Posts Tagged Security
Le “cas Kindle” d’Amazon signe-t-il l’acte de naissance du contenu numérique ?
Posted by Frédéric Abella in Telecom, Networks&Media on October 16th, 2009
(publié dans La Tribune le 23/09/2009)
Juillet 2009 restera un mois marqué par la suppression de plusieurs livres, directement et à distance, sur les lecteurs de livres électroniques de clients. Cette opération maladroite, initiée par un distributeur majeur de contenus numériques, à cause d’une problématique de droits d’auteur, a provoqué la colère des consommateurs qui avaient acquis ces livres en parfaite légalité. Décryptage…
Nous avons, à mon sens, affaire ici à un acte fondateur dans l’histoire du livre électronique, et par extension de tous les contenus numériques. En effet, la décision d’Amazon permet à tous de comprendre qu’un livre numérique n’est pas la simple transposition d’un livre physique. Nous assistons donc bien aujourd’hui à la naissance publique du contenu numérique à part entière, ainsi que d’un écosystème qui lui est propre.
Ceci peut paraître paradoxal, car l’opinion générale parle plutôt d’un coup d’arrêt ! Il s’agit effectivement d’un sentiment de blocage, tout un chacun réalisant l’ampleur du phénomène et des chantiers à venir. Et à travers la perception justifiée d’intrusion par l’opinion générale, cette décision met en lumière la méconnaissance du grand public dans l’utilisation des appareils électroniques communicants. Elle ranime même une véritable méfiance envers les “boîtes noires”, également applicable aux mécanismes de paiement ou aux systèmes de vote électronique, par exemple.
C’est pourquoi je préfère parler de naissance. Car cette affaire révèle l’apparition du livre électronique, dans toute son entièreté et sa complexité numérique dans un monde virtuel : droit des contenus numériques (droit d’auteur, de copie…) et maîtrise du système (administration de l’équipement terminal, ingérence dans l’espace privé…). Elle place également en avant des acteurs, qui permettent à chacun un contrôle du monde numérique, comme les tiers de confiance, ou les gestionnaires de certifications, dont nombre de promesses encourageantes viennent de l’open source, plus indépendant.
Maintenant, la difficulté est d’expliquer au grand public cette “destruction” opérée par Amazon, d’un objet acquis légalement par des clients et détenu sur un équipement privé de surcroît. Ces derniers ont bien acheté le Kindle, qui est donc devenu leur propriété privée, tout comme le serait un lecteur MP3, par exemple. Mais il est important de savoir que ce Kindle contient aussi un logiciel propriétaire qui renseigne Amazon sur le contenu de l’équipement et sur leurs actions.
Les clients pensent également avoir acheté un livre “électronique”, en tous points similaire à un livre “papier”. En réalité, ils n’ont acquis qu’un droit de lecture sur ce contenu ; le contrat Amazon sur l’utilisation des contenus numériques précise bien en effet que la licence confère “un droit non-exclusif de conservation [sur ce type d'appareil] d’une copie pour usage individuel [lecture, affichage, visualisation] à but non commercial”.
Cette intrusion dans le système privé d’une tierce personne s’apparente donc à un viol du droit, en application de l’article 323-3 du Code Pénal relatif à l’introduction, la suppression ou la modification frauduleuse de données dans un système de traitement automatisé. Des actions sont d’ailleurs en cours aux Etats-Unis.
La suppression des livres, au nom du respect des droits d’auteur, est assez paradoxale puisqu’elle entraîne de facto la destruction des notes et commentaires écrits par les clients, qui deviennent par conséquent auteurs eux aussi ! Finalement, il est légitime de se poser la question : qu’est-ce qu’un livre électronique ? Il est en fait ce que nous voulons en faire, en fonction du contenu, du support et de ce que l’on possède !
Le contenu est le texte, qui est produit (écrit) par un auteur et consommé (lu) par un lecteur. Le support est ce qui permet de lire ce texte. L’objet possédé résulte ainsi de l’addition “texte plus support”, jusqu’à maintenant sous une forme papier, et plus récemment audio. Ce livre peut être acheté – neuf (dans une librairie) ou d’occasion -, il peut être prêté ou donné (par un ami), ou bien encore attribué de façon temporaire (gratuitement ou via un abonnement en bibliothèque).
Un point crucial réside dans le fait que le livre papier que vous achetez est à vous : vous pouvez ensuite le prêter, le donner, le vendre, ou le conserver dans votre bibliothèque. C’est le vôtre, il est unique (différent de celui de votre voisin) avec sa forme, sa présentation caractéristiques, son histoire, et il n’est plus lié à la manière dont vous l’avez acheté.
Aujourd’hui, les acteurs comme Amazon nous proposent une nouvelle possibilité de lire ce texte, sur un support électronique unique et avec une offre qui n’est pas la vente d’un texte, mais la mise à disposition d’un contenu numérique, qui constitue la copie d’un contenu original. La force du numérique est de réaliser une reproduction parfaite, sans défaut donc sans passé, sans unicité et sans originalité. C’est ce que nous avons déjà avec la musique et les mp3. Cette disparition de l’objet unique perturbe certaines personnes d’autant plus qu’on leur explique que cette copie ne leur appartient pas !
Alors, l’objet unique électronique n’existerait donc pas ? Non, ou du moins pas encore. Il pourrait être, pour le grand public, la combinaison d’un texte (original) et de ses propres notes, par exemple. En effet, il est aujourd’hui possible de rendre unique un contenu numérique en lui adjoignant un “tatouage” par la technique du watermarking. Ainsi, le livre numérique contenant le texte de “1984″ avec les notes de Joël de Rosnay ou de Bill Clinton, n’aura pas la même valeur qu’une copie parfaite standard. Et on pourra envisager de le donner ou de le vendre. Rappelons que cet objet unique n’est qu’une possibilité parmi d’autres.
Quelles sont donc les perspectives que l’on peut déjà identifier dans un avenir proche ? L’union d’Internet, des hyperliens et d’un livre mobile offre à notre imaginaire créatif un champ de possibilités infinies. Prenons trois cas d’applications limités à un texte donné :
- Lié à internet, le texte devient ouvert ; vous pouvez en temps réel commenter et annoter le texte de manière communautaire, le partager avec le public à l’instar de ce qui se pratique actuellement sur des blogs, voire échanger avec l’auteur et participer ainsi à la création
- Libéré du papier, le texte devient vivant ; l’histoire peut évoluer en fonction de vos choix. Le livre s’adaptera à votre niveau afin de vous former, en vous posant des questions. Il s’adaptera en fonction du lieu où vous vous situez, ou de vos caractéristiques et comportements personnels.
- Le texte devient libre de son support ; vous pouvez acheter un texte et le lire de façon différente : sur papier, via Kindle, sur votre SmartPhone… Vous devez pouvoir aussi le stocker en ligne pour le retrouver partout, quel que soit son format d’acquisition. La séparation des droits de lecture, de copie et de support vous permettra alors de pouvoir acheter le livre papier, ou bien de ne payer que le support pour l’avoir en version numérique complète, ou encore de payer un droit de lecture audio en partie pour un temps défini, louer un chapitre, etc…
L’analogie du secteur de l’édition ou de la presse avec les autres filières média (musique, vidéo…) montre que la lecture en ligne (ou “streaming”) doit être possible. Ainsi, à l’image des DVDs, on pourra disposer de plusieurs variantes du texte (version courte, director’s cut…), des commentaires de l’auteur ou de l’éditeur, de son père, de l’acteur qui joue le rôle dans l’adaptation au cinéma du film tiré du livre, etc. Une fois cette révolution des techniques et des usages accomplie, alors le livre constituera un véritable contenu numérique…
Frédéric Abella
consultant “média & telecoms” chez Devoteam Consulting
(12 votes)
Loading ...Sécurisation des frontaux Web RIA/RDA
Posted by Yannick Le Bruchec in Security, Web applications on March 10th, 2009
La problématique de sécurisation des frontaux Web dits “RIA” ou “RDA” (Rich Internet Application ou Rich Desktop Application) entre dans le scope des préoccupations des utilisateurs. Le domaine bancaire est à ce jour l’un des plus attentif aux apports potentiels de ce type de technologie, mais s’attache encore à traiter ses failles de sécurité sur le ton de l’étude ou du Proof of concept.
La maturité opérationnelle n’est donc pas encore atteinte du moins pour envisager sereinement une généralisation significative de ces solutions. Les analyses de risque prennent en compte les différents cas d’utilisation et menaces possibles aux seins du SI bancaire :
- Portails et sites transactionnels bancaires sensibles (exemple : banque en ligne particuliers, professionnels et entreprises)
- Portails et sites vitrines internet peu sensibles
- Applicatifs transactionnels intranet (ou extranet) sensibles
- Applicatifs transactionnels intranet (ou extranet) peu sensibles (site d’information, ..)
et les confrontent aux menaces externes et internes les plus envisagées, parmi lesquelles :
- Phishing, troyens bancaires,
- Fraude internet,
- Denis de service (botnet,..)
- Altération du contenu
- Fraude interne
- Vol de données
Une qualification des risques en termes de probabilité d’occurrence, et de technicité nécessaires à l’exploitation sont les deux sujets les plus envisagés. Ils sont le généralement traités sous forme de recommandations visant au minimum les thèmes suivants :
- Interdits
- Bonnes pratiques
- Contre-mesures et solutions de contournement (outils, configuration, choix de mise en oeuvre, administration.)
- Mesures organisationnelles (formation, sensibilisation, procédure, cloisonnement des responsabilités, …)
La cartographie des attaques potentielles est déjà constituée : elle en identifie au moins deux nouvelles que sont le Cross Site Scripting (XSS) et le Cross Site Request Forgery (CSRF).
(8 votes) Loading ...Livre Blanc Supervision de la Sécurité (Le monde du SIM)
Posted by Yann Fareau in Security on February 23rd, 2009
La supervision de la sécurité est un vaste sujet.
En 2004, avec un ancien collegue (David Bizeul), nous avions rédigé un Livre Blanc sur le concept de la gestion des informations de sécurité (Security Information Management).
Les principes évoqués restent d’actualité plusieurs années après.
Par contre, la gestion des informations de sécurité s’est structurée et industrialisée… En particulier les chapitres sur les sources d’informations et l’organisation à mettre en place seraient à compléter
Bonne lecture
Pour le télécharger, cliquez ici : livre-blanc-securite-monde-du-sim
(3 votes) Loading ...StormWorm fait des petits, les signatures antivirales non
Posted by Philippe VIALLE in Security, Telecom, Networks&Media on February 18th, 2009
Comme d’habitude dans le monde de la virologie, les évènements du calendrier civil sont une aubaine et surtout un prétexte rêvé, à la propagation de parasites de tout genre.
Le code malveillant Storm Worm, est certainement un cas d’école dans ce domaine, et il n’est plus à présenter. Cela fait 2 ans qu’il fait parler de lui (tempête d’Europe en janvier 2007, d’où le nom) ! Il aura un peu tout fait, exploré même : Saint Valentin, jour de l’an, fausse alerte de sécurité, codec vidéo, divers logiciels comme des jeux, fausses informations choc, etc… Sans oublier des techniques innovantes comme les “fast flux”.
On retiendra de Storm Worm sa longévité, sa diversité d’attaques, et ses nombreuses variantes, ainsi que et surtout leur rythme effréné de parution. Il a mené la vie dure aux antivirus. Trend Micro l’avoue à demi-mot ici par exemple :
http://emea.trendmicro.com/emea/about/news/pr/be/article/20080201155058.html
La presse grand public en parle aussi :
Et on peut citer enfin des docteurs virus, qui expliquent les problématiques amenées par Storm Worm, ainsi que les tendances virales actuelles :
Il semble pourtant que le réseau BotNet, monté et entretenu avec Storm Worm, soit au moins en cours d’extinction.
Mais il a un fils, un successeur… au moins aussi perfectionné que lui, sinon plus : Waledac.
(5 votes) Loading ...Des sites douteux mieux classés que les officiels dans votre moteur de recherche favori ?
Posted by Philippe VIALLE in Security on December 21st, 2008
INTRODUCTION
« Tu ne trouves pas ce que tu cherches ? demande à ton ami Google » . Qui n’a jamais entendu cette phrase, au moins dans les milieux professionnels informatisés ?
Google est un outil à la puissance connue et reconnue. Mais on lui associe aussi l’image de « l’ami » de nos divers besoins de recherche d’information.
De surcroit, « ami » signifie implicitement « digne de confiance » . Google est-il alors digne de confiance ? Les experts pourraient se plonger dans les détails des engagements de confidentialité que l’entreprise a pu publier, par rapport à ses différentes technologies.
Ces grands débats ne sont pas l’objet du présent article. La problématique principale est que la plupart des utilisateurs répondraient certainement : « oui, puisque tout le monde le connaît et l’utilise » .
Par ailleurs, il semble que les utilisateurs aient en tête que les premiers résultats Google, pour une requête donnée, sont censés être les plus pertinents. La fameuse bataille du référencement entre sites n’y est certainement pas étrangère. Il est d’ailleurs dit que très peu de personnes vont au delà des 10 premiers résultats, et encore moins au delà du cinquantième.
Compte tenu de ces éléments, la question suivante paraît presque rhétorique : « pour une recherche internet courante, les internautes considèrent-ils qu’un site bien classé dans les résultats de leur « ami » Google, est forcément digne de confiance par conséquence » ?
D’ailleurs, n’oublions pas que Google se veut rassurant sur le plan sécurité, via notamment sa politique officielle, le programme « SafeBrowsing » (cf. section Références), ainsi que ses équipes internes dont la réputation n’est plus à faire.
Et pourtant, voici une brève démonstration des dangers possibles cachés derrière les réponses « les plus pertinentes » de Google, comme « messenger », « winrar », « internet explorer », etc.
Il s’agit ici de considérer des requêtes Google très simples, courantes, voire populaires au point d’être dans les 10 premières des statistiques du moteur (en France notamment, source Google Insights for Trends, voir section Références).
NB : Les résultats Google indiqués ici sont ceux constatés en date de rédaction de cet article, le 15 décembre 2008. Cependant, la constatation initiale de la présence dans les résultats Google, des sites douteux exposés ici, date du 1er décembre 2008.
(5 votes) Loading ...Un projet d’IAM, est ce vraiment “cher, long et peu profitable” ?
Posted by Cyril Corcos in Security on October 3rd, 2008
J’ai lu il y a peu un article sur les nouvelles du net, titré « Un projet d’IAM, c’est cher, long et peu profitable » (voir http://www.lesnouvelles.net/articles/business/iam-cher-long-et-peu-profitable-selon-idc).
Cela doit faire près de 7 ans que je vends des projets IAM (Identity & Access Management, Gestion des Identités et des Accès) au sein de Devoteam, vous devinez que l’article m’a quelque peu interpellé… !
« Cher », « long » et « peu profitable », voilà trois sentences qui méritent bien qu’on y accorde un peu d’attention.
Les problématiques que cet article soulève, et notamment son titre – un tantinet provocateur – sont en effet d’importance, car elles résument les enjeux que nous travaillons systématiquement avec nos clients durant les phases d’avant-projet ou d’avant-vente, afin de construire le business case du projet IAM :
- Quels sont les drivers du projet ?
- Y’a-t-il des retours sur investissement à en attendre et lesquels ?
- Comment structurer le projet : quel lotissement, quel planning ?
- Jusqu’où aller et où s’arrêter ?
J’avoue que je ne vois plus de clients partir la fleur au fusil sur des projets et qu’ils ont même tendance à se montrer très soucieux de visibilité sur les bénéfices attendus d’un projet IAM et sur tous les types d’efforts à fournir pour y arriver : investissements économiques, humains et organisationnels.
A la lecture de l’article, « cher » semble être intimement lié à « long » (lire l’article); par ailleurs, la logique de l’ensemble semble indiquer que « cher » et « long » sont les éléments constitutifs du « peu profitable ».
Finalement, on pourrait synthétiser la problématique par : « est ce qu’un projet IAM est peu profitable ? ».
C’est d’ailleurs la question que posent tous les clients que je rencontre depuis des années : le retour sur investissement d’un projet IAM !
Afin de répondre à cette question, il est nécessaire de revenir un instant sur les fondamentaux de ce qu’est un projet IAM, au risque sinon de ne pas comprendre les paramètres de l’équation.
Ce projet réunit différents types d’enjeux :
- La sécurité du SI en tout premier lieu, à travers la capacité à maîtriser les accès des utilisateurs et à en garantir la conformité, tant en termes de processus et de procédures que de réglementations,
- L’industrialisation d’une gestion complexe, à travers l’automatisation de tout – le maximum surtout ! – le récurrent et la « dé technicisation » des demandes et des droits d’accès,
- L’amélioration de la qualité de service offerte aux utilisateurs, afin de professionnaliser et fluidifier cette partie sensible que sont les besoins et demandes d’accès.
Vis-à-vis de ces enjeux, il existe plusieurs « recettes » d’implémentation d’une solution IAM pour chaque client, qui vont se construire à partir des ingrédients suivants :
- Les besoins de sécurité, de production et d’ergonomie utilisateurs,
- Le périmètre à couvrir et l’éligibilité des applications à y intégrer en fonction de critères d’utilisation et de volume, ainsi que de critères économiques et de productivité,
- Le lotissement permettant d’apporter des bénéfices visibles, périodiques, en évitant les effets tunnels de projets qui tardent à délivrer et dont la conception peut à la longue devenir caduque,
- Le retour sur investissement, par l’automatisation du récurrent, les économies sur les services de support, etc.
Lorsque je relis ces dernières lignes, j’ai la conviction que tout ceci tient du bon sens commun, mais je vois encore des projets IAM se lancer sur des périmètres exubérants, sans lotissement itératif « intelligent » permettant de progresser, d’adapter, de faire en sorte que la vie de la solution en production fasse mûrir les guidelines des lots ultérieurs.
Je ne recommande que trop, notamment à la lecture de l’article des nouvelles du net, que le cadrage de projets IAM construise un business case du projet clair et partagé :
- De quoi ai-je réellement besoin, d’une voiture ou d’une limousine ?
- Ai-je besoin de tout maintenant ou est-il pertinent de décomposer ?
- Dois-je prendre du prêt-à-porter que j’adapterais et auquel je m’adapterais, ou dois-je faire un développement spécifique « haute-couture » ?
- Combien ca me coûte, que cela me rapporte t-il , et surtout que cela me permet-il d’économiser ?
Les projets IAM, « longs » ? Ce sont des projets entre 1 et 3 ans, selon le périmètre…
Les projets IAM, « peu profitables » ? Non, définitivement non…
Travaillons sur le cadrage de votre projet et construisons le Business Model d’un projet IAM profitable.
(4 votes) Loading ...Filoutage ou phishing … 666ème !
Posted by Olivier Caleff in Security on July 20th, 2008
Je suis collectionneur de filoutages, et j’ai validé il y a peu la découverte de mon 666ème site de phishing.
Pour moi, cela a commencé comme un “jeu” courant 2003 : détecter des phishings dans la centaine de spams que je recevais à l’époque.
Le phishing est une forme d’attaque informatique qui consiste à soutirer des renseignements personnels à une personne et lui faisant croire qu’elle est mise en relation avec le site Web d’un tiers de confiance, tel celui de sa banque, de son opérateur téléphonique ou de sa messagerie électronique. L’objectif est ensuite d’utiliser ces informations pour perpétrer des actes malveillants basés sur l’usurpation d’identité. Il se fait la plupart du temps par l’intermédiaire du courrier électronique, qui amène la (future) victime vers un site Web falsifié et usurpant l’identité d’un site Web officiel.
(4 votes) Loading ...De la gestion des identités à la gouvernance des processus d’identités
Posted by Cyril Corcos in Security on March 26th, 2008
La gestion des accès des utilisateurs au système d’information connaît ces dernières années un succès croissant, guidé par des besoins de sécurité, de productivité et d’amélioration de l’ergonomie du poste de travail.
Depuis les besoins structurels des entreprises en matière de gestion des accès, jusqu’aux faits divers médiatisés ou restés confidentiels, tout milite pour une meilleure prise en compte des problématiques de l’IAM (Identity and Access Management) dans l’organisation de l’entreprise.
Comment donc accompagner l’utilisateur durant son cycle de vie dans l’entreprise, et gérer efficacement les évènements qui y ponctuent son existence:
- Des changements de métier,
- De biens agréables promotions influant sur les fonctions et attributions du collaborateur,
- Des envies d’expatriation, de congés sans solde,
- Des restructurations de l’entreprise,
- Etc.
(2 votes) Loading ...Et si cela nous arrivait aussi …
Posted by Olivier Caleff in Security on March 20th, 2008
Ce n’est que lorsque “les autres” ont des problèmes que l’on se demande ce que l’on ferait … si cela arrivait “à nous aussi“.
Prenons comme cas d’école, celui d’un incident grave ou d’une crise affectant une société concurrente ou un partenaire, et mettons nous dans la situation d’un responsable informatique ou d’un dirigeant de l’entreprise qui se dit … “et pour nous ?”.
Voici donc un premier exemple d’approche rapide basée sur 5 questions visant à établir un diagnostic. Lire la suite de l’article »
(2 votes) Loading ...La virtualisation au service de la sécurité (?)
Posted by Jean-Marc Boursat in Security on March 10th, 2008
Depuis quelques années les solutions de virtualisation ont fait leur apparition et pour des raisons essentiellement économiques, la tendance à virtualiser les infrastructures informatiques va perdurer.Les avantages de la virtualisation d’une infrastructure sont nombreux, comme ceux évoqués lors de rencontre d’experts [1]. Moins sérieusement, un des partenaires de VmWare propose une application flash qui calcule les gains (réels ?) à virtualiser des serveurs [2].
D’un point de vue sécurité, il est avantageux de virtualiser les environnements obsolètes afin de limiter les impacts des crashs logiciels ou matériels. Beaucoup d’entreprises ont des logiciels “maisons” qui ne sont plus maintenus et qui ne tournent que sur des OS non maintenus. Le coût de la virtualisation est souvent moins élevé que le re-développement de ces applications. Les problèmes de sécurité ne sont pas résolus par la virtualisation mais il est possible de mieux contrôler l’environnement virtuel. Lire la suite de l’article »
(2 votes) Loading ...-
-
Tags
2.0 BPM business intelligence Cloud computing Collaboration Content data ECM fonction Fundamental Google Governance Government 2.0 Green IT Hadopi Information 2.0 Information Management Internet IT department Piracy prediction Project Management Saas Security All categories (4)
Business application (6)
Event (7)
Green IT (5)
Information Management (13)
Infrastructures (17)
Internet (8)
IT Methods & Process (5)
IT Service Management (6)
Security (33)
Telecom, Networks&Media (49)
Web applications (7)
WP Cumulus Flash tag cloud requires Flash Player 9 or better.
Archives
Recent Comments
- Anas Taud on SOA, L’alignement sur le métier par la continuité sémantique
- Weber on SOA, L’alignement sur le métier par la continuité sémantique
- Guillaume Busson on Les bases de données : future optimisation des architectures BI?
- François Mouillaud on Google, a story of a Giant!
- Anas TAUD on SOA, L’alignement sur le métier par la continuité sémantique