octobre 2007


MailboxUn message électronique peut être envoyé à de multiples récepteurs. Une première approche est de considérer qu’il s’agit d’un unique message dont les droits d’accès sont limités aux récepteurs autorisés. Cette vision pose cependant trois problèmes en regard du formalisme exposé là (et révisé là):

  • Quelle est l’adresse à laquelle les récepteurs autorisés viennent consulter le message ? L’adresse de l’émetteur ? Certainement pas : cette adresse n’est accesible en réception qu’à son titulaire. De plus une communication unilatérale ne nécessite pas que l’émetteur possède une adresse, le courrier postal en est l’exemple.

  • Les droits d’accès en réception sont-ils attachés à l’adresse ou au message ?

  • Comment expliquer dans ce modèle la différence entre les destinataires en copie simple et les destinataires en copie cachée ?

Pour trouver des réponses à ces questions il faut changer de vision : l’email n’est pas un unique message visible par plusieurs récepteurs mais un ensemble de messages identiques envoyés chacun à un unique destinataire via son adresse email. Pour repondre aux questions posées ci-dessus :

  • Chaque message est envoyé à l’adresse d’un des destinataires.

  • Les droits d’accès sont associés aux adresses des destinataires : une identification est nécessaire pour accéder à un compte de messagerie électronique, mais une fois connécté la lecture des différents messages n’est pas soumise à des droits d’accès supplémentaires (dans le cas général) .

  • L’ensemble des destinataires est la réunion des destinataires en copie simple et des destinataires en copie cachée. Seulement la liste des destinataires en copie simple constitue l’un des éléments du contenu du message. Il n’est donc pas nécessaire d’introduire une différenciation entre ces deux catégories d’interlocuteurs dans les droits d’accès au message : ils reçoivent le même message, mais tous n’ont pas leur adresse qui apparait dans le contenu.

 

Email

 

Broadcast et pluricast

Je donne deux définitions qui n’ont rien d’universel mais s’accorde avec les différents propos tenus sur l’adressage au cours des derniers posts (à noter que j’ai préféré le terme pluricast au terme multicast du fait que ce dernier possède un sens déterminé dans le cadre du routage IP) :

Broadcast : émission vers une adresse choisie par l’émetteur qui en a fixé les droits d’accès en réception

Pluricast : émission vers une adresse choisie par le récepteur. Pour un même contenu plusieurs messages sont envoyés : un à chacune des adresses de réception.

L’unicast est alors un cas particulier de pluricast où il y a un unique récepteur. Selon ces définitions le message électronique est un exemple de pluricast.

On peut cependant lui trouver un montage équivalent en mode broadcast : une adresse internet où le message serait consultable sur identification. Une liste de destinataires, donton souhaiterait qu’ils apparaissent en copie simple s’il s’agissait d’un email, serait incorporée au contenu du message. Il s’agit bien d’un unique message accessible à une adresse unique, et ce montage est strictement équivalent au message électronique tant du point de vue des droits d’accès que du point de vue des données délivrées.

A noter que chaque message nécessiterait une nouvelle adresse internet et qu’il faut pouvoir informer chacun des destinataires de l’adresse internet où les attendent un message. Ce format de communication est adopté par certains services proposant le transfert de pièces volumineuses tels que YouSendIt.com : la pièce est placée à une adresse accessible seulement à ceux ayant reçu un email, c’est-à-dire ceux dont l’adresse email aura été fournie par l’émetteur. On voit ici les possibilités offertes par l’addition des deux modes d’adressage en pluricast et en broadcast.

YouSendIt

La lecture de l’essai d’Umberto Eco Le Signe me donne à voir de nombreuses relations entre le sujet des interfaces homme-machine et la sémiotique du signe.

Ainsi le passage dont je vous donne lecture ci-dessous m’évoque les réflexions de ce billet-ci et de celui-là où sont mis en avant les liens entre IHM et transduction de signaux énergétiques. La classification des signes donnée ci-dessous présente aussi des liens avec la (multi-)modalité des interfaces dont il était question dans ce post.

« Sebeok, qui, plus que tout autre, a consacré une attention systématique aux systèmes de signalisation les plus périphériques, a élaboré une classification complexe distinguant les signes selon le canal matériel qui sert à les transmettre : « 

Classification Sebeok

Il avait été question dans ce billet d’une conférence donnée par Michel Serres où celui-ci exposait ce qu’il appelle exo-darwinisme. A l’origine de cette de réflexion le constat que l’histoire des techniques se confondait avec une externalisation de certaines fonctions telles que la mémoire ou l’inférence logique.

Dans ce billet, David Brooks reprend à son compte cette réflexion.

(Via  The End of Cyberspace)

Ce billet s’inscrit à la suite de celui-ci qui introduisait la notion d’Identity Provider.

S’enregistrer et s’identifier

Un interlocuteur A qui souhaite envoyer un message à un interlocuteur B doit s’identifier auprès de l’IDP de B (IDP2 par exemple). Il peut s’être enregistré auprès d’IDP2 au moyen d’un identifiant et d’un mot de passe qui lui sont propres, il doit alors fournir ces informations au moment de l’identification. Dans ce cas cependant B n’est pas en mesure lui même de répondre à A. Pour ce faire A pourrait avoir fourni une adresse de réponse (parfois au travers de l’identifiant).

Pour les mêmes raisons que B, A peut toutefois refuser de fournir une adresse dont l’accès en émission est libre. Il lui faut alors, pour pouvoir engager une communication à double sens avec B, se créer lui aussi un profil auprès d’un IDP. Lorsque A s’enregistre auprès de l’IDP de B (IDP2), A doit fournir un lien vers son profil chez son IDP. Il utilise un identifiant (A@idp1.com) auquel IDP2 associera les droits accordés à A par B.

Communication OpenID 1

 

Se libérer du dernier identifiant ?

Le système d’identification décrit ci-dessus nécessite de communiquer un identifiant, qui est associé à son utilisateur de manière univoque. Alors, bien sûr on communique un identifiant plutôt qu’une adresse, mais imaginons que je m’enregistre auprès de deux site de commerce sur internet avec cet identifiant, il leur sera possible de croiser leurs données me concernant, sans enfreindre les lois sur le fichage informatique, comme le souligne Hubert Guillaud, puisque l’identifiant ne permet pas de remonter à l’identité.

Tout comme il est possible en l’absence d’IDP de différencier ses adresses suivant les interlocuteurs en utilisant des adresses aliasées, il est possible de différencier ses identifiants en utilisant des pseudonymes. Imaginons que A et B veulent s’accorder des droits réciproques leur permettant de communiquer. Ils s’échangent des alias pseudoa@idp1.com et pseudob@idp2.com. L’identifiant « source », c’est-à-dire l’identifiant unique auquel sont rattachés les alias d’un profil a pour unique objet de constituer une référence stable dans le système d’information de l’IDP. Il reste privé et n’a pas vocation à être publié.

Dans le cas d’un identifiant unique il suffisait à chacun de mémoriser dans son profil l’identifiant de l’interlocuteur et d’y associer des droits. Avec l’utilisation d’alias il faut enregistrer le pseudonyme de l’interlocuteur et les droits qui lui sont accordés mais il faut aussi y accoler l’alias par lequel l’interlocuteur nous connaît. En effet l’instauration d’une communication nécessite que chacun des interlocuteurs fournisse les deux informations : qui je veux contacter et qui je suis. Cette seconde information est évidente dans le cas d’un identifiant unique mais ne l’est plus dans le cas de l’utilisation d’alias.

Communication OpenID 2

 

Ce billet ainsi que le précédent illustrent l’utilité des protocoles de gestion d’identité : ils permettent de préserver son identité (et son anonymat) et de contrôler les droits d’accès accordés à ses interlocuteurs. Et l’utilisation de pseudonymes permet de conserver la possibilité existante sans IDP de posséder plusieurs identités sans avoir à multiplier les profils chez un IDP.

Un très bon article a été publié sur le sujet connexe de la protection des données personnelles dans le cadre de la personnalisation des services par Hubert Guillaud. Ce billet se différencie en abordant le problème de gestion de l’identité du point de vue des droits d’accès.

 

Contrôle de la diffusion d’une adresse

La plupart des adresses personnelles sont libres d’accès en émission (adresse postale, adresse email, adresse téléphonique…), c’est-à-dire que toute personne en ayant connaissance peut y envoyer un message. Le seul levier de l’utilisateur qui veut éviter qu’une personne quelconque puisse se servir d’une de ses adresses est donc d’en contrôler la diffusion.

Ce contrôle de la diffusion impose soit de refuser de donner son adresse à des personnes connues mais de peu de confiance lorsqu’il s’agit de contenir la publication de l’adresse, soit d’accepter l’éventualité d’avoir à effectuer un filtrage ex post extensif.

L’utilisation d’alias constitue une première réponse ce problème : il s’agit d’adresses différenciées suivant les interlocuteurs (adresses email jetables, téléphones portables différents pour les communications privées et professionnelles). Cette solution permet non pas d’accorder des droits d’accès personnalisés mais de se constituer un carnet d’alias aux propriétés de priorité et de pérennité différenciées. Priorité par l’importance accordée a priori aux messages qui y sont déposés, et pérennité par la durée de vie de l’adresse. La durée de vie d’une adresse augmente avec l’importance des messages qui y sont attendus et avec la difficulté qu’il y a à la remplacer, c’est-à-dire à s’assurer que des interlocuteurs particuliers susceptibles de l’utiliser puissent se voir communiquer une nouvelle adresse valide.

 

OpenID et contrôle d’accès par identification

La gestion de ses communication au travers d’un système d’alias est pesant et ne résout pas le problème de la diffusion : un alias à haute priorité est lui-aussi susceptible d’être publié hors du contrôle de l’intéressé. Adresses et alias ont sont libres d’accès en émission, mais comme ce billet le faisait remarquer il est possible de leur fournir un accès protégé : l’accès en émission peut être conditionné par la fourniture d’une information telle qu’un mot de passe. Cependant le mot de passe étant tout comme l’adresse une information susceptible d’être diffusée, le problème est certainement réduit mais pas résolu par ce recours.

Cela n’est possible qu’au travers de l’instauration d’un contrôle d’accès par identification. Seul un interlocuteur dûment identifié peut faire usage d’une adresse dans la mesure des droits qui lui ont été accordés par le titulaire. Dans ce cas de figure l’interlocuteur ne peut se voir révélé l’adresse qu’il contacte (puisqu’elle lui deviendrait alors libre d’accès), une tierce partie est donc nécessaire : elle permet l’enregistrement des interlocuteurs et réalise le lien avec l’adresse du destinataire. Cette tierce partie est l’Identity Provider (IDP).

Le titulaire d’un profil chez un IDP peut définir et redéfinir les droits d’un interlocuteur d’accéder non pas à ses adresses mais à des fonctions lui permettant d’envoyer un message à ces adresses. Par ailleurs la multiplication des adresses permet de gérer la priorité des messages comme le permettaient les alias. Et la pérennité ne porte plus sur les adresses mais sur les droits associés à un émetteur.

Identity Provider

Une communication faisant usage d’une adresse particulière ne pourra aboutir qu’à condition que cette adresse existe. L’existence d’une adresse n’est connue originellement que de celui qui la crée. Ce post a pour objet de définir quelques éléments qui déterminent sa visibilité :

Publication : une adresse est publiée auprès d’individus amenés à devenir des interlocuteurs. La carte de visite permet ainsi de publier certaines informations personnelles dont des adresses telles que le numéro de téléphone, l’adresse email,… La publication d’une adresse peut se faire de proche en proche ou faire l’objet d’une communication auprès d’un plus grand nombre (utilisation d’un blog ou autre adresse de publication dont les droits d’accès permettent à une audience large d’en prendre connaissance).

Testabilité : la testabilité d’une adresse pose trois problèmes : la validité de l’adresse, son existence, et sa visibilité. Une fréquence radio est nécessairement valide contrairement à une adresse postale (le « _ » rue Nollet à Paris n’est pas valide car une adresse doit comporter un numéro dans la rue) ou une adresse IP (l’adresse 128.255.600.255 n’est pas valide car 600 n’est pas codable sur 8 bits). L’adresse peut ensuite être valide mais ne pas exister (il n’y a pas de M. Arblet au 81 rue Nollet, ou l’adresse IP x.y.z.w peut ne pas être attribuée). La testabilité consiste en la capacité à déterminer le statut d’une adresse en la testant dans un « moteur » : je peux tester un numéro de téléphone en le composant. Mais comme le montre cet exemple dans l’espace des adresses internet (via OutilsFroids) on ne peut parfois pas distinguer entre adresse inexistante et adresse invisible.

Indexation : l’indexation d’adresses consiste en premier lieu en leur regroupement. Les adresses de mes contacts ne sont pas indexées tant qu’ils sont sur une carte de visite, mais ils le sont lorsque je les regroupe dans un répertoire. L’indexation s’accompagne généralement de meta-données. La non-indexation d’une adresse ne signifie pas pour autant qu’elle n’existe pas : la liste rouge permet de ne pas apparaitre dans les pages jaunes, mais ne pas avoir son nom et son numéro dans les pages jaunes ne signifie ne pas exister.

La définition de l’adresse (dans ce post) introduit des droits d’accès. L’objet de ce billet est d’exposer les types de droits d’accès existants et comme ceux-ci se composent.

 

Types de droits d’accès

FenceOn distingue deux types d’accès : l’accès anonyme et l’accès sur identification. L’accès anonyme peut être libre ou protégé. La protection consiste en la connaissance d’une information dont dépend l’accès : mot de passe, digicode, clé privée d’encryption. La protection repose sur la discrétion des utilisateurs autorisés.

L’accès sur identification conduit l’utilisateur à s’enregistrer dans un premier temps puis à s’identifier à chaque accès. L’identification repose elle aussi sur la connaissance d’une information particulière (en général un couple identifiant-mot de passe) mais cette information est propre à chaque utilisateur. Le niveau protection d’un accès sur identification peut être modulé : du simple identifiant sans mot de passe jusqu’à l’encryption avec une clé de 128 bits.

Un type de droits d’accès n’est pas intrinsèquement meilleur que l’autre : le choix du type d’accès dépend de l’utilisation envisagée. La perception par l’utilisateur dépend aussi du service attendu : un accès sur identification peut lui donner un sentiment de confiance s’il juge que le service rendu justifie le coût de l’identification (en temps, mais aussi en perte d’anonymat). Au contraire il peut y voir une demande inutile voire abusive (par exemple l’identification nécessaire à la lecture des articles en ligne du NYT).

 

Composition des droits d’accès

Un précédent post sur le nestage d’adresses a permis de faire apparaitre que les droits d’accès théoriques étaient modulés par les contraintes portant sur les canaux humains de communication (principalement le son et l’image) qui sont naturellement libres d’accès.

Ce phénomène de « lecture par dessus l’épaule » ne peut être contré qu’en isolant physiquement le(s) ayant-droit(s): la salle de réunion ou les écouteurs en sont des exemples. Pour les signaux d’accès libre tels que le son et l’image, on peut restreindre effectivement les droits d’accès en plaçant émetteurs et récepteurs dans un même espace cloisonné et instaurer des droits d’accès à cet espace.

La gestion des droits d’accès est importante car ils sont un facteur de coûts pour l’utilisateur et pour le gestionnaire du service. Ils peuvent aussi être une opportunité comme ce billet le faisait remarquer. Par la composition des droits d’accès il est possible de construire des politiques plus complexes. Il est possible de jouer sur la substituabilité des différents droits d’accès (au message, à l’adresse, ou physique tels qu’une porte verrouillée) pour limiter les coûts de maintenance et d’utilisation.

Page suivante »