Académique Documents
Professionnel Documents
Culture Documents
Daniel LANG Enseignant chercheur en Systmes dInformation Institut TELECOM TELECOM Ecole de Management 9 rue Charles Fourier 91011 EVRY Cedex Tel : 01 60 76 41 67 Fax : 01 60 76 44 93 daniel.lang@it-sudparis.eu
Jean-Luc PILLET Adjoint Scientifique UNI Mail - HEC Genve 40 Bd du Pont dArve, 1211 Genve Tl. : +41 22 379 81 35 HEG Fribourg 4 chemin du Muse 1700 Fribourg Tel +41(0)76 501 80 70 jeanluc.pillet@free.fr
Rsum : Cet article analyse les menaces que font peser les technologies de l'information et de la communication sur les liberts individuelles. En effet, l'information recueillie sur un individu se complexifie : via les puces RFID incorpores dans nos diffrentes cartes (de transport, bancaire ou de fidlit client), via les visites de sites internet, travers le champ de camras de surveillance places sur diffrents lieux (travail ou publics), chacun de nous laisse des " traces " qui constituent autant de donnes collectes, traites ou transmises le plus souvent notre insu, pour tre incorpores dans des fichiers dont la matrise nous chappe. Nous avons souhait mener une enqute pour valuer lusage des TIC et la conscience par les utilisateurs des risques induits. Nous avons galement cherch dterminer sil existe un cart significatif entre la connaissance dune menace et le comportement scuritaire associ pour rduire la vulnrabilit dun systme. Mots-cls : Menace, TIC, liberts individuelles
Il y a quelques annes, lvolution technologique a modifi considrablement les pratiques de communication en entreprise. En 1989, le management de la multinationale Eli Lilly prcurseur en la matire, proposait pudiquement ses employs de pouvoir tre connect sur une messagerie interne lentreprise (environ 30'000 collaborateurs) de manire pouvoir tre joignable y compris le weekend. Cette demande nest pas reste isole. Trs rapidement, le milieu professionnel sest adapt tre connect de manire permanente et aujourdhui, cest une population beaucoup plus vaste qui suniformise cette pratique du tout connect. Consultants indpendants, travailleurs nomades, lycens, personnel domicile : beaucoup ont adopt ce rflexe pavlovien qui consiste allumer son portable, notebook ou smartphone de manire quotidienne et transfrer des donnes personnelles en utilisant divers canaux : SMS, messagerie instantane et courriel. Le nombre doutils communicants utilisant les rseaux Wi-fi, 3G ou cbls ont permis le transfert dimages d e vidos ou de documents qui peuvent tre stockes et donc visibles sur des sites Internet au regard dun nombre considrable dInternautes. Ainsi, on dcouvre que les technologies actuelles permettent de tracer lindividu dans ses dplacements (GPS sur un portable), de visualiser sa silhouette grce Google Street View dans une rue rpertorie, dtre surveill dans ses tches quotidiennes sur un lieu de travail par une camra de vidosurveillance, de stocker ses donnes personnelles chez un prestataire de services dont on ne connait pas le niveau de scurit rel [18]. Les Technologies de lInformation et de la Communication (TIC) permettent ainsi dassurer la traabilit des objets et individus. Quotidiennement de nombreux systmes informatiques mmorisent nos activits, consommation, centres dintrts, messages changs Toutes ces informations collectes par divers organisations, une fois centralises, permettraient de dresser un profil de chaque individu. Dores et dj de nombreuses grandes entreprises classifient leur clientle selon diffrents groupes (par exemple : Or, Argent, Bronze, Zappeur) pour adapter leurs actions Marketing selon le profil de consommation. Ainsi, tous ces outils : lInternet, les tlphones cellulaires, les divers fichiers informatiques des administrations, les diffrentes cartes (cartes didentit, cartes de paiement, cartes de transport, carte de fidlit, badges professionnels), les puces RFID places sur certains objets, peuvent induire certaines drives, reprsentant une relle menace pour le respect de la vie prive et la libert individuelle. On note trois grandes menaces apportes par les TIC : La traabilit des personnes Un des premier abus des systmes RFID pourrait bien tre la golocalisation des individus. En effet, certains de ces outils offrent la possibilit de les positionner gographiquement et de suivre leurs mouvements dans des lieux publics tels que des gares, des aroports, des centres commerciaux, et bientt partout dans le monde [8], [22]. Dans la ligne des puces RFID, des puces implants permettent la traabilit des animaux, mais aussi lidentification et la localisation par satellite dindividus. En effet, une puce lectronique de la taille dun grain de riz peut tre implante sous la peau dun individu pour mmoriser des informations biologiques (rythme cardiaque, traitement mdical en cours) ou pour in scrire des donnes personnelles afin de servir de carte didentit ou de carte de paiement. Certains hpitaux amricains proposent leurs patients de simplanter une puce contenant leur dossier mdical en vue dviter des erreurs de traitements. Les implants permettent une surveillance mdicale distance avec envoi automatique dune alerte une unit de soins spcialise [14]. Par ailleurs, les tlphones cellulaires, mme en position de veille, permettent de localiser son dtenteur. En effet, chaque tlphone portable met intervalle rgulier un signal permettant la borne la plus proche de lidentifier, de faon lui tr ansmettre appels, messages et SMS. Il est en effet indispensable pour loprateur tlcom de localiser labonn pour dterminer la borne locale qui transmettra lappel [17]. Autre technologie, plus particulirement utilise par certains Etats pour tracer les exactions : la vidosurveillance. Le nombre de camras, tant dans les lieux publics, que sur des lieux de travail (entrepts, usines) crot de manire trs rapide pour contrler toutes activits ou comportements suspects. Grce aux logiciels de reconnaissance de visages, il est dsormais possible de reconnaitre le
portrait dun individu parmi une foule filme par une camra de vidosurveillance reli un systme informatique. Ainsi le processus de surveillance peut tre automatis pour localiser un individu recherch. De plus, avec la gnralisation des cartes didentit biomtrique, il sera ais de tracer le parcours dun individu dans une ville quipe de systme de vidosurveillance. Certaines entreprises intgrent ces systmes dans leurs dpts et/ou usines pour reprer les exactions et vols commis par certains employs. Le profilage Un autre cas dutilisation des puces RFID trs attrayant pour les entreprises rsulte dans leur capacit de stockage dinformations. En effet, lensemble des informa tions collectes par une puce peut devenir trs utile une entreprise pour dfinir notre profil client. En effet, les puces RFID pourraient donner de nombreux renseignements difficilement accessibles pour les entreprises et viendraient complter leurs bases dinformations clientes. Elles auraient ainsi accs nos comportements, nos choix, nos prfrences produits,[1] Il nen reste pas moins que cette utilisation des fins commerciales constitue une violation de notre vie prive. Nous allons tenter de prciser les usages et risques induits par ces divers outils. En effet, grce lassociation de la carte de fidlit et de la carte de paiement dun individu, ses dpenses, ses consommations, ses dplacements, ses gots (culinaires, culturels) sont mmoriss par les acteurs de la grande distribution permettant ainsi de dterminer un profil client prcis [5]. Ainsi pour optimiser la gestion des stocks, des rapprovisionnements et mieux cibler les actions promotionnelles, les systmes informatiques des grands distributeurs enregistrent les produits achets par chaque client au travers de gigantesques DataWarehouses [9], [23]. Les fichiers des organismes publics ou privs contiennent de nombreuses donnes personnelles sur des milliers, voire des millions dindividus. Ces donnes collectes de manire parse restent inoffensives tant quelles sont mmorises de faon rpartie. Cependant, un certain nombre dentreprises se sont spcialises dans la collecte dinformations individuelles des fins commerciale s [19]. Lutilisateur de lInternet laisse de nombreuses traces sur son ordinateur des sites Web consults et des donnes personnelles renseignes lors de ses visites. Ces informations, enregistres dans des fichiers (intituls cookies) sont interrogeables distance permettant ainsi au site Web didentifier les utilisateurs et de dresser leur profil. Enfin pour complter ce panorama de la traabilit des objets et individus, le porte monnaie lectronique mmorise des donnes sur lidentit de son dtente ur et sur les achats quil ralise, tant sur lInternet que dans certains points de vente physiques. Ce nouveau moyen de paiement permet de tracer les dplacements et achats de lindividu.
http://www.meax.fr/post/photos-du-fugitif-jean-pierre-treiber.html
De manire gnrale, en entreprise, des employs peuvent faire connaitre des informations confidentielles par les rseaux sociaux sans forcement tre forcement conscient de la valeur de linformation diffuse [13]. En effet, une simple consultation de sites de rseaux sociaux dont les internautes divulguent des informations apparemment anodines peuvent avoir une certaine valeur pour des acteurs conomiques. Comment considrer quune information dun Curriculum Vitae ne pourrait jamais tre utilise par un concurrent dloyal ? On a dj connu des cas o une entreprise X proposait un poste fictif similaire notre futur candidat pour faire parler de son exprience dans lentreprise Y. Autre exemple, un jeune pirate franais sest appropri des droits dadministrateur sur Twitter et a pu ainsi consulter les documents internes de lentreprise 2. Les collaborateurs de Zataz.com3 ont rencontr le jeune pirate afin de mieux connaitre le type dinformations dont il est en possession : Je ne dirai rien, pour le moment. Juste que j'ai, par exemple, les restrictions alimentaires imposes certains employs ; Le codes d'accs l'office Twitter de chaque employ ; Le dtail des communications tlphonique effectues par Evan Williams [Le patron de Twtter, NDR], ... et je sais exactement ce que se sont dit les employs aprs mon passage. Par exemple, Jason Goldman a averti, le jour mme, tout les employs.
Cependant, malgr llaboration de rgles juridiques pour stopper ces indlicatesses et dlits, elles ne sont soumises qu la juridiction du pays. On constate quil est extrmement difficile de fermer un site Web dlictueux au-del de la frontire du litige. En France, le gouvernement est conscient de la dimension internationale du problme car Internet dpasse les frontires gographiques. La fermeture d'un site illicite dans un pays peut aboutir son hbergement immdiat dans un autre pays. Cest une dpense dnergie inutile et inefficace pour la protection de nos concitoyens 6. En effet, par nature, Internet est plantaire. Cependant, mme si certains rvent dun espace technologique de
http://www.lemonde.fr/technologies/article/2010/03/24/arrestation-d-un-pirate-informatique-qui-avait-pris-lecontrole-de-twitter_1324035_651865.html 3 http://www.zataz.com/news/19125/Rencontre-avec-Hacker-Croll--le-visiteur-de-Twitter.html
4 5
non droit , cest linverse qui se produit. Chaque tat possde sa propre juridiction et il est ncessaire de tenir compte de la juridiction locale qui doit interfrer avec la demande du pays o lindividu est bafou. Ce qui est complexe ! Dun point de vue technique et organisationnel [4], les RSSI7 et autres responsables informatiques doivent faire face limagination dbordante des Hackers pour viter le vol de donnes. [2], [24], [11] en expliquent les principes et mthodes. Le schma ci-dessous [21] montre lvolution des diverses techniques utilises par les pirates informatiques :
Figure 1 : les diffrents types dattaques Si on sintresse plus spcifiquement aux attaques lies la protection des donnes, on peut citer : Le spyware : logiciel qui transmet des informations prives Les virus et malwares : vol de mot de passe sur le disque dur et interception de mot de passe dans le browser et au clavier Les vers : programme autonome que lon peut retrouver dans le disque dur Le canular : fausse information dordre catastrophique Le joke : programme amusant que vous envoyez vos amis Les backdoors : espionnage rseau, cran et clavier Les rootkits : modifient le systme dexploitation pour cacher la prsence dun fichier et des cls de registery Le Social engineering : on utilise la gentillesse et linnocence de collaborateurs pour obtenir le maximum dinformation en se faisant passer pour une autre personne [15] Ainsi, en regard avec les diverses menaces qui psent sur la protection sans faille de donnes personnelles, on ne peut aujourdhui que sinterroger sur le respect des droits fondamentaux concernant sa vie prive, sa famille, son domicile et sa correspondance.
Dans ce contexte, nous avons effectu une enqute auprs dune tranche spcifique dindividus branchs technologie pour connatre leurs usages de lutilisation de manire gnrale des TIC et plus particulirement sur internet. Notre contribution est de montrer le degr de lutilisation dinternet
7
de ces internautes, de dterminer lexistence dune culture scuritaire associ un comportement acceptable. Concernant certains aspects de la scurit des systmes dinformation, nous cherchons galement dterminer sil peut exister un cart significatif entre la connaissance dune menace et le comportement scuritaire associ pour rduire la vulnrabilit dun systme. Lobjectif de cette enqute, que nous avons mene en 2010, est dvaluer la conscience des utilisateurs vis--vis des risques lies la mise disposition de donnes personnelles via les TIC (et notamment sur Internet). Il sagissait danalyser les connaissances des d angers lis aux TIC et dtudier les mesures de scurit prises en consquence par les utilisateurs. Nous voulions donc mesurer le degr de connaissance des risques lis au TIC et den apprhender limpact sur la pratique des utilisateurs. Les donnes utilises pour cette recherche exploratoire ont t collectes sous forme dun questionnaire adress auprs de 67 tudiants dune cole de commerce franaise. Cet chantillon dindividus, issus de la gnration Y, familiers des outils technologiques nous semblait reprsentative en vue de raliser cette analyse. Notre questionnaire a t agenc autour des thmes suivants : Le degr dutilisation dInternet de nos rpondants La culture scuritaire de nos rpondants Le comportement scuritaire de nos rpondants Le questionnaire ne comprenait que des questions fermes, poses sous la forme dchelles dattitude (de Lickert 5 points). Lobjectif tait de nous renseigner sur la connaissance des dangers lis au TIC et limpact sur le comportement des utilisateurs. Afin dvaluer les risques lis lusage des TIC, plusieurs items du questionnaire taient orients sur la perception quavait lutilisateur des dangers induits par lusage TIC. Afin dapprcier le comportement scuritaire des utilisateurs, la pratique des utilisateurs vis--vis de la mise disposition de donnes personnelles a fait lobjet de plusieurs questions.
6. Les rsultats
Dans ce but, notre questionnaire comporte des questions lies lutilisation dinternet et la culture du candidat lie au domaine spcifique de la scurit informatique. Dautres questions sont relat ives aux actes de protection de nos internautes. Pour certaines questions, une seule rponse est possible. Pour dautres, il est possible de rpondre positivement plusieurs rponses. Voici les rponses correspondant un chantillonnage de 67 individus :
RESULTAT GLOBAL
N Libell
5
rponse1
4 caractres 21
rponse2
6 caractres 32
rponse3
8 caractres 5
rponse4
10 caractres 4
rponse5
12 caractres
1 Selon vous, un password devrait comporter au minimun, combien de chiffres/letttres? 2 Pensez-vous que les sites Web fassent l'objet d'attaques de Hackers, en moyenne, une fois par : 3 Pensez-vous que les TIC (PDA, rseaux sociaux, puces RFID), puissent tre une menace pour votre libert 4 Pensez-vous que les sites Web soient en gnral :
31
semaine
21
mois
semestre
an
trs rarement
trs importante
15
importante
27
certaine
12
faible
11
bien scuriss
32
correctement scuriss
18
faiblement scuriss
5 Pensez-vous que le cryptage de donnes confidentielles (ex : nCB) sur le Web soient : 6 Changez-vous votre mot de passe, une fois par :
56
absolument ncessaire
souvent ncessaire
en gnral, ncessaire
rarement ncessaire
inutile
semaine
mois
semestre
an
52
trs rarement
7 Achetez-vous priodiquement des produits sur des sites e-commerce, en moyenne une fois par : 8 Quels rseaux sociaux utilisez-vous :
jour
semaine
33
mois
24
an
jamais
60
13
Viadeo
autre
29
plusieurs fois/jour
23
une fois/jour
10
une fois/semaine
une fois/mois
jamais
42
votre adresse
50
votre N Tlphone
24
votre photo
22
vos gots
57
Libell
55
rponse1
fiabilit du site (certifi) 43
rponse2
cryptage de N CB 36
rponse3
prix des produits proposs 14
rponse4
le SAV 2
rponse5
le nb d'attaques de hackers dj subis par ce site
12 Selon vous, quels formats de pices jointes peuvent tre affects par des virus ? 13 Une authentification correspond :
56
.exe
30
.jpg
47
dossier zip
32
.doc
13
22
43
qui peut y avoir accs ? quelque chose que l'on possde Les PKI (Public Key Certificates)
13
14
qui peut le modifier ? ce que l'entit connat et possde technique biomtrique du reseau veineux du doigt d'un partage de vos donnes consolides avec des partenaires
18
16
25
One-Time Password (OTP) algorithms d'une incapacit conserver des donnes confidentielles
22
21
27
18
de l'utilisation de cookies
23
39
17 Vos donnes sont cryptes sur un serveur dans un local scuris. Comment estimez-vous cette protection ? 18 Selon vous, les hackers sont capables de :
infaillible
25
35
il y a un risque considrer
trs insuffisante
38
53
d'afficher un site pirate conforme un site connu sre si elle combine un pare-feu
26
d'utiliser des botnets pour attaquer une cible pas sre 100% car ne protge pas en temps rel vous transmettez par mail votre password
31
26
19 Vous installez un anti-virus sur votre PC et vous constatez qu'il s'excute rgulirement. La protection est-elle ? 20 Vous recevez un message lectronique de votre banque o l'on vous demande de transmettre votre password :
sre 100%
34
25
40
43
Figure 2 : la dtermination des indicateurs utilisation, connaissances et comportement Il existe galement un lien entre certaines questions sur un mme thme qui pourrait permettre les mesures dcarts entre connaissance et comportement scuritaire. Les tableaux ci-dessous illustrent notre dmarche : Les indicateurs utiliss et les questions de lenqute Certaines questions ne visent qu obtenir des informations concernant les pratiques de lutilisation dinternet. Dautres questions valident ou non le choix de nos rpondants car certaines rponses fausses prouvent la mconnaissance dun domaine. Cette valuation nous permet dtablir un
diagnostic concernant les connaissances et les comportements scuritaires acceptables de nos candidats. Le tableau suivant classifie les questions selon le concept nonc la figure 2. Le degr dutilisation dInternet de nos rpondants N7, N8, N9 La culture (connaissance) scuritaire de nos rpondants N1, N2, N3, N4, N5, N10 N12, N13, N14, N16, N18 Le comportement scuritaire de nos rpondants N6, N11, N17, N19, N20, N15
Tableau 2 : les indicateurs lis aux questions de lenqute Le tableau ci-dessous permet dillustrer les rponses en pourcentage et de distinguer indpendamment du tableau 2 : Les rponses dordre informationnel La meilleure rponse Les rponses acceptables ou correctes Les rponses fausses
N question 1 2 3 4 5 6 7 8 9 109 11
Plus de 700 attaques en Suisse en 2008. Voir le site Melani : http://www.melani.admin.ch/dienstleistungen/archiv/01076/index.html?lang=fr 9 Linternaute est dans lobligation de remplir les champs : adresse, et rfrences bancaires, y compris quelques fois son N de tlphone pour pouvoir effectuer un paiement lectronique
12 13 14 15 16 17 18 19 20
Tableau 3: les rpondants en % avec lvaluation des rponses Les liens possibles entre la connaissance dun danger par un utilisateur et son comportement associ pour rduire le risque La connaissance scuritaire dun utilisateur Les mots de passe N1 : selon vous, un mot de passe devrait comporter combien de chiffres et lettres : Les donnes ncessaires pour permettre un paiement en ligne N10 : quelles informations ne souhaitez-vous communiquer sur des formulaires Web ? Le cryptage des donnes confidentielles N5 : la ncessit de crypter les donnes confidentielles : La notion dauthentification N13 : une authentification correspond : N14 : une authentification forte correspond : La menace de la libert de lindividu par les TIC N3 : Pensez-vous que les TIC (PDA, rseaux sociaux, puces RFID) puissent tre une menace pour votre libert et son comportement La protection dun systme N6 : changez vous votre mot de passe une fois par : rponses 1 5 Les transactions effectues sur le Web N11, rponse 1 : la fiabilit du site (certifi)
La vrification du cryptage des donnes confidentielles N11 : avant dacheter un produit sur le Web, vrifiez vous : rponses 1 et 2 Les mthodes qui utilisent lauthentification N15 : connaissez-vous les mthodes utilises pour permettre une authentification, rponses 1 5 Lutilisation des rseaux sociaux N7 : quels rseaux sociaux utilisez-vous ? rponses 1 5 N9 : quelle priodicit utilisez-vous ces rseaux sociaux, rponses 1 5 Les donnes de lutilisateur sur un serveur
Cette situation peut tre considre comme dangereuse mais notre internaute reste passif
la protection des donnes N16 : la plupart des prestataires de vente en ligne vous informent contractuellement :
dans un local distant N17 : vos donnes sont cryptes sur un serveur dans un local scuris. Comment estimez-vous cette protection ?
Figure 3 : la dure possible pour craquer un mot de passe (hash) Ainsi, on constate que le cumul des critres longueur dun mot de passe et caractres peu usuels permet damliorer sensiblement la scurit. Il est galement ncessaire de changer priodiquement un mot de passe, surtout si lutilisateur a tendance utiliser le mot mnmotechnique sur diffrents systmes ou sites. Les rponses de nos internautes La question N1 : 41 rponses (rponse 3 + rponse 4 +rponse 5) sur un total de 67 rponses au total (61% des internautes) sont correctes puisquun mot de passe doit comporter un minimum de 8 caractres. Dailleurs, certains sites Web obligent les internautes se conformer cette contrainte. Par contre, le comportement d un grand nombre dutilisateurs concernant le changement de ces mots de passe nest pas acceptable puisque la question N6 montre que 8 rpondants (rponse 0 et 1) sur un total de 64 individus (13%) changent de mot de passe chaque semestre. En entreprise, une politique responsable de scurit informatique exigerait la mise en place dune expiration de la
11
validation des mots de passe ! Les recommandations de Microsoft en la matire sont encore plus restrictives puisquelles prcisent une dure moyenne de 42 jours12. Les informations indispensables pour un paiement en ligne La question N10 pointe sur les rticences des internautes donner leurs rfrences bancaires (57 rpondants), leur tlphone (50 rpondants) et leur adresse (42 rpondants), soit successivement pour un total de 67 rpondants en pourcentage 85%, 75% et 63%. Les rponses 3 et 4 du N10 concernant les photos et les gots sont moins significatives puisquelle affecte visiblement une minorit de nos rpondants. Par contre, la crainte est palpable concernant les rponses 1, 2 et 5. Leur comportement associ est donn par 55 rpondants qui vrifient la fiabilit du site : soit en pourcentage 82% des 67 individus la question N11, rponse 1. Le cryptage des donnes confidentielles Une trs large majorit des rpondants estiment que le cryptage des donnes confidentielles est absolument ncessaire (N5, rponse 1) avec 56 individus sur un total de 67, soit 84% des rponses. Le comportement de nos internautes est sans surprise : la question N11, 55 vrifient la fiabilit du site (rponse 1) et 43 vrifient le cryptage du N de la carte bleue (rponse 2), soit successivement 82% et 64% des rpondants. La rponse 2 est la plus significative concernant le cryptage de donnes confidentielles. Lauthentification La notion dauthentification est clarifie par la figure ci-dessous [12] en regard avec les autres critres fondamentaux qui dfinissent les principes de la scurit en termes de capacit [6] : confidentialit, disponibilit, confidentialit, traabilit, et non-rpudiation.
Figure 4 : les critres fondamentaux de la scurit La question Qui est qui ? permet de rpondre au critre dauthentification. Elle apporte la preuve que lindividu est bien celui qui prtend tre. Diffrents facteurs permettent une authentification : on peut distinguer ce que lon connait (mot de passe), de ce que lon possde (un token) et de ce lon est (biomtrie). Ainsi, les authentificateurs (token) One-time Password (OTP) utilisent des mots de passe qui changent toutes les minutes. Certains authentificateurs peuvent galement utiliser des certificats numriques (Public Key Certificates ou PKI) bass sur la possession dune cl secrte (RSA). Dautres mthodes utilisent le SMS dont le code permet de complter une transaction bancaire sur le Web. Si lon voque une authentification forte, elle est la rsultante du cumul de
12
http://www.microsoft.com/canada/smallbiz/french/sgc/articles/select_sec_passwords.mspx
plusieurs facteurs coupls. Par exemple, la technologie du Match On Card utilise les empreintes biomtriques (ce que je suis) coupl carte puces (ce que je possde). Les rponses apportes par nos internautes montrent visiblement des lacunes dans la comprhension mme de la notion dauthentification. A la question N13, seuls 22 individus cochent la rponse juste (rponse 1), soit 33% des rpondants. A la question N14 concernant la dfinition dune authentification forte, on se trouve sensiblement dans une tranche similaire : 18 et 16 individus successivement la rponse 4 et 5, soit 27% et 24% du total de lchantillon. Enfin, lutilisation des diffrentes mthodes relatives la question N15 confirme la fois la faiblesse de la connaissance du domaine mais galement son utilisation. De nombreux rpondants vrifient que les sites sont certifis et quil existe un cryptage (N11) mais sans connaitre la mthode la plus connue, y compris lorsque lon voque les PKI avec les cls publiques : 22 rpondants la rponse 2 de la question N15 (33%). La menace de libert sous contrle de lindividu par les TIC La question N3 permet de connaitre la perception de nos rpondants concernant la menace de manque libert par lutilisation des TIC. La plus grande majorit (48%) considrent quelle est certaine , valeur mdiane sur une chelle o certains considrent quelle nest pas une menace (2 individus pour la rponse 5) et au contraire dautres qui estiment que cette menace est trs importante (4 pour la rponse 1). Cependant, cette menace potentielle ne semble pas peser trs lourd en regard avec les rponses apportes aux questions N8 et N9 relative aux rseaux sociaux : le nombre dinternautes qui utilisent Facebook est considrable (60 individus la rponse 1, N8) et ce plusieurs fois par jour (29 individus la rponse 1, N9), soit 90% et 43%. Visiblement, cette visibilit et traabilit de donnes personnelles sur le Web ne drangent que peu. Pourtant, on ne peut ignorer une certaine pression sociale : Est-ce que tu as vu mes photos sur Facebook ? Dans ce contexte, il est intressant de citer (Rousseau, 1762) dans le contrat social : Afin que le pacte social ne soit pas un vain formulaire, il renferme tacitement cet engagement qui seul peut donner de la force aux autres, que quiconque refusera dobir la volont gnrale y sera contraint par tout le corps : ce qui signifie autre chose sinon quon le forcera tre libre . La lecture applique des clauses contractuelles figurant chez les prestataires Notre constat : les rpondants ont une vritable lacune concernant les conditions prcises par les prestataires de ventes en ligne. 5 rpondants la question N16, rponse 1 (8%) estiment que la plupart des prestataires informent les internautes de lincapacit de conserver des donnes confidentielles. Ces internautes sont pourtant dans le vrai. Un simple exemple avec le prestataire Ebay13 qui prcise : We cannot guarantee the privacy or security of your information . Nous apprenons galement que We may share your personal information with Members of the eBay Inc. Corporate family like PayPal, Skype or Shopping.com . Enfin, concernant lutilisation des donnes personnelles des fins de Marketing, les intentions sont clairement exprimes : We may combine your information with information we collect from other companies and use it to improve and personalize our services, content and advertising . Seule, une minorit de nos rpondants sont conscients dune utilisation anonyme des donnes (27 personnes rponse 2), de lutilisation de cookies (18 individus rponse 3) et dun partage des d onnes consolides avec un partenaire (23 internautes rponse 4), soit successivement les pourcentages suivants : 40%, 27% et 34%. Quelles actions concrtes permettraient de limiter les risques scuritaires concernant la protection physique et logique des donnes prives ? La question N17 apporte quelques lments de solution. La rponse 2 semble la plus approprie (25 individus soit 37% des rpondants). Tableau rcapitulatif des donnes recueillies
connaissance
1. La gestion des mots de passe 61%
comportement
13%
13
http://pages.ebay.com/help/policies/privacy-policy.html
2.
74% 84%
82% 82%
3.
4. 5. 6.
Lauthentification La menace de libert sous contrle La lecture des clauses contractuelles 48% 27% 90% 37%
La gestion des mots de passe 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
Lauthentification
9. Conclusion
Lanalyse de la figure 5 montre : Des carts entre connaissance et comportement extrmement faible pour certains axes : cryptage des donnes confidentielles, informations pour un paiement en ligne, lecture des clauses contractuelles et authentification. Il y a donc accord entre connaissance et comportement. Des carts importants pour les axes gestion des mots de passe et la menace de libert sous contrle . Peut-on interprter ces rsultats ? Concernant laxe gestion des mots de passe , la connaissance des internautes rsulte souvent de lobligation sur certains sites de gnrer un mot de passe dau moins 6 caractres, sinon la transaction ne peut tre valide. Cest une information qui est forcement connue pour la majorit des internautes. Par contre,
modifier son ou ses mots de passe demande un travail supplmentaire important pour des individus qui se connectent sur de nombreux sites. La probabilit de survenance dun danger potentiel nincite pas un utilisateur faire ce travail supplmentaire. Des lacunes concernant le concept de lauthentification qui est confondu avec une simple identification ou des autorisations daccs. Certaines mthodes dauthentification (par exemple les PKI) sont utilises sans vraiment en comprendre le sens. Une mconnaissance importante concernant les clauses contractuelles figurant sur les sites des prestataires en ligne. On peut bien sr comprendre que peu dinternautes dsirent simprgner des pages entires relatives la politique de scurit du prestataire en ligne. Enfin, lutilisation globale dinternet est trs importante mais la perception dun flicage des donnes personnelles sous contrle ne semble pas vraiment proccuper nos rpondants. Il y aurait lieu de beaucoup plus les informer sur ce sujet.
10. Bibliographie
[1] Agre, P.E. and Rottenberg, M. (1998), Technology and Privacy. The New Landscape. MIT Press, Cambridge [2] Bloch, L and Wolfhugel, C. (2007), Scurit informatique Principes et mthodes, Eyrolles [3] Fral-schuhl, C. (2002), Cyberdroit Le droit lpreuve de linternet, 3 dition Dalloz [4] Foray, B. (2007), La fonction RSSI, Dunod [5] Gearthy, C. (2006), Can Human Rights Survive? The Hamlyn Lectures 2005. Cambridge University Press, Cambridge [6] Ghernaouti-Helie, S. (2000), Scurit Internet Stratgie et technologies, Dunod [7] Ghernaouti-Helie, S. (2009), La cybercriminalit Le visible et linvisible, Collection le Savoir Suisse [8] Hermitte, M.A. (2003), La traabilit des personnes et des choses. Prcautions, pouvoirs et matrise, in Traabilit et responsabilit sous la dir. Philippe Pedrot, Economica, 2003 p1-34 [9] Kimball, R. and Ross, M. (2003), Entrepts de donnes Guide pratique de modlisation dimensionnelle, Vuibert [10] Larchet, S. (2010), Google, larnaque plantaire, Linformaticien, janvier 2010, n76 [11] Maiwald, E. (2004), Fundamentals of Network Security, McGraw-Hill Technology Education [12] Maret, S. (2009) Identit numrique et authentification forte, Formation Continue HEC Genve, DSSI, Module 6 3b [13] Martin, A. (2008), Facebook : on sy retrouve !, Ed. Pearson [14] Matti J-F. (2003), Traabilit et responsabilit in Traabilit et responsabilit. Pdrot P. Economica p35-44 [15] Mitnick, K. (2003), Lart de la supercherie Les rvlations du plus clbre hacker de la plante, CampusPress [16] Oechslin, P. (2009) Architecture Internet scurise, Formation Continue HEC Genve, DSSI, Module 6 4a
[17] Pedrot P. (2003), De la trace la traabilit : des enjeux nouveaux pour de nouveaux risques in Traabilit et responsabilit, Economica p.VII-X [18] Piatti, M.C. (2001), Les liberts individuelles lpreuve des NTIC, Editions PUL [19] Poullet, Y. and Rouvroy, A. (2007), Ethique et droits de lhomme dans la socit de linformation, Rapport gnral introductif, Council of Europe & UNESCO, 1314 septembre 2007, Strasbourg [20] Rousseau, J-J (1762), Le contrat social, Livre I, 7 [21] Shimeall, T. (2002), Cyberterrorism, CERT Centers, Carnegie Mellon University [22] Ta, C.D (2004), Dmarche de traabilit totale, Logistique & Management, Vol.12, n1, pp. 35-40. [23] Tuffry, S. (2007), Data Mining et statistique dcisionnelle Lintelligence des donnes, Editions Technip [24] Urbina, G. et all (2006), Hacking Interdit, Micro Application