Livre blanc de la sécurité
50 pages
Français

Livre blanc de la sécurité

-

Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

Livre blanc de la sécurité
Version 1.0 du 5 avril 2002
En accompagnement des professionnels libéraux
pour une première approche de la sécurité sur internet
Commission Sécurité
Observatoire national de l’environnement internet
des professions libérales
En partenariat éditorial avec Adésium et Lexbase
1 Avant propos
par Thierry BOUCHARD, Président de l’Observatoire API-PL
Quoi de plus légitime que d'aspirer à la sécurité ? Le virtuel doit être aussi
sûr que le réel.
Déjà lors du premier Tour de France des professions libérales, en 2000, la
sécurité était l'un des premiers centres d'intérêt mis en évidence, avec la
formation.
Une Commission a donc été mise en place, aujourd’hui présidée par Alain STEVENS exerçant la
profession libérale de détective privé spécialisé en sécurité informatique.
Toutes les professions sont concernées, qu’elles soient du chiffre, du droit, de la santé, techniques ou
artistiques, réglementées ou non car c’est le respect du client qui est en jeu : lui garantir la
confidentialité et la conservation de ses informations est à la base de la relation de confiance établie
avec lui.
Les questions de “signature électronique” et de “cryptologie” ne sont toujours pas définitivement
réglées, les déontologies devant parfois tenir compte des contraintes techniques, l’inverse étant
également vrai.
Encore plus d’actualité, les virus font malheureusement - ou heureusement - toucher du bout de la
souris les questions de sécurité. Quoi de plus problématique qu’un ...

Sujets

Informations

Publié par
Nombre de lectures 108
Langue Français
Livre blanc de la sécurité Version 1.0 du 5 avril 2002 En accompagnement des professionnels libéraux pour une première approche de la sécurité sur internet Commission Sécurité Observatoire national de l’environnement internet des professions libérales En partenariat éditorial avec Adésium et Lexbase 1 Avant propos par Thierry BOUCHARD, Président de l’Observatoire API-PL Quoi de plus légitime que d'aspirer à la sécurité ? Le virtuel doit être aussi sûr que le réel. Déjà lors du premier Tour de France des professions libérales, en 2000, la sécurité était l'un des premiers centres d'intérêt mis en évidence, avec la formation. Une Commission a donc été mise en place, aujourd’hui présidée par Alain STEVENS exerçant la profession libérale de détective privé spécialisé en sécurité informatique. Toutes les professions sont concernées, qu’elles soient du chiffre, du droit, de la santé, techniques ou artistiques, réglementées ou non car c’est le respect du client qui est en jeu : lui garantir la confidentialité et la conservation de ses informations est à la base de la relation de confiance établie avec lui. Les questions de “signature électronique” et de “cryptologie” ne sont toujours pas définitivement réglées, les déontologies devant parfois tenir compte des contraintes techniques, l’inverse étant également vrai. Encore plus d’actualité, les virus font malheureusement - ou heureusement - toucher du bout de la souris les questions de sécurité. Quoi de plus problématique qu’un fichier client disparu, qu’une base de données modifiées ou qu’un répertoire d’adresses largement diffusé ? Il est donc nécessaire de sensibiliser les internautes et ceux qui ne le sont pas encore. Si des problèmes existent, des solutions aussi passant parfois par des précautions élémentaires mais négligées. L’Observatoire API-PL présente donc aujourd’hui la version 1.0 de son Livre blanc de la sécurité. Cette version est simple voire simplifiée afin d’être abordable en concernant dans un premier temps plus particulièrement la messagerie, généralement le premier usage que l’on a de l’internet. Le document n’est pas définitif : il est ouvert . Tout comme certains logiciels, il a pour vocation d’évoluer et d’être enrichi par les contributions des professionnels libéraux et des entreprises. Commandité par Adésium, l’un des premiers Membres Associés de l’Observatoire, le Livre blanc est une base de travail pour la Commission Sécurité. Des témoignages complèteront régulièrement les annexes. Une version 2.0 est d’ores et déjà prévue pour le mois de septembre 2002. Le Livre blanc de la sécurité sera en effet annexé au Rapport que l’Observatoire API-PL remettra au Premier ministre, en conclusion du Tour de France “Internet et les Professions libérales” parrainée pour la seconde fois par l'Association des Régions de France et désormais placé sous le Haut Patronage de la Présidence de la République, ainsi que parrainé par le Premier ministre, le Ministre de l'Industrie, des PME, du Commerce, de l'Artisanat et de la Consommation. L’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication partage cette préoccupation : il est nécessaire de sensibiliser les professions libérales aux risques et de les associer aux travaux de prévention. Le magazine Zataz (www.zataz.com) et Lexbase (www.lexbase.fr), éditeur de bases de données juridiques, sont d’autres partenaires éditoriaux : l’approche ludique et juridique est essentielle. Les premières auditions effectuées aux cours des deux premières étapes du Tour de France, à Paris le 28 mars et à Toulouse le 5 avril, confirment la place centrale de la sécurité. La version 1.0 est une base de réflexion, la version 2.0 un document de référence. 2 Introduction par Alain STEVENS, Président de la Commission Sécurité de l’Observatoire API-PL. Site personnel : www.investigations-online.com Lorsqu'un professionnel libéral fait l'acquisition d'un système informatique, d'un logiciel, lorsqu'il utilise les technologies d'Internet et du courrier électronique, il doit être informé des risques inhérents à ces outils. Or, c'est trop souvent après avoir été confronté à des situations critiques qu'il prend conscience de la réalité de ce risque : perte de données après un virus, vol d'informations confidentielles, réseau mal protégé.... Grâce aux nombreux kits de piratage disponibles sur Internet avec leur mode d'emploi, une personne mal intentionnée peut créer des dommages irréversibles, même sans connaissance en informatique. Un simple clic de souris, la visualisation d'une seule page Web, l'ouverture d'un document de type traitement de texte, sont parfois suffisants pour activer du code malveillant. Des ordinateurs connectés à Internet, même s'ils ne détiennent à priori aucun document confidentiel, peuvent quand même servir de relais pour des attaques de pirates, ou de serveur hébergeant du contenu illicite. Ce Livre Blanc permettra aux professionnels libéraux de prendre conscience de la nécessité de protéger leur système d'information. Bonne lecture… et participez librement aux travaux de la Commission. Contact : apipl@apipl.org La Commission Sécurité et l’éditeur Lexbase sont disposés à accueillir vos contributions pour la version 2.0 de ce Livre blanc. 3 SOMMAIRE Avant-propos de Thierry BOUCHARD, président de l’Observatoire API-PL....................... 2 Introduction d’Alain STEVENS, président de la Commission Sécurité............................... 3 Internet et professions libérales...................................................................................... 4 Insécurité sur internet : mythes et réalités....................................................................... 6 Risques, menaces et assaillants .................................................................................... 8 Quelles solutions ?.......................................................................................................13 Existe-t-il une problématique propre aux professions libérales ?......................................22 ANNEXES Mise à jour des annexes dans le site www.apipl.org Bibliographie française .................................................................................................23 Liens suggéres sources d’information............................................................................25 Exemples d’informations en ligne pour les pirates ..........................................................26 Définitions des virus .....................................................................................................27 Extraits de presse : Les risques du courrier.................................................................................................32 Spamming et mailbombing ...........................................................................................33 La criminalités des hautes technologies.........................................................................38 L’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication ........................................................................39 Les textes applicables ..................................................................................................41 Questionnaire et exemples de réponses........................................................................45 Pour aller plus loin dans la connaissance de l’environnement de l’Observatoire API-PL : Site institutionnel : www.apipl.org Codes de téléchargement du dossier « Bilan et Perspectives 1999-2002 » : « apipl » et « secure ». 4 Introduction : Internet et les professions libérales Internet est devenu un outil indispensable pour le professionnel libéral, qu’il utilise de nombreuses façons : - courrier électronique ; - site web ; - recherche d’informations ; - échanges d’informations. Il suffit de constater les ennuis provoqués par une absence provisoire de connexion pour apprécier cette utilité : le fonctionnement d’une entreprise, d’un cabinet ou d’une étude se trouve vite amoindri, voire paralysé. Que sa structure soit équipée d’un seul ordinateur, ou bien de plusieurs reliés en réseau, il est rare de ne pas se connecter au moins une fois par jour au « world wide web ». Ce phénomène ira sans nul doute en s’amplifiant, la barrière économique disparaissant. En effet, le développement du haut débit et la réduction des coûts de connexion va permettre progressivement une utilisation généralisée du Web. De plus, les produits on line procurent désormais des avantages concurrentiels forts. Les refuser « en bloc », par principe, peut constituer une véritable erreur de gestion. Utilisation généralisée donc, mais quelle utilisation ? A quelques exceptions près, le professionnel libéral n’est pas, loin de là, un expert en informatique. Et sa structure ne lui permet pas dans l’immense majorité des cas d’embaucher un salarié qui le serait à sa place. Il utilise par conséquent les outils et services « clés en main » qu’on lui fournit. A ceci près que, d’un côté, le potentiel de ces outils est souvent peu utilisé, et de l’autre, ce qui est plus grave, les risques inhérents à l’utilisation d’internet et du courrier électronique sont mal connus. Quelques illustrations : En fonction de la configuration de votre ordinateur, le simple fait de consulter un site Internet entraîne des actions réelles sur des fichiers ou des disques durs : - la création d’un répertoire sur votre disque C : http://www.investigations-online.com/doc/createfolder.html - l’écriture d’un fichier sur votre disque C : http://www.investigations-online.com/doc/ecrirefichier.html - l’envoi de votre adresse email : http://www.investigations-online.com/securite/envoimail2.html La notion de sécurité englobera dans ce projet de Livre blanc la sécurité de l’entreprise et de ses systèmes d’information. Elle ne peut pas se résumer par un ensemble de produits et de services. Elle doit faire partie d’un processus global, qui intervient à tous les niveaux de l’entreprise libérale. 5 I/ Insécurité sur Internet : mythes… et réalités A/ Des mythes sur l’insécurité et sur la sécurité… Chaque nouvelle affaire de piratage connue est largement répercutée par les média, contribuant ainsi à façonner un fort sentiment d’insécurité. On peut rapprocher cette situation des derniers événements relatifs à des agressions de personnes : les problèmes, parfois très graves, existent. Faut-il pour autant que tout individu se sente en danger lorsqu’il quitte son domicile ? Pour l’utilisateur commun, il existe ainsi toujours un risque informatique, dont les conséquences seront en général limitées. Par exemple, pris sous un angle purement quantitatif, l’essentiel des souches virales ne sont pas libérées sur Internet, et quand bien même elles le sont, la majorité de ces virus ne sont pas « efficaces », sous réserve bien sûr d’être un minimum protégé. De plus, les attaques lancées par les pirates sont, le plus souvent, ni ciblées, ni destinées à atteindre un intérêt particulier. Elles sont tout simplement assimilables à des actes de vandalisme (ou pour ceux qui les commettent à des « défis » ou des « exploits »)… ce qui n’en diminue d’ailleurs pas les effets. Parallèlement, des certitudes malheureuses existent aussi concernant la protection. Nombreux sont les utilisateurs d’Internet qui estiment qu’un « bon anti-virus » constituera une cuirasse absolue (d’ailleurs quel antivirus : internet ou e-mail ?). Les faits invitent d’ailleurs à la prudence. Selon une récente étude publiée dans Le nouvel hebdo (n° 54, 15-21 mars 2002), le virus « I love you » aurait créé 8, 75 milliards de dollars de dommages… B/ …aux réalités Plusieurs éléments concourent à accroître les risques d’insécurité sur Internet : - un contexte international et concurrentiel propice à l’insécurité : développement des échanges, besoins d’informations… ; - un contexte organisationnel propice à la tentation : tout le savoir de l’entreprise est concentré sur un disque dur ; - les logiciels malveillants sont plus malins. Ainsi, selon Computer Economics (cité par Le nouvel hebdo n° 54 du 15-21 mars 2002), l’impact des attaques informatiques sur l’économie américaine se chiffre en milliards de dollars. Plus précisément pour 2000, à 17,1 milliards et pour 2001, à 13,2 milliards. Pour lutter contre ce phénomène croissant, le Sénat américain a récemment voté un projet de loi dit Commerce-Justice-State, engageant 41, 6 milliards de dollars pour lutter contre la cybercriminalité (c’est-à-dire également la lutte contre la pédophilie ou le détournement de droit d’auteurs) (source : Safer Internet, n° 9, décembre 2001). L’Europe de son côté a lancé un programme intitulé « Plan d’action pour un internet plus sûr ». Et les Etats européens eux-même mettent en place des politiques volontaristes dans ce domaine. Les institutions et les Etats agissent donc. Pour autant, les acteurs économiques ne peuvent se dispenser d’actions « personnelles ». Parmi ces acteurs, le professionnel libéral est particulièrement exposé, étant souvent détenteurs d’informations confidentielles. Aussi, en réalité, lorsque l’on évoque le professionnel libéral, il faut entendre au delà : - ses collaborateurs ; - ses clients ; - ses fournisseurs ; - les administrations avec lesquelles il échange des informations. 6 Illustration : le client En quoi un client pourrait-il être concerné par la sécurité d’un professionnel ? En fonction de sa spécialité, ce dernier détient des informations confidentielles le concernant. Par exemple : - données médicales, numéros de Sécurité sociale ; - comptes bancaires, numéro de carte bleue ; - données comptables, situations comptables provisoires ; - soumission à un appel d’offre ; - stratégie commerciale. Si ces données sont captées par le biais d’Internet, les clients risquent de subir un préjudice immédiat. Par exemple : - chantage concernant la divulgation de maladies - détournement de fonds - espionnage commercial En réalité, il est très facile pour une personne malveillante de causer des dommages dans un système d’information. Par exemple, des kits de piratages avec mode d ‘emploi sont disponibles en téléchargement. Autre « phénomène de mode », le recours de pirates situés dans les pays de l’Est, efficaces… et bon marché ! Sans aller jusque là, le simple vol d’un ordinateur portable lors d’un déplacement professionnel apportera des informations primordiales à qui voudrait s’en servir. Le professionnel libéral est avant tout un spécialiste dans son activité : la santé, le droit, l’art, les chiffres…. Doit-on lui demander de suivre une formation en sécurité informatique ou faut-il lui donner des outils de travail sécurisés ? Illustration : Vous installez un Firewall comme Zone Alarm. Au cours de vos séances de surf, il ne manquera pas de vous signaler des événements à priori anormaux : tentatives d’intrusion, mais aussi les tentatives d’envoi de données vers l’extérieur. 7 II/ Risques, menaces et assaillants A/ Les risques http://www.investigations-online.com/securite/indexsecu.html Que deviendrait un professionnel libéral perdant ou se faisant « aspirer » toutes les données de son disque dur ? Les dégâts seraient considérables. Pourtant, les risques existent dès qu’on allume son ordinateur. Avec des conséquences non négligeables : - des risques de procès à cause de divulgation d’information, d’absence de protection des données ; - des pertes financières en cas de disparition des données de facturation ; - une perte de marchés importants ; - une atteinte à la notoriété. 1°) les principaux risques encourus - l’atteinte à la vie privée et à l’identité : cookies, contrôles active x, scripts, usurpation d’identité… - l’escroquerie et la fraude  - l’atteinte à la confidentialité des données : interception, divulgation d’information… - l’attaque : virus, vers, chevaux de Troie, les macro-virus, les kits de piratage - perte de temps : fausses informations, spam • Usurpation d’identité En l’absence de signature électronique, l’e-mail a déjà été utilisé dans des affaires d’usurpation d’identité. Il est techniquement facile de maquiller le champ « expéditeur », et de se faire envoyer des informations confidentielles. Illustration : Un secrétaire d’un cabinet d’avocats reçoit un e-mail apparemment envoyé par Maître Martin, lui demandant de lui envoyer en pièce jointe un important dossier sur une nouvelle adresse du type Yahoo. Résultat : des pièces confidentielles envoyées et quelques secondes. • Escroquerie Les professionnels disposant de disponibilités à investir peuvent être tentés par des pseudo bonnes affaires. Illustration : Un site propose des placements à des taux défiant toute concurrence. L’argent devant être investi est envoyé par virement sur un compte aux Etats-Unis. Le temps de se rendre compte de l’escroquerie, toutes les traces ont disparu. • Logiciel espion Certains logiciels employés dans le cadre de cybersurveillance peuvent être installés à l’insu du professionnel sur sa machine. Pour un exemple, voir : http://www.investigations-online.com/cybersurv/image2.html Toutes les frappes au clavier seront enregistrées : les documents confidentiels, les codes carte bleue, les codes d’accès, les identifiants de messagerie, les codes FTP… 8 • Les Chevaux de Troie Ces logiciels se cachent derrière une autre application, et permet par exemple de prendre l’accès complet à distance d’un ordinateur. Illustration Mme Durant est secrétaire d’un important cabinet médical. Elle reçoit par e-mail un message semblant venir de son hébergeur, lui demandant d’installer une importante mise à jour pour son logiciel de courrier électronique. Elle double-clique sur la pièce jointe et installe ce programme. Elle ne constate aucune modification. Pourtant, elle a installé sans le savoir une application qui avertit un pirate distant sans passer par sa messagerie, et lui donne l’accès complet à la machine. Il pourra à distance copier des documents, les modifier, les supprimer… • SPAM Une boite aux lettres peut très vite être submergée de messages publicitaires sans aucun intérêt. Illustration. Dans un cabinet comptable, la plupart des collaborateurs utilisent une seule adresse de messagerie pour les courriers, les réponses à des formulaires, les contributions à des forums de discussion… Des logiciels spécialisés parcourent le web en permanence à la recherche de ces adresses, qui remplissent d’énormes bases de données, plusieurs fois revendues. Il est fort probable qu’un jour ou l’autre la messagerie soit encombrée de plusieurs dizaines de messages par jour. • Les macro virus Avec les logiciels bureautique comme Word et Excel , il est possible d’inclure des lignes de codes de programme à l’intérieur de documents. Illustration Une secrétaire reçoit par courrier électronique un document Word. Lorsqu’elle l’ouvre, une boîte de dialogue l’informe que ce document contient une macro. Ne connaissant pas ce terme technique, et constatant qu’elle n’ouvre pas un programme, elle continue à l’ouvrir. Le code malveillant peut ainsi agir. 2°) les points de vulnérabilité - les utilisateurs - le matériel - les logiciels - l’accès aux données : accès à distance, mots de passe, sécurité en général • Les utilisateurs Moins un collaborateur sera formé aux risques liés à Internet et au courrier électronique, plus il sera amené à commettre des erreurs comportant des risques. Illustration : 5 minutes avant la fermeture de son bureau, le vendredi soir, un(e) collaborateur(trice) reçoit un message téléphonique d’une personne affirmant être du service informatique. Il donne tellement de détail sur l’équipement et le personnel qu’il n’y a aucune raison de se méfier. Il précise qu’une importante sauvegarde doit être faite pendant la nuit, et qu’il doit vérifier les codes d’accès au réseau pour les modifier. Le (la) collaborateur(trice) s’exécute. En fait, il s’agissait d’une personne extérieure à l’entreprise, qui avait pu collecter des informations précises sur le site Internet de la société, et tromper la vigilance du secrétariat. Elle a ainsi pu consulter des données confidentielles pendant tout le week-end sans être dérangée. 9 • Le matériel Un ordinateur est un outil idéal pour espionner une entreprise. Illustration : Un cabinet d’avocats confie régulièrement à une boutique d’informatique la réparation et la maintenance de leurs PC. Si les documents ne sont pas cryptés, des personnes peu scrupuleuses auront tout loisir de réaliser des copies intégrales du disque, d’y introduire des programmes espion. Il faut aussi veiller au matériel d’occasion. Illustration : Un expert comptable envisage de changer son parc informatique. Il revend tous ses vieux ordinateurs. Aura-t-il le réflexe de formater les disques durs ? Des logiciels permettent de récupérer des données même après formatage. Aura-t-il pensé à détruire de façon sûre les données comptables ? • Les logiciels Pour des raisons de coût, les développeurs de logiciels n’intègrent pas toujours la dimension sécurité dans leur philosophie. Certains défauts de conception peuvent entraîner des brèches de sécurité. •Les mots de passe http://www.investigations-online.com/exo/zipcode.html Pourquoi faciliter le « travail » des pirates ? Beaucoup de personnes commettent des erreurs dans le choix de leurs mots de passe en prenant des termes faciles à retenir: - noms des enfants ; - noms des animaux ; - dates de naissance ; - mots standards ; - couleur ; - ville ; - code postal ; - un mot qui concerne la vie privée, les loisirs… La manière la plus classique qu'un pirate va utiliser pour d'obtenir un mot de passe est celle de l’attaque de type dictionnaire. Dans ce genre d'attaque, il utilise un dictionnaire de mots et de noms propres, et il les essaie un à un pour vérifier si le mot de passe est valide. L’autre type d’attaque est de type force brute. Des logiciels vont tenter de multiples combinaisons de lettres et de chiffres jusqu’à l’obtention du résultat. 3°) la mesure du risque La sécurité consiste surtout à anticiper les risques, qui augmentent avec le nombre d’utilisateurs dans l’entreprise, de logiciels installés, de connexions à Internet et au réseau. Quels sont les éléments les plus vulnérables : • La confidentialité Une attaque de pirate, une mauvaise manipulation lors d’un envoi de courrier électronique, un virus, sont susceptibles de transmettre des informations non autorisées à des tiers. Ces fuites d’informations sont d’autant plus dangereuses qu’elles sont difficilement détectables. • L’intégrité Un document informatisé, comme un fichier de type traitement de texte ou tableur, est constitué d’une série de 0 et de 1. Une simple modification dans cette série de chiffre entraînera une modification du document original : 10