Edition n° 1509 Mercredi 3 mars 2010 Chronique d'un mercredi sur deux DE LA SéCURITé... Bonjour les gens, Depuis la fin de l'année, depuis précisément l'apparition du service d'enregistrement à distance sur nos belles consoles d'administration, on voit fleurir plein de services qui permettent d'y accéder «plus facilement» (du moins, sur les pour celles et ceux qui n'ont pas un navigateur web décent, comme certains mobiles que je ne nommerai pas parce qu'on me reprocherait à nouveau de n'aimer ni les pommes (c'est faux, j'aime beaucoup) ni google (ça ne se mange pas, donc là forcément je suis moins attiré :) ) ). L'idée est a priori séduisante, et il est indéniable que même si aujourd'hui ces services restent rudimentaires ils offrent des perspectives très intéressantes, qui n'ont pas vocation à être nécessairement proposées par Free en tant que tel. Par exemple on peut imaginer programmer simplement l'enregistrement de tous les épisodes d'une série, en indiquant simplement le nom de la série et sa saison, avec le service qui irait chercher les diffusions (souvent multiples de nos jours ma bonne dame) sur l'ensemble des chaînes reçues (i.e., gratuites ou auxquelles on est abonné), peu importe leur ordre, et nous avertirait une fois la totalité des enregistrements effectués. [Ce n'est pas original en soit, TiVo propose ou proposait un service du genre au pays de Mickey, mais c'est pratique.] Ce n'est naturellement qu'un exemple et d'autres services pourraient être développés en se basant sur la possibilité de programmation à distance des enregistrements. Mais tel n'est pas l'objet de la chronique du jour. La chronique du jour a pour objet la question de la sécurité et de la confidentialité des identifiants de connexion. À la console d'administration, bien sûr, mais pas uniquement. Car l'ensemble des identifiants de connexions aux multiples services qu'on est amené à utiliser parfois quotidiennement est concerné par la question. En confiant des identifiants à un programme tiers, ou à un service tiers, on prend le risque de voir ces identifiants mal utilisés. Le problème est qu'une utilisation mal intentionnée de nos identifiants peut avoir des conséquences dommageables. Violation de la vie privée ou usurpation d'identité si quelqu'un détourne des identifiants de messagerie par exemple (je veux dire par là, possibilité de lire la correspondance privée, ou la possibilité de communiquer avec des tiers sans que ceux-ci puissent douter de l'identité réelle du correspondant) ou désagréments en cas d'utilisation mal intentionnée des identifiants de la console d'administration, pour rester dans le périmètre des identifiants proposés par notre aimé fournisseur d'accès à internet à nous qu'on a. Et l'un des points qui engendre ce problème est que certains identifiants nécessaires pour certains services portent des «privilèges» qui vont bien au delà l'utilisation qu'on souhaiterait déléguer. Pour rester dans l'exemple initial de la fonction de programmation d'enregistrements à distance, les identifiants qui sont (à juste titre) nécessaire pour y accéder permettent aussi des choses non liées, comme la commande de matériel ou de changement d'offre. Bien sûr, personne n'est obligé d'utiliser les services proposés par des tiers qui utilisent cette fonction, et Free rappelle avec insistance la nécessité de ne pas communiquer à des tiers les identifiants de la console d'administration. Cependant, l'attrait est, dans certains cas au moins, indéniable. Et certaines applications tierces, même si elles sont aujourd'hui un peu trop rudimentaires à mon goût, n'en sont pas moins prometteuses. Et la seule chose que nous ayons à notre disposition pour nous rassurer, si nous sommes attirés, est souvent la bonne foi affichée de l'auteur de l'application. (Bon, dans le cas d'une application ouverte, se rassurer est au moins théoriquement plus facile, puisqu'on peut « voir » ce que fait l'application, enfin, si on est à même de comprendre son code source, ce qui n'est pas nécessairement avéré.) Au format PDF, cette newsletter est cliquable. Les mots en gras cachent des liens hypertextes. Passez la main Acrobat Reader sur l'un de ces mots, un W apparaît. Cliquez. Vous êtes sur Internet ;-) Toutes les marques de commerce, marques de service, logos et autres marques qui pourraient apparaitre dans cette newsletter appartiennent à leurs propriétaires respectifs. Et rares sont les personnes mal intentionnées qui le disent :/ Et, sans même évoquer les mauvaises intentions, les erreurs (involontaires, mais est-ce encore une erreur si c'est volontaire ? :) ) sont le propre de l'homme. On en fait tous un jour ou l'autre. D'où cette (longue) chronique du jour, non pas pour dissuader le développement et l'utilisation de ces services, mais pour rappeler les risques inhérents à leur utilisation. [Un remède, dont la mise en place ne vaut pas forcément le coup, est l'utilisation de « jetons » avec des droits élémentaires, et simplement révocables par leur propriétaire. Par exemple, un jeton «programmation à distance», ou «redirection des appels téléphoniques entrants», activés à la demande de l'abonné, de sa connexion à lui, avec validation via un code sur sa jolie box, comme pour le Free Wifi, et qui pourrait être supprimé à la demande (en cas de non utilisation, ou si l'abonné pense qu'il pourrait être compromis, par exemple). Bref, un service supplémentaire, mais qui doit impérativement être offert par l'offreur initial, Free si on parle de la console d'administration, Tartempion si on parle du service Xyzzy. Parce que si on confie la gestion de ces choses à des tiers, à l'image de certains sites qui obligent à utiliser des choses comme OpenID pour accéder à leurs services, c'est un remède pire que le mal : non seulement cela ne résout rien, mais en plus on perd tout contrôle sur notre « identité numérique », pour employer un mot un temps à la mode.] La liberté est trop importante pour être galvaudée. Elle doit être protégée et chérie. Et c'est un effort de tous les instants. Na ! À bientôt, Martin Au format PDF, cette newsletter est cliquable. Les mots en gras cachent des liens hypertextes. Passez la main Acrobat Reader sur l'un de ces mots, un W apparaît. Cliquez. Vous êtes sur Internet ;-) Toutes les marques de commerce, marques de service, logos et autres marques qui pourraient apparaitre dans cette newsletter appartiennent à leurs propriétaires respectifs.