Hermétisme et sécurité : la valeur de la confiance.

Hermés Dieu tutélaire d’Internet

A la une

Le business malin des bonnes pratiques 2.0 (ChatonÉnervé)

Valeur de la confiance

La propriétarisation menace même les sociétés promotrices du logiciel libre (Raphaël Rousseau, Thierry Pinon, Julien Tayon)
La valeur de la confiance (Raphaël Rousseau, Thierry Pinon, Julien Tayon)
Verisign sur le point de perdre son autorisation à enregistrer des noms de domaines. (Julien Tayon)
VeriSign, société « tiers de confiance », abuse de celle des internautes (Julien Tayon)
WikiPedia, la liberté d’expression sans débordement (Raphaël Rousseau)
Wikipédia : une encyclopédie à part (Julien Tayon)

– samedi 18 janvier 2003, par Julien Tayon

Un principe connu dans la Grèce antique pour exprimer des idées est de trouver une histoire que tout le monde comprend pour illustrer un concept. Dans le cadre de l’opération Libre en Fête 2003, Libroscope va faire une conférence [1] sur la sécurité et internet. Notre thème pivot est la valeur de la confiance. Pour illustrer notre propos, nous allons invoquer Hermès, messager des Dieux, dieu des voleurs, des marchands et des orateurs.

Hermes was a god of crossroads on a vertical as well as a horizontal axis, for he served both as a herald to the gods on high and as an usher of souls to the world below (Hades). His charge was to "(maintain the) free rights of way for all travelers on any road in the world" Graves

La petite histoire

Au cours d’une de ses nombreuses incartades conjuguales, Zeus couvrit la nymphe Maïa. Le lendemain naquit un enfant du nom de Hermès. A peine né, celui-ci se rendit en Thessalie voler quelques vaches au troupeau sacré [2] d’Apollon. Sur le chemin il trouva une tortue [3]. Arrivé chez lui, il fit une lyre avec les boyaux d’une des vaches qu’il avait volées, et la carapace de la tortue comme caisse de résonnance.

Rusé, Hermès avait effacé les traces des vaches, mais les corbeaux (qui représentent l’animal totémique d’Apollon) indiquèrent à ce dernier où les vaches avaient été emmenées. Apollon, dieu pacifique, décida de se rendre sur les lieux. Il y découvrit le bambin emmitouflé dans ses couvertures, et dit à Maïa qu’il avait volé ses boeufs. Cette dernière défendit son rejeton en disant qu’il n’avait pas bougé. Sur ce, Zeus dieu de la loi, fût appelé en arbitrage.

Alors que le ton montait, une petite musique se fit entendre. Cette musique divine toucha le coeur des Dieux qui écoutèrent alors Hermès. Apollon charmé par la musique, fut amadoué quand Hermès lui offrit la lyre qui devint son symbole. Alors, Hermès exprima son désir d’entrer dans le club très fermé des dieux de l’Olympe, dont Zeus avait fermé l’ouverture de nouveaux postes pour éviter des guerres fratricides. Il expliqua ainsi, qu’il avait volé le troupeau de boeufs pour attirer leur attention. Zeus et Apollon se réunirent, et Zeus promit à Hermès un poste si celui-ci promettait de ne jamais mentir et de ne jamais prendre parti dans les conflits entre les Dieux (qui pourrissaient le fonctionnement de l’Olympe). Hermès accepta. Zeus l’intronisa alors messager des Dieux, dieu des marchands, des voleurs, et des orateurs. Pour marquer sa charge il lui fût donné le caducée [4], et les sandales ailées pour lui permettre d’apporter les messages en temps et en heure.

Par la suite, il ne mentit jamais, mais cela ne l’empêcha pas de continuer à être rusé. Les dieux lui firent suffissamment confiance pour apporter des objets magiques (sans les voler) à des héros tels qu’Ulysse ou Héraclès. Ils lui firent aussi suffisamment confiance pour emmener les âmes à leur destination finale sans qu’ils ne veuillent soustraire ces dernières à leurs sort.

Ce que le mythe illustre

Nous pourrions parler de sécurité en invoquant les techniques (le domaine de Héphaïstos [5]), ou la théorie (le domaine d’Apollon). Mais nous préférons discuter de l’esprit de la sécurité. Internet permet avant tout de faire circuler de l’information, et ce que nous attendons, c’est qu’elle nous arrive sans être épiée par un tiers indélicat, en étant sûr de son émetteur, et que le contenu ne soit pas altéré.

L’histoire d’Hermès nous donne un moyen de mémoriser la qualité principale attendue pour une telle opération : la valeur de la confiance.
Toute opération de sécurité implique qu’il existe entre l’émetteur et le récepteur un tiers qui peut nous trahir. Pour que le message soit transmis de manière sûre, il faut que le tiers soit un tiers de confiance. La notion de confiance ne peut d’ailleurs pas s’appliquer en dehors d’une opportunité à être trahie. Si vous ne pouvez avoir confiance, vous ne pouvez être en sécurité.

Le but principal de la conférence est d’introduire une grille d’analyse basée sur l’histoire d’Hermès permettant de s’interroger sur la confiance que l’on peut accorder à des systèmes présents sur internet aussi divers que :
– le réseau TCP/IP mondial, alias internet,
– les signatures électroniques (et la cryptographie),
– les services de mails,
– les antivirus,
– nos interlocuteurs humains à l’autre bout du moyen de communication,
– le projet TCPA,
– les certificats de commerce électronique,
– les lois de la République,
– vous.

La grille d’analyse hermétique

Ceci est une propriété intellectuelle sous licenceFDL, donc tout sauf un secret d’état : pour que la sécurité puisse exister il faut que nous partagions dans la chaîne de sécurité qui nous implique tous, un même soucis de compréhension de ces questions. La force d’une chaîne est celle de son maillon le plus faible, nous y compris. Jusqu’à présent un discours brumeux, voire hermétique, a toujours été utilisé. La sécurité serait soit le système d’exploitation, soit un mur de feu, soit un processus qualité, soit une politique. Que nenni ! La sécurité réside dans la confiance que vous pouvez accorder à vos tiers qui transmettent vos informations, et que les tiers peuvent vous accorder.

Pour cela nous proposons une grille simple qui se base sur l’analyse du mythe de Hermès, et qui nous propose de rechercher les propriétés suivantes chez nos tiers :

La neutralité

Hermès délivrait des messages pour tous les dieux.

Un tiers de confiance ne fait aucune distinction d’ordre politique ou morale pour délivrer un contenu.

La confidentialité

Il divulgue les informations données par un émetteur au destinataire, en assurant l’identité de qui lui a transmis le message.

Un tiers de confiance vous assure que vos messages
– sont bien émis par l’émetteur qu’il prétend être,
– sont transmis dans leur intégralité, et non modifiés,
– ne sont pas copiés pour un autre tiers.

Le caducée

Les deux précédentes problématiques sont développées dans son symbole qui est aussi celui des médecins. Il contient le fait qu’il doit jouir d’une immunité face à toutes les parties prenantes pour pouvoir assurer sa mission.

Un tiers de confiance doit :
– détenir une autorité suffisante pour mener sa mission à bien,
– détenir un blanc seing auprès de toutes parties prenantes.

La réputation

La charge d’Hermès ne lui a jamais été retirée car il n’a jamais trahi.

Pour que vous puissiez faire confiance demandez-vous si :
– il a déjà trahi dans sa charge,
– si vous avez les moyens de mettre à la connaissance de tous une trahison éventuelle.

Une existence

Les Dieux préfèrent faire confiance à un des leurs car celui-ci peut être sanctionné au cas où il agit de manière incorrect.

Pour faire confiance à un tiers même technologique, les responsables doivent pouvoir être localisés. Pour cela il est important de savoir si vous pouvez vérifier la réalité de leur existence. Même si vous pensez faire confiance à des moyens techniques (comme un serveur), son créateur et son technicien de maintenance doivent toujours être joignables, et avoir des coordonnées vérifiables dans notre univers.

Ne pas se fier aux apparences

Le début de l’histoire nous apprend que ce n’est pas parce qu’Hermès était un voleur qu’on ne peut lui faire confiance, il fallait comprendre ses intérêts pour voir l’utilité du vol. De plus, même si le bébé est le symbole de la pureté, on ne pouvait lui faire confiance car cela ne l’empêche pas de dérober les biens précieux d’Apollon.

Un tiers de confiance, en ce qui concerne sa charge de messager ne doit pas être jugé sur son statut (son image) mais en fonction de ses intérêts à trahir, et de ses faits avérés.

Conclusion

Nous pensons que cette grille d’analyse qui paraît simpliste est suffisante, car nous visons à faire de ses critères un vademecum que tout le monde puisse se remémorer en se rappelant l’histoire d’Hermès. Ainsi vous n’avez pas besoin de papier et de crayon pour la retenir, il vous suffit juste d’apprendre une histoire que vous pouvez raconter à vos enfants, et avec laquelle vous pouvez épater les esprits simples en disant qu’elle s’appelle la grille hermétique : certains prennent pour profond ce qui est obscur.

Pour en savoir plus venez nous écouter le 22 mars à Bourges dans le cadre de l’opération Libre en Fête 2003.

Lire l’excellent recueil de Robert Graves Les mythes grecs (deux tomes) Collection Pluriel - Editions Hachette, et Naissance de la tragédie grecque par F. Nietzche.

[1] le samedi 22 mars à 10 heures à l’Ecole Nationale Supérieur d’Ingénieur de Bourges, 10 bvd Lahitolle.

[2] les compagnons d’Ulysse furent condamnés à ne jamais rentrer chez eux pour avoir dévoré des boeufs du troupeau d’Eole, le boeuf c’est sacré.

[3] son animal totémique

[4] symbole de son immunité, et de sa neutralité

[5] alias Vulcain

forum

> Hermétisme et sécurité
20 janvier 2003

Juste une petite note pour signaler qu’à ma connaissance, un "firewall" n’est pas un "mur de feu". L’art poétique des informaticiens se limitant le plus souvent à "GNU is not Unix" ou "pine is not elm", je crois que la bonne traduction est beaucoup plus pragmatique et se rapporte aux dispositifs anti-incendie constitués de portes se refermant automatiquement pour stopper la progression des flammes dans les immeubles, autrement dit : pare-feu ou coupe-feu.

B.
- > Hermétisme et sécurité
  21 janvier 2003, par jul
  Votre connaissance est exacte. C’est même la définition de wikipedia. Même si je dis en privé mur de feu parce que j’apprécie sa sonorité, il est effectivement totalement impropre.
  
  Par contre je ne saurais laisser dire que l’art poétique en informatique se résume à des acronymes obscures : les perls mongers (mangeurs de perles en Français ?) font honneur à la confrérie en faisant des concours de haïku en perl.
  
  De plus, notre jargon et nos terminologies regorgent de créatures féériques (dwarf, elf, troll) comme pour nous rappeler l’imagination est notre richesse.
  
  Pour terminer je laisse la parole,
  à cet homme, Larry Wall.
  Ce dernier peut être pour son plaisir,
  écrit ceci, qui pourrait vous saisir :
  
  BEFOREHAND: close door, each window & exit; wait until time. open spellbook, study, read (scan, select, tell us); write it, print the hex while each watches, reverse its length, write again; kill spiders, pop them, chop, split, kill them. unlink arms, shift, wait & listen (listening, wait), sort the flock (then, warn the "goats" & kill the "sheep"); kill them, dump qualms, shift moralities, values aside, each one; die sheep! die to reverse the system you accept (reject, respect); next step, kill the next sacrifice, each sacrifice, wait, redo ritual until "all the spirits are pleased"; do it ("as they say"). do it(*everyone***must***participate***in***forbidden**s*e*x*). return last victim; package body; exit crypt (time, times & "half a time") & close it, select (quickly) & warn your next victim; AFTERWORDS: tell nobody. wait, wait until time; wait until next year, next decade; sleep, sleep, die yourself, die at last Larry Wall
  
  poèmes et perles en perl.