Securite informatique et reseaux

Préface
La valeur de notre civilisation se déplace inéluctablement vers la sphère immatérielle. La miniaturisation continue de l’électronique, l’accélération des performances des réseaux de communication et le déploiement inexorable des infrastructures
informatiques édifient une urbanisation digitale qui favorise l’accès à l’information
et facilite la communication. La conquête impérieuse des technologies numériques
dans tous les secteurs, accélère l’expansion du volume des données informatiques et
l’utilisation massive de logiciels dans les matériels de la vie quotidienne. Cette
informatisation est encore accentuée par l’interconnexion généralisée et par la convergence numérique qui rend compatibles les flux d’information, de nature informatique, téléphonique et audiovisuelle. Les progrès des techniques sans fil ont
contribué à promouvoir la communication nomade, et la mobilité des utilisateurs
bouleverse la vie des entreprises.
Malgré ce succès incontestable des technologies numériques, les systèmes qui
reposent sur ces techniques sont vulnérables puisque, par construction, le contenu
numérique est indépendant du support physique sur lequel il est inscrit. Le monde
numérique est donc volatil: on peut le dupliquer ou le détruire facilement, on peut le
falsifier tout autant. De plus, comme les enregistrements numériques sont lus et
écrits avec du matériel informatique, à base de logiciels, ces équipements dysfonctionnent car ces programmes informatiques ne sont jamais exempts d’erreurs de
conception ou d’utilisation.
Ainsi, notre société, toujours plus tributaire des technologies numériques, est
devenue fragile. Elle court un risque majeur car notre environnement quotidien est
déterminé par ces systèmes complexes qui peuvent subir des pannes ou être paralysés par des attaques. Comme ces systèmes sont interconnectés et dépendent les uns
des autres, des effets domino sont à craindre, qui anéantiraient en cascades leur
fonctionnement. L’attachement à ces ustensiles numériques, parfois même les phé-
VI
Sécurité informatique et réseaux
nomènes d’addiction à ces usages, à Internet ou au téléphone portable, n’arrangent
pas cette situation de soumission à ces infrastructures numériques.
Les menaces informatiques étaient jadis bien identifiées et localisées. Une sécurité aux frontières d’un système informatique permettait de se prémunir des agresseurs extérieurs, restreignant la surveillance et l’établissement de la confiance à
l’intérieur du système d’information. Par ailleurs, il fallait être un spécialiste pour
pénétrer un réseau et déjouer les pièges de sécurité d’un serveur informatique.
De nos jours, la menace s’est généralisée et les logiciels d’attaques sont à la disposition de tout délinquant potentiel sur les sites des cyber-attaquants. Les motivations des assaillants se sont diversifiées. Ce peut être la fouille d’informations
confidentielles, la volonté d’effacer des fichiers dans un ordinateur, le déni de service d’un réseau ou d’un serveur informatique, mais ce peut être aussi la défiguration d’un site web pour ternir l’image de marque d’une institution. Bien sûr l’appât
du gain existe toujours: la fraude sur les cartes à puces, les sites sordides sur Internet, l’envoi intempestif de messages non sollicités pour berner quelques gogos et
importuner du même coup des masses d’internautes. L’intention de déstabiliser les
utilisateurs est aussi un facteur de violence. Virus, vers et chevaux de Troie qui circulent sur les réseaux, pénètrent dans les ordinateurs, endommagent le contenu des
disques et qui finalement entravent le fonctionnement des entreprises, se transforment en une calamité permanente.
On vit dans un monde toujours plus violent et la sécurité des biens et des personnes est une préoccupation croissante dans nos sociétés. Cette violence se répercute
immanquablement dans cet univers intangible, Internet, les infrastructures de téléphonie mobile, les réseaux et systèmes d’information d’entreprises et des institutions, avec son cortège de pirates ludiques, de cybercriminels, d’espions ou tout
simplement d’utilisateurs adolescents qui chapardent des fichiers musicaux.
Face à ces vulnérabilités, il existe une panoplie d’outils informatiques de sécurité
pour protéger un fichier, un logiciel, un ordinateur, un réseau ou un système d’information. Des architectures de sécurité et des protocoles cryptographiques permettent
de tisser des liens de confiance dans tout ce monde virtuel, vulnérable aux erreurs,
aux pannes et aux attaques.
Face à ces menaces, les campagnes d’information et de sensibilisation à grande
échelle, les politiques de sécurité, les chartes des utilisateurs, les stratégies de gestion des risques, se sont développées et ont déjà profondément modifié le comportement des usagers. Mais la réalisation d’un monde informatique sécurisé demeure un
défi à relever. La confiance dans ces systèmes complexes est un facteur clé du succès
de ces nouvelles technologies.
La sécurité informatique a profondément changé d’envergure depuis une dizaine
d’années. Alors qu’elle se confinait autrefois dans une application parcimonieuse de
la cryptographie sous forme d’algorithmes de chiffrement sur un disque d’ordinateur
et de quelques protocoles d’authentification sur les réseaux, elle s’est étendue à des
dispositifs plus sophistiqués et s’est généralisée auprès du grand public, essentiellement grâce à la carte à puce. La sécurité est devenue une activité multidisciplinaire:
cryptographie classique, méthodes mathématiques formelles, tatouage électronique,
© Dunod – La photocopie non autorisée est un délit.
Préface
VII
biométrie, ingénierie des réseaux, dispositifs variés de sécurité (carte à puce, parefeu, système de détection d’intrusion, pots de miel, dispositifs biométriques), infrastructure de sécurité (gestion de certificats pour identifier et authentifier les acteurs
dans les transactions du commerce électronique), infrastructure de confiance pour
les échanges électroniques (signature électronique de documents contractuels), systèmes de surveillance, méthodologie de validation d’assurance de sécurité, gestion
de crises…
La sécurité, technique informatique, est elle-même devenue aussi une source de
méfiance. Les éditeurs de logiciels de sécurité doivent être dignes de confiance et ne
pas glisser des fonctionnalités supplémentaires pour épier le comportement de leurs
clients. La sécurité à flux tendus est aussi vulnérable, comme la mise à jour permanente d’antivirus dans les ordinateurs.
Avec cette numérisation accrue, des traces et des empreintes numériques sont
laissées par un usager, à son insu, à chaque transaction sur les systèmes d’information. Avec le développement de l’informatique embarquée et des technologies portables connectées en permanence à un réseau, il devient possible de localiser un
individu de différentes façons. L’opérateur de télécoms dispose maintenant de données géo-référencées qui attestent du passage du téléphone de l’abonné auprès des
relais téléphoniques, le fournisseur d’accès à Internet enregistre les visites du client
sur les sites web où celui-ci s’est connecté, le banquier inscrit les paiements du client
dans les magasins où celui-ci a réglé avec sa carte bancaire. Bref, tout un journal
intime dispersé s’écrit en temps réel à l’insu de la personne, lequel témoigne de l’utilisation des systèmes informatiques et peut être exploité pour une véritable filature
électronique à bon ou mauvais escient. La traçabilité électronique devient alors une
menace vis-à-vis de la liberté du citoyen et de sa vie privée.
Il existe peu de livres sur la sécurité numérique en général. Les ouvrages qui traitent de ce sujet insistent trop souvent sur le détail des technologies, des mécanismes
techniques sans montrer l’approche systémique de la question. L’objectif de ce livre
est de donner un panorama de la sécurité numérique contemporaine et de fournir une
vision transversale de toute la discipline.
Solange GHERNAOUTI-HÉLIE, docteur en informatique de l’université Paris 6, est
professeur à l’école des HEC de l’université de Lausanne depuis 1987, où elle enseigne des cours relatifs à la maîtrise des télécommunications et à la sécurité informatique. Expert international pour des questions de sécurité des technologies de
l’information, elle bénéficie d’une large expérience de conseil et d’expertise dans ce
domaine. Elle a publié de nombreux articles et une quinzaine d’ouvrages dont le
Que sais-je? Internet et sécurité (n˚ 3609). Elle est coauteur avec Arnaud DUFOUR
des Que sais-je? Internet (10e édition, n˚ 3073, traduit en plusieurs langues dont le
chinois) et Que sais-je? De l’ordinateur à la société de l’Information (n˚ 3541).
Cet ouvrage très pédagogique est étayé par ses enseignements de 2e et 3e cycles
en sécurité, en informatique et réseaux. Les exercices sont extraits des cours et des
examens de l’université de Lausanne.
Cet ouvrage qui aborde tous les thèmes de la sécurité numérique contemporaine,
est destiné à un large public.
VIII
Sécurité informatique et réseaux
Le public industriel concerné englobe les directeurs informatiques, les chefs de
projet, les administrateurs de réseaux en entreprises, les consultants en SSII, les responsables sécurité.
Le public académique concerné couvre les étudiants et élèves ingénieurs (3e
année de licence, 2e cycle, écoles d’ingénieurs, 3e cycle), les enseignants et les chercheurs en informatique, en réseau et en sécurité.
La qualité de ce livre réside dans une explication claire et précise, ainsi qu’une
rigueur, qui offre une présentation lisible des concepts et des approches en sécurité
et qui donne au lecteur une vue globale sur ce domaine multidisciplinaire. Ce livre
s’annonce comme un ouvrage de référence par sa qualité et par son ouverture.
C’est le livre que j’aurais voulu écrire.
Michel RIGUIDEL
Directeur du département Informatique et Réseaux
à l’École nationale supérieure des télécommunications à Paris
Responsable du Groupe des Experts de Sécurité du CNRS