File - Internet Society

Transcription

Quelques perspectives sur
la cybersécurité : 2012
1 Introduction
Le sens du mot-slogan cybersécurité est d’une inexactitude effrayante et peut englober une liste
quasi-infinie de sujets variés sur la sécurité, de défis techniques et de « solutions » allant de
l’aspect technique à l’aspect juridique. Même si des expressions à la mode comme
« cybersécurité » font de bons titres dans les journaux, les discussions sérieuses sur la sécurité et
l’internet exigent une compréhension partagée de ce que l’on entend par « cybersécurité ».
Le spectre couvert par le terme « cybersécurité » englobe de nombreux problèmes divers et un
nombre plus grand encore de solutions. Certaines solutions sont techniques, d’autres ne le sont
pas, et peuvent être trouvées par le biais de l’éducation, des politiques ou des règlementations.
Du fait de ce spectre et de cet éventail de solutions, il existe un grand nombre d’acteurs impliqués
dans la résolution des problèmes de cybersécurité, parmi lesquels des utilisateurs particuliers,
des organisations de normalisation et de développement de politiques, des développeurs de
produits, des entreprises, des organisations non gouvernementales et des gouvernements. Tous
ces acteurs ont besoin de collaborer pour que le but fixé d’un internet sûr, sécurisé et solide
puisse être atteint.
Le modèle d’un développement collaboratif des normes et des politiques de l’internet sur la base
d’un processus ouvert et élargi visant au consensus, mené par des experts internationaux, est
l’un des meilleurs moyens d’atteindre une véritable sécurité. Ce modèle a permis d’améliorer la
cybersécurité grâce au déploiement de réseaux privés virtuels sécurisés (VPN) et de protocoles
de cryptage, d’extensions de sécurité DNS (DNSSEC), de protocoles sécurisés pour l’échange de
données et grâce à un système de routage plus sécurisé par le biais du développement
d’améliorations pour la sécurité du BGP. Ce modèle de consensus et de coopération
internationale va stimuler la confiance et même instaurer un climat de confiance pour répondre
aux nombreux défis liés à l’amélioration de la cybersécurité. Malheureusement, des menaces
potentielles, émanant notamment des entreprises qui veulent promouvoir leurs solutions
exclusives et des gouvernements qui exercent des pressions pour la mise en place de
mécanismes d’accès alternatifs, pèsent sur ce modèle basé sur un consensus ouvert.
Le but de cet article n’est pas de « résoudre » le problème de la cybersécurité mais plutôt de
répertorier les divers éléments qui relèvent du problème de la cybersécurité et d’identifier le travail
en cours mené par diverses organisations et divers acteurs pour prendre en compte ces différents
éléments. Nous avons bon espoir qu’en abordant le problème de la sorte, le lecteur puisse mieux
comprendre les différentes manières de poser le problème et de trouver des solutions. Nous
espérons également que ce cadre pourra fournir aux lecteurs un aperçu de l’éventail très large
des organisations qui collaborent à la prise en compte des éléments techniques de la
cybersécurité.
www.internetsociety.org
1.1 Contexte
L’internet a fondamentalement transformé notre société et notre économie. De par son évolution
réellement planétaire et ubiquitaire en tous points du globe, l’internet continuera, à travers son
impact, son influence et son importance, à se développer. De même, une nouvelle génération de
citoyens adeptes de l’internet, ayant grandi avec le Net et étant à l’aise avec toutes ces
dimensions, est aux avant-postes de la création de nouvelles applications, de nouveaux services
et usages.
L’internet ouvert, tel que nous le connaissons aujourd’hui, a été une aubaine pour l’humanité. Il
n’a pas seulement permis à des entreprises en tous genres de gagner en efficacité, mais il a
rendu possible l’émergence de nouvelles formes de production et de distribution ainsi que de
nouveaux modèles économiques tels que ceux basés sur les logiciels en open source et le
cybermarketing. Il peut également être potentiellement un instrument qui compte pour répondre
aux maux de la société et aux autres défis d’importance tels que la diffusion de l’information lors
de désastres naturels, le suivi du changement climatique à l’échelle de la planète et l’assistance
apportée aux populations pour réduire la facture énergétique grâce aux « compteurs intelligents ».
Mais cette révolution numérique a son côté obscur : les particuliers et les entreprises peuvent se
faire peur ou voir leur usage de l’internet limité par les gouvernements. La fraude en ligne et le vol
d’identité sont des événements courants et le défi qui consiste à traiter les flux d’informations
illégales et de données inexactes est permanent. Ces points négatifs impliquent que les
avantages de l’internet sont contrebalancés par des coûts réels et directs. Et pourtant, la
conséquence finale de ce calcul du solde n’est pas universellement acceptée.
Même si nos pare-feux, nos anti-virus et nos mesures anti-spam actuelles et nos pratiques de
sécurité sur lnternet peuvent améliorer la cybersécurité, la complexité croissante du système et sa
nature ouverte soulève de nouveaux défis. Selon un rapport du [NSPW] (New Security Paradigms
Workshop), un éventail de mesures préventives apparemment directes, telles que les demandes
de mots de passe renforcés, nous ont donné une fausse idée de la protection contre des attaques
potentielles. En réalité, selon ce rapport, nous ne prêtons pas suffisamment attention à des
menaces plus redoutables. Les découvertes récentes de « réseaux fantômes » à l’échelle
mondiale, fortement médiatisées, qui sont des failles majeures dans l’infrastructure de la sécurité
de l’internet comme l’ont montré l’incident du Diginotar [DIGINOTAR], les cyber-attaques contre
des entreprises comme Google [NYT-GOOGLE] ou même contre des pays entiers comme
l’Estonie [WIKI-ESTONIA2007] prouvent qu’il existe encore de sérieuses vulnérabilités qu’il
convient de traiter mais qu’il en existe aussi de nouvelles qui n’ont pas encore été envisagées. Si
des attaques massives deviennent monnaie courante – et si celles-ci semblent être imparables –
notre confiance dans l’internet risque de s’éroder de manière significative ou même être
brutalement mise en suspens.
Pour éviter d’en arriver à de telles fins, un usage croissant de mesures soigneusement réfléchies
visant à améliorer la confiance, la sûreté et la sécurité sera nécessaire. Malheureusement,
certaines propositions actuelles pour améliorer la sécurité en soi représentent un danger pour
l’internet ouvert et producteur. Certains gouvernements nationaux érigent des barrières dans le
cyberespace. Tous ces efforts ne visent pas à imposer un contrôle politique ; en effet, certaines
initiatives ont pour but d’améliorer la cybersécurité mais menacent néanmoins l’ouverture et la
fonctionnalité de l’internet. Par exemple, le gouvernement australien a envisagé, avant de
l’abandonner, une proposition visant à exiger des fournisseurs d’accès internet (FAI) la mise en
place de filtres en ayant recours à une liste contrôlée par le gouvernement. Le but est de bloquer
« les images liées à la pédophilie, à la bestialité, à la violence sexuelle, et aux contenus détaillés
concernant des scènes de crime et de violence, à l’usage de drogues ou de documents qui font
l’apologie d’actes de terrorisme. » [AUSTRALIA-DBCDE][AUSTRALIA-UPDATE] Plus d’une
douzaine de pays prévoient de déployer des mécanismes visant à bloquer les contenus de
l’internet pour des motifs politiques, sociaux ou sécuritaires. [BORDER] Ces programmes font
courir un risque majeur à l’interopérabilité et menacent l’objectif d’un internet producteur,
accessible et ouvert.
Un besoin croissant se fait sentir aujourd’hui pour qu’un travail fondamental soit mené afin de
répondre aux préoccupations de ce que l’on désigne par le terme « cybersécurité ». Pour que ce
travail soit constructif et efficace, il est indispensable de partir d’une définition commune de ce
que l’on appelle la cybersécurité.
1.2 Définition évolutive de la cybersécurité
La cybersécurité est un terme général qui évolue au fil du temps et dont la signification ne fait pas
consensus. À partir de cette expression, on peut dresser une liste quasi-infinie de thèmes divers
liés à la sécurité de l’internet, parmi lesquels les problèmes techniques et les vulnérabilités, les
problèmes sociaux et comportementaux et les activités criminelles. On compte parmi les solutions
possibles des produits et des normes techniques, des pratiques opérationnelles, la formation des
utilisateurs, les politiques, les règlementations et la législation.
Dans l’optique du présent document, la cybersécurité désigne tout ce qui englobe les problèmes
liés à la sécurité spécifique à l’internet et les solutions techniques et non-techniques possibles.
Toutes les activités illégales qui sont menées sur l’internet ne sont pas prises en compte par
l’expression cybersécurité. Un crime est un crime, et le déporter simplement vers l’internet ne lui
confère aucun caractère spécial. Quand des crimes sont commis par le biais de l’internet, ils
peuvent avoir le caractère de la nouveauté et faire de bonnes unes dans la presse ; cela dit, la
commande d’articles sur catalogue et une tentative de paiement avec une carte de crédit volée
constituent simplement une fraude sur l’internet – et non pas une « cyberfraude ».
Certains problèmes de légalité et de sécurité qui ne sont pas spécifiques à l’internet, tels que la
reproduction et la distribution non autorisées de documents protégés par le droit d’auteur comme
les films, ou les contenus illégaux tels que les images de pédophilie, quoiqu’importants, n’ont pas
été inclus ici. Bien que l’internet puisse être un moyen permettant de mener de telles activités,
celles-ci ont été omises afin d’accorder la priorité aux solutions technologiques à apporter aux
problèmes de sécurité habituels, plutôt que d’inclure « toutes les mauvaises actions qui se
produisent sur l’internet ».
Les problèmes spécifiques de cybersécurité aussi bien que les autres activités criminelles
menées par le biais de l’internet ne peuvent pas être résolus uniquement par des moyens
technologiques, mais plutôt par une collaboration et une coopération étroite de tous les acteurs de
l’internet parmi lesquels les entreprises, les utilisateurs individuels et collectifs, les
gouvernements, les organismes d’application de la loi et les décideurs politiques du monde entier.
Ces initiatives doivent être associées à des efforts constants visant à l’éducation à l’internet de
tous les utilisateurs de l’internet, qu’il s’agisse des parents, des enfants et des éducateurs.
L’aspect social de la cyber-criminalité ne peut pas être traité sans un engagement de l’utilisateur.
Figure 1 – Thèmes de la cybersécurité
2 Thèmes de la cybersécurité
Le tableau de la figure 1 est une représentation simplifiée des différents éléments qui constituent
la cybersécurité. Ce diagramme ne se prétend pas exhaustif, mais il fournit un schéma simple
pour pouvoir aborder les différents aspects de la cybersécurité. Chaque encadré du tableau
représente une catégorie générale des services de sécurité. Étant donné l’étendue du champ
d’application de la cybersécurité, il s’avère utile de décomposer celle-ci en catégories ou thèmes
généraux. Chacun de ces thèmes fait l’objet d’une description détaillée dans les sections qui
suivent.
2.1 Sécurisation du lien
Les paquets internet ne sont intrinsèquement dotés d’aucune sécurité. Ils sont complètement
ouverts et toute personne équipée d’un simple outil logiciel peut facilement inspecter les contenus
de chaque paquet qui sont transmis sur l’ensemble du réseau. Il s’agit d’un bloc de construction
élémentaire de l’architecture de l’internet. Pour éviter tout « reniflage » ou toute écoute
clandestine, on réalisa vite qu’il était nécessaire de trouver un moyen de crypter la transmission
de données sensibles. Il existe un certain nombre de méthodes pour faire cela, notamment le
cryptage au niveau de la couche de liaison des données (MACSec et accès protégé Wi-FI), le
cryptage au niveau de la couche IP (IPSec), et le cryptage au niveau de la couche d’application
(SSL/TLS et SSH, entre autres). Ces solutions techniques sont discutées dans la section de ce
document consacrée au reniflage.
Même si l’écoute clandestine sur l’internet peut être difficile techniquement dans des conditions
normales de déploiements résidentiels et commerciaux, l’utilisation croissante du Wi-Fi ouvert et
public et d’autres technologies sans fil ont fait clairement apparaître que l’écoute clandestine était
un problème permanent. Par exemple, au mois d’octobre 2010, Eric Butler a présenté un outil
appelé « Firesheep » pour démontrer à quel point il était facile d’écouter clandestinement les
échanges Facebook non cryptés sur les réseaux publics sans fil. Le but avoué par M. Butler était
d’inciter les sites Web à recourir davantage au cryptage (tels que SSL/TLS) afin de protéger les
données d’utilisateurs en transit, un défi que Facebook a accepté de relever, mais qui n’a pas
changé le comportement des autres acteurs de l’internet. [FIRESHEEP]
Les IPsec, SSL, SSH et autres protocoles de cryptage de la couche IP et application sont
spécifiés par l’IETF (Internet Engineering Task Force) dans une série de documents RFC
(Request for Comment). Le comité de normalisation IEEE 802 LAN/MAN est chargé de la sécurité
des réseaux sans fil et filaires métropolitains et locaux, dont les réseaux Ethernet, Bluetooth, WiFi et WiMax. La Wi-Fi Alliance, un consortium industriel, participe également à la définition de la
sécurité des réseaux sans fil avec ses normes WPA et WPA2 (Wi-Fi Protected Access), profil qui
repose sur les normes IEEE 802.11.
2.2 Sécurisation de l’infrastructure télécom et de l’infrastructure internet
La sécurité de l’internet et la sécurité des télécom se distinguent l’une de l’autre dès lors qu’il
s’agit de définir la cybersécurité ; chacune de ces entités dispose de sa propre infrastructure
particulière et d’organisations standards.
Les regrouper peut brouiller les pistes, car les solutions visant à sécuriser une infrastructure
nationale des télécommunications - à savoir des systèmes fermés fortement régulés au sein
desquels évoluent une poignée d’acteurs majeurs sur chaque marché, organisés de manière
hiérarchique, des monopoles naturels, et des infrastructures physiques vieillissantes – sont des
solutions différentes de celles requises pour sécuriser l’infrastructure de l’internet, à savoir des
systèmes ouverts en grande partie non régulés qui se construisent sur la base d’infrastructures de
télécommunications nationales et internationales multiples et qui ne disposent d’aucun centre
organisationnel apparent. De plus en plus, la cybersécurité englobe des problèmes de sécurité
liés aux réseaux de télécommunication de type mobile et satellite et aux installations de diffusion
et de micro-ondes. Au moment où les technologies de l’internet s’utilisent de plus en plus souvent
pour le déploiement de services de télécommunications traditionnels, comme dans le cas de la
livraison de services téléphoniques destinés aux abonnés locaux de l’internet, la coopération et la
collaboration deviennent de plus en plus importantes pour réussir l’amélioration des conditions de
sécurité sur l’internet.
Quand les décideurs discutent de l’absence de normes en matière de cybersécurité, ils font
généralement référence aux problèmes liés à l’infrastructure de l’internet et à la sécurité
informatique, car cette infrastructure est aux mains du secteur privé et ainsi très largement non
régulée ou auto-régulée. L’infrastructure des télécommunications représente l’exception, car elle
a toujours été placée sous la surveillance de diverses autorités de règlementations des
télécommunications nationales ou d’opérateurs télécom des États. En raison de la longue histoire
du développement et de la réglementation des télécommunications, la plupart des réseaux de
télécommunications sont traités comme des organismes distincts pour les questions liées à la
sécurité. Par exemple, l’approche adoptée par l’Angola pour la sécurisation de son infrastructure
de télécommunications nationale n’est pas plus liée à l’infrastructure de la sécurité en Zambie
qu’à celle qui existe en Algérie. Dans ces cas précis, les agences qui définissent les normes
télécom à l’échelle mondiale tels que l’UIT (Union Internationale des Télécommunications) aux
Nations Unies sont chargées de développer des recommandations et des normes efficaces.
Bien que n’étant pas une organisation du traité, l’IETF participe néanmoins aussi au
développement des normes de sécurité des réseaux de télécommunications ; cela est dû, en
particulier, au fait que ces réseaux utilisent un éventail de protocoles normalisés de l’IETF.
Les agences d’application de la loi peuvent également coopérer conjointement avec l’UIT et
l’IETF pour définir les normes de sécurité qui répondent à leurs exigences, notamment en matière
d’interception (d’écoute) du signal de la voix par téléphone et des flux audio.
La sécurité de l’infrastructure de l’internet est différente de la sécurité d’entreprise ou de la
sécurité de l’infrastructure de réseaux de télécommunications nationaux car elle doit répondre au
défi de la sécurisation du réseau mondial des réseaux plutôt qu’à la sécurisation d’un ensemble
de réseaux envisagé pays par pays ou entreprise par entreprise.
L’internet est un réseau mondial basé sur la superposition de protocoles acceptés, au sein duquel
l’infrastructure sous-jacente et les réseaux connectés individuels sont gérés et contrôlés par de
nombreuses organisations distinctes, tant publiques que privées. Cela signifie que les plus grands
défis auxquels sont confrontés ceux qui œuvrent à la sécurité de l’internet proviennent de
l’autonomie mais aussi de la diversité commerciale et organisationnelle des réseaux individuels
interconnectés qui constituent l’internet.
La principale organisation chargée du développement des normes de sécurité pour l’internet est
l’IETF. Il existe plusieurs groupes de travail au sein de l’IETF qui s’occupent spécifiquement du
développement des protocoles de sécurité qui intègrent l’IPSec et TLS. De plus, l’IETF a donné
une directive selon laquelle tous les documents concernant le protocole doivent contenir une
section intitulée « Questions de sécurité » qui traite des implications de ces protocoles en matière
de sécurité. Des informations supplémentaires peuvent être obtenues à l’adresse suivante : Les
menaces traitées ; .
L’IETF a constitué un groupe de travail sur les opérations de sécurité, l’OPSEC, qui prévoit de
produire des documents liées aux meilleures pratiques concernant plus d’une douzaine de
questions de sécurité opérationnelle. Ces documents intègreront les pratiques actuelles liées aux
opérations sécurisées basées sur des expériences menées dans le monde réel. Seront
répertoriés dans chaque document :



les menaces auxquelles on a dû faire face ;
les pratiques actuelles visant à répondre à ces menaces ;
les protocoles, les outils et les technologies existantes, au moment de la publication, utilisés
pour répondre à ces menaces ;

la possibilité qu’aucune solution n’existe si l’on fait usage des technologies ou des outils
existants.
La production de l’OPSEC apportera une aide à la communauté des opérateurs télécom, à la
communauté des développeurs de protocoles de l’IETF et aux responsables de la mise en œuvre
de ces protocoles. Six des documents proposés en matière de meilleures pratiques ont été
publiés au titre de RFC, au mois de novembre 2012, auxquels s’ajoutent six documents sur les
meilleures pratiques en cours de développement. En sus de ces enquêtes, l’OPSEC produit une
taxonomie des diverses normes de cybersécurité qui sont actuellement développées par des
organisations standards à travers le monde. [OPSEC-TAXONOMY]
2.3 Sécurisation des ordinateurs
Chaque fois qu’un appareil se connecte à l’internet, il s’expose à une intrusion.
En grande majorité, les attaques les plus réussies de hackers, de criminels et autres acteurs
malveillants sont menées contre des serveurs et des ordinateurs d’utilisateurs finaux connectés à
l’internet. Bon nombre d’organisations ne ménagent pas leurs efforts pour installer des pare-feux
et des systèmes de sécurité sur les points finaux, que l’on appelle habituellement outils « antivirus » ou « anti-maliciels ». En même temps, les hackers testent et explorent en permanence les
faiblesses des pare-feux et des ordinateurs mis en réseau. Cela aboutit à accroître les conflits
entre les propriétaires d’ordinateurs, qui souhaitent conserver le contrôle de leurs systèmes, et les
hackers qui souhaitent faire usage de ces ordinateurs et des données qui s’y trouvent.
Personne ne sait vraiment quel est le degré de réussite des missions menées par les hackers. De
nombreuses attaques ne sont pas rapportées. Les pressions exercées par la concurrence
empêchent aussi souvent le partage des données d’intrusion entre les organisations et
découragent la collaboration sur les différentes approches qu’il convient d’adopter en matière de
sécurité. Des discussions incessantes ont lieu sur divers forums pour savoir comment rassembler
et partager efficacement ce type de données.
Les raisons qui motivent les hackers désireux de contrôler les ordinateurs ont évolué au fil du
temps. Il y a quinze ans, le principal mobile du cybercrime était l’acte de pur vandalisme. La
situation a évolué au point que les criminels utilisent aujourd’hui l’internet pour extorquer des
fonds, voler des mots de passe et des données financières (telles que les numéros de cartes de
crédit), et pour créer des botnets qui peuvent être utilisés pour envoyer des courriers indésirables,
pour commettre des fraudes, pour voler des données d’identité, et pour exécuter des attaques de
déni de service contre des sites Web spécifiques. Certaines de ces techniques sont également
utilisées sur un mode beaucoup plus sophistiqué par les gouvernements nationaux ou par
d’autres criminels recrutés à des fins d’espionnage, d’interruption des communications et de
services et d’autres fins offensives.
Figurent parmi les outils utilisés pour attaquer des ordinateurs, les maliciels, les chevaux de Troie,
les botnets, l’hameçonnage, les dénis de service distribués (DDoS) et les attaques par homme
intermédiaire. Ceux-ci sont discutés en détail, de même que certaines technologies de protection,
dans la section « Problèmes de cybersécurité et technologies de protection » de cet article.
Maintenir la sécurisation des ordinateurs, qu’il s’agisse de serveurs ou d’ordinateurs de bureau,
d’ordinateurs portables ou de smartphones, est la priorité d’un éventail très large de groupes au
sein des communautés internet et informatique. Le tableau ci-dessous permet d’identifier certains
des principaux acteurs et leurs domaines d’intérêt.
Organisation
Domaine d’intérêt
Entreprises du secteur
logiciel telles que Eset, FSecure, Kaspersky, McAfee,
Sophos, Symantec, et Trend
Micro
Production d’outils anti-maliciels pour serveurs, pour les ordinateurs
de bureau et les ordinateurs portables de particuliers, pour une
utilisation avec des appareils embarqués tels que les pare-feux.
.
Entreprises du secteur des Production d’appareils pare-feux de réseau pour sécuriser les
pare-feux, telles que Check réseaux d’organisations en permettant de démarquer le réseau de
Point Software, Cisco
l’internet.
Systems, Juniper Networks
et SonicWALL
Entreprises du secteur de Production d’ordinateurs dotés d’une sécurité intégrée (telles que
l’équipement matériel,
les disques durs capables d’auto-cryptage et les modules de
telles qu’AMD et Intel
plateformes dignes de confiance – Trusted Platform Module) qui
assure une protection contre la cyber-intrusion.
Trusted Computing Group Développement de normes pour la protection d’appareils en fin de
(un consortium industriel) système, comme les disques durs capables d’auto-cryptage, les
appareils d’authentification de matériel et le contrôle d’accès au
réseau.
IETF
Développement de normes pour l’évaluation des points finaux du
réseau (Network Endpoint Assessment) pour garantir la « santé »
des appareils avant qu’ils soient autorisés à se connecter aux
réseaux et à l’internet
2.4 Sécurisation des applications internet
Toute application sur un appareil tels qu’un ordinateur personnel ou un smartphone, connectée et
communicant sur l’internet, est une « application internet ». À titre d’illustration, deux des
applications internet les plus courantes, le courrier électronique (email) et la navigation du Web,
sont examinées dans cette section. Il existe cependant de nombreuses applications sur l’internet
et leur nombre ne cesse de croître au fur et à mesure de l’acceptation des nouveaux usages de
l’internet. La protection de ces applications entre dans la catégorie générale de la sécurité au
niveau de la couche d’application, un élément supplémentaire de la cybersécurité.
2.4.1 Sécurisation des emails
Tout utilisateur de courrier électronique connaît bien le problème de sécurité que sont les spam,
ou courriers électroniques indésirables envoyés en masse. La protection des emails contre le
courrier indésirable incombe, pour une large part, à des revendeurs d’appareils et de logiciels
commerciaux tels que Barracuda Networks, Cisco/IronPort, McAfee, Proofpoint, Symantec et
Trend Micro. Des fournisseurs de services tels que Google/Postini et Microsoft ont élaboré des
solutions « dans le nuage » pour permettre de sécuriser les emails contre le courrier indésirable,
et un certain nombre d’entreprises telles que Spamhaus fournissent des listes noires et des
services basés sur la réputation.
La principale organisation standard qui travaille spécifiquement dans le domaine de l’anti-spam
est MAAWG (Messaging Anti-Abuse Working Group) qui assure une liaison permanente avec
l’IETF et d’autres organisations standards de taille plus modeste, ainsi que des alliances
industrielles. S’appuyant sur le travail du MAAWG, l’IETF a formé un groupe de travail pour
contribuer à la standardisation des rapports concernant le courrier indésirable. Les opérations de
messagerie contre les abus entre les services indépendants nécessitent souvent l’envoi de
rapports concernant des fraudes constatées, du courrier indésirable, des virus ou d’autres
activités abusives. Un format de rapport standardisé permet un traitement automatisé. Le groupe
de travail sur le MARF (messaging abuse reporting format) de l’IETF a développé une série de
RFC qui présentent en détail une méthode et un format qui peuvent être utilisés par des
organisations intéressées par l’envoi de rapports standardisés contre le courrier indésirable.
[MARF]
Les emails sont sujets à une deuxième menace : l’usurpation d’identité. Étant donné que la
conception des protocoles pour les emails sur l’internet n’a pas envisagé l’usage à l’échelle d’une
large communauté susceptible de subir l’usurpation d’identités à grande échelle, des attaques de
ce genre sont encore faciles à faire. L’IETF a développé Domain-Keys Identified Mail (DKIM), une
série de normes qui permettent de détecter les mails de personnes dont l’identité a été usurpée.
DKIM peut également permettre de bloquer les types de courriers indésirables qui impliquent
1
l’usurpation d’identité tels que les emails d’hameçonnage qui semblent provenir d’une banque .
[DKIM]
.
2.4.2 Sécurisation des applications Web
Des applications Web telles que les réseaux sociaux de Facebook, les ventes aux enchères
d’eBay et Yahoo ! Mail, représentent l’usage le plus courant de l’internet fait par de nombreux
clients. Pour les affaires, des applications d’e-commerce utilisées à des fins générales ou
spécifiques, telles que les outils d’autorisation des cartes de crédit ou la gestion de l’inventaire en
ligne, peuvent jouer un rôle plus important. Quelle que soit la situation, les serveurs Web et les
logiciels qui fournissent ces applications peuvent faire appel à une sécurité spécifique. Ces
produits sont mieux connus sous le nom de pare-feux pour applications Web et ils sont gérés par
le détenteur de la cyber-application et non par le consommateur.
Le but principal des pare-feux pour applications Web est de protéger les utilisateurs du Web et les
serveurs Web contre les failles de sécurités qui peuvent être dissimulées dans l’application. Par
exemple, une attaque de typer particulier connue sous le nom « d’injection SQL » peut être
utilisée contre des applications Web sensibles dans le but de contourner l’application et d’entrer
directement en relation avec la base de données derrière l’application. Les attaques d’injection
SQL, lorsqu’elles sont réussies, peuvent donner la capacité à l’attaquant de télécharger des
informations privées depuis les bases de données de l’application Web (comme les noms
d’utilisateurs, les adresses, les mots de passe et même les numéros de cartes de crédit) ou de
charger des contenus vers un site Web digne de confiance susceptibles de placer à son insu un
maliciel sur l’ordinateur d’un utilisateur. Les pare-feux pour les applications Web (et jusqu’à un
certain point, les systèmes de prévention des intrusions) permettent de détecter et de bloquer ces
types d’attaques, et ajoutent ainsi une couche de sécurité.
Le World Wide Web Consortium (W3C) est en grande partie responsable de la bonne gérance de
toutes les normes basées sur le Web. Le W3C a créé deux groupes de travail en relation avec les
applications et la sécurité, le Web Applications Working Group [W3C-APP] et le Web Application
Security Working Group [W3C-SEC]. L’IETF a également constitué un groupe de travail sur la
sécurité du Web au mois d’octobre 2010 qui vient en aide aux développeurs de logiciels en leur
apportant des normes et des conseils afin de limiter l’incertitude. La plupart du travail spécifique
accompli sur les pare-feux des applications Web a été fourni par les vendeurs de ces produits et
par les développeurs de navigateurs Web grand public, notamment Microsoft et Mozilla. Grâce au
volume important d’activités menées dans le domaine de la sécurité des applications Web,
nombreux sont ceux qui croient, au sein de la communauté technique, qu’une coordination
méthodologique plus rapprochée pourrait être utile. [HODGES]
2.5 Sécurisation des données
La sécurité et la confidentialité des données (consentement compris) sont les autres domaines
habituellement associés à l’expression « cybersécurité ».
La sécurité des données désigne toute stratégie ou toute mesure – légale, technique, sociale
ou autre – utilisée pour protéger des données. En tant que canal ultime pour le transfert
transfrontalier des données, l’internet permet aux populations du monde entier d’envoyer et de
recevoir des données en tous points du globe. Les différents protocoles de l’internet fournissent
1
Le « hameçonnage » consiste à créer des sites Web qui semblent être légitimes. L’utilisateur est souvent dirigé vers ces
sites au moyen d’un email ou de noms qui lui sont familiers. On lui demande ensuite d’entrer des mots de passe, des
numéros de comptes et d’autres informations.
des degrés divers de sécurité des données. Dans certains cas, les utilisateurs de l’internet
s’attendent également à ce que les données qu’ils envoient et qu’ils reçoivent soient sécurisées
comme, par exemple, quand ils communiquent avec leur banque, leur gouvernement ou des
fournisseurs de soins de santé. Dans d’autres cas, les données qu’ils envoient ou qu’ils reçoivent
comme, par exemple, le contenu des articles de Wikipédia, peuvent ne pas être sécurisées lors
des transits.
Les utilisateurs de l’internet peuvent également envisager de protéger des données stockées
contre les accès de tiers ou la falsification. Ces données peuvent être détenues localement pour
l’utilisateur de l’internet (par exemple sur son ordinateur personnel ou son smartphone) ou par un
fournisseur de services (par ex. une banque, un organisme d’État, un fournisseur de réseau
social, un fournisseur de stockage de fichiers, etc…). La dimension sécurité des données de la
cybersécurité concerne la sécurisation des données en transit et en cours de stockage.
La confidentialité, dans l’environnement en ligne, concerne la protection des données
personnelles. Récemment, une définition moderne de la confidentialité, axée sur le partage des
données privées en ligne, a fait son apparition :
La confidentialité est le partage consensuel de données dans un contexte explicite
d’attente par rapport au champ d’application.
Les cadres politiques et juridiques de la confidentialité et de la protection des données ont
tendance à se polariser sur les données personnelles (ou sur les informations personnelles), ce
que les directives sur la confidentialité de l’OCDE désigne par « toute information concernant un
personne identifiée ou identifiable ». [OCDE] Les données concernant les corporations, les
organisations et les individus décédés sont habituellement exclues. Traditionnellement, les cadres
techniques pour l’échange de données via l’internet accordaient la priorité à la sécurité des
données plutôt qu’à la confidentialité. Toutefois, avec l’explosion relativement récente des
échanges de données parmi les utilisateurs de l’internet, alimentée des outils plus accessibles et
plus simples à utiliser (comme, par ex., des appareils moins onéreux, les sites Web des médias
sociaux, les logiciels de blogging, l’accès et les applications mobiles, etc…), la communauté
technique de l’internet investit des ressources considérables dans le développement des outils
techniques permettant le respect de la confidentialité ainsi que des améliorations de la
confidentialité des protocoles de l’internet.
Les principales organisations qui travaillent dans ce domaine sont des législateurs nationaux et
des organismes gouvernementaux affiliés. La confidentialité des informations personnelles est le
sujet des législations sur chaque continent.
Aux États-Unis, la législation a été généralement fragile au niveau fédéral avec des exceptions
notables telles que la confidentialité en matière de soins de santé (HIPAA, le Health Insurance
Portability and Accountability Act). Cela amène les états à s’impliquer et à fournir des protections
plus solides aux consommateurs. La Californie a été un des pionniers dans ce domaine avec une
législation étendue à de nombreux sujets liés à la protection des données. D’autres états
américains, en grand nombre, ont également développé leur propre législation dans ce domaine ;
bien que cela aboutisse à l’émergence, sur le territoire américain, d’un ensemble disparate
d’exigences et de réglementations. En réponse à l’inquiétude concernant l’absence de règles en
matière de confidentialité en ligne à l’échelle fédérale, le ministère américain du commerce mène
une étude exhaustive des liens entre les politiques de confidentialité et l’innovation dans le
secteur de l’économie de l’internet et lance une procédure publique et une série d’ateliers à cette
intention. [US-NTIA]
Certains exemples de règles en matière de protection internationale des données sont
mentionnés dans le tableau ci-dessous.
Nom
Ce qui est couvert
Directive européenne sur la Traite des questions de transparence, d’utilisation légitime et de
protection des données
proportionnalité de l’usage des informations personnelles de tous
les citoyens de l’UE, ainsi que des moyens qui permettent de
transférer ces données à l’intérieur comme à l’extérieur de l’UE.
Australian Commonwealth
Privacy Act
Collecte appropriée, propriété, usage, correction, divulgation et
transfert des données personnelles par des organisations du
secteur public et privé.
Protection au Canada des
informations personnelles
dans le secteur privé
Englobe la collecte non-gouvernementale, l’usage et la divulgation
d’informations personnelles, le droit individuel à la confidentialité et
la pertinence de la collecte au sein de l’entreprise, de l’usage et de
la divulgation des informations personnelles.
Loi concernant la protection
des données personnelles
traitées par ordinateur à
Taïwan
Protège l’utilisation publique (gouvernementale) et non-publique
(secteur privé) des données personnelles ainsi que la pertinence,
les permissions, la divulgation et les pénalités relatives à une
mauvaise utilisation des données personnelles.
Directives de l’OCDE
Traite du consensus international sur la collecte et la gestion des
régissant la protection de la informations personnelles. Aide les gouvernements et les
confidentialité et des flux
entreprises en leur proposant des directives sur la protection de la
transfrontaliers de données à confidentialité et des données personnelles ainsi que sur les flux
caractère personnel
transfrontaliers de données.
Coopération économique
Traite du consensus régional sur le développement de la protection
pour l’Asie-Pacifique (APEC, de la confidentialité qui évite les obstacles aux flux d’informations.
Asia-Pacific Economic
Cooperation) Cadre
méthodologique concernant
la confidentialité
2.6 Sécurisation de l’identité
Aux premières heures de l’internet, il fut rapidement accepté que la réussite de nombreuses
applications commerciales dépendait nécessairement de mécanismes construits sur les principes
de confiance et de gestion sécurisée de l’identité permettant d’autoriser et d’authentifier les
2
utilisateurs de l’internet . Un lien sécurisé n’est bon qu’à partir du moment où les points finaux
sont considérés comme des entités légitimes autorisées à mener à bien une transaction donnée.
À l’origine, l’expression « cybersécurité » a été pensée en grande partie en ces termes, c’est-àdire comme une expression positive concernant l’activation de services et de fonctionnalités pour
l’internet.
Les mécanismes qui permettent d’accroître la confiance et de valider l’identité devaient permettre
à l’internet de proposer des canaux pour une communication sécurisée, fiable et privée entre les
entités, susceptibles d’être clairement authentifiées d’une manière mutuellement comprise. Ces
mécanismes doivent disposer de moyens raisonnables pour que les entités puissent gérer et
protéger les détails concernant leur identité.
Bien que bon nombre de problèmes liés à la sécurisation de l’identité soient d’ordre juridique, il
existe des protocoles de sécurité et de confidentialité qui peuvent contribuer à sécuriser le
processus d’authentification et d’autorisation des utilisateurs finaux. Figurent parmi les
organisations les plus impliquées dans la recherche de solutions concernant la confiance et
l’identité, les gouvernements nationaux et leurs agences, telle que l’US NISST, les organisations
du secteur public et du secteur privé dont OASIS, W3C, OpenID, la Kantara Initiative et l’IETF,
lesquelles sont toutes présentées ci-après.
OASIS (Organization for the Advancement of Structured Information Standards) est un
consortium à but non lucratif commandité, au départ, pour travailler sur le SGML (Standard
Generalized Markup Language) et pour accorder la priorité au balisage et à la préparation de
documents. Bien que le SGML n’ait rencontré qu’un succès mitigé, une norme dérivée, le XML
(eXtensible Markup Language) a été largement adoptée et OASIS est devenu une ressource
active pour de nombreuses normes associées. Le comité chargé des services de sécurité
d’OASIS a développé le SAML (Security Assertion Markup Language) qui est une ressource de
base largement utilisée dans bon nombre de protocoles d’identité avancés. [OASIS]
Aux États-Unis, le NIST (National Institute of Standards and Technology) a préparé une stratégie
nationale pour les identités dignes de confiance dans le Cyberespace (NSTIC, National Strategy
for Trusted Identities in Cyberspace). Cette stratégie sponsorisée par le gouvernement « propose
une vision d’un cyber-monde - L’Écosystème de l’Identité (Identity Ecosystem) – qui améliore les
mots de passe utilisés actuellement pour se connecter en ligne. Celle-ci devrait inclure une place
de marché dynamique permettant aux individus de faire un choix parmi plusieurs fournisseurs
d’identité, publics et privés, capables de produire des identifiants dignes de confiance en
apportant la preuve de l’identité ».
La Fondation OpenID, une autre organisation active dans le domaine de la sécurisation de
l’identité, a été fondée en 2007. OpenID est une organisation internationale à but non lucratif,
regroupant des particuliers et des entreprises engagés dans la mise en œuvre, la promotion et la
protection des technologies OpenID. [OPENID]
La Kantara Initiative a été lancée en 2009. Elle a vocation à être le point focal d’une collaboration
visant à traiter les problèmes partagés par les membres de la communauté qui s’intéressent à
l’identité. Sa mission est « d’encourager l’harmonisation, l’interopérabilité, l’innovation et
2
L’identification est la pièce jointe d’une étiquette rattachée à une entité, comme le nom d’utilisateur d’une personne assise
devant un clavier. L’authentification est le processus par lequel on vérifie que l’entité qui est identifiée correspond bien à
l’entité qui se déclare, généralement au moyen d’un mot de passe confidentiel.
l’adoption élargie de la communauté qui s’intéresse à l’identité grâce au développement de
spécifications ouvertes en matière d’identité, de cadres opérationnels, de programmes de
formation, et grâce au déploiement et à l’usage des meilleures pratiques pour le respect de la
confidentialité et l’accès sécurisé aux services en ligne. » [KANTARA]
Le groupe de travail OAuth de l’IETF œuvre aussi activement à la normalisation des protocoles de
confiance et d’identité, et poursuit le développement d’OAuth, un « protocole ouvert visant à
permettre l’autorisation de la sécurité selon une méthode simple et standard à partir d’applications
Web, mobiles et de bureau ». La version 2 du protocole OAuth a été publiée au titre de norme
proposée au mois d’octobre 2012. [OAUTH-V2], [LYNCH2011], [CERF2011], [GRANT2011]
2.7 Sécurisation des services essentiels
Les services essentiels tels que les systèmes municipaux de distribution d’eau et le réseau
électrique sont de plus en plus dépendants, pour fonctionner normalement, de réseaux de
données, appelés SCADA (Supervisory Control and Data Acquisition). Quand des services
essentiels sont attaqués, les dégâts potentiels dépassent largement les dégâts provoquées par
l’envoi de courrier indésirable visant à faire la publicité de fausses montres ou de médicaments
permettant d’accroître les performances sexuelles.
Les conséquences d’une attaque réussie contre un ordinateur qui gère ou contrôle ces types
d’infrastructures critiques sont désastreuses. Désactiver un serveur Web peut être gênant et
entraîner des pertes de revenus et des coûts supplémentaires, mais provoquer une panne du
réseau électrique a des effets beaucoup plus graves et lourds de conséquences sur la sécurité du
public. C’est pourquoi il est important de prêter une attention particulière à la menace que de
telles attaques et leurs réponses associées représente en termes de gouvernance et de bon
fonctionnement de l’internet à l’échelle de la planète.
Ces menaces sont nouvelles et, pour la plupart d’entre elles, hypothétiques. Toutefois, les
systèmes SCADA ne sont pas gérés comme des réseaux d’entreprise traditionnels qui bénéficient
de correctifs de sécurité programmés à intervalles réguliers et de temps d’arrêt pour les mises à
niveau et la maintenance. Les réseaux SCADA disposent d’ordinateurs incorporés au cœur du
système qui sont programmés pour effectuer des tâches très spécifiques et de manière très
fiable, et l’accent est beaucoup moins placé sur la protection contre des attaques. Les principales
formes de protection des services essentiels de contrôles des réseaux sont de deux types :
l’entrefer et la sécurité grâce à l’obscurité.
L’expression « sécurité par isolement total » renvoie à une pratique courante de sécurité sur les
systèmes de contrôle critique. La sécurité du système et du réseau, telle qu’on la conçoit, est
simple : il suffit de s’assurer qu’il n’existe aucune connexion physique entre les systèmes de
contrôle et l’internet. L’absence de connexion physique – l’isolement total – signifie qu’aucun
maliciel ne peut infecter un système déconnecté de tous les autres, et que personne ne peut
prendre le contrôle d’un système qui ne dispose d’aucune connexion au réseau. Bien que ce type
de sécurité ait été facile à appliquer au cours des années passées, il devient de plus en plus
difficile de garantir ces isolements totaux, étant donné la prévalence de l’internet à tous les
niveaux dans nos vies et dans les entreprises, y compris dans les entreprises d’énergie et de
services publics. De par la mise en réseau des systèmes essentiels entre eux, il suffit qu’un
système périphérique soit compromis pour que l’ensemble de la chaîne ne fonctionne plus. Par
exemple, on pense que le vers Stuxnet qui a désactivé des centaines de centrifugeuses dans
l’usine d’enrichissement de combustible Natanz en Iran, a été capable de contourner l’isolement
total entre le réseau SCADA de l’usine et l’internet au moment où un technicien a branché un
ordinateur infecté sur le réseau de l’usine. [STUXNET-NYT]
Un deuxième type de sécurité, « la sécurité grâce à l’obscurité », émet l’hypothèse que les
réseaux qui prennent en charge les services essentiels sont intrinsèquement protégés car bon
nombre de systèmes de contrôle et de protocoles n’étaient globalement pas connus des
attaquants potentiels. Mais étant donné que ces systèmes deviennent des cibles de valeur pour
les criminels, il existe une incitation supplémentaire pour découvrir les systèmes obscurs et s’y
introduire. Ceci est d’autant plus vrai que les systèmes d’exploitation en temps réel et développés
sur mesure sont remplacés par des produits logiciels commerciaux à moindre coût tels que
Windows et Linux dont les faiblesses connues en matière de sécurité n’ont pas forcément besoin
d’être corrigées en raison de la nature de ces réseaux.
Des organisations militaires, ainsi que des organismes standards tels que le NIST aux États-Unis
se mettent à présent à répondre au défi des systèmes de sécurisation qui prennent en charge
l’infrastructure critique nationale.
3 Problèmes de cybersécurité et solutions technologiques
La cybersécurité est un domaine actif de recherche et de développement au sein de la
communauté qui s’intéresse aux technologies de l’information et qui accueille des participants
issus de tous les domaines de l’écosystème informatique. La plupart des thèmes concernant la
cybersécurité, discutés ci-avant, partagent des problématiques communes en matière de sécurité
qui doivent être résolues au titre de la maturation permanente de l’internet envisagé comme un
élément sécurisé et digne de confiance de nos vies.
Figure 2 : Problèmes de
cybersécurité et solutions
technologiques
La Figure 2 récapitule certains domaines problématiques majeurs en matière de cybersécurité et
indique les solutions technologiques pour remédier à certains de ces domaines problématiques
qui ont été développées par des entités commerciales, des organisations standards et des
utilisateurs de l’internet.
Trouver une solution technologique à un problème de cybersécurité ne fait pas disparaître le
problème ; cela offre simplement une opportunité de le résoudre. Par exemple, le cryptage d’un
point final à l’autre, grâce aux SSL/TLS est une technologie bien connue qui peut être utilisée
pour répondre en partie à bon nombre de thèmes répertoriés ci-avant. Cependant, il n’a pas été
universellement adopté, en partie pour des raisons historiques et une inertie organisationnelle, et
en partie en raison de l’ignorance ou d’une mauvaise information. Disposer de solutions bien
connues pour des problèmes bien connus n’apporte pas beaucoup de valeur si ces solutions ne
sont pas utilisées.
Les sections ci-dessous proposent une vue générale de l’ensemble des sections concernant
certains problèmes majeurs de la cybersécurité et les solutions qui sont activement développées
et maintenues au sein de la communauté de l’internet. Dans de nombreux cas, les solutions
répertoriées sont bien connues et arrivées à maturité ; dans les autres cas, les solutions se
constituent en domaines de recherche active et de développement au sein de la communauté.
Étant donné qu’un grand nombre de ces problèmes de cybersécurité peuvent être traités à l’aune
de divers thèmes liés à la cybersécurité, ces solutions ne pointent pas directement vers la liste
des thèmes présentés plus haut dans ce document mais s’appliquent communément au domaine
de la cybersécurité dans son ensemble.
3.1 Résolution de l’écoute clandestine grâce au cryptage
Le problème de l’écoute clandestine peut être résolu grâce au cryptage (et à l’authentification) de
messages. Ce cryptage peut s’effectuer au niveau de diverses couches du réseau. Dans certains
cas, des programmes de cryptage multiples peuvent être appliqués simultanément en fonction du
réseau et de l’architecture des applications.
Les méthodes courantes sont les suivantes :
Couche
Solution
La plus basse (physique et
lien vers les données)
Cryptage de lien exclusif ; norme IEEE sans fil 802.11 ; norme
IEEE filaire 802.3 MACSec
Réseau (niveau IPv4 et IPv6) Normes de sécurité IETF IPSec IP (et échange de clé internet
IKE)
Application
SSL, TLS, SSH, PGP, S/MIME
Le cryptage au niveau de la couche de liaison peut être fourni par le biais de la norme sans fil
arrivée à maturité IEEE 802.11 (et d’après le profil du secteur industriel appelé Wi-Fi Protected
Access, WPA) ou de la nouvelle norme de cryptage du lien vers les données IEEE 802.1,
communément appelée MACSec. Alors que les normes de sécurité 802.11 et WPA sont
couramment mises en œuvre aujourd’hui, MACSec n’est pas utilisée car c’est une nouvelle norme
qui exige un nouveau matériel pour le réseau. Les anciens outils de cryptage au niveau de la
couche de liaison, tels que les appareils de cryptage de point à point, ont été déployés au sein
d’environnements WAN (Wide Area Network), en particulier par le secteur des services financiers
et les communautés militaires.
Le cryptage au niveau de la couche du réseau est courant dans bon nombre d’entreprises qui
utilisent les normes IPSec [IPSEC] et IKE. Le terme générique pour ce type de cryptage est le
VPN (Virtual Private Network), car l’utilisation de ces protocoles permet de créer un réseau au
sein d’un réseau, protégé et crypté. Ces normes ont été développées par l’IETF en prenant appui
sur un travail effectué en amont au sein d’autres organisations standards et de sécurité. Les
entreprises qui connectent des agences par le biais de l’internet sont les utilisateurs les plus
fréquents de l’IPSec, mais cette norme peut également être utilisée pour un accès à distance, ce
qui permet de ramener des individus vers le réseau d’entreprise grâce à un client VPN de
cryptage installé sur leurs ordinateurs portables ou leurs ordinateurs de bureau.
Le cryptage au niveau de la couche d’application peut être fourni par le biais de nombreux
protocoles différents. SSL (Secure Socket Layer), récemment remplacé par TLS (Transport Layer
Security), en est l’exemple le plus célèbre. SSL/TLS est le protocole de cryptage au niveau de la
couche d’application le plus couramment utilisé dans la plupart des transactions de sécurité et de
transactions financières. Dans le monde du Web, sa présence est signalée par le préfixe
spécifique du Web « https : » En sus du SSL/TLS, on compte parmi les autres protocoles de
sécurité pour les applications qui prennent en charge le cryptage, SSH (Secure Shell) [SSH] pour
la capacité de connexion à distance et S/MIME [SMIME-MSG] [SMIME-CERT], pour le cryptage
des emails s. Tous ces protocoles de sécurité pour les applications utilisent les certificats X.509
[X509] pour les principales infrastructures publiques. Un certain nombre d’incidents impliquant
l’émission de ces certificats illustrent certaines des failles inhérentes à cette méthode [COMODO]
[DIGINOTAR]. Il s’agit d’efforts consentis par diverses organisations techniques pour trouver une
réponse à ces problèmes.
Tous ces protocoles sont le résultat d’un long développement historique qui s’est opéré grâce à
diverses organisations standards techniques. Bon nombre d’entre elles ont initié un
développement au sein d’organisations qui s’intéressent à des variations plus sécurisées. L’IPsec,
par exemple, est le successeur de la norme ISO NLSP (Network Layer Security Protocol) basée
sur le protocole SP3 qui a été publié par le NIS, mais qui a été conçu grâce au projet Système en
réseau de données sécurisées (Secure Data Network) mené aux États-Unis par la NSA (National
Security Agency).
3.2 Résolution de problèmes liés aux maliciels grâce à l’utilisation de pare-feux et d’outils
de sécurité point-à-point
L’un des domaines les plus importants d’amélioration potentielle de la cybersécurité est celui de la
protection des ordinateurs. Ces solutions sont souvent appelées solution de sécurité de « point
final à point final », parce que l’ordinateur, qu’il s’agisse d’un serveur Web, d’un smartphone, d’on
ordinateur portable ou de bureau, à domicile ou dans un bureau est l’une des deux extrémités
d’une connexion internet.
3.2.1 Types de maliciels
Le terme générique utilisé pour les virus, les logiciels espions, les chevaux de Troie ou les
enregistreurs de clés est « maliciel », forme courte de l’expression « logiciel malfaisant ». Un
maliciel est un logiciel qui est téléchargé par l’utilisateur, souvent à son insu en cliquant sur ce qui
semble être un site Web anodin ou une publicité, ou en ouvrant un email. Le logiciel s’incorpore
dans le système d’exploitation de l’ordinateur et peut provoquer divers effets. Il peut être
simplement gênant en bombardant constamment l’utilisateur de fenêtres de publicité non
sollicitées. Par ailleurs, le logiciel peut avoir des effets plus désastreux ; par exemple, il peut
« enregistrer la clé » en déchiffrant les mots de passe et autres informations personnelles qui ont
été saisis sur le clavier, et les enregistrer pour un chargement qui sera effectué ultérieurement par
des criminels.
Un autre usage des maliciels consiste à créer des botnets, forme abrégée pour décrire les
activités de Robot du Net. Les botnets sont créés par des types sophistiqués de maliciels conçus
pour infecter plusieurs systèmes à la fois, puis pour confier le contrôle des systèmes à un être
humain qui peut les utiliser comme réseau gigantesque de traitement parallèle. Les botnets
peuvent être utilisés pour envoyer des emails commerciaux non sollicités (spam), pour faire office
de faux serveurs Web afin de voler les identifiants et autres informations d’utilisateurs finaux et
attaquer d’autres ordinateurs dans le but de les désactiver ou de les saturer (attaques par déni de
service distribué, DDoS).
Des études récentes ont pointé l’ampleur du problème. Un botnet type, construit pour rassembler
des machines d’entreprise, atteint un volume de 1000 unités environ, tandis qu’un grand botnet
pour le courrier indésirable peut atteindre un volume compris entre 50 000 et plusieurs centaines
de milliers de machines. Selon Dark Reading [DR] le nombre moyen de botnets trouvés dans une
entreprise est resté relativement stable au cours des deux années passées ; ce chiffre pouvant
atteindre de 5 à 7 pourcent de l’ensemble des systèmes d’entreprise infectés par des botnets.
La sécurisation des ordinateurs connectés à l’internet contre les maliciels a été répartie en deux
domaines principaux : les pare-feux, qui permettent de construire un anneau protecteur autour du
réseau d’une organisation, et les logiciels et les matériels de sécurité au point final, qui ont pour
principal objectif de détecter et de bloquer les logiciels malveillants qui tentent de prendre le
contrôle du point final.
3.2.2 Utilisation de pare-feux
Une méthode courante pour sécuriser les points finaux consiste à créer une barrière autour du
réseau de l’organisation en utilisant des pare-feux. Pour la plupart des ordinateurs, le pare-feu
agit comme une valve unidirectionnelle qui permet au système interne de se connecter vers
l’internet tout en bloquant les connexions de l’extérieur vers l’intérieur. Pour certains systèmes,
tels que les serveurs Web et email, il est nécessaire d’autoriser les connexions entrantes, mais
celles-ci sont limitées à des applications particulières sur des serveurs particuliers.
Cela fait naître de nouveaux défis en matière de configuration et de contrôle, en particulier avec
les nouvelles applications multimédias. À titre d’exemple, le VoIP (Voice over IP) et la
vidéoconférence ne peuvent pas fonctionner si ils sont étouffés par un pare-feu ; donc le groupe
chargé de l’informatique doit ajouter des règles qui autorisent les flux à travers le pare-feu afin de
pouvoir accueillir ces services compliqués. Si une erreur est commise par le groupe chargé de
l’informatique ou par le vendeur du pare-feu lors de la conception des fonctions de pare-feu pour
le VoIP ou la vidéoconférence, des flux non désirés pourront être autorisés sur le réseau de
l’entreprise.
Au fil du temps, l’augmentation du nombre de règles et d’exceptions est devenue en soi une
source de préoccupation. Puisque l’ajout de chaque nouvelle règle revient, comme on dit, à
« faire un trou » dans le pare-feu, les pare-feux d’entreprise ont fini par se faire appeler
« gruyère » et leur efficacité en matière de protection des ordinateurs est mise en doute.
Plus grave encore, la plupart des pare-feux autorisent aux ordinateurs internes un accès
relativement illimité à l’internet pour la navigation sur sites Web et la lecture d’emails. Puisque les
logiciels malveillants peuvent être acheminés jusqu’à l’ordinateur de l’utilisateur final par ces
canaux très courants, le pare-feu n’est pas, en soi, un moyen très efficace pour bloquer les
menaces. Les pare-feux et les technologies d’inspection des paquets ont également du mal à
cohabiter avec d’autres mesures protectives tels que le cryptage de contenus, le VPN/tunneling et
le SOAP. Cela est dû au fait que toutes ces mesures ouvrent des voies de passage aux charges
malveillantes. Ceci a entraîné l’émergence d’un écosystème de technologies d’assistanat parmi
lesquelles :

les pare-feux dotés d’outils anti-maliciels incorporés ; habituellement appelés « UTM »
(Unified Threat Mitigation) ;


les pare-feux orientés applications (habituellement appelés pare-feux de la nouvelle
génération) ; ces deux types de pare-feux incorporent des outils anti-maliciels et sont
capables de contrôler l’utilisation d’applications internet telles que Facebook et Skype ; ce
qu’un pare-feu traditionnel ne peut pas faire ;
les portails Web sécurisés (également appelés « serveurs proxy ») dotés d’outils incorporés
anti-maliciels.
3.2.3 Utilisation de logiciels et de matériel de sécurité pour le point final
Les maliciels peuvent atteindre les ordinateurs de différentes manières. Le plus souvent, cela se
produit quand un utilisateur télécharge par mégarde un logiciel depuis une source infectée ou un
site Web peu recommandable, ou lorsqu’il reçoit le logiciel en attachement avec un message
email. Les maliciels peuvent également s’infiltrer dans les réseaux d’entreprises ou de particuliers
(qui sont souvent faiblement sécurisés) à la suite d’un partage de clés USB. Les cybercriminels
ont également développé d’autres méthodes innovantes pour attaquer les systèmes des
utilisateurs finaux comme, par exemple, en utilisant le biais de connexions publiques Wi-Fi [WIFI].
Un maliciel existe pour chaque type d’ordinateur d’utilisation courante, dont les Macintosh OS X,
les systèmes Unix et Linux, sans oublier les smartphones et autres appareils tels que des lecteurs
de fichiers musicaux numériques et des tablettes qui fonctionnent avec des systèmes
d’exploitation incorporés.
Ce problème est si répandu que le personnel informatique des entreprises préconise
unanimement l’utilisation de logiciels de sécurité pour les points finaux (souvent appelés anti-virus
ou anti-maliciels) pour tous les appareils. Il est courant que les entreprises exigent que tout
ordinateur relié à son réseau soit doté d'outils de sécurité pour points finaux définis par les
normes d'entreprise. C'est vrai dans presque tous les domaines, des réseaux de l'enseignement
supérieur, des pouvoirs publics, en passant par ceux de l'armée et des grandes entreprises.
Les outils de sécurité pour points finaux peuvent contenir plusieurs composants permettant
d'assurer une protection contre les maliciels, notamment :
Outil
Description
Anti-maliciels
Protège contre les virus et les logiciels espions (maliciels) en
détectant les maliciels lorsqu'ils sont téléchargés ou exécutés.
Prévention des intrusions
Protège en détectant le comportement du maliciel, plutôt que le
maliciel lui-même, lorsqu'il tente d'infecter le système d'exploitation,
d'infecter d'autres systèmes ou de joindre un réseau de zombies.
Pare-feu d'hôte
Bloque les connexions entrantes et sortantes d’un point final en
fonction de la politique de sécurité.
3.3. Solutions techniques pour sécuriser l'infrastructure internet
Bien qu'internet soit considéré comme omniprésent et fiable, son infrastructure est vulnérable aux
attaques. Toutefois, une attaque contre l'infrastructure internet est une lame à double tranchant
pour de nombreux criminels potentiels : une interruption de l'infrastructure internet impliquerait
qu'on ne pourrait plus l'utiliser à aucune fin, que les personnes « malveillantes » ne pourraient
plus communiquer ou qu’il ne pourrait plus servir de plate-forme pour d'autres attaques. Une
attaque contre l'infrastructure internet interromprait largement les communications commerciales
à l’échelle mondiale (bien que cela n'interromprait probablement pas les systèmes de
communication militaire sécurisés) et donc, une telle approche intéresserait les personnes ou
groupes désirant faire une déclaration politique fortement destructive. Comme on l'a vu avec les
cyber-protestations accompagnant des événements tels que la publication par Wikileaks de
câblogrammes diplomatiques classifiés, les attaques viennent de sources inattendues à des
3
moments inattendus .
Pour internet, certains points clés de la vulnérabilité sont les protocoles de routage centraux du
réseau (BGP) et le système de noms de domaine internet (DNS). Le travail technique en cours
sur la sécurité du BGP et du DNS est abordé ci-dessous dans les paragraphes 3.3.1 et 3.3.2. Les
routeurs physiques ainsi que les plans de gestion et de réacheminement sur l’internet sont
également vulnérables aux cyber-attaques, mais ces derniers sont largement des problèmes de
sécurité liées à un domaine simple internes à un opérateur de réseaux et on y répond
généralement au niveau de l’organisation ou en tant que problèmes de sécurité des
télécommunications.
Ces problèmes n'ont pas été ignorés. Le département américain de la Sécurité intérieure a publié
une feuille de route pour réparer les protocoles internet [ROADMAP]. Les lecteurs qui
s'intéressent en détail aux problèmes de sécurité relatifs aux DNS et BGP peuvent se reporter à
[NIST-BGPSEC], une publication du National Institute of Standards and Technology (NIST)
américain.
Historiquement, il y a toutefois eu peu d'attaques vastes et intentionnelles envers l'infrastructure
d'internet. Les attaques DNS sont les plus fréquentes, mais elles n'ont pas affecté l'infrastructure
dans son ensemble. Elles sont plutôt ciblées sur certaines personnes ou organisations. Les
incidents BGP ne sont pas rares, mais ils sont en général causés par une erreur humaine et des
erreurs de configuration plutôt que par des acteurs malicieux ou des interruptions intentionnelles.
3.3.1 Sécurisation des données DNS avec DNSSEC
Le système de noms de domaine (DNS) est une partie essentielle et très réussie de
l'infrastructure internet. Sans lui, internet ne fonctionnerait pas. Le DNS permet aux gens d'utiliser
des noms dont il est facile de se souvenir ou qui sont faciles à reconnaître pour des sites Web et
des adresses email , qui sont ensuite convertis en un format numérique utilisé dans les protocoles
internes d'internet. Diverses attaques DNS potentielles ont été décrites, tant en théorie que lors
de démonstrations pratiques :

Le DNS est une base de données distribuée au niveau mondial dont la performance dépend
de l'utilisation de la mise en cache. Hélas, on a découvert que les implémentations courantes
3
Notons que les cyber-manifestations qui se sont produites autour des publications Wikileaks n’étaient pas des attaques
visant l’infrastructure internet comme il en est question ici, mais des attaques par déni de service visant des organisations qui
étaient perçues comme ayant des positions semblables à celles du gouvernement américain concernant Wikileaks.


des logiciels DNS sont vulnérables aux attaques par mystification au cours desquelles un
agresseur peut duper un cache et lui faire accepter des données DNS falsifiées.
Les attaques par homme intermédiaire peuvent être accomplies lorsqu'un appareil est inséré
dans le réseau entre des clients DNS et des serveurs DNS (ou entre deux serveurs DNS) et
qu'il redirige ou modifie les informations DNS.
Les attaques administratives sur le DNS peuvent être utilisées pour rediriger le trafic DNS
d'une organisation en devinant les mots de passe des registraires de noms de domaine ou en
convaincant les registraires d'accorder un accès personnel non autorisé.
Depuis longtemps déjà, les ingénieurs internet se sont rendu compte de l'intérêt qu'il y a à
renforcer la sécurité du DNS étant donné son importante fonction de traduction des adresses
reconnaissables par l'homme en celles utilisées par les routeurs et les ordinateurs connectés à
internet.
Dès 1995, des études [ATKINS2004] ont été démarrées pour trouver un remplacement plus sûr
du DNS, et DNSSEC devint un groupe de travail de l'IETF. DNSSEC est un ensemble
d'extensions au DNS qui fournissent une authentification et une vérification de l'intégrité des
données DNS. En 1997, la première norme DNSSEC, baptisée RFC2065, a été développée. Une
spécification DNSSEC révisée a été terminée en 2005, sachant que certaines fonctionnalités
supplémentaires ont été normalisées en 2008.
L'authentification dans DNSSEC veille à ce que l'administrateur de zone puisse fournir des
informations qui ont autorité sur un domaine DNS particulier, tandis que la vérification de l'intégrité
assure que les informations contenues dans le DNS ne puissent pas être modifiées
(accidentellement ou de façon malveillante) pendant le transit ou le stockage. Ce qui veut dire que
DNSSEC, entre autres choses, permet de protéger contre les attaques qui insèrent des
informations falsifiées dans le DNS afin de rediriger les utilisateurs d'internet vers des sites Web
trompeurs ou criminels, ce que l'on appelle le « détournement » de sites Web.
Après plusieurs années d'études techniques et de tests intensifs, le premier déploiement de
production de DNSSEC dans un domaine de premier niveau a été réalisé en Suède en 2007.
Après avoir conclu un accord relatif à son déploiement mondial, DNSSEC est actuellement en
cours de déploiement à travers le monde. La zone d'origine DNS a été signée en juillet 2010.
Il est important de noter que l'extension de sécurité du système de noms de domaine (DNSSEC)
n'est pas conçue pour mettre fin aux cyber-attaques contre le DNS, mais pour rendre ces
attaques détectables. Le déploiement à grande échelle de DNSSEC pourrait contribuer à
résoudre de nombreux autres problèmes de sécurité, tels que la distribution sécurisée de clés
pour les adresses électroniques.
En raison de la façon dont DNSSEC est mis en œuvre, il permet à de nombreuses autres
technologies d'utiliser le même ensemble de protocoles de sécurité pour distribuer en toute
sécurité la très importante clé de chiffrement nécessaire à toute une gamme de fins, telles que
SSH et IPSec. DNSSEC offrira ainsi non seulement une base pour aborder la sécurité des défis
du DNS ; il permettra de renforcer les autres parties essentielles d'internet. [DANE]. Cela dit,
DNSSEC devra aborder les mêmes problèmes associés à la violation de l’autorité de certification
(CA) comme l'ont illustré les incidents chez Diginotar et Comodo, auxquels il est fait référence
plus haut.
3.3.2 Sécurité du BGP
En tant que protocole de routage inter-domaine d'internet, le Border Gateway Protocol (BGP) est
la colle qui lie internet. Mais l’une des principales limitations du BGP est qu'il n'aborde pas la
sécurité de manière adéquate. De récentes pannes à haut profil ont démontré que l'infrastructure
de routage d'internet est vulnérable aux attaques et que ces dernières ont un impact mondial.
Les tables de routage maintenues par les fournisseurs d'accès internet (FAI) et mises à jour
dynamiquement par le BGP sont à la base de tout routage inter-organisation. Comme le BGP est
intrinsèquement inter-domaine et pas sous le contrôle d'une seule autorité de gestion, il est
possible que des erreurs de routage soient insérées délibérément ou accidentellement par des
organisations, y compris des FAI et toute organisation disposant d'une présence internet
suffisamment importante pour participer au protocole BGP, telle qu'une entreprise avec deux
connexions internet indépendantes. Les erreurs peuvent provoquer de graves interruptions
d'internet. Des rapports hebdomadaires produits par différentes organisations, notamment
l’APNIC (Asia-Pacific Network Information Center) et l'université d'Oregon, ainsi que des
chercheurs d'internet tels que Geoff Huston, indiquent que les erreurs de configuration affectent
environ 1 % de toutes les entrées de tables de routage à tout moment, ce qui souligne une fois de
plus que le système actuel est très vulnérable aux erreurs humaines et à une grande gamme
d'attaques malicieuses. Toutefois, le BGP s'est avéré être extrêmement résistant. Une des
configurations erronées des routeurs internet exécutant le BGP, souvent appelée « détournement
du BGP » n'est pas nouvelle. Cela arrive fréquemment, bien qu'en général, le détournement ne
soit pas intentionnel. Toutefois, ces erreurs peuvent entraîner une attaque générale de type
« refus de service » ou une panne, comme ce fut le cas lorsque Pakistan Telecom a détourné par
inadvertance le trafic de YouTube.
Au cours de cet incident, la société de télécoms pakistanaise voulait uniquement empêcher les
pakistanais d'accéder à YouTube pour les empêcher de voir des contenus que le gouvernement
pakistanais considérait comme répréhensibles. Au lieu de cela, la société et son fournisseur en
amont ont annoncé par erreur aux routeurs qu'il s'agissait de la meilleure route pour envoyer le
trafic YouTube. Pendant près de deux heures, des navigateurs de nombreux sites internet tentant
d'atteindre YouTube sont tombés dans un trou noir au Pakistan. [BGPHIJACK]
Le détournement du BGP consiste à insérer des routes IP non-autorisées dans les tables de
routage BGP. À l'heure actuelle, il n'existe pas de base de données unique et sans ambiguïté qui
fait correspondre les routes IP aux organisations autorisées à les insérer ou à les publier. Le
processus d'autorisation est essentiellement manuel, sachant que chaque organisation rejoignant
internet est chargée d'approuver l'ensemble des routes IP pouvant être publiées pour leurs pairs.
Alors que les bonnes pratiques de l'IETF recommandent que chaque pair du BGP ne permette
que les routes qui ont été approuvées administrativement, cette pratique n'est souvent pas suivie.
De plus, au fur et à mesure que l'on se déplace de l'organisation connectée vers le cœur
d'internet, la capacité à autoriser et authentifier les mises à jour devient de plus en plus complexe.
Des outils à base de politique, tels que le registre de routage internet (irr.net), qui tentent de
fournir des listes faisant autorité de réseaux autorisés et de fournisseurs de service de réseau,
fonctionnent très bien, mais ne sont pas adoptés universellement et nécessitent une intervention
manuelle considérable au niveau de la configuration du routage.
Le groupe de travail Secure Inter-Domain Routing (SIDR), au sein de l'IETF, a été formé en
novembre 2005 pour réduire les vulnérabilités dans le système de routage BGP d'internet. Le
SIDR vise à réduire le risque de détournement des réseaux par des fournisseurs d'accès en
publiant les routes IP non autorisées et créera des normes pour une infrastructure de certification
appelée Resource PKI (RPKI). Cette infrastructure de certification vérifie les allocations des
ressources INR (numéros internet), y compris des blocs d'adresses IP et des numéros de
système autonome (ASN). Cette infrastructure suit la structure de distribution INR existante au
sein de l'IANA, des registres internet régionaux (RIR) et des fournisseurs d'accès internet (FAI)
délivrant des certificats pour les ressources concernées. Ceci permet aux organisations qui
détiennent des adresses IP particulières d'autoriser un réseau particulier (indiqué par un ASN) à
publier ces adresses. Cette autorisation est publiée en utilisant un objet signé numériquement,
intitulé Route Origination Authorization (ROA) que les tiers peuvent valider à l'aide de RPKI, ce
qui offre la possibilité d'une vérification automatisée, même au cœur d'internet, de toutes les
mises à jour de routage. Si une organisation tentait d'injecter une route IP non-autorisée dans les
tables de routage BGP, ceci serait détectable. [SIDR]
Le groupe de travail SIDR a publié plusieurs documents décrivant le cadre méthodologique de la
RPKI et de la Route Origin Authorization. Les spécifications sont normalisées et publiées comme
RFC, et tous les registres internet régionaux (RIR) déploient actuellement des services pour
prendre en charge RPKI. Toutefois, chaque organisation participante (actuellement plus de
37 000 organisations) au routage BGP d'internet devra contribuer de considérables efforts pour
utiliser ces nouvelles capacités dans leur infrastructure de gestion du routage.
3.4 Solutions techniques pour la sécurisation des systèmes d'authentification
L'authentification des utilisateurs finaux dans des applications internet est générateur d'une
tension continue tant dans le secteur public que privé. Les objectifs de sécurité, confidentialité et
convivialité sont souvent en conflit. Plus il est facile d'authentifier, plus il est facile d'intercepter ou
de dérober les informations d'authentification et de les utiliser pour se faire passer pour un
utilisateur valide. D'un autre côté, si l'authentification est chère et chronophage, bien que la
sécurité soit plus élevée, les utilisateurs finaux risquent de décider de ne pas utiliser l'application
car trop compliquée. Ou, confrontés à des systèmes d'authentification difficiles à utiliser, les
utilisateurs peuvent créer des solutions de contournement ou des raccourcis qui rendront le
processus d'authentification plus facile, mais également moins sûr.
La protection de l'authentification tombe dans deux larges catégories : la protection des
informations et la facilitation de l'authentification en toute sécurité pour les utilisateurs.
3.4.1 Protection des bases de données d'authentification
Les bases de données contenant des informations d'authentification s'appellent des systèmes
Identity Data Management (IdM) [IDM]. Elles sont souvent un sous-ensemble de nombreuses
bases de données contenant des ensembles de données personnelles beaucoup plus vastes et
contenant d'habitude les informations de nom d'utilisateur et de mot de passe nécessaires à
l'authentification. Ces bases de données peuvent également contenir d'autres informations
pertinentes en rapport avec l'autorisation, par exemple le fait qu'un utilisateur a été autorisé à voir
certains contenus dans un site distant. Les protocoles les plus populaires utilisés dans ces
systèmes sont des systèmes à répertoire tels que LDAP [LDAP] et X.500 [X500]. Les serveurs
RADIUS [RADIUS] utilisant LDAP et X.500 sont des outils courants utilisés pour simplifier l'accès
aux informations d'authentification en fournissant une interface de programmation d'applications
(API) aux systèmes à répertoire plus compliqués.
Toute brèche de la base de données IdM ouvre à l'agresseur l'ensemble complet des données
personnelles stockées dans la base de données. Dans certains cas, cela permettrait également à
l'agresseur de se faire passer pour un utilisateur légitime afin de l'authentifier auprès d'autres
systèmes à travers le monde. Par conséquent, les attaques contre les systèmes IdM sont
d'habitude une des méthodes préférées pour déjouer la sécurité d'une application Web.
Les initiés ayant accès à IdM sont d'habitude le maillon faible dans le maintien de la sécurité des
systèmes IdM. Les approches par force brutale telles que les « attaques par dictionnaire », au
cours desquelles les agresseurs essaient des noms et mots de passe couramment utilisés pour
accéder au système IdM, font partie des approches les plus populaires et réussies pour les
agresseurs externes.
Les défenses contre les attaques par dictionnaire comprennent le fait de demander aux
utilisateurs de modifier leurs mots de passe tous les quinze jours ou tous les deux mois et
d'utiliser des mots de passe complexes se composant de caractères numériques et alphabétiques
qui ne se trouvent pas dans les noms ou mots de passe couramment utilisés. Côté serveur, la
principale défense est le chiffrement de la base de données des mots de passe afin de la protéger
de tout accès non-autorisé. Dans certains cas, le chiffrement s'est avéré être inefficace et même
les bases de données chiffrées ont entraîné la compromission des mots de passe.
Une approche de protection des mots de passe plus pratique, quoique plus chère, consiste à
ajouter une authentification à deux facteurs. L'authentification à deux facteurs ajoute d'autres
facteurs en plus du nom d'utilisateur et du mot de passe. Ce facteur est nécessaire pour terminer
l'authentification. Par exemple, un petit jeton peut être affecté à un utilisateur et il affiche un « mot
de passe de la minute » devant être combiné au mot de passe normal de l'utilisateur. D'autres
techniques innovantes, telles que l'envoi d'un mot de passe à un téléphone mobile, l'ajout d'outils
biométriques tels que les empreintes digitales, ou l'affichage d'un code Quick Response (QR)
dans le cadre de la fenêtre de dialogue d'authentification, sont également utilisées. [TIQR]
3.4.2 Utilisation des normes d'authentification ouvertes et de PKI
Au fur et à mesure de la croissance du nombre d'applications internet nécessitant une
authentification, le nombre de bases de données d'authentification s'est également accru. Comme
mentionné ci-dessus, dans certains cas, le chiffrement de ces bases de données s'est avéré être
inefficace avec pour résultat des mots de passe compromis. Un domaine attirant un intérêt
considérable en matière de cybersécurité est la tentative de réduire le risque d'avoir ces bases de
données en réduisant le nombre de bases de données ou en réduisant la quantité de données
stockées dans ces bases de données tout en développant des protocoles ouverts qui permettent
le passage en toute sécurité des informations d'authentification entre les applications.
Différentes techniques sont utilisées pour dérober des informations d'authentification directement
des utilisateurs finaux, notamment l'hameçonnage et les attaques par homme intermédiaire.
L'hameçonnage est une activité dans laquelle des hackers mettent en place une identité falsifiée
sur internet, se faisant passer pour une banque ou un site Web de magasin, et ils piègent les
visiteurs qui ne se doutent de rien et qui s'y trouvent pour réaliser des transactions commerciales.
Par la ruse, ils leur font saisir des informations personnelles détaillées telles que des numéros de
compte en banque et des mots de passe. Les attaques « par homme intermédiaire »
comprennent des ordinateurs déployés à travers internet qui sont capables d'intercepter des
requêtes et messages courants d'un utilisateur puis de les rediriger quelque part d'autre, ou de
fournir des données erronées suite à la demande d'un utilisateur. Une des menaces que les
attaques par homme intermédiaire posent fréquemment est le vol des informations
d'authentification.
Tant les attaques par hameçonnage que celles par homme intermédiaire peuvent être stoppées
par l'identification et l'authentification mutuelles aux deux extrémités de la communication,
permettant ainsi aux deux parties d'être raisonnablement assurées qu'elles sont véritablement qui
elles prétendent être.
Des études et un développement considérables ont été investis dans le travail d'établissement de
l'identité et de la confiance sous la rubrique « cybersécurité ». Nous voyons désormais émerger
les premiers produits et services issus des organismes de normalisation et des organisations de
recherche. Dans le monde universitaire, Shibboleth [Shibboleth] est désormais l'outil préféré pour
l'identité fédérée alors que dans le monde commercial, des outils comme OpenID [OPENID] et
OpenAuth [OPEN AUTH] sont de plus en plus acceptés.
Le Security Assertion Markup Language (SAML) [SAML] est la technologie sous-jacente utilisée
pour de nombreuses applications d'authentification utilisées par OpenID et OpenAuth. Il s'agit
d'une norme XML pour l'échange de données d'authentification, de droit et d'autorisation ainsi que
d'autres attributs utilisateur. SAML permet aux entités commerciales de poser des assertions
relatives à l'identité, aux attributs et aux droits d'un sujet (souvent un utilisateur humain) auprès
d'autres entités, telles qu'une société partenaire ou une autre application d'entreprise. SAML est
un produit du Security Services Technical Committee [OASIS].
4 Conclusions
La cybersécurité est un terme général qui évolue au fil du temps et dont la signification ne fait pas
consensus. La sensibilisation du public au statut de la cybersécurité est teintée par des
défaillances souvent sensationnelles de la sécurité qui apparaissent dans les médias. L'exposition
d'informations personnelles, de données financières volées et la dispersion de maliciels et de
virus sont autant d'éléments qui donnent une impression de danger et de chaos, ou même de
l'effondrement imminent d'internet. En fait, le ciel ne nous tombe pas sur la tête ; mais des
tempêtes se profilent peut-être à l'horizon. Il y a certainement des raisons d'être prudent, mais
l'équilibre général pèse fortement du côté de la valeur. Internet est devenu un outil de
connaissances, de communication, d'expression et de commerce, une ressource de confiance et
une puissante force de liberté personnelle.
Ce livre blanc a démontré que les solutions de cybersécurité sont généralisées et complexes,
alors que nous allons de l'avant pour aborder ces nouveaux défis, nous devons nous assurer que
l'esprit ouvert et innovant d'internet n'est pas compromis. L'ouverture d'internet est une de ses
forces clés, c'est ce qui en fait une source planétaire majeure de créativité, d'innovation et de
croissance. Au final, le succès de la résolution des problèmes de cybersécurité réside dans la
coopération et la collaboration entre les différentes parties prenantes, pas dans de nouveaux
systèmes de contrôle.
Références :
[ABAR] American Bar Association-appointed special cyber-prosecutors
http://www.cfr.org/publication/22832/internet_governance_in_an_age_of_cyber_insecurity.html
[ALBRIGHT] Remarques de Madeleine K. Albright lors de la réunion du Conseil de l’Atlantique Nord avec le groupe d’experts
sur le nouveau concept stratégique de l’OTAN, 17 mai 2010 http://www.nato.int/cps/en/natolive/opinions_63678.htm
[ATKINS] Atkins, D. and Austein R. (2004). RFC 3833, “Threat Analysis of the Domain Name System (DNS)”, août 2004
Disponible à : http://www.rfc-editor.org/rfc/rfc3833.txt.
[AUSTRALIA-DBCDE] Ministère du haut débit, des télécommunications et de l’économie numérique du gouvernement
australien. (2011). Internet Service Provider (ISP) filtering. Disponible à :
http://www.dbcde.gov.au/all_funding_programs_and_support/cybersafety_plan/internet_service_provider_isp_filtering. Dernier
accès datant du 25 mars 2012.
[AUSTRALIA-UPDATE] http://arstechnica.com/tech-policy/2012/11/australia-comes-to-its-senses-abandons-national-internetfiltering-regime/
[BGPHIJACK] YouTube Hijacking: A RIPE NCC RIS case Study (http://www.ripe.net/internet-coordination/news/industrydevelopments/youtube-hijacking-a-ripe-ncc-ris-case-study)
[BORDER] Reporters sans frontières http://en.rsf.org/internet.html
[CECC] Convention sur la cybercriminalité du Conseil de l’Europe
http://www.coe.int/t/dc/files/themes/cybercrime/default_en.asp
[CERF2011] Cerf, V. (2011). The Battle for Internet Openness. IEEE Internet Computing. 15 (5), 104.
[CLARKE] Richard A. Clarke Cyber-War http://www.wired.com/threatlevel/2010/04/cyberwar-richard-clarke/
[COICA] Wikipédia, “Combating Online Infringement and Counterfeits Act”
http://en.wikipedia.org/wiki/Combating_Online_Infringement_and_Counterfeits_Act
[COMODO] Leonhard, Woody. "Weaknesses in SSL certification exposed by Comodo security breach." InfoWorld Tech
Watch. InfoWorld, 24 Mar. 2011. Web. Web. 27 juil. 2012. <http://www.infoworld.com/t/authentication/weaknesses-in-sslcertification-exposed-comodo-security-breach-593>.
[CYBERCOM] Burghardt, Tom, “The Launching of U.S. Cyber Command (CYBERCOM), Centre de recherche sur la
globalisation, Québec, Canada, http://www.globalresearch.ca/index.php?context=va&aid=14186
[DANE] Groupe de travail sur l’authentification DNS des entités nommées - http://tools.ietf.org/wg/dane
[DIGINOTAR] Whitney, Lance. "Comodohacker returns in DigiNotar incident." CNET: News: Security & Privacy. CNET, 6 Sep.
2011. Web. Web. 27 Jul. 2012. <http://news.cnet.com/8301-1009_3-20102027-83/comodohacker-returns-in-diginotarincident/>.
[DKIM] http://tools.ietf.org/wg/dkim/
[DR] Dark Reading – http://www.darkreading.com/index.jhtml
[FBI] Enquête 2005 du FBI http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2005.pdf
[FIRESHEEP] http://codebutler.com/firesheep/?c=1
[GRANT2011] Grant, J.A. (2011). The National Strategy for Trusted Identities in Cyberspace: Enhancing Online Choice,
Efficiency, Security, and Privacy through Standards. IEEE Internet Computing. 15 (6), 80-84.
[HERSH] Seymour Hersh, “The Online Threat” http://www.newyorker.com/reporting/2010/11/01/101101fa_fact_hersh
[HODGES] Hodges and Steingruebl, "The Need for a Coherent Web Security Policy Framework", Conférence 2010 sur la
sécurité et la confidentialité du Web 2.0, http://w2spconf.com/2010/papers/p11.pdf
[IC3] Rapport du centre de plaintes de cybercriminalité http://www.ic3.gov/default.aspx
[IDM] Identity Data Management systems (IdM) http://en.wikipedia.org/wiki/Identity_management
[IPSEC] IPsec http://datatracker.ietf.org/wg/ipsec/charter/
[IWM] Information Warfare Monitor http://www.infowar-monitor.net/
[KANTARA] Kantara Initiative http://kantarainitiative.org/
[LDAP] Zeilenga, K. (ed) (2006). RFC 4510, “Lightweight Directory Access Protocol (LDAP): Technical Specification Road
Map,” juin 2006. Disponible à : http://www.rfc-editor.org/rfc/rfc4510.txt.
[LOPPSI]
http://fr.wikipedia.org/wiki/Loi_d'orientation_et_de_programmation_pour_la_performance_de_la_s%C3%A9curit%C3%A9_int
%C3%A9rieure
[LYNCH2011] Lynch, L. (2011). Inside the Identity Management Game. IEEE Internet Computing. 15 (5), 78-82.
[MARF] http://tools.ietf.org/wg/marf/
[NIST-BGPSEC] http://csrc.nist.gov/publications/nistpubs/800-54/SP800-54.pdf
[NSPW] New Security Paradigms Workshop http://www.nspw.org/
[NSTIC] National Institute of Standards and Technology. (2011). Making Online Transactions Safer, Faster, and More Private.
Disponible à : http://www.nist.gov/nstic/. Dernier accès datant du 22 mars 2012.
[NYT-ENERGY] http://www.nytimes.com/2010/01/26/world/26cyber.html
[NYT-GOOGLE] http://www.nytimes.com/2010/01/13/world/asia/13beijing.html
[OASIS] OASIS Comité technique des services de sécurité http://www.oasisopen.org/committees/tc_home.php?wg_abbrev=security
[OECD] Organisation de Coopération et de Développement Économiques. (1980). Guidelines on the Protection of Privacy and
Transborder Flows of Personal Data. Disponible à :
http://www.oecd.org/document/18/0,3746,en_2649_34255_1815186_1_1_1_1,00&&en-USS_01DBC.html. Dernier accès
datant du 25 mars 2012.
[OPENID] http://openid.net/
[OAUTH V2] Hardt, D. RFC 6749, "The OAuth 2.0 Authorization Framework", octobre 2012. Disponible à : http://www.rfceditor.org/rfc/rfc6749.txt Dernier accès datant du 23 octobre 2012.
[OPSEC] Internet Engineering Task Force. (2012). Operational Security Capabilities for IP Network Infrastructure (opsec).
Disponible à : http://datatracker.ietf.org/wg/opsec/. Dernier accès datant du 25 mars 2012.
[OPSEC-TAXONOMY] C. Lonvick and D. Spak. (2011). Security Best Practices Efforts and Documents (Version préliminaire
internet). Disponible à : http://tools.ietf.org/html/draft-ietf-opsec-efforts-18. Dernier accès datant du 25 mars 2012.
[PATHWAYS] Septième conférence mondiale sur la sécurité - International Pathways to Cybersecurity
http://www.ewi.info/international-pathways-cybersecurity-0
[PGP] Callas, J., Donnerhacke, L., Finney, H., Shaw, D., and Thayer, R. (2007). RFC 4880, “OpenPGP Message Format”,
novembre 2007. Disponible à : http://www.rfc-editor.org/rfc/rfc4880.txt. Dernier accès datant du 25 mars 2012.
[RADIUS] Rigney, C., Willens, S., Rubens, A., Simpson, W. (2000). RFC 2865, “Remote Authentication Dial In User Service
(RADIUS),” juin 2000. Disponible à : http://www.rfc-editor.org/rfc/rfc2865.txt. Dernier accès datant du 25 mars 2012.
[REVIEW] Revue Défense trimestrielle du Département de la Défense américain http://www.defense.gov/qdr/
[ROADMAP] Département de la Sécurité intérieure américain roadmap for fixing the Internet’s
protocols http://www.cyber.st.dhs.gov/docs/DHS-Cybersecurity-Roadmap.pdf
[SAML]Security Assertion Markup Language (SAML) http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language
[SHADOWS] http://www.scribd.com/doc/29435784/SHADOWS-IN-THE-CLOUD-Investigating-Cyber-Espionage-2-0
[Shibboleth] http://shibboleth.internet2.edu/
[SIDR] http://tools.ietf.org/wg/sidr/charters
[SKYPE] Ten countries threatening to block Skype and Google http://www.voip-sol.com/10-isps-and-countries-known-to-haveblocked-voip/
[SMIME-MSG] Ramsdell, B., Turner, S. RFC 5751, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2
Message Specification," janvier 2010. Disponible à : http://www.rfc-editor.org/rfc/rfc5751.txt.
[SMIME-CERT] Ramsdell, B., Turner, S. RFC 5750, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2
Certificate Handling," janvier 2010. Disponible à : http://www.rfc-editor.org/rfc/rfc5750.txt.
[SSH] Ylonen, T., Lonvick, C. (ed). (2006). RFC 4251, “Secure Shell (SSH) Protocol Architecture,” janvier 2006. Disponible à :
http://www.rfc-editor.org/rfc/rfc2865.txt. Dernier accès datant du 25 mars 2012.
[STUXNET] Falliere, Nicolas; Murchu, Liam; Chien, Eric (Symantec Security Response) W32.Stuxnet Dossier (fév, 2011)
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf
Internet Society
Galerie Jean-Malbuisson 15
CH-1204 Genève, Suisse
Tél. : +41 22 807 1444
Fax : +41 22 807 1445
1775 Wiehle Ave.
Suite 201
Reston, VA 20190
États-Unis
Tel : +1 703 439 2120
Fax: +1 703 326 9881
e-mail : [email protected]
[STUXNET-NYT] http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-againstiran.html
[TIQR] Jan Michielson. (2011) TIQR User Manual. Disponible à : https://tiqr.org/wpcontent/uploads/2011/05/tiqr_manual_v1.0.pdf. Dernier accès datant du 25 mars 2012.
[TLS] Dierks, T., Rescorla, E. (2008). RFC 5246, “The Transport Layer Security (TLS) Protocol, Version 1.2,” August, 2008.
Disponible à : http://www.rfc-editor.org/rfc/rfc5246.txt. Dernier accès datant du 25 mars 2012.
[US-NTIA] http://www.ntia.doc.gov/category/privacy
[W3C-APP] Charte du groupe de travail sur les applications Web, World Wide Web Consortium.
http://www.w3.org/2010/webapps/charter/
[W3C-SEC] Groupe de travail sur al sécurité des applications Web, World Wide Web Consortium,
http://www.w3.org/2011/webappsec/
[WIFI] http://www.esecurityplanet.com/views/article.php/3869221/Top-Ten-Wi-Fi-Security-Threats.htm
[WIKI-ESTONIA2007] 2007 Cyberattacks on Estonia (tiré de Wikipédia)
http://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia
[X500] X.500, “Information technology - Open Systems Interconnection - The Directory: Overview of concepts, models and
services.” http://en.wikipedia.org/wiki/X.500
[X509] X.509, “Information technology - Open systems interconnection - The Directory: Public-key and attribute certificate
frameworks.” http://en.wikipedia.org/wiki/X.509

File - Internet Society

Transcription

Documents pareils

Voir l`interview - Speakers Academy

Séminaire CyberSécurité 2015

Communiqué journée Cybersécurité et Territoires à Fleurance le 3

Mastère spécialisé : expert forensic et cybersécurité

Cybersécurité - LesAffaires.com

atemi ju-jitsu - Ecole Atemi jujitsu EAJJ

Nicolas ARPAGIAN - Savoirs et Perspectives

Judo/ JuJutsu

Le test d`intrusion une valeur ajoutée