Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

To Trust or not to Trust, telle est la question. Et si nous renversions quelques hypothèses ?

772 views

Published on

Présentation donnée dans le cadre de la 20e Journée de rencontre de l'Observatoire technologique à Genève.
Thème : La confiance à l'ère du numérique
http://ot.geneve.ch/ot/article.php3?id_article=133

Published in: Technology
  • Login to see the comments

To Trust or not to Trust, telle est la question. Et si nous renversions quelques hypothèses ?

  1. 1. Genève, 19 novembre 2010 20e Journée de rencontre de l'Observatoire technologique La confiance à l'ère du numérique Jean-Henry Morin Université de Genève – CUI Dept. de Systèmes d’Information Jean-Henry.Morin@unige.ch http://jean-henry.com/
  2. 2. J.-H. Morin Sommaire •  1 Paradoxe •  3 situations •  Organisations •  Divertissement •  Cloud Computing •  1 Discussion •  1 Proposition
  3. 3. J.-H. Morin Un Paradoxe On parle de Confiance (Trusted Computing) à l’ère du numérique… …mais tout l’édifice repose sur repose sur une hypothèse de “non-confiance” http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
  4. 4. Situation #1 Secteur des Organisations
  5. 5. J.-H. Morin 53 % !!! 5
  6. 6. J.-H. Morin 6 Secteur des Organisations •  53% admettent contourner les politiques de sécurité de l’organisation pour pouvoir travailler (EMC RSA Security, 2008) •  Parmi les raisons les plus citées de contourner les politiques de sécurité d’une l’organisation (Cisco, 2008) a)  Ne correspond pas à la réalité opérationnelle ni à ce qui est demandé pour faire son travail b)  Nécessité d’accéder à des applications ne faisant pas partie (ou pas autorisées par) des politiques IT de l’organisation pour travailler •  Conséquences: accroissement des risques et des coûts •  Requiert de la « créativité » pour faire son travail ! •  Augmentation du stress lié à des actions non autorisées •  Inefficacités •  Transgressions / violations : intracables
  7. 7. Situation #2 Secteur du Divertissement
  8. 8. J.-H. Morin Comment en sommes nous arrivés là… … un scénario dystopique? http://www.flickr.com/search/?q=DRM
  9. 9. J.-H. Morin 9 Secteur du Divertissement •  Les technologies DRM •  DADVSI – HADOPI – ACTA – Etc.
  10. 10. J.-H. Morin Remix HADOPI - BRAZIL •  http://www.youtube.com/watch?v=m6cQpGdj6u0 •  http://www.laquadrature.net/fr/hadopi-brazil-video   Original : Brazil, Terry Gilliam (1985)   Oeuvre dérivée : jz, Magali aka Starmag (2009). 10
  11. 11. J.-H. Morin 11 Secteur du Divertissement •  Conséquences: •  Criminalisation des gens ordinaires (sans effet sur la criminalité industrielle) •  Perte de droits acquis durement ! (Fair Use, copie privée, etc.) •  Présomption de culpabilité ! (onus probandi ?) •  L’accès à Internet est devenu un droit fondamental (parlement Européen) •  Exclusion, Inapplicabilité technique et juridique •  Etc.
  12. 12. Situation #3 Cloud Computing
  13. 13. J.-H. Morin Cloud Computing •  Le monde change : PaaS, IaaS, SaaS Etc.
  14. 14. J.-H. Morin Cloud Computing •  Les clients aussi Etc.
  15. 15. Discussion Que nous apprennent ces 3 situations sur la Confiance à l’ère du numérique ?
  16. 16. J.-H. Morin Discussion •  Situations 1 et 2 : •  Organisations •  Divertissement Reposent sur une hypothèse de « Non Confiance »
  17. 17. J.-H. Morin 17 La Sécurité se Contourne, elle ne s’attaque pas Inspiré par Adi Shamir, Turing Award lecture, 2002!
  18. 18. J.-H. Morin Facteur Humain ! 18 IMG: J. Anderson
  19. 19. J.-H. Morin Discussion •  Situation 3 •  Cloud : Il y a de l’espoir ! Est-ce un signe d’émergence de « Confiance » ?
  20. 20. J.-H. Morin Sécurité de l’Information 20 David Lacey, Managing the human factor in information security, John Wiley & Sons, 2009
  21. 21. J.-H. Morin Discussion •  Est-ce suffisant ? NON ! •  Il faut rendre la confiance à l’individu, le libre arbitre de l’humain •  Pas en termes « calculable » •  Mais en termes de faisabilité
  22. 22. J.-H. Morin 22 Can we “fix” it ? •  Considérant que : •  La sécurité est nécessaire (notion de contenus gérés) •  Une sécurité absolue n’est ni réaliste ni désirable •  Avec une « expérience utilisateur » raisonnable, la plupart des gens se conforment volontiers (e.g., iTunes) •  La plupart des gens ne sont pas des criminels •  Nous devons prendre du recul pour : •  Repenser de façon critique la Sécurité, les DRMs, etc. •  Reconsidérer le débat en dehors des extrêmes (tout ou rien, abolitionnistes et intégristes de la sécurité, etc.) •  Intégrer par Design ces questions
  23. 23. J.-H. Morin 2323 Repenser & Reconcevoir •  Reconnaître le rôle central de l’utilisateur et de son « expérience » •  Rétablir les utilisateurs dans leurs Rôles, Droits et Responsabilités •  Présomption d’innocence & le fardeau de la preuve •  Principe fondamental pour repenser et reconcevoir DRM « Copyright Balance principle » (Felten, 2005) “Since lawful use, including fair use, of copyrighted works is in the public interest, a user wishing to make lawful use of copyrighted material should not be prevented from doing so by any DRM system.” •  Proposition : •  Rendre la Confiance aux utilisateurs •  Renverser l’hypothèse de Non-Confiance •  Il s’agit d’un changement de paradigme majeur
  24. 24. Proposition : Un modèle de Gestion d’Exceptions
  25. 25. J.-H. Morin 2525 Proposition: La gestion d’exceptions •  La Gestion d’Exceptions dans la sécurité: mélange explosif ? Pas nécessairement ! •  Renverser l’hypothèse de non-confiance replace l’utilisateur face à ses responsabilités •  Permet aux utilisateurs de générer des demandes d’exception et de leurs accorder des licences de courte durée sur la base d’une trace auditable •  Utiliser des Crédentiels comme « jetons » pour tracer et détecter les abus •  Les crédentiels sont révocables de façon à gérer les situations d’abus •  Reconnaissance mutuelle de la nécessité de Contenus Gérés tout en permettant à l’ensemble des acteurs une utilisation adaptable aux situations particulières.
  26. 26. J.-H. Morin 26 La Gestion d’Exceptions dans des environnements de « contenus gérés » •  Qu’est-ce qu’une Exception ? •  Une déclaration / demande faite par un utilisateur souhaitant légitimement accéder ou utiliser une ressource. •  Basé sur des modèles existants de crédentiels •  Modèle de délégation basé sur des autorités chainées •  Rapprochement entre des autorités de gestion de crédentiels et les utilisateurs •  Gestion et possession locale des crédentiels (base personnelle de crédentiels) •  Durée de vie courte ou limitée •  Révocables •  Détermination dynamique au moment du besoin (enforcement point)
  27. 27. J.-H. Morin 27 La Gestion d’Exceptions dans des environnements de « contenus gérés » •  Modèle auditable pour les abus, incluant la possibilité de révocation •  Fardeau de la preuve reposant sur la partie ayant une raison justifiable de croire qu’un abus s’est produit (présomption d’innocence) •  Monitoring en (quasi) temps réel des politiques de sécurité
  28. 28. J.-H. Morin Principe et Scénario Général avec Gestion d’Exceptions
  29. 29. J.-H. Morin 29 Conclusion •  La confiance présuppose de laisser le libre arbitre à l’humain (l’exception) •  Elle n’est en revanche pas aveugle (gérée) •  Nous sommes face à un défi MAJEUR de notre Société participative dématérialisée! •  Une approche socialement responsable de la confiance à l’ère du numérique est- elle possible ? •  … rejoignez la conversation !
  30. 30. J.-H. Morin 30 Références J.-H. Morin, “Rethinking DRM Using Exception Management”, chapter III in Handbook of Research on Secure Multimedia Distribution, S. Lian and Y. Zhang (Eds), Information Science Reference (ISR), ISBN: 978-1-60566-262-6, IGI Global, March 2009, pp 39-54. http://www.igi-global.com/reference/details.asp?id=33143 J.-H. Morin, “Exception Based Enterprise Rights Management : Towards a Paradigm Shift in Information Security and Policy Management”, International Journal On Advances in Systems and Measurements, issn 1942-261x, vol. 1, no. 1, 2008, pp. 40-49. http://www.iariajournals.org/systems_and_measurements/ Think Tank sur la Science des Services et l’Innovation Think Group Données, Société et Transparence (Nov 2010) … Join us and the conversation
  31. 31. J.-H. Morin 31 Jean-Henry Morin Université de Genèvea – CUI Dept. de Systèmes d’Information Jean-Henry.Morin@unige.ch http://jean-henry.com/ Merci

×