Les failles du Cloud auxquelles PICK-A-JOY doit répondre

Chiffrement, méthode de défense, architecture plus sécurisée, comprendre les méthodes d'attaques pour protéger nos utilisateurs etc...
Avatar de l’utilisateur
Adrien lab
Site Admin
Messages : 46
Inscription : ven. févr. 19, 2016 4:30 pm
Champ anti-bot : Nommez votre ville préférée : LYON
Contact :

Les failles du Cloud auxquelles PICK-A-JOY doit répondre

Messagepar Adrien lab » mer. mars 30, 2016 10:24 am

Source de cet article > http://cloud-computing.developpez.com/actu/97105/Quels-sont-les-risques-de-securite-majeurs-du-cloud-computing-Une-etude-du-CSA-en-revele-douze/
Quels sont les risques de sécurité majeurs du cloud computing ?
Une étude du CSA en révèle douze
Le 22 mars 2016, par Siguillaume, Community Manager

1 - Fragilité dans la gestion des accès et des identités - 13.16%
La réponse est la même que pour Protonmail, les utilisateurs de PICK-A-JOY (logiciel) ont un compte auprès de Simone (notre serveur central). Ce compte ne permet que d'accéder à la fenêtre de déchiffrement des informations en local. Là, l'utilisateur entre son mot de passe de chiffrement. Le compte seul ne permet rien. Nous pouvons envisager dans un futur développement une validation de l'identité à travers notre application mobile PICK-A-JOY's App.

2 - Brèche de sécurité au niveau des Datacenters - 11.84%
C'est notre point fort et il est vital que nous le conservions. Simone ne possède rien de personnel à moyen et long terme. À court terme, elle conserve les données en attente de connexions du destinataire [@] [M] [invitations] etc... Ces données ont été chiffrées avec les clefs des utilisateurs ET elles sont à nouveau chiffrées par Simone. (tous les logiciels ont la clefs publiques de SImone). C'est précisément sur ce point que [POISSON-ROUGE] doit être infaillible. Ne pas perdre de données en attente de transit et ne surtout pas garder les données qui ont déjà atteint leur destinataire. La stratégie est simple, il doit être absurde et vain de pirater Simone.

3 - Perte de données - 11.84%
C'est un point super sensible sur lequel PICK-A-JOY n'apporte pas encore de solution définitive mais seulement une architecture souhaitée. Simone n'ayant rien, les données n'existent qu'en une seule version sur la machine locale de l'utilisateur. Il est envisagé de faire 4 autres copies des données chiffrées avec la clef utilisateur chez les autres utilisateurs (hachage) et bien entendu, chiffrées avec la clef de Simone. Toute la difficulté est de retrouver un outils de type BitTorrent Sync (pas lui car propriétaire) et de l'inclure au sein du logiciel. Lorsque ces mises à jour de sauvegarde se font, c'est la pastille verte ET la pastille bleue qui tournent en même temps dans la barre rouge.

4 - Piratage de compte - 10.53%
Le site internet final contiendra une page pour enseigner comment faire un bon mot de passe. Aucune contrainte de mot de passe ne sera demandé sauf la quantité de caractère minimum (9). Nous savons très bien qu'avec de fortes contraintes de type, min. 5 lettres, min. une capitale et min. un caractère spécial on finit tous avec france123+ ou pas loin. Il est invisagé de lier les comptes avec une information physique de la machine sur lequel le logiciel tourne. L'accès à partir d'une autre machine devrait requérir une validation par email via PICK-A-JOY's App.

5 - Action malveillante initiée, en interne, dans les effectifs du fournisseur - 10.53%
C'est aussi un de nos points forts. Dans la mesure où tout est chiffré en local chez l'utilisateur, quand bien même nous serions malveillant en interne, nous n'avons pas la clef de chiffrement des utilisateurs. Il en va de même pour les fournisseurs d'accès à Internet. Cela n'empêche personne de quand même passer par la FDN bien entendu http://www.fdn.fr/

6 - Utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud - 10.53%
Tout le travail d'écrire un logiciel unifié consiste à justement ne pas avoir de failles (le moins possible, restons lucides), d'incohérences entre les différentes parties du logiciel et de ne pas pousser l'utilisateur à inclure des technologies non souhaitables (vérolées, propriétaires ou pire "made in cupertino"). C'est pour ce genre de problème que le liens avec les utilisateurs doit être fort, permanent et évident pour tous les utilisateurs

7 - Utilisation frauduleuse des technologies cloud en vue de se cacher et perpétuer des attaques - 9.21%
C'est notre point noir. La malveillance de l'un de nos utilisateurs. Cette question est au cœur de nos réflexions depuis la naissance du projet en 2014. Trois choses ont été mises en place pour nous en prémunir. Les notes de confiance, que chaque utilisateur peut donner à d'autres utilisateurs après une rencontre IRL. Il y a ensuite le fait que l'accès soit payant. Nous pensons que les malveillants légers, les lourds et les blaireaux (hommes ET femmes) ne voient pas l'intérêt de payer pour nuire. Nous comptons sur le fait que la bêtise humaine s'exprime moins quand il y a un rapport à l'argent. Et la troisième voie est bien sûr la classique dénonciation de profil. Nous souhaiterions que ce soit en dernier recours. Le dialogue étant notre priorité. Nous souhaiterions que le besoin en modération soit le plus minime possible et que PICK-A-JOY soit un réseau d'adultes autonomes et responsables.

8 - Exploitation de vulnérabilités des systèmes d’exploitation et des applications hébergées - 9.21%
Problème spécifique de l'hébergement distant résolu par l'architecture P2P de PICK-A-JOY

9 - Insuffisances dans les stratégies d'entreprise d’adoption ou de passage au cloud - 7.89%
Nous ne passerons jamais au Cloud. Le nuage n'existe pas, c'est l'ordinateur de quelqu'un que vous ne connaissez pas. Nous pouvons en apprendre de cette expérience mais nous ne le ferons jamais. PICK-A-JOY est né pour nous libérer des multinationales (et donc des fournisseurs d'accès et d'espace), le simple fait que nous ayons choisi le chiffrement local nous pousse au P2P et nous éloigne du Cloud

10 - Failles liées à l’hétérogénéité des technologies imbriquées - 1.32%
C'est précisément la raison pour laquelle nous avons besoin de vous tous. PICK-A-JOY un LEGO (marque déposée) complexe et immense, toutes les compétences sont les bienvenues ! Toutes le svigilences et les essais sont de rigueurs. Nous n'avons rien à cacher, si nous nous trompons, nous avons un besoin inaltérable de ces retours car nos utilisateurs sont notre seule et unique motivation

11 - Attaque par déni de services - 1.32%
PICK-A-JOY peut fonctionner plusieurs jours sans Simone. Certaines fonctions seront indisponibles comme l'inscription de nouveaux membres, la communication entre membres non connectés en même temps, le renouvellement d'accès à la fin des trente jours glissants.(sauf pour les utilisateurs qui ont choisi le paiement d'avance à l'année)...

12 - Menaces persistantes avancées - 1.32%
PICK-A-JOY est payant. Il y a une très bonne raison à cela. Nous avons besoin de salarier les bonnes personnes. Celles qui nous protègent tous en maintenant la fiabilité et la sécurité du réseau. Celles qui intègrent rapidement les besoins des utilisateurs, celles qui font évoluer notre écosystème avec les progrès technologiques dans le respect de nos valeurs et des principes fondateurs. Il n'y a pas d'autre façon de se défendre qu'avec des personnes très qualifiées, du temps et un goût marqué pour la cyberdéfense.
C'est n'est pas parce que nous n'avons rien à cacher, qu'ils peuvent tout fouiller : c'est au contraire parce que je suis innocent que PERSONNE n'a le droit de me surveiller !

Revenir vers « Sécurité »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités