Sécuriser Les Réseaux Informatiques

Transcription

Remerciements
Marc FERRIGNO
Sécuriser les réseaux informatiques français
Préface
Ce document est un mémoire de fin d’études pour l’obtention du diplôme d’ingénieur. Sa
réalisation, outre le fait de répondre à la demande du CESI Aquitaine Limousin PoitouCharentes, m’a apporté une vision globale de la sécurité des réseaux informatiques et de la
législation en vigueur dans ce domaine. D’autre part, ce mémoire est conçu dans le but de
servir de petit guide à destination des PME et aux particuliers qui ne sont pas tous sensibilisés
aux problèmes de sécurité.
Ce document contient une recommandation sur un ensemble de mesures qu’il serait bon de
mettre en place, afin d’augmenter la sécurité des réseaux informatiques français, et la
participation du citoyen dans l’Etat français.
Ce mémoire m’a permis d’appréhender le métier de Responsable de la Sécurité des Systèmes
d'Information (RSSI) auquel je me destine.
Enfin, je tiens à préciser que dans ce document, il y a beaucoup de termes en langue anglaise.
Je fournis, s’il est utilisé, l’équivalent en français ou à défaut une explication de son sens.
Toutefois, les mots anglais sont ceux utilisés par les personnes impliquées dans la sécurité
informatique et il est préférable de les connaître.
Promotion FI18
C.E.S.I. Aquitaine Poitou Charentes
Marc FERRIGNO
Sommaire
I.
Analyse de la problématique.................................................................... 3
A. Quelques chiffres clés .................................................................................................... 3
B. Quelques définitions....................................................................................................... 4
1.
Généralités.................................................................................................................. 4
2.
Les attaques ................................................................................................................ 5
3.
Les acteurs de la sécurité réseau ................................................................................ 6
C. Les causes de l’insécurité............................................................................................... 9
1.
Les actes cupides........................................................................................................ 9
2.
Les actes d’incivilités ............................................................................................... 10
3.
Les actes idéologiques.............................................................................................. 11
4.
Les actes stratégiques ............................................................................................... 11
D. Les conséquences ......................................................................................................... 12
1.
Pertes financières...................................................................................................... 12
2.
Perte d’image de marque.......................................................................................... 12
3.
Perte de savoir .......................................................................................................... 12
4.
Stagnation du commerce électronique ..................................................................... 13
5.
Renforcement du sentiment d’insécurité.................................................................. 13
6.
Augmentation du marché de la sécurité ................................................................... 13
7.
Méfiances pesantes sur la création d’une administration centralisée....................... 14
8.
Conséquences judiciaires ......................................................................................... 14
9.
Conséquences réglementaires .................................................................................. 14
10. Renforcement des lois .............................................................................................. 14
11. Augmentation de l’écart entre le pouvoir et les citoyens ......................................... 15
12. Recul de la démocratie ............................................................................................. 15
II.
De quoi a-t-on besoin ? ........................................................................... 16
A. Définition du besoin ..................................................................................................... 16
B. Evaluation du besoin .................................................................................................... 16
C. Importance et localisation du besoin............................................................................ 16
1.
La taille de l’entreprise............................................................................................. 16
2.
Les données à protéger............................................................................................. 17
3.
Ouverture de l’entreprise sur le net. ......................................................................... 18
4.
Sa popularité............................................................................................................. 19
5.
Importance des attaques ........................................................................................... 19
6.
L’origine des attaques .............................................................................................. 20
7.
Pour résumer ............................................................................................................ 22
III.
Les solutions............................................................................................. 23
A. La prévention................................................................................................................ 24
1.
Dissimulation ........................................................................................................... 24
2.
Information............................................................................................................... 24
3.
Canalisation.............................................................................................................. 28
4.
Orientation................................................................................................................ 29
5.
Dissuasion ................................................................................................................ 29
B. La protection ................................................................................................................ 35
1.
Palliation................................................................................................................... 35
2.
Surveillance.............................................................................................................. 38
3.
Protection ................................................................................................................. 41
C. La récupération............................................................................................................. 45
1.
Sauvegarde ............................................................................................................... 45
Promotion FI18
Marc FERRIGNO
2.
3.
IV.
A.
B.
V.
VI.
A.
B.
C.
D.
E.
Récupération............................................................................................................. 45
Compensation........................................................................................................... 45
Recommandations................................................................................... 46
Les services gouvernementaux..................................................................................... 46
Les PME et les particuliers........................................................................................... 50
Conclusion................................................................................................ 54
Annexes ..................................................................................................... II
Bibliographie................................................................................................................. II
Dictionnaires ................................................................................................................ III
Adresses ....................................................................................................................... VI
Quelques principes de sécurité de sécurité................................................................... IX
Les lois ou la régulation par le haut .............................................................................. X
Table des illustrations
Figure 1 :
Figure 2 :
Figure 3 :
Figure 4 :
Figure 5 :
Figure 6 :
Figure 7 :
Figure 8 :
Figure 9 :
Figure 10 :
Figure 11 :
Figure 12 :
Figure 13 :
Figure 14 :
Figure 15 :
Figure 16 :
Figure 17 :
Figure 18 :
Figure 19 :
Figure 20 :
Figure 21 :
Figure 22 :
Un modèle du risque informatique......................................................................... 4
Arbre des causes des actes cupides. ..................................................................... 10
Arbre des causes des actes de malveillance. ........................................................ 10
Arbre des causes des actes idéologiques. ............................................................. 11
Arbre des causes des actes stratégiques. .............................................................. 11
Pertes liée à une indisponibilité............................................................................ 12
Le marché français de la sécurité des systèmes d'information de 1998 à 2001 ... 13
Types de problèmes en fonction de la taille de l’entreprise. ................................ 17
Proportion des services Web dans les entreprises................................................ 18
Dépendance des entreprises vis-à-vis de leur SI. ............................................. 19
Importance des attaques. .................................................................................. 20
Origines des attaques........................................................................................ 21
Type d’attaque en fonction son origine............................................................ 21
Un modèle de gestion du risque informatique ................................................. 23
Services de sécurité informatique de l’Etat...................................................... 25
Les méthodes par origine. ................................................................................ 26
Matrice des risques........................................................................................... 28
Gestion du risque.............................................................................................. 36
Systèmes de cryptage à clé secrète................................................................... 42
Systèmes de cryptage à clé publique................................................................ 42
Protocole de cryptage avec non répudiation des données ................................ 43
Synthèse du cadre législatif des moyens et prestations de cryptologie............ 43
Promotion FI18
Marc FERRIGNO
Introduction
Dans un climat international morose, où la croissance est faible et la concurrence de
plus en plus forte, la société de l’argent semble approcher de sa fin. Mais qui pourrait bien lui
succéder ? Les citoyens de cette société sont de plus en plus individualistes, et ils ne semblent
travailler ensemble que dans un intérêt commun. Aussi, il est de plus en plus difficile de
mobiliser les citoyens, même pour des causes d’Etat, dans lesquelles ils ne se reconnaissent
pas.
Je pense que la société se transforme en société de l’individu. Actuellement la richesse d’un
pays, d’une entreprise, ne se toise plus uniquement sur ses moyens financiers. Le Taylorisme
ne suffit plus. Ce sont les citoyens, les employés, de par leurs compétences et leurs
implications qui font la richesse d’une entreprise et d’une nation. Mais quelle est la valeur de
ces compétences ? Est-elle mesurable ? Sait-on la mesurer ? On pourrait l’estimer à travers sa
perte, son vol, dus au « turn-over » ou à l’espionnage industriel, son éventuelle récupération
par un tiers et la valeur ajoutée qu’elle lui amène.
Dans ce monde, l’informatique occupe une place primordiale. Elle prend la forme d’outils qui
permettent d’automatiser et d’accélérer les créations, de capturer, de remonter et d’analyser
l’information. Mais surtout, l’informatique sert de stockage des compétences et du savoir faire
des entreprises. Elle met en relation les hommes quelque soit la distance qui les sépare. Le
réseau mondial Internet relie tous les hommes entre eux.
Les sociétés ont tout de suite vu ce réseau comme le moyen de vendre davantage, plus vite et
à plus de monde. De plus, elles peuvent grâce au réseau, centraliser leur savoir entre toutes
leurs filiales à travers le monde. Mais dans ce monde tout réseau, la concurrence devient
mondiale ; On parle de guerre économique.
Comment garantir que l’information si précieuse, ne soit pas détruite ou ne tombe en de
mauvaises mains ?
Dans ce contexte, où tout semble pouvoir être informatisé et interconnecté, la concurrence
farouche d’intérêts, des entreprises et des Etats nations, place au premier rang la sécurité
informatique. L’accès à certaines informations dites sensibles doit être garantie, tout en étant
restreint à un nombre limité de personnes autorisées et dûment authentifiées. L’intégrité des
informations stockées doit être maintenue.
L’accès au réseau Internet est aujourd’hui quasiment à la porté de toutes les bourses. Tous les
internautes sont des acheteurs potentiels, mais bien qu’en très grand nombre, ces derniers ont
peur de faire leurs achats en ligne, pourquoi ? Peut être, qu’un contact immatériel avec le
produit ne leur suffit pas ? Mais n’est ce pas plutôt par peur du piratage informatique de leurs
moyens de paiement.
En effet, avec l’Internet il n’apparaît pas que des clients et des personnes avides
d’information. On trouve aussi des Hackers, qui sont capables de prouesses incroyables sur le
réseau. Ils semblent pourvoir passer à travers les murs de protection des entreprises, escroquer
de l’argent, détourner les informations que l’on trouve à travers la toile de leur objectif
originel. Qui sont-ils ? Des dieux, des terroristes? Non ! Des enfants d’après les médias.
Mais que fait l’Etat, la police ? L’Etat met en place des lois, surveille, s’assure que toutes les
personnes accédant au réseau soit identifiées. Malheureusement depuis l’attentat du 11
septembre 2001 aux Etats-Unis, un ensemble de lois sont passées dans l’urgence pour
sécuriser les réseaux. Elles semblent s’attaquer aux droits de tout homme d’avoir un peu de
vie privée et d’intimité. Comble de tout cela, la menace de piratage, d’après les médias, est
Promotion FI18
Page 1
Marc FERRIGNO
toujours omniprésente. Est-ce simplement de la désinformation ? Les lois et les moyens
considérables mis en place par l’Etat et les entreprises, ne seraient ils pas suffisant ? Ces lois
ont-elles pour but, d’asseoir la souveraineté de l’Etat ? Peut-être serait-il possible de respecter
à la fois, les droits de l’homme et la souveraineté de l’Etat ? Et cet équilibre une fois atteint,
ne pourrait-on pas sécuriser les réseaux informatiques français ?
C’est afin d’apporter des réponses à ces questions que j’ai choisi comme problématique pour
ce mémoire :
Comment améliorer la sécurité des réseaux informatiques français afin de respecter, à la
fois la souveraineté de l’Etat et le droit à la vie privée ?
Je vais dans un premier temps, faire une analyse de cette problématique. De là, je formulerai
et je ciblerai le besoin de sécurité des réseaux informatiques français.
Par suite, je listerai et comparerai un ensemble de mesures et de moyens, mis en place par les
Etats et les entreprises, visant à améliorer la sécurité.
Pour finir, je fournirai des recommandations en réponse à ce besoin.
Promotion FI18
Page 2
Marc FERRIGNO
I. Analyse de la problématique
A. Quelques chiffres clés
•
•
•
•
•
•
•
•
•
•
Il y a actuellement 1 milliard d’ordinateurs qui ont été vendus dans le monde, 168
millions en Europe et 11,9 millions en France.
385 millions d’ordinateurs sont connectés à l’Internet, avec un trafic qui doublerait
tous les 3 mois (Source : Nielsen/Netrating 2002).
Le nombre d’atteintes portées aux Systèmes d’Information (SI) est passé de 9859 en
1999, à 21756 en 2000 et à 52658 pour 2001 (Source : CERT/CC).
Une attaque chaque minute (source : EADS Telecom 2002).
Sur le marché français en 2001, le montant des préjudices s'est élevé à 14 milliards
d’euros (source : Gartner Research).
Le nombre de trous de sécurité répertoriés ou avis est passé de 25 en moyenne par
semaine en 2000, à 37 en 2001, et proche de 45 pour 2002. Soit près de 9 avis par jour
ouvré.
40% c’est le chiffre de réseaux sans fil mals, voir pas du tout sécurisés, à Paris-CnitLa Défense (source : cabinet Cahners Group).
55,4 % des serveurs Secure Shell (SSH) présents sur le réseau européen, sont encore
vulnérables à une faille parue il y a maintenant 8 mois (source : SSI Vigisafe).
2,5 millions de matériels Wi-Fi ont été vendus au 4éme trimestre 2001, rien qu’aux
Etats-Unis (source : cabinet Cahners Group)
La fraude en ligne sur les sites français de e-commerce s’élève de 1,37 million d’euros
pour 2001, contre 0,24 million d’euros pour 2000 (Source : Fia-Net).
On constate au vu de ces quelques chiffres, que la situation peut sembler critique, et ne
semble pas s’améliorer. Le nombre d’ordinateurs connectés à l’Internet est en forte
croissance. Le nombre d’incidents a doublé l’année dernière. Le nombre de failles de sécurité
découvertes chaque jour est en augmentation de 21% cette année. Et pour finir, le coût de la
fraude a été multiplié par 6. Toutefois, il convient de se méfier de ces chiffres. En effet, les
sources sont multiples, le détail des méthodes et des estimations qui ont été faites ne sont pas
fournies.
Aussi mises à part quelques citations ponctuelles, je m’appuierai sur deux principaux rapports
publiés chaque année :
• Sécurité des systèmes d’information, publié par le Club informatique des grandes
entreprises françaises (Cigref) en septembre 2002.
• Études et statistiques sur la sinistralité informatique en France, publié par le Club de la
sécurité des systèmes d'information français (Clusif) en mai 2001.
Il existe un autre rapport très populaire qui vient d’être publié, c‘est le Computer Crime and
Security Survey réalisé conjointement avec le Computer Security Institute (CSI) et le Federal
Bureau of Investigation (FBI). Mais, comme mon étude se limite volontairement à la France,
les chiffres présentés dans ce rapport ne sont pas représentatifs de la tendance française.
Dans un premier temps, je vais fournir un ensemble de définitions de mots, qui vont permettre
de mieux se comprendre. Elles porteront sur les types d’attaques et les acteurs de la sécurité
informatique.
Marc FERRIGNO
B. Quelques définitions
1. Généralités
Voici une schématisation du déroulement d’une attaque portée au Système d’Information (SI).
Figure 1 :
Un modèle du risque informatique
Engendre
Engendre
Biens ou
actif
Menace
Crainte
Inquiétude
Vulnérabilité
Agression
Dysfonction
Détérioration
Divulgation
Absence de
Protection
Dégât
Pertes
Financières
Causes
Faits
Conséquences
Tout d’abord une menace naît de la présence d’un bien ou d’un actif. Cette menace, de par
son existence, engendre des craintes et des inquiétudes.
Cette menace pourra se concrétiser en agression. Cela n’est possible que s’il existe des
vulnérabilités dans le SI. Cette dernière va engendrer des dysfonctionnements, des
détériorations ou la divulgation de services ou de données.
Si le SI n’est pas protégé, des dégâts vont apparaître. Et ceux-ci vont occasionner des pertes
financières.
Actif ou bien : information ou composant d’un système, qui possède une valeur ou un intérêt.
Il conviendra donc de le protéger.
Menaces : la menace est définie dans la norme ISO-7498-2-89, comme une violation
potentielle de la sécurité. La norme ISO-7498-2-89, distingue quatre types de menace :
¾ Menace accidentelle : menace d'un dommage non intentionnel envers le Système
d’Information (SI).
¾ Menace intentionnelle ou délibérée : menace de modification non autorisée et
délibérée de l'état du système.
¾ Menace passive : menace de divulgation non autorisée des informations, sans que
l'état du système soit modifié.
¾ Menace physique : menace qui pèse sur l'existence même et sur l'état physique du
SI.
Vulnérabilités : sont des faiblesses ou des failles du SI qui pourraient être exploitées pour
obtenir un accès non autorisé.
Promotion FI18
Page 4
Marc FERRIGNO
Risque : le risque est un danger plus ou moins probable auquel est exposé le SI. Il est
fonction de la menace et des vulnérabilités.
Agression : attaque portée au système, qu’elle soit réussie ou non.
Dégât : pertes irrécupérables de services ou de données.
2. Les attaques
La liste des attaques qui se trouve ci-dessous n’est pas exhaustive, car elle ne cesse de
s’allonger jour après jour. Néanmoins les nouvelles attaques sont le plus souvent, des
améliorations, ou des couplages de ces différentes techniques.
Hacking : utilisation non autorisée, ou contournement d’une sécurité d’un système
d’information ou d’un réseau.
Cracking ou craquer : l’acte de modifier un programme ou un système, dans le but d’obtenir
ce que l’on attend de lui.
Cryptanalyse : opérations faites dans le but de transformer un message crypté en message
lisible. Ces opérations ont lieu sans avoir connaissance de l’algorithme de cryptographie,
ou des clés ayant servi au cryptage du message.
Phreaking : l’art et la science de hacker le réseau téléphonique.
Spoofing ou Vol d’identité : l’attaquant se fait passer pour une autre personne, afin de
réaliser ses méfaits.
Sniffing ou snifer : ici l’utilisateur de cette technique, se sert d’un mode de fonctionnement
particulier de la carte réseau. Ce dernier lui permet de capturer tous les paquets
d’information circulant sur le réseau.
Buffer Overflow ou Dépassement de tampon : l’attaquant dépasse la capacité d’un tampon,
en y injectant plus de données que prévu. Le programme plante. Ainsi l’attaquant peut
avoir accès au système et y insérer un code malicieux.
Backdoor ou Entrée imprévue, trappe : c’est une entrée dérobée, que l’on trouve dans un
programme ou un système. Elle a été aménagée volontairement, par erreur de conception
ou d’implémentation. Le résultat est le plus souvent le contournement d’une sécurité ou un
accès illicite au système.
Denial of Service (DoS) ou Déni de service : l’attaquant rend le fonctionnement, d’un
Automated Information System (AIS) ou système automatique de traitement
d’information, impossible ou défaillant.
Virus : les virus sont de petits programmes, très bien conçus, qui simulent une sorte de vie
artificielle. Leur but principal est de se répandre et de se reproduire le plus vite possible.
Leur reproduction se fait au détriment d’autres fichiers du système, qui peuvent être
endommagés. Leur prolifération a tendance à ralentir les systèmes parasités, par
consommation des ressources. Le plus grave est quand ces virus possèdent du code
malicieux, visant à détruire ou à endommager les documents, le système ou même
l’ordinateur.
Trojan Horse ou Chevaux de Troie : programme utile apparemment innocent, mais
possédant des fonctionnalités cachées.
Worm ou vers : programme indépendant se répliquant à travers les réseaux. C’est sa vitesse
de réplication et de propagation qui crée la gêne par occupation des ressources.
Man in the middle ou le passeur de sceaux : l’attaquant se place au milieu de la
conversation, entre la victime et par exemple sa banque. Il ne fait que retransmettre les
informations circulantes. Il peut ainsi les lire, les modifier à volonté ou les copier.
L’accès spécial à des fichiers ou des bases de données : ici il y a pénétration du système et
accès illégitime. Le système est une base de données ou un système d’exploitation.
Promotion FI18
Page 5
Marc FERRIGNO
L’extension de privilège : l’attaquant arrive, la plupart du temps par des failles systèmes, à
étendre les privilèges auxquels il aurait normalement droit. Par exemple en passant de
simple utilisateur à administrateur du système.
Le social engineering: l’attaquant se fait passer pour un autre, afin d’avoir des informations
auxquelles il n’aurait jamais du avoir accès. Ces attaques sont redoutablement efficaces.
Et quatre petites nouvelles :
Hoax : ce sont de fausses alertes. Elles peuvent prendre par exemple la forme de messages
envoyés aux utilisateurs du SI, leur demandant de supprimer un fichier vital pour le
fonctionnement du système.
Wardriving : des hackers sillonnent les rues des grandes villes en voiture. Ils scrutent les
ondes radio à la recherche des points d’accès de réseaux sans fil, qu’ils répertorient. Ils
testent le niveau de sécurité et publient le résultat sur internet.
Les attaques de trolls : les trolls sont des gens qui vont sur les forums de discussions et les
chats, avec pour seul but de semer le désordre. Comment ? En discutant de sujets qui
fâchent, en ridiculisant un de ses membres ou en posant des questions ridicules. Bien que
peu dangereux, la gêne est certaine et la perte de temps aussi.
Les malwares : sont l’ensemble des systèmes tels que les virus, les vers ou autres espèces du
genre, visant à faire le mal.
3. Les acteurs de la sécurité réseau
On retrouve ici deux grandes catégories d’acteurs, ceux qui attaquent les SI et ceux qui se
défendent. Néanmoins la limite n’est pas aussi claire dans la pratique. En effet on constate,
que les responsables de problèmes de sécurité les plus cités par les entreprises, sont bien sûr
les hackers, mais surtout les employés. De plus, on sous-estime le rôle des Hackers dans le
développement, le test et l’avancement des technologies de sécurité. On peut aussi remarquer,
que bien qu’étant dans le rôle du défenseur, les Etats nations et les entreprises sont souvent
ignorés comme attaquant des systèmes informatiques de l’entreprise.
Etat(s) nation(s)
Les Etats nations interviennent à différents niveaux. Ils interviennent dans la protection des
entreprises et des citoyens, et ont un rôle de régulation. Ils doivent également conserver leur
souveraineté, qui parfois est en contradiction avec certaines mesures de protection telle que la
cryptologie. Ils espionnent également les autres Etats nations, et là on retrouve par exemple la
limitation à l’exportation de technologies telles que les supercalculateurs et les moyens
cryptographiques.
Le Hacker ou débrouillard (se prononce hackeur)
Le hacker est avant tout un débrouillard en informatique. On
entend par là, quelqu’un qui s’acharne à atteindre un but, à
résoudre un problème, la plupart du temps sans l’aide de
personne. Originaire du monde Unix, il maîtrise ce système et
arrive à en faire à peu près ce qu’il en veut. De par ses
compétences système et réseaux, il est le mieux placé, pour
sécuriser ou pénétrer un système.
Promotion FI18
Page 6
Marc FERRIGNO
Les hackers peuvent être répartis en trois catégories :
9 Black hat : Ceux sont « les méchants ». Ce sont des hackers qui pénètrent un
système ou un réseaux, dans un but mal intentionné.
9 White hat : Ceux sont « les gentils ». Ce sont aussi des hackers, mais ils pénètrent
les réseaux dans un but d’apprentissage ou d’audit, en étant autorisé ou invité par
la victime. Les hackers aiment se situer dans cette catégorie.
9 Grey hat : Comme on peut le supposé tout n’est pas noir et tout n’est pas blanc.
Le terme de grey hat est donc apparu.
Quoi qu’il en soit seuls les pratiquants, méritent l’appellation de hacker.
Où les hackers dérangent le plus, c’est dans la recherche des failles de sécurité. En effet, ils
mettent au grand jour des défauts de programmation ou de conception, voire même des
défauts placés intentionnellement ou Backdoor. Mais en plus, ils divulguent le résultat de
leurs investigations, c’est ce que l’on appelle la transparence ou Full-Disclosure. Les éditeurs
se trouvent alors dans l’obligation de corriger leurs erreurs. Mais, même s’ils font avancer le
niveau de qualité des réalisations des logiciels et des systèmes, diminuer le nombre de
Backdoor, ils nuisent à l’image de marque des sociétés. Et c’est précisément ce dernier point
qui dérange.
Le cracker ou casseur de code de programme (se prononce crackeur)
Cette dénomination est employée à tord par les journalistes à sensations, pour nommer les
personnes qui pénètrent les systèmes informatiques avec de mauvaises intentions. En fait, les
crackers sont des personnes qui recherchent des failles, dans les protections des logiciels
commerciaux. Ils sont capables de lire le langage machine, et de produire un patch ou
correctif, qui permet de contourner la protection du logiciel. Ce patch est aussi appelé crack,
d’où l’origine de leurs noms.
Le Phreaker (pirate des systèmes téléphoniques)
C’est un individu possédant de solides connaissances en téléphonie. C’est une variante de
hackers, spécialisé dans les téléphones et les systèmes téléphoniques, tels que les PABX ou
commutateurs. Sa motivation est d’échapper à la facturation téléphonique.
Le développeur de virus
Autrefois une communauté de passionnés d’informatique, qui avait pour but que de créer des
programmes autonomes imitant les vies primitives, tels que les virus. Comme ces derniers,
ces programmes se nourrissent et procréent à l’insu d’un hôte, ici sous forme de fichiers
informatiques. Cette communauté produit des virus inoffensifs, ou plutôt des virus ne
possédant pas de code destructif. Ces personnes ne se cachent pas. Malheureusement les
programmes qu’elle a développés, ont été repris par des personnes malintentionnées, qui y ont
ajouté du code destructif. Avec ce dernier elles peuvent, détruire la Table d’Allocation des
Fichiers, formater le disque dur ou même endommager la machine victime. Maintenant les
virus représentent la principale source de problèmes pour les entreprises et les particuliers.
Promotion FI18
Page 7
Marc FERRIGNO
le Script-kiddie ou Ankle-Biter ou Geek (jeune utilisateur de script)
Les scripts kiddies utilisent les
outils que des hackers ou des
crackers ont créés pour porter
atteinte aux SI. Ils ne sont pas
capables de produire leurs propres
outils et la plupart du temps, ne
comprennent
pas
leur
fonctionnement interne. Le script
kiddie, par définition ne possède
aucune compétence, aucun savoir
et aucune morale.
On trouve dans cette catégorie le
Leech, le Warez-puppy ou le
Lamer, qui lui n’est là que pour
télécharger les cracks et les
applications des autres.
Ces personnes, la plupart du temps, des jeunes, sont la cause de beaucoup de perturbations sur
le réseau. Mais ils ne représentent pas de sérieuses menaces pour les entreprises et les
particuliers, qui sont protégés un minimum.
Les médias
Dans cette catégorie, on trouve les journaux et les magazines, mais aussi la radio, les sites
Web et la télévision. Les médias, quelque soit leur forme ou leur support, ont un rôle
déterminant qui est d’informer le public. Ils participent à la sensibilisation des citoyens aux
problèmes de sécurité. Mais aussi à l’accueil qui est donné aux nouvelles lois.
Exemples :
• Le livre « 1984 » de Georges ORWELS (roman) : ce livre a sensibilisé les gens sur
l’importance du respect de la vie privée.
• Le film « Bienvenu à GATTACA », pose le problème de la biométrie et de son
utilisation.
Le Chef d’entreprise
Le chef d’entreprise de par sa position, joue un rôle primordial dans la politique de sécurité de
l’entreprise. Il intervient dans l’établissement du budget de sécurité et sur l’adhésion des
employés à la politique de sécurité mise en place.
Les employés
Les employés font partie intégrante de la politique de sécurité. Sans leur adhésion, la sécurité
optimum de l’entreprise ne peut être garantie. Il convient qu’ils soient sensibilisés, voir
impliqués et formés à la sécurité.
L’expert sécurité
On trouve dans ce rôle une personne devant maîtriser de nombreuses technologies et
possédant une forte sensibilité à la politique de l’entreprise. Il doit sans cesse se tenir au
courant de la découverte de nouvelles failles de sécurité. Il supporte de lourdes
responsabilités.
Promotion FI18
Page 8
Marc FERRIGNO
Devant le peu de formation existante en France, et le nombre de compétences et d’expériences
nécessaires à l’exercice de cette fonction, l’expert sécurité, est une personne rare.
Cela nous a conduit à la répartition des tâches de l’expert sécurité sur deux personnes. Une se
charge de la création et la mise en place de la politique de sécurité : le Responsable Sécurité
des Systèmes d’Information (RSSI), qui a un profil de manageur et de qualiticien. L’autre se
charge de l’aspect technique et matériel de l’application de cette politique : l’administrateur
réseau.
Le Responsable Sécurité des Systèmes d’Information (RSSI).
La majorité des grandes entreprises françaises ont mis en place cette fonction. Cela montre
une prise de conscience des enjeux de la politique de sécurité. Il est préférable de réserver ces
postes à des personnes stables qui font partie de l’entreprise. En effet le turn-over et
l’implication de personnes extérieures à l’entreprise, augmentent les chances de divulgation
de la politique de sécurité de l’entreprise et par là même, l’affaiblit. La place du RSSI au sein
du groupe, dans la maison mère, se justifie par l’importance de posséder une politique
commune entre la maison mère et les filiales. Cette centralisation de la gestion de la sécurité,
est favorisée par la mise en réseaux du groupe, la mise en place d’architectures communes, et
la télémaintenance. Ainsi, on aboutit à la mise en place d’une seule passerelle Internet pour le
groupe, qui est alors sous la responsabilité du RSSI.
L’administrateur réseau
Cette personne a en charge la surveillance du réseau de l’entreprise et l’application des règles
de sécurité. Il doit effectuer les mises à jour disponibles pour ses systèmes et être capable de
justifier son budget auprès de la direction.
Le citoyen
La plupart du temps il est victime, de son ignorance et de la désinformation propagée par les
média. Malheureusement sa machine non protégée peut servir de base pour des attaques de
serveur, ou de terrain fertile pour la propagation des virus.
C. Les causes de l’insécurité
On peut regrouper les atteintes portées au SI dans les grandes catégories suivantes :
¾ Les actes cupides, tels que l’espionnage industriel.
¾ Les actes d’incivilités, tels que les actes ludiques, vengeurs ou passionnels.
¾ Les actes idéologiques, tels que le terrorisme ou l’activisme.
¾ Les actes stratégiques, tels que l’espionnage ou la désinformation.
1. Les actes cupides
Dans cette catégorie, on distingue deux cas :
¾ Dans le premier, l’acte cupide procure des bénéfices directs à la personne ou la société
qui commet les faits. C’est le cas des détournements de fonds, des vols de brevet ou de
la concurrence déloyale.
¾ Dans le deuxième, le gain est indirect pour l’auteur. C’est le cas d’une perte d’image
de marque pour la victime qui se traduit ensuite par un gain de part de marché pour
l’auteur. On y trouve également, le vol du fichier clients de l’entreprise cible.
Promotion FI18
Page 9
Marc FERRIGNO
Figure 2 :
Arbre des causes des actes cupides.
On constate, comme on pouvait s’y attendre, que la principale cause des actes à caractères
cupides, est « de faire de l’argent ». Mais dans une société libérale et capitaliste cela n’est pas
interdit et on ne pourra agir sur cette cause.
2. Les actes d’incivilités
Dans cette catégorie, on trouve les actes commis dans le but de s’amuser, les actes
passionnels, les actes gratuits ou les actes de vengeance.
Figure 3 :
Arbre des causes des actes de malveillance.
Pour les actes d’incivilités, la cause principale est le manque d’éducation. Cette dernière est,
en quelque sorte, la maladie du siècle. Il sera difficile d’agir sur cela dans le cadre de cette
étude. Par contre, on pourra très bien traiter les autres qui sont : le besoin d’identité,
l’ignorance et le manque d’occupation.
Promotion FI18
Page 10
Marc FERRIGNO
3. Les actes idéologiques
Ce sont les actes effectués dans le but de défendre une cause ou une religion. On peut intégrer
ici les actes terroristes perpétués à des fins idéologiques. Par contre ceux, commis dans le but
de déstabiliser un ordre établi, seront rangés dans les actes stratégiques.
Figure 4 :
Arbre des causes des actes idéologiques.
On retrouve ici le manque d’éducation auquel viennent s’ajouter l’ignorance, les différences
de niveaux de vie et l’avidité de pouvoir. Il me semble difficile d’intervenir simplement sur
ces deux dernières. Par contre, on agira aisément sur l’ignorance.
4. Les actes stratégiques
Ce sont tous les actes d’espionnage, d’écoute, de désinformation, bref « l’info-guerre ».
Figure 5 :
Arbre des causes des actes stratégiques.
Pour les actes à caractère stratégique, on retrouve une fois de plus le manque d’éducation et la
conclusion reste la même. L’action se portera plutôt sur le besoin de reconnaissance et sur le
maintien de l’ordre.
Promotion FI18
Page 11
Marc FERRIGNO
D. Les conséquences
Les violations du SI bien que perpétrées par une minorité, ont des conséquences qui
retombent sur la majorité. Bien que certains aspects, comme l’augmentation du marché de la
sécurité, soient satisfaisants pour l’économie et l’emploi, les conséquences sont
majoritairement préjudiciables.
1. Pertes financières
Le coût des préjudices liés aux attaques est facile à estimer dans le cas où leurs conséquences
sont l’indisponibilité d’un service (exemple : la vente en ligne). Par contre, le temps perdu par
les utilisateurs, la perte d’image de marque ou l’insatisfaction client, est beaucoup plus
difficile à chiffrer.
Figure 6 :
Pertes liée à une indisponibilité.
Métier
Industrie
Courtage
Finance
Carte de crédit
Finance
Publicité
Média
Grande consommation Distribution
VPC
Distribution
Réservation aérienne
Transport
Vente de tickets
Media
Livraisons
Transport
Distributeurs
Finance
Coût d’une heure de panne
6 450 000€
2 600 000€
150 000€
113 000€
90 000€
90 000€
69 000€
28 000€
14 500€
© Fiber Channel Association
Comme on le constate dans ce tableau, les pertes sont énormes.
2. Perte d’image de marque
Quand une société réputée sérieuse se fait pirater son site Web, qu’elle est tournée en ridicule,
les conséquences sur son image de marque peuvent être désastreuses. En effet, son sérieux
sera remis en question, elle risque de perdre sa clientèle et ses actions boursières d’être
dévalorisées. Le préjudice est pire, si en prime elle s’est fait dérober son fichier clients
contenant des numéros de cartes bleues. Qui à l’avenir osera lui confier ses références
bancaires pour réaliser ses achats ? Si cette société était spécialisée dans la sécurité, qui lui
fera de nouveau confiance ? Le temps nécessaire à gommer l’incident risque d’être long…
3. Perte de savoir
Les conséquences liées à la fuite d’informations sont énormes pour les sociétés victimes.
Perte de parts de marché, si le savoir est dorénavant partagé entre plusieurs sociétés. Si
l’information volée est brevetable, elle fait perdre à la victime la possibilité de récupérer le
fruit de ses recherches.
« Même si le vol de la technologie d'un concurrent vous coûte un demi-million de dollars,
cette somme peut ne représenter qu'un dixième du montant que vous aurait coûté le
développement de cette technologie »
©"Secrets et Mensonges" de Bruce Schneier.
Promotion FI18
Page 12
Marc FERRIGNO
4. Stagnation du commerce électronique
Les risques liés au piratage de cartes bleues en ligne, sont en réalité relativement faibles. Ces
risques sont couverts par les assurances bancaires. De plus vous pouvez être victime, sans
avoir jamais surfé sur internet. En effet, il est plus facile d’utiliser un générateur de numéro de
carte bleue, que de réussir la prouesse d’obtenir un fichier clients sur le Web. Si par malheur,
le numéro de carte généré est le vôtre le résultat sera le même. Il vous reste à surveiller vos
relevés de compte, et à prévenir la banque dans le délai réglementaire de 1 mois après la date
des faits.
On voit par contre proliférer les faux sites de commerces. Il faut être prudent avant de fournir
son numéro de carte bancaire en ligne. Le mieux est de réaliser ses achats uniquement sur des
sites connus, et de préférence dans la communauté européenne.
La médiatisation qui est faite au niveau des fraudes, n’encourage pas les gens à faire leurs
emplettes en ligne. Résultat : au grand désarroi de tout le monde, le commerce sur le Web à
des difficultés à se développer.
5. Renforcement du sentiment d’insécurité
La désinformation et la publicité, propagées par les médias, sur les attaques et les problèmes
de sécurité du Web, ne font que renforcer le sentiment d’insécurité. Cela conduit à des
dépenses en matière de sécurité qui sont surévaluées.
Selon le Clusif : 96% des entreprises perçoivent les malveillances comme principale source
des sinistres informatiques alors que 40% sont dus à des accidents, 37% à des erreurs et 23%
seulement à des malveillances.
De plus, souvent, comme l’exemple des Firewalls nous le montre, un faux sentiment de
sécurité se met en place au niveau des sociétés. Un Firewall n’est qu’une partie de la chaîne
de sécurité à mettre en place et non un remède absolu.
6. Augmentation du marché de la sécurité
Les achats de matériels et dernièrement, en matière de services de sécurité, se portent à
merveille. Le marché de la sécurité est en plein essor.
L’évolution du marché français de la sécurité en millions de francs de 1998 à 2001 est
impressionnante :
Figure 7 :
Le marché français de la sécurité des systèmes d'information de 1998 à
2001
Millions de francs
© IDC France 2001
Promotion FI18
Page 13
Marc FERRIGNO
Sur le marché européen, les produits e-Secure représentent en 2002 1,754 milliards d’€. Les
services e-Secure 1,147 milliards, et les produits et services PKI 478 millions d’€ (Source
Infonetic Research).
Le plus étonnant est que le Temps de Retour sur Investissement (TRI) n’existe pas en matière
de sécurité. Une notion nouvelle est apparue pour répondre à ce manque : la notion de perte
annuelle escomptée (PAE), qui correspond à un calcul estimé du nombre d'incidents annuels
et les pertes par incident.
7. Méfiances pesantes sur la création d’une administration
centralisée
La généralisation des téléservices a été engagée par le gouvernement en novembre 2001, avec
objectif de se terminer en 2005. Dans ce cadre il est prévu la création d’une interface unique
entre le citoyen et l’administration. On aboutirait ainsi, à une simplification des démarches
administratives par une communication interservices, la suppression des imprimés papier, des
longues files d’attente et autres déplacement inutiles. Malheureusement cette mise en place ne
peut se faire sans une certitude d’authentification du citoyen accédant à ces données. La
question de la validité de ces données risque de se poser, ainsi que la définition des personnes
devant y accéder. Ces incertitudes font peser une méfiance de plus en plus croissante sur la
centralisation des données administratives.
8. Conséquences judiciaires
Il s’est créé un rapprochement entre les services de police des différents Etats. Cette
collaboration policière peut être bénéfique pour la lutte contre le crime organisé. Toutefois, il
faut rester vigilant quant aux conséquences liées à cette collaboration. En effet les Etats-Unis
ont tendance à faire jouer leur poids économique dans les relations pour obtenir tout ce qu’ils
désirent.
9. Conséquences réglementaires
« Nous changeons de modèle politique. D’une logique démocratique privilégiant le procès,
nous passons, avec l’enregistrement systématique, à une logique policière et non
démocratique. »
©Sébastien Canevet maître de conférences de droit privé. Le monde informatique 947 S 12
juillet 2002.
La logique d’enquête préliminaire sous couvert d’un magistrat, est en train de basculer vers
un enregistrement systématique de tous les échanges électroniques. C’est ce qui est mis en
place avec la rétention de données. Il n’est plus nécessaire d’être soupçonné pour se retrouver
sur écoute.
10.
Renforcement des lois
« Les dossiers étaient dans les tiroirs. Après les attentats aux Etats-Unis, ils ont pu être
montrés et soutenus »
©Alain Weber Ligue des Droits de l’homme. Le monde informatique 947 S 12 juillet 2002.
Mai 2002 : un texte approuvé par le G8 à Mont Tremblant (Québec) était en préparation
depuis 1999. Il préconise : «Recommandations sur le dépistage des communications
Promotion FI18
Page 14
Marc FERRIGNO
électroniques transfrontalières dans le cadre des enquêtes sur les activités criminelles et
terroristes»
Après le 11 septembre 2001, les Etats nations ont pu facilement faire adopter un ensemble de
mesures visant à renforcer leurs pouvoirs.
Les investissements débloqués sont énormes.
« George W. Bush a ratifié le Cyber Security Research and Development Act, loi instituant un
programme public de recherche en matière de sécurisation des réseaux doté d'un fonds de
880 M$ sur cinq ans. Des centres de recherche sur la lutte contre la cybercriminalité
devraient voir le jour sous l'égide de la National Science Fondation (NSF, Fondation
nationale des Sciences américaine) et du National Institute of Standard and Technology (Nist,
organisme public américain de standardisation).
Objectif : former davantage de spécialistes américains de la sécurité des systèmes
d'information »
©D.Ca. 02/12/2002
11.
Augmentation de l’écart entre le pouvoir et les citoyens
« Ce qui nous inquiète le plus : on adopte des mesures précises contre le terrorisme puis on
les étend petit à petit à d’autres utilisations »
©Meryem MARZOUKI présidente d’Iris (Imaginons un Réseau Internet Solidaire). Le monde
informatique 947 S 12 juillet 2002.
Les citoyens ont du mal à se reconnaître dans les politiques, comme le montre les dernière
élections. Le fait de prendre des mesures visant à augmenter le pouvoir de l’Etat au détriment
du respect du droit à la vie privé, ne va certainement pas arranger les choses.
« Etienne DROUARD du cabinet GIDE LOYRETTE NOUEL et ancien chargé de mission à la
CNIL, relevait la création de deux nouveaux régimes d’autorisation des traitements
informatiques où la CNIL était réduite à un rôle consultatif. Il s’agit là d’une substitution de
l’organe décisionnaire »
© Le monde informatique 947 S 12 juillet 2002
Le plus surprenant est de remettre en question le rôle d’un organisme comme la CNIL, qui fut
mis en place par l’Etat afin de garantir le respect des libertés.
Comment ne pas , dans ce cas, augmenter la fracture entre les citoyens et l’organe
décisionnaire ?
12.
Recul de la démocratie
« Des pays comme Cuba ou la Chine pratiquent depuis longtemps la rétention de données
préventives, mesure maintenant adoptée par les Etats démocratiques. Dans ces conditions, il
devient difficile de faire la leçon aux autorités de Pékin ou d’ailleurs ! »
©R.F. Le monde informatique 947 S 12 juillet 2002.
Dernière conséquence et non des moindres : notre crédibilité face aux pays où les droits de
l’homme ne sont pas respectés va être diminuée. Les effets de nos décisions politiques ne se
bornent pas aux frontières de notre pays.
Promotion FI18
Page 15
Marc FERRIGNO
II. De quoi a-t-on besoin ?
A. Définition du besoin
Nous avons besoin d’un système qui améliore la sécurité des systèmes d’information français
reliés à l’Internet, en tenant compte du respect de la souveraineté de l’Etat et du droit des
personnes à la vie privée.
B. Evaluation du besoin
La complexification des Si, la prolifération des attaques et leur complexité, l’augmentation du
nombre de trous de sécurité et enfin le niveau des attaquants laissent présumer que le besoin
est pérenne. Bien qu’il n’y ait pas de TRI, on constate que les investissements sont là et que la
demande est forte. La justification du budget sécurité se fait au travers de la gestion des
risques, des contraintes réglementaires et de l’apport métier.
Toutefois un système unique ne peut pas répondre aux différents besoins qu’ont une
multinationale, une PME, une PMI ou un particulier. Il faut donc que le système s’adapte au
niveau de sécurité de la cible.
C. Importance et localisation du besoin
Différents paramètres vont permettre de mieux cerner le besoin : la taille de l’entreprise, les
données qu’elle doit protéger, son ouverture sur le net, sa popularité, mais aussi l’origine des
attaques.
1. La taille de l’entreprise.
La taille de l’entreprise va conditionner les moyens financiers dont elle dispose pour se
protéger. C’est ainsi que les multinationales et les Etats nations, ont des moyens importants et
ont déjà été sensibilisés aux problèmes de sécurité. Ils possèdent des personnes dédiées pour
la sécurité, et leur politique de sécurité est déjà mise en place ou en passe de l’être. Par contre,
les attaquants potentiels de ces dernières, ont aussi des compétences et des moyens en
proportion. En effet, il est peu probable que des scripts kiddies puissent inquiéter une
multinationale ou un Etat nation. En général leurs soucis principaux viennent des entreprises
concurrentes et des autres Etats nations.
On, de ce fait, trouve une corrélation entre la taille de l’entreprise et le type d’attaques subies.
Promotion FI18
Page 16
Marc FERRIGNO
Figure 8 :
Types de problèmes en fonction de la taille de l’entreprise.
©Études et statistiques sur la sinistralité informatique en France Clusif 2001.
On constate ainsi que les entreprises de moins de 500 personnes ne sont pas trop concernées
par le vol et les attaques logiques ciblées. Par contre, que les virus sont un problème pour tout
le monde.
2. Les données à protéger.
Les données en matière de sécurité doivent répondre aux critères de :
Disponibilité : les données doivent être disponibles au moment où on en a besoin.
Intégrité : les données auxquelles on accède doivent pas avoir été modifiées illégalement.
Confidentialité : seules les personnes autorisées doivent pouvoir accéder.
Le type de données que le
mettre en place.
Type des Publiques
(données
données
dont la perte
est sans
importance)
Niveau
sécurité
nécessaire
faible
SI de l’entreprise contient va dimensionner le niveau sécurité à
Sensibles
(données
nominatives
ou à caractère
personnel)
Confidentielles
(découvertes,
recherches,
numéros de CB,
donnée clients)
important
maximum
niveau de classification :
«très secret défense»,
«secret défense»,
«confidentiel défense».
(données stratégiques,
armement)
maximum
On peut également faire une corrélation entre les données susceptibles d’être volées, et le
niveau de compétence des attaquants pouvant s’y intéresser.
Promotion FI18
Page 17
Marc FERRIGNO
Type des Publiques
données
(données dont
la perte est sans
importance)
Sensibles
(données
nominatives
ou à
caractère
personnel)
Confidentielles
(découvertes,
recherches,
numéros de CB,
donnée clients)
Attaquants Script(s)
kiddies(s).
potentiels
Script(s)
kiddie(s),
hacker(s).
Script(s)
kiddies(s),
hacker(s),
employer(s),
Etat(s) nation(s),
entreprise(s)
concurente(s).
niveau de
classification :
«très secret défense»,
«secret défense»,
«confidentiel
défense».
(données stratégiques,
armement)
Script(s) kiddies(s),
hacker(s), employer(s),
Etat(s) nation(s),
entreprise(s)
concurente(s).
Les attaquants potentiels et le type de données que l’entreprise possède vont aider à
déterminer la probabilité d’apparition d’un problème.
3. Ouverture de l’entreprise sur le net.
On constate dans le rapport du Clusif que dans les entreprises, les services liés à l’Internet ne
se sont pas développés dans les mêmes proportions. C’est une donnée importante, car elle va
intervenir dans la probabilité d’apparition de l’attaque et son type. Pour finir, elle va orienter
le type de protection à mettre en place.
Figure 9 :
Proportion des services Web dans les entreprises.
Promotion FI18
Page 18
Marc FERRIGNO
On constate également que le secteur d’activité dans lequel l’entreprise se situe, implique le
niveau de dépendance de l’entreprise vis-à-vis de son SI.
Figure 10 :
Dépendance des entreprises vis-à-vis de leur SI.
Ce critère va permettre de déterminer l’impact résultant d’une agression sur l’entreprise.
L’impact va dimensionner le niveau de sécurité à mettre en place.
4. Sa popularité.
Plus l’entreprise sera importante et populaire, plus les hackers vont s’y intéresser. Il est plus
valorisant de s’attaquer et de pénétrer une société très connue et réputée pour ses moyens de
sécurité, que de hacker une petite entreprise que personne ne connaît.
Il n’y a rien de plus nocif pour la sécurité de son SI que de prétendre que l’on a la meilleure
protection du monde. Du coup, si vous êtes populaire vous serez obligés de vous protéger plus
que les autres.
5. Importance des attaques
La majorité des problèmes proviennent d’erreurs de manipulation ou de défaillance, le
pourcentage d’attaques en provenance d’Internet restant relativement faible.
Parmi les causes d’indisponibilité du SI des entreprises, on trouve :
• Les actes malicieux, à hauteur de 3%
• Les problèmes environnementaux 19%
• Les erreurs opérationnelles et applicatives 75%
(Source : IDC 2001)
• Parmi les pénétrations du SI, 85 % environ des attaques exploitent des failles
applicatives (source : Lexsi).
• Les attaques en plus grand nombre sont dues aux virus.
Promotion FI18
Page 19
Marc FERRIGNO
Figure 11 :
Importance des attaques.
Usurpation d'identité messagerie
90%
Destructions internes intentionnelles
80%
Attaques virales
Vols
70%
Espionnage de trame
60%
50%
Pannes internes
Fraudes
40%
30%
20%
10%
Erreurs d’utilisation
Attentat
0%
Campagne de désinformation (hoax)
Fuites internes intentionnelles
Attaques logiques (DDOS...)
Perte d'informations
Perte d'intégrité des données
Evènements naturels
Usurpation de nom de domaine
Erreurs de conception
©rapport Cigref : Sécurité des systèmes d’information septembre 2002.
Il faut cependant nuancer ces chiffres en provenance des DSI (Direction des Systèmes
d'Information). En effet d’après le Cigref, seules 20% des attaques seraient connues des
victimes.
« la Brigade française d’enquête sur les fraudes aux technologies de l’information à la
Direction de la Police Judiciaire estime que 80 % des attaques ne sont jamais détectées et
que seulement 10 % des actes de piratage informatique arrivent à la connaissance des
services de police. »
©http://www.ujjef.com 25/06/2002.
Les résultats d’une enquête du CSI et du FBI confirment néanmoins la pôle position des
attaques virales. Par contre, elle révèle que les plus coûteuses sont les vols d’informations, les
fraudes financières et les fraudes téléphoniques.
6. L’origine des attaques
L’origine des attaques est aussi à considérer, et là surprise ! Ce sont les employés qui arrivent
en tête des sources à problèmes devant les hackers.
Promotion FI18
Page 20
Marc FERRIGNO
Figure 12 :
Origines des attaques.
Salariés (hors informatique)
100%
90%
Hackers
80%
Personnel informatique
70%
60%
50%
40%
Etats
Stagiaires
30%
20%
10%
0%
Concurrents
Prestataires & personnel en régie
Clients
Fournisseurs métiers
Fournisseurs informatiques (hébergeurs...)
© Rapport Cigref : Sécurité des systèmes d’information septembre 2002.
On comprend mieux à la vue de ces chiffres que la sécurité informatique c’est 20% de
matériel et 80% d’humain.
Le schéma suivant montre l’origine des attaques (interne, externe, inconnue) en fonction du
type d’attaques. Il est intéressant de constater que l’infection des virus trouve son origine en
interne et que la divulgation, la fraude et le vol sont d’origine inconnue.
Figure 13 :
Type d’attaque en fonction son origine.
Promotion FI18
Page 21
Marc FERRIGNO
7. Pour résumer
La sécurité informatique c’est 20% de matériel et 80% d’humain, mais le matériel est
indispensable.
Les solutions proposées devront être en adéquation avec le niveau de confidentialité
des données à protéger.
Les multinationales et les Etats nations sont sensibilisés à la sécurité informatique, et
protégés.
Le traitement des problèmes doit tenir compte de l’impact métier.
La majorité des problèmes proviennent d’erreurs de manipulation ou des défaillances
SI.
Le pourcentage d’attaques en provenance d’Internet reste très faible (parmi les
attaques 85% exploitent des failles applicatives).
Les utilisateurs du SI posent plus de problèmes que les hackers.
Les virus sont la première source d’attaque du SI.
Seulement 20% des attaques sont connues des victimes.
Les données doivent répondre aux critères de : disponibilité, intégrité et
confidentialité.
Promotion FI18
Page 22
Marc FERRIGNO
III.Les solutions
Les solutions s’appliquent à diminuer ou à supprimer le passage entre les causes et le
déclenchement des faits, et entre les faits et leurs conséquences.
Figure 14 :
Un modèle de gestion du risque informatique
Dissimulation
Dissuasion
Information
Menace
Biens ou
actif
Palliation
Sauvegarde
Légende :
Protection
Surveillance
Agression
Vulnérabilité
Absence de
Protection
Crainte
Inquiétude
Dysfonction
Détérioration
Divulgation
Compensation
Récupération
Dégât
Mesures à prendre
Pertes
Financières
Diminution ou suppression
Il faut tenir compte, lors de la recherche de solutions des causes formulées dans le chapitre I
paragraphe C Les causes, c’est-à-dire l’ignorance, le besoin de reconnaissance, le besoin
d’identité, le manque d’occupation, et sur le maintien de l’ordre.
L’ignorance et le maintien de l’ordre sont pris en compte par les mesures nommées cidessous. Pour les autres j’ajouterai deux nouvelles mesures, qui sont la canalisation et
l’orientation.
.
On peut regrouper les mesures en trois grandes classes :
La prévention : dissimulation, information, dissuasion, canalisation, orientation.
La protection : palliation, surveillance, protection.
La récupération : sauvegarde, récupération, compensation.
Promotion FI18
Page 23
Marc FERRIGNO
A. La prévention
1. Dissimulation
D’un point de vue un peu simpliste, la menace ne peut peser sur le bien que si l’on connaît
l’existence du bien (security through obscurity). Malheureusement, il faut compter avec le
hasard, et le fait que certaines sociétés sont connues et médiatisées. Toutefois, il vaut mieux
éviter de faire de la publicité sur un bien ou un actif si cela n’est pas strictement nécessaire.
Il existe quelques solutions qui conduisent à dissimuler les données ou les processus d’un
système.
La stéganographie
Le principe est de dissimuler les données importantes, dans un fichier tel qu’un fichier image
ou un fichier de musique. La présence des données n’est pas détectable facilement. Encore
faut-il soupçonner la présence des données pour les y chercher.
Le masquage de disque ou de processus
Un ensemble d’utilitaires permet de masquer la présence, de manière réversible, des partitions
du disque ou des processus du système.
Le formatage non standard
Autrefois, utilisé comme protection des jeux et programmes sur disquette, le formatage de
disque dans des formats non standards permet de dissimuler, mais aussi d’interdire l’accès
aux données. Si le programme d’accès n’est pas disponible, il sera très difficile de les
atteindre.
La cryptographie n’est pas énoncée comme mesure de dissimulation, bien qu’elle rende
illisible les données, car elle ne permet pas d’en dissimuler l’existence.
2. Information
La formation est un des points clé de la sécurisation des réseaux. En effet, pour en améliorer
la sécurité, tout le monde a un rôle à jouer. Toute personne faisant partie d’un réseau est
potentiellement un maillon faible. Il suffit qu’une personne ne connaisse pas les règles de
sécurité, pour mettre en péril le réseau tout entier. Par personne j’entends les utilisateurs, les
informaticiens et les administrateurs réseaux.
Promotion FI18
Page 24
Marc FERRIGNO
2.1. L’information aux entreprises.
L’Etat français
L’Etat possède un ensemble de services chargés de la sécurité informatique.
Figure 15 :
Services de sécurité informatique de l’Etat
©DCSSI
Ces services sont bien connus des grandes entreprises qui n’hésitent pas à se servir de leurs
ressources, et notamment de faire appel à eux pour sensibiliser leurs employés. Toutefois ces
interventions sont chères pour une petite structure, et les PME ne sont pas assez informées de
leur existence.
L’Internet
On trouve de nombreux documents traitant de la sécurité informatique sur l’internet. La
plupart des documents, de bon niveau, sont en anglais et beaucoup sont payants et chers.
On a aussi la possibilité de s’inscrire sur l’une des nombreuses mailings listes, qui vous
fournissent les dernières nouvelles en matière de sécurité informatique (voir annexe A).
Normes et méthodes d’analyse de risques et de gestion de risque
Il convient de distinguer ici les normes, les méthodes et les guides. En effet, les normes se
cantonnent le plus souvent, à des préconisations. Les méthodes quant à elles vont de
l’identification des besoins de l’entreprise en matière de sécurité, à la mise en place de
moyens de protection et de maintenance, en passant par l’audit de sécurité. Et les guides eux
n’ont rien de normalisé, du moins pas encore.
Etant donné le nombre de méthodes, de normes disponibles je n’en citerai que les principales.
Promotion FI18
Page 25
Marc FERRIGNO
Figure 16 :
Les méthodes par origine.
Canada :
-Information security policy make easy
-NSTTI
-Manuel canadien de STI
-Guides MG1, MG2, MG3, MG4
Royaume-Uni :
-CRAMM
-BS 7799
-COBRA
-RA Software Tool for Risk Management
ISO :
-Critères Communs
-GMITS
OTAN :
-CM 55-15
-AC/35-D/1006-1027
États-Unis :
-BUDDY SYSTEM
-COBRA
-IAM
-IPAK
-RISK ANALYSIS & CONTROL
-RISKETTES
Avertissement :
certains de ces outils
sont propriétaires ou
des marques déposées
France :
-DSIS
-EBIOS
-INCAS
-MARION
-MASSIA
-MEHARI
-MELISA et MV3
-ORION
-PSI
Allemagne :
-IT BASELINE PROTECTION MANUAL
©DCSSI
Les méthodes :
Les méthodes de gestion du risque
• EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) créée en
1995 et utilisée par l’administration française. Elle est gratuite et diffusée par le
SCSSI. Elle a l’avantage d’être facile d’accès et son déroulement est rapide.
•
MARION (Méthodologie d’Analyse des Risques Informatiques et d’Optimisation par
Niveau) créée en 1990. Elle a été abandonnée au profit de MEHARI.
•
MEHARI (Méthode Harmonisée d’Analyse de Risques Informatiques) créée en 1996.
Elle est préconisée par le Clusif et le Cigref. Cette méthode devient une référence,
mais elle est longue à dérouler.
•
MÉLISA fut mise au point par la Direction Générale des Armements DGA en 1984.
Elle a été reprise par la société CF6. Elle est maintenant remplacée par MV3.
•
CRAMM Version 4 (CCTA Risk Analysis and Management Method) créée en 1987
par l’Agence centrale de l’Informatique et des Télécommunications (CCTA) du
gouvernement du Royaume-Uni. Elle est basée sur la norme BS 7799-1 (voir pages
suivante).
•
OCTAVE (Operationally Critical Treat and Vulnerability Evaluation) est produite par
l’Institut d’ingénierie logiciel de l’université Carnegie Mellon de Pittsburgh aux USA.
Cette méthode est soutenue par le CERT.
Promotion FI18
Page 26
Marc FERRIGNO
Les méthodes d’audit ou contrôle interne
• IPAK (Information Protection Assessment Kit) a été réalisée par le Computer Security
Institute (CSI). C’est un questionnaire aidant à faire l’état des lieux de son système de
sécurité.
Les méthodes globales
• COBIT 3ème édition (Control Objectives for information and related technologies) a
été créée par l’Information System Audit and Control Foundation.
Les normes :
•
SSE-CMM (System Security Engineering Capability Maturity Model) permet
l’évaluation du niveau de sécurité atteint par l’entreprise, créée par International
Systems Security Engineering Association (ISSEA).
•
Les GMITS (ISO/IEC TR 13335) (Guidelines for the management of IT Security)
constituée de lignes directrices aidant à la constitution de sa propre méthode.
•
La norme ISO/IEC 17799 (Code of practice for information security management)
c’est un ensemble de bonnes pratiques à connaître en matière de sécurité, issue de la
norme britannique BS 7799 Part 1 – 1999.
•
BS 7799-1 (Code of practice for information security management) et la norme BS
7799-2 (Specification for information security management systems) créée par le BSI.
La première est le « quoi faire » et la deuxième le « comment faire ». Ce sont des
normes qui font office de référence en la matière. La plupart des autres normes en
découle.
•
Common Criteria for IT Security Evaluations ou ISO 15408. Cette méthode permet de
certifier les niveaux de défense procurés par les composantes de sécurité des systèmes
d'informations.
Les guides
•
IT Baseline Protection Manual (BSI allemand).
•
Risk Management Guide for Information Technology Systems, publié par le National
Institute of Standards and Technology (NIST)
•
Special Publication 800-26 et 800-30 du NIST, qui sont respectivement des guides
pour l’évaluation de la sécurité et le management du risque.
•
MG-1 à MG-4 ce sont des guides d’évaluation des risques créés par le gouvernement
canadien.
Promotion FI18
Page 27
Marc FERRIGNO
2.2. L’information aux employés.
Politique de sécurité
Il s’agit ici de décrire clairement les règles afin de savoir : qui définit les procédures, qui les
met en place, et qui les contrôle. On emploie le terme de « gouvernance ». Il est judicieux de
porter une attention particulière, lors de l’établissement de ces règles. Par exemple, de ne pas
désigner de personne à la fois juge et partie. Ces règles doivent faire partie intégrante de la
politique de l’entreprise, et tenir compte de la stratégie de la DSI et de l’entreprise.
Figure 17 :
Matrice des risques.
Actes non
volontaires
Utilisateur Utilisateur
non
privilégié
privilégié
Risque
Risque
Externe
faible
faible à
moyen
Risque
Risque
Interne
faible à moyen
moyen
Actes volontaires
Utilisateur
non
privilégié
Risque
faible à
moyen
Risque
élevé
Utilisateur
privilégié
Risque
élevé
?
©Computer Associates
La politique de sécurité doit également définir les règles d’utilisation des outils informatiques,
aussi bien pour les utilisateurs que pour les administrateurs. Les règles doivent formaliser
l’ensemble des tâches telles que : installation et utilisation des logiciels, démarche de
demande de service, droit d’accès aux informations, politique de sauvegarde de données…
Elles doivent aussi définir, l’organisation et les responsabilités de chacun dans la politique de
sécurité : qui prévenir en cas de problème ? Quel service est compétent pour tel ou tel
intervention ?
De par l’ensemble des personnes touchées par la politique de sécurité et les contraintes qui en
découlent, il est important d’avoir un soutien de la direction. Pour finir, une sensibilisation et
une adhésion, de tout le monde à la politique de sécurité est nécessaire. Si une personne faillit
à sa tâche, c’est l’ensemble de la sécurité qui peut être mis en péril.
3. Canalisation
En France les actes illégaux perpétués par les hackers et les scripts kiddies sont sévèrement
punis et c’est normal. Toutefois dans le contexte mondial actuel, il serait bon de ne pas
réfréner, mais plutôt d’encourager l’engouement des jeunes pour la sécurité réseau.
Cela pourrait se faire à travers :
Des Meeting
Je pense qu’il faudrait non seulement permettre les réunions de hackers telles qu’il en existe
aux Etats Unis (voir defcon : http://www.defcon.org/ et blackhat http://www.blackhat.com/),
mais en plus je recommanderai à l’Etat de les chapoter et de les encadrer.
Promotion FI18
Page 28
Marc FERRIGNO
Des SitesWeb
De même que pour les réunions, la création de sites Web dont le seul but serait de se faire
attaquer serait judicieuse. En effet, ils permettraient de canaliser les jeunes. Ils pourraient y
trouver une forme de reconnaissance par classement, tout en ne faisant aucun dégât. De plus
ces sites pourraient servir de terrain expérimental de test, pour valider des solutions de
sécurité. On peut même envisager des moyens de collecter les suggestions ou réaliser des
développements collaboratifs, dans le but de faire évoluer la sécurité des réseaux
informatiques français. Cela donnerait à chacun l’occasion de s’impliquer dans l’Etat.
4. Orientation
Les meeting et les site Web cités plus haut, peuvent être un moyen d’identifier de nouveaux
talents, de les orienter ailleurs qu’en prison et de leur éviter ainsi de se retrouver en marge de
la société.
La formation
Les personnes compétentes dans le domaine de la sécurité informatique sont rares. En effet, il
n’existe que peu d’écoles en France formant aux métiers de la sécurité informatique :
http://www.formation.ssi.gouv.fr/formation/superieure/formfrance.html
5. Dissuasion
5.1. Identification
L’identification est un moyen de dissuasion très fort. La plupart des actes de violation de la
sécurité informatique sont perpétués sous couvert de l’anonymat. Il est évident que si les
hackers et les scripts kiddies étaient identifiés, ils réfléchiraient davantage aux conséquences
de leurs actes.
Seulement, il y a les problèmes liés au droit à la vie privée. Une fois identifiée, des
informations sur vos centres d’intérêt, vos habitudes, vos fréquentations, voire même votre
religion, votre sexualité, vos avis politiques peuvent être récoltés, analysés et exploités.
L’identification est en cours de déploiement, grâce à la rétention de données au niveau des
Fournisseurs d’Accès Internet (FAI). Pour l’instant les cybercafés peuvent encore permettre
un surf anonyme, mais pour combien de temps ? De nombreux pays comme la Chine y ont
déjà déployé l’identification des surfeurs ou les ont fait fermer.
Le gros problème, est que les personnes ayant un niveau suffisant de compétences peuvent
continuer à se connecter anonymement.
Au niveau de l’entreprise on trouve :
Les passwords ou mots de passe : ils doivent être longs de plus de huit caractères, ne pas
être dans le dictionnaire et contenir des chiffres et des caractères spéciaux. Il est préférable de
ne pas en avoir trop à fournir pour avoir accès à ses ressources informatiques, et éviter de les
écrire. Sinon, le mieux est de les stocker sur support physique ou sur serveur, et non sur le
poste client, et de les coupler à un annuaire (voir page suivante).
SSO ou Single Sign-On ce sont des systèmes qui évite de saisir trop de mots de passe. Il
suffit de les coupler avec un support physique, on ne saisi alors qu’un code pin, et l’on peut
ainsi avoir accès à de la cryptographie et les apparenter à des systèmes d'authentification forts.
La signature électronique : c’est un système basé sur la cryptographie qui permet
d’identifier une personne de manière numérique. L’identification peut se faire par échange de
Promotion FI18
Page 29
Marc FERRIGNO
clé dans le cadre d’un système de chiffrement à clé publique ou asymétrique. On peut
également utiliser la certification par un tiers de confiance. Il permet dans ce dernier cas, de
bénéficier de la non répudiation et d’un contrôle d’intégrité. Toutefois ces systèmes peuvent
être sensibles, à une attaque de type passeur de sceaux.
Les annuaires : comme Lightweight Directory Access Protocol (LDAP), ils permettent de
définir qui et comment on accède à l’information de l’entreprise.
Les moyens physiques :
La biométrie : elle est basée sur des caractéristiques physiques propres à chaque individu
telles que la rétine ou les empreintes des digitales. C’est une solution fiable, à condition
qu’elle soit correctement implémentée.
Les Cartes à puces, les dongles ou clés : ils servent en tant que support des informations
d’identification. Ils ont l’avantage de supprimer les problèmes d’oubli de mots de passe et
prennent toute leur dimension quand il y en a plusieurs. Ils permettent l’utilisation de mots
plus longs et plus complexes. Ils peuvent être couplés aux badges d’accès et se servir de
moyens cryptographiques. Toutefois, ils ne sont pas à l’abri d’être volés ou perdus. Il faut
prévoir la désactivation de leurs droits si un de ces deux cas survient.
5.2. Les lois ou la régulation par le haut
T.Jefferson: « si un homme est prêt à sacrifier un peu de liberté pour un peu de sécurité,
alors il ne mérite ni l’une ni l’autre. »
La sécurité doit protéger les personnes, les systèmes et les données. Les personnes dans le
sens de l’utilisation non autorisée des fichiers nominatifs, de la violation de la vie privée ou
des atteintes portées à l’image de la personne. Les systèmes matériels doivent être protégés du
vol, de l’écoute, de l’intrusion, et du sabotage. Les systèmes immatériels doivent conserver
leurs confidentialités et leurs intégrités (les données, bases de données, et les logiciels). Le
droit d’auteur, le secret défense national, le secret professionnel et le secret des
correspondances doivent être préservé. Pour finir, les responsabilités doivent être clairement
définies.
Les lois existantes englobent tous les aspects cités ci-dessous. Je vous encourage à vous
reporter à l’annexe E, si vous n’en êtes pas encore persuadés.
a) Les projets de loi
Un ensemble de projet de loi ont vu le jour ces dernières années, surtout depuis le 11
septembre, afin de renforcer la sécurité de tous les jours et bien sûr celle des réseaux
informatiques.
Mai 2002 approbation du document « Recommandations sur le dépistage des
télécommunications transfrontalières dans le cadre des enquêtes sur les activités criminelles et
terroristes ».
La convention du conseil de l’Europe
Promotion FI18
Page 30
Marc FERRIGNO
La convention du conseil de l’Europe du 23/11/01 sur la cyber criminalité, marque une
avancée en matière de coopération judiciaire et de poursuite pénale au niveau international.
Protection des données à caractère personnel
La directive européenne du 24/10/95, le projet de loi 30/01/02 vise à rénover la loi
informatique et liberté de 1978.
Projet de loi sur la société de l'information (PLSI), n° 3143, déposé le 14 juin 2001.
Renvoyé à la commission des affaires culturelles, le projet de loi est devenu caduc à la fin de
la onzième législature.
Loi n° 2001-1062 du 15 novembre 2001
Loi relative à la sécurité quotidienne (LSQ)
Entraîne l’obligation aux opérateurs de télécommunication et aux Fournisseurs d’Accès
Internet (FAI) de conserver des données de connexion à des fins policières. Les données
doivent être stockées pendant un an.
Imaginons un Réseau Internet Solidaire (IRIS) dépose une plainte contre la France,
devant la commission européenne.
Cette plainte concerne la loi n°2001-1062 du 15 novembre 2001 sur la sécurité quotidienne
(LSQ), visant particulièrement son article 29 (conservation des données techniques relatives à
une communication, pendant une période pouvant s'étendre jusqu'à un an). Déposée par IRIS
le 21 décembre 2001, la plainte a été jugée recevable par la Commission européenne en
janvier 2002. Elle est actuellement examinée par la Commission, qui jugera de l'opportunité
de saisir ultérieurement la Cour de justice la Communauté Européenne.
Loi 2002-1094 29 août 2002
Loi d'orientation et de programmation pour la sécurité intérieure (LOPSI).
Le ministre de l’intérieur Monsieur Nicolas SARKOZY a présenté le 10 juillet 2002, le projet
de Loi d’Orientation et de Programmation de la Sécurité Intérieure (Lopsi). Page 24 de ce
document se trouvent les paragraphes suivants :
«Le rapprochement des grands fichiers de police criminelle de la police et de la gendarmerie
nationale (STIC, JUDEX) sera favorisé … Le système de traitement uniformisé des produits
stupéfiants (fichier STUP) fera l’objet d’un rapprochement entre les bases de données de la
police, de la gendarmerie et des douanes sous la forme d’une mise en réseaux des
informations détenues par ces trois services… A terme, tous les agents nationale habilités
devront avoir accès à toutes les bases documentaires de recherches criminelles liées à la
sécurité intérieure.»
© lopsi assemblée nationale 11 juillet 2002.
« Il sera élaboré un texte permettant aux officiers de police judiciaire, agissant dans le cadre
d’une enquête judiciaire, sur autorisation d’un magistrat, d’accéder directement à des
fichiers informatiques et de saisir à distance par la voie télématique ou informatique, les
renseignements qui paraîtraient nécessaires à la manifestation de la vérité. »
© lopsi assemblée nationale 11 juillet 2002.
Promotion FI18
Page 31
Marc FERRIGNO
Projet de Loi pour la Sécurité Intérieure (PLSI) de Nicolas Sarkozy
Il prolonge les mesures prévues au chapitre V de la LSQ, votées en novembre dernier :
•
Le fichier national des empreintes génétiques (FNAEG), jusqu'ici réservé aux seules
personnes condamnées pour des crimes particulièrement graves, est étendu aux
simples suspects.
•
Le fichage devient sans limitation d'âge.
•
L'interconnexion des fichiers de police et de gendarmerie est prévue.
•
L'accès à ces fichiers policiers est étendu aux forces de l'ordre étrangères, aux
personnes travaillant dans les secteurs de la sécurité et investies de mission de police
administrative.
•
Il est prévu de ne pas restituer les objets saisis lors d'une procédure pénale. Il n’est pas
prévu de remettre les données informatiques que ces objets contiennent.
•
Le droit de copie privée reconnu par la loi française est remis en cause, par
l'élargissement de la notion de contrefaçon aux identifiants électroniques, sous couvert
de lutte contre le vol de téléphones portables.
•
Il est prévu l’installation de systèmes de vidéosurveillance "intelligents".
•
L'accès est facilité aux fichiers des immatriculations et des permis de conduire.
•
Pour finir, la LSQ prévoyait d'abroger les mesures d'exception adoptées au 31
décembre 2003, et le PLSI précise que leur abrogation ne pourra avoir lieu avant le 31
décembre 2005.
Le 25 octobre 2002, la CNIL s’est autosaisie et a fait connaître sa position sur les dispositions
du projet de loi pour la sécurité intérieure, relatives aux fichiers de police judiciaire et au
fichier national automatisé des empreintes génétiques.
Elle demande que soit respectées, les prérogatives de la loi 78-17 du 06 janvier 1978 relatives
aux fichiers nominatifs, et demande qu’une référence explicite y soit faite dans l’article 9 du
projet de loi.
La CNIL souligne que les conditions d’accès élargis, depuis les besoins d’enquêtes, à des
tâches de vérification administratives, sur l’ensemble du territoire risque de faire jouer aux
fichiers de police le rôle de casier judiciaire, moins contrôlé.
Concernant le fichier d’empreintes génétiques, la CNIL souligne le fait qu’une personne peut
se retrouver fichée juste par suspicion d’infraction (visée dans l'article 706-55), et non plus
après condamnation.
Source : Commission Nationale de l’Informatique et des Libertés (CNIL)
http://www.cnil.fr
Promotion FI18
Page 32
Marc FERRIGNO
La Commission Nationale Consultative des Droits de l’homme (CNCDH) a procédé d’office
à un examen du projet de loi pour la sécurité intérieure et regrette de n’avoir pas été en
mesure, faute de saisine officielle, d’émettre un avis avant l'ouverture des travaux
parlementaires.
La CNCDH rappelle que la sécurité ne s’oppose pas aux libertés, notamment le respect de la
dignité humaine, la liberté d’aller et venir, les droits de la défense, sans lesquelles il n’est pas
de véritable sécurité.
La « raison plausible » est une notion floue susceptible d’entraîner, au-delà même du contrôle
d’identité (article 78-2 du CCP) ou de la visite des véhicules (article 78-2-3 du CCP), la
conservation sur un fichier, des empreintes génétiques enregistrées concernant des personnes
ayant fait l’objet d’investigations judiciaires par les officiers de police (article 15 706-54 du
CCP). La CNCDH avait déjà rejeté cette modification lors de l’examen de la loi du 4 mars
2002.
La CNCDH s’interroge sur la portée des dispositions concernant le traitement automatisé
d’informations, les personnes auxquelles il s’applique, et généralement la constitution et les
conditions de sorties des fichiers. S’ajoutent des préoccupations sur les personnes qui y ont
accès.
La CNCDH s’étonne que n’ait été retenus, comme cause d’effacement du fichier que les cas
de relaxe ou d’acquittement.
S’agissant de l’accès au fichier, la CNIL a précisé que le système de traitement des infractions
constatées est à la disposition des Officiers de Police Judiciaire habilités, ce qui concernerait
environ 40.000 personnes. Si le projet de loi est adopté en l’état, environ 400.000 personnes
seraient aptes à solliciter l’accès à cette base de données.
La CNIL a rappelé, tout comme la CNCDH, les graves dangers d’atteinte aux libertés
individuelles et au respect des droits des personnes résultant de l’utilisation des fichiers de
police judiciaire pour les enquêtes et autres tâches administratives. A cet égard, l’utilisation
notamment à l’occasion d’embauche est très préoccupante, sous réserve toutefois des
embauches dans des emplois liés à la défense et à la sécurité.
Il y a donc lieu de limiter les catégories de personnes dépositaires du pouvoir de consultation
des fichiers aux seules autorités de police et de justice.
Source : Commission Nationale Consultative des Droits de l’homme (CNCDH)
http://www.commission-droits-homme.fr
Projet de loi pour la confiance dans l’économie numérique (LEN)
Art. 43-8 : protection des hébergeurs.
Les hébergeurs ne sont mis en cause, que si en ayant pris connaissance du caractère illicite
d’informations ou d’activités, ils n’ont pas agit promptement pour en interdire l’accès.
Art. 43-11 : pas d’obligation de surveillance, ni de recherche de contenu illicite.
Art. 43-13 : obligation de détenir et de conserver les données de nature à identifier, toute
personne ayant participé à la création du contenu illicite.
Art. L. 32-3-3 : protection des fournisseurs d’accès.
Art. 10 et 11 : indentification claire et non équivoque des publicités publiées ou envoyées par
voies électroniques. Identification de l’émetteur obligatoire.
Promotion FI18
Page 33
Marc FERRIGNO
Art. L. 33-4-1 : interdiction de la prospection directe par moyens automatisés, sans
consentement préalable du destinataire. Sauf, s’il y a eu vente ou prestation de service au
préalable et si le destinataire a le moyen de s’y opposer. Identification de l’émetteur
obligatoire.
Article 18-1 : utilisation libre de moyens cryptographiques.
Article 18-2 : la fourniture et le transfert dans la Communauté Européenne de moyens de
cryptographie, dans un but d’authentification ou de contrôle d’intégrité sont libres.
Article 18-3 : la fourniture, le transfert dans la Communauté Européenne, ou l’importation
dans un but autre que, l’authentification ou le contrôle d’intégrité est soumis à l’autorisation
du premier ministre.
Article 19 : la fourniture de prestations en matière de cryptographie, est soumise à déclaration.
Article 20 et 21 : responsabilité des prestataires de cryptographie.
Ils sont responsables des préjudices causés aux personnes utilisant leurs services, tant qu’ils
n’ont pas démontré qu’aucune faute ou négligence n’ont été commises.
Art. 323-3-1 :
Le fait de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument,
un programme informatique ou toute donnée, conçus ou spécialement adaptés pour commettre
une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines
prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement
réprimée.
« Les dispositions du présent article ne sont pas applicables lorsque la détention, l’offre, la
cession et la mise à disposition sont justifiées par les besoins de la recherche scientifique et
technique ou de la protection et de la sécurité des réseaux de communications électroniques et
des systèmes d’information. »
5.3. Les codes de conduite ou la régulation par le bas
De nombreux exemples de propositions et de règles conseillant le comportement à avoir sur
l’Internet peuvent être trouvées à travers le WEB. Beaucoup de personnes y consacrent du
temps et montrent leur implication dans le devenir de la société de l’information et de
l’Internet. Ces exemples contiennent des idées vraiment intéressantes et il est regrettable, qu’il
n’y ai pas plus de personnes qui participent à cette avancée.
Quand l’on parle de régulation par le bas pour l’Internet, on pense Netiquette ou Requests for
Comments (RFC) 1855.
Cette RFC peut être trouvée à cette adresse (en anglais) :
http://www.dtcc.edu/cs/rfc1855.html
Une traduction est consultable ici :
http://web.ccr.jussieu.fr/ccr/Netiquette.html
Ce document fixe un ensemble de règles qu’il convient de respecter, si l’on désire que l’ordre
règne sur l’internet.
Promotion FI18
Page 34
Marc FERRIGNO
Vous trouverez ci-dessous un ensemble de sites d’Associations militantes pour la régulation
par le bas :
Association Francophone des Utilisateurs de Linux et des Logiciels Libres (AFUL) :
association ayant pour but la promotion des logiciels libres (http://www.aful.org/).
Droits et libertés face à l'informatisation de la société (DELIS) : intercollectif veillant au
respect de la vie privée et de la confidentialité sur Internet (http://www.delis.sgdg.org/).
Global Internet Liberty Campaign (GILC) : coalition militante pour l'application sur
l’Internet des libertés publiques et individuelles (http://www.gilc.org/).
Globenet : association dont les membres travaillent et militent dans les domaines de la
citoyenneté active et de la solidarité internationale (http://www.globenet.org/).
Et ci-dessous des associations de défense des libertés :
Association Iris
http://www.iris.sgdg.org/actions/loi-sec/
Site de défense des libertés
http://www.lsijolie.net/lsq/
Libertés immuables
http://www.enduring-freedoms.org/rubrique.php3?id_rubrique=4
Fédération Informatique et Liberté
http://www.vie-privee.org/
forum des droits sur l’Internet FDI
http://www.foruminternet.org/
Reporters sans frontières RSF
http://www.rsf.org/
Remarques : Ce site contient un rapport sur les ennemis d'Internet.
Ces listes sont loin d’être exhaustives, et l’on peut encore en trouver beaucoup d’autre.
B. La protection
1. Palliation
1.1. Gestion du risque
Les risques, une fois identifiés, peuvent être sujet d’une évaluation multicritères en fonction
de leurs conséquences sur le SI, leur impact sur le métier et la probabilité d’apparition. En
fonction de cela, il faudra soit supprimer ces risques (si c’est possible) ou à défaut les gérer du
mieux que l’on peut, en les diminuant, en les déplaçant ou en les acceptant.
Promotion FI18
Page 35
Marc FERRIGNO
Figure 18 :
Gestion du risque.
J’accepte le
risque
Je gère le
risque
Je transfère
le risque
Je refuse le
risque
©Nortel Networks
1.2. Mises à jour système
Ici, on touche à un épineux problème. En effet, la plupart des systèmes d’exploitation ont eu,
ont, et auront des failles de sécurité. Ces failles, une fois découvertes, sont publiées sur des
sites spécialisés tels que bugtrap. Une fois publiées, elles sont quelques fois corrigées par les
éditeurs de systèmes ou de logiciels. Quand on sait que 85% des attaques système exploitent
ces failles, on comprend l’importance de les corriger. Toutefois, il convient d’effectuer des
tests de non régression, afin d’être sur de ne pas introduire de nouveaux problèmes. Quoi qu’il
en soit, la mise à jour est conseillée.
Il faut se tenir au courant des mises à jour disponibles. Pour cela, il est préférable de s’inscrire
sur un mailing liste d’alerte sûr les failles de sécurité et sur une d’alerte sur les virus.
Voici, deux adresses où vous pourrez trouver un ensemble de liens vers des mailing listes :
http://online.securityfocus.com/archive, ou sur le site de securite.org :
http://www.securite.org/db/securite/information/listes).
1.3. L’utilisation de logiciels libres
Ross Anderson, chercheur à l'université de Cambridge a réalisé une étude comparant les
logiciels open source (dont le code source du programme est fourni) et les logiciels
propriétaires (dont le code est tenu secret). Il a démontré, mathématiquement que les deux
systèmes sont comparables en matière de bug (pannes) système. Ce sont en effet ce genre de
pannes défaut qui sont exploitées à des fins illicites. Néanmoins il ne faut pas oublier
l’avantage notable présenté par les systèmes open source, en matière de correction de ces
bugs. En effet en ayant accès au code source, il est relativement facile de réaliser un patch
permettant de combler une faille découverte. Dans le cas des systèmes propriétaires il faut
attendre le correctif fourni par l’éditeur du logiciel une fois qu’il aura reconnu l’existence de
cette faille.
L’étude de Ross Anderson semble par contre démentir l’affirmation de la communauté
GNU/Linux, selon la laquelle les logiciels a code ouvert sont plus fiables. Mais il n’enlève
pas le principal avantage qui est, que la dissimulation de backdoor devient difficile dans des
logiciels dont on a le code source.
Promotion FI18
Page 36
Marc FERRIGNO
Un exemple de backdoor bien connu a été exploité par un groupe de hacker, le Chaot
Computer Club dans leur logiciel Back Orifice, qui permet de prendre le contrôle intégral de
Windows 98. Le groupe a toujours affirmé s’être servi de fonctionnalités déjà existantes dans
Windows. On peut également citer le bug de la NSA KEY : lors de l’utilisation de moyens
cryptographiques sous windows, une copie de la clé utilisée était créée sous le nom de NSA
KEY.
Les autorités australiennes ont demandé de ménager une backdoor dans les logiciels que leurs
éditeurs fournissent.
Ces exemples montrent bien que l’utilisation de logiciels propriétaires pose quelques
problèmes au niveau de la confiance que l’on peut leur accorder, surtout lorsqu’ils sont
fournis par des pays tiers.
De son côté, le vice-président de la division Windows de Microsoft, Jim Allchin, a expliqué
lors du procès Microsoft, en mai devant le tribunal de Washington : «Plus les créateurs de
virus connaissent le fonctionnement des mécanismes antivirus de Windows, plus il leur sera
facile de créer des virus ou de désamorcer ou d'attaquer ces mécanismes».
Par contre, cette justification, de la dissimulation du code source de Windows n’est pas
recevable, au regard de l’étude de Ros Anderson. En effet, les logiciels open source, bien
qu’ouverts ne sont pas plus sensibles aux attaques que les logiciels Microsoft.
Par contre, Linux est de plus en plus une cible de choix pour les pirates. Une étude de la
société anglaise MI2g (http://mi2g.com/cgi/mi2g/press/110702.php) montre que si l’année
dernière on constatait une attaque de serveur Linux pour trois attaques de serveur Windows,
ce rapport est passé à une pour deux. Cela serait du au manque de maîtrise des administrateurs
utilisant Linux.
1.4. L’audit sécurité
Il est primordial de vérifier la robustesse du système de sécurité de l’entreprise. Ces tests ou
audits doivent de préférence être réalisés par un organisme externe qui ne soit pas impliqué
dans la mise en œuvre de la sécurité de l’entreprise. Dans ce cadre, il est toutefois
recommandé de faire appel à un organisme compétant et de confiance. Les audits doivent être
réalisé de manière contractuelle, afin de protéger à la fois l’auditeur et l’entreprise.
A son issue, si des défauts sont constatés, il convient de chercher rapidement des solutions
visant à supprimer ou à défaut, à réduire les risques d’exploitation de ses faiblesses par des
personnes mal intentionnées.
Il existe des logiciels de tests de vulnérabilités tel Nessus : http://www.nessus.org/ ou saint :
http://www.saintcorporation.com/ pour system Unix et Linux. Une liste et une description
d’outils peuvent être trouvées à cette adresse :
http://www.highsecu.net/dossiers/outils_de_securite.php.
Malheureusement, la plupart des outils ne marchent que sur Unix.
Promotion FI18
Page 37
Marc FERRIGNO
2. Surveillance
2.1. Monitoring, surveillance réseau
Ce sont des outils, qui permettent de surveiller le fonctionnement du réseau. Ils détectent
d’éventuelles surcharges, des pannes, voire même des fonctionnements suspects.
Vous en trouverez à cette adresse : http://www.netmon.org/tools.htm.
Une petite explication complémentaire sur les outils de surveillance réseau libre et en français
est disponible à cette adresse : http://www.urec.cnrs.fr/metrologie/html/log_res.html
2.2. Journaux (Log), Traces
Les logs, ce sont des fichiers dans lesquels s’enregistrent les évènements qui surviennent sur
les réseaux. On peut choisir les évènements à surveiller. Mais, le plus gros problème des
fichiers de logs, est qu’ils ont tendance à grossir très rapidement et deviennent difficile à lire
ou à analyser. Dans le cas où on enregistre des données sur les agressions portées au SI, il est
bon de dissimuler ces fichiers et de les protéger de toutes modifications. Le mieux est de
sauvegarder les logs sur des supports non réinscriptibles. Une copie de sauvegarde peut
s’avérer nécessaire.
2.3. Sand-Boxing
Sand-Boxing : le projet Systrace (http://www.citi.umich.edu/u/provos/systrace/) est un
système créé par Niels PROVOS utilisant le principe des Sand-Boxing ou bac à sable. Ce
système permet de mieux contrôler l’exécution et les appels système des applications.
2.4. Honey pot
Honey pot ou pot de miel : c’est un système permettant de surprendre d’éventuels pirates en
leur présentant une faille évidente, mais piégée, afin de détecter leur présence. Le projet
Honeyd de Niels PROVOS (http://www.citi.umich.edu/u/provos/honeyd/) en est une
illustration.
2.5. Firewalls, Ids, Antivirus
« Le secteur de la sécurité a déjà permit la réalisation de substantiels profits. »
©Droit et sécurité des télécommunications de Claudine GUERRIER et Marie-Christine MONGET
Le matériel est une partie incontournable de la sécurité. Nous avons vu que la majorité des
problèmes sont dus aux virus. C’est donc dans ce sous-chapitre que nous allons voir quelques
éléments indispensables de la sécurité.
a) Antivirus
Les logiciels antivirus sont nombreux et il est donc difficile d’en choisir un. Ils sont la plupart
basés sur de la détection de signature. Les signatures sont des portions de code machine
caractérisant un virus. Toutefois bien qu’efficace cette technique à deux désavantages.
D’abord elle ne permet pas de détecter les nouveaux virus, et il faudra attendre la prise en
compte par l’éditeur du logiciel, afin de détecter les nouveaux venus. Le second problème,
vient du fait que le nombre de virus augmente continuellement. Du coup, la taille des fichiers
de signature, et la taille mémoire nécessaire pour faire fonctionner les logiciels antivirus, ne
cessent de croître.
Promotion FI18
Page 38
Marc FERRIGNO
On commence à voir apparaître des logiciels dont la détection se base sur les comportements
anormaux que l’on retrouve dans les activités des virus.
Vous trouverez une liste de vendeur d’antivirus à cette adresse :
http://www.virusbtn.com/resources/links/index.xml?ven
Et une liste de comparatifs vous aidant à choisir à cette adresse :
http://www.av-test.org/sites/tests.php3?lang=fr
Il existe des organismes certificateurs :
Checkmark :
http://www.check-mark.com/cgi-bin/redirect.pl
ICSA labs :
http://www.icsalabs.com/html/communities/antivirus/certifiedproducts.shtml
b) Firewall ou pare-feux
Les Firewalls peuvent être logiciels ou matériels. Cet outil permet de verrouiller et de
contrôler les accès aux ports de l’ordinateur. Les ports sont des sortes de portes au travers
desquelles les informations entrantes (de l’Internet vers votre ordinateur) et sortantes (en
provenance de votre ordinateur) passent. Les ports portent des numéros correspondant la
plupart du temps à un service. Par exemple le port numéro 80 est réservé pour les données de
types Hype-Text Transfert Protocol (HTTP), c'est-à-dire à destination de votre navigateur
Web.
Le problème réside dans le fait que les Firewalls ouvrent ou ferment des ports, mais peuvent
difficilement contrôler le contenu qui passe à travers ces mêmes ports. De même le contrôle
est effectuer dans les couches de haut niveau du modèle OSI (modèle conceptuel des réseaux
locaux, voir à la fin de l’annexe). Or, les attaques interviennent à des niveaux inférieurs et ne
sont pas détectées. Les Firewalls sont de plus en plus couplés avec d’autres produits tels que
les antivirus, les IDS et les contrôleurs d’intégrité, ce qui permet à ces solutions de se
compléter.
Un comparatif des firewalls software peut être trouvé ici :
http://www.firewallguide.com/software.htm
Les leaders du marché en firewalls matériels :
http://www.accessible.ch/securite/offre.htm
c) Intrusion Detection System (IDS) ou système de
détection d’intrusion
Ces systèmes analysent les paquets IP qui passent sur les réseaux, à la recherche de portions
codes spécifiques aux attaques. On retrouve ici les mêmes inconvénients que pour les
antivirus. Toutefois, ces systèmes sont de plus en plus recommandés comme complément des
firewalls.
Vous trouverez des informations sur les IDS à cette adresse :
http://www.securite.org/db/securite/ids
d) Contrôleur d’intégrité
Les contrôleurs d’intégrité permettent d’avoir connaissance de la modification des fichiers
présents sur le disque dur. Pour y parvenir, ils calculent des valeurs très courtes par rapport à
la taille du fichier et uniques pour chaque fichier. Ces valeurs sont ensuite stockées dans un
Promotion FI18
Page 39
Marc FERRIGNO
fichier, auquel le système fera référence lors de la vérification. On trouve des calculs de type
Cyclic Redundancy Check (CRC) ou MD5 utilisés pour leur rapidité de calcul. Toutefois
lorsque les disques contiennent beaucoup de fichier, l’opération de calcul ou de vérification
des clés devient très longue. Pour pallier cela, les éditeurs ont ajouté la possibilité de choisir
les fichiers auxquels s’applique la surveillance.
Promotion FI18
Page 40
Marc FERRIGNO
Il est à noter que les systèmes possédant des fonctionnalités de mise à jour automatiques,
posent un problème supplémentaire. En effet, lors de la mise à jour, un grand nombre de
fichiers sont modifiés posant alors le problème de connaître quels fichiers l’ont été
légitimement. Mais, ces systèmes sont pratiquement le seul moyen de détecter une infection
par un virus de type inconnu.
En voici deux très connus :
• Avanced Diskinfoscope, on peut le trouver à cette adresse : http://www.adinf.com/
• Tripwire, leader du marché, on peut trouver à cette adresse :
http://www.tripwire.com/ et pour la version Opensource :
http://sourceforge.net/projects/tripwire.
3. Protection
3.1. Virtual Private Networks VPN ou Réseaux Privés
virtuels RPV
C’est une solution pour créer des liaisons sécurisées sur Internet Protocol (IP). Les entreprises
peuvent ainsi relier à leur intranet les utilisateurs nomades et les télétravailleurs. Deux
technologies dominent le marché : Multi-Protocol Label Switching (MPLS) et IP Security
Protocol (IPSec). Avec IPSec, toutes les données échangées entre l’entreprise et le
télétravailleur sont encryptées. Avec MPLS, les paquets IP, sont marqués et ils contiennent
une étiquette qui permet de définir le chemin qu’emprunteront les paquets sur le réseau de
l’opérateur. On peut ainsi éviter que les données ne tombent dans de mauvaises mains. Un
livre blanc est disponible sur le site de colt telecom :
http://www.colt-telecom.fr/presse/acc/evenement/indexipvpn.html.
3.2. La cryptographie
a) Généralités
La cryptographie est un terme générique, désignant l’ensemble des techniques permettant de
crypter un document, c'est-à-dire de le rendre inintelligible. Le message crypté est appelé
cryptogramme. L’action qui permet la transformation du message en clair à un
cryptogramme s’appelle chiffrement. Pour être de nouveau lisible le cryptogramme devra
être déchiffré. Cette opération se nomme déchiffrement.
Il est important de préciser que les actions de chiffrement et de déchiffrement s’effectuent à
l’aide d’une clé. En effet, lorsque que l’on transforme un message clair en message illisible
sans clé, nous avons non pas affaire à une opération de cryptage, mais à un encodage. Cette
opération ne fournit aucune protection du document.
Le passage d’un cryptogramme à un texte clair, sans utilisation de la clé, fait appel à des
techniques de cryptanalyse (ou cassage).
On distingue deux types de clés :
Les clés symétriques : la clé utilisée pour le chiffrement est la même que celle utilisée
pour le déchiffrement. On parle alors de chiffrement symétrique ou de chiffrement à
clé secrète.
Promotion FI18
Page 41
Marc FERRIGNO
Figure 19 :
Systèmes de cryptage à clé secrète
Les clés asymétriques: la clé utilisée pour le chiffrement est différente de celle
utilisée pour le déchiffrement. On parle alors de chiffrement asymétrique ou de
chiffrement à clé publique.
Figure 20 :
Systèmes de cryptage à clé publique
Le problème rencontré avec les algorithmes à clé secrète, est que la clé doit être connue du
destinataire. L’étape de fourniture de la clé est un moment critique.
La taille des clés diffère entre les solutions à clé secrète et à clé publique. Ainsi, pour avoir
l’équivalent d’une clé secrète de 128 bits, il faudra utiliser une clé supérieure à 3072 bits.
La cryptographie remplie permet de répondre aux exigences de confidentialité, de non
répudiation et d’intégrité des documents, avec en prime l’authentification des
correspondants.
Promotion FI18
Page 42
Marc FERRIGNO
Pour y parvenir on peut procéder ainsi :
Figure 21 :
Protocole de cryptage avec non répudiation des données
Néanmoins ce système n’est pas infaillible car il est sensible à l’attaque « man in the
middle ».
Afin d’éviter cette attaque, les clés publiques peuvent être stockées sur un serveur d’une
société qui se chargera de garantir l’identité du propriétaire de la clé publique fournie. Ce
service est appelé Tiers de confiance.
b) Cadre légal
C’est le Décret n° 99-200 du 17 mars 1999 qui pose les limites sur la cryptographie.
Figure 22 :
Synthèse du cadre législatif des moyens et prestations de cryptologie
Opérations
Fourniture
Importation1
Utilisation
Applications
Confidentialité
Authentification
Longueur de la clé
Signature
Intégrité
< ou = 40 < ou = 128 > 128 bits
bits
bits
Soumise à
Soumise à Soumise à Soumise à
déclaration
déclaration déclaration autorisation
simplifiée
Libre
Libre
Libre2
Soumise à
autorisation
Libre
Libre
Libre2
Autorisé3
©source DCSSI
1
Libre dans tous les cas, si en provenance d’un Etat appartenant à la Communauté
européenne ou étant partie à l’accord instituant l’Espace économique européen.
2
A condition, soit que lesdits matériels ou logiciels aient préalablement fait l’objet d’une
déclaration par leur producteur, un fournisseur ou un importateur. Soit que lesdits matériels
ou logiciels soient exclusivement destinés à l’usage privé d’une personne physique. Sinon,
une déclaration d’utilisation personnelle doit être adressée à la DCSSI.
Promotion FI18
Page 43
Marc FERRIGNO
3
A condition que lesdits matériels ou logiciels aient fait l’objet d’une autorisation de
fourniture en vue d’une utilisation générale, sinon, une demande d’autorisation d’utilisation
personnelle doit être adressée à la DCSSI.
c) Produits existants
Advanced Encryption Standard (AES) : c’est l’algorithme à clé secrète qui a été choisi par
les Etats-Unis, en remplacement du Data Encryption Standard (DES) et du triple DES.
L’algorithme qu’il comprend est RJINDAEL. Des clés de 128 ou 256 bits suffisent.
Rivest-Shamir-Adleman (R.S.A) : c’est un algorithme à clé publique basé sur la
factorisation des nombres premiers. Bien qu’ancien, il est toujours sûr, à utiliser avec des clés
de 4096 bits.
Socket Secure Layer 3 (SSL3) : utilisé en particulier lors de transactions commerciales, en
mode sécurisé "https". Une clé de chiffrement symétrique est générée en local (sur votre PC).
Cette clé est transmise au serveur et chiffrée avec la clé publique associée au certificat
numérique du serveur. Une fois cette clé transmise, toute la communication, dans les deux
sens, est chiffrée avec cette clé.
S/MIME : utilisé conjointement au logiciel client de messagerie; permet de signer des
messages, ou de recevoir des messages chiffrés.
Pretty Good Privacy (PGP) : c’est une sorte de cocktail d’algorithme à clés secrètes et
publiques.
http://www.pgp.com
Gnu Privacy Guard (GnuPG) : la meme chose en libre.
http://www.gnupgp.org
OpenSSL : http://www.openssl.org, qui permet de créer une Autorité de Certification et de
générer des certificats numériques X509.
Pegwit : http://www.pegwit.org, est un logiciel de chiffrement de fichiers utilisant AES 224
ou 256 bits et des clés ECC de 233 bits.
d) Le futur
Cryptographie Quantique : c’est une méthode qui est basée sur la physique nucléaire. Deux
particules mises en relation, ici des photons, restent synchronisées quelque soit la distance
qui les sépare. Ainsi, lors d’une transmission par fibre optique, si le message est intercepté
avant d’arriver à destination, l’expéditeur en est instantanément informé. Bien que cette
méthode soit expérimentale une équipe de chercheurs suisses ont réussi à réaliser un
échange de deux clés sur une distance de 67 kilomètres. Cet exploit est à relativiser, car
aucun amplificateur ou autre relais se trouvait sur la route du faisceau.
Promotion FI18
Page 44
Marc FERRIGNO
C. La récupération
1. Sauvegarde
1.1. Mirroring ou duplication de données ou de services
Il convient de ne pas mettre tous ses œufs dans le même panier. Des systèmes miroirs, comme
les systèmes de disque en Raid permettent en cas de perte d’un disque dur, de ne pas perdre
ses données. Pour cela, les données sont dupliquées sur plusieurs disques.
Il en va de même pour les services, en cas de défaillance d’un serveur, il est bon d’avoir un
autre serveur prêt à prendre le relais. D’ailleurs, il est préférable que les services réseaux
soient sur des machines différentes ; en effet, si un attaquant prend le contrôle d’un des
serveurs, il n’aura pas la main mise sur tous les services.
1.2. Back-up ou Sauvegarde/ Restauration de données
La sauvegarde est indispensable quand on a des données à protéger. Cela va du simple
système de sauvegarde du système d’exploitation, au système de sauvegarde multiposte
réseau. Quelque soit le système choisi, il est bon de prendre les mêmes précautions qu’en
matière de conservation logs.
2. Récupération
2.1. Système à haute disponibilité
Un système à haute disponibilité est un système qui comprend un ensemble de mesures
permettant à ce dernier, de continuer à fonctionner en cas de problème. Cela comprend des
système de duplication de données ou de services, des systèmes de redémarrage automatique,
des systèmes à répartition de la charge réseau (Network Load Balancing) et bien d’autre…
Ces systèmes existent bien souvent sous forme de cluster (ensemble de plusieurs ordinateurs
chargé de se répartir le travail).
3. Compensation
Si malgré toutes les protections mises en place, des dégâts ont eut lieu sur votre SI, il ne vous
reste plus que les procédures judiciaires et les assurances pour récupérer une part de vos
pertes financières.
3.1. Procédures judiciaires
Etant donné l’ensemble des lois existantes, si vous avez des preuves portant sur les dégâts
subis et l’identité des malfaiteurs, vous pouvez déposer une plainte. Toutefois les procédures
sont longues et coûteuses, il convient donc de réfléchir aux conséquences de la plainte et à ses
possibles apports.
3.2. Assurances
Selon la valeur de vos installations et de vos données, et du niveau de dépendance à
l’informatique, il convient de souscrire un contrat d’assurance. Il est bon de rappeler que la
sécurité informatique englobe aussi la prise en charge de problèmes tel que le vol, l’incendie
et les catastrophes naturelles. Mais, si l’on souscrit plus facilement un contrat d’assurance
pour ces derniers cas, on ne pense pas toujours à s’assurer contre les problèmes que peut subir
le SI.
Promotion FI18
Page 45
Marc FERRIGNO
IV. Recommandations
Mes recommandations vont se diviser en deux parties, une partie pour les services
gouvernementaux et une partie pour les PME et les particuliers.
Les solutions retenues doivent tenir compte des remarques formulées dans le paragraphe
« Importance et localisation du besoin ».
La sécurité informatique c’est 20% de matériel et 80% d’humain, mais le matériel est
indispensable.
Les solutions proposées devront être en adéquation avec le niveau de confidentialité des
données à protéger.
Les multinationales et les Etats nations sont sensibilisés à la sécurité informatique, et
protégés.
Le traitement des problèmes doit tenir compte de l’impact métier.
La majorité des problèmes provient d’erreurs de manipulation ou de défaillances SI.
Le pourcentage d’attaques en provenance d’Internet reste très faible (parmi les attaques 85%
exploitent des failles applicatives).
Les utilisateurs du SI posent plus de problèmes que les hackers.
Les virus sont la première source d’attaque du SI.
Seulement 20% des attaques sont connues des victimes.
Les données doivent répondre aux critères de : disponibilité, intégrité et confidentialité.
A. Les services gouvernementaux
Les services gouvernementaux ont surtout une action au niveau de la prévention (dissuasion,
information, canalisation et orientation). Ils ont un rôle principalement au niveau de la
dissuasion avec les lois. Malheureusement, l’information, la canalisation et l’orientation sont
peut développés.
Information
L’Etat possède une infrastructure importante au niveau de la sécurité informatique. Ces
services sont bien structurés, mais malheureusement, quand on est débutant dans la sécurité, il
est difficile de savoir ou trouver les informations et à qui s’adresser.
L’information et la formation aux entreprises
L’Etat devrait faire un effort dans Ce sens, en proposant ses services et en allant au devant des
entreprises. La sécurité est l’affaire de tous et il serait bon que tout le monde puisse bénéficier
des compétences des services publics.
Les normes et méthodes d’analyse de risques et de gestion de risques.
A ce niveau, l’Etat s’est déjà impliqué, notamment avec la méthode EBIOS, en la mettant à
disposition sur le site de la DCSSI. Je ne peux que préconiser de continuer.
Promotion FI18
Page 46
Marc FERRIGNO
Dissuasion
La régulation par le haut
« Une liberté qui n’est pas encadrée par la loi cesse d’être une liberté »
©Dominique SCHNAPPER membre du conseil constitutionnel. Le monde informatique 947 S 12
juillet 2002.
« Faut-il accepter l’idée d’un espace Internet à part, avec ses propres lois ?
Joël de ROSNAY : Je m’y refuse. Cet espace peut et doit rentrer dans les nomes de la
société, sur le plan social, économique ou démocratique. S’il n’y parvient pas, les lois doivent
évoluer. »
© Joël de ROSNAY docteur ès sciences, directeur de la prospective et de l’évaluation à la cité
des sciences et de l’industrie à Paris. Le monde informatique 947 S 12 juillet 2002.
Les lois existantes couvrent tous les domaines de la sécurité informatique. Il manque surtout,
qu’elles soient appliquées. Les projets de loi qui sont apparus depuis le 11 septembre 2001,
ont apporté quelques compléments indispensables, mais surtout ont fait diminuer le respect
des droits de l’homme, de la vie privée et des libertés individuelles. Je tiens à mettre en garde
l’Etat contre cette orientation. En effet, de nos jours le nombre de personnes se reconnaissant
dans la politique du gouvernement, jouant leur rôle de citoyen dans la société, est en grave
diminution. Il suffit de regarder le nombre de participants aux élections et la montée des actes
d’incivilités pour s’en rendre compte. Il serait judicieux d’inverser cette tendance, en
respectant les droits de l’homme et des citoyens en matière de respect de la vie privée ou
Privacy et de leur donner un rôle à jouer dans l’amélioration de la sécurité.
Indentification
« Cela rejoint le débat autour de l’administration électronique. On peut imaginer qu’un
identifiant unique extrêmement simple (numéro de sécurité sociale…) pourrait permettre de
faire converger mes
différentes activités sociales, administratives, commerciales,
politiques…note Patrice FLICHY. Avec un aspect inquiétant : celui de dérive vers un Etat
policier où l’on sait tout sur vous »
© Patrice FLICHY professeur de sociologie à l’université de Marne-La-Vallée. Coauteur, avec le
magistrat Pierre TRUCHE et le Préfet Jean-Paul FAUGERE, du rapport « Administration
électronique et protection des données personnelles ». Le monde informatique 947 S 12 juillet
2002.
Je recommande de poursuivre la création du fichier d’empreintes génétiques et les mesures
visant à l’indentification des personnes se connectant sur le net. Toutefois, je recommande
d’arrêter le basculement de la loi d’une politique de recherche dans le cadre d’une enquête
sous le contrôle de magistrat, à une politique de fichage et de surveillance systématique de
tout le monde. Les fichiers de police et de gendarmerie peuvent être mis en commun, mais
leur accès ne doit pouvoir se faire que dans un cadre bien précis et bien identifié. Le nombre
de personnes y ayant accès doit être faible, et les motifs d’accès doivent être conservés. Les
fichiers doivent bénéficier d’une protection exemplaire.
Il serait bon que dans le cadre de l’élaboration des lois, l’Etat face participer ses propres
services compétents en matière de protection et de protection de la vie privée, telle que la
CNIL et CNCDH.
Promotion FI18
Page 47
Marc FERRIGNO
La régulation par le bas
« Procéder systématiquement à une consultation par l’Internet d’un mois sur tout ou partie
des actes réglementaires »
« L’ère de la fabrication d’une décision publique imposée est d’ores et déjà révolue »
« La co-régulation associe des entreprises des associations et des individus à la prise de
décisions par les autorités publiques. Elle permet de poser les termes du débat et d’établir un
pacte social selon une construction consensuelle. »
©Isabelle FALQUE-PIERROTIN présidente du forum des droits sur l’Internet FDI
Il serait également bénéfique de faire participer les citoyens, à travers des associations tel que
IRIS, Fédération Informatique et Liberté, AFUL et bien d’autres…ou des forums tels que
FDI.
En effet, si déjà la voix des citoyens pouvait être entendue lorsqu’elle s’exprime, peut être
d’autres personnes auraient envies de participer au débat, au lieu de baisser les bras.
« Joël de ROSNAY : Il va falloir d’autre lois. Mais pas en passant par le haut, c’est-à-dire
en imposant des contraintes refusées par les internautes. Ni part le bas, en espérant une
autorégulation que le manque de solidarité rend illusoire. Il faudra les deux : des faiseurs de
loi d’une part, une co-régulation citoyenne de l’autre. Alors la société avancera. »
© Joël de ROSNAY docteur ès sciences, directeur de la prospective et de l’évaluation à la cité
des sciences et de l’industrie à Paris. Le monde informatique 947 S 12 juillet 2002.
La sécurité des réseaux ne pourra exister, que si la régulation se fait à la fois, par le haut et par
le bas, et l’Etat devrait travailler dans ce sens.
Protection de la vie privée
La protection de la vie privée devrait être un des points de mire de l’Etat. Ce n’est qu’à ce
prix que les citoyens pourront se reconnaître dans l’Etat. Il est difficile de faire confiance en
un Etat qui ne vous respecte pas.
Pour y parvenir une CNIL plus forte et plus décentralisée, plus proche des citoyens serait une
bonne mesure à prendre.
La cryptographie et secret des correspondances.
« La raison d’état n’est pas raisonnable »
©Alain Weber Ligue des Droits de l’homme. Le monde informatique 947 S 12 juillet 2002.
« si un homme est prêt à sacrifier un peu de liberté pour un peu de sécurité, alors il ne mérite
ni l’une ni l’autre. »
©T. Jefferson.
La cryptographie est un des points délicats au niveau de la réglementation. La création de
Tiers de confiances étant presque des filiales de l’Etat, ne permettront pas de lever les
soupons pesant sur le non respect des correspondances. Il est vrai que la libération totale de la
cryptographie est dangereuse pour la souveraineté de l’Etat. Toutefois, comment faire
autrement pour protéger nos entreprises et nos citoyens. Je préconiserai quand même la
libéralisation de la cryptographie. Il faut également favoriser des initiatives telles que gnupg
et openpgp, qui permettent de lever le doute sur d’éventuelles backdoors. La régulation doit se
faire, dans l’optique déjà entamée, de fourniture des clés si le besoin s’en fait sentir dans le
cadre d’une enquête.
Promotion FI18
Page 48
Marc FERRIGNO
Rétention de données
Une fois n’est pas coutume, pour la rétention de données je préconiserai l’exemple américain.
Prevention Order : un policier américain peut demander à un magistrat, lorsqu’il constate
une infraction, de lui délivrer un Prevention order à destination du FAI. Celui–ci est tenu alors
de sauvegarder les données demandées et de les fournir plus tard lors de la présentation
rogatoire. Cette possibilité serait moins contraignante pour les FAI car les investissements
sont beaucoup moins lourds. De plus, elle garantit que le policier accède uniquement aux
informations nécessaires à l’enquête, et les informations fournies parviennent en de bonnes
mains.
Canalisation
Tout d’abord, je pense que si l’on occupe les Cyber-criminels, le temps pendant lequel ils
seront pris, ils ne l’emploieront pas à commettre des actes illicites. Même si cette remarque
peut semblée évidente, il faut se souvenir que les solutions les plus simples sont souvent les
meilleures.
Ensuite, le fait de donner à ces personnes ce qu’elles demandent, permet également de créer
un vivier de futur spécialistes dans la sécurité informatique, et en plus passionnés. Les
américains, en sont là à cause de leur premier amendement.
Je préconise donc la mise en place de cette canalisation sous deux formes :
L’autorisation des Meeting de hacking
J’irai même plus loin, une participation financière et une représention discrète, de l’Etat ou
des forces de police, seraient des plus bénéfique. Cela deviendrait un lieu d’échange, ou les
lois pourront être rappelées, des contacts noués et un premier repérage de personnes
compétentes réalisé.
Les deux grands meetings internationaux sont, le defcom (http:\\www.defcom.com) et la
blackhat partie (http:\\www.blackhat.com).
La création de SiteWeb de hacking
Là aussi de manière similaire, l’Etat peut mettre en place des sites comprenant des chalenges
de hacking, à relever. Cela permettrait de tester si des solutions de sécurité sont viables et de
repérer les personnes de talent et leur donnant la possibilité de participer à l’évolution de la
sécurité des réseaux. Voici quelques exemples de sites existants :
http://www.try2hack.nl/
….
Orientation
Dans cette rubrique, je ne peux que recommander de faire connaître les écoles existantes
sitées plus haut et d’en créer de nouvelles, afin de répondre à la forte demande actuelle de
spécialistes en sécurité.
Je tiens également à préciser, que des campagnes d’informations devraient être mises en place
pour informer les citoyens. En effet, il a fallu que je réalise ce mémoire, pour découvrir
l’existance d’écoles spécialisées dans la formation de futures RSSI.
Promotion FI18
Page 49
Marc FERRIGNO
B. Les PME et les particuliers
Je vais commencer par définir un niveau de besoin en sécurité en fonction de la valeur des
données à protéger, de la dépendance du site vis-à-vis de l’informatique et de la probabilité
d’apparition d’un problème. Cela permettra de simplifier le croisement de ces différents
paramètres et de pouvoir fournir une réponse, tenant compte de tout à la fois.
Confidentialité
des données
Dépendance
Vis a vis de
l’informatique
Publiques
(données
dont la
perte est
sans
importance)
Sensibles
(données
nominatives ou
à caractère
personnel)
Confidentielles
(découvertes,
recherches,
numéros de CB,
donnée clients)
Secrètes
(données
stratégiques,
armement)
Faible
1
3
5
6
Modérée
2
4
6
6
Forte
3
5
6
6
Remarques : le niveau choisi n’engage que moi. L’échelle choisie va de 1 à 6, afin d’éviter
des choix moyens, et être obliger de choisir. Les niveaux correspondant à la gêne que peut
engendrer une perte d’intégrité, une répudiation ou une divulgation des données.
1 : sans importance.
2 : légèrement gênant.
3 : dérangeant.
4 : très dérangeant.
5 : critique.
6 : inadmissible.
Niveau de besoin
en sécurité
1
2
3
4
5
6
Probabilité
d’apparition
d’un problème
<0.1%
1
1
2
3
4
6
0.1%< et <1%
1
1
2
4
6
6
1%< et <10%
2
2
3
5
6
6
>10%
2
3
4
6
6
6
Promotion FI18
Page 50
Marc FERRIGNO
Les bases d’un niveau de criticité étant posées, maintenant pour chaque type de mesures, je
peux faire une préconisation correspondante, en tenant compte des moyens financiers
disponibles. Dans un but de simplification, je ne discernerai que deux catégories, les gros et
les petits budgets.
Dissimulation.
Pour les gros et les petits budgets :
Utilisation de la sténographie et le masquage de disque.
Et éventuellement dans des cas extrêmes : le formatage non standard.
Information.
Mise en place de l’information aux employés.
Pour les gros budgets :
Définition de la politique de sécurité avec EBIOS ou Mehari. Le choix doit être fait en
fonction de la taille de l’entreprise et du temps disponible pour sa réalisation.
Dissuasion
Définition de mots de passe solides.
Utilisation de cartes à puces, les dongles ou clés comme support de ces derniers.
Indentification des employés par la biométrie.
Mise en place d’annuaire LDAP ou OpenLDAP
Cyber Surveillance des salariés.
Palliation
Mise à jour régulière du système, et application des correctif de sécurité.
L’utilisation de logiciels libres.
Mise en place d’une politique de gestion du risque et création d’une cellule de veille.
L’audit sécurité en interne ou en externe par société de confiance.
Promotion FI18
Page 51
Marc FERRIGNO
Surveillance
Pour les gros et les petits budgets
Installation d’Antivirus, de Firewall, d’IDS et de moyens de contrôle d’intégrité.
Mise en place de Monitoring, de surveillance réseau, d’analyse de Logs.
Utilisation de Sand-Boxing et d’Honey pot.
Protection
Utilisation de GnuPG et OpenSSL.
Mise en place de VPN pour les itinérants.
Sauvegarde
Installation d’un système de Sauvegarde/ Restauration de données
Récupération
Mise en place de Système à haute disponibilité et de duplication de données ou de services.
Compensation
Souscrire des Assurances et entamer des procédures judiciaires en cas de gros dégât.
Promotion FI18
Page 52
Marc FERRIGNO
Ce tableau de synthèse permet d’y voir un peut plus clair.
Niveau de Besoin
1
2
3
4
5
6
Mesures
Dissimulation
Formation des employés
Politique de sécurité
Mots de passe solides sur
support matériel.
LDAP ou OpenLDAP
Mise à jour système
Utilisation Logiciel libre
Cellule de veille, audit
Antivirus, Firewall, IDS
Monitoring, Logs
Cryptographie
VPN
Sauvegarde
Récupération
Compensation
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Petits budgets (< 1500€)
Gros budgets (> 1500€)
Remarques : l’orientation et la canalisation ne sont pas dans le tableau ci-dessus car elles ne
sont plus du fait de l’Etat.
De ce tableau constater et tirer quelques conclusions :
• A partir du niveau 3, les gros budgets peuvent déjà déployer presque tout l’arsenal
disponible. Le chiffrage de solutions applicables dans ces cas, étant donné le coût de
mise en place, ne peut se faire que sur mesure. Il convient de prendre contact avec des
sociétés ou personnes expertes en sécurité informatique.
•
Dans le cas d’utilisation de logiciels libres, des solutions répondant au besoin des
niveaux 1 et 2 existent, et sont gratuites. Toutefois si vous utilisez, un système
d’exploitation propriétaire, il vous en coûtera environ 45€ pour un ensemble antivirus,
firewall et ids tel que la suite « Norton Personal Firewall ». Toutefois là encore, vous
pouvez utiliser un firewall tel que « zone alarm » et un ids tel que « snort », qui sont
également gratuit pour les particuliers.
Promotion FI18
Page 53
Marc FERRIGNO
V. Conclusion
Vous avez pu vous rendre compte, à travers la lecture de ce mémoire, que
l’amélioration des réseaux informatiques français, dans le respect de la souveraineté de l’Etat
et du droit à la vie privée, est une chose complexe. Les acteurs sont nombreux et les intérêts
des uns et des autres divergent. Toutefois, ce n’est qu’à travers un compromis convenant à
tout le monde, qu’un niveau de sécurité satisfaisant pourra être atteint. Ce consensus établi, la
sécurité des réseaux devra impliquer, l’ensemble des personnes connectées entre elles, dans sa
régulation.
Nous sommes tous concernés par l’insécurité qui règne sur les réseaux informatiques français.
La sécurisation ne pourra se faire que si tout le monde y participe .La régulation doit
s’effectuer, par le haut et par le bas, à la fois. Les citoyens doivent s’impliquer, et se
reconnaîtrent dans les actions entreprises par l’Etat.
Au sein de l’entreprise, la mise en place d’une politique globale de gestion de la sécurité est
essentielle. Cette politique doit être en harmonie, avec les activités de l’entreprise et la
stratégie choisie par la direction. L’adhésion de cette dernière est primordiale. En dehors des
aspects matériels obligatoires, la mise en place de la sécurité passe par un gros travail de
communication et d’information des employés.
La politique de sécurité doit tenir compte des aspects techniques, organisationnels, humains et
économiques. Les compétences nécessaires à sa réalisation sont nombreuses et une vision
globale de l’entreprise est impérative. C’est pour cette raison, qu’il est conseillé de confier la
mise œuvre et le déploiement de systèmes de sécurité importants à un professionnel ou un
spécialiste, sinon vous risquez de perdre beaucoup de temps et d’argent.
Il est difficile de remonter des chiffres et des indicateurs sur les problèmes de sécurité. Le
problème réside dans le fait, que les attaques externes demeurent majoritairement inconnues
des victimes et les victimes n’aiment pas s’étendre sur ce type de problème.
Les particuliers doivent eux aussi se protéger, afin que leurs ordinateurs ne servent pas de
base pour l’attaque d’autre SI.
J’encouragerai fortement les citoyens à s’intéresser aux projets de loi, même si les décrets
d’application ne sont pas encore parus. L’absence de réaction des citoyens, équivaut à une
adhésion de leur part aux projets de loi. Une fois la loi approuvée et les décrets d’applications
publiés, il est trop tard pour une quelconque protestation.
Pour finir, je lancerai volontiers le débat sur le brevet logiciel. Ce phénomène est parti des
Etats-Unis et a touché l’Europe. Il réduit encore les libertés individuelles, met en danger le
monde du logiciel libre, enrichit et assoit un peu plus les monopoles informatiques actuels.
Mais, cela est un nouveau sujet de mémoire à lui seul.
Marc FERRIGNO
VI. Annexes
A. Bibliographie
•
Halte aux hackers troisième édition, de Suart McClure, Joel Scambray et George
Hurtz. Publié aux éditions EOM ISBN 2-7464-0407-9
•
Stratégie anti-hackers, de Ryan Russell.
Publié aux éditions Eyrolles ISBN 1-928994-15-6
•
Droit et sécurité des télécommunications, de Claudine Guerrier et de MarieChristine Monget. Publié aux éditions Springer ISBN 2-287-59679-8
•
Sécurité des systèmes d’information, publié par le Club informatique des grandes
entreprises françaises (Cigref) en septembre 2002.
•
Études et statistiques sur la sinistralité informatique en France, publié par le Club
de la sécurité des systèmes d'information français (Clusif) en mai 2001.
•
Computer Crime and Security Survey réalisé conjointement avec le Computer
Security Institute (CSI) et le Federal Bureau of Investigation (FBI).
•
Rapport : Administration électronique et protection des données personnelles.
De Patrice FLICHY professeur de sociologie à l’université de Marne-La-Vallée, Le
magistrat Pierre TRUCHE et le Préfet Jean-Paul FAUGERE.
Promotion FI18
Page II
Marc FERRIGNO
B. Dictionnaires
Signification des abréviations
AES : Advanced Encryption Standard.
CERT : Computer Emergency Response Team.
CERTA : Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques
informatiques.
CESI : Centre d’Etudes Supérieures Industrielles.
CESTI : Centre d'Evaluation de la Sécurité des Technologies de l'Information.
CFSSI : Centre de Formation à la Sécurité des Systèmes d'Information.
CIGREF : Club informatique des grandes entreprises françaises.
CLUSIF : Club de la sécurité des systèmes d'information français.
CNCIS : Commission Nationale de Contrôle des Interceptions de Sécurité.
COBIT : Control Objectives for information and related technologies.
COCOM : Coordination Committee for Multilateral Export Controls.
CRAMM : CCTA Risk Analysis and Management Method.
CSI : Computer Security Institute.
DCSSI : Direction Centrale de la Sécurité des Systèmes d'Information.
DES : Data Encryption Standard.
DSIS : Développement de Systèmes d'Information Sécurisés.
DTI : Department of Trade and Industry.
EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité.
FAI : Fournisseurs d’Accès Internet.
FBI : Federal Bureau of Investigation
FEROS : Fiche d'Expression Rationnelle des Objectifs de Sécurité.
GMITS : Guidelines for the Management of IT Security.
GnuPG : Gnu Privacy Guard.
HTTP : Hype-Text Transfert Protocol.
IAM : INFOSEC Assessment Methodology.
IP : Internet Protocol.
IPAK : Information Protection Assessment Kit.
IPSec : IP Security Protocol.
IRIS : Imaginons un Réseau Internet Solidaire.
ISSEA : International Systems Security Engineering Association.
LDAP : Lightweight Directory Access Protocol.
LSQ : Loi relative à la Sécurité Quotidienne.
MARION : Méthodologie d’Analyse des Risques Informatiques et d’Optimisation par
Niveau.
MEHARI : Méthode Harmonisée d’Analyse de Risques Informatiques.
MPLS : Multi-Protocol Label Switching.
NIST : National Institute of Standards and Technology.
OCTAVE : Operationally Critical Treat and Vulnerability Evaluation.
PGP : Pretty Good Privacy.
PLSI : Projet de loi sur la société de l'information.
PSI : Politique de Sécurité Interne.
PSSI : Politique de Sécurité des Systèmes d'Information.
RFC : Requests for Comments.
RPV : Réseaux Privées virtuels.
R.S.A : Rivest-Shamir-Adleman.
RSSI : Responsable de la Sécurité des Systèmes d'Information.
Promotion FI18
Page III
Marc FERRIGNO
SCSSI : Service de Contrôle de la Sécurité du Système d’Information.
SI : Système(s) d’Information.
SSE-CMM : System Security Engineering Capability Maturity Model.
SSH : Secure Shell.
SSI : Sécurité des Systèmes d'Information.
SSL3 : Socket Secure Layer 3.
STIC : Système de Traitement des Infractions Constatées.
VPN : Virtual Private Networks.
Glossaire
Bluetooth: technologie de réseaux sans fil développée par Ericsson, lancée en 1994. La
portée est supérieure à 10 mètres, la bande de fréquence est 2,4 Ghz avec un débit de 1
Mbits/s.
Buffer Overflow ou Dépassement de tampon : l’attaquant dépasse la capacité d’un tampon,
en y injectant plus de données que prévu. Le programme plante. Ainsi l’attaquant peut
avoir accès au système et y insérer un code malicieux.
Backdoor ou Entrée imprévue, trappe : c’est une entrée dérobée, que l’on trouve dans un
programme ou un système. Elle a été aménagée volontairement, par erreur de conception
ou d’implémentation. Le résultat est le plus souvent le contournement d’une sécurité ou un
accès illicite au système.
Cracking ou craquer : l’acte de modifier un programme ou un système, dans le but d’obtenir
ce que l’on en attend de lui.
Cryptanalyse : opérations faites dans le but de transformer un message crypté en message
lisible. Ces opérations ont lieu sans avoir connaissance de l’algorithme de cryptographie,
ou des clés ayant servies au cryptage du message.
Denial of Service (DoS) ou Déni de service : l’attaquant rend le fonctionnement, d’un
Automated Information System (AIS) ou système automatique de traitement
d’information, impossible ou défaillant.
HOME RF: crée par le Home Frequency Working Group qui rassemble Compaq, IBM, Intel
et Microsoft. C’est un protocole réseau, dérivé de Wi-Fi, de bien meilleure qualité à usage
domestique.
Hoax : ce sont de fausses alertes. Elles peuvent prendre par exemple la forme de messages
envoyés aux utilisateurs du SI, leur demandant de supprimer un fichier vital pour le
fonctionnement du système.
Hyperlan 1 & 2: c’est un standard Européen de réseaux sans fil. La bande de fréquences est
dans les 5 Ghz avec un débit théorique de 10 Mbits/s dans sa version 1. La version 2 atteint
les 54 Mbits/s.
Man in the middle ou le passeur de sceaux : l’attaquant se place au milieu de la
conversation, entre la victime et par exemple sa banque. Il ne fait que retransmettre les
informations circulantes. Il peut ainsi les lire, les modifier à volonté ou les copier.
Phreaking : l’art et la science de hacker le réseau téléphonique.
Spoofing ou Vol d’identité : l’attaquant se fait passer pour une autre personne, afin de
réaliser ses méfaits.
Sniffing ou snifer : ici l’utilisateur de cette technique, se sert d’un mode de fonctionnement
particulier de la carte réseau. Ce dernier lui permet de capturer tous les paquets
d’information circulant sur le réseau.
Trojan Horse ou Chevaux de Troie : programme utile apparemment innocent, mais
possédant des fonctionnalités cachées.
Promotion FI18
Page IV
Marc FERRIGNO
Virus : les virus sont de petits programmes, très bien conçus, qui simulent une sorte de vie
artificielle. Leur but principal est de se répandre et de se reproduire le plus vite possible.
Leur reproduction se fait au détriment d’autres fichiers du système, qui peuvent être
endommagés. Leur prolifération à tendance à ralentir les systèmes parasités, par
consommation des ressources. Le plus grave est quand ces virus possèdent du code
malicieux, visant à détruire ou à endommager les documents, le système ou même
l’ordinateur.
WEP: système de sécurité propre à Wi-Fi basé sur une méthode de cryptographie 40bit (peut
être étendue à 128bit). Hacking : utilisation non autorisée, ou contournement d’une
sécurité d’un système d’information ou d’un réseaux.
Wi-Fi: 802.11b Wireless Fidelity est un standard de l’I.E.E.E. normalisé en 1997. C’est une
norme de réseau sans fil. La bande de fréquence utilisée par ce standard est de 2,4 Ghz et un
débit de 11 Mbits/s. Une autre norme connue 802.11a qui utilise une bande de fréquence de 5
Ghz et un débit de 54 Mbits/s, est elle interdite en Europe.
Worm ou vers : programme indépendant se répliquant à travers les réseaux. C’est sa vitesse
de réplication et de propagation qui crée la gêne par occupation des ressources.
Wardriving : des hackers sillonnent les rues des grandes villes en voiture. Ils scrutent les
ondes radio à la recherche des points d’accès de réseaux sans fil, qu’ils répertorient. Ils
testent le niveau de sécurité et publient le résultat sur internet.
L’accès spécial à des fichiers ou des bases de données : ici il y a pénétration du système et
accès illégitime. Le système est une base de données ou un système d’exploitation.
L’extension de privilège : l’attaquant arrive, la plupart du temps par des failles systèmes, à
étendre les privilèges auxquels il aurait normalement droit. Par exemple, en passant de
simple utilisateur à administrateur du système.
Le social engineering: l’attaquant se fait passer pour un autre, afin d’avoir des informations
auxquelles il n’aurait jamais du avoir accès. Ces attaques sont redoutablement efficaces..
Les attaques de trolls : les trolls sont des gens qui vont sur les forums de discussions et les
chats, avec pour seul but de semer le désordre. Comment ? En discutant de sujets qui
fâchent, en ridiculisant un de ses membres ou en posant des questions ridicules. Bien que
peu dangereux, la gêne est certaine et la perte de temps aussi.
Les malwares : sont l’ensemble des systèmes tels que les virus, les vers ou autres espèces du
genre, visant à faire le mal.
Devant l’abondance des termes employés dans ce document je vous renvoie à ce document de
la NSA en anglais :
http://www.sans.org/resources/glossary.php
et à celui de l’Atrid (une des premières sociétés de services dédiées Opensource en France)
en français :
http://www.atrid.fr/opensource/glossaire.html
Promotion FI18
Page V
Marc FERRIGNO
C. Adresses
Sites traitant de la sécurité informatique
International Information Systems Security Certification Consortium
http://www.isc2.org/
On trouve sur ce site deux certifications de niveaux de compétences en matière de sécurité
informatique. Le Certified Information Systems Security Professional (CISSP) et le Systems
Security Certified Practitioner (SSCP).
Network Associates
http://www.nai.com/
International Systems Security Engineering Association
http://www.issea.org/
secuser.com
http://www.secuser.com
Propose deux mailings listes, une d’information sur la sécurité et un d’alerte.
Sans institute (en)
http://www.sans.org
The ISO 17799 Service & Software Directory
http://www.iso17799software.com/
The BS7799 Security Standard
http://www.riskserver.co.uk/bs7799/
Mailing liste de bug
securityfocus :
http://online.securityfocus.com/archive
securite.org :
http://www.securite.org/db/securite/information/listes
Une liste et une description d’outils de sécurité peuvent être trouvées à cette adresse :
http://www.highsecu.net/dossiers/outils_de_securite.php.
Cahners In-Stat Group
http://www.instat.com/index.htm
Gartner Group
http://www4.gartner.com/Init
Liste des trous de sécurité de Microsoft Internet Explorer qui n’ont pas été corrigés.
http://www.pivx.com/larholm/unpatched
Promotion FI18
Page VI
Marc FERRIGNO
SSI Vigisafe
http://www.vigisafe.com
Ibm logiciels Tivoli
http://www.tivoli.com
Sites défendant les libertés
Association Iris
http://www.iris.sgdg.org/actions/loi-sec/
Libertés immuables
http://www.enduring-freedoms.org/rubrique.php3?id_rubrique=4
Fédération Informatique et Liberté
http://www.vie-privee.org/
Site de défense des libertés
http://www.lsijolie.net/lsq/
forum des droits sur l’Internet FDI
http://www.foruminternet.org/
Reporters sans frontières RSF
http://www.rsf.org/
Ce site contient un rapport sur les ennemis d'Internet.
Sites gouvernementaux
Legifrance : site de diffusion officielle des textes de lois
http://www.legifrance.gouv.fr
Le journal officiel
http://www.journal-officiel.gouv.fr/
Institut national de recherche en informatique et en automatique
http://www.inria.fr/
Ministère de la Justice
http://www.justice.gouv.fr/
Assemblée nationale lsq
http://www.assemblee-nationale.fr/dossiers/securite_quotidienne.asp
Fondation Internet nouvelle génération
http://www.fing.org
Programme d'action gouvernemental pour la société de l'information (PAGSI)
Promotion FI18
Page VII
Marc FERRIGNO
http://www.internet.gouv.fr/francais/index.html
Ministère de la justice
http://www.justice.gouv.fr/cjn/index.htm
On peut y trouver les liens vers les tribunaux de votre région. On peut également faire la
demande on-line, de son casier judiciaire national.
Commission Nationale Consultative des Droits de l’homme (CNCDH)
http://www.commission-droits-homme.fr/
Tribunal de grande instance d’Épinal
http://www.tgi-épinal.justice.fr
Divers
Internet archive
http://www.archive.org
Ce site aspire les sites Web, dans le but de garder une trace des publications et de l’Internet,
comme le fait une bibliothèque pour les livres.
Logiciel Back Orifice
http://www.cultdeadcow.com/tools/index.html
Le monde informatique
http://www.weblmi.com
Newsgroups :
http://www.secuforum.com/
Contient la liste des forums portant sur la sécurité et la vie privée tels que :
fr.misc.droit.internet
fr.misc.droit
Compagnie nationale des experts judiciaires en informatique et techniques associées
http://www.cnejita.com/
http://www.securitymanagement.com
Code SILEX de l'informatique - Tome 1
http://www.celog.fr/silex/tome1/sommaire.htm
Articles de lois liés à l'informatique
Promotion FI18
Page VIII
Marc FERRIGNO
D. Quelques principes de sécurité de sécurité
©stratégie anti-hacker de Ryan Russell chez Eyrolles.
1. La sécurité côté client est inefficace.
On entend par client, le poste client par opposition au serveur.
2. Il est impossible d’échanger des clés de cryptage sans partage d’informations.
3. Il est impossible de se protéger à 100% des virus et des chevaux de Troie.
4. Les pare-feu ne protègent pas à 100% des attaques.
5. Les algorithmes cryptographiques secrets ne sont pas fiables.
6. Si aucune clé n’est requise, vous n’êtes pas en présence d’un cryptage mais d’un
encodage.
7. Le stockage de mots de passe sur un client n’est jamais fiable, sauf si chaque mot de
passe est protégé par un second mot de passe.
8. Pour qu’un système puisse être considéré comme fiable, il doit subir un audit de
sécurité indépendant.
9. Le principe de security through obscurity n’est pas valable.
On fait allusion ici au principe de non divulgation du principe de sécurité, dans
l’espoir d’empêcher la découverte de failles.
10. Les gens croient souvent que les nouveautés sont plus fiables que l’existant.
En effet, les logiciels nouveaux, même s’ils corrigent d’anciens bugs, apportent
souvent leur lot de problèmes nouveaux.
11. Ce qui est susceptible de poser des problèmes causera des problèmes.
Promotion FI18
Page IX
Marc FERRIGNO
E. Les lois ou la régulation par le haut
Etant donné le nombre des lois et leur vitesse d’évolution, je me contenterai de n’en citer que
les principales qui concernent la sécurité informatique. Je donnerai le sujet auquel elles se
rattachent, et la référence de l’article de loi correspondant. Tous ces articles proviennent du
site legifrance.gouv.fr.
a) Lois générales :
« En France c’est le droit administratif et le droit constitutionnel qui sont directement
concernés par la sécurité. C’est le droit constitutionnel qui fixe l’organisation des pouvoirs
publics. C’est le chef du gouvernement qui est le responsable de l’administration. Et par la
même la personne compétente en matière d’autorisation de cryptologie (assisté par la SCSSI),
ou habilitée à autoriser des écoutes de sécurité. C’est au droit administratif qui intervient, non
seulement dans la préservation de la sécurité publique, mais aussi dans la protection des
libertés individuel »
©Droit et sécurité des télécommunications de Claudine GUERRIER et Marie-Christine MONGET
Vous trouverez ci-dessous un ensemble d’articles de loi, nécessaires à la compréhension des
lois qui sont plus spécifiques à l’informatique.
Dans les sections suivantes, vous constaterez que les articles de lois ne se rapportent pas
uniquement à l’informatique. En effet le fait que certains méfaits soient commis à travers
l’informatique, ne justifie pas de créer une loi spécifique pour les sanctionner.
Définition de l’auteur de l’infraction :
Article 121-4 du Code pénal en vigueur.
Est auteur de l'infraction la personne qui :
1° Commet les faits incriminés ;
2° Tente de commettre un crime ou, dans les cas prévus par la loi, un délit.
Définition du complice d’un crime ou délit :
Est complice d'un crime ou d'un délit la personne qui sciemment, par aide ou assistance, en a
facilité la préparation ou la consommation.
Est également complice la personne qui par don, promesse, menace, ordre, abus d'autorité ou
de pouvoir aura provoqué une infraction ou donné des instructions pour la commettre.
En cas d’absence de réglementation :
Nul ne peut être puni pour un crime ou pour un délit dont les éléments ne sont pas définis par
la loi, ou pour une contravention dont les éléments ne sont pas définis par le règlement.
Nul ne peut être puni d'une peine qui n'est pas prévue par la loi, si l'infraction est un crime ou
un délit, ou par le règlement, si l'infraction est une contravention.
Limites territoriales d’application, pour un coupable :
La loi pénale française est applicable à quiconque s'est rendu coupable sur le territoire de la
République, comme complice, d'un crime ou d'un délit commis à l'étranger si le crime ou le
Promotion FI18
Page X
Marc FERRIGNO
délit est puni à la fois par la loi française et par la loi étrangère et s'il a été constaté par une
décision définitive de la juridiction étrangère.
Limites territoriales d’application, pour une victime :
La loi pénale française est applicable à tout crime, ainsi qu'à tout délit puni
d'emprisonnement, commis par un Français ou par un étranger hors du territoire de la
République lorsque la victime est de nationalité française au moment de l'infraction.
b) Protection de la vie privée
Respect des droits de l’homme, de la vie privée et des libertés individuelles :
Article 1 Loi 78-17 06 janvier 1978 en vigueur
L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans
le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni
aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Protection contre les avis sur le comportement humain issu de l’informatique :
Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut
avoir pour fondement un traitement automatisé d'informations donnant une définition du
profil ou de la personnalité de l'intéressé.
Aucune décision administrative ou privée impliquant une appréciation sur un comportement
humain ne peut avoir pour seul fondement un traitement automatisé d'informations donnant
une définition du profil ou de la personnalité de l'intéressé.
Droit de connaissance et de contestation des données issue de traitements automatisés :
Toute personne a le droit de connaître et de contester les informations et les raisonnements
utilisés dans les traitements automatisés dont les résultats lui sont opposés [*droit de
communication*].
Déclaration préalable simplifiée :
Pour les catégories les plus courantes de traitements à caractère public ou privé, qui ne
comportent manifestement pas d'atteinte à la vie privée ou aux libertés, la commission
nationale de l'informatique et des libertés établit et publie des normes simplifiées inspirées des
caractéristiques mentionnées à l'article 19.
Pour les traitements répondant à ces normes, seule une déclaration simplifiée de conformité à
l'une de ces normes est déposée auprès de la commission. Sauf décision particulière de celleci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le
demandeur peut mettre en oeuvre le traitement. Il n'est exonéré d'aucune de ses
responsabilités.
Contenu de la déclaration :
La demande d'avis ou la déclaration doit préciser :
- la personne qui présente la demande et celle qui a pouvoir de décider la création du
traitement ou, si elle réside à l'étranger, son représentant en France ;
Promotion FI18
Page XI
Marc FERRIGNO
- les caractéristiques, la finalité et, s'il y a lieu, la dénomination du traitement ;
- le service ou les services chargés de mettre en oeuvre celui-ci ;
- le service auprès duquel s'exerce le droit d'accès défini au chapitre V ci-dessous [*art. 34 à
art. 40*] ainsi que les mesures prises pour faciliter l'exercice de ce droit ;
- les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service,
ont directement accès aux informations enregistrées ;
- les informations nominatives traitées, leur origine et la durée de leur conservation ainsi que
leurs destinataires ou catégories de destinataires habilités à recevoir communication de ces
informations ;
- les rapprochements, interconnexions ou toute autre forme de mise en relation de ces
informations ainsi que leur cession à des tiers ;
- les dispositions prises pour assurer la sécurité des traitements et des informations et la
garantie des secrets protégés par la loi ;
- si le traitement est destiné à l'expédition d'informations nominatives entre le territoire
français et l'étranger, sous quelque forme que ce soit, y compris lorsqu'il est l'objet
d'opérations partiellement effectuées sur le territoire français à partir d'opérations
antérieurement réalisées hors de France.
Toute modification aux mentions énumérées ci-dessus, ou toute suppression de traitement, est
portée à la connaissance de la commission.
Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis
relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de
l'Etat, la défense et la sécurité publique.
c) La Cyber Surveillance des salariés
Le problème qui se pose ici est de maintenir l’équilibre entre le respect de la vie privée et la
vie professionnelle au sein de l’entreprise.
La surveillance des salariés est permise, mais elle est sujette à :
• Une information préalable des salariés
• Une consultation du comité d’entreprise et des instances représentatives du personnel.
• Un respect du principe de proportionnalité des moyens mis en place.
• Une déclaration auprès de la CNIL.
Le code du travail précise que l’employeur doit consulter le comité d’entreprise préalablement
à la décision de mise en œuvre dans l’entreprise, de techniques de surveillance de l’activité
des individus. L’utilisation d’Internet et de la messagerie, font partie de l’activité des
individus. De plus, les dispositifs mis en place doivent être justifiés et proportionnels au but
recherché. Ce contrôle ne peut être exercé que si le salarié à un comportement suspect.
Si l’une des trois obligations ci-dessus n’est pas respectée, le contrôle de la messagerie et des
accès au Web est considéré comme une atteinte à la vie privée et au secret de correspondance
du salarié. Le travailleur, lui, est tenu en plus d’exécuter son contrat de travail, de ne pas
abuser de la messagerie et de l’Internet, sous peine de licenciement pour faute grave.
Promotion FI18
Page XII
Marc FERRIGNO
d) Protection des données à caractère nominatif
Les articles suivants énoncent les sanctions encourues lors du traitement de fichiers ou de
données nominatives, sans autorisation préalable. En effet, ce genre de traitement ou de
fichiers doit faire l’objet d’une déclaration préalable auprès de la CNIL.
Sanctions pour traitement automatique de données nominatives :
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements
automatisés d'informations nominatives sans qu'aient été respectées les formalités préalables à
leur mise en oeuvre prévues par la loi est puni de trois ans d'emprisonnement et de 45000
euros d'amende.
Sanction pour collecte et traitement concernant une personne physique :
Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à
un traitement d'informations nominatives concernant une personne physique malgré
l'opposition de cette personne, lorsque cette opposition est fondée sur des raisons légitimes,
est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
En cas de traitement automatisé de données nominatives ayant pour fin la recherche dans le
domaine de la santé, est puni des mêmes peines le fait de procéder à un traitement :
1° Sans avoir préalablement informé individuellement les personnes sur le compte
desquelles des données nominatives sont recueillies ou transmises de leur droit d'accès, de
rectification et d'opposition, de la nature des informations transmises et des destinataires des
données ;
2° Malgré l'opposition de la personne concernée ou, lorsqu'il est prévu par la loi, en
l'absence du consentement éclairé et exprès de la personne, ou, s'il s'agit d'une personne
décédée, malgré le refus exprimé par celle-ci de son vivant.
Sanctions pour manquement à la sécurité des données nominatives :
Le fait de procéder ou de faire procéder à un traitement automatisé d'informations
nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces
informations et notamment empêcher qu'elles ne soient déformées, endommagées ou
communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 300000
euros d'amende.
e) Secret des correspondances
Ces articles protégent le secret de correspondance. Les emails (messages électroniques) sont
aussi protégés contre les lectures intempestives.
On trouve aussi des articles protégeant des écoutes sur les voies de communication.
Promotion FI18
Page XIII
Marc FERRIGNO
Le secret de correspondance :
Loi 91-646 10 juillet 1991 en vigueur.
Le secret des correspondances émises par la voie des télécommunications est garanti par la
loi.
Il ne peut être porté atteinte à ce secret que par l'autorité publique, dans les seuls cas de
nécessité d'intérêt public prévus par la loi et dans les limites fixées par celle-ci.
Sanctions de la violation du secret de correspondance :
Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des
correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre
frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros
d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de
détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la
voie des télécommunications ou de procéder à l'installation d'appareils conçus pour réaliser de
telles interceptions.
f) Protection du consommateur
Ci-dessous on trouve les articles relatifs à la publicité mensongère. Les actes de commerce sur
Internet sont soumis au code de la consommation. Ce dernier protége le client lors d’achats
sur des sites de commerce.
La publicité mensongère :
Article L121-1 du Code de la consommation en vigueur.
Est interdite toute publicité comportant, sous quelque forme que ce soit, des allégations,
indications ou présentations fausses ou de nature à induire en erreur, lorsque celles-ci portent
sur un ou plusieurs des éléments ci-après ; existence, nature, composition, qualités
substantielles, teneur en principes utiles, espèce, origine, quantité, mode et date de fabrication,
propriétés, prix et conditions de vente de biens ou services qui font l'objet de la publicité,
conditions de leur utilisation, résultats qui peuvent être attendus de leur utilisation, motifs ou
procédés de la vente ou de la prestation de services, portée des engagements pris par
l'annonceur, identité, qualités ou aptitudes du fabricant, des revendeurs, des promoteurs ou
des prestataires.
Responsabilité de la publicité mensongère :
Article L121-5 du Code de la consommation en vigueur.
L'annonceur pour le compte duquel la publicité est diffusée est responsable, à titre principal,
de l'infraction commise. Si le contrevenant est une personne morale, la responsabilité incombe
à ses dirigeants. La complicité est punissable dans les conditions de droit commun.
Le délit est constitué dès lors que la publicité est faite, reçue ou perçue en France.
g) Protection des logiciels et progiciels
En cas de modification de logiciel ou de piratage, là aussi les articles sont nombreux.
Définition du droit d’auteur :
Article L111-1 du Code de la propriété intellectuelle En vigueur.
L'auteur d'une oeuvre de l'esprit jouit sur cette oeuvre, du seul fait de sa création, d'un droit de
propriété incorporelle exclusif et opposable à tous.
Promotion FI18
Page XIV
Marc FERRIGNO
Ce droit comporte des attributs d'ordre intellectuel et moral ainsi que des attributs d'ordre
patrimonial, qui sont déterminés par les livres Ier et III du présent code.
L'existence ou la conclusion d'un contrat de louage d'ouvrage ou de service par l'auteur d'une
oeuvre de l'esprit n'emporte aucune dérogation à la jouissance du droit reconnu par l'alinéa
1er.
Définition du droit de jouissance du droit d’auteur :
Article L122-6 du Code de la propriété intellectuelle en vigueur.
Sous réserve des dispositions de l'article L. 122-6-1, le droit d'exploitation appartenant à
l'auteur d'un logiciel comprend le droit d'effectuer et d'autoriser :
1° La reproduction permanente ou provisoire d'un logiciel en tout ou partie par tout moyen et
sous toute forme. Dans la mesure où le chargement, l'affichage, l'exécution, la transmission ou
le stockage de ce logiciel nécessitent une reproduction, ces actes ne sont possibles qu'avec
l'autorisation de l'auteur ;
2° La traduction, l'adaptation, l'arrangement ou toute autre modification d'un logiciel et la
reproduction du logiciel en résultant ;
3° La mise sur le marché à titre onéreux ou gratuit, y compris la location, du ou des
exemplaires d'un logiciel par tout procédé. Toutefois, la première vente d'un exemplaire d'un
logiciel dans le territoire d'un Etat membre de la Communauté européenne ou d'un Etat partie
à l'accord sur l'Espace économique européen par l'auteur ou avec son consentement épuise le
droit de mise sur le marché de cet exemplaire dans tous les Etats membres à l'exception du
droit d'autoriser la location ultérieure d'un exemplaire.
Droit à la copie de sauvegarde et droit à modification dans un but d’interopérabilité :
Article L122-6-1 Code de la propriété intellectuelle en vigueur.
I. Les actes prévus aux 1° et 2° de l'article L. 122-6 ne sont pas soumis à l'autorisation de
l'auteur lorsqu'ils sont nécessaires pour permettre l'utilisation du logiciel, conformément à sa
destination, par la personne ayant le droit de l'utiliser, y compris pour corriger des erreurs.
Toutefois, l'auteur est habilité à se réserver par contrat le droit de corriger les erreurs et de
déterminer les modalités particulières auxquelles seront soumis les actes prévus aux 1° et 2°
de l'article L. 122-6, nécessaires pour permettre l'utilisation du logiciel, conformément à sa
destination, par la personne ayant le droit de l'utiliser.
II. La personne ayant le droit d'utiliser le logiciel peut faire une copie de sauvegarde lorsque
celle-ci est nécessaire pour préserver l'utilisation du logiciel.
III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer,
étudier ou tester le fonctionnement de ce logiciel afin de déterminer les idées et principes qui
sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de
chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en
droit d'effectuer.
IV. La reproduction du code du logiciel ou la traduction de la forme de ce code n'est pas
soumise à l'autorisation de l'auteur lorsque la reproduction ou la traduction au sens du 1° ou
du 2° de l'article L. 122-6 est indispensable pour obtenir les informations nécessaires à
l'interopérabilité d'un logiciel créé de façon indépendante avec d'autres logiciels, sous réserve
que soient réunies les conditions suivantes :
1° Ces actes sont accomplis par la personne ayant le droit d'utiliser un exemplaire du
logiciel ou pour son compte par une personne habilitée à cette fin ;
2° Les informations nécessaires à l'interopérabilité n'ont pas déjà été rendues
facilement et rapidement accessibles aux personnes mentionnées au 1° ci-dessus ;
3° Et ces actes sont limités aux parties du logiciel d'origine nécessaires à cette
interopérabilité.
Promotion FI18
Page XV
Marc FERRIGNO
Les informations ainsi obtenues ne peuvent être :
1° Ni utilisées à des fins autres que la réalisation de l'interopérabilité du logiciel créé
de façon indépendante ;
2° Ni communiquées à des tiers sauf si cela est nécessaire à l'interopérabilité du
logiciel créé de façon indépendante ;
3° Ni utilisées pour la mise au point, la production ou la commercialisation d'un
logiciel dont l'expression est substantiellement similaire ou pour tout autre acte portant
atteinte au droit d'auteur.
V. Le présent article ne saurait être interprété comme permettant de porter atteinte à
l'exploitation normale du logiciel ou de causer un préjudice injustifié aux intérêts légitimes de
l'auteur.
Toute stipulation contraire aux dispositions prévues aux II, III et IV du présent article est
nulle et non avenue.
Limites du droit d’auteur :
Lorsque l'oeuvre a été divulguée, l'auteur ne peut interdire :
1° Les représentations privées et gratuites effectuées exclusivement dans un cercle de famille
2° Les copies ou reproductions strictement réservées à l'usage privé du copiste et non
destinées à une utilisation collective, à l'exception des copies des oeuvres d'art destinées à être
utilisées pour des fins identiques à celles pour lesquelles l'oeuvre originale a été créée et des
copies d'un logiciel autres que la copie de sauvegarde établie dans les conditions prévues au II
de l'article L. 122-6-1 ainsi que des copies ou des reproductions d'une base de données
électronique;
3° Sous réserve que soient indiqués clairement le nom de l'auteur et la source :
a) Les analyses et courtes citations justifiées par le caractère critique, polémique,
pédagogique, scientifique ou d'information de l'oeuvre à laquelle elles sont incorporées
b) Les revues de presse ;
c) La diffusion, même intégrale, par la voie de presse ou de télédiffusion, à titre
d'information d'actualité, des discours destinés au public prononcés dans les
assemblées politiques, administratives, judiciaires ou académiques, ainsi que dans les
réunions publiques d'ordre politique et les cérémonies officielles ;
d) Les reproductions, intégrales ou partielles d'oeuvres d'art graphiques ou plastiques
destinées à figurer dans le catalogue d'une vente judiciaire effectuée en France pour les
exemplaires mis à la disposition du public avant la vente dans le seul but de décrire les
oeuvres d'art mises en vente.
Un décret en Conseil d'Etat fixe les caractéristiques des documents et les conditions de leur
distribution.
4° La parodie, le pastiche et la caricature, compte tenu des lois du genre.
5° Les actes nécessaires à l'accès au contenu d'une base de données électronique pour les
besoins et dans les limites de l'utilisation prévue par contrat.
Divulgation des moyens de contournement des protections :
Article L122-6-2 du Code de la propriété intellectuelle En vigueur.
Toute publicité ou notice d'utilisation relative aux moyens permettant la suppression ou la
neutralisation de tout dispositif technique protégeant un logiciel doit mentionner que
l'utilisation illicite de ces moyens est passible des sanctions prévues en cas de contrefaçon.
Un décret en Conseil d'Etat fixera les conditions d'application du présent article.
Promotion FI18
Page XVI
Marc FERRIGNO
Limites territoriales d’application du droit d’auteur de logiciel :
Sous réserve des conventions internationales, les droits reconnus en France aux auteurs de
logiciels par le présent code sont reconnus aux étrangers sous la condition que la loi de l'Etat
dont ils sont les nationaux ou sur le territoire duquel ils ont leur domicile, leur siège social ou
un établissement effectif accorde sa protection aux logiciels créés par les nationaux français et
par les personnes ayant en France leur domicile ou un établissement effectif.
h) Protection des systèmes informatiques
Ci-dessous, se trouvent les articles plus spécifiques qui encadrent la pénétration de système
informatique ou loi Godfrain. Vous pourrez constater que ces articles, malgré les évolutions
informatiques ne prennent pas une ride.
Sanctions pour l’accès frauduleux :
Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de
traitement automatisé de données est puni d'un an d'emprisonnement et de 15000 euros
d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le
système, soit une altération du fonctionnement de ce système, la peine est de deux ans
d'emprisonnement et de 30000 euros d'amende.
Sanctions pour entrave au fonctionnement :
Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de
données est puni de trois ans d'emprisonnement et de 45000 euros d'amende.
Sanctions pour la modification de base de données :
Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou
de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans
d'emprisonnement et de 45000 euros d'amende.
Sanctions pour la tentative :
La tentative des délits prévus par les articles 323-1 à 323-3 est punie des mêmes peines.
Sanctions pour atteinte au matériel ou aux données :
Le fait de détruire, détériorer ou détourner tout document, matériel, construction, équipement,
installation, appareil, dispositif technique ou système de traitement automatisé d'informations
ou d'y apporter des malfaçons, lorsque ce fait est de nature à porter atteinte aux intérêts
fondamentaux de la nation, est puni de quinze ans de détention criminelle et de 225000 euros
d'amende.
Lorsqu'il est commis dans le but de servir les intérêts d'une puissance étrangère, d'une
entreprise ou organisation étrangère ou sous contrôle étranger, le même fait est puni de vingt
ans de détention criminelle et de 300000 euros d'amende.
Promotion FI18
Page XVII
Marc FERRIGNO
Sanctions pour espionnage :
Est puni de sept ans d'emprisonnement et de 100000 euros d'amende le fait, par toute
personne dépositaire, soit par état ou profession, soit en raison d'une fonction ou d'une
mission temporaire ou permanente, d'un renseignement, procédé, objet, document, donnée
informatisée ou fichier qui a un caractère de secret de la défense nationale, soit de le détruire,
détourner, soustraire ou de le reproduire, soit de le porter à la connaissance du public ou d'une
personne non qualifiée.
Est puni des mêmes peines le fait, par la personne dépositaire, d'avoir laissé détruire,
détourner, soustraire, reproduire ou divulguer le renseignement, procédé, objet, document,
donnée informatisée ou fichier visé à l'alinéa précédent.
Lorsque la personne dépositaire a agi par imprudence ou négligence, l'infraction est punie de
trois ans d'emprisonnement et de 45000 euros d'amende.
i) Fournisseurs de service
Hébergeurs
Les hébergeurs sont responsables du contenu publié.
Modérateurs
Les modérateurs des forums sont responsables de ce qui est publié.
Obligation est faite de conserver une copie de tous les messages envoyés dans les forums
thématiques pendant huit jours pour satisfaire au droit de réponse (loi n° 82-652 du 29 juillet
82 art.6 alinéa 1).
Fournisseurs d’accès
Les Fournisseurs d’Accès Internet (FAI) sont tenus d’être capable de fournir le nom et
l’adresse de la personne physique ou morale aux autorités si elles en font la demande.
Le statut de transporteur oblige les FAI à ne pas lire les informations à caractère personnel,
mais le faits qu’ils aient la possibilités de filtrer l’information, les rend responsable des
publications effectuées par leur biais.
Une fois informé d’une infraction il se doit d’intervenir.
Ils ne sont pas responsables pour les actes qu’ils ne peuvent pas contrôler : accès distant,
propagation de virus,…
j) Protection de l’ordre public
«La liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui : ainsi, l'exercice des
droits naturels de chaque homme n'a de bornes que celles qui assurent aux autres membres
de la société la jouissance de ces mêmes droits. Ces bornes ne peuvent être déterminées que
par la loi.»
© Déclaration des droits de l'homme et du citoyen, Article IV
« La libre communication des pensées et des opinions est un des droits les plus précieux de
l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre à l'abus
de cette liberté dans les cas déterminés par la Loi.».
© Déclaration des droits de l'homme et du citoyen, Article XI
En France, la prise de connaissance n’est pas sanctionnée.
Promotion FI18
Page
Marc FERRIGNO
Par contre, la responsabilité du contenu de l’expression incombe à l’auteur.
Ici, sont regroupés un ensemble d’articles qui s’appliquent partout et pas seulement à
l’internet.
Incitation aux crimes et délits :
Article 23 de la loi 29 juillet 1881 en vigueur
Seront punis comme complices d'une action qualifiée crime ou délit ceux qui, soit par des
discours, cris ou menaces proférés dans des lieux ou réunions publics, soit par des écrits,
imprimés, dessins, gravures, peintures, emblèmes, images ou tout autre support de l'écrit, de
la parole ou de l'image vendus ou distribués, mis en vente ou exposés dans des lieux ou
réunions publics, soit par des placards ou des affiches exposés au regard du public, soit par
tout moyen de communication audiovisuelle, auront directement provoqué l'auteur ou les
auteurs à commettre ladite action, si la provocation a été suivie d'effet [*sanctions*].
Cette disposition sera également applicable lorsque la provocation n'aura été suivie que d'une
tentative de crime prévue par l'article 2 du code pénal [* article(s) abrogé(s), cf. article(s) 1214 et 121-5 du nouveau code pénal *].
L’incitation à la haine raciale :
Article 24 de la loi du 29 juillet 1881 en vigueur
Seront punis de cinq ans d'emprisonnement et de 45000 euros d'amende [* taux *] ceux qui,
par l'un des moyens énoncés à l'article précédent, auront directement provoqué, dans le cas
où cette provocation n'aurait pas été suivie d'effet, à commettre l'une des infractions
suivantes :
1° Les atteintes volontaires à la vie, les atteintes volontaires à l'intégrité de la personne et les
agressions sexuelles, définies par le livre II du code pénal ;
2° Les vols, les extorsions et les destructions, dégradations et détériorations volontaires
dangereuses pour les personnes, définis par le livre III du code pénal.
Ceux qui, par les mêmes moyens, auront directement provoqué à l'un des crimes et délits
portant atteinte aux intérêts fondamentaux de la nation prévus par le titre Ier du livre IV du
code pénal, seront punis des mêmes peines.
Seront punis de la même peine ceux qui, par l'un des moyens énoncés en l'article 23, auront
fait l'apologie des crimes visés au premier alinéa, des crimes de guerre, des crimes contre
l'humanité ou des crimes et délits de collaboration avec l'ennemi.
Seront punis des peines prévues par l'alinéa 1er ceux qui, par les mêmes moyens, auront
provoqué directement aux actes de terrorisme prévus par le titre II du livre IV du code
pénal, ou qui en auront fait l'apologie.
Tous cris ou chants séditieux proférés dans les lieux ou réunions publics seront punis de
l'amende prévue pour les contraventions de la 4° classe.
Ceux qui, par l'un des moyens énoncés à l'article 23, auront provoqué à la discrimination, à la
haine ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de leur
origine ou de leur appartenance ou de leur non-appartenance à une ethnie, une nation, une
race ou une religion déterminée, seront punis d'un an d'emprisonnement et de 45000 euros
d'amende [* taux *] ou de l'une de ces deux peines seulement [*lutte contre le racisme sanctions*].
En cas de condamnation pour l'un des faits prévus par l'alinéa précédent, le tribunal pourra en
outre ordonner :
1° Sauf lorsque la responsabilité de l'auteur de l'infraction est retenue sur le fondement de
l'article 42 et du premier alinéa de l'article 43 de la présente loi ou des trois premiers
alinéas de l'article 93-3 de la loi n° 82-652 du 29 juillet 1982 sur la communication
Promotion FI18
Page XIX
Marc FERRIGNO
audiovisuelle, la privation des droits énumérés aux 2° et 3° de l'article 131-26 du code
pénal pour une durée de cinq ans au plus ;
2° L'affichage ou la diffusion de la décision prononcée dans les conditions prévues par
l'article 131-35 du code pénal.
Message à caractère pédophile :
Le fait, en vue de sa diffusion, de fixer, d'enregistrer ou de transmettre l'image ou la
représentation d'un mineur lorsque cette image ou cette représentation présente un caractère
pornographique est puni de trois ans d'emprisonnement et de 45000 euros d'amende.
Le fait de diffuser une telle image ou représentation, par quelque moyen que ce soit, de
l'importer ou de l'exporter, de la faire importer ou de la faire exporter, est puni des mêmes
peines.
Les peines sont portées à cinq ans d'emprisonnement et à 75000 euros d'amende lorsqu'il a été
utilisé, pour la diffusion de l'image ou de la représentation du mineur à destination d'un public
non déterminé, un réseau de télécommunications.
Le fait de détenir une telle image ou représentation est puni de deux ans d'emprisonnement et
[*taux*] 30000 euros d'amende.
Les dispositions du présent article sont également applicables aux images pornographiques
d'une personne dont l'aspect physique est celui d'un mineur, sauf s'il est établi que cette
personne était âgée de dix-huit ans au jour de la fixation ou de l'enregistrement de son image.
Message à caractère pornographique ou violent :
Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel
qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter
gravement atteinte à la dignité humaine, soit de faire commerce d'un tel message, est puni de
trois ans d'emprisonnement et de 75000 euros d'amende lorsque ce message est susceptible
d'être vu ou perçu par un mineur.
Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite
ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont
applicables en ce qui concerne la détermination des personnes responsables.
Sanctions contre les personnes physiques pour message à caractère raciste non public :
Article R624-5 du Code pénal en vigueur.
Les personnes coupables des infractions définies aux articles R. 624-3 et R. 624-4 encourent,
outre les peines d'amende prévues par ces articles, les peines complémentaires suivantes. :
1° L'interdiction de détenir ou de porter, pour une durée de trois ans au plus, une arme
soumise à autorisation ;
2° La confiscation d'une ou de plusieurs armes dont le condamné est propriétaire ou dont il a
la libre disposition ;
3° La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la
chose qui en est le produit.
Promotion FI18
Page XX
Marc FERRIGNO
Sanctions contre les personnes morales pour message à caractère raciste non public :
Article R624-6 du Code pénal en vigueur.
Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions
prévues par l'article 121-2, des infractions définies aux articles R. 624-3 et R. 624-4.
Les peines encourues par les personnes morales sont :
1° L'amende, suivant les modalités prévues par l'article 131-41 ;
2° La confiscation de la chose qui a servi ou était destinée à commettre l'infraction ou de la
chose qui en est le produit.
Violation d’image d’une personne :
Est puni d'un an d'emprisonnement et de 15000 euros d'amende le fait de publier, par quelque
voie que ce soit, le montage réalisé avec les paroles ou l'image d'une personne sans son
consentement, s'il n'apparaît pas à l'évidence qu'il s'agit d'un montage ou s'il n'en est pas
expressément fait mention.
Lorsque le délit prévu par l'alinéa précédent est commis par la voie de la presse écrite ou
audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables
en ce qui concerne la détermination des personnes responsables.
k) La responsabilité pénale
Les responsabilités pénales du système d’information, se déplacent du PDG vers la DSI et le
RSSI par délégation. La personne qui reçoit la délégation doit avoir la compétence, l’autorité
et les moyens nécessaires pour exercer cette délégation.
Dans le cas d’externalisation des tâches, il y a aussi des lois relatives aux contrats.
Le législateur fixe quatre conditions à la validité d’un contrat : le consentement, la capacité de
contracter, un objet certain et une cause licite.
Les contrats peuvent être annulés : les causes de nullités sont dites absolues ou relatives.
Les contrats sont dits onéreux.
Le délit de manquement à la sécurité du système d’information est mentionné dans :
Responsabilité pénale des personnes morales :
Les personnes morales, à l'exclusion de l'Etat, sont responsables pénalement, selon les
distinctions des articles 121-4 à 121-7 et dans les cas prévus par la loi ou le règlement, des
infractions commises, pour leur compte, par leurs organes ou représentants.
Toutefois, les collectivités territoriales et leurs groupements ne sont responsables pénalement
que des infractions commises dans l'exercice d'activités susceptibles de faire l'objet de
conventions de délégation de service public.
La responsabilité pénale des personnes morales n'exclut pas celle des personnes physiques
auteurs ou complices des mêmes faits, sous réserve des dispositions du quatrième alinéa de
l'article 121-3.
Sanctions contre des personnes morales :
Article 226-7 du Code pénal en vigueur
Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions
prévues par l'article 121-2, des infractions définies à la présente section.
Les peines encourues par les personnes morales sont :
Promotion FI18
Page XXI
Marc FERRIGNO
1° L'amende, suivant les modalités prévues par l'article 131-38 ;
2° L'interdiction, à titre définitif ou pour une durée de cinq ans au plus, d'exercer
directement ou indirectement l'activité professionnelle ou sociale dans l'exercice ou à
l'occasion de l'exercice de laquelle l'infraction a été commise ;
3° L'affichage ou la diffusion de la décision prononcée, dans les conditions prévues
par l'article 131-35.
Responsabilité pénale des personnes physiques :
Il n'y a point de crime ou de délit sans intention de le commettre.
Toutefois, lorsque la loi le prévoit, il y a délit en cas de mise en danger délibérée de la
personne d'autrui.
Il y a également délit, lorsque la loi le prévoit, en cas de faute d'imprudence, de négligence ou
de manquement à une obligation de prudence ou de sécurité prévue par la loi ou le règlement,
s'il est établi que l'auteur des faits n'a pas accompli les diligences normales compte tenu, le cas
échéant, de la nature de ses missions ou de ses fonctions, de ses compétences ainsi que du
pouvoir et des moyens dont il disposait.
Dans le cas prévu par l'alinéa qui précède, les personnes physiques qui n'ont pas causé
directement le dommage, mais qui ont créé ou contribué à créer la situation qui a permis la
réalisation du dommage ou qui n'ont pas pris les mesures permettant de l'éviter, sont
responsables pénalement s'il est établi qu'elles ont, soit violé de façon manifestement
délibérée une obligation particulière de prudence ou de sécurité prévue par la loi ou le
règlement, soit commis une faute caractérisée et qui exposait autrui à un risque d'une
particulière gravité qu'elles ne pouvaient ignorer.
Il n'y a point de contravention en cas de force majeure.
Promotion FI18
Page XXII

Sécuriser Les Réseaux Informatiques

Transcription

Documents pareils

Télécharger

Modèle

IBAN (Identifiant international de compte) BIC

FICHE TECHNIQUE CROISSANT 60 G BEURRE CHARENTES

2012-Classement-CdF

ET 16 0 16 Nombre de Qualifiés par Ligue Finale Coupe de France

Demande de radiation - APL, Association des professions Libérales

Poitou Charentes fait les yeux doux à Miss Liberty

RIB

Diffusion Selection monde 2015 elite dame