La confiance que l'on a envers nos admins

Je m'en rends réellement compte que depuis que j'administre quelques trucs (genre un blog, un forum, un serveur jabber, etc), mais les informations que l'on met entre les mains des admins (en général) sont vraiment importantes.

J'veux dire, la moindre action que l'on fait sur Internet, c'est donner à un administrateur quelconque le pouvoir de faire ce qu'il veut de nos informations.

Les gens en sont généralement conscients, quand les médias parlent des données privées qu'on laisse sur Facebook, etc. (et je parle pas du fait de rendre ces informations publiques, mais de les donner aux admins de Facebook).

Autre exemple, en utilisant MSN on offre toutes nos informations à Microsoft ; mais c'est également vrai pour Jabber : en créant un compte sur jabber.fr par exemple, nos informations (conversations, liste de contacts, etc) transiteront par leurs serveurs et ils pourront donc en faire ce qu'ils veulent (les stocker, les espionner, etc).

C'est en fait vrai pour à peu près tout ce que l'on fait sur internet. Les données sont différentes selon les cas, bien sûr (par exemple en utilisant Google pour mes recherches, je ne leur file pas grand chose, à part mes recherches associées à un IP (ou une boite mail, si je suis chez gmail)), mais il y a toujours un petit quelque chose de personnel que l'on confie à ces chers admins.

Des données auxquelles on pense moins souvent sont, par exemple, les mots de passe. En effet, beaucoup de personnes utilisent un mot de passe unique pour tous leurs services (mail, Jabber, tous les forums et sites où il faut s'inscrire, etc), et ce mot de passe a donc une grande valeur (car elle permet, la plupart du temps, d'accéder à tous les comptes d'une personne donnée). Et bien en s'inscrivant sur un forum quelconque, par exemple, on donne tout simplement ce mot de passe, EN CLAIR, à l'administrateur de ce forum. Il peut alors en fait ce qu'il veut (et le plus souvent, c'est codé dans le logiciel du forum, et ça va directement dans une base de donnée, de façon chiffrée, mais rien n'empêche l'administrateur d'en faire tout à fait autre chose).

Mais les administrateurs ne sont pas que des personnes lointaines, qui nous offrent un service quelconque et qu'on ne verra jamais. On peut aussi avoir un administrateur qui gère, par exemple, le parc informatique de notre entreprise/école. À ce moment-là, tout ce qu'on fait au sein de ce parc est possédé par ces administrateurs. Toutes les pages que l'on consulte depuis notre ordinateur, dans notre bureau, peuvent être surveillées par l'admin (il suffit qu'il ait envie de le faire, et que ça à foutre).

Est-il alors prudent de discuter sur Jabber depuis le boulot, de recevoir des petits mails privés au boulot ? Si, comme beaucoup de monde, votre réaction est « bah, on s'en fout, ça intéresse personne de toute façon », on s'en fout effectivement. Et consulter son compte en banque depuis le travail ?

Vient donc l'interrogation de la confiance que l'on a envers ces admins. « Est-ce que j'ai plus confiance en Microsoft ou en la petite asso à but non-lucratif du coin qui administre un serveur Jabber ? ». « Est-ce que le type qui a fait ce forum ne va pas, un jour, aller voir mon mot de passe et l'essayer sur ma boite mail, mon adresse MSN et mon compte Facebook ? ». « Est-ce qu'il est prudent d'utiliser le même mot de passe partout ? Mais moi je suis déjà nul pour retenir mon code pin, alors 34 mots de passe je te raconte pas. » « Et si je m'hébergeais moi-même, pour être mon propre admin ? Au moins celui-là, c'en est un en qui je peux avoir confiance ! » « Ce site, là, checkmessenger.truc, est-ce que je peux vraiment avoir confiance en lui ? »

Bref, tout ça pour dire rien du tout, au final, j'avais juste envie de faire cette petite réflexion, après chacun en pense ce qu'il veut (du « j'ai rien à cacher » au « j'utilise Tor, je m'inscris sur aucun site, j'utilise pas de messagerie instantanée, et mon serveur mail est chez moi »).

Donc oui, un billet hautement inutile et très mal écrit.