Menaces des TIC : Donnes prives et comportement des utilisateurs

Daniel LANG Enseignant chercheur en Systmes dInformation Institut TELECOM TELECOM Ecole de Management 9 rue Charles Fourier 91011 EVRY Cedex Tel : 01 60 76 41 67 Fax : 01 60 76 44 93 daniel.lang@it-sudparis.eu

Jean-Luc PILLET Adjoint Scientifique UNI Mail - HEC Genve 40 Bd du Pont dArve, 1211 Genve Tl. : +41 22 379 81 35 HEG Fribourg 4 chemin du Muse 1700 Fribourg Tel +41(0)76 501 80 70 jeanluc.pillet@free.fr

Rsum : Cet article analyse les menaces que font peser les technologies de l'information et de la communication sur les liberts individuelles. En effet, l'information recueillie sur un individu se complexifie : via les puces RFID incorpores dans nos diffrentes cartes (de transport, bancaire ou de fidlit client), via les visites de sites internet, travers le champ de camras de surveillance places sur diffrents lieux (travail ou publics), chacun de nous laisse des " traces " qui constituent autant de donnes collectes, traites ou transmises le plus souvent notre insu, pour tre incorpores dans des fichiers dont la matrise nous chappe. Nous avons souhait mener une enqute pour valuer lusage des TIC et la conscience par les utilisateurs des risques induits. Nous avons galement cherch dterminer sil existe un cart significatif entre la connaissance dune menace et le comportement scuritaire associ pour rduire la vulnrabilit dun systme. Mots-cls : Menace, TIC, liberts individuelles

1. Les TIC et big Brother

Il y a quelques annes, lvolution technologique a modifi considrablement les pratiques de communication en entreprise. En 1989, le management de la multinationale Eli Lilly prcurseur en la matire, proposait pudiquement ses employs de pouvoir tre connect sur une messagerie interne lentreprise (environ 30'000 collaborateurs) de manire pouvoir tre joignable y compris le weekend. Cette demande nest pas reste isole. Trs rapidement, le milieu professionnel sest adapt tre connect de manire permanente et aujourdhui, cest une population beaucoup plus vaste qui suniformise cette pratique du tout connect. Consultants indpendants, travailleurs nomades, lycens, personnel domicile : beaucoup ont adopt ce rflexe pavlovien qui consiste allumer son portable, notebook ou smartphone de manire quotidienne et transfrer des donnes personnelles en utilisant divers canaux : SMS, messagerie instantane et courriel. Le nombre doutils communicants utilisant les rseaux Wi-fi, 3G ou cbls ont permis le transfert dimages d e vidos ou de documents qui peuvent tre stockes et donc visibles sur des sites Internet au regard dun nombre considrable dInternautes. Ainsi, on dcouvre que les technologies actuelles permettent de tracer lindividu dans ses dplacements (GPS sur un portable), de visualiser sa silhouette grce Google Street View dans une rue rpertorie, dtre surveill dans ses tches quotidiennes sur un lieu de travail par une camra de vidosurveillance, de stocker ses donnes personnelles chez un prestataire de services dont on ne connait pas le niveau de scurit rel [18]. Les Technologies de lInformation et de la Communication (TIC) permettent ainsi dassurer la traabilit des objets et individus. Quotidiennement de nombreux systmes informatiques mmorisent nos activits, consommation, centres dintrts, messages changs Toutes ces informations collectes par divers organisations, une fois centralises, permettraient de dresser un profil de chaque individu. Dores et dj de nombreuses grandes entreprises classifient leur clientle selon diffrents groupes (par exemple : Or, Argent, Bronze, Zappeur) pour adapter leurs actions Marketing selon le profil de consommation. Ainsi, tous ces outils : lInternet, les tlphones cellulaires, les divers fichiers informatiques des administrations, les diffrentes cartes (cartes didentit, cartes de paiement, cartes de transport, carte de fidlit, badges professionnels), les puces RFID places sur certains objets, peuvent induire certaines drives, reprsentant une relle menace pour le respect de la vie prive et la libert individuelle. On note trois grandes menaces apportes par les TIC : La traabilit des personnes Un des premier abus des systmes RFID pourrait bien tre la golocalisation des individus. En effet, certains de ces outils offrent la possibilit de les positionner gographiquement et de suivre leurs mouvements dans des lieux publics tels que des gares, des aroports, des centres commerciaux, et bientt partout dans le monde [8], [22]. Dans la ligne des puces RFID, des puces implants permettent la traabilit des animaux, mais aussi lidentification et la localisation par satellite dindividus. En effet, une puce lectronique de la taille dun grain de riz peut tre implante sous la peau dun individu pour mmoriser des informations biologiques (rythme cardiaque, traitement mdical en cours) ou pour in scrire des donnes personnelles afin de servir de carte didentit ou de carte de paiement. Certains hpitaux amricains proposent leurs patients de simplanter une puce contenant leur dossier mdical en vue dviter des erreurs de traitements. Les implants permettent une surveillance mdicale distance avec envoi automatique dune alerte une unit de soins spcialise [14]. Par ailleurs, les tlphones cellulaires, mme en position de veille, permettent de localiser son dtenteur. En effet, chaque tlphone portable met intervalle rgulier un signal permettant la borne la plus proche de lidentifier, de faon lui tr ansmettre appels, messages et SMS. Il est en effet indispensable pour loprateur tlcom de localiser labonn pour dterminer la borne locale qui transmettra lappel [17]. Autre technologie, plus particulirement utilise par certains Etats pour tracer les exactions : la vidosurveillance. Le nombre de camras, tant dans les lieux publics, que sur des lieux de travail (entrepts, usines) crot de manire trs rapide pour contrler toutes activits ou comportements suspects. Grce aux logiciels de reconnaissance de visages, il est dsormais possible de reconnaitre le

portrait dun individu parmi une foule filme par une camra de vidosurveillance reli un systme informatique. Ainsi le processus de surveillance peut tre automatis pour localiser un individu recherch. De plus, avec la gnralisation des cartes didentit biomtrique, il sera ais de tracer le parcours dun individu dans une ville quipe de systme de vidosurveillance. Certaines entreprises intgrent ces systmes dans leurs dpts et/ou usines pour reprer les exactions et vols commis par certains employs. Le profilage Un autre cas dutilisation des puces RFID trs attrayant pour les entreprises rsulte dans leur capacit de stockage dinformations. En effet, lensemble des informa tions collectes par une puce peut devenir trs utile une entreprise pour dfinir notre profil client. En effet, les puces RFID pourraient donner de nombreux renseignements difficilement accessibles pour les entreprises et viendraient complter leurs bases dinformations clientes. Elles auraient ainsi accs nos comportements, nos choix, nos prfrences produits,[1] Il nen reste pas moins que cette utilisation des fins commerciales constitue une violation de notre vie prive. Nous allons tenter de prciser les usages et risques induits par ces divers outils. En effet, grce lassociation de la carte de fidlit et de la carte de paiement dun individu, ses dpenses, ses consommations, ses dplacements, ses gots (culinaires, culturels) sont mmoriss par les acteurs de la grande distribution permettant ainsi de dterminer un profil client prcis [5]. Ainsi pour optimiser la gestion des stocks, des rapprovisionnements et mieux cibler les actions promotionnelles, les systmes informatiques des grands distributeurs enregistrent les produits achets par chaque client au travers de gigantesques DataWarehouses [9], [23]. Les fichiers des organismes publics ou privs contiennent de nombreuses donnes personnelles sur des milliers, voire des millions dindividus. Ces donnes collectes de manire parse restent inoffensives tant quelles sont mmorises de faon rpartie. Cependant, un certain nombre dentreprises se sont spcialises dans la collecte dinformations individuelles des fins commerciale s [19]. Lutilisateur de lInternet laisse de nombreuses traces sur son ordinateur des sites Web consults et des donnes personnelles renseignes lors de ses visites. Ces informations, enregistres dans des fichiers (intituls cookies) sont interrogeables distance permettant ainsi au site Web didentifier les utilisateurs et de dresser leur profil. Enfin pour complter ce panorama de la traabilit des objets et individus, le porte monnaie lectronique mmorise des donnes sur lidentit de son dtente ur et sur les achats quil ralise, tant sur lInternet que dans certains points de vente physiques. Ce nouveau moyen de paiement permet de tracer les dplacements et achats de lindividu.

2. Les nouvelles drives lies aux donnes prives

Mme si le potentiel des TIC en matire de rentabilit, de praticit est trs attractif, les dconvenues sont nombreuses. En Suisse Romande, il y a quelques mois, un mdecin a perdu toutes les donnes de ses patients qui figuraient sur son ordinateur portable qui lui a t vol dans sa voiture. Limpact est important puisquil affecte son suivi patient mais galement de donnes confidentielles qui seront connues dindividus peu scrupuleux. Autre cas de figure : en France, un policier a revendu au Figaro Magazine1 les photos du fugitif Jean-Pierre Trber qui tait film par une camra de surveillance. On constate ainsi que des informations sensibles sont galement monnayables et implique directement une faute de ladministration. De nombreux autres exemples sont cits par [7]. Par lutilisation dInternet dans le mode professionnel, des DRH peuvent aussi capter des photos compromettantes mises souvent par des bons amis dun candidat potentiel. Un apprenti a ainsi perdu son poste suite la visualisation dune photo reprse ntant notre candidat dans une soire bien arrose. La dmarche peut tre galement plus subtile. Une employe en cong maladie a t sanctionne parce quelle utilisait Internet domicile. Lutilisation dInternet tait incompatible avec le type de maladie dclare.

http://www.meax.fr/post/photos-du-fugitif-jean-pierre-treiber.html

De manire gnrale, en entreprise, des employs peuvent faire connaitre des informations confidentielles par les rseaux sociaux sans forcement tre forcement conscient de la valeur de linformation diffuse [13]. En effet, une simple consultation de sites de rseaux sociaux dont les internautes divulguent des informations apparemment anodines peuvent avoir une certaine valeur pour des acteurs conomiques. Comment considrer quune information dun Curriculum Vitae ne pourrait jamais tre utilise par un concurrent dloyal ? On a dj connu des cas o une entreprise X proposait un poste fictif similaire notre futur candidat pour faire parler de son exprience dans lentreprise Y. Autre exemple, un jeune pirate franais sest appropri des droits dadministrateur sur Twitter et a pu ainsi consulter les documents internes de lentreprise 2. Les collaborateurs de Zataz.com3 ont rencontr le jeune pirate afin de mieux connaitre le type dinformations dont il est en possession : Je ne dirai rien, pour le moment. Juste que j'ai, par exemple, les restrictions alimentaires imposes certains employs ; Le codes d'accs l'office Twitter de chaque employ ; Le dtail des communications tlphonique effectues par Evan Williams [Le patron de Twtter, NDR], ... et je sais exactement ce que se sont dit les employs aprs mon passage. Par exemple, Jason Goldman a averti, le jour mme, tout les employs.

3. Les tentatives dun meilleur encadrement

Face ces drives, les politiques tentent de mieux encadrer la toile Internet. Deux snateurs, Yves Dtraigne et Anne-Marie Escoffier, ont dpos une proposition de loi du droit loubli s ur Internet [10]. Dans un domaine quelque peu diffrent de la localisation de sites et de rues o des voitures et personnes peuvent tre identifies (Google Street View), le Prpos Fdral la Protection des donnes4 estime quil sagit des donnes de nature prive, porte laffaire en justice et demande Google le retrait immdiat de son logiciel Google Street View sur le territoire Suisse. Google a rejet initialement cette demande mais un accord a t conclu avec la multinationale le 21 dcembre 2009. Ainsi, Google sengage ne publier sur Internet aucune nouvelle image prise en Suisse pour Street View, ni dans le cadre de son service en ligne Street View, ni dans le cadre daucun autre de ses produits, et ce jusqu ce que le Tribunal Administrative Fdral ait statu et que larrt soit entr en force5. En France, La CNIL propose galement des recommandations concernant la protection des donnes [3]. En Suisse, pour viter des abus lors dune utilisation de camras de surveillance en entreprise, lordonnance sur la loi du travail (OLT) prcise dans son article 26 : (1) Il est interdit dutiliser des systmes de surveillance ou de contrle destins surveiller le comportement des travailleurs leur poste de travail. (2) Lorsque les systmes de surveillance ou de contrle sont ncessaires pour dautres raisons, ils doivent notamment tre conus et disposs de faon ne pas porter atteinte la sant et la libert de mouvement des travailleurs . Il sagit de respecter les principes gnraux de proportionnalit, de transparence et de finalit.

4. Les limites actuelles

Cependant, malgr llaboration de rgles juridiques pour stopper ces indlicatesses et dlits, elles ne sont soumises qu la juridiction du pays. On constate quil est extrmement difficile de fermer un site Web dlictueux au-del de la frontire du litige. En France, le gouvernement est conscient de la dimension internationale du problme car Internet dpasse les frontires gographiques. La fermeture d'un site illicite dans un pays peut aboutir son hbergement immdiat dans un autre pays. Cest une dpense dnergie inutile et inefficace pour la protection de nos concitoyens 6. En effet, par nature, Internet est plantaire. Cependant, mme si certains rvent dun espace technologique de

http://www.lemonde.fr/technologies/article/2010/03/24/arrestation-d-un-pirate-informatique-qui-avait-pris-lecontrole-de-twitter_1324035_651865.html 3 http://www.zataz.com/news/19125/Rencontre-avec-Hacker-Croll--le-visiteur-de-Twitter.html
4 5

http://www.edoeb.admin.ch/index.html?lang=fr http://www.davidtate.fr/Google-Street-View-en-Suisse 6 http://www.itespresso.fr/filtrage-internet-le-gouvernement-met-laccent-sur-la-lutte-anti-pedophilie22008.html

 non droit , cest linverse qui se produit. Chaque tat possde sa propre juridiction et il est ncessaire de tenir compte de la juridiction locale qui doit interfrer avec la demande du pays o lindividu est bafou. Ce qui est complexe ! Dun point de vue technique et organisationnel [4], les RSSI7 et autres responsables informatiques doivent faire face limagination dbordante des Hackers pour viter le vol de donnes. [2], [24], [11] en expliquent les principes et mthodes. Le schma ci-dessous [21] montre lvolution des diverses techniques utilises par les pirates informatiques :

Figure 1 : les diffrents types dattaques Si on sintresse plus spcifiquement aux attaques lies la protection des donnes, on peut citer : Le spyware : logiciel qui transmet des informations prives Les virus et malwares : vol de mot de passe sur le disque dur et interception de mot de passe dans le browser et au clavier Les vers : programme autonome que lon peut retrouver dans le disque dur Le canular : fausse information dordre catastrophique Le joke : programme amusant que vous envoyez vos amis Les backdoors : espionnage rseau, cran et clavier Les rootkits : modifient le systme dexploitation pour cacher la prsence dun fichier et des cls de registery Le Social engineering : on utilise la gentillesse et linnocence de collaborateurs pour obtenir le maximum dinformation en se faisant passer pour une autre personne [15] Ainsi, en regard avec les diverses menaces qui psent sur la protection sans faille de donnes personnelles, on ne peut aujourdhui que sinterroger sur le respect des droits fondamentaux concernant sa vie prive, sa famille, son domicile et sa correspondance.

5. Lobjet de notre recherche

Dans ce contexte, nous avons effectu une enqute auprs dune tranche spcifique dindividus branchs technologie pour connatre leurs usages de lutilisation de manire gnrale des TIC et plus particulirement sur internet. Notre contribution est de montrer le degr de lutilisation dinternet
7

Responsable de la Scurit des Systmes dInformation

de ces internautes, de dterminer lexistence dune culture scuritaire associ un comportement acceptable. Concernant certains aspects de la scurit des systmes dinformation, nous cherchons galement dterminer sil peut exister un cart significatif entre la connaissance dune menace et le comportement scuritaire associ pour rduire la vulnrabilit dun systme. Lobjectif de cette enqute, que nous avons mene en 2010, est dvaluer la conscience des utilisateurs vis--vis des risques lies la mise disposition de donnes personnelles via les TIC (et notamment sur Internet). Il sagissait danalyser les connaissances des d angers lis aux TIC et dtudier les mesures de scurit prises en consquence par les utilisateurs. Nous voulions donc mesurer le degr de connaissance des risques lis au TIC et den apprhender limpact sur la pratique des utilisateurs. Les donnes utilises pour cette recherche exploratoire ont t collectes sous forme dun questionnaire adress auprs de 67 tudiants dune cole de commerce franaise. Cet chantillon dindividus, issus de la gnration Y, familiers des outils technologiques nous semblait reprsentative en vue de raliser cette analyse. Notre questionnaire a t agenc autour des thmes suivants : Le degr dutilisation dInternet de nos rpondants La culture scuritaire de nos rpondants Le comportement scuritaire de nos rpondants Le questionnaire ne comprenait que des questions fermes, poses sous la forme dchelles dattitude (de Lickert 5 points). Lobjectif tait de nous renseigner sur la connaissance des dangers lis au TIC et limpact sur le comportement des utilisateurs. Afin dvaluer les risques lis lusage des TIC, plusieurs items du questionnaire taient orients sur la perception quavait lutilisateur des dangers induits par lusage TIC. Afin dapprcier le comportement scuritaire des utilisateurs, la pratique des utilisateurs vis--vis de la mise disposition de donnes personnelles a fait lobjet de plusieurs questions.

6. Les rsultats

Dans ce but, notre questionnaire comporte des questions lies lutilisation dinternet et la culture du candidat lie au domaine spcifique de la scurit informatique. Dautres questions sont relat ives aux actes de protection de nos internautes. Pour certaines questions, une seule rponse est possible. Pour dautres, il est possible de rpondre positivement plusieurs rponses. Voici les rponses correspondant un chantillonnage de 67 individus :

RESULTAT GLOBAL
N Libell
5

rponse1
4 caractres 21

rponse2
6 caractres 32

rponse3
8 caractres 5

rponse4
10 caractres 4

rponse5
12 caractres

1 Selon vous, un password devrait comporter au minimun, combien de chiffres/letttres? 2 Pensez-vous que les sites Web fassent l'objet d'attaques de Hackers, en moyenne, une fois par : 3 Pensez-vous que les TIC (PDA, rseaux sociaux, puces RFID), puissent tre une menace pour votre libert 4 Pensez-vous que les sites Web soient en gnral :

31

semaine

21

mois

semestre

an

trs rarement

trs importante

15

importante

27

certaine

12

faible

n'est pas une menace

trs bien scuriss

11

bien scuriss

32

correctement scuriss

18

faiblement scuriss

trs peu scuriss

5 Pensez-vous que le cryptage de donnes confidentielles (ex : nCB) sur le Web soient : 6 Changez-vous votre mot de passe, une fois par :

56

absolument ncessaire

souvent ncessaire

en gnral, ncessaire

rarement ncessaire

inutile

semaine

mois

semestre

an

52

trs rarement

7 Achetez-vous priodiquement des produits sur des sites e-commerce, en moyenne une fois par : 8 Quels rseaux sociaux utilisez-vous :

jour

semaine

33

mois

24

an

jamais

60

Facebook

Twitter

LinkedIn

13

Viadeo

autre

9 A quelle priodicit utilisez-vous ces rseaux sociaux :

29

plusieurs fois/jour

23

une fois/jour

10

une fois/semaine

une fois/mois

jamais

10 Quelles informations ne souhaitezvous communiquer sur des formulaires Web :

42

votre adresse

50

votre N Tlphone

24

votre photo

22

vos gots

57

vos rfrences bancaires

Tableau 1.a : rponses de la 1re partie de notre enqute

Libell
55

rponse1
fiabilit du site (certifi) 43

rponse2
cryptage de N CB 36

rponse3
prix des produits proposs 14

rponse4
le SAV 2

rponse5
le nb d'attaques de hackers dj subis par ce site

11 Avant d'acheter un produit sur le Web, vrifiez-vous :

12 Selon vous, quels formats de pices jointes peuvent tre affects par des virus ? 13 Une authentification correspond :

56

.exe

30

.jpg

47

dossier zip

32

.doc

13

.pdf

22

qui est qui ?

43

qui peut y avoir accs ? quelque chose que l'on possde Les PKI (Public Key Certificates)

13

qui peut le voir ?

14

qui peut le modifier ? ce que l'entit connat et possde technique biomtrique du reseau veineux du doigt d'un partage de vos donnes consolides avec des partenaires

Qui l'a fait ?

14 Une authentification forte correspond :

ce que l'entit connat

quelque chose que l'on est

18

16

quelque chose que l'on est et que l'on possde

15 Connaissez-vous les mthodes utilises pour permettre une authentification ?

25

One-Time Password (OTP) algorithms d'une incapacit conserver des donnes confidentielles

22

la mthode SMS base sur OTP

21

la technologie Match on Card

16 La plupart des prestataires de vente en ligne vous informent contractuellement :

27

d'une utilisation anonyme de vos donnes

18

de l'utilisation de cookies

23

39

la garantie du garder vos donnes confidentielles

17 Vos donnes sont cryptes sur un serveur dans un local scuris. Comment estimez-vous cette protection ? 18 Selon vous, les hackers sont capables de :

infaillible

25

il existe un risque rsiduel

35

il y a un risque considrer

la protection est insufisante

trs insuffisante

38

mmoriser votre password par votre clavier

53

d'afficher un site pirate conforme un site connu sre si elle combine un pare-feu

26

d'utiliser des botnets pour attaquer une cible pas sre 100% car ne protge pas en temps rel vous transmettez par mail votre password

31

d'effectuer des vols de cookies

26

d'injecter des requtes SQL en utilisant une URL

19 Vous installez un anti-virus sur votre PC et vous constatez qu'il s'excute rgulirement. La protection est-elle ? 20 Vous recevez un message lectronique de votre banque o l'on vous demande de transmettre votre password :

sre 100%

34

25

non car un antivirus peut tre factice

non car un antivirus peut tre un logiciel espion

40

vous ne rpondez pas

43

vous prvenez votre banque

Tableau 1.b : les rponses de la 2me partie de notre enqute

7. La nature et les liens des diverses questions du questionnaire

Comme nous lavons prcis au point 5, il y a distinction entre les questions qui concernent lutilisation dInternet, la connaissance de ses dangers potentiels et la dmarche scuritaire de lutilisateur TIC. Nous pourrions schmatiser notre dmarche dvaluation de la manire suivante : Utilisation Dinternet Connaissances scuritaires lies internet Comportement scuritaire lies internet

Figure 2 : la dtermination des indicateurs utilisation, connaissances et comportement Il existe galement un lien entre certaines questions sur un mme thme qui pourrait permettre les mesures dcarts entre connaissance et comportement scuritaire. Les tableaux ci-dessous illustrent notre dmarche : Les indicateurs utiliss et les questions de lenqute Certaines questions ne visent qu obtenir des informations concernant les pratiques de lutilisation dinternet. Dautres questions valident ou non le choix de nos rpondants car certaines rponses fausses prouvent la mconnaissance dun domaine. Cette valuation nous permet dtablir un

diagnostic concernant les connaissances et les comportements scuritaires acceptables de nos candidats. Le tableau suivant classifie les questions selon le concept nonc la figure 2. Le degr dutilisation dInternet de nos rpondants N7, N8, N9 La culture (connaissance) scuritaire de nos rpondants N1, N2, N3, N4, N5, N10 N12, N13, N14, N16, N18 Le comportement scuritaire de nos rpondants N6, N11, N17, N19, N20, N15

Tableau 2 : les indicateurs lis aux questions de lenqute Le tableau ci-dessous permet dillustrer les rponses en pourcentage et de distinguer indpendamment du tableau 2 : Les rponses dordre informationnel La meilleure rponse Les rponses acceptables ou correctes Les rponses fausses

N question 1 2 3 4 5 6 7 8 9 109 11

Rponse1 7% 46%8 6% 3% 88% 0% 0% 90% 43% 63% 82%

Rponse2 31% 31% 22% 16% 13% 4% 7% 6% 34% 75% 64%

Rponse3 48% 7% 40% 50% 5% 7% 49% 10% 15% 36% 54%

Rponse4 7% 6% 18% 27% 0% 9% 36% 19% 1% 33% 21%

Rponse5 6% 4% 3% 4% 0% 78% 7% 12% 1% 85% 3%

Plus de 700 attaques en Suisse en 2008. Voir le site Melani : http://www.melani.admin.ch/dienstleistungen/archiv/01076/index.html?lang=fr 9 Linternaute est dans lobligation de remplir les champs : adresse, et rfrences bancaires, y compris quelques fois son N de tlphone pour pouvoir effectuer un paiement lectronique

12 13 14 15 16 17 18 19 20

84% 33% 10% 37% 7% 1% 57% 0% 60%10

45% 64% 3% 33% 40% 37% 79% 51% 64%

70% 19% 13% 9% 27% 52% 39% 37% 1%

48% 21% 27% 31% 34% 4% 46% 9%

19% 13% 24% 1% 58% 0% 39% 3%

Tableau 3: les rpondants en % avec lvaluation des rponses Les liens possibles entre la connaissance dun danger par un utilisateur et son comportement associ pour rduire le risque La connaissance scuritaire dun utilisateur Les mots de passe N1 : selon vous, un mot de passe devrait comporter combien de chiffres et lettres : Les donnes ncessaires pour permettre un paiement en ligne N10 : quelles informations ne souhaitez-vous communiquer sur des formulaires Web ? Le cryptage des donnes confidentielles N5 : la ncessit de crypter les donnes confidentielles : La notion dauthentification N13 : une authentification correspond : N14 : une authentification forte correspond : La menace de la libert de lindividu par les TIC N3 : Pensez-vous que les TIC (PDA, rseaux sociaux, puces RFID) puissent tre une menace pour votre libert et son comportement La protection dun systme N6 : changez vous votre mot de passe une fois par : rponses 1 5 Les transactions effectues sur le Web N11, rponse 1 : la fiabilit du site (certifi)

La vrification du cryptage des donnes confidentielles N11 : avant dacheter un produit sur le Web, vrifiez vous : rponses 1 et 2 Les mthodes qui utilisent lauthentification N15 : connaissez-vous les mthodes utilises pour permettre une authentification, rponses 1 5 Lutilisation des rseaux sociaux N7 : quels rseaux sociaux utilisez-vous ? rponses 1 5 N9 : quelle priodicit utilisez-vous ces rseaux sociaux, rponses 1 5 Les donnes de lutilisateur sur un serveur

Les clauses contractuelles concernant

10

Cette situation peut tre considre comme dangereuse mais notre internaute reste passif

la protection des donnes N16 : la plupart des prestataires de vente en ligne vous informent contractuellement :

dans un local distant N17 : vos donnes sont cryptes sur un serveur dans un local scuris. Comment estimez-vous cette protection ?

Tableau 4 : les liens entre variables de connaissance et de comportement

8. La justification des bonnes et des moins bonnes rponses

La gestion des mots de passe Un fichier contenant les mots de passe des utilisateurs sur un serveur doit toujours tre crypt. Lune des possibilits est dutiliser une fonction Ha sh qui permet dobtenir un condens de lquivalent du mot de passe. Cependant, le danger nest pas totalement cart. En effet, des programmes de craquage11 gnrent des Hashs qui peuvent tre compars ceux stocks sur le fichier Mots de passe partir de mots de dictionnaires ou de combinaisons de caractres alphanumriques. Le temps de craquage est alors le suivant [16] :

Figure 3 : la dure possible pour craquer un mot de passe (hash) Ainsi, on constate que le cumul des critres longueur dun mot de passe et caractres peu usuels permet damliorer sensiblement la scurit. Il est galement ncessaire de changer priodiquement un mot de passe, surtout si lutilisateur a tendance utiliser le mot mnmotechnique sur diffrents systmes ou sites. Les rponses de nos internautes La question N1 : 41 rponses (rponse 3 + rponse 4 +rponse 5) sur un total de 67 rponses au total (61% des internautes) sont correctes puisquun mot de passe doit comporter un minimum de 8 caractres. Dailleurs, certains sites Web obligent les internautes se conformer cette contrainte. Par contre, le comportement d un grand nombre dutilisateurs concernant le changement de ces mots de passe nest pas acceptable puisque la question N6 montre que 8 rpondants (rponse 0 et 1) sur un total de 64 individus (13%) changent de mot de passe chaque semestre. En entreprise, une politique responsable de scurit informatique exigerait la mise en place dune expiration de la
11

Cain : http://passwordone.blogspot.com/2007/06/passwordone-juin-2007.html Ophcrack : http://fr.wikipedia.org/wiki/Ophcrack

validation des mots de passe ! Les recommandations de Microsoft en la matire sont encore plus restrictives puisquelles prcisent une dure moyenne de 42 jours12. Les informations indispensables pour un paiement en ligne La question N10 pointe sur les rticences des internautes donner leurs rfrences bancaires (57 rpondants), leur tlphone (50 rpondants) et leur adresse (42 rpondants), soit successivement pour un total de 67 rpondants en pourcentage 85%, 75% et 63%. Les rponses 3 et 4 du N10 concernant les photos et les gots sont moins significatives puisquelle affecte visiblement une minorit de nos rpondants. Par contre, la crainte est palpable concernant les rponses 1, 2 et 5. Leur comportement associ est donn par 55 rpondants qui vrifient la fiabilit du site : soit en pourcentage 82% des 67 individus la question N11, rponse 1. Le cryptage des donnes confidentielles Une trs large majorit des rpondants estiment que le cryptage des donnes confidentielles est absolument ncessaire (N5, rponse 1) avec 56 individus sur un total de 67, soit 84% des rponses. Le comportement de nos internautes est sans surprise : la question N11, 55 vrifient la fiabilit du site (rponse 1) et 43 vrifient le cryptage du N de la carte bleue (rponse 2), soit successivement 82% et 64% des rpondants. La rponse 2 est la plus significative concernant le cryptage de donnes confidentielles. Lauthentification La notion dauthentification est clarifie par la figure ci-dessous [12] en regard avec les autres critres fondamentaux qui dfinissent les principes de la scurit en termes de capacit [6] : confidentialit, disponibilit, confidentialit, traabilit, et non-rpudiation.

Figure 4 : les critres fondamentaux de la scurit La question Qui est qui ? permet de rpondre au critre dauthentification. Elle apporte la preuve que lindividu est bien celui qui prtend tre. Diffrents facteurs permettent une authentification : on peut distinguer ce que lon connait (mot de passe), de ce que lon possde (un token) et de ce lon est (biomtrie). Ainsi, les authentificateurs (token) One-time Password (OTP) utilisent des mots de passe qui changent toutes les minutes. Certains authentificateurs peuvent galement utiliser des certificats numriques (Public Key Certificates ou PKI) bass sur la possession dune cl secrte (RSA). Dautres mthodes utilisent le SMS dont le code permet de complter une transaction bancaire sur le Web. Si lon voque une authentification forte, elle est la rsultante du cumul de

12

http://www.microsoft.com/canada/smallbiz/french/sgc/articles/select_sec_passwords.mspx

plusieurs facteurs coupls. Par exemple, la technologie du Match On Card utilise les empreintes biomtriques (ce que je suis) coupl carte puces (ce que je possde). Les rponses apportes par nos internautes montrent visiblement des lacunes dans la comprhension mme de la notion dauthentification. A la question N13, seuls 22 individus cochent la rponse juste (rponse 1), soit 33% des rpondants. A la question N14 concernant la dfinition dune authentification forte, on se trouve sensiblement dans une tranche similaire : 18 et 16 individus successivement la rponse 4 et 5, soit 27% et 24% du total de lchantillon. Enfin, lutilisation des diffrentes mthodes relatives la question N15 confirme la fois la faiblesse de la connaissance du domaine mais galement son utilisation. De nombreux rpondants vrifient que les sites sont certifis et quil existe un cryptage (N11) mais sans connaitre la mthode la plus connue, y compris lorsque lon voque les PKI avec les cls publiques : 22 rpondants la rponse 2 de la question N15 (33%). La menace de libert sous contrle de lindividu par les TIC La question N3 permet de connaitre la perception de nos rpondants concernant la menace de manque libert par lutilisation des TIC. La plus grande majorit (48%) considrent quelle est certaine , valeur mdiane sur une chelle o certains considrent quelle nest pas une menace (2 individus pour la rponse 5) et au contraire dautres qui estiment que cette menace est trs importante (4 pour la rponse 1). Cependant, cette menace potentielle ne semble pas peser trs lourd en regard avec les rponses apportes aux questions N8 et N9 relative aux rseaux sociaux : le nombre dinternautes qui utilisent Facebook est considrable (60 individus la rponse 1, N8) et ce plusieurs fois par jour (29 individus la rponse 1, N9), soit 90% et 43%. Visiblement, cette visibilit et traabilit de donnes personnelles sur le Web ne drangent que peu. Pourtant, on ne peut ignorer une certaine pression sociale : Est-ce que tu as vu mes photos sur Facebook ? Dans ce contexte, il est intressant de citer (Rousseau, 1762) dans le contrat social : Afin que le pacte social ne soit pas un vain formulaire, il renferme tacitement cet engagement qui seul peut donner de la force aux autres, que quiconque refusera dobir la volont gnrale y sera contraint par tout le corps : ce qui signifie autre chose sinon quon le forcera tre libre . La lecture applique des clauses contractuelles figurant chez les prestataires Notre constat : les rpondants ont une vritable lacune concernant les conditions prcises par les prestataires de ventes en ligne. 5 rpondants la question N16, rponse 1 (8%) estiment que la plupart des prestataires informent les internautes de lincapacit de conserver des donnes confidentielles. Ces internautes sont pourtant dans le vrai. Un simple exemple avec le prestataire Ebay13 qui prcise : We cannot guarantee the privacy or security of your information . Nous apprenons galement que We may share your personal information with Members of the eBay Inc. Corporate family like PayPal, Skype or Shopping.com . Enfin, concernant lutilisation des donnes personnelles des fins de Marketing, les intentions sont clairement exprimes : We may combine your information with information we collect from other companies and use it to improve and personalize our services, content and advertising . Seule, une minorit de nos rpondants sont conscients dune utilisation anonyme des donnes (27 personnes rponse 2), de lutilisation de cookies (18 individus rponse 3) et dun partage des d onnes consolides avec un partenaire (23 internautes rponse 4), soit successivement les pourcentages suivants : 40%, 27% et 34%. Quelles actions concrtes permettraient de limiter les risques scuritaires concernant la protection physique et logique des donnes prives ? La question N17 apporte quelques lments de solution. La rponse 2 semble la plus approprie (25 individus soit 37% des rpondants). Tableau rcapitulatif des donnes recueillies

connaissance
1. La gestion des mots de passe 61%

comportement
13%

13

http://pages.ebay.com/help/policies/privacy-policy.html

2.

Les informations pour un paiement en ligne

74% 84%

82% 82%

3.

Le cryptage des donnes confidentielles 33% 33%

4. 5. 6.

Lauthentification La menace de libert sous contrle La lecture des clauses contractuelles 48% 27% 90% 37%

Tableau 5 : La mesure des carts entre connaissance et comportement

La lecture des clauses contractuelles

La gestion des mots de passe 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

Les informations pour un paiement en ligne connaissance comportement

La menace de libert sous contrle

Le cryptage des donnes confidentielles

Lauthentification

Figure 5 : analyse des carts entre connaissance et comportement

9. Conclusion

Lanalyse de la figure 5 montre : Des carts entre connaissance et comportement extrmement faible pour certains axes : cryptage des donnes confidentielles, informations pour un paiement en ligne, lecture des clauses contractuelles et authentification. Il y a donc accord entre connaissance et comportement. Des carts importants pour les axes gestion des mots de passe et la menace de libert sous contrle . Peut-on interprter ces rsultats ? Concernant laxe gestion des mots de passe , la connaissance des internautes rsulte souvent de lobligation sur certains sites de gnrer un mot de passe dau moins 6 caractres, sinon la transaction ne peut tre valide. Cest une information qui est forcement connue pour la majorit des internautes. Par contre,

modifier son ou ses mots de passe demande un travail supplmentaire important pour des individus qui se connectent sur de nombreux sites. La probabilit de survenance dun danger potentiel nincite pas un utilisateur faire ce travail supplmentaire. Des lacunes concernant le concept de lauthentification qui est confondu avec une simple identification ou des autorisations daccs. Certaines mthodes dauthentification (par exemple les PKI) sont utilises sans vraiment en comprendre le sens. Une mconnaissance importante concernant les clauses contractuelles figurant sur les sites des prestataires en ligne. On peut bien sr comprendre que peu dinternautes dsirent simprgner des pages entires relatives la politique de scurit du prestataire en ligne. Enfin, lutilisation globale dinternet est trs importante mais la perception dun flicage des donnes personnelles sous contrle ne semble pas vraiment proccuper nos rpondants. Il y aurait lieu de beaucoup plus les informer sur ce sujet.

10. Bibliographie
[1] Agre, P.E. and Rottenberg, M. (1998), Technology and Privacy. The New Landscape. MIT Press, Cambridge [2] Bloch, L and Wolfhugel, C. (2007), Scurit informatique Principes et mthodes, Eyrolles [3] Fral-schuhl, C. (2002), Cyberdroit Le droit lpreuve de linternet, 3 dition Dalloz [4] Foray, B. (2007), La fonction RSSI, Dunod [5] Gearthy, C. (2006), Can Human Rights Survive? The Hamlyn Lectures 2005. Cambridge University Press, Cambridge [6] Ghernaouti-Helie, S. (2000), Scurit Internet Stratgie et technologies, Dunod [7] Ghernaouti-Helie, S. (2009), La cybercriminalit Le visible et linvisible, Collection le Savoir Suisse [8] Hermitte, M.A. (2003), La traabilit des personnes et des choses. Prcautions, pouvoirs et matrise, in Traabilit et responsabilit sous la dir. Philippe Pedrot, Economica, 2003 p1-34 [9] Kimball, R. and Ross, M. (2003), Entrepts de donnes Guide pratique de modlisation dimensionnelle, Vuibert [10] Larchet, S. (2010), Google, larnaque plantaire, Linformaticien, janvier 2010, n76 [11] Maiwald, E. (2004), Fundamentals of Network Security, McGraw-Hill Technology Education [12] Maret, S. (2009) Identit numrique et authentification forte, Formation Continue HEC Genve, DSSI, Module 6 3b [13] Martin, A. (2008), Facebook : on sy retrouve !, Ed. Pearson [14] Matti J-F. (2003), Traabilit et responsabilit in Traabilit et responsabilit. Pdrot P. Economica p35-44 [15] Mitnick, K. (2003), Lart de la supercherie Les rvlations du plus clbre hacker de la plante, CampusPress [16] Oechslin, P. (2009) Architecture Internet scurise, Formation Continue HEC Genve, DSSI, Module 6 4a

[17] Pedrot P. (2003), De la trace la traabilit : des enjeux nouveaux pour de nouveaux risques in Traabilit et responsabilit, Economica p.VII-X [18] Piatti, M.C. (2001), Les liberts individuelles lpreuve des NTIC, Editions PUL [19] Poullet, Y. and Rouvroy, A. (2007), Ethique et droits de lhomme dans la socit de linformation, Rapport gnral introductif, Council of Europe & UNESCO, 1314 septembre 2007, Strasbourg [20] Rousseau, J-J (1762), Le contrat social, Livre I, 7 [21] Shimeall, T. (2002), Cyberterrorism, CERT Centers, Carnegie Mellon University [22] Ta, C.D (2004), Dmarche de traabilit totale, Logistique & Management, Vol.12, n1, pp. 35-40. [23] Tuffry, S. (2007), Data Mining et statistique dcisionnelle Lintelligence des donnes, Editions Technip [24] Urbina, G. et all (2006), Hacking Interdit, Micro Application