mercredi 31 juillet 2013

Sécurité : la migration Cloud de la NASA vivement critiquée

Sécurité : Si la NASA fait office de pionnier en matière d’adoption des technologies Cloud, elle s'illustre dans le même temps comme un mauvais élève sur le plan de la sécurité, notamment par son recours à des services de Cloud public sur la base de contrats standards et lacunaires.
Déjà épinglée pour la sécurité de son système d’information, l’agence spatiale américaine, la NASA, est de nouveau pointée du doigt. L’OIG (Office of the Inspector General), une agence gouvernementale, lui reproche cette fois des manquements graves dans le cadre de sa migration vers le Cloud.
Précurseur dans ce domaine, la NASA s’était dotée d’un Cloud privé dès 2009 : Nebula. Toutefois, ce dernier a finalement été fermé en 2012 suite à un benchmark de cinq mois comparant ses performances et coûts à ceux des services de Cloud public comme Microsoft et Amazon.
Une DSI sans réelle gouvernance du Cloud
Si l’OIG ne s’oppose pas au recours à des services IT en mode public, il relève néanmoins des manquements de la NASA en ce qui concerne la gouvernance de son SI et ses pratiques de gestion des risques.
Des faiblesses qui ont empêché l’Agence de « profiter pleinement des avantages du cloud computing et exposer à un risque potentiel les systèmes de la NASA et les données stockées dans le nuage » écrivent dans leur rapport les auditeurs.
Parmi les erreurs relevées, l’OIG cite notamment le cas de centres de la NASA ayant migré leurs systèmes et données sur des Cloud publics sans avoir informé ou obtenu le consentement de la DSI de la NASA.
Autre exemple : a cinq reprises, la NASA a acquis des services Cloud sur la base de contrats ne prenant pas pleinement en compte les risques métiers et de sécurité. Pire, un des systèmes de l’agence spatiale a été administré dans le Cloud durant 2 ans sans autorisation, sans plan de sécurité ou audit des mécanismes de sécurité.
Quatre contrats Cloud avec des clauses standards
Pour les auditeurs, c’est la DSI de la NASA qui est directement responsable de cette lacune en raison d’un défaut d’autorité sur le plan de la supervision, de sa lenteur à établir un contrat type réduisant les risques de sécurité du Cloud et de l’absence d’exigences de sécurité imposées aux fournisseurs de Cloud.
Si en 2012, la DSI a mis au point un contrat définissant ses besoins métiers et impératifs de sécurité pour la souscription de services de Cloud public, elle n’a en revanche pas requis que les centres de la NASA s’y conforment.
Illustration : sur les cinq contrats Cloud de la NASA audités, aucun ne fait ne serait-ce que s’approcher des bonnes pratiques recommandées pour garantir la sécurité des données. En outre, pour quatre d’entre eux, la NASA a tout bonnement accepté le contrat standard des fournisseurs, c’est-à-dire ne comportant aucune obligation en termes de mesure de la performance, de confidentialité, de sécurité IT et de sauvegarde.
Des systèmes et données plus vulnérables sur le Cloud
Et si dans le dernier cas, l’Agence a rédigé son propre contrat pour encadrer sa relation avec une SSII, ce dernier n’en souffre pas moins de graves lacunes, n’intégrant en effet pas les bonnes pratiques en matière de sécurité des données et de suivi du prestataire.
« En conséquence, les systèmes de la NASA et les données couvertes par ces cinq contrats sont soumis à un risque accru de compromission » conclut, lapidaire, l’audit.
Et si la NASA évite pour le moment la catastrophe, c’est d’abord en raison de son niveau d’investissement encore réduit dans le Cloud, qui représente 1% de son budget IT annuel, soit environ 10 million sur 1,5 milliard de dollars.
Mais la NASA prévoyant qu’au cours de 5 prochaines années, 75% de ses nouveaux projets IT passeront par le Cloud, l’OIG estime indispensable d’apporter sans tarder des corrections à sa gouvernance des systèmes d’information et à sa politique de sécurité.

L’OICV publie une étude sur la cybercriminalité, le risque systémique et des marchés mondiaux des valeurs mobilières

L’Organisation internationale des commissions de valeurs (OICV), un important forum sur la politique de réglementation des valeurs mobilières, et de la Fédération mondiale des Bourses (WFE) ont publié un document conjoint intitulé «Cyber-crime, des marchés financiers et du risque systémique. »
Selon l’étude, la cybercriminalité n’a pas eu des effets systémiques sur les marchés des valeurs mobilières jusqu’ici. Toutefois, considérant que les cybermenaces évoluent à un rythme rapide, la gravité de ce risque émergent ne doit pas être sous-estimée.
En ce qui concerne les cyberattaques sur les échanges sont concernés, les experts ont constaté que 53% des échanges ont subi une attaque au cours de la dernière année.
Les attaques sur les échanges sont différentes de celles traditionnelles destinées au secteur financier, car les attaquants ne sont pas motivés par le gain financier. Au lieu de cela, les attaques sont perturbateurs dans la nature.
Jusqu’à présent, les cybercriminels ont concentré leurs efforts sur les sites Web et services en ligne qui ne sont pas liés à la négociation.
En outre, l’étude a constaté que la plupart des organisations sont conscientes des menaces et ils sont prêts à répondre aux cyberattaques.
Les chiffres montrent que 93% de ceux qui ont pris part à l’étude de l’OICV ont protocoles de reprise après sinistre en place. Toutes les organisations sont convaincus qu’ils peuvent détecter une attaque dans les 48 heures.
« Environ 93% des échanges rapport sondés qui les cyber-menaces sont discutés et compris par la direction et près de 90% déclarent avoir mis en place des plans et documents internes répondre cyber-crime », indique le rapport.
En outre, 22% des échanges interrogés ont l’assurance de la cybercriminalité.
Alors, que peut-on faire pour lutter contre les cybercriminels?
L’ensemble des recommandations comprend des règlements plus efficaces pour décourager les cybercriminels, le partage de l’information, la surveillance dédié et des centres de formation et des campagnes de sensibilisation à la sécurité informatique et la promotion des normes et des cadres de la sécurité internationales.
Le document complet « Cyber-criminalité, les marchés boursiers et le risque systémique » est disponible ici .

RIP Barnaby Jack: The hacker who wanted to save your life

Security researcher Barnaby Jack was found dead by a loved one in San Francisco Thursday night. Jack, 36, had been scheduled to make a presentation at the Black Hat Conference in Las Vegas on Aug. 1 showing how he was able to remotely shock a pacemaker. The San Francisco police have not released details about the death other than it was “not foul play.” Survivors include Jack’s mother and sister, who live in his native New Zealand.
Barnaby Jack. (Isaac Brekken, File/Associated Press)
Barnaby Jack was known for his showmanship in presenting his tech research. (Isaac Brekken/Associated Press file photo)
Jack made headlines for his showmanship when sharing his research on security vulnerabilities in digital systems. At the 2010 Black Hat conference in Las Vegas, he hacked an ATM to spit out $20 bills while flashing “JACKPOT.” That work, along with his more recent research on embedded medical devices, illuminated a new frontier for penetration testing as more and more electronic devices are becoming able to communicate wirelessly with the outside world.
The news of Jack’s passing spread through the computer security community Friday morning, triggering shock and sadness. Organizers at Black Hat called his death the loss of a family member and announced that they won’t be replacing his pacemaker talk on Thursday. Instead, the hour will remain open for attendees to come join “a celebration of his life.”
David Marcus, a researcher at the security technology company McAfee, says that Jack’s work on embedded devices was at the “bleeding edge” of security research. When Jack worked at McAfee, he turned his attention to insulin pumps, eventually figuring out how to cause the devices to erroneously dispense potentially lethal doses of insulin from up to 300 feet away. Carrying on his flair for the dramatic, he presented it last year using a clear mannequin torso, red liquid and a handheld antenna. His most recent work at security firm IOActive Inc focused on embedded devices, including the pacemaker hack he was to present at the conference.
“The internet gets hacked all the time.”
The number of devices are being connected to wireless networks is growing. Security researcher Dan Kaminsky says that pacemakers are a prime example: They “are not a new technology; they’ve been around for decades. But more and more pacemakers, like other technology, are looking like the devices we use to run the Internet.”
That advancement is troubling, he notes, because “the Internet gets hacked all the time.” The Internet, Kaminsky argues, has been able to innovate so much partly because “if you screw up nobody dies. Nothing that bad happens. Someone’s Facebook page is corrupted, oh well, we’ll fix it. Someone’s computer crashes? Oh well, whatever.”
And according to Kaminsky, nearly everything is moving to the Internet model because, “it’s easier to maintain, it’s easier to fix, and all of those other metrics like usability and performance are a heck of a lot easier to manage when it works like the Internet, not like hardware from 30 years ago.” But as our cars, our houses and, yes, our medical devices are getting shifted into Internet mode, the security stakes are raised.
“If you want these flaws to be dealt with” Kaminsky advises, “you need to have this community that’s able to say we have many engineering requirements. Software has to be usable, fast, reliable, and yeah, it actually has to be secure too.” Especially when talking about connecting devices that consumers are literally trusting their lives with to a network. Barnaby Jack’s research spurred companies that built embedded devices to take security more seriously.
A “hacker’s hacker”
“He was a hacker’s hacker” says McAfee’s Marcus. “He had the kind of skills the rest of us wish we had.” Jack had a knack for looking at a system, determining its weaknesses figuring out how to fix them — before the bad guys did damage.
Marcus laments that some people have misconceptions about hackers that seem to come straight out of ’90′s movies: “They seem (to) think it’s some pimple kid in a basement or some evil organization trying to steal credit card numbers” when many people who consider themselves hackers would take “true offense” to that stereotype, he says. For computing security researchers like Barnaby, hacking was a means to “solve big problems, keep people and data safe” by beating the adversaries in finding problems.
Jack was well-known in the security world. “Everyone had a drink with Barnaby, or an ‘I had a good time with Barnaby’ story,” Marcus recalls of the “just such a likable little imp.” After one conference, he remembers Jack calling him from across a bar. Marcus joined him for drinks, throughout which Jack occasionally shot him in the face with water from a compromised insulin pump while they spoke about ways to demonstrate the vulnerability.
Similarly, Kaminsky says, “there’s the model of the hacker as the trickster in literature, and that described (Jack) to a T.” Recalling a Black Hat conference in Abu Dhabi, he says Jack treated the cultural briefing of things not to do like a “to do list.”
Barnaby with a gold bar dispensing ATM. (Image from Twitter)
Barnaby with a gold bar dispensing ATM. (Image from Twitter)
The one time he could recall seeing Jack spooked was at that conference, Kaminsky says. The hotel had an ATM that dispensed gold bars, and one evening, having received permission from the hotel, Jack tried to see what he could make of it. But, according to what fellow hacker Tiffany Strauchs Rad told Reuters’ Jim Finkle, the hotel didn’t actually own the gold dispensing machine and the American Embassy had to be called to resolve the misunderstanding. Afterward, Jack met up with Kaminsky, who missed the shenanigans because he was riding a camel, eager to share the excitement.
Kaminsky laughs while recalling the tale, noting “Barnaby’s the kind of guy who makes you realize your life sounds like a comic book, I mean, his name is Barnaby Jack.” After the UAE incident, Kaminsky recalls, “(t)hose machines were quite disconnected from absolutely everything until all hackers had left the country, thank you very much.”
“No one likes to hear their kid be called ugly”
Both Marcus and Kaminsky note there is always a certain level of tension between hackers conducting penetration testing and the manufacturers and developers creating products and software.Jack was no exception: “Barnaby had uncomfortable meetings with ATM manufacturers, medical device manufacturers” Kaminsky says.
That’s understandable to a certain extent, as Marcus jokes, “no one likes to hear their kid be called ugly.” But, like it or not, Kaminsky says, ”we are becoming so dependent on these devices that quite literally our lives depend on them — and they’re literally not learning the lessons of security that we’ve had to learn painfully in desktops and laptops.”
Kaminsky says “there are a lot of engineers who wish security vulnerabilities were theoretical” or would like an excuse to argue “no one would actually do that.” But Jack’s flashy exploits helped drive home that, yes, someone would actually do it — and that if Jack could figure out how, it’s likely potential bad guys could, too.
“There are a lot of people in this world who if they find a bug that will make an ATM fire $20 bills, they’re not going to go onstage and talk about it, they’re going to be standing in front of ATM and cashing themselves out,” adds Kaminsky.
Penetration testing can find bugs early, allowing companies to fix them. Or, Kaminsky says, some guy out there is going to find the problem later, and the publisher or manufacturer is going to have a bad day. It’s also cheaper to make the fixes ahead of the game. Kaminsky knows a little bit about this: In 2008 he uncovered a DNS protocol flaw that he jokes resulted in “tens of thousands of pizza boxes” being ordered over the six-month period it took for administrators to patch their systems.
Working to make the digital world a safer place, he says,  is “a much harder path, but that’s what it takes.” The easier path can be to sell the exploits to the highest bidder — with major, zero-day research earning huge payouts from state and corporate stakeholders. Last year, Forbes’ Andy Greenberg reported on a middleman who helps hackers hoping to go this route. The man, who goes by the handle “the Grugq,” was said to be earning a 15 percent commission on financial deals, primarily made with Western governments, ranging into the the hundreds of thousands of dollars for major flaws .
The DNS flaw served as a good reminder of security’s uphill battle. Catching a bug is  only part of the process — researchers also need to resolve the problem while ensuring the program still functions as intended. Because there’s a only a select group of people with the ability and skills necessary to do the job, it often puts hackers in a unique position of critiquing products from the outside.
Kaminsky suggests the work is somewhat analogous to environmentalists approaching a power plant about an air quality problem, adding that just like ”no one wants to breath polluted air, no one wants a pacemaker that will blow up on you.”
Jack believed “(w)e can’t taking this loosey-goosey, sloppy crap we use to make Web pages work and not be aware of what happens if we start betting our lives on it,” according to Kaminsky. And Jack’s news-catching way of presenting those flaws was a way to guarantee that creators took notice.
After all, Kaminsky says, “Barnaby wasn’t the only person in the world who was hacking these devices; he was just one of the few who would talk to you.” Beyond being a personal tragedy, his death meant the loss of one of the security community’s’ “major ambassadors to the embedded world about the need for real security.”
“It’s easy to be inspired by a guy that hacked like Barnaby”
“He really made me laugh, I think I’ll miss that the most,” Kaminsky says later, his voice dropping. The day the news broke he was sharing tales about Jack with another security researcher friend. They joked that if anyone would fake their death to make for a big reveal at a conference, it was the guy they nicknamed Barns. But now they have to face that it’s no joke; Jack was gone.
As far as his legacy in computer security, some part of it will be the acknowledgement that with embedded device technology flaws, “if we don’t deal with this problem, it’s certainly going to deal with us,” Kaminsky says.
Marcus feels most sorry for Jack’s family as they and the computer security community mourn the lose of their prankster brother. But he also hopes Jack’s memory can inspire future researchers “to hack on to their own greatness.
“It’s easy,” he says, “to be inspired by a guy that hacked like Barnaby.”

OVH : « On passe en mode parano »

Hasard du calendrier, alors que nous vous parlions hier des mesures prises par OVH afin de lutter contre l’intelligence économique « technique », l’hébergeur annonce aujourd’hui avoir découvert un piratage majeur de ses infrastructures.
Un pirate aurait obtenu accès au backoffice interne de l’hébergeur, dans son fief de Roubaix. Le cheminement de l’intrus pour y parvenir est un grand classique du genre : après avoir compromis le compte email d’un administrateur système, il aurait atteint le VPN via un autre employé, et de là il aurait été en mesure de compromettre le poste de travail d’un administrateur système en charge du backoffice.
Selon les premières constatations de l’hébergeur, le pirate aurait eu deux objectifs : récupérer la liste des clients européens et accéder au système de livraison des serveurs au Canada (la première implantation d’OVH dans sa stratégie nord-américaine)
Pour le premier objectif, il n’y a pas grand chose à faire : les données personnelles des clients semblent bel et bien parties dans la nature. Les noms, adresses, email, numéros de téléphone sont donc perdus. Et surtout aussi les mots de passe d’accès au « manageur » (le backoffice clients). OVH assure qu’ils étaient « salés » avec SHA512, ce qui devrait compliquer sérieusement toute tentative de casse par force brute. Mais il est tout de même recommandé aux clients de changer le mot de passe de leur Manager. Les données de paiement, en revanche, ne sont pas concernées car elles ne sont pas stockées chez OVH (une mesure pleine de sagesse…)
En ce qui concerne le second objectif, en revanche, les choses sont moins claires. Le risque principal est que le contrôle du système de livraison des serveurs confère au pirate un accès root (administrateur) aux serveurs fraîchement livrés.
D’abord parce qu’il faut bien qu’une fois la machine installée le mot de passe root soit transmis au client, et qu’il est donc stocké chez OVH. Mais a priori le client l’a changé une fois le serveur pris en main (et tant pis pour ceux qui ne l’auraient pas fait !).
Ce risque ne concerne donc que les clients (nord-américains a priori, pour l’instant) qui ne se seraient pas encore connectés à leur serveur fraîchement commandé, ou bien les étourdis qui n’auraient pas pris la peine de changer leur mot de passe après la première connexion. Mais ceux là méritent peut-être ce qui leur arrive…
Mais il y a pire : jusqu’à présent OVH installait par défaut son propre certificat dans chaque machine livrée, afin de pouvoir s’y connecter aisément (toujours en root). Il justifiait cela par les besoins d’accès du support technique, au cas ou le client perdait son mot de passe. La pratique a certes de quoi faire hurler les puristes, mais les clients habitués le savaient bien et retiraient généralement cette clé de leur fichier authorized_keys (c’est toujours une surprise désagréable la première fois que l’on découvre une telle clé inconnue !). Hélas il y a fort à parier que de très nombreux clients peu à l’aise avec un serveur Linux n’aient jamais eu l’idée d’aller retirer cette clé, et ne sache même pas de quoi il s’agit !
Bien que la clé SSH ne soit pas utilisable depuis une adresse IP située en dehors du réseau d’administration Canadien d’OVH, elle aurait pu permettre au pirate de se connecter une première fois au moment du hack afin de récupérer le mot de passe root de la machine, pour l’utiliser ultérieurement à sa guise et depuis n’importe où. Afin de limiter ce risque l’hébergeur à décidé de changer les mots de passe des serveurs dont le client ne s’était encore jamais connecté, et surtout d’arrêter cette pratique : désormais la clé OVH sera retirée dès le serveur livré au client, aussi bien au Canada qu’en Europe.
D’autres mesures de renforcement de la sécurité sont annoncées : d’abord le passage de l’authentification au backoffice interne à 3 facteurs : l’adresse IP source (elle doit être interne, comme c’était déjà le cas), le mot de passe, et désormais un token physique (une clé YubiKey, fournie par Yubico).
Enfin, l’isolation du VPN aurait également été renforcée, notamment dans le cadre d’une certification PCI-DSS.
Pour le reste, OVH annonce avoir déposé plainte au pénal, et ne souhaite pas communiquer d’avantage sur cette affaire tant que l’enquête sera en cours.
Bien que parfaitement banale dans son déroulement, cette affaire survient quelques jours à peine après que Octave Klaba, le fondateur d’OVH, se soit exprimé au sujet de l’espionnage industriel, et ait reconnu avoir pris la décision d’interdire à ses développeurs la plate-forme GitHub car, disait-il alors, « GitHub est hébergé et financé par l’un de nos concurrents américains. Nous avons eu la puce à l’oreille suite au débauchage de l’un de nos développeurs. Pour nous, il s’agit de ne prendre aucun risque ni pour notre entreprise, ni pour nos clients » (lire notre article « Guerre de l’information : OVH interdit GitHub à ses développeurs« )
L’histoire semble avoir justifié ses craintes… - See more at: http://magazine.qualys.fr/menaces-alertes/ovh-pirate-hack/#sthash.WcNlgubJ.dpuf

Arrêter la lumière ? Des scientifiques sont parvenus à cet exploit

la lumière ? Des scientifiques sont parvenus à cet exploit Ils y sont arrivés pendant seulement une minute, ce qui constitue déjà un record. Brillant ! Publié le 29 juillet 2013 Des scientifiques allemands sont parvenus à arrêter la lumière pendant une minute. Des scientifiques allemands sont parvenus à arrêter la lumière pendant une minute. Des scientifiques allemands sont parvenus à stopper la lumière - rien dans l'univers ne peut se déplacer plus vite (300 000 km/s) - pendant une minute : un record, souligne le Daily Mail. Des chercheurs de l'université de Darmstadt ont réalisé cet exploit en piégeant la lumière dans un cristal. Dans un article publié ce mois-ci dans la revue Physical Review Letters, les scientifiques ont expliqué comment ils ont réussi à capturer la lumière en utilisant une technique appelée la transparence induite électromagnétiquement. "Une minute, c'est extrêmement long", a expliqué Thomas Krauss, professeur d'optoélectronique. L'étape franchie par les chercheurs de Darmstadt est donc très importante : en janvier 2001, des physiciens américains étaient parvenus à arrêter un rayon lumineux et à le stocker une poignée de secondes avant de le laisser reprendre sa course. Concrètement, et si davantage de recherches sont menées, cette prouesse permettrait de stocker des données dans des faisceaux lumineux. Données qui pourraient être ensuite transmises à une vitesse inimaginable sur de longues distances... Lu sur le Daily Mail

Read more at http://www.atlantico.fr/atlantico-light/arreter-lumiere-scientifiques-sont-parvenus-cet-exploit-800726.html#fVt7xvZ3R1RlIUWR.99

lundi 29 juillet 2013

MSC

Mediterranean Shipping Company
Mediterranean Shipping Company est le 2e plus grand armateur de porte-conteneurs du monde, après A.P. Møller-Mærsk et devant la CMA CGM. Il s'agit d'une société italienne basée à Genève Wikipédia

dimanche 28 juillet 2013

Francis Lorentz

Francis Lorentz, né en 1942 (à Mulhouse), est dirigeant français d'entreprise dans le domaine des technologies de l'information et de la communication. Il a été président de la « Mission pour le commerce électronique » de 1997 à 1999.

Biographie

Diplômé de HEC Paris et ancien élève de l'ÉNA, il a été haut fonctionnaire à la Direction du Trésor du ministère des Finances de 1970 à 1980, puis directeur général adjoint à la Lyonnaise des Eaux de 1980 à 1982. De 1982 à 1992, il est successivement directeur général puis PDG du groupe Bull1, puis, entre 19922 et 19943, PDG de la RATP4,5. En 1995, il entre au conseil d'administration de Rank Xérox The Document Company S.A.
De fin 1997 à début 1999, il a présidé la mission pour le développement du commerce électronique auprès du ministre de l'Économie et des Finances6. Il a aussi été professeur associé d'économie à l'université Paris-Dauphine de 1995 à 20004,5.
En 2000, il est directeur général de LaSer, une filiale du groupe des Galeries Lafayette qui gère les cartes de crédits et les relations client du groupe, puis conseiller des coprésidents du groupe jusqu'en 20057,4.
Entre 2000 et novembre 2011, il préside, en remplacement de Marc Tessier, l'IDATE (Institut de l'audiovisuel et des télécommunications en Europe), un des principaux centres d'études et de conseil en Europe spécialisé dans l'analyse des secteurs des technologies de l'information et de la communication8,9.
Il est par ailleurs associé au sein d'un cabinet de conseil en stratégie et fusion-acquisition (Lorentz, Deschamps et Associés).

La mission pour le développement du commerce électronique

En août 1997, Dominique Strauss-Kahn demandait à Francis Lorentz de « mener un travail collectif de réflexion sur les enjeux du commerce électronique en France pour définir un cadre propice à son développement ». La Mission rendait ses conclusions en janvier 199810,6, avec un addendum en mars11.
Sur la base de ce rapport, la France élaborait en février 1998 une série de propositions d’actions communes sur le commerce électronique par les États membres de l’Union européenne. En mai 1998, pour concrétiser les conclusions préconisées par le rapport, Dominique Strauss-Kahn annonçait « dix mesures pour le développement du commerce électronique »12.
En juin 1998, Dominique Strauss-Kahn demandait à Francis Lorentz d’établir une évaluation des suites données au rapport publié en janvier. En février 1999, Francis Lorentz présentait le résultat des travaux d’une vingtaine de groupes thématiques de cette mission13. Les travaux de la mission de Francis Lorentz seront à la base de la politique française en matière de commerce électronique14, et feront l'objet de divers articles dans la presse15.

Publications

  • Lorentz, Francis (01-1998) « Commerce électronique : une nouvelle donne pour les consommateurs, les entreprises, les citoyens et les pouvoirs publics », Rapport du groupe de travail présidé par M. Francis Lorentz, Ministère de l’Économie, des Finances et de l’Industrie, janvier 1998.
  • Lorentz, Francis (03-1998). « Rapport sur le commerce électronique – Addendum » 15 mars 1998, 35 pp.
  • Lorentz, Francis (02-1999) « La nouvelle donne du commerce électronique : réalisations 1998 et perspectives ». Mission Commerce Électronique présidée par M. Francis Lorentz, Ministère de l’Économie, des Finances et de l’Industrie, Paris, 4 février 1999, 291 pp. ISBN : 9782110914477.
  • Lorentz, Francis (03-2002) « XML et le développement des EDI », préface, avec Norbert Paquel, Hermès Sciences publication, mars 2002. Cet ouvrage présente les travaux d'ebXML.

Notes

  1. Caroline Monnot, « Le « visseur » de Bull M. Francis Lorentz est remplacé par M. Bernard Pache à la tête du groupe informatique », Le Monde, 24 juin 1992
  2. Martine Laronche, « En remplacement de M. Christian Blanc M. Francis Lorentz devient PDG de la RATP », Le Monde, 10 décembre 1992
  3. Martine Laronche, « Après un an et demi d'exercice Francis Lorentz ne sera pas reconduit à la tête de la RATP », Le Monde, 5 juin 1994
  4. a, b et c World Policy Conference « Francis Lorentz » [archive]. 4e World Policy Conference, Vienne, Autriche, 9–11 décembre 2011, 1 p.
  5. a et b OECD « Francis Lorentz » [archive] octobre 1999, 1 p.
  6. a et b Anne-Marie Rocco, « L'Etat doit rénover le droit français pour favoriser le commerce électronique », Le Monde, 9 janvier 1998
  7. « Nominations. Francis Lorentz » [archive]. Strategies.fr, 18 juillet 2000.
  8. Caillerez, Pascal « François Barrault succède à Francis Lorentz comme Président de l'IDATE » [archive]. Décideur public, 10 novembre 2011.
  9. « IDATE : Francis Lorentz nommé à la présidence », Le Monde, 27 mai 2000
  10. Lorentz, Francis (01-1998).
  11. Lorentz, Francis (03-1998).
  12. Strauss-Kahn, Dominique « Déclaration » [archive]. Colloque du ministère de l’économie, du commerce et de l’industrie « La nouvelle donne du commerce électronique : réalisations 1998 et perspectives », Paris, 4 février 1999, 5 pp.
  13. Lorentz, Francis (02-1999).
  14. « Commerce électronique. Les entreprises sur internet » [archive]. Cahiers industries, n° 43, décembre-janvier 1999. Voir aussi les divers rapports sur le commerce électronique présentés à l'Assemblée nationale.
  15. Mauriac, Laurent « Francis Lorentz, chargé de mission sur le commerce électronique. «Il est impossible de mesurer la valeur créée » » [archive]. Libération, 1 avril 2000.

Modèle de So Low

Robert Solow

Robert Merton Solow (né le 23 août 1924) est un économiste américain, surtout connu pour sa théorie sur la croissance économique : le modèle de Solow. Il reçut en 1987 le « prix Nobel » d'économie.

Robert Merton Solow
Description de l'image  Robert Solow by Olaf Storbeck.jpg.
Naissance 23 août 1924
Brooklyn, New York (Drapeau des États-Unis États-Unis)
Nationalité américaine
Champs Économie
Institutions Université Columbia, Massachusetts Institute of Technology
Diplômé de Université Harvard
Renommé pour Modèle de croissance exogène, Comptabilité de la croissance, Paradoxe de Solow, Fonction de production CES
Distinctions médaille John Bates Clark 1961, « prix Nobel d'économie » 1987

Biographie

Né à New York, il grandit dans son arrondissement natal de New York. Intéressé par les arbres économique, il en fait son objet d'étude, mais il étudie également la sociologie et l'anthropologie. Il s'intéresse aussi à l'économie, mais de manière pas assez poussée. Son intérêt pour cette discipline le pousse à lire des auteurs comme Wassily Leontief, qui deviendra par la suite un de ses professeurs, et ensuite son maître parce qu'il va servir d'assistant à ce dernier et enfin son ami. Il met entre parenthèses en 1942 sa formation parce que «battre le nazisme était tout bonnement la chose la plus importante à faire à l’époque», dit-il1. Il servit donc dans l'armée de terre américaine entre 1942 et 1945 en Afrique du Nord et en Italie.
Il réintègre Harvard en 1956 et sur le conseil de son amie, l’historienne de l’économie Barbara Lewis, devenue son épouse, il se focalise alors à l'étude de l'économie. C'est dans le même Alma mater qu'il obtient son doctorat en économie, sous la direction de Wassily Leontief. Il reconnaît à ce dernier sa transformation de l'étudiant à l'économiste professionnel2.
Anecdotiquement, Solow n'était pas très calé en mathématiques et il était donc obligé de "lire des articles de deuxième ordre parce que je ne pouvais pas lire ceux de premier ordre", dit-il. Sa motivation le poussa à s'inscrire aux cours nécessaires de calcul infinitésimal et d’algèbre linéaire. Ce qui lui permit de se faire en engager comme assistant au MIT, dans la nouvelle faculté en création d'économie, et de se nouer une relation avec Samuelson, son grand ami jusqu'à la mort de ce dernier, qui avait réputation d'économiste à l'aise avec l'outil mathématique, au point de mathématiser la discipline économique. À propos de leur amitié, Atish Rex Ghosh écrit : "elle [sa décision d'apprendre les maths] a eu pour conséquence de permettre à Solow de parler le même langage que Samuelson et de rester intellectuellement à son niveau, épreuve qu’il assimile à «courir tout le temps le plus vite possible». À son tour, Samuelson a appelé Solow «le parfait économiste des économistes». Ils sont restés collègues et amis pendant 60 ans et, quand on offrait à Solow un poste dans une autre université, il stipulait qu’il accepterait uniquement si on déménageait le bureau de Samuelson à côté du sien. Cela n’a jamais abouti, et c’est en partie pour cela qu’ils ont finalement passé tous les deux leur carrière au MIT"1.
Solow a défendu l’idée que l’économie ne peut être séparée du social : c'est ce que montre le modèle de Solow, qui est fréquemment utilisé dans l'étude de l'origine de la croissance économique. Il a d'ailleurs été conseiller de John Fitzgerald Kennedy. Il était là à côté des grands esprits de la discipline comme Walter Heller, Arthur Okun et Kenneth Arrow.
En 1987, il a reçu le « Prix Nobel » d'économie pour son travail sur la théorie de la croissance. Il a également reçu la National Medal of Science aux États-Unis en 1999. Il a également publié beaucoup d'articles dans son domaine.
Robert Solow est actuellement professeur émérite au département économique du MIT, il a précédemment enseigné à l'Université Columbia. Il est Docteur Honoris Causa du Conservatoire national des arts et métiers. En 2000, il fonde avec Jean-Louis Beffa et Robert Boyer le Centre Saint-Gobain pour la recherche en économie qui devient le Centre Cournot. Ils créent ensemble la Fondation Cournot en 2010, sous l'égide de la Fondation de France, qu'ils co-président actuellement.

Apport de Solow

Modèle et résidu de Solow


Robert Solow et le président Bill Clinton.
Article détaillé : modèle de Solow.
Dans "A Contribution to the Theory of Economic Growth"3 en 1956, Solow fonde la théorie qui deviendra par la suite la base du modèle de croissance exogène, dont la paternité est partagé entre Solow et Trevor Swan4,5, qui est arrivé aux mêmes conclusions que celui-ci en travaillant indépendamment. L’intérêt de son modèle est de mettre en avant le rôle crucial du progrès technique dans la croissance économique. Selon ce modèle, le développement économique s'explique par trois paramètres : les deux premiers sont l’accroissement des deux principaux facteurs de production - à savoir le capital (au sens d’investissement) et le travail (quantité de main d'œuvre), et le troisième le progrès technologique.

Dire que l'augmentation des heures de travail contribue à la croissance mérite d'être détaillé. En effet, beaucoup moins que sa quantité, c'est surtout la qualité du travail qui détermine la croissance. Ainsi, on travaille moins et pourtant on produit plus, grâce notamment au progrès technique incorporé (grâce à l'investissement) dans le capital, ce qui exige une qualité du travail plus élevée, ceci du fait de moyens et méthodes de production de plus en plus sophistiqués et fortement exigeants en qualification.

Il apparait cependant indéniable que travailler plus en nombre d'heures et en qualité effective, si les revenus sont proportionnels à la hausse de la productivité, joue en faveur de la croissance économique.

Alan Blinder, professeur à Princeton déclara «Attention, il n’y a pas seulement un modèle qui porte son nom, il y a même aussi un résidu!»6,1.En effet, dans son article Technical Change and the Aggregate Production Function de 19577, il décompose les sources de la croissance entre capital, travail et progrès technologique. Si les deux premières sources peuvent être contrôlées, la dernière apparait dans sa logique comme exogène. Ainsi, ses résultats génèrent ce progrès comme résidu. Un résidu surprenant en termes d'ampleur et de son importance dans l'explication de la croissance. Il explique à plus de 80 % la croissance américaine, selon ses résultats. C'est ce fameux résidu qui va porter son nom8 et va constituer avec le temps un des grands mystères de l'économie de la croissance, jusque officiellement à la soutenance de la thèse de Paul Romer, qui va l'endogéneiser dans son article Increasing Returns and Long Run Growth9. Cette décomposition de la croissance en facteurs de production sera nommée comptabilité de la croissance dans la littérature.
Ses travaux vont lui falloir une reconnaissance par ses pairs. C'est ainsi que Solow reçut en 1961 la Médaille John Bates Clark, décernée par l’American Economic Association aux meilleurs économistes de moins de 40 ans. Et en 1979, il a présidé l’American Economic Association. En 1987, il a reçu le « Prix Nobel » d'économie pour son travail sur la théorie de la croissance10.
Cependant, au moment où Solow se voit récompensé par le comité Nobel, ses travaux qui lui ont valu le prix sont sensiblement revisités. Il ne conteste cependant par la légitimité de ce que l'on va appeler les nouvelles théories de la croissance. Toutefois, dans tous les corpus qui émergent de ces nouvelles théories, il accorde plus d'intérêt au paradigme schumpetérien, développé notamment par Elias Dinopoulos, Paul Segerstrom, Philippe Aghion et Peter Howitt parce qu'il estime ceci peut nous apprendre beaucoup du processus de croissance.

Paradoxe de Solow

En 1987, Solow fit remarquer que l'introduction massive des ordinateurs dans l'économie, contrairement aux attentes, ne se traduisait pas par une augmentation statistique de la productivité. Cette constatation a reçu le nom de paradoxe de Solow, formulé sous la forme « You can see the computer age everywhere except in the productivity statistics ». (« Vous pouvez voir l'ère informatique partout, sauf dans les statistiques de la productivité »).
Il s'explique par le décalage dans le temps entre l'investissement en connaissances et son impact, dû au temps de formation et aux effets d'obsolescence.
Avec une croissance soutenue à partir de 1992, on a cru que les États-Unis étaient parvenus à briser ce "paradoxe" : retour d'une productivité record. BusinessWeek a parlé du nouveau paradigme économique. Solow lui-même y a cru : "il est possible que ce soit la fin du paradoxe des ordinateurs, mais je n’en suis pas sûr" (Le Monde de l'économie, 18 avril 2000). Finalement, la nouvelle économie ne tenait qu'à une bulle spéculative qui a fini par exploser. Le paradoxe de Solow, lui, tient toujours.

Pour Solow l’équilibre est la règle et le déséquilibre l'exception, il pense qu'à long terme l'économie tend vers une situation d'équilibre.

Fonction de production CES

Article détaillé : Fonction de production CES.
La fonction de production CES (Constant Elasticity of Substitution) est une forme particulière de fonction de production néoclassique introduite par Arrow, Chenery, Minhas et Solow en 196111.. Dans cette approche, la technologie de production utilise des pourcentages de variations constants des proportions des facteurs (capital et travail) à la suite d’une variation de un pour cent du taux marginal de substitution technique (TMST).

 Q = F \cdot \left(a \cdot K^r+(1-a) \cdot L^r\right)^{\frac{1}{r}}
avec
  • Q = production
  • F = Productivité du facteur
  • a = paramètre de partage
  • K, L = facteurs de production primaires (capital et travail)
  • r = {\frac{(s-1)}{s}}
  • avec s = Elasticité de substitution.

Un économiste keynésien

À côté de son ami Paul Samuelson, Solow consolide la thèse de Keynes tant dans le débat public12 que dans la théorie. C'est ainsi par exemple qu'il va valider avec Samuelson13 ce qu'ils font appeler la Courbe de Phillips, une courbe illustrant une relation empirique négative (relation décroissante) entre le taux de chômage et l'inflation ou taux de croissance des salaires nominaux. Cette courbe va constituer l'équation manquante du modèle keynésien. Dans les années 1950 il y a un consensus autour du modèle keynésien qui est celui de référence, il manque cependant à ce modèle une relation entre les variables réelles et les variables nominales, c'est-à-dire prix et salaires. Ce lien va être tiré de la courbe de Phillips. Pour Atish Rex Ghosh1, Solow "liait le comportement de l’économie à court terme à la viscosité des prix et des salaires, surtout la rigidité des salaires à la baisse, et défendait les hypothèses des keynésiens sur l’efficacité de la politique budgétaire contre les monétaristes qui parlaient d’éviction des emprunteurs privés par les emprunts d’État. Ce faisant, il a ironisé sur les économistes qui plaident soit pour une intervention maximale de l’État dans l’économie soit pour son absence complète. «Tout rappelle la masse monétaire à Milton Friedman, a-t-il plaisanté, tout me rappelle le sexe, mais j’essaie de ne pas en parler dans mes articles.»"
Il n'accorde pas son approbation à la nouvelle macroéconomie classique, qui a émergé des cendres du keynésianisme dans les années 70. Dans la foulée, "Solow a critiqué vigoureusement le domaine alors florissant de la théorie du cycle économique réel, qui mettait son modèle à la base d’une explication des fluctuations macroéconomiques à court terme, selon laquelle les récessions étaient des comportements efficients du marché et non le résultat de ses défaillances. En ce qui concerne le chômage, il a avancé que les défaillances du marché du travail ne doivent pas être prises comme données dans l’analyse du cycle économique, mais en constituer un élément central", comme l'écrit Atish Rex Ghosh1. S'il n'est pas d'accord avec les hypothèses retenues et résultats auxquels aboutissent cette école14, Solow ne dément pas la robustesse du raisonnement15. Cependant, il marque son accord à la Nouvelle économie keynésienne.
Au niveau public, il intervient naturellement dans le débat parce qu'il a fait partie du Conseil des conseillers économiques du Président Kennedy pendant les années 60.

Bibliographie

  • (en) Robert M. Solow, « Technical Change and the Aggregate Production Function », The Review of Economics and Statistics, vol. 39, No. 3. (Aug., 1957), no 1, 1956, p. 312-320.70 [texte intégral]
  • (en) Robert M. Solow, « A Contribution to the Theory of Economic Growth », Quarterly Journal of Economics, vol. 70, no 1, 1956, p. 65–94 [texte intégral]
  • (en) Robert M. Solow, « Peut-on recourir à la politique budgétaire ? Est-ce souhaitable ? », Revue de l'OFCE, vol. 83 (Aug., 2002), no 1, 1956 [texte intégral]
  • Growth Theory: An Exposition, Oxford University Press, 2000.
  • (en) Robert M. Solow, « Bibliography of Robert M. Solow's Publications, 1950-1987 », Scandinavian Journal of Economics, vol. 90(1), no 1, 1988, p. 17-26

Notes

  1. a, b, c, d et e L'inventeur du résidu [archive]
  2. L'inventeur du résidu [archive] Dans ses cours, Leontief donnait à Solow chaque semaine un article à lire pour en discuter lors de leur prochaine réunion. Et avec le temps, Solow, devenu son assistant, l'aidait dans les calculs des paramètres de son modèle input-output
  3. Solow, Robert, 1956, “A Contribution to the Th eory of Economic Growth,” The Quarterly Journal of Economics, Vol. 70, No. 1, pp. 65–94.
  4. Robert W. Dimand et Barbara J. Spencer (2009), “Trevor Swan And The Neoclassical Growth Model” NBER Workink Paper n°13950
  5. L'article fondateur de Trevor Swan est “Economic Growth and Capital Accumulation”, Economic Record, 32.63: 334-361.
  6. Blinder, Alan, 1989, “In Honor of Robert M. Solow: Nobel Laureate in 1987,” Journal of Economic Perspectives, Vol. 3, No. 3.
  7. Solow, Robert, 1957, “Technical Change and the Aggregate Production Function”, The Review of Economics and Statistics, Vol. 39, No. 3, p. 312–320.
  8. Certains auteurs l'identifie aussi par le terme générique de Productivité globale des facteurs
  9. Paul Romer, Increasing Returns and Long Run Growth, Journal of Political Economy, octobre 1986
  10. Solow, Robert M, 1988. "Growth Theory and After," American Economic Review, American Economic Association, vol. 78(3), pages 307-17. On trouve dans cet article son discours lors de la réception de son prix Nobel
  11. K.J. Arrow, H.B. Chenery, B.S. Minhas, and R.M. Solow, (1961), Capital-labor substitution and economic efficiency. Review of Economics and Statistics (43), pp. 225-250.
  12. Fiscal policy and growth in light of the crisis, Robert Solow Interviewed by Viv Davies [archive]
  13. Robert Solow et Samuelson, Paul A. 1953. “Balanced Growth under Constant Returns to Scale”. Econometrica 21.3:412-424
  14. Un exemple de son avis est disponible ici : (en) Robert M. Solow, « Peut-on recourir à la politique budgétaire ? Est-ce souhaitable ? », Revue de l'OFCE, vol. 83 (Aug., 2002), no 1, 1956 [texte intégral [archive]]
  15. Robert M. Solow, 1988. "La théorie de la croissance et son évolution," Revue Française d'Économie, Programme National Persée, vol. 3(2), pages 3-27.