Read it in english with google
Alors il parait, d'après certains journaux, qu'il y aura introduction du paiement électronique et du commerce électronique dès le 2 ème trimestre de cette année (mai 2009). Les commentaires, sceptiques dans la plupart, ne se font pas attendre.
Est-ce un des coups médiatiques pour les futurs élections ?
Je ne crois pas; Les NTIC ne représentent pas un élément important (même significatif) dans la société algérienne pour l'utiliser ainsi.
Voyons d'abord si les premiers concernés d'après les journaux, en l'occurrence la poste, parlent de ça !
On apprend sur le site que la poste s'est engagée devant l'état, par le biais d'un contrat de performance Algérie Poste/ État .. je cite :
"Le renforcement des points d’accès postaux, l’amélioration de l’accueil, la modernisation des services financiers postaux et la disponibilité d’accès aisé aux technologies de l’information et de la communication"
A la fin, on peut lire :
"En matière des services postaux, il s’agit de développer le courrier hybride, le publipostage, le mailing non adressé les fichiers électroniques d’adresses, la cyber Post, les envois de documents sécurisés, la certification et le tiers de confiance, le commerce électronique et enfin la E-logistique."
Apparemment, c'est sérieux .
Maintenant, est-ce un projet à l'initiative d'Algérie Poste, ou c'est une stratégie nationale ?
Normalement, on devrait trouver quelque chose dans le projet e-Algérie 2013, et c'est le cas.
Ce projet ou plan d’actions est articulé autour de treize axes majeurs. le deuxième (axe majeur B) concerne l' "Accélération de l’usage des TIC dans les entreprises", qui a pour "objectif spécifique B1" de " développer l’offre de services en ligne en direction des entreprises en amont et en aval".
Parmi les actions menant à cet objectif, on trouve l' "Action B6. e-Commerce", définie comme suit :
"Ces activités couvrent l'utilisation d'un support électronique pour la relation commerciale d'une entreprise avec d’autres entreprises ou des particuliers."
Et pour l'échéancier ?
C'est encore précisé : sur une année, comprenant le 2 ème trimestre 2009 et le 1 er trimestre 2010.
Donc, c'est sérieux ET officiel....mais est-ce que les bonnes intentions, les contrats de performance et les plans bien ficelés suffisent à eux seuls ?
Clairement, NON ! Mon problème et mon soucis est la PRÉPARATION.
Je ne vais pas parler des aspects juridiques, réglementaires, économiques ou même politiques, bien qu'ils sont de loin les plus important à mon avis...je ne veux pas parler de quelque chose que je ne maîtrise pas du tout. Je vais me contenter de parler de l'aspect sécurité où je me sent compétent un petit peu.
On est devant un chantier qui devra prendre en charge la protection de l'infrastructure qui sera mise en place, la protection des transactions ainsi que la protection des données privées (entreprises ou particuliers).
Si on regarde du côté des exigences de sécurité, on a la totale :
- Disponibilité : le "service" (paiement en ligne ou autre) doit être disponible avec des temps d'interruption extrêmement faibles. Ça implique plein de "composants" : infrastructure réseau du "fournisseur de service" (Algérie Poste par exemple), moyens d'accès au réseau de ce service (infrastructures des ISP mis à contribution), infrastructure hébergeant le service (serveurs et autres moyens)....là se sont les plus visibles.
- Confidentialité : là tout le monde comprend, si on n'assure pas au "client" que personne ne peut intercepter ou avoir connaissance des ces données privées et ces transactions, alors le facteur "confiance" (la pierre angulaire) tombera à l'eau et avec lui tout le projet.
On devra prévoir le chiffrement, la gestion de certificats, les "autorités" d'enregistrement, de certification et peut-être d'autres, l'utilisation de Tokens...etc. Ici la partie "technique" est un jeu comparée aux aspects "organisationnels".
- Intégrité : les transactions et les données devront être préservées et protégées contre l'altération. Là aussi , les moyens cryptographiques devront être considérés.
- Non répudiation : dans ce genre de projet, on devra mettre en place les moyens pour que quiconque ne peut nier avoir entrepris telle ou telle transaction. C'est en grande partie via des moyens cryptographiques.
Mon souci peut être traduit en ces 2 questions :
Question 1 : sont-ils préparés ? Manifestement non actuellement.
Si on voit le "service" basic actuel de consultation de compte CCP, on est bien loin du compte.
Disponibilité ? tout le monde a constaté la lourdeur et le caractère aléatoire d'accès à ce service.
Confidentialité ? on NE PEUT consulter notre compte qu'en CLAIR (pas de https) !!! rien à ajouter !
Intégrité et non répudiation ? on ne sait rien, mais généralement quand on est inconscient au insuffisant, ça se concerne le tout ...et quand on voit les 2 premiers aspects, on peut imaginer la chose !
Question 2 : pourront-ils l'être dans 6 mois (en fait moins) ? Impossible, si on veut parler de quelque chose de professionnel, pas du bricolage.
J'ai essayé dans un billet précédent de proposer une approche de sécurisation "générique" pour le réseau de la Poste. Et ceci prend du temps. Maintenant on parle de commerce électronique, c'est plus spécifique et c'est plus critique. C'est une organisation à étudier, à mettre en place, à tester et à améliorer continuellement...ça ne s'improvise pas !
Je suis négatif ? peut être, mais en fait on est devant 2 choix :
- Ne pas attendre jusqu'à être prêt et se lancer dans le bain en améliorant au fur et à mesure (dans le meilleur des cas) ..... bonjour les dégâts et la crédibilité qui s'envole (si elle existe déjà)
- Se préparer suffisamment et sérieusement en assurant les fonctions de sécurité minimales tout en restreignant le service au niveau qu'on peut protéger uniquement. Le passage à un autre niveau de service se fera après validation et succès du niveau ou de l'étape précédente .... j'espère que c'est se qu'ils comptent faire.
Par expérience, les "techniciens" (ingénieurs et autres) subissent les décisions non mesurées et les pressions des responsables qui ont l'habitude chez nous de lancer des "trucs", qui les ratent et personne ne demande des comptes à quiconque....mais là je croix que ça sera un peu différent..et j'espère que ces techniciens ne seront pas les bouc-émissaires.
Je ne suis pas très engagé dans la mouvance "Full Disclosure", mais en voyant de plus en plus que l'incompétence et la médiocrité fait "directement" mal aux personnes et au pays quelque fois ... en voyant ça, je me dis que peut-être c'est la seule manière qui peut faire réfléchir certaines personnes !!!
.
Il y a 3 ans
25 mars 2009 à 11:28
Quand j'ai lu cette nouvelle dans le journal j'ai éclaté de rire, car je vois mal une équipe qui s'est fait détronnée par des scripts-kiddies gérer la sécurité d'une telle plateforme, c'est là que j'ai vu la date du journale avancer de 10 mois et le titre se transformer en "Piratage de la Poste.dz: Tout les comptes CCP ont été vidés" :) ... Bien sûr, je ne dis pas qu'il n'y a pas des gens competants au bled, je dis juste qu'il ne sont pas à leur place, car ils ont été devancés pas des mieux "épaulés" qu'eux qui malheureusement ont un pois chiche à la place du cerveau!
Mais comme même je crois que le rôle de chaqu'un qui (tel que Salah) ont une connaissance dans le domaine est de tester la sécurité et signaler toute anomalie... Mais il faudrait pour cela que ces 1-formater-si-1 daignent les prendre au serieux et pourquoi pas, leur donner des informations concernant la plateforme...
On attendant, je vais vider moi même les quelques sous qui tomberont dans mon mouchoire-ccp ... on ne sait jamais!