Les outils Internet grand public de communication - ARESU

Les outils Internet grand public de communication
et les risques pour l’entreprise
Jean-Luc Archimbaud CNRS/UREC
http://www.urec.cnrs.fr
Conférence Aristote 26 janvier 2006
Intervention technique qui n’est ni la politique ou ni un
quelconque message officiel du CNRS
Plan
§ Pourquoi cette préoccupation ?
§ Quelle attitude – démarche ?
§ Eléments à étudier
• L’usage (du logiciel, du service)
• Les coûts
• Les spécificités du logiciel (client, serveur)
• Les spécificités du service
• Maîtrise et contrôle du service
• Les perturbations possibles
• La confidentialité des données
• Les responsabilités
§ Que faire ?
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
2
Pourquoi cette préoccupation ?
§ Les outils de communication Internet très conviviaux se multiplient.
Exemples :
• Forums (anciens) : listes de diffusion, News
• Webs collaboratifs : Wiki
• Webs personnels : Blog, vlog
• Messagerie instantanée (chat) : IRC, MSN messenger
• Téléphonie (VoIP): Skype
• Partage de fichiers (téléchargements) : Kazaa
§ Ainsi que d’hébergement de données personnelles
• Boites aux lettres, adresses, … à espace disque
• Exemples : Blackberry, Gmail (et services avancés Google)
§ Protocoles - architectures
• Inclut : des logiciels et des services rendus -> outils
• Protocoles propriétaires nombreux mais aussi standards RSS, Jabber
• P2P- Infrastructures spontanées
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
3
Pourquoi cette préoccupation ?
§ Nombreux avantages :
• Beaucoup sont gratuit : logiciels ou hébergement de service
• L’installation d’un client sur un poste personnel est à la portée de tous
• Ils peuvent avoir une utilité pour les activités professionnelles
• Ou entrer dans la limite admise d’utilisation de l’Internet sur les lieux de travail pour des
usages personnels
§ Utilisés par le « grand public »
• Bien avant les professionnels de l’informatique
• Leur utilisation est intensive dans la jeunesse : futurs recrutés par les entreprises
§ à Ces outils sont (seront) utilisés par des salariés sur leur ordinateur
professionnel ou pour leurs données professionnelles
§ à Ce sont de nouvelles vulnérabilités pour les systèmes d’information
• Matériels, logiciels, bases de données, … et données sensibles
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
4
Quelle attitude - démarche ?
§ Interdire tous ces outils dans l’environnement professionnel (et les ignorer)
Mais ce peut être :
• Impossible : manque de moyens
• Administration des machines personnelles, surveillance réseau, … ou/et d’autorité effective
• Plus dangereux que d’en accepter certains
• Contournement délibéré des règles, création de réseaux parallèles, …
§ Evaluer méthodiquement les risques
• Critères classiques de sécurité mais aussi de nouveaux critères
• à Prendre les mesures en conséquence
• Avantage : travail ré-utilisable (d’autres outils similaires vont arriver)
§ Limitations de la présentation
• Ne pas émettre de recommandation d’interdire ou d’autoriser tel ou tel produit
• La démarche n’est pas une méthodologie
• Simplement prendre du recul
• Proposer une liste (à la Prévert) d’angles d’étude (ne pas se focaliser sur un aspect)
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
5
Eléments à étudier / outil
§ L’usage (du logiciel, du service)
§ Les coûts
§ La qualité du logiciel (client, serveur)
§ Les spécificités du service
§ La maîtrise et le contrôle de l’utilisation du service
§ Les perturbations possibles
§ La confidentialité des données
§ Les responsabilités
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
6
L’usage
§ Objectif : est-ce un outil utile ?
§ Pour une activité professionnelle
Quel est l’intérêt pour l’organisme, l’entreprise ?
• Efficacité – rentabilité
• Ex : Messagerie instantanée - blog -> travail collaboratif
• Lien social
• Ex : forum de discussion interne
• Promotion – marketing
• Ex : forum, blog
• Quels utilisateurs ?
• VIP de l’entreprise ? (à données sensibles)
• Uniquement internes ?
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
7
L’usage
§ Dans la tolérance pour usage personnel de l’Internet
• Avec quelles personnes (extérieures) ?
• Quelle proportion du temps ?
§ L’analyse devrait permettre de classer l’outil comme :
• Obligatoire - utile - tolérable - intolérable
• Eventuellement décider d’une étude sur l’intérêt de rendre le
service officiellement, géré par l’équipe informatique
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
8
Les coûts
§ Objectif : évaluer tous les coûts
§ Economies réalisées
• Outil utile à gain de productivité
• Logiciel - service gratuit / au même payant
• Baisse factures : téléphone (VoIP)
• Formation : apprentissage à domicile
§ Coûts cachés
• Temps passé à l’utilisation
• Temps passé à l’installation, au suivi (si personnel non informaticien)
• Ressources consommées (réseau …)
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
9
Qualité du logiciel
§ Objectif : évaluation des risques engendrés par l’installation du logiciel sur un poste
• Bugs (involontaires) ou chevaux de Troie (volontaires) dans les logiciels peuvent créer un point
d’entrée pour accéder au réseau interne de l’entreprise
§ Origine du développement ?
• Société ou entité (logiciel libre) de confiance ?
• Le code source, les protocoles, les algorithmes sont ils publics ?
• Ex : Skype, dernières versions de MSN : code non public
§ Si produit gratuit
• Quels sont les objectif des créateurs, quelle rentabilité pour eux ?
• Ex : Skype, MSN, gMail …
• Service au départ gratuit (fidélisation) qui devient progressivement payant
• La publicité finance-elle le service ?
• Objectif non avouable ?
§ Points positifs pour la confiance dans le logiciel
• La disponibilité du code source
• La description des protocoles et des algorithmes (si possible standards)
• La clarté des mobiles des concepteurs (commerciaux ou autres)
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
10
Localisation du service
§ Objectif : évaluation des risques liés à la confidentialité et l’intégrité des données
échangées ou stockées
§ Interne : tout est maîtrisé
• Ex : gestionnaire de listes de diffusion interne
§ Externalisé avec contrat commercial
• Quelles garanties de confidentialité, d’intégrité des données mais aussi quel contrôle d’accès et
de mise à jour (correctifs sécurité) des serveurs hébergeurs dans le contrat commercial ?
Ex : Site Web WIKI hébergé
§ Grand public centralisé
• Dans quel pays ? Quelle société ? Quelles garanties ?
• Ex : MSN, gMail
§ Grand public décentralisé (infrastructure spontanée)
• Quels sont les mécanismes ? Quels sont les « nœuds principaux » ? Quelles données
contiennent ils ?
• Ex : skype
§ L’analyse devrait permettre d’évaluer le risque d’espionnage (défense ou industriel),
de graduer grossièrement le niveau de confidentialité et d’intégrité (affiné dans un
paragraphe suivant)
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
11
Maîtrise et contrôle de l’utilisation
§ Objectif : évaluer les possibilités de contrôle de l’installation des logiciels, de l’utilisation
du service ainsi que la détection de ces éléments
§ Maîtrise de l’installation des logiciels
• Est-ce l’équipe informatique qui installe le produit ? (ou les utilisateurs peuvent ils le faire eux-
mêmes ?)
• Est-ce que la configuration du produit peut être maîtrisée par l’équipe informatique ?
§ Surveillance
• Peut-on savoir rapidement sur quels postes est installé le produit ? Qui l’utilise (en interne mais
aussi identité des correspondants) ? Quand (traces) ?
• Est-ce que le trafic peut être filtré par les routeurs, gardes-barrière ?
• Les ports utilisés sont ils figés (et connus) / dynamiques ?
• Les flux sont ils détectés par des outils de surveillance réseau ?
§ Une application dont on peut détecter, surveiller et tracer l’utilisation est une garantie
pour pouvoir contrôler son utilisation (l’interdire éventuellement)
• But des nouvelles applications P2P : passer les gardes-barrière et ne pas être détecté
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
12
Perturbations possibles
§ Objectif : prévoir les perturbations qu’est susceptible d’engendrer l’utilisation du logiciel, du service
§ Sur le poste utilisateur : exemples :
• Le poste peut devenir serveur sans le savoir : stocker des données illégales, servir de point d’entrée sur le réseau
• La configuration du poste peut être modifiée (changement de pilotes …)
• Certaines applications professionnelles peuvent ne plus fonctionner du tout (manque de ressources)
§ Sur le réseau
• Exemple : la bande passante utilisée importante à perturbation des autres applications
§
Sur l’ensemble des équipements
• Exemple : le logiciel peut perturber les autres postes ou services sur le même réseau local, essayer de se
déployer « automatiquement »
§ L’analyse devrait permettre de faire des recommandations sur :
• Architecture : mettre les stations utilisatrices dans un VLAN particulier
• Postes clients : interdire l’utilisation de logiciel sur certains postes (sensibles)
• Installation de postes dédiés
• Ex : skype
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
13
Confidentialité des données
§ Objectif : étudier les types de données véhiculées, leur besoin de confidentialité, la
vulnérabilité du service dans ce sens
§ Quelles sont les informations (au sens large) manipulées ?
• Conversations téléphoniques, courriels, fichiers, annuaires, mots de passe, …
§ Sont elles confidentielles ? importantes ?
§ Où sont elles stockées ?
• Sur un poste externe (hébergement boites aux lettres), annuaire central externe …
§ Comment circulent elles dans le réseau ?
• En clair ? Suivant quel chemin ?
§ Comment est géré le contrôle d’accès à ces données ?
• Qui peut y avoir accès ?
§ Quelles sont les informations privées divulguées ?
• Organigramme, identités, numéros de téléphone, adresses électroniques, numéros IP, …
§ L’analyse doit rapidement se conclure par l’interdiction ferme de certains services à
certains groupes (VIP ?), pour certains usages ou types d’informations
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
14
Responsabilité
§ Objectif : étudier quelle est la responsabilité juridique de l’organisation-
entreprise
• Lors de l’utilisation « normale » de ce type de service ?
• D’une utilisation délictueuse ?
§ Tout l’arsenal juridique sur l’informatique, les informations, les
communications, l’édition, les œuvres, … peut s’appliquer selon les
outils : lois sur les délits informatiques, la presse, la protection de la vie
privée, les droits d’auteur, …
§ L’analyse devrait conduire à
• Essayer d’anticiper les problèmes
• Informer précisément les utilisateurs : droits, risques, devoirs
• Modifier la charte informatique ?
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
15
Que faire ?
§ Présentation : pas de réponse sur
• Quels comportements adopter ?
• Quelles règles fixer ?
• Que faut-il interdire ?
• Quels services faut-il offrir en interne ou sous-traiter ?
§ Rappel de l’introduction
• Limitations de la présentation
• Ne pas émettre de recommandation d’interdire ou d’autoriser tel ou tel produit
§ Objectif : proposer un début de grille pour répondre aux questions ci-
dessus
• La réponse est très dépendante de l’environnement : suivre la grille avec
l’exemple skype …
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
16
Que faire ?
§ Néanmoins, recommandations
• Ne pas faire l’autruche
• Proposer des solutions aux besoins (les anticiper ?)
• Avec les services : informatique, achat, juridique …
• Internes ou externes : un contrat commercial amène toujours plus de garantie
que « rien »
• à Maîtriser, ne pas « laisser faire »
• à Attention aux conséquences d’un sentiment tel que : chez moi j’ai des outils
géniaux, au travail je ne peux rien faire à informaticiens incompétents,
responsables sécurité bornés, …
• Etudier chaque outil qui se déploie spontanément avec les critères énoncés
• à En déduire ce que l’entreprise, l’organisation doit faire
Jean-Luc Archimbaud ARISTOTE 26 janvier 2006
17