Privacy Considerations for Internet Protocols

Power in the Age of the Feudal Internet, by Bruce Schneier - CoLab (october 2013) via @bodyspacesoc
▻http://en.collaboratory.de/w/Power_in_the_Age_of_the_Feudal_Internet

It’s quick vs. strong. To return to medieval metaphors, you can think of a nimble distributed power – whether marginal, dissident, or criminal – as Robin Hood. And you can think of ponderous institutional power – both government and corporate – as the Sheriff of Nottingham.

So who wins? Which type of power dominates in the coming decades?

Right now, it looks like institutional power.

#gouvernance_internet

My main concern is for the rest of us: everyone in the middle. These are people who don’t have the technical ability to evade either the large governments and corporations that are controlling our Internet use, or the criminal and hacker groups who prey on us. These are the people who accept the default configuration options, arbitrary terms of service, NSA-installed back doors, and the occasional complete loss of their data. In the feudal world, these are the hapless peasants. And it’s even worse when the feudal lords – or any powers – fight each other. As anyone watching Game of Thrones knows, peasants get trampled when powers fight: when Facebook, Google, Apple, and Amazon fight it out in the market; when the US, EU, China, and Russia fight it out in geopolitics; or when it’s the US vs. the terrorists or China vs. its dissidents.

#OTT #GOT #surveillance

Data is the new oil, and our pollution problem #écologie

#Data is the pollution problem of the information age. All computer processes produce it. It stays around. How we deal with it — how we reuse and recycle it, who has access to it, how we dispose of it, and what laws regulate it — is central to how the information age functions. And I believe that just as we look back at the early decades of the industrial age and wonder how society could ignore pollution in their rush to build an industrial world, our grandchildren will look back at us during these early decades of the information age and judge us on how we dealt with the rebalancing of power resulting from all this new data.

Tiré de MIND 6 Internet and Security #cybersécurité
▻http://www.collaboratory.de/w/MIND_6_Internet_and_Security

http://en.collaboratory.de/images/thumb/7/7e/Mind6.jpg/200px-Mind6.jpg

Ce même Bruce Schneier à l’IETF, comme le rapportait @stephane, « a également insisté sur le “partenariat public/privé” : la #NSA ne fait pas tout toute seule, elle est aidée par les géants du Web, qui lui fournissent des données (c’est un des points (#silicon_army) dont l’#IETF, où des entreprises comme Google sont très présentes, n’aime pas discuter, et cela explique certains manques dans le RFC 6973. »

Cf. ►http://www.bortzmeyer.org/6973.html sur ce RFC, avec l’exemple détaillé d’un « service de présence [qui] permet d’illustrer toute la palette des questions soulevées par la protection de la #vie_privée. »

http://www.bortzmeyer.org/images/pidgin-presence.png

L’IETF a plein d’idées :

– Évidemment, généraliser le #chiffrement. Les gens de #XMPP se sont promis de le faire pour leur protocole de messagerie instantanée avant mai 2014. [#crypto]

– Un terme souvent revenu dans les discussions est celui d’opportunistic #encryption. Il n’est pas très rigoureusement défini. Des fois, il veut dire « chiffrement sans authentification préalable » (ce qui protège d’un attaquant passif mais pas d’un homme du milieu), des fois, il signifie “chiffrement sans configuration manuelle préalable” et, là, c’est très souhaitable si on veut avoir des chances de généraliser le chiffrement.

– Minimisation des données envoyées. Le chiffrement ne protège pas si le destinataire transmet vos données à un tiers (cas de Facebook, par exemple). Il est donc également nécessaire de diminuer la quantité de données envoyées. Christian Huitema a ainsi lancé un appel à ce que les résolveurs #DNS arrêtent d’envoyer la question complète aux serveurs faisant autorité.

Alissa Cooper a bien résumé la démarche perpass : “1) envoyer le moins de données possibles 2) les chiffrer”. Il n’y a plus qu’à réaliser ce programme.
►http://www.bortzmeyer.org/ietf-securite-espionnage-bis.html

La déclaration de l’IETF :

Strengthening (renforcer, durcir) l’Internet
▻http://www.ietf.org/blog/2013/11/strengthening-the-internet

RFC 6973 : Privacy Considerations for Internet Protocols

La question de la #vie_privée est désormais une question de première importance sur l’Internet. La sortie de ce RFC en plein scandale #PRISM est une coïncidence mais elle tombe bien. Pendant longtemps, la vie privée avait pourtant été plutôt négligée par les ingénieurs et cette négligence se retrouvait dans les normes techniques, par exemple les RFC, qui ne contenaient pas grand’chose sur la question. Désormais, l’importance du problème est reconnue à l’#IETF et ce nouveau #RFC vise à expliquer à tous les auteurs de RFC ce qu’il faut connaître de la vie privée et de sa protection, lorsqu’on conçoit un protocole réseau.

Plein d’intéressants exemples et discussions. Un doit-lire pour tous les ingénieurs et étudiants en réseaux informatiques.

►http://www.bortzmeyer.org/6973.html