Présentation donnée dans le cadre de la 20e Journée de rencontre de l'Observatoire technologique à Genève.
Thème : La confiance à l'ère du numérique
http://ot.geneve.ch/ot/article.php3?id_article=133
Towards Socially-Responsible Management of Personal Information in Social Net...
To Trust or not to Trust, telle est la question. Et si nous renversions quelques hypothèses ?
1. Genève, 19 novembre 2010
20e Journée de rencontre de l'Observatoire technologique
La confiance à l'ère du numérique
Jean-Henry Morin
Université de Genève – CUI
Dept. de Systèmes d’Information
Jean-Henry.Morin@unige.ch
http://jean-henry.com/
3. J.-H. Morin
Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur repose sur une
hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
6. J.-H. Morin 6
Secteur des Organisations
• 53% admettent contourner les politiques de sécurité
de l’organisation pour pouvoir travailler (EMC RSA
Security, 2008)
• Parmi les raisons les plus citées de contourner les
politiques de sécurité d’une l’organisation (Cisco,
2008)
a) Ne correspond pas à la réalité opérationnelle ni à ce qui est
demandé pour faire son travail
b) Nécessité d’accéder à des applications ne faisant pas partie
(ou pas autorisées par) des politiques IT de l’organisation pour
travailler
• Conséquences: accroissement des risques et des
coûts
• Requiert de la « créativité » pour faire son travail !
• Augmentation du stress lié à des actions non autorisées
• Inefficacités
• Transgressions / violations : intracables
8. J.-H. Morin
Comment en sommes nous arrivés là…
… un scénario dystopique?
http://www.flickr.com/search/?q=DRM
9. J.-H. Morin 9
Secteur du Divertissement
• Les technologies DRM
• DADVSI – HADOPI – ACTA – Etc.
10. J.-H. Morin
Remix HADOPI - BRAZIL
• http://www.youtube.com/watch?v=m6cQpGdj6u0
• http://www.laquadrature.net/fr/hadopi-brazil-video
Original : Brazil, Terry Gilliam (1985)
Oeuvre dérivée : jz, Magali aka Starmag (2009).
10
11. J.-H. Morin 11
Secteur du Divertissement
• Conséquences:
• Criminalisation des gens ordinaires (sans effet sur la
criminalité industrielle)
• Perte de droits acquis durement ! (Fair Use, copie
privée, etc.)
• Présomption de culpabilité ! (onus probandi ?)
• L’accès à Internet est devenu un droit fondamental
(parlement Européen)
• Exclusion, Inapplicabilité technique et juridique
• Etc.
20. J.-H. Morin
Sécurité de l’Information
20
David Lacey, Managing the human factor in information security, John Wiley & Sons, 2009
21. J.-H. Morin
Discussion
• Est-ce suffisant ?
NON !
• Il faut rendre la confiance à l’individu, le libre
arbitre de l’humain
• Pas en termes « calculable »
• Mais en termes de faisabilité
22. J.-H. Morin
22
Can we “fix” it ?
• Considérant que :
• La sécurité est nécessaire (notion de contenus gérés)
• Une sécurité absolue n’est ni réaliste ni désirable
• Avec une « expérience utilisateur » raisonnable, la
plupart des gens se conforment volontiers (e.g., iTunes)
• La plupart des gens ne sont pas des criminels
• Nous devons prendre du recul pour :
• Repenser de façon critique la Sécurité, les DRMs, etc.
• Reconsidérer le débat en dehors des extrêmes (tout ou
rien, abolitionnistes et intégristes de la sécurité, etc.)
• Intégrer par Design ces questions
23. J.-H. Morin
2323
Repenser & Reconcevoir
• Reconnaître le rôle central de l’utilisateur et de son
« expérience »
• Rétablir les utilisateurs dans leurs Rôles, Droits et
Responsabilités
• Présomption d’innocence & le fardeau de la preuve
• Principe fondamental pour repenser et reconcevoir
DRM « Copyright Balance principle » (Felten, 2005)
“Since lawful use, including fair use, of copyrighted works is in the
public interest, a user wishing to make lawful use of copyrighted
material should not be prevented from doing so by any DRM
system.”
• Proposition :
• Rendre la Confiance aux utilisateurs
• Renverser l’hypothèse de Non-Confiance
• Il s’agit d’un changement de paradigme majeur
25. J.-H. Morin
2525
Proposition: La gestion d’exceptions
• La Gestion d’Exceptions dans la sécurité: mélange
explosif ? Pas nécessairement !
• Renverser l’hypothèse de non-confiance replace
l’utilisateur face à ses responsabilités
• Permet aux utilisateurs de générer des demandes
d’exception et de leurs accorder des licences de courte
durée sur la base d’une trace auditable
• Utiliser des Crédentiels comme « jetons » pour tracer et
détecter les abus
• Les crédentiels sont révocables de façon à gérer les
situations d’abus
• Reconnaissance mutuelle de la nécessité de Contenus
Gérés tout en permettant à l’ensemble des acteurs une
utilisation adaptable aux situations particulières.
26. J.-H. Morin
26
La Gestion d’Exceptions dans des
environnements de « contenus gérés »
• Qu’est-ce qu’une Exception ?
• Une déclaration / demande faite par un utilisateur
souhaitant légitimement accéder ou utiliser une
ressource.
• Basé sur des modèles existants de crédentiels
• Modèle de délégation basé sur des autorités chainées
• Rapprochement entre des autorités de gestion de
crédentiels et les utilisateurs
• Gestion et possession locale des crédentiels (base
personnelle de crédentiels)
• Durée de vie courte ou limitée
• Révocables
• Détermination dynamique au moment du besoin
(enforcement point)
27. J.-H. Morin
27
La Gestion d’Exceptions dans des
environnements de « contenus gérés »
• Modèle auditable pour les abus, incluant la
possibilité de révocation
• Fardeau de la preuve reposant sur la partie ayant une
raison justifiable de croire qu’un abus s’est produit
(présomption d’innocence)
• Monitoring en (quasi) temps réel des politiques de sécurité
29. J.-H. Morin
29
Conclusion
• La confiance présuppose de laisser le libre
arbitre à l’humain (l’exception)
• Elle n’est en revanche pas aveugle (gérée)
• Nous sommes face à un défi MAJEUR de
notre Société participative dématérialisée!
• Une approche socialement responsable
de la confiance à l’ère du numérique est-
elle possible ?
• … rejoignez la conversation !
30. J.-H. Morin
30
Références
J.-H. Morin, “Rethinking DRM Using Exception Management”, chapter
III in Handbook of Research on Secure Multimedia Distribution, S. Lian
and Y. Zhang (Eds), Information Science Reference (ISR), ISBN:
978-1-60566-262-6, IGI Global, March 2009, pp 39-54.
http://www.igi-global.com/reference/details.asp?id=33143
J.-H. Morin, “Exception Based Enterprise Rights Management :
Towards a Paradigm Shift in Information Security and Policy
Management”, International Journal On Advances in Systems and
Measurements, issn 1942-261x, vol. 1, no. 1, 2008, pp. 40-49.
http://www.iariajournals.org/systems_and_measurements/
Think Tank sur la Science des Services et l’Innovation
Think Group Données, Société et Transparence (Nov 2010)
… Join us and the conversation