1.
Genève, 19 novembre 2010
20e Journée de rencontre de l'Observatoire technologique
La confiance à l'ère du numérique
Jean-Henry Morin
Université de Genève – CUI
Dept. de Systèmes d’Information
Jean-Henry.Morin@unige.ch
http://jean-henry.com/

2.
J.-H. Morin
Sommaire
• 1 Paradoxe
• 3 situations
• Organisations
• Divertissement
• Cloud Computing
• 1 Discussion
• 1 Proposition

3.
J.-H. Morin
Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur repose sur une
hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg

4.
Situation #1
Secteur des Organisations

5.
J.-H. Morin
53 % !!!
5

6.
J.-H. Morin 6
Secteur des Organisations
• 53% admettent contourner les politiques de sécurité
de l’organisation pour pouvoir travailler (EMC RSA
Security, 2008)
• Parmi les raisons les plus citées de contourner les
politiques de sécurité d’une l’organisation (Cisco,
2008)
a) Ne correspond pas à la réalité opérationnelle ni à ce qui est
demandé pour faire son travail
b) Nécessité d’accéder à des applications ne faisant pas partie
(ou pas autorisées par) des politiques IT de l’organisation pour
travailler
• Conséquences: accroissement des risques et des
coûts
• Requiert de la « créativité » pour faire son travail !
• Augmentation du stress lié à des actions non autorisées
• Inefficacités
• Transgressions / violations : intracables

7.
Situation #2
Secteur du Divertissement

8.
J.-H. Morin
Comment en sommes nous arrivés là…
… un scénario dystopique?
http://www.flickr.com/search/?q=DRM

9.
J.-H. Morin 9
Secteur du Divertissement
• Les technologies DRM
• DADVSI – HADOPI – ACTA – Etc.

10.
J.-H. Morin
Remix HADOPI - BRAZIL
• http://www.youtube.com/watch?v=m6cQpGdj6u0
• http://www.laquadrature.net/fr/hadopi-brazil-video
 Original : Brazil, Terry Gilliam (1985)
 Oeuvre dérivée : jz, Magali aka Starmag (2009).
10

11.
J.-H. Morin 11
Secteur du Divertissement
• Conséquences:
• Criminalisation des gens ordinaires (sans effet sur la
criminalité industrielle)
• Perte de droits acquis durement ! (Fair Use, copie
privée, etc.)
• Présomption de culpabilité ! (onus probandi ?)
• L’accès à Internet est devenu un droit fondamental
(parlement Européen)
• Exclusion, Inapplicabilité technique et juridique
• Etc.

12.
Situation #3
Cloud Computing

13.
J.-H. Morin
Cloud Computing
• Le monde change : PaaS, IaaS, SaaS
Etc.

14.
J.-H. Morin
Cloud Computing
• Les clients aussi
Etc.

15.
Discussion
Que nous apprennent ces 3
situations sur la Confiance à l’ère
du numérique ?

16.
J.-H. Morin
Discussion
• Situations 1 et 2 :
• Organisations
• Divertissement
Reposent sur une hypothèse de
« Non Confiance »

17.
J.-H. Morin
17
La Sécurité se Contourne, elle
ne s’attaque pas
Inspiré par Adi Shamir, Turing Award lecture, 2002!

18.
J.-H. Morin
Facteur Humain !
18
IMG: J. Anderson

19.
J.-H. Morin
Discussion
• Situation 3
• Cloud : Il y a de l’espoir !
Est-ce un signe d’émergence de
« Confiance »
?

20.
J.-H. Morin
Sécurité de l’Information
20
David Lacey, Managing the human factor in information security, John Wiley & Sons, 2009

21.
J.-H. Morin
Discussion
• Est-ce suffisant ?
NON !
• Il faut rendre la confiance à l’individu, le libre
arbitre de l’humain
• Pas en termes « calculable »
• Mais en termes de faisabilité

22.
J.-H. Morin
22
Can we “fix” it ?
• Considérant que :
• La sécurité est nécessaire (notion de contenus gérés)
• Une sécurité absolue n’est ni réaliste ni désirable
• Avec une « expérience utilisateur » raisonnable, la
plupart des gens se conforment volontiers (e.g., iTunes)
• La plupart des gens ne sont pas des criminels
• Nous devons prendre du recul pour :
• Repenser de façon critique la Sécurité, les DRMs, etc.
• Reconsidérer le débat en dehors des extrêmes (tout ou
rien, abolitionnistes et intégristes de la sécurité, etc.)
• Intégrer par Design ces questions

23.
J.-H. Morin
2323
Repenser & Reconcevoir
• Reconnaître le rôle central de l’utilisateur et de son
« expérience »
• Rétablir les utilisateurs dans leurs Rôles, Droits et
Responsabilités
• Présomption d’innocence & le fardeau de la preuve
• Principe fondamental pour repenser et reconcevoir
DRM « Copyright Balance principle » (Felten, 2005)
“Since lawful use, including fair use, of copyrighted works is in the
public interest, a user wishing to make lawful use of copyrighted
material should not be prevented from doing so by any DRM
system.”
• Proposition :
• Rendre la Confiance aux utilisateurs
• Renverser l’hypothèse de Non-Confiance
• Il s’agit d’un changement de paradigme majeur

24.
Proposition :
Un modèle de Gestion d’Exceptions

25.
J.-H. Morin
2525
Proposition: La gestion d’exceptions
• La Gestion d’Exceptions dans la sécurité: mélange
explosif ? Pas nécessairement !
• Renverser l’hypothèse de non-confiance replace
l’utilisateur face à ses responsabilités
• Permet aux utilisateurs de générer des demandes
d’exception et de leurs accorder des licences de courte
durée sur la base d’une trace auditable
• Utiliser des Crédentiels comme « jetons » pour tracer et
détecter les abus
• Les crédentiels sont révocables de façon à gérer les
situations d’abus
• Reconnaissance mutuelle de la nécessité de Contenus
Gérés tout en permettant à l’ensemble des acteurs une
utilisation adaptable aux situations particulières.

26.
J.-H. Morin
26
La Gestion d’Exceptions dans des
environnements de « contenus gérés »
• Qu’est-ce qu’une Exception ?
• Une déclaration / demande faite par un utilisateur
souhaitant légitimement accéder ou utiliser une
ressource.
• Basé sur des modèles existants de crédentiels
• Modèle de délégation basé sur des autorités chainées
• Rapprochement entre des autorités de gestion de
crédentiels et les utilisateurs
• Gestion et possession locale des crédentiels (base
personnelle de crédentiels)
• Durée de vie courte ou limitée
• Révocables
• Détermination dynamique au moment du besoin
(enforcement point)

27.
J.-H. Morin
27
La Gestion d’Exceptions dans des
environnements de « contenus gérés »
• Modèle auditable pour les abus, incluant la
possibilité de révocation
• Fardeau de la preuve reposant sur la partie ayant une
raison justifiable de croire qu’un abus s’est produit
(présomption d’innocence)
• Monitoring en (quasi) temps réel des politiques de sécurité

28.
J.-H. Morin
Principe et Scénario Général
avec Gestion d’Exceptions

29.
J.-H. Morin
29
Conclusion
• La confiance présuppose de laisser le libre
arbitre à l’humain (l’exception)
• Elle n’est en revanche pas aveugle (gérée)
• Nous sommes face à un défi MAJEUR de
notre Société participative dématérialisée!
• Une approche socialement responsable
de la confiance à l’ère du numérique est-
elle possible ?
• … rejoignez la conversation !

30.
J.-H. Morin
30
Références
J.-H. Morin, “Rethinking DRM Using Exception Management”, chapter
III in Handbook of Research on Secure Multimedia Distribution, S. Lian
and Y. Zhang (Eds), Information Science Reference (ISR), ISBN:
978-1-60566-262-6, IGI Global, March 2009, pp 39-54.
http://www.igi-global.com/reference/details.asp?id=33143
J.-H. Morin, “Exception Based Enterprise Rights Management :
Towards a Paradigm Shift in Information Security and Policy
Management”, International Journal On Advances in Systems and
Measurements, issn 1942-261x, vol. 1, no. 1, 2008, pp. 40-49.
http://www.iariajournals.org/systems_and_measurements/
Think Tank sur la Science des Services et l’Innovation
Think Group Données, Société et Transparence (Nov 2010)
… Join us and the conversation

31.
J.-H. Morin
31
Jean-Henry Morin
Université de Genèvea – CUI
Dept. de Systèmes d’Information
Jean-Henry.Morin@unige.ch
http://jean-henry.com/
Merci