La confiance dans les domaines d’application Internet

By 24 February 2013

2.2 Confiance

La confiance est une notion que nous appliquons quotidiennement. Nous faisons confiance à tel équipement, à telle personne pour réaliser certaines actions. Dans le dictionnaire Larousse[3], dans un contexte général, la confiance est interprétée comme

1. La notion de clef publique est issue de la cryptographie assymétrique[78]. A une clef publique correspond une clef privée et tout document chiffré par une des deux clefs n’est déchiffrable que par l’autre; ainsi, une information chiffrée avec une clef privée peut être vérifiée à partir du moment ou l’on dispose de la clef publique correspondante. Si on est sûr de l’identité qui est associée à cette clef publique on est alors sûr que le document à été chiffré par cette personne et cela peut avoir valeur de signature.

« le sentiment de sécurité d’une personne qui se fie à quelqu’un, à quelque chose » en se basant sur ses propriétés (caractère, capacités, expérience, etc.)

Elle a aussi été étudiée dans de très nombreux domaines de recherche tels que les sciences économiques, la philosophie, les relations sociales et les technologies de l’information et de la communication. La définition, dans un contexte général, de cette notion dans ces différents domaines peut se trouver dans le papier de McKnight et al. [68], Gerck [34], Lamsal [60] et Corritore et al. [18].

Les domaines de recherche sont toujours liés à des perceptions du monde et des méthodes de travail spécifiques. Cela nous donne plusieurs définitions de la confiance, chacune dépendant du domaine.

La confiance représente toujours une relation entre les acteurs. Pour une relation de confiance, nous distinguons toujours deux acteurs en présence : le trustor (celui qui doit accorder sa confiance) et le trustee (celui à qui l’on doit faire confiance).

La notion de confiance peut être interprétée dans des circonstances différentes et de fait, peut se rapporter à des concepts différents. Niklas Luhmann [63] a proposé deux concepts différents : la confiance assurée et la confiance décidée. Ces concepts sont la traduction de ce que la littérature anglaise désigne par Confidence pour la confiance assurée et par Trust pour la confiance décidée.

2.2.1 Confiance assurée

Gambetta [32, 33] propose comme définition que « la confiance est la probabilité subjective selon laquelle un acteur A s’attend à ce qu’un autre acteur B réalise une action donnée dont dépend son bénéfice ».

On parle de confiance assurée pour décrire le comportement d’un acteur qui anticipe favorablement le déroulement d’une action où il existe d’autres déroulements moins favorables, mais d’une probabilité négligeable. La confiance assurée décrit souvent le cas pour lesquels l’acteur doit seulement envisager un déroulement favorable de l’action, car les cas défavorables ne peuvent pas dépendre de ses choix.

Ainsi, chaque individu au quotidien a toujours une confiance assurée dans certaines actions du fait qu’il doit effectuer cette action. Par exemple, le fait d’aller travailler chaque matin peut avoir un certain nombre de déroulements défavorables (avoir un accident de voiture, recevoir une météorite sur la tête. . . ). Néanmoins, aucun individu ne tiendra compte de ces déroulements défavorables car un refus d’aller travailler n’est pas acceptable. Chacun aura donc une confiance assurée dans le fait de pouvoir arriver vivant au travail.

On parle également de confiance assurée lorsqu’un acteur reconnait une compétence à un autre acteur, et lui autorise de ce fait une action. Par exemple, un malade a une confiance assurée dans le savoir médical de son médecin.

Certains articles parlent de la fiablité (reliability) d’un acteur pour exprimer la confiance assurée qui lui est accordée.

2.2.2 Confiance décidée

McKningt et Chervany [68] ont suggéré que « la confiance est la volonté d’un acteur de dépendre d’un autre acteur (de quelqu’un ou de quelque chose) dans un contexte donné où il a le sentiment d’être en sécurité, même dans le cas où une conséquence négative pourrait se réaliser ».

Cette définition se réfère à la notion de dépendance. La décision d’un acteur pourrait dépendre d’un autre acteur, avec ou sans indication de confiance. Cela signifie que la décision est prise dans un contexte incertain. Un bon exemple relatif à cette définition est le fait de demander notre chemin à un étranger. Nous ne savons pas exactement si cette personne nous indique la bonne direction ou si elle nous donne une indication erronée, mais nous suivons quand même ses indications parce que dans ce cas précis c’est le seul choix que nous pouvons faire. Autrement dit, nous prenons la décision sachant qu’un risque existe.

2.2.3 Contexte de la confiance

Dans une relation de confiance, le contexte est important. Ce contexte indique les événements de la situation où la relation est établie. La relation de confiance doit toujours être définie dans un contexte donné car hors de ce contexte, la relation peut ne plus être affirmée.

Nous pouvons donner des exemples concrets qui illustrent ce fait. Alice peut faire confiance à Bob pour lui donner des cours d’informatique, mais elle pourrait ne pas lui faire confiance pour garder ses enfants. Un autre exemple : Bob utilise le service PayPal pour ses transactions en ligne; il peut faire confiance à PayPal pour des transactions de moins de 100€, mais peut-être ne lui fera-t-il pas confiance pour des transactions dont la somme engagée est plus élevée.

2.2.4 Familiarité

Gambetta [32, 33] et Niklas Luhmann [63] ont également abordé la notion de familiarité (familiarity). On peut définir une familiarité comme étant un fait que nous avons observé à de nombreuses reprises et que nous savons inéluctable au moment présent. La familiarité représente donc un niveau maximal de confiance; nous ne le remettons pas en cause.

Les différents niveaux de confiance peuvent se représenter sur une ligne graduée de 0 à 1. Le niveau de confiance 0 est comparable à une paranoïa (dans la mesure où l’acteur refusera résolument d’accorder sa confiance). Entre le 0 et 1 viennent la confiance décidée, puis la confiance assurée. Au niveau de confiance 1, nous trouvons la familiarité.

2.2.5 Confiance et domaines d’application Internet

Nous nous intéressons à la notion de confiance appliquée à l’Internet ce qui nous aidera à présenter notre système de gestion de la confiance par la suite. Plusieurs définitions de la confiance sont proposées dans ce domaine.

Dans sa thèse, Tyrone Grandison [36] considère que « la confiance est la croyance mesurée par un trustor en ce qui concerne la compétence, l’honnêteté, la sécurité et la fiabilité d’un trustee dans un contexte donné ». La définition souligne le fait que la confiance est une croyance et qu’elle est subjective. À ce titre, elle doit toujours être envisagée dans un contexte spécifique.

Dans ce contexte d’étude des applications Internet, nous considérons cette définition comme une base pour construire notre modèle de confiance. De notre point de vue, la confiance est la croyance du trustor en le trustee, mesurée en utilisant toutes les sources d’informations disponibles concernant les acteurs et leurs actions : l’expérience, les informations de réputation, celles du risque. . . Comment mesurons-nous la confiance entre les acteurs dans un système ? Ceci est l’un des buts du système de gestion de la confiance que nous allons présenter par la suite.

2.2.6 Ambiguïté sur la notion de confiance

Depuis l’apparition de la notion de gestion de la confiance et des systèmes de gestion de la confiance, le terme confiance est compris de façons différentes. Parfois cela rend ambiguë cette notion et nous devons la préciser.

Ce terme confiance est utilisé implicitement comme la notion de contrôle d’accès, d’authentification, d’autorisation ou de délégation dans le mécanisme de confiance proposé par Blaze et al. [64, 23, 30]. Le terme confiance est utilisé dans le contexte suivant : supposons que le système contienne deux acteurs A et B et que l’acteur B veuille effectuer une action en utilisant des ressources gérées par l’acteur A. La question qui se pose pour A est de savoir si il peut faire confiance à B ? Ceci lui permettrait d’effectuer l’action qui lui est demandée. Autrement dit, il nous faut déterminer le niveau de la relation de confiance entre A et B.

Pour être autorisé, B doit présenter à A des qualifications (credential en anglais, un certificat par exemple) qui contiennent des informations sur sa validité, l’action à effectuer, l’autorité qui l’a signée. . . L’acteur A en vérifie la validité et après avoir vérifié auprès de son autorité s’il disposait des autorisations nécessaires, décide de donner ou pas à B un droit de contrôle ou d’accès aux ressources demandées. Évidemment dans ce contexte, la relation de confiance est définie comme une suite d’actions de contrôle d’accès, d’authentifications et d’autorisations.

Lorsque l’on étudie la littérature qui concerne les mécanismes de confiance, nous y découvrons que le mot confiance est souvent employé de manière inappropriée à la place de contrôle d’accès, d’authentification ou d’autorisation. Il nous a semblé important de correctement distinguer ces différentes notions pour lever toutes ambiguïtés.

Voici quelques exemples pour faire apparaître une distinction claire entre la confiance

et les autres notions (contrôle d’accès, autorisation et authentification ) :

-Confiance/contrôle d’accès :

A fait confiance à B pour la garde de son ordinateur portable, mais A ne donne pas à B le mot de passe qui lui permettrait d’utiliser cet ordinateur. C’est à dire que la confiance n’implique pas le contrôle d’accès et vice versa. Il y a aussi des situations où le contrôle d’accès est accordé mais la confiance n’est pas établie. A donne à B le mot de passe pour utiliser son ordinateur portable en tant qu’invité, pour accéder à l’Internet, mais A n’est pas sûr que B n’essayera de faire d’autres choses avec son ordinateur.

-Confiance/Autorisation :

L’autorisation peut être considérée comme la conséquence de la relation de confiance. A fait confiance à B et il peut lui donner l’autorisation d’utiliser son ordinateur avec tous les droits, en lui donnant un contrôle d’accès à tous les services, y compris le doit d’administrateur.

-Confiance/Authentification :

L’authentification peut être expliquée comme la vérification d’identité d’une entité. Cette vérification est réalisée soit par les données utilisateur/mot de passe, soit par l’utilisation d’un service d’authentification ou par l’utilisation de certificats. Cela signifie que nous ne pouvons pas confondre les termes confiance et authentification.

2.2.7 Méfiance et défiance

Nous avons présenté de manière assez détaillée la confiance dans les sections précédentes. Il y a une autre notion qui a beaucoup d’importance lorsque l’on parle de confiance : il s’agit de la méfiance. Le terme méfiance exprime l’inverse de la notion de confiance. Dans [36, 35], Grandion et al. proposent la définition suivante : « la méfiance est la croyance mesurée par un trustor en ce qui concerne l’incompétence, la malhonnêteté, l’insécurité et le manque de fiabilité d’un trustee dans un contexte donné ».

Nous considérons que la méfiance de l’acteur A envers l’acteur B est la conséquence négative de l’évaluation de la confiance de A en B en utilisant toutes les sources d’informations possibles : les certificats, l’expérience, l’information liée au risque. . .

La défiance représente un autre aspect de la confiance que s’accordent deux entités. Cette notion représente la situation où l’on a un a priori défavorable sur le déroulement de l’action (il y a des très grandes chances que cela se finisse mal). Notre interlocuteur a acquis une sorte de confiance négative.

Lire le mémoire complet ==> (Infrastructure de gestion de la confiance sur Internet )
Thèse pour obtenir le grade de Docteur – Spécialité : Informatique
École Nationale Supérieure des Mines de Saint-Étienne