Archives du mot-clé : sécurité

On a causé de Blockchain…

Blockchain

Il n’est pas un jour où la presse ne parle pas de la Blockchain, cette technologie qui doit sa notoriété au rôle essentiel qu’elle a joué dans l’essor des crypto-monnaies telles que le Bitcoin. La plupart du temps ces articles restent très généraux et ne prennent pas le temps de creuser un sujet pourtant riche et passionnant.

La Causerie du jeudi 30 mars a abordé les principes fondamentaux de la Blockchain en les illustrant par des exemples concrets et variés. Près de 40 personnes (probablement un record pour les Causeries du jeudi) ont pu comprendre pourquoi cette technologie va révolutionner notre société, tout comme Internet l’a fait ces 25 dernières années.

Philippe Thévoz nous a tenus en haleine pendant plus de 2h30 en nous expliquant comment la Blockchain est appliquée dans de nombreux domaines. Il nous a également présenté les défis que doit encore relever cette technologie pour répondre aux attentes qui sont placées en elle.

Copyright Nicholas Palffy ©

Copyright Nicholas Palffy ©


Le podcast de la Causerie


 Depuis plus de 2 ans, Philippe Thévoz accompagne des entreprises ainsi que des organismes privés et publics dans leur transition digitale, avec un accent particulier sur la Blockchain et le eGovernment. Il a donné de nombreuses conférences pour démystifier cette technologie auprès de milieux très variés.

On a causé de responsabilité numérique…

La responsabilité numérique

 

Les révélations sur le programme américain de surveillance globale marqueront probablement l’histoire comme étant un moment majeur de rupture de confiance vis-à-vis des outils et du monde numériques. Face à cette situation, certains ne voient qu’une réponse binaire possible: soit le «tout sécuritaire», soit le «laissons faire et advienne que pourra».  

Jean-Henry Morin, spécialiste international des politiques numériques et de la sécurité des systèmes d’information, est convaincu qu’entre la confiance aveugle et la paranoïa il existe une autre voie. Il pense que nous devons changer la manière dont nous envisageons la confiance dans le monde numérique aujourd’hui. A l’instar de la lame de fond de la société collaborative et des nouvelles formes de l’économique du partage, nous assistons à l’émergence d’une nouvelle forme de responsabilité participative, co-créée: une «responsabilité numérique». Il propose, dans un livre paru l’année dernière, une analyse critique des dispositifs de régulation actuels et fournit une nouvelle solution pratique pour les individus, les entreprises et les institutions. C’est pour enrichir ses réflexions qu’il a animé la Causerie du 29 janvier dernier suivie par une vingtaine de personnes.

Cela fait aujourd’hui plus de 10 ans que Jean-Henry s’intéresse à la sécurité, à la gestion des risques et à la protection des données. C’est en étudiant les technologies de gestion des droits numériques (DRM) et en constatant combien elles étaient dévoyées par les lobbies du multimédia qu’il a compris qu’il fallait réformer complètement notre approche de la sécurité. Ce sont les travaux de Edward Felten en 2005 qui ont constitué l’événement déclencheur de ses recherches sur le sujet. La sécurité a toujours été par essence constituée de certitudes et de règles postulant par défaut une défiance vis-à-vis de l’utilisateur. Jean-Henry nous propose de renverser la règle et de poser l’exception comme postulat de base.

Car son premier constat est que la sécurité ne s’attaque pas, mais qu’elle se contourne. Ceci est notamment dû au fait que le facteur humain n’est la plupart du temps pas assez pris en compte. Deuxième constat: le principe de proportionnalité est trop souvent ignoré lors de la mise en œuvre de solutions de sécurité. Or qui dit ‘sécurité’ doit obligatoirement penser ‘arbitrage’ sous peine de voir les utilisateurs chercher des stratégies de contournement. Il prône ainsi une conception de la sécurité centrée utilisateur, en utilisant notamment des démarches de design thinking. Dans ce contexte, il faut notamment prendre correctement en compte la notion de désirabilité de la solution envisagée.

Cette introduction faite, Jean-Henry nous propose de discuter avec lui de trois points qui lui paraissent essentiels dans sa réflexion et sur lesquels il aimerait avoir notre point de vue:

  1. La rupture de confiance massive initiée par l’affaire Snowden en 2013. On ne peut plus nier aujourd’hui qu’il a un réel problème au niveau de la sécurité de nos données. Avant 2013 on s’en doutait; maintenant on le sait.
  2. Le déni de progrès qu’il constate de la part des poids lourds de l’Internet. Ces derniers affirment que la technologie ne peut pas répondre à des préoccupations légitimes de protection de la sphère privée. Or c’est faux !
  3. Le concept de ‘Too fat to change’ qui relève d’un cynisme économique crasse, ces poids lourds n’ayant aucune envie de changer les règles du jeu en raison des problèmes potentiels que cela pourrait avoir sur leur modèle d’affaire.

Jean-Henry MorinJean-Henry regrette le peu de cas que les gouvernements font d’une problématique dans laquelle ce sont des entreprises privées qui dictent un jeu dont la nature est profondément publique. Il voit cependant une lueur d’espoir dans le droit européen qui est en pleine mutation dans ce domaine avec la mise en place de la réforme européenne de la protection des données qui vise une réappropriation de nos données personnelles. Si les lois envisagées en terme de protection des données sont votées prochainement, Jean-Henry prédit 10 ans d’innovation intensive devant nous dans le domaine de la sécurité.

Il sera alors le moment de rendre la confiance aux utilisateurs en renversant l’hypothèse de non-confiance posées par la sécurité conventionnelle.

Le numérique peut également constituer un instrument facilitant une transparence qui permet un empowerment des individus (via un accès facilité à l’information et aux échanges qui peuvent en résulter à travers les médias sociaux ou les plateformes dédiées). Il permet ainsi de rétablir une certaine symétrie dans les relations en renforçant le conversationnel. La co-conformité dans ce contexte naît de la transparence et de cette confiance éclairée.

Jean-Henry introduit à ce stade la notion de co-conformité (co-compliance en anglais). Il s’agit pour lui d’une responsabilité collaborative favorisée par le numérique, permettant aussi bien l’élaboration conjointe de l’objet d’une décision ou d’une action que l’évaluation et le contrôle partagé du résultat.

     L’obéissance à la loi qu’on s’est prescrite serait la liberté ?

 

En paraphrasant Rousseau, il introduit la notion de Responsabilité numérique qui devrait se caractériser par la prise en compte des points suivants:
  1. Conception centrée utilisateur
  2. Prise en compte de toutes les parties prenantes
  3. Proportionnalité des moyens mis en œuvre
  4. Prise en compte du facteur humain
  5. Ouverture et transparence
  6. Partage et collaboration
  7. Parcimonie et humilité de l’usage de l’instrument légal
  8. Appui sur des cadres de politiques publiques durables

Dans une optique de conception responsable des systèmes, Jean-Henry propose de partir sur une approche de type ‘Charte’ associée à un ‘label ouvert’ qui restent encore à élaborer. Dans son esprit Internet n’as pas besoin de policiers. Ce sont les utilisateurs qui peuvent efficacement jouer ce rôle-là.

Il mentionne à ce propos l’existence du groupe de travail Cloud Social Responsibility lancé au sein du think tank Think Services et qui vise à mettre en place un label ouvert facilement appropriable et permettant de qualifier la manière avec laquelle un service cloud respecte les droits (et notamment la sphère privée) de ses utilisateurs.

Causerie Responsabilité Numérique

Photo Bruno Chanel

La discussion qui s’engage autour de ces différents points est passionnante. L’approche proposée par Jean-Henry séduit les participants. Mais certains soulèvent un aspect qui devrait mieux ressortir dans son discours: celui d’une perspective globale centrée non seulement sur la personne, mais également sur le groupe ou la communauté, et sur la société et l’Etat. Car l’individu pris dans sa globalité a certes une importance cruciale dans l’approche; et il faut savoir prendre en compte correctement ses besoins et son point de vue. Mais d’autres aspects doivent être considérés dans des perspectives plus larges sur lesquelles on adresse des thématiques différentes, qui toutes ont leur importance. A ce propos, le point 4 ci-dessus (Prise en compte du facteur humain) devrait clairement être mis en avant.

On note également que les mots n’ont pas la même portée selon les cultures, spécialement dans un domaine tel que celui de la protection des données qui est lui-même différemment perçu selon les pays. Il faudra donc être attentif à la mise en perspective des concepts proposés. Jean-Henry est bien conscient de cette difficulté mais il souligne que les initiants de la licence Creative Commons ont été confrontés au même cas de figure et qu’ils ont su parfaitement surmonter l’obstacle.

Un tel label éthique fait manifestement du sens pour les participants; mais très vite se pose la question cruciale: ‘Comment faire envie pour que les parties prenantes y adhèrent ?’ Pas de réponse définitive à cette question. Mais quelqu’un évoque le parallèle avec le monde du logiciel libre qui a trouvé le moyen de promouvoir sa charte et son label via des licences copyleft. Cet aspect viral des licences libres devrait constituer une source d’inspiration dans ce label à imaginer autour de la responsabilité numérique.

Comme souvent lors des Causeries la discussion prend ensuite des chemins de traverse et nous amène à aborder des sujets connexes au thème de la soirée. On disserte notamment sur le droit des robots et des drones qui soulèvent des questions importantes dont il vaut mieux se préoccuper aujourd’hui avant que les entreprises privées ne nous forcent la main.


 

Jean-Henry Morin

Jean-Henry Morin est professeur associé en systèmes d’information et services informationnels à l’université de Genève. Membre de l’Institut de science des services, il est également président du laboratoire d’idées Think Services. Ses travaux de recherche portent notamment sur la gestion des droits et des politiques numériques, la sécurité des systèmes d’information, notamment dans des approches socialement responsables et durables, la conformité et la gouvernance des risques informationnels.



On a causé de protection des données…

Protection des données

La protection des données, un mythe ?

La question était au cœur de la Causerie du jeudi 27 mars dernier à la Muse. Près de trente personnes avaient rejoint Alexis Roussel, président du Parti Pirate Suisse et défenseur ardent et avisé du numérique, pour en discuter. 

Les opportunités liées au numériques ne sont plus à démontrer. Mais à quel prix ? Force est de constater que nous bénéficions fréquemment d’un confort technologique au prix de concessions dans le domaine de la protection des données et de la sphère privée. Certains n’y voient qu’une évolution naturelle de notre société. D’autres s’en préoccupent et tirent la sonnette d’alarme: la protection des données ne fonctionne pas, ni en Suisse, ni ailleurs !

Alexis est de ceux-ci. Il prône une réappropriation politique et juridique des données. Il souhaite une organisation du marché et est convaincu que les opportunités d’avancer dans la bonne direction existent. Et ce sont ces idées qu’il a voulu partager avec nous ce soir-là.

Il part du constat qu’Internet est résilient et fonctionne très bien malgré tout ce qu’on peut dire. Mais le problème est qu’il connaît actuellement une perte de confiance amplifiée par les affaires de ces derniers mois. D’une part nos données personnelles nous échappent et sont convoitées par de très nombreux acteurs de l’Internet, Google et Facebook en tête. D’autre part nous sommes surveillés par les gouvernements, à l’image de la NSA qui dispose d’un arsenal gigantesque pour espionner la planète numérique.

Pour illustrer la multitude des sociétés qui s’intéressent à nos données lorsque nous surfons sur Internet, Alexis nous propose une démonstration du module Lightbeam qui permet de donner un coup de projecteur sur ceux qui nous surveillent et sur là où partent nos données personnelles. Le résultat est visuel et très convaincant. On remarque notamment que Google Analytics (que nous ne voyons jamais directement) est omniprésent lorsque nous surfons sur le Web.

Lightbeam

Cette constellation de sociétés qui s’intéressent à nos habitudes de navigation et à nos données peut paraître anodine, surtout lorsque l’on estime n’avoir rien à cacher ou à se reprocher. Mais Alexis rappelle qu’il est tout à fait anormal de ne pas être au courant de ces manières de faire et surtout de ne pas être en mesure de s’en protéger (pour le commun des mortels du moins). C’est d’autant plus inquiétant lorsque l’on est un professionnel qui traite et échange sur le Web des données sensibles comme peut le faire quotidiennement un médecin ou un avocat.

L’autre problème majeur réside dans le fait que ces entreprises peuvent savoir énormément de choses sur les individus en agrégeant des données en apparence anodines en terme de protection de la sphère privée. 

Alexis pense que le problème se situe dans un premier temps au niveau juridique. En effet les mécanismes actuellement en place ne fonctionnent pas et ne prennent pas en compte notre identité numérique de manière suffisamment large. L’article 13 de la constitution helvétique précise en effet que « Chaque personne a le droit d’être protégée contre le mauvais usage de ses données personnelles ». Mais cet article ne va pas suffisamment loin. Les mécanismes juridiques appliqués à la personnes devraient en effet être appliqués à nos données afin de préserver notre intégrité numérique.

       Aujourd’hui Internet est un espace de vie ! Et la vraie question est celle de notre personnalité numérique

Pour illustrer son propos, Alexis décrypte avec nous le cas Moneyhouse qui a défrayé la chronique l’année dernière. Cette société collecte les données concernant la situation financière des individus et les revend aux entreprises (de microcrédit notamment). Avec ces manières de faire, et sans garde-fou juridique, on subit un effet d’échelle impressionnant et on abolit quasiment le droit à l’oubli. On se retrouve face à une entreprise dont on n’a jamais entendu parler et qui peut influencer durablement notre vie en vendant des données nous concernant et dont certaines peuvent même être fausses.

Et même si les moyens juridiques de se faire entendre existent, ils ne sont pas tournés à l’avantage du citoyen. Celui-ci doit la plupart du temps compter sur des organisations faîtières pour l’aider dans ce domaine, à l’image de la page proposée par la Fédération Romande des Consommateurs qui explique comment effacer ses données de Moneyhouse.

Après ce tableau introductif plutôt noir de la situation actuelle, Alexis évoque le futur ! Et il n’est pas forcément plus rose. Avec par exemple l’arrivée sur le marché des Google Glass qui permettent potentiellement de filmer tout un chacun en tous temps, partout, et sans son consentement. Où iront ces données ? Quel contrôle aurai-je sur elles lorsqu’on me filme ? Comment régir les interactions des individus dans ce contexte ? On aborde ici de vraies questions sociales. Il y a certes des avantages amenés par ces services numériques qui nous facilitent la vie. Mais à quel prix ? Il faut une vraie réflexion de fond sur le sujet avant de se laisser déborder par des usages dont nous n’aurons ni souhaité ni même envisagé toutes les conséquences. 

DataNSAAlexis évoque également le gros trou noir lié à la sécurité nationale. On assiste depuis quelques années à un tabou intolérable: personne n’a plus un mot à dire lorsqu’elle est mise en avant. Que faire alors ? Ne plus bouger ? Alexis pense que non. Il prône tout d’abord de remettre en question le Safe Harbour qui régit les transferts de données numériques entre l’Europe et les Etats-Unis. Les conditions d’utilisation notamment doivent être revues pour aller vers plus de simplicité. Dans le même temps il faut donner aux citoyens plus d’informations sur le sujet ainsi que les outils pour mieux gérer la question.

Le problème réside dans le fait que les outils en place, qu’ils soient technologiques ou juridiques, considèrent Internet comme un vecteur de communication. Or c’est beaucoup plus que cela: c’est un espace de vie ! Les outils à créer doivent ainsi permettre de protéger l’être humain dans son intégrité numérique.

            Data is not data ! Data is us!

 

Mais au-delà de la volonté des politiques à faire appliquer des mesures adaptées, il faudra veiller à leur applicabilité. Cela nécessitera de repenser le fonctionnement du marché de la donnée, que celle-ci soit personnelle ou anonymisée. A terme le système devrait nous permettre d’aller devant un juge si l’on sait que quelqu’un possède des données nous concernant sans que nous en soyons informés.

Mais où sont les évidences ? questionne le professeur Michel Léonard qui souligne qu’il est très difficile de les obtenir dans le monde numérique. Les outils juridiques risquent ainsi de ne pas trouver de réponse technologique pour faire appliquer les lois.

Alexis est dans tous les cas convaincu qu’une meilleure prise en compte de la protection des données attire les individus et les entreprises et constitue ainsi un moteur à l’innovation. Dans ce sens, la juridiction suisse en la matière peut constituer un avantage compétitif. Preuve en est le nombre croissant d’entreprises qui viennent installer leurs serveurs de données chez nous: la Suisse est en train de devenir un paradis de la vie numérique. Les européens l’ont compris puisqu’ils sont en train de réviser leur droit dans le domaine de la protection des données.

Causerie 'Protection des données'

Le sujet de cette Causerie nous a ensuite emmené vers des thèmes divers et variés : on a notamment évoqué le cloud computing, la monnaie numérique Bitcoin, la plateforme Ethereum, les banques d’informations de demain ou le rôle crucial de l’éducation (à tous les niveaux).

Alexis a eu le mot de la fin en affirmant qu’il faut faire basculer la société en augmentant son niveau de maturité dans le domaine de la protection des données. Le débat commence à avoir lieu dans la population. Il faut maintenant qu’il remonte au niveau politique en interpellant les décideurs pour les aider à mieux comprendre le sujet et à faire les bons choix. Et c’est là l’une des missions que s’est donnée le Parti Pirate.

Références

  • Le billet bien senti de Jacques-André Widmer (qui a participé à la Causerie) sur le blog de la Tribune de Genève
  • Le site d’information citoyenne Ethack 
  • Le site de l’Electronic Frontier Foudation (EFF) qui défend nos droits dans le monde numérique
———————————————————————————————————————————————————–Alexis Roussel
Alexis Roussel est juriste et entrepreneur. Il est président du Parti Pirate Suisse et est à ce titre un militant actif, ardent défenseur du numérique tout en pointant ses dérives.
———————————————————————————————————————————————————–

Ce qu’il faut savoir sur Heartbleed et la sécurité des informations

Le bug Heartbleed est un grave défaut dans OpenSSL, un logiciel de chiffrement qui est en arrière plan des communications sécurisées sur le web. Il a été annoncé par des chercheurs en sécurité informatique, le 7 Avril 2014. Voyons ce qu’il en est.

heartbleed

Comment cela fonctionne-t-il? Le protocole SSL inclut une option “rythme cardiaque” (heartbeat) qui permet à un ordinateur d’envoyer un court message pour vérifier que l’ordinateur avec qui il est en contact est toujours en ligne et obtenir une réponse. Les chercheurs ont constaté qu’il est possible d’envoyer un de ces messages formé de façon malicieuse afin de forcer l’ordinateur contacté à divulguer des informations secrètes. Plus précisément, un ordinateur vulnérable peut être amené à transmettre le contenu de la mémoire du serveur.

Quelles sont les informations qui peuvent être compromises? En triant ces informations récoltés et en filtrant uniquement les parties intéressantes (en utilisant par exemple une technique simple appellée “pattern matching”), des personnes mal intentionnées tentent de trouver des clés secrètes, des mots de passe et des informations personnelles comme les numéros de carte de crédit.

Quels sont les ordinateurs qui sont en risque? Ce type de faille touche principalement ce qu’on appelle les serveurs. Autrement dit la plupart de nos ordinateur familiers au bureau et à la maison ne sont pas les plus exposés. Ce sont plutôt les sites web et les services en ligne que l’on utilise qui sont touchés. Par exemple, les services de messagerie, de stockage de fichiers à distance, de réseaux sociaux, de e-commerce, de banques, etc. La plupart des sites concernés ont pris des mesures pour mettre à jour leur logiciel et sécuriser leurs services. Le nombre exact de sites touchés n’est pas connu, mais la vulnérabilité est censée affecter une fraction importante de l’ensemble des sites sécurisés sur le Web (500’000 sites importants selon certaines sources).

Mais en fait c’est quoi exactement SSL? SSL est le protocole de sécurisation (Secure Socket Layer) qui chiffre les informations transmises entre un ordinateur et le site web visité. Lorsque l’on visite un site sécurisé, l’adresse apparaît avec le préfixe “https” et un petit cadenas fermé apparaît dans la plupart des navigateurs. Le SSL a été introduit depuis longtemps (Netscape 1994) et son implémentation logicielle varie. Plusieurs failles on déjà été trouvées par le passé, mais celle-ci est la plus étendue et la plus dangereuse.

Et pourquoi parle-t-on de OpenSSL? OpenSSL est un programme open source qui met en oeuvre le protocole SSL et qui est l’un des plus largement utilisés au monde. Il est distribué notamment avec les serveurs de sites Apache et nginx. La vulnérabilité existe depuis avril 2012 et elle peut être contournée.

Que dois-je faire comme utilisateur? Si vous êtes simple utilisateur, vous devez vous assurer que les sites que vous utilisez ont fait le nécessaire pour mettre à jour la partie défaillante. Vous pouvez toujours aussi avertir le propriétaire du site de votre questionnement et demander qu’il vous renseigne. De façon plus directe, les ressources ci-dessous vous permettront d’avoir une information avec l’adresse web du service. Dans le doute, il est préférable d’éviter d’introduire des informations qui doivent être sécurisées (password, login, cartes de crédit et autres informations sensibles) et de changer de password, seulement une fois que vous êtes certain que le site à été mis à jour. Ainsi vous vous assurez que les informations éventuellement compromises ne pourront pas être utilisées. Si vous êtes en charge d’un serveur, il faut absolument vérifier sa sécurité et prendre les mesures techniques nécessaires.

Quelles sont les ressources utiles?

Une liste des sites les plus connus et leur statut ainsi que les actions recommandées est disponible ici
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Une liste de sites testés est disponible ici
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt

Une adresse pour savoir si le site que vous allez visiter est affecté par le bug
http://filippo.io/Heartbleed/