« Dérapage sémantique | Anniversaire » |
Vous le savez, ou vous ne le savez pas, je fais actuellement des piges dans une entreprise — que dis-je une start'up au mauvais sens du terme — qui considère que ses produits doivent être créés dans le secret le plus absolu.
En soit, c'est louable.
Il y a juste quelques petites choses qui me dérangent. D'une part ses produits sont fabriqués en Chine et pour éviter de se faire voler sa technologie par les chinois, l'équipe de développement en arrive à chiffrer les programmes embarqués sur les microcontrôleurs à l'aide d'une carte SIM vendue séparément et associée à un équipement précis. Autant ne pas chiffrer parce que les microcontrôleurs exécutent des programmes en clair, donc à un endroit ou un autre l'algorithme de déchiffrement en clair puisqu'il ne peut pas se déchiffrer lui-même, et que rien n'empêche un chinois mal intentionné d'acheter à la fois un produit et la carte SIM correspondante et de faire ce qu'on appelle assez plaisamment d'ailleurs du reverse. La clef étant connue, il suffit de percer l'algorithme utilisé pour récuperer tous les bouts de programmes embarqués. Passons, ce n'est qu'une question de temps.
D'autre part, cette entreprise n'a pas investi dans un serveur de messagerie propre et sécurisé. Elle utilise Gmail… Donc un service parfaitement sécurisé qui ne passe pas par les caves de la NSA et qui permet d'envoyer à tous les sous-traitants les secrets de fabrication, les plans et tous les documents confidentiels et nécessaires.
Ce ne serait pas risible sans la présence d'un officier de sécurité (sic) qui vient nous rappeler régulièrement à grands renforts de slides ce qu'il faut faire pour éviter de dévoiler des informations à des tiers ou à des concurrents.
Commencez donc par utiliser des services sécurisés en interne. Cela ne coûte pas plus cher. Et cela éviterait des fuites.