Lire et commenter le neuvième chapitre de ProspecTIC 2010 : Confiance et sécurité.

En synthèse

• Les puces sans contact et la biométrie se généralisent à des fins d’identification et d’authentification.
• Les systèmes de confiance (signature, preuve…) deviennent accessibles aux PME et même aux particuliers, ce qui ne signifie pas nécessairement que ceux-ci les utilisent massivement.
• Des réseaux et « cercles » de confiance, formels ou informels, liés ou non à des grands intermédiaires, émergent tant entre les particuliers qu’entre les entreprises. Avec les technologies de protection de la vie privée (PETs), ils sont symptomatiques d’une volonté de faire le partage entre confiance et sécurité et de préserver un degré de contrôle et d’arbitrage, par les individus, sur leur présence et leurs relations numériques.
• Le renforcement continu des formes de sécurisation des systèmes, des communications et des contenus s’accompagne de la recherche de formes adaptées à un monde ouvert et à des usages de plus en plus mobiles. L' »intelligence ambiante » repose de manière totalement neuve le problème de la sécurité et de la confiance – tant face aux attaques ou aux dysfonctionnements possibles, que vis-à-vis des intentions des promoteurs de ces systèmes !
• La tension entre sécurité et confiance, entre contrôle et liberté, entre transparence et vie privée, demeure durablement forte et peut avoir pour effet de ralentir le déploiement de technologies nouvelles dans ce domaine, ou d’en limiter les applications.

Extraits

Identification et authentification
La multiplication des puces identifiantes suscite des inquiétudes, voire de véritables rejets, pour au moins deux raisons. D’une part, il est difficile de contrôler ce que différentes puces stockent ou ne stockent pas, et la tentation de rapprocher des informations très différentes sera naturellement forte. D’autre part, le côté « sans contact  » de ces puces se prête à des lectures subreptices, par exemple lors du passage d’une personne dans un lieu public (…).

La biométrie n’est cependant pas une solution suffisante d’identification ou d’authentification : d’une part, les techniques ne garantissent pas une reconnaissance sans erreur, dans un sens (« fausse acceptation ») comme dans l’autre (« faux rejet ») ; d’autre part, identifier une personne à partir de données biométriques suppose que celles-ci puissent être comparées à des entrées dans une base de données, et que celui qui demande l’identification ait le droit de consulter cette base ; enfin, la biométrie suscite logiquement des craintes de la part du public comme des autorités de protection de la vie privée. (…)

Sécurité et confidentialité des échanges
Associés aux infrastructures à clés publiques (PKI, pour Public Key Infrastructures), les dispositifs de « preuve électronique », nécessaires à la dématérialisation de nombreux échanges et procédures, sont eux aussi techniquement opérationnels. Il s’agit de la signature électronique (garantie de l’authenticité d’un document), de l’horodatage, de l’archivage, tous éléments qui peuvent être stockés dans des « serveurs de preuves ».

L’une des principales difficultés dans ce domaine concerne cependant la gestion des clés. Comment assurer efficacement la diffusion des informations à jour sur les clés publiques ? Comment créer les clés privées pour ceux qui en ont besoin, tout en maintenant le secret ? Les réponses à ces questions ne sont pas prioritairement techniques, mais économiques et organisationnelles. Malgré l’existence d’un cadre réglementaire adapté, les « tiers de confiance » peinent à trouver leur modèle économique. (…)

Gestion des identités et protection de la vie privée
La gestion des identités numériques et des données personnelles est un domaine ou cohabitent deux logiques qui coopèrent ou s’opposent selon les cas : celle de la protection d’un côté, celle de la commodité de l’autre. (…)

Les approches non-technologiques de la confiance
Les systèmes de confiance à base de réputation (ou reputation-based trust models) ont été popularisés par les profils d’évaluation des vendeurs en vigueur sur le site d’enchères eBay. Ils constituent désormais, un domaine de recherche à part entière, dans lequel il s’agit à la fois de comprendre les mécanismes de cette confiance « communautaire » et d’en étendre l’application, par exemple dans les réseaux P2P ou les jeux en réseau… (…)

La sécurité des réseaux et des systèmes informatiques
Les réseaux et l’électronique resteront enfin, de manière durable, soumis à la pression continue des différentes formes de « piraterie » informatique : intrusions, attaques diverses, virus, spams, contrefaçon, etc. (…)

La sécurité de l' »internet des objets »
Les « grilles de calcul » et les réseaux P2P, s’ils sont détournés, deviennent potentiellement des outils de « frappe » particulièrement puissants. Les objets « intelligents » deviennent à la fois des moyens de surveillance à contrôler (et dont il est tentant de prendre le contrôle), défendre, maîtriser (contre des dysfonctionnements, voire des emballements liés à leur mise en réseau)… Dès lors que les systèmes deviennent plus complexes, plus répartis, plus mobiles, et toujours plus communicants les facteurs de vulnérabilité se multiplient et le coût des attaques s’accroît. (…)

Doit-on se résoudre à vivre avec le spam ? Peut-on faire confiance aux objets qui nous entourent quand ils échangent des informations dont nous ne savons rien ? Comment autoriser les accès à mes multiples données avec suffisamment de transparence pour que ce ne soit pas une contrainte pour moi, et suffisamment de sécurité pour rendre possible une large gamme d’accès ? Sans une sécurité accrue, la mise en réseau des objets ne risque-t-elle pas de devenir une aliénation supplémentaire plutôt qu’une intelligence augmentée ?

Venez réagir et collaborer à ProspecTIC 2010, l’exercice de prospective de la Fing et de l’Irepp.