’entendez plus jamais parler d'elle.

Exemple 2:

Contexte: Vous êtes fonctionnaire. Le bureau dans lequel vous travaillez a une politique stricte contre les employés qui font des déclarations publiques négatives contre les lois en vigueur. Vous avez un enfant de 12 ans.

Scénario: Un site de réseau social populaire a pour politique de ne pas autoriser les enfants de moins de 13 ans à avoir leur propre compte. Vous décidez de partager votre compte de réseau social avec votre enfant en lui donnant votre mot de passe. Votre enfant utilise votre compte de réseau social pour publier publiquement des commentaires négatifs sur une loi particulière. Les médias locaux découvrent l'affichage et apprennent votre vrai nom et où vous êtes employé. En raison de la couverture médiatique, votre superviseur juge nécessaire de mettre fin à votre emploi.

Exemple 3:

Contexte: Votre grand-mère malade vit seule et a très peu de revenus. Pour l'aider à économiser sur les dépenses, vous remplacez son service téléphonique traditionnel par un service VoIP moins cher. Votre grand-mère n'a pas d'ordinateur et fait toutes ses opérations bancaires par téléphone.

Scénario: Un adversaire surveille les appels VoIP du fournisseur de services de votre grand-mère et cible les appels destinés aux numéros de téléphone bancaires. Votre grand-mère effectue un virement de routine de son compte d'épargne vers son compte courant en donnant à l'agent bancaire ses numéros de compte et son code de sécurité. L'adversaire enregistre l'appel téléphonique non chiffré de votre grand-mère et obtient ses numéros de compte bancaire et son code de sécurité. La prochaine fois que votre grand-mère vérifie l'état de ses comptes, elle n'a aucun solde et une carte de crédit avec un solde important a été ouverte à son nom.

L'erreur «rien à cacher»

Il existe trois composants bien connus de la sécurité: la confidentialité (secret), l'intégrité (n'a pas été endommagée, modifiée ou falsifiée) et la disponibilité (vous pouvez obtenir ce que vous voulez).

L'argument «rien à cacher» ne fonctionne que contre la confidentialité. Il existe des cas évidents où une personne souhaite qu'une information soit secrète et pas facilement accessible à quiconque le souhaite. L'exemple le plus simple serait un code PIN de carte bancaire. Quiconque possède votre carte bancaire et connaît votre code PIN peut voler votre argent.

D'autres exemples évidents sont les éléments de sécurité traditionnels tels que les codes d'alarme, les numéros de compte et les combinaisons de serrures ou de coffres-forts. Ainsi, l'argument «rien à cacher» vise vraiment l'information dans des activités qui n'ont pas de valeur intrinsèque évidente en elles-mêmes.

Prenons l'exemple d'une conversation par téléphone mobile.

La fête surprise

Alice a un ami Bob qui aime les anniversaires surprises. Les autres amis de Bob incluent Carl et Evan. Carl aime écouter les conversations téléphoniques. Alice appelle Evan pour planifier une fête d'anniversaire surprise pour Bob et Carl écoute la conversation. Avant le jour de la fête, Carl raconte à Bob les plans de la fête. La valeur de plaisir que Bob aurait eue si Carl avait gardé la fête secrète est maintenant perdue. La divulgation du secret entre Alice et Evan par Carl a une conséquence négative pour Bob qui n'était pas partie au secret.

Les arguments typiques «rien à cacher» impliquent généralement qu'un secret cache quelque chose de mauvais (illégal, immoral ou embarrassant) et que la divulgation du secret a des conséquences négatives pour au moins un des gardiens du secret . Certains arguments «rien à cacher» soutiennent que la divulgation d'un secret ne fait de mal à personne. L'exemple précédent montre que ce n'est pas toujours le cas.

Voyons maintenant un exemple d'anonymat.

Anonymat

Alice est une personne riche qui siège au conseil des conseillers d'une université. L'université est en difficulté financière et est autorisée à accepter des dons privés. Alice souhaite faire un don anonyme à l'université. Alice discute discrètement de la possibilité d’un don anonyme avec Bob le Trésorier de l’université. Carol est un autre membre du conseil de l'université qui cherche par malveillance à réduire l'influence d'Alice sur le conseil. Bob révèle la discussion d'Alice à Carol. Carol dit aux autres membres du conseil, à l'exception d'Alice, qu'Alice tente de gagner la faveur du Trésor à l'insu du conseil en faisant un important don anonyme. En conséquence, Alice fait une contribution publique bien moindre.

L'argument «rien à cacher» contre l'anonymat implique que la personne qui souhaite rester anonyme doit le faire parce que l'action qu'elle entreprend lorsqu'elle est anonyme est une mauvaise action (illégale, immorale ou embarrassante). Le don anonyme d'argent à une université dans le besoin est difficile à qualifier de mauvais. La divulgation du secret dans ce cas a blessé l'université et potentiellement Alice. Cet exemple illustre également une partie du problème lié à une ouverture excessive, la possibilité que des tiers interprètent mal des informations ou des actions.

Peut-être que vous pensez que vous n'avez rien à cacher et que vous n'avez peut-être rien fait d'illégal, d'immoral ou d'embarrassant (merci à @thisjosh pour les catégories "quelque chose à cacher" - bonne explication là). Cependant, c'est votre opinion . Les opinions des autres peuvent ne pas être d'accord. Ces autres peuvent être en mesure d'exploiter votre manque de sécurité pour obtenir des informations, pour convaincre des gens du même avis qu'eux que vous avez fait quelque chose de répréhensible. Cela pourrait, que vous soyez d'accord ou non avec leur position, avoir un effet négatif sur votre vie qui peut aller d'un inconvénient mineur à une tragédie extrême.

De plus, même si toutes les personnes dans le monde sont actuellement d'accord avec votre position sur ce qui est légal, moral et agréable, les opinions changent - tout comme les lois et, dans certains cas, même les codes éthiques largement acceptés. Ce que vous faites maintenant qui semble être juste, juste et pleinement dans vos droits peut plus tard être considéré comme une offense ou un affront à autrui. Et ces autres peuvent être dans de telles positions d'autorité pour rédiger des lois contre ces choses, ou inciter l'opinion publique à s'y opposer. Ensuite, la révélation de vos actions passées (ou en cours, si vous continuez avec vos propres convictions personnelles) pourrait en effet conduire à l'embarras ou même à l'emprisonnement ou pire.

Le résultat est le suivant. Si vous ne pratiquez pas une bonne sécurité en protégeant votre vie privée et votre anonymat, vous faites confiance à tous les habitants du monde entier (amis, famille, gouvernements et grand public - sans parler de ceux qui pourrait en fait être là pour vous attraper), tel qu'il existe maintenant et tel qu'il le sera à l'avenir , traitera vos informations personnelles et vos informations d'identité d'une manière qui vous convient . Faites-vous confiance au monde pour le faire maintenant? Pensez-vous que le monde dans 20 ans sera le même?

Beaucoup de réponses sur les raisons pour lesquelles la sécurité s'applique aux fournisseurs de services - mais elle s'applique à toutes les parties impliquées dans Internet.

Si vous êtes irréprochable si, à la suite de sécurité insuffisante sur votre PC, il est rootkited et recruté dans une armée de zombies? Que faire si quelqu'un utilise votre routeur WiFi pour effectuer des transactions frauduleuses sur un compte bancaire en ligne? AFAICS, il semble que dans la plupart des juridictions vous l'êtes.

Curieusement, la plupart des juridictions prendraient une mauvaise image de vous laissant une arme chargée autour de votre maison et non dans une armoire verrouillée.

De même, si vous exploitez un site Web ne traitant aucune donnée fournie par le client et que ce site est compromis, il peut être utilisé à des fins que vous n'avez jamais prévues.

Et c'est avant d'envisager le scénario Martha Stewart.

Cela montre un malentendu fondamental en matière de sécurité.

Je m'attends à ce que la sécurité (de toute sorte) protège mes «affaires» de tout ce qui se trouve en dehors de la limite définie (pare-feu, clôture, porte). Dire qu'il n'est utilisé que pour garder les activités illégales à l'intérieur est fritzl-eqsue.

Réponse polémique - mettre l'adversaire sur la défensive ...

"Êtes-vous en train de dire que nous devrions également mettre toutes nos informations d'identité et financières sur Internet?"

Une réponse plus douce (lorsque vous ne voulez pas nuire à la relation personnelle / professionnelle) serait d'en faire une blague (pour adoucir le jab, pour ainsi dire) ...

"Vous êtes le meilleur ami d'un voleur d'identité!"

Ou, en exprimant la pensée plus formellement , et avec un risque minimal d'offense (par exemple, à votre patron) ...

"Nous pourrions nous exposer à une responsabilité importante si nos données ne sont pas entièrement sécurisées à l'aide de solutions de chiffrement solides mais rentables."

OU

"Nous pourrions tomber en violation de la législation en cours exigeant l'utilisation de la technologie de chiffrement pour sécuriser les données sensibles des clients."

Je dirais "vous rendez le reste d'entre nous moins en sécurité en étant un idiot", et je fais un suivi en faisant référence au fiasco LastPass où ils ont eu une petite brèche qui n'aurait pas été une colline de haricots si tout le monde avait un mot de passe raisonnablement fort. Mais comme quelques bozos avaient des mots de dictionnaire, nous étions tous à (léger) risque.

Donc, si les méchants avaient la base de données, et si les utilisateurs avaient des mots de passe maîtres faibles, alors il y a une possibilité de le faire , sur une certaine durée, une attaque par force brute. Et de manière tellement erronée du côté de la prudence, les gars de LastPass ont dit, d'accord, changez simplement votre mot de passe principal. Nous sommes désolés de vous faire subir les inconvénients. Vous n'avez pas à changer les mots de passe des autres sites, juste le mot de passe principal. De cette façon, rien de ce qui aurait pu être pris, si quelque chose l'était, et nous ne savons pas que quoi que ce soit, rien de ce qui aurait pu être pris ne serait encore vulnérable même à une attaque par force brute.

De: https://www.grc.com/sn/sn-301.htm

Plutôt que de coller l'intégralité de la transcription ici, si vous êtes intéressé, vous peut en lire plus ou écouter le podcast.

L'idée que j'ai retenu de la discussion était que si tout le monde avait un mot de passe maître fort, l'attaque par force brute serait irréalisable . Du point de vue de la théorie cryptographique, je n'ai pas les compétences nécessaires pour expliquer pourquoi, mais si vous consultez le lien, ces informations peuvent être là.

Vous pourriez demander: "Pourquoi avez-vous un code PIN lorsque vous utilisez votre compte bancaire, alors que le simple fait de dire votre nom et votre numéro de compte suffirait?"

Je répondrais que c'est le même raisonnement (fallacieux) que:

"Vous n'avez rien à cacher, n'est-ce pas?"

qui est utilisé par la police pour tromper votre propre consentement des actions illégales de la police contre vous.

Regardez, par exemple: Comment refuser une fouille policière

Comme l'a dit Edward Snowden ( Vidéo): "Faire valoir que vous ne vous souciez pas du droit à la vie privée parce que vous n'avez rien à cacher n'est pas différent que de dire que vous ne vous en souciez pas sur la liberté d'expression parce que vous n'avez rien à dire ".

En tant que citoyen respectueux des lois , vous concluez généralement des accords avec d’autres personnes dans lesquels vous promettez de garder les secrets d’autres personnes.

La plupart des employés laissent leurs employés signer des formulaires dans lesquels l'employé est tenu de protéger certains secrets de son employeur. Lorsque l'employé n'assume pas cette responsabilité en traitant les informations relatives à ses employeurs de manière non sécurisée, il n'est pas un citoyen respectueux des lois .

En Europe, le RGPD oblige de nombreuses personnes à protéger les informations d'autres personnes auxquelles elles ont accès. Il peut être impossible d'être un citoyen respectueux des lois en Europe sans se soucier de la sécurité car les dispositions du RGPD sont faciles à enfreindre.Pour de nombreux professionnels aux États-Unis, il existe également des lois qui les obligent à protéger les informations .

Outre les exigences légales de confidentialité, il existe également des obligations sociales concernant la protection des secrets de vos amis et de votre famille. Si vous violez les secrets de vos amis et de votre famille, vous ne violerez peut-être pas la loi, mais vous violerez les normes éthiques.