1. Le Cloud
LIBRE A Libre Ouvert
Médiathèque Jacques Ellul
Données en ligne,
Dangers &
Opportunités
à PESSAC
le 9-11-2013
avec l'ABUL
2. Données en ligne : Danger & opportunités
●
Définitions et préambule
●
●
Le 'Cloud', qu'est-ce que c'est ?
La Liberté est-elle soluble dans les nuages ?
●
●
●
Solution nouvelle ou Nouveaux problèmes ?
Quelques conseils pour (presque) tout maîtriser
Alternatives "Loyales"
●
●
Services de communication et de partage
●
●
Espaces de stockage et de sauvegarde
Autres services 'à valeur ajoutée'
Questions / Réponses
3. Définitions
Cloud (définition Wikipedia) :
Accès via le réseau, à la demande et en libre-service,
à des ressources informatiques
virtualisées et mutualisées
●
Il faut un réseau librement accessible
●
Il faut accéder à des ressources (données, outils)
●
Elles doivent être numériques (immatérielles)
●
Elles doivent être mutualisées (partagées)
4. Taxonomie des nuages
On distingue trois formes de Cloud Computing :
●
●
●
Les clouds privés internes,
intranets sophistiqués utilisant la virtualisation pour
rationaliser les usages.
Les clouds publics,
opérés par des spécialistes de la mise en œuvre des
centres de calcul, ils offrent plusieurs types de
services (IaaS, PaaS, SaaS, etc.)
Les clouds privés externes,
ressources dédiées (privées) opérées par un tiers
externe (souvent public)
5. Terminologie technique
Suivant la couche fournie, on parle de :
●
●
●
●
●
IaaS (Infrastructure as a Service),
Mise à disposition de machines virtuelles brutes.
PaaS (Platform as a Service),
Mise à disposition de serveurs spécifiés info-gérés
SaaS (Software as a Service),
Mise à disposition d’applications de type Web.
DaaS (Desktop as a Service),
Environnement de Bureau complet dans le nuage.
XaaS (Anything as a Service),
Mise à disposition via le réseau de tout type de service sur des
données dématérialisées :
Process as a Service, Security as a Service, Data as a Service,
Video as a Service, etc.
6. Dialectique marketing ou vrai innovation ?
Le ‘Cloud’ est né avec le réseau.
●
●
Si les ressources (données et/ou programmes) résident
ailleurs que sur le poste de l’utilisateur, c’est du Cloud.
ASP, Infogérance sont d’anciennes appellations de
dispositifs assez similaires aux Clouds actuels
Alors, qu’est-ce qui est ‘nouveau’ ?
●
La puissance et la qualité des réseaux
●
L’existence de la mobilité connectée
●
L’augmentation du champ de la dématérialisation
●
La centralisation des opérateurs de Clouds publics
●
L’arrivé des usages dans le Grand Public
7. Dialectique marketing ou vrai innovation ?
L’exemple du courriel
MTA
Cloud
WebMail
(Gmail, Hotmail, ...)
Firefox
Client multi-usages
IMAP
les courriels restent
sur le serveur
Cloud
POP
Les courriels sont
rapatriés sur le poste
Thunderbird
Programme Client dédié au courrier
8. Solution nouvelle ou nouveaux problèmes ?
Rappel sur deux aspects de la sécurité :
●
Risques Supports
Ce sont les risques que courent les informations à
cause des menaces sur le support qui les abrite.
Indisponibilité pour cause de panne, altération par
l’usure, perte par destruction ou par vol
●
Risques Essentiels
Ce sont les risques qui menacent une information en
elle même, indépendamment de son support
Divulgation par négligence ou par attaque, perte ou
modification non souhaitée, malveillance humaine et
toute ses conséquences
9. Solution nouvelle ou nouveaux problèmes ?
●
●
●
●
Sans Cloud, les risques sont majoritairement des
risques supports.
Le Cloud est une nouvelle solution pour palier aux
risques anciens.
Mais le Cloud est porteur de façon intrinsèque de
risques nouveaux.
Les nouveaux risques sont principalement des
risques essentiels.
10. Solution nouvelle ou nouveaux problèmes ?
Constat de ce qui se passe dans le Grand Public
●
●
●
Le glissement vers des usages Cloud est massif
Pressés de toutes part, les utilisateurs confient de plus
en plus de choses aux nouveaux services si pratiques.
Le changement de risque n’est pas bien perçu
Les risques nouveaux ne sont pas évoqués dans le
discours marketing des fournisseurs de services Cloud.
Les habitudes de protection ne changent pas
Les utilisateurs conservent des habitudes qui sont
maintenant inadaptées aux nouveaux risques.
11. Solution nouvelle ou nouveaux problèmes ?
Et un détail qui n’en est finalement pas vraiment un :
Les nouveaux objets d’accès aux ressources sont
fondamentalement différents des anciens "PC"
●
●
●
●
De plus en plus mobiles
De moins en moins ouverts
De plus en plus propriétaires et spécifiques
De moins en moins "hackables" (bidouillables)
Le PC cède la place aux :
Terminaux de Consommation de Loisirs Numériques
12. Solution nouvelle ou nouveaux problèmes ?
Le Cloud n’est pas en lui même bon ou mauvais ...
... mais on peut en faire un bon ou un mauvais usage
Il faut développer de nouveaux réflexes :
●
Bien juger du caractère privé de ses informations,
●
Savoir protéger celles qui doivent rester secrètes,
●
Développer une saine méfiance vis à vis des services
"gratuits", "fait pour vous" ou "pour votre bien",
●
Comprendre les modèles économique de ces sociétés,
●
Ne rien considérer comme inévitable et savoir dire non,
●
Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et
bien mesurer sa propre dépendance vis à vis d’eux.
13. Services de stockage et partage en ligne
Ce type de Cloud est le plus courant et le plus connu
Les services peuvent être spécialisés :
●
Pour les photos (Flickr, Picasa, Photobucket, ...)
●
Pour la musique (Soundcloud, MP3tunes, ...)
●
Pour les documents (ZoHo, Adobe Buzzword, ...)
... ou généralistes :
Google Drive
MS SkyDrive
DropBox
Ubuntu One
etc...
14. Services de stockage et partage en ligne
Les caractéristiques importantes :
●
Synchronisation en arrière plan sur plusieurs appareils
●
Limitation en volume et transfert (et tarification)
●
Liste des systèmes et appareils supportés
●
Services de diffusion audio et vidéo (streaming)
Les caractéristiques très importantes :
●
Localisation des données (régime juridique du pays)
●
Politique de confidentialité de l’opérateur du Cloud
●
Modèle économique de la gratuité apparente
15. Quelques conseil pour garder le contrôle
À malin, malin et demi : le chiffrement du contenu
Le principe :
●
Créer une copie chiffrée d’un répertoire sur le disque
●
Synchroniser cette copie chiffrée avec le Cloud
Toto
Tata
Titi
Chiffrer
Déchiffrer
A&t :
$ènM
5Ff)
Cryptkeeper (Linux)
AxCrypt (Windows)
A&t :
$ènM
5Ff)
16. Quelques conseil pour garder le contrôle
Aspect légal du chiffrement de contenu
●
Jusqu’en 1996, les outils de chiffrement étaient interdits en
France en tant qu’arme de guerre de 2ème catégorie
LOI n° 2004-575 du 21 juin 2004 pour la confiance dans
l'économie numérique, Article 30, alinéa 1 :
L'utilisation des moyens de cryptologie est libre.
Attention, ce n’est pas le cas partout dans le monde !!
Aux USA, les agences gouvernementales sont autorisées par
le Patriot Act à exiger de vous les clés de déchiffrement
17. Quelques conseil pour garder le contrôle
Gestion des mots de passe et clés de chiffrement
●
Règles d’hygiène sécuritaire
●
Savoir créer un mot de passe fort et fiable
●
Ne pas utiliser deux fois le même mot de passe !
●
Se faire aider par la machine pour gérer tout ça !
Le principe des poupées russes :
18. Quelques conseil pour garder le contrôle
Trucs et astuces de création de mots de passe
●
Ceux qui doivent être frappé souvent
●
●
Ceux qui ouvrent des coffres ou des trousseaux
●
●
Une dizaine de caractères variés, qu’il faut mémoriser et
apprendre à taper rapidement et sans erreurs, ex :
qf33&45bn (attention au social engineering)
Phrase longue, citation, suite de mots sans sens, ex :
CarotteChevalBureauOctobreVieux,
Ceux qui vont être mémorisés et gérés par le PC
●
Au moins 16 caractères générés aléatoirement, ex :
6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau)
Voir des sites comme strongpasswordgenerator.com
19. Quelques conseil pour garder le contrôle
Usages :
Pour ouvrir sa session (et déchiffrer son /home)
●
Un mot de passe court suffit,
●
Il faut le changer régulièrement
Pour protéger son trousseau de clé
●
Préférer une "phrase de passe" (passphrase)
Pour se connecter sur un site/service (en https)
●
Mots de passe complexes générés aléatoirement
●
Ne jamais utiliser deux fois le même
●
Les conserver dans son trousseau de clé
20. Alternatives Libres & Services loyaux
OwnCloud
●
●
●
Logiciel Libre qui s’installe sur un serveur et
le transforme en Stockage Cloud personnel.
Clients pour Linux, Windows et Mac
Disponible chez certains hébergeurs
(notamment ceux qui proposent un
cPanel avec Softaculous, ex ; O2Switch)
21. Alternatives Libres & Services loyaux
SparkleShare
●
●
●
Logiciel Libre qui s’installe sur votre client Linux
et transforme un serveur GIT en Stockage Cloud
Le serveur GIT peut être
sur votre hébergement
personnel
Gestion des versions des
fichiers sources
22. Alternatives Libres & Services loyaux
SpiderOak
●
●
●
Service similaire à DropBox, mais qui intègre le
chiffrement sur le poste client avant l’envoi
Les données sont chiffrées
avec une clé personnelle
connue de vous seul
Client pour toutes les plateformes
23. Alternatives Libres & Services loyaux
Autres services respectueux de votre vie privée
Framasoft
●
●
●
Opérateur associatif
Pas de collecte (ni de revente)
de données personnelles
Services variés produits sur
des Logiciels Libres
●
●
●
FramaDate (pour des sondages ou remplacer Doodle)
FramaCalc (plutôt que Google Docs Feuille de Calcul)
FramaPad (plus collaboratif que Google Docs Texte)
24. Alternatives Libres & Services loyaux
Services respectueux de votre vie privée (suite)
Spécial Dédicace : Sud-Ouest.Org
(l’ABUL est Partenaire de Sud-Ouest.Org)
●
Opérateur de courriel "à prix libre"
●
Fonctionnement associatif
●
Particulièrement pointilleux sur les
aspects :
●
●
●
Confidentialité des données
Respect de la vie privée
Sécurité du service
26. Prospective
Encore un peu plus loin ...
●
●
ChromeBook
Aucun stockage interne ; donc Cloud OBLIGATOIRE
et impossibilité d’installer autrement que depuis le
Magasin en Ligne de Google ...
27. Prospective
La tendance vers le "tout service" est nette !
●
●
●
●
La demande pour des ordinateurs personnels (PC)
est en chute au profit des tablettes tactiles
Les opérateurs majeurs misent tout sur les magasins
en ligne (Apps Stores) fermés et incompatibles
Le matériel (hardware) se ferme et ne permet plus
que l’acte passif de consommation (et d’achat)
De nombreux lobbies œuvrent pour faire inscrire
dans la loi l’illégalité de leur évitement ...
... Monsanto a réussi dans son domaine.
●
La passivité des consommateurs est leur meilleure
arme; quand ce n’est pas de la complicité active ...
28. Prospective
La tendance vers le "tout service" est nette !
●
●
●
●
La demande pour des ordinateurs personnels (PC)
est en chute au profit des tablettes tactiles
Les opérateurs majeurs misent tout sur les magasins
en ligne (Apps Stores) fermés et incompatibles
Le matériel (hardware) se ferme et ne permet plus
que l’acte passif de consommation (et d’achat)
De nombreux lobbies œuvrent pour faire inscrire
dans la loi l’illégalité de leur évitement ...
... Monsanto a réussi dans son domaine.
●
La passivité des consommateurs est leur meilleure
arme; quand ce n’est pas de la complicité active ...
29. Le ‘Cloud’ Libre
Données en lignes : dangers et opportunités
C'est le moment des
Questions / Réponses
Merci de votre attention ...