Académique Documents
Professionnel Documents
Culture Documents
Cours Deontologie
Cours Deontologie
Auteur du texte
Les textes de ces transparents ne sont pas de moi Mais dun cours de C2i de luniversit de Nancy 2 (A. Boyer) Ajouts et modifications de quelques lments par mes soins Remise en page et lgre re-organisation par mes soins pour la cohrence des cours
2/160
Le problme du piratage
Quelques interrogations
Ai-je le droit de tout faire ? Y a t il un vide lgislatif de lInternet ? (pas de vide juridique) Comment puis-je protger
Ma vie prive Mon matriel
4/160
5/160
Un exemple clbre
le plus important rseau franais de contrefacteurs de logiciels, dnomm "toile noire", dmantel par le service des enqutes sur les fraudes aux technologies de linformatique (SEFTI) et BSA
Le 22 juin 1999 6 mois denqutes et plusieurs perquisitions Prjudice estim plusieurs millions de francs Plaintes de plusieurs diteurs donner accs un nombre trs important de copies illicites
Directement via Internet Par des renvois vers des revendeurs de CD ROM pirats
6/160
BSA = Association des principaux diteurs de logiciels Objectif : lutter contre le piratage de logiciels et les copies illicites
Traditionnel ou via Internet Atteinte aux droits dauteurs
Stratgie :
1) Information du grand public 2) Sensibilisation des autorits publiques afin de renforcer les lois protgeant le droit dauteur 3) Dclenchement de poursuites lencontre des responsables impliqus dans le piratage de logiciels
7/160
Et des condamnations
4 particuliers commercialisant des copies de logiciels sur CD
Tribunal correctionnel de Paris, le 7 mai 1999 3 mois de prison avec sursis Peine dintrt gnral de 100 150 heures chacun 65 000 francs dindemnisation globale Publication dans la presse spcialise
8/160
Organisation via son site personnel de vente illicite de CD gravs Reproduisant des fichiers musicaux MP3 Tlchargs partir de sites peer to peer Identification de titres de producteurs indpendants de la SPPF Enqute de la brigade denqutes "fraude aux technologies de linformation" 6 mois de prison ferme 1000 de dommages et intrts la SPPF 300 au titres 475-1 du code de la procdure pnale Publication du jugement dans Tlrama et le Parisien
9/160
Sensibilisation des autorits publiques Renforcement des lois sur le droit dauteur Dclenchement de poursuites
Condamnations Publicits
13/160
NOUVELOBS.COM | 15.02.04
"Microsoft a annonc jeudi soir que des extraits du code source de Windows protgs jalousement ont t publis son insu sur internet" Ouverture par le FBI d'une enqute pour identifier et arrter l'internaute Porte-parole du bureau de la sret fdrale (Seattle) : "cette affaire est confie une cellule oprationnelle charge de combattre la criminalit en informatique. Elle comprend des reprsentants du FBI, des services du Trsor, des impts, et de la police locale et de l'Etat de Washington" 14/160
15/160
Premier constat
Ne pas s'approprier le travail ou la proprit d'autrui Protger son travail et ses productions
16/160
Il ny a qu lire la presse !
17/160
Hacker
Terme souvent utilis pour dsigner un pirate informatique En gnral des jeunes Signification depuis son apparition la fin des annes 50 :
l'origine : programmeurs mrites annes 70 : rvolutionnaires de l'informatique
la plupart devenus les fondateurs de grandes entreprises informatiques
aujourd'hui : personnes s'introduisant dans les systmes informatiques scuris et en gnral (mas pas toujours) sensible
18/160
Des pirates
Les white hat hackers hacker au sens noble du terme But : aider amliorer les systmes et technologies informatiques l'origine de certains protocoles et outils utiliss aujourd'hui ... Les black hat hackers couramment appels pirates (ou crackers) s'introduire dans les systmes informatiques dans un but nuisible Les Script Kiddies gamins du script
surnomms crashers, lamers, packet monkeys (singes des paquets rseau)
jeunes utilisateurs du rseau utilisant des programmes trouvs sur Internet gnralement de faon maladroite pour vandaliser des systmes informatiques afin de s'amuser
19/160
Les carders
s'attaquent principalement aux systmes de cartes bancaires
pour en comprendre le fonctionnement et en exploiter les failles
Les crackers
crer des outils logiciels pour
attaquer des systmes informatiques ou casser les protections contre la copie des logiciels payants
Les hacktivistes
contraction de hackers et activistes (cybermilitant ou cyberrsistant) motivation principalement idologique terme largement port par la presse, aimant vhiculer l'ide d'une communaut parallle (exagration, mystification et dsinformation typique de la presse)
20/160
Un certain militantisme
Internet Separatist
lInternet relve dun ordre juridique part Transcendant les frontires politiques et lemprise des tats nations
21/160
On lui attribue
vol sur des rseaux privs le numro de 20 000 cartes de crdit (dont celles des milliardaires de la Silicon Valley) Introduction dans le systme du laboratoire de recherche de la NASA Pasadena (Californie) visite des centaines de fois les ordinateurs du Pentagone Washington
Isralien g denviron 25 ans, surnom l'Analyste Entre 1996 et 1998 aurait pirat par jeu plus de 1000 sites sensibles, sans jamais se faire reprer
Pentagone, la NASA, le centre amricain pour l'armement sous-marin, les archives secrtes de l'arme isralienne, le MIT, le FBI, l'U.S. Air Force et l'U.S. Department of Defense, la Knesset ou encore la Banque d'Isral utilisait les rseaux des universits israliennes pour se connecter incognito
Arrt par la police isralienne le 18 mars 98, relch aprs quelques jours effectue son service militaire (enrl par le MOSSAD ?) inculp un an aprs les faits
23/160
Arrt par Interpol en mars 1995 l'aroport d'Heathrow (Londres) extrad vers les Etats-Unis en septembre 1997 jug en fvrier 1998 condamn 36 mois de prison 24/160
Un deuxime constat
Vol ou effraction sur Internet comme ailleurs Ne pas confondre actes dlictueux et militantisme
25/160
Principe
Obtenir des donnes personnelles et bancaires grce un e-mail factice apparence d'un courrier officiel envoy par une banque ou un cybermarchand repose sur la crdulit de moins en moins marginal en France environ 1.707 nouveaux faux sites recenss par une organisation amricaine (l'APWG) dans le monde en dcembre 2004 = augmentation de 24% par rapport juillet 2004 Selon les derniers chiffres publis par lassociation Anti-Phishing Working Group (tude parue dans le Fig. Mag. du 6/01/2007): plus de 28500 attaques de phishing sur le seul mois de juin 2006. le plus sr : respecter des rgles simples de prudence ne jamais communiquer de donnes bancaires en cliquant sur un lien envoy par e-mail
28/160
29/160
30/160
Le plus souvent,
pas d'adresse valide d'expdition ou de "reply to" adresse de dsinscription inexistante ou invalide
31/160
Contre exemples
l'envoi de messages par un organisme qui a procd une collecte loyale des adresses lectroniques la rception d'une lettre d'information (newsletter) envoye partir d'un site sur lequel l'internaute s'est pralablement inscrit
32/160
Pour plus d'information (en anglais) http://www.spamnet.com. Une liste de logiciels galement disponible http://www.caspam.org/outils_anti_spam.html.
: sur
33/160
Association de AOL et Microsoft pour la faire condamner Condamnation de l'entrepreneur 22 000 de dommage et intrts 1 000 euros pour tout nouveau courrier lectronique non sollicit quil enverrait en dpit de sa condamnation
34/160
35/160
tude annuelle relative propagation et aux consquences des virus en entreprise panel : 300 organisations de plus de 500 postes, dots d'au moins 2 connexions distantes et 2 rseaux locaux 3,9 millions d'incidents relatifs un virus relevs en 2004
incident majeur chez 112 organisations soit contamination de 25 postes (PC ou serveur) ou plus par un mme virus soit un virus ayant caus des dommages financiers significatifs pour l'entreprise Augmentation de 12% par rapport l'anne 2003
37/160
Un troisime constat
Personne n'est l'abri La nuisance peut tre importante
Impact sur l'entreprise
38/160
Un autre exemple
16/9/05)
(Libration,
"Shi Tao a t condamn 10 ans de prison pour avoir transmis une note confidentielle du parti communiste, des consignes la presse officielle la veille de lanniversaire du massacre de la place Tiananmen. Reporter sans frontire rvle que Yahoo avait livr aux autorits le dtenteur de ladresse et du tlphone do est parti le message. Jerry Yang, co-fondateur de Yahoo se dfend : pour faire des affaires en Chine ou nimporte o dans le monde, nous devons respecter les lois locales."
en Chine environ 100 millions dinternautes contrle sur Internet : une cyberpolice identifie les cyberdissidents une soixantaine dinternautes en prison pour dlit dopinion
41/160
Un quatrime constat
L'anonymat n'existe pas sur Internet Importance de garantir ses droits et liberts fondamentales
42/160
44/160
Origines ?
Incertaine ! Forcer la maintenance Protger son emploi Garantir les droits Concurrence Crer un business Un jeu .
45/160
Histoire (1)
Le premier pas vers les virus : Core War
dbut des annes 60 cration d'un jeu par 3 informaticiens de la socit Bell lcher 2 programmes de combat dans la mmoire vive de lordinateur but : dtruire le premier son adversaire ou tre celui dont le nombre de copies restantes, aprs un temps dtermin, est le plus grand
techniques de combat trs simples : bombarder la mmoire de "1" (valeur binaire) ce qui modifiait le programme et le dtruisait rserv quelques initis : pas de grand danger.
46/160
Histoire (2)
Quelques annes plus tard : presque un virus
Perfectionnement des programmes dattaque par 2 italiens ajout d'une procdure de copie du programme sur la mmoire de masse abandon du projet
premier virus :
par Fred Cohen, tudiant informaticien lUniversit de Californie crer un programme parasite (comparable aux virus biologiques) capable de se reproduire et de pervertir les programmes but : crer une sorte de vie artificielle autonome, sans la moindre volont ngative
48/160
Reproduction :
recherche de nouveaux fichiers ou zones d'action sur le disque s'assure qu'il n'a pas dj infect le fichier choisi accroche le virus au fichier slectionn partie suffisante pour avoir un virus
cre une psychose au dbut de l'anne 1992 se dclenche le 6 mars, jour anniversaire de la naissance de Michel-Ange en 1475
1260,V2P1,V2P2,V2P6 : premiers virus polymorphiques Iloveyou qui s'est propag par les mails (navet
des utilisateurs mles qui lisait ce mail et avait leurs ordinateurs contamin)
51/160
Les fichiers :
souvent ne connat la structure que d'un type de fichier, voire d'un fichier
s'adapte ces fichiers et donc plus facilement invisible
Aujourd'hui : fichiers transitant par l'Internet qui sont les plus viss
Les macro :
explosion de ces virus grce au dveloppement de la bureautique
52/160
Macrovirus
Typologie (1)
langage de script des outils de bureautiques ou autres insr dans des documents contenant des macros (Word, Excel, OpenOffice, Accrobat, etc.) VBScript accept par de plus en plus d'applications des virus infectent les macros : excution de code l'ouverture pour se propager dans les fichiers et accder au systme d'exploitation
Typologie (2)
Polymorphe = peut prendre plusieurs formes
utilise des mthodes de cryptage alatoire de leurs codes empche de l'identifier grce sa signature (n'en possde pas)
Cheval de Troie Programme cach dans un autre excutant des commandes sournoises
Ex : fausse commande de listage des fichiers qui les dtruit au lieu de les lister gnralement donne un accs la machine sur laquelle il est excut cach dans un programme qui aide sa diffusion (exemple : shareware)
Typologie (3)
Principe : ouvrir des ports de la machine = le pirate peut alors prendre le contrle de lordinateur.
1er temps : infecter votre machine en vous faisant ouvrir un fichier infect 2eme temps : accder votre machine par le port qu'il a ouvert
symptmes :
activit anormale du modem ou de la carte rseau, plantages rptition ractions curieuses de la souris, ouvertures impromptues de programmes
Protection :
installer un firewall : programme filtrant les communications entrant et sortant essentiel de ne pas autoriser la connexion aux programmes inconnus
55/160
Typologie (4)
Un exemple :
1988 : Robert T. Morris (tudiant, Cornell University) fabrique un programme capable de se propager sur un rseau et le lance 8 heures aprs plus tard, plusieurs milliers d'ordinateurs infects Problme (dni de service) : le "ver" se reproduisait trop vite pour tre effac Solution : dconnecter toutes les machines infectes Difficile sur Internet !
56/160
57/160
Une rponse
Technique ! Selon une tude parue dans le Fig. Mag. du 6/01/2007, lditeur McAfee recense 217 000 (!) virus, vers et chevaux de Troie connus sur la toile : une aubaine pour le march de la scurit informatique: _ + 13,6% en 2006; chiffre daffaire estim 4 milliards de $.
58/160
Les antivirus
programmes capables de dtecter la prsence de virus sur un ordinateur nettoyer celui-ci si possible Reproduction des virus : copie d'une portion de code excutable dans un programme ne pas infecter plusieurs fois un mme fichier vrifier si le programme a pralablement t infect : la signature virale Signature : succession de bits qui les identifie
59/160
Techniques de dtection
Recherche de la signature ou scanning
la plus ancienne et la plus utilise avantage : dtection avant excution en mmoire principe : rechercher de signature ncessit d'avoir t confront au virus base de donnes Inconvnient : pas de dtection des nouveaux virus ou des virus polymorphes mthode la plus simple programmer utile que si elle recense tous les virus existants : mises jour de la base de donne tous les mois sur le site WEB des antivirus
60/160
Techniques de dtection
Utilisation d'un contrleur d'intgrit construire un fichier des noms de tous les fichiers avec leurs caractristiques
taille, date et heure de la dernire modification,
Antivirus peut aussi stocker la date et la taille de chaque excutable dans une BD et tester les modifications
rare de modifier la taille ou la date d'un fichier excutable parade pour virus : sauvegarder la date avant modification et la rtablir aprs 61/160
Techniques de dtection
Moniteur de comportement
rle : observer l'ordinateur la recherche de toute activit de type virale prvenir lutilisateur en cas de dtection programme rsident actif en arrire plan, surveillant tout comportement inhabituel :
description dattaque virale tentatives d'ouverture en lecture/criture des fichiers excutables tentatives d'criture sur les secteurs de partitions et de dmarrage tentatives pour devenir rsident
62/160
Techniques de dtection
Dmarche heuristique recherche de code correspondant des fonctions virales
rechercher un type d'instruction caractristique Exemple : Pour un virus polymorphe, suite d'instructions de lecture suivie d'une suite d'instruction d'criture
63/160
propage trs rapidement par courrier lectronique. Il s'agit d'un ver qui profite d'une faille dans le logiciel Outlook que Microsoft a corrige en avril dernier mais dont beaucoup d'utilisateurs de Windows n'ont jamais fait la mise jour.
MiMail.A peut rcuprer les donnes qui se trouvent dans certaines fentres de Windows et les retransmettre par Internet. Le fichier attach message.zip renferme le virus qui s'excute au moment o l'on tente de dcompresser le fichier. des correctifs disponibles et mme un utilitaire pour se dbarrasser du virus
De limportance des mises jour le virus MiMail.A se 2 aot - Depuis quelques heures,
5 juin - Aprs Sobig.C, voici Bugbear.B, Xolox, Lovgate.K, Mumu et Nako. Seule solution, un bon antivirus mis jour cette semaine.
66/160
Dtecter un virus
Diagnostic toujours difficile
machines complexes et capricieuses utilisateurs maladroits
Quelques indices :
plantages rptition, indisponibilit de certaines applications, saturation de la mmoire, dmarrages incomplets, problmes d'installation, etc. Mais ces problmes peuvent tre dus des incompatibilits logicielles ou matrielles classiques Alors vigilance constante ! (Fol-Oeil dans Harry Potter et la coupe de feu)
68/160
spyware ou espiogiciel
programme charg de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est install
pour les envoyer la socit qui le diffuse pour lui permettre de dresser le profil des internautes Exemple : traabilit des URL des sites visits, traquage des mots-cls saisis dans les moteurs de recherche, analyse des achats raliss via internet, Beaucoup de spyware sur le toile: selon une tude publie dans le Fig. Mag. du 6/01/2007: 850 spyware rcolts en une heure de balade, avec une forte concentration sur les sites pour enfants, proies faciles
espiogiciels
pas forcment illgaux
licence d'utilisation du logiciel qu'ils accompagnent prcise que ce programme tiers va tre install
71/160
Externes
programmes de collectes autonomes installs Ex : Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter, Web3000 et WebHancer
72/160
Protection
ne pas installer de logiciels dont on n'est pas sr 100% de la provenance et de la fiabilit (notamment les freewares, les sharewares et plus particulirement les logiciels d'change de fichiers en peer-to-peer) Les logiciels gratuits dont on nest pas sr se rmunrent souvent grce lajout de spyware. Attention donc!
Exemples de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA, iMesh,
la dsinstallation de ce type de logiciels ne supprime que rarement les spywares qui l'accompagnent logiciels, nomms anti-spywares permettant de dtecter et de supprimer les fichiers, processus et entres de la base de registres crs par des spywares installation d'un pare-feu pour empcher l'accs Internet (donc de transmettre les informations collectes)
73/160
keylogger
dispositif charg d'enregistrer les frappes de touches du clavier et de les enregistrer, l'insu de l'utilisateur
dispositif d'espionnage
Capables parfois d'enregistrer les URL visites, les courriers lectroniques consults ou envoys, les fichiers ouverts, voire de crer une vido retraant toute l'activit de l'ordinateur peut servir des personnes malintentionnes pour rcuprer les mots de passe des utilisateurs du poste de travail soit logiciel soit matriel Protection : ne pas installer n'importe quel logiciel
74/160
Les enjeux
Naissance de lInternet
Cration de ses institutions Cration de rgles, techniques puis de comportements
Dveloppement de lInternet
de nouveaux utilisateurs de nouveaux usages (commerciaux par exemple)
77/160
Dualit de lInternet
Outil de connaissance et dchange contribuant la libert dexpression et de communication Porteur de drives et de menaces
utilisable pour commettre des actes illicites diffuser des messages racistes organiser le terrorisme international violer la vie prive
78/160
Rponses possibles
Mode dorganisation le plus adapt
Loi Jurisprudence Arbitrage Codes de bonne conduite Usages aucun
79/160
2 axes de rponse
Auto rgulation Rponse juridique
81/160
Auto rgulation
Soft law Netiquette Chartes Sceaux
83/160
Soft Law
Code de bonne conduite, autorgulation Exemple des USA :
Safe harbour principles publi par le dpartement du commerce amricain (dernire version mars 2000) En rponse la directive europenne de 1995(95/46/CE) Assurer la protection des donnes caractre personnel transfres dun tat membre europen vers les EU Les entreprises amricaines ayant une activit transnationale peuvent dclarer l'adopter dans la gestion de leurs fichiers Principes insuffisants au regard des lois europennes mais lide est l
84/160
Netiquette
Avant : utilisateurs avaient "grandi" avec Internet Maintenant : Grand public But : dfinir un ensemble minimal de rgles utilisables et adaptables par les institutions et personnes pour leur propre usage
RFC 1855 Netiquette Guidelines d'octobre 1995
note destine informer la communaut de l'Internet ne spcifie en aucune manire un standard de l'Internet
lignes de conduite pour les utilisateurs et gestionnaires oeuvre du groupe de travail Responsible Use of the Network (RUN) de l'IETF
85/160
rgles sur la proprit du mail varient d'un pays l'autre Ne mailez pas ce que vous ne mettriez pas sur une carte postale N'envoyez pas de grandes quantits d'information non demande N'envoyez pas de lettre-chane Attention aux Cc lorsque vous rpondez LES MAJUSCULES DONNENT L'IMPRESSION DE CRIER Vrifiez que le destinataire peut dcoder le message frais pays aussi par le destinataire
Envoyer un mail quelqu'un peut lui coter en bande passante, stockage ou temps machine une raison fondamentale d'ordre conomique qui rend la publicit par mail malvenue
86/160
La charte de Paris 12
Accessible sur le site web ou au moment de linscription ou demander laccueil en Droit Valable pour tous (mme les enseignants) Utilisation pdagogique des moyens Respect des autres Respect du matriel Respecter les rgles comme par exemple
ne pas communiquer ce mot de passe prvenir le responsable informatique de toute anomalie constate ne jamais quitter un poste de travail sans se dconnecter
Lisez la chartre !
87/160
88/160
89/160
A vrifier
Quelles sont les infos recueillies ?
Nom, prnom, adresse IP, code carte bancaire, la liste de vos achats, les pages visites,
Comment savoir les donnes en possession du site, les faire modifier ou supprimer ?
Par demande,
Favorable la Netiquette Mise en uvre doutils de dtection de spam, virus, Confidentialit des courriers lectroniques Pour le rseau : principe de la poste
91/160
clairement indiquer la protection fournie permettre aux consommateurs de signaler facilement tout cas de non-respect des mesures de scurit par l'exploitant du site donner l'assurance que l'organisme qui les dcerne est digne de confiance
92/160
Pour la France
Relation commerciale :
Direction gnrale de la consommation, concurrence et de la rpression des fraudes (DGCCRF) Sceaux de certification noffrent presque pas de garantie linternaute interdit les termes Label, site certifi, rfrentiel
3 niveaux de garantie
Dfinis par la DGCCRF Niveau 3 : Indpendants
Dclaration autonome Avec un logo ou une marque distinctive
respecter une dontologie commerciale et/ou protection de la vie prive Aucune valeur juridique Cration de rseau de confiance Au visiteur de faire la dmarche de contrle
95/160
Et pourtant
Faillite en 2000 du site amricain de jouets ToySmart Le liquidateur du tribunal vend tout pour payer les cranciers ; Problme, la base de donnes des clients
Toll de clients, TRUSTe et la FTC (~de la DBCCRF) Dilemme : entre tribunal et FTC Sauv par Disney qui a rachet et immdiatement dtruit
96/160
La rponse juridique
La rponse juridique
Consensus sur la ncessit de soumettre lInternet au droit Admettre que la libert nest pas absolue sur Internet
En tout cas pas plus quailleurs "ma libert sarrte o commence celle des autres"
98/160
Les dfis
Ncessit dune rponse juridique adapte Concilier
Protection des droits de la personne Prservation de la libert dexpression communication et de
99/160
Diversit : tous (ou presque) les domaines du droit concerns Droit commun sapplique tel quel dans beaucoup de domaines de lInternet
La vente des livres sur Internet soumise la loi du 10/8/81 (TGI Versailles du 5 juillet 2001) "le site Internet dune socit ayant pour objet la commercialisation de tous matriels, logiciels, et toutes publications crites, correspond un magasin virtuel que le consommateur va visiter au moyen de son ordinateur par une dmarche analogue celle qui consiste se rendre lintrieur dun magasin" 100/160
Do
Application distributive aux diverses applications de lInternet des rgles relevant de diffrentes branches du droit Le droit commun
Ncessit dadaptations ponctuelles au regard de certaines spcificits techniques uvre du juge : constitution dune jurisprudence uvre du lgislateur : exemple la loi "Informatique et liberts"
102/160
Internet et le droit
Ncessit de prendre en compte le contexte par nature international Diverses approches :
En Europe : plutt extension des rgles traditionnelles Aux USA : plutt adoption de rgles spcifiques
Pas de consensus sur la nature des solutions : encore moins de droit international !
103/160
Difficults
Ncessit dune volution relative aux rgles nouvelles de la socit de linformation en Europe et dans le monde Ncessit dune adaptation aux spcificits
Caractre transnational Volatilit et fugacit des contenus Do difficult en matire pnale de la constatation de linfraction et de lidentification de lauteur Maintenant : crit lectronique admis comme l'crit papier en matire de preuve (depuis 2000)
105/160
107/160
108/160
La fracture numrique
1 foyer sur 2 connect en France, 2006 Question de lgalit entre les citoyens Problme si lInternet devient le seul mode daccs des procdures ou des informations
Dmatrialisation La garantie de laccs lInternet un droit essentiel de lhomme ? Un petit village andalou a dclar la gratuit de lInternet droit imprescriptible de lhomme (Libration, oct 2001)
109/160
110/160
Remarques
Concerne les donnes de toute nature Concerne seulement les personnes physiques Numro IP est-il concern ?
Identifie une machine Mais indirectement son propritaire
111/160
Les menaces
Diffusion dinformations
Rapidit Plantaire
Collecte dinformations
Favorise par le commerce lectronique Recueillies de plein gr
Ex des infos dvoiles dans les forums (la CNIL recommande linformation des utilisateurs rappelant linterdiction dutiliser les infos rvles dautres fins que celles ayant justifi leur diffusion) Formulaire en ligne : 41% des internautes renoncent livrer des infos personnelles et 40% mentent (sondages amricains, 2002)
112/160
113/160
trs utilis Ex : navigateur pour prendre en compte des lments propres votre configuration
type de navigateur utilis, version : permet au serveur de ne pas lancer des applications incompatibles les rfrences de la dernire page lue Les sites qui achtent des bandeaux publicitaires comptent le nombre de connexions effectues immdiatement aprs un clic sur une des pages contenant un de ces bandeaux
114/160
Les cookies
Fichier de trs petit taille contenant des informations, dpos sur votre ordinateur, mis et transmis au serveur Objectif : stocker des informations et dterminer votre parcours durant une session et vous profiler avantage :
dispensent d'un stockage sur le serveur Proprit de lutilisateur
inconvnient :
si l'internaute utilise une machine diffrente, cookies introuvables Peut tre effac ou modifi directement par l'internaute Peut tre refus par linternaute
souvent exploits au cours d'une mme session Les informations figurant dans le cookie peuvent tre claires ou codes : un code qui renvoie des informations stockes sur le site
115/160
Exemples
un site d'actualit : demande de remplir un formulaire de vos prfrences un site de commerce lectronique : chaque fois que l'utilisateur slectionne un produit un moteur de recherche de sites : positionne des cookies selon les rubriques visites pour afficher dynamiquement des bandeaux publicitaires cibls un site web :
propose de choisir la couleur du fond d'cran, la prsence de multi fentrage ou encore les polices de caractre utilises pour prsenter une page d'accueil correspondant aux gots
116/160
Un exemple
Ncessit que toute exploitation du fichier d'audit se situe dans le cadre lgal : information des personnes, finalit claire et dclare, droit d'opposition, droit d'accs, etc. Dans le cas d'une procdure judiciaire : l'exploitation du fichier d'audit est un moyen extrmement efficace pour retrouver un internaute se livrant des activits illicites
118/160
Le cadre lgal
Diversit des sources
Nationale : loi Informatique et liberts le 6 janvier 1978 Directives communautaires :
"Vie prive et communications lectroniques" du 12 juillet 2002 Internationales :
Conventions sur la protection des personnes lgard du traitement des donnes caractre personnel du 28 janvier 1981(Conseil de lEurope)
La CNIL
Commission Nationale de lInformatique et des Liberts Autorit indpendante
Tout responsable ministre, PDG, ..- doit lui faciliter la tche, ne peut sopposer son action Ne reoit dinstruction daucune autorit
Autorit administrative
recours possible devant la juridiction administrative budget imput sur celui de ltat
Missions
Information des personnes sur leurs droits et obligations Aide aux particuliers dans lexercice de leurs droits : rception des plaintes, rclamations et intervention auprs des organismes concerns Conseil et concertation :
Recommandations sur des sujets divers (vidosurveillance, sondages) Proposition de mesures lgislatives ou rglementaires au gouvernement
Environ 4000 plaintes ou demandes de conseils par an Expertise et veille technologique Garantir le droit daccs : au nom des citoyens auprs des RG, . Faire respecter la loi
Recenser tous les fichiers informatiques (300 par jour) : mise en ncessite un avis favorable de la CNIL Mission de contrle et de vrification des fichiers En cas de manquement avertissements (49) ou plaintes au parquet (25) uvre
122/160
Le droit de curiosit : pour pouvoir accder aux donnes qui vous concernent, vous avez le droit de demander tout organisme s'il dtient des informations sur vous.
124/160
le droit l'oubli :
l'informatique permet de conserver indfiniment les donnes personnelles. La loi a donc prvu un droit l'oubli, afin que les personnes ne soient pas marques vie par tel ou tel vnement
126/160
127/160
128/160
Obligation dinformation
Accord recueilli des personnes avant toute diffusion sur Internet (accord tacite en labsence de rponse au-del dun certain dlai)
129/160
LEN (2)
Sur un plan contractuel :
les conditions gnrales d'utilisation des services d'accs internet, telles qu'elles sont rdiges dans l'ensemble des contrats d'abonnement chez les FAI, rfrencent la Netiquette ou interdisent explicitement la pratique du 'spamming' les FAI n'hsitent alors pas priver d'accs leurs clients identifis comme metteurs de spam
132/160
La libert dexpression
2001) et les webzines Pluralit de linformation (affaire Clinton) Dveloppement de lauto publication (sorte ddition compte dauteur) Les weblogs ou dazibaos informatiques Tribunes dexpression faible cot
Interdit dans certains pays Sous haute surveillance dans certains pays (ouverture au commerce lectronique mais adaptation du code pnal chinois pour sanctionner la diffusion dinformations juges subversives et interdiction de certains sites comme les sites de journaux trangers par exemple)
134/160
Risque de dsinformation
Publicit Fiabilit ; Ex : remise en compte de lattentat contre le Pentagone le 11 septembre Les rumeurs :
Ex : la COB a cr une quipe charge de reprer les fausse rumeurs boursires sur Internet Les hoax
135/160
Les hoax
Annonces reues par mail
par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilit de gagner un tlphone portable gratuitement, de tueurs fous sur la route, RG estimait J.-M. L.-P. vainceur en 2002 51%, ...) accompagnes d'une note prcisant de faire suivre la nouvelle But : l'engorgement des rseaux ainsi que la dsinformation
Site : http://www.hoaxbuster.com/
136/160
Craig (Ou Greg, Sonia ou encore Denis) Sherehold, 17 ans, atteint d'un cancer en phase terminale Son v u le plus cher : "Etre, avant de mourir, dans le livre Guinness des records en tant que particulier possdant le plus grand nombre de cartes de visites" Mail envoy aux chefs d'entreprises, cadres de collectivits, lus, A chacun de l'envoyer si possible d'autres cadres Question : Greg existe-t-il vraiment ou n'est-il plutt, comme on le sait aujourd'hui, qu'un agent fictif d'un genre spcial ? Soupons : des socits de renseignement privs qui utilisent la maladie pour rcolter un maximum d'information sur les dirigeants et leurs socits 137/160
Un exemple
rigolo
Le droit de lentreprise
Les sites web
Nom de domaine Les obligations respecter
140/160
Nom de domaine
accs un site par son URL Ex : http://www.votre-fournisseur.com/votrenom mmoriser) Prfrable d'avoir une adresse du type :
http://www.votrenom.com http://www.votrenom.org http://www.votrenom.fr
(difficile
plus simple mmoriser favorise le bouche oreille (diffuser rapidement une adresse) donne gnralement une touche de professionnalisme
141/160
Objectif de lAFNIC
Prvenir le cybersquatting Dans le respect du droit des marques et de la proprit intellectuelle
142/160
Acqurir un .fr
Principe de territorialit l'Afnic, charge d'attribuer les noms en .fr uniquement (liste non exhaustive) :
aux titulaires d'une marque dpose aux entreprises aux associations immatricules l'INSEE aux professions librales aux artisans aux collectivits publiques
Nom de domaine
Une ressource rare : conflits ! Jurisprudence : En gnral fait primer la marque prexistante sur le nom de domaine; Date denregistrement, notorit, absence de dchance de la marque, .
144/160
grabbing
prvoir l'achat de noms de domaines de certaines entreprises et de les acheter avant celles-ci (les .com, .net et .org n'tant soumises aucun contrle...) des personnes peu scrupuleuses ont revendu prix d'or (plusieurs millions de dollars parfois) des noms de domaine intressants pour certaines compagnies (leur propre marque gnralement)
145/160
Attention !
On ne peut pas dposer n'importe quel nom Ex : michel-edouard-leclerc.fr (site porno)
Le 28 juin 2004, Nanterre
146/160
Le droit de la proprit intellectuelle englobe le droit dauteur classique et les bases de donnes ( voir lanne prochaine)
147/160
148/160
Le droit dauteur
Le CPI prcise
Toute uvre protge par le droit dauteur ne doit pas reproduite modifie mme partiellement sans autorisation de lauteur ou de ses ayants droits (art. L. 122-4 du CPI) Lauteur dune uvre de lesprit jouit sur cette uvre du seul fait de sa cration dun droit de proprit incorporelle exclusif et opposable tous (art. L 111-1 du CPI)
151/160
Droits patrimoniaux
Prescriptibles 70 ans aprs le dcs de lauteur Essentiellement de 3 types :
Droit dexploitation Droit de reprsentation (communication de l uvre au public par un procd quelconque) Droit de reproduction (fixation matrielle par tout procd permettant la communication au public)
Ex : la numrisation (donc soumise autorisation pralable de lauteur sinon contrefaon) Exception pour le logiciel : la copie de sauvegarde
153/160
Droits moraux
Parmi les prrogatives confres par le droit moral : Droit au nom et la paternit Droit de divulgation Droit au respect et intgrit de l uvre
154/160
Les sanctions
Actes de contrefaon : Dlit pnal Sanctions jusqu
2 ans demprisonnement Et 150 000 damende Octroi de dommages et intrts
156/160
Un exemple
Lexploitant du site shootgame.com a t condamn 4500 de dommages et intrts pour avoir reproduit sans autorisation des auteurs des lments graphiques leur appartenant
157/160
Un exemple : la musique
Compresser ses propres disques et pour son usage personnel est lgal Mettre disposition de la musique sur Internet est illgal sans autorisation des ayants droit (Auteurs, diteurs, producteurs, interprtes) Dtenir des fichiers sans avoir acquis le support original est un dlit Mettre sur son site des liens hypertextes vers ce type de fichier peut donner lieu des poursuites pour complicit de contrefaon
158/160
159/160
160/160