Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Sauf que… sauf que les élèves, malins, demandaient à ChatGPT dans leur prompt… de ne tenir compte que des caractères en noir. Et voilà le début du jeu du chat et de la souris.

Ce qu’enseigne cet exemple, c’est que l’humain est naturellement conçu pour contourner les règles. Avec un bon côté : vous imaginez le petit Albert à six ans à qui on a demandé de ne pas rêvasser dans sa chambre en lisant des histoires de voyage dans le temps, le petit Charles à qui on a signifié qu’il y avait mieux à faire que de zieuter les piafs au fond du jardin (surtout les pinsons) et le petit Isaac à qui on a affirmé que passer son temps à regarder tomber les pommes de l’arbre n’était pas une occupation saine ?

Mais aussi un mauvais côté : on pose des règles, on pense que la règle réduit le risque, et on réalise qu’un couillon a fait exprès de contourner la règle et qu’on a chopé une cochonnerie sur le réseau. Ne pas cliquer sur les liens dans les mails (et tiens, Martine de la compta qui ouvre comme une foldingue les sites de vente de godasses), ne pas aller sur des pages chelous (et tiens, Kevin des services techniques qui clique sur des forums syldavo-bordures spécialisés dans le tuning de motos), ne pas mettre en production la nouvelle version du DPI un vendredi (et tiens, Michel l’ingé système de 59 ans qui en a marre des règles à la c… décrétées par des jeunots de l’âge de son fils, comme l’auditeur SMSI qui balance le MSI avant de partir en congé pour trois semaines).

La bonne nouvelle, c’est que l’on est tous égaux devant l’ânerie. On m’a parlé dernièrement d’un personnage (dont je tairais le nom) qui « a beaucoup de contacts au niveau politique ». Traduction du RSSI (OK, je reconnais, le métier ça déforme) : quand on va lui expliquer que non, on ne peut pas brancher directement le LLM sur le DPI de production, que c’est juste illégal… il va « appeler ses contacts » pour tenter de contourner l’obstacle. Bonjour la galère pour le RSSI, le DPO et le juriste local : soit ils ont la légitimité pour stopper net l’opération, soit ils vont devoir manger une partie de leur chapeau (et en garder un peu pour les autres gugusses « qui ont des contacts »).

Les trois familles de vulnérabilités auxquelles nous devons tous faire face sont : les failles techniques (le pare-feu non patché), les failles humaines non intentionnelles (arnaque au président, phishing bien conçu, etc.) et les failles humaines intentionnelles, catégorie dans laquelle on trouve pas mal de « mais je connais mon métier, euh », « mais j’ai des contacts, euh », « mais on a toujours fait comme ça, euh ».

Pour cette dernière catégorie, particulièrement irritante car totalement évitable, vous avez plusieurs lectures possibles de la situation.
Première lecture, un tantinet extrémiste : sortons les menottes et le martinet à clous rouillés.
Seconde lecture : aller au charbon, avec les moyens de votre situation. Et se préparer à prendre des baffes.

Il y a aussi une troisième lecture : laisser travailler le petit Charles ci-dessus (Darwin). En effet, dans le cas du LLM branché sur le DPI, soit il n’arrive rien et vous aviez raison de ne rien faire, soit à un moment donné une entité qui contrôle s’en rend compte et là, c’est l’ouverture généralisée de la boîte à gifles (note pour moi-même : bien garder les mails, et un export PDF des mails sur mon Drive perso), et ladite entité va faire le boulot à votre place.

Je n’ai fichtre connaissance d’aucune étude qui établisse, dans les vulnérabilités auxquelles nous faisons tous face, la répartition statistique entre les trois catégories mentionnées. Ce qui semble évident pourtant, c’est qu’à force de mettre du MFA partout, du Zero Trust du sol au plafond et des EDR-SIEM-SOC jusque dans les toilettes à l’étage, des sensibilisations et autres tests de phishing en veux-tu en voilà, il y a de grandes chances pour que, sous peu, ce soit la faille humaine volontaire qui devienne majoritaire.

Et, à ce stade, vous avez deux analyses. La première est de se désoler face à l’inconsistance de l’espèce humaine. La seconde, c’est que cette tendance a toujours existé : sûr qu’au paléolithique il y avait des lascars (la version poilue à peau de bête du gaillard « qui a des contacts politiques ») pour truander le partage du quartier de mammouth. Et 200 000 ans plus tard on en est toujours là. Au final, les types du paléolithique n’étaient juste que de minuscules graviers dans le caillou de la chaussure de l’Humanité.

Bon, y a une technique avec ce genre de gugusses, qui consiste à leur refuser obstinément un gadget sans aucune importance pour vous, mais qui va focaliser leur attention et leur ego, et sur lequel ils vont user toute leur énergie et leurs contacts. Au détriment (pour eux) des sujets importants (pour vous) sur lesquels ils pourraient vous enquiquiner, mais dont ils n’ont plus le temps de s’occuper… vu qu’ils sont focalisés sur le gadget en question. Mais ce n’est pas le sujet, d’ailleurs je nierai vous en avoir parlé, d’ailleurs vous ne m’avez jamais vu.