1. To Trust or Not to Trust ?
Telle est la question.
Et si nous renversions quelques
hypothèses?
20e Journée de rencontre de l'Observatoire technologique
La confiance à l'ère du numérique
Jean-Henry Morin
Université de Genève – CUI
Dept. de Systèmes d’Information
Jean-Henry.Morin@unige.ch
http://jean-henry.com/
Genève, 19 novembre 2010
3. Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur repose sur une
hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
J.-H. Morin
6. Secteur des Organisations
• 53% admettent contourner les politiques de sécurité
de l’organisation pour pouvoir travailler (EMC RSA
Security, 2008)
• Parmi les raisons les plus citées de contourner les
politiques de sécurité d’une l’organisation (Cisco,
2008)
a) Ne correspond pas à la réalité opérationnelle ni à ce qui est
demandé pour faire son travail
b) Nécessité d’accéder à des applications ne faisant pas partie
(ou pas autorisées par) des politiques IT de l’organisation pour
travailler
• Conséquences: accroissement des risques et des
coûts
• Requiert de la « créativité » pour faire son travail !
• Augmentation du stress lié à des actions non autorisées
• Inefficacités
•
J.-H. Morin
Transgressions / violations : intraçables 6
10. Remix HADOPI - BRAZIL
• http://www.youtube.com/watch?v=m6cQpGdj6u0
• http://www.laquadrature.net/fr/hadopi-brazil-video
Original : Brazil, Terry Gilliam (1985)
Oeuvre dérivée : jz, Magali aka Starmag (2009).
10
J.-H. Morin
11. Secteur du Divertissement
• Conséquences:
• Criminalisation des gens ordinaires (sans effet sur la
criminalité industrielle)
• Perte de droits acquis durement ! (Fair Use, copie
privée, etc.)
• Présomption de culpabilité ! (onus probandi ?)
• L’accès à Internet est devenu un droit fondamental
(parlement Européen)
• Exclusion, Inapplicabilité technique et juridique
• etc.
J.-H. Morin 11
19. Discussion
• Situation 3
• Cloud : Il y a de l’espoir !
Est-ce un signe d’émergence de
« Confiance »
?
J.-H. Morin
20. Sécurité de l’Information
David Lacey, Managing the human factor in information security, John Wiley & Sons, 2009
20
J.-H. Morin
21. Discussion
• Est-ce suffisant ?
NON !
• Il faut rendre la confiance à l’individu, le libre
arbitre de l’humain
• Pas en termes « calculable »
• Mais en termes de faisabilité
J.-H. Morin
22. Can we “fix” it ?
• Considérant que :
• La sécurité est nécessaire (notion de contenus gérés)
• Une sécurité absolue n’est ni réaliste ni désirable
• Avec une « expérience utilisateur » raisonnable, la
plupart des gens se conforment volontiers (e.g., iTunes)
• La plupart des gens ne sont pas des criminels
• Nous devons prendre du recul pour :
• Repenser de façon critique la Sécurité, les DRMs, etc.
• Reconsidérer le débat en dehors des extrêmes (tout ou
rien, abolitionnistes et intégristes de la sécurité, etc.)
• Intégrer par Design ces questions
22
J.-H. Morin
23. Repenser & Reconcevoir
• Reconnaître le rôle central de l’utilisateur et de son
« expérience »
• Rétablir les utilisateurs dans leurs Rôles, Droits et
Responsabilités
• Présomption d’innocence & le fardeau de la preuve
• Principe fondamental pour repenser et reconcevoir
DRM « Copyright Balance principle » (Felten, 2005)
“Since lawful use, including fair use, of copyrighted works is in the
public interest, a user wishing to make lawful use of
copyrighted material should not be prevented from doing so
by any DRM system.”
• Proposition :
• Rendre la Confiance aux utilisateurs
• Renverser l’hypothèse de Non-Confiance
• Il s’agit d’un changement de paradigme majeur
23
J.-H. Morin
25. Proposition: La gestion d’exceptions
• La Gestion d’Exceptions dans la sécurité: mélange
explosif ? Pas nécessairement !
• Renverser l’hypothèse de non-confiance replace
l’utilisateur face à ses responsabilités
• Permet aux utilisateurs de générer des demandes
d’exception et de leurs accorder des licences de courte
durée sur la base d’une trace auditable
• Utiliser des Crédentiels comme « jetons » pour tracer et
détecter les abus
• Les crédentiels sont révocables de façon à gérer les
situations d’abus
• Reconnaissance mutuelle de la nécessité de Contenus
Gérés tout en permettant à l’ensemble des acteurs une
utilisation adaptable aux situations particulières.
25
J.-H. Morin
26. La Gestion d’Exceptions dans des
environnements de « contenus gérés »
• Qu’est-ce qu’une Exception ?
• Une déclaration / demande faite par un utilisateur
souhaitant légitimement accéder ou utiliser une
ressource.
• Basé sur des modèles existants de crédentiels
• Modèle de délégation basé sur des autorités chainées
• Rapprochement entre des autorités de gestion de
crédentiels et les utilisateurs
• Gestion et possession locale des crédentiels (base
personnelle de crédentiels)
• Durée de vie courte ou limitée
• Révocables
• Détermination dynamique au moment du
besoin(enforcement point)
26
J.-H. Morin
27. La Gestion d’Exceptions dans des
environnements de « contenus gérés »
• Modèle auditable pour les abus, incluant la
possibilité de révocation
• Fardeau de la preuve reposant sur la partie ayant une
raison justifiable de croire qu’un abus s’est produit
(présomption d’innocence)
• Monitoring en (quasi) temps réel des politiques de sécurité
27
J.-H. Morin
29. Conclusion
• La confiance présuppose de laisser le libre
arbitre à l’humain (l’exception)
• Elle n’est en revanche pas aveugle (gérée)
• Nous sommes face à un défi MAJEUR de
notre Société participative dématérialisée!
• Une approche socialement responsable
de la confiance à l’ère du numérique est-
elle possible ?
• … rejoignez la conversation !
29
J.-H. Morin
30. Références
J.-H. Morin, “Rethinking DRM Using Exception Management”, chapter
III in Handbook of Research on Secure Multimedia Distribution, S. Lian
and Y. Zhang (Eds), Information Science Reference (ISR), ISBN: 978-1-
60566-262-6, IGI Global, March 2009, pp 39-54.
http://www.igi-global.com/reference/details.asp?id=33143
J.-H. Morin, “Exception Based Enterprise Rights Management :
Towards a Paradigm Shift in Information Security and Policy
Management”, International Journal On Advances in Systems and
Measurements, issn 1942-261x, vol. 1, no. 1, 2008, pp. 40-49.
http://www.iariajournals.org/systems_and_measurements/
Think Tank sur la Science des Services et l’Innovation
Think Group Données, Société et Transparence (Nov 2010)
… Join us and the conversation
30
J.-H. Morin
31. Merci
Jean-Henry Morin
Université de Genèvea – CUI
Dept. de Systèmes d’Information
Jean-Henry.Morin@unige.ch
http://jean-henry.com/
31
J.-H. Morin