Un f chier d'adresses s'use invitablement au fil du temps. et le Tichier des abonns Scurit inf1rnatique ne laiT pas exception. C'est pourquoi nous vous demandons de bien vouloir conirmer votre abonnernent par courrier lectronique "robert.l0nge0n@cnrs-dir.fr" en prcisant les coordonnes exactes oir vous souhaitez recevoir votre publicati0n. Cette ann0nce sera renouvele da'rs le prochain nurnero. apres quoi ceux qur n'auront pas rpondu ne recevront plus Scurll infornatique. Le "piratage informatique" e$ une "inf.action aux lois rgissant les droits de la proprit intel- lectuelle (droit d'auteur) et la protectionju.i- dique des programmes d'o.dinateur". La loi interdit de copier ou de dist.ibuer, sans licence, un logiciel ou sa doc{mentatlon, ainsi qu'exploiter un programme sur un nombre d'ordinateurs sup eur celui prvu pa. le contrat de licence- Les textes relatifs ce sujet sont principalement la loi du ro mai 1994 (transposition au d.oit fran- ais de la directive europenne du 14 mai r99r concernant la pro- tection juridique des programmes d'ordinateur) et la loi du 5 fwier rgg4relative la rpression de la contrefaon. Cette nou- velle rglementation prcise et renforce un ce.tain nombre de points concernantla dfinition et les droits d'utilisation des logi- ciels. Pour la fonction publique, la circulaire Rocatd du rTjuillet I990 prcise expressment quelles sont les responsabilits : "Un fonctionnaire auteu. ou responsable de reproduction illi- cite deyra seul supporter les condamnations pnales encourues, mme s'tl n'a pas aE dans son intrt personnel". Par ailleu.s et sans prjudice des peines encourues (udiciaires et civiles) peu- vent s'ajouter, s'ii 5'avre que des fautes personnelles ont t commises, des sanctions administ.atives ainsi que le rappelle la circulaire du Directeur du CNRS (Bu.l1efih Offcre.l du CNRS n" 88, dcembre r99o). Le piratage informatique est donc une faute grave dont ilne faut pas sous-estimer l'importance. Le piratage des logiciels i suite p.ase I ; #currrffiefftr* tirrf,otry an ce nouuedu numro, nou6 continuon\ notre vtite de grandt tqblidtementt de recherche et d,'enteignement par I'?RST9M (lnati- tut iranai de recherche cientiilque pour Ie d,ueLoppement en coop- ration). Patrick Sehet - Charg de mi66Lon pour la rcurit det tymet d'infor- mation auprt du Directeur - nout praente 6on tabliement et les aettons mi6e en uure pour prendre en compte let problmet de 6curtt. La rf.chh,f. arc l'sffs d.u Eud. L'lnslitut Fanais de recherche scientifique pour le dveloppement en coopration, appellation conlorme aux missions redfi- nies pour cet organisme dan5les annes 80, a consery son ancien sigle d'orstom, bien connu dans son champ traditionnel d'inter- vention, et notamment en Afrique. Cet ta- blissement public carac!re scientilique et technologique, de taille moyenne, est plac sous la double tutelle des minislaes chrgs de la Recherche etde la Coopration. Ii mne, depuis plus de cinquante ans, de5 recherches dont la pluridisciplinarit rh- matique et mthodologique est une vo je pri' vilgie. Ces recherches sul les milieux tro- picaux, leurs ressources et les socits qui y vivent, sont conduifes en fonction de choix 'scientifiques et techniques ssociant par- teniaes faanais et trangers. Elles vjsent essentiellement contribuer au dvelop- penent durable des pays du Sud, tout en favorisait le renforcement des comptences scientifiques dans les pays concerns- l-'orstom est dot d'un budget annuel d'en- viaon r,r milliard de francs. Ilcompte 2 5oo agenls, dont 600 sont originaires des pys du Sud. Parmi les chercheurs, ingnieurs el tech- niciens sur poste statutaire, prs d'un sur deux (ce quitotaljse environT5o agents) est en aJfectation de longue dure en Alrique, en Amrique latine, en Asie ou dans le Pacifique. En termes d'rnfraslructure, son dispositiI est constitu de plus d'une cinquntaine d'im- plantations ou reprsentations, en France (Bondy, Brest, Montpellier er Orlns), dans les dpartements et terriioires d'outre,mea et dans de nombreux pays de la ceinture inte.tropicale. } i/orrheti gu. e I'orctorir L'informatique, l'orstom comme illeurs, est omnrprsente dans les activits, qu'elles soient d'ordre scientifique, technique ou adminisirative. Le parc de ses micao-ordi- nateurs, presque exclusivement compos de compatibles PC ou de Maclntosh dans la proportion de 2/l pour r/3, est mis en rseau sur chaque site l'aide de serveurs sous Unix. Compte tenu de l'enjeu particulier q!e reprsente la conmunication lectronique pour lutte( contre l'isolemenf des commu nauls scientifiques du Sud (et donc fi /ine poul le dveloppement), l'lnstitut a ds le dbut des annes gojou le rle de promo teur de I'lntemet en frique. Ainsi, tandis que ses machines sont connectes I'lnter, net par l'intermdiaire de Renater en France, celles de I'Orstom et de ses parte- naires situes dansles Dom-Tom etlespays trngers ccdent progressivement au "full-internet', qui remplace les liaisons internationales par aseau commutation de paquets (X25) utilises julqu' prsent. L'lnstitut dispose d'une quarantaine d'in- formatjciens, dont prs de la moili sont dans les dpartements scientifiques, o ils exercent le plus souvent des aciivits de dveloppement. Les autres sont rattachs une mission technique quia la charge des moyens collectifs et notamment la respon- sabilit du rseau. Chaque responsable d'ielier inlorma- tique concourt donc la bonnemarche de I'ensenble en grant les inf.astructures locales, en appoatant consei I et assistance aux utilisateurs et en administrant Ies fonctions de la messagerie. L'initiative de dveloppement des seavices Web par- tir de Ia plupart des implantations de l'0rstom est aussi largement metfre leur clif I-t e,elufifr' ,Bs sltst. m. s d'if ij@rrilti@f i Toute technologie nouvelle entrane dans son sillage des risques nouveaux : pas plus I'in- formatique que les tlcommlmications n'onf chapp cette rgle. C'estpou.yfaire face, dans le contexte qui vient d'tre dcrit et aussi pour suiwe la recornmandation nB 9or du SCSSI du02 mars 1994, qu'un .esponsable de la scurit des syslmes d'information, RSSI, a 1 nonm l'orstom en ma$ 1996, avec I'aval du HauFfoncfionnaire de dfense de la rue Descar_tes. Une polilique Bien qu'exerant cette activit temps partiel, celui-ci a cherch adopter une dmarche cohrente, en s'appuyant lar- gement sur l'exp.ience acquise dans d'autres organismes de recherche (CNRS, INRA et INSERM, surtout). Une politique gnrale de scurit des systmes d'infor- mation 1'ors1om a donc t propose et commence tre mise en ceuvrc. Soumise une instance paritaire (le comit cen- ._, "* lral hygine et scurir de l'tablissement) pour entretenir un premier courant d'information envers les personnels de l'orstom, elle prvoit quatre grandes orientlions 0n s'organise... La scurit dans ce domine comme dans d'autres est avani tout une question d'or' ganisation. Il faut donc identifier des per- sonnes responsables (correspondants, administrateu$), dfinir Ieurs comptences et faire ventuellement appel des forma- tions complmentaires. Ainsi, au niveau cenfial, une commission informelle de la scurit des sysrmes d'in- formation, CISSI, a t constitue avec les responsables des principaux seNices concerns, pour examiner coilectivement les actions considres comme prioritaires. la cration en novembre 1996 d'un aseau d'une quinzaine de conespondnts de securit jnformafique daii les implantations les plus sensibles constitue l'pine dorsale de cefte organisation. Ils'agii le plus souvent des res ponsables d'ateliea inlomatique. 0n veille ce qu'ils disposent d'une informaUon adquate (messages du CERT, abonnement au prsent bollelin Scutit informafiqe du CNRS, par exemple) et une formation approprie les runira une semaine Pads en juin 1997. D'ores et dj, le rseau des coespondants s'est montr un relais efficace dans la dis- tribution gnralise des ntivirus et des logiciels de messagerie dont I'Orstom a rcemment fit I'acquisition. On dresse un tat des lieux... tant donn le contexte particulier dans lequel s'exercent l recherche en gnrI, et la recherche pour ie dveloppement e,l par- ticulier, Ies contraintes scuritaiaes seront d'autant moins acceptes qu'elles seront perues conne une enrrve la convivja- lrle d urrlsation des syslmes tnfornaltques Il faut donc veiller ce que les mesures de scurit ne soient pas disproportionnes vis--vis des biens informationnels mis enjeu. Aussi apparair-.1 indisperuablp dp confi en- cer par raliser un tat des lleux de la ques- lion. C'esl d ajileurs une des recommanda- lions faites toute administration que de faire effectuer priodiquement inspections et conffles de scurit. En guise de prpration d'une opration d audit croise entre les drfferenls orga nrsmps de recherche, un canevas d evarua- tion spcifique a t rabli I'initiarive dl.l Haut fonctionnaire de dfense de ia tutelle. Ce documenten cinq points (description de l'lablissemenl, description du risque, mesures techniques, conlrle de la poljlique de scudt, mesures d'accompagnement) a servi de guide des visiles pralables ponc- tuelles effectues sur plusieurs siles, sus ceptibles de donner "l'tat zro" de la ques- tion SSI dans l'organisme. la suite decelles ci, il est apparu opportun IaCISSI de promouvoir des tests de " scree- ning" permettant d'valuer la vulnrabili! des systmes. 0n espre de cette faon pou- voir mesurer la pertinence de I'installation ventuelle d'un systme de "gardes-bar- dres'. On rdige une chaate... S il parat totalement irraliste, et proba- blement peu souhitable par ailleurs, de retourner l'tat d'esprit qui rgne gnra- lement dans l'organjsme quant la relation avec l'informatique et les donnes, ilsenble cependant ncessaire dentrepaendre quelques actions qui permeftraient de sen- sibiliser les personnels de I'lnstitut lascu .it des systmes d'information. Dans un premier temps, il convient d'jns taurer une sorte de code de bonne conduite des agents de l'orstorn comme rtilisteurs de moyens informatiques, qu'ils soient locauxou disfants (viarseaux). Ceci setra- duit par Ia rdaction en collrs d'une charte de I'utilisateur informatique, applicable tous les personnels statutires, et d'un eng- gement confactuel coespondant pollt les personnels non permanents et les parte- naires- Plusies actions ponctuelles ontprcd et prpar ce trvil. Des recommandations ont pr exemple t donnes pour un usage appropri de la messagerie, et notammeni des listes de distribution gn.iques. L'op- ration la plus importnte reste la crtion d'un comit de coordination du serveurWeb de i'organisme (conu comme une structure arborescente), chaag d'mettre des recom- mandation5 1'aftention de tout crateur de ce type de service I'orstom. Ce comit a lanc six chantiers de rflexion, dont certains ont dj produit quelques rsuhts : laborer une paocdure de cra- tion de seftice Web, proposer une charte graphique, dfinir une politique pour les bases de donnes, crer les conditions d'un Intranet l'0rstom, favoriser I'exploitation scientifique du Web, dresser un lat des lieux et crer un tableau de bord duserveur. 0n prend des rnesures concrtes Une liBne budgtaire spcjfique, gre en commun par le fonctjonnaire de scurit- dfense (FSD) et le RSSI, a t obtenue ds 1996. Ce crdit, certes insuflisnt mais nan- moins consquent, a permis de linncer quelques actions ponctuelles, I'exemple desquelles on peut citer l'acquisition d'un matriel de production de CD-Roms pour sauvegarder une base d'images menace du faii de I'obsolescence du support- Il a aussi t possible de lancer des opra- tions plus gnrales, cornme celle quj consiste en I'acquisition centralise de cer- taini logiciels pour tout l'lnstitut. lP.Frs/.ctiy,e D'un ct, Ieffort consenti par l'organisme pour rpondre la proccupation de l scu- rit des systmes d inlormation, que l'on peut rsumer en un homme, unbudget ef un rseau de co.respondants, peut paraitre consquent, eu gard l taille de I'orga- nisme. D'un utre, il est largement dispro- pordonn face I'ampleur, la complexir t l volution rapide du phnomne auquel ce dispositif est conlront. Il est d ailleurs caaindre que I'on reffouve ce mme constat dans des organismes comparables, par leurs effectils et la diversit des mis- sions, l'orstom. Sans doute faut-il s'en accommodef. C'est donc pltitl sur une prise de conscience progressivei par lren5emble des quipes de l'organisne, qu'il faut compter pour conser- ver aux systmes d'information leurs trois qualits essentielles que sont la disponib! lit, I'intgrit et la confidentialit. Parmi les actions de sensibilisation en1f eprises, celles qui touchent aux aspects rglementaires et juridiques sont faciles mett.e en @uvre. Des noles circulaires sur l lgislation "lnformatique et liberts', la polirique en matjre de donnes scientifiques (vis, vis du droit d'auteur), ont par exernple t dif- fuses. Des inforrnations sur les rgimes de communication audioviselle (loi du 10109186) ou dusecret des coespondances (loidu ro/o7l9t, applicabtes auWeb et la communication lectaonique sont gale- ment fournies. En tout tt de cause, le comportemental est trs impoftant pour la scuair : il faut de la rigueur et du formalisme. Pour faire vo- luer les mentalits, rien de tel que de pr- senter la scuril comme un facteu. de qua- lit des systmes informatiques. Palrick Schel adel : rssi@orstom.Tr :''' LepiratagedesloUitith i ,"i.-.'. '" p.-s- 1 Il est wai que la situation s'est notoi- rement amliore depuis l'poque ou "dplomber un logiciel protg" constituait 'une rponse un dfi", un vritable sport acadmique que ce.- tains tentaient de justifier par des dis- cours sur "un monde libr des en aves mercantiles ". Aujourd'hui, le piratage des logciels dans nos labora- toires est en nelte rgression. cela il existe deux raisons essentielles : . La baisse importante des prix des logiciels pour l'ducation et la recherche, notamment grce aux accords conclus dans le cadre du plan " select". . Une prise de conscience incontes- table des principaux acteurs des labo- ratoires, et particulirement des .es- ponsables informatiques auxquels il conyient de rendre hommage pour leur esprit de responsabilit. Cet effort doit se poursuiwe jusqu' l'radication complte du ptratage de logiciels dan5 nos laboraloires, car cette pratique est foncirement contrahe I'idal de la recherche et nofe inirt bien compris. o Conflaire l'idal de la recherche, car c'est d'abord un vol de " bien intel- lectuelo. Or, n'est-ce pas principale- ment ce type de " biens o que nous pro- duisons dans la recherche ? L'adage : "Ne faites pas autrui ce que yous ne voulez pas qu'on vous fasse....n s'ap- plique ici merveille. . Contrafe notre inlrt bien com- pris, car les crateus de logciels thent du.evenu de leur travail les moyens de poursuiwe leurs activtts et le dve- loppement de leurs produits. Or, n'est- il pas dans notre intrt qu'ils puis- sent continuer rendre ces produits toujours plus perfomants ? Ouels progrs fantastiques ont t accomplis depuis vingt ans dans le domaine de la communication et des systmes d'information ! Ce serait une we trs court terme que de saboter cefie dynamique du progrs laquelle nous appartenons. aaaaaaaaaaaaaaoaaaaaaaaaaaaaaaaaoaa 9v' all*lle-t-ofi C,ooS'rc e Ler " cookies" sont des peti6 programmes lancs par vot.e navigateur Web la demande du serveur que vous visi- tez. Il dclenche l'critue sur vot.e disque duf d'un fichier texte (cookies.txt) contenant 'normalement' des infor- mations concernant votre visite : . Ouelles sont les pages que vous yenez de visiter ? . Combien de temps y tes-vous rest ? Un ' Ouelles rponses avez-vous dj faites Ia question I de ce questionnaire ? macfO- . Etc. Normalement, les cookies ne peuvent en.egister que les rponses que Virus ftelt-il vous avez explicilement donnes - en particulie., il ne doit pas tre 8,. tT8nsmtf, Tf \ possible d enregistrer votre identite votre insu et ils ne peuvenltr" Un fichi.f Rf f g \ lus quepar lesserveurs quiles ont genrs. Maisdes techniquesexis lent pol.lr contourner cette limilation. Non un macro'vLrus ne se transfiet pas par Les deux navigateursles plus connues - Netscape et Inte.net Explo- un fichter au formai RTF (Rjch Text Format) I rer - si vous les configurez correctement (Option + Prfrence car ces ftchiers ne peuvent pas contenir de rseau), permeftent de aefuser les "cookies ". Dans ce ca5, certains macros c esr .lonc un moyen de communiquer serveuas n'autorisent qu'un accs limit. des fichicrs Word sans .sque cle propager un PouIplus d'informations, on peut aller Yisiter les liens hype.texte: nacro-virus. Nlars commenl e sr clu'ur1 http://wvrw.grolier.frlcyberlexnet/sEcu/cookies.htm (en franais) fichier que vous venez de recevorr avec une et httpr//wwweminet/-mal/cookiesinfo.html exiension.RTF esr eflecrLver.enr au lormar RTF ? Si c est le cas les tradufieurs de Word s actrveroft auiomatiquemenl I ouvcrlre du Iichier. lviais si c'est une.use. la ralit apparaira clans toule sa qravit une IoiS le vrus acrive c est -dire bien lard Il faut le rpter , la mejlleure pro' tection resre la vrilicarion du [ichler par avant de ua a n tlv irus chercher servir tilt Sroufiru lErci*l d4 y*lifcriolt d{r rh@s d#It6* *rt alisroifibl* Une nouvelle ve.sion du logiciel) de vrr fication de l solidit des mots de pa55e de " Scooter corporation'est disponible pour les plates-formes suivantes I Linux, BsDl BSD/05 2.o, Free BSD 4.2, ULTRIX 4.1o VAX, sun4m sparc (Solaris 2.). Il est possible de le rcupre. soit par ftp anonyme : ftp://ftp.inlo.bistrkek.su/UNIx/crack-2a/ crack-2a.tgz soit par wl : httpr//iukr.bishkek.su/crack/index.html Ia documentation est galement disponible en ligne. ( Unix password uackeL version 2.o (alpha). Ptoduction of scooter cotp. @ All tights rcsened Copyight Bishkek Ktr- gtzstan, 1996-1997. Y rb-il un b@ii Tir@Yr,l!I@ur F @ b,(9.e.1 8@f I izic.r@-@rdiiial,,. r'r c@fitr lKs fnacr@-Yirus I Les racro virus tirent leur nom du macro langage qlle Word ou Excel peut associer un documenl. lJne ide srmple pour neplLrsavoircraindre!esmacro virus serajl de clisposer d une oprion sous Word ou Excel quj dsaclive SlobalemenI leur lancementautomatique j ouverture cl'un docrrnent. C est une optron souvent rclarne Ilicrosoft Elle n esl pas impl menle, or] ne peul mme pas dsacliver les documents macro i ltllcroSoll propose, comme substitut une macro lance avant toutes les aulfes - quidsactive la fonctron de lan cement automatjque Par exeffple sous WiNW0RD, Microsoft propose : r ) Crer une nouvelle macro NoMacros qui conlient les commandes suivantes : Sub Main DisableAuroMa$os End 2 ) Modifier la liqne de commande de Word par , ''path WINW0RD.EXE,'mNoMacros Bjen que beaucoup de !racro virus _ cltons Concepl, DNlV ou Nucleaa utilisent le lancement automalique de maclo L'ou verture d un documenl pour attaquer le sysime, ce ne peur pas tre une protection consldre comme sure Ioo 7 : des mihodes existcnt qui permetlentde 1a contourner. De pluselle ne lofciionne pas sl vous lrlilisez le l jle l'1anager" ou Windows Explorer pour ouvrir volre document. tnfin, ll cst regrettable de devoir dsacliver des fonclionn11_ ts d un lrajrement de rexle pour se dfendre d actions mal- veillantes. I1 paraii plus rarsonllable de se fier un bon anli' virus rqulirement mise jour.