Dontologie, Droit et la bonne utilisation dInternet

Frdric Gava (MCF) gava@univ-paris12.fr

LACL, btiment P2 du CMC, bureau 221 Universit de Paris XII Val-de-Marne 61 avenue du Gnral de Gaulle 94010 Crteil cedex

Auteur du texte
Les textes de ces transparents ne sont pas de moi Mais dun cours de C2i de luniversit de Nancy 2 (A. Boyer) Ajouts et modifications de quelques lments par mes soins Remise en page et lgre re-organisation par mes soins pour la cohrence des cours
2/160

Le problme du piratage

Quelques interrogations
Ai-je le droit de tout faire ? Y a t il un vide lgislatif de lInternet ? (pas de vide juridique) Comment puis-je protger
Ma vie prive Mon matriel

4/160

Internet sans risque ?

Plan gnral du cours : Quelques anecdotes Une nuisance : les virus Problmatique et enjeux de l'Internet La rponse par auto ou co rgulation La rponse juridique

5/160

Un exemple clbre
le plus important rseau franais de contrefacteurs de logiciels, dnomm "toile noire", dmantel par le service des enqutes sur les fraudes aux technologies de linformatique (SEFTI) et BSA
Le 22 juin 1999 6 mois denqutes et plusieurs perquisitions Prjudice estim plusieurs millions de francs Plaintes de plusieurs diteurs donner accs un nombre trs important de copies illicites
Directement via Internet Par des renvois vers des revendeurs de CD ROM pirats
6/160

BSA = Association des principaux diteurs de logiciels Objectif : lutter contre le piratage de logiciels et les copies illicites
Traditionnel ou via Internet Atteinte aux droits dauteurs

Piratage de logiciels sur Internet

Stratgie :
1) Information du grand public 2) Sensibilisation des autorits publiques afin de renforcer les lois protgeant le droit dauteur 3) Dclenchement de poursuites lencontre des responsables impliqus dans le piratage de logiciels
7/160

Et des condamnations
4 particuliers commercialisant des copies de logiciels sur CD
Tribunal correctionnel de Paris, le 7 mai 1999 3 mois de prison avec sursis Peine dintrt gnral de 100 150 heures chacun 65 000 francs dindemnisation globale Publication dans la presse spcialise

1 tudiant commercialisant des copies de logiciels sur CD

Tribunal correctionnel de Paris, le 22 fvrier 1999 6 mois de prison avec sursis 20000 F damende, 50 000 F aux diteurs de dommages et intrts Publication dans la presse spcialise PC direct pouse condamne 15 000 F damende pour recel de copie

1 tudiant pour copie illicite de logiciels sur 11 CD pour son usage

Tribunal correctionnel du Havre, le 8 fvrier 1999 3002 francs de dommages et intrts aux diteurs Confiscation de son matriel informatique

8/160

Idem dans le domaine musical

Socit Civile des Producteurs de Phonogrammes en France SPPF Condamnation dun internaute rcidiviste de 38 ans
Le 29 janvier 2004, 31me chambre du tribunal correctionnel de Paris

Organisation via son site personnel de vente illicite de CD gravs Reproduisant des fichiers musicaux MP3 Tlchargs partir de sites peer to peer Identification de titres de producteurs indpendants de la SPPF Enqute de la brigade denqutes "fraude aux technologies de linformation" 6 mois de prison ferme 1000 de dommages et intrts la SPPF 300 au titres 475-1 du code de la procdure pnale Publication du jugement dans Tlrama et le Parisien
9/160

Les fichiers musicaux

Condamnation le 2 fvrier 2005 premier internaute franais poursuivi au pnal par les producteurs et les maisons de disques contrefaon pour tlchargement et mise disposition en P2P 10 000 fichiers musicaux, entre aot 2003 et aot 2004 3.000 euros d'amende avec sursis (annule au bout de cinq ans) et 10.200 euros de dommages et intrts selon la SPPF : "Les juges ont considr que les utilisateurs des systmes [P2P] doivent prendre conscience notamment de la ncessaire protection des droits des auteurs, compositeurs ou producteurs des uvres de l'esprit En octobre 2006, lIFPI (Fdration Internationale de lIndustrie Phonographique) a annonc engager 8000 nouvelles poursuites contre les internautes changeant des fichiers musicaux sans autorisation par le systme P2P (source : Le mag BNPParibas fvrier 2007) parties civiles : Socit des auteurs, compositeurs et diteurs de musique, Socit civile des producteurs phonographiques, Socit civile des producteurs de phonogrammes en France, Socit pour l'administration des droits de reproduction mcanique
10/160

Lu sur LEMONDE.FR | 30.11.06

A l'automne 2004, l'industrie du disque, exaspre par la chute vertigineuse de ses ventes (moins 30 % entre 2001 et 2003), dcide de frapper les esprits. Sur les 8 millions de Franais adeptes de tlchargements via les rseaux P2P, une cinquantaine sont poursuivis en justice pour l'exemple, dont la moiti d'entre eux au pnal. Mineurs, chmeurs, artisans, cadres M. Tout-le-Monde peut se retrouver au tribunal pour avoir mis des fichiers musicaux disposition sur Internet." Anne-Sophie Lainnem, 27 ans passible de 3 ans d'emprisonnement et de 300 000 euros d'amende refuse de payer pour soutenir un modle conomique obsolte condamne le 30/11/2006 par le tribunal correctionnel de Rennes, 1 200 euros d'amende avec sursis et la confiscation de son disque dur pour dlit de "contrefaon de droit d'auteur" galement condamne verser 2 225 euros de dommages et intrts, la Socit des producteurs de phonogrammes en France (SPPF) et la Socit civile des producteurs phonographiques (SCPP) 11/160

Piratage de BD sur Internet Source : 01 net

"Pour la premire fois, un prvenu t condamn pour piratage de Bande Dessin sur Internet. Condamn au printemps 2005, il na pas fait appel de sa condamnation un euro symbolique. Lhomme tait accus davoir mis en ligne quelques 2288 Bandes Dessines. " Possibilit de 300 000 damende et de 3 ans de prison (art. L335-2 du code de la proprit intellectuelle) le syndicat du livre, partie civile, a demand une condamnation symbolique
12/160

Une stratgie similaire

Information du grand public
Catastrophisme Avertissement

Sensibilisation des autorits publiques Renforcement des lois sur le droit dauteur Dclenchement de poursuites
Condamnations Publicits
13/160

NOUVELOBS.COM | 15.02.04
"Microsoft a annonc jeudi soir que des extraits du code source de Windows protgs jalousement ont t publis son insu sur internet" Ouverture par le FBI d'une enqute pour identifier et arrter l'internaute Porte-parole du bureau de la sret fdrale (Seattle) : "cette affaire est confie une cellule oprationnelle charge de combattre la criminalit en informatique. Elle comprend des reprsentants du FBI, des services du Trsor, des impts, et de la police locale et de l'Etat de Washington" 14/160

Au sujet des enseignes

Le problme ne se pose pas quavec le piratage de logiciels ou de fichiers: FNAC/R.G. et Auslese die Buchhandlung Fnac.de : site trilingue (allemand, anglais, franais) rfrenc sur yahoo.fr ! La Fnac : titulaire dune marque franaise et dune marque communautaire condamnation du libraire allemand
Question de la lgalit des actions pose ici. On est toujours la limite.

15/160

Premier constat
Ne pas s'approprier le travail ou la proprit d'autrui Protger son travail et ses productions

16/160

Les hackers = les pirates

Admirs pour leur matrise de la technologie autonome et indpendante des pouvoirs tablis Dcris comme cyberterroristes ou cybercriminels en puissance Leur savoir faire et leur faon de faire frappent les imaginations Leur credo :
partage et libert de linformation Milite pour "un accs aux ordinateurs illimit et total , sans considration de frontires ou de proprits, avec comme ambition la connaissance

Il ny a qu lire la presse !
17/160

Hacker
Terme souvent utilis pour dsigner un pirate informatique En gnral des jeunes Signification depuis son apparition la fin des annes 50 :
l'origine : programmeurs mrites annes 70 : rvolutionnaires de l'informatique
la plupart devenus les fondateurs de grandes entreprises informatiques

annes 80 : personnes impliques dans le piratage de jeux vidos

en dsamorant les protections puis en revendant des copies

aujourd'hui : personnes s'introduisant dans les systmes informatiques scuris et en gnral (mas pas toujours) sensible

18/160

Des pirates
Les white hat hackers hacker au sens noble du terme But : aider amliorer les systmes et technologies informatiques l'origine de certains protocoles et outils utiliss aujourd'hui ... Les black hat hackers couramment appels pirates (ou crackers) s'introduire dans les systmes informatiques dans un but nuisible Les Script Kiddies gamins du script
surnomms crashers, lamers, packet monkeys (singes des paquets rseau)

jeunes utilisateurs du rseau utilisant des programmes trouvs sur Internet gnralement de faon maladroite pour vandaliser des systmes informatiques afin de s'amuser
19/160

Toujours des pirates !

Les phreakers
pirates s'intressant au rseau tlphonique commut (RTC) But : lutiliser gratuitement grce des circuits lctroniques (les box)

Les carders
s'attaquent principalement aux systmes de cartes bancaires
pour en comprendre le fonctionnement et en exploiter les failles

Les crackers
crer des outils logiciels pour
attaquer des systmes informatiques ou casser les protections contre la copie des logiciels payants

Les hacktivistes
contraction de hackers et activistes (cybermilitant ou cyberrsistant) motivation principalement idologique terme largement port par la presse, aimant vhiculer l'ide d'une communaut parallle (exagration, mystification et dsinformation typique de la presse)
20/160

Un certain militantisme
Internet Separatist
lInternet relve dun ordre juridique part Transcendant les frontires politiques et lemprise des tats nations

EEF : Electric Frontier Foundation

Cre en 1990 par 2 hackers Promouvoir les droits fondamentaux du cyberespace Libert dexpression et respect des donnes personnelles par encryptage Participe notamment lchec devant le congrs de la loi sur la lutte contre la pornographie sur le net

21/160

Amricain denviron 40 ans, surnom Condor

Kevin Mitnick, le plus clbre pirate

Arrt par le FBI Raleigh, Caroline du Nord le 15 fvrier 1995, aprs une traque de sept ans Grce un ancien pirate reconverti dans la scurit informatique

On lui attribue
vol sur des rseaux privs le numro de 20 000 cartes de crdit (dont celles des milliardaires de la Silicon Valley) Introduction dans le systme du laboratoire de recherche de la NASA Pasadena (Californie) visite des centaines de fois les ordinateurs du Pentagone Washington

Il passe 5 ans en prison

pour avoir vol des logiciels, modifi des donnes chez Motorola, Nokia, Sun ... A l'poque de son procs, accus d'avoir caus 10 millions de dollars de dgts en s'en prenant plusieurs rseaux d'entreprise libr en 2000 et jusquau 21 janvier 2003, interdiction dutiliser un ordinateur ou dtre consultant ou conseiller dans tout domaine li linformatique 22/160

Ehud Tenebaum, le plus discret

Isralien g denviron 25 ans, surnom l'Analyste Entre 1996 et 1998 aurait pirat par jeu plus de 1000 sites sensibles, sans jamais se faire reprer
Pentagone, la NASA, le centre amricain pour l'armement sous-marin, les archives secrtes de l'arme isralienne, le MIT, le FBI, l'U.S. Air Force et l'U.S. Department of Defense, la Knesset ou encore la Banque d'Isral utilisait les rseaux des universits israliennes pour se connecter incognito

En 1998 dcide de tout arrter

communique ses programmes et mots de passe un ami amricain Lami les utilise, se fait arrter par le FBI pour espionnage (un mot de passe permettait d'accder l'un des sites du Pentagone) intervient pour disculper son camarade
fournit un journal isralien des fichiers rcuprs dans les ordinateurs du Pentagone

Arrt par la police isralienne le 18 mars 98, relch aprs quelques jours effectue son service militaire (enrl par le MOSSAD ?) inculp un an aprs les faits

23/160

Vladimir Levin, auteur du premier e-hold-up

biochimiste russe de 35 ans environ Entre juin et aot 94 s'introduit plusieurs fois dans le rseau SWIFT rseau bancaire international pourtant rput inviolable ! Assist de quelques amis pirates perce les coffres-forts lectroniques de la Citibank (1re banque amricaine) dtourne des fonds vers des comptes en Finlande, Russie, Allemagne, Pays-Bas, Etats-Unis et Isral Montant du butin :
plus de 10 millions de dollars selon les autorits judiciaires amricaines "seulement" 3,7 millions de dollars selon l'intress

Arrt par Interpol en mars 1995 l'aroport d'Heathrow (Londres) extrad vers les Etats-Unis en septembre 1997 jug en fvrier 1998 condamn 36 mois de prison 24/160

Un deuxime constat
Vol ou effraction sur Internet comme ailleurs Ne pas confondre actes dlictueux et militantisme

25/160

Les escrocs du woueb

Premire condamnation en France pour escroquerie par "phishing"

ZDNet France 27 janvier 2005

Phishing : usurpation d'identit via un faux site web

"Un internaute (un tudiant) avait dtourn 20.000 euros en attirant ses victimes sur un faux site du Crdit lyonnais qu'il avait cr. Il a t condamn 8.500 euros de dommages et intrts et un an de prison avec sursis."
sanction prononce par le tribunal correctionnel de Strasbourg le 2 septembre 2005 (premire condamnation de phishing en France)
27/160

Principe
Obtenir des donnes personnelles et bancaires grce un e-mail factice apparence d'un courrier officiel envoy par une banque ou un cybermarchand repose sur la crdulit de moins en moins marginal en France environ 1.707 nouveaux faux sites recenss par une organisation amricaine (l'APWG) dans le monde en dcembre 2004 = augmentation de 24% par rapport juillet 2004 Selon les derniers chiffres publis par lassociation Anti-Phishing Working Group (tude parue dans le Fig. Mag. du 6/01/2007): plus de 28500 attaques de phishing sur le seul mois de juin 2006. le plus sr : respecter des rgles simples de prudence ne jamais communiquer de donnes bancaires en cliquant sur un lien envoy par e-mail
28/160

Protection de la tranquillit : spam

envoi massif et parfois rpt, de courriers lectroniques non-sollicits des personnes avec lesquelles l'expditeur n'a jamais eu de contacts et dont il a capt l'adresse lectronique de faon irrgulire

29/160

Deux types de spamming

Avec intention de nuire en produisant un dni de services (mail bombing) Marketing indlicat

30/160

Les spams: lments caractristiques

des messages adresss sur la base d'une collecte irrgulire de mails
soit au moyen de moteurs de recherche dans les espaces publics de l'internet (sites web, forums de discussion, listes de diffusion, chat...) soit cession des adresses sans informer les personnes et sans qu'elles aient t mises en mesure de s'y opposer ou d'y consentir

Le plus souvent,
pas d'adresse valide d'expdition ou de "reply to" adresse de dsinscription inexistante ou invalide

31/160

Contre exemples
l'envoi de messages par un organisme qui a procd une collecte loyale des adresses lectroniques la rception d'une lettre d'information (newsletter) envoye partir d'un site sur lequel l'internaute s'est pralablement inscrit

32/160

OUTILS COLLABORATIFS POUR LUTTER CONTRE LE "SPAM"

A titre d'exemple
Spamassassin un logiciel gratuit de lutte contre le spam SpamNet
efficacit repose sur le principe de la collaboration de tous les utilisateurs de ce logiciel. Chaque spam est recens sous une forme code dans une base de donnes centralise

Pour plus d'information (en anglais) http://www.spamnet.com. Une liste de logiciels galement disponible http://www.caspam.org/outils_anti_spam.html.

: sur
33/160

1re condamnation d'un spammeur franais 9/06/2004

Spam : courrier lectronique non sollicit Lhistoire :
socit de marketing direct du sud de la France abonne au fournisseur daccs AOL crait des e-mails sous une fausse identit chez Hotmail utilisait sa connexion AOL pour envoyer les spams depuis une adresse "hotmail.com" a utilis de fausses identits pour crer de nouveaux comptes et continuer envoyer des spams malgr la fermeture contractuelle de son compte AOL pouractes de spamming avrs et constats lorigine de plus dun million de spams

Association de AOL et Microsoft pour la faire condamner Condamnation de l'entrepreneur 22 000 de dommage et intrts 1 000 euros pour tout nouveau courrier lectronique non sollicit quil enverrait en dpit de sa condamnation
34/160

Howard Carmack dit "Buffalo Spammer"

Condamn par la justice amricaine 7 ans de prison Envoi de 825 millions de spams en utilisant de fausses identits Premier prvenu poursuivi en vertu de la nouvelle loi de lEtat amricain sur le vol didentit Inculp de 14 chefs dinculpation

35/160

3 spammeurs amricains condamns un milliard de dollars d'amende 29/12/2004

en 2000 un fournisseur d'accs a vu ses serveurs noys sous un flot de spams pouvant atteindre jusqu' 10 millions d'emails publicitaires par jour
Le spammeur le plus lourdement condamn devra payer 720 millions de dollars

la moiti des courriers lectroniques changs en 2004 taient du spam

selon les estimations les plus prudentes Prvision de 80 % durant 2005
36/160

Les attaques informatiques

(selon le journal du net) Rapport ICSA Labs (division socit de services en scurit informatique
Cybertrust)

tude annuelle relative propagation et aux consquences des virus en entreprise panel : 300 organisations de plus de 500 postes, dots d'au moins 2 connexions distantes et 2 rseaux locaux 3,9 millions d'incidents relatifs un virus relevs en 2004

incident majeur chez 112 organisations soit contamination de 25 postes (PC ou serveur) ou plus par un mme virus soit un virus ayant caus des dommages financiers significatifs pour l'entreprise Augmentation de 12% par rapport l'anne 2003
37/160

Un troisime constat
Personne n'est l'abri La nuisance peut tre importante
Impact sur l'entreprise

38/160

Un exemple clbre : Yahoo

Plainte de 3 organisations antiracistes pour hbergement dun site de vente aux enchres dobjets nazis Lgal aux USA
Accs par des internautes franais Demande que des techniques de filtrage en rendent laccs impossible

20/11/2000, le juge des rfrs du TGI de Paris

3 mois Yahoo pour mettre en place une procdure de contrle sous peine dastreinte de 100 000 F par jour de retard 39/160

Une base de rflexion

1er amendement de la constitution amricaine
"le congrs ne votera aucune loi limitant la libert dexpression ou la libert de presse"

Article 9 de la dclaration des droits de lhomme

autorise "tout citoyen parler, crire et imprimer librement" sauf " rpondre de labus de cette libert dans des cas dtermins par la loi"

Internet espace de libert

Danger dans les pays totalitaires Ltat Chinois met en place rgulirement des filtres et demande aux socit de moteurs de recherche de ne pas faire apparatre certains sites (Tibet, Tiananmen, etc. )

Rgulation au niveau mondial

Monde sans frontires
40/160

Un autre exemple
16/9/05)

(Libration,

"Shi Tao a t condamn 10 ans de prison pour avoir transmis une note confidentielle du parti communiste, des consignes la presse officielle la veille de lanniversaire du massacre de la place Tiananmen. Reporter sans frontire rvle que Yahoo avait livr aux autorits le dtenteur de ladresse et du tlphone do est parti le message. Jerry Yang, co-fondateur de Yahoo se dfend : pour faire des affaires en Chine ou nimporte o dans le monde, nous devons respecter les lois locales."
en Chine environ 100 millions dinternautes contrle sur Internet : une cyberpolice identifie les cyberdissidents une soixantaine dinternautes en prison pour dlit dopinion
41/160

Un quatrime constat
L'anonymat n'existe pas sur Internet Importance de garantir ses droits et liberts fondamentales

42/160

Les virus informatiques

Une forme de criminalit = les attaques sur Internet

Les virus !
Fini le temps des hackers solitaires qui envoyaient des virus capables deffacer le contenu du disque dur dans le seul but de se faire remarquer de la communaut informatique et trouver un emploi dans une grosse compagnie. Dsormais: nouvelle gnration de hackers avec le crime organis (but financier: rcolt le plus dargent avec le moins de risques possibles) do nouvelle gnration de virus plus subtils chargs de rcolt des donne personnelles et confidentielles (identifiants, mots de passe, codes de carte bancaire )
Cf. tude publie dans le Fig. Mag. du 6/01/2007.

44/160

Origines ?
Incertaine ! Forcer la maintenance Protger son emploi Garantir les droits Concurrence Crer un business Un jeu .
45/160

Histoire (1)
Le premier pas vers les virus : Core War
dbut des annes 60 cration d'un jeu par 3 informaticiens de la socit Bell lcher 2 programmes de combat dans la mmoire vive de lordinateur but : dtruire le premier son adversaire ou tre celui dont le nombre de copies restantes, aprs un temps dtermin, est le plus grand

techniques de combat trs simples : bombarder la mmoire de "1" (valeur binaire) ce qui modifiait le programme et le dtruisait rserv quelques initis : pas de grand danger.
46/160

Histoire (2)
Quelques annes plus tard : presque un virus
Perfectionnement des programmes dattaque par 2 italiens ajout d'une procdure de copie du programme sur la mmoire de masse abandon du projet

premier virus :
par Fred Cohen, tudiant informaticien lUniversit de Californie crer un programme parasite (comparable aux virus biologiques) capable de se reproduire et de pervertir les programmes but : crer une sorte de vie artificielle autonome, sans la moindre volont ngative

ide reprise dans le but de nuire

solution contre la copie pour des diteurs de logiciel avant ladoption de lois strictes sur les virus exemple : virus pakistanais, distribu largement avec les copies pirates de logiciel vendues au Pakistan (pays sans loi de concernant les droits dauteur)
47/160

Les virus (1)

"programme capable d'infecter un autre en le modifiant de faon ce qu'il puisse son tour se reproduire" vritable nom : CPA soit Code Auto-Propageable petit programme autoreproducteur situ dans un autre programme

48/160

Les virus (2)

Objectifs : du canular sans consquence la destruction criminelle de simplement irritants totalement paralysants Wazzu insre le mot wazzu dans les documents Word modifie des chanes alatoires de mots Worm.ExploreZip se propage par le mail prend le contrle du systme de messagerie rpond automatiquement tous les messages entrants envoie des pices jointes destructrices qui peuvent effacer certains types de fichiers 49/160

Principe rien d'autre qu'un programme

indispensable : le sous programme de reproduction parfois d'autres sous-programmes : partie destructrice, protection contre les anti-virus

Reproduction :
recherche de nouveaux fichiers ou zones d'action sur le disque s'assure qu'il n'a pas dj infect le fichier choisi accroche le virus au fichier slectionn partie suffisante pour avoir un virus

possde en gnral une signature

suite d'octets qui ne varient pas permet de l'identifier grce une squence d'octets conscutifs mthode la plus utilise par les anti-virus Seulement le virus doit tre connu et dautres sont polymorphes, leurs signatures narrtes pas de changeret mme la manire de les changer (les mtapolymorphes)
50/160

Quelques virus clbre

Brain le premier inoffensif) Michelangelo virus connu (parfaitement

cre une psychose au dbut de l'anne 1992 se dclenche le 6 mars, jour anniversaire de la naissance de Michel-Ange en 1475

1260,V2P1,V2P2,V2P6 : premiers virus polymorphiques Iloveyou qui s'est propag par les mails (navet

des utilisateurs mles qui lisait ce mail et avait leurs ordinateurs contamin)
51/160

Les types de cible

Le systme :
attaque du systme ou de la zone d'amorage du disque dur exemple : le boot secteur (premire chose qu'un ordinateur charge en mmoire partir du disque et excute quand il est allum) En attaquant cette zone de disque, le virus peut obtenir le contrle immdiat de l'ordinateur

Les fichiers :
souvent ne connat la structure que d'un type de fichier, voire d'un fichier
s'adapte ces fichiers et donc plus facilement invisible

Aujourd'hui : fichiers transitant par l'Internet qui sont les plus viss

Les macro :
explosion de ces virus grce au dveloppement de la bureautique
52/160

Macrovirus

Typologie (1)

langage de script des outils de bureautiques ou autres insr dans des documents contenant des macros (Word, Excel, OpenOffice, Accrobat, etc.) VBScript accept par de plus en plus d'applications des virus infectent les macros : excution de code l'ouverture pour se propager dans les fichiers et accder au systme d'exploitation

les bombes logiques (ou retardement ou temporelle)

dclenchement suite un vnement date du systme, lancement d'une commande, capable de s'activer un moment prcis sur un grand nombre de machines gnralement pour crer un dni de service bombe Tchernobyl active le 26 avril 1999, 13me anniversaire
53/160

Typologie (2)
Polymorphe = peut prendre plusieurs formes
utilise des mthodes de cryptage alatoire de leurs codes empche de l'identifier grce sa signature (n'en possde pas)

mutants (ou mta-polymorphe)

virus rcrit pour modifier son comportement ou sa signature Dtection d'autant plus difficile

retrovirus ou "virus flibustier" (bounty hunters)

capacit de modifier les signatures des antivirus afin de les rendre inoprants 54/160

Cheval de Troie Programme cach dans un autre excutant des commandes sournoises
Ex : fausse commande de listage des fichiers qui les dtruit au lieu de les lister gnralement donne un accs la machine sur laquelle il est excut cach dans un programme qui aide sa diffusion (exemple : shareware)

Typologie (3)

Ouvrir une brche dans la scurit

accs des parties protges du rseau des personnes de l'extrieur

Principe : ouvrir des ports de la machine = le pirate peut alors prendre le contrle de lordinateur.
1er temps : infecter votre machine en vous faisant ouvrir un fichier infect 2eme temps : accder votre machine par le port qu'il a ouvert

pas ncessairement un virus

son but n'est pas de se reproduire pour infecter d'autres machines

symptmes :
activit anormale du modem ou de la carte rseau, plantages rptition ractions curieuses de la souris, ouvertures impromptues de programmes

Protection :
installer un firewall : programme filtrant les communications entrant et sortant essentiel de ne pas autoriser la connexion aux programmes inconnus
55/160

les vers virus capables de se propager travers un rseau

sans support physique ou logique (programme hte, fichier ...) Ex : Iloveyou, Sasser, Mydoom,

Typologie (4)

Un exemple :
1988 : Robert T. Morris (tudiant, Cornell University) fabrique un programme capable de se propager sur un rseau et le lance 8 heures aprs plus tard, plusieurs milliers d'ordinateurs infects Problme (dni de service) : le "ver" se reproduisait trop vite pour tre effac Solution : dconnecter toutes les machines infectes Difficile sur Internet !

se propagent souvent grce la messagerie (ex : Outlook)

attachement avec instructions pour rcuprer le carnet d'adresse Envoi de copies d'eux-mme tous ces destinataires

pour se protger : ne pas ouvrir " l'aveugle"

56/160

Propagation des virus

Les virus n'envahissent pas un ordinateur sans l'intervention d'un utilisateur Habituellement :
par disquettes et autres supports par le tlchargement de matriel d'Internet par des pices jointes aux mails

impossible par un mail qui ne contient que du texte

uniquement par les pices jointes ou au moyen d'un mail contenant du texte en format RTF scannez les pices jointes des expditeurs connus et n'ouvrez mme pas celles que des inconnus envoient

57/160

Une rponse
Technique ! Selon une tude parue dans le Fig. Mag. du 6/01/2007, lditeur McAfee recense 217 000 (!) virus, vers et chevaux de Troie connus sur la toile : une aubaine pour le march de la scurit informatique: _ + 13,6% en 2006; chiffre daffaire estim 4 milliards de $.

58/160

Les antivirus
programmes capables de dtecter la prsence de virus sur un ordinateur nettoyer celui-ci si possible Reproduction des virus : copie d'une portion de code excutable dans un programme ne pas infecter plusieurs fois un mme fichier vrifier si le programme a pralablement t infect : la signature virale Signature : succession de bits qui les identifie
59/160

Techniques de dtection
Recherche de la signature ou scanning
la plus ancienne et la plus utilise avantage : dtection avant excution en mmoire principe : rechercher de signature ncessit d'avoir t confront au virus base de donnes Inconvnient : pas de dtection des nouveaux virus ou des virus polymorphes mthode la plus simple programmer utile que si elle recense tous les virus existants : mises jour de la base de donne tous les mois sur le site WEB des antivirus
60/160

Techniques de dtection
Utilisation d'un contrleur d'intgrit construire un fichier des noms de tous les fichiers avec leurs caractristiques
taille, date et heure de la dernire modification,

dtecter toute modification ou altration

chaque dmarrage de l'ordinateur (Antivirus non rsident) ds qu'un excutable est ouvert (Antivirus rsident)

si "checksum" avant et aprs excution diffrent

virus a modifi le fichier en question Information de l'utilisateur

Antivirus peut aussi stocker la date et la taille de chaque excutable dans une BD et tester les modifications
rare de modifier la taille ou la date d'un fichier excutable parade pour virus : sauvegarder la date avant modification et la rtablir aprs 61/160

Techniques de dtection
Moniteur de comportement

rle : observer l'ordinateur la recherche de toute activit de type virale prvenir lutilisateur en cas de dtection programme rsident actif en arrire plan, surveillant tout comportement inhabituel :
description dattaque virale tentatives d'ouverture en lecture/criture des fichiers excutables tentatives d'criture sur les secteurs de partitions et de dmarrage tentatives pour devenir rsident
62/160

Techniques de dtection
Dmarche heuristique recherche de code correspondant des fonctions virales
rechercher un type d'instruction caractristique Exemple : Pour un virus polymorphe, suite d'instructions de lecture suivie d'une suite d'instruction d'criture

mthode un peu plus intelligente que les autres :

vise analyser les fonctions et instructions les plus souvent prsentes dans des virus passive comme le scanning permet contrairement au scanning, de dtecter des nouveaux virus

63/160

Techniques d'radication de virus

aprs dtection du virus : le supprimer fonction primordiale des antivirus pas simple de rcuprer le programme original
impossible dans le cas de virus avec recouvrement
virus dtruit une partie du fichier lors de sa duplication solution : destruction des fichiers infects

Pour les autres

dterminer trs prcisment la localisation du virus dans le fichier, sachant qu'il peut tre compos de plusieurs parties le supprimer aller chercher la partie du programme dont le virus avait pris la place et la restaurer
64/160

LES PRINCIPAUX PRODUCTEURS D'ANTIVIRUS

Symantec McAfee Panda Software Trend Micro Cheyenne Software Avast (version gratuire pour les particuliers)
65/160

propage trs rapidement par courrier lectronique. Il s'agit d'un ver qui profite d'une faille dans le logiciel Outlook que Microsoft a corrige en avril dernier mais dont beaucoup d'utilisateurs de Windows n'ont jamais fait la mise jour.
MiMail.A peut rcuprer les donnes qui se trouvent dans certaines fentres de Windows et les retransmettre par Internet. Le fichier attach message.zip renferme le virus qui s'excute au moment o l'on tente de dcompresser le fichier. des correctifs disponibles et mme un utilitaire pour se dbarrasser du virus

De limportance des mises jour le virus MiMail.A se 2 aot - Depuis quelques heures,

5 juin - Aprs Sobig.C, voici Bugbear.B, Xolox, Lovgate.K, Mumu et Nako. Seule solution, un bon antivirus mis jour cette semaine.
66/160

Quelles sont les rgles de prudence observer ?

Ne vous servez pas de fichiers qui n'auraient pas t scannes au pralable (testes par un logiciel antivirus) et n'excutez jamais un programme que vous venez de tlcharger par mail ou sur un site Web sans l'avoir pralablement scann avec un antivirus Ou configurer votre antivirus pour quil le fasse de manire automatique (cela vite ce laborieux surplus de travail) N'ouvrez pas les fichiers joints aux mails d'origine inconnue ou douteuse ou dune personne que vous savez nave sur ce sujet Procurez vous un logiciel antivirus et un pare-feu et faites rgulirement une mise jour Faire des sauvegardes rgulires (pensez aussi aux plantages des disques durs) La navet des internautes est le premier danger!
67/160

Dtecter un virus
Diagnostic toujours difficile
machines complexes et capricieuses utilisateurs maladroits

Quelques indices :
plantages rptition, indisponibilit de certaines applications, saturation de la mmoire, dmarrages incomplets, problmes d'installation, etc. Mais ces problmes peuvent tre dus des incompatibilits logicielles ou matrielles classiques Alors vigilance constante ! (Fol-Oeil dans Harry Potter et la coupe de feu)
68/160

Autres formes dattaques

spyware ou espiogiciel
programme charg de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est install
pour les envoyer la socit qui le diffuse pour lui permettre de dresser le profil des internautes Exemple : traabilit des URL des sites visits, traquage des mots-cls saisis dans les moteurs de recherche, analyse des achats raliss via internet, Beaucoup de spyware sur le toile: selon une tude publie dans le Fig. Mag. du 6/01/2007: 850 spyware rcolts en une heure de balade, avec une forte concentration sur les sites pour enfants, proies faciles

install gnralement en mme temps que d'autres logiciels

la plupart du temps des freewares ou sharewares permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques permet de distribuer leur logiciel gratuitement modle conomique dans lequel la gratuit est obtenue contre la cession de donnes caractre personnel
70/160

espiogiciels
pas forcment illgaux
licence d'utilisation du logiciel qu'ils accompagnent prcise que ce programme tiers va tre install

source de nuisances diverses :

divulgation d'informations caractre personnel consommation de mmoire vive utilisation d'espace disque mobilisation des ressources du processeur plantages d'autres applications gne ergonomique (ouverture d'crans publicitaires cibls en fonction des donnes collectes)

71/160

deux types de spywares

internes (ou intgrs)
comportant directement des lignes de codes ddies aux fonctions de collecte de donnes

Externes
programmes de collectes autonomes installs Ex : Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter, Web3000 et WebHancer

72/160

Protection
ne pas installer de logiciels dont on n'est pas sr 100% de la provenance et de la fiabilit (notamment les freewares, les sharewares et plus particulirement les logiciels d'change de fichiers en peer-to-peer) Les logiciels gratuits dont on nest pas sr se rmunrent souvent grce lajout de spyware. Attention donc!
Exemples de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA, iMesh,

la dsinstallation de ce type de logiciels ne supprime que rarement les spywares qui l'accompagnent logiciels, nomms anti-spywares permettant de dtecter et de supprimer les fichiers, processus et entres de la base de registres crs par des spywares installation d'un pare-feu pour empcher l'accs Internet (donc de transmettre les informations collectes)
73/160

keylogger
dispositif charg d'enregistrer les frappes de touches du clavier et de les enregistrer, l'insu de l'utilisateur
dispositif d'espionnage

Capables parfois d'enregistrer les URL visites, les courriers lectroniques consults ou envoys, les fichiers ouverts, voire de crer une vido retraant toute l'activit de l'ordinateur peut servir des personnes malintentionnes pour rcuprer les mots de passe des utilisateurs du poste de travail soit logiciel soit matriel Protection : ne pas installer n'importe quel logiciel
74/160

Le problme du Droit pour Internet

Une nouvelle problmatique

Modification des changes dinformation
Transmission immdiate Achat et vente en ligne Dmatrialisation des procdures Transfert "temps rel" de gros volumes de donnes

Ncessit pour le droit

de prendre en compte les progrs techniques de sadapter pour sauvegarder les principes antrieurs qui le fondent et le lgitiment
76/160

Les enjeux
Naissance de lInternet
Cration de ses institutions Cration de rgles, techniques puis de comportements

Dveloppement de lInternet
de nouveaux utilisateurs de nouveaux usages (commerciaux par exemple)

Monte des enjeux conomiques

77/160

Dualit de lInternet
Outil de connaissance et dchange contribuant la libert dexpression et de communication Porteur de drives et de menaces
utilisable pour commettre des actes illicites diffuser des messages racistes organiser le terrorisme international violer la vie prive

78/160

Rponses possibles
Mode dorganisation le plus adapt
Loi Jurisprudence Arbitrage Codes de bonne conduite Usages aucun

79/160

Rticences lgard du droit

Ide dun espace de totale libert : Lide dun monde virtuel : perte de contact avec la ralit Antinomie entre un droit par essence national et un univers transnational Incapacit du droit traiter les problmes : Volatilit de linformation, anonymat, internationalit, Admiration des hackers et des pirates
80/160

2 axes de rponse
Auto rgulation Rponse juridique

81/160

Lauto-rgulation des rgles de vie

Auto rgulation
Soft law Netiquette Chartes Sceaux
83/160

Soft Law
Code de bonne conduite, autorgulation Exemple des USA :
Safe harbour principles publi par le dpartement du commerce amricain (dernire version mars 2000) En rponse la directive europenne de 1995(95/46/CE) Assurer la protection des donnes caractre personnel transfres dun tat membre europen vers les EU Les entreprises amricaines ayant une activit transnationale peuvent dclarer l'adopter dans la gestion de leurs fichiers Principes insuffisants au regard des lois europennes mais lide est l

84/160

Netiquette
Avant : utilisateurs avaient "grandi" avec Internet Maintenant : Grand public But : dfinir un ensemble minimal de rgles utilisables et adaptables par les institutions et personnes pour leur propre usage
RFC 1855 Netiquette Guidelines d'octobre 1995
note destine informer la communaut de l'Internet ne spcifie en aucune manire un standard de l'Internet

lignes de conduite pour les utilisateurs et gestionnaires oeuvre du groupe de travail Responsible Use of the Network (RUN) de l'IETF
85/160

Exemple : rgles pour le courrier lectronique

rgles de courtoisie habituelles sappliquent
important vu que sans expression corporelle et intonation

rgles sur la proprit du mail varient d'un pays l'autre Ne mailez pas ce que vous ne mettriez pas sur une carte postale N'envoyez pas de grandes quantits d'information non demande N'envoyez pas de lettre-chane Attention aux Cc lorsque vous rpondez LES MAJUSCULES DONNENT L'IMPRESSION DE CRIER Vrifiez que le destinataire peut dcoder le message frais pays aussi par le destinataire
Envoyer un mail quelqu'un peut lui coter en bande passante, stockage ou temps machine une raison fondamentale d'ordre conomique qui rend la publicit par mail malvenue
86/160

La charte de Paris 12
Accessible sur le site web ou au moment de linscription ou demander laccueil en Droit Valable pour tous (mme les enseignants) Utilisation pdagogique des moyens Respect des autres Respect du matriel Respecter les rgles comme par exemple
ne pas communiquer ce mot de passe prvenir le responsable informatique de toute anomalie constate ne jamais quitter un poste de travail sans se dconnecter

Lisez la chartre !
87/160

Rgulation par les acteurs dinternet

Certains sites proposent des chartes de rgulation
Apparues ds 1996 Explications sur la nature des donnes rcoltes, leur utilisation, vos possibilits daccs pour rectification

Souvent illisibles dans les sites commerciaux

Plus pour servir de dfense en cas de recours Avec des avocats la cls

88/160

Une "bonne" charte

Comporte les lments suivants :
Description dtaille des informations recueillies Raison de cette collecte Traitements, identits des intervenants avec les conditions daccs Possibilit daccder aux donnes sur soi

Dans un langage clair

Pour que le visiteur comprenne vite Pour viter toute ambigut en cas de procs

89/160

A vrifier
Quelles sont les infos recueillies ?
Nom, prnom, adresse IP, code carte bancaire, la liste de vos achats, les pages visites,

Comment et dans quelles pages sont collectes vos donnes ?

formulaire de saisie,

Comment seront exploites les donnes ?

Personnalisation du site, marketing, revente des donnes, .

Quels sont les moyens darrter la collecte ?

Coockies, autre site visiter,

Comment savoir les donnes en possession du site, les faire modifier ou supprimer ?
Par demande,

Comment le site protge la confidentialit des donnes ?

Cryptage des donnes,

Communication des tiers

90/160

Les chartes des professionnels

AFA : association des fournisseurs daccs et de services Internet
Runit les prestataires techniques de communication lectronique (rseau, hbergement, accs, service en ligne)

Mission dinformation du public

Dcrire les usages Attester de la relation de confiance avec les utilisateurs

Favorable la Netiquette Mise en uvre doutils de dtection de spam, virus, Confidentialit des courriers lectroniques Pour le rseau : principe de la poste
91/160

Les sceaux de certification

La prsence du sceau indique clairement que le site ne prsente pas de risque
Pour la relation commerciale OU Pour la relation informative

les sceaux doivent rpondre aux critres suivants :

pouvoir vrifier leur authenticit :
distinguer les vrais sceaux des faux

clairement indiquer la protection fournie permettre aux consommateurs de signaler facilement tout cas de non-respect des mesures de scurit par l'exploitant du site donner l'assurance que l'organisme qui les dcerne est digne de confiance
92/160

Un exemple anglo-saxon : TRUSTe

sans doute le plus rput, www.truste.org parrain par IBM, Microsoft, Novell, AOL, Compaq, Accord et affich par des milliers de sites Web
adoptent ses principes de confidentialit, son processus de rsolution des conflits acceptent de se soumettre une surveillance continue programme de certification exclusivement sur la confidentialit

Entre autres principes de confidentialit :

adoption et application de directives tenant compte de l'apprhension des consommateurs fournir de l'information personnelle en ligne communication des pratiques de collecte et d'utilisation des renseignements consentement de l'internaute, accs aux donnes
93/160

Pour la France
Relation commerciale :
Direction gnrale de la consommation, concurrence et de la rpression des fraudes (DGCCRF) Sceaux de certification noffrent presque pas de garantie linternaute interdit les termes Label, site certifi, rfrentiel

Vie prive : la CNIL (Commission National Informatique et Libert)

94/160

3 niveaux de garantie
Dfinis par la DGCCRF Niveau 3 : Indpendants
Dclaration autonome Avec un logo ou une marque distinctive
respecter une dontologie commerciale et/ou protection de la vie prive Aucune valeur juridique Cration de rseau de confiance Au visiteur de faire la dmarche de contrle

Niveau 2 : Groupes professionnels

Correspond aux corporations, fdrations, Le groupe engage sa rputation en se laissant associer un site Charte commune Mesures pour garantir la conformit des sites la charte

Niveau 1 : Certification officielle

95/160

Et pourtant
Faillite en 2000 du site amricain de jouets ToySmart Le liquidateur du tribunal vend tout pour payer les cranciers ; Problme, la base de donnes des clients
Toll de clients, TRUSTe et la FTC (~de la DBCCRF) Dilemme : entre tribunal et FTC Sauv par Disney qui a rachet et immdiatement dtruit

96/160

La rponse juridique

La rponse juridique
Consensus sur la ncessit de soumettre lInternet au droit Admettre que la libert nest pas absolue sur Internet
En tout cas pas plus quailleurs "ma libert sarrte o commence celle des autres"

98/160

Les dfis
Ncessit dune rponse juridique adapte Concilier
Protection des droits de la personne Prservation de la libert dexpression communication et de

Internet nest pas une zone de non-droit ! Quel droit ?

Droit prexistant ou droit spcifique

99/160

Diversit : tous (ou presque) les domaines du droit concerns Droit commun sapplique tel quel dans beaucoup de domaines de lInternet
La vente des livres sur Internet soumise la loi du 10/8/81 (TGI Versailles du 5 juillet 2001) "le site Internet dune socit ayant pour objet la commercialisation de tous matriels, logiciels, et toutes publications crites, correspond un magasin virtuel que le consommateur va visiter au moyen de son ordinateur par une dmarche analogue celle qui consiste se rendre lintrieur dun magasin" 100/160

droit spcifique ou droit commun ?

Principe juridique fondamental

Application des droits nationaux
Droit applicable au rseau : droit commun des diffrents tats

En France, le Conseil dtat a estim que :

"lensemble de la lgislation existante sapplique aux acteurs de Internet Il nexiste pas et nest nul besoin dun droit spcifique dInternet et des rseaux" (rapport de la
commission intergouvernementale mise en place le 16 mars 1996)

Si la culture est virtuelle et mondialise, la citoyennet dun internaute est tatique

101/160

Do
Application distributive aux diverses applications de lInternet des rgles relevant de diffrentes branches du droit Le droit commun
Ncessit dadaptations ponctuelles au regard de certaines spcificits techniques uvre du juge : constitution dune jurisprudence uvre du lgislateur : exemple la loi "Informatique et liberts"

102/160

Internet et le droit
Ncessit de prendre en compte le contexte par nature international Diverses approches :
En Europe : plutt extension des rgles traditionnelles Aux USA : plutt adoption de rgles spcifiques

Pas de consensus sur la nature des solutions : encore moins de droit international !

103/160

Tout un arsenal en droit franais

Code pnal : permet de rprimer les atteintes la pudeur, la diffusion de message caractre violent, pornographique ou incitant la violence Droit dauteur : la loi interdit les reproductions illicites de documents originaux (crits, sons, images, ) quel que soit le support
104/160

Difficults
Ncessit dune volution relative aux rgles nouvelles de la socit de linformation en Europe et dans le monde Ncessit dune adaptation aux spcificits
Caractre transnational Volatilit et fugacit des contenus Do difficult en matire pnale de la constatation de linfraction et de lidentification de lauteur Maintenant : crit lectronique admis comme l'crit papier en matire de preuve (depuis 2000)
105/160

Liberts et droits fondamentaux

Liberts et droits fondamentaux

Notion rcente (fondamental utilis pour la premire fois par le conseil constitutionnel dans sa dcision du 16 janvier 1982 relative aux nationalisations) Une grande diversit, considration
De ltre (dignit de la personne humaine, respect du corps humain, vie prive, protection de lenfance, ) Du citoyen (droit une nationalit, de vote, libert politique, religieuse, daller et venir, la sret, de pense, de croyance, dexpression, de crer, ) Du justiciable (droit un tribunal impartial, la dfense en pnal, prsomption dinnocence, droit des victimes, excution des dcisions de justice, ..) De lacteur conomique et social (proprit, libert du commerce et de lindustrie, du travail, droits sociaux, la sant, au logement, )

107/160

Concerns par lInternet

Protection des donnes personnelles Secret des correspondances lectroniques Respect de la vie prive Libert dexpression Protection des mineurs

108/160

La fracture numrique
1 foyer sur 2 connect en France, 2006 Question de lgalit entre les citoyens Problme si lInternet devient le seul mode daccs des procdures ou des informations
Dmatrialisation La garantie de laccs lInternet un droit essentiel de lhomme ? Un petit village andalou a dclar la gratuit de lInternet droit imprescriptible de lhomme (Libration, oct 2001)
109/160

Les donnes personnelles

Directive du 24 oct. 1995 relative la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation des donnes toute information concernant une personne physique identifie ou identifiable
Directement ou indirectement par rfrence un numro ou un ou plusieurs lments spcifiques propres son identit physique, psychique, conomique, culturelle ou sociale

110/160

Remarques
Concerne les donnes de toute nature Concerne seulement les personnes physiques Numro IP est-il concern ?
Identifie une machine Mais indirectement son propritaire

Protections juridiques de la vie prive

ex : code civil art. 9, art.8 de la CESDH (convention europenne de sauvegarde des droits de l'homme) Insuffisantes face aux dangers de traitements des donnes

111/160

Les menaces
Diffusion dinformations
Rapidit Plantaire

Collecte dinformations
Favorise par le commerce lectronique Recueillies de plein gr
Ex des infos dvoiles dans les forums (la CNIL recommande linformation des utilisateurs rappelant linterdiction dutiliser les infos rvles dautres fins que celles ayant justifi leur diffusion) Formulaire en ligne : 41% des internautes renoncent livrer des infos personnelles et 40% mentent (sondages amricains, 2002)

Recueillies linsu de linternaute

112/160

Quelques moyens de "pister"

Les variables denvironnement Les cookies Les traages base de fichiers d'audit La mmoire cache et proxy

113/160

Les variables denvironnement

outil fourni au programmeur par le systme d'exploitation
Objectif : permettre aux applications de partager des informations Moyen : placer les informations dans des variables

trs utilis Ex : navigateur pour prendre en compte des lments propres votre configuration
type de navigateur utilis, version : permet au serveur de ne pas lancer des applications incompatibles les rfrences de la dernire page lue Les sites qui achtent des bandeaux publicitaires comptent le nombre de connexions effectues immdiatement aprs un clic sur une des pages contenant un de ces bandeaux
114/160

Les cookies
Fichier de trs petit taille contenant des informations, dpos sur votre ordinateur, mis et transmis au serveur Objectif : stocker des informations et dterminer votre parcours durant une session et vous profiler avantage :
dispensent d'un stockage sur le serveur Proprit de lutilisateur

inconvnient :
si l'internaute utilise une machine diffrente, cookies introuvables Peut tre effac ou modifi directement par l'internaute Peut tre refus par linternaute

souvent exploits au cours d'une mme session Les informations figurant dans le cookie peuvent tre claires ou codes : un code qui renvoie des informations stockes sur le site
115/160

Exemples
un site d'actualit : demande de remplir un formulaire de vos prfrences un site de commerce lectronique : chaque fois que l'utilisateur slectionne un produit un moteur de recherche de sites : positionne des cookies selon les rubriques visites pour afficher dynamiquement des bandeaux publicitaires cibls un site web :
propose de choisir la couleur du fond d'cran, la prsence de multi fentrage ou encore les polices de caractre utilises pour prsenter une page d'accueil correspondant aux gots
116/160

Les fichiers daudit

Collecter les requtes reues sur un serveur But : permettre l'administrateur de connatre avec prcision la rpartition des charges du systme
quand le serveur est-il le plus mis contribution ? quels fichiers sont les plus tlchargs ?

optimiser le fonctionnement du site Caractristiques :

l'internaute ne peut pas deviner qu'on enregistre ses transactions Le traage comme le traitement du fichier (tris, croisements) peut tre ralis entirement son insu
117/160

Un exemple
Ncessit que toute exploitation du fichier d'audit se situe dans le cadre lgal : information des personnes, finalit claire et dclare, droit d'opposition, droit d'accs, etc. Dans le cas d'une procdure judiciaire : l'exploitation du fichier d'audit est un moyen extrmement efficace pour retrouver un internaute se livrant des activits illicites

118/160

La mmoire cache et proxy

Rle : optimiser les transactions sur votre ordinateur : le navigateur enregistre dans un rpertoire cache les pages consultes si la fonctionnalit de mmoire cache est active, il suffit pour reconstituer entirement votre parcours et mme visualiser les pages que vous avez consultes
de passer aprs vous sur le poste d'ouvrir le rpertoire qui contient les fichiers cache de les classer en un clic par ordre chronologique

Sur un serveur proxy : si vos requtes passent par le proxy,

vous n'avez pas de prise sur la conservation ventuelle de fichiers d'audit

119/160

Le cadre lgal
Diversit des sources
Nationale : loi Informatique et liberts le 6 janvier 1978 Directives communautaires :
"Vie prive et communications lectroniques" du 12 juillet 2002 Internationales :
Conventions sur la protection des personnes lgard du traitement des donnes caractre personnel du 28 janvier 1981(Conseil de lEurope)

Loi Sarkozy sur la scurit intrieur :

Les entreprises sont obligs de gard des traces pendant 1 ans des connexions internet : url, ftp, mls, etc. Gros cot pour les entreprises Plusieurs dj condamns pour ne pas avoir pu donnes les fichiers de log (les traces internet des utilisateurs/employs de lentreprise) des jours donns
120/160

La CNIL
Commission Nationale de lInformatique et des Liberts Autorit indpendante
Tout responsable ministre, PDG, ..- doit lui faciliter la tche, ne peut sopposer son action Ne reoit dinstruction daucune autorit

Autorit administrative
recours possible devant la juridiction administrative budget imput sur celui de ltat

Cre par la loi N 78-17 "informatique et liberts" du 6 janvier 1978

121/160

Missions
Information des personnes sur leurs droits et obligations Aide aux particuliers dans lexercice de leurs droits : rception des plaintes, rclamations et intervention auprs des organismes concerns Conseil et concertation :
Recommandations sur des sujets divers (vidosurveillance, sondages) Proposition de mesures lgislatives ou rglementaires au gouvernement

Environ 4000 plaintes ou demandes de conseils par an Expertise et veille technologique Garantir le droit daccs : au nom des citoyens auprs des RG, . Faire respecter la loi
Recenser tous les fichiers informatiques (300 par jour) : mise en ncessite un avis favorable de la CNIL Mission de contrle et de vrification des fichiers En cas de manquement avertissements (49) ou plaintes au parquet (25) uvre

122/160

Garante du respect de la loi Informatique et Libert

Linformatique doit tre au service de chaque citoyen Son dveloppement doit soprer dans le cadre de la coopration internationale Elle ne doit porter atteinte ni la dignit humaine, ni aux droits de lhomme, ni la vie prive, ni aux liberts individuelles ou publiques" (art. 1)
123/160

La loi reconnat 7 droits

le droit l'information pralable :
Les fichiers ne doivent pas tre crs votre insu. Les personnes qui crent des traitements ne doivent pas vous laisser dans l'ignorance de l'utilisation qu'ils vont faire de ces donnes.

Le droit de curiosit : pour pouvoir accder aux donnes qui vous concernent, vous avez le droit de demander tout organisme s'il dtient des informations sur vous.
124/160

Vos droits (2)

Le droit d'accs direct : vous pouvez obtenir communication des informations qui vous concernent en les demandant directement l'organisme qui dtient le fichier dans lequel vous figurez Le droit d'accs indirect : pour certaines donnes nominatives, la loi prvoit un intermdiaire entre vous et l'organisme qui dtient le traitement
donnes mdicales : mdecin de votre choix donnes figurant dans des traitements intressant la sret de l'Etat, la dfense et la scurit publique : un commissaire de la CNIL
125/160

Vos droits (3)

le droit de rectification :
si vous avez constat des erreurs lorsque l'organisme qui dtient le fichier vous a communiqu les donnes vous concernant, vous pouvez les faire corriger. La loi oblige l'organisme rectifier d'office et de lui-mme les informations ds lors qu'il a connaissance de leur inexactitude.

le droit l'oubli :
l'informatique permet de conserver indfiniment les donnes personnelles. La loi a donc prvu un droit l'oubli, afin que les personnes ne soient pas marques vie par tel ou tel vnement
126/160

Vos droits (4)

Le droit d'opposition :
si vous avez des raisons lgitimes pour ne pas figurer dans tel ou tel fichier, vous pouvez vous opposer votre fichage. On peut lexercer au moment de la collecte ou plus tard, en demandant par exemple la radiation des donnes contenues dans les fichiers commerciaux. Ce droit ne s'applique qu'aux fichiers qui n'ont pas t rendus obligatoires par une loi.

127/160

Le respect de vos droits

Le non-respect par les responsables de fichiers de vos droits lorsque vous souhaitez les exercer est le plus souvent sanctionn pnalement : porter plainte faire condamner les fautifs

128/160

Loi Informatique et Liberts Avant la mise en ligne dun site web

Obligation de dclaration CNIL

Cration de sites web et protection des donnes personnelles

De tout traitement automatis de donnes nominatives Par la personne qui a le pouvoir de dcider de la cration du traitement

Obligation dinformation
Accord recueilli des personnes avant toute diffusion sur Internet (accord tacite en labsence de rponse au-del dun certain dlai)

129/160

Loi pour la confiance dans lconomie numrique

Loi pour la confiance dans l'conomie numrique (LEN)

Loi N 2004-575 du 21 juin 2004 Objectif : favoriser le dveloppement du e-commerce Moyen : clarifier les rgles pour les consommateurs et les prestataires techniques et commerciaux La communication au public par voie lectronique est libre (art 1) Minimum de surveillance impose aux hbergeurs de sites (apologie de crime contre l'humanit, racisme, pdophilie) Responsabilit globale du e-marchand sur l'ensemble de la vente (reconnaissance du contrat lectronique et principe du double clic) Interdiction de la publicit non sollicite par mail Mieux scuriser les changes (cryptologie libre) et favoriser la lutte contre la cybercriminalit
131/160

LEN (2)
Sur un plan contractuel :
les conditions gnrales d'utilisation des services d'accs internet, telles qu'elles sont rdiges dans l'ensemble des contrats d'abonnement chez les FAI, rfrencent la Netiquette ou interdisent explicitement la pratique du 'spamming' les FAI n'hsitent alors pas priver d'accs leurs clients identifis comme metteurs de spam

Diverses dcisions de justice

TGI Rochefort-sur-mer, 28 fvrier 2001 ; TGI Paris, 15 janvier 2002 ont reconnu la licit d'une telle solution Notamment en se basant sur l'article 1135 du Code civil : "Les conventions obligent non seulement ce qui y est exprim, mais encore toutes les suites que l'quit, l'usage ou la loi donnent l'obligation d'aprs sa nature"

132/160

La libert dexpression

2001) et les webzines Pluralit de linformation (affaire Clinton) Dveloppement de lauto publication (sorte ddition compte dauteur) Les weblogs ou dazibaos informatiques Tribunes dexpression faible cot

La libert dexpression sur Internet(ex du 11 septembre Naissance dun journalisme sauvage

Interdit dans certains pays Sous haute surveillance dans certains pays (ouverture au commerce lectronique mais adaptation du code pnal chinois pour sanctionner la diffusion dinformations juges subversives et interdiction de certains sites comme les sites de journaux trangers par exemple)
134/160

Les effets pervers

Trop dinformations nuit linformation
Estimation 9 Milliards de sites en 2001 En 2001 : recherche de business sur google produisait 81 Millions de rponses (avec 3 milliards de pages indexes)

Risque de dsinformation
Publicit Fiabilit ; Ex : remise en compte de lattentat contre le Pentagone le 11 septembre Les rumeurs :
Ex : la COB a cr une quipe charge de reprer les fausse rumeurs boursires sur Internet Les hoax
135/160

Les hoax
Annonces reues par mail
par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilit de gagner un tlphone portable gratuitement, de tueurs fous sur la route, RG estimait J.-M. L.-P. vainceur en 2002 51%, ...) accompagnes d'une note prcisant de faire suivre la nouvelle But : l'engorgement des rseaux ainsi que la dsinformation

Site : http://www.hoaxbuster.com/

136/160

Craig (Ou Greg, Sonia ou encore Denis) Sherehold, 17 ans, atteint d'un cancer en phase terminale Son v u le plus cher : "Etre, avant de mourir, dans le livre Guinness des records en tant que particulier possdant le plus grand nombre de cartes de visites" Mail envoy aux chefs d'entreprises, cadres de collectivits, lus, A chacun de l'envoyer si possible d'autres cadres Question : Greg existe-t-il vraiment ou n'est-il plutt, comme on le sait aujourd'hui, qu'un agent fictif d'un genre spcial ? Soupons : des socits de renseignement privs qui utilisent la maladie pour rcolter un maximum d'information sur les dirigeants et leurs socits 137/160

Un exemple

rigolo

A qui profite le crime ?

Rumeur : diffuser nimporte quoi Nouvelle forme dintelligence conomique Attention aux mails
De source inconnue Avec des sujets trop pompeux Des textes trop larmoyants Des demandes daide, de soutien, Des gains mirifiques :
La techniques Nigrienne (existait avant par lettre depuis les annes 1970) : on vous promet des millions de dollars dbloqus si vous donnez 100 dollars (compte dun fils de PDG, Ministre, Prsident dun club de foot du Niger). Ce fils qui vous a crit vous supplie de le faire car cause dun complot/coup dtat militaire, le compte est bloqu en Suisse (naturellement) Bien videmment, le gogo qui prend contacte et donne ne voit rien venir Pire : les escrots peuvent ensuite se faire passer pour la douane et demander une amende payer pour ne pas finir en prison
138/160

Droit, site web et entreprise

Le droit de lentreprise
Les sites web
Nom de domaine Les obligations respecter

Le droit la proprit intellectuelle

140/160

Nom de domaine
accs un site par son URL Ex : http://www.votre-fournisseur.com/votrenom mmoriser) Prfrable d'avoir une adresse du type :
http://www.votrenom.com http://www.votrenom.org http://www.votrenom.fr

(difficile

plus simple mmoriser favorise le bouche oreille (diffuser rapidement une adresse) donne gnralement une touche de professionnalisme

141/160

Cration de sites web

Nommage
International : ICANN (org, com, net, biz, ): aucune prcaution : premier arriv premier servi National : AFNIC .fr Nom de domaine communautaire (rglement du 22 avril 2002) : en attente des rgles ?

Objectif de lAFNIC
Prvenir le cybersquatting Dans le respect du droit des marques et de la proprit intellectuelle
142/160

Acqurir un .fr
Principe de territorialit l'Afnic, charge d'attribuer les noms en .fr uniquement (liste non exhaustive) :
aux titulaires d'une marque dpose aux entreprises aux associations immatricules l'INSEE aux professions librales aux artisans aux collectivits publiques

+ ds dbut 2005 (liste non exhaustive) :

les particuliers toutes les associations, mme non immatricules l'INSEE
143/160

Nom de domaine
Une ressource rare : conflits ! Jurisprudence : En gnral fait primer la marque prexistante sur le nom de domaine; Date denregistrement, notorit, absence de dchance de la marque, .

144/160

grabbing
prvoir l'achat de noms de domaines de certaines entreprises et de les acheter avant celles-ci (les .com, .net et .org n'tant soumises aucun contrle...) des personnes peu scrupuleuses ont revendu prix d'or (plusieurs millions de dollars parfois) des noms de domaine intressants pour certaines compagnies (leur propre marque gnralement)

145/160

Attention !
On ne peut pas dposer n'importe quel nom Ex : michel-edouard-leclerc.fr (site porno)
Le 28 juin 2004, Nanterre

Dpt possible mais illicite

Abandon du droit nom par ME Leclerc Mpris du droit la personnalit : non respect de la charte de l'Afnic (ne pas porter atteinte aux droits des tiers)

Condamnation : retrait du nom et 3000 amende

146/160

Linternet et la proprit intellectuelle

Article 1 de la convention de lunion de Paris du 20 mars 1883
la protection de la proprit industrielle a pour objet les brevets dutilit, les dessins ou modles industriels, les marques de fabrique ou de commerce, les marques de service, le nom commercial et les indications de provenance ou dorigine, ainsi que a rpression de la concurrence dloyale

Le droit de la proprit intellectuelle englobe le droit dauteur classique et les bases de donnes ( voir lanne prochaine)
147/160

Les risques lis lutilisation de logiciels illicites

Risques techniques : Virus, dysfonctionnements, Risques juridiques
Logiciel = uvre de lesprit Protg par le rgime juridique du droit dauteur Des contrles possibles

148/160

10 rgles pour dtecter un risque de contrefaon

Prix infrieur celui du march Logiciel vendu sans manuel dutilisation ni documentation Prsence de mentions manuscrites sur le CD Le site dachat en ligne propose des copies de sauvegarde Le logiciel porte des mentions non usuelles Des logiciels dditeurs diffrents sur un mme CD Logiciel sans emballage dorigine, pochette mal imprime, CD dor et non argent Absence des dispositifs de scurit prvus par lditeur Vendu aux enchres Vendeurs sans garantie de fiabilit
149/160

Le droit dauteur

Le droit dauteur (1)

Sapplique Internet au travers
du code de la proprit intellectuelle (Loi N 92-597 du 1er juil. 1992) De textes et traits internationaux signs par un grand nombre de pays (Trait de LOMPI sur le droit dauteur du 20 dc. 1996 par exemple)

Sont des uvres protges

Texte Image Son Logiciel Vido

Le CPI prcise
Toute uvre protge par le droit dauteur ne doit pas reproduite modifie mme partiellement sans autorisation de lauteur ou de ses ayants droits (art. L. 122-4 du CPI) Lauteur dune uvre de lesprit jouit sur cette uvre du seul fait de sa cration dun droit de proprit incorporelle exclusif et opposable tous (art. L 111-1 du CPI)
151/160

Le droit dauteur (2)

Peut tre dfini comme un droit dexploitation monopolistique et privatif Porte sur des lments pouvant tre considrs comme originaux, portant lempreinte personnelle de leur auteur et fixe sur un support Implique pour son possesseur
Des droits patrimoniaux : cessibles, exclusifs, temporaires et indpendants du support matriel Des droits moraux : perptuels, incessibles et inalinables
152/160

Droits patrimoniaux
Prescriptibles 70 ans aprs le dcs de lauteur Essentiellement de 3 types :
Droit dexploitation Droit de reprsentation (communication de l uvre au public par un procd quelconque) Droit de reproduction (fixation matrielle par tout procd permettant la communication au public)
Ex : la numrisation (donc soumise autorisation pralable de lauteur sinon contrefaon) Exception pour le logiciel : la copie de sauvegarde
153/160

Droits moraux
Parmi les prrogatives confres par le droit moral : Droit au nom et la paternit Droit de divulgation Droit au respect et intgrit de l uvre

154/160

Une autre exception

Les webmestres peuvent librement effectuer des analyses et courtes citations de uvres protges (art. L 122-5-3 du CPI) les pages web qui les incorporent doivent alors prsenter un caractre critique, polmique, pdagogique, scientifique ou dinformation Attention : il faut citer le nom de lauteur
155/160

Les sanctions
Actes de contrefaon : Dlit pnal Sanctions jusqu
2 ans demprisonnement Et 150 000 damende Octroi de dommages et intrts

156/160

Un exemple
Lexploitant du site shootgame.com a t condamn 4500 de dommages et intrts pour avoir reproduit sans autorisation des auteurs des lments graphiques leur appartenant

157/160

Un exemple : la musique
Compresser ses propres disques et pour son usage personnel est lgal Mettre disposition de la musique sur Internet est illgal sans autorisation des ayants droit (Auteurs, diteurs, producteurs, interprtes) Dtenir des fichiers sans avoir acquis le support original est un dlit Mettre sur son site des liens hypertextes vers ce type de fichier peut donner lieu des poursuites pour complicit de contrefaon
158/160

Un autre exemple : les photographies

Reproduction interdite sans laccord de lauteur ou de lagence de presse titulaire des droits De plus, normalement obligatoire de mentionner le nom de lauteur sous la photo

159/160

Les sites internet

Peut constituer une uvre de lesprit ds lors quil prsente des caractres doriginalit Attention :
Aux chartes graphique des site prexistants Aux logos Aux extractions de bases de donnes A ne pas porter atteinte aux droits dun tiers en affichant un site dans une fentre de son site (framing)

160/160