Get best of the week

Informations sur Zero Trust

Google a récemment déplacé tous ses employés en Amérique du Nord pour travailler à distance . C'était l'une des mesures visant à limiter la propagation du SRAS-CoV-2, le virus qui cause la maladie COVID-19. C'est la bonne solution pour toute entreprise qui peut le faire. En outre, Google et un certain nombre d'autres grandes entreprises technologiques envisagent de payer pour une armée de sous-traitants qui servent généralement les employés de l'entreprise.

Cependant, Google a fait un acte encore plus important il y a cinq ans, lorsqu'il a dirigé la transition vers des réseaux à confiance zéro.pour leurs applications internes. La plupart des autres sociétés technologiques ont emboîté le pas. Et bien que cela n'ait pas été fait pour que les employés travaillent à domicile, cela a maintenant facilité le transfert de personnes vers un endroit éloigné en peu de temps.

Réseau Zero Trust


En 1974, Vint Cerf, Yogen Dalal et Carl Sunshine ont publié un ouvrage révolutionnaire appelé Specification of Internet Transmission Control Program. D'un point de vue technologique, ce travail a jeté les bases de la spécification du protocole TCP sur lequel Internet est construit. Le fait que le terme «Internet» ait été proposé dans l'ouvrage n'est pas moins remarquable. Cela s'est produit par hasard: la majeure partie du travail a été consacrée au programme de gestion de la transmission «interréseau» et des paquets «interréseau»: les réseaux existaient déjà et il fallait trouver comment les relier entre eux.

Au départ, les réseaux étaient commerciaux. Dans les années 80, Novell a créé un "système d'exploitation réseau" composé de serveurs locaux, de cartes réseau et d'une application PC. Le système vous a permis de créer des réseaux au sein de grandes entreprises pour échanger des fichiers, partager des imprimantes et d'autres ressources. En conséquence, la position de Novell sur le marché a été minée par l'introduction de fonctionnalités réseau dans les systèmes d'exploitation clients, la distribution de cartes réseau, des erreurs de gestion du canal de distribution et l'offensive à grande échelle de Microsoft. Cependant, le modèle intranet d'entreprise lui-même avec des ressources partagées a été préservé.

Cependant, le problème était également lié à Internet lui-même: la connexion d'au moins un ordinateur du réseau local à celui-ci signifiait que tous les autres ordinateurs et serveurs de cet intranet étaient effectivement connectés à Internet. Pour résoudre le problème, ils ont proposé un système de sécurité basé sur la protection du périmètre (approche château-et-fossé, château-et-fossé): les entreprises doivent déployer des pare-feu pour se protéger de l'accès aux réseaux internes de l'extérieur. Le sens est double: si vous êtes sur l'intranet, ils vous font confiance, s'ils sont à l'extérieur, alors ils ne vous font pas confiance.


Mais il y avait deux problèmes:

  1. Si un attaquant pénètre dans le pare-feu, il aura accès à l'ensemble du réseau.
  2. Si un employé n'est pas physiquement au bureau, il n'a pas accès à l'intranet.

Pour résoudre le deuxième problème, ils ont mis au point une technologie VPN (réseau privé virtuel) qui, grâce au chiffrement, permet aux ordinateurs des travailleurs distants d'agir comme s'ils étaient physiquement situés sur le réseau de l'entreprise. Mais la contradiction fondamentale qui se manifeste dans ces deux problèmes est beaucoup plus importante: vous devez fournir un accès de l'extérieur, en gardant les étrangers à l'extérieur.

Ces problèmes ont été dramatiquement exacerbés par trois grandes tendances de la dernière décennie: les smartphones, l'approche SaaS (Software-as-a-Service) et le cloud computing. Aujourd'hui, au lieu de vendeurs aléatoires ou de patrons itinérants qui doivent connecter leur ordinateur portable au réseau d'entreprise, chaque employé a littéralement un appareil mobile avec une connexion permanente à l'intranet. Désormais, au lieu d'accéder aux applications hébergées sur le réseau interne, les employés ont besoin d'accéder aux applications hébergées par le fournisseur SaaS. Désormais, au lieu de se déployer localement, les ressources de l'entreprise sont hébergées dans des clouds publics. Quel fossé peut couvrir tous ces scénarios?

Vous ne devriez même pas essayer: au lieu d'essayer de tout mettre à l'intérieur du château, mettez tous ses intérieurs à l'extérieur du fossé, et considérez que tout utilisateur peut être une menace. D'où le nom: un réseau de confiance zéro.


Avec ce modèle, la confiance est au niveau d'une personne vérifiée: l'accès (généralement) dépend de l'authentification multifacteur (par exemple, un mot de passe et un appareil de confiance ou un code temporaire). Et même après l'authentification, une personne n'a accès qu'à un très petit nombre de ressources ou d'applications. Ce modèle vous permet de résoudre tous les problèmes caractéristiques de l'approche château-et-fossé:

  • En l'absence de réseau interne, il ne peut pas y avoir d'attaquant externe ou d'employé distant.
  • L'authentification individuelle peut être mise à l'échelle côté utilisateur vers les appareils et applications au sein des ressources locales, vers les applications SaaS et les clouds publics (en particulier ceux qui sont mis en œuvre en utilisant le principe de l'identification d'un seul utilisateur, comme Okta ou Azure Active Directory).

En bref, le calcul de confiance zéro commence par des hypothèses sur Internet: tout et tout est connecté, bon ou mauvais. De tels calculs sont caractérisés par des coûts de transaction nuls pour la prise de décision continue sur la fourniture d'accès à un niveau beaucoup plus distribué et finement dispersé que celui réalisable avec le support physique de la sécurité de l'information, ce qui crée une contradiction fondamentale qui sous-tend le schéma controversé avec une serrure et un fossé.

Châteaux et douves


Le modèle de verrouillage et de fossé ne se limite pas aux seules données d'entreprise. C'est dans ce paradigme que les communautés ont pensé aux informations de l'époque, des ghm, des châteaux et des douves. L'automne dernier, j'ai écrit dans The Internet and the Third Estate :

Au Moyen Âge, la principale structure organisationnelle en Europe était l'Église catholique. Elle avait de facto le monopole de la diffusion de l'information: la plupart des livres étaient en latin et copiés manuellement par les moines. Il y avait une certaine parenté ethnique entre les différents représentants de la noblesse et les roturiers sur leurs terres, et sous l'égide de l'Église catholique, il y avait principalement des cités-États indépendantes.

Avec écluses et douves!

Tout a changé après l'invention de la presse à imprimer. Il s'est avéré tout à coup que Martin Luther, dont la critique de l'Église catholique s'est avérée être complètement analogue à celle proclamée par Jan Hus cent ans plus tôt, n'était pas limité à une petite zone lors de la diffusion de ses vues (dans le cas de Hus, c'était Prague), mais il a pu embrasser toute l'Europe avec ses idées. Noble en a profité pour interpréter la Bible conformément aux intérêts à court terme, éloignant progressivement l'Église catholique du gouvernement.

Cela a conduit à l'émergence de nouveaux tuteurs:

Tout comme l'Église catholique a maintenu son contrôle sur l'information, la méritocratie moderne a fait de même, non pas tant en contrôlant la presse qu'en l'intégrant dans un consensus national plus large.

Encore une fois, l'économie a joué un rôle: bien que les livres soient encore vendus à but lucratif, au cours du siècle et demi écoulé, les journaux ont commencé à lire davantage, puis la télévision est devenue le média dominant. Cependant, tous ces éléments sont des vecteurs de la «presse», qui est généralement financée par des publicités inextricablement liées aux grandes entreprises ... Au sens large, la presse, les grandes entreprises et les politiques opèrent dans le cadre d'un consensus national général.

Cependant, Internet est devenu une menace pour la deuxième classe de tuteurs, permettant à chacun de publier:

, , . , . , : . , :

— , . , , .

Il est difficile de surestimer toute l'étendue de cette sous-estimation. Je viens de vous dire comment l'imprimerie a permis de renverser le Premier État, ce qui a conduit à l'émergence d'États-nations, à la création et au renforcement de la nouvelle noblesse. Et les conséquences du renversement du Second Estate par le renforcement des roturiers sont presque impossibles à imaginer.

Les tuteurs d'aujourd'hui sont sûrs qu'il s'agit d'un désastre et d'une "désinformation". Tout, des adolescents macédoniens aux services secrets russes, partisans et politiciens, est perçu comme des menaces existentielles, et les raisons sont claires: le modèle médiatique moderne repose sur le fait que ces médias sont la principale source d'information. Et s'il y a de fausses informations, alors la société est confrontée à la désinformation?

Conséquences d'une information accrue


Bien sûr, le problème est que si nous nous concentrons sur la désinformation - et elle existe certainement - alors nous perdons de vue l'autre partie de la formule «propre à l'éditeur»: il y a eu une augmentation explosive de la quantité d'informations vraies et fausses. Supposons que toutes les informations publiées soient conformes à la loi de la distribution normale (j'utilise ce concept uniquement à titre d'illustration et ne prétends pas que cela soit vrai. Évidemment, en raison de la facilité de génération d'informations, il y aura plus de désinformation):


Avant Internet, la quantité totale de désinformation sera faible en termes relatifs et absolus, car la quantité totale d'informations est faible:


Mais grâce à Internet, la quantité totale d'informations est devenue si grande que même si la part de la désinformation est restée à peu près au même niveau, sa quantité absolue a augmenté très fortement:


Par conséquent, aujourd'hui, il est beaucoup plus facile de trouver de fausses informations et les moteurs de recherche sont très utiles à cet égard. Il est donc facile d'écrire des histoires comme cet article dans le New York Times :

Alors que le coronavirus se propage à travers le monde, la désinformation se répand à ce sujet, malgré l'opposition active des sociétés de développement de réseaux sociaux. Facebook, Google et Twitter ont déclaré qu'ils supprimaient les fausses informations sur le coronavirus dès leur découverte et qu'ils travaillaient avec l'Organisation mondiale de la santé et diverses organisations gouvernementales pour protéger les gens contre les informations inexactes.

Cependant, dans une étude du New York Times sur chacune des plateformes sociales, des dizaines de vidéos, photographies et textes similaires ont été trouvés qui pénètrent les projections. Les textes sont écrits non seulement en anglais, la gamme varie de l'hindi et de l'ourdou à l'hébreu et le persan, suivant la trajectoire du virus voyageant à travers le monde. La diffusion d'informations fausses et malveillantes sur le coronavirus a été un rappel sévère de la lutte à laquelle ont participé les chercheurs et les sociétés Internet. Même si les entreprises doivent défendre la vérité, elles sont souvent dépassées et battues par des menteurs et des voleurs sur Internet. Il y a tellement d'informations inexactes sur le virus que l'OMS dit qu'il est confronté à une «infodémie».

J'ai également écrit dans la mise à jour quotidienne :

C'est ce que nous dit l'expression «lors de l'étude du New York Times»: le pouvoir de rechercher dans l'abondance d'informations mondiales réside dans le fait que vous pouvez trouver tout ce que vous voulez. Sans surprise, le New York Times voulait trouver de la désinformation sur les principales plateformes technologiques, et encore moins surprenant, les journalistes l'ont trouvée.

Mais je trouve beaucoup plus intéressant ce qui se trouve de l' autre côté de la distribution. Bien sûr, le fait qu'Internet permette à quiconque d'être éditeur a entraîné une augmentation de la quantité absolue de désinformation, mais il en va de même pour les informations précieuses qui n'étaient pas disponibles auparavant:


Il est difficile de trouver un exemple plus adapté que les deux derniers mois de distribution de COVID-19. De janvier à nos jours, de nombreuses informations apparaissent sur Twitter concernant le SRAS-CoV-2 et COVID-19, y compris des articles de soutien et des liens vers des articles médicaux publiés à des vitesses incroyables et souvent en contradiction avec les médias traditionnels . En outre, de nombreux experts expriment leur point de vue, notamment des épidémiologistes et des responsables de la santé.

Au cours des dernières semaines, ce réseau en plein essor a commencé à tirer la sonnette d'alarme sur la crise qui a frappé les États-Unis. Grâce à Twitter uniquement, nous avons appris que cette crise a commencé il y a longtemps (retour à l'illustration avec une distribution normale, l'impact diminue à mesure que la quantité d'informations augmente).

Histoire d'étude sur la grippe à Seattle


Les informations les plus importantes sur la crise du COVID-19 aux États-Unis sont peut-être les rapports de Trevor Bedford , membre de l'équipe de recherche sur la grippe de Seattle:





Vous pouvez établir un lien direct entre ces messages et l'exclusion sociale généralisée, en particulier sur la côte ouest: de nombreuses entreprises sont passées au travail à distance, l'industrie du voyage s'est levée, les conférences ont été annulées. Oui, il devrait y avoir plus d'informations, mais chaque petite chose aide . Les données reçues non pas de responsables ou de tuteurs, mais de Twitter, sauveront des vies.

Cependant, il convient de noter que ces décisions ont été prises en l'absence de données officielles. Le président a minimisé la crise imminente pendant des semaines, et le CDC et la FDA ont attaché leurs mains aux laboratoires publics et privés, malgré le fait qu'ils étaient complètement vissés avec des kits de test qui aideraient à identifier un nombre important et en augmentation rapide de cas. Incroyable maisselon les documents d'un article du New York Times , l'équipe de Bedford a également mis des bâtons dans les roues:

[Fin janvier] Le Département de la santé de l'État de Washington a commencé à discuter d'une étude en cours sur la grippe de Seattle dans l'État. Mais il y avait un problème: le projet impliquait principalement des laboratoires de recherche, pas des laboratoires cliniques, et leurs tests pour le coronavirus n'étaient pas approuvés par la Food and Drug Administration. Par conséquent, le groupe n'était pas autorisé à fournir les résultats des tests à quiconque autre que les chercheurs eux-mêmes ...

Les responsables du CDC ont réitéré à plusieurs reprises que ce n'est pas possible [pour vérifier le coronavirus]. "Si vous souhaitez utiliser vos tests comme outil de dépistage, vous devez les vérifier à la Food and Drug Administration", a déclaré le 16 février Gail Langley, une employée du National Center for Immunization and Respiratory Diseases. Cependant, le Bureau n'a pas pu donner son approbation parce que le laboratoire n'était pas certifié comme clinique conformément aux exigences des centres de prestation de services médicaux et de soins médicaux. Et le processus de certification pourrait prendre des mois.

En conséquence, les chercheurs sur la grippe de Seattle dirigés par le Dr Helena Chu ont décidé d'ignorer le CDC:

, , , , . , , …

« », — . « , ». …

C.D.C. F.D.A. . . « », — . « ».

Néanmoins, une découverte alarmante a changé d'avis des responsables au sujet de l'épidémie. Les participants à une étude sur la grippe de Seattle ont rapidement isolé le génome du virus et découvert une variation génétique, également présente dans le premier cas d'infection à coronavirus du pays.

Ainsi a commencé la tempête déclenchée par Bedford, et la réponse des entreprises privées et des particuliers. Et même s'ils ont réagi quelques semaines plus tard qu'ils ne le devraient, cela s'est néanmoins produit bien plus tôt que cela n'aurait été le cas dans le monde des observateurs de l'information.

Internet et vérification personnelle


Comme vous le savez, Internet est né du projet ARPANET du département américain de la Défense. C'est le réseau pour lequel Surf, Dalal et Sunshine ont développé TCP. Cependant, contrairement au mythe populaire, l'objectif n'était pas de créer un réseau de communication résistant à une attaque nucléaire. Tout était plus prosaïque: peu d'ordinateurs performants étaient à la disposition des chercheurs, et l'Agence de recherche avancée pour la défense (ARPA) voulait en faciliter l'accès.

Bien que la popularité de la théorie d'une attaque nucléaire ait des raisons. Tout d'abord, il y avait de la motivationpour l'étude théorique de la commutation de paquets, qui est devenue le protocole TCP / IP. Deuxièmement, le fait même de la stabilité d'Internet: malgré les efforts des gardiens, toute information circule librement dans le réseau (à l'exception de la Chine). Y compris la désinformation, mais aussi des informations très précieuses. Dans le cas de COVID-19, cela améliore légèrement un problème très grave.

Cela ne signifie pas que la disponibilité d'Internet nous aidera à résoudre tous les problèmes, à la fois dans le monde et dans l'histoire des coronavirus. Mais lorsque nous sortirons de cette crise, nous devrons nous souvenir de l'histoire de Twitter et des héroïques chercheurs de la grippe de Seattle: une centralisation et une bureaucratie excessives ont empêché la recherche critique. Et pour accélérer l'étude, la rétroaction des gens et des entreprises de tout le pays a été facilitée par le sens du devoir des scientifiques et le fait que n'importe qui peut publier sur Internet.

Par conséquent, au lieu de lutter contre Internet - en créant des verrous et des fossés autour de l'information, avec toutes sortes de compromis fous - il vaut la peine de considérer quels avantages l'adoption de la situation peut apporter? Tout indique que les jeunes comprennent l'importance de la vérification personnelle. Par exemple,il s'agit d'une étude du Reuters Institute d'Oxford :

Au cours de nos entretiens, nous n'avons pas constaté de crise de confiance dans les médias, dont nous entendons souvent parler chez les jeunes. Il existe une méfiance générale à l'égard de certaines opinions politisées, mais il existe également une note élevée pour certaines de vos marques préférées. Les fausses nouvelles sont davantage perçues comme une nuisance qu'une crise de la démocratie, d'autant plus que l'ampleur des problèmes ne correspond pas à l'attention qui leur est accordée. Par conséquent, les utilisateurs ressentent la force de limiter ces problèmes.

Toujours dans cette étude, il s'est avéré que les réseaux sociaux montrent plus de points de vue que les actualités hors ligne. Et les auteurs d' une autre étude pensent que la polarisation politique est plus prononcée chez les générations plus âgées, qui utilisent moins Internet.

Je le répète, je ne dis pas que tout est en ordre, ni dans l'histoire du coronavirus à court terme, ni dans les réseaux sociaux et la transmission directe d'informations à moyen terme. Mais il y a encore des raisons d'être optimiste et de croire que la situation s'améliorera. Plus vite nous accepterons l'idée que la réduction du nombre de tuteurs et l'augmentation de la quantité d'informations entraîneront une augmentation de l'innovation et des bonnes idées proportionnellement au flux de désinformation que les jeunes qui ont grandi à l'ère d'Internet apprennent déjà à ignorer.

More articles:


All Articles