flanker (./50789) :Sur certains dossiers (particulièrement quand ça concerne l'État), ils n'ont qu'un avis consultatif.
L'utilisation est définie par la loi et derrière tu as des instances de contrôle (type CNIL — j'avoue que je ne sais pas ce qu'ils valent).
flanker (./50789) :On est d'accord, ce n'est pas tout blanc ou tout noir
Quant à la sécurité, il ne faut pas qu'elle ne repose *que* sur l'obscurité (en l'occurrence la méconnaissance de l'architecture du système), évidemment, mais dévoiler l'architecture du système est rarement une bonne idée pour autant, bien au contraire. La sécurisation d'un réseau se fait à tous les niveaux et le fait de cacher l'architecture est une des briques.
D'une part, connais-tu beaucoup d'organisations qui ont mis à disposition sur internet l'architecture complète de leur réseau, avec tous les points bien critiques (serveurs VPN, d'authent, de configuration, …) ? Ça serait pourtant pas mal pour savoir où taper précisément pour faire tomber le système
flanker (./50789) :Il y a des experts en sécurité indépendants (Bruce Schneier par exemple).
D'autre part, honnêtement, qui :
* est capable d'analyser ce genre de système (il y a des chances que ça soit plutôt complexe et avec des logiciels ou matériels qui ne sont pas connus du grand public) et de trouver des failles,
* ne fait pas partie de l'ANSSI, * ne fait pas partie d'un service de renseignement étranger ou d'une organisation criminelle quelconque ?
Et puis il ne s'agit pas forcément de faille ou d'abus subtils. Y'a eu de très nombreux cas où il a été révélé que des structures (tant publiques que privées) avaient eu une sécurité interne catastrophique pendant longtemps ; les gens de l'intérieur "qui savaient" justifiaient ça avec de mauvais arguments, s'en foutaient, ou subissaient une pression les empêchant d'agir, et ça n'a commencé à changer que quand c'est arrivé à la connaissance du public.