Common nouns | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Index Berger's Works
Proper nouns A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z| HOME DICCAN


TEXTE vers 1975, pour un séminaire Cap

DISCRETION, SOLUTIONS ACTUELLES

UN THEME CENTRAL

Le problème de la confidentialité deivent un des thèmes centraux des débats sur l'informatique.

Aux Etats-Unis, il y a place presque chaque semaine à la Une de l'hebdomadaire Computerworld. En France, la prese spécialisée en traite plus raremnet. Car d'une part les informaticiens qui sont ses lecteurs se sentent encore peu concernés par un thème qui leur paraît "philosophique", d'autre part il ya necore assez peu d'événéements marquants. Faute, notamment, d'une législation qui rendrait possible des actions judiciaires allant au delà de prises de position politiques ou corporatives.

Le peu d'intérêt des professionnels a été manifesté par le succès limité des congrès axés sur ce thème.

Par contre, l'opinion publique commence à prendre conscience de la questino et à redouter la constitution de fichiers de plus en plus complets, de plus en plus intégrés. Les attitudes équivoques du régime actuel sur des problèmes comme les écoutes téléphoniques ne sont pas pour rassurer les ainquiets. Ce qu'on sait des échanges de fichiers entre organismes financiers et commerciaux donne aussi à penser.

L'inquitude reste encore assez diffuse, semble-t-il. La prolifération des mailings est perçue comme une forme de pollution, mais assez mineure. Les cartes de crédit jouent un ôle trop peu important chez nous pour que les refus d'acceptation concernent autre chose qu'une petite minorité. On attendait des nouvelles de la part du "médiateur" récemment créé et dont le rôle est tenu par Monsieur Antoine Pinay. Mais, jusqu'à prépsent, rien n'en transparaît, en particuleir dans le domaine de la confidentialité des fichiers.

Pour l'informaticien, la confidentialité apparaît comme une contrainte. Elle oblige à alourdir les matériels de clés de contact, les softwares de protections diveses, de boucles de contrôle.

D'une manière générale, la psychologie de l'informaticien le pousse plutôt à développer la communicatino qu'à la freiner et à la réglementier. A fortiori quand ses propres allers et venues sont perturbés par des contrôles pointilleux d'accès aux locaux informatiques, obligent à utiliser un badge éventuellement apparent, etc... Je connais des hommes-systèmes, par exemple, qui ont changé d'employeur pour fuir les blockhaus où l'on voulait les obliger à travailler.

Allant plus loin, on a pu dire que le principal frein au développement de l'informatique en Union soviétique résultat des lourdes contraintes de secret. Comment traiter de l'information, quand tout est confidentiel.

La recherche d'une bonne confidentialité visera donc entre deux extrêemes. Ni trop, ni trop peu. Encore l'optimum est-il à définir selon plusieurs dimensions, ce qui nous conduit à esayer de cerner plus précisément la notion de confidentialité.

(En note, d'époque: bibliographie, IG 11/72, Datamation 1/74, Jacob Palme, Sofware Security).

ESSAI DE POSITION DU PROBLEME

Pour un système donné, la confidentialité à obtenir peut se présenter comme la mise en relation de deux ensembles:

- un ensemble d'informations, de couples sujets-prédicats; le salarié 3027 est payé, quand au salaire de base, à l'échelle 218; le malade DUMOND a été hospitalisé en psychiatrie du 13 mars 1972 au 7 septembre 1973; le chiffre d'affaires de Zadir et Cie pour 1973 a été de 325 718 F;

- un ensemble de personnes potentiellement demandeuses d'accès à ces informations.

Comme il serait évidemment aberrant d'enregistrer pont par point tous les couples informations-demandeurs, on constituera des ensebmels d'informpations et des ensembles de personnes, et on les mettra en relation au moyen d'algorithmes plus ou moins complexes.

On réalisera ensuite un système, hardware et software, tel que les informations ne puissent être fournies aux demandeurs qu'en respectant ces algorithmes. Ceux-ci sont formulés explicitemnt quand il s'agit de software. Ils sont implicites dans les dispositions matérielles (possession physique d'une clé de conctact, possibilité de se trouver dans telle pièce de l'immeuble, dans telle "enceinte").

Cela sera bien entendu confirmé par un règlement extérieur au système informatique proprement dit, mais dont on informera les utiliateurs ainsi que des inconvénients auxquels ils s'exposent s'ils y contreviennent. Comme le disaieent autrefois les plaques associées au signal d'alarme: "les contrevenants seront passibles de poursuites judiciaires"... Le système de confidentialité devra être aussi pensé sur le plan pédagogique.

TRAITEMNT, DEDUCTION, AGREGATION

Il faut encore compléter le schéma que nous avons donné, application d'un ensemble d'informations sur un ensemble de personnes. En effet, les personnes peuvent se rencontrer et, surtout, on peut travailler sur des informations fragmentaires pour reconstituer tout un ensemble. Les possibilités de l'effracteur dépendent ici de son astuce mais aussi du temps qu'il peut consacrer à reconstituer le puzzle, à élaborer un cçontre-système d'information.

On a dit que, pendant la guerre des Six jours entre l'Egypte et Israël, les officiers israëliens disposaient chacun de renseignements sur les officiers égyptiens qu'ils auraient à combattre, sur le caractère et la meilleure manière de les vaincre. A ce point de perfecion, de puissance chez l'adversaire, la confidentialité devient difficile à assurer, et relève alors des méthodes du maquis et non plus des systèmes informatiques.

Mais, en pratique, ces possibilités déductives doivent et peuvent être analysées. Le cas du secret statistique est bien connnu.

RECONNAISSANCE DES PERSONNES

Comment le système peut-il reconnaître qu'un demandeur appartient bien à une catégorie de personnes autorisées?

La méthode la plus traditionnelle est basée sur l'accès à un local, à des locaux déterminés. Dans les système manuels traditionnels (fichiers, imprimés), les documents sont mis sous clé dans une armoire, dans une pièce. La possession de la clé permet l'accès. Mais la protection est en fait plus élaborée.

Sauf de nuit, les locaux sont occupés. N'importe qui ne peut pas rentrer dans n'importe quel bureau s'il n'est pas connu dans la maison. Le personnel présent s'assurera que le demandeur est bien autorisé.

Cette méthode reste valab le en téléinformatique si les terminaux sont placés dans des bureaux, des pièces ou des encintes dont l'accès es soumis à des règles plus ou moins formalisées.

Par contre, elle ne protège pas le système si les terminaux sont utillisés en libre-service et dans des lieux publics. L'emploi d'une clé de contact placée sur le terminal en limite l'emploi à ceux qui disposent de la clé.

Ces deux méthodes n'apportent pas de protection spécifique des catégories d'information, à partir du moment où le demandeur peut utiliser le terminal. A moins que l'on n'affecte à chaque terminal un type déterminé d'informtions. Cela introduit une contrainte au niveau du système d'exploitatino en limite la facilité d'emploi du système.

La possession d'un badge est une solution plus élaborée. Il permet d'identifier personnellement le demandeur et d'appliquer tout algorithme désiré pour déterminer les catégories d'information auquel il peut accéder. Par exemple, en déterminant la fonction du demanduer, qu'elle figure sur le badge ou qu'on l'obtienne par l'intermédiarie d'une liste des demandeurs.

Si le badge est magnétique, le système pourra y inscrire certaines indications qui seront reprises à la demande suivante. Les applications actuelles sont pas exemple les distributeurs automatiqus de billets ou les péages. Il peut y avoir des applications en matièr de banques de données.

Signalons ici un cas un peu particulier: la reconnaissance directe du demandeur par certaines caractéristiques physiques: forme de la main, spectre de la voix, empreintes digitales. De tels systèmes existent mais leur emploi est limité en particulier à cause de leur prix.

La connaissance des mots de passe est bien sûr des plus utilisée. Elle se prête à des applications aussi bien rudimentaires (accès à un terminal tous azimuts) qu'aux plus subtiles (accès à tel type d'informtion sous telles et telles conditions).

La technique peut être plus ou moins élaborée. On peut simplement demander un numéro au questionneur. Soit lui demander d'effectuer certaines opérations sur des chiffres qui lui sont fournis.

Enfin, on peut demander au questionneur la connaissance d'un code qui sera appliqué à l'information transmise elle-même. C'est la méthode du chiffrement, plus ou moins lourde selon le degré de protedtion que l'on veut obtenir. Chiffrement et déchiffremnet peuvent être plus ou moins automatisés. A l'autre extrême, le code prend la forme d'un langage d'initiés n'exigeant aucun matériel particuleir mais exigeant une forme de compétence spécifique. Exemple classique: dialogue de deux médecins en présence d'un malade. C'est certainement applicable à l'informatique.

En pratique, un degré assez important de protedtion est assuré implicitemnet par le fait que l'emploi d'un terminal suppose la connaissance de procédures plus ou moins élabores. Elles ne sont pas conçues pour assurer la confidentialité, mais éliminent de facto les "non initiés".

(note manuscrite: corps de la personne (mais indivisu), empreinte, doigesn. Comptétence: procédure erreurs (nombre, tuax), dode, connaisance du mots d passe. Cas partculier des gens du système. Progrès de la psychoogie, pédagogie, mots de passe, RNUR). )

Ces moyens sont en général combinés. La majorité des terminaux sont placés dans des locaux plus ou moins protégés. Leur utilisation implique une certaine formatino. Les terminaux sont rarement complètement banalisés.

Les distributeurs de billets de banque associent la possession d'un badge, dont le contenu est illisible par l'utilisatuer sauf avec un appareillage spécial, et la connaissance d'un code, d'ailleurs court.

Les terminaux bancires sont munis d'une ou plusieurs clés. Ils sont placés derrière les guichets. Il faut donner des indications au système pour qu'il consente à répondre.

ISOLEMENT DES CATEGORIES D'INFORMATION

Isolement physique

La méthode la plus radicale consiste à affecter à chaque catégorie d'information un système autonome complet: unités centrales, fichiers, périphériques, terminaux, software et mode d'emploi.

C'est la méthode qui sépare de facto les informations appartenant à différentes entreprises, à différents ministères, à différents services parfois. La méthode a souvent été employée, par exemple pour isoler les applications de gestion du personnel (Note: militire. facilité par minis).

En pratique, cet isolement physique se complète tout naturellemnet par une incompatibilité assez forte entre les systèmes d'exploitation, le software, le vocabulaire, les procédures, etc...

Mais elle s'oppose par définition au progrès de la gestion intégrée. Il est cependant posible, et dans certains cas souhaitable, de l'utiliser. Quitte à garantir la compatibilité d'ensemble par d'autres moyens que physiques: échanges de progrmmes, application de méthodes communes, rencontres des responsables.

Isolement physique des fichiers.

On disposera les informations appartenant à chaque catégorie sur les bandes, des disk-pacs spécialement affectés. En matière de systèmes élaborés, les possibilités sont encore plus limitées qu'avec un isolement total des systèmets.

Isolement par software au niveau des fichiers. La confidentialité rejoint ici les systèmes généraux de protection, avec mots de passe, clés, etc...

Isolement au niveau des types d'information

Dans un système intégré, la banque d'informations comportera des informations de différents types, ne correspondant pas à un découpage en fichiers. Par exemple, des informations d'ordre médical, salarial, familiales, contentieuses, d'état-civil, de notation... seront associées à un fichier de personnel dans une entreprise.

On pourra souhaiter que le médecin d'entreprise puisse accéder à certaines informations, les chefs de service à d'auters pour ce qui concerne leur personnel, les délégués du personnel à d'autres informations encore.

Isolement au niveau de l'enregistrement

C'est le cas pratiquement extreme. Mais il se rencontre. Un cas limite et paradoxal: on peut imaginer que du pesonnel hospitalier puisse accéder aux enregistrements figurant dans le fichier, sauf à leur propres dossier médical si celui-ci n'est pas communiqué au malade. On trouverait certainement d'autres cas.

ESSAI D'APPROCHE D'UN OPTIMUM

Bénéfices attendus par l'indiscret

Il est important d'essayer de faire le bilan de l'indiscret potentiel. Combien lui coûtera une effraction? Combien lui rapportera-t-elle? Cela détermine en quelque sorte la force de la tentation.

Ici encore, la quantification est difficile.

Bilan coût d'une indiscrétion/coût de la protection

On perçoit intuitivement que plus on consacre de moyens à la protection, plus la probabilité d'une indiscrétion baisse. A condition de pouvoir préciser la fonction et les coûts de la protection et de l'indiscrétion, on pourar déterminer un optimum (éventuellement avec l'aide d'un audit).

En pratique, tout cela est bien difficile à quantifier, et la seule chose certaine, c'est qu'il est impossible de rendre l'indiscrétion impossible, quels que soient les moyens techniques et financiers que l'on y consacre. On recherchera donc une solution raisonnable, tant quant à ses coûts que dans la protection qu'elle offre.

En matière de coûts, ne pas oulier les coûts induits: pertes de performance du système, pertes sur l'efficacité des personnels informaticiens, lourdeur des procédures imposées aux utilisateurs.

Bilan coût/efficacité des différentes protections

Il est par contre relativement aisé d'apprécier la relation entre coûts de protection et coûts d'effraction. L'importance relative des moyens à mettre en oeuvre doit conduire à des estimations raisonnables.

Sensibilité de l'informtaion

La comparaison entre le coût d'une indiscrétion pour le détenteur du système et le bénéfice qu'un indiscret peut attendre d'une effraction peut être pris comme mesure de la sensibilité du système.

Il met en valeur le fait qu'un des moyens de réduire le danger peut être de diminiuer l'intérêt des "adversaires". si tout le monde connaissait le salaire de tout le monde, cette information n'aurait plus besoin d'être protégée...

(notes manuscrites: ligne Maginot, progressivité avant/arrière, degré de secret, prix à payer...)

Contre-espionnage et dissuasion

Outre les systèmes de protection proprement dits que nous avons envisgés et qui sont surtout axés sur l'organisation du système et l'élaboration d'un règlement, il est important de se mettre dans la peu de l'adversaire pour prévoir d'om peuvent venir les menaces.

De plus, le coût de l'effraction est une quantité difficile à mesurer par l'adversaire. Des moyens de dissuation peuvent en accroître considérablemnet les risques, et donc les coûts ramenés à des équivalents certains.

La confidentialité peut alors se présenter comme une sorte de rapport de forces, portant largemnet sur une disporportion des informations réciproques: mieux l'on connaît l'indiscret potentiel, mieux on peut l'écarter. Moins le système est connu de lui, plus difficile est l'effraction, a fortiori si on lui donne lieu de craindre des mesures de rétortion.

Cas particulier de l'administration

On peut arrêter à ce tableau carré l'analyse "quantitative" quand il s'agit d'une entreprise, par rapport à la concurence, d'un Etat par rapport aux pays voisins. Il en va autrement pour les relations de l'entreprise avec ses membres ou de l'Etat avec les citoyens.

Ici, en effet, le droit au secret est en opposition avec le droit à l'information. Il faut tout à la fois, comme le dit Françoise Gallouedec-Cenuys, "un secret pour les administrés, une administration sans secret" (Informatique et Gestion, septembre 1972).

Parallèleent, le droit du personnel de l'entreprise à une certine informtion, par exemple sur les comptes de l'entreprise, est de plus en plus reconnu, bien qu'il soit encore assez difficile de situer des limites justes et raisonnables. Contre-espionnage et dissuation