Skip to content

Étiquette : sécurité

SPAM : un espoir de solution ?

Posted in tendances

J’ai déjà évoqué les ravages du SPAM (cf. ce billet) qui me paraissent aujourd’hui beaucoup plus significatifs que ceux liés aux virus.

Une solution semble se profiler avec la normalisation par l’IETF (un des grands organismes de standardisation avec le W3C et l’OASIS) de DKIM.

DKIM signifie Domain Key Identified Mail : il s’agit d’un protocole conçu par Yahoo ! et CISCO.
DKIM est basé sur le principe suivant :

  • le serveur d’envoi des emails (SMTP) signe électroniquement les messages pour attester de leur provenance
  • à l’arrivée d’un email, le serveur de réception (POP3 ou IMAP4) vérifie que la signature est conforme au nom de domaine déclaré
  • si la signature n’est pas conforme, c’est que l’email provient d’un SPAMMEUR qui masque son adresse d’expédition

Ce mécanisme est basé sur les principes de la PKI et de la cryptographie à clef publique; il permet de détecter une adresse d’expédition falsifiée.

DKIM restera malheureusement inopérant lorsque le SPAMMEUR a pris le contrôle d’un poste utilisateur (PC Zombie) et qu’il usurpe totalement l’identité d’une personne de bonne foi.
Néanmoins, si ce standard était implémenté rapidement par tous les logiciels et services en ligne de messagerie, on pourrait voir diminuer de manière importante le trafic des SPAMS en 2008.

Espérons que les éditeurs vont se mettre rapidement au travail…

NFC, vers la fusion entre téléphone et carte de paiement

Posted in tendances

Le NFC (Near Field Communication) est un nouveau standard de communication sans contact, fonctionnant à courte distance : moins de 5 cm.
Cette technologie est compatible avec les RFID, dont elle reprend certaines propriétés (cf. cette tribune).

Les NFC sont destinés à des usages de forte proximité, comme par exemple le paiement sans contact : en effet, dans le cadre d’un paiement, on ne peut pas de permettre le risque d’interférence entre plusieurs utilisateurs.

Les fonctions de communication offertes par les NFC sont les suivantes :

  • touch and go, il suffit d’approcher le support NFC pour établir le contact : cette fonction peut être utilisée pour transmettre une adresse internet à un téléphone pour avoir plus d’informations sur un évènement indiqué par une affiche ;
  • touch and confirm, une confirmation est nécessaire comme un mot de passe ou un code : cette fonction est adaptée pour un paiement ;
  • touch and connect, l’initiation d’une session NFC est suivie d’un transfert de données en mode P2P ;
  • touch and explore, une fois la connexion établie, l’utilisateur a le choix entre plusieurs actions ou services.

Un des usages les plus intéressant des NFC est leur intégration dans la carte SIM d’un téléphone portable : on peut alors envisager la fusion entre une carte de paiement (au standard international EMV) et une carte SIM, avec une capacité de paiement sans contact.
Ce dispositif, testé actuellement par le Crédit Mutuel (voir ce lien), offre deux avantages importants :

  • une grande ergonomie pour l’utilisateur, qui utilise son téléphone comme un système de paiement simplifié
  • un plus grand niveau de sécurité qu’une carte bancaire, car le moyen de paiement ne quitte jamais la main du porteur. Ainsi les risques de fraude à la carte bleue en arrière boutique sont écartés.

Je suis pressé de voir cette technologie se répandre, et vous?

Le SPAM, un fléau à éliminer en priorité

Posted in tendances

Les publications informatiques en ligne relaient régulièrement des informations sur les failles de sécurité : failles des navigateurs, des systèmes d’exploitation, etc. Cette information est quelque peu surreprésentée dans la presse, si l’on considère qu’elle concerne essentiellement les gestionnaires de parcs informatique.
En effet, coté utilisateur, lorsqu’on applique les 3 règles d’or édictés par Microsoft (activation de Windows Update, d’un firewall et d’un antivirus), la sécurité du poste de travail est relativement bien assurée. Je n’affirme pas ici que la sécurité est un domaine que l’on peut traiter à la légère, mais je pense que la surinformation des utilisateurs finaux n’apporte pas grand chose, au delà de la théorie du complot.

Le SPAM est à mon sens un fléau autrement plus grave que les vers et virus. En effet, il a des impacts réels sur la productivité des collaborateurs et la disponibilité des infrastructures :

  • Selon certaines études, on peut perdre jusqu’à une heure par jour à trier ses SPAMS, à tel point que certaines entreprises ont décidé de bannir l’email des échanges internes (un retour en arrière inattendu).
  • Avec un filtre anti-spam, comme celui de Thunderbird, le travail de tri n’est pas à faire, mais le trafic des SPAMS fait perdre de précieuses ressources au niveau réseau, serveur de messagerie, et poste utilisateur.
  • Les filtres anti-spam sont généralement absents des Webmails et terminaux mobiles (Blackberry, Windows Mobile, etc.) et le problème reste entier au sein de ces interfaces.

Il existe pourtant des initiatives pour faire un contrôle anti-spam sur les serveurs de mail, comme Sender ID. Seulement, les acteurs de l’informatique n’ont pas réussi à se mettre d’accord sur une norme commune.
En complément, des mesures juridiques à l’échelle internationale pourraient permettre de lutter efficacement contre ce fléau.

Mais il apparaît que les travaux techniques et juridiques sont au point mort, et que le SPAM continue à augmenter dans le monde. Je rejoins la position de Viviane Reding (membre de la communauté européenne, chargée de la société de l’information) pour affirmer que cet état de fait est intolérable.

Les Pays Bas ont mené une politique volontariste sur le sujet et réussi à faire baisser le SPAM de 85% dans leur pays.
Quand allons-nous nous atteler à ce problème en France ?
Il me semble que cela devrait être une priorité pour 2007.

Qu’en pensez-vous ?

Réflexions sur la protection de la propriété intellectuelle

Posted in tendances

Ce billet fait suite à une discussion avec Bruno Pennec, Marc Eric Triouiller et Christian Hartz de SQLI Paris.

Qu’est ce que les DRM ?

L’acronyme DRM (Digital Right Management) désigne les systèmes qui permettent de gérer les usages d’un fichier à la suite de son téléchargement. Ces solutions permettent ainsi de spécifier que :

  • Le fichier ne pourra être dupliqué, ou pourra être dupliqué seulement N fois
  • Il ne pourra être lu que sur le PC qui l’a téléchargé
  • Il ne pourra être modifié
  • Il ne pourra plus être lu au delà d’une certaine date
  • Etc.

Les systèmes de DRM sont apparus avec les plates-formes de téléchargement de média audio/vidéo. Ainsi Apple, Microsoft et Real Networks ont chacun leur technologie.
Des travaux ont été lancés pour normaliser les technologies DRM, et les étendre à tous types de fichiers (documents bureautiques, par exemple), mais ils n’ont jamais abouti. De fait, les DRM sont des écosystèmes fermés, à la manière des messageries instantanées.

Richard Stallman, le père de GNU, milite actuellement pour la suppression de ces DRM. La question qui se pose aujourd’hui est de savoir si ces systèmes de protection très contraignant ont vraiment un intérêt.

Protection des contenus multimédia

Dans le monde de la musique en ligne, la plupart des plateformes intègrent des systèmes DRM, mais les choses semblent évoluer : en effet, des acteurs comme emusic.com ou fnac.com ont commencé à vendre des contenus sans les protéger.

Protection des logiciels

Dans le monde des logiciels, trois écoles s’affrontent :

  • Les éditeurs les plus actifs au sein de la BSA (Business Software Alliance), comme Microsoft et Adobe, protègent de plus en plus leurs logiciels par des systèmes d’activation sophistiqués.
  • D’autres, comme Oracle ou IBM, ne protègent pas leurs logiciels, comptant sur la bonne fois de leurs clients, et sur leur besoin de support. Il faut noter qu’il s’agit là de logiciels critiques dans les systèmes d’informations et qui n’intéressent pas le grand public.
  • Enfin, des acteurs de l’Open Source, comme Mozilla, distribuent leurs logiciels gratuitement et, par conséquent, ne les protègent pas.

Protection des contenus documentaires

Il existe des technologies DRM pour protéger les documents bureautiques (cf. la gestion des droits relatifs à l’information dans Office 2003), mais ils sont peu utilisés dans la pratique.
De plus, on constate, en pratique, que les collaborateurs ont peu conscience des contraintes de propriété intellectuelle dans les entreprises.

Ainsi les pages Web sont fréquemment copiées pour intégration dans des espaces de capitalisation. Des images issues des sites Web sont souvent retrouvées dans des présentations PowerPoint sans aucune vérification de copyright. Des études de cabinet d’analyse sont dupliquées sans aucune arrière pensée.

Ces différents exemples tendent à montrer que le respect de la propriété intellectuelle est plus souvent une affaire d’éducation, de connaissance des règles, de prise de conscience, que de technologie contraignante.
Qu’en pensez-vous ?