To Trust or not to Trust, telle est la question. Et si nous renversions quelques hypothèses ?

618 views

Published on

Présentation donnée dans le cadre de la 20e Journée de rencontre de l'Observatoire technologique à Genève.
Thème : La confiance à l'ère du numérique
http://ot.geneve.ch/ot/article.php3?id_article=133

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
618
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
5
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

To Trust or not to Trust, telle est la question. Et si nous renversions quelques hypothèses ?

  1. 1. Genève, 19 novembre 2010 20e Journée de rencontre de l'Observatoire technologique La confiance à l'ère du numérique Jean-Henry Morin Université de Genève – CUI Dept. de Systèmes d’Information Jean-Henry.Morin@unige.ch http://jean-henry.com/
  2. 2. J.-H. Morin Sommaire •  1 Paradoxe •  3 situations •  Organisations •  Divertissement •  Cloud Computing •  1 Discussion •  1 Proposition
  3. 3. J.-H. Morin Un Paradoxe On parle de Confiance (Trusted Computing) à l’ère du numérique… …mais tout l’édifice repose sur repose sur une hypothèse de “non-confiance” http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
  4. 4. Situation #1 Secteur des Organisations
  5. 5. J.-H. Morin 53 % !!! 5
  6. 6. J.-H. Morin 6 Secteur des Organisations •  53% admettent contourner les politiques de sécurité de l’organisation pour pouvoir travailler (EMC RSA Security, 2008) •  Parmi les raisons les plus citées de contourner les politiques de sécurité d’une l’organisation (Cisco, 2008) a)  Ne correspond pas à la réalité opérationnelle ni à ce qui est demandé pour faire son travail b)  Nécessité d’accéder à des applications ne faisant pas partie (ou pas autorisées par) des politiques IT de l’organisation pour travailler •  Conséquences: accroissement des risques et des coûts •  Requiert de la « créativité » pour faire son travail ! •  Augmentation du stress lié à des actions non autorisées •  Inefficacités •  Transgressions / violations : intracables
  7. 7. Situation #2 Secteur du Divertissement
  8. 8. J.-H. Morin Comment en sommes nous arrivés là… … un scénario dystopique? http://www.flickr.com/search/?q=DRM
  9. 9. J.-H. Morin 9 Secteur du Divertissement •  Les technologies DRM •  DADVSI – HADOPI – ACTA – Etc.
  10. 10. J.-H. Morin Remix HADOPI - BRAZIL •  http://www.youtube.com/watch?v=m6cQpGdj6u0 •  http://www.laquadrature.net/fr/hadopi-brazil-video   Original : Brazil, Terry Gilliam (1985)   Oeuvre dérivée : jz, Magali aka Starmag (2009). 10
  11. 11. J.-H. Morin 11 Secteur du Divertissement •  Conséquences: •  Criminalisation des gens ordinaires (sans effet sur la criminalité industrielle) •  Perte de droits acquis durement ! (Fair Use, copie privée, etc.) •  Présomption de culpabilité ! (onus probandi ?) •  L’accès à Internet est devenu un droit fondamental (parlement Européen) •  Exclusion, Inapplicabilité technique et juridique •  Etc.
  12. 12. Situation #3 Cloud Computing
  13. 13. J.-H. Morin Cloud Computing •  Le monde change : PaaS, IaaS, SaaS Etc.
  14. 14. J.-H. Morin Cloud Computing •  Les clients aussi Etc.
  15. 15. Discussion Que nous apprennent ces 3 situations sur la Confiance à l’ère du numérique ?
  16. 16. J.-H. Morin Discussion •  Situations 1 et 2 : •  Organisations •  Divertissement Reposent sur une hypothèse de « Non Confiance »
  17. 17. J.-H. Morin 17 La Sécurité se Contourne, elle ne s’attaque pas Inspiré par Adi Shamir, Turing Award lecture, 2002!
  18. 18. J.-H. Morin Facteur Humain ! 18 IMG: J. Anderson
  19. 19. J.-H. Morin Discussion •  Situation 3 •  Cloud : Il y a de l’espoir ! Est-ce un signe d’émergence de « Confiance » ?
  20. 20. J.-H. Morin Sécurité de l’Information 20 David Lacey, Managing the human factor in information security, John Wiley & Sons, 2009
  21. 21. J.-H. Morin Discussion •  Est-ce suffisant ? NON ! •  Il faut rendre la confiance à l’individu, le libre arbitre de l’humain •  Pas en termes « calculable » •  Mais en termes de faisabilité
  22. 22. J.-H. Morin 22 Can we “fix” it ? •  Considérant que : •  La sécurité est nécessaire (notion de contenus gérés) •  Une sécurité absolue n’est ni réaliste ni désirable •  Avec une « expérience utilisateur » raisonnable, la plupart des gens se conforment volontiers (e.g., iTunes) •  La plupart des gens ne sont pas des criminels •  Nous devons prendre du recul pour : •  Repenser de façon critique la Sécurité, les DRMs, etc. •  Reconsidérer le débat en dehors des extrêmes (tout ou rien, abolitionnistes et intégristes de la sécurité, etc.) •  Intégrer par Design ces questions
  23. 23. J.-H. Morin 2323 Repenser & Reconcevoir •  Reconnaître le rôle central de l’utilisateur et de son « expérience » •  Rétablir les utilisateurs dans leurs Rôles, Droits et Responsabilités •  Présomption d’innocence & le fardeau de la preuve •  Principe fondamental pour repenser et reconcevoir DRM « Copyright Balance principle » (Felten, 2005) “Since lawful use, including fair use, of copyrighted works is in the public interest, a user wishing to make lawful use of copyrighted material should not be prevented from doing so by any DRM system.” •  Proposition : •  Rendre la Confiance aux utilisateurs •  Renverser l’hypothèse de Non-Confiance •  Il s’agit d’un changement de paradigme majeur
  24. 24. Proposition : Un modèle de Gestion d’Exceptions
  25. 25. J.-H. Morin 2525 Proposition: La gestion d’exceptions •  La Gestion d’Exceptions dans la sécurité: mélange explosif ? Pas nécessairement ! •  Renverser l’hypothèse de non-confiance replace l’utilisateur face à ses responsabilités •  Permet aux utilisateurs de générer des demandes d’exception et de leurs accorder des licences de courte durée sur la base d’une trace auditable •  Utiliser des Crédentiels comme « jetons » pour tracer et détecter les abus •  Les crédentiels sont révocables de façon à gérer les situations d’abus •  Reconnaissance mutuelle de la nécessité de Contenus Gérés tout en permettant à l’ensemble des acteurs une utilisation adaptable aux situations particulières.
  26. 26. J.-H. Morin 26 La Gestion d’Exceptions dans des environnements de « contenus gérés » •  Qu’est-ce qu’une Exception ? •  Une déclaration / demande faite par un utilisateur souhaitant légitimement accéder ou utiliser une ressource. •  Basé sur des modèles existants de crédentiels •  Modèle de délégation basé sur des autorités chainées •  Rapprochement entre des autorités de gestion de crédentiels et les utilisateurs •  Gestion et possession locale des crédentiels (base personnelle de crédentiels) •  Durée de vie courte ou limitée •  Révocables •  Détermination dynamique au moment du besoin (enforcement point)
  27. 27. J.-H. Morin 27 La Gestion d’Exceptions dans des environnements de « contenus gérés » •  Modèle auditable pour les abus, incluant la possibilité de révocation •  Fardeau de la preuve reposant sur la partie ayant une raison justifiable de croire qu’un abus s’est produit (présomption d’innocence) •  Monitoring en (quasi) temps réel des politiques de sécurité
  28. 28. J.-H. Morin Principe et Scénario Général avec Gestion d’Exceptions
  29. 29. J.-H. Morin 29 Conclusion •  La confiance présuppose de laisser le libre arbitre à l’humain (l’exception) •  Elle n’est en revanche pas aveugle (gérée) •  Nous sommes face à un défi MAJEUR de notre Société participative dématérialisée! •  Une approche socialement responsable de la confiance à l’ère du numérique est- elle possible ? •  … rejoignez la conversation !
  30. 30. J.-H. Morin 30 Références J.-H. Morin, “Rethinking DRM Using Exception Management”, chapter III in Handbook of Research on Secure Multimedia Distribution, S. Lian and Y. Zhang (Eds), Information Science Reference (ISR), ISBN: 978-1-60566-262-6, IGI Global, March 2009, pp 39-54. http://www.igi-global.com/reference/details.asp?id=33143 J.-H. Morin, “Exception Based Enterprise Rights Management : Towards a Paradigm Shift in Information Security and Policy Management”, International Journal On Advances in Systems and Measurements, issn 1942-261x, vol. 1, no. 1, 2008, pp. 40-49. http://www.iariajournals.org/systems_and_measurements/ Think Tank sur la Science des Services et l’Innovation Think Group Données, Société et Transparence (Nov 2010) … Join us and the conversation
  31. 31. J.-H. Morin 31 Jean-Henry Morin Université de Genèvea – CUI Dept. de Systèmes d’Information Jean-Henry.Morin@unige.ch http://jean-henry.com/ Merci

×