Research in Motion (RIM), le fabricant du BlackBerry, est dans la mire des projecteurs ces temps-ci. Une des forces dont se targue RIM est l’encryption des courriels envoyés et reçus sur l’appareil. Mais justement: ça empêche l’Arabie Saoudite de surveiller toutes les communications sur son territoire. Alors au nom de sa sécurité nationale (lire: sécurité du pouvoir totalitaire en place), elle a sommé RIM de lui fournir les codes d’accès des utilisateurs sous peine d’interdire les services de messagerie sur son territoire dès vendredi dernier.

Pour sauver un marché de 700 000 utilisateurs, RIM a finalement accepté de collaborer, quoiqu’elle demeure encore vague sur la solution envisagée. C’est à mon avis une belle occasion ratée pour un géant des technologies d’utiliser son influence pour améliorer le sort du monde. Ce n’est pas comme si RIM était en difficulté financière et n’avait aucune marge de manoeuvre…

Google, à l’inverse, mérite mon admiration: elle avait menacé de se retirer de la Chine en janvier dernier après avoir déjoué une manoeuvre non avouée du gouvernement chinois d’accéder aux comptes de militants pour les droits de l’homme. RIM est une entreprise canadienne? Chut, que ça ne se sache pas!

Ubisoft a présenté il y a environ un mois un nouveau système DRM. En résumé, un DRM(Digital Rights Management) est un système qui permet de vérifier que le jeu ou l’application ne sont pas une copie. Ces systèmes permettent en théorie de réduire le taux de piratage, mais en pratique, ils amènent beaucoup de problèmes chez les clients.

Certains DRM étaient tellement restrictifs que beaucoup de clients qui avaient acheté des jeux légalement étant incapable de jouer avec leurs jeux nouvellement achetés. Le système avait des failles ou n’avait pas été testé assidument sur tous les systèmes d’exploitation. Un des systèmes qui avait été pointé particulièrement du doigt était Starforce parce qu’il simulait un lecteur CD-ROM pour faire ses tests de vérifications. Le lecteur CD-ROM virtuel est venu entrer en conflit avec certains lecteurs CD-ROM bien réel et rendait ces lecteurs complètement inutilisables. Le gamer devait donc tout simplement réinstaller Windows afin de pouvoir utiliser son lecteur. Le système a été piraté assez rapidement, au point tel que certaines personnes qui avaient acheté le jeu le pirataient afin d’éviter des problèmes.

Le nouveau système de Ubisoft a décidé de s’y prendre d’une autre façon. Plutôt que d’installer des trucs bizarres et qui vont peut-être entrer en conflit avec certains ordinateurs, ils ont décidé d’obliger l’utilisateur d’avoir une connexion sur internet s’il voulait jouer. Le jeu utilisant ce DRM ferait des vérifications périodiquement pendant que vous jouez (dans le jargon, on appelle ça Phoning home). Ubisoft a poussé la chose un peu plus loin en gardant sur leur serveur votre partie enregistrée.

Voici les principaux points négatifs soulevés :

• Vous devez toujours être en ligne… en d’autres mots, si votre connexion internet flanche, vous perdez votre progression dans le jeu.
  L’implémentation du jeu ici est cruciale. Les développeurs pourraient forcer le jeu à se fermer et vous perdriez votre progression, ou ils pourraient simplement vous donner un avertissement en attendant que votre connexion internet revienne. Vous pourriez perdre votre connexion à cause de votre ISP (Bell, Vidéotron, etc.) à cause de votre rooter ou simplement à cause d’un câble qui s’est fait manger par votre chien.
• Il deviendrait impossible de revendre votre jeu. Le jeu serait associé à votre compte Ubisoft, vous seriez donc obligé de vendre votre compte Ubisoft aussi, ce qui est impossible selon la condition d’utilisation (TOS) des comptes Ubisoft.
• Si les serveurs d’Ubisoft sont fermés pour réparation ou pour une mise à niveau, vous serez dans l’impossibilité de jouer, parce que les parties enregistrées sont sur leur serveur et l’authentification est impossible à faire.
• Possiblité de jouer sans CD/DVD, qui était le DRM par défaut de plusieurs jeux.

Les bons côtés maintenant :

• Si tout fonctionne, on pourrait rêver à une diminution du prix des jeux parce qu’il y aurait moins de piratage, mais j’imagine que le prix va rester le même et les profits seront redistribués sur d’autres franchises et le développement de nouveaux jeux.
• Possiblité de jouer chez un ami avec votre personnage sans avoir à amené votre partie enregistrée. Le fait d’avoir votre partie sur leurs serveurs vous permet de jouer de n’importe ou, pourvu que le jeu soit installé. En théorie c’est une bonne idée, mais en pratique, si vous allez chez ami, c’est pas pour qu’il vous regarde jouer et si vous le faites, vous amenez votre ordinateur. Pourtant, Ubisoft met l’emphase sur ce « très » bon côté.
• Possiblité d’avoir des amis et de parler avec eux pendant que vous jouer, un peu comme fait Steam ou Battle.net entre autres.

En en parlant avec Guillaume, nous avons trouvé des bons côtés qui malheureusement, n’ont pas été mentionnés par Ubisoft pour l’instant :

• Des marchants légendaires se promenant de joueur en joueur et vendant les items achetés/vendus par les autres joueurs. Nous aurions de vrais marchands itinérants!
• Des troupes ennemies légendaires se promenant aussi de joueur en joueur. Présentement les ennemis sont gérés au hasard ou reviennent toutes les X minutes.
• Rendre possible de switcher entre le jeu single player et multiplayer plus facilement et avec plus de transparence. Je vois particulièrement l’intérêt ici, vous êtes en train de jouer avec vos amis et tout à coup votre petit frère commence à télécharger un film en HD sur sa Xbox360, il serait possible de tomber en mode single player et continuer à jouer où vous étiez rendu. Le système d’authentification et d’enregistrement de partie demande beaucoup moins de bande passante qu’un jeu complètement en ligne.
• Avoir les bons cotés des MMO sans avoir les mauvais cotés : Système de vente aux enchères sans les serveurs trop lents par exemple.
• Avoir des émissaires ou des factions qui se promènent entre les joueurs, selon les missions accomplies et les choix faits par les joueurs, le monde diplomatique et ou physique du jeu pourrait changer. Par exemple, 60% des gens décident d’aider le scientifique fou et une ville complète disparaît de la carte pour tous les joueurs. Une ville se fait conquérir par le royaume ennemi parce que la majorité des joueurs ont décidé d’aider le royaume.

Beaucoup de bonnes (et mauvaises!) idées peuvent ressortir avec un système qui oblige le joueur à avoir une connexion internet constante. Les implémentations de ces exemples se font au niveau du jeu et non pas au niveau du DRM, mais si le DRM oblige l’utilisateur à être connecté, les implémentations deviennent beaucoup plus faciles à réaliser. Personnellement, j’espère que le système fonctionnera et qu’il profitera des ouvertures qu’il apporte, mais j’ai bien peur que beaucoup de pirates s’amuseront à faire planter les serveurs de Ubisoft pour les obliger à le retirer. Si les serveurs ne tiennent pas le coup devant les pirates, les gens vont commencer à poursuivre Ubisoft parce que les biens qu’ils ont achetés sont inutilisables.

Un chambardement dans le monde du paiement en ligne est en cours et il porte le nom de norme PCI DSS (Payment Card Industry Data Security Standard). La norme touche autant les marchands que leurs fournisseurs de services internet. En effet, les grandes marques de carte de crédit derrière la norme (Visa, Mastercard, American Express et quelques autres) imposent que toute compagnie qui stocke, traite ou transmet des données bancaires soit tenue de la respecter, sans quoi elle se porte responsable des fraudes. Les concepteurs de sites web avec paiement en ligne et les hébergeurs ont donc tout intérêt à prendre la norme au sérieux.  

Les critères à respecter
 
La norme définit d’abord une série de critères à respecter. Les grands axes sont les suivants (voir https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml pour les sous-critères):

1. Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes
2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur
3. Protéger les données des titulaires de cartes stockées
4. Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
5. Utiliser des logiciels antivirus et les mettre à jour régulièrement
6. Développer et gérer des systèmes et des applications sécurisées
7. Restreindre l’accès aux données des titulaires de cartes et aux seuls individus qui doivent les connaître
8. Affecter un ID unique à chaque utilisateur d’ordinateur
9. Restreindre l’accès physique aux données des titulaires de cartes
10. Effecter le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes
11. Tester régulièrement les processus et les systèmes de sécurité
12. Gérer une politique de sécurité des informations

Les mécanismes de vérification du respect de la norme

Somme toute, il s’agit d’une excellente liste de vérification qui aurait dû être suivie par tous depuis longtemps, norme ou pas. Maintenant, la norme EXIGE que les critères soient respectés et les compagnies de cartes de crédit ont pris soin de préciser des mécanismes de certification. Par exemple, les marchands et fournisseurs qui traitent un petit nombre de transactions (environ 20000 par année) n’ont qu’à remplir un questionnaire d’autoévaluation annuelle pour montrer qu’ils respectent la norme. On se fie sur leur bonne foi, ce qui n’empêche pas qu’ils sont tenus d’être conformes. Si le nombre de transactions est plus élevé, des tests de vulnérabilité doivent être exécutés trimestriellement, soit par le fournisseur, soit par un tiers accrédité. Si le nombre de transactions est encore plus élevé, les marchands doivent obtenir une certification de conformité auprès d’un tiers accrédité après inspection des lieux. Les obligations sont précisées dans les contrats signés par le marchand (exemple de niveaux d’obligations pour Mastercard).

Amélioration ou pas?
 
Cette norme est-elle une bonne chose? Oui et non. Elle permettra de rehausser la confiance que les consommateurs ont en le paiement électronique, ce qui est profitable pour toute la communauté du commerce électronique. On peut féliciter les compagnies de cartes de crédit de s’être mises d’acccord sur une seule norme car cela simplifie grandement le travail de ceux qui doivent s’y conformer. Par contre, elle déplace le fardeau des fraudes sur les marchands et les fournisseurs. Mais jusqu’à quel point peut-on rendre un fournisseur légalement responsable alors que ce n’est pas lui qui signe le contrat?

 
Si vous n’êtes pas encore au courant de la norme PCI DSS et que vous touchez au commerce en ligne, vous avez encore un peu de temps mais selon votre situation, vous pourriez être tenus de vous y conformer dès 2010.

Hier, aux Grands Reportages sur la chaîne RDI, il y avait le documentaire Planète Facebook (en rediffusion dimanche le 26 avril, 20 h). On y apprenait que le site compte déjà 150 millions de membres et qu’aucun gouvernement n’a jamais réussi à amasser autant de données personnelles sur des gens: leur allégeance politique, leur religion, leurs goûts, leurs fréquentations, des photos, etc.

Mais ce qui surprend vraiment, c’est à quel point certains membres sont tout simplement inconscients de la portée de ce qu’ils publient sur Facebook. De jeunes adolescentes françaises racontaient à la caméra, sans pudeur, que le chat de Facebook était le moyen le plus sûr d’informer leurs amis sur les « bons plans taz » (ou comment se procurer de l’ecstasy) puisque la communication était instantanée et personne ne pouvait l’intercepter… Une Anglaise s’est fait assassiner par son ex mari dès qu’elle avait changé son statut de « Mariée » à « Célibataire » sur Facebook… Un employé d’une firme américaine s’est fait congédier après qu’un collègue ait vu une photo de lui déguisé en fée à un party d’Halloween alors qu’il avait déclaré à son employeur être malade…

Les lois qui protègent la vie privée des Français, des Canadiens et autres ne valent rien: les serveurs sont aux États-Unis. Et aux États-Unis, les autorités ont accès à tout ce qu’ils veulent (à certaines conditions, mais sachez aux États-Unis il n’existe pas de politique uniforme sur la protection de la vie privée).

La divulgation de vos données sur Facebook à des tiers est-elle une menace hypothétique ou réelle? Des géants comme Bill Gates ont investi dans Facebook et cette dernière engendre des coûts d’opération énormes pour offrir au bout du compte un service gratuit. Le jour viendra où l’entreprise devra rentabiliser ses actifs et ce jour risque d’arriver assez tôt en période de crise économique, lorsque les revenus publicitaires sont décevants. Comment pensez-vous que le jeune fondateur Mark Zuckerberg s’y prendra pour rentabiliser un tel monstre?

La compagnie Lenovo qui produit des portables abordables « thinkpad » a annoncé une nouvelle fonctionnalité qui sort un peu de l’ordinaire (thinking out of the box). Certains « thinkpad » seront équipés d’une fonctionnalité qui vous permettra d’envoyer un message texte à votre ordinateur et qui va ainsi bloquer votre ordinateur. Cette fonctionnalité devrait permettre à une personne qui se fait voler son portable d’éviter que son ordinateur serve au voleur. Il reste à savoir maintenant si le disque dur sera aussi barré ou s’il est possible pour le voleur de récupérer les données qui y seront stockées.

Source