A Libre OuvertA Libre OuvertMédiathèque Jacques EllulMédiathèque Jacques Ellul

le 9-11-2013

à PESSAC avec l'ABUL

Le CloudLIBRE

Données en ligne,Dangers &

Opportunités

Données en ligne : Danger & opportunités

● Définitions et préambule● Le 'Cloud', qu'est-ce que c'est ?

● La Liberté est-elle soluble dans les nuages ?● Solution nouvelle ou Nouveaux problèmes ?● Quelques conseils pour (presque) tout maîtriser

● Alternatives "Loyales"● Espaces de stockage et de sauvegarde● Services de communication et de partage● Autres services 'à valeur ajoutée'

● Questions / Réponses

Définitions

Cloud (définition Wikipedia) :

Accès via le réseau, à la demande et en libre-service,à des ressources informatiques

virtualisées et mutualisées

● Il faut un réseau librement accessible

● Il faut accéder à des ressources (données, outils)● Elles doivent être numériques (immatérielles)

● Elles doivent être mutualisées (partagées)

Taxonomie des nuages

On distingue trois formes de Cloud Computing :● Les clouds privés internes,

intranets sophistiqués utilisant la virtualisation pour rationaliser les usages.

● Les clouds publics,opérés par des spécialistes de la mise en œuvre des centres de calcul, ils offrent plusieurs types de services (IaaS, PaaS, SaaS, etc.)

● Les clouds privés externes,ressources dédiées (privées) opérées par un tiers externe (souvent public)

Terminologie technique

Suivant la couche fournie, on parle de :● IaaS (Infrastructure as a Service),

Mise à disposition de machines virtuelles brutes.● PaaS (Platform as a Service),

Mise à disposition de serveurs spécifiés info-gérés● SaaS (Software as a Service),

Mise à disposition d’applications de type Web.● DaaS (Desktop as a Service),

Environnement de Bureau complet dans le nuage.● XaaS (Anything as a Service),

Mise à disposition via le réseau de tout type de service sur des données dématérialisées :Process as a Service, Security as a Service, Data as a Service, Video as a Service, etc.

Dialectique marketing ou vrai innovation ?

Le ‘Cloud’ est né avec le réseau.● Si les ressources (données et/ou programmes) résident

ailleurs que sur le poste de l’utilisateur, c’est du Cloud.● ASP, Infogérance sont d’anciennes appellations de

dispositifs assez similaires aux Clouds actuels

Alors, qu’est-ce qui est ‘nouveau’ ?● La puissance et la qualité des réseaux● L’existence de la mobilité connectée● L’augmentation du champ de la dématérialisation● La centralisation des opérateurs de Clouds publics● L’arrivé des usages dans le Grand Public

Dialectique marketing ou vrai innovation ?

L’exemple du courriel

MTA

ThunderbirdProgramme Client dédié au courrier

FirefoxClient multi-usages

WebMail(Gmail, Hotmail, ...)

IMAPles courriels restent

sur le serveur

POPLes courriels sont

rapatriés sur le poste

Cloud Cloud

Solution nouvelle ou nouveaux problèmes ?

Rappel sur deux aspects de la sécurité :● Risques Supports

Ce sont les risques que courent les informations à cause des menaces sur le support qui les abrite.

Indisponibilité pour cause de panne, altération par l’usure, perte par destruction ou par vol

● Risques EssentielsCe sont les risques qui menacent une information en elle même, indépendamment de son support

Divulgation par négligence ou par attaque, perte ou modification non souhaitée, malveillance humaine et toute ses conséquences

Solution nouvelle ou nouveaux problèmes ?

● Sans Cloud, les risques sont majoritairement des risques supports.

● Le Cloud est une nouvelle solution pour palier aux risques anciens.

● Mais le Cloud est porteur de façon intrinsèque de risques nouveaux.

● Les nouveaux risques sont principalement des risques essentiels.

Solution nouvelle ou nouveaux problèmes ?

Constat de ce qui se passe dans le Grand Public● Le glissement vers des usages Cloud est massif

Pressés de toutes part, les utilisateurs confient de plus en plus de choses aux nouveaux services si pratiques.

● Le changement de risque n’est pas bien perçu Les risques nouveaux ne sont pas évoqués dans le discours marketing des fournisseurs de services Cloud.

● Les habitudes de protection ne changent pasLes utilisateurs conservent des habitudes qui sont maintenant inadaptées aux nouveaux risques.

Solution nouvelle ou nouveaux problèmes ?

Et un détail qui n’en est finalement pas vraiment un :

Les nouveaux objets d’accès aux ressources sont fondamentalement différents des anciens "PC"

● De plus en plus mobiles● De moins en moins ouverts● De plus en plus propriétaires et spécifiques● De moins en moins "hackables" (bidouillables)

Le PC cède la place aux :

Terminaux de Consommation de Loisirs Numériques

Solution nouvelle ou nouveaux problèmes ?

Le Cloud n’est pas en lui même bon ou mauvais ...... mais on peut en faire un bon ou un mauvais usage

Il faut développer de nouveaux réflexes :● Bien juger du caractère privé de ses informations,● Savoir protéger celles qui doivent rester secrètes,● Développer une saine méfiance vis à vis des services

"gratuits", "fait pour vous" ou "pour votre bien",● Comprendre les modèles économique de ces sociétés,● Ne rien considérer comme inévitable et savoir dire non,● Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et

bien mesurer sa propre dépendance vis à vis d’eux.

Services de stockage et partage en ligne

Ce type de Cloud est le plus courant et le plus connu

Les services peuvent être spécialisés :● Pour les photos (Flickr, Picasa, Photobucket, ...)● Pour la musique (Soundcloud, MP3tunes, ...)● Pour les documents (ZoHo, Adobe Buzzword, ...)

... ou généralistes :

Google Drive MS SkyDrive DropBox Ubuntu One etc...

Services de stockage et partage en ligne

Les caractéristiques importantes :● Synchronisation en arrière plan sur plusieurs appareils● Limitation en volume et transfert (et tarification)● Liste des systèmes et appareils supportés● Services de diffusion audio et vidéo (streaming)

Les caractéristiques très importantes :● Localisation des données (régime juridique du pays)● Politique de confidentialité de l’opérateur du Cloud● Modèle économique de la gratuité apparente

Quelques conseil pour garder le contrôle

À malin, malin et demi : le chiffrement du contenu

Le principe :● Créer une copie chiffrée d’un répertoire sur le disque● Synchroniser cette copie chiffrée avec le Cloud

TotoTataTiti

A&t :$ènM5Ff)

ChiffrerDéchiffrer

A&t :$ènM5Ff)

Cryptkeeper (Linux)AxCrypt (Windows)

Quelques conseil pour garder le contrôle

Aspect légal du chiffrement de contenu● Jusqu’en 1996, les outils de chiffrement étaient interdits en

France en tant qu’arme de guerre de 2ème catégorie

LOI n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, Article 30, alinéa 1 :

L'utilisation des moyens de cryptologie est libre.

Attention, ce n’est pas le cas partout dans le monde !!

Aux USA, les agences gouvernementales sont autorisées par le Patriot Act à exiger de vous les clés de déchiffrement

Quelques conseil pour garder le contrôle

Gestion des mots de passe et clés de chiffrement● Règles d’hygiène sécuritaire

● Savoir créer un mot de passe fort et fiable● Ne pas utiliser deux fois le même mot de passe !● Se faire aider par la machine pour gérer tout ça !

Le principe des poupées russes :

Quelques conseil pour garder le contrôle

Trucs et astuces de création de mots de passe● Ceux qui doivent être frappé souvent

● Une dizaine de caractères variés, qu’il faut mémoriser et apprendre à taper rapidement et sans erreurs, ex : qf33&45bn (attention au social engineering)

● Ceux qui ouvrent des coffres ou des trousseaux● Phrase longue, citation, suite de mots sans sens, ex :

CarotteChevalBureauOctobreVieux, ● Ceux qui vont être mémorisés et gérés par le PC

● Au moins 16 caractères générés aléatoirement, ex :6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau)Voir des sites comme strongpasswordgenerator.com

Quelques conseil pour garder le contrôle

Usages :

Pour ouvrir sa session (et déchiffrer son /home)● Un mot de passe court suffit, ● Il faut le changer régulièrement

Pour protéger son trousseau de clé● Préférer une "phrase de passe" (passphrase)

Pour se connecter sur un site/service (en https)● Mots de passe complexes générés aléatoirement● Ne jamais utiliser deux fois le même● Les conserver dans son trousseau de clé

Alternatives Libres & Services loyaux

OwnCloud

● Logiciel Libre qui s’installe sur un serveur et le transforme en Stockage Cloud personnel.

● Clients pour Linux, Windows et Mac

● Disponible chez certains hébergeurs(notamment ceux qui proposent uncPanel avec Softaculous, ex ; O2Switch)

Alternatives Libres & Services loyaux

SparkleShare

● Logiciel Libre qui s’installe sur votre client Linux et transforme un serveur GIT en Stockage Cloud

● Le serveur GIT peut être sur votre hébergement personnel

● Gestion des versions desfichiers sources

Alternatives Libres & Services loyaux

SpiderOak

● Service similaire à DropBox, mais qui intègre lechiffrement sur le poste client avant l’envoi

● Les données sont chiffréesavec une clé personnelleconnue de vous seul

● Client pour toutes les plateformes

Alternatives Libres & Services loyaux

Autres services respectueux de votre vie privée

Framasoft● Opérateur associatif● Pas de collecte (ni de revente)

de données personnelles● Services variés produits sur

des Logiciels Libres● FramaDate (pour des sondages ou remplacer Doodle)● FramaCalc (plutôt que Google Docs Feuille de Calcul)● FramaPad (plus collaboratif que Google Docs Texte)

Alternatives Libres & Services loyaux

Services respectueux de votre vie privée (suite)

Spécial Dédicace : Sud-Ouest.Org

(l’ABUL est Partenaire de Sud-Ouest.Org)● Opérateur de courriel "à prix libre"● Fonctionnement associatif● Particulièrement pointilleux sur les

aspects :● Confidentialité des données● Respect de la vie privée● Sécurité du service

Prospective

Pousser le concept de Cloud jusqu’au bout.

● JoliCloud (et JoliOS)

Prospective

Encore un peu plus loin ...

● ChromeBook

● Aucun stockage interne ; donc Cloud OBLIGATOIRE et impossibilité d’installer autrement que depuis le Magasin en Ligne de Google ...

Prospective

La tendance vers le "tout service" est nette !● La demande pour des ordinateurs personnels (PC)

est en chute au profit des tablettes tactiles● Les opérateurs majeurs misent tout sur les magasins

en ligne (Apps Stores) fermés et incompatibles● Le matériel (hardware) se ferme et ne permet plus

que l’acte passif de consommation (et d’achat)● De nombreux lobbies œuvrent pour faire inscrire

dans la loi l’illégalité de leur évitement ...

... Monsanto a réussi dans son domaine.● La passivité des consommateurs est leur meilleure

arme; quand ce n’est pas de la complicité active ...

Prospective

La tendance vers le "tout service" est nette !● La demande pour des ordinateurs personnels (PC)

est en chute au profit des tablettes tactiles● Les opérateurs majeurs misent tout sur les magasins

en ligne (Apps Stores) fermés et incompatibles● Le matériel (hardware) se ferme et ne permet plus

que l’acte passif de consommation (et d’achat)● De nombreux lobbies œuvrent pour faire inscrire

dans la loi l’illégalité de leur évitement ...

... Monsanto a réussi dans son domaine.● La passivité des consommateurs est leur meilleure

arme; quand ce n’est pas de la complicité active ...

C'est le moment des

Questions / Réponses

Merci de votre attention ...

Le ‘Cloud’ LibreDonnées en lignes : dangers et opportunités