File - Internet Society
Transcription
File - Internet Society
Quelques perspectives sur la cybersécurité : 2012 1 Introduction Le sens du mot-slogan cybersécurité est d’une inexactitude effrayante et peut englober une liste quasi-infinie de sujets variés sur la sécurité, de défis techniques et de « solutions » allant de l’aspect technique à l’aspect juridique. Même si des expressions à la mode comme « cybersécurité » font de bons titres dans les journaux, les discussions sérieuses sur la sécurité et l’internet exigent une compréhension partagée de ce que l’on entend par « cybersécurité ». Le spectre couvert par le terme « cybersécurité » englobe de nombreux problèmes divers et un nombre plus grand encore de solutions. Certaines solutions sont techniques, d’autres ne le sont pas, et peuvent être trouvées par le biais de l’éducation, des politiques ou des règlementations. Du fait de ce spectre et de cet éventail de solutions, il existe un grand nombre d’acteurs impliqués dans la résolution des problèmes de cybersécurité, parmi lesquels des utilisateurs particuliers, des organisations de normalisation et de développement de politiques, des développeurs de produits, des entreprises, des organisations non gouvernementales et des gouvernements. Tous ces acteurs ont besoin de collaborer pour que le but fixé d’un internet sûr, sécurisé et solide puisse être atteint. Le modèle d’un développement collaboratif des normes et des politiques de l’internet sur la base d’un processus ouvert et élargi visant au consensus, mené par des experts internationaux, est l’un des meilleurs moyens d’atteindre une véritable sécurité. Ce modèle a permis d’améliorer la cybersécurité grâce au déploiement de réseaux privés virtuels sécurisés (VPN) et de protocoles de cryptage, d’extensions de sécurité DNS (DNSSEC), de protocoles sécurisés pour l’échange de données et grâce à un système de routage plus sécurisé par le biais du développement d’améliorations pour la sécurité du BGP. Ce modèle de consensus et de coopération internationale va stimuler la confiance et même instaurer un climat de confiance pour répondre aux nombreux défis liés à l’amélioration de la cybersécurité. Malheureusement, des menaces potentielles, émanant notamment des entreprises qui veulent promouvoir leurs solutions exclusives et des gouvernements qui exercent des pressions pour la mise en place de mécanismes d’accès alternatifs, pèsent sur ce modèle basé sur un consensus ouvert. Le but de cet article n’est pas de « résoudre » le problème de la cybersécurité mais plutôt de répertorier les divers éléments qui relèvent du problème de la cybersécurité et d’identifier le travail en cours mené par diverses organisations et divers acteurs pour prendre en compte ces différents éléments. Nous avons bon espoir qu’en abordant le problème de la sorte, le lecteur puisse mieux comprendre les différentes manières de poser le problème et de trouver des solutions. Nous espérons également que ce cadre pourra fournir aux lecteurs un aperçu de l’éventail très large des organisations qui collaborent à la prise en compte des éléments techniques de la cybersécurité. www.internetsociety.org 1.1 Contexte L’internet a fondamentalement transformé notre société et notre économie. De par son évolution réellement planétaire et ubiquitaire en tous points du globe, l’internet continuera, à travers son impact, son influence et son importance, à se développer. De même, une nouvelle génération de citoyens adeptes de l’internet, ayant grandi avec le Net et étant à l’aise avec toutes ces dimensions, est aux avant-postes de la création de nouvelles applications, de nouveaux services et usages. L’internet ouvert, tel que nous le connaissons aujourd’hui, a été une aubaine pour l’humanité. Il n’a pas seulement permis à des entreprises en tous genres de gagner en efficacité, mais il a rendu possible l’émergence de nouvelles formes de production et de distribution ainsi que de nouveaux modèles économiques tels que ceux basés sur les logiciels en open source et le cybermarketing. Il peut également être potentiellement un instrument qui compte pour répondre aux maux de la société et aux autres défis d’importance tels que la diffusion de l’information lors de désastres naturels, le suivi du changement climatique à l’échelle de la planète et l’assistance apportée aux populations pour réduire la facture énergétique grâce aux « compteurs intelligents ». Mais cette révolution numérique a son côté obscur : les particuliers et les entreprises peuvent se faire peur ou voir leur usage de l’internet limité par les gouvernements. La fraude en ligne et le vol d’identité sont des événements courants et le défi qui consiste à traiter les flux d’informations illégales et de données inexactes est permanent. Ces points négatifs impliquent que les avantages de l’internet sont contrebalancés par des coûts réels et directs. Et pourtant, la conséquence finale de ce calcul du solde n’est pas universellement acceptée. Même si nos pare-feux, nos anti-virus et nos mesures anti-spam actuelles et nos pratiques de sécurité sur lnternet peuvent améliorer la cybersécurité, la complexité croissante du système et sa nature ouverte soulève de nouveaux défis. Selon un rapport du [NSPW] (New Security Paradigms Workshop), un éventail de mesures préventives apparemment directes, telles que les demandes de mots de passe renforcés, nous ont donné une fausse idée de la protection contre des attaques potentielles. En réalité, selon ce rapport, nous ne prêtons pas suffisamment attention à des menaces plus redoutables. Les découvertes récentes de « réseaux fantômes » à l’échelle mondiale, fortement médiatisées, qui sont des failles majeures dans l’infrastructure de la sécurité de l’internet comme l’ont montré l’incident du Diginotar [DIGINOTAR], les cyber-attaques contre des entreprises comme Google [NYT-GOOGLE] ou même contre des pays entiers comme l’Estonie [WIKI-ESTONIA2007] prouvent qu’il existe encore de sérieuses vulnérabilités qu’il convient de traiter mais qu’il en existe aussi de nouvelles qui n’ont pas encore été envisagées. Si des attaques massives deviennent monnaie courante – et si celles-ci semblent être imparables – notre confiance dans l’internet risque de s’éroder de manière significative ou même être brutalement mise en suspens. Pour éviter d’en arriver à de telles fins, un usage croissant de mesures soigneusement réfléchies visant à améliorer la confiance, la sûreté et la sécurité sera nécessaire. Malheureusement, certaines propositions actuelles pour améliorer la sécurité en soi représentent un danger pour l’internet ouvert et producteur. Certains gouvernements nationaux érigent des barrières dans le cyberespace. Tous ces efforts ne visent pas à imposer un contrôle politique ; en effet, certaines initiatives ont pour but d’améliorer la cybersécurité mais menacent néanmoins l’ouverture et la fonctionnalité de l’internet. Par exemple, le gouvernement australien a envisagé, avant de l’abandonner, une proposition visant à exiger des fournisseurs d’accès internet (FAI) la mise en www.internetsociety.org place de filtres en ayant recours à une liste contrôlée par le gouvernement. Le but est de bloquer « les images liées à la pédophilie, à la bestialité, à la violence sexuelle, et aux contenus détaillés concernant des scènes de crime et de violence, à l’usage de drogues ou de documents qui font l’apologie d’actes de terrorisme. » [AUSTRALIA-DBCDE][AUSTRALIA-UPDATE] Plus d’une douzaine de pays prévoient de déployer des mécanismes visant à bloquer les contenus de l’internet pour des motifs politiques, sociaux ou sécuritaires. [BORDER] Ces programmes font courir un risque majeur à l’interopérabilité et menacent l’objectif d’un internet producteur, accessible et ouvert. Un besoin croissant se fait sentir aujourd’hui pour qu’un travail fondamental soit mené afin de répondre aux préoccupations de ce que l’on désigne par le terme « cybersécurité ». Pour que ce travail soit constructif et efficace, il est indispensable de partir d’une définition commune de ce que l’on appelle la cybersécurité. 1.2 Définition évolutive de la cybersécurité La cybersécurité est un terme général qui évolue au fil du temps et dont la signification ne fait pas consensus. À partir de cette expression, on peut dresser une liste quasi-infinie de thèmes divers liés à la sécurité de l’internet, parmi lesquels les problèmes techniques et les vulnérabilités, les problèmes sociaux et comportementaux et les activités criminelles. On compte parmi les solutions possibles des produits et des normes techniques, des pratiques opérationnelles, la formation des utilisateurs, les politiques, les règlementations et la législation. Dans l’optique du présent document, la cybersécurité désigne tout ce qui englobe les problèmes liés à la sécurité spécifique à l’internet et les solutions techniques et non-techniques possibles. Toutes les activités illégales qui sont menées sur l’internet ne sont pas prises en compte par l’expression cybersécurité. Un crime est un crime, et le déporter simplement vers l’internet ne lui confère aucun caractère spécial. Quand des crimes sont commis par le biais de l’internet, ils peuvent avoir le caractère de la nouveauté et faire de bonnes unes dans la presse ; cela dit, la commande d’articles sur catalogue et une tentative de paiement avec une carte de crédit volée constituent simplement une fraude sur l’internet – et non pas une « cyberfraude ». Certains problèmes de légalité et de sécurité qui ne sont pas spécifiques à l’internet, tels que la reproduction et la distribution non autorisées de documents protégés par le droit d’auteur comme les films, ou les contenus illégaux tels que les images de pédophilie, quoiqu’importants, n’ont pas été inclus ici. Bien que l’internet puisse être un moyen permettant de mener de telles activités, celles-ci ont été omises afin d’accorder la priorité aux solutions technologiques à apporter aux problèmes de sécurité habituels, plutôt que d’inclure « toutes les mauvaises actions qui se produisent sur l’internet ». Les problèmes spécifiques de cybersécurité aussi bien que les autres activités criminelles menées par le biais de l’internet ne peuvent pas être résolus uniquement par des moyens technologiques, mais plutôt par une collaboration et une coopération étroite de tous les acteurs de l’internet parmi lesquels les entreprises, les utilisateurs individuels et collectifs, les gouvernements, les organismes d’application de la loi et les décideurs politiques du monde entier. Ces initiatives doivent être associées à des efforts constants visant à l’éducation à l’internet de tous les utilisateurs de l’internet, qu’il s’agisse des parents, des enfants et des éducateurs. L’aspect social de la cyber-criminalité ne peut pas être traité sans un engagement de l’utilisateur. www.internetsociety.org Figure 1 – Thèmes de la cybersécurité 2 Thèmes de la cybersécurité Le tableau de la figure 1 est une représentation simplifiée des différents éléments qui constituent la cybersécurité. Ce diagramme ne se prétend pas exhaustif, mais il fournit un schéma simple pour pouvoir aborder les différents aspects de la cybersécurité. Chaque encadré du tableau représente une catégorie générale des services de sécurité. Étant donné l’étendue du champ d’application de la cybersécurité, il s’avère utile de décomposer celle-ci en catégories ou thèmes généraux. Chacun de ces thèmes fait l’objet d’une description détaillée dans les sections qui suivent. 2.1 Sécurisation du lien Les paquets internet ne sont intrinsèquement dotés d’aucune sécurité. Ils sont complètement ouverts et toute personne équipée d’un simple outil logiciel peut facilement inspecter les contenus de chaque paquet qui sont transmis sur l’ensemble du réseau. Il s’agit d’un bloc de construction élémentaire de l’architecture de l’internet. Pour éviter tout « reniflage » ou toute écoute clandestine, on réalisa vite qu’il était nécessaire de trouver un moyen de crypter la transmission de données sensibles. Il existe un certain nombre de méthodes pour faire cela, notamment le cryptage au niveau de la couche de liaison des données (MACSec et accès protégé Wi-FI), le cryptage au niveau de la couche IP (IPSec), et le cryptage au niveau de la couche d’application (SSL/TLS et SSH, entre autres). Ces solutions techniques sont discutées dans la section de ce document consacrée au reniflage. Même si l’écoute clandestine sur l’internet peut être difficile techniquement dans des conditions normales de déploiements résidentiels et commerciaux, l’utilisation croissante du Wi-Fi ouvert et public et d’autres technologies sans fil ont fait clairement apparaître que l’écoute clandestine était un problème permanent. Par exemple, au mois d’octobre 2010, Eric Butler a présenté un outil appelé « Firesheep » pour démontrer à quel point il était facile d’écouter clandestinement les échanges Facebook non cryptés sur les réseaux publics sans fil. Le but avoué par M. Butler était d’inciter les sites Web à recourir davantage au cryptage (tels que SSL/TLS) afin de protéger les données d’utilisateurs en transit, un défi que Facebook a accepté de relever, mais qui n’a pas changé le comportement des autres acteurs de l’internet. [FIRESHEEP] Les IPsec, SSL, SSH et autres protocoles de cryptage de la couche IP et application sont spécifiés par l’IETF (Internet Engineering Task Force) dans une série de documents RFC (Request for Comment). Le comité de normalisation IEEE 802 LAN/MAN est chargé de la sécurité des réseaux sans fil et filaires métropolitains et locaux, dont les réseaux Ethernet, Bluetooth, WiFi et WiMax. La Wi-Fi Alliance, un consortium industriel, participe également à la définition de la sécurité des réseaux sans fil avec ses normes WPA et WPA2 (Wi-Fi Protected Access), profil qui repose sur les normes IEEE 802.11. 2.2 Sécurisation de l’infrastructure télécom et de l’infrastructure internet La sécurité de l’internet et la sécurité des télécom se distinguent l’une de l’autre dès lors qu’il s’agit de définir la cybersécurité ; chacune de ces entités dispose de sa propre infrastructure particulière et d’organisations standards. www.internetsociety.org Les regrouper peut brouiller les pistes, car les solutions visant à sécuriser une infrastructure nationale des télécommunications - à savoir des systèmes fermés fortement régulés au sein desquels évoluent une poignée d’acteurs majeurs sur chaque marché, organisés de manière hiérarchique, des monopoles naturels, et des infrastructures physiques vieillissantes – sont des solutions différentes de celles requises pour sécuriser l’infrastructure de l’internet, à savoir des systèmes ouverts en grande partie non régulés qui se construisent sur la base d’infrastructures de télécommunications nationales et internationales multiples et qui ne disposent d’aucun centre organisationnel apparent. De plus en plus, la cybersécurité englobe des problèmes de sécurité liés aux réseaux de télécommunication de type mobile et satellite et aux installations de diffusion et de micro-ondes. Au moment où les technologies de l’internet s’utilisent de plus en plus souvent pour le déploiement de services de télécommunications traditionnels, comme dans le cas de la livraison de services téléphoniques destinés aux abonnés locaux de l’internet, la coopération et la collaboration deviennent de plus en plus importantes pour réussir l’amélioration des conditions de sécurité sur l’internet. Quand les décideurs discutent de l’absence de normes en matière de cybersécurité, ils font généralement référence aux problèmes liés à l’infrastructure de l’internet et à la sécurité informatique, car cette infrastructure est aux mains du secteur privé et ainsi très largement non régulée ou auto-régulée. L’infrastructure des télécommunications représente l’exception, car elle a toujours été placée sous la surveillance de diverses autorités de règlementations des télécommunications nationales ou d’opérateurs télécom des États. En raison de la longue histoire du développement et de la réglementation des télécommunications, la plupart des réseaux de télécommunications sont traités comme des organismes distincts pour les questions liées à la sécurité. Par exemple, l’approche adoptée par l’Angola pour la sécurisation de son infrastructure de télécommunications nationale n’est pas plus liée à l’infrastructure de la sécurité en Zambie qu’à celle qui existe en Algérie. Dans ces cas précis, les agences qui définissent les normes télécom à l’échelle mondiale tels que l’UIT (Union Internationale des Télécommunications) aux Nations Unies sont chargées de développer des recommandations et des normes efficaces. Bien que n’étant pas une organisation du traité, l’IETF participe néanmoins aussi au développement des normes de sécurité des réseaux de télécommunications ; cela est dû, en particulier, au fait que ces réseaux utilisent un éventail de protocoles normalisés de l’IETF. Les agences d’application de la loi peuvent également coopérer conjointement avec l’UIT et l’IETF pour définir les normes de sécurité qui répondent à leurs exigences, notamment en matière d’interception (d’écoute) du signal de la voix par téléphone et des flux audio. La sécurité de l’infrastructure de l’internet est différente de la sécurité d’entreprise ou de la sécurité de l’infrastructure de réseaux de télécommunications nationaux car elle doit répondre au défi de la sécurisation du réseau mondial des réseaux plutôt qu’à la sécurisation d’un ensemble de réseaux envisagé pays par pays ou entreprise par entreprise. L’internet est un réseau mondial basé sur la superposition de protocoles acceptés, au sein duquel l’infrastructure sous-jacente et les réseaux connectés individuels sont gérés et contrôlés par de nombreuses organisations distinctes, tant publiques que privées. Cela signifie que les plus grands défis auxquels sont confrontés ceux qui œuvrent à la sécurité de l’internet proviennent de l’autonomie mais aussi de la diversité commerciale et organisationnelle des réseaux individuels interconnectés qui constituent l’internet. www.internetsociety.org La principale organisation chargée du développement des normes de sécurité pour l’internet est l’IETF. Il existe plusieurs groupes de travail au sein de l’IETF qui s’occupent spécifiquement du développement des protocoles de sécurité qui intègrent l’IPSec et TLS. De plus, l’IETF a donné une directive selon laquelle tous les documents concernant le protocole doivent contenir une section intitulée « Questions de sécurité » qui traite des implications de ces protocoles en matière de sécurité. Des informations supplémentaires peuvent être obtenues à l’adresse suivante : Les menaces traitées ; . L’IETF a constitué un groupe de travail sur les opérations de sécurité, l’OPSEC, qui prévoit de produire des documents liées aux meilleures pratiques concernant plus d’une douzaine de questions de sécurité opérationnelle. Ces documents intègreront les pratiques actuelles liées aux opérations sécurisées basées sur des expériences menées dans le monde réel. Seront répertoriés dans chaque document : les menaces auxquelles on a dû faire face ; les pratiques actuelles visant à répondre à ces menaces ; les protocoles, les outils et les technologies existantes, au moment de la publication, utilisés pour répondre à ces menaces ; la possibilité qu’aucune solution n’existe si l’on fait usage des technologies ou des outils existants. La production de l’OPSEC apportera une aide à la communauté des opérateurs télécom, à la communauté des développeurs de protocoles de l’IETF et aux responsables de la mise en œuvre de ces protocoles. Six des documents proposés en matière de meilleures pratiques ont été publiés au titre de RFC, au mois de novembre 2012, auxquels s’ajoutent six documents sur les meilleures pratiques en cours de développement. En sus de ces enquêtes, l’OPSEC produit une taxonomie des diverses normes de cybersécurité qui sont actuellement développées par des organisations standards à travers le monde. [OPSEC-TAXONOMY] 2.3 Sécurisation des ordinateurs Chaque fois qu’un appareil se connecte à l’internet, il s’expose à une intrusion. En grande majorité, les attaques les plus réussies de hackers, de criminels et autres acteurs malveillants sont menées contre des serveurs et des ordinateurs d’utilisateurs finaux connectés à l’internet. Bon nombre d’organisations ne ménagent pas leurs efforts pour installer des pare-feux et des systèmes de sécurité sur les points finaux, que l’on appelle habituellement outils « antivirus » ou « anti-maliciels ». En même temps, les hackers testent et explorent en permanence les faiblesses des pare-feux et des ordinateurs mis en réseau. Cela aboutit à accroître les conflits entre les propriétaires d’ordinateurs, qui souhaitent conserver le contrôle de leurs systèmes, et les hackers qui souhaitent faire usage de ces ordinateurs et des données qui s’y trouvent. Personne ne sait vraiment quel est le degré de réussite des missions menées par les hackers. De nombreuses attaques ne sont pas rapportées. Les pressions exercées par la concurrence empêchent aussi souvent le partage des données d’intrusion entre les organisations et découragent la collaboration sur les différentes approches qu’il convient d’adopter en matière de www.internetsociety.org sécurité. Des discussions incessantes ont lieu sur divers forums pour savoir comment rassembler et partager efficacement ce type de données. Les raisons qui motivent les hackers désireux de contrôler les ordinateurs ont évolué au fil du temps. Il y a quinze ans, le principal mobile du cybercrime était l’acte de pur vandalisme. La situation a évolué au point que les criminels utilisent aujourd’hui l’internet pour extorquer des fonds, voler des mots de passe et des données financières (telles que les numéros de cartes de crédit), et pour créer des botnets qui peuvent être utilisés pour envoyer des courriers indésirables, pour commettre des fraudes, pour voler des données d’identité, et pour exécuter des attaques de déni de service contre des sites Web spécifiques. Certaines de ces techniques sont également utilisées sur un mode beaucoup plus sophistiqué par les gouvernements nationaux ou par d’autres criminels recrutés à des fins d’espionnage, d’interruption des communications et de services et d’autres fins offensives. Figurent parmi les outils utilisés pour attaquer des ordinateurs, les maliciels, les chevaux de Troie, les botnets, l’hameçonnage, les dénis de service distribués (DDoS) et les attaques par homme intermédiaire. Ceux-ci sont discutés en détail, de même que certaines technologies de protection, dans la section « Problèmes de cybersécurité et technologies de protection » de cet article. Maintenir la sécurisation des ordinateurs, qu’il s’agisse de serveurs ou d’ordinateurs de bureau, d’ordinateurs portables ou de smartphones, est la priorité d’un éventail très large de groupes au sein des communautés internet et informatique. Le tableau ci-dessous permet d’identifier certains des principaux acteurs et leurs domaines d’intérêt. Organisation Domaine d’intérêt Entreprises du secteur logiciel telles que Eset, FSecure, Kaspersky, McAfee, Sophos, Symantec, et Trend Micro Production d’outils anti-maliciels pour serveurs, pour les ordinateurs de bureau et les ordinateurs portables de particuliers, pour une utilisation avec des appareils embarqués tels que les pare-feux. . Entreprises du secteur des Production d’appareils pare-feux de réseau pour sécuriser les pare-feux, telles que Check réseaux d’organisations en permettant de démarquer le réseau de Point Software, Cisco l’internet. Systems, Juniper Networks et SonicWALL Entreprises du secteur de Production d’ordinateurs dotés d’une sécurité intégrée (telles que l’équipement matériel, les disques durs capables d’auto-cryptage et les modules de telles qu’AMD et Intel plateformes dignes de confiance – Trusted Platform Module) qui assure une protection contre la cyber-intrusion. www.internetsociety.org Trusted Computing Group Développement de normes pour la protection d’appareils en fin de (un consortium industriel) système, comme les disques durs capables d’auto-cryptage, les appareils d’authentification de matériel et le contrôle d’accès au réseau. IETF Développement de normes pour l’évaluation des points finaux du réseau (Network Endpoint Assessment) pour garantir la « santé » des appareils avant qu’ils soient autorisés à se connecter aux réseaux et à l’internet 2.4 Sécurisation des applications internet Toute application sur un appareil tels qu’un ordinateur personnel ou un smartphone, connectée et communicant sur l’internet, est une « application internet ». À titre d’illustration, deux des applications internet les plus courantes, le courrier électronique (email) et la navigation du Web, sont examinées dans cette section. Il existe cependant de nombreuses applications sur l’internet et leur nombre ne cesse de croître au fur et à mesure de l’acceptation des nouveaux usages de l’internet. La protection de ces applications entre dans la catégorie générale de la sécurité au niveau de la couche d’application, un élément supplémentaire de la cybersécurité. 2.4.1 Sécurisation des emails Tout utilisateur de courrier électronique connaît bien le problème de sécurité que sont les spam, ou courriers électroniques indésirables envoyés en masse. La protection des emails contre le courrier indésirable incombe, pour une large part, à des revendeurs d’appareils et de logiciels commerciaux tels que Barracuda Networks, Cisco/IronPort, McAfee, Proofpoint, Symantec et Trend Micro. Des fournisseurs de services tels que Google/Postini et Microsoft ont élaboré des solutions « dans le nuage » pour permettre de sécuriser les emails contre le courrier indésirable, et un certain nombre d’entreprises telles que Spamhaus fournissent des listes noires et des services basés sur la réputation. La principale organisation standard qui travaille spécifiquement dans le domaine de l’anti-spam est MAAWG (Messaging Anti-Abuse Working Group) qui assure une liaison permanente avec l’IETF et d’autres organisations standards de taille plus modeste, ainsi que des alliances industrielles. S’appuyant sur le travail du MAAWG, l’IETF a formé un groupe de travail pour contribuer à la standardisation des rapports concernant le courrier indésirable. Les opérations de messagerie contre les abus entre les services indépendants nécessitent souvent l’envoi de rapports concernant des fraudes constatées, du courrier indésirable, des virus ou d’autres activités abusives. Un format de rapport standardisé permet un traitement automatisé. Le groupe de travail sur le MARF (messaging abuse reporting format) de l’IETF a développé une série de RFC qui présentent en détail une méthode et un format qui peuvent être utilisés par des organisations intéressées par l’envoi de rapports standardisés contre le courrier indésirable. [MARF] Les emails sont sujets à une deuxième menace : l’usurpation d’identité. Étant donné que la conception des protocoles pour les emails sur l’internet n’a pas envisagé l’usage à l’échelle d’une large communauté susceptible de subir l’usurpation d’identités à grande échelle, des attaques de ce genre sont encore faciles à faire. L’IETF a développé Domain-Keys Identified Mail (DKIM), une série de normes qui permettent de détecter les mails de personnes dont l’identité a été usurpée. DKIM peut également permettre de bloquer les types de courriers indésirables qui impliquent www.internetsociety.org 1 l’usurpation d’identité tels que les emails d’hameçonnage qui semblent provenir d’une banque . [DKIM] . 2.4.2 Sécurisation des applications Web Des applications Web telles que les réseaux sociaux de Facebook, les ventes aux enchères d’eBay et Yahoo ! Mail, représentent l’usage le plus courant de l’internet fait par de nombreux clients. Pour les affaires, des applications d’e-commerce utilisées à des fins générales ou spécifiques, telles que les outils d’autorisation des cartes de crédit ou la gestion de l’inventaire en ligne, peuvent jouer un rôle plus important. Quelle que soit la situation, les serveurs Web et les logiciels qui fournissent ces applications peuvent faire appel à une sécurité spécifique. Ces produits sont mieux connus sous le nom de pare-feux pour applications Web et ils sont gérés par le détenteur de la cyber-application et non par le consommateur. Le but principal des pare-feux pour applications Web est de protéger les utilisateurs du Web et les serveurs Web contre les failles de sécurités qui peuvent être dissimulées dans l’application. Par exemple, une attaque de typer particulier connue sous le nom « d’injection SQL » peut être utilisée contre des applications Web sensibles dans le but de contourner l’application et d’entrer directement en relation avec la base de données derrière l’application. Les attaques d’injection SQL, lorsqu’elles sont réussies, peuvent donner la capacité à l’attaquant de télécharger des informations privées depuis les bases de données de l’application Web (comme les noms d’utilisateurs, les adresses, les mots de passe et même les numéros de cartes de crédit) ou de charger des contenus vers un site Web digne de confiance susceptibles de placer à son insu un maliciel sur l’ordinateur d’un utilisateur. Les pare-feux pour les applications Web (et jusqu’à un certain point, les systèmes de prévention des intrusions) permettent de détecter et de bloquer ces types d’attaques, et ajoutent ainsi une couche de sécurité. Le World Wide Web Consortium (W3C) est en grande partie responsable de la bonne gérance de toutes les normes basées sur le Web. Le W3C a créé deux groupes de travail en relation avec les applications et la sécurité, le Web Applications Working Group [W3C-APP] et le Web Application Security Working Group [W3C-SEC]. L’IETF a également constitué un groupe de travail sur la sécurité du Web au mois d’octobre 2010 qui vient en aide aux développeurs de logiciels en leur apportant des normes et des conseils afin de limiter l’incertitude. La plupart du travail spécifique accompli sur les pare-feux des applications Web a été fourni par les vendeurs de ces produits et par les développeurs de navigateurs Web grand public, notamment Microsoft et Mozilla. Grâce au volume important d’activités menées dans le domaine de la sécurité des applications Web, nombreux sont ceux qui croient, au sein de la communauté technique, qu’une coordination méthodologique plus rapprochée pourrait être utile. [HODGES] 2.5 Sécurisation des données La sécurité et la confidentialité des données (consentement compris) sont les autres domaines habituellement associés à l’expression « cybersécurité ». La sécurité des données désigne toute stratégie ou toute mesure – légale, technique, sociale ou autre – utilisée pour protéger des données. En tant que canal ultime pour le transfert transfrontalier des données, l’internet permet aux populations du monde entier d’envoyer et de recevoir des données en tous points du globe. Les différents protocoles de l’internet fournissent 1 Le « hameçonnage » consiste à créer des sites Web qui semblent être légitimes. L’utilisateur est souvent dirigé vers ces sites au moyen d’un email ou de noms qui lui sont familiers. On lui demande ensuite d’entrer des mots de passe, des numéros de comptes et d’autres informations. www.internetsociety.org des degrés divers de sécurité des données. Dans certains cas, les utilisateurs de l’internet s’attendent également à ce que les données qu’ils envoient et qu’ils reçoivent soient sécurisées comme, par exemple, quand ils communiquent avec leur banque, leur gouvernement ou des fournisseurs de soins de santé. Dans d’autres cas, les données qu’ils envoient ou qu’ils reçoivent comme, par exemple, le contenu des articles de Wikipédia, peuvent ne pas être sécurisées lors des transits. Les utilisateurs de l’internet peuvent également envisager de protéger des données stockées contre les accès de tiers ou la falsification. Ces données peuvent être détenues localement pour l’utilisateur de l’internet (par exemple sur son ordinateur personnel ou son smartphone) ou par un fournisseur de services (par ex. une banque, un organisme d’État, un fournisseur de réseau social, un fournisseur de stockage de fichiers, etc…). La dimension sécurité des données de la cybersécurité concerne la sécurisation des données en transit et en cours de stockage. La confidentialité, dans l’environnement en ligne, concerne la protection des données personnelles. Récemment, une définition moderne de la confidentialité, axée sur le partage des données privées en ligne, a fait son apparition : La confidentialité est le partage consensuel de données dans un contexte explicite d’attente par rapport au champ d’application. Les cadres politiques et juridiques de la confidentialité et de la protection des données ont tendance à se polariser sur les données personnelles (ou sur les informations personnelles), ce que les directives sur la confidentialité de l’OCDE désigne par « toute information concernant un personne identifiée ou identifiable ». [OCDE] Les données concernant les corporations, les organisations et les individus décédés sont habituellement exclues. Traditionnellement, les cadres techniques pour l’échange de données via l’internet accordaient la priorité à la sécurité des données plutôt qu’à la confidentialité. Toutefois, avec l’explosion relativement récente des échanges de données parmi les utilisateurs de l’internet, alimentée des outils plus accessibles et plus simples à utiliser (comme, par ex., des appareils moins onéreux, les sites Web des médias sociaux, les logiciels de blogging, l’accès et les applications mobiles, etc…), la communauté technique de l’internet investit des ressources considérables dans le développement des outils techniques permettant le respect de la confidentialité ainsi que des améliorations de la confidentialité des protocoles de l’internet. Les principales organisations qui travaillent dans ce domaine sont des législateurs nationaux et des organismes gouvernementaux affiliés. La confidentialité des informations personnelles est le sujet des législations sur chaque continent. Aux États-Unis, la législation a été généralement fragile au niveau fédéral avec des exceptions notables telles que la confidentialité en matière de soins de santé (HIPAA, le Health Insurance Portability and Accountability Act). Cela amène les états à s’impliquer et à fournir des protections plus solides aux consommateurs. La Californie a été un des pionniers dans ce domaine avec une législation étendue à de nombreux sujets liés à la protection des données. D’autres états américains, en grand nombre, ont également développé leur propre législation dans ce domaine ; bien que cela aboutisse à l’émergence, sur le territoire américain, d’un ensemble disparate d’exigences et de réglementations. En réponse à l’inquiétude concernant l’absence de règles en matière de confidentialité en ligne à l’échelle fédérale, le ministère américain du commerce mène une étude exhaustive des liens entre les politiques de confidentialité et l’innovation dans le www.internetsociety.org secteur de l’économie de l’internet et lance une procédure publique et une série d’ateliers à cette intention. [US-NTIA] Certains exemples de règles en matière de protection internationale des données sont mentionnés dans le tableau ci-dessous. Nom Ce qui est couvert Directive européenne sur la Traite des questions de transparence, d’utilisation légitime et de protection des données proportionnalité de l’usage des informations personnelles de tous les citoyens de l’UE, ainsi que des moyens qui permettent de transférer ces données à l’intérieur comme à l’extérieur de l’UE. Australian Commonwealth Privacy Act Collecte appropriée, propriété, usage, correction, divulgation et transfert des données personnelles par des organisations du secteur public et privé. Protection au Canada des informations personnelles dans le secteur privé Englobe la collecte non-gouvernementale, l’usage et la divulgation d’informations personnelles, le droit individuel à la confidentialité et la pertinence de la collecte au sein de l’entreprise, de l’usage et de la divulgation des informations personnelles. Loi concernant la protection des données personnelles traitées par ordinateur à Taïwan Protège l’utilisation publique (gouvernementale) et non-publique (secteur privé) des données personnelles ainsi que la pertinence, les permissions, la divulgation et les pénalités relatives à une mauvaise utilisation des données personnelles. Directives de l’OCDE Traite du consensus international sur la collecte et la gestion des régissant la protection de la informations personnelles. Aide les gouvernements et les confidentialité et des flux entreprises en leur proposant des directives sur la protection de la transfrontaliers de données à confidentialité et des données personnelles ainsi que sur les flux caractère personnel transfrontaliers de données. Coopération économique Traite du consensus régional sur le développement de la protection pour l’Asie-Pacifique (APEC, de la confidentialité qui évite les obstacles aux flux d’informations. Asia-Pacific Economic Cooperation) Cadre méthodologique concernant la confidentialité 2.6 Sécurisation de l’identité Aux premières heures de l’internet, il fut rapidement accepté que la réussite de nombreuses applications commerciales dépendait nécessairement de mécanismes construits sur les principes de confiance et de gestion sécurisée de l’identité permettant d’autoriser et d’authentifier les www.internetsociety.org 2 utilisateurs de l’internet . Un lien sécurisé n’est bon qu’à partir du moment où les points finaux sont considérés comme des entités légitimes autorisées à mener à bien une transaction donnée. À l’origine, l’expression « cybersécurité » a été pensée en grande partie en ces termes, c’est-àdire comme une expression positive concernant l’activation de services et de fonctionnalités pour l’internet. Les mécanismes qui permettent d’accroître la confiance et de valider l’identité devaient permettre à l’internet de proposer des canaux pour une communication sécurisée, fiable et privée entre les entités, susceptibles d’être clairement authentifiées d’une manière mutuellement comprise. Ces mécanismes doivent disposer de moyens raisonnables pour que les entités puissent gérer et protéger les détails concernant leur identité. Bien que bon nombre de problèmes liés à la sécurisation de l’identité soient d’ordre juridique, il existe des protocoles de sécurité et de confidentialité qui peuvent contribuer à sécuriser le processus d’authentification et d’autorisation des utilisateurs finaux. Figurent parmi les organisations les plus impliquées dans la recherche de solutions concernant la confiance et l’identité, les gouvernements nationaux et leurs agences, telle que l’US NISST, les organisations du secteur public et du secteur privé dont OASIS, W3C, OpenID, la Kantara Initiative et l’IETF, lesquelles sont toutes présentées ci-après. OASIS (Organization for the Advancement of Structured Information Standards) est un consortium à but non lucratif commandité, au départ, pour travailler sur le SGML (Standard Generalized Markup Language) et pour accorder la priorité au balisage et à la préparation de documents. Bien que le SGML n’ait rencontré qu’un succès mitigé, une norme dérivée, le XML (eXtensible Markup Language) a été largement adoptée et OASIS est devenu une ressource active pour de nombreuses normes associées. Le comité chargé des services de sécurité d’OASIS a développé le SAML (Security Assertion Markup Language) qui est une ressource de base largement utilisée dans bon nombre de protocoles d’identité avancés. [OASIS] Aux États-Unis, le NIST (National Institute of Standards and Technology) a préparé une stratégie nationale pour les identités dignes de confiance dans le Cyberespace (NSTIC, National Strategy for Trusted Identities in Cyberspace). Cette stratégie sponsorisée par le gouvernement « propose une vision d’un cyber-monde - L’Écosystème de l’Identité (Identity Ecosystem) – qui améliore les mots de passe utilisés actuellement pour se connecter en ligne. Celle-ci devrait inclure une place de marché dynamique permettant aux individus de faire un choix parmi plusieurs fournisseurs d’identité, publics et privés, capables de produire des identifiants dignes de confiance en apportant la preuve de l’identité ». La Fondation OpenID, une autre organisation active dans le domaine de la sécurisation de l’identité, a été fondée en 2007. OpenID est une organisation internationale à but non lucratif, regroupant des particuliers et des entreprises engagés dans la mise en œuvre, la promotion et la protection des technologies OpenID. [OPENID] La Kantara Initiative a été lancée en 2009. Elle a vocation à être le point focal d’une collaboration visant à traiter les problèmes partagés par les membres de la communauté qui s’intéressent à l’identité. Sa mission est « d’encourager l’harmonisation, l’interopérabilité, l’innovation et 2 L’identification est la pièce jointe d’une étiquette rattachée à une entité, comme le nom d’utilisateur d’une personne assise devant un clavier. L’authentification est le processus par lequel on vérifie que l’entité qui est identifiée correspond bien à l’entité qui se déclare, généralement au moyen d’un mot de passe confidentiel. www.internetsociety.org l’adoption élargie de la communauté qui s’intéresse à l’identité grâce au développement de spécifications ouvertes en matière d’identité, de cadres opérationnels, de programmes de formation, et grâce au déploiement et à l’usage des meilleures pratiques pour le respect de la confidentialité et l’accès sécurisé aux services en ligne. » [KANTARA] Le groupe de travail OAuth de l’IETF œuvre aussi activement à la normalisation des protocoles de confiance et d’identité, et poursuit le développement d’OAuth, un « protocole ouvert visant à permettre l’autorisation de la sécurité selon une méthode simple et standard à partir d’applications Web, mobiles et de bureau ». La version 2 du protocole OAuth a été publiée au titre de norme proposée au mois d’octobre 2012. [OAUTH-V2], [LYNCH2011], [CERF2011], [GRANT2011] 2.7 Sécurisation des services essentiels Les services essentiels tels que les systèmes municipaux de distribution d’eau et le réseau électrique sont de plus en plus dépendants, pour fonctionner normalement, de réseaux de données, appelés SCADA (Supervisory Control and Data Acquisition). Quand des services essentiels sont attaqués, les dégâts potentiels dépassent largement les dégâts provoquées par l’envoi de courrier indésirable visant à faire la publicité de fausses montres ou de médicaments permettant d’accroître les performances sexuelles. Les conséquences d’une attaque réussie contre un ordinateur qui gère ou contrôle ces types d’infrastructures critiques sont désastreuses. Désactiver un serveur Web peut être gênant et entraîner des pertes de revenus et des coûts supplémentaires, mais provoquer une panne du réseau électrique a des effets beaucoup plus graves et lourds de conséquences sur la sécurité du public. C’est pourquoi il est important de prêter une attention particulière à la menace que de telles attaques et leurs réponses associées représente en termes de gouvernance et de bon fonctionnement de l’internet à l’échelle de la planète. Ces menaces sont nouvelles et, pour la plupart d’entre elles, hypothétiques. Toutefois, les systèmes SCADA ne sont pas gérés comme des réseaux d’entreprise traditionnels qui bénéficient de correctifs de sécurité programmés à intervalles réguliers et de temps d’arrêt pour les mises à niveau et la maintenance. Les réseaux SCADA disposent d’ordinateurs incorporés au cœur du système qui sont programmés pour effectuer des tâches très spécifiques et de manière très fiable, et l’accent est beaucoup moins placé sur la protection contre des attaques. Les principales formes de protection des services essentiels de contrôles des réseaux sont de deux types : l’entrefer et la sécurité grâce à l’obscurité. L’expression « sécurité par isolement total » renvoie à une pratique courante de sécurité sur les systèmes de contrôle critique. La sécurité du système et du réseau, telle qu’on la conçoit, est simple : il suffit de s’assurer qu’il n’existe aucune connexion physique entre les systèmes de contrôle et l’internet. L’absence de connexion physique – l’isolement total – signifie qu’aucun maliciel ne peut infecter un système déconnecté de tous les autres, et que personne ne peut prendre le contrôle d’un système qui ne dispose d’aucune connexion au réseau. Bien que ce type de sécurité ait été facile à appliquer au cours des années passées, il devient de plus en plus difficile de garantir ces isolements totaux, étant donné la prévalence de l’internet à tous les niveaux dans nos vies et dans les entreprises, y compris dans les entreprises d’énergie et de services publics. De par la mise en réseau des systèmes essentiels entre eux, il suffit qu’un système périphérique soit compromis pour que l’ensemble de la chaîne ne fonctionne plus. Par exemple, on pense que le vers Stuxnet qui a désactivé des centaines de centrifugeuses dans l’usine d’enrichissement de combustible Natanz en Iran, a été capable de contourner l’isolement www.internetsociety.org total entre le réseau SCADA de l’usine et l’internet au moment où un technicien a branché un ordinateur infecté sur le réseau de l’usine. [STUXNET-NYT] Un deuxième type de sécurité, « la sécurité grâce à l’obscurité », émet l’hypothèse que les réseaux qui prennent en charge les services essentiels sont intrinsèquement protégés car bon nombre de systèmes de contrôle et de protocoles n’étaient globalement pas connus des attaquants potentiels. Mais étant donné que ces systèmes deviennent des cibles de valeur pour les criminels, il existe une incitation supplémentaire pour découvrir les systèmes obscurs et s’y introduire. Ceci est d’autant plus vrai que les systèmes d’exploitation en temps réel et développés sur mesure sont remplacés par des produits logiciels commerciaux à moindre coût tels que Windows et Linux dont les faiblesses connues en matière de sécurité n’ont pas forcément besoin d’être corrigées en raison de la nature de ces réseaux. Des organisations militaires, ainsi que des organismes standards tels que le NIST aux États-Unis se mettent à présent à répondre au défi des systèmes de sécurisation qui prennent en charge l’infrastructure critique nationale. 3 Problèmes de cybersécurité et solutions technologiques La cybersécurité est un domaine actif de recherche et de développement au sein de la communauté qui s’intéresse aux technologies de l’information et qui accueille des participants issus de tous les domaines de l’écosystème informatique. La plupart des thèmes concernant la cybersécurité, discutés ci-avant, partagent des problématiques communes en matière de sécurité qui doivent être résolues au titre de la maturation permanente de l’internet envisagé comme un élément sécurisé et digne de confiance de nos vies. Figure 2 : Problèmes de cybersécurité et solutions technologiques La Figure 2 récapitule certains domaines problématiques majeurs en matière de cybersécurité et indique les solutions technologiques pour remédier à certains de ces domaines problématiques qui ont été développées par des entités commerciales, des organisations standards et des utilisateurs de l’internet. Trouver une solution technologique à un problème de cybersécurité ne fait pas disparaître le problème ; cela offre simplement une opportunité de le résoudre. Par exemple, le cryptage d’un point final à l’autre, grâce aux SSL/TLS est une technologie bien connue qui peut être utilisée pour répondre en partie à bon nombre de thèmes répertoriés ci-avant. Cependant, il n’a pas été universellement adopté, en partie pour des raisons historiques et une inertie organisationnelle, et en partie en raison de l’ignorance ou d’une mauvaise information. Disposer de solutions bien www.internetsociety.org connues pour des problèmes bien connus n’apporte pas beaucoup de valeur si ces solutions ne sont pas utilisées. Les sections ci-dessous proposent une vue générale de l’ensemble des sections concernant certains problèmes majeurs de la cybersécurité et les solutions qui sont activement développées et maintenues au sein de la communauté de l’internet. Dans de nombreux cas, les solutions répertoriées sont bien connues et arrivées à maturité ; dans les autres cas, les solutions se constituent en domaines de recherche active et de développement au sein de la communauté. Étant donné qu’un grand nombre de ces problèmes de cybersécurité peuvent être traités à l’aune de divers thèmes liés à la cybersécurité, ces solutions ne pointent pas directement vers la liste des thèmes présentés plus haut dans ce document mais s’appliquent communément au domaine de la cybersécurité dans son ensemble. 3.1 Résolution de l’écoute clandestine grâce au cryptage Le problème de l’écoute clandestine peut être résolu grâce au cryptage (et à l’authentification) de messages. Ce cryptage peut s’effectuer au niveau de diverses couches du réseau. Dans certains cas, des programmes de cryptage multiples peuvent être appliqués simultanément en fonction du réseau et de l’architecture des applications. Les méthodes courantes sont les suivantes : Couche Solution La plus basse (physique et lien vers les données) Cryptage de lien exclusif ; norme IEEE sans fil 802.11 ; norme IEEE filaire 802.3 MACSec Réseau (niveau IPv4 et IPv6) Normes de sécurité IETF IPSec IP (et échange de clé internet IKE) Application SSL, TLS, SSH, PGP, S/MIME Le cryptage au niveau de la couche de liaison peut être fourni par le biais de la norme sans fil arrivée à maturité IEEE 802.11 (et d’après le profil du secteur industriel appelé Wi-Fi Protected Access, WPA) ou de la nouvelle norme de cryptage du lien vers les données IEEE 802.1, communément appelée MACSec. Alors que les normes de sécurité 802.11 et WPA sont couramment mises en œuvre aujourd’hui, MACSec n’est pas utilisée car c’est une nouvelle norme qui exige un nouveau matériel pour le réseau. Les anciens outils de cryptage au niveau de la couche de liaison, tels que les appareils de cryptage de point à point, ont été déployés au sein d’environnements WAN (Wide Area Network), en particulier par le secteur des services financiers et les communautés militaires. Le cryptage au niveau de la couche du réseau est courant dans bon nombre d’entreprises qui utilisent les normes IPSec [IPSEC] et IKE. Le terme générique pour ce type de cryptage est le VPN (Virtual Private Network), car l’utilisation de ces protocoles permet de créer un réseau au sein d’un réseau, protégé et crypté. Ces normes ont été développées par l’IETF en prenant appui sur un travail effectué en amont au sein d’autres organisations standards et de sécurité. Les entreprises qui connectent des agences par le biais de l’internet sont les utilisateurs les plus fréquents de l’IPSec, mais cette norme peut également être utilisée pour un accès à distance, ce qui permet de ramener des individus vers le réseau d’entreprise grâce à un client VPN de cryptage installé sur leurs ordinateurs portables ou leurs ordinateurs de bureau. www.internetsociety.org Le cryptage au niveau de la couche d’application peut être fourni par le biais de nombreux protocoles différents. SSL (Secure Socket Layer), récemment remplacé par TLS (Transport Layer Security), en est l’exemple le plus célèbre. SSL/TLS est le protocole de cryptage au niveau de la couche d’application le plus couramment utilisé dans la plupart des transactions de sécurité et de transactions financières. Dans le monde du Web, sa présence est signalée par le préfixe spécifique du Web « https : » En sus du SSL/TLS, on compte parmi les autres protocoles de sécurité pour les applications qui prennent en charge le cryptage, SSH (Secure Shell) [SSH] pour la capacité de connexion à distance et S/MIME [SMIME-MSG] [SMIME-CERT], pour le cryptage des emails s. Tous ces protocoles de sécurité pour les applications utilisent les certificats X.509 [X509] pour les principales infrastructures publiques. Un certain nombre d’incidents impliquant l’émission de ces certificats illustrent certaines des failles inhérentes à cette méthode [COMODO] [DIGINOTAR]. Il s’agit d’efforts consentis par diverses organisations techniques pour trouver une réponse à ces problèmes. Tous ces protocoles sont le résultat d’un long développement historique qui s’est opéré grâce à diverses organisations standards techniques. Bon nombre d’entre elles ont initié un développement au sein d’organisations qui s’intéressent à des variations plus sécurisées. L’IPsec, par exemple, est le successeur de la norme ISO NLSP (Network Layer Security Protocol) basée sur le protocole SP3 qui a été publié par le NIS, mais qui a été conçu grâce au projet Système en réseau de données sécurisées (Secure Data Network) mené aux États-Unis par la NSA (National Security Agency). 3.2 Résolution de problèmes liés aux maliciels grâce à l’utilisation de pare-feux et d’outils de sécurité point-à-point L’un des domaines les plus importants d’amélioration potentielle de la cybersécurité est celui de la protection des ordinateurs. Ces solutions sont souvent appelées solution de sécurité de « point final à point final », parce que l’ordinateur, qu’il s’agisse d’un serveur Web, d’un smartphone, d’on ordinateur portable ou de bureau, à domicile ou dans un bureau est l’une des deux extrémités d’une connexion internet. 3.2.1 Types de maliciels Le terme générique utilisé pour les virus, les logiciels espions, les chevaux de Troie ou les enregistreurs de clés est « maliciel », forme courte de l’expression « logiciel malfaisant ». Un maliciel est un logiciel qui est téléchargé par l’utilisateur, souvent à son insu en cliquant sur ce qui semble être un site Web anodin ou une publicité, ou en ouvrant un email. Le logiciel s’incorpore dans le système d’exploitation de l’ordinateur et peut provoquer divers effets. Il peut être simplement gênant en bombardant constamment l’utilisateur de fenêtres de publicité non sollicitées. Par ailleurs, le logiciel peut avoir des effets plus désastreux ; par exemple, il peut « enregistrer la clé » en déchiffrant les mots de passe et autres informations personnelles qui ont été saisis sur le clavier, et les enregistrer pour un chargement qui sera effectué ultérieurement par des criminels. Un autre usage des maliciels consiste à créer des botnets, forme abrégée pour décrire les activités de Robot du Net. Les botnets sont créés par des types sophistiqués de maliciels conçus pour infecter plusieurs systèmes à la fois, puis pour confier le contrôle des systèmes à un être humain qui peut les utiliser comme réseau gigantesque de traitement parallèle. Les botnets peuvent être utilisés pour envoyer des emails commerciaux non sollicités (spam), pour faire office de faux serveurs Web afin de voler les identifiants et autres informations d’utilisateurs finaux et www.internetsociety.org attaquer d’autres ordinateurs dans le but de les désactiver ou de les saturer (attaques par déni de service distribué, DDoS). Des études récentes ont pointé l’ampleur du problème. Un botnet type, construit pour rassembler des machines d’entreprise, atteint un volume de 1000 unités environ, tandis qu’un grand botnet pour le courrier indésirable peut atteindre un volume compris entre 50 000 et plusieurs centaines de milliers de machines. Selon Dark Reading [DR] le nombre moyen de botnets trouvés dans une entreprise est resté relativement stable au cours des deux années passées ; ce chiffre pouvant atteindre de 5 à 7 pourcent de l’ensemble des systèmes d’entreprise infectés par des botnets. La sécurisation des ordinateurs connectés à l’internet contre les maliciels a été répartie en deux domaines principaux : les pare-feux, qui permettent de construire un anneau protecteur autour du réseau d’une organisation, et les logiciels et les matériels de sécurité au point final, qui ont pour principal objectif de détecter et de bloquer les logiciels malveillants qui tentent de prendre le contrôle du point final. 3.2.2 Utilisation de pare-feux Une méthode courante pour sécuriser les points finaux consiste à créer une barrière autour du réseau de l’organisation en utilisant des pare-feux. Pour la plupart des ordinateurs, le pare-feu agit comme une valve unidirectionnelle qui permet au système interne de se connecter vers l’internet tout en bloquant les connexions de l’extérieur vers l’intérieur. Pour certains systèmes, tels que les serveurs Web et email, il est nécessaire d’autoriser les connexions entrantes, mais celles-ci sont limitées à des applications particulières sur des serveurs particuliers. Cela fait naître de nouveaux défis en matière de configuration et de contrôle, en particulier avec les nouvelles applications multimédias. À titre d’exemple, le VoIP (Voice over IP) et la vidéoconférence ne peuvent pas fonctionner si ils sont étouffés par un pare-feu ; donc le groupe chargé de l’informatique doit ajouter des règles qui autorisent les flux à travers le pare-feu afin de pouvoir accueillir ces services compliqués. Si une erreur est commise par le groupe chargé de l’informatique ou par le vendeur du pare-feu lors de la conception des fonctions de pare-feu pour le VoIP ou la vidéoconférence, des flux non désirés pourront être autorisés sur le réseau de l’entreprise. Au fil du temps, l’augmentation du nombre de règles et d’exceptions est devenue en soi une source de préoccupation. Puisque l’ajout de chaque nouvelle règle revient, comme on dit, à « faire un trou » dans le pare-feu, les pare-feux d’entreprise ont fini par se faire appeler « gruyère » et leur efficacité en matière de protection des ordinateurs est mise en doute. Plus grave encore, la plupart des pare-feux autorisent aux ordinateurs internes un accès relativement illimité à l’internet pour la navigation sur sites Web et la lecture d’emails. Puisque les logiciels malveillants peuvent être acheminés jusqu’à l’ordinateur de l’utilisateur final par ces canaux très courants, le pare-feu n’est pas, en soi, un moyen très efficace pour bloquer les menaces. Les pare-feux et les technologies d’inspection des paquets ont également du mal à cohabiter avec d’autres mesures protectives tels que le cryptage de contenus, le VPN/tunneling et le SOAP. Cela est dû au fait que toutes ces mesures ouvrent des voies de passage aux charges malveillantes. Ceci a entraîné l’émergence d’un écosystème de technologies d’assistanat parmi lesquelles : www.internetsociety.org les pare-feux dotés d’outils anti-maliciels incorporés ; habituellement appelés « UTM » (Unified Threat Mitigation) ; les pare-feux orientés applications (habituellement appelés pare-feux de la nouvelle génération) ; ces deux types de pare-feux incorporent des outils anti-maliciels et sont capables de contrôler l’utilisation d’applications internet telles que Facebook et Skype ; ce qu’un pare-feu traditionnel ne peut pas faire ; les portails Web sécurisés (également appelés « serveurs proxy ») dotés d’outils incorporés anti-maliciels. 3.2.3 Utilisation de logiciels et de matériel de sécurité pour le point final Les maliciels peuvent atteindre les ordinateurs de différentes manières. Le plus souvent, cela se produit quand un utilisateur télécharge par mégarde un logiciel depuis une source infectée ou un site Web peu recommandable, ou lorsqu’il reçoit le logiciel en attachement avec un message email. Les maliciels peuvent également s’infiltrer dans les réseaux d’entreprises ou de particuliers (qui sont souvent faiblement sécurisés) à la suite d’un partage de clés USB. Les cybercriminels ont également développé d’autres méthodes innovantes pour attaquer les systèmes des utilisateurs finaux comme, par exemple, en utilisant le biais de connexions publiques Wi-Fi [WIFI]. Un maliciel existe pour chaque type d’ordinateur d’utilisation courante, dont les Macintosh OS X, les systèmes Unix et Linux, sans oublier les smartphones et autres appareils tels que des lecteurs de fichiers musicaux numériques et des tablettes qui fonctionnent avec des systèmes d’exploitation incorporés. Ce problème est si répandu que le personnel informatique des entreprises préconise unanimement l’utilisation de logiciels de sécurité pour les points finaux (souvent appelés anti-virus ou anti-maliciels) pour tous les appareils. Il est courant que les entreprises exigent que tout ordinateur relié à son réseau soit doté d'outils de sécurité pour points finaux définis par les normes d'entreprise. C'est vrai dans presque tous les domaines, des réseaux de l'enseignement supérieur, des pouvoirs publics, en passant par ceux de l'armée et des grandes entreprises. Les outils de sécurité pour points finaux peuvent contenir plusieurs composants permettant d'assurer une protection contre les maliciels, notamment : Outil www.internetsociety.org Description Anti-maliciels Protège contre les virus et les logiciels espions (maliciels) en détectant les maliciels lorsqu'ils sont téléchargés ou exécutés. Prévention des intrusions Protège en détectant le comportement du maliciel, plutôt que le maliciel lui-même, lorsqu'il tente d'infecter le système d'exploitation, d'infecter d'autres systèmes ou de joindre un réseau de zombies. Pare-feu d'hôte Bloque les connexions entrantes et sortantes d’un point final en fonction de la politique de sécurité. 3.3. Solutions techniques pour sécuriser l'infrastructure internet Bien qu'internet soit considéré comme omniprésent et fiable, son infrastructure est vulnérable aux attaques. Toutefois, une attaque contre l'infrastructure internet est une lame à double tranchant pour de nombreux criminels potentiels : une interruption de l'infrastructure internet impliquerait qu'on ne pourrait plus l'utiliser à aucune fin, que les personnes « malveillantes » ne pourraient plus communiquer ou qu’il ne pourrait plus servir de plate-forme pour d'autres attaques. Une attaque contre l'infrastructure internet interromprait largement les communications commerciales à l’échelle mondiale (bien que cela n'interromprait probablement pas les systèmes de communication militaire sécurisés) et donc, une telle approche intéresserait les personnes ou groupes désirant faire une déclaration politique fortement destructive. Comme on l'a vu avec les cyber-protestations accompagnant des événements tels que la publication par Wikileaks de câblogrammes diplomatiques classifiés, les attaques viennent de sources inattendues à des 3 moments inattendus . Pour internet, certains points clés de la vulnérabilité sont les protocoles de routage centraux du réseau (BGP) et le système de noms de domaine internet (DNS). Le travail technique en cours sur la sécurité du BGP et du DNS est abordé ci-dessous dans les paragraphes 3.3.1 et 3.3.2. Les routeurs physiques ainsi que les plans de gestion et de réacheminement sur l’internet sont également vulnérables aux cyber-attaques, mais ces derniers sont largement des problèmes de sécurité liées à un domaine simple internes à un opérateur de réseaux et on y répond généralement au niveau de l’organisation ou en tant que problèmes de sécurité des télécommunications. Ces problèmes n'ont pas été ignorés. Le département américain de la Sécurité intérieure a publié une feuille de route pour réparer les protocoles internet [ROADMAP]. Les lecteurs qui s'intéressent en détail aux problèmes de sécurité relatifs aux DNS et BGP peuvent se reporter à [NIST-BGPSEC], une publication du National Institute of Standards and Technology (NIST) américain. Historiquement, il y a toutefois eu peu d'attaques vastes et intentionnelles envers l'infrastructure d'internet. Les attaques DNS sont les plus fréquentes, mais elles n'ont pas affecté l'infrastructure dans son ensemble. Elles sont plutôt ciblées sur certaines personnes ou organisations. Les incidents BGP ne sont pas rares, mais ils sont en général causés par une erreur humaine et des erreurs de configuration plutôt que par des acteurs malicieux ou des interruptions intentionnelles. 3.3.1 Sécurisation des données DNS avec DNSSEC Le système de noms de domaine (DNS) est une partie essentielle et très réussie de l'infrastructure internet. Sans lui, internet ne fonctionnerait pas. Le DNS permet aux gens d'utiliser des noms dont il est facile de se souvenir ou qui sont faciles à reconnaître pour des sites Web et des adresses email , qui sont ensuite convertis en un format numérique utilisé dans les protocoles internes d'internet. Diverses attaques DNS potentielles ont été décrites, tant en théorie que lors de démonstrations pratiques : Le DNS est une base de données distribuée au niveau mondial dont la performance dépend de l'utilisation de la mise en cache. Hélas, on a découvert que les implémentations courantes 3 Notons que les cyber-manifestations qui se sont produites autour des publications Wikileaks n’étaient pas des attaques visant l’infrastructure internet comme il en est question ici, mais des attaques par déni de service visant des organisations qui étaient perçues comme ayant des positions semblables à celles du gouvernement américain concernant Wikileaks. www.internetsociety.org des logiciels DNS sont vulnérables aux attaques par mystification au cours desquelles un agresseur peut duper un cache et lui faire accepter des données DNS falsifiées. Les attaques par homme intermédiaire peuvent être accomplies lorsqu'un appareil est inséré dans le réseau entre des clients DNS et des serveurs DNS (ou entre deux serveurs DNS) et qu'il redirige ou modifie les informations DNS. Les attaques administratives sur le DNS peuvent être utilisées pour rediriger le trafic DNS d'une organisation en devinant les mots de passe des registraires de noms de domaine ou en convaincant les registraires d'accorder un accès personnel non autorisé. Depuis longtemps déjà, les ingénieurs internet se sont rendu compte de l'intérêt qu'il y a à renforcer la sécurité du DNS étant donné son importante fonction de traduction des adresses reconnaissables par l'homme en celles utilisées par les routeurs et les ordinateurs connectés à internet. Dès 1995, des études [ATKINS2004] ont été démarrées pour trouver un remplacement plus sûr du DNS, et DNSSEC devint un groupe de travail de l'IETF. DNSSEC est un ensemble d'extensions au DNS qui fournissent une authentification et une vérification de l'intégrité des données DNS. En 1997, la première norme DNSSEC, baptisée RFC2065, a été développée. Une spécification DNSSEC révisée a été terminée en 2005, sachant que certaines fonctionnalités supplémentaires ont été normalisées en 2008. L'authentification dans DNSSEC veille à ce que l'administrateur de zone puisse fournir des informations qui ont autorité sur un domaine DNS particulier, tandis que la vérification de l'intégrité assure que les informations contenues dans le DNS ne puissent pas être modifiées (accidentellement ou de façon malveillante) pendant le transit ou le stockage. Ce qui veut dire que DNSSEC, entre autres choses, permet de protéger contre les attaques qui insèrent des informations falsifiées dans le DNS afin de rediriger les utilisateurs d'internet vers des sites Web trompeurs ou criminels, ce que l'on appelle le « détournement » de sites Web. Après plusieurs années d'études techniques et de tests intensifs, le premier déploiement de production de DNSSEC dans un domaine de premier niveau a été réalisé en Suède en 2007. Après avoir conclu un accord relatif à son déploiement mondial, DNSSEC est actuellement en cours de déploiement à travers le monde. La zone d'origine DNS a été signée en juillet 2010. Il est important de noter que l'extension de sécurité du système de noms de domaine (DNSSEC) n'est pas conçue pour mettre fin aux cyber-attaques contre le DNS, mais pour rendre ces attaques détectables. Le déploiement à grande échelle de DNSSEC pourrait contribuer à résoudre de nombreux autres problèmes de sécurité, tels que la distribution sécurisée de clés pour les adresses électroniques. En raison de la façon dont DNSSEC est mis en œuvre, il permet à de nombreuses autres technologies d'utiliser le même ensemble de protocoles de sécurité pour distribuer en toute sécurité la très importante clé de chiffrement nécessaire à toute une gamme de fins, telles que SSH et IPSec. DNSSEC offrira ainsi non seulement une base pour aborder la sécurité des défis du DNS ; il permettra de renforcer les autres parties essentielles d'internet. [DANE]. Cela dit, DNSSEC devra aborder les mêmes problèmes associés à la violation de l’autorité de certification (CA) comme l'ont illustré les incidents chez Diginotar et Comodo, auxquels il est fait référence plus haut. www.internetsociety.org 3.3.2 Sécurité du BGP En tant que protocole de routage inter-domaine d'internet, le Border Gateway Protocol (BGP) est la colle qui lie internet. Mais l’une des principales limitations du BGP est qu'il n'aborde pas la sécurité de manière adéquate. De récentes pannes à haut profil ont démontré que l'infrastructure de routage d'internet est vulnérable aux attaques et que ces dernières ont un impact mondial. Les tables de routage maintenues par les fournisseurs d'accès internet (FAI) et mises à jour dynamiquement par le BGP sont à la base de tout routage inter-organisation. Comme le BGP est intrinsèquement inter-domaine et pas sous le contrôle d'une seule autorité de gestion, il est possible que des erreurs de routage soient insérées délibérément ou accidentellement par des organisations, y compris des FAI et toute organisation disposant d'une présence internet suffisamment importante pour participer au protocole BGP, telle qu'une entreprise avec deux connexions internet indépendantes. Les erreurs peuvent provoquer de graves interruptions d'internet. Des rapports hebdomadaires produits par différentes organisations, notamment l’APNIC (Asia-Pacific Network Information Center) et l'université d'Oregon, ainsi que des chercheurs d'internet tels que Geoff Huston, indiquent que les erreurs de configuration affectent environ 1 % de toutes les entrées de tables de routage à tout moment, ce qui souligne une fois de plus que le système actuel est très vulnérable aux erreurs humaines et à une grande gamme d'attaques malicieuses. Toutefois, le BGP s'est avéré être extrêmement résistant. Une des configurations erronées des routeurs internet exécutant le BGP, souvent appelée « détournement du BGP » n'est pas nouvelle. Cela arrive fréquemment, bien qu'en général, le détournement ne soit pas intentionnel. Toutefois, ces erreurs peuvent entraîner une attaque générale de type « refus de service » ou une panne, comme ce fut le cas lorsque Pakistan Telecom a détourné par inadvertance le trafic de YouTube. Au cours de cet incident, la société de télécoms pakistanaise voulait uniquement empêcher les pakistanais d'accéder à YouTube pour les empêcher de voir des contenus que le gouvernement pakistanais considérait comme répréhensibles. Au lieu de cela, la société et son fournisseur en amont ont annoncé par erreur aux routeurs qu'il s'agissait de la meilleure route pour envoyer le trafic YouTube. Pendant près de deux heures, des navigateurs de nombreux sites internet tentant d'atteindre YouTube sont tombés dans un trou noir au Pakistan. [BGPHIJACK] Le détournement du BGP consiste à insérer des routes IP non-autorisées dans les tables de routage BGP. À l'heure actuelle, il n'existe pas de base de données unique et sans ambiguïté qui fait correspondre les routes IP aux organisations autorisées à les insérer ou à les publier. Le processus d'autorisation est essentiellement manuel, sachant que chaque organisation rejoignant internet est chargée d'approuver l'ensemble des routes IP pouvant être publiées pour leurs pairs. Alors que les bonnes pratiques de l'IETF recommandent que chaque pair du BGP ne permette que les routes qui ont été approuvées administrativement, cette pratique n'est souvent pas suivie. De plus, au fur et à mesure que l'on se déplace de l'organisation connectée vers le cœur d'internet, la capacité à autoriser et authentifier les mises à jour devient de plus en plus complexe. Des outils à base de politique, tels que le registre de routage internet (irr.net), qui tentent de fournir des listes faisant autorité de réseaux autorisés et de fournisseurs de service de réseau, fonctionnent très bien, mais ne sont pas adoptés universellement et nécessitent une intervention manuelle considérable au niveau de la configuration du routage. Le groupe de travail Secure Inter-Domain Routing (SIDR), au sein de l'IETF, a été formé en novembre 2005 pour réduire les vulnérabilités dans le système de routage BGP d'internet. Le SIDR vise à réduire le risque de détournement des réseaux par des fournisseurs d'accès en www.internetsociety.org publiant les routes IP non autorisées et créera des normes pour une infrastructure de certification appelée Resource PKI (RPKI). Cette infrastructure de certification vérifie les allocations des ressources INR (numéros internet), y compris des blocs d'adresses IP et des numéros de système autonome (ASN). Cette infrastructure suit la structure de distribution INR existante au sein de l'IANA, des registres internet régionaux (RIR) et des fournisseurs d'accès internet (FAI) délivrant des certificats pour les ressources concernées. Ceci permet aux organisations qui détiennent des adresses IP particulières d'autoriser un réseau particulier (indiqué par un ASN) à publier ces adresses. Cette autorisation est publiée en utilisant un objet signé numériquement, intitulé Route Origination Authorization (ROA) que les tiers peuvent valider à l'aide de RPKI, ce qui offre la possibilité d'une vérification automatisée, même au cœur d'internet, de toutes les mises à jour de routage. Si une organisation tentait d'injecter une route IP non-autorisée dans les tables de routage BGP, ceci serait détectable. [SIDR] Le groupe de travail SIDR a publié plusieurs documents décrivant le cadre méthodologique de la RPKI et de la Route Origin Authorization. Les spécifications sont normalisées et publiées comme RFC, et tous les registres internet régionaux (RIR) déploient actuellement des services pour prendre en charge RPKI. Toutefois, chaque organisation participante (actuellement plus de 37 000 organisations) au routage BGP d'internet devra contribuer de considérables efforts pour utiliser ces nouvelles capacités dans leur infrastructure de gestion du routage. 3.4 Solutions techniques pour la sécurisation des systèmes d'authentification L'authentification des utilisateurs finaux dans des applications internet est générateur d'une tension continue tant dans le secteur public que privé. Les objectifs de sécurité, confidentialité et convivialité sont souvent en conflit. Plus il est facile d'authentifier, plus il est facile d'intercepter ou de dérober les informations d'authentification et de les utiliser pour se faire passer pour un utilisateur valide. D'un autre côté, si l'authentification est chère et chronophage, bien que la sécurité soit plus élevée, les utilisateurs finaux risquent de décider de ne pas utiliser l'application car trop compliquée. Ou, confrontés à des systèmes d'authentification difficiles à utiliser, les utilisateurs peuvent créer des solutions de contournement ou des raccourcis qui rendront le processus d'authentification plus facile, mais également moins sûr. La protection de l'authentification tombe dans deux larges catégories : la protection des informations et la facilitation de l'authentification en toute sécurité pour les utilisateurs. 3.4.1 Protection des bases de données d'authentification Les bases de données contenant des informations d'authentification s'appellent des systèmes Identity Data Management (IdM) [IDM]. Elles sont souvent un sous-ensemble de nombreuses bases de données contenant des ensembles de données personnelles beaucoup plus vastes et contenant d'habitude les informations de nom d'utilisateur et de mot de passe nécessaires à l'authentification. Ces bases de données peuvent également contenir d'autres informations pertinentes en rapport avec l'autorisation, par exemple le fait qu'un utilisateur a été autorisé à voir certains contenus dans un site distant. Les protocoles les plus populaires utilisés dans ces systèmes sont des systèmes à répertoire tels que LDAP [LDAP] et X.500 [X500]. Les serveurs RADIUS [RADIUS] utilisant LDAP et X.500 sont des outils courants utilisés pour simplifier l'accès aux informations d'authentification en fournissant une interface de programmation d'applications (API) aux systèmes à répertoire plus compliqués. Toute brèche de la base de données IdM ouvre à l'agresseur l'ensemble complet des données personnelles stockées dans la base de données. Dans certains cas, cela permettrait également à www.internetsociety.org l'agresseur de se faire passer pour un utilisateur légitime afin de l'authentifier auprès d'autres systèmes à travers le monde. Par conséquent, les attaques contre les systèmes IdM sont d'habitude une des méthodes préférées pour déjouer la sécurité d'une application Web. Les initiés ayant accès à IdM sont d'habitude le maillon faible dans le maintien de la sécurité des systèmes IdM. Les approches par force brutale telles que les « attaques par dictionnaire », au cours desquelles les agresseurs essaient des noms et mots de passe couramment utilisés pour accéder au système IdM, font partie des approches les plus populaires et réussies pour les agresseurs externes. Les défenses contre les attaques par dictionnaire comprennent le fait de demander aux utilisateurs de modifier leurs mots de passe tous les quinze jours ou tous les deux mois et d'utiliser des mots de passe complexes se composant de caractères numériques et alphabétiques qui ne se trouvent pas dans les noms ou mots de passe couramment utilisés. Côté serveur, la principale défense est le chiffrement de la base de données des mots de passe afin de la protéger de tout accès non-autorisé. Dans certains cas, le chiffrement s'est avéré être inefficace et même les bases de données chiffrées ont entraîné la compromission des mots de passe. Une approche de protection des mots de passe plus pratique, quoique plus chère, consiste à ajouter une authentification à deux facteurs. L'authentification à deux facteurs ajoute d'autres facteurs en plus du nom d'utilisateur et du mot de passe. Ce facteur est nécessaire pour terminer l'authentification. Par exemple, un petit jeton peut être affecté à un utilisateur et il affiche un « mot de passe de la minute » devant être combiné au mot de passe normal de l'utilisateur. D'autres techniques innovantes, telles que l'envoi d'un mot de passe à un téléphone mobile, l'ajout d'outils biométriques tels que les empreintes digitales, ou l'affichage d'un code Quick Response (QR) dans le cadre de la fenêtre de dialogue d'authentification, sont également utilisées. [TIQR] 3.4.2 Utilisation des normes d'authentification ouvertes et de PKI Au fur et à mesure de la croissance du nombre d'applications internet nécessitant une authentification, le nombre de bases de données d'authentification s'est également accru. Comme mentionné ci-dessus, dans certains cas, le chiffrement de ces bases de données s'est avéré être inefficace avec pour résultat des mots de passe compromis. Un domaine attirant un intérêt considérable en matière de cybersécurité est la tentative de réduire le risque d'avoir ces bases de données en réduisant le nombre de bases de données ou en réduisant la quantité de données stockées dans ces bases de données tout en développant des protocoles ouverts qui permettent le passage en toute sécurité des informations d'authentification entre les applications. Différentes techniques sont utilisées pour dérober des informations d'authentification directement des utilisateurs finaux, notamment l'hameçonnage et les attaques par homme intermédiaire. L'hameçonnage est une activité dans laquelle des hackers mettent en place une identité falsifiée sur internet, se faisant passer pour une banque ou un site Web de magasin, et ils piègent les visiteurs qui ne se doutent de rien et qui s'y trouvent pour réaliser des transactions commerciales. Par la ruse, ils leur font saisir des informations personnelles détaillées telles que des numéros de compte en banque et des mots de passe. Les attaques « par homme intermédiaire » comprennent des ordinateurs déployés à travers internet qui sont capables d'intercepter des requêtes et messages courants d'un utilisateur puis de les rediriger quelque part d'autre, ou de fournir des données erronées suite à la demande d'un utilisateur. Une des menaces que les attaques par homme intermédiaire posent fréquemment est le vol des informations d'authentification. www.internetsociety.org Tant les attaques par hameçonnage que celles par homme intermédiaire peuvent être stoppées par l'identification et l'authentification mutuelles aux deux extrémités de la communication, permettant ainsi aux deux parties d'être raisonnablement assurées qu'elles sont véritablement qui elles prétendent être. Des études et un développement considérables ont été investis dans le travail d'établissement de l'identité et de la confiance sous la rubrique « cybersécurité ». Nous voyons désormais émerger les premiers produits et services issus des organismes de normalisation et des organisations de recherche. Dans le monde universitaire, Shibboleth [Shibboleth] est désormais l'outil préféré pour l'identité fédérée alors que dans le monde commercial, des outils comme OpenID [OPENID] et OpenAuth [OPEN AUTH] sont de plus en plus acceptés. Le Security Assertion Markup Language (SAML) [SAML] est la technologie sous-jacente utilisée pour de nombreuses applications d'authentification utilisées par OpenID et OpenAuth. Il s'agit d'une norme XML pour l'échange de données d'authentification, de droit et d'autorisation ainsi que d'autres attributs utilisateur. SAML permet aux entités commerciales de poser des assertions relatives à l'identité, aux attributs et aux droits d'un sujet (souvent un utilisateur humain) auprès d'autres entités, telles qu'une société partenaire ou une autre application d'entreprise. SAML est un produit du Security Services Technical Committee [OASIS]. 4 Conclusions La cybersécurité est un terme général qui évolue au fil du temps et dont la signification ne fait pas consensus. La sensibilisation du public au statut de la cybersécurité est teintée par des défaillances souvent sensationnelles de la sécurité qui apparaissent dans les médias. L'exposition d'informations personnelles, de données financières volées et la dispersion de maliciels et de virus sont autant d'éléments qui donnent une impression de danger et de chaos, ou même de l'effondrement imminent d'internet. En fait, le ciel ne nous tombe pas sur la tête ; mais des tempêtes se profilent peut-être à l'horizon. Il y a certainement des raisons d'être prudent, mais l'équilibre général pèse fortement du côté de la valeur. Internet est devenu un outil de connaissances, de communication, d'expression et de commerce, une ressource de confiance et une puissante force de liberté personnelle. Ce livre blanc a démontré que les solutions de cybersécurité sont généralisées et complexes, alors que nous allons de l'avant pour aborder ces nouveaux défis, nous devons nous assurer que l'esprit ouvert et innovant d'internet n'est pas compromis. L'ouverture d'internet est une de ses forces clés, c'est ce qui en fait une source planétaire majeure de créativité, d'innovation et de croissance. Au final, le succès de la résolution des problèmes de cybersécurité réside dans la coopération et la collaboration entre les différentes parties prenantes, pas dans de nouveaux systèmes de contrôle. Références : [ABAR] American Bar Association-appointed special cyber-prosecutors http://www.cfr.org/publication/22832/internet_governance_in_an_age_of_cyber_insecurity.html [ALBRIGHT] Remarques de Madeleine K. Albright lors de la réunion du Conseil de l’Atlantique Nord avec le groupe d’experts sur le nouveau concept stratégique de l’OTAN, 17 mai 2010 http://www.nato.int/cps/en/natolive/opinions_63678.htm [ATKINS] Atkins, D. and Austein R. (2004). RFC 3833, “Threat Analysis of the Domain Name System (DNS)”, août 2004 Disponible à : http://www.rfc-editor.org/rfc/rfc3833.txt. [AUSTRALIA-DBCDE] Ministère du haut débit, des télécommunications et de l’économie numérique du gouvernement australien. (2011). Internet Service Provider (ISP) filtering. Disponible à : http://www.dbcde.gov.au/all_funding_programs_and_support/cybersafety_plan/internet_service_provider_isp_filtering. Dernier accès datant du 25 mars 2012. www.internetsociety.org [AUSTRALIA-UPDATE] http://arstechnica.com/tech-policy/2012/11/australia-comes-to-its-senses-abandons-national-internetfiltering-regime/ [BGPHIJACK] YouTube Hijacking: A RIPE NCC RIS case Study (http://www.ripe.net/internet-coordination/news/industrydevelopments/youtube-hijacking-a-ripe-ncc-ris-case-study) [BORDER] Reporters sans frontières http://en.rsf.org/internet.html [CECC] Convention sur la cybercriminalité du Conseil de l’Europe http://www.coe.int/t/dc/files/themes/cybercrime/default_en.asp [CERF2011] Cerf, V. (2011). The Battle for Internet Openness. IEEE Internet Computing. 15 (5), 104. [CLARKE] Richard A. Clarke Cyber-War http://www.wired.com/threatlevel/2010/04/cyberwar-richard-clarke/ [COICA] Wikipédia, “Combating Online Infringement and Counterfeits Act” http://en.wikipedia.org/wiki/Combating_Online_Infringement_and_Counterfeits_Act [COMODO] Leonhard, Woody. "Weaknesses in SSL certification exposed by Comodo security breach." InfoWorld Tech Watch. InfoWorld, 24 Mar. 2011. Web. Web. 27 juil. 2012. <http://www.infoworld.com/t/authentication/weaknesses-in-sslcertification-exposed-comodo-security-breach-593>. [CYBERCOM] Burghardt, Tom, “The Launching of U.S. Cyber Command (CYBERCOM), Centre de recherche sur la globalisation, Québec, Canada, http://www.globalresearch.ca/index.php?context=va&aid=14186 [DANE] Groupe de travail sur l’authentification DNS des entités nommées - http://tools.ietf.org/wg/dane [DIGINOTAR] Whitney, Lance. "Comodohacker returns in DigiNotar incident." CNET: News: Security & Privacy. CNET, 6 Sep. 2011. Web. Web. 27 Jul. 2012. <http://news.cnet.com/8301-1009_3-20102027-83/comodohacker-returns-in-diginotarincident/>. [DKIM] http://tools.ietf.org/wg/dkim/ [DR] Dark Reading – http://www.darkreading.com/index.jhtml [FBI] Enquête 2005 du FBI http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2005.pdf [FIRESHEEP] http://codebutler.com/firesheep/?c=1 [GRANT2011] Grant, J.A. (2011). The National Strategy for Trusted Identities in Cyberspace: Enhancing Online Choice, Efficiency, Security, and Privacy through Standards. IEEE Internet Computing. 15 (6), 80-84. [HERSH] Seymour Hersh, “The Online Threat” http://www.newyorker.com/reporting/2010/11/01/101101fa_fact_hersh [HODGES] Hodges and Steingruebl, "The Need for a Coherent Web Security Policy Framework", Conférence 2010 sur la sécurité et la confidentialité du Web 2.0, http://w2spconf.com/2010/papers/p11.pdf [IC3] Rapport du centre de plaintes de cybercriminalité http://www.ic3.gov/default.aspx [IDM] Identity Data Management systems (IdM) http://en.wikipedia.org/wiki/Identity_management [IPSEC] IPsec http://datatracker.ietf.org/wg/ipsec/charter/ [IWM] Information Warfare Monitor http://www.infowar-monitor.net/ [KANTARA] Kantara Initiative http://kantarainitiative.org/ [LDAP] Zeilenga, K. (ed) (2006). RFC 4510, “Lightweight Directory Access Protocol (LDAP): Technical Specification Road Map,” juin 2006. Disponible à : http://www.rfc-editor.org/rfc/rfc4510.txt. [LOPPSI] http://fr.wikipedia.org/wiki/Loi_d'orientation_et_de_programmation_pour_la_performance_de_la_s%C3%A9curit%C3%A9_int %C3%A9rieure [LYNCH2011] Lynch, L. (2011). Inside the Identity Management Game. IEEE Internet Computing. 15 (5), 78-82. [MARF] http://tools.ietf.org/wg/marf/ [NIST-BGPSEC] http://csrc.nist.gov/publications/nistpubs/800-54/SP800-54.pdf [NSPW] New Security Paradigms Workshop http://www.nspw.org/ [NSTIC] National Institute of Standards and Technology. (2011). Making Online Transactions Safer, Faster, and More Private. Disponible à : http://www.nist.gov/nstic/. Dernier accès datant du 22 mars 2012. [NYT-ENERGY] http://www.nytimes.com/2010/01/26/world/26cyber.html [NYT-GOOGLE] http://www.nytimes.com/2010/01/13/world/asia/13beijing.html [OASIS] OASIS Comité technique des services de sécurité http://www.oasisopen.org/committees/tc_home.php?wg_abbrev=security [OECD] Organisation de Coopération et de Développement Économiques. (1980). Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Disponible à : http://www.oecd.org/document/18/0,3746,en_2649_34255_1815186_1_1_1_1,00&&en-USS_01DBC.html. Dernier accès datant du 25 mars 2012. [OPENID] http://openid.net/ [OAUTH V2] Hardt, D. RFC 6749, "The OAuth 2.0 Authorization Framework", octobre 2012. Disponible à : http://www.rfceditor.org/rfc/rfc6749.txt Dernier accès datant du 23 octobre 2012. [OPSEC] Internet Engineering Task Force. (2012). Operational Security Capabilities for IP Network Infrastructure (opsec). Disponible à : http://datatracker.ietf.org/wg/opsec/. Dernier accès datant du 25 mars 2012. www.internetsociety.org [OPSEC-TAXONOMY] C. Lonvick and D. Spak. (2011). Security Best Practices Efforts and Documents (Version préliminaire internet). Disponible à : http://tools.ietf.org/html/draft-ietf-opsec-efforts-18. Dernier accès datant du 25 mars 2012. [PATHWAYS] Septième conférence mondiale sur la sécurité - International Pathways to Cybersecurity http://www.ewi.info/international-pathways-cybersecurity-0 [PGP] Callas, J., Donnerhacke, L., Finney, H., Shaw, D., and Thayer, R. (2007). RFC 4880, “OpenPGP Message Format”, novembre 2007. Disponible à : http://www.rfc-editor.org/rfc/rfc4880.txt. Dernier accès datant du 25 mars 2012. [RADIUS] Rigney, C., Willens, S., Rubens, A., Simpson, W. (2000). RFC 2865, “Remote Authentication Dial In User Service (RADIUS),” juin 2000. Disponible à : http://www.rfc-editor.org/rfc/rfc2865.txt. Dernier accès datant du 25 mars 2012. [REVIEW] Revue Défense trimestrielle du Département de la Défense américain http://www.defense.gov/qdr/ [ROADMAP] Département de la Sécurité intérieure américain roadmap for fixing the Internet’s protocols http://www.cyber.st.dhs.gov/docs/DHS-Cybersecurity-Roadmap.pdf [SAML]Security Assertion Markup Language (SAML) http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language [SHADOWS] http://www.scribd.com/doc/29435784/SHADOWS-IN-THE-CLOUD-Investigating-Cyber-Espionage-2-0 [Shibboleth] http://shibboleth.internet2.edu/ [SIDR] http://tools.ietf.org/wg/sidr/charters [SKYPE] Ten countries threatening to block Skype and Google http://www.voip-sol.com/10-isps-and-countries-known-to-haveblocked-voip/ [SMIME-MSG] Ramsdell, B., Turner, S. RFC 5751, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Message Specification," janvier 2010. Disponible à : http://www.rfc-editor.org/rfc/rfc5751.txt. [SMIME-CERT] Ramsdell, B., Turner, S. RFC 5750, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Certificate Handling," janvier 2010. Disponible à : http://www.rfc-editor.org/rfc/rfc5750.txt. [SSH] Ylonen, T., Lonvick, C. (ed). (2006). RFC 4251, “Secure Shell (SSH) Protocol Architecture,” janvier 2006. Disponible à : http://www.rfc-editor.org/rfc/rfc2865.txt. Dernier accès datant du 25 mars 2012. [STUXNET] Falliere, Nicolas; Murchu, Liam; Chien, Eric (Symantec Security Response) W32.Stuxnet Dossier (fév, 2011) http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf Internet Society Galerie Jean-Malbuisson 15 CH-1204 Genève, Suisse Tél. : +41 22 807 1444 Fax : +41 22 807 1445 1775 Wiehle Ave. Suite 201 Reston, VA 20190 États-Unis Tel : +1 703 439 2120 Fax: +1 703 326 9881 e-mail : [email protected] www.internetsociety.org [STUXNET-NYT] http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-againstiran.html [TIQR] Jan Michielson. (2011) TIQR User Manual. Disponible à : https://tiqr.org/wpcontent/uploads/2011/05/tiqr_manual_v1.0.pdf. Dernier accès datant du 25 mars 2012. [TLS] Dierks, T., Rescorla, E. (2008). RFC 5246, “The Transport Layer Security (TLS) Protocol, Version 1.2,” August, 2008. Disponible à : http://www.rfc-editor.org/rfc/rfc5246.txt. Dernier accès datant du 25 mars 2012. [US-NTIA] http://www.ntia.doc.gov/category/privacy [W3C-APP] Charte du groupe de travail sur les applications Web, World Wide Web Consortium. http://www.w3.org/2010/webapps/charter/ [W3C-SEC] Groupe de travail sur al sécurité des applications Web, World Wide Web Consortium, http://www.w3.org/2011/webappsec/ [WIFI] http://www.esecurityplanet.com/views/article.php/3869221/Top-Ten-Wi-Fi-Security-Threats.htm [WIKI-ESTONIA2007] 2007 Cyberattacks on Estonia (tiré de Wikipédia) http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia [X500] X.500, “Information technology - Open Systems Interconnection - The Directory: Overview of concepts, models and services.” http://en.wikipedia.org/wiki/X.500 [X509] X.509, “Information technology - Open systems interconnection - The Directory: Public-key and attribute certificate frameworks.” http://en.wikipedia.org/wiki/X.509 www.internetsociety.org