Les outils Internet grand public de communication - ARESU
Transcription
Les outils Internet grand public de communication - ARESU
Les outils Internet grand public de communication et les risques pour l’entreprise Jean-Luc Archimbaud CNRS/UREC http://www.urec.cnrs.fr Conférence Aristote 26 janvier 2006 Intervention technique qui n’est ni la politique ou ni un quelconque message officiel du CNRS Plan § Pourquoi cette préoccupation ? § Quelle attitude – démarche ? § Eléments à étudier • L’usage (du logiciel, du service) • Les coûts • Les spécificités du logiciel (client, serveur) • Les spécificités du service • Maîtrise et contrôle du service • Les perturbations possibles • La confidentialité des données • Les responsabilités § Que faire ? Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 2 Pourquoi cette préoccupation ? § Les outils de communication Internet très conviviaux se multiplient. Exemples : • Forums (anciens) : listes de diffusion, News • Webs collaboratifs : Wiki • Webs personnels : Blog, vlog • Messagerie instantanée (chat) : IRC, MSN messenger • Téléphonie (VoIP): Skype • Partage de fichiers (téléchargements) : Kazaa § Ainsi que d’hébergement de données personnelles • Boites aux lettres, adresses, … à espace disque • Exemples : Blackberry, Gmail (et services avancés Google) § Protocoles - architectures • Inclut : des logiciels et des services rendus -> outils • Protocoles propriétaires nombreux mais aussi standards RSS, Jabber • P2P- Infrastructures spontanées Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 3 Pourquoi cette préoccupation ? § Nombreux avantages : • Beaucoup sont gratuit : logiciels ou hébergement de service • L’installation d’un client sur un poste personnel est à la portée de tous • Ils peuvent avoir une utilité pour les activités professionnelles • Ou entrer dans la limite admise d’utilisation de l’Internet sur les lieux de travail pour des usages personnels § Utilisés par le « grand public » • Bien avant les professionnels de l’informatique • Leur utilisation est intensive dans la jeunesse : futurs recrutés par les entreprises § à Ces outils sont (seront) utilisés par des salariés sur leur ordinateur professionnel ou pour leurs données professionnelles § à Ce sont de nouvelles vulnérabilités pour les systèmes d’information • Matériels, logiciels, bases de données, … et données sensibles Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 4 Quelle attitude - démarche ? § Interdire tous ces outils dans l’environnement professionnel (et les ignorer) Mais ce peut être : • Impossible : manque de moyens • Administration des machines personnelles, surveillance réseau, … ou/et d’autorité effective • Plus dangereux que d’en accepter certains • Contournement délibéré des règles, création de réseaux parallèles, … § Evaluer méthodiquement les risques • Critères classiques de sécurité mais aussi de nouveaux critères • à Prendre les mesures en conséquence • Avantage : travail ré-utilisable (d’autres outils similaires vont arriver) § Limitations de la présentation • Ne pas émettre de recommandation d’interdire ou d’autoriser tel ou tel produit • La démarche n’est pas une méthodologie • Simplement prendre du recul • Proposer une liste (à la Prévert) d’angles d’étude (ne pas se focaliser sur un aspect) Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 5 Eléments à étudier / outil § L’usage (du logiciel, du service) § Les coûts § La qualité du logiciel (client, serveur) § Les spécificités du service § La maîtrise et le contrôle de l’utilisation du service § Les perturbations possibles § La confidentialité des données § Les responsabilités Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 6 L’usage § Objectif : est-ce un outil utile ? § Pour une activité professionnelle Quel est l’intérêt pour l’organisme, l’entreprise ? • Efficacité – rentabilité • Ex : Messagerie instantanée - blog -> travail collaboratif • Lien social • Ex : forum de discussion interne • Promotion – marketing • Ex : forum, blog • Quels utilisateurs ? • VIP de l’entreprise ? (à données sensibles) • Uniquement internes ? Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 7 L’usage § Dans la tolérance pour usage personnel de l’Internet • Avec quelles personnes (extérieures) ? • Quelle proportion du temps ? § L’analyse devrait permettre de classer l’outil comme : • Obligatoire - utile - tolérable - intolérable • Eventuellement décider d’une étude sur l’intérêt de rendre le service officiellement, géré par l’équipe informatique Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 8 Les coûts § Objectif : évaluer tous les coûts § Economies réalisées • Outil utile à gain de productivité • Logiciel - service gratuit / au même payant • Baisse factures : téléphone (VoIP) • Formation : apprentissage à domicile § Coûts cachés • Temps passé à l’utilisation • Temps passé à l’installation, au suivi (si personnel non informaticien) • Ressources consommées (réseau …) Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 9 Qualité du logiciel § Objectif : évaluation des risques engendrés par l’installation du logiciel sur un poste • Bugs (involontaires) ou chevaux de Troie (volontaires) dans les logiciels peuvent créer un point d’entrée pour accéder au réseau interne de l’entreprise § Origine du développement ? • Société ou entité (logiciel libre) de confiance ? • Le code source, les protocoles, les algorithmes sont ils publics ? • Ex : Skype, dernières versions de MSN : code non public § Si produit gratuit • Quels sont les objectif des créateurs, quelle rentabilité pour eux ? • Ex : Skype, MSN, gMail … • Service au départ gratuit (fidélisation) qui devient progressivement payant • La publicité finance-elle le service ? • Objectif non avouable ? § Points positifs pour la confiance dans le logiciel • La disponibilité du code source • La description des protocoles et des algorithmes (si possible standards) • La clarté des mobiles des concepteurs (commerciaux ou autres) Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 10 Localisation du service § Objectif : évaluation des risques liés à la confidentialité et l’intégrité des données échangées ou stockées § Interne : tout est maîtrisé • Ex : gestionnaire de listes de diffusion interne § Externalisé avec contrat commercial • Quelles garanties de confidentialité, d’intégrité des données mais aussi quel contrôle d’accès et de mise à jour (correctifs sécurité) des serveurs hébergeurs dans le contrat commercial ? Ex : Site Web WIKI hébergé § Grand public centralisé • Dans quel pays ? Quelle société ? Quelles garanties ? • Ex : MSN, gMail § Grand public décentralisé (infrastructure spontanée) • Quels sont les mécanismes ? Quels sont les « nœuds principaux » ? Quelles données contiennent ils ? • Ex : skype § L’analyse devrait permettre d’évaluer le risque d’espionnage (défense ou industriel), de graduer grossièrement le niveau de confidentialité et d’intégrité (affiné dans un paragraphe suivant) Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 11 Maîtrise et contrôle de l’utilisation § Objectif : évaluer les possibilités de contrôle de l’installation des logiciels, de l’utilisation du service ainsi que la détection de ces éléments § Maîtrise de l’installation des logiciels • Est-ce l’équipe informatique qui installe le produit ? (ou les utilisateurs peuvent ils le faire eux- mêmes ?) • Est-ce que la configuration du produit peut être maîtrisée par l’équipe informatique ? § Surveillance • Peut-on savoir rapidement sur quels postes est installé le produit ? Qui l’utilise (en interne mais aussi identité des correspondants) ? Quand (traces) ? • Est-ce que le trafic peut être filtré par les routeurs, gardes-barrière ? • Les ports utilisés sont ils figés (et connus) / dynamiques ? • Les flux sont ils détectés par des outils de surveillance réseau ? § Une application dont on peut détecter, surveiller et tracer l’utilisation est une garantie pour pouvoir contrôler son utilisation (l’interdire éventuellement) • But des nouvelles applications P2P : passer les gardes-barrière et ne pas être détecté Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 12 Perturbations possibles § Objectif : prévoir les perturbations qu’est susceptible d’engendrer l’utilisation du logiciel, du service § Sur le poste utilisateur : exemples : • Le poste peut devenir serveur sans le savoir : stocker des données illégales, servir de point d’entrée sur le réseau • La configuration du poste peut être modifiée (changement de pilotes …) • Certaines applications professionnelles peuvent ne plus fonctionner du tout (manque de ressources) § Sur le réseau • Exemple : la bande passante utilisée importante à perturbation des autres applications § Sur l’ensemble des équipements • Exemple : le logiciel peut perturber les autres postes ou services sur le même réseau local, essayer de se déployer « automatiquement » § L’analyse devrait permettre de faire des recommandations sur : • Architecture : mettre les stations utilisatrices dans un VLAN particulier • Postes clients : interdire l’utilisation de logiciel sur certains postes (sensibles) • Installation de postes dédiés • Ex : skype Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 13 Confidentialité des données § Objectif : étudier les types de données véhiculées, leur besoin de confidentialité, la vulnérabilité du service dans ce sens § Quelles sont les informations (au sens large) manipulées ? • Conversations téléphoniques, courriels, fichiers, annuaires, mots de passe, … § Sont elles confidentielles ? importantes ? § Où sont elles stockées ? • Sur un poste externe (hébergement boites aux lettres), annuaire central externe … § Comment circulent elles dans le réseau ? • En clair ? Suivant quel chemin ? § Comment est géré le contrôle d’accès à ces données ? • Qui peut y avoir accès ? § Quelles sont les informations privées divulguées ? • Organigramme, identités, numéros de téléphone, adresses électroniques, numéros IP, … § L’analyse doit rapidement se conclure par l’interdiction ferme de certains services à certains groupes (VIP ?), pour certains usages ou types d’informations Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 14 Responsabilité § Objectif : étudier quelle est la responsabilité juridique de l’organisation- entreprise • Lors de l’utilisation « normale » de ce type de service ? • D’une utilisation délictueuse ? § Tout l’arsenal juridique sur l’informatique, les informations, les communications, l’édition, les œuvres, … peut s’appliquer selon les outils : lois sur les délits informatiques, la presse, la protection de la vie privée, les droits d’auteur, … § L’analyse devrait conduire à • Essayer d’anticiper les problèmes • Informer précisément les utilisateurs : droits, risques, devoirs • Modifier la charte informatique ? Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 15 Que faire ? § Présentation : pas de réponse sur • Quels comportements adopter ? • Quelles règles fixer ? • Que faut-il interdire ? • Quels services faut-il offrir en interne ou sous-traiter ? § Rappel de l’introduction • Limitations de la présentation • Ne pas émettre de recommandation d’interdire ou d’autoriser tel ou tel produit § Objectif : proposer un début de grille pour répondre aux questions ci- dessus • La réponse est très dépendante de l’environnement : suivre la grille avec l’exemple skype … Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 16 Que faire ? § Néanmoins, recommandations • Ne pas faire l’autruche • Proposer des solutions aux besoins (les anticiper ?) • Avec les services : informatique, achat, juridique … • Internes ou externes : un contrat commercial amène toujours plus de garantie que « rien » • à Maîtriser, ne pas « laisser faire » • à Attention aux conséquences d’un sentiment tel que : chez moi j’ai des outils géniaux, au travail je ne peux rien faire à informaticiens incompétents, responsables sécurité bornés, … • Etudier chaque outil qui se déploie spontanément avec les critères énoncés • à En déduire ce que l’entreprise, l’organisation doit faire Jean-Luc Archimbaud ARISTOTE 26 janvier 2006 17