Évaluation de la sécurité des logiciels grand public : devrions-nous suivre l'exemple de la NHTSA ?

Évaluation de la sécurité des logiciels grand public : devrions-nous suivre l'exemple de la NHTSA ?

Horodatage: 16 novembre 2023 1:00
Nœud source: 2385313

La National Highway Traffic Safety Administration (NHTSA) des États-Unis se consacre à mission: « pour sauver des vies, prévenir les blessures et réduire les coûts économiques dus aux accidents de la route, grâce à l’éducation, à la recherche, aux normes de sécurité et à l’application des règles. » Est-il temps de créer une organisation similaire dédiée à la sécurité des logiciels grand public ? La mission serait assez similaire : garantir que les logiciels répondent aux normes de base en matière de sécurité et de sûreté et sont faciles à comprendre, à mettre en œuvre et à maintenir pour les consommateurs.

Aujourd’hui, les voitures doivent répondre à une norme de sécurité de base avant d’être autorisées à la vente au public, ce qui n’est pas le cas des logiciels. Comment pouvons-nous permettre à chaque Américain de se protéger plus facilement et de protéger ses données contre les crimes numériques ?

Répondre aux besoins fondamentaux en matière de sûreté et de sécurité

L'application Android d'Uber a plus de 10 millions de lignes de code (au lancement, il n'en comptait qu'environ 10,000 12), soit presque autant que le système d'exploitation typique d'un smartphone, qui compte environ XNUMX millions de lignes de code. Sur les smartphones, des milliers de paramètres sont disponibles. Beaucoup affectent la sécurité et la confidentialité et sont configurables par les utilisateurs finaux, ce qui est important pour la plupart des utilisateurs. Malheureusement, de nombreux utilisateurs de logiciels et d'appareils ne réalisent pas qu'ils doivent examiner attentivement chacune de ces configurations. Non seulement parce que le mauvaise configuration pourrait les exposer à des attaquants potentiels, mais aussi pour les protéger contre les tentatives légitimes d'utiliser leurs données d'une manière qui pourrait les exposer plus qu'ils ne le pensent.

Peu de logiciels et d’appareils protègent par défaut les utilisateurs contre toute exposition à des attaques ou à un accès trop permissif aux données, ce qui fait des consommateurs une cible facile pour les acteurs malveillants. Pour augmenter la sécurité des logiciels, des fonctionnalités de sécurité doivent être mises en place par défaut, mais les utilisateurs doivent également utiliser ces fonctionnalités pour qu'elles soient efficaces.

Création d'évaluations de sécurité

L’un des problèmes liés à la sécurité des logiciels grand public est que les fabricants de logiciels et d’appareils n’avertissent pas les utilisateurs du danger lié à leur utilisation avec la configuration par défaut. De nombreuses agences de notation informent leurs clients du profil de sécurité de leur véhicule. La NHTSA fournit des évaluations de sécurité des véhicules afin que les consommateurs puissent choisir les véhicules les plus sûrs et se renseigner facilement sur les rappels. Il existe également l'Insurance Institute for Highway Safety (IIHS), une organisation indépendante à but non lucratif qui mène des recherches et des évaluations pour éduquer les consommateurs, les décideurs politiques et les professionnels de la sécurité. Les consommateurs peuvent utiliser les informations de ces organisations pour équilibrer les fonctionnalités qu'ils souhaitent avec des fonctionnalités de sécurité critiques. Cela permet aux consommateurs de faire un choix conscient en matière de fonctionnalité et de sécurité lorsqu'ils choisissent un véhicule.

Naturellement, c'est une tâche ardue pour les développeurs de logiciels que d'effectuer des tests logiciels exhaustifs pour identifier et corriger tous les bogues possibles avant la sortie. C'est un processus fastidieux, complexe et sujet aux erreurs. Malgré cela, la Maison Blanche a exhorté amélioration de la supply chain logicielle à l'article 4 de la Décret exécutif sur l'amélioration de la cybersécurité de la nation. Bien qu'il soit difficile (et peut-être impossible) de publier un logiciel sans bug, il n'est pas difficile d'avertir les clients qu'ils doivent revoir et modifier les paramètres par défaut.

Cet avertissement doit accompagner chaque application logicielle et chaque appareil. Idéalement, il devrait être plus accessible qu’une longue page de conditions générales difficile à analyser ou qu’un petit morceau de papier mal traduit dans la boîte de l’appareil. Il doit être facile à lire et à comprendre d’un seul coup d’œil, plutôt que de nécessiter une loupe, une familiarité avec le jargon juridique et beaucoup de patience.

En plus d'avertir les consommateurs que l'utilisation de la configuration par défaut d'une application peut être risquée, nous pourrions évoluer vers un système de notation qui permettrait aux consommateurs de savoir que ce qu'ils achètent est intrinsèquement risqué, afin qu'ils puissent sciemment faire les mêmes compromis qu'ils font lors de la sélection. un véhicule. Par exemple, un système de notation pourrait prendre en compte :

  • La manière dont un système d'exploitation ou une application particulière a été attaqué dans le passé.
  • Le nombre de correctifs de sécurité requis au fil du temps pour rendre l'application plus sécurisée.
  • Les fonctionnalités de sécurité de l'application, telles que le cryptage, l'authentification et l'autorisation.
  • Les pratiques de confidentialité de l'organisation, y compris la manière dont elle collecte et utilise les données des utilisateurs.

Cela pourrait éloigner un utilisateur d’un produit – ou au moins accroître sa conscience de son profil de sécurité au fil du temps. Par exemple, certains Les navigateurs Internet sont bien connus pour être intrinsèquement plus risqués que d’autres. Et s’ils présentaient dès le départ une note de sécurité ? Les utilisateurs peuvent s’appuyer sur cette évaluation pour décider s’ils sont prêts à faire un compromis entre fonctionnalité et sécurité.

Le rôle du consommateur dans la sécurité des logiciels

Avec autant de logiciels entre les mains des utilisateurs chaque jour, il est impératif pour eux de lancer leur propre examen de la sécurité et de la confidentialité des logiciels et des appareils qu'ils utilisent. La plupart des utilisateurs se concentrent uniquement sur la configuration des fonctionnalités et des applications qui sont importantes pour eux. Bien que certaines soient des fonctionnalités d'utilisation importantes, les utilisateurs doivent également se rendre compte qu'il y a beaucoup plus à faire. Les applications qu’ils utilisent interagissent avec les paramètres du système d’exploitation, ce qui peut les exposer à un risque plus élevé.

Notre rôle en tant qu'éducateurs en sécurité et fournisseurs de logiciels doit être d'inciter les utilisateurs à revoir tous les paramètres par défaut des nouveaux logiciels et appareils prêts à l'emploi et à apporter les modifications appropriées. Malheureusement, c’est loin d’être une tâche facile pour la plupart des utilisateurs.

Actuellement, il existe des guides disponibles pour aider les utilisateurs à naviguer dans la configuration des paramètres les plus importants, ce qui leur donne la possibilité de décider de l'équilibre entre fonctionnalité, sécurité et confidentialité. Par exemple, Consumer Reports a publié son «Guide sur la sécurité numérique et la confidentialité» pour aider les consommateurs à rester en sécurité en ligne, à contrôler le suivi en ligne et à protéger les téléphones et les ordinateurs portables contre les attaquants. Bien que ces guides soient utiles, trop peu d’utilisateurs les lisent et en profitent. Un système de notation de sécurité simple qui s'aligne sur des critères plus larges politiques de cybersécurité de l'administration actuelle pourrait garantir que les consommateurs comprennent les bases pour assurer leur sécurité, ainsi que celle de leurs logiciels et appareils.

Horodatage:

Plus de Lecture sombre