Discussion:Synthèse informatique déloyale
Référence
TODO : Ajouter la vidéo Trusted Computing, par LAFKON (il existe une version sous titrée en français) http://www.april.org/fr/trusted-computing-le-film
TODO : ajouter les infos sur le watermarking (coupée de la synthèse DRM : Face au tollé suscité par ces méthodes, des méthodes plus discrètes ont été mises en place pour contrôler l'usage des œuvres dématérialisées. Parmi elles, la technique du traçage, encore appelée watermarking ou tatouage numérique, qui associe un nom d'utilisateur à chaque copie de l'œuvre. Cette technique permet à des sociétés tierces de suivre toutes les utilisations qui sont faites d'une œuvre, et ce, à l'insu des utilisateurs.)
Benoit: le watermarking ne me semble pas relever de l'informatique déloyale ou des DRM. Employé seul (ie sans DRM ou informatique déloyale), il s'agit uniquement d'un marqueur dans un contenu ou un logiciel. Si ce marqueur ne contient pas d'informations nominatives (problématique données personnelles, hors champ April) ou sensibles (numéro de carte bleue, etc.), cela ne me semble pas poser de problème ni vis à vis des 4 libertés pour les utilisateurs de logiciels libres, ni pour les développeurs de logiciels libres. Tout au plus pourrait-on râler que le marqueur reste après l'entrée dans le domaine public ou que des marqueurs différents sur diverses formes numériques d'une même oeuvre sont techniquement plus compliquées à gérer (archivage, indexation, détection de l'unicité de l'oeuvre, etc.). À noter que le marqueur peut être présent à l'insu de l'utilisateur (approche type stéganographie).
TODO : parler du contrôle du contenu par la déportation de toute la diffusion, de l'architecture (exemple de googlebooks, on ne peut pas récupérer le livre)
Benoît : l'informatique dans le nuage et les données dans le réseau ne me semblent pas relever de l'informatique déloyale (au sens du TCG).
http://www.sstic.org/2010/presentation/Trusted_Computing_Limitations_actuelles_et_perspectives/ ?
Commentaires François
Citation
J'ai des réserves sur la citation. Une citation doit être généralement soit frappant, soit faire office d'argument d'autorité. Ici il s'agit d'un inconnu qui dit quelque chose de raisonnablement correct. Donc pour quel impact ?
Introduction
Le "procédé cryptographique" est un moyen de l'informatique déloyale, mais pas sa fin. Commencer par ça biaise la présentation.
Je préfère "authentifier" contre "identifier". C'est plus précis (on peut authentifier le porteur d'une permission sans chercher à l'identifier à ce stade).
« L'utilisateur n'a pas accès aux informations cryptées. » Je crois qu'il y a une confusion sur la question de l'utilisation de la cryptologie dans l'informatique déloyale. La cryptologie peut servir à plein de choses, notamment :
- la dissimulation de données (stégano) ;
- la transmission de données secrètes, « brouillées » (chiffrement) ;
- l'authentification (signature cryptographique) ;
- la preuve à divulgation nulle (prouver qu'on dispose d'une information, sans la révéler).
Dans le domaine de l'info déloyale, c'est essentiellement la question de l'authentification qui est en jeu, c'est-à-dire « est-ce que le logiciel qui s'exécute dispose du label l'y autorisant ? ». L'accès ou non aux « informations » (lesquelles ?) « cryptées » (anglicisme vague) est alors indépendant d'une plateforme d'informatique déloyale, des prox*n*tes comme Sony, RealMedia ou Microsoft n'ayant pas attendus les plates-formes « de confiance » pour transmettre des données à l'insu de leur utilisateurs.
« ce n'est plus l'utilisateur qui décide de faire confiance » -> ce n'est plus à l'utilisateur qu'on décide de faire confiance
mais une entreprise privée, un « tiers de confiance » -> présentée comme un tiers de confiance ... (si s'en était un, ça ne serait pas si grave)
d'autant que les échanges sont chiffrés -> lesquels, comment ça ?
Les formes de l'informatique déloyale -> à déplacer dans la partie définition, amha, avec une référence aux différents exemples donnés
« Pour autant, on peut estimer que les principaux risques potentiels incluent » -> s/risques potentiels/conséquences
« y compris si les conditions d'utilisations sont modifiées à postériori » -> je mettrais ça à part, genre « des conditions d'utilisation du matériel pouvant être modifiées a posteriori sans aucun recourt possible ». cf Sony PS3 et sa dernière mise à jour.
« l'interdiction pour les utilisateurs d'utiliser certains logiciels ou de désactiver des mesures de contrôle d'usage » -> l'interdiction pour les utilisateurs d'utiliser les logiciels de leur choix, ...
« # la perte du contrôle de leurs propres données par les utilisateurs, et le risque en cas de défaillance technique de perdre toutes ses données irrévocablement » Amha ce n'est pas directement conséquent de l'info déloyale, même si ça va bien ensemble. Idem sur l'interopérabilité. Peut être faire un commentaire global sur ces choses là, mais pas dans les conséquences directes.
Est-ce qu'on ne pourrait pas avoir une situation comme celle-ci : la carte mère (par exemple) ne fonctionne plus, et je ne peux plus récupérer mes données car mon disque dur refuse de démarrer/de me donner un accès à mes données sur la puce TCPA ne répond pas ? Ni a-t-il pas un risque accru d'insécurité des données si tous les composants matériels sont liés (par la certification notamment? --Jtadeusz 13 août 2010 à 15:22 (CEST)
« la possibilité d'interdire tout anonymat » Intrusion dans la vie privée ?
Il manque amha dans l'introduction la notion de trou analogique (à étendre au trou "middleware"), pour introduire/démystifier la logique totalisante rendant nécessaire l'informatique de confiance.
Définition
« ses limites restent donc floues. » -> « ... restent donc variables. » Car elles ne sont pas floues, mais totales : contenu « protégé », logiciel « protégé », matériel « protégé », périphérique « protégé », ... à quand les cerveaux « protégé » ?
« désigne aujourd'hui plusieurs projets » -> de nombreux projets.
« qui cherchent à mettre en place des mesures de contrôles d'usage, généralement en associant matériel et logiciel. » « qui cherchent à étendre le contrôle d'usage effectué sur les logiciels et les données en direction du matériel »
« Les plus connus sont Palladium ... et TCG » TCG est un consortium, pas un projet précis. Ajouter aussi différentes briques qui s'imposent à différents niveaux : tatouage d'OS, tivoization, transmissions authentifiées (HDCP distribué à grande échelle avec HDMI, à l'insu des consommateurs), etc.
Domaines
Benoît : attention à ne pas se limiter à "ordinateur". Cela peut concerner tout périphérique type mobiles, tablettes graphiques, PDA, etc.
Benoît : l'informatique déloyale est dangereuse pour les particuliers, car elle signifie une perte de contrôle pour le possesseur de l'équipement et la transformation d'une machine générique multifonctions à très large potentiel en une machine bridée à une "poignée" de fonctions définies par un tiers. Mais quand est-il pour le cadre du secteur public (où l'administration concernée est propriétaire de l'ordinateur et le fonctionnaire ou salarié simple utilisateur assujetti par son contrat) ou le cadre de l'entreprise (même situation employeur / salariés) ? Deux secteurs où les politiques d'accès aux ressources informatiques, le contrat de travail / la jurisprudence, etc. encadre déjà fortement ce que peut ou non faire le simple utilisateur, d'ores et déjà soumis à un tiers administrateur système/sécurité.