Académique Documents
Professionnel Documents
Culture Documents
Cyber Security F
Cyber Security F
internationale
des
tlcommunications
Guide
de la cyberscurit
pour les pays en
dveloppement
Imprim en Suisse
Genve, 2006
Union
internationale
des
tlcommunications
Union
internationale
des
tlcommunications
Guide
de la cyberscurit
pour les pays en
dveloppement
UIT 2006
Tous droits rservs. Aucune partie du prsent rapport ne peut tre reproduite sous quelque forme que
ce soit, sans l'autorisation crite pralable de l'UIT.
Les dnominations et classifications employes dans le prsent rapport n'impliquent l'expression
d'aucune opinion de la part de l'Union internationale des tlcommunications concernant le statut
juridique ou autre de tel ou tel territoire, ni l'acceptation ou l'approbation d'une quelconque frontire.
Le terme pays utilis dans le prsent rapport dsigne un pays ou un territoire.
Dni de responsabilit
Les rfrences faites des pays, socits, produits, initiatives ou directives spcifiques nimpliquent
pas que lUIT approuve ou recommande ces pays, socits, produits, initiatives et directives, de
prfrence dautres, de nature similaire, mais dont il nest pas fait mention. Les opinions exprimes
dans cette publication sont celles de lauteur et nengagent pas lUIT.
PRFACE
Hamadoun I. Tour
Directeur
Bureau de dveloppement des tlcommunications
Prface
iii
AVANT-PROPOS
La Confrence mondiale de dveloppement des tlcommunications a charg le BDT, travers le
Programme cyberstratgies et cyberservices/applications, de concevoir des outils visant faciliter
lchange dinformations sur les meilleures pratiques, les technologies et les questions de politique
gnrale. Cest dans ce cadre, et afin de rpondre lune des priorits de ce Programme qui consiste
renforcer la scurit et la confiance dans lutilisation des rseaux publics pour les
cyberservices/applications, que le guide de la cyberscurit pour les pays en dveloppement a t
prpar.
Ce guide a t labor dans le but de fournir un outil aux pays en dveloppement pour leur permettre
de mieux comprendre certains enjeux lis la scurit des technologies de linformation, ainsi que des
exemples de solutions mises en place par dautres pays pour faire face ces problmes. Il cite
galement des rfrences permettant dobtenir de plus amples renseignements sur le sujet de la
cyberscurit. Ce guide ne constitue pas un document ou un rapport exhaustif sur le sujet, mais vise
souligner les principaux problmes que rencontrent actuellement les pays qui veulent bnficier des
avantages offerts par la socit de linformation.
Son contenu tient compte des besoins des pays en dveloppement et des pays les moins avancs dans
lutilisation des technologies de linformation et de la communication pour offrir des services de bases
dans diffrents secteurs, et de limportance de dvelopper la capacit locale et une conscience accrue
de toutes les parties prenantes.
Lors de llaboration du contenu et afin dviter toute duplication dans le traitement des thmes, les
travaux dj raliss par le Commission dtudes 17 de lUIT-T et les autres travaux et publications
relatifs ce domaine ont t dment pris en compte.
Ce guide a t labor par Mme Solange GHERNAOUTI-HELIE, Professeur lUniversit de
Lausanne, qui a travaill en tant quexpert UIT en collaboration troite avec et sous la supervision de
M. Alexander NTOKO, Chef de lUnit des e-stratgies du BDT.
iv
Avant-propos
RSUM
Enjeux de socit, enjeux conomiques, enjeux politiques, enjeux humains, quelle soit dnomme
scurit de linformatique et des tlcoms ou cyberscurit, la scurit informationnelle touche la
scurit du patrimoine numrique et culturel des individus, des organisations et des nations. Enjeux
complexes dont la satisfaction passe par une volont politique de dfinir et de raliser une stratgie de
dveloppement des infrastructures et services du numrique (e-services) qui intgre une stratgie
pluridisciplinaire de la cyberscurit cohrente, efficace et contrlable.
Obtenir un niveau de scurit informatique suffisant pour prvenir les risques technologique et
informationnel est primordial pour le bon fonctionnement des Etats et des organisations. En effet,
ladoption des technologies du numrique, la dpendance des organisations et des Etats ces mmes
technologies et linterdpendance des infrastructures critiques, introduisent un degr de vulnrabilit
non ngligeable dans le fonctionnement normal des Institutions. Ceci peut mettre en pril leur
prennit ainsi que la souverainet des Etats.
Lobjet de la cyberscurit est de contribuer prserver les forces et les moyens organisationnels,
humains, financiers, technologiques et informationnels, dont se sont dotes les Institutions, pour
raliser leurs objectifs. La finalit de la scurit informatique est de garantir quaucun prjudice ne
puisse mettre en pril leur prennit. Cela consiste diminuer la probabilit de voir des menaces se
concrtiser, en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour un
fonctionnement normal des cots et des dlais acceptables en cas de sinistre.
La dmarche de cyberscurit est un projet de socit dans la mesure o chacun est concern par sa
ralisation. Sa validit sera renforce si une cyberthique, un comportement cohrent vis--vis des
technologies de linformation est dveloppe et si une vritable politique de scurit stipule ses
exigences de scurit envers les utilisateurs (acteurs, partenaires, prestataires) des nouvelles technologies.
Pour mettre en place une dmarche de cyberscurit, il est important de pouvoir identifier
correctement les valeurs et les biens protger afin de circonscrire le primtre de scurit mettre en
place pour les protger efficacement. Ceci implique une approche globale, pluridisciplinaire et
systmique de la scurit. La cyberscurit nest pas compatible avec un monde libertaire, fluide et
non contrl. Il faut tablir des grands principes d'thique, de responsabilit, de transparence au travers
dun cadre lgal appropri et mettre en vigueur des rgles du jeu ralistes. Celles-ci doivent tre
applicables non seulement localement mais aussi par l'ensemble de la communaut internationale et
compatibles avec les directives internationales existantes.
Afin de ne pas contribuer favoriser le dveloppement de la criminalit, les infrastructures de tlcommunication mises en place doivent intgrer des mesures de scurit adaptes tant sur le plan
technique que juridique. Les cyberattaques prennent diverses formes prise de contrle clandestine
d'un systme, dni de service, destruction ou vol de donnes sensibles, hacking (piratage de rseau de
tlcommunication), cracking (craquage de protections logicielles des programmes), phreaking
(sabotage, prise de contrle de centraux tlphoniques), etc. et ont toutes des consquences ngatives
pour les organisations ou individus qui en sont victimes.
Considres comme un systme, les tlcommunications (infrastructures et services) rpondent une
problmatique de scurit peu diffrente de celle des ressources informatiques, dont la rsolution
rpond aux mmes impratifs techniques, organisationnels et humains. Protger les informations lors
de leur transfert est ncessaire mais ne suffit pas car ces dernires sont tout aussi vulnrables, sinon
plus, lorsquelles sont traites et mmorises. Ainsi, la cyberscurit doit sapprhender dune manire
globale. Des solutions scuritaires dordre uniquement technologique ne peuvent pas suppler un
Rsum
manque de gestion cohrente et rigoureuse des besoins, mesures, procdures et outils de la scurit. La
prolifration dsordonne doutils de scurit ne peut quentraver lusage, qualourdir lexploitation ou
encore dgrader les performances des ressources informatiques. La matrise de la scurit
informatique est une question de gestion dont les outils et les services de scurit constituent une
partie lie ladministration oprationnelle des systmes. Ainsi par exemple, chiffrer des donnes
pour les rendre incomprhensibles lors de leur transmission ne sert rien, si par la suite, elles sont
stockes de manire non scurise. De mme, la mise en place dun firewall est de peu dutilit si des
connexions peuvent stablir sans passer par ce systme.
Le dveloppement des activits bases sur le traitement de linformation permettant une rduction de
la fracture digitale passe par la mise disposition:
de politiques dassurance;
des instances de justice et de police comptentes dans le domaine des nouvelles technologies
et capables de cooprer au niveau international avec leurs homologues;
doutils de mise en uvre de la scurit qui permettent de dvelopper la confiance dans les
applications et services offerts (transactions commerciales et financires, e-sant,
e-gouvernement, e-vote, etc.) et dans les procdures qui permettent le respect des droits de
lHomme notamment pour ce qui concerne les donnes caractre personnel.
vi
Rsum
PARCOURS DE LECTURE
En guise dintroduction la cyberscurit, laccent est mis sur ce qui a chang avec les technologies
du numrique, la dmatrialisation des informations et lusage extensif des rseaux de tlcommunication. Les enjeux pour lvolution des socits sont prsents pour introduire la notion dimpratif
de scurit informatique et tlcom (cyberscurit).
La section une de ce manuel sintresse principalement aux besoins et lments de solution de la
cyberscurit. Ainsi, le contexte de la scurit des infrastructures de communication est analys la
lumire du constat de la vulnrabilit et de ltat dinscurit associ aux technologies de linformation
et des communications. En tirant partie des enseignements issus des meilleures pratiques, de la ralit
quotidienne de la scurit du monde de l'internet et de lexprience acquise par la communaut
internationale, les besoins en termes de cyberscurit pour les pays en dveloppement sont identifis.
La cyberscurit est analyse selon ses dimensions managriales, politique, conomique, sociale
juridique et technologique. Sont identifies des recommandations gnriques respecter lors de la
mise disposition dinfrastructures de tlcommunication afin de matriser les risques, quils soient
dorigine criminelle ou non, et pour contribuer dvelopper la confiance envers les e-services,
moteurs du dveloppement conomique.
La section deux adresse la problmatique de la matrise de la cybercriminalit. Elle traite des lments
qui favorisent lexpression de la criminalit afin de mettre en vidence les limites des solutions
actuelles de scurit et de lutte contre la cybercriminalit ainsi que la complexit et de lenvergure du
problme rsoudre.
Les diffrents dlits et crimes ralisables via linternet sont prsents, notamment sous langle de la
criminalit conomique. Une analyse des comportements criminels, comme le profil des
cybercriminels, ainsi que les caractristiques gnrales des cyberattaques et des programmes
malveillants illustrent cette partie. Des lignes directrices sont identifies pour se prparer la menace
dorigine cybercriminelle.
La section trois, aprs avoir rappel les fondamentaux du monde des tlcommunications, propose une
approche fonctionnelle ainsi quune mise en perspective critique des outils de la scurit des
infrastructures.
Une approche globale de la cyberscurit qui intgre les diffrents aspects du droit des nouvelles technologies ainsi que quelques perspectives de dveloppent pour la mise en place de solutions de scurit
des infrastructures de communication sont donnes en section quatre.
Un glossaire des termes de la scurit ainsi que diverses rfrences et documents concluent ce guide
de la cyberscurit.
Parcours de lecture
vii
REMERCIEMENTS
viii
Remerciements
I.1.1.1
Information numrique...............................................................................
I.1.1.2
I.1.1.3
I.1.1
I.1.2
I.1.2.1
I.1.2.2
I.2.2
I.2.3
I.2.4
I.2.4.1
I.2.4.2
I.2.4.3
I.2.4.4
I.2.5
I.2.5.1
I.2.5.2
I.2.5.3
ix
Page
I.2.6
I.2.6.1
I.2.6.2
I.2.7
I.2.8
I.2.9
I.2.9.1
I.2.9.2
I.2.9.3
I.2.9.4
Disponibilit.............................................................................................. 21
I.2.10.2
Intgrit .................................................................................................... 21
I.2.10.3
Confidentialit ........................................................................................... 22
I.2.10.4
I.2.10.5
I.2.10.6
Scurit physique....................................................................................... 23
I.2.10.7
II.1.2.2
II.1.2.3
II.1.2.4
II.1.2.5
II.1.2.6
Page
II.1.8 Programmes indsirables ou malveillants ............................................................... 36
II.1.8.1
Spam ........................................................................................................ 36
II.1.8.2
II.1.8.3
Tendances ................................................................................................. 39
II.1.9.2
II.1.9.3
Contrefaon............................................................................................... 40
II.1.9.4
II.1.9.5
II.1.10
II.1.11
III.1.3.2
III.1.3.3
III.1.5.2
III.1.5.3
xi
Page
Chapitre III.2 Outils de la scurit .................................................................................. 60
III.2.1 Chiffrement des donnes. ...................................................................................... 60
III.2.1.1
Chiffrement symtrique.............................................................................. 60
III.2.1.2
III.2.1.3
III.2.1.4
III.2.1.5
III.2.1.6
III.2.1.7
III.2.1.8
III.2.1.9
III.2.2.2
III.2.2.3
III.2.8.2
Protection .................................................................................................. 74
III.2.9.2
Gestion ..................................................................................................... 75
xii
IV.1.1.1
IV.1.1.2
IV.1.1.3
IV.1.1.4
Page
IV.1.2 Cybercommerce et ralisation de contrats dans le cyberespace ................................. 81
IV.1.2.1
IV.1.2.2
IV.1.2.3
Signature lectronique................................................................................ 83
IV.1.2.4
IV.1.2.5
IV.1.3.2
IV.1.3.3
IV.1.3.4
IV.1.3.5
IV.1.3.6
IV.1.4.3
IV.1.4.4
IV.1.4.5
IV.1.5.2
Cybercontrat.............................................................................................. 93
IV.1.5.3
IV.1.5.4
IV.1.5.5
IV.1.5.6
IV.1.5.7
IV.1.5.8
IV.2.6.2
xiii
IV.2.6.3
Page
Lignes directrices pour scuriser un systme de messagerie .......................... 98
IV.2.6.4
xiv
F.1
F.2
F.3
SECTION I
CONTEXTE DE LA CYBERSCURIT
ENJEUX ET LMENTS DE SOLUTION
Numrisation
Les technologies informatiques transforment notre faon de concevoir et de raliser lensemble des
activits humaines. Elles induisent des modifications structurelles importantes car tous les objets sont
devenus manipulables lectroniquement au travers de linformation les modlisant.
I.1.1.1
Information numrique
La technique de numrisation cre une image digitale ou double virtuel ou encore double numrique
des entits existantes. Quelle que soit sa nature (voix, donnes, image), toute information est
numrisable et possde une reprsentation homogne, cest--dire uniforme.
Linformation nest plus associe physiquement son contenant, cest--dire son support de
reprsentation et de stockage. Sa valeur ajoute provient directement de linformation elle-mme
(contenu ou content); en effet, les cots de diffusion et de mmorisation de linformation sont peu
levs par rapport ceux de sa conception (Figure I.1). De plus, les donnes peuvent tre localises et
traites simultanment plusieurs endroits. Ainsi, tant dupliquables linfini et de faon parfaite, la
notion de donnes originales perd son sens, ce qui peut poser des problmes relatifs la notion de
protection des droits dauteur.
Figure I.1 Dmatrialisation et information numrique
Vulnrablits
INFORMATION IMMATERIELLE
reprsentation
Contenu
Vulnrablits
signification
Contenant
SUPPORT PHYSIQUE
I.1.1.2
01001
11010
00010
01011
11110
Mmoire
vive,
Disque dur,
CD-ROM,
Onde
hertzienne,
etc.
Technologies numriques
Toutes les disciplines, tous les domaines dactivits, tous les mtiers se trouvent affects par cette
nouvelle dimension de traitement de linformation. La dtermination de la valeur aussi bien que les
modes de production, depuis la conception des produits jusqu leur distribution, se sont ces dernires
annes progressivement modifis. Cela a conduit une rorganisation des chanes de valeur entre les
diffrents acteurs conomiques.
I.1.1.3
Infrastructures et contenu
I.1.2
Rvolution informationnelle
Innovation et dveloppement
Seules les capacits dinnovation et dadaptation rapide, sous-tendues par un systme dinformation
performant et scuris, permettent aux organisations et aux Etats de rester prennes et de se
positionner comme acteur du nouvel environnement concurrentiel.
De nouveaux territoires dactivits se sont ouverts par la diversification des tlcommunications et les
possibilits offertes par linformatique tendue qui doivent aussi profiter aux pays en dveloppement.
Les volutions technologiques et conomiques possibles partir de dploiement dinfrastructures
informatiques fiables sont porteuses de promesses pour les peuples. En contrepartie, elles introduisent
une dimension de complexit technologique et de gestion sans prcdent. Ceci peut conduire un
risque technologique majeur quil faut savoir matriser, faute de quoi toute ide dvolution naurait
aucun sens. Un risque technologique: dfaillance des systmes de traitement de linformation et des
communications lie un dysfonctionnement accidentel ou provoqu. Au risque technologique est
corrl le risque informationnel qui exprime une atteinte la capacit dexploiter les informations de
lorganisation.
Il est important de relever que si laccs linformatique est large et en croissance, une frange non
ngligeable de la population se trouve exclue de la rvolution informationnelle. Cet tat de fait trouve
ses justifications diffrents niveaux aussi bien culturels que financiers, et peut dans certains cas tre
li des difficults de base comme lillettrisme. Dmocratiser les technologies de linformation par
des actions de formation et lducation ont, dans ce domaine plus que dans tout autre, un rle jouer
dans la lutte contre linfo-exclusion. Cela ncessite galement de repenser les interfaces de
communication afin de desservir aux mieux les populations et respecter les diversits culturelles
contextuelles. Loutil informatique doit sadapter aux environnements humains dans les lesquels il doit
sintgrer et nom imposer un nouvel ordre communicationnel.
I.1.2.2
Les technologies de linformation et de communication sont, comme toute technique, conues et mises
en uvre dans un espace temporel et gographique dtermin, rvlant normalement un certain
quilibre de la socit. Il est de la responsabilit des hommes daccompagner la rvolution
informationnelle en la dotant doutils, de procdures, de lgislation et dune thique scuritaire
satisfaisant sa ralisation, et correspondant aux attentes et aux besoins de la socit.
On ne peut que constater quil existe une multitude de rglementations incompltes relatives
lutilisation des diffrents mdias de communication, aux liberts dmission et de rception de
messages issues de lUIT (Union internationale des tlcommunications), de lUnesco, de lONU, de
lOCDE, du Conseil de lEurope, etc. Un dcalage important sest cr entre la situation actuelle
concernant le dveloppement et lusage des technologies de linformation et des communications, et
ltat des rglements. Un cadre juridique appropri doit donc tre mis en place pour tenir compte
notamment de laterritorialit des rseaux comme internet, des problmes de responsabilit, de respect
de la vie prive et de la proprit. Lvolution technologique doit tre associe une volution dordre
social, politique et juridique. Ces quelques regards jets sur lre informationnelle relvent
limportance des enjeux de sa matrise, du rle prpondrant des tlcommunications dans sa
ralisation et dun besoin de scurit qui ne doit pas tre un frein au dveloppement.
Le passage lre informationnelle rvle limportance des technologies de linformation et de leur
matrise. En considrant les dimensions nouvelles quelles introduisent sur les plans techniques et
socio-conomiques, la ncessit dassurer la scurit des systmes et infrastructures informatiques et
de tlcommunications, est devenue fondamentale. Elle souligne le caractre stratgique et critique de
la gestion et de la mise en uvre de la cyberscurit, tant pour les Etats, les organisations que pour
lindividu.
Dans la mesure o les Etats ont effectu des efforts financiers, matriels et humains importants pour
raliser leur infrastructure informatique et de tlcommunication, il est primordial quils se dotent des
moyens permettant de les scuriser, de les grer et de les contrler.
On assiste de nos jours une prise en considration croissante des besoins de matrise des risques
informatiques oprationnels du fait de lusage extensif des nouvelles technologies, de lexistence
dune infrastructure informationnelle globale et de lmergence de nouveaux risques.
La transformation des socits en socit de linformation autorise par lintgration des nouvelles
technologies dans toutes les activits et infrastructures accrot la dpendance des individus, des
organisations et des Etats aux systmes dinformation et aux rseaux. Cela constitue un risque majeur
qui doit tre adress comme un risque scuritaire.
Les pays en dveloppement sont confronts la problmatique de la ncessit de faire partie de la
socit de linformation en prenant en considration le risque de leur dpendance vis--vis des technologies et des fournisseurs de ces technologies et en pensant que la fracture digitale existante ne doit
pas se doubler dune fracture scuritaire encore moins dune dpendance plus forte des entits qui
contrleraient leurs besoins et moyens de scurit des technologies de linformation1.
Les infrastructures de tlcommunication et les services et activits quelles permettent de dvelopper
et de gnrer doivent tre penss, conues, mise en place et gres en termes de scurit. La scurit
est la pierre angulaire de toute activit et doit tre vue comme un service permettant de crer dautres
services et de gnrer de la valeur (e-gouvernement, e-sant, e-ducation, etc.). Au-del des technologies2. Or jusqu prsent, les outils de communication basiques mis disposition, nintgrent pas des
moyens suffisants et ncessaires la ralisation ou la garantie dun niveau minimal de scurit.
Les systmes informatiques mis en rseau sont des ressources accessibles distance et deviennent des
cibles potentielles dattaques informatiques. Cela accrot les risques dintrusion des systmes et offre
un terrain favorable la ralisation, la propagation des attaques et des dlits. Au-del des systmes
attaqus ce sont les informations quils manipulent qui sont convoites (Figure I.2). Les attaques
portent atteintes la capacit traiter, sauvegarder, communiquer le capital informationnel, aux
valeurs immatrielles et aux symboles, aux processus de production ou de dcision de ceux qui les
possdent. Les systmes informatiques introduisent un risque oprationnel dans le fonctionnement des
institutions qui les possdent.
Ainsi, les rseaux de tlcommunication et louverture des systmes posent des problmes de scurit
informatique complexes et multiformes, relativement difficiles matriser et qui peuvent avoir des
consquences et impacts critiques pour le fonctionnement des organisations et des Etats. De la
capacit matriser la scurit des informations, des processus, des systmes, des infrastructures
dpend les facteurs critiques de succs des conomies.
Linterconnexion extensive des systmes, linterdpendance des infrastructures, laugmentation de la
dpendance aux technologies du numrique, des menaces et des risques, ncessite de doter les
individus, les organisations, et les Etats de mesures, procdures et outils qui autorise une meilleure
gestion des risques technologique et informationnel. Les enjeux de la matrise des risques technologiques sont ceux du XXIe sicle et sont apprhender de manire globale au niveau internationale en
intgrant dans la dmarche scuritaire des pays en dveloppement.
1 S. Ghernaouti-Hlie: From digital divide to digital unsecurity: challenges to developp and deploy an unified e-security
framework in a multidimensional context. International cooperation and the Information Society, chapitre de l'annuaire
Suisse de politique de dveloppement. Iud publications. Genve, Novembre 2003.
2 A. Ntoko: Mandate and activities in cybersecurity ITU-D. WSIS Thematic meeting on cybersecurity. ITU Genve
28 juin 1er juillet 2005.
6
Interception
Ecoute
Modification
Interruption
Fabrication
Deni de service
DISPONIBILITE
AUTHENTICITE
INTEGRITE
CONFIDENTIALITE
Ce nest pas suffisant de mettre disposition des points daccs aux rseaux de tlcommunication, il
est impratif de dployer des infrastructures et des services informatiques fiables, maintenables,
robustes et scuriss, en respect des droits fondamentaux des personnes et des Etats. La protection des
systmes et des valeurs informations doit tre complmentaire et en harmonie avec la protection des
individus et de leur intimit numrique (privacy)
Entrer dans la socit de linformation sans risque excessif et en tirant partie des expriences issues
des pays dvelopps, sans pour autant que la cyberscurit constitue un facteur supplmentaire
dexclusion, sont de nouveaux dfis des pays en dveloppement.
I.2.2
Enjeux de la cyberscurit
Enjeux de socit, enjeux conomiques, enjeux politiques, enjeux humains, quelle soit dnomme
scurit de linformatique et des tlcoms ou cyberscurit, la scurit informationnelle touche la
scurit du patrimoine numrique et culturel des individus, des organisations et des nations
(Figure I.3). Enjeux complexes dont la satisfaction passe par une volont politique de dfinir et de
raliser une stratgie de dveloppement des infrastructures et services du numrique (e-services) qui
intgre une stratgie de cyberscurit cohrente, efficace et contrlable. Celle-ci se doit sinscrire dans
une approche pluridisciplinaire et des solutions dordre ducative, juridique, et managrial et
technique doivent tre mise en place. Ainsi, en apportant une rponse adquate aux dimensions
humaine, juridique, conomique et technologique des besoins de scurit des infrastructures
numriques, la confiance pourrait sinstaurer et gnrer un dveloppement conomique profitable
tous les acteurs de la socit.
La matrise du patrimoine numrique informationnel, la distribution de biens intangibles, la
valorisation des contenus ou la rduction de la fracture numrique par exemple, sont autant de
problmes dordre conomique et social, dont la rsolution ne pourra tre rduite la seule dimension
technologique de la scurit informatique.
Attaque smantique
Manipulation dinformation
Destruction dinformation
Guerre de linformation
Atteinte aux mineurs
Atteinte au secret professionnel
Dnonciations calomnieuses
Vol didentit
Saturation
UR
RE
ER
AC
CI
DE
NT
Embargo conomique
INDIVIDU
ETAT ORGANISATION
Fraude financire
Perte dintgrit
MALVEILLANCE
Chantage
Cyberterrorisme
Rupture de confidentialit
Dtournement de fonds, de biens
Atteinte la disponibilit
Sabotage
Escroquerie
Etc.
Le dveloppement des activits bases sur le traitement de linformation permettant une rduction de
la fracture digitale passe par la mise disposition:
dinfrastructures informationnelles fiables et scurises (accessibilit, disponibilit, sret de
fonctionnement et continuit des services garanties);
de politiques dassurance;
dun cadre lgal adapt;
des instances de justice et de police comptentes dans le domaine des nouvelles technologies
et capables de cooprer au niveau international avec leurs homologues;
doutils de gestion du risque informationnel et de gestion de la scurit;
doutils de mise en uvre de la scurit qui permettent de dvelopper la confiance dans les
applications et services offerts (transactions commerciales et financires, e-sant,
e-gouvernement, e-vote, etc.) et dans les procdures qui permettent le respect des droits de
lHomme notamment pour ce qui concerne les donnes caractre personnel.
Lobjet de la cyberscurit est de contribuer prserver les forces et les moyens organisationnels,
humains, financiers, technologiques et informationnels, dont se sont dotes les Institutions, pour
raliser ses objectifs.
La finalit de la scurit informatique est de garantir quaucun prjudice ne puisse mettre en pril la
prennit de lorganisation. Cela consiste diminuer la probabilit de voir des menaces se concrtiser,
en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour un fonctionnement
normal des cots et des dlais acceptables en cas de sinistre.
La dmarche de cyberscurit est un projet de socit dans la mesure o chacun est concern par sa
ralisation. Sa validit sera renforce si une cyberthique dutilisation et de comportement vis--vis
des technologies de linformation est dveloppe et si une vritable politique de scurit stipule ses
exigences de scurit envers les utilisateurs, acteurs, partenaires et prestataires de la scurit des
nouvelles technologies.
8
I.2.3
Malveillance
Infrastructure
logicielle, applicative
et de service
Infrastructure
rseau
Infrastructure
dexploitation
Infrastructure
environnementale
Usurpation didentit,
leurre etc.
Modification, vol,
destruction,
dtrioration
infection, etc.
Ecoutes actives
Ecoutes
passives
ACCIDENT
Modification du
routage
Effondrement, dni de
service, etc.
Incomptence, erreur,
accident, malveillance
Infrastructure
matrielle
Infrastructure Internet
3 La cybercriminalit ainsi que les cyberattaques et cyberdlits sont dvelopps en section II.
Cyberespace et socit de l'information
Force est de constater quelles ne rpondent que peu ou prou la dynamicit du contexte dans lequel
elles doivent sintgrer. Les technologies ne sont pas stables, les cibles sont mouvantes, le savoir-faire
des malveillants voluent ainsi que les menaces et les risques. Ceci fait que la prennit des approches
scuritaires, comme le retour sur investissements de celles-ci, ne sont jamais garantis.
Il est constat, que la dmarche scuritaire est souvent limite la mise en place des mesures, de
rduction des risques pour les valeurs informationnelles des organisations par le plus souvent, une
approche technologique seule. Or, lapproche scuritaire doit sapprhender dans toutes ses
dimensions et doit galement rponde aux besoins de scurit des individus, notamment pour ce qui
concerne la protection de leur vie prive et du respect de leurs droits fondamentaux. La cyberscurit
doit tre disponible pour tous et doit prendre en considration le besoin de protection des donnes
caractre personnel.
Des solutions de scurit existent. Souvent dordre technologique, elles rpondent avant tout un
problme particulier dans une situation donne. Mais comme toute technologie, elles sont faillibles ou
contournables. Elles dplacent le plus souvent le problme de scurit et reportent la responsabilit sur
une autre entit du systme quelles sont censes protger. De plus, elles ncessitent dtre scurises
et gres de manire scurise. Elles ne sont jamais ni absolues, ni dfinitives, en raison du caractre
volutifs du contexte de la scurit du fait de la dynamicit de lenvironnement (volution des besoins,
des risques, des technologies, des savoirs-faire des dlinquants, etc.). Cela pose le problme de la
prennit des solutions mises en place. De plus, la diversit et le nombre de solutions peuvent crer un
problme de cohrence globale de l'approche scuritaire. En consquence, la technologie ne suffit pas,
elle doit tre intgre dans une dmarche de gestion.
La diversit et la pluralit des acteurs (ingnieurs, dveloppeurs, auditeurs, intgrateurs, juristes,
investigateurs, clients, fournisseurs, utilisateurs, etc.), la diversit d'intrt de visions
d'environnements, de langages, rendent difficile la cohrence globale des mesures de scurit. Or seule
une apprhension globale et systmique des risques et des mesures de scurit, une prise de
responsabilit de lensemble des acteurs et intervenants contribuent offrir le niveau de scurit
attendu pour raliser en confiance, des activits via les technologies de linformation et des
communications ainsi que la confiance dans l'conomie numrique.
I.2.4
Enseignements tirer
I.2.4.1
Diriger la scurit
Depuis le dbut des annes 2000, la prise en compte par les organisations des problmes lis la
scurit informatique sest gnralise du moins dans les grandes structures. La scurit est de moins
en moins une juxtaposition de technologies htrognes de scurit. Elle doit tre vue et gre comme
un processus continu.
Le gouvernement ou gouvernance de la scurit doit permettre de garantir que les mesures de
scurit sont optimales dans le temps et dans lespace. Cette notion rpond aux interrogations simples
suivantes:
Quels sont les acteurs qui laborent les rgles, qui les dfinissent et les valident, qui les
mettent en uvre et qui les contrlent?
I.2.4.2
Le risque informatique est un risque oprationnel qui doit tre matris. La gestion des risques
constitue le point de dpart de lanalyse des besoins de scurit qui permet la dfinition de la stratgie
et de la politique de scurit. Plusieurs questions se posent retenons entre autres, les suivantes:
Qui est responsable de lanalyse des risques, de la gestion des risques?
Comment effectuer une telle analyse?
Quels sont les outils et mthodologies disponibles?
Quels sont leurs niveaux de fiabilit?
Quelle importance accorder aux rsultats? Combien cela cote?
Faut-il externaliser cette fonction?
Etc.
Un risque est un danger ventuel plus ou moins prvisible. Il se mesure la probabilit quil se
produise et aux impacts et dommages conscutifs sa ralisation. Un risque exprime la probabilit
quune valeur soit perdue en fonction dune vulnrabilit lie une menace, un danger.
Un compromis entre le cot du risque et celui de sa rduction permet de dterminer le niveau de
protection et les mesures de scurit mettre en uvre (Figure I.5). En tout tat de cause, il faut
identifier les valeurs protger et pourquoi en fonctions des contraintes effectives et des moyens
organisationnels, financiers, humains, techniques disponibles. Les mesures doivent tre efficaces, et
sinscrire dans une logique doptimalit / rentabilit.
Pour une organisation, la matrise des risques informatiques passe par la conception dune stratgie, la
dfinition dune politique de scurit et de sa ralisation tactique et oprationnelle.
Figure I.5 Diffrents compromis pour la matrise des risques: un choix politique
Risques
Matrise des
risques
Cot du
Risque
Versus
Cot de
matrise du
risque
Infrastructure
Informatique
&
Tlcommunication
Besoin de protection
Versus
Besoin de production
Politique de scurit
I.2.4.3
La politique de scurit permet de traduire la comprhension des risques encourus et de leurs impacts,
en des mesures de scurit implmenter. Elle facilite ladoption dune attitude prventive et ractive
faces aux problmes de scurit et permet de rduire les risques et leurs impacts.
Cyberespace et socit de l'information
11
Sachant que le risque zro nexiste pas et quil difficile de prvoir toutes les nouvelles menaces, il faut
rduire les vulnrabilits des environnements et ressources protger car il est certain quune grande
partie des problmes de scurit y trouvent leur origine.
Une politique de scurit spcifie entre autres, les moyens, lorganisation, les procdures, les plans de
dfense et de raction qui permettent une vritable matrise des risques oprationnel, technologique et
informationnel.
La norme ISO 17799 propose un code de pratique pour la gestion de la scurit. Elle peut tre vue
comme un rfrentiel permettant de dfinir une politique de scurit, comme une liste de points de
risques analyser (check list), comme une aide laudit de la scurit en vue ou non dune procdure
de certification ou encore, comme point de communication sur la scurit. Diverses interprtations et
ralisations de cette norme sont possibles. Son intrt rside dans le fait que la norme aborde les
aspects organisationnel, humain, juridique et technologique de la scurit en rapport aux diffrentes
tapes de conception, de mise en uvre et de maintien de la scurit. La version 2005 de cette norme
(ISO/IEC 17799:2005)4 met laccent sur lvaluation et lanalyse des risques, la gestion des valeurs et
des biens ainsi que la gestion des incidents. On y remarque toute limportance accorde la dimension
managriale de la scurit.
Figure I.6 Grer la scurit passe par la dfinition d'une politique de scurit
Que protger?
De qui? De quoi doit-on se protger?
Pourquoi?
Organisation de la scurit
Attribuer des responsabilits des
personnes comptentes possdant
lautorit et les moyens ncessaires
Lefficacit dune politique de scurit ne se mesure pas au budget investi mais dpend de la politique
de gestion du risque et de la qualit de lanalyse des risques (Figure I.6). Les risques varient
notamment selon le secteur dactivit dune organisation, de sa taille, de son image, de la sensibilit
des systmes, de leur environnement et des menaces associes et de son degr de dpendance au
systme dinformation.
Divers types de mesures sont dployer pour contribuer scuriser des infrastructures informatiques
et tlcoms. Il sagit:
dduquer, former, sensibiliser lensemble des acteurs la cyberscurit;
de mettre en place des structures qui permettent de fonctionner comme centre dalerte et de
gestion de crise au niveau national, de fdrer les moyens mettre en uvre pour les raliser,
les partager pour un ensemble de pays, pour une rgion;
dimposer des surveillances, des contrles (par analogie aux contrles mis en place sur les
rseaux routiers);
de dvelopper les comptences dune cellule de cyberpolice pouvant contribuer une
coopration internationale dans le domaine de la poursuite et de linvestigation du crime
informatique;
de dvelopper des solutions technologiques pour ce qui concerne la gestion des identits, le
contrle daccs, lusage de plate-formes matrielle et logicielle scurises, les infrastructures
de secours, les protocoles cryptographiques, la gestion oprationnelle.
I.2.5
I.2.5.1
Gestion dynamique5
La prise en compte de la scurit selon un processus de gestion dynamique et continu permet de faire
face au caractre dynamique du risque et lvolution des besoins par une adaptation et optimisation
continue des solutions. De la qualit de la gestion de la scurit dpend le niveau de scurit offert. La
politique de cyberscurit est dtermine au niveau de ltat major de la structure concerne. Il existe
autant de stratgies de scurit, de politiques de scurit, de mesures, de procdures ou de solutions de
scurit que dorganisations et de besoins scuritaires satisfaire un moment donn.
Pour ne prendre quun exemple de dynamicit du contexte dans lequel sinscrit la gestion de la
scurit retenons le processus de dcouverte et de correction des failles de scurit. Celui se fait avec
une publication priodique des correctifs (patches ou rustines de scurit). Les lettres dinformations
(newsletters) plus ou moins personnalises permet de se tenir informer de la dcouverte des failles et
de la manire dy remdier. Sil veut maintenir un certain de niveau de scurit, le responsable scurit
ou ladministrateur systme, doit au fur et mesure de leur publication installer les patches de
scurit. Si la connaissance des failles et vulnrabilits des systmes est indispensable au responsable
de la scurit, elle facilite galement le travail des malveillants qui peuvent les exploiter avant quelles
ne soient corriges. Il est donc impratif de donner les moyens de la ralisation dune gestion
dynamique qui contribue la mise jour des solutions de scurit et au maintien de la scurit dans le
temps.
Si un tel systme de publication des correctifs permet encore ladministrateur de contrler le
processus de mise jour (acceptation ou non de linstallation des correctifs), un mode automatis
permet de dlguer implicitement lditeur linstallation rgulire et systmatique des correctifs.
Cela pose la question du libre arbitre. Quelles sont les consquences juridiques dun refus de mise
jour, lors de la survenue de problmes dcoulant de lexploitation dune faille non corrige? Etant
donn que de nombreuses attaques exploitent ces dficiences, la question du libre arbitre et de la
responsabilit de ladministrateur de systme est pleinement pose.
5 Les points 5.1 et 5.2 sont adapts de larticle Scurit informatique, le pige de la dpendance A. Dufour,
S. Ghernaouti-Hlie, Revue Information et Systme, 2006.
Cyberespace et socit de l'information
13
La dimension dynamique de la scurit constitue un dfi critique tant pour les fournisseurs de
solutions ou diteurs que pour les administrateurs de systmes ou responsable scurit qui ont
rarement le temps dintgrer lensemble des correctifs proposs.
La capacit des responsables informatiques ou de la scurit et des administrateurs systme accder
toutes les ressources informatiques, implique en plus de lintgrit sans faille des procdures strictes
de surveillance et de contrle de leurs actions ( la mesure des risques quils font potentiellement
courir aux systmes quils grent), leur intgrit morale.
I.2.5.2
Externalisation et dpendance
En proposant des filtres anti-virus ou anti-spam, ces fournisseurs de service grent une partie de la
scurit de leurs clients. Si on gnralise cette dmarche, une volution de la rpartition des rles et
des responsabilits en matire de scurit est initie. La scurit est de plus en plus reporte sur le
fournisseur de services ou les intermdiaires techniques. Cette volution ne rsout pas la
problmatique scuritaire, elle ne fait que la transfrer vers le prestataire de service qui devra non
seulement garantir la disponibilit et la performance du service, mais aussi la gestion du maintien de
son niveau de scurit.
En proposant certains logiciels anti-virus, lditeur propose galement un service de mise jour
automatique. Cette adjonction dune dimension de service plaide en faveur de la location des logiciels
dans la mesure o ceux-ci doivent tre maintenus dans la dure par lditeur. Elle contribue galement
un courant plus global dexternalisation des applications dont le modle conomique est trouver.
La question de lexternalisation, de la dlgation de tout ou partie de la scurit ne relve pas de la
technologie. Elle est de nature stratgique et juridique et pose celle plus fondamentale de la
dpendance vis--vis de fournisseurs.
La stratgie dexternalisation de la scurit peut concerner la dfinition de la politique et sa mise en
uvre, la gestion des accs, de pare-feu (firewall), la tlmaintenance des systmes et rseaux, la
tierce maintenance applicative, la gestion des sauvegardes, etc. Le choix dun prestataire doit toujours
saccompagner dune dmarche de contrle qualit et peut tenir compte, par exemple, de lexprience
du prestataire, des comptences internes, des technologies utilises, du dlai de raction, du service
support, des clauses contractuelles (engagement de rsultat, etc.), ou du partage des responsabilits
lgales.
I.2.5.3
La dmarche de prvention scuritaire est par dfinition pro-active. Elle touche aux dimensions
humaine, juridique, organisationnelle, conomique (ratio cot de mise en uvre/niveau de
scurit/services offerts) et technologique. Jusqu prsent, seule la dimension technologique a t
prise majoritairement en considration dans la scurisation des environnements informatiques. Cette
manire dapprhender la scurit informatique, sous un angle essentiellement technologique, qui
nglige la dimension humaine, pose un vritable problme dans la matrise du risque technologique
dorigine criminel. En effet, la criminalit est avant tout, une question de personne et non de technologie. Une rponse dordre uniquement technologique est donc inapproprie la matrise d'un risque
dorigine humaine.
L'apprhension de la criminalit informatique sinscrit, le plus souvent dans une dmarche de raction
et de poursuite. Celle-ci seffectue posteriori, cest--dire aprs la survenue dun sinistre qui traduit
ainsi la dfaillance des mesures de protection. Il est ncessaire de prvenir et de dissuader les cyberabus, en dveloppant des mcanismes de justice et dinvestigation, il est tout aussi primordial
didentifier dans les politiques de scurit, les mesures qui permettront de ragir aux attaques et den
6 Le point 5.3 est adapt du livre Scurit informatique et rseaux de S. Ghernaouti-Hlie, Dunod 2006.
14
poursuivre leurs auteurs. Pour cela, il est impratif de concevoir et de raliser des plans de secours et
de continuit qui intgrent les contraintes lies linvestigation et la poursuite de la criminalit
informatique des logiques de travail et des objectifs diffrents, dans des chelles de temps
distinctes.
I.2.6
I.2.6.1
Responsabilit de lEtat
Ltat possde des responsabilits importantes pour la ralisation dune sret numrique. Ceci est
particulirement vrai pour la dfinition dun cadre lgal appropri, cest--dire unifi et applicable. De
plus, il doit non seulement favoriser et encourager la recherche et le dveloppement en matire de
scurit mais aussi promouvoir une culture de la scurit et imposer le respect dun minimum de
normes de scurit (la scurit devrait tre intgre en natif dans les produits et services), tout en
renforant la lutte contre la criminalit. Se pose alors la question du modle financier sous-jacent ces
actions et la ralisation du partenariat entre le secteur priv et public, pour des plans d'action aux
niveaux national et international.
Au niveau stratgique, il faut assurer la prvention, le renseignement, le partage dinformation, la
gestion des alertes. De plus, il est ncessaire de faire connatre les meilleures pratiques de gestion du
risque et de la scurit. Il est galement important dassurer la coordination et lharmonisation des
systmes lgaux. Lassistance pour promouvoir la sret et la scurit, la dfinition des cooprations
ventuelles (formelle/informelle, multilatrale/bilatrale, active/passive, au niveau national et
supra-national, entre autre, sont aussi dfinir.
Il galement essentiel d'duquer, d'informer et former aux technologies de traitement de linformation
et des communications et non uniquement la scurit et aux mesures de dissuasion. La sensibilisation
aux problmatiques de scurit ne doit pas se limiter la promotion dune certaine culture de la
scurit et dune cyberthique. En amont de la culture scuritaire, il doit y avoir une culture de
l'informatique.
Il faut donner les moyens aux diffrents acteurs dapprendre grer les risques technologique,
oprationnel et informationnel qui les menacent en fonction de lusage fait des nouvelles technologies.
Dans ce contexte, l'Etat doit aussi favoriser le signalement des agressions lies au cybercrime et
instaurer la confiance entre les diffrents acteurs du monde conomiques et les services de justice et de
police.
Services de justice et police mais aussi ceux de la protection civile, les pompiers, larme ou la
Gendarmerie trouvent leur place tant au niveau tactique quoprationnel dans la lutte contre la
criminalit informatique afin de protger, poursuivre et rparer. Des centres de surveillance, de
dtection et dinformation aux risques informatique et criminel doivent tre oprationnels afin
dassurer la prvention ncessaire la matrise de ces risques.
Il est de la responsabilit des Etats de dfinir une vritable politique de dveloppement de la socit de
linformation en fonction de ses valeurs propres et de mettre disposition les moyens ncessaires pour
cette ralisation. Cela concerne galement les moyens de protection et de lutte contre la
cybercriminalit.
Une matrise globale, centralise et coordonne de la criminalit informatique ncessite une rponse
politique, conomique, juridique et technologique homogne et adoptable par les diffrents acteurs de
la chane numrique, co-partenaires de la scurit.
I.2.6.2
15
forte, quand elle nest pas totale. Cela constitue un risque scuritaire majeur. Les Etats doivent tre
attentifs ne pas tre dpendant pour leur gestion stratgique, tactique et oprationnelle de leur
scurit, dentits externes quils ne peuvent contrler.
Les Etats doivent contribuer imposer:
de pouvoir disposer de la scurit en mode natif (scurit par dfaut) et de manire conviviale,
comprhensible, transparente, contrlable et vrifiable;
dviter que les individus et Institutions se mettent en situations dangereuses (viter les
configurations permissives, les comportement risques, la dpendance excessive, etc.);
une rduction des vulnrabilits dans les technologies et dans les solutions de scurit.
I.2.7
La scurit ne permet pas directement de gagner de largent mais vite den perdre. Sil peut paratre
relativement ais destimer ce que cote la scurit (budgets associs, cot des produits de scurit,
des formations, etc.), il est plus dlicat dvaluer la rentabilit de la scurit. De manire subjective, on
peut penser que les mesures de scurit possdent intrinsquement une efficacit passive et vitent
certaines pertes.
Toutefois, dterminer le cot de la scurit en regard des cots engendrs par les consquences
rsultants de la perte de valeurs suite des accidents, erreurs ou de la malveillance est difficile
raliser. Le cot de la scurit est fonction des exigences des organisations et dpend des valeurs
protger, du cot des prjudices conscutifs un dfaut de scurit. Aussi, il nexiste pas de rponse
prdfinie aux questions suivantes:
Comment valuer lexposition de lorganisation aux risques, notamment aux risques sriels
dus linterconnexion des infrastructures inter-organisations?
Comment estimer correctement les cots indirects de linscurit, rsultant par exemple dune
perte dimage ou de lespionnage?
La valeur conomique de la scurit est apprhender dans toute sa dimension socitale et tient
compte des impacts des nouvelles technologies pour les individus, les organisations et les nations. Elle
ne peut se rduire des cots dinstallation et de maintenance.
I.2.8
Il est important de sensibiliser lensemble des acteurs du monde de linternet aux enjeux de la matrise
de la scurit et aux mesures lmentaires qui si elles sont clairement nonces, dfinies et mise en
uvre intelligemment, renforceront le niveau de scurit.
Des actions dinformation et dducation civique une socit de linformation responsable, sur les
enjeux, les risques et les mesures prventives et dissuasives de scurit sont ncessaires pour duquer
lensemble des cybercitoyens adopter une dmarche scurit.
Laccent sera mis sur le devoir de scurit, sur la responsabilit individuelle et sur les mesures
dissuasives, ainsi que les consquences pnales potentielles rsultant du non-respect des obligations
scuritaires. De manire plus gnrale, il est galement ncessaire d'duquer et de former aux technologies de traitement de linformation et des communications et non uniquement la scurit et aux
mesures de dissuasion. La sensibilisation aux problmatiques de scurit ne doit pas se limiter la
16
promotion dune certaine culture de la scurit. En amont de la culture scuritaire, il doit y avoir une
culture de l'informatique ce qui correspond la notion de permis de conduire informatique, que prne
le CIGREF (Club Informatique des Grandes Entreprises Franaise)7.
Faisons de linternet un patrimoine ouvert chacun de sorte que les cybercitoyens puissent
potentiellement bnficier des infrastructures et services mis leur disposition, sans pour autant
prendre des risques scuritaires excessifs. Une thique scuritaire doit donc tre dveloppe, comprise
et respecte par tous les acteurs du cyberespace.
I.2.9
I.2.9.1
A l'heure actuelle, la cybercriminalit est mal matrise comme continu de le dmontrer les chiffres
des sondages annuels du CSI8 (Computer Security Institute) ou les statistiques du CERT9 (Computer
Emergency and Response Team). Ainsi, il est constat que les mesures de scurit mises en place par
les institutions tendent protger un environnement donn dans un contexte particulier, mais ne
peuvent aucunement empcher la conduite d'activits criminelles via l'internet. Les raisons de cette
situation sont notamment lies:
aux caractristiques du cybercrime (capacit tre automatis, savoir-faire embarqu dans le
logiciel, ralisation distance);
la possibilit offerte au cybercriminel d'usurper facilement et sans risque excessif, l'identit
d'utilisateurs lgitimes, ruinant par l mme la capacit de la justice identifier les auteurs
rels d'une infraction;
la dtermination des comptences pour raliser une enqute;
la pnurie de ressources humaines et matrielles au sein des services chargs de la rpression
des crimes et dlits informatiques;
au caractre transnational de la cybercriminalit qui ncessite des recours frquents la
coopration et l'entraide judiciaire internationale. Cette dernire implique des contraintes de
temps non compatibles avec la rapidit d'excution des agressions et les besoins de reprise
immdiate des systmes informatiques concerns par les cyberattaques;
7 CIGREF: www.cigref.fr.
8 CSI: www.gocsi.com
9 CERT: www.cert.org
Cyberespace et socit de l'information
17
Pour toutes ces causes, le systme judiciaire dans le contexte de l'internet, n'est pas efficace. De plus,
de mme quil existe des paradis fiscaux, il existe des paradis lgaux. Ce n'est pas ncessairement par
absence de lois, que le crime informatique est peu ou mal rprim. Un certain nombre de crimes et de
dlits informatiques sont dj qualifis par le biais des lgislations pnales existantes.
Ce qui est illgal off-line est illgal on-line
De nouvelles lgislations, nes de la ncessit de dfinir un cadre juridique appropri lusage des
nouvelles technologies, compltent ou doivent complter la plus part des lgislations existantes qui
sont, rappelons-le, galement valides dans le cyberespace.
Renforcer la lgislation n'est pas forcment suffisant, si les moyens de l'appliquer manquent. Une loi
est de peu dutilit, si la justice n'est pas en mesure de collecter et de traiter les preuves, didentifier et
de sanctionner les auteurs de comportements criminels. Elle nest pas efficace si les malveillants ont le
sentiment d'agir en toute impunit.
I.2.9.3
Les moyens de lutte contre le flau grandissant et transfrontalier quest la cybercriminalit passe par la
mise disposition dun cadre lgal harmonis au niveau international et applicable et des moyens
dune vritable coopration internationale des instances de justice et police.
LEtat possde des responsabilits importantes pour la ralisation dune sret numrique. Ceci est
particulirement vrai pour la dfinition dun cadre lgal appropri, cest--dire unifi et applicable,
pour la promotion dune culture de la scurit qui respecte lintimit numrique des individus
(privacy), tout en renforant la lutte contre la criminalit.
La lutte contre la cybercriminalit doit avoir comme objectif principal la protection des individus, des
organisations et des Etats, en tenant compte des grands principes dmocratiques.
Les outils de lutte contre la criminalit informatique peuvent potentiellement mettre mal les droits de
lhomme et aller lencontre de la confidentialit des donnes caractre personnel. En effet, la
scuriser passe par la surveillance, le contrle et le filtrage des donnes. Il est impratif que des gardes
fous soient mis en place pour viter des abus de pouvoir, de situation dominante et toute sorte de
drives totalitaires afin de garantir le respects des droits fondamentaux, notamment celui du respect de
lintimit numrique et de la confidentialit des donnes personnelles.
Outre la directive europenne de 1995, remarquons que diverses lgislations nationales existent depuis
dj longtemps concernant la protection des donnes personnelles:
Allemagne:
loi du 21 janvier 1977
Argentine:
loi sur la protection des donnes personnelles 1996
Autriche:
loi du 18 octobre 1978
Australie:
loi sur la vie prive 1978
Belgique:
loi du 8 dcembre 1992
Canada:
loi sur la protection des renseignements personnels 1982
Danemark:
loi du 8 juin 1978
Espagne:
loi du 29 octobre 1992
Etats-Unis:
loi sur la protection des liberts individuelles 1974; loi sur les bases de
donnes et la vie prive 1988
Finlande:
loi du 30 avril 1987
France:
loi informatique et libert du 6 janvier 1978 modifie en 2004
Grce:
loi du 26 mars 1997
Hongrie:
loi sur la protection des donnes personnelles et la communication des
donnes publiques 1992
18
Irlande:
Islande:
Isral:
19
la complicit en vue est rige en infraction pnale ainsi que la tentative intentionnelle
de
Les Etats doivent tablir leurs comptences lgard de toute infraction pnale lorsque cette
dernire est commise:
dextradition;
24h/24, 7j/7;
Une volont rglementaire existe bien au niveau international de pouvoir matriser la cybercriminalit.
Ce nest pas toujours par absence de Lois, ou de principes directeurs comme ceux noncs par
lOCDE (Organisation de coopration et de dveloppement conomiques) Lignes directrices de
lOCDE rgissant la scurit des systmes et des rseaux vers une culture de la scurit 200211
(Figure I.7) mais ce sont la difficult et la complexit du chantier mettre en uvre et les moyens
ncessaires pour atteindre les objectifs de lutte contre non seulement la cybercrimnalit mais aussi le
crime organis, qui font que l'internet est exploit des fins malveillantes.
Figure I.7 Lignes directrices de l'OCDE en matire de scurit informatique (juillet 2002)
Sensibilisation
Responsabilit
Raction
Ethique
Les parties prenantes doivent respecter les intrts lgitimes des autres
parties prenantes
Dmocratie
Evaluation des
risques
Conception et mise
en oeuvre de la
scurit
Gestion de la scurit Les parties prenantes doivent adopter une approche globale de la
gestion de la scurit
Rvaluation
I.2.10
Fondamentaux de la cyberscurit
Les solutions de scurit doivent contribuer satisfaire les critres de base de la scurit que sont la
disponibilit, lintgrit et la confidentialit (critres DIC). A ces trois premiers critres sajoutent
ceux qui permettent de prouver lidentit des entits (notion dauthentification) et que des actions ou
vnements ont bien eu lieu (notions de non rpudiation, dimputabilit voire de traabilit)
(Figure I.8).
I.2.10.1
Disponibilit
La disponibilit des services, systmes et donnes est obtenue, dune part, par un dimensionnement
appropri et une certaine redondance des lments constitutifs des infrastructures et, dautre part, par
une gestion oprationnelle des ressources et des services.
La disponibilit est mesure sur la priode de temps pendant laquelle le service offert est oprationnel.
Le volume potentiel de travail susceptible dtre pris en charge durant la priode de disponibilit dun
service, dtermine la capacit dune ressource (serveur ou rseau par exemple). La disponibilit dune
ressource est, en outre, indissociable de son accessibilit.
I.2.10.2
Intgrit
Le respect de lintgrit des donnes, traitements ou services permet dassurer quils ne sont pas
modifis, altrs ou dtruits tant de faon intentionnelle quaccidentelle. Cela contribue assurer leur
exactitude, leur fiabilit et leur prennit.
Il convient de se prmunir contre laltration des donnes en ayant la certitude quelles nont pas t
modifies lors de leur stockage ou de leur transfert.
Cyberespace et socit de l'information
21
Lintgrit des donnes ne sera garantie que si elles sont protges des coutes actives qui peuvent
modifier les donnes interceptes. Cette protection pourra tre ralise par la mise en uvre de
mcanismes de scurit tels que:
des moyens de protection contre les virus, les vers ou les chevaux de Troie.
Objectifs de scurit
Moyens de scurit
Disponibilit
Prennit
Continuit
Confiance
Dimensionnement
Redondance
Procdures dexploitation et de
sauvegarde
Suret de fonctionnement
Conception
Fiabilit
Performances
Durabilit
Continuit
Ergonomie
Qualit de service
Exactitude
Maintenance oprationnelle
Confidentialit (maintien
du secret)
Intgrit (aucune
modification)
Contrle daccs
Authentification
Contrle derreur
Contrle de cohrence
Chiffrement
Non-rpudiation
Authenticit (aucun
doute)
Aucune contestation
Certification
Enregistrement, traabilit
Signature lectronique
Mcanismes de preuve
I.2.10.3
Confidentialit
La confidentialit est le maintien du secret des informations, des flux, des transactions, services ou
actions ralises dans le cyberespace. Il sagit de la protection des ressources contre une divulgation
non autorise.
La confidentialit peut tre ralise par la mise en uvre de mcanismes de contrle daccs ou de
chiffrement.
Le chiffrement des donnes (ou cryptographie), contribue assurer la confidentialit des informations
lors de leur transmission ou de leur stockage en les transformant de faon ce quelles deviennent
inintelligibles aux personnes ne possdant pas les moyens de les dchiffrer.
I.2.10.4
Identification et authentification
Lauthentification doit permettre de ne pas avoir de doute sur lidentit dune ressource. Cela suppose
que toutes les entits (ressources matrielles, logicielles ou personnes) soient correctement identifies
et que certaines caractristiques puissent servir de preuve leur identification. Tous les mcanismes de
contrle daccs logique aux ressources informatiques ncessitent notamment de grer lidentification
et lauthentification des entits.
22
Les processus didentification et dauthentification sont mis en uvre pour contribuer raliser:
la confidentialit et lintgrit des donnes (seuls les ayant droits identifis et authentifis
peuvent accder aux ressources (contrle daccs et les modifier sils sont habilits le faire);
la non rpudiation et limputabilit (les entits identifies et authentifies ont ralises telle
action), la preuve de lorigine dun message, dune transaction (une entit identifie et authentifie effectue une mission), la preuve de la destination (une entit identifie et authentifie
est destinatrice dun message).
I.2.10.5
Non rpudiation
Dans certaines circonstances, il est ncessaire de prouver la ralisation de certains vnements (action,
transaction). A la non-rpudiation sont associs les notions de responsabilit dimputabilit, de
traabilit et ventuellement dauditabilit.
Ltablissement de la responsabilit ncessite lexistence de mcanismes d'authentification des
individus et dimputabilit de leurs actions. Le fait de pouvoir enregistrer des informations afin de
pouvoir tracer la ralisation dactions est important lorsquil sagit de reconstituer un historique des
vnements, notamment lors dinvestigations en milieu informatique pour retrouver ventuellement
ladresse dun systme partir de laquelle des donnes ont t envoyes par exemple. Les
informations ncessaires une analyse ultrieure (journalisation des informations) permettant laudit
dun systme doivent tre sauvegardes. Cela constitue la capacit des systmes tre audits (notion
dauditabilit).
I.2.10.6
Scurit physique
Les environnements qui abritent les postes de travail, les serveurs, les zones dexploitation
informatique et de logistique (air conditionn, tableaux de contrle de lalimentation lectrique, etc.)
doivent tre physiquement protgs contre des accs indus et des catastrophes naturelles (feu,
inondation, etc.). La scurit physique reprsente le contrle le plus fondamental et le plus courant des
systmes informatiques.
I.2.10.7
Solutions de scurit
A la vue des problmes scuritaires qui constituent la ralit quotidienne de la plus part des
infrastructures, constatant que les solutions de scurit ne manquent pas, et que le march de la
scurit se porte plutt bien, nous sommes en droit de nous poser les questions suivantes:
les solutions de scurit sont-elles adaptes aux besoins?
sont-elles implantes et gres correctement?
peuvent-elles sappliquer, sadapter un environnement en perptuelle mutation?
peuvent-elles pallier le pouvoir excessif accord aux administrateurs systmes?
comment peuvent-elles faire face aux problmes scuritaires dont lorigine est rechercher
dans la ngligence, lincomptence, les dfaillances lors de la conception, de la mise en uvre
ou de la gestion des technologies et des solutions de scurit?
etc.
23
SECTION II
MATRISE DE LA CYBERCRIMINALIT
Les vulnrabilits et la matrise insuffisante des technologies du numrique leur confrent un certain
niveau dinscurit. Cet tat dinscurit est largement exploit par les acteurs du monde criminel. De
plus, chaque technologie est porteuse de potentialits criminelles et offre des opportunits pour raliser
des infractions. L'internet nchappe pas cette rgle et le monde criminel a investi le cyberespace.
LOCDE a dfini en 1983 linfraction informatique comme tant tout comportement illgal, immoral
ou non autoris qui implique la transmission et/ou le traitement automatique de donnes.
Un crime informatique (computer-related crime) est un dlit pour lequel un systme informatique est
lobjet du dlit et/ou le moyen de le raliser, cest un crime li aux technologies du numrique qui fait
partie de la criminalit en col blanc. Le cybercrime (cybercrime) est une forme du crime informatique
qui fait appel aux technologies de l'internet pour sa ralisation. Cela concerne tous les dlits raliss
dans le cyberespace.
Le monde virtuel confre au crime la capacit tre automatis, autorisant une ralisation grande
chelle (cyberpidmie), permettant dtre commis distance via les rseaux (ubiquit du criminel,
dans le temps et dans lespace) et avec ventuellement des effets retardement (Figure II.1).
Figure II.1 Caractristiques du crime informatique
Moyen de
lattaque
Systme informatique
Cible objet
de lattaque
Les technologies de linternet facilitent toute sorte dinfractions (vol, sabotage dinformations,
atteintes au copyright, au droit dauteur, la violation du secret professionnel, de lintimit numrique,
de la proprit intellectuelle, dissmination de contenus illgaux, attaques concurrentielles, espionnage
industriel, atteinte aux droits des marques, diffusion de fausses informations, dnis de service, fraudes
diverses, etc.).
Cybercriminalit
27
Les vnements qui ont contribu l'volution de la perception de la menace cybercriminelle sont
outre le bug de lan 2000 qui a fait prendre conscience de la fragilit des logiciels et de la dpendance
vis--vis de linformatique, sont les attaques de dni de service contre des sites tels que Yahoo
(10 fvrier 2000) et le fameux virus I love you (du 4 mai 2000). Depuis, associ la mdiatisation
dinfections virales (virus Code red juillet 2001 ou Nimda septembre 2001) ou de dnis de services
(attaque des principaux serveurs DNS 21 octobre 2002) pour ne citer que quelques exemples, le grand
public prend plus ou moins conscience de la ralit des menaces seffectuant travers le monde de
linternet. Lactualit reste riche en nouvelles de rvlation de problmes lis linformatique.
II.1.2
II.1.2.1
Cybercriminalit
II.1.2.3
Vulnrabilit et dfaillance
Internet
Caractristiques du numrique
immatriel
virtuel
dmatrialisation
diffrentes catgories
nombre important et croissant
formation et comptences variables
caractre imprvisible
comportement inadapt
thique insuffisante
mauvaise utilisation des solutions de scurit
gestion de la scurit dfaillante
Cybercriminalit
29
II.1.2.5
Le crime informatique est un crime sophistiqu, ralis le plus souvent au niveau international avec
parfois un effet retardement. Les traces laisses dans les systmes sont immatrielles et difficiles
collecter et sauvegarder. Il sagit dinformations numriques mmorises sur toute sorte de supports:
mmoire, priphriques de stockage, disque dur, disquettes, cl USB, divers composants
lectroniques, etc. Il se pose alors la question de leurs saisies lors dune perquisition informatique. Les
questions suivantes entre autres, montrent quel point la notion de preuve numrique est difficile
tablir:
comment remonter jusqu lidentit dune personne sur la base uniquement dune trace
numrique du fait quil est difficile dtablir une correspondance certaine entre une
information numrique et son auteur (dmatrialisation) et de lusurpation didentit
frquente?
quelle est la valeur dune trace numrique en tant que preuve contribuant tablir la vrit
auprs dun tribunal (notion de preuve numrique) sachant que les supports de mmorisation
sur lesquelles des traces ont t recueillies sont faillibles (les notions de date et dheure sont
variables dun systme informatique lautre et aisment modifiables).
etc.
Les traces informatiques sont dautant plus difficiles obtenir lorsquelles sont laisses dans des
systmes ressortissants de diffrents pays. Leur obtention relve de lefficacit de lentraide judiciaire
internationale et de la rapidit dintervention. Leur exploitation efficace pour identifier des individus
dpend de la dure de traitement de la requte dobtention qui peut mettre un certain temps et qui rend
alors toute identification impossible.
La Figure II.3 identifie diffrents types de problmes induits par la malveillance comme la destruction
physique ou le vol de matriel qui empche laccs aux systmes et donnes, comme linfection des
ressources, la compromission des processus de dcision ou de communication par des attaques de dni
de service (ou suite de lespionnage ou lintrusion dans des systmes), lappropriation illgale ou la
manipulation dinformations (endoctrination, guerre de linformation). Elle met galement en vidence
les principales caractristiques du cybercrime qui rendent difficiles lidentification des malveillants.
Par ailleurs, dans la plupart des Etats, il existe un dcalage significatif entre les aptitudes des criminels
effectuer des crimes de haute technologie et les moyens mis disposition des forces de justice et
police pour les poursuivre. Le niveau dadoption des nouvelles technologies par les instances de
justice et de police aux niveaux national et international reste faible et trs disparate dun pays
lautre.
Ce sont gnralement les moyens courants dinvestigation des crimes conventionnels auxquels ont
recours les forces de justice et police pour poursuivre les cybercriminels qui permettent de les
identifier et de les arrter.
30
Cybercriminalit
Aucun acces
Sniffing
Hacking
Cracking
DoS
Oprations
Des processus
Surveillance psychologiques
de dcision,
Espionage et de
des
propagande
communication
Crime sophistiqu
ralis au niveau international
Effet retardement
Trace immatrielle difficile collecter
Anonymisation
Usurpation didentit
Dmatrialisation
Relais dattaques
Multiples intermdiaires
Etc.
II.1.2.6
Coopration internationale?
Identification des malveillants?
Le monde criminel tire partie de laterritorialit de linternet, de linexistence dans certains Etats de
lois rprimant le crime informatique et des juridictions multiples dont relve l'internet
De manire analogue aux paradis fiscaux des paradis numriques permettent aux criminels dhberger
des serveurs, diffuser des contenus illicites ou raliser des actions illicites en toute impunit. Le fait de
pouvoir localiser des serveurs dans des Etats faibles constituent des refuges des oprations
transnationales.
Le manque de rgulation internationale et de contrle, linefficacit de la coopration internationale en
matire dinvestigation et de poursuites judiciaires font que linternet offre une couche disolation
protectrice aux criminels.
A lheure actuelle, aucune rponse correcte tant sur le plan juridique que technique est apporte pour
matriser les diffrents dlits favoriss par linternet tels que:
attaques concurrentielles, espionnage industriel, atteinte aux droits des marques, diffusion de
fausses informations, dnis de service commandits par des concurrents.
Cybercriminalit
31
II.1.3
II.1.4
Le crime conomique via l'internet nest pas uniquement rserv la criminalit organise, les outils
informatiques et tlcoms le mettent la porte dindividus isols, qui peuvent se constituer ou non, en
groupes plus ou moins importants.
Les criminels peuvent sorganiser autour de lchange dinformations grce aux technologies de
linformation. Des rseaux de personnes ou de comptences autorisent la constitution dorganisations
criminelles dmatrialises.
Le haut degr de comptence conomique et le professionnalisme ncessaire la ralisation du crime
conomique, font que celui-ci peut tre facilit par les technologies de linformation.
L'internet contribue lacquisition des informations, une meilleure connaissance des marchs, lois,
techniques, etc., ncessaires la ralisation de dlits conomiques. Il sert galement lidentification
des opportunits criminelles.
Le crime conomique est influenc par les nouvelles technologies qui deviennent un facteur de
production des organisations criminelles et place linformation au cur de leurs stratgies et processus
de dcision.
Les nouvelles technologies facilitent toute sorte de vol, modifications, sabotage dinformation ou de
fraudes. Les phnomnes de chantage, dextorsion, de racket, de demandes de ranons existent
dornavant sur l'internet.
En effet, les ressources informatiques deviennent les otages potentiels des cybercriminels. Les matreschanteurs se sont appropri le cyberespace et tout le monde peut tre la cible de tentatives de chantage,
de dsinformation ou de cyberpropagande. Par ailleurs, lexplosion du phnomne dusurpation
didentit depuis 2003, dmontre que les criminels ont bien compris lavantage quils pouvaient tirer,
non seulement des capacits danonymisation offertes par l'internet mais aussi, de lappropriation des
fausses identits afin de ne pas tre poursuivis ou tenus responsables dactions criminelles ou
terroristes. Lusurpation didentit, aisment ralisable sur l'internet, favorise la ralisation dactivits
illicites.
Comme tous les criminels qui profitent des infrastructures technologiques mises en place, les
blanchisseurs de fonds recourent de plus en plus l'internet afin de pouvoir utiliser lgalement des
capitaux gnrs par les activits criminelles telles que le trafic de drogue, la vente illgale darmes, la
corruption, le proxntisme, la pdophilie, la fraude fiscale, etc.
Bien quil soit largement sous-dclar, et le plus souvent mconnu, le blanchiment dargent via
l'internet prend de lampleur. L'internet offre un potentiel exceptionnel tant par la dmatrialisation
(anonymat, monde virtuel, rapidit de transfert) que par la non-territorialit (phnomne transnational,
conflits de comptences et de juridictions), caractristiques largement exploites par les acteurs
traditionnels du blanchiment. L'internet permet en toute impunit, la rinsertion de l'argent sale dans
les circuits conomiques par le biais de transferts de flux, dinvestissement et de capitalisation.
32
Cybercriminalit
Les placements boursiers en ligne, les casinos en ligne, le e-commerce ventes de produits et services
fictifs contre paiement rel, gnrant des bnfices justifis, de telles activits sont incontrlables et
les poursuites en justice impossibles, le e-banking, les transactions du foncier et de limmobilier via le
net, la cration de socits virtuelles cran, les porte-monnaie lectroniques sont utiliss pour
effectuer le crime des crimes quest le blanchiment. En ayant recours certains services
dmatrialiss, linternaute, peut favoriser inconsciemment le dveloppement du blanchiment
dargent. Les entreprises peuvent galement tre fortuitement impliques dans ce processus, et en
subir des consquences judiciaires et commerciales qui peuvent tre importantes. Cela constitue alors
un risque majeur pour les entreprises.
Actuellement, il existe peu de moyens efficaces pour matriser ce phnomne du blanchiment via les
nouvelles technologies.
II.1.5
La cybercriminalit se ralise le plus souvent au travers de dlits ordinaires, presque invisibles mais
trs prsents et efficaces, du fait de la mise en rseau des ressources et des personnes. Les entreprises
mais surtout leurs ressources informatiques et informationnelles deviennent des cibles privilgies
pour les organisations criminelles la recherche de profits. Il sagit alors dune menace stratgique
dans la mesure o largent se trouve dans les systmes informatiques, dans les grandes entreprises,
dans des fonds de pension, etc., et non seulement dans les banques.
Louverture de l'internet via des serveurs web, des portails, o la messagerie lectronique expose
lentreprise au risque dorigine criminel et permet le positionnement dacteurs criminels son contact.
L'internet est un outil de communication mais il est aussi un environnement chaotique, complexe,
dynamique et hostile qui peut constituer un outil de dstabilisation et de ralisation de dlits. L'internet
peut tre alors considr comme tant une zone criminalise. Or, du fait de la ncessit pour les
institutions dtre prsentes sur l'internet, nous sommes en droit de nous demander si ces dernires ne
contribuent pas dans une certaine mesure lextension de la criminalit sur l'internet.
La scurit intrieure d'un pays est aujourd'hui confronte des formes d'expression de menaces
criminelles lies l'existence des technologies de l'information. Les technologies de l'internet sont au
cur de la guerre de l'information (infoguerre infowar) dont les enjeux sont avant tout d'ordre
conomique et les impacts importants pour le bon droulement des activits. L'internet permet non
seulement la manipulation de l'information mais est aussi un outil privilgi pour rpondre des
rumeurs ou toute forme d'intoxication ou de campagne de dstabilisation. De mme, sont facilites les
activits despionnage et de renseignement, puisquil est devenu ais d'intercepter des informations
transfres sur l'internet.
II.1.6
Cybercriminalit et terrorisme
La cybercriminalit peut avoir une dimension terroriste dans la mesure ou les systmes attaqus sont
impliqus dans des infrastructures critiques. En effet, les infrastructures essentielles au bon
fonctionnement des activits dun pays (nergie, eau, transports, logistique alimentaire, tlcommunications, banque et finance, services mdicaux, fonctions gouvernementales, etc.), voient leur
vulnrabilit augmente par un recours accru aux technologies de l'internet.
Il faut souligner limportance des systmes de production et de distribution dlectricit car ils
conditionnent le fonctionnement de la plupart des infrastructures. La prise de contrle d'infrastructures
critiques semble tre un des objectifs du cyberterrorisme, la preuve en est la recrudescence de scans
(tests de systmes informatiques pour dcouvrir leurs vulnrabilits afin de pouvoir les pntrer
ultrieurement) dirigs sur des ordinateurs d'organisations grant ces infrastructures.
A ce jour, la dfinition du cyberterrorisme n'est pas claire. Le plus simple serait sans doute de
considrer le cyberterrorisme comme du terrorisme appliqu au cyberespace. Or, dans son sens
courant, le terrorisme fait rfrence l'emploi systmatique de la violence pour atteindre un but
politique.
Cybercriminalit
33
Nous sommes en droit de nous demander si l'arrt ventuel de l'internet ou d'une partie de l'internet,
suite des actes de malveillance, serait susceptible de provoquer la terreur au sein de la communaut
des internautes, de certains acteurs conomiques particuliers, de la population.
Ne s'agirait-il pas, le plus souvent, de terrorisme conomique visant porter prjudice aux
organisations qui ralisent des activits au travers de l'internet?
Il faut tre prudent quant l'usage du terme cyberterrorisme qui s'est rpandu depuis le 11 septembre 2001. En effet, souvenons-nous que les premiers dnis de services distribus (DDOS) largement
mdiatiss furent le fait d'un adolescent de 15 ans (Mafia Boy) le 10 fvrier 2000. Identifi et
apprhend plusieurs mois plus tard, bien qu'il n'ait pas rendu publique sa motivation, tout laisse
penser qu'elle n'tait pas politique.
Est-ce que cette mme attaque perptre aprs le 11 septembre 2001, n'aurait pas t aussi qualifie de
cyberterrorisme?
En l'absence d'lments concrets, sans revendication ni auteur prsum dune attaque, il est difficile de
qualifier une attaque de cyberterroriste.
Le terme de cyberterrorisme recouvre une ralit assez floue dans le rpertoire des nouvelles menaces
et il est difficile priori de supposer la motivation et les objectifs d'un agresseur ou d'un groupe
d'agresseurs inconnus. En effet il est parfois malais de distinguer en fonction de la cible uniquement,
les motivations d'un dlinquant, d'un terroriste, d'un mercenaire, d'un militant, d'un escroc ou encore
d'un immature.
Le type d'agression informatique ne suffit pas dfinir avec certitude la motivation ou les objectifs
d'un malveillant. Ceci constitue une des difficults de la lutte contre le crime informatique car il est
ncessaire de disposer d'informations complmentaires pour caractriser l'intention criminelle.
Que cela soit au travers des processus de dstabilisation conomique, par la mise en pril
d'infrastructures critiques, par la propagation d'idologies ou par de la manipulation d'information, le
cyberterrorisme constitue une nouvelle forme de menace qui est considrer de manire trs srieuse.
Au-del des systmes informatiques et du monde virtuel que symbolise l'internet, la vie peut tre
menace en portant indirectement prjudice l'intgrit des personnes.
II.1.7
Cyberdlinquants
Parvenir distinguer la motivation du cyberdlinquant, ainsi que son niveau de technicit, permet,
dvaluer la gravit dune attaque et ainsi de mieux la contrer. Scuriser un systme dinformation
ncessite de connatre contre qui lon doit se protger. De nos jours, on observe deux grands types de
cyberdlinquants savoir, dune part, les professionnels dont les activits sont directement
rmunratrices et, dautre part, les amateurs, gnralement anims par un fort besoin de
reconnaissance sociale (Figure II.4).
Les professionnels sont gnralement:
des concurrents directs de lorganisation vise;
des fonctionnaires au service de leur Etat;
des mercenaires (pouvant agir aussi bien pour le compte dinstitutions prives que publiques);
des truands de toutes sortes.
Parmi les amateurs, se reconnaissent:
les techniciens, successeurs des premiers passionns, ces hackers des premiers ges dont la
motivation essentielle tait le dsir de matriser toujours mieux les technologies;
les curieux;
les immatures: souvent appels script-kiddies ou kiddiots. Ils sont frquemment sur le
devant de la scne aprs avoir t attraps. Le fait quils soient pris par les forces de lordre ne
signifie pas ncessairement quils sont les seuls cyberdlinquants;
34
Cybercriminalit
les psychopathes;
les militants, mus par idologie ou religion, qui sont dailleurs souvent cheval entre
amateurisme et professionnalisme).
Motivation:
Sociale Technique
Economique Idologique
Politique Religieuse
Personnelle, etc.
Gains
Revenus
Amateurs
Professionnels
Concurrents, Employes,
Fonctionnaires, Mercenaires,
Gangsters, Delinquants,
Terroristes
Mystiques
Curieux
Rebelles
Employs insatisfaits
Militants
Les motivations fondamentales de ces personnes sont relatives des composantes dordre social,
technique, politique, financire ou tatique.
La motivation sociale trouve ses racines dans le besoin de reconnaissance par ses pairs de lindividu,
li gnralement une structure de bande. Il veut prouver sa valeur au groupe en se rfrant aux
critres culturels internes. Il sagit, dun phnomne analogue celui des taggers, et qui est reli
une vision trs primaire des rapports sociaux. On le retrouve frquemment chez les immatures pour
lesquels le hacking apporte un sentiment de supriorit et de contrle dinstitutions quils estiment
subir dans leur quotidien.
La motivation technique reste rare. Elle a pour objet premier la recherche des limites de la technologie,
afin den mettre en lumire les limites et les faiblesses et den mieux comprendre les atouts.
La motivation politique consiste crer un vnement propre alerter les mdias, pour les focaliser
sur un problme grave en esprant provoquer une prise de conscience collective qui amnera sa
rsolution. Il est noter alors que la frontire avec le terrorisme peut tre tnue, au moins dun point
de vue conceptuel. On doit galement souligner que bon nombre de personnes dissimulent leur
motivation sociale derrire un objectif politique.
La motivation financire peut savrer trs forte et sous-tend beaucoup dactions illicites. Lappt du
gain, permet des criminels en col blanc de sexprimer via le rseau internet (voleurs, escrocs,
concurrents dloyaux, etc.).
Enfin, on peut distinguer une motivation gouvernementale. Quil sagisse de guerre de linformation
ou despionnage, elle concerne des services administratifs agissant pour le compte de puissances
tatiques.
Cybercriminalit
35
Les dlinquants ont su sadapter aux nouvelles technologies pour faire fructifier leurs activits
traditionnelles. On peut lgitimement sinquiter en voyant quel point ils peuvent tre cratifs
lorsquil sagit dinventer de nouveaux usages pour ces technologies.
II.1.8
II.1.8.1
Spam
Le spam est un envoi massif de messages lectroniques non sollicits dont la finalit est lorigine
commerciale et publicitaire afin dinciter les internautes commander un produit ou un service.
Le spam en dpit du dploiement de moyens techniques et des sommes investies par les fournisseurs
de service pour le bloquer, malgr galement lannonce faite par les autorits de vouloir combattre ce
flau et les condamnations de spammeurs prolifiques, le spam continue tre une vritable nuisance.
En septembre 2003 le spam reprsentait 54% du trafic total des messages lectroniques changs. En
2005 aux Etats-Unis, selon IDC, le nombre de spams envoys a dpass les 12 milliards de messages,
soit 38.7% du trafic total.
Pouss lextrme, le phnomne de spam peut ressembler une attaque par bombardement,
inondation de messages (email bombing) entranant une surcharge inconsidre des serveurs de
messagerie, des botes lettres des utilisateurs et des dsagrments. Cela peut se raliser par
linscription de lutilisateur son insu des listes de diffusion dinformation (list linkink). Ce dernier
doit alors se dsabonner de ces listes ou, si cela lui semble trop fastidieux, changer dadresse
lectronique. Cette alternative, quoiquefficace est galement drangeante dans la mesure o il est
ncessaire de prvenir tous les interlocuteurs de cette modification dadresse.
Le nombre de messages non sollicits, inappropris, ou parfois contenu propre choquer en quantit
massive peut porter atteinte au respect de la sphre prive de linternaute (notion de junk email). Mais
il est constat que, de plus en plus, le spam est utilis pour propager des programmes malveillants, ce
qui lui confre un degr de nuisance sans prcdent.
II.1.8.2
Programmes malveillants
Les principaux observateurs de la scurit informatique que cela soit le CERT12, le FBI, ou encore le
Clusif, constatent dans leurs rapports annuels concernant la criminalit informatique, une
augmentation des programmes malveillants ou indsirables sexcutent linsu de lutilisateur.
Il sagit des logiciels suivants:
Les tlchargeurs et implanteurs (downloaders) qui permettent le tlchargement de donnes
(accs distance et chargement de programmes ou rcupration de donnes);
Les keyloggers qui sont des enregistreurs de frappe, renifleurs de clavier qui capturent les
informations saisies au clavier par lutilisateur. Il existe galement des priphriques
matriels, (keyloggers matriels) indtectables par les logiciels qui enregistrent les donnes;
Les bot-robots qui sont des programmes permettant la prise de contrle distance de systmes
afin de former un rseau dattaques cach. De 25-50 nouveaux robots sont dcouverts chaque
jour. Ils servent de relais de spamming, de phishing ou pour distribuer des adwares. En
octobre 2005, la police hollandaise arrte trois hommes souponns de diriger un rseau de
100 000 ordinateurs robots qui se proposaient de mener des attaques de dni de service et
sintressaient aux comptes PayPal et Ebay de leurs victimes;13
Les logiciels publicitaires (adware advertising software) qui permettent entre autres la
personnalisation des dmarches commerciales;
12 CERT: Computer Emergency Response Team; www.cert.org Statistiques 1998 2005
www.cert.org/stats/cert_stats.html
13 Source: Clusif Panorama de la cybercriminalit rapport 2005:
www.clusif.asso.fr/fr/production/ouvrages/pdf/PanoCrim2k5-fr.pdf
36
Cybercriminalit
Les logiciels espions (spyware spying software) qui, comme leur nom lindique, enregistrent
des donnes linsu de lutilisateur. Selon lditeur de logiciels Webroot INC. plus de
100 000 diffrents spywares sont prsents sur le net et plus de 300 000 sites internet hbergent
de tels logiciels. Un PC connect sur l'internet possde en moyenne 28 spywares installs
linsu de son utilisateur. Plus de 80% des ordinateurs dune entreprise contiennent au moins
un spyware. Ces programmes sont lorigine de 70% des attaques.
A ces logiciels, il faut ajouter les virus et ses drivs (vers, cheval de Troie, bombe logique).
Les virus sont des programmes malveillants introduits dans un systme linsu des utilisateurs, qui
possdent la capacit de se dupliquer soit l'identique, soit en se modifiant (virus polymorphe), de
porter atteinte aux environnements dans lequel ils sexcutent et de contaminer les autres avec lesquels
ils sont en relation. Diffrents types de virus sont distingus en fonction de leur signature, de leur
comportement, de leur type de reproduction, dinfection, de dysfonctionnements induits, etc.
Lobjet dun virus informatique, de manire analogue au virus biologique, est de se reproduire et de se
propager dun ordinateur un autre, en sattachant toutes sortes de programmes, le plus souvent
des messages lectroniques. Gnralement via une intervention humaine. Lexcution dun virus peut
porter atteinte lintgrit des ressources informatiques contamines. Certains peuvent tre juste
drangeants, dautres carrment destructeurs, conduire des pertes de disponibilit et de
confidentialit.
Le terme de virus dsigne de manire gnrique tout programme informatique capable de nuisance
(infection, destruction, dtournement de ressources, etc.), capable de se reproduire et de se propager.
Environ 50 000 nouveaux virus ont circul, en 200514. Le virus HTML_NETSKY.P par exemple,
rpertori par le World Virus Tracking Center, a infect prs de 855 244 machines dans le monde
depuis avril 2004. Le cot pour les entreprises infectes par des virus, pour lanne 2004 selon
Computer Security Institute est de lordre de 42 millions USD. Selon F-secure.com il y aurait 4000
virus par jour en circulation.
Les vers, chevaux de Troie, bombes logiques sont des codes malveillants de la famille gnrique des
virus.
Les vers sont des programmes qui se diffusent travers le rseau, le plus souvent indpendamment
dune intervention humaine et ont souvent comme finalit de consommer de manire excessive des
ressources (mmoire, bande passante) portant atteinte ainsi au critre de disponibilit ou favorisant la
prise de contrle distance des systmes infects.
Les programmes malveillants qualifis de chevaux de Troie (Troyan horse) sont introduits
subrepticement, souvent sous couvert de programmes anodins ou daide, dans des systmes pour en
prendre le contrle afin de raliser le vol de temps processeur, laltration, la modification, la
destruction des donnes et programmes, des dysfonctionnements, des coutes illicites, mais aussi pour
raliser dautres malveillances et servir de relais des attaques ultrieures.
Les bombes logicielles (logical bomb) sont des virus qui sactivent lors de la ralisation dvnements
particuliers (date anniversaire par exemple) pour porter atteinte au systme dans lequel il se trouve.
En revanche, un bogue (bug) dont le terme est dorigine anglaise illustre une erreur de programmation.
Par extension dfaut de conception ou de ralisation se manifestant par des anomalies de
fonctionnement.
En principe, les virus se propagent et sexcutent si lutilisateur les active en excutant les
programmes dans lesquels ils rsident. La majorit des virus se sont jusqu prsent propag via les
fichiers attachs aux messages lectroniques (email attachement) et activ lorsque lutilisateur double
clique dessus et les ouvre.
37
Un grand nombre de programmes malveillants existent sous couvert doutils daide la navigation,
la connexion, la personnalisation des services, etc., mais en ralit ils sont pour la plupart des outils
de capture dinformations (vol dinformations, capture de mots de passe, de trafic), dappropriation de
ressources ou dattaques. Ils permettent de diffuser et de piloter des outils dattaques en dni de
service distribu (DDoS). Plusieurs milliers sont actuellement en circulation avec comme finalit le
profit financier.
Les attaques qualifies de dni de service (DOS Denial of Service) ou de dni de service distribu
(DDoS Distributed Denial of Service) sont celles qui portent atteinte la disponibilit des ressources.
Elles sont gnralement ralises en sollicitant de manire excessive les services normalement offerts
par un serveur, mettant le systme dans limpossibilit de rendre le service pour lequel il est conu
(do le nom de dni de service). Du fait du caractre normal de la demande de service, une attaque
par dni de service est trs difficile contrer (ce qui met mal linfrastructure est le nombre considrable de requtes sollicites). Elle est dautant plus difficile contrer quelle est ralise partir de
plusieurs points ou de systmes (notion dattaque par dni de service distribu).
Les vecteurs dintroduction de logiciels malveillants peuvent tre des logiciels gratuits ou en
dmonstration, les sites pornographiques ou de jeux, mais aussi le courrier lectronique, le spam et les
forums de discussions.
Quel que soit leur mode dintroduction, mme sils sont installs aprs un consentement initial ou
accord implicite de lutilisateur, ce qui peut tre le cas des adware mais jamais des spyware, leur
usage est dtourn. Le plus souvent, ils sexcutent en labsence de consentement des utilisateurs. Ces
logiciels collectent et transfrent des donnes linsu de lutilisateur (observation des habitudes de
navigation pour des publicits cibles) et peuvent servir dintermdiaires des activits illgales
(relais de spam et de phishing par exemple) des fins denrichissement de lentit qui en est
lorigine. La dtection dsinstallation de tels logiciels est parfois difficile. De manire gnrale,
linternaute ne possde pas les comptences ou les outils ncessaires pour matriser ce risque.
Le phishing consiste utiliser la messagerie lectronique pour leurrer et inciter les internautes livrer
des informations sensibles exploites ensuite des fins malveillantes (escroquerie et/ou dtournement
dinformation). En septembre 2005 plus de 5259 sites de phishing taient actifs, ciblant prs de
110 marques selon le Journal du net 26.01.200515.
Le terme phishing est employ pour dsigner une technique qui consiste leurrer les internautes
(souvent par le biais dun message lectronique) afin de les inciter livrer des informations sensibles
ou personnelles, (gnralement en leur demandant de se connecter sur un site web qui ressemble au
site web de linstitution quils connaissent et remplir des formulaires qui sont alors disposition des
malveillants).
Les informations communiques par linternaute, notamment son identit virtuelle, seront ensuite
utilises pour raliser des malveillances escroquerie, fraudes, etc., au nom des internautes leurrs.
Par analogie la pche la ligne (fishing) qui se ralise via un hameon et un leurre, la pche
lectronique aux donnes sensibles passe par un appt qui amne lutilisateur donner de son plein gr
linformation convoite par les malveillants.
Bien que la plupart du temps les tentatives de phishing se ralisent par la rception dun message qui
semble authentique et qui est cens tre mis par une institution relle avec laquelle linternaute est en
contact (poste, banque, commerant, site de ventes aux enchres par exemple), il peut tre ralis par
tlphone ou directement par une personne ou encore via le tlphone portable ou une application de
messagerie instantane (Instant Messaging, IM).
15 www.journaldu net.com
38
Cybercriminalit
II.1.8.3
Tendances
De nos jours, les virus nont plus pour objectif principal la destruction massive et gratuite de donnes.
Ils deviennent pragmatiques et sont orients vers la recherche de gains. Leur finalit est bien plus
intelligente qu leur origine et leur capital embarqu leur permet de raliser des fraudes. Les virus
deviennent des vecteurs de ralisation de la criminalit financire au service le plus souvent, de la
criminalit organise et constituent des moyens denrichissement considrable pour leur auteur.
Pour ce qui concerne par exemple laugmentation du spam et des nuisances associes, le CLUSIF16 a
relev quAOL aurait filtr 500 milliards de messages de spam en 2003 et que le spammer le plus
prolifique du monde, rvl en dcembre 2003 par lassociation anti-spam Spamhaus17, aurait envoy
70 millions de messages lectroniques en un seul jour!
Toujours selon le CLUSIF, aux Etats-Unis, en mai 2003 le Buffalo spammer a t condamn payer
une amende de 16,4 millions USD au fournisseur de service internet Earthlink, pour avoir envoy
825 millions de messages non sollicits. Selon Ferris Research le spam aurait cot au monde des
affaires en 2003, 2.5 milliards USD aux Europens et 8.9 milliards USD aux Amricains. Ajout aux
500 millions USD investis par les fournisseurs de service pour bloquer le spam, cet usage abusif de la
messagerie lectronique devient un vritable problme que lon ne peut plus ignorer.
Outre les pertes directes conscutives une fraude, il faut considrer les cots engendrs par une
interruption de service, entranant une non continuit des oprations, une perte de volume de ventes,
les dommages collatraux, la perte dimage, de rputation, etc., ainsi que les cots relatifs la
restauration des systmes dans leur tat oprationnel. Ceci reprsente des sommes non ngligeables
pour les organisations cibles par des attaques informatiques.
Ainsi, il est remarqu que le nombre dattaques ne cesse de croitre, que les virus informatiques
constituent de vritables pandmies. Les phnomnes dusurpation didentit prennent de lampleur et
deviennent de plus en plus sophistiqus, comme dailleurs les fraudes, escroquerie et diverses formes
de chantage qui sont des ralits quotidiennes du cyberespace. Cela affecte tout le monde et touche
tous les secteurs dactivit indpendamment des barrires gographiques ou temporelles.
Touts, les systmes, toutes les plateformes matrielles et logicielles, tous les systmes dexploitation,
sont touchs sans exclure les systmes permettant la mobilit des utilisateurs (ordinateurs et tlphone
portables).
II.1.9
II.1.9.1
Tous les crimes et dlits communs (racket, traitent des tres humains, escroquerie, vol, etc.) que les
organisations criminelles commettent, sont susceptibles de bnficier de l'utilisation des nouvelles
technologies de linformation et notamment de l'internet. De manire gnrale, le service de mise en
relation offert par le rseau internet favorise lensemble des trafics possibles que cela soit relatif au
trafic darmes ou celui dtres humains, aux escroqueries (atteintes contre des biens, atteintes des
systmes et infrastructures informatiques, vol de donnes, atteintes au droit dauteur, etc.).
L'internet permet aux escrocs de svir selon diverses modalits. Il y a tous ceux qui usurpent une
identit afin de bnficier de prestations sans avoir les rmunrer. Leur outil de travail est souvent le
logiciel de carding qui permet de crer de numros de carte bancaire parfaitement valides bien que
ne correspondant aucun compte rel. Il suffit ensuite d'acheter en ligne et de se faire livrer une
adresse
39
de complaisance que l'on utilisera une seule fois. Le cot sera support par le systme bancaire ou le
commerant. Lutilisateur final est aussi concern lorsque son numro de carte de crdit a t livr par
un pickpocket, ou un commerant indlicat, un rseau spcialis.
Une autre famille d'escrocs est constitue par tous ceux qui proposent des prestations inexistantes
(vente de diplmes, de passeports diplomatiques d'Etats imaginaires, vente aux enchres de produits
inexistants, etc.).
De mme, sont facilites les activits despionnage et de renseignement puisquil est devenu ais
d'intercepter illgalement, des informations transfres sur l'internet.
Remarquons que l'utilisation systmatique de moyens de communication et de scurit
informationnelle comme le chiffrement, par des terroristes professionnels, peuvent aussi amliorer leur
propre scurit en limitant la quantit d'information susceptible d'tre rcupre par la police.
L'internet est un puissant medium qui favorise la diffusion de mthodes permettant la ralisation de
crimes et de dlits, ce qui facilite pour certains le passage lillgalit.
II.1.9.2
Contrefaon
La facilit avec laquelle l'information numrique peut tre reproduite, a contribu l'apparition d'un
march de la copie illicite. Cela reprsente un manque gagner de plusieurs dizaines de milliards
USD, pour les diffrents diteurs dans les domaines des logiciels, de la musique ou encore du film
vido par exemple.
Par ailleurs, on constate une augmentation trs importante du nombre de travaux scolaires ou
universitaires raliss par simple copie de documents existants sur le web.
Les infractions au code de la proprit intellectuelle peuvent tre nombreuses: contrefaon dune
uvre de lesprit (y compris logiciel), de dessin, dun modle, dune marque, etc.
II.1.9.4
Manipulation de l'information
La manipulation peut prendre diverses formes, comme par exemple la diffusion de documents internes
dune entreprise de manire provoquer sa dstabilisation, envois de courriers lectroniques appelant
les destinataires raliser des dons montaires sur des sites contrefaits, etc.
Linternet est un outil privilgi pour rpandre des rumeurs ou toute forme dintoxication. Il favorise
galement les infractions de presse, la provocation aux crimes et dlits, lapologie de crimes contre
lhumanit, apologie et provocation au terrorisme, provocation la haine raciale, ngationnisme,
diffamation, injure, etc.
40
Cybercriminalit
Provocation aux crimes et dlits Apologie des crimes contre lhumanit Apologie et provocation au
terrorisme Provocation la haine raciale Ngationisme Diffamation Injures
II.1.9.5
Les institutions publiques ont plus que jamais le besoin de jouer leur rle traditionnel de poursuite et
de rpression des fraudes et des dlits. Elles devraient aussi tre actives en matire de sensibilisation et
dinformation de la population. Il serait notamment utile de pouvoir disposer dlments de rfrence
relatifs la protection des personnes et des biens lors de lusage de linternet.
De plus, il serait dangereux de laisser les forces de police prendre un retard dans le domaine technologique. En effet, un ventuel effort de rattrapage aprs quelques annes aurait non seulement un cot
financier direct, sous forme dinvestissements dans de nouvelles infrastructures, mais aussi et surtout
un cot social par laccroissement de lemprise des structures mafieuses ou assimiles sur la socit,
avec tous les risques de dstabilisation que cela comporte.
Toutefois, laccroissement excessif de la prsence policire sur le rseau nest pas forcment la
meilleure des choses et peut entrer en conflit avec les besoins de confidentialit des changes et de
respect de la sphre prive des individus.
II.1.10
41
Nanmoins, la mise en place par exemple, aux Etats Unis de Computer Investigation and
Infrastructure Threat Assessment (CITA) squads dcentraliss et coordonns par le National
Infrastructures Protection Center (NIPC) relve indirectement lampleur de la cybercriminalit.
Le nombre dincidents de scurit rapports au CERT18 continue de progresser depuis le dbut des
annes 2000 et le nombre dattaques dclares aux autorits judiciaires tend galement augmenter au
cours des annes, ce qui contribue une meilleure connaissance et prise en compte de la criminalit
informatique. Lanne 2003 a t marque par laugmentation significative du volume du spam, qui ne
se limite plus linternet mais touche galement les SMS, et par larrestation et la condamnation de
spammers. Des oprations de police denvergure que cela soit aux Etats Unis (opration E-Con en mai
2003, Cyber-Sweep en octobre 2003 quen Europe (Espagne, Italie, France, GB, etc.) montrent que les
autorits ragissent et sadaptent ce nouveau contexte criminel. Larrestation et la condamnation de
quelques auteurs de virus ou de spam dmontrent la volont de restreindre ces nouvelles formes de
nuisance. Toutefois, le nombre de condamnations reste trs marginal au regard de limportance
quantitative du spam et des virus circulants journellement19.
Le chiffre noir de la cybercriminalit est difficile apprhender. Seulement 12% des cybercrimes
seraient connus des instances de justice et police et du grand public20. Il existe une relle difficult
obtenir un tat des lieux raliste de la criminalit informatique, ce qui constitue un vritable obstacle
lanalyse du phnomne et contribue la mconnaissance de son ampleur.
Le manque de statistiques officielles provient en partie du fait que les organisations:
ignorent quelles sont victimes dune malveillance, notamment pour toutes attaques passives
(dtournement transparent de donnes, de flux, coutes clandestines, introduction non dtecte
dans des systmes, etc.), ou en prennent conscience qu posteriori lorsque toute action de
raction devient obsolte;
nont pas une confiance suffisante dans les instances de justice et police et dans leur
comptence pour traiter ce type de problme;
Lexpertise des attaquants, la sophistication et lefficacit des attaques, les botes outils, les outils
dattaques ainsi que le nombre dattaques ne cessent de crotre. Ce dynamisme induit une complexit
croissante du phnomne matriser. Sans une volont politique forte et une responsabilit de tous les
acteurs au niveau international et un partenariat efficace des secteurs privs et publics, toute mesure de
scurit, quelle soit dordre technologique ou lgislative, ne constituera quune approche insuffisante
et parcellaire de la scurit qui sera donc inefficace la matrise de la criminalit informatique.
Cybercriminalit
II.1.11
43
Cette rponse doit satisfaire aux besoins de scurit nationale, des organisations et des individus. Elle
doit contribuer limiter un niveau acceptable la cybercriminalit, tablir la confiance dans le
monde numrique, minimiser le risque de corruption et de menace des pouvoirs publics.
Plusieurs manires de dtourner les possibilits offertes par les technologies de linternet existent.
Elles sont le plus souvent fondes sur lusurpation de paramtres de connexion, de mots de passe
dayant droits, ainsi que sur le leurre et lexploitation de failles et de vulnrabilits des technologies.
II.2.2
Les principaux moyens qui permettent dobtenir des paramtres de connexion dayants droits pour
sintroduire dans des systmes sont les suivants:
Obtention directe: le mot de passe est vident (prnom de la personne, du conjoint, de ses
enfants, dates de naissance, etc.), le mot de passe est donn directement par lutilisateur au
malveillant.
Obtention par leurre de lutilisateur (notion de social engineering): le fraudeur se fait passer
pour un administrateur et demander pour des raisons techniques, les mots de passe des
utilisateurs qui dans la majorit des cas, les donnent.
Obtention par coute du trafic: le fraudeur intercepte, coute les donnes transmises en clair
par les protocoles de communication (coute passive (sniffing) surveillance du trafic rseau
(monitoring)).
Obtention par un logiciel: un cheval de Troie est introduit dans le poste de travail dun
usager et enregistre son insu ses paramtres de connexion des systmes distants.
Obtention par observation des utilisateurs par activation des priphriques multimdia pour
enregistrer leurs paramtres de connexion.
Une fois en possession des cls dentre dans les systmes (identification du couple lutilisateur, mot
de passe), il est ais de les pntrer et deffectuer toutes sortes doprations de lecture ou dcriture.
Lenjeu pour le hacker est alors de ne pas se faire dtecter et de ne pas laisser la trace de sa prsence
dans les systmes visits.
II.2.3
Une attaque conduisant un dni ou refus de service peut tre ralise en sollicitant excessivement des
ressources. Ne possdant pas la capacit de traiter un tel afflux de demandes, les systmes cibls,
surchargs par un trop grand nombre de requtes, seffondrent et deviennent indisponibles. Elles
peuvent tre perptres en tirant parti des failles de leur systme dexploitation et utiliser par exemple
ses caractristiques internes, notamment celles de leur gestion de certaines zones tampon (buffer
overflow attack) entranant des dysfonctionnements graves pouvant conduire larrt des systmes.
Une attaque par inondation de messages (e-mail bombing) qui consiste submerger la bote lettres
lectronique dun utilisateur peut entraner un dni de service.
44
Cyberattaques
II.2.4
Une attaque par modification de la page daccueil dun site web (defacement attack) est ralise en
substituant une page dun site par une nouvelle, dont le contenu (pornographique, politique, etc.) est
variable selon la motivation des attaquants. Une variante de ce type dattaque, consiste rediriger
lutilisateur vers un faux site, ressemblant exactement celui auquel il sest initialement connect, afin
de lui soustraire par exemple son numro de carte bancaire. Ce type dattaque est mis en uvre lors
doprations de phishing.
Les contenus de sites dinformation peuvent galement tre modifis des fins de dsinformation
(pour influencer le cours dactions, dstabiliser, manipuler lopinion publique, etc.). Ces attaques
smantiques (semantic attack) qui touchent au sens mme des informations, relvent de linfoguerre
(infowar).
II.2.5
Tous les protocoles de la famille TCP/IP (Transmission Control Protocol/Internet Protocol) peuvent
tre dtourns et mis en uvre pour porter atteinte la scurit de systmes. Il en est de mme des
protocoles et mcanismes qui contribuent lacheminement des donnes au travers du rseau. Ainsi,
par exemple, lors de session de travail entre un client et un serveur, un vol de session TCP peut exister.
En effet, le protocole TCP (Transmission Control Protocol) pour sexcuter, tablit une connexion
logique entre les deux correspondants et supporte lchange de donnes applicatif entre ces derniers.
Or, pour mettre en relation les applications distribues, TCP utilise des numros de port (port
number) ou identifiants logiques des applications. Certains sont spcifiques et rservs des
programmes particuliers et bien connus des utilisateurs; dautres sont affects dynamiquement lors de
la connexion selon un algorithme dtermin. Une attaque par numro de port TCP consiste deviner
ou prdire les prochains numros de ports affects lchange de donnes pour les utiliser la place
de lutilisateur normal et se substituer lui. Ainsi, on peut passer des firewalls et tablir une
connexion scurise entre deux entits (lentit pirate et lentit cible). Bien sr, lentit originelle
qui a t substitue ne peut pas communiquer avec lentit distante; il suffit alors, de lui transmettre un
message lui signifiant par exemple que le systme sollicit est inactif.
Le User Datagram Protocol (UDP) est un protocole de niveau 4 (Transport) sexcutant en mode non
connect. Il constitue une alternative lusage du protocole TCP pour le transfert rapide dun petit
volume de donnes. Les communications UDP ne font lobjet daucun contrle. Le protocole UDP
neffectue pas de contrle didentification, de contrle de flux et de contrle derreur, de ce fait
nimporte qui peut utiliser une adresse IP dun interlocuteur autoris se connecter un systme et
sen servir pour le pntrer. Des vols de sessions UDP peuvent galement avoir lieu sans que les
serveurs dapplication ne sen rendent compte
Par ailleurs, il est ais, quand on connat le mode opratoire des diffrents protocoles, qui est public,
de dtourner leur usage, de gnrer de faux paquets pour surcharger le rseau par exemple et linonder
pour entraner des dnis de service. Ainsi, on touche au critre de scurit relatif la disponibilit du
rseau et des services.
Les dlinquants informatiques savent trs bien tirer parti des protocoles et de leur limites pour:
paralyser le rseau;
rediriger des paquets IP vers une fausse destination (la leur par exemple);
augmenter considrablement la charge des systmes en leur faisant traiter, en vain, un grand
nombre de messages non significatifs;
contrler le flux dmission des paquets, ce qui a galement des consquences sur le trafic
support par le rseau et porte atteinte ses performances (fiabilit, sret de fonctionnement).
Cyberattaques
45
De manire gnrale, les attaques au niveau du routage se basent sur la mystification des routeurs, des
passerelles et des destinataires, en leur fournissant de fausses informations dadressage qui permettent
de dtourner les donnes.
En utilisant par exemple certaines facilits optionnelles du protocole IP qui permettent de dfinir la
route, cest--dire de spcifier les adresses des systmes intermdiaires par lesquels un paquet doit
passer, et en falsifiant ces adresses, un fraudeur peut aisment rediriger des paquets vers une
destination de son choix.
Outre le fait que les attaquants savent tirer partie du mode opratoire des protocoles de
communication, ils savent galement exploiter les caractristiques des systmes dexploitation et de
leur mode de fonctionnement. Ainsi, des dpassements de capacits de certaines zones tampon des
systmes (buffer overflow attack) entranent des dysfonctionnements graves pouvant conduire leur
arrt. Les cibles de ce type dattaque sont, bien entendu, tous les systmes jouant un rle important
dans la ralisation de services, que cela soit pour lacheminement des donnes comme les routeurs, ou
la gestion des noms et des adresses comme les serveurs de noms par exemple. La plupart des attaques
dont sont lobjet les sites web sont celles qui les rendent indisponibles et qui peuvent tre perptres
par lexploitation des failles de leur systme dexploitation.
II.2.6
Les infrastructures critiques essentielles au bon fonctionnement dune socit (nergie, eau, transports,
logistique alimentaire, tlcommunications, banque et finance, services mdicaux, fonctions
gouvernementale, etc.), voient leur vulnrabilit augmente par un recours accru aux technologies de
l'internet qui les rendent accessibles depuis le rseau des rseaux.
De plus, il faut souligner limportance particulire de la vulnrabilit des systmes de production et de
distribution dlectricit. Ils constituent une infrastructure vitale, donc critique, dans la mesure ou elle
conditionne le fonctionnement de la plupart des autres infrastructures. La complexit et le caractre
rparti des relations entres les diffrentes infrastructures critiques est la fois source de force et de
vulnrabilit.
Il est fondamental de scuriser les passerelles vers linternet des rseaux de gestion de ces
infrastructures et de mettre en place au niveau rgional ou national, des organismes chargs de la
protection des infrastructures critiques. Leur mission premire est de coordonner la conception et la
mise jour des plans de protection de chacune des infrastructures. En effet, la cohrence et la
compatibilit de ces plans et solutions de scurit est primordiale en cas de crise touchant
simultanment plusieurs dentre elles.
II.2.7
21 Figure issue du livre Scurit informatique et tlcoms: cours et exercices corrigs; S. Ghernaouti-Hlie; Dunod 2006.
46
Cyberattaques
Phase 4
Exfiltration
Collecte dinformations
Recherche de vulnrabilits
Savoir-faire et exploitation
des informations
recueillies et des failles
Intrusion
Phase 2
Failles technologiques,
de conception, de
configuration, etc.
Leurres
Usurpation de
mots de passe
Phase 3
Cration dune attaque
Problmes
scuritaires
De plus, le fraudeur semploiera dtecter et exploiter les failles de scurit connues mais non encore
rpares (non patches) et utiliser les outils disponibles (notions de bibliothques dattaques ou de
boites outils dattaques) pour sintroduire dans les systmes. La phase dexfiltration a pour objectifs
principaux de faire en sorte que lattaque ne soit pas dtecte et que lattaquant ne laisse pas de trace
pouvant servir son identification. Pour contribuer cela, il semploiera rester anonyme, utiliser
des alias (pseudonymes), usurper lidentit numrique dutilisateurs, ou encore brouiller les pistes
en passant par plusieurs systmes intermdiaires ou relais.
Cyberattaques
47
SECTION III
APPROCHE TECHNOLOGIQUE
Caractristiques
III.1.2
Principes fondamentaux
51
Les rseaux se distinguent le plus souvent selon plusieurs critres parmi lesquels on peut noter la
couverture gographique, la topologie22, la technologie mise en uvre et les applications supportes,
le mode de fonctionnement, le type de support de transmission (filaire, non filaire), leur nature prive
ou publique, etc.
Historiquement, les premiers rseaux furent des rseaux grande distance23 (rseaux tlphoniques,
tlex, Transpac, internet, etc.). Cest avec larrive des micro-ordinateurs (dbut des annes 80) que
sont apparus les rseaux locaux24.
Depuis quelques annes, ces distinctions tendent sattnuer dans la mesure o les rseaux sont relis
entre eux. Un rseau local, par exemple, peut sinterconnecter dautres et devenir un rseau tendu.
Par ailleurs, les rseaux ne sont plus ddis au support dun seul type dapplication, mais permettent
de transfrer la fois de la voix, des donnes informatiques et des images vido (notion de rseau
multimdia).
Un rseau peut tre priv, propre une organisation qui sen rserve le droit exclusif dutilisation, ou
public. Dans ce cas, les services de tlcommunication sont offerts des personnes ou institutions
diffrentes, selon certaines modalits dabonnements.
Les principales technologies de transmission utilises pour raliser des rseaux grande distance sont
les technologies TCP/IP, le relais de trames (Frame Relay) ainsi que ATM (Asynchromous Transfer
Mode). Pour ce qui concerne le march des rseaux locaux dentreprise, la technologie prpondrante
est fonde sur Ethernet et ses dclinaisons haut dbit (Fast Ethernet, Ethernet commut).
Dans le domaine des tlcommunications, le transport optique et la technologie de commutation ATM
ont marqu une tape dans lvolution des infrastructures et des artres de transmission. Ils autorisent
des transferts haut dbit et de qualit, une allocation dynamique de bande passante, un dbit variable et
le multi-usage.
III.1.3
III.1.3.1
Supports dinterconnexion
Pour relier des ordinateurs entre eux et les mettre en rseau, des supports de transmission sont
ncessaires. Selon leur nature, on distingue les supports matriels (paires de fils torsads, cbles
coaxiaux, fibres optiques) des supports immatriels (faisceaux hertziens, ondes infra-rouges). Ces
diffrents supports ont tous des caractristiques spcifiques dterminant leur fiabilit et leur capacit
transmettre des quantits dinformation plus ou moins importantes, diffrentes vitesses.
Le dbit autoris sur un support dinterconnexion est la quantit dinformations transfre durant un
laps de temps donn. Il sexprime en kilo, mga, ou encore trabits par seconde (100 Mbit/s par
exemple). Il est proportionnel la bande passante du support de transmission (bandwith) qui exprime
la plage de frquences dun signal que le support peut laisser passer sans modification.
22 Lorganisation des liens dinterconnexion et la faon dont ils relient les lments dun rseau identifient sa topologie
23 Un rseau grande distance ou WAN (Wide Area Network) est un rseau reliant des ordinateurs rpartis sur un territoire
gographique plus ou moins vaste (suprieur 100 km), voire mondial.
24 Un rseau est qualifi de local ou LAN (Local Area Network) lorsquil relie des ordinateurs dans un environnement
gographique restreint quelques kilomtres (une dizaine). Un rseau mtropolitain ou MAN (Metropolitan Area
Network) est un rseau dinterconnexion de rseaux locaux pouvant appartenir des entits diffrentes et dont la
couverture gographique nexcde pas 100 km. Une nouvelle terminologie est en passe dmerger pour identifier les
diffrents types de ressources mises en rseau ou encore pour distinguer un domaine dapplication particulier. Ainsi, par
exemple on trouve dans la littrature spcialise les sigles suivants: HAN (Home Area Network), rseau interconnectant
dans une maison des quipements tlcommandables (four, vido, dispositifs lumineux et de chauffage, etc.), CAN (Car
Area Network), SAN (Storage Area Network), etc.
52
Infrastructures de tlcommunication
III.1.3.2
lments de connectique
Outre les systmes des utilisateurs qui permettent daccder un rseau et les ordinateurs ddis la
gestion et au traitement des applications (machines htes ou host et serveurs dinformations), des
ordinateurs de traitement des communications constituent linfrastructure de transport dun rseau. Ils
assurent une ou plusieurs fonctions propres la gestion et la ralisation des tlcommunications
(optimisation et partage des ressources, acheminement des donnes, gestion des adresses, des noms,
interconnexion, etc.). Ce sont, par exemple, des routeurs, multiplexeurs, concentrateurs, commutateurs
ou des passerelles dinterconnexion.
Pour communiquer, il faut transmettre linformation de manire fiable selon des modalits dchange
satisfaisantes pour les correspondants. En effet, les systmes interconnects par les rseaux de tlcommunication sont a priori diffrents. Pour quils puissent dialoguer, ils doivent utiliser le mme
rfrentiel de communication, cest--dire le mme langage et respecter des rgles dchange
communes.
Par analogie, deux individus de langue maternelle diffrente dsirant schanger des informations se
mettront daccord sur la langue employer. Lun fera peut-tre leffort de parler la langue de lautre
ou ils utiliseront une troisime langue connue des deux.
Si cette conversation initiale sintgre une tierce personne, puis une quatrime et une cinquime, etc.
parlant dautres langues, lchange de donnes risque de devenir difficile raliser sil faut traduire
une langue dans une autre pour chaque paire dinterlocuteurs. Il est alors prfrable de parler une
langue commune et adopte par lensemble des entits communicantes.
De manire similaire, les ordinateurs mis en rseau doivent respecter des protocoles de communication
identiques et suivre les mmes rgles de dialogue afin de pouvoir communiquer. Ces protocoles sont
intgrs dans des logiciels de communication. Ils permettent entre autres de raliser lacheminement
correct des donnes et linterfonctionnement des applications et des systmes distants.
Des organismes reconnus par lensemble de la communaut industrielle dfinissent des normes
internationales ou des standards de fait. LISO (International Organization for Standardization) et
lUIT (Union internationale des tlcommunications) sont des organismes internationaux de
normalisation qui proposent des normes internationales (normes de la srie X.400 par exemple).
Une norme de fait est une norme non issue de ces organismes mais qui est largement adopte par le
march. Elle devient alors une norme de rfrence, soit un standard de fait. Ainsi, tous les protocoles
provenant de la communaut internet sont des standards de fait.
25 Linformation sortant dun ordinateur, pour transiter sur un tel support, doit tre module. Linformation vhicule sous
forme analogique doit tre sa rception dmodule et prsente sous forme digitale lordinateur destinataire. Un mme
dispositif, le modem, module et dmodule linformation qui est mise et reue par un ordinateur.
Infrastructures de tlcommunication
53
Les normes dfinissent, entre autres, la nature des services offrir par les protocoles de
communication et spcifient la faon de les raliser. Cela permet la conception de solutions
informatiques communicantes. Ainsi, grce lutilisation des mmes types de protocoles dans des
machines diffrentes (ou htrognes), la communication entre elles est possible. Luniversalit du
rseau internet repose sur lintgration des protocoles de la famille internet dans lensemble des
machines relies.
III.1.4
III.1.5
L'internet
III.1.5.1
Caractristques gnrales
L'internet sest dploy progressivement depuis les Etats-Unis, en reliant de proche en proche, des
systmes informatiques ainsi que des rseaux dordinateurs. Ce dveloppement rticulaire se poursuit.
Il dtermine la structure du rseau qui est un rseau composs de rseaux. Il ne peut exister de contrle
global de lensemble des infrastructures mises ainsi bout bout, dans la mesure o elles sont
indpendantes et appartiennent des organisations diffrentes.
Du point de vue matriel, l'internet, comme nimporte quel rseau de tlcommunication ,est constitu
de systmes informatiques, dlments de connectique, et de supports de transmission. Parmi les
systmes informatiques, on distingue ceux qui permettent daccder au rseau et qui autorisent le
dialogue avec lutilisateur final (micro-ordinateur, tlphone portable, pager, agenda lectronique,
etc.), ceux qui supportent les applications (serveur web, serveur de bases de donnes, etc.) et ceux
ddis aux traitements rseau (routeurs, passerelles dinterconnexion, etc.).
Lchange de donnes entre ordinateurs seffectue sur les supports de transmission qui les relient
physiquement. Lorsque le point daccs linfrastructure de l'internet seffectue partir dun systme
autorisant la mobilit de lutilisateur, comme le tlphone portable par exemple, on parle dinternet
mobile.
54
Infrastructures de tlcommunication
Le transfert de donnes, leur acheminement ainsi que la communication entre processus informatiques
rpartis et utilisateurs humains, sont raliss par des protocoles de communication de la famille
TCP/IP26. Ces logiciels dchange, normaliss dans le monde de linternet, constituent une interface
de communication qui permet linteroprabilit de systmes de nature diffrente. Pour communiquer
dans lenvironnement internet, un ordinateur doit possder ces protocoles de communication ainsi
quune adresse IP qui lidentifie de manire unique (Figure III.1).
Figure III.1 Accs internet via un fournisseur d'accs, une suite de protocoles TCP/IP et une
adresse IP
Rseau daccs
Internet
Suite de protocoles
TCP/IP
@ IP
Fournisseur
daccs internet
Suite de protocoles
TCP/IP
@ IP
55
Reseau de partenaires
Ex tranet
Reseau dentreprise
Intranet
Usage priv
Reseau public
I NTERNET
Internet
Usage public
TECHNOLOGIES
INTERNET
III.1.5.2
On accde au rseau internet par lintermdiaire de points daccs grs et contrls par des
entreprises spcialises dnommes fournisseur daccs internet (ISP, pour Internet Service Provider).
Chaque fournisseur daccs est lui-mme connect au rseau internet par des lignes de tlcommunication permanentes quil partage entre ses diffrents clients. Au-del de ce service de base, il offre
gnralement un service de gestion de messagerie lectronique et peut aussi hberger des sites web de
ses clients.
Pour communiquer sur l'internet, il faut disposer dune adresse internet (adresse IP). Il sagit dune
suite binaire de 32 bits, identifiant sans ambigut chaque machine qui communique sur internet27.
Une adresse IP est exprime sous sa forme dcimale, constitue par quatre nombres dcimaux spars
par des points. Par exemple, ladresse 128.10.2.30 correspond la valeur binaire
10000000.00001010.00000010.00011110. Comme il est impossible de mmoriser des suites de
nombres, mme dcimaux, on utilise des noms (plus ou moins mnmotechniques) ou adresses
logiques, pour identifier les ressources de lenvironnement internet. Ces adresses IP et ces noms
correspondants sont stocks et grs dans des annuaires lectroniques dnomms serveurs de noms,
dont limplantation est connue sous le sigle DNS (Domain Name Server).
La mise en uvre de communications dans un environnement ouvert ncessite de pouvoir attribuer un
identificateur unique dans un domaine de dnomination dtermin. Il sagit de pouvoir identifier les
partenaires de la communication (adresses, systmes, processus dapplication, entits, objets de
gestion, etc.) ainsi que les outils mis en uvre pour les raliser (protocoles). Pour assurer lunicit des
noms au niveau international, il existe des procdures denregistrement, auprs dautorits
comptentes, dont le rle est dattribuer un identificateur non ambigu et unique lobjet que lon
dsire identifier.
27 Ladresse IP est unique; elle peut tre allou de manire permanente (adresse IP fixe) ou non (adresse IP temporaire).
56
Infrastructures de tlcommunication
La norme ISO 9834 a spcifi des autorits denregistrement et les a organises selon une structure
hirarchique arborescente. De la racine de larbre partent trois branches aboutissant des nuds
distincts de premier niveau qui reprsente le domaine de dnomination de lUIT, de lISO, et dun
comit joint ISO-UIT qui constituent les autorits internationales denregistrement. Le niveau
immdiatement infrieur lISO autorise entre autres, lenregistrement:
des membres de lISO (member-body 2) sous lequel on trouvera lAFNOR (208), lANSI
(310);
des organisations (organization (3)) sous lequel dpendra par exemple le Dpartement de la
Dfense amricaine (DOD) (6) (Figure III.3).
Racine
UIT (0)
recommandation (0)
a (1)
ISO (1)
question (1)
standard (0)
z (26)
France (250)
DOD (6)
internet (1)
directory (1)
management (2)
expermental (3)
ASN.1 (1)
Directory
Services (5)
NATO (26)
security (5)
private (4)
mib-II (1)
system (1)
sysDescr (1)
interface (2)
sysObjectID (2)
at (3)
sysUpTime (3)
ip (4)
icmp (5)
sysContact (4)
tcp (6)
sysName (5)
udp (7)
sysLocation (6)
Les noms de domaine gnriques de l'internet sont enregistrs dans cette structure logique
d'enregistrement. On ne s'intresse alors qu' la partie de l'arbre d'enregistrement dont le nud
constitue la racine des noms de domaines les plus levs qualifis de top-level domains (TLD). Ces
derniers identifient principalement des pays indiqus par deux lettres (fr, it, uk, ch, nl, de, etc.) et des
domaines fonctionnels comme:
.com
organisations commerciales;
.edu
.org
.gov
gouvernement amricain;
.mil
.net
oprateurs de rseaux;
.int
entits internationales;
.biz
.info
.name
57
.museum
.aero
.coop
.pro
lintrieur de ces grands domaines de dsignation, se trouvent des sous-domaines, qui correspondent
de grandes entreprises ou dimportantes institutions.
LIANA (Internet Assigned Number Authority)28 bas lICANN (Internet Corporation For Assigned
Names and Numbers)29 est responsable de lattribution des noms et adresses et doit sassurer de leur
unicit. Cette responsabilit de gestion des noms peut-tre dlgue un sous-domaine qui est, d'un
point de vue hirarchique, sous son autorit.
Enregistrer un nom de domaine consiste insrer une entre dans un annuaire de dsignations. Cela
revient crer un nouvel arc dans l'arbre d'enregistrement gr par une organisation habilite. Il en
existe plusieurs au niveau international, notamment pour ce qui concerne les domaines.biz,.com,.info,
.name,.net,.org.
Pour la France, par exemple, lAFNIC30 est lautorit d'enregistrement accrdite (Accredited
Registrar Directory) par l'ICANN (Internet Corporation for Assigned Names and Numbers).
Cest une association amricaine sur territoire amricain, oprant selon la lgislation amricaine
qui possde le pouvoir de lattribution et la gestion des adresses31. Elle contrle ainsi laccs
linternet. Ceci pose un rel problme de dpendance des organisations et des Etats vis--vis dune
supra-structure trangre qui se veut ouverte sur le reste du monde mais dont le poids des
reprsentants non amricains est faible.
Le critre de scurit relatif la disponibilit (des infrastructures, services, donnes) qui passe par
laccessibilit au rseau internet ne peut tre ni contrl, ni matris par les organisations. Elles sont
tributaires pour leur accs linternet, de lattribution des adresses IP et des noms de domaine,
dentits qui leurs sont externes.
Les annuaires d'enregistrement des noms de domaine peuvent tre vus comme des bases de donnes
gres par des serveurs DNS. Une quinzaines de serveurs racine DNS (root servers) sont coordonns
par l'ICANN, la grande majorit des serveurs racine se situe sur le territoire nord amricain. Ils grent
les noms de domaine et les adresses IP de plus haut niveau (top-levels domains). Cela comprend
l'ensemble des domaines prcdemment cits (.org,.com, etc.) et aussi les 244 noms de domaine des
diffrents pays (.cn (Chine),.ga (Gabon),.lk (Sri Lanka),.pf (Polynsie franaise), etc.). Des serveurs
DNS locaux dits de rsolution (resolvers) possdent une copie des informations contenues dans les
serveurs racine. Souvent associs des points stratgiques d'accs au rseau ou lis des fournisseurs
d'accs internet (Internet Service Providers ISP), ils permettent de rpondre aux requtes des
utilisateurs relatives la traduction d'un nom de domaine en une adresse IP (Figure III.4)32.
28 IANA: www.iana.org/
29 ICANN: www.icann.org/index.html
30 AFNIC: www.nic.fr
31 Selon lICANN: The Internet Corporation for Assigned Names and Numbers (ICANN) is an
internationally organized, non-profit corporation that has responsibility for Internet Protocol (IP) address
space allocation, protocol identifier assignment, generic (gTLD) and country code (ccTLD) Top-Level
Domain name system management, and root server system management functions. These services were
originally performed under U.S. Government contract by the Internet Assigned Numbers Authority (IANA)
and other entities. ICANN now performs the IANA function .
32 Figure issue du livre Scurit informatique et tlcoms: cours et exercices corrigs; S. Ghernaouti-Hlie; Dunod 2006.
58
Infrastructures de tlcommunication
Excution de la
requte possible? OUI
Requte au DNS
de niveau suprieur
Arborescence
de serveurs DNS
Excution de la
requte possible?
NON
Requte au DNS
de niveau suprieur
Excution de la
requte possible? NON
Requte
Rsultat
Rsultat
Rsultat
Client DNS
Il est primordial que les adresses, les processus, les systmes impliqus dans la gestion des noms et
adresses, dans lacheminement des donns soient disponibles, intgres, fiables et scuriss. Il est de la
responsabilit des entits en charge des infrastructures de transport de protger et de grer
efficacement leurs environnements de communication.
III.1.5.3
Protocole IPv4
La version 4 du protocole internet (IPv4)33 qui existe depuis lorigine du rseau internet, est encore
largement utilise. Ce protocole a pour rle dencapsuler (denvelopper) les donnes transmettre
pour constituer des paquets IP qui seront achemins travers le rseau internet jusqu leur
destination. Chaque paquet contient entre autres, ladresse IP source du systme metteur et ladresse
IP du systme de destination.
Lacheminement se ralise de proche en proche chaque systme intermdiaire (routeur) travers
selon linterprtation des adresses des paquets et lalgorithme de routage des routeurs.
Le protocole IPv4 nintgre aucune fonction, aucun mcanisme permettant doffrir un service de
scurit. En effet, IPv4 ne permet pas deffectuer lauthentification de la source ou de la destination
dun paquet, ni la confidentialit des donnes quil transporte, ni la confidentialit des adresses IP
impliques lors dun transfert dinformations entre deux entits. De plus, le protocole seffectuant en
mode sans connexion, ne garantit pas:
la remise des donnes (perte possible de donnes);
la livraison de donnes au bon destinataire;
lordonnancement (squencement) correcte des donnes.
59
Le protocole IP de niveau 3 de larchitecture OSI, offre un service non fiable de remise de paquets IP.
Il fonctionne en mode dit de best effort, c'est--dire quil fait au mieux en fonction du contexte et la
livraison de paquets nest pas garantie. En fait, aucune qualit de service ne lest et il ny a donc pas de
reprise sur erreur. Ainsi un paquet peut tre perdu, modifi, dupliqu, fabriqu (forg) ou remis hors
squence sans que lmetteur ou le destinataire en soit inform. Le fait quune liaison logique ne soit
pas pralablement tablie entre un metteur et un destinataire, signifie que lmetteur envoie ses
paquets sans en avertir le destinataire et quils peuvent se perdre, prendre des routes diffrentes, ou
arriver dans le dsordre.
La prise en compte de ce manque de qualit de service a conduit implanter dans les systmes
dextrmit le protocole TCP (Transmission Control Protocol) qui offre un service de transport fiable
en mode connect (niveau 4 de larchitecture OSI). Le protocole TCP noffre pas de service de
scurit proprement parler.
III.2.1
Chiffrement symtrique
Pour chiffrer ou dchiffrer un texte, il faut dtenir une cl et un algorithme de chiffrement. Sil sagit
de la mme cl pour effectuer ces deux oprations, le systme de chiffrement est qualifi de
symtrique. Lmetteur et le rcepteur doivent possder et utiliser la mme cl secrte pour rendre
confidentielles des donnes et pour pouvoir les comprendre, ceci qui pose le problme de la gestion et
de la diffusion des cls secrtes (Figure III.5).
60
Outils de la scurit
Les principaux algorithmes de chiffrement symtriques sont: DES, RC2, RC4, RC5, IDEA et AES34.
Figure III.5 Le chiffrement symtrique
Cl secrte
Emetteur
Texte
en clair
(plaintext)
Algorithme de
chiffrement symtrique DES, IDEA, AES, Blowfish, RC4, RC5, ..
Texte
chiffr
(ciphertext)
Rseau non
fiable
Texte
chiffr
Cl secrte
Destinataire
Algorithme de
chiffrement symtrique
Texte
en clair
III.2.1.2
Un systme de chiffrement asymtrique est bas sur lusage dun couple unique de deux cls,
calcules lune par rapport lautre. Cette bi-cl est constitue dune cl publique et dune cl prive.
Seule la cl dite publique peut tre connue de tous, tandis que la cl prive doit tre confidentielle et
traite comme un secret.
Lmetteur chiffre un message avec la cl publique du destinataire du message et le destinataire le
dchiffre avec sa cl prive (Figure III.6).
Les principaux algorithmes de chiffrement cl publique, dont le nom est celui de leurs inventeurs,
utilisent le plus souvent des cls de longueur variant de 512 1024 bits, voire 2048 bits. Les
principaux algorithmes de chiffrement sont les algorithmes: RSA35 (pour R. Rivest, A. Shamir,
L. Adelman), Diffie-Hellman36, El Gamal37.
III.2.1.3
Cls de chiffrement
Une cl de chiffrement est le secret du secret. Les cls secrtes des systmes de chiffrement, doivent
tre gres de manire confidentielle.
34 Rfrences:
35 RSA: Schneier B, Applied cryptography 1996. Deuxime edition 1996.
36 Diffie-Hellman: www.ietf.org/rfc/rfc2631.txt
37 El Gamal: Schneier B, Applied cryptography 1996. Deuxime edition 1996.
Outils de la scurit
61
Cl publique
du
destinataire
Algorithme de
chiffrement asymtrique
Bi-cl
Cl publique: pour tous les interlocuteurs
Cl prive: pour le propritaire
Texte
chiffr
(ciphertext)
Rseau non
fiable
Texte
chiffr
Cl prive du
destinataire
Algorithme de
chiffrement asymtrique
Texte
en clair
Destination
III.2.1.4
Une infrastructure de gestion de cls IGC, (PKI Public Key Infrastructure) permet de mettre en
uvre des systmes de chiffrement asymtrique. Les principales fonctions supportes sont:
la gnration dun couple unique de cls (cl prive cl publique), son attribution une
entit et la sauvegarde des informations ncessaires sa gestion, archivage des cls,
procdures de recouvrement en cas de perte par lutilisateur ou de demande de mise
disposition par les autorits judiciaires;
la gestion des certificats numriques, cration, signature, mission, validation, rvocation,
renouvellement des certificats;
la diffusion des cls publiques aux ressources qui la solliciteraient et qui seraient habilites
lobtenir;
la certification des cls publiques (signature des certificats numriques).
III.2.1.5
Certificat numrique
Un certificat numrique constitue, la carte didentit numrique dune entit (personne morale ou
physique) ou dune ressource informatique qui il appartient. Il contient, entre autres, lidentification
de son propritaire, la cl publique qui lui est attribue ainsi que lidentification de lorganisme qui la
dlivr.
La norme X.509 Directory authentification framework propose un cadre architectural pour la
ralisation dun service dauthentification bas sur lusage de certificats numriques et spcifie la
structure et le format dun certificat numrique. Cette structure normalise est la base de nombreuses
solutions du march (Figure III.7).
62
Outils de la scurit
Figure III.7 Principaux paramtres d'un certificat numrique selon la norme X.509v3
Version du certificat
Numro de srie
Algorithme utilis pour signer le certificat
Nom de lorganisme qui a gnr le certificat
Le couple numro de srie / nom de lorganisme doit tre unique
Priode de validit
Nom du propritaire du certificat
Cl publique du propritaire
Informations additionnelles concernant le propritaire ou les
mcanismes de chiffrement
Signature du certificat
Algorithme et paramtres utiliss pour la signature et signature proprement parl
Pour valider le certificat reu, le client doit obtenir la cl publique de lorganisme qui a cr le
certificat relatif lalgorithme utilis pour signer le certificat et dchiffrer la signature contenue. A
laide de ces informations, il calcule la valeur du condens (rsum ou hash) et compare la valeur
trouve avec celle contenue dans le dernier champ du certificat, si les deux valeurs correspondent, le
certificat est authentifi. Ensuite, il sassure que la priode de validit du certificat est correcte.
Le contrle daccs bas sur les certificats numriques permet la connexion dun nombre important
dutilisateurs un serveur donn. Le contrle est bas sur les informations contenues dans le certificat
numrique du client. Le serveur fait alors confiance la vracit des certificats et la faon dont ils
sont mis, ce qui constitue une brche dans la scurit des systmes, vu quil est possible de corrompre
un serveur de certification ou mme de crer un certificat numrique falsifi. En outre, le contrle de
validit dun certificat est difficile raliser. En effet, la rvocation des certificats reste une tche trs
ardue puisque linformation doit tre transmise tous les partenaires et inscrite dans le CRL
(Certificate Revocation List). Cette rvocation doit tre ralise ds quun changement dans le contenu
dun certificat survient (lorsque par exemple les informations du certificat deviennent obsoltes, la cl
prive de lutilisateur a t corrompue, lutilisateur ne fait plus partie de lentreprise, etc.). La
consultation systmatique de cette base de donnes accentue la lourdeur du contrle daccs et rduit
la disponibilit des serveurs mme pour les utilisateurs autoriss.
III.2.1.6
Tiers de confiance
Quelle que soit son appellation, tiers de confiance, autorit denregistrement ou autorit de
certification, lorganisme qui met en place une infrastructure cl publique, a pour fonction principale
de produire des certificats tablissant la valeur de la cl publique, attribue une entit (notion de
certificats clients).
Outils de la scurit
63
Un client, met une demande denregistrement (demande de certification) auprs dune Autorit de
certification (inscription du client via un service web). Des preuves de lidentit du client peuvent tre
demandes par le serveur denregistrement selon les procdures didentification et dauthentification
mises en place par lautorit. Aprs validation des donnes, le serveur de certification gnre les cls
de chiffrement et construit un certificat numrique au nom du client, signe avec sa cl prive le
certificat (certification du certificat numrique) et envoie le certificat au client. Ce dernier utilisera la
cl publique de lautorit pour sassurer que le certificat est bien produit par lautorit en question.
Une Autorit de certification est un tiers de confiance qui dlivre des certificats numriques et qui
permet de vrifier la vracit de certaines informations.
III.2.1.7
La multiplicit des autorits de certification pose le problme de leur reconnaissance mutuelle, de leur
interoprabilit, de la compatibilit des certificats et du champ de leur validit. Toutefois, il nest pas
souhaitable de ne disposer que d'une seule autorit mondiale de certification, du fait du pouvoir tendu
et excessif qui lui serait de facto confr, et du fait de limportance de linfrastructure mettre en
place. Il existe un rel manque de confiance des utilisateurs dans les autorits de certification qui sont
le plus souvent trangres (valeur des certificats? garantie de scurit? protection des donnes
personnelles?, etc.).
Les limites inhrentes aux infrastructures de gestion de cls rsident dans:
la complexit, le cot du dploiement et de la gestion dune infrastructure;
le haut niveau de scurit ncessaire la ralisation des services des infrastructures de gestion
de cls;
la validit, la dure de vie, la rsiliation des certificats.
Parmi les points relatifs la mise en uvre de services offerts par une infrastructure de gestion de cls
qui peuvent poser problme, retenons:
Problme politique: la majorit des infrastructures PKI Autorits de certification, appartient
des entits amricaines (USA). Cela soulve la question de la performance et la question de
la confiance dans ces entits qui du fait des services offerts: cration, sauvegarde, distribution
des cls prives et publiques, des donnes didentification, notarisation des vnements; du
manque de garantie de lusage non abusif des donnes, de la neutralit dans les changes, de
moyens de recourt en cas de litige avec lautorit de certification;
Problme technologique: les systmes de chiffrement classiques peuvent tre casss, certains
certificats numriques nont aucune valeur scuritaire et ne garantissent rien, des fraudes sont
possibles, la scurit des infrastructures est assures par des moyens classiques de scurit qui
peuvent tre contourns. De plus, lusage dune infrastructure de gestion de cls dplace le
problme de la scurit des changes mais ne le rsout pas proprement parler.
Problme organisationnel: interoprabilit des infrastructures, dploiement, gestion,
maintenance, scurit, complexit, etc.
III.2.1.8
Signature et authentification
Un metteur chiffre avec sa cl prive un message. Toute entit connaissant la cl publique de cet
metteur dchiffrera le message, ce qui validera le fait quil a bien t cr laide de la cl prive
correspondante.
Un document peut tre sign lectroniquement (notion de signature numrique) via un algorithme de
chiffrement cl publique. Les actions suivantes sont alors ralises:
cration dun message de dclaration didentit qui est la signature (ex. Je mappelle Alpha
Tango Charlie) qui est chiffre avec la cl prive de lmetteur et associe au message
transmettre;
le message et sa signature sont chiffrs avec la cl publique du destinataire et transmis;
le destinataire dchiffre le message avec sa cl prive et dtache la signature quil dchiffre
avec la cl publique de lmetteur.
64
Outils de la scurit
Attention, rien nempche de rutiliser la signature numrique dun message en lieu et place de
lmetteur rel, on peut galement constituer une signature numrique la place dun partenaire aprs
lui avoir vol sa cl prive.Pour augmenter le niveau de scurit de la signature numrique, celle-ci
est construite partir du contenu du message ce qui permet de raliser lintgrit et lauthentification
de lmetteur dun message.
III.2.1.9
Vrifier que les donnes nont pas t modifies lors de leur transfert est possible en y associant un
rsum (condens) qui est mis en mme tant que les donnes. Celui-ci est le rsultat dune fonction
de calcul applique aux donnes. Le destinataire recalcule avec la mme fonction la valeur du rsum
partir de donnes reues. Si la valeur obtenue diffre, il en dduit que les donnes ont t modifies.
Le rsum peut tre lui-mme chiffr avant que les donnes ne soient mises ou stockes.
Lun comme lautre, les systmes de chiffrement cl symtrique ou asymtrique permettent de savoir
si des donnes transmises ont t modifies, car leur dchiffrement devient alors impossible. Cela
contribue raliser un contrle dintgrit, mais ne permet pas de sassurer que des donnes nont pas
t compltement dtruites.
Pour un contrle dintgrit plus performant, on applique au message original une fonction le
transformant en une petite suite alatoire de bits qui constitue en quelque sorte son empreinte digitale
(digest rsum condens).
Une fonction dite fonction digest (ou one-way hash function), gnre un message digest, cest--dire
son empreinte digitale, plus courte que le message original et incomprhensible. Celle-ci est ensuite
chiffre avec la cl prive de lmetteur et associe au message transmettre. Sur rception du
message et de son empreinte, le destinataire dchiffre cette dernire avec la cl publique de lmetteur
puis, recalcule partir du message reu avec la mme fonction hash, lempreinte et la compare ensuite
avec celle reue. Si le rsultat est identique, le destinataire a ainsi vrifi lidentit de lmetteur et est
assur de lintgrit du message. En effet, si le message est altr, mme lgrement, son empreinte est
alors considrablement modifie.
Par une utilisation conjointe des techniques de chiffrement, de signature et dempreinte digitales, on
peut estampiller les messages pour garantir lintgrit des donnes. Ces procdures sont
consommatrices de temps processeur et ralentissent de faon non ngligeable les performances dun
environnement dexcution.
III.2.1.10 Non-rpudiation
Le service de non-rpudiation consiste prvenir le refus, le dmenti quun message ait t mis ou
reu ou quune action, transaction ait eu lieu. Cela permet de prouver par exemple quune entit est
lie une action ou un vnement.
La non-rpudiation est base sur une signature unique ou sur une identification qui prouve qui a cr
le message. Pour assurer ce service, on peut faire appel un algorithme de chiffrement cl publique.
On peut galement avoir recours un tiers de confiance pour lui faire jouer un rle de cybernotaire.
III.2.1.11 Limites des solutions de scurit bases sur le chiffrement
La confiance envers les solutions de chiffrement commercialises ne peut tre que toute relative, dans
la mesure ou aucune garantie, aucun moyen de vrification ne sont offerts (existence de portes
drobes (back door) dans les logiciels?, cls secrtes dupliques, divulgues? ect.). Par ailleurs,
aucune preuve nest donne quand au fait que les algorithmes actuellement rputs fiables le seront
encore dans un futur proche.
Outils de la scurit
65
III.2.2
Protocole IP scuris
La prise en compte des besoins de scurit ont conduit la rvision de la version 4 du protocole
internet. Cest galement afin de pouvoir, dune part, disposer dune plage dadresses plus importante
et augmenter le nombre dadresses internet disponibles et dautre part, pour pouvoir faire une
allocation dynamique de bande passante pour supporter des applications multimdias, que le protocole
IP a fait lobjet dune refonte connue sous le nom dIPnG (Internet Protocol next Generation) ou IP
version 6 (IPv6)38.
III.2.2.1
Protocole IPv6
En 199439 lIAB (Internet Activity Board)40.adressait les besoins de scurit du protocole IP. La
version 6 du protocole IP (IPv6) inclut des facilits dauthentification et de confidentialit.
Les principales volutions dIPv6 par rapport IPv4 portent sur les points suivants [RFC 2460]:
le support dun adressage tendu et hirarchis; les adresses sont codes sur 128 bits
(16 octets) et non plus sur 32 bits (4 octets); la reprsentation des adresses seffectue en
nombres hexadcimaux41 spars par des deux points tous les 2 octets et non plus en notation
dcimale pointe; (exemple: 0123:4567:89ab:cdef:0123:4567:89ab:cdef);
Ladoption dIPv6 impose entre autres, la modification du schma dadressage, de gestion des
adresses42, la mise en place dans tout lenvironnement internet de systmes supportant IPv6, des
systmes fonctionnant avec les deux versions, la synchronisation grande chelle de la migration des
versions, etc.
Pour toutes ces raisons, la version 6 spcifie en 1995 nest actuellement toujours pas largement
implante et aucune incitation gouvernementale ou recommandation internationale ne semble pouvoir
imposer ladoption de la version 6 du protocole sur lensemble du rseau. Seules quelques
infrastructures prives intgrent IPv6.
La mise en uvre du nouveau protocole internet (IPv6) intgrant en natif des fonctions de scurit
nest pas courante, aussi, pour rpondre aux besoins de scurit du rseau, une solution intermdiaire
dnomme IPSec43, compatible avec IPv6 et IPv4, a t dveloppe et adopte par la communaut
internet. LIETF (Internet Engineering Task Force)44 a tabli en 1995 plusieurs documents (RFC
1825 1829) spcifiant les manires de scuriser une infrastructure internet.
38 IPv6: RFC 1883 en 1995, remplace en dcembre 1998 par la RFC 2460 www.ietf.org/rfc/rfc2460.txt
39 RFC 1636: Report of IAB Workshop on Security in the Internet Architecture. February 8-10, 1994.
40 www.iab.org/
41 Alphabet d'un systme de numration hexadcimal (base 16): 0 1 2 3 4 5 6 7 8 9 A B C D E F
42 RFC 1886 a identifie en 1995 les modifications a effectuer dans les DNS pour supporter IPv6.
43 RFC 2401 www.ietf.org/rfc/rfc2401.txt
44 IETF: www.ietf.org
66
Outils de la scurit
III.2.2.2
Protocole IPSec
IPSec permet de rendre confidentiel le contenu des paquets vhiculs par le protocole. IPSec propose
des services de confidentialit et dauthentification des donnes au niveau de leur transfert par le
protocole IP, via limplantation de len-tte dextension dauthentification (Authentication Header
[AH]) ou de len-tte de confidentialit authentification (Encapsulating Security Payload Header
[ESP]).
Chaque application, quelle que soit la nature du trafic quelle gnre, peut utiliser ces services de
scurit sans tre modifie. IPSec fonctionne en mode point point (on scurise les donnes entre un
metteur et un rcepteur via une association de scurit).
Len-tte dauthentification (AH) offre des services dauthentification et dintgrit des paquets IP.
Cela permet de garantir que les donnes nont pas pu tre modifies lors de leur transfert et que
ladresse source est bien celle qui figure sur le paquet.
Len-tte dEncapsulating Security Payload (ESP) permet la ralisation de mcanismes de chiffrement
(chiffrement symtrique comme DES, Triple DES, RC5 ou IDEA) et propose des services dauthentification similaires ceux proposs par lAuthentication Header (AH).
Les algorithmes de chiffrement utilisent des cls qui sont gnrer et diffuser. La gestion des cls de
chiffrement est donc une tche importante raliser lors de la mise en uvre de solutions bases sur
IPSec. Parmi les protocoles dchange de cls citons: Oakley Key Determination protocol45 est bas
sur lalgorithme dchange de cls Diffie-Hellman [RFC 2412]; ISAKMP (Internet Security
Association and Key Management Protocol) [RFC 2408]; IKE (Internet Key Exchange) [RFC 2409].
III.2.2.3
Limplantation du protocole IPSec au niveau des points daccs au rseau internet permet de crer
entre ces points, un canal de communication dont les extrmits sont authentifies (Figure IIII.8).
Ces extrmits se trouvent dans des systmes de lorganisation et donc physiquement protges. Selon
loption retenue, les donnes vhicules sur cette connexion pourront tre chiffres. Ainsi on sait
tablir un chemin scuris entre deux points dune infrastructure de rseau non fiable (notion de rseau
priv virtuel). Notons que le terme rseau dans lexpression rseau priv virtuel est abusif
puisque seule une connexion logique (virtuelle) est cre.
III.2.3
La plus part des applications possdent une version scurise qui permet le plus souvent de raliser
lauthentification des correspondants et le chiffrement des donnes transmises.
Une alternative limplantation de nouvelles versions scurises des protocoles dapplication, consiste
implanter un mcanisme commun de scurit, offrant des services gnriques de scurit toutes les
applications. Le logiciel SSL (Secure Sockets Layer) est couramment utilis lheure actuelle,
notamment pour raliser des transactions commerciales sur l'internet.
Lusage extensif de documents hypertextes comme le tlchargement de contenus actifs ou non posent
de nombreux problmes de scurit concernant entre autre: leur origine, leur auteur, leu authenticit,
leur caractre nuisible ou non, etc. Des lments de rponses cette nouvelle dimension de la scurit
des systmes dinformation, commencent merger: techniques de signature de documents XML, de
tatouage, de gestion des droits lectroniques, afin de confrer la scurit une certaines persistance.
Un niveau donn de scurit doit pouvoir tre conserv, mme si lobjet concern par la scurit, sort
des frontires physiques de lenvironnement dans lequel sa scurit est habituellement gre.
67
Figure III.8 Constitution d'un rseau priv virtuel par un canal de communication IPsec
Tunnel IPsec
Canal de communication protg
Routeur
IPsec
Internet
Routeur
IPsec
Rseau y
Rseau X
Priv
Priv
Public
III.2.4
SSL (Secure Sockets Layer) est un logiciel assurant la scurit des changes applicatifs, qui est
dailleurs support par la majorit des navigateurs web du march.
Les deux entits communicantes dune connexion SSL sauthentifient en faisant appel une procdure
de certification et un tiers de confiance. Elles ngocient ensuite le niveau de scurit appliquer au
transfert. Les donnes transmises sont alors chiffres pour cette communication via SSL (Figure III.8).
Limplantation de SSL a un fort impact du ct du serveur du fait de la ncessaire certification. Cela
implique un dialogue avec une autorit de certification reconnue et demande galement que les relais
applicatifs des firewalls supportent le mode de fonctionnement de SSL. La certification est parfois
considre comme un frein au dploiement de cette solution.
Lextension au protocole HTTP (Secure HTTP, S-HTTP) est une solution alternative dveloppe par
lassociation CommerceNet. S-HTTP offre les mmes facilits de scurit que SSL, avec les mmes
contraintes de certification, mais ne supporte que les flux de donnes du protocole HTTP. Cette
solution est peu adopte.
III.2.5
Les risques de scurit encourus, relatifs lusage dun systme de messagerie, sont lis :
68
linfection des systmes par le biais de messages contenant des virus, vers ou cheval de Troie;
lharclement: inondation de messages, junk mail, messages non sollicits (spam) des
personnes dont ladresse email est utilise sans leur accord pralable et avec lesquelles
lexpditeur (le spammeur) na jamais eu de contact. Le spam par envoie massif de messages
infects peut contribuer la propagation rapide de virus (spam + virus), des moteurs de
messagerie sont embarqus dans le code des virus afin quils puissent sauto-diffuser;
Outils de la scurit
lusurpation didentit des utilisateurs (un intrus se fait passer pour quelquun dautre, un
lment du systme met, coute, intercepte des messages qui ne lui sont pas destins, etc.);
Client
Serveur
APPLICATION
APPLICATION
Connexion SSL
Flux applicatifs scuriss
SSL
SSL
Internet
TCP
IP
TCP
4
IP
3
LIAISON
LIAISON
PHYSIQUE
PHYSIQUE
A ceux-ci on associe galement toutes les menaces lies aux rseaux et leurs modes de
fonctionnement (attaques au niveau du routage, des serveurs de noms, etc.).
Pour pallier ces limites scuritaires inhrentes au mode de fonctionnement de la messagerie, les
nouvelles versions de ces logiciels intgrent des facilits de chiffrement pour assurer confidentialit,
intgrit et authenticit des informations changes et des correspondants.
Les impratifs de scurit des systmes de messagerie sexpriment en termes:
Le risque le plus important est sans doute celui li lintroduction de virus, vers ou cheval de Troie
via un message. Une parade mettre en place consiste installer un anti-virus sur chaque systme afin
de dceler la prsence dun virus et si possible de le dsinfecter. Un anti-virus ne dtecte que les virus
pour lesquels il a t conu et ne protge pas contre de nouvelles formes dinfection et leur ncessaires
mise jour demandent un effort de gestion non ngligeable.
Outils de la scurit
69
Une mesure complmentaire revient mettre en place un serveur de messagerie de dsincubation qui
examine systmatiquement tous les messages et leurs pices jointes. Plusieurs anti-virus peuvent alors
sexcuter simultanment et augmenter ainsi la probabilit de dtection dun message infect.
Le protocole initial de messagerie SMTP (Simple Mail Transfer Protocol) de lenvironnement internet
sest vu enrichi au cours du temps pour supporter, dune part, des contenus de message multimdia et
dautre part, pour intgrer des mcanismes de scurit. Plusieurs sont disponibles actuellement. Parmi
eux citons: Secure Multipurpose Internet Mail Extensions Secure MIME (S/MIME), Privacy
Enhanced Mail (PEM) et Pretty Good Privacy (PGP).
Toutes les applications du monde internet font appel directement ou non, aux services offerts par un
serveur DNS (Domain Name Server) (gestion de la relation entre un nom logique et une adresse IP
correspondante). Les DNS contribuent activement la ralisation de lacheminement correcte des
informations. Ainsi, ils constituent des points sensibles de larchitecture de communication et sont
donc des serveurs protger. La mise en place de mcanismes de scurit (contrle daccs, dauthentification, de trace, de duplication, de cohrence, chiffrement des requtes et de leurs rponses, etc.)
permettront dviter que des personnes mal intentionnes ne modifient la valeur des informations qui y
sont stockes pour un routage des informations vers des destinataires diffrents que ceux prvus
initialement (dtournement), ne les submergent de requtes inutiles pouvant occasionner des dnis de
service lindisponibilit des ressources, leffondrement du rseau, ne crent de faux serveurs de
noms afin dobtenir des rponses errones conduisant des erreurs de transmission ou des intrusions.
III.2.6
Dtection dintrusion
Intrusions, incidents, anomalies doivent tre dtects et identifis au plus tt de leur survenue et faire
lobjet dune gestion rigoureuse afin dassurer le fonctionnement normal des systmes et leur
protection.
Un incident est un vnement qui survient inopinment. Il est le plus souvent sans gravite en luimme mais il peut engendrer des consquences graves. Une anomalie est une exception, elle peut
induire un fonctionnement anormal du systme dinformation pouvant conduire une violation de la
politique de scurit en vigueur. Elle peut tre dorigine accidentelle (par exemple une erreur de
configuration) ou volontaire (une attaque cible du systme dinformation). Une intrusion est
caractristique dune attaque et peut tre considre comme un incident ou une anomalie.
La dtection dintrusion est lensemble de pratiques et de mcanismes utiliss afin de dtecter des
erreurs qui pourraient conduire des violations de la politique de scurit et de diagnostiquer les
intrusions et les attaques (sont inclus la dtection danomalies et lusage abusif des ressources)46.
Un systme de dtection dintrusions (IDS Intrusions Detection System) se compose de trois blocs
fonctionnels essentiels: la collecte des informations, lanalyse des informations rcupres, la
dtection des intrusions et les rponses donner la suite dune intrusion dcele.
III.2.7
La sparation et le masquage dun environnement priv vis--vis de linternet public repose sur
linstallation dun ou plusieurs systmes pare-feu (firewalls).
Outils de la scurit
Un firewall est un systme qui permet de bloquer et de filtrer les flux qui lui parviennent, de les
analyser et de les autoriser sils remplissent certaines conditions, de les rejeter dans le cas contraire. Le
cloisonnement dun rseau permet de constituer des environnements IP disjoints, en rendant
physiquement indpendants les accs des rseaux que lon dsire sparer. Cela permet
dinterconnecter deux rseaux de niveaux de scurit diffrents (Figure III.9)47.
Fonction de:
filtre
relais
masque
Mcanismes:
dauthentification
didentification
de chiffrement
Processus:
de gestion
de surveillance
dalarme
daudit actif
de statistique
Internet
Rseau priv
1
Selon la nature de lanalyse et des traitements effectus par un firewall, diffrents types de firewalls
existent. Ils se distinguent le plus souvent en fonction du niveau de filtrage des donnes auquel ils
oprent: niveau 3 (IP), niveau 4 (TCP, UDP) ou niveau 7 (FTP, HTTP, etc.) du modle OSI.
Un firewall applicatif encore dnomm proxy (serveur proxy, firewall proxy) joue un rle de relais
applicatif. Il tablit en lieu et place de lutilisateur le service invoqu par celui-ci. Lobjectif dun
systme qualifi de proxy est de raliser un masquage dadresse par relais applicatif, et de rendre
transparent lenvironnement interne de lorganisation. Il est cens constituer un point de passage
oblig pour toutes les applications qui ncessitent un accs internet. Cela suppose quune application
relais soit installe sur le poste de travail de lutilisateur et sur le firewall.
Limplantation et la configuration dun firewall rsultent dun choix darchitecture de rseaux pour
rpondre aux besoins de scurit et de contrle demandes de connexion aux systmes.
Le firewall constitue un des outils de ralisation de la politique de scurit et nest quun des
composants matriel ou logiciel de sa mise en uvre. En effet, un firewall ne suffit pas bien protger
le rseau et les systmes dune organisation. Il doit tre galement accompagn doutils, de mesures et
de procdures rpondant des objectifs de scurit pralablement dtermins par la politique de
scurit. Lefficacit dun firewall dpend essentiellement de son positionnement par rapport aux
systmes quil doit protger, de sa configuration et de sa gestion.
Si les systmes firewall ou de dtection dintrusion, contribuent raliser certains services de scurit,
ils ne suffisent pas eux seuls accomplir la protection des ressources informationnelles.
47 Figure issue du livre Scurit informatique et tlcoms: cours et exercices corrigs; S. Ghernaouti-Hlie; Dunod 2006.
Outils de la scurit
71
III.2.8
Contrle daccs
III.2.8.1
Principes gnraux
Un mcanisme de contrle daccs logique aux ressources informatiques est bas sur lidentification
des personnes, leur authentification et sur les permissions ou droits daccs qui leurs sont accords
(Figure III.10).
Figure III.10 Les bases des lments du contrle d'accs logique
1
IDENTIFICATION
Dsignation
de
lentit
AUTORI SATI ON
Confirmation de
lidentit
Gestion des
preuves didentit
Autorisations pralablement
tablies en fonction du profil
de lutilisateur et de ses besoins
Acces
accorde
ou refuse
Sur la base dune identification authentifie, le mcanisme de contrle daccs accorde, en fonction du
profil de lutilisateur, laccs aux ressources sollicites. Cela suppose que lidentification de lusager
(Gestion des identits Identity management), que les preuves de son identit (gestion des preuves de
lidentit Identity proof management) et que ses droits daccs, soient correctement grs (gestion
des autorisations Authorization management).
Le profil de lusager (user profile) regroupe toutes les informations ncessaires aux dcisions
dautorisation daccs. Il doit tre dfini avec soin et rsulte de la dfinition de la politique de gestion
des accs.
Lauthentification permet de lier la notion didentit une personne. Les autorisations daccs
permettent de filtrer slectivement les demandes daccs aux ressources et aux services offerts via le
rseau afin den accorder laccs quaux seules entits habilites.
Le service dauthentification a pour objectif de vrifier la vracit de lidentit (notion de preuve de
lidentit). Cela dpend gnralement dun ou de plusieurs des facteurs suivants:
72
dun secret quune entit dtient (ce quelle sait), mot de passe ou numro didentification
personnel (PIN Personal Identification Number);
Outils de la scurit
La vrification de lidentit dpend dun scnario o le demandeur daccs donne son identit et une
preuve quil est cens tre le seul connatre ou possder (mot de passe, cl confidentielle,
empreinte). Le service dauthentification procde une comparaison de ces informations avec des
donnes pralablement enregistres dans un serveur dauthentification.
Un serveur dauthentification doit tre hautement protg et scuris par des mcanismes adhoc de
contrle daccs, de gestion scurise de systmes et par le chiffrement des donnes quil stocke. Un
serveur dauthentification ne doit pas tre dfaillant ou vulnrable car de sa robustesse dpend le
niveau de scurit globale de linfrastructure informatique et tlcoms.
III.2.8.2
Demande daccs
Empreinte digitale
Empreinte vocale
Visage
Oreille
Forme de la main
Rtine
Iris
Sauvegarde du gabarit
Signature biomtrique
Element de rfrence
Comparaison
tenant compte de la variabilit des donnes biomtriques
La dure du processus dauthentification peut tre long car la phase de comparaison doit tenir compte
des variations inhrentes la caractristique vivante de la donne teste. Un chantillon vocal par
exemple nest jamais strictement le mme. La comparaison est base sur un traitement statistique et
probabilistique de la donne biomtrique. Cette part de flou introduit dans le systme dauthentification ne permet davoir des rsultats dauthentification avec un degr dexactitude certain Le
systme ne peut pas certifier 100% quil sagisse de la personne x. Le taux derreur de ces
systmes reste encore lev, ce qui ne permet pas de garantir un haut niveau de scurit. Associ des
mcanismes dauthentification classiques bas sur des mots de passe, (notion de double contrle), la
biomtrie renforce le niveau de scurit de ces derniers.
Outils de la scurit
73
III.2.9
III.2.9.1
Protection
Outils de la scurit
De plus, chiffrer les donnes au niveau rseau gnre des paquets de donnes de taille suprieure
des paquets non chiffrs; leur transfert monopolise donc plus de bande passante et de ressources de
communication. Associes au fait que le processus de chiffrement augmente le temps de traitement
des paquets, les performances du rseau peuvent considrablement tre affectes par la mise en uvre
de la scurit ce niveau.
Lavantage principal du chiffrement au niveau de linfrastructure du rseau, rside dans
lindpendance de lapplication et des mcanismes de chiffrement lis au transfert qui sont alors
compltement transparents pour lutilisateur.
En revanche, la scurit des transactions au niveau applicatif (chiffrement des donnes au plus prs de
lapplication qui les manipule) modifie lapplication elle-mme et les donnes sont chiffres avant
dtre livres au protocole de rseau qui en effectuera leur acheminement. Elles sont ensuite
dchiffres par le serveur dapplication destinataire. Cest lors de la phase dtablissement du dialogue
entre des entits applicatives (un client et un serveur par exemple) que lon ralise lauthentification et
la ngociation dune cl de session. La complexit de cette phase peut varier et demande un dlai
dtablissement lui aussi variable. Une fois ralis, le chiffrement est en gnral assez rapide. Il est
indpendant de la plate-forme dexcution et de linfrastructure de communication.
La protection au niveau de la sphre de travail de lutilisateur qui met en uvre une application
distribue, ne dpend plus du transporteur de donnes, ni du rseau, mais bien de lenvironnement
direct de lusager. La difficult de la protection des applications rside dans le fait quil faille protger
tout lenvironnement applicatif, le poste de travail de lutilisateur (et non plus seulement lapplication
elle-mme) et par extension son environnement physique (accs aux locaux, etc.).
Protger les applications revient garantir le droit des individus par rapport aux postes de travail, aux
applicatifs, la zone gographique dans laquelle elles sintgrent.
Les fonctions de base du systme dexploitation du poste de travail de lutilisateur jouent un rle
prpondrant dans cette protection (impossibilit de prendre la main lors dune session, dconnexion
automatique aprs un certain temps, etc.). Cela passe galement par la protection des cartes rseaux,
par le support de protocoles dapplication en mode scuris (transmission de fichiers protgs,
messagerie scurise, etc.), par des oprations de mirroring et de duplexing (protection des
informations en les dupliquant sur des disques, redondance des oprations dcriture et des
quipements).
Scuriser linfrastructure de transport ou scuriser lapplication revient traiter, des niveaux
diffrents, un mme problme:
III.2.9.2
Gestion
Les activits de gestion de systmes et de rseaux lorsquelles sont menes correctement, permettent
doffrir les niveaux de disponibilit et de performance ncessaires la ralisation de la scurit. De
plus, elles intgrent les tches de surveillance du rseau, de dtection des anomalies ou incidents
(comme les intrusions par exemple), qui contribuent grandement la scurit globale du rseau et du
systme dinformation quil dessert.
Une bonne gestion de rseaux contribue rendre les infrastructures, services et donnes disponibles et
de cela de manire performante. Par la gestion de rseau, notamment par les fonctions de gestion des
configurations, des performances et des incidents, les objectifs de scurit que sont la disponibilit et
lintgrit, peuvent tre atteints.
Outils de la scurit
75
De plus, la dimension de gestion de rseaux qui fait rfrence la gestion comptable permet de
disposer de toutes les donnes ncessaires non seulement la facturation des usagers mais aussi la
ralisation des fonctions de surveillance et daudit qui sont de premire importance en matire de
scurit. Cela peut permettre une certaine vrification des actions des fins de preuve ou de nonrpudiation.
La gestion de rseau contribue galement raliser lobjectif de confidentialit dans la mesure elle
assure quil ny ait pas dcoutes clandestines ou des accs non autoriss aux donnes. La ralisation
de la fonction de contrle daccs aux ressources qui fait partie de la gestion de rseau, est
fondamentale la mise en uvre oprationnelle de la scurit.
Cest de la qualit de gestion des routeurs, des facilits dadaptation de leur dcision de routage en
fonction de ltat du rseau et des demandes dacheminement du trafic, que dpendent en grande partie
les performances, la qualit de service, la disponibilit et la fiabilit dun rseau. La mise jour des
tables de routage des grands rseaux est un vrai casse-tte oprationnel pour les administrateurs de
rseaux, dans la mesure o les diffrentes modifications des valeurs des tables doivent tre
synchronises pour viter les dysfonctionnements et les pertes de donnes en transit. Les protocoles de
gestion de rseau permettent, entre autres, de mettre jour les tables de routage. Ladministration de
rseau peut contribuer la scurisation des routeurs en y effectuant des accs scuriss lors de leur
configuration, en gnrant des alarmes lors de tentative dintrusion, et en scurisant les centres de
gestion et de supervision des routeurs.
Il est donc crucial de savoir la protger en empchant tout un chacun de laltrer en prvenant ou
dtectant, entre autres, les actions suivantes:
modification des adresses contenues dans les tables de routage, dans les paquets IP, etc.;
Il est important de pouvoir scuriser les processus dacheminement des donnes au travers des rseaux
de tlcommunication. Les fournisseurs de service rseau doivent protger toutes les entits qui
interviennent dans ce processus notamment les routeurs et les serveurs de noms afin que la qualit du
service dacheminement satisfasse les critres de scurit de disponibilit (le service est oprationnel),
de confidentialit (les donnes sont dlivres aux bons destinataires) et dintgrit (les donnes ne sont
pas modifies lors de leur transfert).
La livraison de donnes aux ayants droits nest pas garantie par un service rseau. En effet, le service
de livraison correcte ne vrifie pas que les donnes dlivres la bonne adresse le sont aux entits
habilites les recevoir. Cela ncessite un contrle supplmentaire de type contrle daccs. De
plus, si les donnes sont vhicules en clair et si elles sont coutes, elles sont comprhensibles des
tiers non autoriss. Sil sagit de donnes sensibles il est ncessaire de les chiffrer pour les rendre
inintelligibles.
La surveillance dun rseau informatique consiste observer le fonctionnement de ce dernier et ceci
dune manire continue. La surveillance du rseau vise non seulement sassurer que la qualit de
service du rseau soit acceptable mais aussi dceler les problmes, incidents, erreurs et les anomalies
qui dgradent les performances du rseau et qui pourraient porter atteinte la scurit des ressources
afin de rpondre au plus vite et de manire adapte aux disfonctionnements. La fonction de
surveillance du rseau permet la traabilit des actions et des vnements afin de les journaliser pour
les analyser (notion daudit). La surveillance du rseau, contribue galement sassurer de la
disponibilit des ressources en vrifiant que le rseau fonctionne dune manire correcte. Ainsi, il
sagit dune fonction cruciale de la gestion de rseau puisquelle contribue raliser la gestion des
performances, des incidents, des configurations, des utilisateurs et de la scurit
76
Outils de la scurit
SECTION IV
APPROCHE GLOBALE
Devoir de protection
48 Ce point t labor en collaboration avec Igli Taschi, assistant diplm de lUniversit de Lausanne.
Diffrents aspects du droit des nouvelles technologies
79
IV.1.1.3
des tlcommunications. L'art. 43 de la Loi fdrale sur les tlcommunications (LTC) contient
galement une obligation de maintien du secret: Il est interdit toute personne qui a t ou qui est
charge d'assurer un service de tlcommunication de donner des tiers des renseignements sur les
communications des usagers; de mme, il lui est interdit de donner quiconque la possibilit de
communiquer de tels renseignements des tiers. L'article 44 LTC, complt par les articles 6 11 de
l'Ordonnance du Conseil fdral sur le service de surveillance de la correspondance postale et des tlcommunications du 1er dcembre 1997 (RS 780.11), met en place la procdure et dtaille les
conditions auxquelles une surveillance peut intervenir.
La rglementation suisse sur la protection des donnes personnelles sur l'internet est similaire bien
des gards celle de la Directive communautaire en la matire.
IV.1.1.4
Rentabilit de la lgislation
La premire problmatique juridique qui concerne le commerce lectronique est pose par la
dfinition de la notion gographique de la ralisation du commerce lectronique. Les caractristiques
de linternet (couverture internationale, technologies du numrique, mode de fonctionnement)
abolissent la notion de frontires gographiques des tats et les flux informationnels ne sarrtent pas
aux frontires des pays.
Donnes et services sont accessibles et ralisables distance, indpendamment de la localisation des
internautes et des serveurs. Trs souvent le commerant et le client interagissent depuis des pays
diffrents. Ainsi la notion du droit applicable devient trs importante en cas de litige ventuel et
constitue un point capital concernant la planification de loffre. Dans ce sens lors des transactions fait
par le biais du Net il faut mentionner la limite de loffre et donner une information exacte quant au
for50 considrer en cas de litige.
Le droit applicable et le for peuvent tre convenus par les parties au contrat. Si une telle clause
nexiste pas, il faut dterminer si le contrat tombe dans le champ dapplication dune convention
internationale telle que celle des Principes Unidroit relatifs au contrat du commerce international
(1994) autrement dit la Netiquette ou bien la Convention de la Haye du 15 juin 1955 par exemple.
49 Ce point t labor en collaboration avec Igli Taschi, assistant diplm de lUniversit de Lausanne.
50 For: En droit international, dsigne la loi du pays dans lequel le procs doit se drouler. On parle galement de lex fori.
Rgle de procdure internationale
Diffrents aspects du droit des nouvelles technologies
81
Toutefois, les conventions internationales nont pas une force contraignante sauf dans le cas o elles
sont expressment intgres dans le contrat.
Si aucune de ces deux solutions nest envisageable, se sont les rgles de droit rgissant le contrat qui
seront celles applicables.
En droit suisse par exemple, il sagit de la loi fdrale sur le droit international priv de 1987 (LDIP),
dont larticle 1 stipule:
Art. 1
1
Le principe de base est le suivant: on applique le droit de lEtat avec lequel le contrat prsente les liens
les plus troits (117/1 LDIP). Gnralement, il sagit du fournisseur des biens et services pour autant
quil inclut cela dune manire explicite dans les conditions gnrales avec une exception, larticle
120/2 LDIP qui concerne les Contrats conclus avec des consommateurs et qui stipule que:
Les contrats portant sur une prestation de consommation courante destine un usage personnel ou
familial du consommateur et qui nest pas en rapport avec lactivit professionnelle ou commerciale
du consommateur sont rgis par le droit de lEtat de la rsidence habituelle du consommateur:
a. si le fournisseur a reu la commande dans cet Etat;
b. si la conclusion du contrat a t prcde dans cet Etat dune offre ou dune publicit et que
le consommateur y a accompli les actes ncessaires la conclusion du contrat, ou
c. si le consommateur a t incit par son fournisseur se rendre dans un Etat tranger aux fins
dy passer la commande.
2
Le contenu du site comme par exemple le langage utilis ou les devises proposes peuvent donner une
indication sur le march vis par le commerant et ventuellement sur le droit applicable.
Concernant le for, dans le cas ou il nest pas dtermin par un accord des parties, le dpt dune
plainte au lieu de rsidence ou le sige du dfendeur est possible.
IV.1.2.2
Les rgles applicables en la matire, sont en gnral les mmes que celles applicables pour les contrats
dits classiques. Un contrat est conclu lorsque les deux parties ont chang une offre et une acceptation
doffre.
Directive Europenne
La directive 97/7/CE du Parlement europen et du Conseil de lEurope du 20 mai 1997 traite de la
problmatique de la vente distance et de celle du e-commerce, prcise que linformation pralable
la conclusion dun contrat doit comprendre les lments suivants:
identit du fournisseur et, dans le cas de contrat ncessitant un paiement anticip, son adresse;
caractristiques essentielles du bien ou du service;
prix du bien ou du service, toutes taxes comprises;
frais de livraison, le cas chant;
modalits de paiement, de livraison ou d'excution;
82
existence d'un droit de rtractation, sauf dans les cas viss l'article 6, paragraphe 3 de cette
directive;
cot de l'utilisation de la technique de communication distance, lorsqu'il est calcul sur une
base autre que le tarif de base;
dure de validit de l'offre ou du prix;
dure minimale du contrat dans le cas de contrats portant sur la fourniture durable ou
priodique d'un bien ou d'un service.
Lorsque loffre a t faite sans fixation de dlai une personne non prsente, lauteur de loffre reste
li jusquau moment o il peut sattendre larrive dune rponse expdie temps et rgulirement.
2
Si lacceptation expdie temps parvient tardivement lauteur de loffre, et que celui-ci entende
ne pas tre li, il doit en informer immdiatement lacceptant.
Toutefois, si lchange de donnes concernant le contrat seffectue via un forum de discussion, chat,
messagerie instantane ou par de la tlphonie sur internet, cela sera considr comme tant un contrat
conclu entre les prsents et lacceptation doit tre immdiate. Ainsi larticle 4/1 du Code des
Obligations suisse fixe: Lorsque loffre a t faite une personne prsente, sans fixation dun dlai
pour laccepter, lauteur de loffre est dli si lacceptation na pas lieu immdiatement.
IV.1.2.3
Signature lectronique
La mise en uvre dun systme de chiffrement asymtrique permet de vrifier lintgrit dun
message afin de sassurer que le message nait pas t modifi lors de son transfert et dtre sre de
son metteur, ainsi, lmetteur ne pourra pas nier avoir envoy ce message (notion de
non-rpudiation). On utilise pour raliser ces services de scurit informatique, un certificat numrique
qui permet de signer un document numrique. Par analogie la signature manuscrite, on ralise
ainsi une signature numrique des donnes (notion de signature lectronique). Sont associs aux
Diffrents aspects du droit des nouvelles technologies
83
notions de signature et de certificat numriques, celles de cls de chiffrement (cls prives, cls
publiques) et dorganisme de certification (galement dnomm tiers de confiance ou autorit de
certification).
Pour que la signature lectronique puisse tre considre comme une transposition dans le monde
numrique de la signature manuscrite dun document papier, la signature lectronique doit tre lie
uniquement au signataire, permettre de lidentifier et doit tre cre par des moyens la possession
exclusive du signataire.
En droit suisse, la signature lectronique est reconnue par la loi comme ayant la mme porte que la
signature manuscrite. Larticle 14/2bis du Code des Obligations dfinit la signature: Art. 14: c.
Signature
1
2bis
La signature lectronique qualifie, base sur un certificat qualifi manant dun fournisseur de
services de certification reconnu au sens de la loi du 19 dcembre 2003 sur la signature lectronique
est assimile la signature manuscrite. Les dispositions lgales ou conventionnelles contraires sont
rserves.
Tandis que la signature lectronique est rgie par la Loi fdrale sur les services de certification dans
le domaine de la signature lectronique (SCSE) du 19 dcembre 2003. Cest dans cette loi quest
dfinie la signature lectronique ainsi que ses diffrentes formes et les divers acteurs de la mise en
uvre du mcanisme de signature et de certificats numriques.
Art. 2 Dfinitions
Au sens de la prsente loi, on entend par:
a. signature lectronique: donnes lectroniques jointes ou lies logiquement dautres donnes
lectroniques et qui servent vrifier leur authenticit;
b. signature lectronique avance: signature lectronique qui satisfait aux exigences suivantes:
1. tre lie uniquement au titulaire,
2. permettre didentifier le titulaire,
3. tre cre par des moyens que le titulaire peut garder sous son contrle exclusif,
4. tre lie aux donnes auxquelles elle se rapporte de telle sorte que toute modification ultrieure
des donnes soit dtectable;
c. signature lectronique qualifie: signature lectronique avance fonde sur un dispositif scuris de
cration de signature au sens de lart. 6, al. 1 et 2, et sur un certificat qualifi valable au moment de
sa cration;
d. cl de signature: donnes uniques telles que des codes ou des cls cryptographiques prives que le
titulaire utilise pour composer une signature lectronique;
e. cl de vrification de signature: donnes telles que des codes ou des cls cryptographiques
publiques utilises pour vrifier une signature lectronique;
f. certificat qualifi: certificat numrique qui remplit les conditions de lart. 7;
g. fournisseur de services de certification (fournisseur): organisme qui certifie des donnes dans un
environnement lectronique et qui dlivre cette fin des certificats numriques;
h. organisme de reconnaissance: organisme qui, selon les rgles de laccrditation, est habilit
reconnatre et surveiller les fournisseurs
Signature lectronique et directive europenne
84
Droit de rvocation
La facilit avec laquelle il est possible deffectuer des achats sur l'internet peut favoriser des
comportements de consommation relevant dune dcision irrflchie. Dans ce contexte, le droit de
rvocation prend une grande importance.
En suisse, larticle 9 du Code des Obligations rgit le droit de rvocation. Son principe est le suivant:
le retrait de loffre sera valable, pour autant quil parvienne au destinataire de loffre avant celle-ci.
Le mme mcanisme est utilis pour le retrait de lacceptation.
Droit de rvocation et directive europenne
Au niveau europen cest la directive 1997/7 du 20 mai 1997 qui rgit le droit de rvocation. Il est
stipul que pour tout contrat distance, le consommateur dispose d'un dlai d'au moins sept jours
ouvrables pour se rtracter sans pnalits et sans indication du motif. Au cas o le fournisseur n'a pas
rempli les obligations vises l'article 5, notamment les modalits du droit de rtraction, le dlai est de
trois mois.
IV.1.2.5
Ds lors quun contrat est valablement conclu, la question de la preuve se pose lors de litige, quil
sagisse de linternet ou non: il est ncessaire dapporter des preuves. Ainsi, il est toujours judicieux de
garder des traces de la transaction comme par exemple une copie dun message lectronique ou encre
une copie dcran.
Exemple de la France
En France larticle 109 du Code de consommation considre la preuve comme tant libre concernant
le B2B. Le message lectronique est donc admis comme moyen de preuve, de la mme faon quun
document papier. En revanche, pour tout ce qui se rapporte au commerce avec le consommateur, une
preuve crite est exige partir dune certaine somme engage. Cela dans le but de protger le
consommateur moyen qui na pas la capacit et les moyens juridiques de se dfendre dans le cas dun
litige face une entreprise commerciale.
Toutefois, lutilisation des messages lectroniques pourrait galement tre possible comme moyen de
preuve linstar de la loi sur la signature lectronique. Cela signifie quun message lectronique sign
lectroniquement sera considr comme une preuve valable si les dispositions dcrites ci-dessus
concernant la signature lectronique sont respects.
51 www.foruminternet.org/documents/textes_europeens/lire.phtml?id=34
Diffrents aspects du droit des nouvelles technologies
85
Conditions gnrales
Trs souvent les contrats conclus distance comportent des conditions gnrales qui font aussi partie
du contrat. Ces conditions gnrales doivent tre facilement accessibles, consultables en ligne et le
client doit tre clairement inform quelles font partie du contrat, pour les valoir en cas de litige.
On-line Dispute Resolution
Lors de litige et compte tenu du caractre international du e-commerce, dautres moyens que les
tribunaux classiques sont disposition des intresss pour rsoudre les diffrends. Le concept dODR
(On-line Dispute Resolution) est issu de cette volont de trouver des solutions immdiates des
conflits lis au non respect de contrats passs via l'internet. Ce type de rsolution des litiges se base sur
la conciliation qui fait appel la ngociation, la mdiation et larbitrage52. Plus rapide, plus
accessible financirement et convivial pour les utilisateurs. En revanche, du fait que cela se base sur
des codes de conduite ou des recommandations qualifies de soft law (comme par exemple Uniform
Domain-Name Dispute Resolution Policy de lICANN), leur force contraignante est limite.
IV.1.3
IV.1.3.1
Le droit dauteur accorde lauteur de luvre (la personne physique qui a cr luvre) ou son
auteur prsum (la personne qui a fait apparatre luvre tant que lauteur nest pas dsign) des droits
moraux et des droits patrimoniaux.
Le dpt de luvre auprs dun office ou lenregistrement des droits nest pas ncessaire. Le dpt
lgal est cependant pratiqu dans certaines lgislations. Par ailleurs, les ides ne peuvent tre protges
que si elles sont fixes puisque seule la forme dune uvre est protgeable.
Les droits moraux concernent essentiellement la reconnaissance de la qualit dauteur et le fait de
dcider si, quand, de quelle manire et sous quel nom son uvre sera divulgue.
Les droits patrimoniaux concernent lutilisation de luvre (confection et vente dexemplaires,
prsentation, mise en circulation, diffusion, etc.).
Le transfert de la proprit de luvre, quil sagisse de loriginal ou dune copie, nimplique pas celui
de droits dauteurs. Ceux-ci sont par ailleurs cessibles et transmissibles par succession.
Les droits voisins concernent les droits des artistes interprtes (personnes physiques qui excutent une
uvre ou qui participent sur le plan artistique lexcution dune uvre), les droits de producteurs de
phonogrammes ou de vidogrammes ainsi que les droits des organismes de diffusion.
IV.1.3.3
La marque a pour fonction de distinguer les produits et/ou services du titulaire de ceux dautres
entreprises. La marque a pour fonction didentifier un objet (et non pas un sujet de droit identifi
plutt par un nom ou une raison de commerce).
Pour tre susceptible de protection la marque ne doit pas correspondre aux:
signes appartiennent au domaine public;
formes qui constituent la nature mme du produit et celles qui sont rendues ncessaires par la
fonction de lobjet vis;
signes propres induire en erreur;
signes contraires au droit en vigueur ou aux bonnes murs.
Pour tre protge, une marque doit tre dpose. Une marque enregistre peut faire lobjet dune
opposition si:
elle est identique une marque dj enregistre pour des produits identiques;
elle est identique ou similaire une marque dj enregistre pour des produits et/ou services
identiques ou similaires lorsquil en rsulte un risque de confusion.
IV.1.3.4
Les brevets dinvention sont dlivrs pour les inventions nouvelles utilisables industriellement.
Les brevets dinventions ne peuvent tre dlivrs ni pour ce qui dcoule dune manire vidente de
ltat de la technique, ni pour les varits vgtales ou les races animales, ni pour les procds
essentiellement biologiques dobtention danimaux ou de vgtaux; cependant les procds
microbiologiques et les produits obtenus par ces procds sont brevetables.
Le brevet est accord (sous certaines conditions) celui qui dpose la demande (inventeur, son ayant
cause ou un tiers qui linvention appartient un autre titre).
Si la mme invention a t faite par plusieurs personnes de faon indpendante, le brevet appartient
celui qui peut invoquer un dpt antrieur ou un dpt jouissant dune priorit antrieure.
Diffrents aspects du droit des nouvelles technologies
87
IV.1.3.5
Sur l'internet et particulirement pour les sites web, il faut recourir plusieurs droits pour protger la
proprit intellectuelle dun site web54:
Pour ce qui concerne le nom du domaine:
Lenregistrement du nom de domaine ne confre en tant que tel aucun droit exclusif
spcifique son titulaire.
Pour protger un nom de domaine il faut se tourner du ct des bases lgales que sont:
le droit des marques;
le droit des raisons de commerce;
le droit au nom;
le droit de la concurrence;
Pour ce qui concerne le contenu du site:
La diffusion des uvres sur l'internet:
le contenu cre spcialement pour le site, il est protg par le droit dauteur;
la numrisation dune uvre existante et sa diffusion en ligne est une forme de
reproduction qui ne peut se faire sans le consentement de lauteur de luvre initiale;
les liens vers dautres sites: la simple utilisation dun lien hypertexte ne lse aucun
droit exclusif puisquelle nentrane aucune reproduction; la question est plus dlicate
pour les liens profonds (qui permettent darriver une page sans passer par la page
principale dun site). Elle pose la question de savoir si la page en question est une
uvre ou pas! En gnral ce genre de litige se rgle par le droit de la concurrence avec
comme critre dterminant la manire dont les liens hypertextes sont utiliss, la
loyaut de cet usage apparat alors comme une notion centrale.
IV.1.3.6
Pour assurer le respect des droits dauteurs, des mesures techniques se mettent en place. Les
lgislations les soutiennent en interdisant de les contourner.
Ainsi il a la protection lgale, la protection technique et la protection lgale de la protection technique.
IV.1.4
IV.1.4.1
Contexte et nuisances
Au sens large, le spam56 dsigne lenvoi de messages lectroniques non sollicits. Il se caractrise
ainsi:
les messages non sollicits sont envoys de manire massive et rpte;
le message poursuit un objectif commercial ou est ralis des fins malveillantes (phishing,
prise de contrle de lordinateur, introduction de programme malveillant (virus, adware,
spyware));
les adresses sont souvent obtenues linsu du propritaire (en violation des rgles relatives
la protection des donnes caractre priv);
le spam possde souvent un contenu illgal, trompeur ou prjudiciable.
54 Issu de Philippe Gilliron; Proprit intellectuelle et Internet livre CEDIDAC 53, Universit de Lausanne 2003.
55 Ce point t labor en collaboration avec Igli Tashi, assistant diplm de lUniversit de Lausanne.
56 Le terme SPAM est lorigine une marque dpose de la compagnie Hormel, et nest autre que lacronyme de Spiced
Pork and Meat, une sorte de corned-beef qui accompagnait les soldats amricains durant la dernire guerre mondiale. Il
semble que les Monty Python aient inspir lassociation de cet aliment avec la pratique denvoi de courriels non sollicits.
Ceux-ci, dans un de leurs clbres sketches, se mettent chanter Spam Spam Spam Spam... pour vanter les mrites du
produit, de faon trs rptitive et si fort que cela couvre les propos des autres protagonistes.
88
Lutilisation de spam dans certaines circonstances compte tenu de son caractre non sollicit peut tre
considre comme une politique de vente ou de publicit agressive.
De nos jours le phnomne du spam ne se limite pas seulement la messagerie lectronique via
l'internet mais aussi aux tlphones portables travers les SMS ou aux nouveaux quipements
multimdias comme les pockets PC.
Le spam gnre des cots pour tous les usagers de linternet. Ces cots sont gnralement lis au
temps de traitement des messages, lacquisition de diffrents outils pour se protger contre ce
phnomne sans compter le cot social c'est--dire une perte de confiance de la part des utilisateurs,
une baisse de productivit des organisations, etc.
Selon une tude de la socit Clerswift publie par le Journal du Net le 13 septembre 2005, la
rpartition du spam selon les catgories suivantes est:
43.86%
Produits
37.65%
Finance
9.06%
Pornographie
5.32%
Phishing
1.41%
Pari
0.1%
Autres
2.32%
Le spam peut prendre la forme de diverses escroqueries dont une des plus communes est celle dite
escroquerie nigrienne ou Nigerian letter57. Le phishing consiste envoyer un message semblant tre
mis par une institution connue comme une banque par exemple, qui invite sous divers prtextes,
linternaute se connecter sur un site contrefait dune institution vise et donner ses codes daccs et
informations sensibles, qui seront utilises ultrieurement son insu.
Outre les escroqueries et le phishing, le spam peut aussi tre envoy dans un but destructeur et de
blocage de la messagerie du destinataire occasionnant ainsi indisponibilit et dni de service des
ressources. Le bombardement de messages peut prendre diverses formes: envoi de messages de
grandes tailles gnrant des problmes au niveau du traitement ou du stockage temporaire, envoi de
grands nombres de messages ou envoie un nombre trs important de destinataires dans le but
dinonder le serveur, ou encore, usurpation de ladresse de lmetteur.
IV.1.4.2
57 Lmetteur du spam se prsente comme lhritier dun riche notable, parfois dans un pays lointain, rcemment dcd. Le
soi-disant hritier prtend avoir des difficults pour faire valoir ses droits et propose la victime dutiliser le compte en
banque de cette dernire et lui propose en change une rmunration importante pour la gne occasionne. Cette dernire
doit avancer les frais relatifs la transaction. Ce sont invariablement des tentatives descroquerie.
Diffrents aspects du droit des nouvelles technologies
89
Exemple suisse
En Suisse, aucune norme juridique suisse ne rgle explicitement la question du spam.
Dun point de vue de la protection des donnes, selon le Prpos Fdral la Protection des donnes et
son document Aide-mmoire concernant les messages publicitaires indsirables diffuss par courrier
lectronique (spams)58 prcise que les adresses lectroniques constituent des donnes personnelles
permettant d'identifier une personne. Conformment l'art. 12, al. 3, de la loi fdrale suisse, sur la
protection des donnes (LPD, RS 235.1), En rgle gnrale, il ny a pas atteinte la personnalit
lorsque la personne concerne a rendu les donnes accessibles tout un chacun et ne sest pas
oppose formellement au traitement.. Le traitement d'adresses lectroniques par un spammeur
constitue un dtournement du but premier si on considre lart. 4, al. 3, LPD, commis l'insu art. 4, al.
2, LPD et sans le consentement art. 13, al. 1, LPD de la personne concerne. Il s'agit donc bien d'une
atteinte la protection des donnes.
Art. 4 Principes
1
Toute collecte de donnes personnelles ne peut tre entreprise que dune manire licite.
Leur traitement doit tre effectu conformment aux principes de la bonne foi et de la
proportionnalit.
Les donnes personnelles ne doivent tre traites que dans le but qui est indiqu lors de leur collecte,
qui est prvu par une loi ou qui ressort des circonstances.
La loi sur la protection des donnes donne aux personnes concernes la possibilit d'agir en justice art.
15 LPD bas sur lart. 28 ss du CC.
Directive europenne
Au niveau europen la directive 95/46/CE du 24 octobre 1995 relative la protection des personnes
physiques lgard du traitement des donnes caractre personnel donne les standards minimaux ne
matire de constitution de fichiers et de traitement de donnes. Lart. 10 de cette directive impose que
le titulaire connaisse la finalit de la collecte et lidentit du contrleur.
Exemple de la France
En France. La loi informatiques et liberts a insr dans le Code pnal franais linfraction des
atteintes au droit de la personne rsultant des fichiers ou des traitements informatiques. Cette loi datant
de 1978 a t revue en 2004 en introduisant 14 nouveaux articles durcissant les peines concernant les
donns caractre personnel.
Exemple des Etats-Unis
Les Etats-Unis tant le premier pays gnrateur du spam, sest dot dun texte de loi spcifique
concernant le spam, permettant de poursuivre les spammers, le CAN SPAM Act du 1er janvier 2004.
La collecte des adresses sur des sites web est interdite et sont prohibs les programmes qui gnrent
des adresses en combinant alatoirement des lettres et des chiffres.
Le spam pose aussi un problme du point de vue de la concurrence dloyale du fait que le spam soit
utilis dans un but publicitaire.
Spam, publicit et concurrence dloyale
La publicit sur l'internet ne dispose pas d'un cadre lgal spcifique. Elle se rfre au droit de la
publicit en gnral. En novembre 2001, la Commission suisse pour la loyaut avait rendu un avis
relatif au spamming, le considrant comme une mthode de vente particulirement agressive.
Lutilisation dune telle mthode vu sous langle de la publicit doit respecter quelques aspects
importants que ce soit dans le cadre du commerce classique aussi bien que dans celui du
e-commerce.
58 Site: www.edsb.ch/f/doku/merkblaetter/spam.htm
90
Cela concerne:
la protection des jeunes internautes;
le respect de la personne humaine;
le respect d'une publicit loyale, vridique et honnte;
le respect de lintimit juridique des internautes;
le confort de la navigation.
Le lgislateur suisse dans sa loi fdrale contre la concurrence dloyale stipule larticle 3, lettre b, c,
d,: Agit de faon dloyale celui qui, notamment:
b. Donne des indications inexactes ou fallacieuses sur lui-mme, son entreprise, sa raison de
commerce, ses marchandises, ses uvres, ses prestations, ses prix, ses stocks, ses mthodes de vente
ou ses affaires ou qui, par de telles allgations, avantage des tiers par rapport leurs concurrents;
c. Porte ou utilise des titres ou des dnominations professionnelles inexacts, qui sont de nature faire
croire des distinctions ou capacits particulires;
d. Prend des mesures qui sont de nature faire natre une confusion avec les marchandises, les
uvres, les prestations ou les affaires dautrui.
Mais cest notamment dans sa lettre h quil touche le cur de la problmatique du spam en stipulant
que:
Agit de faon dloyale celui qui, notamment:
91
IV.1.4.3
Rgulation du Spam
De plus, le comportement de linternaute peut avoir aussi un rle important dans la lutte anti-spam.
Ainsi par exemple, ladoption dun comportement averti de la messagerie (sensibilisation au risque
dusurpation didentit, contrle pralable de lusage qui sera fait de son adresse lectronique avant de
le confier un formulaire en ligne, lutilisation de plusieurs adresses lectroniques, viter certains
sites, ne pas ouvrir de message dont on ne connat pas lorigine, supprimer des messages de spam sans
les lire, ne jamais rpondre, ne jamais cliquer sur les liens hypertextes que ces messages
comportent) contribue limiter lampleur du spam.
IV.1.4.5
Complmentarit technico-juridique
Dans la mesure o le volet juridique a un impact limit sur la pratique du spam, une solution dordre
technologique simpose. Seule la complmentarit des approches technico-juridiques permet de lutter
contre le phnomne du spam. Un spammeur de moins, dcourag par une rgle de droit ou empch
efficacement par une solution technique, prsente toujours des millions et des millions de spams non
envoys.
IV.1.5
IV.1.5.1
Le statut juridique de linternet marchand concerne la dfinition des statuts des outils utiliss dans le
cadre de lutilisation des technologies de linformation.
Pour ce qui concerne la messagerie lectronique: des questions se posent concernant le contenu des
messages, ladresse de messagerie, la problmatique de lidentification travers cette adresse:
usurpation didentit, dun signe distinctif, dune raison sociale dune entreprise. Cela relve du droit
civil des pays.
Pour ce qui concerne un site web: la notion duvre, sa qualification audiovisuelle ou non, soulvent
des problmes lis au droit dauteur. Un lien hypertexte renvoie au problme de son contenu, de la
responsabilit, de la qualification protge ou non et soulve galement des problmes lis aux
moteurs de recherche.
IV.1.5.2
Cybercontrat
Raliser des contrats dans le cyberespace ne pose pas uniquement un problme dordre juridique. En
effet, cela ncessite entre autre, la mise en place de mcanismes techniques qui permettent de le
raliser (outils et procds utiliss (globalit, incorporalit, dlocalisation)).
Dun point de vue juridique, retenons:
lexcution de contrat;
le droit de rtractation;
59 Ce point t labor en collaboration avec Igli Taschi, assistant diplm lEcole des HEC de lUniversit de Lausanne.
Diffrents aspects du droit des nouvelles technologies
93
La Directive 98/34/CE qui prvoit une procdure dinformation dans le secteur des normes et
des rglementations techniques;
De plus, il faut tenir compte de la loi de CNUDCI sur le commerce lectronique 1996, des
declarations on the global Electronic Commerce 1998, du Joint EU-US statement on Electronic
commerce
IV.1.5.3
Les moyens de paiement lectronique, cartes de crdit, chques ou monnaie lectronique peuvent
induire une utilisation abusive de la part de tiers qui arrivent intercepter linformation associe, lors
par exemple de la communication entre fournisseurs et destinataires de service.
La Directive CE 2000/46 sur la monnaie lectronique
IV.1.5.5
Un nom de domaine constitue un nouveau bien incorporel qui peut possder une valeur commerciale
considrable. La problmatique associe au nom de domaine relve des points suivants:
A part les lois nationales sur le marques, les noms, les brevets, retenons aux Etats-Unis la loi
Anticybersquatting Consumer Protection Act (ACPA)
IV.1.5.6
Proprit intellectuelle
La proprit intellectuelle sur internet relve des problmatiques lies aux droits dauteur, aux maques
et aux brevets. Retenons par exemple: le trait de lOMPI sur les droits de lauteur, le trait de lOMPI
sur les interprtations, excutions et phonogrammes, au niveau europen le livre vert sur le droit
dauteur et les droits connexes dans la socit de linformation de 1995 ainsi que la directive du
parlement europen et du conseil sur lharmonisation de certains aspects du droit dauteur et du droit
connexe dans la socit de linformation.
IV.1.5.7
Dans le contexte de la protection de lintimit numrique, le spamming est prohib (Cf. Directive
EU 97/7 sur la protection des consommateurs dans les contrats conclus distance, Directive CE 97/66
sur la protection des personnes lgard des donnes personnelles dans le domaine des tlcommunications interdit le direct marketing du spam).
94
IV.1.5.8
Sans vouloir tre exhaustif, de nombreuses autres questions juridiques doivent tre prises en
considration lors que lon sintresse la dfinition dun cadre lgal appropri lusage de linternet.
Parmi elles retenons toutes celles qui touchent:
la notion dantitrust (Cf. les directives amricaines Antitrust guidelines for collaboration
among competitors davril 2000);
Il est important de sensibiliser lensemble des acteurs du monde de linternet aux enjeux de la matrise
de la scurit et aux mesures lmentaires qui si elles sont clairement nonces, dfinies et mise en
uvre intelligemment renforceront la confiance des utilisateurs envers les technologies de traitement
de linformation et de la communication dont fait partie l'internet. Faisons de ce dernier, un patrimoine
ouvert chacun et non au bnfice exclusif de la criminalit.
La diffusion dune certaine culture et approche pluridisciplinaire de la scurit et de la matrise du
risque informatique dorigine criminel est obligatoire. Possder une vision stratgique de ces
problmatiques est devenue une ncessit pour les organisations comme pour les Etats.
Par ailleurs, il galement ncessaire d'duquer, d'informer et former aux technologies de traitement de
linformation et des communications et non uniquement la scurit et aux mesures de dissuasion. La
sensibilisation aux problmatiques de scurit ne doit pas se limiter la promotion dune certaine
culture de la scurit. En amont de la culture scuritaire, il doit y avoir une culture de l'informatique. Il
faut aussi donner les moyens aux diffrents acteurs dapprendre grer les risques technologique,
oprationnel et informationnel qui les menacent en fonction de lusage fait des nouvelles technologies.
La dimension virtuelle de linternet, son ct ludique, peut occulter notamment pour un public jeune,
ou non initi linformatique la capacit de nuisance de ces attaques. Elle est considrable et peut
savrer dramatique tant pour les organisations (entreprise, administration, collectivit), que les
individus qui en sont victimes. Toutefois, la matrise des risques technologiques ne se rsume pas la
chasse aux hackers, ni la mise en place de barrire technologiques. Les dgts les plus graves ont
parfois pour origine une simple ngligence, qui peut relever de lincomptence, des dfaillances lors
de la conception ou de la mise en uvre des technologies, des pouvoirs excessifs accords aux
administrateurs systmes, dune gestion dfectueuse, etc.
IV.2.2
La prise de conscience de la fragilit du monde numrique et de la non matrise totale non seulement
des technologies et infrastructures informatiques et tlcoms mais aussi des solutions de scurit commercialises, doit soulever un questionnement srieux quand la dpendance vis--vis dune technologie difficilement matrisable. La prise en otage des donnes par des solutions informatiques est une
ralit quil ne faut pas occulter.
Il est illusoire de penser que des solutions dordre technologiques ou juridiques viendront suppler les
erreurs de conception et de gestion de linformatique et des tlcoms, que cela soit au niveau
stratgique, tactique ou oprationnel. De plus, les mesures classiques de scurit ne pourront protger
correctement les ressources sensibles ou critiques des personnes, des organisations et des Etats,
uniquement si elles sont ralises de manire transparente, vrifiables et contrlable.
Perspectives
95
Mettre en place une dmarche complte de scurit qui intgre des phases de prvention, de
protection, de dfense et de raction, passe par ladoption de moyens humains, juridiques, technologiques, conomiques permettant de les raliser.
IV.2.3
De manire gnrale, une bonne politique de scurit rsulte dune analyse des risques et est dfinie de
manire complte et cohrente, afin de rpondre prcisment aux besoins de scurit dans un contexte
donn.
La dfinition de la politique doit tre:
simple et comprhensible;
adoptable par un personnel pralablement sensibilis, voire form;
aisment ralisable;
de maintenance facile;
vrifiable et contrlable.
Une politique de scurit ne doit pas tre statique. Elle doit tre priodiquement value, optimise et
adapte la dynamique du contexte dans lequel elle sinscrit. Elle doit tre configurable et
personnalisable selon des profils dutilisateurs, selon les flux, en fonction du contexte et de la
localisation des acteurs en jeu. Une politique de scurit varie en fonction de lespace et du temps.
Une politique de scurit peut tre structure en diffrentes politiques de contrle daccs, de
protection, de gestion de crise, de suivi et doptimisation, dassurance.
IV.2.4
La ralisation dun inventaire complet et prcis de toutes les ressources et acteurs de la chane
scuritaire, contribue la connaissance des environnements ainsi qu leur protection. Lidentification
des valeurs et la classification des ressources pour dterminer leur degr de sensibilit (ou degr de
criticit) permet de diffrencier ce qui doit tre imprativement trescuris. Ce dernier indique leur
importance en cas de perte, daltration ou de divulgation des donnes. Plus les consquences sont
graves pour lorganisation, plus la ressource est sensible et possde de la valeur.
Chaque ressource peut tre perue comme une cible de scurit pour laquelle, il faut identifier les
risques et leurs scnarios possibles (erreur dutilisation, de paramtrage, accidents, malveillance,
sabotage, attaque logique, etc.), les mcanismes de scurit inhrents et applicables (configuration,
paramtres, etc.), ainsi que les contraintes techniques et organisationnelles afin de dterminer la
faisabilit technique et organisationnelle de la politique de scurit pour chaque cible.
IV.2.5
Perspectives
Les activits dune mission peuvent se dcliner selon les axes suivants:
mettre en uvre et valider lorganisation, les mesures, les outils et les procdures de scurit;
Les principes fondamentaux auxquels doit se rfrer toute action entreprise au nom de la ralisation de
la cyberscurit sont les suivants:
principe de volont directoriale. Il est de la responsabilit des dirigeants de librer les moyens
ncessaires la mise en uvre et la gestion dun plan de cyberscurit;
principe financier. Le cot de la scurit, des mesures de contrle, doit tre en rapport avec le
risque;
IV.2.6
Facteurs de russite
IV.2.6.1
une gestion centralise de la scurit et une certaine automatisation des processus de scurit;
un niveau de confiance et dintgrit des personnes, des systmes, des outils impliqus;
97
IV.2.6.2
Voici quelques lignes directrices lintention des internautes qui constituent des mesures simples,
conomiques et relativement efficaces, que si elles sont adoptes par les utilisateurs, contribueront
renforcer la scurit de leur ressources et e-activits60:
Linternaute ne doit pas ouvrir les mails dont il ne connat pas la provenance;
Linternaute doit avoir un antivirus mis jour rgulirement afin dassurer une scurit
minimale;
Linternaute ne doit pas divulguer ses mots de passe et il doit les changer rgulirement;
Linternaute ne doit pas divulguer de donnes personnelles le concernant lui ou les autres sur
l'internet;
Linternaute ne doit pas permettre une autre personne dutiliser son compte pour surfer sur
l'internet;
Linternaute doit utiliser les systmes de chiffrement lorsquil veut protger ses donnes;
Linternaute ne doit pas aller sur des sites caractre choquant, tlcharger des programmes
ou fichiers illgaux ou encore les faire circuler;
Ce que linternaute ne fait pas dans la vie relle, il ne doit pas le faire sur le web sous peine
dtre punissable (diffamation, escroquerie, etc.);
Linternaute doit garder prsent lesprit que derrire chaque activit sur linternet se cache
un individu qui, limage de la vie courante, nest pas forcment honnte.
IV.2.6.3
Voici quelques lignes directives lmentaires qui contribuent protger un systme de messagerie.
Du ct du serveur:
filtrer les messages sur certains critres paramtrables (taille, fichiers attachs, etc.);
Du ct de lutilisateur:
dfinir des rgles dutilisation de la messagerie (ne pas ouvrir des fichiers excutables, etc.);
faire sengager les utilisateurs sur un usage appropri des ressources informatiques;
utiliser des procdures de chiffrement pour les messages confidentiels et raliser lauthentification des sources.
60 Issues du travail de mmoire de DEA en Droit, Criminalit et Scurit des nouvelles technologies. Sentiment de scurit
sur Internet Anne-Sophie Perron, sous la direction de S. Ghernaouti-Hlie Lausanne 2005.
98
Perspectives
IV.2.6.4
Voici quelques lignes directives lmentaires qui contribuent protger un environnement internetintranet, via un systme pare-feu (firewall):
un firewall doit tre protg et scuris contre des accs non autoriss (notion de systme de
confiance possdant un systme dexploitation scuris);
tous les trafics (entrants et sortants) doivent passer par le firewall;
seul le trafic dfini par la politique de scurit comme tant valide et autoris peut traverser le
firewall;
configurer le firewall de telle sorte que tout ce qui nest pas explicitement autoris est interdit;
un firewall ne peut galement tre le serveur Web de lentreprise;
si les donnes du rseau interne sont vraiment sensibles, il faut alors accder l'internet par
des machines dtaches du rseau interne;
un firewall ne peut pas protger lenvironnement scuriser contre des attaques ou des accs
illicites qui ne passent pas par lui. Il nest daucune efficacit en ce qui concerne des dlits
perptrs lintrieur de lentreprise;
Un firewall nest pas un anti-virus. Il faut donc le protger de manire complmentaire contre des
infections virales. Dans labsolu, un anti-virus devrait rsider sur tous les systmes offrant un service
de connectivit (serveurs de messagerie, serveur de communication, etc.) et sur toutes les machines
supportant des donnes (serveur darchivage, de bases de donnes, etc.), ainsi que sur les postes de
travail des utilisateurs.
Perspectives
99
SECTION V
ANNEXES
Anonymat (anonymity)
Caractristique dune entit dont on ignore le nom, ou qui ne fait pas connatre son nom, proprit
permettant une entit dutiliser des ressources sans tre identifie (incognito). Il devrait tre possible
de respecter la volont de certains utilisateurs qui peuvent avoir une raison valable de ne pas rvler
leur identit lorsquils font des dclarations sur l'internet afin de ne pas restreindre de manire
excessive leur libert dexpression, favoriser l'expression libre d'informations et d'ides et d'assurer
une protection contre les surveillances en ligne non autorise par des entits publiques ou prives. En
revanche, les instances de justice et de police devraient avoir la possibilit dobtenir des informations
sur les personnes responsables dactivits illicites, dans les limites fixes par le droit national, la
Convention europenne des Droits de lHomme, et les autres traits internationaux comme la
Convention sur la cybercriminalit.
Antivirus
Programme de dtection de virus.
Attaque (attack)
Offensive, agression, action contre des personnes ou des biens leur portant atteinte. Il existe diffrents
types dattaques informatiques.
61 Issu et adapt du glossaire du livre Scurit informatique et rseaux, cours et exercices corrigs; S. Ghernaouti-Hlie,
Dunod 2006.
Annexe A
103
Atteinte (breach)
Effet ou dgradation rsultant dune agression, dune attaque qui peut avoir des impacts tangibles
(altration physique et matrielle, dysfonctionnement logique, dsorganisation des procdures...); des
impacts logiques (non-disponibilit, perte dintgrit, perte de confidentialit de linformation); des
impacts stratgiques (notamment sur le plan financier, frais supplmentaires dhbergement, de
transport, de tlcommunications, dintervention dexperts, dachat/location de matriel et progiciels,
de personnels, et de sous-traitance, pertes dexploitation (pertes de marge, de trsorerie, de clientle),
de fonds ou de biens, etc.).
Auditabilit (auditability)
Proprit pour un environnement, de permettre lenregistrement des actions, dvnements qui
occurrent afin de laisser une trace exploitable des fins danalyse et daudit.
Auditeur (auditor)
Personne ralisant un audit.
Authenticit (authenticity)
Caractre de ce qui est authentique. Capacit permettant d'attester, de certifier conforme ... . Souvent
associ au fait quune information, ou quun vnement nait pas t altr, modifi, contrefait et quil
ait t produit par l'entit qui revendique les avoir raliss.
Authentification (authentication)
Action dauthentifier. L'authentification sert confirmer (ou non) quune action, dclaration,
information est authentique (originale, vraie). Processus mis en uvre notamment pour vrifier
l'identit d'une entit et sassurer que lidentit fournie correspond lidentit de cette entit
pralablement enregistre.
Autorisation (authorization)
Action dautoriser, de permettre, dhabiliter. Fait de recevoir la permission raliser certaines actions,
daccorder des droits, dobtenir le droit daccs un service, des informations, un systme, etc.
Autorit (authority)
104
Annexe A
Organe du pouvoir. Fait rfrence le plus souvent une entit responsable de l'mission des certificats
numriques.
Bogue (bug)
Terme dorigine anglaise qui illustre une erreur de programmation. Par extension dfaut de conception
ou de ralisation se manifestant par des anomalies de fonctionnement (J. O. 19 fvrier 1984).
105
Cl (key)
Cl de chiffrement ou de dchiffrement, il sagit gnralement dune valeur mathmatique fournie
un algorithme de chiffrement. Sauf sil sagit dune cl publique, une cl de chiffrement est grer
comme un secret. Ainsi, il faut protger un secret (la cl) qui permet de protger un autre secret
(linformation qui a t chiffre pour tre confidentielle).
Code (cipher)
Algorithme de chiffrement qui permet de transformer un texte clair en un texte chiffr.
Confiance (trust)
Assurance de celui qui se fie quelquun, quelque chose (critre qualitatif, suggestif, trs relatif).
Confidentialit (confidentiality)
Maintien du secret des informations et des transactions. Caractre de ce qui est secret. Objectif de
scurit raliser afin de prvenir la divulgation non autorise dinformations des tiers qui doit
permettre leur protection contre des lectures, coutes, copies illicites dorigines intentionnelle ou
accidentelle durant leur stockage, traitement et transfert (notion de confidentialit de donnes (data
confidentiality)).
106
Annexe A
Conformit (compliance)
Caractre de ce qui est conforme, qui est en concordance, qui ressemble ..., conformit certaines
normes.
Cookies
Fichiers envoys sur le poste de travail des internautes leur insu, lors de laccs certains sites web,
qui rcoltent des informations les concernant pour en principe, la personnalisation des services web
offerts.
Cryptanalyse (cryptanalysis)
La cryptanalyse comprend lensemble des moyens qui permet danalyser une information
pralablement chiffre, afin de la dchiffrer. Plus un systme de chiffrement est robuste, plus sa
cryptanalyse est difficile.
Cryptographie (cryptography)
Application des mathmatiques permettant dcrire de linformation de manire la rendre
inintelligible ceux ne possdant pas les capacits de la dchiffrer. Voir Chiffrement.
107
Disponibilit (availability)
Critre de scurit permettant que les ressources soient accessibles et utilisables selon les besoins (pas
de refus d'accs autoris aux systmes, services, donnes, infrastructures, etc.).
Dissuasion (dissuasion)
Mesure destine persuader par intimidation, un malveillant renoncer effectuer une attaque ou en
le persuadant que la valeur de l'enjeu qu'il convoite est infrieure celle des dommages que le systme
menac pourrait lui infliger.
Efficacit (efficiency)
Caractre de ce qui produit leffet attendu, des rsultats utiles. Proprit des mesures de scurit qui
assure leur pertinence et leur capacit rellement bien protger une ressource.
Fiabilit (reliabiliy)
Aptitude dun systme fonctionner sans incident pendant un temps donn.
Flaming
Technique qui consiste, pour affecter la crdibilit dun groupe de discussions, y envoyer un grand
nombre de messages peu pertinents.
Flooding
Type de moyen dintrusion dans des systmes et qui est bas sur le cassage de mots de passe des
utilisateurs.
Floudeur (flooder)
Programme malveillant servant ralentir les communications entre un fournisseur d'accs et un
internaute ou dconnecter ce dernier.
Annexe A
Hacking
Ensemble des oprations permettant une intrusion dans un systme informatique
Identification (identification)
Processus qui permet de reconnatre une entit pralablement identifie.
Identit (identity)
Information qui permet de dsigner et de distinguer, si possible de manire unique et non ambigu,
une entit l'intrieur d'un domaine de nommage.
Impact (impact)
Exprime le niveau des consquences produites par une atteinte (impact financier, financial impact),
cot de latteinte; impact logique (logical impact) atteinte aux critres de disponibilit, d'intgrit, de
confidentialit, impact stratgique (strategical impact) prjudiciable la survie dune organisation;
impact tangible (tangible impact) atteinte que lon peut directement constater, rel.
Imputabilit (imputability)
Proprit qui permet dimputer de faon certaine une opration un utilisateur un moment donn.
Fait de pouvoir identifier un responsable en cas de violation du rglement.
109
Innocuit (safety)
Qualit de ce qui nest pas nuisible.
Intgrit (integrity)
Etat dune chose qui est demeure intacte. Critre de scurit, qui sil est ralis, permet de sassurer
quune ressource na pas t altre (modifie ou dtruite) d'une faon non autorise.
Intranet (Intranet)
Rseau interne, rseau priv une organisation, utilisant les technologies de l'internet et gnralement
isol de l'internet par des systmes firewall.
Malveillance (maleovolence)
Actions caractre hostile pouvant porter atteinte aux ressources dune organisation qui peuvent tre
commises directement ou indirectement par des personnes internes ou externes celle-ci (vol de
matriels, de donnes, divulgation dinformations confidentielles, intrusions illicites, etc.).
Annexe A
Mascarade (masquerade)
Type dattaque base sur le leurre des systmes.
Menace (threat)
Signe, indice qui laisse prvoir un danger. Action ou vnement susceptible de se produire, de se
transformer en agression contre un environnement ou des ressources et de porter prjudice leur
scurit.
Non-rpudiation (non-repudiation)
La capacit de prvenir le fait qu'un expditeur dmente plus tard avoir envoy un message ou effectu
une action. Assure la disponibilit de preuves qui peuvent tre prsentes un tiers et utilises pour
prouver que tel type d'vnement ou daction a eu lieu. Preuve qu'un message a t envoy par une
personne prcise un moment prcis, sans avoir t modifi depuis son envoi. Cette preuve devrait
pouvoir tre vrifie tout moment par un tiers. Sans la non-rpudiation, des metteurs et des
rcepteurs d'informations pourraient nier les avoir reues ou envoyes.
No-opt
Service dans lequel les clients n'ont pas le choix sur la faon dont les informations les concernant sont
utilises (possibilit datteinte la protection des donnes prives).
Notarisation (notarization)
Enregistrement de donnes des fins de preuve.
Panne (failure)
Dysfonctionnement, arrt de fonctionnement entranant lindisponibilit d'une ressource.
Pare-feu (firewall)
Matriel ou logiciel permettant de raliser lisolement, le masquage des ressources, le filtrage des
donnes, le contrle des flux, contribuant la protection des environnements informatiques privs
dune organisation connects linternet.
Annexe A
111
Phreak
Utilisation illgale ou dtournement, aux dpens dun individu ou dun oprateur, des services de tlcommunication, par un phreaker (notion de phreaking).
Prvention (prevention)
Ensemble de mesures prises pour prvenir dun danger, dun risque, qui tend empcher la ralisation
de menaces, rduire la frquence des incidents dans une optique de protection.
Annexe A
Protection (protection)
Action, fait de protger. Se dit dune mesure de scurit qui contribue dtecter, neutraliser ou
diminuer les effets dune agression.
Rpudiation (repudiation)
Fait de nier davoir particip des changes, totalement ou en partie.
Rvocation (revocation)
Annonce qu'une cl prive a perdu son intgrit. Le certificat de la cl publique correspondante ne doit
plus tre utilis.
Risque (risk)
Danger plus ou moins probable manant d'une menace et pouvant se traduire en terme de probabilit
d'apparition et de niveau d'impact.
Sabotage
Action malveillante, vandalisme, dtrioration intentionne tendant empcher le fonctionnement
normal dune organisation, dune infrastructure, dun service, dune ressource pouvant conduire un
sinistre.
Scurit (security)
Situation dans laquelle quelquun, quelque chose nest expos aucun danger. Mcanisme destin
prvenir un vnement dommageable, ou en limiter les effets. Ainsi par exemple, la scurit
physique (physical security) est relative aux mesures permettant doffrir une protection physique,
matrielle des environnements, tandis que la scurit logique (logical security) fait rfrence aux
procdures et moyens logiciels de protection.
Sensibilit (sensitivity)
Caractristique d'une entit qui indique sa valeur ou son importance.
Annexe A
113
S-http
Version scurise du protocole http permettant la scurit des changes entre un client et un serveur
web.
Sniffer
Logiciel destin raliser des coutes passives des donnes transitant dans un rseau.
Sniffing
Action consistant raliser des coutes passives afin de rcuprer des paramtres de connexion qui
seront par la suite utilises linsu de leurs propritaires lgitimes afin de commettre des intrusions
non autorises.
Spammer
Personne qui ralise le spamming.
Spamming
Technique qui consiste envoyer des messages non dsirs sur une messagerie lectronique.
Spoofer
Personne qui pratique le spoofing.
Spoofing
Usurpation dadresses IP des fins dintrusion.
Stganographie (Steganography)
Technique permettant de dissimuler une information dans une autre afin de la transmettre ou de la
stocker clandestinement. Le marquage de document, le tatouage (watermarking), est une application
de la stganographie qui consiste marquer une image de faon indlbile.
Annexe A
Virus (virus)
Programme malveillant introduit, linsu des utilisateurs, dans un systme. Il possde la capacit de se
dupliquer (soit l'identique, soit en se modifiant (virus polymorphe)), de porter atteinte aux
environnements dans lequel il sexcute, et de contaminer les autres utilisateurs avec lesquels il est en
relation. Diffrents types de virus sont distingus en fonction de leur signature, de leur comportement,
de leur type de reproduction, de linfection, des dysfonctionnements induits, etc. Les vers, chevaux de
Troie, bombes logiques sont des codes malveillants de la famille gnrique des virus.
Vulnrabilit (vulnerability)
Dfaut de scurit qui pourrait se traduire soit intentionnellement soit accidentellement par une
violation de la politique de scurit.
115
Porte
Terminologie et dfinitions
Politique de scurit
5.1 Politique de scurit de l'information
5.1.1 Document de politique de scurit de l'information
5.1.2 Examen de la politique de scurit de l'information
117
Annexe B
119
Annexe B
Annexe B
121
Programme 3 du Plan
d'action d'Istanbul
CMDT mars 2002
Dans le cadre du Programme 3 du Plan d'action d'Istanbul de la CMDT-02, l'UIT aide les pays en
dveloppement mettre en oeuvre leurs projets, leur donne des avis pour l'laboration de leurs
politiques et de leurs stratgies, ainsi que d'une lgislation approprie encourageant le dveloppement
et l'utilisation de la cyberscurit et de la confiance pour la ralisation de transactions critiques dans
des domaines comme la sant, l'ducation et le commerce et les communications entre administrations
et fonctionnaires publics.
Annexe C
123
Projets visant offrir des services garantissant scurit et confiance pour les applications TIC
Des projets utilisant des technologies volues garantissant scurit et confiance, bases sur une
infrastructure cls publiques (PKI) (techniques de l'authentification biomtrique, des cartes
intelligentes, des certificats numriques et des signatures numriques UIT-T X.509) ont t mis en
oeuvre et sont oprationnels en Bulgarie, au Burkina Faso, en Cte d'Ivoire, au Cambodge, en
Gorgie, au Prou, au Sngal, au Paraguay et en Turquie (secteur priv). Pour la priode 2004-2005,
des activits sur les techniques de cyberscurit et les applications TIC sont actuellement en cours ou
ont t menes bien en Afghanistan, en Barbade, au Bhoutan, en Bulgarie (Phase III), au Cameroun,
en Jamaque, au Rwanda, en Turquie (tlsant et administration publique en ligne) et en Zambie
(signatures lectroniques).
Grce l'UIT, plusieurs pays en dveloppement ont, pour la premire fois, particip activement la
mise en place et l'utilisation de services visant tablir la confiance et la scurit. Ainsi les TIC ont
des retombes bnfiques non seulement dans le secteur du commerce mais aussi au niveau de la
socit tout entire, qu'il s'agisse de l'administration publique ou de la sant.
Des projets utilisant des technologies volues de scurit et de confiance, bases sur une
infrastructure cls publiques (PKI) (techniques de l'authentification biomtrique, des cartes
intelligentes, des certificats numriques et des signatures numriques UIT-T X.509), ont t mis en
oeuvre ou sont en cours de mise en oeuvre en Barbade, au Bhoutan, en Bulgarie, au Burkina Faso, au
Cambodge, au Cameroun, en Cte d'Ivoire, en Gorgie, en Jamaque, au Prou, au Sngal, au
Paraguay, en Turquie et en Zambie.
En Gorgie, l'UIT propose des solutions rentables pour scuriser la transmission et le traitement des
documents numriss des administrations publiques et l'accs ces documents, ce qui permettra
d'amliorer l'efficacit et la transparence des services publics. Les fonctionnaires de haut niveau du
Ministre des transports et des communications de la Gorgie bnficieront en effet de systmes
permettant d'automatiser les flux de travail, de signer et de diffuser numriquement les documents
officiels, remplaant les mthodes "papier" lentes et assez coteuses. Il sera possible d'obtenir un accs
autoris des documents sensibles grce des systmes de scurit et de confiance qui permettront
d'tablir l'identit des fonctionnaires autoriss au sein du Ministre.
Au Paraguay, l'UIT a fourni une assistance pour la mise en oeuvre d'une plate-forme fournissant un
mcanisme internet de scurit et de confiance que les oprateurs et les fournisseurs de services
pourront utiliser pour changer des informations sensibles (par exemple les dclarations de revenus)
en format lectronique avec l'Autorit nationale de rglementation. Les outils TIC sont utiliss pour
rationaliser le processus d'octroi de licences aux oprateurs de tlphonie publics et pour accrotre
l'efficacit des oprations commerciales du rgulateur.
Une assistance a t fournie pour dfinir le cadre d'une politique nationale sur l'utilisation des
certificats numriques et le fonctionnement des autorits de certification. L'UIT a galement apport
une assistance pour l'laboration des spcifications techniques et a fourni des avis de politique
gnrale pour mettre en place en Jamaque et en Barbade une plate-forme pour la publication et la
gestion des certificats numriques, offrant ainsi des services d'authentification robuste et assurant
scurit et confiance pour les transactions en ligne de l'administration publique ou les transactions de
commerce lectronique.
Au Cameroun, le projet de l'UIT permet de scuriser la transmission sur l'internet de documents
sensibles de l'administration publique et d'offrir des services administratifs en ligne aux citoyens
vivant dans des zones urbaines ou isoles o il n'y a aucune infrastructure administrative physique.
L'authentification robuste, la confidentialit des donnes, l'intgrit des donnes et la non-rpudiation
de l'information, autant de systmes bass sur les techniques de cryptage et de signature lectronique
permettent de rgler certains problmes de scurit, notamment l'usurpation d'identit.
124
Annexe C
En Bulgarie, l'assistance fournie par l'UIT pour la mise en oeuvre d'une plate-forme de cyberscurit
permet d'assurer des communications extrmement fiables entre le Ministre des transports et des
communications, le Ministre des finances, le Conseil des ministres et la Commission charge de la
rglementation des communications (CRC), en utilisant une infrastructure cls publiques (PKI) et
des applications compatibles PKI. Cette plate-forme permet une interaction scurise, efficace et
rentable entre les hauts fonctionnaires du gouvernement, en complment des runions "physiques" et
amliore la productivit. Toutes les donnes changes entre les fonctionnaires sont scurises,
signes numriquement grce l'utilisation des techniques de confidentialit des donnes, de nonrpudiation de l'information, d'intgrit des donnes et d'authentification robuste.
L'objectif stratgique du projet est d'amliorer les services de soins de sant en Turquie en mettant en
place un support d'information sur la sant scuris qui permet aux prestataires de soins de sant (soins
de sant primaires et secondaires), aux professionnels de la sant et aux citoyens d'avoir accs
facilement et de faon sre, des informations dans le domaine de la sant en utilisant les TIC les plus
rcentes.
Les lments essentiels de ce programme sont l'laboration de systmes d'information pour les soins
de sant primaires en complment du rseau des mdecins de famille, la mise en place de dossiers
mdicaux lectroniques et le dveloppement de systmes interoprables entre les fournisseurs de
services de soins de sant, notamment les centres de soins de sant primaires, les hpitaux et les
socits d'assurance publiques et prives.
Politiques et stratgies nationales et rgionales
Un atelier a t organis l'intention de 128 pays afin de partager les informations et les meilleures
pratiques sur les technologies de scurit et de confiance et sur les politiques applicables au commerce
lectronique.
L'UIT a organis des ateliers et des sminaires sur les stratgies relatives aux techniques de
cyberscurit dans un certain nombre de pays (par exemple, Azerbadjan, Cameroun, Chili (pour les
pays du Mercusor), Mongolie, Pakistan, Paraguay, Roumanie, Seychelles, Rpublique arabe syrienne
et Ouzbkistan). La scurit et la confiance ont t parmi les principaux thmes abords au Colloque
rgional organis par l'UIT en novembre 2004 sur l'administration publique en ligne et le protocole
internet l'intention des Etats de la rgion arabe. Ce colloque a abouti la Dclaration de Duba,
laquelle souligne qu'il est ncessaire que l'UIT poursuive ses activits dans le domaine de la
cyberscurit pour les cyberapplications et les cyberservices.
Un manuel sur la cyberscurit est actuellement en cours d'laboration afin d'aider les pays en
dveloppement et les pays les moins avancs renforcer leurs capacits locales et mieux connatre
certains des problmes essentiels que pose la scurit pour la socit de l'information. Ce manuel
donnera des explications sur certains des grands problmes comme le spam, les logiciels furtifs
nfastes ou malware (virus, vers, chevaux de Troie), le caractre confidentiel des donnes, l'absence
d'authentification, la ncessit de la confidentialit et de l'intgrit des donnes. D'autres sujets ont t
abords lors de ce colloque, qui devait se terminer en novembre 2005, notamment l'laboration de
lignes directrices et de meilleures pratiques sur une lgislation relative la cyberscurit et des
exemples de mthodes utilises pour protger les infrastructures critiques ont t donns. En 2005,
l'UIT-D a organis les manifestations suivantes:
1
UIT/Union europenne (ENISA) - Sminaire rgional sur la cyberscurit pour la CEE, les
pays de la CEI et les Etats baltes.
125
L'utilisation des applications TIC suppose l'existence d'un environnement juridique et politique
appropri pour rgler des questions comme le caractre confidentiel des donnes, la prvention du
cybercrime, la scurit, les problmes d'thique, les signatures lectroniques, les autorits de
certification et les contrats lectroniques pour susciter la confiance, protger les droits et encourager
l'utilisation des applications TIC.
L'UIT a fourni une assistance aux pays suivants pour l'laboration d'un modle de lgislation couvrant
des domaines comme le commerce lectronique, la protection des donnes, les transactions en ligne, la
certification, l'authentification et le cryptage numriques: les Etats Membres de l'ASETA (Bolivie,
Colombie, Equateur, Prou et Venezuela), le Burkina Faso, le Cap-Vert, la Mauritanie, la Mongolie et
la Tanzanie.
Dans le cadre des efforts qu'elle dploie pour fournir aux pays en dveloppement des lignes directrices
et des tudes de cas consacres l'laboration d'une lgislation sur la confidentialit des donnes, les
applications TIC, la prvention du cybercrime, l'UIT a publi un rapport bas sur des recherches ainsi
qu'une analyse contenant des exemples concrets illustrant comment certains pays ont labor une
lgislation sur la prvention du cybercrime. Ce travail a t fait par Mme Michela Menting Yoell de
l'Universit d'Essex (Angleterre) dans le cadre d'un stage de trois mois l'Unit E-strategies de
l'UIT/BDT pour l'obtention de son diplme LLM en technologies de l'information, mdia et commerce
lectronique. Une version PDF de ce rapport peut tre tlcharge l'adresse suivante: Recherche sur
la lgislation relative au caractre confidentiel des donnes, la scurit et la prvention du
cybercrime.
126
Annexe C
2.1
Services d'annuaire
a) Quelles dfinitions et quels profils de services nouveaux faut-il adopter pour tirer parti de
techniques d'annuaire aussi rpandues que X.500 et LDAP, par exemple?
b) Quelles modifications faut-il apporter aux Recommandations des sries E et F et/ou quelles
nouvelles Recommandations faut-il laborer pour spcifier les amliorations apporter aux
dfinitions et profils de services d'annuaire existants et pour en corriger les dfauts?
2.2
Systmes d'annuaire
Quelles amliorations faut-il apporter l'annuaire afin de l'adapter aux besoins des utilisateurs
actuels et potentiels, par exemple obtention d'une meilleure homognit des informations
d'annuaire dans les sites o elles sont recopies, opration de prise en charge des informations
ajoutes aux attributs d'annuaire par les utilisateurs, amlioration de la qualit de
fonctionnement lors de l'extraction d'un nombre lev de rponses ou solutions proposes pour
rgler les cas de confusion lie la dtention sous des noms identiques d'informations
diffrentes par plusieurs fournisseurs de services d'annuaire?
Quelles autres amliorations faut-il apporter l'annuaire pour autoriser l'interfonctionnement
avec des services mis en oeuvre l'aide de la spcification LDAP de l'IETF, y compris
l'utilisation ventuelle de XML pour l'accs aux annuaires, ainsi que leur prise en charge?
Quelles autres amliorations faut-il apporter l'annuaire et aux certificats d'attributs et de cls
publiques pour permettre leur utilisation dans des environnements limits en ressources, par
exemple, les rseaux hertziens et les rseaux multimdias?
Quelles autres amliorations faut-il apporter l'annuaire pour en amliorer l'intgration dans
des domaines tels que les services de rseau intelligent, de rseaux de tlcommunication et
d'annuaire publics?
Quelles modifications faut-il apporter aux Recommandations de la srie X.500 et/ou quelles
sont les nouvelles Recommandations laborer pour mieux dfinir les amliorations de
l'annuaire et pour trouver des solutions ses imperfections?
L'tude consacre aux systmes d'annuaire sera ralise en coopration avec le JTC 1 de
l'ISO/CEI dans le cadre du travail qu'il consacre l'extension de la norme ISO/CEI 9594, texte
commun aux Recommandations X.500-X.530. Une liaison et une troite coopration seront en
outre maintenues avec l'IETF, en particulier dans les domaines du LDAP.
a)
b)
c)
d)
e)
2.3
127
c) Quelles modifications faut-il apporter la Recommandation X.509 pour mieux dfinir les
amliorations de la Recommandation X.509 et pour trouver des solutions ses imperfections?
L'tude consacre aux certificats d'attributs et de cls publiques sera ralise en coopration
avec le JTC 1 de l'ISO/CEI dans le cadre du travail qu'il consacre l'extension de la norme
ISO/CEI 9594-8, texte commun la Recommandation X.509. Une liaison et une troite
coopration seront en outre maintenues avec l'IETF, en particulier dans les domaines de la
PKI.
Question 4/17 Projet relatif la scurit des systmes de communication
(Suite de la Question G/17)
Le domaine de la scurit est vaste et couvre de nombreux sujets. La scurit peut tre applique la
quasi-totalit des aspects des technologies des tlcommunications et de l'information. Pour spcifier
les exigences de scurit, il est possible de choisir entre deux mthodes:
La mthode ascendante, en vertu de laquelle les experts du domaine laborent des mesures de
scurit visant renforcer et protger le domaine du rseau qui leur incombe, par exemple,
biomtrie, cryptographie, etc. Cette mthode est la plus rpandue mais l'tude de la scurit,
telle qu'elle est effectue dans les diffrentes organisations, est fragmente.
La mthode descendante offre une vision stratgique et de haut niveau de la scurit. Dans
cette mthode, il est indispensable d'avoir un aperu gnral de la situation. Cette mthode est
aussi la plus complexe car il est plus difficile de trouver des experts qui possdent une
connaissance dtaille de chaque partie du rseau et de leurs exigences de scurit, que des
experts du sujet qui possdent, quant eux, une connaissance spcifique d'un ou deux
domaines.
Une autre solution consiste combiner les deux mthodes prcites, tant entendu qu'elle
suppose une coordination indispensable. Cette faon de procder a souvent pos de nombreux
problmes, en raison des diffrents intrts et programmes dont il faut tenir compte.
La prsente Question vise fixer de grands principes mais aussi assurer la coordination et
l'organisation de toute la gamme des activits dployer dans le domaine de la scurit des
communications l'UIT-T. La mthode descendante sera utilise en collaboration avec
d'autres Commissions d'tudes et d'autres organisations de normalisation. Ce projet vise
mettre en place une mthode plus cible au niveau des projets et des stratgies.
Questions
a) Quels sont les rsultats attendus du projet relatif la scurit des systmes de communication?
b) Quels sont les processus, sujets d'tude, mthodes de travail et dlai prvoir pour obtenir les
rsultats attendus dans le cadre du projet?
c) Quels recueils de textes et quels manuels sur la scurit devront tre labors et mis jour par
l'UIT?
d) Quels ateliers sur la scurit faudra-t-il organiser?
e) Quelles mesures faut-il prendre pour nouer des relations efficaces avec d'autres organisations
de normalisation en vue de progresser dans le domaine de la scurit?
f) Quels sont les principales tapes et les critres dterminants du succs?
g) Comment stimuler l'intrt des Membres du Secteur et des administrations et les encourager
poursuivre les efforts engags dans le domaine de la scurit?
h) Comment faire en sorte que les fonctions de scurit retiennent davantage l'attention du
march?
i)
128
Comment bien faire comprendre aux gouvernements qu'il est indispensable et urgent de
protger les intrts conomiques au niveau mondial, qui dpendent d'une infrastructure
robuste et scurise des tlcommunications?
Annexe D
Compte tenu des dangers qui menacent la scurit du secteur de la communication et des progrs
raliss dans le domaine des contre-mesures de protection, il convient d'explorer les nouveaux besoins
en matire de scurit ainsi que leurs solutions.
Il convient d'tudier la fois la scurit applicable aux nouveaux types de rseaux et la scurit
applicable aux nouveaux services.
2
Questions
a) Comment faut-il dfinir une solution complte et cohrente en matire de scurit de
communication?
b) Quelle architecture faut-il appliquer pour une solution complte et cohrente en matire de
scurit de communication?
c) Quel est le cadre d'application de l'architecture de scurit pour laborer une nouvelle solution
de scurit?
d) Sur quel cadre d'application de l'architecture de scurit faut-il s'appuyer pour valuer (et donc
amliorer) une solution de scurit existante?
e) Quelles sont les bases architecturales de la scurit?
i) Quelle est l'architecture de scurit des technologies mergentes?
ii) Quelle est l'architecture pour la scurit de bout en bout?
iii) Quelle est l'architecture de scurit pour l'environnement mobile?
iv) Quelles architectures de scurit technique sont ncessaires? Par exemple:
a) Quelle est l'architecture de scurit pour les systmes ouverts?
b) Quelle est l'architecture de scurit pour les rseaux IP?
c) Quelle est l'architecture de scurit pour le rseau NGN?
f) Comment convient-il de modifier les Recommandations sur les modles de scurit des
couches suprieures et infrieures afin de les adapter l'volution de l'environnement et
quelles nouvelles Recommandations peuvent tre ncessaires?
g) Comment faut-il structurer les normes
Recommandations existantes sur la scurit?
architecturales
en
ce
qui
concerne
les
Comment interviennent les services de scurit pour proposer des solutions de scurit?
Questions
129
Questions
a) Comment faut-il dfinir et grer les dangers qui menacent les systmes de tlcommunication?
b) Comment faut-il dterminer et grer les actifs en matire d'information des systmes de
tlcommunication?
c) Comment faut-il identifier les questions qui concernent en particulier la gestion des entreprises
de tlcommunication?
d) Comment faut-il construire correctement des systmes de gestion de la scurit de
l'information (ISMS) pour les oprateurs de tlcommunication, conformment aux normes
actuelles en matire d'ISMS?
e) Comment faut-il traiter et grer les incidents de scurit dans les tlcommunications?
2
a)
b)
c)
d)
e)
f)
Questions
Comment peut-on amliorer l'identification et l'authentification des utilisateurs par l'utilisation
de mthodes scurises de tlbiomtrie?
Comment la nouvelle partie de la Norme CEI 60027 Sous-ensemble physiologique
sera-t-elle utilise l'UIT-T pour fournir les lments d'un modle appropri de classement
des dispositifs scuriss de tlbiomtrie?
Comment utiliser les systmes de rfrenciation des niveaux de scurit pour incorporer les
solutions de tlbiomtrie dans un ordre hirarchique?
Comment faut-il identifier les technologies d'authentifications biomtriques pour les
tlcommunications?
Comment faut-il identifier les spcifications des technologies d'authentifications biomtriques
pour les tlcommunications partir de la technologie de cryptographie comme
l'infrastructure PKI?
Comment faut-il identifier le modle et la procdure des technologies d'authentifications
biomtriques pour les tlcommunications partir de la technologie de cryptographie comme
l'infrastructure PKI?
2
a)
b)
c)
d)
e)
f)
g)
h)
130
Questions
Comment faut-il identifier et dfinir les services de communication scuriss dans les services
de communications mobiles ou les services du web?
Comment faut-il identifier et prendre en charge les menaces qui psent sur les services de
communication?
Quelles sont les technologies de scurit qui permettent de prendre en charge les services de
communication scuriss?
Comment maintenir une interconnectivit scurise entre les systmes de communication?
Quelles techniques de scurit sont ncessaires pour offrir des services de communication
scuriss?
Quelles techniques et quels protocoles de scurit sont ncessaires pour les nouveaux services
scuriss du web?
Quels protocoles d'application scuriss faut-il appliquer aux services de communication
scuriss?
Quelles sont les solutions de scurit globales applicables aux services de communication
scuriss et leurs applications?
Annexe D
Anderson Ross, Security Engineering, A Guide To Building Dependable Distributed Systems, Wiley,
2001, ISBN 0-471-38922-6
Bishop Matt, Computer security: art and science, Addisson-Wesley, 2002, ISBN 0-201-44099-7
Black Uyless, Internet Security Protocols, Protecting IP Traffic, Pentice Hall, ISBN 0-13-014249-2
Denning Dorothy E., Information Warfare and Security, Addison-Wesley, 1999, ISBN 0-201-43303-6
Dufour Arnaud, Ghernaouti-Hlie Solange; Internet PUF, Que sais-je? N 3073 ISBN: 2-13053190-3
Ferguson Niels, Schneier Bruce, Practical Cryptography, Wiley, 2003, ISBN 0-471-22357-3
Ghernaouti-Hlie Solange; Internet & Scurit PUF Que sais-je? N 3609 ISBN: 2-13-051010-8
Ghernaouti-Hlie Solange; Scurit informatique et rseaux, cours et exercices corrigs Dunod
2006.
Panko Raymond, Scurit des systmes dinformation et des rseaux, Pearson Education (version
franaise), 2004
Poulin Guillaume, Soyer Julien, Trioullier Marc-ric, Scurit des architectures Web, ne pas prvoir
c'est dj gmir, Dunod, 2004.
Schneier Bruce, Beyond Fear, Thinking Sensibly About Security In An Uncertain World, Copernicus
Books, 2003, ISBN 0-387-02620-7
Schneier Bruce, Secrets et mensonges, la scurit numrique dans un monde en rseau, Vuibert,
(version franaise) 2001, ISBN 2-711786-846
Schneier Bruce, Cryptographie Applique, Algorithmes, protocoles et codes source en C, 2me dition,
Vuibert, 2001, ISBN 2-7117-8676-5 version franaise de Schneier Bruce, Applied Cryptography,
Protocols, Algorithms and Source Code in C, Second Edition, Wiley, 1996, ISBN 0-471-11709-9
Singh Simon, Histoire des codes secrets, JC Latts, 1999, ISBN 2-7096-2048-0
Stallings William, Cryptography And Network Security, principles and practice, Prentice Hall, 1999,
ISBN 0-13-869017-0
Stallings William, Network And Internetwork Security, principles and practice, Prentice Hall, 1995,
ISBN 0-13-180050-7
Stallings William, Network Security Essentials, applications and standards, Prentice Hall, 2000, ISBN
0-13-016093-8
Sites de rfrences
Sites en franais:
131
132
Annexe E
F.1
Annexe F
133
Linstauration dune culture de la scurit ncessitera la fois une impulsion et une large participation
et devrait se traduire par une priorit renforce donne la planification et la gestion de la scurit,
ainsi que par une comprhension de lexigence de scurit par lensemble des participants. Les
questions de scurit doivent tre un sujet de proccupation et de responsabilit tous les niveaux du
gouvernement et des entreprises et pour lensemble des parties prenantes. Les prsentes lignes
directrices offrent un fondement aux efforts en vue dinstaurer une culture de la scurit dans
lensemble de la socit. Les parties prenantes seront ainsi mme dagir pour que la scurit
devienne partie intgrante de la conception et de lutilisation de tous les systmes et rseaux
dinformation. Les lignes directrices proposent que toutes les parties prenantes adoptent et
encouragent une culture de la scurit qui guide la rflexion, la dcision et laction concernant le
fonctionnement des systmes et rseaux dinformation.
F.2
Buts
Promouvoir parmi lensemble des parties prenantes une culture de la scurit en tant que
moyen de protection des systmes et rseaux dinformation.
Renforcer la sensibilisation aux risques pour les systmes et rseaux dinformation, aux
politiques, pratiques, mesures et procdures disponibles pour faire face ces risques, ainsi
qu la ncessit de les adopter et de les mettre en uvre.
Promouvoir parmi lensemble des parties prenantes une plus grande confiance dans les
systmes et rseaux dinformation et dans la manire dont ceux-ci sont mis disposition et
utiliss.
Crer un cadre gnral de rfrence qui aide les parties prenantes comprendre la nature des
problmes lis la scurit, et respecter les valeurs thiques dans llaboration et la mise en
uvre de politiques, pratiques, mesures et procdures cohrentes pour la scurit des systmes
et rseaux dinformation.
F.3
Principes
Les neuf principes exposs ci-aprs se compltent et doivent tre considrs comme un tout. Ils
sadressent aux parties prenantes tous les niveaux, y compris politique et oprationnel. Aux termes
des lignes directrices, les responsabilits des parties prenantes varient selon le rle qui est le leur.
Toutes les parties prenantes, peuvent tre aides par des actions de sensibilisation, dducation, de
partage dinformations et de formation de nature faciliter une meilleure comprhension des questions
de scurit et ladoption de meilleures pratiques en ce domaine. Les efforts visant renforcer la
scurit des systmes et rseaux dinformation doivent respecter les valeurs dune socit
dmocratique, en particulier le besoin dune circulation libre et ouverte de linformation ainsi que les
principes de base de respect de la vie prive des individus62.
62 Outre les prsentes lignes directrices sur la scurit, lOCDE a labor une srie de recommandations complmentaires
concernant des lignes directrices relatives dautres aspects importants de la socit mondiale de linformation. Celles-ci
visent la vie prive (Lignes directrices rgissant la protection de la vie prive et les flux transfrontires de donnes de
caractre personnel, OCDE, 1980) et la cryptographie (Lignes directrices rgissant la politique de cryptographie,
OCDE, 1997). Les prsentes lignes directrices sur la scurit doivent tre lues en parallle avec ces autres lignes
directrices.
134
Annexe F
1) Sensibilisation
Les parties prenantes doivent tre sensibilises au besoin dassurer la scurit des systmes et
rseaux dinformation et aux actions quelles peuvent entreprendre pour renforcer la scurit.
La sensibilisation aux risques et aux parades disponibles est la premire ligne de dfense pour assurer
la scurit des systmes et rseaux dinformation. Les systmes et rseaux dinformation peuvent tre
exposs des risques tant internes quexternes. Les parties prenantes doivent comprendre que les
dfaillances de scurit peuvent gravement porter atteinte aux systmes et rseaux sous leur contrle
mais aussi, du fait de linterconnectivit et de linterdpendance, ceux dautrui. Les parties prenantes
doivent rflchir la configuration de leur systme, aux mises jour disponibles pour ce dernier, la
place quil occupe dans les rseaux, aux bonnes pratiques quelles peuvent mettre en uvre pour
renforcer la scurit, ainsi quaux besoins des autres parties prenantes.
2) Responsabilit
Les parties prenantes sont responsables de la scurit des systmes et rseaux dinformation.
Les parties prenantes sont tributaires de systmes et rseaux dinformation locaux et mondiaux
interconnects. Elles doivent comprendre leur responsabilit dans la scurit de ces systmes et
rseaux et en tre, en fonction du rle qui est le leur, individuellement comptables. Elles doivent
rgulirement examiner et valuer leurs propres politiques, pratiques, mesures et procdures pour
sassurer quelles sont adaptes leur environnement. Celles qui dveloppent, conoivent et
fournissent des produits et services doivent prendre en compte la scurit des systmes et rseaux et
diffuser des informations appropries, notamment des mises jour en temps opportun de manire ce
que les utilisateurs puissent mieux comprendre les fonctions de scurit des produits et services et
leurs responsabilits en la matire.
3) Raction
Les parties prenantes doivent agir avec promptitude et dans un esprit de coopration pour prvenir,
dtecter et rpondre aux incidents de scurit.
Du fait de linterconnectivit des systmes et rseaux dinformation et de la propension des dommages
se rpandre rapidement et massivement, les parties prenantes doivent ragir avec promptitude et dans
un esprit de coopration aux incidents de scurit. Elles doivent changer leurs informations sur les
menaces et vulnrabilits de manire approprie et mettre en place des procdures pour une
coopration rapide et efficace afin de prvenir et dtecter les incidents de scurit et y rpondre.
Lorsque cela est autoris, cela peut impliquer des changes dinformations et une coopration
transfrontires.
4) Ethique
Les parties prenantes doivent respecter les intrts lgitimes des autres parties prenantes.
Les systmes et rseaux dinformation sont omniprsents dans nos socits et les parties prenantes
doivent tre conscientes du tort quelles peuvent causer autrui par leur action ou leur inaction. Une
conduite thique est donc indispensable et les parties prenantes doivent sefforcer dlaborer et
dadopter des pratiques exemplaires et de promouvoir des comportements qui tiennent compte des
impratifs de scurit et respectent les intrts lgitimes des autres parties prenantes.
5) Dmocratie
La scurit des systmes et rseaux dinformation doit tre compatible avec les valeurs
fondamentales dune socit dmocratique.
La scurit doit tre assure dans le respect des valeurs reconnues par les socits dmocratiques, et
notamment la libert dchanger des penses et des ides, la libre circulation de linformation, la
confidentialit de linformation et des communications, la protection adquate des informations de
caractre personnel, louverture et la transparence.
Annexe F
135
136
Annexe F
Recommandation du Conseil concernant les lignes directrices regissant la securit des systmes et
rseaux dinformation vers une culture de la securit
LE CONSEIL,
Vu la Convention relative lOrganisation de Coopration et de Dveloppement Economiques, en
date du 14 dcembre 1960, et notamment ses articles 1 b), 1 c), 3 a) et 5 b);
Vu la Recommandation du Conseil concernant les Lignes directrices rgissant la protection de la vie
prive et les flux transfrontires de donnes de caractre personnel, en date du 23 septembre 1980
[C(80)58(Final)];
Vu la Dclaration sur les flux transfrontires de donnes adopte par les gouvernements des pays
Membres de lOCDE le 11 avril 1985 [C(85)139,Annexe];
Vu la Recommandation du Conseil relative aux Lignes directrices rgissant la politique de
cryptographie, en date du 27 mars 1997 [C(97)62/FINAL];
Vu la Dclaration ministrielle relative la protection de la vie prive sur les rseaux mondiaux, en
date des 7-9 dcembre 1998 [C(98)177/FINAL, Annexe];
Vu la Dclaration ministrielle sur lauthentification pour le commerce lectronique, en date des 7-9
dcembre 1998 [C(98)177/FINAL, Annexe];
Reconnaissant que les systmes et rseaux dinformation sont de plus en plus utiliss et acquirent une
valeur croissante pour les gouvernements, les entreprises, les autres organisations, et les utilisateurs
individuels;
Reconnaissant que le rle toujours plus important que jouent les systmes et rseaux dinformation
dans la stabilit et lefficience des conomies nationales et des changes internationaux, ainsi que dans
la vie sociale, culturelle et politique, et laccentuation de la dpendance leur gard imposent des
efforts particuliers pour protger et promouvoir la confiance qui les entoure;
Reconnaissant que les systmes et rseaux dinformation et leur expansion lchelle mondiale se sont
accompagns de risques nouveaux et en nombre croissant;
Reconnaissant que les donnes et informations conserves ou transmises sur des systmes et rseaux
dinformation sont exposes des menaces du fait de divers moyens daccs sans autorisation,
dutilisation, dappropriation abusive, daltration, de transmission de code malveillant, de dni de
service ou de destruction, et exigent des mesures de protection appropries;
Reconnaissant quil importe de sensibiliser davantage aux risques pesant sur les systmes et rseaux
dinformation ainsi quaux politiques, pratiques, mesures et procdures disponibles pour faire face
ces risques, et dencourager des comportements appropris en ce quils constituent une tape
essentielle dans le dveloppement dune culture de la scurit;
Reconnaissant quil convient de revoir les politiques, pratiques, mesures et procdures actuelles pour
aider faire en sorte quelles rpondent de faon adquate aux dfis en constante volution que posent
les menaces auxquelles sont exposs les systmes et rseaux dinformation;
Reconnaissant quil est de lintrt commun de promouvoir la scurit des systmes et rseaux
dinformation par une culture de la scurit qui encourage une coordination et une coopration
internationales appropries en vue de rpondre aux dfis poss par les prjudices que des dfaillances
de la scurit sont susceptibles de causer aux conomies nationales, aux changes internationaux, ainsi
qu la participation la vie sociale, culturelle et politique.
Reconnaissant en outre que les Lignes directrices rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit, figurant en annexe la prsente Recommandation, sont
dapplication volontaire et naffectent pas les droits souverains des Etats;
Annexe F
137
Et reconnaissant que lobjet de ces lignes directrices nest pas de suggrer quil existe une solution
unique quelconque en matire de scurit, ou que des politiques, pratiques, mesures et procdures
particulires soient adaptes une situation donne, mais plutt de fournir un cadre plus gnral de
principes de nature favoriser une meilleure comprhension de la manire dont les parties prenantes
peuvent la fois bnficier du dveloppement dune culture de la scurit et y contribuer;
PRCONISE lapplication de ces Lignes directrices rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit par les gouvernements, les entreprises, les autres
organisations et les utilisateurs individuels qui dveloppent, possdent, fournissent, grent,
maintiennent et utilisent les systmes et rseaux dinformation;
RECOMMANDE aux pays Membres:
Dtablir de nouvelles politiques, pratiques, mesures et procdures ou de modifier celles qui existent
pour reflter et prendre en compte les Lignes directrices rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit en adoptant et promouvant une culture de la scurit,
conformment auxdites lignes directrices;
Dengager des actions de consultation, de coordination et de coopration, aux plans national et
international, pour la mise en uvre des lignes directrices;
De diffuser les lignes directrices dans lensemble des secteurs public et priv, notamment auprs des
gouvernements, des entreprises, dautres organisations et des utilisateurs individuels, pour promouvoir
une culture de la scurit, et encourager toutes les parties intresses adopter une attitude
responsable et prendre les mesures ncessaires en fonction des rles qui sont les leurs;
De mettre les lignes directrices la disposition des pays non membres, le plus rapidement possible et
de manire approprie;
De rexaminer les lignes directrices tous les cinq ans, de manire promouvoir une coopration
internationale sur les questions lies la scurit des systmes et rseaux dinformation;
CHARGE le Comit de la politique de linformation, de linformatique et des communications de
lOCDE dapporter son soutien la mise en uvre des lignes directrices.
La prsente Recommandation remplace la Recommandation du Conseil concernant les lignes
directrices rgissant la scurit des systmes dinformation du 26 novembre 1992 [C(92)188/FINAL].
Historique de la procdure
Les lignes directrices sur la scurit ont t acheves en 1992 puis rexamines en 1997. Lexamen
actuel a t entrepris en 2001 par le Groupe de travail sur la scurit de linformation et la vie prive
(GTSIVP), dans le cadre dun mandat donn par le Comit de la politique de linformation, de
linformatique et des communications (PIIC), et acclr suite la tragdie du 11 septembre.
La rdaction a t entreprise par un Groupe dexperts du GTSIVP qui sest runi Washington, DC,
les 10 et 11 dcembre 2001, Sydney les 12-13 fvrier 2002 et Paris les 4 et 6 mars 2002. Le
GTSIVP sest runi les 5-6 mars 2002, les 22-23 avril 2002 et les 25-26 juin 2002.
Les prsentes Lignes directrices de lOCDE rgissant la scurit des systmes et rseaux
dinformation: vers une culture de la scurit ont t adoptes sous la forme dune Recommandation
du Conseil de lOCDE lors de sa 1037e session, le 25 juillet 2002.
138
Annexe F
Union
Imprim en Suisse
Genve, 2006
internationale
des
tlcommunications
Union
internationale
des
tlcommunications
Guide
de la cyberscurit
pour les pays en
dveloppement
Imprim en Suisse
Genve, 2006