Perspective IT

par Guillaume Plouin

Messages étiquettés sécurité

SPAM : un espoir de solution ?

juin 27

Publié par Guillaume Plouin dans tendances | Aucun commentaire

J’ai déjà évoqué les ravages du SPAM (cf. ce billet) qui me paraissent aujourd’hui beaucoup plus significatifs que ceux liés aux virus.

Une solution semble se profiler avec la normalisation par l’IETF (un des grands organismes de standardisation avec le W3C et l’OASIS) de DKIM.

DKIM signifie Domain Key Identified Mail : il s’agit d’un protocole conçu par Yahoo ! et CISCO.
DKIM est basé sur le principe suivant :

  • le serveur d’envoi des emails (SMTP) signe électroniquement les messages pour attester de leur provenance
  • à l’arrivée d’un email, le serveur de réception (POP3 ou IMAP4) vérifie que la signature est conforme au nom de domaine déclaré
  • si la signature n’est pas conforme, c’est que l’email provient d’un SPAMMEUR qui masque son adresse d’expédition

Ce mécanisme est basé sur les principes de la PKI et de la cryptographie à clef publique; il permet de détecter une adresse d’expédition falsifiée.

DKIM restera malheureusement inopérant lorsque le SPAMMEUR a pris le contrôle d’un poste utilisateur (PC Zombie) et qu’il usurpe totalement l’identité d’une personne de bonne foi.
Néanmoins, si ce standard était implémenté rapidement par tous les logiciels et services en ligne de messagerie, on pourrait voir diminuer de manière importante le trafic des SPAMS en 2008.

Espérons que les éditeurs vont se mettre rapidement au travail…

Étiquettes:

NFC, vers la fusion entre téléphone et carte de paiement

juin 5

Publié par Guillaume Plouin dans tendances | Aucun commentaire

Le NFC (Near Field Communication) est un nouveau standard de communication sans contact, fonctionnant à courte distance : moins de 5 cm.
Cette technologie est compatible avec les RFID, dont elle reprend certaines propriétés (cf. cette tribune).

Les NFC sont destinés à des usages de forte proximité, comme par exemple le paiement sans contact : en effet, dans le cadre d’un paiement, on ne peut pas de permettre le risque d’interférence entre plusieurs utilisateurs.

Les fonctions de communication offertes par les NFC sont les suivantes :

  • touch and go, il suffit d’approcher le support NFC pour établir le contact : cette fonction peut être utilisée pour transmettre une adresse internet à un téléphone pour avoir plus d’informations sur un évènement indiqué par une affiche ;
  • touch and confirm, une confirmation est nécessaire comme un mot de passe ou un code : cette fonction est adaptée pour un paiement ;
  • touch and connect, l’initiation d’une session NFC est suivie d’un transfert de données en mode P2P ;
  • touch and explore, une fois la connexion établie, l’utilisateur a le choix entre plusieurs actions ou services.

Un des usages les plus intéressant des NFC est leur intégration dans la carte SIM d’un téléphone portable : on peut alors envisager la fusion entre une carte de paiement (au standard international EMV) et une carte SIM, avec une capacité de paiement sans contact.
Ce dispositif, testé actuellement par le Crédit Mutuel (voir ce lien), offre deux avantages importants :

  • une grande ergonomie pour l’utilisateur, qui utilise son téléphone comme un système de paiement simplifié
  • un plus grand niveau de sécurité qu’une carte bancaire, car le moyen de paiement ne quitte jamais la main du porteur. Ainsi les risques de fraude à la carte bleue en arrière boutique sont écartés.

Je suis pressé de voir cette technologie se répandre, et vous?

Étiquettes: ,

Le SPAM, un fléau à éliminer en priorité

déc 14

Publié par Guillaume Plouin dans tendances | 1 commentaire

Les publications informatiques en ligne relaient régulièrement des informations sur les failles de sécurité : failles des navigateurs, des systèmes d’exploitation, etc. Cette information est quelque peu surreprésentée dans la presse, si l’on considère qu’elle concerne essentiellement les gestionnaires de parcs informatique.
En effet, coté utilisateur, lorsqu’on applique les 3 règles d’or édictés par Microsoft (activation de Windows Update, d’un firewall et d’un antivirus), la sécurité du poste de travail est relativement bien assurée. Je n’affirme pas ici que la sécurité est un domaine que l’on peut traiter à la légère, mais je pense que la surinformation des utilisateurs finaux n’apporte pas grand chose, au delà de la théorie du complot.

Le SPAM est à mon sens un fléau autrement plus grave que les vers et virus. En effet, il a des impacts réels sur la productivité des collaborateurs et la disponibilité des infrastructures :

  • Selon certaines études, on peut perdre jusqu’à une heure par jour à trier ses SPAMS, à tel point que certaines entreprises ont décidé de bannir l’email des échanges internes (un retour en arrière inattendu).
  • Avec un filtre anti-spam, comme celui de Thunderbird, le travail de tri n’est pas à faire, mais le trafic des SPAMS fait perdre de précieuses ressources au niveau réseau, serveur de messagerie, et poste utilisateur.
  • Les filtres anti-spam sont généralement absents des Webmails et terminaux mobiles (Blackberry, Windows Mobile, etc.) et le problème reste entier au sein de ces interfaces.

Il existe pourtant des initiatives pour faire un contrôle anti-spam sur les serveurs de mail, comme Sender ID. Seulement, les acteurs de l’informatique n’ont pas réussi à se mettre d’accord sur une norme commune.
En complément, des mesures juridiques à l’échelle internationale pourraient permettre de lutter efficacement contre ce fléau.

Mais il apparaît que les travaux techniques et juridiques sont au point mort, et que le SPAM continue à augmenter dans le monde. Je rejoins la position de Viviane Reding (membre de la communauté européenne, chargée de la société de l’information) pour affirmer que cet état de fait est intolérable.

Les Pays Bas ont mené une politique volontariste sur le sujet et réussi à faire baisser le SPAM de 85% dans leur pays.
Quand allons-nous nous atteler à ce problème en France ?
Il me semble que cela devrait être une priorité pour 2007.

Qu’en pensez-vous ?

Étiquettes:

Intervention au Forum Intégration

nov 14

Publié par Guillaume Plouin dans évènements | Aucun commentaire

Je ferai une intervention au Forum Intégration, grand rendez-vous des architectes de systèmes d’information, qui se tiendra la semaine prochaine du 21 au 23 novembre.

la présentation s’intitulera "Sécuriser la plate-forme SOA" et aura lieu le 23 novembre au matin.

Pour en savoir plus, voir le programme sur Forum : http://www.integration.fr/congres.html

Étiquettes: ,

Réflexions sur la protection de la propriété intellectuelle

nov 14

Publié par Guillaume Plouin dans tendances | Aucun commentaire

Ce billet fait suite à une discussion avec Bruno Pennec, Marc Eric Triouiller et Christian Hartz de SQLI Paris.

Qu’est ce que les DRM ?

L’acronyme DRM (Digital Right Management) désigne les systèmes qui permettent de gérer les usages d’un fichier à la suite de son téléchargement. Ces solutions permettent ainsi de spécifier que :

  • Le fichier ne pourra être dupliqué, ou pourra être dupliqué seulement N fois
  • Il ne pourra être lu que sur le PC qui l’a téléchargé
  • Il ne pourra être modifié
  • Il ne pourra plus être lu au delà d’une certaine date
  • Etc.

Les systèmes de DRM sont apparus avec les plates-formes de téléchargement de média audio/vidéo. Ainsi Apple, Microsoft et Real Networks ont chacun leur technologie.
Des travaux ont été lancés pour normaliser les technologies DRM, et les étendre à tous types de fichiers (documents bureautiques, par exemple), mais ils n’ont jamais abouti. De fait, les DRM sont des écosystèmes fermés, à la manière des messageries instantanées.

Richard Stallman, le père de GNU, milite actuellement pour la suppression de ces DRM. La question qui se pose aujourd’hui est de savoir si ces systèmes de protection très contraignant ont vraiment un intérêt.

Protection des contenus multimédia

Dans le monde de la musique en ligne, la plupart des plateformes intègrent des systèmes DRM, mais les choses semblent évoluer : en effet, des acteurs comme emusic.com ou fnac.com ont commencé à vendre des contenus sans les protéger.

Protection des logiciels

Dans le monde des logiciels, trois écoles s’affrontent :

  • Les éditeurs les plus actifs au sein de la BSA (Business Software Alliance), comme Microsoft et Adobe, protègent de plus en plus leurs logiciels par des systèmes d’activation sophistiqués.
  • D’autres, comme Oracle ou IBM, ne protègent pas leurs logiciels, comptant sur la bonne fois de leurs clients, et sur leur besoin de support. Il faut noter qu’il s’agit là de logiciels critiques dans les systèmes d’informations et qui n’intéressent pas le grand public.
  • Enfin, des acteurs de l’Open Source, comme Mozilla, distribuent leurs logiciels gratuitement et, par conséquent, ne les protègent pas.

Protection des contenus documentaires

Il existe des technologies DRM pour protéger les documents bureautiques (cf. la gestion des droits relatifs à l’information dans Office 2003), mais ils sont peu utilisés dans la pratique.
De plus, on constate, en pratique, que les collaborateurs ont peu conscience des contraintes de propriété intellectuelle dans les entreprises.

Ainsi les pages Web sont fréquemment copiées pour intégration dans des espaces de capitalisation. Des images issues des sites Web sont souvent retrouvées dans des présentations PowerPoint sans aucune vérification de copyright. Des études de cabinet d’analyse sont dupliquées sans aucune arrière pensée.

Ces différents exemples tendent à montrer que le respect de la propriété intellectuelle est plus souvent une affaire d’éducation, de connaissance des règles, de prise de conscience, que de technologie contraignante.
Qu’en pensez-vous ?

Étiquettes: ,

Publication « la contractualisation électronique enfin possible »

nov 2

Publié par Guillaume Plouin dans publications | Aucun commentaire

J’ai écrit, ce mois ci, une tribune pour le journal du Net sur la contractualisation électronique.

Cet article fait le point sur les technologies actuelles pour gérer les problématiques suivantes :

  • signature électronique
  • horodatage
  • archivage légal

Il montre que les solutions sont aujourd’hui opérationelles.

Pour le lire : http://solutions.journaldunet.com/0610/061019-tribune-sqli.shtml

Étiquettes:

CleverSafe : solution ultime pour sécuriser les données

août 24

Publié par Guillaume Plouin dans tendances | 1 commentaire

Je vous conseille le billet très intéressant de Louis Naugès sur l’offre CleverSafe. Cette société propose une méthode de stockage sur Internet avec une garantie sur l’intégrité des données, basée sur un tronçonnage des fichiers et la réplication des tronçons sur des serveurs éparpillés sur la planète.

Ce principe rappelle celui de l’archivage RAID5 ou de la distribution des fichiers avec BitTorrent. Il est proposé en Open Source.

Un point me parait extrêmement élégant dans ce principe : la confidentialité des données est assurée par le tronçonnage massif des fichiers et non par un chiffrement gourmand en ressources processeur. Ainsi, seul le propriétaire des données qui connait les identifiant des tronçons peut reconstituer un fichier. Le système offre donc un haut niveau de garantie en terme d’intégrité et de confidentialité en une seule passe.

Je suis d’accord avec L. Naugès pour dire que cette méthode a énormément d’avenir. En effet, de nombreuses entreprises réfléchissent aujourd’hui sur des système de "disaster recovery" capable de sauver leurs données en cas de ras de marée ou de tremblement de terre. La méthode de CleverSafe me parait très adaptée à ces besoins.

Étiquettes: ,

Quel niveau de sécurité attendre du Web 2.0 ?

août 14

Publié par Guillaume Plouin dans tendances | Aucun commentaire

Comme je le précisais dans ma tribune du Journal du Net "Enterprise 2.0 : vision d’avenir ou fumisterie ?", le Web 2.0 souffre encore de problèmes de jeunesse.

Les services ne proposent en effet pas beaucoup de garanties en terme de :

  • Confidentialité des données : le fournisseur s’engage en général à ne pas divulguer les données auprès de tiers, mais il ne précise pas l’usage qu’il en fait lui-même ;
  • Qualité de service : aucun engagement n’est pris sur le nombre d’accès simultanés ou la capacité à monter en charge ;
  • Réversibilité : la possibilité pour l’utilisateur de récupérer facilement ses données s’il souhaite passer à une autre offre est rarement proposée.

Par ailleurs, pour utiliser un service comme Netvibes, l’utilisateur doit lui communiquer l’ensemble de ses mots de passe (gmail, del.icio.us, etc.).

Le Web 2.0 offre donc dans sa version actuelle peu de garantie en terme de sécurité des accès et des données.

Sur la partie authentification, les choses sont cependant en train de progresser. En effet, le Web 2.0 commence à proposer des serveurs d’identité. Il devient ainsi possible de déléguer l’authentification d’un service à un système centralisé (j’ai décrit le fonctionnement des serveurs d’identité dans cette tribune : "Gestion d’identité : vers la troisième génération"). Ainsi, des services comme getopenid.com, myopenid.com, ou Personal Identity Provider sont extrêmement prometteurs. Il se pourrait même qu’ils influencent les travaux de normalisation autour des services d’identité…

Étiquettes: , ,