1
Data and Goliath by Bruce Schneier W. W. Norton & Company 320 Pages Hardcover ISBN: 978-0393244816 If you have any interest in computer/data security, you probably already know the name Bruce Schneier. You may have visited his blog, Schneier on Security, or read one of his previous books – which number in double digits – attesting to both his knowledge and longevity in the field. You can find him in many YouTube videos such as NSA Surveillance and What To Do About It - Bruce Schneier. Or maybe take a look at The Schneier Model (Kevin O'Brien, Full Circle Magazine #101, p48). His most recent written offering is Data and Goliath, and will be of interest to those with a need to know, but will likely interest many more – given the growing fear of our Internet-connected world. With an almost daily calamity, exploit or cause for concern, the entire planet knows there is a problem with big data even if we can't articulate its nature. Big doesn't begin to describe how extensive and overwhelming it is, and, more importantly, what it will enable in the future. When machines can predict your actions and reactions better than you can, at what point do we lose control?
Data and Goliath par Bruce Schneier W. W. Norton & Company 320 Pages Livre relié ISBN: 978-0393244816
Si vous avez quelque intérêt dans la sécurité informatique et celle des données, il est probable que vous connaissez déjà le nom de Bruce Schneier. Vous êtes peut-être allé voir son blog, Schneier on Security, ou avez lu un de ses livres - il y en a au moins une dizaine - ce qui démontre à la fois ses connaissances et sa longévité dans le domaine. Vous le trouverez dans beaucoup de vidéos sur YouTube, telle que NSA Surveillance and What To Do About It - Bruce Schneier. (Surveillance par la NSA et ce qu'il faut en faire) Ou regardez Le modèle Schneier (Kevin O'Brien, le FCM n° 101, p. 48). Sa dernière œuvre écrite est Data and Goliath ; elle intéressera ceux qui ont besoin de ces connaissances-là, mais aussi plein d'autres personnes, étant donné la peur croissante de notre monde connecté à l'Internet.
Étant donné les catastrophes, les failles et les raisons réelles d'inquiétude quasi quotidiennes, la planète entière sait qu'il y a un problème avec l'avalanche de données (le « big data »), même si nous n'arrivons pas vraiment à cerner et à exprimer sa nature. « Big » ne décrit que faiblement son importance et son implacabilité ; ni, surtout, ce qu'elle rendra possible à l'avenir. Quand des machines savent prédire nos actions et réactions mieux que nous-mêmes, à quel moment perdons-nous le contrôle ?
2
Nevertheless, Data and Goliath is here to save the day, albeit with some strings attached. His approach is divided into three sections: • The world we're creating • What's at stake • What to do about it. There is no doubt about the immense potential good that this represents, but he asks about the costs and security consequences. Of course plenty of facts are cited but the importance of this book is that he questions everything with the careful eye of someone who knows the field and has the experience to recognize where real balance is needed. For example, he notes that the U.S. National Security Agency does in fact purchase zero-day exploits, and the whole world would be better off if they simply released them to the computer industry for patching. But, he recognizes that a security offense capability may at times be the only viable option, and should exist along with a palpable defense. Thus he suggests the NSA release most exploits and keep a select few for when they are demonstrably needed.
Néanmoins, Data and Goliath vient à notre secours, avec toutefois quelques conditions. L'approche de Schneier comporte trois sections : • Le monde que nous sommes en train de créer. • Les enjeux. • Ce que l'on peut faire.
Il est clair que cela représente un bien potentiel énorme, mais il pose des questions sur les coûts et les conséquences sécuritaires. Bien entendu, il cite de très nombreux faits, mais ce livre est important à cause des questions qu'il pose sur tout, avec l'œil avisé d'une personne qui connaît le domaine et a l'expérience nécessaire pour savoir où un vrai équilibre est nécessaire. Par exemple, il signale que la National Security Agency des États-Unis achète effectivement des failles « Zero-day », mais que le monder entier irait mieux si, tout simplement, elle les donnait à l'industrie informatique pour correction. Il reconnaît toutefois qu'une capacité d'attaque des sites, à but sécuritaire peut, parfois, être la seule option viable et qu'elle devrait exister à côté d'une défense manifeste. Ainsi, il suggère que la NSA rende publique la plupart des failles tout en en gardant quelques-unes, soigneusement sélectionnées, pour le moment où il y en aurait manifestement un grand besoin.
3
While the U.S. has the capacity to arbitrarily save all data, it makes as much sense as the ill-conceived military philosophy expressed as: Kill them all, let God decide. First and foremost, it turns a democracy into a surveilled society which inhibits progress and suppresses conversations considering change. Unfortunately, this tactic is used with purposeful effect on populations around the globe. Schneier explains all facets of this issue including impacts on human rights and liberty. And it's costly. At $72 Billion a year for the U.S., it impacts both domestically and internationally. If you can't trust a country’s security policies and laws, why would you think you can trust software or data security therefrom? Thus the NSA in the U.S. has been likened to “an autoimmune disease, because it attacks all other systems.” And most obvious, if apparently unappreciated, is that the more we save, the more difficult it is to keep it all secure, a problem for which we need no reminders. As noted above, this book can save the day, but only if we are willing to do something about it. Politicians are unwilling to control excess surveillance because without push-back from the electorate, they respond like David Cameron. He said “I am simply not prepared to be a prime minister who has to address the people after a terrorist incident and explain that I could have done more to prevent it.” Schneier makes a critical comparison with organized crime, saying “Terrorists don't cause more damage or kill more people; we just fear them more.”
Les États-Unis ont la capacité de stocker arbitrairement toutes les données, mais le faire serait aussi logique que la philosophie militaire mal conçue exprimée par : « Tuez-les tous et Dieu décidera. » Avant tout, cela remplace une démocratie par une société orwellienne qui freine le progrès et ne permet pas des discussions au sujet du changement. Malheureusement, cette tactique, dont l'effet est ciblé, est utilisée sur des populations dans toutes les régions du monde. Schneier explique tous les aspects de ce problème, y compris ses répercussions sur les droits des hommes et la liberté. En outre, cela coûte très cher. À 72 milliards de dollars par an pour les États-Unis, cela a des conséquences à la fois domestiques et internationales. Si vous ne pouvez pas faire confiance aux politiques et lois sécuritaires d'un pays, pourquoi pensez-vous pouvoir lui faire confiance pour ce qui concerne la sécurité des logiciels et des données ? Ainsi, la NSA aux États-Unis est comparée à « une maladie auto-immune, car elle s'attaque à tous les autres systèmes ». Et le plus évident, même s'il semble que personne ne le prenne en compte, est que, plus on stocke, plus c'est difficile de tout sécuriser, un problème qui ne nécessite pas de rappels.
Comme indiqué ci-dessus, ce livre peut nous secourir, mais seulement si nous avons la volonté de faire quelque chose. Les hommes et femmes politiques ne veulent pas contrôler l'excès de surveillance, car, sans stimulation de leurs électeurs, ils répondent comme David Cameron. Il a dit : « Je ne suis tout simplement pas prêt à être un premier ministre qui doit parler à son peuple après une attaque terroriste et expliquer qu'il aurait pu faire davantage pour la prévenir. » Schneier fait une comparaison critique avec le crime organisé en disant : « Les terroristes ne causent pas davantage de dommages et ne tuent pas davantage de gens ; nous en avons tout simplement plus peur. »
4
Likewise, corporations should be more accountable and not let “Externalities limit the incentive for companies to improve their security.” Without fiscal responsibility, the only ones hurt are those providing the data – who are usually paying for the privilege in one fashion or another. Poor decisions by the very large automotive, air transportation or food processing industries to name a few are nevertheless liable, so why should big data and related industries be any different? Finally, the individual also has to play a larger role until much better security is baked into the industry as a whole. A variety of specific options are noted and worth considering/using by individuals wanting to have an impact. The book is much more than an insightful comprehensive look at the problem, it's also a call to virtual arms with Schneier identifying what Government, Corporations and the Rest of us need to do. Near-term, it can only get worse, but if it doesn’t get better, we have only ourselves to blame.
De la même façon, les grandes entreprises devraient faire preuve de davantage de responsabilité et ne pas laisser les « facteurs externes limiter la motivation des sociétés à améliorer leur sécurité ». Sans la responsabilité fiscale, les seuls qui sont sanctionnés sont ceux qui fournissent les données - et qui paient généralement ce privilège d'une façon ou d'une autre. Les très grandes industries de l'automobile, de l'aviation ou de la transformation alimentaire sont tenues responsables pour les mauvaises décisions qu'elles prennent. Pour quelles raisons le big data et les industries qui l'utilisent devraient-elles être traitées différemment ?
Enfin, l'individu doit, lui aussi, jouer un plus grand rôle jusqu'à ce qu'une bien meilleure sécurité soit établie dans l'industrie entière. Diverses possibilités spécifiques sont présentées et valent la peine d'être considérées/mise en œuvre par des individus qui veulent agir avec efficacité. Ce livre est bien plus qu'un examen approfondi et perspicace du problème, c'est également un appel aux armes virtuelles, car Schneier nous dit clairement ce que le gouvernement, les corporations et nous autres devrons faire. À court terme, cela ne peut qu'empirer, mais si les choses ne s'améliorent pas à la longue, nous ne pourrons nous en prendre qu'à nous-mêmes.