Sécuriser Les Réseaux Informatiques
Transcription
Sécuriser Les Réseaux Informatiques
Remerciements Marc FERRIGNO Sécuriser les réseaux informatiques français Préface Ce document est un mémoire de fin d’études pour l’obtention du diplôme d’ingénieur. Sa réalisation, outre le fait de répondre à la demande du CESI Aquitaine Limousin PoitouCharentes, m’a apporté une vision globale de la sécurité des réseaux informatiques et de la législation en vigueur dans ce domaine. D’autre part, ce mémoire est conçu dans le but de servir de petit guide à destination des PME et aux particuliers qui ne sont pas tous sensibilisés aux problèmes de sécurité. Ce document contient une recommandation sur un ensemble de mesures qu’il serait bon de mettre en place, afin d’augmenter la sécurité des réseaux informatiques français, et la participation du citoyen dans l’Etat français. Ce mémoire m’a permis d’appréhender le métier de Responsable de la Sécurité des Systèmes d'Information (RSSI) auquel je me destine. Enfin, je tiens à préciser que dans ce document, il y a beaucoup de termes en langue anglaise. Je fournis, s’il est utilisé, l’équivalent en français ou à défaut une explication de son sens. Toutefois, les mots anglais sont ceux utilisés par les personnes impliquées dans la sécurité informatique et il est préférable de les connaître. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Marc FERRIGNO Sécuriser les réseaux informatiques français Sommaire I. Analyse de la problématique.................................................................... 3 A. Quelques chiffres clés .................................................................................................... 3 B. Quelques définitions....................................................................................................... 4 1. Généralités.................................................................................................................. 4 2. Les attaques ................................................................................................................ 5 3. Les acteurs de la sécurité réseau ................................................................................ 6 C. Les causes de l’insécurité............................................................................................... 9 1. Les actes cupides........................................................................................................ 9 2. Les actes d’incivilités ............................................................................................... 10 3. Les actes idéologiques.............................................................................................. 11 4. Les actes stratégiques ............................................................................................... 11 D. Les conséquences ......................................................................................................... 12 1. Pertes financières...................................................................................................... 12 2. Perte d’image de marque.......................................................................................... 12 3. Perte de savoir .......................................................................................................... 12 4. Stagnation du commerce électronique ..................................................................... 13 5. Renforcement du sentiment d’insécurité.................................................................. 13 6. Augmentation du marché de la sécurité ................................................................... 13 7. Méfiances pesantes sur la création d’une administration centralisée....................... 14 8. Conséquences judiciaires ......................................................................................... 14 9. Conséquences réglementaires .................................................................................. 14 10. Renforcement des lois .............................................................................................. 14 11. Augmentation de l’écart entre le pouvoir et les citoyens ......................................... 15 12. Recul de la démocratie ............................................................................................. 15 II. De quoi a-t-on besoin ? ........................................................................... 16 A. Définition du besoin ..................................................................................................... 16 B. Evaluation du besoin .................................................................................................... 16 C. Importance et localisation du besoin............................................................................ 16 1. La taille de l’entreprise............................................................................................. 16 2. Les données à protéger............................................................................................. 17 3. Ouverture de l’entreprise sur le net. ......................................................................... 18 4. Sa popularité............................................................................................................. 19 5. Importance des attaques ........................................................................................... 19 6. L’origine des attaques .............................................................................................. 20 7. Pour résumer ............................................................................................................ 22 III. Les solutions............................................................................................. 23 A. La prévention................................................................................................................ 24 1. Dissimulation ........................................................................................................... 24 2. Information............................................................................................................... 24 3. Canalisation.............................................................................................................. 28 4. Orientation................................................................................................................ 29 5. Dissuasion ................................................................................................................ 29 B. La protection ................................................................................................................ 35 1. Palliation................................................................................................................... 35 2. Surveillance.............................................................................................................. 38 3. Protection ................................................................................................................. 41 C. La récupération............................................................................................................. 45 1. Sauvegarde ............................................................................................................... 45 Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Marc FERRIGNO 2. 3. IV. A. B. V. VI. A. B. C. D. E. Sécuriser les réseaux informatiques français Récupération............................................................................................................. 45 Compensation........................................................................................................... 45 Recommandations................................................................................... 46 Les services gouvernementaux..................................................................................... 46 Les PME et les particuliers........................................................................................... 50 Conclusion................................................................................................ 54 Annexes ..................................................................................................... II Bibliographie................................................................................................................. II Dictionnaires ................................................................................................................ III Adresses ....................................................................................................................... VI Quelques principes de sécurité de sécurité................................................................... IX Les lois ou la régulation par le haut .............................................................................. X Table des illustrations Figure 1 : Figure 2 : Figure 3 : Figure 4 : Figure 5 : Figure 6 : Figure 7 : Figure 8 : Figure 9 : Figure 10 : Figure 11 : Figure 12 : Figure 13 : Figure 14 : Figure 15 : Figure 16 : Figure 17 : Figure 18 : Figure 19 : Figure 20 : Figure 21 : Figure 22 : Un modèle du risque informatique......................................................................... 4 Arbre des causes des actes cupides. ..................................................................... 10 Arbre des causes des actes de malveillance. ........................................................ 10 Arbre des causes des actes idéologiques. ............................................................. 11 Arbre des causes des actes stratégiques. .............................................................. 11 Pertes liée à une indisponibilité............................................................................ 12 Le marché français de la sécurité des systèmes d'information de 1998 à 2001 ... 13 Types de problèmes en fonction de la taille de l’entreprise. ................................ 17 Proportion des services Web dans les entreprises................................................ 18 Dépendance des entreprises vis-à-vis de leur SI. ............................................. 19 Importance des attaques. .................................................................................. 20 Origines des attaques........................................................................................ 21 Type d’attaque en fonction son origine............................................................ 21 Un modèle de gestion du risque informatique ................................................. 23 Services de sécurité informatique de l’Etat...................................................... 25 Les méthodes par origine. ................................................................................ 26 Matrice des risques........................................................................................... 28 Gestion du risque.............................................................................................. 36 Systèmes de cryptage à clé secrète................................................................... 42 Systèmes de cryptage à clé publique................................................................ 42 Protocole de cryptage avec non répudiation des données ................................ 43 Synthèse du cadre législatif des moyens et prestations de cryptologie............ 43 Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Marc FERRIGNO Sécuriser les réseaux informatiques français Introduction Dans un climat international morose, où la croissance est faible et la concurrence de plus en plus forte, la société de l’argent semble approcher de sa fin. Mais qui pourrait bien lui succéder ? Les citoyens de cette société sont de plus en plus individualistes, et ils ne semblent travailler ensemble que dans un intérêt commun. Aussi, il est de plus en plus difficile de mobiliser les citoyens, même pour des causes d’Etat, dans lesquelles ils ne se reconnaissent pas. Je pense que la société se transforme en société de l’individu. Actuellement la richesse d’un pays, d’une entreprise, ne se toise plus uniquement sur ses moyens financiers. Le Taylorisme ne suffit plus. Ce sont les citoyens, les employés, de par leurs compétences et leurs implications qui font la richesse d’une entreprise et d’une nation. Mais quelle est la valeur de ces compétences ? Est-elle mesurable ? Sait-on la mesurer ? On pourrait l’estimer à travers sa perte, son vol, dus au « turn-over » ou à l’espionnage industriel, son éventuelle récupération par un tiers et la valeur ajoutée qu’elle lui amène. Dans ce monde, l’informatique occupe une place primordiale. Elle prend la forme d’outils qui permettent d’automatiser et d’accélérer les créations, de capturer, de remonter et d’analyser l’information. Mais surtout, l’informatique sert de stockage des compétences et du savoir faire des entreprises. Elle met en relation les hommes quelque soit la distance qui les sépare. Le réseau mondial Internet relie tous les hommes entre eux. Les sociétés ont tout de suite vu ce réseau comme le moyen de vendre davantage, plus vite et à plus de monde. De plus, elles peuvent grâce au réseau, centraliser leur savoir entre toutes leurs filiales à travers le monde. Mais dans ce monde tout réseau, la concurrence devient mondiale ; On parle de guerre économique. Comment garantir que l’information si précieuse, ne soit pas détruite ou ne tombe en de mauvaises mains ? Dans ce contexte, où tout semble pouvoir être informatisé et interconnecté, la concurrence farouche d’intérêts, des entreprises et des Etats nations, place au premier rang la sécurité informatique. L’accès à certaines informations dites sensibles doit être garantie, tout en étant restreint à un nombre limité de personnes autorisées et dûment authentifiées. L’intégrité des informations stockées doit être maintenue. L’accès au réseau Internet est aujourd’hui quasiment à la porté de toutes les bourses. Tous les internautes sont des acheteurs potentiels, mais bien qu’en très grand nombre, ces derniers ont peur de faire leurs achats en ligne, pourquoi ? Peut être, qu’un contact immatériel avec le produit ne leur suffit pas ? Mais n’est ce pas plutôt par peur du piratage informatique de leurs moyens de paiement. En effet, avec l’Internet il n’apparaît pas que des clients et des personnes avides d’information. On trouve aussi des Hackers, qui sont capables de prouesses incroyables sur le réseau. Ils semblent pourvoir passer à travers les murs de protection des entreprises, escroquer de l’argent, détourner les informations que l’on trouve à travers la toile de leur objectif originel. Qui sont-ils ? Des dieux, des terroristes? Non ! Des enfants d’après les médias. Mais que fait l’Etat, la police ? L’Etat met en place des lois, surveille, s’assure que toutes les personnes accédant au réseau soit identifiées. Malheureusement depuis l’attentat du 11 septembre 2001 aux Etats-Unis, un ensemble de lois sont passées dans l’urgence pour sécuriser les réseaux. Elles semblent s’attaquer aux droits de tout homme d’avoir un peu de vie privée et d’intimité. Comble de tout cela, la menace de piratage, d’après les médias, est Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 1 Marc FERRIGNO Sécuriser les réseaux informatiques français toujours omniprésente. Est-ce simplement de la désinformation ? Les lois et les moyens considérables mis en place par l’Etat et les entreprises, ne seraient ils pas suffisant ? Ces lois ont-elles pour but, d’asseoir la souveraineté de l’Etat ? Peut-être serait-il possible de respecter à la fois, les droits de l’homme et la souveraineté de l’Etat ? Et cet équilibre une fois atteint, ne pourrait-on pas sécuriser les réseaux informatiques français ? C’est afin d’apporter des réponses à ces questions que j’ai choisi comme problématique pour ce mémoire : Comment améliorer la sécurité des réseaux informatiques français afin de respecter, à la fois la souveraineté de l’Etat et le droit à la vie privée ? Je vais dans un premier temps, faire une analyse de cette problématique. De là, je formulerai et je ciblerai le besoin de sécurité des réseaux informatiques français. Par suite, je listerai et comparerai un ensemble de mesures et de moyens, mis en place par les Etats et les entreprises, visant à améliorer la sécurité. Pour finir, je fournirai des recommandations en réponse à ce besoin. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 2 Marc FERRIGNO Sécuriser les réseaux informatiques français I. Analyse de la problématique A. Quelques chiffres clés • • • • • • • • • • Il y a actuellement 1 milliard d’ordinateurs qui ont été vendus dans le monde, 168 millions en Europe et 11,9 millions en France. 385 millions d’ordinateurs sont connectés à l’Internet, avec un trafic qui doublerait tous les 3 mois (Source : Nielsen/Netrating 2002). Le nombre d’atteintes portées aux Systèmes d’Information (SI) est passé de 9859 en 1999, à 21756 en 2000 et à 52658 pour 2001 (Source : CERT/CC). Une attaque chaque minute (source : EADS Telecom 2002). Sur le marché français en 2001, le montant des préjudices s'est élevé à 14 milliards d’euros (source : Gartner Research). Le nombre de trous de sécurité répertoriés ou avis est passé de 25 en moyenne par semaine en 2000, à 37 en 2001, et proche de 45 pour 2002. Soit près de 9 avis par jour ouvré. 40% c’est le chiffre de réseaux sans fil mals, voir pas du tout sécurisés, à Paris-CnitLa Défense (source : cabinet Cahners Group). 55,4 % des serveurs Secure Shell (SSH) présents sur le réseau européen, sont encore vulnérables à une faille parue il y a maintenant 8 mois (source : SSI Vigisafe). 2,5 millions de matériels Wi-Fi ont été vendus au 4éme trimestre 2001, rien qu’aux Etats-Unis (source : cabinet Cahners Group) La fraude en ligne sur les sites français de e-commerce s’élève de 1,37 million d’euros pour 2001, contre 0,24 million d’euros pour 2000 (Source : Fia-Net). On constate au vu de ces quelques chiffres, que la situation peut sembler critique, et ne semble pas s’améliorer. Le nombre d’ordinateurs connectés à l’Internet est en forte croissance. Le nombre d’incidents a doublé l’année dernière. Le nombre de failles de sécurité découvertes chaque jour est en augmentation de 21% cette année. Et pour finir, le coût de la fraude a été multiplié par 6. Toutefois, il convient de se méfier de ces chiffres. En effet, les sources sont multiples, le détail des méthodes et des estimations qui ont été faites ne sont pas fournies. Aussi mises à part quelques citations ponctuelles, je m’appuierai sur deux principaux rapports publiés chaque année : • Sécurité des systèmes d’information, publié par le Club informatique des grandes entreprises françaises (Cigref) en septembre 2002. • Études et statistiques sur la sinistralité informatique en France, publié par le Club de la sécurité des systèmes d'information français (Clusif) en mai 2001. Il existe un autre rapport très populaire qui vient d’être publié, c‘est le Computer Crime and Security Survey réalisé conjointement avec le Computer Security Institute (CSI) et le Federal Bureau of Investigation (FBI). Mais, comme mon étude se limite volontairement à la France, les chiffres présentés dans ce rapport ne sont pas représentatifs de la tendance française. Dans un premier temps, je vais fournir un ensemble de définitions de mots, qui vont permettre de mieux se comprendre. Elles porteront sur les types d’attaques et les acteurs de la sécurité informatique. Marc FERRIGNO Sécuriser les réseaux informatiques français B. Quelques définitions 1. Généralités Voici une schématisation du déroulement d’une attaque portée au Système d’Information (SI). Figure 1 : Un modèle du risque informatique Engendre Engendre Biens ou actif Menace Crainte Inquiétude Vulnérabilité Agression Dysfonction Détérioration Divulgation Absence de Protection Dégât Pertes Financières Causes Faits Conséquences Tout d’abord une menace naît de la présence d’un bien ou d’un actif. Cette menace, de par son existence, engendre des craintes et des inquiétudes. Cette menace pourra se concrétiser en agression. Cela n’est possible que s’il existe des vulnérabilités dans le SI. Cette dernière va engendrer des dysfonctionnements, des détériorations ou la divulgation de services ou de données. Si le SI n’est pas protégé, des dégâts vont apparaître. Et ceux-ci vont occasionner des pertes financières. Actif ou bien : information ou composant d’un système, qui possède une valeur ou un intérêt. Il conviendra donc de le protéger. Menaces : la menace est définie dans la norme ISO-7498-2-89, comme une violation potentielle de la sécurité. La norme ISO-7498-2-89, distingue quatre types de menace : ¾ Menace accidentelle : menace d'un dommage non intentionnel envers le Système d’Information (SI). ¾ Menace intentionnelle ou délibérée : menace de modification non autorisée et délibérée de l'état du système. ¾ Menace passive : menace de divulgation non autorisée des informations, sans que l'état du système soit modifié. ¾ Menace physique : menace qui pèse sur l'existence même et sur l'état physique du SI. Vulnérabilités : sont des faiblesses ou des failles du SI qui pourraient être exploitées pour obtenir un accès non autorisé. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 4 Marc FERRIGNO Sécuriser les réseaux informatiques français Risque : le risque est un danger plus ou moins probable auquel est exposé le SI. Il est fonction de la menace et des vulnérabilités. Agression : attaque portée au système, qu’elle soit réussie ou non. Dégât : pertes irrécupérables de services ou de données. 2. Les attaques La liste des attaques qui se trouve ci-dessous n’est pas exhaustive, car elle ne cesse de s’allonger jour après jour. Néanmoins les nouvelles attaques sont le plus souvent, des améliorations, ou des couplages de ces différentes techniques. Hacking : utilisation non autorisée, ou contournement d’une sécurité d’un système d’information ou d’un réseau. Cracking ou craquer : l’acte de modifier un programme ou un système, dans le but d’obtenir ce que l’on attend de lui. Cryptanalyse : opérations faites dans le but de transformer un message crypté en message lisible. Ces opérations ont lieu sans avoir connaissance de l’algorithme de cryptographie, ou des clés ayant servi au cryptage du message. Phreaking : l’art et la science de hacker le réseau téléphonique. Spoofing ou Vol d’identité : l’attaquant se fait passer pour une autre personne, afin de réaliser ses méfaits. Sniffing ou snifer : ici l’utilisateur de cette technique, se sert d’un mode de fonctionnement particulier de la carte réseau. Ce dernier lui permet de capturer tous les paquets d’information circulant sur le réseau. Buffer Overflow ou Dépassement de tampon : l’attaquant dépasse la capacité d’un tampon, en y injectant plus de données que prévu. Le programme plante. Ainsi l’attaquant peut avoir accès au système et y insérer un code malicieux. Backdoor ou Entrée imprévue, trappe : c’est une entrée dérobée, que l’on trouve dans un programme ou un système. Elle a été aménagée volontairement, par erreur de conception ou d’implémentation. Le résultat est le plus souvent le contournement d’une sécurité ou un accès illicite au système. Denial of Service (DoS) ou Déni de service : l’attaquant rend le fonctionnement, d’un Automated Information System (AIS) ou système automatique de traitement d’information, impossible ou défaillant. Virus : les virus sont de petits programmes, très bien conçus, qui simulent une sorte de vie artificielle. Leur but principal est de se répandre et de se reproduire le plus vite possible. Leur reproduction se fait au détriment d’autres fichiers du système, qui peuvent être endommagés. Leur prolifération a tendance à ralentir les systèmes parasités, par consommation des ressources. Le plus grave est quand ces virus possèdent du code malicieux, visant à détruire ou à endommager les documents, le système ou même l’ordinateur. Trojan Horse ou Chevaux de Troie : programme utile apparemment innocent, mais possédant des fonctionnalités cachées. Worm ou vers : programme indépendant se répliquant à travers les réseaux. C’est sa vitesse de réplication et de propagation qui crée la gêne par occupation des ressources. Man in the middle ou le passeur de sceaux : l’attaquant se place au milieu de la conversation, entre la victime et par exemple sa banque. Il ne fait que retransmettre les informations circulantes. Il peut ainsi les lire, les modifier à volonté ou les copier. L’accès spécial à des fichiers ou des bases de données : ici il y a pénétration du système et accès illégitime. Le système est une base de données ou un système d’exploitation. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 5 Marc FERRIGNO Sécuriser les réseaux informatiques français L’extension de privilège : l’attaquant arrive, la plupart du temps par des failles systèmes, à étendre les privilèges auxquels il aurait normalement droit. Par exemple en passant de simple utilisateur à administrateur du système. Le social engineering: l’attaquant se fait passer pour un autre, afin d’avoir des informations auxquelles il n’aurait jamais du avoir accès. Ces attaques sont redoutablement efficaces. Et quatre petites nouvelles : Hoax : ce sont de fausses alertes. Elles peuvent prendre par exemple la forme de messages envoyés aux utilisateurs du SI, leur demandant de supprimer un fichier vital pour le fonctionnement du système. Wardriving : des hackers sillonnent les rues des grandes villes en voiture. Ils scrutent les ondes radio à la recherche des points d’accès de réseaux sans fil, qu’ils répertorient. Ils testent le niveau de sécurité et publient le résultat sur internet. Les attaques de trolls : les trolls sont des gens qui vont sur les forums de discussions et les chats, avec pour seul but de semer le désordre. Comment ? En discutant de sujets qui fâchent, en ridiculisant un de ses membres ou en posant des questions ridicules. Bien que peu dangereux, la gêne est certaine et la perte de temps aussi. Les malwares : sont l’ensemble des systèmes tels que les virus, les vers ou autres espèces du genre, visant à faire le mal. 3. Les acteurs de la sécurité réseau On retrouve ici deux grandes catégories d’acteurs, ceux qui attaquent les SI et ceux qui se défendent. Néanmoins la limite n’est pas aussi claire dans la pratique. En effet on constate, que les responsables de problèmes de sécurité les plus cités par les entreprises, sont bien sûr les hackers, mais surtout les employés. De plus, on sous-estime le rôle des Hackers dans le développement, le test et l’avancement des technologies de sécurité. On peut aussi remarquer, que bien qu’étant dans le rôle du défenseur, les Etats nations et les entreprises sont souvent ignorés comme attaquant des systèmes informatiques de l’entreprise. Etat(s) nation(s) Les Etats nations interviennent à différents niveaux. Ils interviennent dans la protection des entreprises et des citoyens, et ont un rôle de régulation. Ils doivent également conserver leur souveraineté, qui parfois est en contradiction avec certaines mesures de protection telle que la cryptologie. Ils espionnent également les autres Etats nations, et là on retrouve par exemple la limitation à l’exportation de technologies telles que les supercalculateurs et les moyens cryptographiques. Le Hacker ou débrouillard (se prononce hackeur) Le hacker est avant tout un débrouillard en informatique. On entend par là, quelqu’un qui s’acharne à atteindre un but, à résoudre un problème, la plupart du temps sans l’aide de personne. Originaire du monde Unix, il maîtrise ce système et arrive à en faire à peu près ce qu’il en veut. De par ses compétences système et réseaux, il est le mieux placé, pour sécuriser ou pénétrer un système. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 6 Marc FERRIGNO Sécuriser les réseaux informatiques français Les hackers peuvent être répartis en trois catégories : 9 Black hat : Ceux sont « les méchants ». Ce sont des hackers qui pénètrent un système ou un réseaux, dans un but mal intentionné. 9 White hat : Ceux sont « les gentils ». Ce sont aussi des hackers, mais ils pénètrent les réseaux dans un but d’apprentissage ou d’audit, en étant autorisé ou invité par la victime. Les hackers aiment se situer dans cette catégorie. 9 Grey hat : Comme on peut le supposé tout n’est pas noir et tout n’est pas blanc. Le terme de grey hat est donc apparu. Quoi qu’il en soit seuls les pratiquants, méritent l’appellation de hacker. Où les hackers dérangent le plus, c’est dans la recherche des failles de sécurité. En effet, ils mettent au grand jour des défauts de programmation ou de conception, voire même des défauts placés intentionnellement ou Backdoor. Mais en plus, ils divulguent le résultat de leurs investigations, c’est ce que l’on appelle la transparence ou Full-Disclosure. Les éditeurs se trouvent alors dans l’obligation de corriger leurs erreurs. Mais, même s’ils font avancer le niveau de qualité des réalisations des logiciels et des systèmes, diminuer le nombre de Backdoor, ils nuisent à l’image de marque des sociétés. Et c’est précisément ce dernier point qui dérange. Le cracker ou casseur de code de programme (se prononce crackeur) Cette dénomination est employée à tord par les journalistes à sensations, pour nommer les personnes qui pénètrent les systèmes informatiques avec de mauvaises intentions. En fait, les crackers sont des personnes qui recherchent des failles, dans les protections des logiciels commerciaux. Ils sont capables de lire le langage machine, et de produire un patch ou correctif, qui permet de contourner la protection du logiciel. Ce patch est aussi appelé crack, d’où l’origine de leurs noms. Le Phreaker (pirate des systèmes téléphoniques) C’est un individu possédant de solides connaissances en téléphonie. C’est une variante de hackers, spécialisé dans les téléphones et les systèmes téléphoniques, tels que les PABX ou commutateurs. Sa motivation est d’échapper à la facturation téléphonique. Le développeur de virus Autrefois une communauté de passionnés d’informatique, qui avait pour but que de créer des programmes autonomes imitant les vies primitives, tels que les virus. Comme ces derniers, ces programmes se nourrissent et procréent à l’insu d’un hôte, ici sous forme de fichiers informatiques. Cette communauté produit des virus inoffensifs, ou plutôt des virus ne possédant pas de code destructif. Ces personnes ne se cachent pas. Malheureusement les programmes qu’elle a développés, ont été repris par des personnes malintentionnées, qui y ont ajouté du code destructif. Avec ce dernier elles peuvent, détruire la Table d’Allocation des Fichiers, formater le disque dur ou même endommager la machine victime. Maintenant les virus représentent la principale source de problèmes pour les entreprises et les particuliers. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 7 Marc FERRIGNO Sécuriser les réseaux informatiques français le Script-kiddie ou Ankle-Biter ou Geek (jeune utilisateur de script) Les scripts kiddies utilisent les outils que des hackers ou des crackers ont créés pour porter atteinte aux SI. Ils ne sont pas capables de produire leurs propres outils et la plupart du temps, ne comprennent pas leur fonctionnement interne. Le script kiddie, par définition ne possède aucune compétence, aucun savoir et aucune morale. On trouve dans cette catégorie le Leech, le Warez-puppy ou le Lamer, qui lui n’est là que pour télécharger les cracks et les applications des autres. Ces personnes, la plupart du temps, des jeunes, sont la cause de beaucoup de perturbations sur le réseau. Mais ils ne représentent pas de sérieuses menaces pour les entreprises et les particuliers, qui sont protégés un minimum. Les médias Dans cette catégorie, on trouve les journaux et les magazines, mais aussi la radio, les sites Web et la télévision. Les médias, quelque soit leur forme ou leur support, ont un rôle déterminant qui est d’informer le public. Ils participent à la sensibilisation des citoyens aux problèmes de sécurité. Mais aussi à l’accueil qui est donné aux nouvelles lois. Exemples : • Le livre « 1984 » de Georges ORWELS (roman) : ce livre a sensibilisé les gens sur l’importance du respect de la vie privée. • Le film « Bienvenu à GATTACA », pose le problème de la biométrie et de son utilisation. Le Chef d’entreprise Le chef d’entreprise de par sa position, joue un rôle primordial dans la politique de sécurité de l’entreprise. Il intervient dans l’établissement du budget de sécurité et sur l’adhésion des employés à la politique de sécurité mise en place. Les employés Les employés font partie intégrante de la politique de sécurité. Sans leur adhésion, la sécurité optimum de l’entreprise ne peut être garantie. Il convient qu’ils soient sensibilisés, voir impliqués et formés à la sécurité. L’expert sécurité On trouve dans ce rôle une personne devant maîtriser de nombreuses technologies et possédant une forte sensibilité à la politique de l’entreprise. Il doit sans cesse se tenir au courant de la découverte de nouvelles failles de sécurité. Il supporte de lourdes responsabilités. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 8 Marc FERRIGNO Sécuriser les réseaux informatiques français Devant le peu de formation existante en France, et le nombre de compétences et d’expériences nécessaires à l’exercice de cette fonction, l’expert sécurité, est une personne rare. Cela nous a conduit à la répartition des tâches de l’expert sécurité sur deux personnes. Une se charge de la création et la mise en place de la politique de sécurité : le Responsable Sécurité des Systèmes d’Information (RSSI), qui a un profil de manageur et de qualiticien. L’autre se charge de l’aspect technique et matériel de l’application de cette politique : l’administrateur réseau. Le Responsable Sécurité des Systèmes d’Information (RSSI). La majorité des grandes entreprises françaises ont mis en place cette fonction. Cela montre une prise de conscience des enjeux de la politique de sécurité. Il est préférable de réserver ces postes à des personnes stables qui font partie de l’entreprise. En effet le turn-over et l’implication de personnes extérieures à l’entreprise, augmentent les chances de divulgation de la politique de sécurité de l’entreprise et par là même, l’affaiblit. La place du RSSI au sein du groupe, dans la maison mère, se justifie par l’importance de posséder une politique commune entre la maison mère et les filiales. Cette centralisation de la gestion de la sécurité, est favorisée par la mise en réseaux du groupe, la mise en place d’architectures communes, et la télémaintenance. Ainsi, on aboutit à la mise en place d’une seule passerelle Internet pour le groupe, qui est alors sous la responsabilité du RSSI. L’administrateur réseau Cette personne a en charge la surveillance du réseau de l’entreprise et l’application des règles de sécurité. Il doit effectuer les mises à jour disponibles pour ses systèmes et être capable de justifier son budget auprès de la direction. Le citoyen La plupart du temps il est victime, de son ignorance et de la désinformation propagée par les média. Malheureusement sa machine non protégée peut servir de base pour des attaques de serveur, ou de terrain fertile pour la propagation des virus. C. Les causes de l’insécurité On peut regrouper les atteintes portées au SI dans les grandes catégories suivantes : ¾ Les actes cupides, tels que l’espionnage industriel. ¾ Les actes d’incivilités, tels que les actes ludiques, vengeurs ou passionnels. ¾ Les actes idéologiques, tels que le terrorisme ou l’activisme. ¾ Les actes stratégiques, tels que l’espionnage ou la désinformation. 1. Les actes cupides Dans cette catégorie, on distingue deux cas : ¾ Dans le premier, l’acte cupide procure des bénéfices directs à la personne ou la société qui commet les faits. C’est le cas des détournements de fonds, des vols de brevet ou de la concurrence déloyale. ¾ Dans le deuxième, le gain est indirect pour l’auteur. C’est le cas d’une perte d’image de marque pour la victime qui se traduit ensuite par un gain de part de marché pour l’auteur. On y trouve également, le vol du fichier clients de l’entreprise cible. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 9 Marc FERRIGNO Figure 2 : Sécuriser les réseaux informatiques français Arbre des causes des actes cupides. On constate, comme on pouvait s’y attendre, que la principale cause des actes à caractères cupides, est « de faire de l’argent ». Mais dans une société libérale et capitaliste cela n’est pas interdit et on ne pourra agir sur cette cause. 2. Les actes d’incivilités Dans cette catégorie, on trouve les actes commis dans le but de s’amuser, les actes passionnels, les actes gratuits ou les actes de vengeance. Figure 3 : Arbre des causes des actes de malveillance. Pour les actes d’incivilités, la cause principale est le manque d’éducation. Cette dernière est, en quelque sorte, la maladie du siècle. Il sera difficile d’agir sur cela dans le cadre de cette étude. Par contre, on pourra très bien traiter les autres qui sont : le besoin d’identité, l’ignorance et le manque d’occupation. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 10 Marc FERRIGNO Sécuriser les réseaux informatiques français 3. Les actes idéologiques Ce sont les actes effectués dans le but de défendre une cause ou une religion. On peut intégrer ici les actes terroristes perpétués à des fins idéologiques. Par contre ceux, commis dans le but de déstabiliser un ordre établi, seront rangés dans les actes stratégiques. Figure 4 : Arbre des causes des actes idéologiques. On retrouve ici le manque d’éducation auquel viennent s’ajouter l’ignorance, les différences de niveaux de vie et l’avidité de pouvoir. Il me semble difficile d’intervenir simplement sur ces deux dernières. Par contre, on agira aisément sur l’ignorance. 4. Les actes stratégiques Ce sont tous les actes d’espionnage, d’écoute, de désinformation, bref « l’info-guerre ». Figure 5 : Arbre des causes des actes stratégiques. Pour les actes à caractère stratégique, on retrouve une fois de plus le manque d’éducation et la conclusion reste la même. L’action se portera plutôt sur le besoin de reconnaissance et sur le maintien de l’ordre. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 11 Marc FERRIGNO Sécuriser les réseaux informatiques français D. Les conséquences Les violations du SI bien que perpétrées par une minorité, ont des conséquences qui retombent sur la majorité. Bien que certains aspects, comme l’augmentation du marché de la sécurité, soient satisfaisants pour l’économie et l’emploi, les conséquences sont majoritairement préjudiciables. 1. Pertes financières Le coût des préjudices liés aux attaques est facile à estimer dans le cas où leurs conséquences sont l’indisponibilité d’un service (exemple : la vente en ligne). Par contre, le temps perdu par les utilisateurs, la perte d’image de marque ou l’insatisfaction client, est beaucoup plus difficile à chiffrer. Figure 6 : Pertes liée à une indisponibilité. Métier Industrie Courtage Finance Carte de crédit Finance Publicité Média Grande consommation Distribution VPC Distribution Réservation aérienne Transport Vente de tickets Media Livraisons Transport Distributeurs Finance Coût d’une heure de panne 6 450 000€ 2 600 000€ 150 000€ 113 000€ 90 000€ 90 000€ 69 000€ 28 000€ 14 500€ © Fiber Channel Association Comme on le constate dans ce tableau, les pertes sont énormes. 2. Perte d’image de marque Quand une société réputée sérieuse se fait pirater son site Web, qu’elle est tournée en ridicule, les conséquences sur son image de marque peuvent être désastreuses. En effet, son sérieux sera remis en question, elle risque de perdre sa clientèle et ses actions boursières d’être dévalorisées. Le préjudice est pire, si en prime elle s’est fait dérober son fichier clients contenant des numéros de cartes bleues. Qui à l’avenir osera lui confier ses références bancaires pour réaliser ses achats ? Si cette société était spécialisée dans la sécurité, qui lui fera de nouveau confiance ? Le temps nécessaire à gommer l’incident risque d’être long… 3. Perte de savoir Les conséquences liées à la fuite d’informations sont énormes pour les sociétés victimes. Perte de parts de marché, si le savoir est dorénavant partagé entre plusieurs sociétés. Si l’information volée est brevetable, elle fait perdre à la victime la possibilité de récupérer le fruit de ses recherches. « Même si le vol de la technologie d'un concurrent vous coûte un demi-million de dollars, cette somme peut ne représenter qu'un dixième du montant que vous aurait coûté le développement de cette technologie » ©"Secrets et Mensonges" de Bruce Schneier. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 12 Marc FERRIGNO Sécuriser les réseaux informatiques français 4. Stagnation du commerce électronique Les risques liés au piratage de cartes bleues en ligne, sont en réalité relativement faibles. Ces risques sont couverts par les assurances bancaires. De plus vous pouvez être victime, sans avoir jamais surfé sur internet. En effet, il est plus facile d’utiliser un générateur de numéro de carte bleue, que de réussir la prouesse d’obtenir un fichier clients sur le Web. Si par malheur, le numéro de carte généré est le vôtre le résultat sera le même. Il vous reste à surveiller vos relevés de compte, et à prévenir la banque dans le délai réglementaire de 1 mois après la date des faits. On voit par contre proliférer les faux sites de commerces. Il faut être prudent avant de fournir son numéro de carte bancaire en ligne. Le mieux est de réaliser ses achats uniquement sur des sites connus, et de préférence dans la communauté européenne. La médiatisation qui est faite au niveau des fraudes, n’encourage pas les gens à faire leurs emplettes en ligne. Résultat : au grand désarroi de tout le monde, le commerce sur le Web à des difficultés à se développer. 5. Renforcement du sentiment d’insécurité La désinformation et la publicité, propagées par les médias, sur les attaques et les problèmes de sécurité du Web, ne font que renforcer le sentiment d’insécurité. Cela conduit à des dépenses en matière de sécurité qui sont surévaluées. Selon le Clusif : 96% des entreprises perçoivent les malveillances comme principale source des sinistres informatiques alors que 40% sont dus à des accidents, 37% à des erreurs et 23% seulement à des malveillances. De plus, souvent, comme l’exemple des Firewalls nous le montre, un faux sentiment de sécurité se met en place au niveau des sociétés. Un Firewall n’est qu’une partie de la chaîne de sécurité à mettre en place et non un remède absolu. 6. Augmentation du marché de la sécurité Les achats de matériels et dernièrement, en matière de services de sécurité, se portent à merveille. Le marché de la sécurité est en plein essor. L’évolution du marché français de la sécurité en millions de francs de 1998 à 2001 est impressionnante : Figure 7 : Le marché français de la sécurité des systèmes d'information de 1998 à 2001 Millions de francs © IDC France 2001 Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 13 Marc FERRIGNO Sécuriser les réseaux informatiques français Sur le marché européen, les produits e-Secure représentent en 2002 1,754 milliards d’€. Les services e-Secure 1,147 milliards, et les produits et services PKI 478 millions d’€ (Source Infonetic Research). Le plus étonnant est que le Temps de Retour sur Investissement (TRI) n’existe pas en matière de sécurité. Une notion nouvelle est apparue pour répondre à ce manque : la notion de perte annuelle escomptée (PAE), qui correspond à un calcul estimé du nombre d'incidents annuels et les pertes par incident. 7. Méfiances pesantes sur la création d’une administration centralisée La généralisation des téléservices a été engagée par le gouvernement en novembre 2001, avec objectif de se terminer en 2005. Dans ce cadre il est prévu la création d’une interface unique entre le citoyen et l’administration. On aboutirait ainsi, à une simplification des démarches administratives par une communication interservices, la suppression des imprimés papier, des longues files d’attente et autres déplacement inutiles. Malheureusement cette mise en place ne peut se faire sans une certitude d’authentification du citoyen accédant à ces données. La question de la validité de ces données risque de se poser, ainsi que la définition des personnes devant y accéder. Ces incertitudes font peser une méfiance de plus en plus croissante sur la centralisation des données administratives. 8. Conséquences judiciaires Il s’est créé un rapprochement entre les services de police des différents Etats. Cette collaboration policière peut être bénéfique pour la lutte contre le crime organisé. Toutefois, il faut rester vigilant quant aux conséquences liées à cette collaboration. En effet les Etats-Unis ont tendance à faire jouer leur poids économique dans les relations pour obtenir tout ce qu’ils désirent. 9. Conséquences réglementaires « Nous changeons de modèle politique. D’une logique démocratique privilégiant le procès, nous passons, avec l’enregistrement systématique, à une logique policière et non démocratique. » ©Sébastien Canevet maître de conférences de droit privé. Le monde informatique 947 S 12 juillet 2002. La logique d’enquête préliminaire sous couvert d’un magistrat, est en train de basculer vers un enregistrement systématique de tous les échanges électroniques. C’est ce qui est mis en place avec la rétention de données. Il n’est plus nécessaire d’être soupçonné pour se retrouver sur écoute. 10. Renforcement des lois « Les dossiers étaient dans les tiroirs. Après les attentats aux Etats-Unis, ils ont pu être montrés et soutenus » ©Alain Weber Ligue des Droits de l’homme. Le monde informatique 947 S 12 juillet 2002. Mai 2002 : un texte approuvé par le G8 à Mont Tremblant (Québec) était en préparation depuis 1999. Il préconise : «Recommandations sur le dépistage des communications Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 14 Marc FERRIGNO Sécuriser les réseaux informatiques français électroniques transfrontalières dans le cadre des enquêtes sur les activités criminelles et terroristes» Après le 11 septembre 2001, les Etats nations ont pu facilement faire adopter un ensemble de mesures visant à renforcer leurs pouvoirs. Les investissements débloqués sont énormes. « George W. Bush a ratifié le Cyber Security Research and Development Act, loi instituant un programme public de recherche en matière de sécurisation des réseaux doté d'un fonds de 880 M$ sur cinq ans. Des centres de recherche sur la lutte contre la cybercriminalité devraient voir le jour sous l'égide de la National Science Fondation (NSF, Fondation nationale des Sciences américaine) et du National Institute of Standard and Technology (Nist, organisme public américain de standardisation). Objectif : former davantage de spécialistes américains de la sécurité des systèmes d'information » ©D.Ca. 02/12/2002 11. Augmentation de l’écart entre le pouvoir et les citoyens « Ce qui nous inquiète le plus : on adopte des mesures précises contre le terrorisme puis on les étend petit à petit à d’autres utilisations » ©Meryem MARZOUKI présidente d’Iris (Imaginons un Réseau Internet Solidaire). Le monde informatique 947 S 12 juillet 2002. Les citoyens ont du mal à se reconnaître dans les politiques, comme le montre les dernière élections. Le fait de prendre des mesures visant à augmenter le pouvoir de l’Etat au détriment du respect du droit à la vie privé, ne va certainement pas arranger les choses. « Etienne DROUARD du cabinet GIDE LOYRETTE NOUEL et ancien chargé de mission à la CNIL, relevait la création de deux nouveaux régimes d’autorisation des traitements informatiques où la CNIL était réduite à un rôle consultatif. Il s’agit là d’une substitution de l’organe décisionnaire » © Le monde informatique 947 S 12 juillet 2002 Le plus surprenant est de remettre en question le rôle d’un organisme comme la CNIL, qui fut mis en place par l’Etat afin de garantir le respect des libertés. Comment ne pas , dans ce cas, augmenter la fracture entre les citoyens et l’organe décisionnaire ? 12. Recul de la démocratie « Des pays comme Cuba ou la Chine pratiquent depuis longtemps la rétention de données préventives, mesure maintenant adoptée par les Etats démocratiques. Dans ces conditions, il devient difficile de faire la leçon aux autorités de Pékin ou d’ailleurs ! » ©R.F. Le monde informatique 947 S 12 juillet 2002. Dernière conséquence et non des moindres : notre crédibilité face aux pays où les droits de l’homme ne sont pas respectés va être diminuée. Les effets de nos décisions politiques ne se bornent pas aux frontières de notre pays. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 15 Marc FERRIGNO Sécuriser les réseaux informatiques français II. De quoi a-t-on besoin ? A. Définition du besoin Nous avons besoin d’un système qui améliore la sécurité des systèmes d’information français reliés à l’Internet, en tenant compte du respect de la souveraineté de l’Etat et du droit des personnes à la vie privée. B. Evaluation du besoin La complexification des Si, la prolifération des attaques et leur complexité, l’augmentation du nombre de trous de sécurité et enfin le niveau des attaquants laissent présumer que le besoin est pérenne. Bien qu’il n’y ait pas de TRI, on constate que les investissements sont là et que la demande est forte. La justification du budget sécurité se fait au travers de la gestion des risques, des contraintes réglementaires et de l’apport métier. Toutefois un système unique ne peut pas répondre aux différents besoins qu’ont une multinationale, une PME, une PMI ou un particulier. Il faut donc que le système s’adapte au niveau de sécurité de la cible. C. Importance et localisation du besoin Différents paramètres vont permettre de mieux cerner le besoin : la taille de l’entreprise, les données qu’elle doit protéger, son ouverture sur le net, sa popularité, mais aussi l’origine des attaques. 1. La taille de l’entreprise. La taille de l’entreprise va conditionner les moyens financiers dont elle dispose pour se protéger. C’est ainsi que les multinationales et les Etats nations, ont des moyens importants et ont déjà été sensibilisés aux problèmes de sécurité. Ils possèdent des personnes dédiées pour la sécurité, et leur politique de sécurité est déjà mise en place ou en passe de l’être. Par contre, les attaquants potentiels de ces dernières, ont aussi des compétences et des moyens en proportion. En effet, il est peu probable que des scripts kiddies puissent inquiéter une multinationale ou un Etat nation. En général leurs soucis principaux viennent des entreprises concurrentes et des autres Etats nations. On, de ce fait, trouve une corrélation entre la taille de l’entreprise et le type d’attaques subies. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 16 Marc FERRIGNO Figure 8 : Sécuriser les réseaux informatiques français Types de problèmes en fonction de la taille de l’entreprise. ©Études et statistiques sur la sinistralité informatique en France Clusif 2001. On constate ainsi que les entreprises de moins de 500 personnes ne sont pas trop concernées par le vol et les attaques logiques ciblées. Par contre, que les virus sont un problème pour tout le monde. 2. Les données à protéger. Les données en matière de sécurité doivent répondre aux critères de : Disponibilité : les données doivent être disponibles au moment où on en a besoin. Intégrité : les données auxquelles on accède doivent pas avoir été modifiées illégalement. Confidentialité : seules les personnes autorisées doivent pouvoir accéder. Le type de données que le mettre en place. Type des Publiques (données données dont la perte est sans importance) Niveau sécurité nécessaire faible SI de l’entreprise contient va dimensionner le niveau sécurité à Sensibles (données nominatives ou à caractère personnel) Confidentielles (découvertes, recherches, numéros de CB, donnée clients) important maximum niveau de classification : «très secret défense», «secret défense», «confidentiel défense». (données stratégiques, armement) maximum On peut également faire une corrélation entre les données susceptibles d’être volées, et le niveau de compétence des attaquants pouvant s’y intéresser. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 17 Marc FERRIGNO Sécuriser les réseaux informatiques français Type des Publiques données (données dont la perte est sans importance) Sensibles (données nominatives ou à caractère personnel) Confidentielles (découvertes, recherches, numéros de CB, donnée clients) Attaquants Script(s) kiddies(s). potentiels Script(s) kiddie(s), hacker(s). Script(s) kiddies(s), hacker(s), employer(s), Etat(s) nation(s), entreprise(s) concurente(s). niveau de classification : «très secret défense», «secret défense», «confidentiel défense». (données stratégiques, armement) Script(s) kiddies(s), hacker(s), employer(s), Etat(s) nation(s), entreprise(s) concurente(s). Les attaquants potentiels et le type de données que l’entreprise possède vont aider à déterminer la probabilité d’apparition d’un problème. 3. Ouverture de l’entreprise sur le net. On constate dans le rapport du Clusif que dans les entreprises, les services liés à l’Internet ne se sont pas développés dans les mêmes proportions. C’est une donnée importante, car elle va intervenir dans la probabilité d’apparition de l’attaque et son type. Pour finir, elle va orienter le type de protection à mettre en place. Figure 9 : Proportion des services Web dans les entreprises. ©Études et statistiques sur la sinistralité informatique en France Clusif 2001. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 18 Marc FERRIGNO Sécuriser les réseaux informatiques français On constate également que le secteur d’activité dans lequel l’entreprise se situe, implique le niveau de dépendance de l’entreprise vis-à-vis de son SI. Figure 10 : Dépendance des entreprises vis-à-vis de leur SI. ©Études et statistiques sur la sinistralité informatique en France Clusif 2001. Ce critère va permettre de déterminer l’impact résultant d’une agression sur l’entreprise. L’impact va dimensionner le niveau de sécurité à mettre en place. 4. Sa popularité. Plus l’entreprise sera importante et populaire, plus les hackers vont s’y intéresser. Il est plus valorisant de s’attaquer et de pénétrer une société très connue et réputée pour ses moyens de sécurité, que de hacker une petite entreprise que personne ne connaît. Il n’y a rien de plus nocif pour la sécurité de son SI que de prétendre que l’on a la meilleure protection du monde. Du coup, si vous êtes populaire vous serez obligés de vous protéger plus que les autres. 5. Importance des attaques La majorité des problèmes proviennent d’erreurs de manipulation ou de défaillance, le pourcentage d’attaques en provenance d’Internet restant relativement faible. Parmi les causes d’indisponibilité du SI des entreprises, on trouve : • Les actes malicieux, à hauteur de 3% • Les problèmes environnementaux 19% • Les erreurs opérationnelles et applicatives 75% (Source : IDC 2001) • Parmi les pénétrations du SI, 85 % environ des attaques exploitent des failles applicatives (source : Lexsi). • Les attaques en plus grand nombre sont dues aux virus. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 19 Marc FERRIGNO Figure 11 : Sécuriser les réseaux informatiques français Importance des attaques. Usurpation d'identité messagerie 90% Destructions internes intentionnelles 80% Attaques virales Vols 70% Espionnage de trame 60% 50% Pannes internes Fraudes 40% 30% 20% 10% Erreurs d’utilisation Attentat 0% Campagne de désinformation (hoax) Fuites internes intentionnelles Attaques logiques (DDOS...) Perte d'informations Perte d'intégrité des données Evènements naturels Usurpation de nom de domaine Erreurs de conception ©rapport Cigref : Sécurité des systèmes d’information septembre 2002. Il faut cependant nuancer ces chiffres en provenance des DSI (Direction des Systèmes d'Information). En effet d’après le Cigref, seules 20% des attaques seraient connues des victimes. « la Brigade française d’enquête sur les fraudes aux technologies de l’information à la Direction de la Police Judiciaire estime que 80 % des attaques ne sont jamais détectées et que seulement 10 % des actes de piratage informatique arrivent à la connaissance des services de police. » ©http://www.ujjef.com 25/06/2002. Les résultats d’une enquête du CSI et du FBI confirment néanmoins la pôle position des attaques virales. Par contre, elle révèle que les plus coûteuses sont les vols d’informations, les fraudes financières et les fraudes téléphoniques. 6. L’origine des attaques L’origine des attaques est aussi à considérer, et là surprise ! Ce sont les employés qui arrivent en tête des sources à problèmes devant les hackers. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 20 Marc FERRIGNO Figure 12 : Sécuriser les réseaux informatiques français Origines des attaques. Salariés (hors informatique) 100% 90% Hackers 80% Personnel informatique 70% 60% 50% 40% Etats Stagiaires 30% 20% 10% 0% Concurrents Prestataires & personnel en régie Clients Fournisseurs métiers Fournisseurs informatiques (hébergeurs...) © Rapport Cigref : Sécurité des systèmes d’information septembre 2002. On comprend mieux à la vue de ces chiffres que la sécurité informatique c’est 20% de matériel et 80% d’humain. Le schéma suivant montre l’origine des attaques (interne, externe, inconnue) en fonction du type d’attaques. Il est intéressant de constater que l’infection des virus trouve son origine en interne et que la divulgation, la fraude et le vol sont d’origine inconnue. Figure 13 : Type d’attaque en fonction son origine. ©Études et statistiques sur la sinistralité informatique en France Clusif 2001. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 21 Marc FERRIGNO Sécuriser les réseaux informatiques français 7. Pour résumer La sécurité informatique c’est 20% de matériel et 80% d’humain, mais le matériel est indispensable. Les solutions proposées devront être en adéquation avec le niveau de confidentialité des données à protéger. Les multinationales et les Etats nations sont sensibilisés à la sécurité informatique, et protégés. Le traitement des problèmes doit tenir compte de l’impact métier. La majorité des problèmes proviennent d’erreurs de manipulation ou des défaillances SI. Le pourcentage d’attaques en provenance d’Internet reste très faible (parmi les attaques 85% exploitent des failles applicatives). Les utilisateurs du SI posent plus de problèmes que les hackers. Les virus sont la première source d’attaque du SI. Seulement 20% des attaques sont connues des victimes. Les données doivent répondre aux critères de : disponibilité, intégrité et confidentialité. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 22 Marc FERRIGNO Sécuriser les réseaux informatiques français III.Les solutions Les solutions s’appliquent à diminuer ou à supprimer le passage entre les causes et le déclenchement des faits, et entre les faits et leurs conséquences. Figure 14 : Un modèle de gestion du risque informatique Dissimulation Dissuasion Information Menace Biens ou actif Palliation Sauvegarde Légende : Protection Surveillance Agression Vulnérabilité Absence de Protection Crainte Inquiétude Dysfonction Détérioration Divulgation Compensation Récupération Dégât Mesures à prendre Pertes Financières Diminution ou suppression Il faut tenir compte, lors de la recherche de solutions des causes formulées dans le chapitre I paragraphe C Les causes, c’est-à-dire l’ignorance, le besoin de reconnaissance, le besoin d’identité, le manque d’occupation, et sur le maintien de l’ordre. L’ignorance et le maintien de l’ordre sont pris en compte par les mesures nommées cidessous. Pour les autres j’ajouterai deux nouvelles mesures, qui sont la canalisation et l’orientation. . On peut regrouper les mesures en trois grandes classes : La prévention : dissimulation, information, dissuasion, canalisation, orientation. La protection : palliation, surveillance, protection. La récupération : sauvegarde, récupération, compensation. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 23 Marc FERRIGNO Sécuriser les réseaux informatiques français A. La prévention 1. Dissimulation D’un point de vue un peu simpliste, la menace ne peut peser sur le bien que si l’on connaît l’existence du bien (security through obscurity). Malheureusement, il faut compter avec le hasard, et le fait que certaines sociétés sont connues et médiatisées. Toutefois, il vaut mieux éviter de faire de la publicité sur un bien ou un actif si cela n’est pas strictement nécessaire. Il existe quelques solutions qui conduisent à dissimuler les données ou les processus d’un système. La stéganographie Le principe est de dissimuler les données importantes, dans un fichier tel qu’un fichier image ou un fichier de musique. La présence des données n’est pas détectable facilement. Encore faut-il soupçonner la présence des données pour les y chercher. Le masquage de disque ou de processus Un ensemble d’utilitaires permet de masquer la présence, de manière réversible, des partitions du disque ou des processus du système. Le formatage non standard Autrefois, utilisé comme protection des jeux et programmes sur disquette, le formatage de disque dans des formats non standards permet de dissimuler, mais aussi d’interdire l’accès aux données. Si le programme d’accès n’est pas disponible, il sera très difficile de les atteindre. La cryptographie n’est pas énoncée comme mesure de dissimulation, bien qu’elle rende illisible les données, car elle ne permet pas d’en dissimuler l’existence. 2. Information La formation est un des points clé de la sécurisation des réseaux. En effet, pour en améliorer la sécurité, tout le monde a un rôle à jouer. Toute personne faisant partie d’un réseau est potentiellement un maillon faible. Il suffit qu’une personne ne connaisse pas les règles de sécurité, pour mettre en péril le réseau tout entier. Par personne j’entends les utilisateurs, les informaticiens et les administrateurs réseaux. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 24 Marc FERRIGNO Sécuriser les réseaux informatiques français 2.1. L’information aux entreprises. L’Etat français L’Etat possède un ensemble de services chargés de la sécurité informatique. Figure 15 : Services de sécurité informatique de l’Etat ©DCSSI Ces services sont bien connus des grandes entreprises qui n’hésitent pas à se servir de leurs ressources, et notamment de faire appel à eux pour sensibiliser leurs employés. Toutefois ces interventions sont chères pour une petite structure, et les PME ne sont pas assez informées de leur existence. L’Internet On trouve de nombreux documents traitant de la sécurité informatique sur l’internet. La plupart des documents, de bon niveau, sont en anglais et beaucoup sont payants et chers. On a aussi la possibilité de s’inscrire sur l’une des nombreuses mailings listes, qui vous fournissent les dernières nouvelles en matière de sécurité informatique (voir annexe A). Normes et méthodes d’analyse de risques et de gestion de risque Il convient de distinguer ici les normes, les méthodes et les guides. En effet, les normes se cantonnent le plus souvent, à des préconisations. Les méthodes quant à elles vont de l’identification des besoins de l’entreprise en matière de sécurité, à la mise en place de moyens de protection et de maintenance, en passant par l’audit de sécurité. Et les guides eux n’ont rien de normalisé, du moins pas encore. Etant donné le nombre de méthodes, de normes disponibles je n’en citerai que les principales. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 25 Marc FERRIGNO Figure 16 : Sécuriser les réseaux informatiques français Les méthodes par origine. Canada : -Information security policy make easy -NSTTI -Manuel canadien de STI -Guides MG1, MG2, MG3, MG4 Royaume-Uni : -CRAMM -BS 7799 -COBRA -RA Software Tool for Risk Management ISO : -Critères Communs -GMITS OTAN : -CM 55-15 -AC/35-D/1006-1027 États-Unis : -BUDDY SYSTEM -COBRA -IAM -IPAK -RISK ANALYSIS & CONTROL -RISKETTES Avertissement : certains de ces outils sont propriétaires ou des marques déposées France : -DSIS -EBIOS -INCAS -MARION -MASSIA -MEHARI -MELISA et MV3 -ORION -PSI Allemagne : -IT BASELINE PROTECTION MANUAL ©DCSSI Les méthodes : Les méthodes de gestion du risque • EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) créée en 1995 et utilisée par l’administration française. Elle est gratuite et diffusée par le SCSSI. Elle a l’avantage d’être facile d’accès et son déroulement est rapide. • MARION (Méthodologie d’Analyse des Risques Informatiques et d’Optimisation par Niveau) créée en 1990. Elle a été abandonnée au profit de MEHARI. • MEHARI (Méthode Harmonisée d’Analyse de Risques Informatiques) créée en 1996. Elle est préconisée par le Clusif et le Cigref. Cette méthode devient une référence, mais elle est longue à dérouler. • MÉLISA fut mise au point par la Direction Générale des Armements DGA en 1984. Elle a été reprise par la société CF6. Elle est maintenant remplacée par MV3. • CRAMM Version 4 (CCTA Risk Analysis and Management Method) créée en 1987 par l’Agence centrale de l’Informatique et des Télécommunications (CCTA) du gouvernement du Royaume-Uni. Elle est basée sur la norme BS 7799-1 (voir pages suivante). • OCTAVE (Operationally Critical Treat and Vulnerability Evaluation) est produite par l’Institut d’ingénierie logiciel de l’université Carnegie Mellon de Pittsburgh aux USA. Cette méthode est soutenue par le CERT. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 26 Marc FERRIGNO Sécuriser les réseaux informatiques français Les méthodes d’audit ou contrôle interne • IPAK (Information Protection Assessment Kit) a été réalisée par le Computer Security Institute (CSI). C’est un questionnaire aidant à faire l’état des lieux de son système de sécurité. Les méthodes globales • COBIT 3ème édition (Control Objectives for information and related technologies) a été créée par l’Information System Audit and Control Foundation. Les normes : • SSE-CMM (System Security Engineering Capability Maturity Model) permet l’évaluation du niveau de sécurité atteint par l’entreprise, créée par International Systems Security Engineering Association (ISSEA). • Les GMITS (ISO/IEC TR 13335) (Guidelines for the management of IT Security) constituée de lignes directrices aidant à la constitution de sa propre méthode. • La norme ISO/IEC 17799 (Code of practice for information security management) c’est un ensemble de bonnes pratiques à connaître en matière de sécurité, issue de la norme britannique BS 7799 Part 1 – 1999. • BS 7799-1 (Code of practice for information security management) et la norme BS 7799-2 (Specification for information security management systems) créée par le BSI. La première est le « quoi faire » et la deuxième le « comment faire ». Ce sont des normes qui font office de référence en la matière. La plupart des autres normes en découle. • Common Criteria for IT Security Evaluations ou ISO 15408. Cette méthode permet de certifier les niveaux de défense procurés par les composantes de sécurité des systèmes d'informations. Les guides • IT Baseline Protection Manual (BSI allemand). • Risk Management Guide for Information Technology Systems, publié par le National Institute of Standards and Technology (NIST) • Special Publication 800-26 et 800-30 du NIST, qui sont respectivement des guides pour l’évaluation de la sécurité et le management du risque. • MG-1 à MG-4 ce sont des guides d’évaluation des risques créés par le gouvernement canadien. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 27 Marc FERRIGNO Sécuriser les réseaux informatiques français 2.2. L’information aux employés. Politique de sécurité Il s’agit ici de décrire clairement les règles afin de savoir : qui définit les procédures, qui les met en place, et qui les contrôle. On emploie le terme de « gouvernance ». Il est judicieux de porter une attention particulière, lors de l’établissement de ces règles. Par exemple, de ne pas désigner de personne à la fois juge et partie. Ces règles doivent faire partie intégrante de la politique de l’entreprise, et tenir compte de la stratégie de la DSI et de l’entreprise. Figure 17 : Matrice des risques. Actes non volontaires Utilisateur Utilisateur non privilégié privilégié Risque Risque Externe faible faible à moyen Risque Risque Interne faible à moyen moyen Actes volontaires Utilisateur non privilégié Risque faible à moyen Risque élevé Utilisateur privilégié Risque élevé ? ©Computer Associates La politique de sécurité doit également définir les règles d’utilisation des outils informatiques, aussi bien pour les utilisateurs que pour les administrateurs. Les règles doivent formaliser l’ensemble des tâches telles que : installation et utilisation des logiciels, démarche de demande de service, droit d’accès aux informations, politique de sauvegarde de données… Elles doivent aussi définir, l’organisation et les responsabilités de chacun dans la politique de sécurité : qui prévenir en cas de problème ? Quel service est compétent pour tel ou tel intervention ? De par l’ensemble des personnes touchées par la politique de sécurité et les contraintes qui en découlent, il est important d’avoir un soutien de la direction. Pour finir, une sensibilisation et une adhésion, de tout le monde à la politique de sécurité est nécessaire. Si une personne faillit à sa tâche, c’est l’ensemble de la sécurité qui peut être mis en péril. 3. Canalisation En France les actes illégaux perpétués par les hackers et les scripts kiddies sont sévèrement punis et c’est normal. Toutefois dans le contexte mondial actuel, il serait bon de ne pas réfréner, mais plutôt d’encourager l’engouement des jeunes pour la sécurité réseau. Cela pourrait se faire à travers : Des Meeting Je pense qu’il faudrait non seulement permettre les réunions de hackers telles qu’il en existe aux Etats Unis (voir defcon : http://www.defcon.org/ et blackhat http://www.blackhat.com/), mais en plus je recommanderai à l’Etat de les chapoter et de les encadrer. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 28 Marc FERRIGNO Sécuriser les réseaux informatiques français Des SitesWeb De même que pour les réunions, la création de sites Web dont le seul but serait de se faire attaquer serait judicieuse. En effet, ils permettraient de canaliser les jeunes. Ils pourraient y trouver une forme de reconnaissance par classement, tout en ne faisant aucun dégât. De plus ces sites pourraient servir de terrain expérimental de test, pour valider des solutions de sécurité. On peut même envisager des moyens de collecter les suggestions ou réaliser des développements collaboratifs, dans le but de faire évoluer la sécurité des réseaux informatiques français. Cela donnerait à chacun l’occasion de s’impliquer dans l’Etat. 4. Orientation Les meeting et les site Web cités plus haut, peuvent être un moyen d’identifier de nouveaux talents, de les orienter ailleurs qu’en prison et de leur éviter ainsi de se retrouver en marge de la société. La formation Les personnes compétentes dans le domaine de la sécurité informatique sont rares. En effet, il n’existe que peu d’écoles en France formant aux métiers de la sécurité informatique : http://www.formation.ssi.gouv.fr/formation/superieure/formfrance.html 5. Dissuasion 5.1. Identification L’identification est un moyen de dissuasion très fort. La plupart des actes de violation de la sécurité informatique sont perpétués sous couvert de l’anonymat. Il est évident que si les hackers et les scripts kiddies étaient identifiés, ils réfléchiraient davantage aux conséquences de leurs actes. Seulement, il y a les problèmes liés au droit à la vie privée. Une fois identifiée, des informations sur vos centres d’intérêt, vos habitudes, vos fréquentations, voire même votre religion, votre sexualité, vos avis politiques peuvent être récoltés, analysés et exploités. L’identification est en cours de déploiement, grâce à la rétention de données au niveau des Fournisseurs d’Accès Internet (FAI). Pour l’instant les cybercafés peuvent encore permettre un surf anonyme, mais pour combien de temps ? De nombreux pays comme la Chine y ont déjà déployé l’identification des surfeurs ou les ont fait fermer. Le gros problème, est que les personnes ayant un niveau suffisant de compétences peuvent continuer à se connecter anonymement. Au niveau de l’entreprise on trouve : Les passwords ou mots de passe : ils doivent être longs de plus de huit caractères, ne pas être dans le dictionnaire et contenir des chiffres et des caractères spéciaux. Il est préférable de ne pas en avoir trop à fournir pour avoir accès à ses ressources informatiques, et éviter de les écrire. Sinon, le mieux est de les stocker sur support physique ou sur serveur, et non sur le poste client, et de les coupler à un annuaire (voir page suivante). SSO ou Single Sign-On ce sont des systèmes qui évite de saisir trop de mots de passe. Il suffit de les coupler avec un support physique, on ne saisi alors qu’un code pin, et l’on peut ainsi avoir accès à de la cryptographie et les apparenter à des systèmes d'authentification forts. La signature électronique : c’est un système basé sur la cryptographie qui permet d’identifier une personne de manière numérique. L’identification peut se faire par échange de Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 29 Marc FERRIGNO Sécuriser les réseaux informatiques français clé dans le cadre d’un système de chiffrement à clé publique ou asymétrique. On peut également utiliser la certification par un tiers de confiance. Il permet dans ce dernier cas, de bénéficier de la non répudiation et d’un contrôle d’intégrité. Toutefois ces systèmes peuvent être sensibles, à une attaque de type passeur de sceaux. Les annuaires : comme Lightweight Directory Access Protocol (LDAP), ils permettent de définir qui et comment on accède à l’information de l’entreprise. Les moyens physiques : La biométrie : elle est basée sur des caractéristiques physiques propres à chaque individu telles que la rétine ou les empreintes des digitales. C’est une solution fiable, à condition qu’elle soit correctement implémentée. Les Cartes à puces, les dongles ou clés : ils servent en tant que support des informations d’identification. Ils ont l’avantage de supprimer les problèmes d’oubli de mots de passe et prennent toute leur dimension quand il y en a plusieurs. Ils permettent l’utilisation de mots plus longs et plus complexes. Ils peuvent être couplés aux badges d’accès et se servir de moyens cryptographiques. Toutefois, ils ne sont pas à l’abri d’être volés ou perdus. Il faut prévoir la désactivation de leurs droits si un de ces deux cas survient. 5.2. Les lois ou la régulation par le haut T.Jefferson: « si un homme est prêt à sacrifier un peu de liberté pour un peu de sécurité, alors il ne mérite ni l’une ni l’autre. » La sécurité doit protéger les personnes, les systèmes et les données. Les personnes dans le sens de l’utilisation non autorisée des fichiers nominatifs, de la violation de la vie privée ou des atteintes portées à l’image de la personne. Les systèmes matériels doivent être protégés du vol, de l’écoute, de l’intrusion, et du sabotage. Les systèmes immatériels doivent conserver leurs confidentialités et leurs intégrités (les données, bases de données, et les logiciels). Le droit d’auteur, le secret défense national, le secret professionnel et le secret des correspondances doivent être préservé. Pour finir, les responsabilités doivent être clairement définies. Les lois existantes englobent tous les aspects cités ci-dessous. Je vous encourage à vous reporter à l’annexe E, si vous n’en êtes pas encore persuadés. a) Les projets de loi Un ensemble de projet de loi ont vu le jour ces dernières années, surtout depuis le 11 septembre, afin de renforcer la sécurité de tous les jours et bien sûr celle des réseaux informatiques. Mai 2002 approbation du document « Recommandations sur le dépistage des télécommunications transfrontalières dans le cadre des enquêtes sur les activités criminelles et terroristes ». La convention du conseil de l’Europe Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 30 Marc FERRIGNO Sécuriser les réseaux informatiques français La convention du conseil de l’Europe du 23/11/01 sur la cyber criminalité, marque une avancée en matière de coopération judiciaire et de poursuite pénale au niveau international. Protection des données à caractère personnel La directive européenne du 24/10/95, le projet de loi 30/01/02 vise à rénover la loi informatique et liberté de 1978. Projet de loi sur la société de l'information (PLSI), n° 3143, déposé le 14 juin 2001. Renvoyé à la commission des affaires culturelles, le projet de loi est devenu caduc à la fin de la onzième législature. Loi n° 2001-1062 du 15 novembre 2001 Loi relative à la sécurité quotidienne (LSQ) Entraîne l’obligation aux opérateurs de télécommunication et aux Fournisseurs d’Accès Internet (FAI) de conserver des données de connexion à des fins policières. Les données doivent être stockées pendant un an. Imaginons un Réseau Internet Solidaire (IRIS) dépose une plainte contre la France, devant la commission européenne. Cette plainte concerne la loi n°2001-1062 du 15 novembre 2001 sur la sécurité quotidienne (LSQ), visant particulièrement son article 29 (conservation des données techniques relatives à une communication, pendant une période pouvant s'étendre jusqu'à un an). Déposée par IRIS le 21 décembre 2001, la plainte a été jugée recevable par la Commission européenne en janvier 2002. Elle est actuellement examinée par la Commission, qui jugera de l'opportunité de saisir ultérieurement la Cour de justice la Communauté Européenne. Loi 2002-1094 29 août 2002 Loi d'orientation et de programmation pour la sécurité intérieure (LOPSI). Le ministre de l’intérieur Monsieur Nicolas SARKOZY a présenté le 10 juillet 2002, le projet de Loi d’Orientation et de Programmation de la Sécurité Intérieure (Lopsi). Page 24 de ce document se trouvent les paragraphes suivants : «Le rapprochement des grands fichiers de police criminelle de la police et de la gendarmerie nationale (STIC, JUDEX) sera favorisé … Le système de traitement uniformisé des produits stupéfiants (fichier STUP) fera l’objet d’un rapprochement entre les bases de données de la police, de la gendarmerie et des douanes sous la forme d’une mise en réseaux des informations détenues par ces trois services… A terme, tous les agents nationale habilités devront avoir accès à toutes les bases documentaires de recherches criminelles liées à la sécurité intérieure.» © lopsi assemblée nationale 11 juillet 2002. « Il sera élaboré un texte permettant aux officiers de police judiciaire, agissant dans le cadre d’une enquête judiciaire, sur autorisation d’un magistrat, d’accéder directement à des fichiers informatiques et de saisir à distance par la voie télématique ou informatique, les renseignements qui paraîtraient nécessaires à la manifestation de la vérité. » © lopsi assemblée nationale 11 juillet 2002. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 31 Marc FERRIGNO Sécuriser les réseaux informatiques français Projet de Loi pour la Sécurité Intérieure (PLSI) de Nicolas Sarkozy Il prolonge les mesures prévues au chapitre V de la LSQ, votées en novembre dernier : • Le fichier national des empreintes génétiques (FNAEG), jusqu'ici réservé aux seules personnes condamnées pour des crimes particulièrement graves, est étendu aux simples suspects. • Le fichage devient sans limitation d'âge. • L'interconnexion des fichiers de police et de gendarmerie est prévue. • L'accès à ces fichiers policiers est étendu aux forces de l'ordre étrangères, aux personnes travaillant dans les secteurs de la sécurité et investies de mission de police administrative. • Il est prévu de ne pas restituer les objets saisis lors d'une procédure pénale. Il n’est pas prévu de remettre les données informatiques que ces objets contiennent. • Le droit de copie privée reconnu par la loi française est remis en cause, par l'élargissement de la notion de contrefaçon aux identifiants électroniques, sous couvert de lutte contre le vol de téléphones portables. • Il est prévu l’installation de systèmes de vidéosurveillance "intelligents". • L'accès est facilité aux fichiers des immatriculations et des permis de conduire. • Pour finir, la LSQ prévoyait d'abroger les mesures d'exception adoptées au 31 décembre 2003, et le PLSI précise que leur abrogation ne pourra avoir lieu avant le 31 décembre 2005. Le 25 octobre 2002, la CNIL s’est autosaisie et a fait connaître sa position sur les dispositions du projet de loi pour la sécurité intérieure, relatives aux fichiers de police judiciaire et au fichier national automatisé des empreintes génétiques. Elle demande que soit respectées, les prérogatives de la loi 78-17 du 06 janvier 1978 relatives aux fichiers nominatifs, et demande qu’une référence explicite y soit faite dans l’article 9 du projet de loi. La CNIL souligne que les conditions d’accès élargis, depuis les besoins d’enquêtes, à des tâches de vérification administratives, sur l’ensemble du territoire risque de faire jouer aux fichiers de police le rôle de casier judiciaire, moins contrôlé. Concernant le fichier d’empreintes génétiques, la CNIL souligne le fait qu’une personne peut se retrouver fichée juste par suspicion d’infraction (visée dans l'article 706-55), et non plus après condamnation. Source : Commission Nationale de l’Informatique et des Libertés (CNIL) http://www.cnil.fr Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 32 Marc FERRIGNO Sécuriser les réseaux informatiques français La Commission Nationale Consultative des Droits de l’homme (CNCDH) a procédé d’office à un examen du projet de loi pour la sécurité intérieure et regrette de n’avoir pas été en mesure, faute de saisine officielle, d’émettre un avis avant l'ouverture des travaux parlementaires. La CNCDH rappelle que la sécurité ne s’oppose pas aux libertés, notamment le respect de la dignité humaine, la liberté d’aller et venir, les droits de la défense, sans lesquelles il n’est pas de véritable sécurité. La « raison plausible » est une notion floue susceptible d’entraîner, au-delà même du contrôle d’identité (article 78-2 du CCP) ou de la visite des véhicules (article 78-2-3 du CCP), la conservation sur un fichier, des empreintes génétiques enregistrées concernant des personnes ayant fait l’objet d’investigations judiciaires par les officiers de police (article 15 706-54 du CCP). La CNCDH avait déjà rejeté cette modification lors de l’examen de la loi du 4 mars 2002. La CNCDH s’interroge sur la portée des dispositions concernant le traitement automatisé d’informations, les personnes auxquelles il s’applique, et généralement la constitution et les conditions de sorties des fichiers. S’ajoutent des préoccupations sur les personnes qui y ont accès. La CNCDH s’étonne que n’ait été retenus, comme cause d’effacement du fichier que les cas de relaxe ou d’acquittement. S’agissant de l’accès au fichier, la CNIL a précisé que le système de traitement des infractions constatées est à la disposition des Officiers de Police Judiciaire habilités, ce qui concernerait environ 40.000 personnes. Si le projet de loi est adopté en l’état, environ 400.000 personnes seraient aptes à solliciter l’accès à cette base de données. La CNIL a rappelé, tout comme la CNCDH, les graves dangers d’atteinte aux libertés individuelles et au respect des droits des personnes résultant de l’utilisation des fichiers de police judiciaire pour les enquêtes et autres tâches administratives. A cet égard, l’utilisation notamment à l’occasion d’embauche est très préoccupante, sous réserve toutefois des embauches dans des emplois liés à la défense et à la sécurité. Il y a donc lieu de limiter les catégories de personnes dépositaires du pouvoir de consultation des fichiers aux seules autorités de police et de justice. Source : Commission Nationale Consultative des Droits de l’homme (CNCDH) http://www.commission-droits-homme.fr Projet de loi pour la confiance dans l’économie numérique (LEN) Art. 43-8 : protection des hébergeurs. Les hébergeurs ne sont mis en cause, que si en ayant pris connaissance du caractère illicite d’informations ou d’activités, ils n’ont pas agit promptement pour en interdire l’accès. Art. 43-11 : pas d’obligation de surveillance, ni de recherche de contenu illicite. Art. 43-13 : obligation de détenir et de conserver les données de nature à identifier, toute personne ayant participé à la création du contenu illicite. Art. L. 32-3-3 : protection des fournisseurs d’accès. Art. 10 et 11 : indentification claire et non équivoque des publicités publiées ou envoyées par voies électroniques. Identification de l’émetteur obligatoire. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 33 Marc FERRIGNO Sécuriser les réseaux informatiques français Art. L. 33-4-1 : interdiction de la prospection directe par moyens automatisés, sans consentement préalable du destinataire. Sauf, s’il y a eu vente ou prestation de service au préalable et si le destinataire a le moyen de s’y opposer. Identification de l’émetteur obligatoire. Article 18-1 : utilisation libre de moyens cryptographiques. Article 18-2 : la fourniture et le transfert dans la Communauté Européenne de moyens de cryptographie, dans un but d’authentification ou de contrôle d’intégrité sont libres. Article 18-3 : la fourniture, le transfert dans la Communauté Européenne, ou l’importation dans un but autre que, l’authentification ou le contrôle d’intégrité est soumis à l’autorisation du premier ministre. Article 19 : la fourniture de prestations en matière de cryptographie, est soumise à déclaration. Article 20 et 21 : responsabilité des prestataires de cryptographie. Ils sont responsables des préjudices causés aux personnes utilisant leurs services, tant qu’ils n’ont pas démontré qu’aucune faute ou négligence n’ont été commises. Art. 323-3-1 : Le fait de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée, conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. « Les dispositions du présent article ne sont pas applicables lorsque la détention, l’offre, la cession et la mise à disposition sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d’information. » 5.3. Les codes de conduite ou la régulation par le bas De nombreux exemples de propositions et de règles conseillant le comportement à avoir sur l’Internet peuvent être trouvées à travers le WEB. Beaucoup de personnes y consacrent du temps et montrent leur implication dans le devenir de la société de l’information et de l’Internet. Ces exemples contiennent des idées vraiment intéressantes et il est regrettable, qu’il n’y ai pas plus de personnes qui participent à cette avancée. Quand l’on parle de régulation par le bas pour l’Internet, on pense Netiquette ou Requests for Comments (RFC) 1855. Cette RFC peut être trouvée à cette adresse (en anglais) : http://www.dtcc.edu/cs/rfc1855.html Une traduction est consultable ici : http://web.ccr.jussieu.fr/ccr/Netiquette.html Ce document fixe un ensemble de règles qu’il convient de respecter, si l’on désire que l’ordre règne sur l’internet. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 34 Marc FERRIGNO Sécuriser les réseaux informatiques français Vous trouverez ci-dessous un ensemble de sites d’Associations militantes pour la régulation par le bas : Association Francophone des Utilisateurs de Linux et des Logiciels Libres (AFUL) : association ayant pour but la promotion des logiciels libres (http://www.aful.org/). Droits et libertés face à l'informatisation de la société (DELIS) : intercollectif veillant au respect de la vie privée et de la confidentialité sur Internet (http://www.delis.sgdg.org/). Global Internet Liberty Campaign (GILC) : coalition militante pour l'application sur l’Internet des libertés publiques et individuelles (http://www.gilc.org/). Globenet : association dont les membres travaillent et militent dans les domaines de la citoyenneté active et de la solidarité internationale (http://www.globenet.org/). Et ci-dessous des associations de défense des libertés : Association Iris http://www.iris.sgdg.org/actions/loi-sec/ Site de défense des libertés http://www.lsijolie.net/lsq/ Libertés immuables http://www.enduring-freedoms.org/rubrique.php3?id_rubrique=4 Fédération Informatique et Liberté http://www.vie-privee.org/ forum des droits sur l’Internet FDI http://www.foruminternet.org/ Reporters sans frontières RSF http://www.rsf.org/ Remarques : Ce site contient un rapport sur les ennemis d'Internet. Ces listes sont loin d’être exhaustives, et l’on peut encore en trouver beaucoup d’autre. B. La protection 1. Palliation 1.1. Gestion du risque Les risques, une fois identifiés, peuvent être sujet d’une évaluation multicritères en fonction de leurs conséquences sur le SI, leur impact sur le métier et la probabilité d’apparition. En fonction de cela, il faudra soit supprimer ces risques (si c’est possible) ou à défaut les gérer du mieux que l’on peut, en les diminuant, en les déplaçant ou en les acceptant. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 35 Marc FERRIGNO Figure 18 : Sécuriser les réseaux informatiques français Gestion du risque. J’accepte le risque Je gère le risque Je transfère le risque Je refuse le risque ©Nortel Networks 1.2. Mises à jour système Ici, on touche à un épineux problème. En effet, la plupart des systèmes d’exploitation ont eu, ont, et auront des failles de sécurité. Ces failles, une fois découvertes, sont publiées sur des sites spécialisés tels que bugtrap. Une fois publiées, elles sont quelques fois corrigées par les éditeurs de systèmes ou de logiciels. Quand on sait que 85% des attaques système exploitent ces failles, on comprend l’importance de les corriger. Toutefois, il convient d’effectuer des tests de non régression, afin d’être sur de ne pas introduire de nouveaux problèmes. Quoi qu’il en soit, la mise à jour est conseillée. Il faut se tenir au courant des mises à jour disponibles. Pour cela, il est préférable de s’inscrire sur un mailing liste d’alerte sûr les failles de sécurité et sur une d’alerte sur les virus. Voici, deux adresses où vous pourrez trouver un ensemble de liens vers des mailing listes : http://online.securityfocus.com/archive, ou sur le site de securite.org : http://www.securite.org/db/securite/information/listes). 1.3. L’utilisation de logiciels libres Ross Anderson, chercheur à l'université de Cambridge a réalisé une étude comparant les logiciels open source (dont le code source du programme est fourni) et les logiciels propriétaires (dont le code est tenu secret). Il a démontré, mathématiquement que les deux systèmes sont comparables en matière de bug (pannes) système. Ce sont en effet ce genre de pannes défaut qui sont exploitées à des fins illicites. Néanmoins il ne faut pas oublier l’avantage notable présenté par les systèmes open source, en matière de correction de ces bugs. En effet en ayant accès au code source, il est relativement facile de réaliser un patch permettant de combler une faille découverte. Dans le cas des systèmes propriétaires il faut attendre le correctif fourni par l’éditeur du logiciel une fois qu’il aura reconnu l’existence de cette faille. L’étude de Ross Anderson semble par contre démentir l’affirmation de la communauté GNU/Linux, selon la laquelle les logiciels a code ouvert sont plus fiables. Mais il n’enlève pas le principal avantage qui est, que la dissimulation de backdoor devient difficile dans des logiciels dont on a le code source. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 36 Marc FERRIGNO Sécuriser les réseaux informatiques français Un exemple de backdoor bien connu a été exploité par un groupe de hacker, le Chaot Computer Club dans leur logiciel Back Orifice, qui permet de prendre le contrôle intégral de Windows 98. Le groupe a toujours affirmé s’être servi de fonctionnalités déjà existantes dans Windows. On peut également citer le bug de la NSA KEY : lors de l’utilisation de moyens cryptographiques sous windows, une copie de la clé utilisée était créée sous le nom de NSA KEY. Les autorités australiennes ont demandé de ménager une backdoor dans les logiciels que leurs éditeurs fournissent. Ces exemples montrent bien que l’utilisation de logiciels propriétaires pose quelques problèmes au niveau de la confiance que l’on peut leur accorder, surtout lorsqu’ils sont fournis par des pays tiers. De son côté, le vice-président de la division Windows de Microsoft, Jim Allchin, a expliqué lors du procès Microsoft, en mai devant le tribunal de Washington : «Plus les créateurs de virus connaissent le fonctionnement des mécanismes antivirus de Windows, plus il leur sera facile de créer des virus ou de désamorcer ou d'attaquer ces mécanismes». Par contre, cette justification, de la dissimulation du code source de Windows n’est pas recevable, au regard de l’étude de Ros Anderson. En effet, les logiciels open source, bien qu’ouverts ne sont pas plus sensibles aux attaques que les logiciels Microsoft. Par contre, Linux est de plus en plus une cible de choix pour les pirates. Une étude de la société anglaise MI2g (http://mi2g.com/cgi/mi2g/press/110702.php) montre que si l’année dernière on constatait une attaque de serveur Linux pour trois attaques de serveur Windows, ce rapport est passé à une pour deux. Cela serait du au manque de maîtrise des administrateurs utilisant Linux. 1.4. L’audit sécurité Il est primordial de vérifier la robustesse du système de sécurité de l’entreprise. Ces tests ou audits doivent de préférence être réalisés par un organisme externe qui ne soit pas impliqué dans la mise en œuvre de la sécurité de l’entreprise. Dans ce cadre, il est toutefois recommandé de faire appel à un organisme compétant et de confiance. Les audits doivent être réalisé de manière contractuelle, afin de protéger à la fois l’auditeur et l’entreprise. A son issue, si des défauts sont constatés, il convient de chercher rapidement des solutions visant à supprimer ou à défaut, à réduire les risques d’exploitation de ses faiblesses par des personnes mal intentionnées. Il existe des logiciels de tests de vulnérabilités tel Nessus : http://www.nessus.org/ ou saint : http://www.saintcorporation.com/ pour system Unix et Linux. Une liste et une description d’outils peuvent être trouvées à cette adresse : http://www.highsecu.net/dossiers/outils_de_securite.php. Malheureusement, la plupart des outils ne marchent que sur Unix. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 37 Marc FERRIGNO Sécuriser les réseaux informatiques français 2. Surveillance 2.1. Monitoring, surveillance réseau Ce sont des outils, qui permettent de surveiller le fonctionnement du réseau. Ils détectent d’éventuelles surcharges, des pannes, voire même des fonctionnements suspects. Vous en trouverez à cette adresse : http://www.netmon.org/tools.htm. Une petite explication complémentaire sur les outils de surveillance réseau libre et en français est disponible à cette adresse : http://www.urec.cnrs.fr/metrologie/html/log_res.html 2.2. Journaux (Log), Traces Les logs, ce sont des fichiers dans lesquels s’enregistrent les évènements qui surviennent sur les réseaux. On peut choisir les évènements à surveiller. Mais, le plus gros problème des fichiers de logs, est qu’ils ont tendance à grossir très rapidement et deviennent difficile à lire ou à analyser. Dans le cas où on enregistre des données sur les agressions portées au SI, il est bon de dissimuler ces fichiers et de les protéger de toutes modifications. Le mieux est de sauvegarder les logs sur des supports non réinscriptibles. Une copie de sauvegarde peut s’avérer nécessaire. 2.3. Sand-Boxing Sand-Boxing : le projet Systrace (http://www.citi.umich.edu/u/provos/systrace/) est un système créé par Niels PROVOS utilisant le principe des Sand-Boxing ou bac à sable. Ce système permet de mieux contrôler l’exécution et les appels système des applications. 2.4. Honey pot Honey pot ou pot de miel : c’est un système permettant de surprendre d’éventuels pirates en leur présentant une faille évidente, mais piégée, afin de détecter leur présence. Le projet Honeyd de Niels PROVOS (http://www.citi.umich.edu/u/provos/honeyd/) en est une illustration. 2.5. Firewalls, Ids, Antivirus « Le secteur de la sécurité a déjà permit la réalisation de substantiels profits. » ©Droit et sécurité des télécommunications de Claudine GUERRIER et Marie-Christine MONGET Le matériel est une partie incontournable de la sécurité. Nous avons vu que la majorité des problèmes sont dus aux virus. C’est donc dans ce sous-chapitre que nous allons voir quelques éléments indispensables de la sécurité. a) Antivirus Les logiciels antivirus sont nombreux et il est donc difficile d’en choisir un. Ils sont la plupart basés sur de la détection de signature. Les signatures sont des portions de code machine caractérisant un virus. Toutefois bien qu’efficace cette technique à deux désavantages. D’abord elle ne permet pas de détecter les nouveaux virus, et il faudra attendre la prise en compte par l’éditeur du logiciel, afin de détecter les nouveaux venus. Le second problème, vient du fait que le nombre de virus augmente continuellement. Du coup, la taille des fichiers de signature, et la taille mémoire nécessaire pour faire fonctionner les logiciels antivirus, ne cessent de croître. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 38 Marc FERRIGNO Sécuriser les réseaux informatiques français On commence à voir apparaître des logiciels dont la détection se base sur les comportements anormaux que l’on retrouve dans les activités des virus. Vous trouverez une liste de vendeur d’antivirus à cette adresse : http://www.virusbtn.com/resources/links/index.xml?ven Et une liste de comparatifs vous aidant à choisir à cette adresse : http://www.av-test.org/sites/tests.php3?lang=fr Il existe des organismes certificateurs : Checkmark : http://www.check-mark.com/cgi-bin/redirect.pl ICSA labs : http://www.icsalabs.com/html/communities/antivirus/certifiedproducts.shtml b) Firewall ou pare-feux Les Firewalls peuvent être logiciels ou matériels. Cet outil permet de verrouiller et de contrôler les accès aux ports de l’ordinateur. Les ports sont des sortes de portes au travers desquelles les informations entrantes (de l’Internet vers votre ordinateur) et sortantes (en provenance de votre ordinateur) passent. Les ports portent des numéros correspondant la plupart du temps à un service. Par exemple le port numéro 80 est réservé pour les données de types Hype-Text Transfert Protocol (HTTP), c'est-à-dire à destination de votre navigateur Web. Le problème réside dans le fait que les Firewalls ouvrent ou ferment des ports, mais peuvent difficilement contrôler le contenu qui passe à travers ces mêmes ports. De même le contrôle est effectuer dans les couches de haut niveau du modèle OSI (modèle conceptuel des réseaux locaux, voir à la fin de l’annexe). Or, les attaques interviennent à des niveaux inférieurs et ne sont pas détectées. Les Firewalls sont de plus en plus couplés avec d’autres produits tels que les antivirus, les IDS et les contrôleurs d’intégrité, ce qui permet à ces solutions de se compléter. Un comparatif des firewalls software peut être trouvé ici : http://www.firewallguide.com/software.htm Les leaders du marché en firewalls matériels : http://www.accessible.ch/securite/offre.htm c) Intrusion Detection System (IDS) ou système de détection d’intrusion Ces systèmes analysent les paquets IP qui passent sur les réseaux, à la recherche de portions codes spécifiques aux attaques. On retrouve ici les mêmes inconvénients que pour les antivirus. Toutefois, ces systèmes sont de plus en plus recommandés comme complément des firewalls. Vous trouverez des informations sur les IDS à cette adresse : http://www.securite.org/db/securite/ids d) Contrôleur d’intégrité Les contrôleurs d’intégrité permettent d’avoir connaissance de la modification des fichiers présents sur le disque dur. Pour y parvenir, ils calculent des valeurs très courtes par rapport à la taille du fichier et uniques pour chaque fichier. Ces valeurs sont ensuite stockées dans un Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 39 Marc FERRIGNO Sécuriser les réseaux informatiques français fichier, auquel le système fera référence lors de la vérification. On trouve des calculs de type Cyclic Redundancy Check (CRC) ou MD5 utilisés pour leur rapidité de calcul. Toutefois lorsque les disques contiennent beaucoup de fichier, l’opération de calcul ou de vérification des clés devient très longue. Pour pallier cela, les éditeurs ont ajouté la possibilité de choisir les fichiers auxquels s’applique la surveillance. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 40 Marc FERRIGNO Sécuriser les réseaux informatiques français Il est à noter que les systèmes possédant des fonctionnalités de mise à jour automatiques, posent un problème supplémentaire. En effet, lors de la mise à jour, un grand nombre de fichiers sont modifiés posant alors le problème de connaître quels fichiers l’ont été légitimement. Mais, ces systèmes sont pratiquement le seul moyen de détecter une infection par un virus de type inconnu. En voici deux très connus : • Avanced Diskinfoscope, on peut le trouver à cette adresse : http://www.adinf.com/ • Tripwire, leader du marché, on peut trouver à cette adresse : http://www.tripwire.com/ et pour la version Opensource : http://sourceforge.net/projects/tripwire. 3. Protection 3.1. Virtual Private Networks VPN ou Réseaux Privés virtuels RPV C’est une solution pour créer des liaisons sécurisées sur Internet Protocol (IP). Les entreprises peuvent ainsi relier à leur intranet les utilisateurs nomades et les télétravailleurs. Deux technologies dominent le marché : Multi-Protocol Label Switching (MPLS) et IP Security Protocol (IPSec). Avec IPSec, toutes les données échangées entre l’entreprise et le télétravailleur sont encryptées. Avec MPLS, les paquets IP, sont marqués et ils contiennent une étiquette qui permet de définir le chemin qu’emprunteront les paquets sur le réseau de l’opérateur. On peut ainsi éviter que les données ne tombent dans de mauvaises mains. Un livre blanc est disponible sur le site de colt telecom : http://www.colt-telecom.fr/presse/acc/evenement/indexipvpn.html. 3.2. La cryptographie a) Généralités La cryptographie est un terme générique, désignant l’ensemble des techniques permettant de crypter un document, c'est-à-dire de le rendre inintelligible. Le message crypté est appelé cryptogramme. L’action qui permet la transformation du message en clair à un cryptogramme s’appelle chiffrement. Pour être de nouveau lisible le cryptogramme devra être déchiffré. Cette opération se nomme déchiffrement. Il est important de préciser que les actions de chiffrement et de déchiffrement s’effectuent à l’aide d’une clé. En effet, lorsque que l’on transforme un message clair en message illisible sans clé, nous avons non pas affaire à une opération de cryptage, mais à un encodage. Cette opération ne fournit aucune protection du document. Le passage d’un cryptogramme à un texte clair, sans utilisation de la clé, fait appel à des techniques de cryptanalyse (ou cassage). On distingue deux types de clés : Les clés symétriques : la clé utilisée pour le chiffrement est la même que celle utilisée pour le déchiffrement. On parle alors de chiffrement symétrique ou de chiffrement à clé secrète. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 41 Marc FERRIGNO Figure 19 : Sécuriser les réseaux informatiques français Systèmes de cryptage à clé secrète Les clés asymétriques: la clé utilisée pour le chiffrement est différente de celle utilisée pour le déchiffrement. On parle alors de chiffrement asymétrique ou de chiffrement à clé publique. Figure 20 : Systèmes de cryptage à clé publique Le problème rencontré avec les algorithmes à clé secrète, est que la clé doit être connue du destinataire. L’étape de fourniture de la clé est un moment critique. La taille des clés diffère entre les solutions à clé secrète et à clé publique. Ainsi, pour avoir l’équivalent d’une clé secrète de 128 bits, il faudra utiliser une clé supérieure à 3072 bits. La cryptographie remplie permet de répondre aux exigences de confidentialité, de non répudiation et d’intégrité des documents, avec en prime l’authentification des correspondants. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 42 Marc FERRIGNO Sécuriser les réseaux informatiques français Pour y parvenir on peut procéder ainsi : Figure 21 : Protocole de cryptage avec non répudiation des données Néanmoins ce système n’est pas infaillible car il est sensible à l’attaque « man in the middle ». Afin d’éviter cette attaque, les clés publiques peuvent être stockées sur un serveur d’une société qui se chargera de garantir l’identité du propriétaire de la clé publique fournie. Ce service est appelé Tiers de confiance. b) Cadre légal C’est le Décret n° 99-200 du 17 mars 1999 qui pose les limites sur la cryptographie. Figure 22 : Synthèse du cadre législatif des moyens et prestations de cryptologie Opérations Fourniture Importation1 Utilisation Applications Confidentialité Authentification Longueur de la clé Signature Intégrité < ou = 40 < ou = 128 > 128 bits bits bits Soumise à Soumise à Soumise à Soumise à déclaration déclaration déclaration autorisation simplifiée Libre Libre Libre2 Soumise à autorisation Libre Libre Libre2 Autorisé3 ©source DCSSI 1 Libre dans tous les cas, si en provenance d’un Etat appartenant à la Communauté européenne ou étant partie à l’accord instituant l’Espace économique européen. 2 A condition, soit que lesdits matériels ou logiciels aient préalablement fait l’objet d’une déclaration par leur producteur, un fournisseur ou un importateur. Soit que lesdits matériels ou logiciels soient exclusivement destinés à l’usage privé d’une personne physique. Sinon, une déclaration d’utilisation personnelle doit être adressée à la DCSSI. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 43 Marc FERRIGNO Sécuriser les réseaux informatiques français 3 A condition que lesdits matériels ou logiciels aient fait l’objet d’une autorisation de fourniture en vue d’une utilisation générale, sinon, une demande d’autorisation d’utilisation personnelle doit être adressée à la DCSSI. c) Produits existants Advanced Encryption Standard (AES) : c’est l’algorithme à clé secrète qui a été choisi par les Etats-Unis, en remplacement du Data Encryption Standard (DES) et du triple DES. L’algorithme qu’il comprend est RJINDAEL. Des clés de 128 ou 256 bits suffisent. Rivest-Shamir-Adleman (R.S.A) : c’est un algorithme à clé publique basé sur la factorisation des nombres premiers. Bien qu’ancien, il est toujours sûr, à utiliser avec des clés de 4096 bits. Socket Secure Layer 3 (SSL3) : utilisé en particulier lors de transactions commerciales, en mode sécurisé "https". Une clé de chiffrement symétrique est générée en local (sur votre PC). Cette clé est transmise au serveur et chiffrée avec la clé publique associée au certificat numérique du serveur. Une fois cette clé transmise, toute la communication, dans les deux sens, est chiffrée avec cette clé. S/MIME : utilisé conjointement au logiciel client de messagerie; permet de signer des messages, ou de recevoir des messages chiffrés. Pretty Good Privacy (PGP) : c’est une sorte de cocktail d’algorithme à clés secrètes et publiques. http://www.pgp.com Gnu Privacy Guard (GnuPG) : la meme chose en libre. http://www.gnupgp.org OpenSSL : http://www.openssl.org, qui permet de créer une Autorité de Certification et de générer des certificats numériques X509. Pegwit : http://www.pegwit.org, est un logiciel de chiffrement de fichiers utilisant AES 224 ou 256 bits et des clés ECC de 233 bits. d) Le futur Cryptographie Quantique : c’est une méthode qui est basée sur la physique nucléaire. Deux particules mises en relation, ici des photons, restent synchronisées quelque soit la distance qui les sépare. Ainsi, lors d’une transmission par fibre optique, si le message est intercepté avant d’arriver à destination, l’expéditeur en est instantanément informé. Bien que cette méthode soit expérimentale une équipe de chercheurs suisses ont réussi à réaliser un échange de deux clés sur une distance de 67 kilomètres. Cet exploit est à relativiser, car aucun amplificateur ou autre relais se trouvait sur la route du faisceau. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 44 Marc FERRIGNO Sécuriser les réseaux informatiques français C. La récupération 1. Sauvegarde 1.1. Mirroring ou duplication de données ou de services Il convient de ne pas mettre tous ses œufs dans le même panier. Des systèmes miroirs, comme les systèmes de disque en Raid permettent en cas de perte d’un disque dur, de ne pas perdre ses données. Pour cela, les données sont dupliquées sur plusieurs disques. Il en va de même pour les services, en cas de défaillance d’un serveur, il est bon d’avoir un autre serveur prêt à prendre le relais. D’ailleurs, il est préférable que les services réseaux soient sur des machines différentes ; en effet, si un attaquant prend le contrôle d’un des serveurs, il n’aura pas la main mise sur tous les services. 1.2. Back-up ou Sauvegarde/ Restauration de données La sauvegarde est indispensable quand on a des données à protéger. Cela va du simple système de sauvegarde du système d’exploitation, au système de sauvegarde multiposte réseau. Quelque soit le système choisi, il est bon de prendre les mêmes précautions qu’en matière de conservation logs. 2. Récupération 2.1. Système à haute disponibilité Un système à haute disponibilité est un système qui comprend un ensemble de mesures permettant à ce dernier, de continuer à fonctionner en cas de problème. Cela comprend des système de duplication de données ou de services, des systèmes de redémarrage automatique, des systèmes à répartition de la charge réseau (Network Load Balancing) et bien d’autre… Ces systèmes existent bien souvent sous forme de cluster (ensemble de plusieurs ordinateurs chargé de se répartir le travail). 3. Compensation Si malgré toutes les protections mises en place, des dégâts ont eut lieu sur votre SI, il ne vous reste plus que les procédures judiciaires et les assurances pour récupérer une part de vos pertes financières. 3.1. Procédures judiciaires Etant donné l’ensemble des lois existantes, si vous avez des preuves portant sur les dégâts subis et l’identité des malfaiteurs, vous pouvez déposer une plainte. Toutefois les procédures sont longues et coûteuses, il convient donc de réfléchir aux conséquences de la plainte et à ses possibles apports. 3.2. Assurances Selon la valeur de vos installations et de vos données, et du niveau de dépendance à l’informatique, il convient de souscrire un contrat d’assurance. Il est bon de rappeler que la sécurité informatique englobe aussi la prise en charge de problèmes tel que le vol, l’incendie et les catastrophes naturelles. Mais, si l’on souscrit plus facilement un contrat d’assurance pour ces derniers cas, on ne pense pas toujours à s’assurer contre les problèmes que peut subir le SI. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 45 Marc FERRIGNO Sécuriser les réseaux informatiques français IV. Recommandations Mes recommandations vont se diviser en deux parties, une partie pour les services gouvernementaux et une partie pour les PME et les particuliers. Les solutions retenues doivent tenir compte des remarques formulées dans le paragraphe « Importance et localisation du besoin ». La sécurité informatique c’est 20% de matériel et 80% d’humain, mais le matériel est indispensable. Les solutions proposées devront être en adéquation avec le niveau de confidentialité des données à protéger. Les multinationales et les Etats nations sont sensibilisés à la sécurité informatique, et protégés. Le traitement des problèmes doit tenir compte de l’impact métier. La majorité des problèmes provient d’erreurs de manipulation ou de défaillances SI. Le pourcentage d’attaques en provenance d’Internet reste très faible (parmi les attaques 85% exploitent des failles applicatives). Les utilisateurs du SI posent plus de problèmes que les hackers. Les virus sont la première source d’attaque du SI. Seulement 20% des attaques sont connues des victimes. Les données doivent répondre aux critères de : disponibilité, intégrité et confidentialité. A. Les services gouvernementaux Les services gouvernementaux ont surtout une action au niveau de la prévention (dissuasion, information, canalisation et orientation). Ils ont un rôle principalement au niveau de la dissuasion avec les lois. Malheureusement, l’information, la canalisation et l’orientation sont peut développés. Information L’Etat possède une infrastructure importante au niveau de la sécurité informatique. Ces services sont bien structurés, mais malheureusement, quand on est débutant dans la sécurité, il est difficile de savoir ou trouver les informations et à qui s’adresser. L’information et la formation aux entreprises L’Etat devrait faire un effort dans Ce sens, en proposant ses services et en allant au devant des entreprises. La sécurité est l’affaire de tous et il serait bon que tout le monde puisse bénéficier des compétences des services publics. Les normes et méthodes d’analyse de risques et de gestion de risques. A ce niveau, l’Etat s’est déjà impliqué, notamment avec la méthode EBIOS, en la mettant à disposition sur le site de la DCSSI. Je ne peux que préconiser de continuer. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 46 Marc FERRIGNO Sécuriser les réseaux informatiques français Dissuasion La régulation par le haut « Une liberté qui n’est pas encadrée par la loi cesse d’être une liberté » ©Dominique SCHNAPPER membre du conseil constitutionnel. Le monde informatique 947 S 12 juillet 2002. « Faut-il accepter l’idée d’un espace Internet à part, avec ses propres lois ? Joël de ROSNAY : Je m’y refuse. Cet espace peut et doit rentrer dans les nomes de la société, sur le plan social, économique ou démocratique. S’il n’y parvient pas, les lois doivent évoluer. » © Joël de ROSNAY docteur ès sciences, directeur de la prospective et de l’évaluation à la cité des sciences et de l’industrie à Paris. Le monde informatique 947 S 12 juillet 2002. Les lois existantes couvrent tous les domaines de la sécurité informatique. Il manque surtout, qu’elles soient appliquées. Les projets de loi qui sont apparus depuis le 11 septembre 2001, ont apporté quelques compléments indispensables, mais surtout ont fait diminuer le respect des droits de l’homme, de la vie privée et des libertés individuelles. Je tiens à mettre en garde l’Etat contre cette orientation. En effet, de nos jours le nombre de personnes se reconnaissant dans la politique du gouvernement, jouant leur rôle de citoyen dans la société, est en grave diminution. Il suffit de regarder le nombre de participants aux élections et la montée des actes d’incivilités pour s’en rendre compte. Il serait judicieux d’inverser cette tendance, en respectant les droits de l’homme et des citoyens en matière de respect de la vie privée ou Privacy et de leur donner un rôle à jouer dans l’amélioration de la sécurité. Indentification « Cela rejoint le débat autour de l’administration électronique. On peut imaginer qu’un identifiant unique extrêmement simple (numéro de sécurité sociale…) pourrait permettre de faire converger mes différentes activités sociales, administratives, commerciales, politiques…note Patrice FLICHY. Avec un aspect inquiétant : celui de dérive vers un Etat policier où l’on sait tout sur vous » © Patrice FLICHY professeur de sociologie à l’université de Marne-La-Vallée. Coauteur, avec le magistrat Pierre TRUCHE et le Préfet Jean-Paul FAUGERE, du rapport « Administration électronique et protection des données personnelles ». Le monde informatique 947 S 12 juillet 2002. Je recommande de poursuivre la création du fichier d’empreintes génétiques et les mesures visant à l’indentification des personnes se connectant sur le net. Toutefois, je recommande d’arrêter le basculement de la loi d’une politique de recherche dans le cadre d’une enquête sous le contrôle de magistrat, à une politique de fichage et de surveillance systématique de tout le monde. Les fichiers de police et de gendarmerie peuvent être mis en commun, mais leur accès ne doit pouvoir se faire que dans un cadre bien précis et bien identifié. Le nombre de personnes y ayant accès doit être faible, et les motifs d’accès doivent être conservés. Les fichiers doivent bénéficier d’une protection exemplaire. Il serait bon que dans le cadre de l’élaboration des lois, l’Etat face participer ses propres services compétents en matière de protection et de protection de la vie privée, telle que la CNIL et CNCDH. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 47 Marc FERRIGNO Sécuriser les réseaux informatiques français La régulation par le bas « Procéder systématiquement à une consultation par l’Internet d’un mois sur tout ou partie des actes réglementaires » « L’ère de la fabrication d’une décision publique imposée est d’ores et déjà révolue » « La co-régulation associe des entreprises des associations et des individus à la prise de décisions par les autorités publiques. Elle permet de poser les termes du débat et d’établir un pacte social selon une construction consensuelle. » ©Isabelle FALQUE-PIERROTIN présidente du forum des droits sur l’Internet FDI Il serait également bénéfique de faire participer les citoyens, à travers des associations tel que IRIS, Fédération Informatique et Liberté, AFUL et bien d’autres…ou des forums tels que FDI. En effet, si déjà la voix des citoyens pouvait être entendue lorsqu’elle s’exprime, peut être d’autres personnes auraient envies de participer au débat, au lieu de baisser les bras. « Joël de ROSNAY : Il va falloir d’autre lois. Mais pas en passant par le haut, c’est-à-dire en imposant des contraintes refusées par les internautes. Ni part le bas, en espérant une autorégulation que le manque de solidarité rend illusoire. Il faudra les deux : des faiseurs de loi d’une part, une co-régulation citoyenne de l’autre. Alors la société avancera. » © Joël de ROSNAY docteur ès sciences, directeur de la prospective et de l’évaluation à la cité des sciences et de l’industrie à Paris. Le monde informatique 947 S 12 juillet 2002. La sécurité des réseaux ne pourra exister, que si la régulation se fait à la fois, par le haut et par le bas, et l’Etat devrait travailler dans ce sens. Protection de la vie privée La protection de la vie privée devrait être un des points de mire de l’Etat. Ce n’est qu’à ce prix que les citoyens pourront se reconnaître dans l’Etat. Il est difficile de faire confiance en un Etat qui ne vous respecte pas. Pour y parvenir une CNIL plus forte et plus décentralisée, plus proche des citoyens serait une bonne mesure à prendre. La cryptographie et secret des correspondances. « La raison d’état n’est pas raisonnable » ©Alain Weber Ligue des Droits de l’homme. Le monde informatique 947 S 12 juillet 2002. « si un homme est prêt à sacrifier un peu de liberté pour un peu de sécurité, alors il ne mérite ni l’une ni l’autre. » ©T. Jefferson. La cryptographie est un des points délicats au niveau de la réglementation. La création de Tiers de confiances étant presque des filiales de l’Etat, ne permettront pas de lever les soupons pesant sur le non respect des correspondances. Il est vrai que la libération totale de la cryptographie est dangereuse pour la souveraineté de l’Etat. Toutefois, comment faire autrement pour protéger nos entreprises et nos citoyens. Je préconiserai quand même la libéralisation de la cryptographie. Il faut également favoriser des initiatives telles que gnupg et openpgp, qui permettent de lever le doute sur d’éventuelles backdoors. La régulation doit se faire, dans l’optique déjà entamée, de fourniture des clés si le besoin s’en fait sentir dans le cadre d’une enquête. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 48 Marc FERRIGNO Sécuriser les réseaux informatiques français Rétention de données Une fois n’est pas coutume, pour la rétention de données je préconiserai l’exemple américain. Prevention Order : un policier américain peut demander à un magistrat, lorsqu’il constate une infraction, de lui délivrer un Prevention order à destination du FAI. Celui–ci est tenu alors de sauvegarder les données demandées et de les fournir plus tard lors de la présentation rogatoire. Cette possibilité serait moins contraignante pour les FAI car les investissements sont beaucoup moins lourds. De plus, elle garantit que le policier accède uniquement aux informations nécessaires à l’enquête, et les informations fournies parviennent en de bonnes mains. Canalisation Tout d’abord, je pense que si l’on occupe les Cyber-criminels, le temps pendant lequel ils seront pris, ils ne l’emploieront pas à commettre des actes illicites. Même si cette remarque peut semblée évidente, il faut se souvenir que les solutions les plus simples sont souvent les meilleures. Ensuite, le fait de donner à ces personnes ce qu’elles demandent, permet également de créer un vivier de futur spécialistes dans la sécurité informatique, et en plus passionnés. Les américains, en sont là à cause de leur premier amendement. Je préconise donc la mise en place de cette canalisation sous deux formes : L’autorisation des Meeting de hacking J’irai même plus loin, une participation financière et une représention discrète, de l’Etat ou des forces de police, seraient des plus bénéfique. Cela deviendrait un lieu d’échange, ou les lois pourront être rappelées, des contacts noués et un premier repérage de personnes compétentes réalisé. Les deux grands meetings internationaux sont, le defcom (http:\\www.defcom.com) et la blackhat partie (http:\\www.blackhat.com). La création de SiteWeb de hacking Là aussi de manière similaire, l’Etat peut mettre en place des sites comprenant des chalenges de hacking, à relever. Cela permettrait de tester si des solutions de sécurité sont viables et de repérer les personnes de talent et leur donnant la possibilité de participer à l’évolution de la sécurité des réseaux. Voici quelques exemples de sites existants : http://www.try2hack.nl/ …. Orientation Dans cette rubrique, je ne peux que recommander de faire connaître les écoles existantes sitées plus haut et d’en créer de nouvelles, afin de répondre à la forte demande actuelle de spécialistes en sécurité. Je tiens également à préciser, que des campagnes d’informations devraient être mises en place pour informer les citoyens. En effet, il a fallu que je réalise ce mémoire, pour découvrir l’existance d’écoles spécialisées dans la formation de futures RSSI. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 49 Marc FERRIGNO Sécuriser les réseaux informatiques français B. Les PME et les particuliers Je vais commencer par définir un niveau de besoin en sécurité en fonction de la valeur des données à protéger, de la dépendance du site vis-à-vis de l’informatique et de la probabilité d’apparition d’un problème. Cela permettra de simplifier le croisement de ces différents paramètres et de pouvoir fournir une réponse, tenant compte de tout à la fois. Confidentialité des données Dépendance Vis a vis de l’informatique Publiques (données dont la perte est sans importance) Sensibles (données nominatives ou à caractère personnel) Confidentielles (découvertes, recherches, numéros de CB, donnée clients) Secrètes (données stratégiques, armement) Faible 1 3 5 6 Modérée 2 4 6 6 Forte 3 5 6 6 Remarques : le niveau choisi n’engage que moi. L’échelle choisie va de 1 à 6, afin d’éviter des choix moyens, et être obliger de choisir. Les niveaux correspondant à la gêne que peut engendrer une perte d’intégrité, une répudiation ou une divulgation des données. 1 : sans importance. 2 : légèrement gênant. 3 : dérangeant. 4 : très dérangeant. 5 : critique. 6 : inadmissible. Niveau de besoin en sécurité 1 2 3 4 5 6 Probabilité d’apparition d’un problème <0.1% 1 1 2 3 4 6 0.1%< et <1% 1 1 2 4 6 6 1%< et <10% 2 2 3 5 6 6 >10% 2 3 4 6 6 6 Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 50 Marc FERRIGNO Sécuriser les réseaux informatiques français Les bases d’un niveau de criticité étant posées, maintenant pour chaque type de mesures, je peux faire une préconisation correspondante, en tenant compte des moyens financiers disponibles. Dans un but de simplification, je ne discernerai que deux catégories, les gros et les petits budgets. Dissimulation. Pour les gros et les petits budgets : Utilisation de la sténographie et le masquage de disque. Et éventuellement dans des cas extrêmes : le formatage non standard. Information. Pour les gros et les petits budgets : Mise en place de l’information aux employés. Pour les gros budgets : Définition de la politique de sécurité avec EBIOS ou Mehari. Le choix doit être fait en fonction de la taille de l’entreprise et du temps disponible pour sa réalisation. Dissuasion Pour les gros et les petits budgets : Définition de mots de passe solides. Utilisation de cartes à puces, les dongles ou clés comme support de ces derniers. Pour les gros budgets : Indentification des employés par la biométrie. Mise en place d’annuaire LDAP ou OpenLDAP Cyber Surveillance des salariés. Palliation Pour les gros et les petits budgets : Mise à jour régulière du système, et application des correctif de sécurité. L’utilisation de logiciels libres. Pour les gros budgets : Mise en place d’une politique de gestion du risque et création d’une cellule de veille. L’audit sécurité en interne ou en externe par société de confiance. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 51 Marc FERRIGNO Sécuriser les réseaux informatiques français Surveillance Pour les gros et les petits budgets Installation d’Antivirus, de Firewall, d’IDS et de moyens de contrôle d’intégrité. Pour les gros budgets : Mise en place de Monitoring, de surveillance réseau, d’analyse de Logs. Utilisation de Sand-Boxing et d’Honey pot. Protection Pour les gros et les petits budgets : Utilisation de GnuPG et OpenSSL. Pour les gros budgets : Mise en place de VPN pour les itinérants. Sauvegarde Pour les gros et les petits budgets : Installation d’un système de Sauvegarde/ Restauration de données Récupération Pour les gros budgets : Mise en place de Système à haute disponibilité et de duplication de données ou de services. Compensation Pour les gros et les petits budgets : Souscrire des Assurances et entamer des procédures judiciaires en cas de gros dégât. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 52 Marc FERRIGNO Sécuriser les réseaux informatiques français Ce tableau de synthèse permet d’y voir un peut plus clair. Niveau de Besoin 1 2 3 4 5 6 Mesures Dissimulation Formation des employés Politique de sécurité Mots de passe solides sur support matériel. LDAP ou OpenLDAP Mise à jour système Utilisation Logiciel libre Cellule de veille, audit Antivirus, Firewall, IDS Monitoring, Logs Cryptographie VPN Sauvegarde Récupération Compensation x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x x Petits budgets (< 1500€) Gros budgets (> 1500€) Remarques : l’orientation et la canalisation ne sont pas dans le tableau ci-dessus car elles ne sont plus du fait de l’Etat. De ce tableau constater et tirer quelques conclusions : • A partir du niveau 3, les gros budgets peuvent déjà déployer presque tout l’arsenal disponible. Le chiffrage de solutions applicables dans ces cas, étant donné le coût de mise en place, ne peut se faire que sur mesure. Il convient de prendre contact avec des sociétés ou personnes expertes en sécurité informatique. • Dans le cas d’utilisation de logiciels libres, des solutions répondant au besoin des niveaux 1 et 2 existent, et sont gratuites. Toutefois si vous utilisez, un système d’exploitation propriétaire, il vous en coûtera environ 45€ pour un ensemble antivirus, firewall et ids tel que la suite « Norton Personal Firewall ». Toutefois là encore, vous pouvez utiliser un firewall tel que « zone alarm » et un ids tel que « snort », qui sont également gratuit pour les particuliers. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page 53 Marc FERRIGNO Sécuriser les réseaux informatiques français V. Conclusion Vous avez pu vous rendre compte, à travers la lecture de ce mémoire, que l’amélioration des réseaux informatiques français, dans le respect de la souveraineté de l’Etat et du droit à la vie privée, est une chose complexe. Les acteurs sont nombreux et les intérêts des uns et des autres divergent. Toutefois, ce n’est qu’à travers un compromis convenant à tout le monde, qu’un niveau de sécurité satisfaisant pourra être atteint. Ce consensus établi, la sécurité des réseaux devra impliquer, l’ensemble des personnes connectées entre elles, dans sa régulation. Nous sommes tous concernés par l’insécurité qui règne sur les réseaux informatiques français. La sécurisation ne pourra se faire que si tout le monde y participe .La régulation doit s’effectuer, par le haut et par le bas, à la fois. Les citoyens doivent s’impliquer, et se reconnaîtrent dans les actions entreprises par l’Etat. Au sein de l’entreprise, la mise en place d’une politique globale de gestion de la sécurité est essentielle. Cette politique doit être en harmonie, avec les activités de l’entreprise et la stratégie choisie par la direction. L’adhésion de cette dernière est primordiale. En dehors des aspects matériels obligatoires, la mise en place de la sécurité passe par un gros travail de communication et d’information des employés. La politique de sécurité doit tenir compte des aspects techniques, organisationnels, humains et économiques. Les compétences nécessaires à sa réalisation sont nombreuses et une vision globale de l’entreprise est impérative. C’est pour cette raison, qu’il est conseillé de confier la mise œuvre et le déploiement de systèmes de sécurité importants à un professionnel ou un spécialiste, sinon vous risquez de perdre beaucoup de temps et d’argent. Il est difficile de remonter des chiffres et des indicateurs sur les problèmes de sécurité. Le problème réside dans le fait, que les attaques externes demeurent majoritairement inconnues des victimes et les victimes n’aiment pas s’étendre sur ce type de problème. Les particuliers doivent eux aussi se protéger, afin que leurs ordinateurs ne servent pas de base pour l’attaque d’autre SI. J’encouragerai fortement les citoyens à s’intéresser aux projets de loi, même si les décrets d’application ne sont pas encore parus. L’absence de réaction des citoyens, équivaut à une adhésion de leur part aux projets de loi. Une fois la loi approuvée et les décrets d’applications publiés, il est trop tard pour une quelconque protestation. Pour finir, je lancerai volontiers le débat sur le brevet logiciel. Ce phénomène est parti des Etats-Unis et a touché l’Europe. Il réduit encore les libertés individuelles, met en danger le monde du logiciel libre, enrichit et assoit un peu plus les monopoles informatiques actuels. Mais, cela est un nouveau sujet de mémoire à lui seul. Marc FERRIGNO Sécuriser les réseaux informatiques français VI. Annexes A. Bibliographie • Halte aux hackers troisième édition, de Suart McClure, Joel Scambray et George Hurtz. Publié aux éditions EOM ISBN 2-7464-0407-9 • Stratégie anti-hackers, de Ryan Russell. Publié aux éditions Eyrolles ISBN 1-928994-15-6 • Droit et sécurité des télécommunications, de Claudine Guerrier et de MarieChristine Monget. Publié aux éditions Springer ISBN 2-287-59679-8 • Sécurité des systèmes d’information, publié par le Club informatique des grandes entreprises françaises (Cigref) en septembre 2002. • Études et statistiques sur la sinistralité informatique en France, publié par le Club de la sécurité des systèmes d'information français (Clusif) en mai 2001. • Computer Crime and Security Survey réalisé conjointement avec le Computer Security Institute (CSI) et le Federal Bureau of Investigation (FBI). • Rapport : Administration électronique et protection des données personnelles. De Patrice FLICHY professeur de sociologie à l’université de Marne-La-Vallée, Le magistrat Pierre TRUCHE et le Préfet Jean-Paul FAUGERE. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page II Marc FERRIGNO Sécuriser les réseaux informatiques français B. Dictionnaires Signification des abréviations AES : Advanced Encryption Standard. CERT : Computer Emergency Response Team. CERTA : Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques. CESI : Centre d’Etudes Supérieures Industrielles. CESTI : Centre d'Evaluation de la Sécurité des Technologies de l'Information. CFSSI : Centre de Formation à la Sécurité des Systèmes d'Information. CIGREF : Club informatique des grandes entreprises françaises. CLUSIF : Club de la sécurité des systèmes d'information français. CNCIS : Commission Nationale de Contrôle des Interceptions de Sécurité. COBIT : Control Objectives for information and related technologies. COCOM : Coordination Committee for Multilateral Export Controls. CRAMM : CCTA Risk Analysis and Management Method. CSI : Computer Security Institute. DCSSI : Direction Centrale de la Sécurité des Systèmes d'Information. DES : Data Encryption Standard. DSIS : Développement de Systèmes d'Information Sécurisés. DTI : Department of Trade and Industry. EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité. FAI : Fournisseurs d’Accès Internet. FBI : Federal Bureau of Investigation FEROS : Fiche d'Expression Rationnelle des Objectifs de Sécurité. GMITS : Guidelines for the Management of IT Security. GnuPG : Gnu Privacy Guard. HTTP : Hype-Text Transfert Protocol. IAM : INFOSEC Assessment Methodology. IP : Internet Protocol. IPAK : Information Protection Assessment Kit. IPSec : IP Security Protocol. IRIS : Imaginons un Réseau Internet Solidaire. ISSEA : International Systems Security Engineering Association. LDAP : Lightweight Directory Access Protocol. LSQ : Loi relative à la Sécurité Quotidienne. MARION : Méthodologie d’Analyse des Risques Informatiques et d’Optimisation par Niveau. MEHARI : Méthode Harmonisée d’Analyse de Risques Informatiques. MPLS : Multi-Protocol Label Switching. NIST : National Institute of Standards and Technology. OCTAVE : Operationally Critical Treat and Vulnerability Evaluation. PGP : Pretty Good Privacy. PLSI : Projet de loi sur la société de l'information. PSI : Politique de Sécurité Interne. PSSI : Politique de Sécurité des Systèmes d'Information. RFC : Requests for Comments. RPV : Réseaux Privées virtuels. R.S.A : Rivest-Shamir-Adleman. RSSI : Responsable de la Sécurité des Systèmes d'Information. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page III Marc FERRIGNO Sécuriser les réseaux informatiques français SCSSI : Service de Contrôle de la Sécurité du Système d’Information. SI : Système(s) d’Information. SSE-CMM : System Security Engineering Capability Maturity Model. SSH : Secure Shell. SSI : Sécurité des Systèmes d'Information. SSL3 : Socket Secure Layer 3. STIC : Système de Traitement des Infractions Constatées. VPN : Virtual Private Networks. Glossaire Bluetooth: technologie de réseaux sans fil développée par Ericsson, lancée en 1994. La portée est supérieure à 10 mètres, la bande de fréquence est 2,4 Ghz avec un débit de 1 Mbits/s. Buffer Overflow ou Dépassement de tampon : l’attaquant dépasse la capacité d’un tampon, en y injectant plus de données que prévu. Le programme plante. Ainsi l’attaquant peut avoir accès au système et y insérer un code malicieux. Backdoor ou Entrée imprévue, trappe : c’est une entrée dérobée, que l’on trouve dans un programme ou un système. Elle a été aménagée volontairement, par erreur de conception ou d’implémentation. Le résultat est le plus souvent le contournement d’une sécurité ou un accès illicite au système. Cracking ou craquer : l’acte de modifier un programme ou un système, dans le but d’obtenir ce que l’on en attend de lui. Cryptanalyse : opérations faites dans le but de transformer un message crypté en message lisible. Ces opérations ont lieu sans avoir connaissance de l’algorithme de cryptographie, ou des clés ayant servies au cryptage du message. Denial of Service (DoS) ou Déni de service : l’attaquant rend le fonctionnement, d’un Automated Information System (AIS) ou système automatique de traitement d’information, impossible ou défaillant. HOME RF: crée par le Home Frequency Working Group qui rassemble Compaq, IBM, Intel et Microsoft. C’est un protocole réseau, dérivé de Wi-Fi, de bien meilleure qualité à usage domestique. Hoax : ce sont de fausses alertes. Elles peuvent prendre par exemple la forme de messages envoyés aux utilisateurs du SI, leur demandant de supprimer un fichier vital pour le fonctionnement du système. Hyperlan 1 & 2: c’est un standard Européen de réseaux sans fil. La bande de fréquences est dans les 5 Ghz avec un débit théorique de 10 Mbits/s dans sa version 1. La version 2 atteint les 54 Mbits/s. Man in the middle ou le passeur de sceaux : l’attaquant se place au milieu de la conversation, entre la victime et par exemple sa banque. Il ne fait que retransmettre les informations circulantes. Il peut ainsi les lire, les modifier à volonté ou les copier. Phreaking : l’art et la science de hacker le réseau téléphonique. Spoofing ou Vol d’identité : l’attaquant se fait passer pour une autre personne, afin de réaliser ses méfaits. Sniffing ou snifer : ici l’utilisateur de cette technique, se sert d’un mode de fonctionnement particulier de la carte réseau. Ce dernier lui permet de capturer tous les paquets d’information circulant sur le réseau. Trojan Horse ou Chevaux de Troie : programme utile apparemment innocent, mais possédant des fonctionnalités cachées. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page IV Marc FERRIGNO Sécuriser les réseaux informatiques français Virus : les virus sont de petits programmes, très bien conçus, qui simulent une sorte de vie artificielle. Leur but principal est de se répandre et de se reproduire le plus vite possible. Leur reproduction se fait au détriment d’autres fichiers du système, qui peuvent être endommagés. Leur prolifération à tendance à ralentir les systèmes parasités, par consommation des ressources. Le plus grave est quand ces virus possèdent du code malicieux, visant à détruire ou à endommager les documents, le système ou même l’ordinateur. WEP: système de sécurité propre à Wi-Fi basé sur une méthode de cryptographie 40bit (peut être étendue à 128bit). Hacking : utilisation non autorisée, ou contournement d’une sécurité d’un système d’information ou d’un réseaux. Wi-Fi: 802.11b Wireless Fidelity est un standard de l’I.E.E.E. normalisé en 1997. C’est une norme de réseau sans fil. La bande de fréquence utilisée par ce standard est de 2,4 Ghz et un débit de 11 Mbits/s. Une autre norme connue 802.11a qui utilise une bande de fréquence de 5 Ghz et un débit de 54 Mbits/s, est elle interdite en Europe. Worm ou vers : programme indépendant se répliquant à travers les réseaux. C’est sa vitesse de réplication et de propagation qui crée la gêne par occupation des ressources. Wardriving : des hackers sillonnent les rues des grandes villes en voiture. Ils scrutent les ondes radio à la recherche des points d’accès de réseaux sans fil, qu’ils répertorient. Ils testent le niveau de sécurité et publient le résultat sur internet. L’accès spécial à des fichiers ou des bases de données : ici il y a pénétration du système et accès illégitime. Le système est une base de données ou un système d’exploitation. L’extension de privilège : l’attaquant arrive, la plupart du temps par des failles systèmes, à étendre les privilèges auxquels il aurait normalement droit. Par exemple, en passant de simple utilisateur à administrateur du système. Le social engineering: l’attaquant se fait passer pour un autre, afin d’avoir des informations auxquelles il n’aurait jamais du avoir accès. Ces attaques sont redoutablement efficaces.. Les attaques de trolls : les trolls sont des gens qui vont sur les forums de discussions et les chats, avec pour seul but de semer le désordre. Comment ? En discutant de sujets qui fâchent, en ridiculisant un de ses membres ou en posant des questions ridicules. Bien que peu dangereux, la gêne est certaine et la perte de temps aussi. Les malwares : sont l’ensemble des systèmes tels que les virus, les vers ou autres espèces du genre, visant à faire le mal. Devant l’abondance des termes employés dans ce document je vous renvoie à ce document de la NSA en anglais : http://www.sans.org/resources/glossary.php et à celui de l’Atrid (une des premières sociétés de services dédiées Opensource en France) en français : http://www.atrid.fr/opensource/glossaire.html Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page V Marc FERRIGNO Sécuriser les réseaux informatiques français C. Adresses Sites traitant de la sécurité informatique International Information Systems Security Certification Consortium http://www.isc2.org/ On trouve sur ce site deux certifications de niveaux de compétences en matière de sécurité informatique. Le Certified Information Systems Security Professional (CISSP) et le Systems Security Certified Practitioner (SSCP). Network Associates http://www.nai.com/ International Systems Security Engineering Association http://www.issea.org/ secuser.com http://www.secuser.com Propose deux mailings listes, une d’information sur la sécurité et un d’alerte. Sans institute (en) http://www.sans.org The ISO 17799 Service & Software Directory http://www.iso17799software.com/ The BS7799 Security Standard http://www.riskserver.co.uk/bs7799/ Mailing liste de bug securityfocus : http://online.securityfocus.com/archive securite.org : http://www.securite.org/db/securite/information/listes Une liste et une description d’outils de sécurité peuvent être trouvées à cette adresse : http://www.highsecu.net/dossiers/outils_de_securite.php. Cahners In-Stat Group http://www.instat.com/index.htm Gartner Group http://www4.gartner.com/Init Liste des trous de sécurité de Microsoft Internet Explorer qui n’ont pas été corrigés. http://www.pivx.com/larholm/unpatched Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page VI Marc FERRIGNO Sécuriser les réseaux informatiques français SSI Vigisafe http://www.vigisafe.com Ibm logiciels Tivoli http://www.tivoli.com Sites défendant les libertés Association Iris http://www.iris.sgdg.org/actions/loi-sec/ Libertés immuables http://www.enduring-freedoms.org/rubrique.php3?id_rubrique=4 Fédération Informatique et Liberté http://www.vie-privee.org/ Site de défense des libertés http://www.lsijolie.net/lsq/ forum des droits sur l’Internet FDI http://www.foruminternet.org/ Reporters sans frontières RSF http://www.rsf.org/ Ce site contient un rapport sur les ennemis d'Internet. Sites gouvernementaux Legifrance : site de diffusion officielle des textes de lois http://www.legifrance.gouv.fr Le journal officiel http://www.journal-officiel.gouv.fr/ Institut national de recherche en informatique et en automatique http://www.inria.fr/ Ministère de la Justice http://www.justice.gouv.fr/ Assemblée nationale lsq http://www.assemblee-nationale.fr/dossiers/securite_quotidienne.asp Fondation Internet nouvelle génération http://www.fing.org Programme d'action gouvernemental pour la société de l'information (PAGSI) Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page VII Marc FERRIGNO Sécuriser les réseaux informatiques français http://www.internet.gouv.fr/francais/index.html Ministère de la justice http://www.justice.gouv.fr/cjn/index.htm On peut y trouver les liens vers les tribunaux de votre région. On peut également faire la demande on-line, de son casier judiciaire national. Commission Nationale Consultative des Droits de l’homme (CNCDH) http://www.commission-droits-homme.fr/ Tribunal de grande instance d’Épinal http://www.tgi-épinal.justice.fr Divers Internet archive http://www.archive.org Ce site aspire les sites Web, dans le but de garder une trace des publications et de l’Internet, comme le fait une bibliothèque pour les livres. Logiciel Back Orifice http://www.cultdeadcow.com/tools/index.html Le monde informatique http://www.weblmi.com Newsgroups : http://www.secuforum.com/ Contient la liste des forums portant sur la sécurité et la vie privée tels que : fr.misc.droit.internet fr.misc.droit Compagnie nationale des experts judiciaires en informatique et techniques associées http://www.cnejita.com/ http://www.securitymanagement.com Code SILEX de l'informatique - Tome 1 http://www.celog.fr/silex/tome1/sommaire.htm Articles de lois liés à l'informatique Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page VIII Marc FERRIGNO Sécuriser les réseaux informatiques français D. Quelques principes de sécurité de sécurité ©stratégie anti-hacker de Ryan Russell chez Eyrolles. 1. La sécurité côté client est inefficace. On entend par client, le poste client par opposition au serveur. 2. Il est impossible d’échanger des clés de cryptage sans partage d’informations. 3. Il est impossible de se protéger à 100% des virus et des chevaux de Troie. 4. Les pare-feu ne protègent pas à 100% des attaques. 5. Les algorithmes cryptographiques secrets ne sont pas fiables. 6. Si aucune clé n’est requise, vous n’êtes pas en présence d’un cryptage mais d’un encodage. 7. Le stockage de mots de passe sur un client n’est jamais fiable, sauf si chaque mot de passe est protégé par un second mot de passe. 8. Pour qu’un système puisse être considéré comme fiable, il doit subir un audit de sécurité indépendant. 9. Le principe de security through obscurity n’est pas valable. On fait allusion ici au principe de non divulgation du principe de sécurité, dans l’espoir d’empêcher la découverte de failles. 10. Les gens croient souvent que les nouveautés sont plus fiables que l’existant. En effet, les logiciels nouveaux, même s’ils corrigent d’anciens bugs, apportent souvent leur lot de problèmes nouveaux. 11. Ce qui est susceptible de poser des problèmes causera des problèmes. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page IX Marc FERRIGNO Sécuriser les réseaux informatiques français E. Les lois ou la régulation par le haut Etant donné le nombre des lois et leur vitesse d’évolution, je me contenterai de n’en citer que les principales qui concernent la sécurité informatique. Je donnerai le sujet auquel elles se rattachent, et la référence de l’article de loi correspondant. Tous ces articles proviennent du site legifrance.gouv.fr. a) Lois générales : « En France c’est le droit administratif et le droit constitutionnel qui sont directement concernés par la sécurité. C’est le droit constitutionnel qui fixe l’organisation des pouvoirs publics. C’est le chef du gouvernement qui est le responsable de l’administration. Et par la même la personne compétente en matière d’autorisation de cryptologie (assisté par la SCSSI), ou habilitée à autoriser des écoutes de sécurité. C’est au droit administratif qui intervient, non seulement dans la préservation de la sécurité publique, mais aussi dans la protection des libertés individuel » ©Droit et sécurité des télécommunications de Claudine GUERRIER et Marie-Christine MONGET Vous trouverez ci-dessous un ensemble d’articles de loi, nécessaires à la compréhension des lois qui sont plus spécifiques à l’informatique. Dans les sections suivantes, vous constaterez que les articles de lois ne se rapportent pas uniquement à l’informatique. En effet le fait que certains méfaits soient commis à travers l’informatique, ne justifie pas de créer une loi spécifique pour les sanctionner. Définition de l’auteur de l’infraction : Article 121-4 du Code pénal en vigueur. Est auteur de l'infraction la personne qui : 1° Commet les faits incriminés ; 2° Tente de commettre un crime ou, dans les cas prévus par la loi, un délit. Définition du complice d’un crime ou délit : Article 121-7 du Code pénal en vigueur. Est complice d'un crime ou d'un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. Est également complice la personne qui par don, promesse, menace, ordre, abus d'autorité ou de pouvoir aura provoqué une infraction ou donné des instructions pour la commettre. En cas d’absence de réglementation : Article 111-3 du Code pénal en vigueur. Nul ne peut être puni pour un crime ou pour un délit dont les éléments ne sont pas définis par la loi, ou pour une contravention dont les éléments ne sont pas définis par le règlement. Nul ne peut être puni d'une peine qui n'est pas prévue par la loi, si l'infraction est un crime ou un délit, ou par le règlement, si l'infraction est une contravention. Limites territoriales d’application, pour un coupable : Article 113-5 du Code pénal en vigueur. La loi pénale française est applicable à quiconque s'est rendu coupable sur le territoire de la République, comme complice, d'un crime ou d'un délit commis à l'étranger si le crime ou le Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page X Marc FERRIGNO Sécuriser les réseaux informatiques français délit est puni à la fois par la loi française et par la loi étrangère et s'il a été constaté par une décision définitive de la juridiction étrangère. Limites territoriales d’application, pour une victime : Article 113-7 du Code pénal en vigueur. La loi pénale française est applicable à tout crime, ainsi qu'à tout délit puni d'emprisonnement, commis par un Français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l'infraction. b) Protection de la vie privée Respect des droits de l’homme, de la vie privée et des libertés individuelles : Article 1 Loi 78-17 06 janvier 1978 en vigueur L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Protection contre les avis sur le comportement humain issu de l’informatique : Article 2 Loi 78-17 06 janvier 1978 en vigueur Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé. Aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé. Droit de connaissance et de contestation des données issue de traitements automatisés : Article 3 Loi 78-17 06 janvier 1978 en vigueur Toute personne a le droit de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés [*droit de communication*]. Déclaration préalable simplifiée : Article 17 Loi 78-17 06 janvier 1978 en vigueur Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la commission nationale de l'informatique et des libertés établit et publie des normes simplifiées inspirées des caractéristiques mentionnées à l'article 19. Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celleci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses responsabilités. Contenu de la déclaration : Article 19 Loi 78-17 06 janvier 1978 en vigueur La demande d'avis ou la déclaration doit préciser : - la personne qui présente la demande et celle qui a pouvoir de décider la création du traitement ou, si elle réside à l'étranger, son représentant en France ; Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XI Marc FERRIGNO Sécuriser les réseaux informatiques français - les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement ; - le service ou les services chargés de mettre en oeuvre celui-ci ; - le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous [*art. 34 à art. 40*] ainsi que les mesures prises pour faciliter l'exercice de ce droit ; - les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux informations enregistrées ; - les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces informations ; - les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations ainsi que leur cession à des tiers ; - les dispositions prises pour assurer la sécurité des traitements et des informations et la garantie des secrets protégés par la loi ; - si le traitement est destiné à l'expédition d'informations nominatives entre le territoire français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet d'opérations partiellement effectuées sur le territoire français à partir d'opérations antérieurement réalisées hors de France. Toute modification aux mentions énumérées ci-dessus, ou toute suppression de traitement, est portée à la connaissance de la commission. Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique. c) La Cyber Surveillance des salariés Le problème qui se pose ici est de maintenir l’équilibre entre le respect de la vie privée et la vie professionnelle au sein de l’entreprise. La surveillance des salariés est permise, mais elle est sujette à : • Une information préalable des salariés • Une consultation du comité d’entreprise et des instances représentatives du personnel. • Un respect du principe de proportionnalité des moyens mis en place. • Une déclaration auprès de la CNIL. Le code du travail précise que l’employeur doit consulter le comité d’entreprise préalablement à la décision de mise en œuvre dans l’entreprise, de techniques de surveillance de l’activité des individus. L’utilisation d’Internet et de la messagerie, font partie de l’activité des individus. De plus, les dispositifs mis en place doivent être justifiés et proportionnels au but recherché. Ce contrôle ne peut être exercé que si le salarié à un comportement suspect. Si l’une des trois obligations ci-dessus n’est pas respectée, le contrôle de la messagerie et des accès au Web est considéré comme une atteinte à la vie privée et au secret de correspondance du salarié. Le travailleur, lui, est tenu en plus d’exécuter son contrat de travail, de ne pas abuser de la messagerie et de l’Internet, sous peine de licenciement pour faute grave. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XII Marc FERRIGNO Sécuriser les réseaux informatiques français d) Protection des données à caractère nominatif Les articles suivants énoncent les sanctions encourues lors du traitement de fichiers ou de données nominatives, sans autorisation préalable. En effet, ce genre de traitement ou de fichiers doit faire l’objet d’une déclaration préalable auprès de la CNIL. Sanctions pour traitement automatique de données nominatives : Article 226-16 du Code pénal en vigueur. Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de trois ans d'emprisonnement et de 45000 euros d'amende. Sanction pour collecte et traitement concernant une personne physique : Article 226-18 du Code pénal en vigueur. Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un traitement d'informations nominatives concernant une personne physique malgré l'opposition de cette personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. En cas de traitement automatisé de données nominatives ayant pour fin la recherche dans le domaine de la santé, est puni des mêmes peines le fait de procéder à un traitement : 1° Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des données nominatives sont recueillies ou transmises de leur droit d'accès, de rectification et d'opposition, de la nature des informations transmises et des destinataires des données ; 2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en l'absence du consentement éclairé et exprès de la personne, ou, s'il s'agit d'une personne décédée, malgré le refus exprimé par celle-ci de son vivant. Sanctions pour manquement à la sécurité des données nominatives : Article 226-17 du Code pénal en vigueur. Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 300000 euros d'amende. e) Secret des correspondances Ces articles protégent le secret de correspondance. Les emails (messages électroniques) sont aussi protégés contre les lectures intempestives. On trouve aussi des articles protégeant des écoutes sur les voies de communication. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XIII Marc FERRIGNO Sécuriser les réseaux informatiques français Le secret de correspondance : Loi 91-646 10 juillet 1991 en vigueur. Le secret des correspondances émises par la voie des télécommunications est garanti par la loi. Il ne peut être porté atteinte à ce secret que par l'autorité publique, dans les seuls cas de nécessité d'intérêt public prévus par la loi et dans les limites fixées par celle-ci. Sanctions de la violation du secret de correspondance : Article 226-15 du Code pénal en vigueur. Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. f) Protection du consommateur Ci-dessous on trouve les articles relatifs à la publicité mensongère. Les actes de commerce sur Internet sont soumis au code de la consommation. Ce dernier protége le client lors d’achats sur des sites de commerce. La publicité mensongère : Article L121-1 du Code de la consommation en vigueur. Est interdite toute publicité comportant, sous quelque forme que ce soit, des allégations, indications ou présentations fausses ou de nature à induire en erreur, lorsque celles-ci portent sur un ou plusieurs des éléments ci-après ; existence, nature, composition, qualités substantielles, teneur en principes utiles, espèce, origine, quantité, mode et date de fabrication, propriétés, prix et conditions de vente de biens ou services qui font l'objet de la publicité, conditions de leur utilisation, résultats qui peuvent être attendus de leur utilisation, motifs ou procédés de la vente ou de la prestation de services, portée des engagements pris par l'annonceur, identité, qualités ou aptitudes du fabricant, des revendeurs, des promoteurs ou des prestataires. Responsabilité de la publicité mensongère : Article L121-5 du Code de la consommation en vigueur. L'annonceur pour le compte duquel la publicité est diffusée est responsable, à titre principal, de l'infraction commise. Si le contrevenant est une personne morale, la responsabilité incombe à ses dirigeants. La complicité est punissable dans les conditions de droit commun. Le délit est constitué dès lors que la publicité est faite, reçue ou perçue en France. g) Protection des logiciels et progiciels En cas de modification de logiciel ou de piratage, là aussi les articles sont nombreux. Définition du droit d’auteur : Article L111-1 du Code de la propriété intellectuelle En vigueur. L'auteur d'une oeuvre de l'esprit jouit sur cette oeuvre, du seul fait de sa création, d'un droit de propriété incorporelle exclusif et opposable à tous. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XIV Marc FERRIGNO Sécuriser les réseaux informatiques français Ce droit comporte des attributs d'ordre intellectuel et moral ainsi que des attributs d'ordre patrimonial, qui sont déterminés par les livres Ier et III du présent code. L'existence ou la conclusion d'un contrat de louage d'ouvrage ou de service par l'auteur d'une oeuvre de l'esprit n'emporte aucune dérogation à la jouissance du droit reconnu par l'alinéa 1er. Définition du droit de jouissance du droit d’auteur : Article L122-6 du Code de la propriété intellectuelle en vigueur. Sous réserve des dispositions de l'article L. 122-6-1, le droit d'exploitation appartenant à l'auteur d'un logiciel comprend le droit d'effectuer et d'autoriser : 1° La reproduction permanente ou provisoire d'un logiciel en tout ou partie par tout moyen et sous toute forme. Dans la mesure où le chargement, l'affichage, l'exécution, la transmission ou le stockage de ce logiciel nécessitent une reproduction, ces actes ne sont possibles qu'avec l'autorisation de l'auteur ; 2° La traduction, l'adaptation, l'arrangement ou toute autre modification d'un logiciel et la reproduction du logiciel en résultant ; 3° La mise sur le marché à titre onéreux ou gratuit, y compris la location, du ou des exemplaires d'un logiciel par tout procédé. Toutefois, la première vente d'un exemplaire d'un logiciel dans le territoire d'un Etat membre de la Communauté européenne ou d'un Etat partie à l'accord sur l'Espace économique européen par l'auteur ou avec son consentement épuise le droit de mise sur le marché de cet exemplaire dans tous les Etats membres à l'exception du droit d'autoriser la location ultérieure d'un exemplaire. Droit à la copie de sauvegarde et droit à modification dans un but d’interopérabilité : Article L122-6-1 Code de la propriété intellectuelle en vigueur. I. Les actes prévus aux 1° et 2° de l'article L. 122-6 ne sont pas soumis à l'autorisation de l'auteur lorsqu'ils sont nécessaires pour permettre l'utilisation du logiciel, conformément à sa destination, par la personne ayant le droit de l'utiliser, y compris pour corriger des erreurs. Toutefois, l'auteur est habilité à se réserver par contrat le droit de corriger les erreurs et de déterminer les modalités particulières auxquelles seront soumis les actes prévus aux 1° et 2° de l'article L. 122-6, nécessaires pour permettre l'utilisation du logiciel, conformément à sa destination, par la personne ayant le droit de l'utiliser. II. La personne ayant le droit d'utiliser le logiciel peut faire une copie de sauvegarde lorsque celle-ci est nécessaire pour préserver l'utilisation du logiciel. III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer. IV. La reproduction du code du logiciel ou la traduction de la forme de ce code n'est pas soumise à l'autorisation de l'auteur lorsque la reproduction ou la traduction au sens du 1° ou du 2° de l'article L. 122-6 est indispensable pour obtenir les informations nécessaires à l'interopérabilité d'un logiciel créé de façon indépendante avec d'autres logiciels, sous réserve que soient réunies les conditions suivantes : 1° Ces actes sont accomplis par la personne ayant le droit d'utiliser un exemplaire du logiciel ou pour son compte par une personne habilitée à cette fin ; 2° Les informations nécessaires à l'interopérabilité n'ont pas déjà été rendues facilement et rapidement accessibles aux personnes mentionnées au 1° ci-dessus ; 3° Et ces actes sont limités aux parties du logiciel d'origine nécessaires à cette interopérabilité. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XV Marc FERRIGNO Sécuriser les réseaux informatiques français Les informations ainsi obtenues ne peuvent être : 1° Ni utilisées à des fins autres que la réalisation de l'interopérabilité du logiciel créé de façon indépendante ; 2° Ni communiquées à des tiers sauf si cela est nécessaire à l'interopérabilité du logiciel créé de façon indépendante ; 3° Ni utilisées pour la mise au point, la production ou la commercialisation d'un logiciel dont l'expression est substantiellement similaire ou pour tout autre acte portant atteinte au droit d'auteur. V. Le présent article ne saurait être interprété comme permettant de porter atteinte à l'exploitation normale du logiciel ou de causer un préjudice injustifié aux intérêts légitimes de l'auteur. Toute stipulation contraire aux dispositions prévues aux II, III et IV du présent article est nulle et non avenue. Limites du droit d’auteur : Article L122-5 du Code de la propriété intellectuelle En vigueur. Lorsque l'oeuvre a été divulguée, l'auteur ne peut interdire : 1° Les représentations privées et gratuites effectuées exclusivement dans un cercle de famille 2° Les copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective, à l'exception des copies des oeuvres d'art destinées à être utilisées pour des fins identiques à celles pour lesquelles l'oeuvre originale a été créée et des copies d'un logiciel autres que la copie de sauvegarde établie dans les conditions prévues au II de l'article L. 122-6-1 ainsi que des copies ou des reproductions d'une base de données électronique; 3° Sous réserve que soient indiqués clairement le nom de l'auteur et la source : a) Les analyses et courtes citations justifiées par le caractère critique, polémique, pédagogique, scientifique ou d'information de l'oeuvre à laquelle elles sont incorporées b) Les revues de presse ; c) La diffusion, même intégrale, par la voie de presse ou de télédiffusion, à titre d'information d'actualité, des discours destinés au public prononcés dans les assemblées politiques, administratives, judiciaires ou académiques, ainsi que dans les réunions publiques d'ordre politique et les cérémonies officielles ; d) Les reproductions, intégrales ou partielles d'oeuvres d'art graphiques ou plastiques destinées à figurer dans le catalogue d'une vente judiciaire effectuée en France pour les exemplaires mis à la disposition du public avant la vente dans le seul but de décrire les oeuvres d'art mises en vente. Un décret en Conseil d'Etat fixe les caractéristiques des documents et les conditions de leur distribution. 4° La parodie, le pastiche et la caricature, compte tenu des lois du genre. 5° Les actes nécessaires à l'accès au contenu d'une base de données électronique pour les besoins et dans les limites de l'utilisation prévue par contrat. Divulgation des moyens de contournement des protections : Article L122-6-2 du Code de la propriété intellectuelle En vigueur. Toute publicité ou notice d'utilisation relative aux moyens permettant la suppression ou la neutralisation de tout dispositif technique protégeant un logiciel doit mentionner que l'utilisation illicite de ces moyens est passible des sanctions prévues en cas de contrefaçon. Un décret en Conseil d'Etat fixera les conditions d'application du présent article. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XVI Marc FERRIGNO Sécuriser les réseaux informatiques français Limites territoriales d’application du droit d’auteur de logiciel : Article L111-5 du Code de la propriété intellectuelle En vigueur. Sous réserve des conventions internationales, les droits reconnus en France aux auteurs de logiciels par le présent code sont reconnus aux étrangers sous la condition que la loi de l'Etat dont ils sont les nationaux ou sur le territoire duquel ils ont leur domicile, leur siège social ou un établissement effectif accorde sa protection aux logiciels créés par les nationaux français et par les personnes ayant en France leur domicile ou un établissement effectif. h) Protection des systèmes informatiques Ci-dessous, se trouvent les articles plus spécifiques qui encadrent la pénétration de système informatique ou loi Godfrain. Vous pourrez constater que ces articles, malgré les évolutions informatiques ne prennent pas une ride. Sanctions pour l’accès frauduleux : Article 323-1 du Code pénal en vigueur. Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30000 euros d'amende. Sanctions pour entrave au fonctionnement : Article 323-2 du Code pénal en vigueur. Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45000 euros d'amende. Sanctions pour la modification de base de données : Article 323-3 du Code pénal en vigueur. Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende. Sanctions pour la tentative : Article 323-7 du Code pénal en vigueur. La tentative des délits prévus par les articles 323-1 à 323-3 est punie des mêmes peines. Sanctions pour atteinte au matériel ou aux données : Article 411-9 du Code pénal en vigueur. Le fait de détruire, détériorer ou détourner tout document, matériel, construction, équipement, installation, appareil, dispositif technique ou système de traitement automatisé d'informations ou d'y apporter des malfaçons, lorsque ce fait est de nature à porter atteinte aux intérêts fondamentaux de la nation, est puni de quinze ans de détention criminelle et de 225000 euros d'amende. Lorsqu'il est commis dans le but de servir les intérêts d'une puissance étrangère, d'une entreprise ou organisation étrangère ou sous contrôle étranger, le même fait est puni de vingt ans de détention criminelle et de 300000 euros d'amende. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XVII Marc FERRIGNO Sécuriser les réseaux informatiques français Sanctions pour espionnage : Article 413-10 du Code pénal en vigueur. Est puni de sept ans d'emprisonnement et de 100000 euros d'amende le fait, par toute personne dépositaire, soit par état ou profession, soit en raison d'une fonction ou d'une mission temporaire ou permanente, d'un renseignement, procédé, objet, document, donnée informatisée ou fichier qui a un caractère de secret de la défense nationale, soit de le détruire, détourner, soustraire ou de le reproduire, soit de le porter à la connaissance du public ou d'une personne non qualifiée. Est puni des mêmes peines le fait, par la personne dépositaire, d'avoir laissé détruire, détourner, soustraire, reproduire ou divulguer le renseignement, procédé, objet, document, donnée informatisée ou fichier visé à l'alinéa précédent. Lorsque la personne dépositaire a agi par imprudence ou négligence, l'infraction est punie de trois ans d'emprisonnement et de 45000 euros d'amende. i) Fournisseurs de service Hébergeurs Les hébergeurs sont responsables du contenu publié. Modérateurs Les modérateurs des forums sont responsables de ce qui est publié. Obligation est faite de conserver une copie de tous les messages envoyés dans les forums thématiques pendant huit jours pour satisfaire au droit de réponse (loi n° 82-652 du 29 juillet 82 art.6 alinéa 1). Fournisseurs d’accès Les Fournisseurs d’Accès Internet (FAI) sont tenus d’être capable de fournir le nom et l’adresse de la personne physique ou morale aux autorités si elles en font la demande. Le statut de transporteur oblige les FAI à ne pas lire les informations à caractère personnel, mais le faits qu’ils aient la possibilités de filtrer l’information, les rend responsable des publications effectuées par leur biais. Une fois informé d’une infraction il se doit d’intervenir. Ils ne sont pas responsables pour les actes qu’ils ne peuvent pas contrôler : accès distant, propagation de virus,… j) Protection de l’ordre public «La liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui : ainsi, l'exercice des droits naturels de chaque homme n'a de bornes que celles qui assurent aux autres membres de la société la jouissance de ces mêmes droits. Ces bornes ne peuvent être déterminées que par la loi.» © Déclaration des droits de l'homme et du citoyen, Article IV « La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre à l'abus de cette liberté dans les cas déterminés par la Loi.». © Déclaration des droits de l'homme et du citoyen, Article XI En France, la prise de connaissance n’est pas sanctionnée. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page Marc FERRIGNO Sécuriser les réseaux informatiques français Par contre, la responsabilité du contenu de l’expression incombe à l’auteur. Ici, sont regroupés un ensemble d’articles qui s’appliquent partout et pas seulement à l’internet. Incitation aux crimes et délits : Article 23 de la loi 29 juillet 1881 en vigueur Seront punis comme complices d'une action qualifiée crime ou délit ceux qui, soit par des discours, cris ou menaces proférés dans des lieux ou réunions publics, soit par des écrits, imprimés, dessins, gravures, peintures, emblèmes, images ou tout autre support de l'écrit, de la parole ou de l'image vendus ou distribués, mis en vente ou exposés dans des lieux ou réunions publics, soit par des placards ou des affiches exposés au regard du public, soit par tout moyen de communication audiovisuelle, auront directement provoqué l'auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d'effet [*sanctions*]. Cette disposition sera également applicable lorsque la provocation n'aura été suivie que d'une tentative de crime prévue par l'article 2 du code pénal [* article(s) abrogé(s), cf. article(s) 1214 et 121-5 du nouveau code pénal *]. L’incitation à la haine raciale : Article 24 de la loi du 29 juillet 1881 en vigueur Seront punis de cinq ans d'emprisonnement et de 45000 euros d'amende [* taux *] ceux qui, par l'un des moyens énoncés à l'article précédent, auront directement provoqué, dans le cas où cette provocation n'aurait pas été suivie d'effet, à commettre l'une des infractions suivantes : 1° Les atteintes volontaires à la vie, les atteintes volontaires à l'intégrité de la personne et les agressions sexuelles, définies par le livre II du code pénal ; 2° Les vols, les extorsions et les destructions, dégradations et détériorations volontaires dangereuses pour les personnes, définis par le livre III du code pénal. Ceux qui, par les mêmes moyens, auront directement provoqué à l'un des crimes et délits portant atteinte aux intérêts fondamentaux de la nation prévus par le titre Ier du livre IV du code pénal, seront punis des mêmes peines. Seront punis de la même peine ceux qui, par l'un des moyens énoncés en l'article 23, auront fait l'apologie des crimes visés au premier alinéa, des crimes de guerre, des crimes contre l'humanité ou des crimes et délits de collaboration avec l'ennemi. Seront punis des peines prévues par l'alinéa 1er ceux qui, par les mêmes moyens, auront provoqué directement aux actes de terrorisme prévus par le titre II du livre IV du code pénal, ou qui en auront fait l'apologie. Tous cris ou chants séditieux proférés dans les lieux ou réunions publics seront punis de l'amende prévue pour les contraventions de la 4° classe. Ceux qui, par l'un des moyens énoncés à l'article 23, auront provoqué à la discrimination, à la haine ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une race ou une religion déterminée, seront punis d'un an d'emprisonnement et de 45000 euros d'amende [* taux *] ou de l'une de ces deux peines seulement [*lutte contre le racisme sanctions*]. En cas de condamnation pour l'un des faits prévus par l'alinéa précédent, le tribunal pourra en outre ordonner : 1° Sauf lorsque la responsabilité de l'auteur de l'infraction est retenue sur le fondement de l'article 42 et du premier alinéa de l'article 43 de la présente loi ou des trois premiers alinéas de l'article 93-3 de la loi n° 82-652 du 29 juillet 1982 sur la communication Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XIX Marc FERRIGNO Sécuriser les réseaux informatiques français audiovisuelle, la privation des droits énumérés aux 2° et 3° de l'article 131-26 du code pénal pour une durée de cinq ans au plus ; 2° L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par l'article 131-35 du code pénal. Message à caractère pédophile : Article 227-23 du Code pénal en vigueur. Le fait, en vue de sa diffusion, de fixer, d'enregistrer ou de transmettre l'image ou la représentation d'un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de trois ans d'emprisonnement et de 45000 euros d'amende. Le fait de diffuser une telle image ou représentation, par quelque moyen que ce soit, de l'importer ou de l'exporter, de la faire importer ou de la faire exporter, est puni des mêmes peines. Les peines sont portées à cinq ans d'emprisonnement et à 75000 euros d'amende lorsqu'il a été utilisé, pour la diffusion de l'image ou de la représentation du mineur à destination d'un public non déterminé, un réseau de télécommunications. Le fait de détenir une telle image ou représentation est puni de deux ans d'emprisonnement et [*taux*] 30000 euros d'amende. Les dispositions du présent article sont également applicables aux images pornographiques d'une personne dont l'aspect physique est celui d'un mineur, sauf s'il est établi que cette personne était âgée de dix-huit ans au jour de la fixation ou de l'enregistrement de son image. Message à caractère pornographique ou violent : Article 227-24 du Code pénal en vigueur. Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine, soit de faire commerce d'un tel message, est puni de trois ans d'emprisonnement et de 75000 euros d'amende lorsque ce message est susceptible d'être vu ou perçu par un mineur. Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables. Sanctions contre les personnes physiques pour message à caractère raciste non public : Article R624-5 du Code pénal en vigueur. Les personnes coupables des infractions définies aux articles R. 624-3 et R. 624-4 encourent, outre les peines d'amende prévues par ces articles, les peines complémentaires suivantes. : 1° L'interdiction de détenir ou de porter, pour une durée de trois ans au plus, une arme soumise à autorisation ; 2° La confiscation d'une ou de plusieurs armes dont le condamné est propriétaire ou dont il a la libre disposition ; 3° La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XX Marc FERRIGNO Sécuriser les réseaux informatiques français Sanctions contre les personnes morales pour message à caractère raciste non public : Article R624-6 du Code pénal en vigueur. Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies aux articles R. 624-3 et R. 624-4. Les peines encourues par les personnes morales sont : 1° L'amende, suivant les modalités prévues par l'article 131-41 ; 2° La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit. Violation d’image d’une personne : Article 226-8 du Code pénal en vigueur. Est puni d'un an d'emprisonnement et de 15000 euros d'amende le fait de publier, par quelque voie que ce soit, le montage réalisé avec les paroles ou l'image d'une personne sans son consentement, s'il n'apparaît pas à l'évidence qu'il s'agit d'un montage ou s'il n'en est pas expressément fait mention. Lorsque le délit prévu par l'alinéa précédent est commis par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables. k) La responsabilité pénale Les responsabilités pénales du système d’information, se déplacent du PDG vers la DSI et le RSSI par délégation. La personne qui reçoit la délégation doit avoir la compétence, l’autorité et les moyens nécessaires pour exercer cette délégation. Dans le cas d’externalisation des tâches, il y a aussi des lois relatives aux contrats. Le législateur fixe quatre conditions à la validité d’un contrat : le consentement, la capacité de contracter, un objet certain et une cause licite. Les contrats peuvent être annulés : les causes de nullités sont dites absolues ou relatives. Les contrats sont dits onéreux. Le délit de manquement à la sécurité du système d’information est mentionné dans : Responsabilité pénale des personnes morales : Article 121-2 du Code pénal en vigueur. Les personnes morales, à l'exclusion de l'Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7 et dans les cas prévus par la loi ou le règlement, des infractions commises, pour leur compte, par leurs organes ou représentants. Toutefois, les collectivités territoriales et leurs groupements ne sont responsables pénalement que des infractions commises dans l'exercice d'activités susceptibles de faire l'objet de conventions de délégation de service public. La responsabilité pénale des personnes morales n'exclut pas celle des personnes physiques auteurs ou complices des mêmes faits, sous réserve des dispositions du quatrième alinéa de l'article 121-3. Sanctions contre des personnes morales : Article 226-7 du Code pénal en vigueur Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l'article 121-2, des infractions définies à la présente section. Les peines encourues par les personnes morales sont : Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XXI Marc FERRIGNO Sécuriser les réseaux informatiques français 1° L'amende, suivant les modalités prévues par l'article 131-38 ; 2° L'interdiction, à titre définitif ou pour une durée de cinq ans au plus, d'exercer directement ou indirectement l'activité professionnelle ou sociale dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise ; 3° L'affichage ou la diffusion de la décision prononcée, dans les conditions prévues par l'article 131-35. Responsabilité pénale des personnes physiques : Article 121-3 du Code pénal en vigueur. Il n'y a point de crime ou de délit sans intention de le commettre. Toutefois, lorsque la loi le prévoit, il y a délit en cas de mise en danger délibérée de la personne d'autrui. Il y a également délit, lorsque la loi le prévoit, en cas de faute d'imprudence, de négligence ou de manquement à une obligation de prudence ou de sécurité prévue par la loi ou le règlement, s'il est établi que l'auteur des faits n'a pas accompli les diligences normales compte tenu, le cas échéant, de la nature de ses missions ou de ses fonctions, de ses compétences ainsi que du pouvoir et des moyens dont il disposait. Dans le cas prévu par l'alinéa qui précède, les personnes physiques qui n'ont pas causé directement le dommage, mais qui ont créé ou contribué à créer la situation qui a permis la réalisation du dommage ou qui n'ont pas pris les mesures permettant de l'éviter, sont responsables pénalement s'il est établi qu'elles ont, soit violé de façon manifestement délibérée une obligation particulière de prudence ou de sécurité prévue par la loi ou le règlement, soit commis une faute caractérisée et qui exposait autrui à un risque d'une particulière gravité qu'elles ne pouvaient ignorer. Il n'y a point de contravention en cas de force majeure. Promotion FI18 C.E.S.I. Aquitaine Poitou Charentes Page XXII