e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


en flag Read it in english with google


Alors il parait, d'après certains journaux, qu'il y aura introduction du paiement électronique et du commerce électronique dès le 2 ème trimestre de cette année (mai 2009). Les commentaires, sceptiques dans la plupart, ne se font pas attendre.

Est-ce un des coups médiatiques pour les futurs élections ?
Je ne crois pas; Les NTIC ne représentent pas un élément important (même significatif) dans la société algérienne pour l'utiliser ainsi.

Voyons d'abord si les premiers concernés d'après les journaux, en l'occurrence la poste, parlent de ça !

On apprend sur le site que la poste s'est engagée devant l'état, par le biais d'un contrat de performance Algérie Poste/ État .. je cite :

"
Le renforcement des points d’accès postaux, l’amélioration de l’accueil, la modernisation des services financiers postaux et la disponibilité d’accès aisé aux technologies de l’information et de la communication"

A la fin, on peut lire :

"En matière des services postaux, il s’agit de développer le courrier hybride, le publipostage, le mailing non adressé les fichiers électroniques d’adresses, la cyber Post, les envois de documents sécurisés, la certification et le tiers de confiance, le commerce électronique et enfin la E-logistique."

Apparemment, c'est sérieux .

Maintenant, est-ce un projet à l'initiative d'Algérie Poste, ou c'est une stratégie nationale ?

Normalement, on devrait trouver quelque chose dans le projet e-Algérie 2013, et c'est le cas.

Ce projet ou plan d’actions est articulé autour de treize axes majeurs. le deuxième (axe majeur B) concerne l' "Accélération de l’usage des TIC dans les entreprises", qui a pour "objectif spécifique B1" de " développer l’offre de services en ligne en direction des entreprises en amont et en aval".
Parmi les actions menant à cet objectif, on trouve l' "Action B6. e-Commerce", définie comme suit :
"Ces activités couvrent l'utilisation d'un support électronique pour la relation commerciale d'une entreprise avec d’autres entreprises ou des particuliers."

Et pour l'échéancier ?

C'est encore précisé : sur une année, comprenant le 2 ème trimestre 2009 et le 1 er trimestre 2010.

Donc, c'est sérieux ET officiel....mais est-ce que les bonnes intentions, les contrats de performance et les plans bien ficelés suffisent à eux seuls ?

Clairement, NON ! Mon problème et mon soucis est la PRÉPARATION.

Je ne vais pas parler des aspects juridiques, réglementaires, économiques ou même politiques, bien qu'ils sont de loin les plus important à mon avis...je ne veux pas parler de quelque chose que je ne maîtrise pas du tout. Je vais me contenter de parler de l'aspect sécurité où je me sent compétent un petit peu.

On est devant un chantier qui devra prendre en charge la protection de l'infrastructure qui sera mise en place, la protection des transactions ainsi que la protection des données privées (entreprises ou particuliers).

Si on regarde du côté des exigences de sécurité, on a la totale :

- Disponibilité : le "service" (paiement en ligne ou autre) doit être disponible avec des temps d'interruption extrêmement faibles. Ça implique plein de "composants" : infrastructure réseau du "fournisseur de service" (Algérie Poste par exemple), moyens d'accès au réseau de ce service (infrastructures des ISP mis à contribution), infrastructure hébergeant le service (serveurs et autres moyens)....là se sont les plus visibles.

- Confidentialité : là tout le monde comprend, si on n'assure pas au "client" que personne ne peut intercepter ou avoir connaissance des ces données privées et ces transactions, alors le facteur "confiance" (la pierre angulaire) tombera à l'eau et avec lui tout le projet.
On devra prévoir le chiffrement, la gestion de certificats, les "autorités" d'enregistrement, de certification et peut-être d'autres, l'utilisation de Tokens...etc. Ici la partie "technique" est un jeu comparée aux aspects "organisationnels".

- Intégrité : les transactions et les données devront être préservées et protégées contre l'altération. Là aussi , les moyens cryptographiques devront être considérés.

- Non répudiation : dans ce genre de projet, on devra mettre en place les moyens pour que quiconque ne peut nier avoir entrepris telle ou telle transaction. C'est en grande partie via des moyens cryptographiques.

Mon souci peut être traduit en ces 2 questions :

Question 1 : sont-ils préparés ? Manifestement non actuellement.

Si on voit le "service" basic actuel de consultation de compte CCP, on est bien loin du compte.

Disponibilité ? tout le monde a constaté la lourdeur et le caractère aléatoire d'accès à ce service.

Confidentialité ? on NE PEUT consulter notre compte qu'en CLAIR (pas de https) !!! rien à ajouter !

Intégrité et non répudiation ? on ne sait rien, mais généralement quand on est inconscient au insuffisant, ça se concerne le tout ...et quand on voit les 2 premiers aspects, on peut imaginer la chose !

Question 2 : pourront-ils l'être dans 6 mois (en fait moins) ? Impossible, si on veut parler de quelque chose de professionnel, pas du bricolage.

J'ai essayé dans un billet précédent de proposer une approche de sécurisation "générique" pour le réseau de la Poste. Et ceci prend du temps. Maintenant on parle de commerce électronique, c'est plus spécifique et c'est plus critique. C'est une organisation à étudier, à mettre en place, à tester et à améliorer continuellement...ça ne s'improvise pas !

Je suis négatif ? peut être, mais en fait on est devant 2 choix :

- Ne pas attendre jusqu'à être prêt et se lancer dans le bain en améliorant au fur et à mesure (dans le meilleur des cas) ..... bonjour les dégâts et la crédibilité qui s'envole (si elle existe déjà)

- Se préparer suffisamment et sérieusement en assurant les fonctions de sécurité minimales tout en restreignant le service au niveau qu'on peut protéger uniquement. Le passage à un autre niveau de service se fera après validation et succès du niveau ou de l'étape précédente .... j'espère que c'est se qu'ils comptent faire.

Par expérience, les "techniciens" (ingénieurs et autres) subissent les décisions non mesurées et les pressions des responsables qui ont l'habitude chez nous de lancer des "trucs", qui les ratent et personne ne demande des comptes à quiconque....mais là je croix que ça sera un peu différent..et j'espère que ces techniciens ne seront pas les bouc-émissaires.

Je ne suis pas très engagé dans la mouvance "Full Disclosure", mais en voyant de plus en plus que l'incompétence et la médiocrité fait "directement" mal aux personnes et au pays quelque fois ... en voyant ça, je me dis que peut-être c'est la seule manière qui peut faire réfléchir certaines personnes !!!


.



Mohammed (PBSL).... on vous aime
نحبك ... محــــمد صلى الله عليك وسلم








.

en flag Read it in english with google

Des fois des petits gestes de rien du tout, un petit choix concernant un petit cas dans une petite solution technique...des fois ça casse la baraque !!!

En essayant de régler un problème de communication réseau entre les clients et le serveur d'une application chez un client, j'ai aller regarder du côté de la configuration firewall. Et là deux problèmes !

En premier, les administrateurs n'ayant pas trouvé avec exactitude les ports de communication ... eh ben il ont mis la "solution finale" :

any source any destination any service => permit
Ok, j'avoue que la doc de l'application n'est pas fameuse...mais il y a quand même du bon sens.

Déjà, on connaît le serveur, mettant alors son adresse. On connaît les clients, mettant alors leurs adresses. Maintenant pour les ports...et ben, il suffit de sniffer quelques sessions, et on finira par trouver les bons !

Je sais, il y a des cas où c'est dynamique...là il faut aller au fond des choses : changer les paramètres dans l'application elle même ou même faire de la translation juste avant...ça complique un petit peu le design, mais par rapport au réseau en question, c'est plus sécurisé.

Le deuxième problème c'est quand je regarde la conf des firewalls : du "any any" partout !!!! et c'est quoi l'excuse ? ils l'ont fait momentanément pour ne pas bloquer les utilisateurs et ils ont oublié de les revoir ... pour quelques années !!!

Là franchement, je conseil un truc assez original : vous vous compliquez la vie avec ces foutus firewalls, ces foutus configs, ces foutus utilisateurs ingrats et incultes....ouvrez tout, libérez tout ... et vous serais dans une situation meilleure que celle actuelle ! Pourquoi ? et ben maintenant au moins on sait quel est le niveau réel de nos protections....c'est nettement mieux que l'ignorance !


.

Inscription à : Articles (Atom)