repost de Twitter / X de @bluetouff sur l'hypocrisie générale
Il fut une époque pas si lointaine où la cybersécurité me passionnait. L’idée – profondément naïve – qu’on pouvait vraiment protéger l’infrastructure numérique mondiale, garantir un soupçon de vie privée, repousser les assauts de la bêtise technique avec un peu d’élégance, de rigueur, et de sueur. Puis les années ont passé. Et j’ai vu les mêmes failles, les mêmes conneries, les mêmes discours PowerPoint recyclés jusqu’à la nausée. Alors on va être clair : la cybersécurité est un échec total. Un naufrage à ciel ouvert. Pire : un cirque technocratique où tout le monde joue à faire semblant. On ne protège rien. On fait de la com’. On flique. Et surtout, on laisse crever l’idée même de sécurité. Commençons par la volonté politique, cette vaste blague. Les États n’en ont rien à foutre de votre sécurité numérique. Leur kiff, c’est les backdoors, les interceptions, la surveillance en continu. Le flicage XXL, déguisé en "protection de l’intérêt national". Chaque nouveau scandale (PRISM, Pegasus, XKeyscore...) ? Traitement standard : une déclaration molle, un rapport enterré, et hop, circulez, y’a rien à voir. Pendant ce temps, on vote des lois qui sabotent le chiffrement, qui imposent des systèmes d'identité numériques centralisés qu’un étudiant en DUT refuserait d’écrire sous menace d’examen final. Les États veulent tout contrôler, mais ne comprennent rien. Et leur incompétence devient une "politique publique". Passons à l’éducation à la cybersécurité, ce champ de ruines. On distribue des tablettes aux gamins comme des bonbons, mais personne ne prend cinq minutes pour leur expliquer qu’un lien “trop beau pour être vrai” est probablement une arnaque moldave. On vend des applis de santé comme des miracles technologiques, mais hébergées sur des serveurs percés qu'on backup en openbar sur AWS. Et dans les entreprises ? C’est encore mieux ! La cybersécurité y est vue comme un trou noir budgétaire, une contrainte, un caprice de geek. On case une formation ridicule à la va-vite, et chacun retourne cliquer sur n’importe quoi dès le lendemain. Tant qu’on peut signer un rapport d’audit avec un petit “conforme ISO blabla”, tout va bien, non ? Spoiler : non. Et puis l’authentification. Ah, ce chef-d’œuvre d’ineptie répétée. En 2025, on utilise encore des mots de passe. Des putains de mots de passe. Sérieusement. Et quand on est très très moderne, on fout un 2FA par SMS, histoire de croire qu’on est dans la cybersécurité du futur, alors qu’on surfe en slip sur un réseau troué jusqu’à l’os. La biométrie ? N’en parlons pas. Quelle idée de génie : filer vos empreintes à une startup douteuse, bien tout centraliser, et croiser les doigts. Et quand tout ça fuite (parce que ça fuira), vous ferez quoi ? Vous changerez de doigts ? Vous demanderez un nouveau visage au support client ? Qui a validé cette connerie monumentale de considérer un secret comme valide alors qu’il est littéralement visible sur votre tronche ou que vous en déposez une copie conforme sur tout ce que vous touchez ?
Mais le plus désespérant dans tout ça, c’est l’indifférence généralisée. Les utilisateurs s’en battent les steaks tant qu’ils peuvent scroller. Les entreprises veulent juste que ça tourne, que ça crash pas trop pendant le board du vendredi. Et les experts en sécurité ? Ils font semblant. Ils répètent des mantras usés jusqu’à la corde – “principes de moindre privilège”, “défense en profondeur”, “pensée zéro trust” – tout en sachant que personne n’écoute. Parce qu’en vrai, tout le monde s’en fout. On corrige une faille de 2013, on en ajoute trois en même temps, et on recommence l’année suivante avec un budget un peu plus serré. C’est le jeu. C’est le grand théâtre de la cybersécurité. Alors non, la cybersécurité ne m'intéresse plus. Ce n’est pas qu’elle n’est pas cruciale... bien sûr qu’elle l’est. C’est juste qu’elle est morte. Asphyxiée sous les lois liberticides, la fainéantise cognitive, les outils de merde, les IA du turfu qui vous génèrent des trous de l'espace, le vibe coding d'un consultant en marketing qui se lance dans le dev d'applications Android, et le cynisme des décideurs. On ne sécurise plus pour protéger : on sécurise pour cocher des cases, faire briller des slides, et rassurer des managers flippés, et se palucher sur une montagne de "legacy code". On fait de l’ISO27001 dans un fichier Excel moisi, et on s’en contente. Moi, je raccroche. Ce jeu m’emmerde. Ce monde m’emmerde. Qu’il crame – mais proprement, hein, avec un joli certificat SSL.