LA

CYBERSÉCURITÉ

Karina Sokolova & Charles Perez

 Préface
Pourquoi un manuel sur la cybersécurité ? Parce que tout le monde
est concerné. Parce qu’il n’a jamais existé autant de menaces dans le
monde numérique. Parce que ces menaces sont en perpétuelle
évolution. Parce que les nouvelles technologies sont partout et
omniprésentes dans nos vies. Parce qu’il n’y a que deux types
d’utilisateurs : celui qui a déjà été touché par un problème de sécurité
(virus, rançongiciel, vol de données, etc.) et celui qui le sera, ce n’est
qu’une question de temps.

La cybersécurité doit intervenir à deux niveaux. Tout d’abord, nous la

trouvons au niveau des systèmes d’information au sens large :
réseaux de télécommunications, réseaux d’entreprises, serveurs,
postes de travail, applications métiers. Puis elle doit être présente au
niveau des données : brevets, plan marketing, données à caractère
personnel, etc. C’est l’information qui nourrit de plus en plus
l’économie, les données étant souvent considérées comme le pétrole
du XXIe siècle. Ces deux niveaux sont à combiner pour pouvoir être
efficaces. En effet, l’Internet est un espace d’affrontement
asymétrique. Avec très peu de moyens, il est facile de générer
beaucoup de dégâts. Il est donc indispensable que la cybersécurité
intervienne sur un périmètre très large pour éviter l’effet « talon
d’Achille ».

Mais rassurez-vous, rien n’est inéluctable et loin de noircir le tableau,

ce manuel didactique, ni trop technique ni trop simpliste, va vous
éclairer sur les principales thématiques liées à la cybersécurité en
abordant les différentes menaces auxquelles vous pourriez être
confronté mais également sur les solutions à mettre en œuvre pour
se protéger. Attention, l’être humain doit rester au cœur de la
stratégie de cyberdéfense : il est en même temps le « maillon faible »
et celui qui va, par son bon sens, sa volonté et sa motivation, éviter
de tomber dans les pièges et trouver les solutions de défense
optimales.

Chaque chapitre de ce manuel couvre un domaine stratégique

présentant les aspects techniques, fonctionnels et juridiques. Les
sujets étant abordés de manière synthétique, vous pourrez obtenir
rapidement une vision d’ensemble de ce qu’est la cybersécurité et
vous serez prêt à vous défendre en ayant les bons réflexes.
Évidemment, il ne s’agit que d’une première étape pour bien
comprendre ce qu’est la cybersécurité. À vous ensuite d’approfondir
ces différentes connaissances si vous le désirez.

Après avoir lu ce manuel, vous ne pourrez plus dire « Je ne savais

pas ».

Bonne lecture à tous.

Alain Corpel
Enseignant en Cybersécurité à l’Université de Technologie de Troyes
Expert judiciaire près des tribunaux
 Sommaire
INTRODUCTION

CHAPITRE 1 : LE CONTRÔLE D’ACCÈS

»Qui suis-je ? Comment le prouver et pour
quels droits ?
»Attaquer un mot de passe : par force
brute et par dictionnaire
»Un mot de passe qui me ressemble
»Protections contre les attaques
CHAPITRE 2 : INGÉNIERIE SOCIALE, OU LA
FAILLE HUMAINE
»L’Hameçonnage
»Stockage et réutilisation de mots de passe
»Autres failles humaines
CHAPITRE 3 : LOGICIELS MALVEILLANTS ET
ESPIONS
»Les virus
»Les chevaux de Troie
»Les vers
»Les portes dérobées
 »Les enregistreurs de frappe
»Les rançongiciels
»Les publiciels
»Les Botnets
»Les menaces persistantes avancées
»Protection : détecter, supprimer, éviter
CHAPITRE 4 : MESSAGES SECRETS
»L’encodage
»La cryptologie ou l’art de l’écriture secrète
»Le chiffrement symétrique
»Le chiffrement asymétrique
»Les fonctions de hachage
»La stéganographie
CHAPITRE 5 : COMMUNICATIONS
SÉCURISÉES
»Le réseau
»Protocole HTTP versus HTTPS
»Le serveur mandataire ou proxy
»Le réseau privé virtuel (VPN)
»le Wi-Fi
»le RFID/NFC
»le Bluetooth

É É
CHAPITRE 6 : LA SÉCURITÉ MOBILE
»Données mobiles : un système de
surveillance dans votre poche ?
»Distribution et vérification des
applications mobiles
»Gestion des droits des applications
»Élévation des privilèges
»Chiffrement et Effacement
»Sauvegarde, extraction des données
»Comment se protéger ?
CHAPITRE 7 : IDENTITÉ ET PROFILAGE
NUMÉRIQUE
»Identité numérique
»Collecte de données en ligne
»Traqueurs, Cookies, Pixel espion
»Personnalisation et sur-personnalisation
CHAPITRE 8 : LES NOUVELLES
TECHNOLOGIES
»Du Big Data à Big Brother
»Informatique en nuage
»Objets connectés et Internet des objets
»La Blockchain : une panacée ?
»Du web référencé au dark web
 »Les drones
CHAPITRE 9 : LA CYBERSÉCURITÉ EN
ENTREPRISE
»Cybersécurité et gestion du risque
»Charte informatique
»Sensibiliser
»Auditer un système d’information
»Métiers de la cybersécurité
»Acteurs publics
»Règlement général sur la protection des
données
»Appareils personnels

CONCLUSION
 Introduction
Notre société s’est peu à peu digitalisée, permettant ainsi une
nouvelle étape dans son histoire : la révolution du numérique. L’essor
des technologies digitales, aussi connues sous le nom de
technologies de l’information et de la communication, est apparu
dans les années 1960 avec Internet et a su séduire en quelques
décennies un très large public. Nous dénombrons aujourd’hui plus de
30 milliards d’appareils connectés à Internet et les estimations nous
indiquent une augmentation de 50 milliards d’ici 2025. Chaque jour,
plus de 2,5 quintillions d’octets de données sont générés sur support
digital.

Internet a permis aux individus connectés de dépasser les limites des

frontières naturelles pour échanger de manière instantanée et
presque sans contrainte. Les réseaux sociaux numériques tels que
Facebook, Twitter, LinkedIn, TikTok ou Instagram ont contribué à
l’éclosion de ce nouveau type de société, souvent identifiée comme
la « société en réseaux ». L’instantanéité des échanges, la
personnalisation des services et les avancées régulières en
télécommunication sont des vecteurs de cette digitalisation.

Les nouvelles technologies de l’information ont rendu possible le

partage, le traitement, le stockage des données d’entreprise
permettant ainsi l'émergence d’un système centré sur l’information
comme une colonne vertébrale. C’est ainsi que la transformation
digitale a permis l’automatisation des multiples processus
d’entreprise. Aujourd’hui, nombre de systèmes sont digitalisés, si ce
n’est entièrement du moins partiellement. Nous observons
l’émergence de voitures connectées, d’appareils de domotique
connectés et intelligents, de la robotique, de drones intelligents et
peut-être dès demain, de l’usage de l’informatique combiné avec la
neuroscience pour enrichir les limites cognitives de l’être humain.
D’une chaîne de production gérée par des robots intelligents, d’une
centrale nucléaire à un système bancaire, du trading haute fréquence
à des jeux d’influence d’information et de désinformation, il n’existe
aujourd’hui quasiment plus de système entièrement indépendant des
technologies digitales.

Notre usage de ces technologies est devenu de plus en plus naturel

et omniprésent, venant satisfaire nos besoins de communication, de
transaction, de mémorisation, de partage, de consommation, de
mobilité et de divertissement. Pour estimer la force de ce lien,
imaginez-vous oublier votre téléphone intelligent chez vous un matin.
En chemin vers le travail, vous vous en rendez compte, que faites-
vous ? Ferez-vous partie des personnes qui feront demi-tour ou
pouvez-vous vous passer de votre smartphone ne serait-ce qu’une
seule journée ?

Ce lien tissé avec les technologies et avec les autres au travers de

ces technologies mène souvent à oublier que nos comportements
avec ces outils et technologies sont digitalisés et donc par nature
bien souvent sondés, traqués, mémorisés et sujets à de multiples
vulnérabilités.

Nous écrivons chacun notre histoire avec et par les technologies

digitales. Celle-ci n’est pas laissée à l’étude de l’historien qui décide
de la relater, ni du pharaon qui décide de l’illustrer ou de la faire
graver dans la pierre, mais basée directement sur les données
représentant vos actes, vos photos, vos messages, vos goûts, les lieux
et les personnes qui font votre quotidien. Ces données pourraient en
théorie se retrouver parfaitement intactes et consultables de tous
même après des décennies, des siècles ou des millénaires. Cette
digitalisation nous amène à considérer que le chemin tracé par
chaque individu, mais aussi par le regard des autres sur celui-ci, ne
s’effacera pas de sitôt et qu’il pourra être scruté et analysé même
des années après la fin de son passage. Cette image de ce que
devient progressivement notre vie privée y compris au-delà de notre
existence, nous révèle la complexité des problématiques à traiter
dans ce nouveau siècle. Un siècle où la nature numérique de
l’homme s’éveille à peine.
Nos activités en ligne, et par extension leurs données associées, sont
gérées par des services dont la sécurité n’est pas sans faille, et qui
doit faire face à de nombreuses menaces avérées. Quelquefois, il est
difficile de s’assurer de la légitimité d’un service supposé fiable avec
lequel nous interagissons. Par exemple, le vol d’un compte de
messagerie d’un de vos amis proches peut vous amener à échanger
avec un usurpateur, et ce sans vous en rendre compte.

De nos jours, des cyberattaques plus ou moins importantes se

déroulent quotidiennement. Si vous sondez votre entourage, vous
noterez qu’environ 3 personnes sur 5 ont déjà subi une
cyberattaque : vol de mot de passe, perte d’accès ou activité
suspecte sur un compte, transactions non légitimes sur une carte de
crédit, perte des données personnelles ou sensibles, comportement
anormal de son ordinateur ou de son smartphone. Certaines
attaques ont des conséquences immédiates et visibles mais un
grand nombre s'exécutent de manière silencieuse. Dans ce cas,
l’utilisateur/l’entreprise peut ne pas comprendre immédiatement qu’il
vient de subir une cyberattaque et même ne jamais s’en rendre
compte.

Dans le cas d’une attaque ciblant une entreprise, les conséquences

peuvent être dévastatrices : perte des données sensibles, impact
financier, perte de confiance des clients, chantage, etc. Pourtant, ce
combat est inégal car il est soumis à une forte asymétrie. Tandis que
les entreprises doivent se prémunir contre l’ensemble des failles d’un
système digital, un assaillant, lui, n’a qu’à exploiter une seule faille
(potentiellement l’unique faille) pour rendre le système entièrement
vulnérable.

La négligence humaine est l’une des failles les plus critiques, par la
non-compréhension des règles de sécurité, un manque de formation
ou le non-respect des bonnes pratiques de sécurité dans l’entreprise.
Nombre d’exemples viennent illustrer les menaces qui s’appliquent
tant à l’échelle des citoyens que des entreprises, ou même des États.
En mai 2014, la célèbre entreprise de courtage en ligne eBay a
annoncé être victime d’une cyberattaque. Les attaquants se sont
introduits dans le réseau interne d’eBay en subtilisant les identifiants
et les mots de passe de quelques employés, générant une fuite des
données des utilisateurs. A priori, aucune donnée financière n’a été
volée mais l’entreprise a perdu la confiance de ses utilisateurs, ce qui
a fortement diminué l’activité sur la plateforme les jours et les
semaines qui ont suivi l’affaire. Sous l’effet de l’annonce, l'action eBay
(NASDAQ) aurait perdu jusqu'à 3,2 %.

Ashley Madison – le site Internet de rencontres spécialisé dans les

aventures extraconjugales – a été victime d’une cyberattaque en
2015. Un groupe de hackeurs, désireux de faire clôturer le site Internet
qu’il juge immoral de par la nature de son offre, pénètre dans la base
de données et récupère les informations provenant de 37 millions de
membres. Le but des hackeurs : se servir de ces informations comme
d’un moyen de pression afin de faire fermer le service. Ne se voyant
pas obtenir gain de cause, c’est un mois plus tard qu’ils divulguent la
base de données des membres. Courriels, numéros de téléphone,
noms, adresses, préférences et pratiques sont publiés en ligne. Les
membres d'Ashley Madison ont eux aussi reçu des courriels
menaçant de dévoiler leur activité cachée à leur conjoint et/ou
famille s'ils ne payaient pas de rançon. Ashley Madison, qui proposait
aux utilisateurs qui se désabonnaient un service payant afin de
supprimer définitivement leurs données, continuait en réalité à les
conserver. Ainsi, lors de la cyberattaque, nombre d’informations
supposées détruites tombèrent sur la place publique. Le piratage a
eu des conséquences tragiques : démissions et pertes d’emploi,
divorces, etc.

Uber s’est fait voler en 2016 les données personnelles de ses

chauffeurs et de ses clients. L’entreprise a dû payer aux attaquants
une rançon d’un montant de 100 000 $ pour supprimer les données
et ne pas révéler la fuite qui sera annoncée seulement l’année
suivante. Certains utilisateurs du service ont porté plainte contre la
société pour négligence. Là encore, les attaquants ont réussi à
récupérer l’identifiant et le mot de passe d’un employé pour accéder
aux données internes de l’entreprise.

Le réseau social Instagram a été victime de nombreuses

cyberattaques au cours de ces dernières années. En septembre 2017,
un groupe de pirates a obtenu les données de plus de 6 millions de
comptes. Suite à cette attaque, des photos compromettantes de
certaines célébrités et des informations personnelles de nombreux
internautes ont été mises en vente sur Internet. Des photos ainsi que
d’autres données de célébrités avaient déjà été volées en 2014 par
des cybercriminels qui avaient exploité une vulnérabilité iCloud – la
plateforme proposée par Apple.

En 2017, l’attaque massive Wannacry a touché des entreprises dans

plus de 150 pays. Des entreprises et industries telles que Renault,
FedEx, Telefonica mais aussi des hôpitaux, des écoles et des
universités ont été fortement perturbées ou même mises en arrêt par
cette attaque. Ce rançongiciel a été distribué via des courriels
envoyés aux employés et s’est propagé dans les réseaux internes des
entreprises rendant nombre de données inaccessibles.

En 2021, une surveillance illégale et généralisée de personnalités

politiques, publiques, et de journalistes a été mise en évidence par le
laboratoire d’Amnesty International. Plus de 50 000 numéros de
téléphone auraient été concernés par des écoutes effectuées via le
logiciel espion Pegasus. L’affaire Pegasus marque une entrée dans
une nouvelle ère. Dans le cas présent, il n’est plus besoin d’effectuer
la moindre action pour être hameçonné. Le processus se passe à
l’insu des victimes grâce à une attaque zero clic. Ce type d’attaque
est souvent utilisé pour corrompre des ordinateurs, mais elle a cette
fois été industrialisée et intégrée à un logiciel acheté sur étagère.

Les vulnérabilités peuvent être regroupées en trois grandes familles :

humaines, technologiques et organisationnelles. L'être humain, de par
sa nature, est vulnérable. Il est même le maillon faible dans le
domaine de la sécurité des systèmes d’information (SSI). La plupart
des vulnérabilités humaines proviennent d’erreurs, de négligences, de
manque de compétences, d’oublis, d’erreurs de saisie, etc. Le « tout
informatique » et le développement rapide des applications ont eu
pour effet de multiplier les vulnérabilités dans les logiciels. L’origine de
ces vulnérabilités réside dans des erreurs de conception, de
développement, d’implémentation, de maintenance ou de
configuration. Enfin, les vulnérabilités organisationnelles sont
essentiellement dues à l'absence de documents formalisés, de
procédures (d’alertes, d’escalade, etc.), de circuits de validation
suffisamment détaillés pour faire face aux problèmes de sécurité.
Nous aborderons ces trois familles lors des 9 chapitres de cet
ouvrage dont nous dévoilons quelques éléments dans les lignes qui
suivent.

Comment un service digital peut-il s’assurer que la personne faisant

face à sa machine est celle qu’elle prétend être ? Dans le monde
physique, un passeport et une vérification suffisent. Sur le digital, il
convient de pouvoir répliquer ce type de contrôle avant d'autoriser
les accès. Le chapitre 1 de cet ouvrage présentera le mécanisme
utilisé pour assurer le contrôle d’accès numérique. Il indiquera les
failles de ces mécanismes et les bonnes pratiques recommandées
aux utilisateurs pour éviter les risques associés.

Nous verrons au cours de cet ouvrage que l’humain est au cœur de

nos préoccupations lorsque l’on traite de cybersécurité. De
nombreuses actions malveillantes ont pour point de départ ou pour
maillon essentiel l’usage de la faille humaine. Ce type d’attaque
dénommée attaque par hameçonnage s’appuie souvent sur la faille
humaine un excès de crédulité ou un manque de vigilance de
l’humain. Nous présenterons la faille humaine au chapitre 2.

Virus, Vers, Chevaux de Troie ou rançongiciels : ce sont tous des

malwares aux ambitions variées et avec des moyens de nuire et
d’agir bien différents. Le chapitre 3 aborde la variété de ces logiciels
malveillants en présentant leur mode de fonctionnement, en les
illustrant par des exemples variés et d’actualité.
Comment partager des secrets à l’ère du digital ? Si nous souhaitons
communiquer de manière sécurisée, il est essentiel de disposer de
mécanismes assurant la confidentialité et l’intégrité des messages.
Nous aborderons dans le chapitre 4 la cryptographie, qui est la
science du secret.

Dans le chapitre 5, nous présenterons la problématique de sécurité

propre aux technologies réseau sans-fil (Wi-Fi, Bluetooth, etc.). Nous
retrouvons ce type de problématique avec les ordinateurs portables
et les accès distants via les réseaux Wi-Fi des hôtels ou les points
d’accès gratuits. L’utilisation d’Internet et de ses différents services est
également une source de menaces permanentes, ne serait-ce que
pour vos données personnelles.

La perte, le vol ou la compromission des données de votre

smartphone est l’une des plus grandes menaces. Non seulement les
smartphones peuvent contenir des données confidentielles de nature
professionnelle ou personnelle mais ils permettent de se connecter
aux différents services utilisés quotidiennement (messagerie, réseaux
sociaux, stockage dans le cloud). Le smartphone permet de se
connecter au système d’information de l’entreprise d’où la possibilité
de fuite de données en cas de perte ou de vol. Nous verrons dans le
chapitre 6 les enjeux de la sécurisation des terminaux mobiles
intelligents.

Le digital est devenu le support de nos activités quotidiennes.

Sommes-nous protégés contre l’usage de ces données à notre insu ?
Quelles informations à caractère personnel sont révélées par nos
usages et notamment par les réseaux sociaux numériques ? La
collecte de vos actions numériques et de vos données peuvent-elles
permettre de vous identifier ? Nous aborderons dans le chapitre 7,
cette problématique de l’identité numérique et du profilage
des internautes.

Dans le monde digital, tout va très vite, et de nouvelles technologies

apparaissent très régulièrement. Celles-ci ont des impacts sur la
cybersécurité. Nous verrons dans le chapitre 8, quelques-unes de ces
technologies. Nous aborderons entre autres trois technologies
émergentes et disruptives que sont le Big Data, la Blockchain et
l’Internet des objets.

Enfin, le chapitre 9 permettra de mettre en perspective la

cybersécurité dans un cadre professionnel. À l’échelle d’une
entreprise, d’une institution, la cybersécurité est un enjeu majeur et
particulièrement complexe à traiter. Nous aborderons dans ce
chapitre les problématiques stratégiques de gestion du risque, de
sensibilisation des utilisateurs, ainsi que les différents métiers et
organismes de la cybersécurité.

Notre ouvrage a pour but de vous faire découvrir les principaux

mécanismes de malveillance et de protection dans le monde
numérique. Son objectif est de vous permettre d’appréhender avec
plus de recul l’ensemble de vos actions sur le digital et de pouvoir en
tirer parti avec succès, sans pour autant vous rendre vulnérable.
 Le contrôle
d’accès
Dans le but de protéger nos biens de valeur, nous les surveillons ou
mettons en place des mesures spécifiques. Par exemple, pour
protéger des biens précieux tels que des bijoux, nous les enfermons à
clé dans une boîte ou nous les plaçons dans un coffre-fort. De
manière similaire, en partant de chez vous, vous fermez votre porte
d’entrée dans le but que seules les personnes possédant une clé
soient susceptibles d’y pénétrer. En plus de cette mesure, vous
contrôlez certainement l’accès à votre logement lorsque vous y êtes
présent. Ainsi, vous décidez d’ouvrir ou non votre porte à un individu
qui se présente devant chez vous. Malgré tous ces efforts pour
protéger vos biens de valeur, des personnes mal intentionnées
peuvent tenter de contourner ces mesures de sécurité. C’est ainsi
qu’à l’image de cambrioleurs, mais aussi de braqueurs ou d’agents
secrets, certains individus arrivent à mettre en défaut les mécanismes
de protection. Un schéma de fonctionnement très semblable se
reproduit sur le cyberespace : c’est ce que nous appelons le
contrôle d’accès.

Concepts clés : contrôle d’accès, identification, authentification,

habilitation, authentification forte, attaque par dictionnaire, attaque
par force brute, langage Leet, CAPTCHA.

»QUI SUIS-JE ? COMMENT LE PROUVER ET POUR

QUELS DROITS ?
Un individu mal intentionné peut-il s’introduire chez vous à votre
insu ? Si vous êtes absent, l’intrus va tout d’abord vérifier si votre
porte d’entrée est bien fermée à clé. Si tel est le cas, celui-ci peut
essayer de contourner cette sécurité en passant par une fenêtre ou
en cherchant un autre point d’entrée plus simple d’accès. Il peut
également décider de forcer la serrure ou bien la porte de votre
logement. Si vous avez mis en place un système d’alarme et que
vous disposez d’une serrure élaborée avec par exemple une porte
blindée, l’attaquant va très probablement réfléchir avant d’aller au
bout de son objectif. Est-ce que tant d’efforts valent réellement la
peine ? Un autre logement n’est-il pas plus simple à pénétrer tout en
diminuant le risque et les efforts ? En règle générale, une protection
minimale peut permettre de dissuader les intrus dans leurs actions
malveillantes.

Un moyen souvent observé pour contourner les mécanismes de

contrôle d’accès de votre logement est de pister votre
comportement. L’attaquant va, dans ce cas, surveiller vos habitudes
afin de récupérer un accès au double des clés et ainsi copier une
empreinte. Laissez-vous un double sous votre paillasson ? Peut-être
gardez-vous ce double dans un endroit proche de l’entrée de votre
maison ?

Imaginons maintenant que vous êtes chez vous. Si quelqu’un sonne à

votre porte, vous jouez le rôle de contrôleur d’accès. Un contrôle
d’accès se déroule typiquement en trois phases : (1) l’identification, (2)
l’authentification et (3) l’habilitation. La première phase du contrôle
est l’identification : l’individu proclame son identité.

Contrôleur d’accès : Qui est là ?

Intrus : C’est moi.
Contrôleur d’accès : Qui ?
Intrus : C’est Alice.

En plus de connaître l’identité de la personne, il faut maintenant

s’assurer que la personne est bien celle qu’elle proclame être – c’est
la seconde phase du contrôle d’accès : l’authentification. Vous
regardez à travers l’œilleton pour vérifier le physique et le visage de la
personne qui se trouve derrière la porte. Vous pourrez alors vous
assurer qu’il s’agit bien d’Alice. Une fois son identité confirmée, vous
décidez si Alice a le droit de rentrer chez vous à cette heure précise –
c’est la phase d’habilitation.
 Identification Qui suis-je ?
Authentification Prouver son identité
Quels sont mes
Habilitation
droits ?
Le contrôle d’accès en trois phases

Vous connaissez ce type de contrôle d’accès lorsque vous essayez de

traverser une frontière géographique. Vous avancez vers le point de
contrôle et votre passeport sert alors à vous identifier. Ensuite, l’agent
de sécurité vérifie que la photo présente sur votre passeport
correspond bien à la personne qu’il a en face de lui. Si tel est le cas,
vous êtes autorisé à passer la frontière. Il en est de même avec
PARAFE, le service de passage automatisé aux frontières. Celui-ci
vous authentifie à l’aide de votre passeport qui indique votre identité
puis de votre empreinte digitale qui la confirme.

Dans une phase d’identification en ligne, vous proclamez votre

identité par l’usage d’un login, d’un identifiant unique, d’un nom ou
d’un pseudonyme. Pendant l’authentification, vous devrez prouver
cette identité à l’aide de l’un des trois facteurs suivants : (1) une
information privée (mot de passe ou code secret), (2) un objet en
votre possession (smartphone, carte à puce, clé USB sécurisée),
(3) quelque chose qui vous caractérise (physique, voix, empreinte
digitale, rétine, ADN ou empreintes comportementales). Dans certains
cas, l’authentification peut être effectuée par une tierce personne qui
vous connaît ou vous reconnaît.

Ce que nous
savons
Ce que nous avons
Ce que nous
sommes
Les trois facteurs de l’authentification
Pour renforcer la sécurité, un service digital peut demander plusieurs
preuves d’identité avant d’authentifier la personne, nous parlons alors
d’une authentification multifacteur ou authentification forte.
Dans ce cas, l’individu doit proposer au moins deux preuves de son
identité. Par exemple, vous devrez fournir un mot de passe (un savoir)
et en complément renseigner un code unique qui vous sera envoyé
sur votre téléphone portable (objet en votre possession). Les accès à
des données particulièrement sensibles, telles qu’un dossier médical
ou judiciaire, peuvent nécessiter l’usage d’une carte à puce
personnelle en plus d’un simple mot de passe. Une clé USB sécurisée
peut être utilisée pour ajouter un facteur d’authentification
supplémentaire à vos comptes en lignes.

Certains services peuvent relier votre identité à d’autres données

supplémentaires telles une donnée de géolocalisation (pays et villes
de connexion), les heures de connexion ou les identifiants des
appareils que vous utilisez régulièrement. Si un individu tente
d’accéder à votre compte depuis un endroit inhabituel ou en utilisant
un appareil différent du vôtre, l’authentification nécessitera une
confirmation supplémentaire de votre part. Souvent, celle-ci sera
effectuée au travers d’un appareil ou d’un compte connu comme
étant le vôtre. Un exemple est le courriel « Alerte de sécurité critique »
envoyé par Google lors d’une tentative de connexion bloquée.
Google a alors identifié qu’un nouvel appareil ou qu’un individu sur
une zone géographique inhabituelle a tenté de se connecter à votre
compte.
Une fois l’authentification réussie, le système détermine les droits
assignés à l’individu. Il s’agit alors d’autoriser ou de refuser l’accès à
certains documents, services, ressources, etc. Afin de diminuer les
risques de piratage, chaque système doit respecter le principe du
moindre privilège qui stipule que chaque utilisateur doit avoir par
défaut un minimum de privilèges qui sont strictement nécessaires
aux tâches quotidiennes de celui-ci. Par exemple, il est recommandé
qu’un « comptable » ne puisse avoir accès qu’aux données de
comptabilité. Il en est de même concernant l’accès à un ordinateur,
l’utilisateur standard devra avoir un compte « utilisateur » et non
« administrateur ».

Un compte dit « administrateur » a généralement accès à l’ensemble

des droits sur le système, ainsi une attaque réussie sur un tel compte
sera bien plus dévastatrice que celle d’un simple compte
« utilisateur » qui est bien plus limité en droits. C’est la raison pour
laquelle il est recommandé de ne pas affecter de droits
administrateur à des individus n’ayant pas en charge la gestion du
système. Il est important de noter que la gestion des droits peut être
gérée de manière très fine afin d’autoriser à des utilisateurs ou à des
groupes d’utilisateurs des accès à des dossiers et à des fichiers
spécifiques et ce, en lecture, écriture ou en exécution.

»ATTAQUER UN MOT DE PASSE : PAR FORCE BRUTE

ET PAR DICTIONNAIRE
Le couple identifiant et mot de passe est le moyen d’authentification
le plus couramment utilisé dans nos systèmes numériques. Ainsi les
questions les plus fondamentales pour notre cybersécurité sont les
deux suivantes :

1. Quels sont les critères pour identifier un bon mot de passe ?

2. Quels mots de passe nous sécurisent le mieux ?

Observons par exemple les trois mots de passe suivants :

« Zh6u8aY », « 903628654 », « UnePetiteChose ». Pensez-vous que
ceux-ci soient robustes à une attaque ? Suffisants pour assurer votre
sécurité ? Pensez-vous que l’un des trois soit meilleur que les autres ?
Regardons maintenant le mot de passe suivant :
« Gv;LB/kX’Js4!5678,JgY », celui-ci semble être le plus robuste, mais
est-il le plus optimal ?
Il existe un grand nombre d’attaques possibles sur les mots de passe.
L’attaque la plus simple est connue sous le nom d’attaque par force
brute. L’attaquant par force brute va tout simplement tester
l’ensemble des combinaisons des symboles d’un alphabet afin de
retrouver le bon mot de passe. L’alphabet dont nous parlons est
typiquement constitué de toutes les lettres en minuscules et en
majuscules, ainsi que des chiffres et des symboles spéciaux les plus
courants. Il est bien entendu que cette attaque n’est pas
manuelle mais automatisée afin de pouvoir tester les combinaisons
dans un laps de temps le plus réduit possible.

L’attaquant utilise un script ou un robot qui va construire et envoyer

les mots de passe automatiquement. Il débute avec les mots de
passe les plus courts, (habituellement 4-5 symboles) qui sont les plus
rapides à égrainer. Le nombre de symboles sera ensuite
graduellement augmenté au fur et à mesure des tentatives.
Le coût d’une attaque par force
aaaa brute sur un mot de passe est
aaab mesuré en nombre de tentatives.
aaac Ce nombre dépend de la longueur
aaad du mot de passe et de l’alphabet
… utilisé pour le construire. Le nombre
UGhd de tentatives requises pour parcourir
UGhe l’ensemble des possibilités peut être
UGhf estimé par le nombre de symboles
… de l’alphabet (N) à la puissance de la
Lh49nsTY
longueur du mot de passe (L) : NL.
Lh49nsTZ
Par exemple, le coût d’une attaque
Lh49nsT.
par force brute sur un mot de passe
Lh49nsT!
de longueur 8 et sur la base d’un
Accès valide
alphabet de 30 symboles est
Attaque par Force brute d’environ 656 milliards.
Un mot de passe plus long est naturellement plus résistant à une
attaque par force brute. Dans ce contexte, le mot de passe
« UnePetiteChose » (14 symboles) est plus résistant que « Lh49nsT! »
(8 symboles). Depuis 2012, il est considéré qu’un mot de passe de 8
caractères ou moins n’est plus résistant à une attaque par force
brute et il est donc conseillé d’avoir des mots de passe d’au moins 9
symboles pour les connexions sensibles.

Un mot de passe contenant une majuscule est plus résistant qu’un

mot de passe équivalent qui n’en contient pas puisque l’alphabet
typique d’un attaquant commence par les minuscules. De plus, le
nombre de symboles d’un alphabet double si l’attaquant décide de
tester les majuscules en plus des minuscules. En effet, dans ce
scénario, chaque lettre comptera comme deux symboles. Par
conséquent, « Unepetitechose » est plus résistant à l’attaque par
force brute que « unepetitechose ».

L’alphabet typique d’un attaquant pourrait ressembler à celui-ci :

« abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.!?,@ ».
Si votre mot de passe contient des symboles spéciaux, comme des
lettres accentuées, un symbole monétaire ou autre, il sera par nature
plus résistant à l’attaque par force brute.

L’attaque par force brute est simple dans son principe de

fonctionnement mais aussi très coûteuse en nombre de tentatives. Le
nombre de tentatives requises peut s’avérer très large au regard du
temps requis pour les tester. Afin de pallier ce problème, l’attaquant
peut drastiquement baisser le temps d’une attaque en diminuant le
nombre d’essais effectués. Pour cela, il ne va plus tester l’ensemble
des mots de passe mais uniquement ceux qui sont les plus
fréquemment utilisés.

De nombreuses études démontrent régulièrement que nombre

d’utilisateurs ont des mots de passe bien trop simples tels un mot du
dictionnaire ou une simple séquence de chiffres. Il est ainsi très
fréquent d’observer parmi les mots de passe des prénoms, des
marques, des sports ou des équipes sportives, des événements, des
personnalités, des personnages de film, des couleurs, des capitales,
etc. L’usage de mots de passe très vulnérables tels que « password »,
« azerty », « qwerty » et « 123456 » est une pratique couramment
observée et à bannir.

De plus, les utilisateurs ne pensent pas à modifier les mots de passe

qui leur sont proposés par les fournisseurs de matériels tels que
« admin », « root » ou « 0000 ». Pour n’importe quel attaquant, tester
ces mots de passe par défaut est un réflexe avant même d’aller plus
loin. Le type d’attaque qui teste l’ensemble des entrées présentes
dans une liste de mots de passe prédéfinie est appelé une attaque
par dictionnaire.

Pour remédier à l’usage de mots de passe trop simples, de nombreux

services en ligne imposent à leurs utilisateurs un minimum de critères
à respecter. Il est ainsi assez commun de devoir renseigner au
minimum 8 caractères, une lettre majuscule, une lettre minuscule ainsi
qu’un chiffre et un caractère spécial. À première vue, ces règles
doivent inciter les utilisateurs à faire des choix de mot de passe
robuste mais souvent ceux-ci trouveront à moindre effort un mot de
passe tel que « Azerty1! » qui respecte à minima les critères et reste
vulnérable. Des chercheurs ont mis en évidence le fait que les
utilisateurs ont tendance à respecter les règles à la lettre en les
simplifiant. Ainsi, ils proposent exactement 8 caractères, la première
lettre étant une majuscule et un chiffre étant positionné à la fin. Si un
caractère spécial est imposé, la plupart des utilisateurs ajoutent alors
un point d’exclamation ou un point d’interrogation à la fin du mot de
passe. Il est entendu qu’aucun système ne vous demandera de
terminer votre mot de passe par un caractère spécial. Votre mot de
passe doit contenir au moins un caractère spécial quel que soit son
positionnement.

Les critères ainsi prédéfinis risquent d’imposer à tort un schéma à

suivre pour les utilisateurs et par là même de donner un indice sur la
logique de construction des mots de passe pour l’attaquant. Il
devient possible de construire un dictionnaire des mots de passe
correspondant aux motifs les plus usités. D’après les statistiques
effectuées sur les mots de passe issus des bases des données
compromises et disponibles en ligne, les utilisateurs ont tendance à
choisir un mot de passe qui respecte un des motifs suivants : 8
lettres, 8 chiffres, 1 lettre majuscule et 7 lettres minuscules, 7 lettres et
1 chiffre, etc.

Des schémas peuvent se créer dans les entreprises où les employés

doivent modifier régulièrement leurs mots de passe. La « stratégie »
de nombreux employés consiste simplement à changer le chiffre qui
se trouve à la fin du mot de passe ; ainsi « Princesse » devient
« Princesse2 » puis « Princesse3 ».

Les utilisateurs plus prudents savent qu’il faut éviter d’utiliser des
mots du dictionnaire pour se sécuriser et que l’utilisation de symboles
spéciaux augmente leur sécurité. Souvent, de tels utilisateurs
choisissent un mot de passe simple qui est ensuite transformé tout
en permettant une correspondance visuelle. Par exemple, au lieu
d’utiliser « password », « hacker », l’utilisateur choisira « P@55w0rd »,
« H4CK3R ». De telles transformations logiques portent le nom de
langage Leet (langage de l'élite) et sont aussi connues par les
attaquants.
Si nous nous intéressons aux codes
1 __2__3 de verrouillage des smartphones,
4__5__6 peu d’utilisateurs optent pour un vrai
7__8__9 mot de passe et la majorité privilégie
* __0__# un code à 4 ou 6 chiffres. Les codes
Un clavier digital les plus utilisés sont le « 1234 », le
« 0000 » et le « 1111 ». On observe aussi des répétitions de mêmes
chiffres tels que « 5555 » ou « 3434 » et les suites de chiffres du clavier
digital : « 2580 » ou « 1472 ».

»UN MOT DE PASSE QUI ME RESSEMBLE

Pour mémoriser facilement les codes d’accès, beaucoup d’utilisateurs
optent pour un mot de passe qui contient certaines données
personnelles : les prénoms de leurs enfants, le prénom du conjoint ou
d’un animal de compagnie, un numéro de téléphone, une date et un
lieu de naissance, etc. De tels mots de passe sont certes faciles à
mémoriser mais aussi particulièrement simples à pirater.

Avec la popularisation des réseaux sociaux numériques, de plus en

plus d’informations personnelles se retrouvent sur Internet. Attention
donc aux individus qui utilisent leur date de naissance pour protéger
l’accès à leur smartphone. Cette même date de naissance est
probablement renseignée dans leur profil Facebook ou LinkedIn.
L’attaquant trouvera sans difficulté les messages souhaitant un
joyeux anniversaire au milieu d’autres messages de votre mur
Facebook. Votre date de naissance, bien qu’étant une donnée
personnelle, n’est pas confidentielle, elle se retrouve donc assez
facilement de nos jours. Si vous utilisez la date de naissance de votre
conjoint pour accéder à votre smartphone, cette date sera
certainement la seconde tentative de l’attaquant.

Vous avez des enfants ? L’attaquant essayera sûrement leurs

prénoms dans un ordre divers afin d’accéder à votre ordinateur ou à
votre compte e-mail. Vous avez un animal de compagnie ? Son nom
est probablement déjà apparu sur les réseaux sociaux (si celui-ci n’a
pas déjà un compte Instagram à son nom !).

Votre passion n’est pas non plus un meilleur choix pour constituer un
mot de passe. Si votre collection de dauphins se trouve sur votre
bureau, l’attaquant essaiera « dauphin » pour accéder à votre
ordinateur. Votre équipe sportive préférée sera également dans le
haut de la liste des mots de passe à essayer.

»PROTECTIONS CONTRE LES ATTAQUES

Une attaque, qu’elle soit par force brute ou par dictionnaire,
nécessite un grand nombre de tentatives auprès du fournisseur de
service. Pour vous protéger contre ce type d’attaques, les systèmes
fixent des délais entre chaque essai. Ce délai augmentera au fur et à
mesure des essais échoués. De plus, les services limitent souvent le
nombre total de tentatives possibles et votre compte sera verrouillé
au bout de 5 à 10 essais selon les cas. Certains sites affichent un
message vous informant que votre compte est temporairement
bloqué pour des raisons de sécurité. C’est ainsi que si vous échouez à
plus de 10 reprises lors du déverrouillage de votre iPhone ou iPad,
celui-ci sera désactivé.

Un des enjeux pour réussir à pallier ce type d’attaques est de pouvoir

distinguer efficacement un humain d’une machine. En effet, si nous
pouvons nous assurer que c’est un humain qui renseigne son mot de
passe et non une machine, nous pouvons bloquer les attaques
effectuées par des robots malveillants. Cette volonté de distinguer et
de tester la différence entre un Homme et une machine nous ramène
au célèbre test de Turing en 1950. Le test de Turing (informaticien,
mathématicien, logicien, cryptanalyste, philosophe à l’origine de
l’informatique moderne) vise à mesurer le niveau d’intelligence
artificielle d’une machine. Pour cela, il propose à un humain
d’échanger par messages textuels et via un ordinateur avec deux
entités, l’une humaine et l’autre étant la machine (un programme),
sans savoir qui est qui. À la fin des échanges, si la personne n’est pas
capable de déceler avec certitude qui est la machine et qui est
l’humain, le test est dit réussi par la machine.

Aujourd’hui, pour effectuer la

distinction entre humain et
programme, nous avons recours à un
test de Turing automatisé et inversé
qui est connu sous le rétroacronyme
de CAPTCHA. Un CAPTCHA
Exemple de CAPTCHA (Completely Automated Public Turing
test to Tell Computers and Humans
Apart) prend souvent la forme de phrases ou de mots déformés qui
restent encore lisibles par les humains mais difficilement
interprétables par les machines. C’est alors à l’humain de se prouver
supérieur à la machine en étant capable de résoudre le problème.
Certains types de CAPTCHA sont basés sur des images que les
utilisateurs doivent choisir selon certains critères. Par exemple,
retrouver les images contenant des panneaux routiers et autres
objets qui apparaissent sous des angles variés et entourés d‘objets
semblables. La tâche est complexe et nécessite quelquefois même
pour l’humain plusieurs tentatives. Les CAPTCHA veillent ainsi à
rendre plus complexe l’accès à votre compte par des attaques par
force brute ou par dictionnaire. Pour passer un CAPTCHA, un
programme informatique devra pouvoir accomplir des tâches de
traitement d’image ou de traitement de signal sonore qui sont
particulièrement complexes même à l’époque de l‘intelligence
artificielle.
Finalement, pour éviter les attaques par force brute et par
dictionnaire, de nombreux services imposent une authentification à
deux facteurs à la suite de plusieurs échecs d’authentification. Vous
pourrez opter pour une authentification multifacteur par défaut, si
vous souhaitez une protection plus optimale.

En tant qu’utilisateur, vous pouvez vous protéger en choisissant des

mots de passe longs et complexes, de préférence uniques et sans
logique spécifique. Par exemple, il est souvent conseillé de choisir
plusieurs mots qui ne sont pas liés entre eux puis d’y ajouter des
chiffres et des symboles. Cette technique vous donnera un mot de
passe complexe pour un ordinateur mais suffisamment simple pour
que vous puissiez vous en rappeler à l’aide de moyens
mnémotechniques : « SingeOrdinateurCouronne23 ». Vous pouvez le
complexifier avec le langage Leet pour obtenir
« S1nge0rdin@teurC0ur0nne ».

Afin d’obtenir un mot de passe plus aléatoire, certaines sources

proposent de le coder. Vous pouvez le transposer en suivant un
algorithme et en utilisant une clé de substitution. Il s’agit ici de
remplacer les lettres de votre mot de passe par d’autres lettres et
symboles. Par exemple, vous pouvez remplacer les lettres « a », « b »
et « c » par la lettre « F » puis les lettres « d », « e », « f » par le
symbole %, etc. Pour plus d’aléas, vous pouvez également
commencer ou finir votre mot de passe avec une suite de symboles
uniques comme « Ki.D ».

Vous pouvez garder cette clé de substitution sur vous et l’utiliser pour
retrouver vos mots de passe issus de mots simples comme
« Ordinateur ». Puisque cette technique rend votre mot de passe plus
aléatoire, une attaque dictionnaire ne portera pas ses fruits et si
votre mot de passe est assez long, une attaque par force brute sera
très coûteuse.

Attention, si votre clé de substitution est compromise et si l’attaquant

connaît votre identité, celui-ci possède un alphabet réduit pour
procéder à une attaque par force brute.
 abc def ghi jkl mno pgr stu vwx yz
Ki.D F % s y n 0 X G A
Une clé de substitution de mots de passe. Pour le mot de passe d’origine « Ordinateur »,
le mot de passe substitué avec cette clé sera « Ki.Dn0%snFX%X0 ».

Pour conclure, un bon mot de passe est un mot de passe unique

pour éviter les attaques par dictionnaire, long pour lutter contre les
attaques par force brute tout en restant facilement mémorisable par
l’utilisateur.
 Ingénierie sociale,
ou la faille humaine
L’humain est à la fois le concepteur, le créateur et l’utilisateur des
systèmes digitaux. Son talent a permis cette digitalisation et sa
capacité d’adaptation a conduit à l’évolution de notre société et à
l'émergence du monde phygital. Malgré tout et comme déjà énoncé
par Plaute dans La Comédie des ânes, vers 195 avant J.-C : « L’homme
est un loup pour l’homme. » Quelques millénaires plus tard, un adage
bien connu des informaticiens stipule que la plus grande faille de
sécurité informatique se trouve entre la chaise et l’écran de
l’ordinateur, à savoir l’utilisateur. Ainsi, dans bien des cas, au lieu
d’attaquer un système de front, chose qui est souvent assez difficile,
un acteur malveillant va tenter d’exploiter une faille humaine pour
arriver plus facilement à ses fins. Ce processus d’attaque
informatique s’appuyant sur la crédulité humaine se dénomme
l’ingénierie sociale.

Concepts clés : ingénierie sociale, hameçonnage, hyperlien, search

poisoning, authentification par schéma, trousseau d'accès.

»L’HAMEÇONNAGE
L’hameçonnage ou phishing en anglais est une technique qui
consiste à tromper l’utilisateur en prétendant être une entité digne de
confiance. Tout ceci se fait dans le but de récupérer l’accès à des
données sensibles sans éveiller la suspicion de l’utilisateur. Du côté de
la victime, le processus commence souvent par la réception d’un
courriel qui semble provenir d’une banque, d’un fournisseur d’énergie,
d’une administration publique, d’un fournisseur d’accès Internet ou de
toute autre entité de confiance. Un tel courriel contiendra
systématiquement un lien (que l’on dénomme hyperlien ou lien
hypertexte) qui mènera soit à une pièce jointe, soit à une page web
semblable à la page officielle du service. Il vous sera alors demandé
de renseigner vos données personnelles ou sensibles telles que vos
codes d’accès (identifiant et mot de passe), les données inscrites sur
votre carte de crédit ou toute autre information.

Dans le but d’effectuer une attaque à large échelle et à fort impact,

l’attaquant va préalablement se constituer une liste de courriels de
victimes potentielles. Cela peut être une base de données achetée
auprès d’une entreprise, une base de données volée ou une liste
obtenue illicitement. Celle-ci peut être constituée en parcourant
automatiquement les sites web à la recherche d’adresses de courriels
visibles dont le format est facilement identifiable.
C’est la raison pour laquelle certains utilisateurs souhaitant se
protéger n’indiquent pas leur courriel de contact sous forme textuelle
mais plutôt dans une image. Cela évite leur collecte automatique par
des programmes, car ceux-ci ne sont pas adaptés pour analyser les
images et traitent beaucoup plus facilement du texte (à l’image du
test de Turing inversé).

Un message d’hameçonnage contient habituellement le logo officiel

de l’entreprise et dans le but de détourner l’attention de l’utilisateur,
soit un message alarmant ou a contrario un message plutôt habituel.
Par exemple, le contenu du message peut vous informer que, suite au
calcul de vos échéances, l’entreprise a remarqué qu’elle doit vous
rembourser une certaine somme d’argent (souvent peu élevée pour
ne pas attirer vos soupçons), vous devrez alors fournir vos
coordonnées bancaires (incluant le code secret CVV (Cardholder
Verification Value) qui se trouve sur le verso de la carte) pour
procéder au virement soit en suivant un lien, soit en répondant
directement au courriel. Si le code secret CVV de votre carte
bancaire vous est demandé et que vous n’êtes pas en train
d’effectuer un paiement sur un site de confiance, c’est sans aucun
doute une tentative d’hameçonnage.

Une demande similaire peut prétendre que vous avez gagné lors d’un
jeu en ligne ou d’un tirage au sort. Dans ce cas, les coordonnées
bancaires sont cette fois-ci nécessaires pour récupérer vos gains
monétaires. Dans une autre variante, on vous demande de payer une
taxe ou de commander quelque chose afin de recevoir un cadeau :
smartphone, voiture ou tout autre objet de valeur. Ce sont encore
des arnaques visant à récupérer vos coordonnées bancaires en
exploitant une faille humaine des plus simples – la crédulité.

Attention, un message d’hameçonnage peut tout à fait provenir d’un

de vos amis ou de membres de votre famille qui vous proposera de
consulter un lien. Ce type de messages est souvent transmis via les
messageries ou les réseaux sociaux et peut provenir de contacts qui
ont déjà été piratés. En suivant le lien, vous pourrez tomber sur la
copie d’une page connue et vous y connecter, ce qui va
compromettre votre identifiant et votre mot de passe. Sachez qu’un
simple clic peut engendrer le téléchargement d’un fichier malveillant.
En l’exécutant, vous pouvez compromettre votre machine car il
s’agira certainement d’un virus.
Une page web d’hameçonnage peut vous informer que votre
ordinateur ou navigateur est bloqué ou compromis et que vous
devez passer un appel ou effectuer un transfert d’argent de toute
urgence afin de récupérer l’accès à votre machine. Même si cela est
théoriquement possible (ce serait alors un rançongiciel/ransomware),
dans une grande partie des cas, c’est une page web comportant de
simples menaces non avérées. Le mieux est alors de fermer la page.

Une attaque par hameçonnage a récemment ciblé les utilisateurs du

service Gmail. De nombreux utilisateurs ont reçu un courriel
contenant ce qui semblait être une pièce jointe avec une facture. En
réalité, le courriel contenait une image imitant l’affichage d’une pièce
jointe dans Gmail. En cliquant sur l’image pour « ouvrir » la pièce
jointe, l’utilisateur se retrouvait sur une page de connexion à leur
compte Gmail. En pensant se connecter, les utilisateurs ont
compromis leur accès. Dans le cas de cette attaque, un indice de la
tentative d’hameçonnage se trouvait dans le lien de la barre
d’adresse du navigateur web qui, en plus de l’URL, comportait le
texte suivant : « data : text/html ». Ceci signifiait que c’est un contenu
issu du courriel lui-même et non pas d’une page web séparée.

En réponse à ce vecteur malveillant, les filtres « anti-spam » sont

désormais intégrés dans les principaux services de messagerie et
nous protègent contre ce type d’attaque en filtrant les contenus qui
semblent être malveillants ou déjà identifiés comme tels.
Malheureusement, ces filtres automatiques ne peuvent détecter
toutes les tentatives d’attaque et l’utilisateur doit rester vigilant.
Faites donc attention aux notifications de sécurité de votre service
de messagerie : vous êtes souvent averti d’un contenu inhabituel. Si
vous avez le moindre doute sur la fiabilité d’un courriel reçu, ne
cliquez pas sur les liens et n’y répondez pas surtout si des données
sensibles vous sont demandées. Vous pouvez ignorer ou supprimer
ce type de messages. Vous pouvez également les signaler comme
non désirables. Cela permettra au logiciel d’améliorer le filtrage des
courriels.

Si vous recevez un courriel inhabituel ou un lien sans explication, un

bon réflexe à adopter est de confirmer le contenu sans cliquer sur le
lien proposé. Demandez vérification vous allez rapidement savoir si le
contenu est légitime et si votre ami a effectivement envoyé ce lien.
Dans le cas d’un message alarmant provenant de l’un de vos
proches, utilisez un autre canal de communication pour confirmer le
contenu : un SMS, une messagerie instantanée, ou une autre adresse
de courriel.

Vous pouvez vérifier si un site est de confiance à travers de

nombreux services en ligne qui répertorient les sites malveillants. De
plus, l’État français a créé la plateforme PHAROS (Plateforme
d'harmonisation, d'analyse, de recoupement et d'orientation des
signalements) pour permettre aux utilisateurs de signaler tous les
sites pouvant présenter des problèmes de sécurité. Vous pouvez
également utiliser la plateforme Signal Spam.

Dans le cas où le courriel suspect proviendrait d’un service que vous

utilisez et si celui-ci prétexte une faille de sécurité ou une fermeture
du compte, connectez-vous à votre compte en utilisant la page web
habituelle. Si l’attaque a vraiment eu lieu, vous en aurez la
confirmation sur la page officielle, si cette information n’existe pas sur
la page, vous pourrez ignorer le courriel reçu.

Il est important de prêter attention au contenu du courriel : dans le

cas de l’hameçonnage, celui-ci contient souvent des fautes
d’orthographe avec un contenu écrit de manière très impersonnelle
ou en utilisant de fausses données (un numéro client, par exemple,
qui n’est pas le vôtre). La seule personnalisation possible sera votre
nom et prénom que l’attaquant aura probablement trouvé dans la
liste de contacts d’une personne compromise ou directement grâce
à votre courriel (il est courant de créer des courriels du type
nom.prenom@email.com). Il est possible que certaines données
issues des réseaux sociaux permettent de personnaliser et de
légitimer le contenu du courriel en exploitant par exemple des
données publiques de votre compte LinkedIn ou Facebook. Pour
tester la légitimité du courriel, vous pouvez tout simplement faire une
recherche rapide sur Internet à partir du contenu – les informations
sur les attaques d’hameçonnage remontent rapidement.

Notez l’adresse de l’émetteur du message. Cette adresse ne vous

garantit pas la fiabilité d’un courriel car elle peut être facilement
modifiée avant l’envoi. Cependant, elle peut vous avertir d’une
provenance douteuse. Les services de messagerie bloquent les
courriels provenant des autorités connues, issus de serveurs
inhabituels. Pour passer au travers des mailles du filet, les attaquants
peuvent modifier légèrement le nom de l’entreprise. L’adresse peut
donc être proche mais non identique aux courriels utilisés par votre
banque.

Il n’existe pas de vérification de l'adresse de l'émetteur dans le service

de messagerie. L'émetteur ajoute simplement son adresse de courriel
en tant que texte dans l'en-tête du courriel qu’il va envoyer. Le
récepteur récupère la chaîne de caractères de l’en-tête et l’affiche.
Un émetteur peut donc renseigner une fausse adresse de courriel. Si
le courriel reçu provient de votre propre courriel ou si le destinataire
n’est pas vous, c’est peut-être signe d’une d’attaque.

Vous pouvez assez facilement vérifier l’en-tête d’un courriel suspect

en accédant aux propriétés du message. En fonction de votre
hébergeur de messagerie, Il vous suffit de visualiser le courriel puis de
cliquer sur « voir l’en-tête », « voir l’original » ou bien « paramètres du
message ». Dans l’en-tête, vous pourrez alors trouver des
informations supplémentaires sur l'émetteur en prêtant attention à la
section « Received: from » qui vous dévoilera le nom du serveur
d’envoi et souvent aussi son adresse Internet (dénommée IP
pour Internet Protocol) qui peut vous dévoiler l'emplacement
géographique du serveur. La section « Reply-To: » peut contenir le
courriel du récepteur en cas de réponse de votre part. Celui-ci n’est
pas forcément l'émetteur original indiqué dans la section « From: ».

Il est important de garder une vigilance sur les URLs intégrées dans
les courriels. Ce texte cliquable connu sous le nom de lien hypertexte
est représenté dans un courriel souligné et souvent en couleur. En
cliquant dessus, vous serez redirigé vers une page web désignée par
l’URL qui lui est associée. En passant le curseur de la souris sur ce lien,
vous pourrez voir l’URL associée à côté du curseur ou en bas de
l'écran. Ceci vous permet de vérifier le lien avant de cliquer. Si le lien
comporte des erreurs, ne ressemble pas aux liens habituels venant de
l’entreprise ou contient la donnée « data : text/html », ne cliquez pas
dessus.

Finalement, soyez attentif aux notifications de votre navigateur web

quand vous ouvrez une page. Vous serez prévenu si votre connexion
devient non-sécurisée par les notifications et par les visuels.
Typiquement, un cadenas apparaît à côté de l’URL si la connexion
est sécurisée. L’URL commence avec « https » ce qui signifie en
français le « protocole de transfert hypertexte sécurisé » où le « s »
nous indique que la connexion est sécurisée. Si vous arrivez sur une
page web qui vous demande des informations sensibles alors que la
page n’est pas sécurisée, c’est une indication d’hameçonnage. Par
contre, l’inverse n’est pas forcément vrai : tous les sites qui mettent en
œuvre une connexion sécurisée ne sont pas forcément bienveillants.

Les informations peuvent non seulement être volées à travers des

courriels et des sites frauduleux mais aussi simplement par téléphone.
Nous parlons alors d’hameçonnage téléphonique. Vous pouvez
recevoir un appel de la part de quelqu'un prétendant être un tiers de
confiance : une banque, un sondeur, un supérieur hiérarchique de
l’entreprise, une organisation connue, un club privé ou autre. Vous ne
devez surtout pas dévoiler vos informations privées, vos codes
secrets ou vos coordonnées bancaires à de tierces personnes.
Comme pour l’hameçonnage traditionnel, vérifiez l’information en
rappelant la personne ou l’entreprise en question.

»STOCKAGE ET RÉUTILISATION DE MOTS DE PASSE

Pour une sécurité optimale, il est conseillé d’utiliser un mot de passe
unique, long et imprévisible ce qui conduit souvent à l’utilisation de
mots de passe auto-générés par ordinateur. Il est vrai que de tels
mots de passe sont complexes non seulement pour les attaquants,
mais aussi pour notre mémoire. En effet, les mots de passe
complexes finissent souvent par être écrits sur un post-it ou une
feuille de papier collée sur l'écran, sous le clavier, sur la table ou dans
un des tiroirs les plus proches. Un attaquant peut donc récupérer les
accès sans passer par la moindre attaque informatique s’il a un
accès physique et direct à votre poste de travail. Un mot de passe
auto-généré n’est donc pas forcément plus sécurisé qu’un mot de
passe choisi par la personne s’il n’est pas mémorisable. Un secret
écrit peut potentiellement être retrouvé et dévoilé.

Une pratique usuelle est de forcer les utilisateurs à modifier leurs

mots de passe tous les 90 jours. Cela semble être une bonne mesure
de sécurité car si un des mots de passe est compromis, le
changement permettra de remettre la sécurité à niveau. Un mot de
passe compromis doit être impérativement modifié sur l’ensemble
des services qui utilisent ce même mot de passe. C’est pour cette
raison qu’il ne faut pas utiliser un de vos anciens mots de passe : il
est potentiellement déjà compromis.

Le travail de mémorisation de mots de passe devient complexe

étant donné le nombre de services que nous utilisons
quotidiennement. C’est ainsi que beaucoup de mots de passe se
retrouvent à tort sur des post-it ou des bouts de papier non loin de
l’ordinateur.

Pour simplifier l’utilisation de ces services et surtout pour être sûrs de

se souvenir de leur mot de passe, nombreux sont les utilisateurs qui
utilisent un mot de passe unique pour la majorité de leurs comptes
en ligne. Le danger d’un tel comportement réside dans le fait qu’il
suffise qu’un seul compte de l’utilisateur soit compromis pour que
tous les accès soient compromis. L’attaquant qui s’empare d’un
identifiant et d’un mot de passe pour un service même insignifiant va
ensuite le tester sur les autres services en commençant par les
services de messagerie. Une fois que l’attaquant obtient l’accès à
votre messagerie, il peut non seulement s’en servir pour de
l’hameçonnage ou voler vos correspondances privées, mais il peut
aussi réinitialiser les accès aux autres comptes.

Utiliser un seul mot de passe est d'autant plus dangereux que les
utilisateurs ont l’habitude, quelquefois l’obligation même, de créer un
compte en ligne pour le moindre service. En créant un compte,
l’utilisateur peut fournir ses accès aux acteurs malveillants sans
même s’en rendre compte. Une technique malveillante appelée
l’empoisonnement des moteurs de recherche ou search poisoning
consiste à créer un site web qui propose un contenu attractif pour les
utilisateurs et le rendre visible sur les moteurs de recherche. Un tel site
saura artificiellement gagner de l’importance et pourra remonter
dans les premières positions lors d’une recherche Google. Ce type de
sites va, par exemple, proposer de télécharger des livres ou des
logiciels gratuitement, de consulter un film en streaming en échange
de la création d’un compte. Souvent, le service sera rendu ce qui
masquera les intentions malveillantes des créateurs : l’utilisateur
partira satisfait et sans soupçon.

Faites attention aux sites qui vous proposent des logiciels et plus
particulièrement des antivirus gratuits. Vous risquez non seulement
de leur fournir votre mot de passe en créant le compte, mais en plus
de télécharger un logiciel malveillant. Nombre de jeux vidéo payants
sont disponibles gratuitement sur certains serveurs ou kiosques
d’applications. Ceux-ci sont bien souvent infectés. Il est donc
conseillé de vérifier la qualité de l’éditeur du logiciel que vous
téléchargez pour vous assurer de son caractère légitime.

Pour éviter de perdre un mot de passe unique, il est important d’avoir

plusieurs mots de passe pour les services divers. Certains utilisateurs
conservent leurs mots de passe sur un fichier de leur ordinateur : cela
permet d’avoir les comptes en sécurité et de ne pas perdre les accès
à cause d’un oubli. Cependant, tous les accès se trouvent sur le
même support et sont écrits en clair. Si votre ordinateur est
compromis, tous vos accès seront aussi compromis.

Étant donné l’impossibilité de garder en mémoire les mots de passe

uniques pour chaque service, il est conseillé d’avoir un mot de passe
fort et unique pour le service de messagerie, puis quelques mots de
passe séparés pour les services sensibles qui, par exemple, impliquent
les achats, un mot de passe pour les services moins sensibles comme
les réseaux sociaux et finalement un mot de passe simple pour tous
les services non sensibles et les créations de comptes à usage
unique. Si vos accès non sensibles sont compromis, les conséquences
seront moindres. Il est préférable d’avoir un courriel différent de votre
courriel principal pour les services non sensibles et d’activer
l'authentification à deux facteurs pour les services sensibles.

Votre navigateur propose régulièrement de sauvegarder vos mots de

passe. Cela permet de choisir des mots de passe uniques pour tous
les services et de laisser le navigateur pré-remplir les valeurs de
l’identifiant dès que la connexion est requise. Les mots de passe
stockés par le navigateur sont chiffrés avec une clé de sécurité. La
protection se base sur votre session et votre mot de passe de session
(celui avec lequel vous vous connectez à l’ordinateur). De ce fait,
votre mot de passe de session doit être robuste.

Vous pouvez facilement consulter la liste des mots de passe

sauvegardés dans votre navigateur web. En fonction du navigateur, il
faut accéder aux paramètres avancés ou aux paramètres de sécurité
pour visualiser la liste des comptes, puis utiliser la fonction « visualiser
les mots de passe ». Pour voir le mot de passe en clair, le navigateur
vous demandera votre mot de passe de sécurité qui est fort
probablement votre mot de passe de session.

Il est néanmoins possible de visualiser le mot de passe en clair dans

le navigateur web sans connaître le mot de passe de la session. Si
l’ordinateur est non verrouillé et laissé sans surveillance, l’attaquant
peut ouvrir le navigateur web et demander de pré-remplir les
champs. D’habitude, votre mot de passe, quand il apparaît dans le
navigateur web est caché par des étoiles ou des points, mais il est
facile de changer l'apparence et de dévoiler le mot de passe original.
La différence entre le champ de l’identifiant et celui du mot de passe
réside uniquement dans son type qui change son apparence. Il suffit
de modifier le type de champ dans le code de la page source à
l'aide d’un inspecteur pour le rendre visible. Il est impératif de
verrouiller la session à chaque fois que vous quittez votre ordinateur
même pour une courte durée.

Les utilisateurs de Mac ont un outil de gestion des mots de passe

intégrés dans le système qui s'appelle le trousseau d'accès ou
Keychain en anglais. Cela permet de stocker tous les accès dans un
emplacement sécurisé. Le trousseau contient non seulement les mots
de passe utilisés dans le navigateur web, mais aussi les accès Wi-Fi,
les accès à des logiciels divers, les clés de chiffrement, les certificats
de sécurité. Les accès sont chiffrés par défaut avec votre mot de
passe de session. Le trousseau d'accès se trouve dans le dossier
« Utilitaire » (accessible à partir du menu « Aller » du Finder). Dès que
vous décidez de sauvegarder un mot de passe sur votre Mac en
cliquant sur la notification, il sera transféré dans le trousseau. Si vous
avez oublié un de vos mots de passe (par exemple, votre mot de
passe Wi-Fi de la maison), vous pouvez le retrouver dans le trousseau
en indiquant votre mot de passe de session.

D’autres systèmes de gestion de mots de passe existent sur le

marché. La majorité se base sur le même principe : les mots de passe
sont stockés dans un coffre-fort sécurisé et leur sécurité est assurée
par un chiffrement robuste. Il vous suffit de créer un mot de passe
principal sur lequel toute la sécurité sera basée et qui vous sera
demandé pour accéder au coffre-fort. L’avantage d’utiliser un tel
système est de ne pas avoir besoin de garder en mémoire tous les
mots de passe. De plus, chaque mot de passe, puisque non
nécessairement mémorisé par l’utilisateur, pourra être très robuste et
suivre l’ensemble des bonnes pratiques. Lors de votre connexion sur
le site, le système va automatiquement vous connecter. Un des
principaux inconvénients est la perte de tous les accès dans le cas où
le coffre-fort est forcé. De plus, il faut faire confiance aux fournisseurs
de ce type de service et leur sécurité, surtout si vos codes d'accès
sont stockés à distance (on dit usuellement côté serveur) et non
seulement en local sur votre machine. Faites donc attention en
téléchargeant un logiciel sur Internet, cela peut être le piège parfait
pour vous voler vos accès. Il en est de même concernant les logiciels
qui vous proposent d'auto-générer les mots de passe : ces outils
peuvent permettre aux attaquants de se construire une liste pour
mener à bien une attaque par dictionnaire.

»AUTRES FAILLES HUMAINES

Quand vous saisissez le code pin de votre carte bancaire en faisant
un achat, il est toujours conseillé de protéger le clavier des yeux des
passants (ou des caméras). Cette démarche est aussi valable pour le
code d'accès à votre téléphone portable ou pour votre écran
d’ordinateur. Un mot de passe simple, ou toute autre donnée
sensible, peut être facilement repéré et mémorisé par un collègue, un
passant ou quelqu'un assis sur le siège voisin. C’est d'autant plus vrai
pour les codes courts, ou les codes visuels car la mémorisation est
plus simple. Il est beaucoup plus facile de repérer les codes qui
suivent un motif sur le clavier comme, par exemple, les codes de
déverrouillage des smartphones dont les chiffres se suivent en ligne
ou en colonne.

Si vous avez un téléphone sous Android et que vous utilisez

l’authentification par schéma pour le déverrouiller, celui-ci est encore
plus facilement repérable que les codes à chiffres ou les mots de
passe. Le motif est souvent souligné en couleur et beaucoup
d’utilisateurs choisissent un motif de fermeture simple qui forme une
lettre comme « C », « S », « Z », ou « U ». Les points sont souvent
utilisés une seule fois ce qui réduit le nombre de possibilités. Pourtant,
le système vous permet de réutiliser le point dans votre motif.

Une autre attaque non-technique est une attaque aux traces de

doigts qui est liée aux écrans tactiles. En effet, pendant l’utilisation de
nos appareils tactiles, nos doigts laissent des traces. En regardant
l'écran de l’appareil sous un bon angle ou en prenant une photo, il
est possible de discerner les traces liées aux codes pin ou encore plus
facilement les traces du schéma de verrouillage. Notons également
qu’une attaque semblable peut être effectuée pour accéder de
manière illicite à un immeuble sécurisé. Dans ce dernier cas, c’est
l’usure des touches du clavier qui sera utilisée pour réduire le nombre
de tentatives requises à l’obtention de l’accès.

Pour se protéger de ce type d’attaques, il est conseillé d'appliquer un

film de protection à l'écran de téléphone ou sur l’ordinateur. Avec une
telle protection, il est uniquement possible de voir l'écran en se
positionnant en face. Toute personne regardant votre écran de côté
verra un écran noir.

Les accès sont souvent compromis par des erreurs d’inadvertance.

Par exemple, il est courant d’ouvrir un document contenant un mot
de passe lorsque l’ordinateur est connecté sur un projecteur ou
lorsque le partage d'écran est activé durant une vidéoconférence.
Les joueurs en ligne qui sont en direct sur le réseau et partagent leurs
écrans en sont parfois victimes : ils ferment la fenêtre du jeu et le
public découvre une fenêtre contenant le mot de passe. Quelques
secondes suffisent pour un acteur malintentionné. Quelquefois des
programmeurs novices incluent des mots de passe d’accès à des
serveurs sécurisés directement dans leur programme. Cette pratique
est évidemment à bannir. Tout se déroule normalement jusqu’à ce
que le code soit partagé sur des plateformes telles que GitHub et
que toute la communauté des programmeurs ait accès à ces
données sensibles. Certains reportages télévisés effectués
directement dans l’entreprise ont vu apparaître des mots de passe
en arrière-plan de la personne interviewée.

Avant de rendre votre écran visible, il est important de vérifier et

fermer les fenêtres contenant des informations sensibles. L’envoi de
mots de passe et de codes secrets par messagerie est une mauvaise
pratique de sécurité.

Un vieil appareil qui n’est plus utilisé peut créer un axe d’attaque.
Avant de rendre, prêter ou jeter un appareil, il est impératif de le
réinitialiser pour supprimer tous vos accès ainsi que vos données
sensibles. Sans cette précaution, un acteur malveillant peut s'en
emparer. Si vous utilisez vous-même un appareil prêté ou un
ordinateur public, ne sauvegardez pas vos accès et déconnectez-
vous de tous vos comptes avant de quitter la session.
 Logiciels malveillants
et espions
Les logiciels malveillants peuvent prendre de multiples formes.
Certains virus peuvent être téléchargés par l’utilisateur sans qu’il s’en
rende compte, par exemple lors du téléchargement d’un logiciel, de
l’ouverture d’un fichier, ou simplement en naviguant sur Internet. Ils
sont capables de se répliquer de fichier en fichier et ainsi d’infecter
votre ordinateur. D’autres sont capables de se propager de machine
en machine, en exploitant différentes stratégies de propagation et
vulnérabilités des systèmes. Certains sont capables de chiffrer les
données se trouvant sur votre disque dur, les rendant ainsi illisibles.
Enfin, quelques-uns peuvent être pilotés à distance pour leur mise en
action conjointe sur des attaques massives visant des industries, des
grands groupes ou même des États. La virologie informatique, par
analogie à la médecine, fait référence à l’étude de l’ensemble des
logiciels malveillants existant dans la nature digitale. Nous en
dressons un aperçu illustré d’exemples dans ce chapitre.

Concepts clés : Virus, virus macros, VBScript, chevaux de Troie, vers,

portes dérobées, enregistreurs de clavier, rançongiciels, publiciel,
Botnet, menace persistante avancée (APT), antivirus, pare-feu,
attaque zero day, ingénierie inverse.

»LES VIRUS
Un virus informatique est un logiciel malveillant chargé en mémoire
sur l'ordinateur d'un utilisateur à l'insu de celui-ci et qui exécute des
actions malveillantes. Un virus, par analogie à la biologie, peut
s'auto-répliquer, en s'insérant dans d'autres programmes ou fichiers
qui deviennent ainsi infectés. La transmission de l’infection de
machine en machine peut se faire lors du partage de fichiers. Le virus
exploite alors un programme hôte pour pouvoir s'exécuter. Il est
important de noter que le virus a pour unique but de nuire au
fonctionnement de la machine hôte, il a un usage purement
destructif. Parmi les moyens de diffusion, un grand nombre de virus
sont diffusés par les canaux de messagerie, des clés USB, des
logiciels téléchargés illégalement ou des sites Internet infectés.
Notons qu’il n’est pas rare de trouver des clés USB infectées en
cadeau dans les boîtes aux lettres ou simplement jetées sur le
parking d’une grande entreprise dans l’attente qu’un employé la
récupère et la connecte au système de l’entreprise. De cette manière,
le virus peut directement attaquer le système d’information de
l’entreprise même si celui-ci n’est pas connecté à Internet. La
diffusion de clés USB comme cadeaux lors de forums ou salons est à
prendre avec beaucoup de vigilance.

Les fichiers bureautiques tels que les documents Microsoft Word,

Excel ou PowerPoint peuvent être des vecteurs de malveillance
exploités par des virus spécifiques nommés les virus macros. Ce
type de virus est d’autant plus dangereux que ces fichiers sont très
souvent transmis par courriel, ce qui contribue à sa propagation. Au-
delà de l’usage traditionnel d’une feuille de calcul ou d’un document
texte, les documents peuvent contenir des fonctionnalités
additionnelles. Vous avez certainement déjà ouvert un document
Word qui vous demande d’accepter les macros pour pouvoir profiter
pleinement de ses fonctionnalités. Les macros sont des
fonctionnalités qui sont programmées à l’aide d’un langage
spécifique le VBScript. Une approche malveillante observée par ce
type de script consiste à télécharger un virus depuis Internet à l’insu
de l’utilisateur et à l'exécuter. Le script contenu dans le fichier n’est
alors qu’un moyen de propagation dans l’usage du virus.

DRIDEX est un exemple de virus macro qui se propage à l’aide d’une

campagne d’hameçonnage par courriel. Le contenu du message fait
référence à une facture ou une réservation au format Microsoft Word
qui se trouve en pièce jointe. Cette pièce jointe, lorsqu’ouverte,
demande l’autorisation d'exécuter la macro. Si l’utilisateur accepte
(ou si l'exécution automatique a été paramétrée), le script télécharge
un virus et l'exécute. Ce virus est capable de voler les données
bancaires et autres données personnelles à l’insu des utilisateurs.

Une attention particulière doit être également portée aux fichiers

PDF, ceux-ci peuvent contenir des contenus actifs, un programme
malveillant peut alors s'exécuter dès l’ouverture du document.

»LES CHEVAUX DE TROIE

Le récit de la guerre de Troie nous parvient de la célèbre épopée de
l'Iliade écrite par Homère. Le cheval de Troie y est décrit comme un
grand cheval de bois imaginé par Ulysse, alors Roi d'Ithaque, pour
tendre un piège à ses ennemis Troyens. Il s’agissait d’une astuce des
guerriers grecs visant à pénétrer à l’intérieur de la ville de Troie sans
éveiller de soupçons. Le cheval de bois orné d’or fut offert en cadeau
aux Troyens qui le firent entrer dans la ville. La nuit venue, des
dizaines de guerriers grecs cachés à l’intérieur s'en extirpèrent pour
venir ouvrir les portes de la ville et permettre son attaque. Dans sa
version digitale, le cheval de Troie fait référence à un logiciel installé
par l’utilisateur à son insu et qui peut permettre aux attaquants de
prendre le contrôle à distance du logiciel ou de l’ordinateur
(via une porte dérobée). Il est souvent dissimulé à l’intérieur d’un
logiciel apparaissant comme légitime. Les chevaux de Troie peuvent
permettre de supprimer des fichiers de votre ordinateur, mais aussi
de vous espionner à distance, ou bien de nuire au bon
fonctionnement du système. Le cheval de Troie dans son format
strict n’est pas capable de s’auto-répliquer, contrairement aux virus.

»LES VERS
Un ver, contrairement à un virus informatique, n'a pas besoin de
programme hôte pour se répliquer. Celui-ci exploite les différentes
ressources de l'ordinateur qui l'héberge pour assurer sa reproduction.
Les vers informatiques utilisent le réseau pour envoyer des copies
d’eux-mêmes à d’autres ordinateurs. Généralement, ils utilisent une
faille de sécurité pour se répliquer de système en système de manière
automatique, sans intervention de l’utilisateur. Ils peuvent se
propager très rapidement à travers un réseau et infecter les
machines sur leur chemin. Il peut être difficile de les détecter car ils
ne se copient pas forcément sur le disque dur de leurs victimes et
peuvent se contenter de rester en mémoire vive.

»LES PORTES DÉROBÉES

À l’origine d’un logiciel se trouvent ses concepteurs, à savoir les
éditeurs et les programmeurs. Ceux-ci sont en charge du
développement du logiciel qui peut contenir des milliers, des millions,
voire quelquefois des milliards de lignes de code pour le moteur de
recherche Google par exemple. Ces logiciels comportent des failles
qui sont exploitées par des acteurs malveillants et peuvent
directement contenir des fonctionnalités cachées intégrées par leurs
développeurs afin d’obtenir un accès secret et illégitime : ce sont les
portes dérobées (ou backdoor). Ces portes dérobées permettent à
ceux qui les exploitent d'accéder aux données utilisateur gérées par
le logiciel et ainsi d’en surveiller/contrôler l’usage. Il est important de
noter que si le logiciel dispose d’accès à certaines données du
système, celles-ci pourront être consultées et traitées par
l’exploitation de la porte dérobée, rendant son usage encore plus
dévastateur. Certaines portes dérobées peuvent même accéder à
l’ensemble du système.

»LES ENREGISTREURS DE FRAPPE

Le reniflage de clavier consiste à intercepter à l’insu de l’utilisateur, la
totalité des frappes effectuées sur le clavier. Ces outils ont la faculté
de stocker l’ensemble de ces frappes dans des fichiers dédiés. Cette
technique d’espionnage digital est très puissante car elle permet
d’obtenir toutes les informations saisies, à savoir par exemple les
mots de passe et clés utilisés, les numéros de carte de crédit, etc.
Certains enregistreurs de clavier (Keyloggers) vont jusqu’à faire des
copies d’écran pour pouvoir récupérer les codes d’accès lorsque
ceux-ci sont saisis via des clics de souris.

Les ordinateurs laissés à disposition de visiteurs dans des lieux

publics tels que les bibliothèques, les cybercafés, les universités ou
durant les salons peuvent contenir un keylogger. Il convient donc
d’être vigilant à ne pas renseigner vos mots de passe ou autres
informations sensibles sur des machines à disposition du public. Il est
important de noter que les enregistreurs de clavier peuvent être
logiciels ou matériels. Dans le cas du logiciel, il s’agit d’un programme
sur la machine hôte qui sauvegarde sur la machine de l’utilisateur ou
même directement à distance les frappes au clavier. Les
enregistreurs de frappe matériels, eux, sont des « connecteurs USB »
de quelques centimètres se situant entre la prise du clavier et
l’ordinateur. Ceux-ci peuvent être fonctionnels sans aucun logiciel et
sont donc difficilement détectés par les antivirus. Ils peuvent contenir
une mémoire Flash locale de plusieurs gigaoctets qui leur permet de
stocker les frappes pour une durée importante et de manière invisible
à l’utilisateur (les données peuvent être chiffrées). À noter que ce
matériel peut s'acquérir pour quelques euros seulement, il convient
donc d’être particulièrement vigilant.

Les enregistreurs de frappe peuvent être exploités avec malveillance

ou avec la volonté de surveiller le comportement des employés d’une
entreprise, d’un enfant, d’un compagnon, ou bien dans le cadre d’une
enquête judiciaire. Celui-ci nuit au respect de la vie privée, et est
illégal dans nombre d’usages en France. À relever cependant qu’il est
autorisé dans le cadre de la perquisition à distance : loi n° 2003-239
du 18 mars 2003 qui a inséré un article 57-1 dans le Code de
procédure pénale.

»LES RANÇONGICIELS
Les rançongiciels se propagent, la plupart du temps, via une pièce
jointe associée à un courriel. Quand le rançongiciel est activé, il
commence à chiffrer vos données de manière à les rendre
inintelligibles. Le pirate demande ensuite une rançon en contrepartie
de la procédure permettant de déchiffrer les données. Dans le cas où
la personne ne payerait pas dans les délais escomptés, le
rançongiciel est capable d’augmenter le tarif nécessaire à la
récupération des données voire même de supprimer les données
définitivement.

Wannacry est l’un des représentants les plus dévastateurs de cette

catégorie. Celui-ci a fait son apparition en 2017 et aurait fait plus de
200 000 victimes dans plus de 150 pays selon Europol. La rançon
était de 300 $, à payer en bitcoins (une cryptomonnaie), afin de
rendre la transaction difficilement traçable. Parmi les victimes de
Wannacry, notons la Banque Centrale russe, le constructeur
automobile français Renault, le groupe américain FedEx ainsi que le
service public de santé britannique (NHS). Wannacry a créé
beaucoup de dégâts car c’est un rançongiciel auto-répliquant qui se
propageait dans les réseaux. Une fois une machine infectée,
Wannacry continuait à infecter les autres machines du réseau.

Wannacry a ciblé une faille du système Windows XP, système

d’exploitation qui n’était plus maintenu par Microsoft au vu de son
obsolescence et de la sortie de nouveaux systèmes. Suite à l’attaque
et à la vue du nombre important d’utilisateurs touchés, Microsoft a
rapidement publié une mise à jour corrigeant la faille. Un grand
nombre d’entreprises n'ont pas mis à jour le système d'exploitation et
ont été ensuite victimes d’autres attaques exploitant la même faille
de sécurité telles que NotPetya et Adylkuzz. Moins d’un mois après
Wannacry, NotPetya a touché les entreprises Nivea, Saint-Gobain,
Auchan et la SNCF, rendant illisibles les données des ordinateurs
infectés.

Il est important de préciser que rien ne garantit que le hackeur

débloquera l’appareil après avoir reçu la rançon. Le rançongiciel peut
être un « wiper » – un logiciel malveillant qui a pour le but de détruire
les données et non de les prendre en otage. Il est donc impératif de
ne pas payer de rançon, les gains encouragent les acteurs
malveillants à poursuivre leurs attaques.

Pour récupérer plus facilement des données d’une attaque par

rançongiciel, il est important d’effectuer des sauvegardes régulières.
Pour les données critiques d’entreprise, il est même conseillé d’avoir
plusieurs sauvegardes à des emplacements géographiques distincts.

»LES PUBLICIELS
Un publiciel ou adware en anglais est un logiciel qui affiche de
manière intempestive de la publicité aux utilisateurs. Il n’est pas
forcément malveillant et peut proposer un service utile tout en
générant des revenus grâce à la publicité. Les utilisateurs
téléchargent souvent eux-mêmes des jeux contenant un publiciel et
acceptent la publicité en échange de la gratuité. Un grand nombre
d’applications mobiles intègrent des publiciels, c’est leur modèle de
revenu.
Un adware installé à l’insu de l’utilisateur sur son appareil peut être
gênant car l’affichage des publicités va perturber l’usage normal de
la machine. Un publiciel peut infecter un système ou un navigateur
pour ensuite ouvrir des fenêtres à tout instant. Quelquefois, un
logiciel espion peut être intégré dans le publiciel pour analyser le
comportement utilisateur.

La distribution de publiciels se fait de la même manière que la

distribution des autres logiciels malveillants, via des sites web
malhonnêtes, une pièce jointe, ou une clé USB infectée. Le
fonctionnement d’un adware peut être semblable à celui d’un logiciel
malveillant car il peut compromettre le système en le modifiant.

Si votre navigateur affiche des publicités même en absence de

navigation, vous pouvez vérifier la liste des extensions installées dans
votre navigateur : il est possible que vous ayez autorisé l’installation
d’un publiciel. Si votre système a été infecté par un publiciel, le plus
simple est d’utiliser un antivirus pour le détecter et le supprimer.

»LES BOTNETS
Le terme de Botnet est issu de la contraction des deux mots anglais
Bot et Network qui signifie littéralement « réseau composé de
robots ». Ces robots peuvent être contrôlés à distance par des
pirates. Les machines infectées appartenant à un botnet sont
appelées « zombies ». C’est l’effet de masse qui est recherché par les
pirates afin de mener des attaques coordonnées de grande
envergure et nécessitant un maximum de ressources. Par exemple,
les attaques DDoS sont une extension des attaques par déni de
service (DoS) qui exploitent un ensemble de machines pour rendre le
service de la victime indisponible. Il peut par exemple s’agir de créer
simultanément un nombre gigantesque de requêtes à un même
service afin de surcharger les ressources de ce dernier et nuire à son
usage normal.

La mise en place d’un botnet se fait en plusieurs temps. La première

étape est la phase d’infection qui a pour but d’implanter le robot sur
la machine des utilisateurs. Pour cela, de multiples failles peuvent
être exploitées (pièce jointe, site infecté, phishing, etc.). Dans un
second temps, les machines infectées vont indiquer leur existence au
pirate et permettre la phase de connexion, c’est-à-dire la création
du réseau de bots proprement dite. La phase de contrôle permet à
l’attaquant de contrôler le réseau via un canal de contrôle. Certains
botnets ont été contrôlés par Twitter par exemple. À noter, qu’une
machine infectée par un botnet tentera d’élargir le spectre des
machines infectées en diffusant par exemple des courriels
d'hameçonnage : c’est la phase de multiplication. Lorsque le botnet
contiendra suffisamment de machines, le pirate pourra lancer ses
attaques.

»LES MENACES PERSISTANTES AVANCÉES

Une menace persistante avancée ou APT pour Advanced Persistent
Threat est une attaque complexe, furtive et continue, ciblant une
entité précise qui peut être une entreprise ou un État. Les outils de
piratage APT sont développés spécifiquement pour l’attaque en
étudiant minutieusement la cible. Ces attaques sont donc
naturellement difficiles à détecter et nécessitent souvent beaucoup
de moyens de la part des pirates.
Un exemple de menace persistante avancée est Stuxnet, connu
comme étant le premier programme malveillant ayant pour cible les
systèmes de contrôle d’infrastructures industrielles. C’est un ver
destiné à infecter les équipements de contrôle industriels nucléaires
développés par Siemens dans le but de dégrader les systèmes de
contrôle des turbines à vapeur. Ce programme malveillant
particulièrement sophistiqué a exploité plusieurs failles de sécurité
inconnues jusqu’à ce jour. Ce type d’attaques est appelé attaque
jour zéro ou zero day.

Tout n’est pas clair sur la manière dont le ver a été introduit dans le
système. Selon une des théories, l’infection de la centrale de Natanz
en Iran a été réalisée via une clé USB par le biais d’un espion. En
effet, le site n’est pas connecté à Internet, rendant impossibles les
accès distants. Le ver s’est ensuite propagé dans le réseau local.
Environ 30 000 systèmes industriels iraniens ont été identifiés comme
infectés par Stuxnet depuis le 25 septembre 2010. Il est estimé
qu’environ 1 000 centrifugeuses sur les 5 000 de Natanz ont été
endommagées.

L’association de hackeurs Carbanak est responsable depuis 2013

d’attaques informatiques organisées sur des institutions bancaires.
On estime qu’au total, entre 500 millions et 1 milliard de dollars
auraient été détournés par les cybercriminels. Selon Kaspersky Lab,
le ver a été introduit dans les systèmes bancaires à l’aide du
harponnage (ou spear phishing) souvent utilisé par les APT envoyant
des courriels personnalisés aux cibles. Les pirates se faisaient passer
pour des collègues en envoyant des courriels à l’aspect professionnel
qui contenaient une porte dérobée en pièce jointe. À l’ouverture de la
pièce jointe par l’employé de la banque, la porte dérobée s’installe
sur sa machine, donnant aux attaquants l'accès au réseau interne de
la société.
Les attaquants ont ensuite sondé le réseau afin de pouvoir remonter
sur les ordinateurs des administrateurs système chargés des
opérations financières ou chargés de contrôler les distributeurs
automatiques de billets. Les enregistreurs de frappe ainsi que des
outils de capture d’écran ont permis aux attaquants d’avoir plus
d’informations sur les logiciels utilisés, et de se procurer les codes
d'accès aux comptes. De cette façon, les fraudeurs ont rassemblé
durant plusieurs mois tous les détails nécessaires à l'exécution
d’attaques adaptées à chaque situation : transferts d'argent,
création de faux comptes, récupération d’argent aux distributeurs
automatiques, etc. Le code malveillant a infecté plus d’une centaine
de banques en Russie, en Ukraine, aux États-Unis, en Allemagne ou
en Chine. Cette attaque a exploité des failles de sécurité connues à
l’époque. Pour cette raison, elle aurait pu être détectée ou même
évitée avec des systèmes d’exploitation à jour.

»PROTECTION : DÉTECTER, SUPPRIMER, ÉVITER

Nous pouvons donner quelques pistes simples pour savoir si une
machine est infectée. Si vous observez des problèmes de
performance de votre machine, cela peut être le signe d’une
infection. Il en est de même si vous notez des écritures intempestives
sur le disque dur, une mémoire vive saturée ou de nombreuses
connexions réseau. Enfin, si vous rencontrez des problèmes avec vos
comptes, des achats non autorisés, des comptes de messagerie, de
réseaux sociaux, jeux en ligne non accessibles : c’est peut-être le
symptôme d’un vol de données. Si vous observez des problèmes
avec les éléments graphiques – votre souris ou votre curseur se
déplace tout seul, si les fenêtres s’ouvrent et se ferment seules – c’est
là encore le symptôme d’un code malicieux. Enfin si vous rencontrez
des problèmes avec des fichiers – ceux-ci sont supprimés, modifiés,
renommés ou créés de manière intempestive – c’est peut-être le
symptôme d’un code malicieux.

Certains codes malveillants peuvent facilement être détectés et

supprimés. Pour cela, vous devez étudier tout ce qui est exécuté au
démarrage de l’ordinateur au niveau des applications, des services,
des processus, des pilotes de périphériques. Ensuite, vous devez
suivre le chemin où est stocké le fichier et le supprimer. Nous pouvons
également analyser les connexions réseau et de la même manière
que précédemment, suivre le chemin où est stocké le fichier et le
supprimer.

Il existe de nombreux outils et méthodes pour se protéger des

logiciels malveillants. Tout utilisateur d’un ordinateur connaît et a déjà
utilisé un antivirus. C’est un point de départ qui n’est toutefois pas
suffisant. Pour bien débuter une lutte antivirale au niveau d’un poste
de travail, nous partirons de ce que nous appellerons la trithérapie.
Il s’agit de 3 briques de base à savoir : antivirus, pare-feu personnel
et mises à jour.

Le principe de base en sécurité est la mise à jour régulière de son

système pour supprimer les vulnérabilités connues (la grande
majorité des attaques utilisent des vulnérabilités déjà connues).
Malheureusement, il est souvent difficile de mettre à jour l’ensemble
de ses applications car trop nombreuses. Il faut donc se concentrer
sur celles qui sont les plus utilisées comme vecteur d’attaque, à
savoir : le système d’exploitation, Microsoft Office (Word, Excel,
PowerPoint), Acrobat reader, les machines virtuelles Java, ainsi que
les navigateurs Internet en n’oubliant pas d’y inclure les extensions
telles que Acrobat, Java, etc.

L’antivirus est l’outil indispensable, celui-ci doit être mis à jour

quotidiennement. Le but d’un antivirus est de détecter et de détruire
les codes malicieux (voire de les mettre en quarantaine). Il permet de
surveiller l’activité de l’ordinateur en temps réel au cas où il y aurait
une infection. Il s’occupe également d’analyser tous les supports de
masse (disques durs internes et externes, clés USB). Même s’il existe
de nombreux antivirus gratuits, il est quand même préférable d’opter
pour un antivirus d’un grand éditeur.

La détection des virus peut être complexe. Les antivirus utilisent

différentes techniques de manière combinée pour détecter la
présence de virus. Une des méthodes est la recherche de signatures
virales. Chaque logiciel malveillant, ou famille de logiciels
malveillants, est reconnaissable à l’aide d’une suite de bits
caractéristiques qui sont présentés dans les fichiers infectés mais
absents des fichiers non-infectés. L’antivirus intègre cette base de
signatures de malveillance connue et compare le contenu de cette
base aux fichiers scannés.

L’analyse heuristique permet de détecter un comportement

anormal d’un fichier exécutable, et ainsi la présence de programmes
malveillants modifiés ou même inconnus. L’antivirus peut procéder
soit par une analyse dynamique en exécutant le fichier dans un
environnement virtuel sécurisé, soit par l’analyse statique en
analysant son code source. L’analyse spectrale permettra de
détecter des instructions peu courantes dans un exécutable classique
mais utilisées dans les virus. La détection d’anomalies peut être
effectuée à l’aide des techniques d’apprentissage automatique
issues de l'intelligence artificielle.

Pour des fichiers sensibles, l'antivirus peut effectuer un contrôle

d’intégrité en calculant une somme de contrôle. Si un fichier est
modifié par un programme malveillant, sa somme de contrôle va
également changer. L’antivirus déclenche alors une alerte en
indiquant que le fichier a été modifié.

De nouvelles technologies de lutte antivirale ont vu le jour

récemment et utilisent la puissance du cloud. La base des définitions
virales se trouve au niveau des serveurs de l’antivirus et non plus des
postes de travail. Ceci permet d’alléger les clients antivirus qui n’ont
plus besoin d’embarquer une base de définition virale sauf en mode
déconnecté. De plus, la base de signatures peut-être beaucoup plus
volumineuse et la mise à jour ne nécessite plus l’accord de l’utilisateur.

Les antivirus peuvent également vérifier la réputation des fichiers sur

Internet ainsi que la réputation des pages web. Les systèmes de
sécurité peuvent donc attribuer un score de réputation à chaque
page pour notifier l’utilisateur en ligne lors d’un danger potentiel.
Cette technique permet d’empêcher le téléchargement de fichiers
provenant de sites malhonnêtes.

Les techniques modernes de fonctionnement des antivirus

permettent de détecter un grand nombre des logiciels malveillants.
Malgré tout, soyez vigilant : si votre antivirus a détecté et détruit un
ou plusieurs codes malveillants sur votre machine, cela n’indique
nullement que votre machine est entièrement nettoyée. L'absence de
preuve n’est pas la preuve de l'absence.

Les antivirus n’étant pas capables de détecter 100 % des codes

malicieux, il est indispensable d’utiliser un pare-feu personnel. Celui-
ci va permettre de filtrer l’ensemble des communications réseau
entrantes et sortantes de votre ordinateur. Certains pare-feux
intègrent également des sondes d’intrusion (HIPS : Host-based
Intrusion Prevention System) qui permettent de bloquer les attaques
connues.

Un antivirus et un pare-feu à jour sont les bases de la protection

contre les attaques. Par contre, leur présence ne vous garantit pas
une protection complète. Votre machine peut être victime d’une
attaque dite zero day ou « Jour 0 ». Une attaque zero day ou 0-Day
est une attaque basée sur une vulnérabilité découverte dans un
logiciel et qui n’a pas encore été rendue publique. Cette vulnérabilité
est exploitée avant la mise à disposition d'un correctif par le créateur
du logiciel.

Par définition, il est difficile de se protéger contre les attaques zero

day puisqu’elles utilisent des failles non connues. Les signatures de
ces attaques sont donc aussi inconnues. Néanmoins, certains
antivirus peuvent les détecter et les bloquer grâce à l’analyse
dynamique des exécutables. Les grandes entreprises peuvent mettre
en place des solutions de gestion des événements et de la sécurité
des informations (SIEM : security information and event management)
pour corréler les événements et ainsi les détecter. La meilleure
parade contre les attaques 0-Day est le bon sens et une bonne
hygiène informatique. Il est recommandé de ne pas ouvrir les pièces
jointes contenues dans les courriels suspects, de ne pas télécharger
de fichiers de sources inconnues, de mettre à jour les logiciels en
installant les derniers correctifs de sécurité.

Les attaques « Jour 0 » peuvent engendrer d’énormes dégâts.

Quelquefois, il est néanmoins possible de limiter ou de contourner
l'exécution de l’attaque en comprenant bien son mécanisme de
fonctionnement. Pour cela, il faut étudier la façon dont l’attaque
procède, soit en exécutant l’attaque dans une machine virtuelle, soit
par ingénierie inverse (en utilisant les techniques qui permettent
d’obtenir le code source du logiciel) afin d’analyser son
comportement. Ensuite, une stratégie de défense peut être mise en
place pour empêcher le fonctionnement du programme.

L’attaque Wannacry a pu être ralentie suite à l’analyse de son

comportement. Les développeurs du logiciel malveillant ont intégré
le moyen d'arrêter son fonctionnement (aussi appelé Kill Switch) en
passant par un nom de domaine spécifique indiqué dans son code.
Tant que le domaine n’existait pas, le logiciel continuait son attaque.
En enregistrant le nom de domaine, le malware a pu être ralenti.
Attention à ne pas oublier de sauvegarder vos données de manière
régulière car en cas d’infection par un rançongiciel, c’est quasiment le
seul moyen de les récupérer.
 Messages
secrets
La confidentialité et le caractère stratégique ou secret des données
ont mené l’Homme à faire preuve d’une incroyable créativité au
cours de son Histoire. C’est justement dans Les Histoires d’Hérodote en
445 avant J.-C. que l’auteur relate l'anecdote de Histiée, alors
conseiller du roi Darius à la cour de Perse, qui fit raser le crâne de son
esclave pour y tatouer un message à destination d’Aristagoras. Le
transport du message ne se fit que lorsque les cheveux de l’esclave
eurent repoussé, tout ceci dans le but d’organiser une révolte contre
les Perses tout en garantissant le caractère secret du message. Sur le
digital, il n’y a pas la possibilité d’user de tels subterfuges ; en réalité,
la sécurisation des échanges reposera plutôt sur des principes
mathématiques de cryptographie garantissant des communications
secrètes. Nous les présentons dans ce chapitre.

Concepts clés : encodage, système binaire, code Morse, code-

barres, chiffre de César, chiffre de Vigenère, chiffre à substitution,
cryptologie, cryptographie, chiffrement, clé de chiffrement,
chiffrement symétrique, chiffrement asymétrique, fonctions de
hachage, intégrité, grains de sel, signature numérique,
stéganographie.

»L’ENCODAGE
L’encodage consiste à transformer un message initial en un autre
suivant un procédé spécifique. L’encodage, même s’il transforme le
message d'origine, n’a pas pour objectif de le cacher, contrairement
au chiffrement. Il s’appuie sur un algorithme connu qui permet de
transmettre le message sous une autre forme.
Pour être lue et traitée sur un ordinateur, toute donnée est encodée
dans le système binaire par une suite de bits qui peuvent prendre
deux valeurs possibles : zéro et un. Ainsi, chaque chiffre, lettre et
symbole est représenté par une suite de 0 et de 1. Le langage binaire
et les transformations binaires sont indispensables pour tout
stockage et traitement d’informations par un appareil numérique. Il
est par contre difficilement lisible par un humain. Le code ASCII
(code américain normalisé pour l'échange d'informations) permet de
traduire les symboles de l’alphabet en valeur binaire. Par exemple le
« A » est représenté par « 1000001 », le « B » est représenté par
« 1000010 » et ainsi de suite. Ce standard a été internationalisé par
les normes ISO et Unicode afin de représenter d’autres caractères
provenant d’autres alphabets.

Parmi les encodages connus, nous pouvons citer le code Morse

international permettant de transmettre un message en utilisant des
séries d’impulsions courtes et longues avec un signal sonore ou
lumineux. Le message le plus connu en code Morse est le « SOS »
transmis avec 3 sons courts (S), 3 sons longs (O) et encore 3 sons
courts (S). Il est intéressant de noter que la sonnerie indiquant la
réception de SMS sur les téléphones Nokia est en fait le message
Morse encodant le mot « SMS ».

D’autres codes auxquels nous

sommes souvent confrontés sont les
codes-barres et plus récemment les
Exemple de code-barres et de QR QR codes (abréviation de Quick
code Response pour « lecture rapide »). Le
code-barres permet d'encoder une
suite de caractères à l’aide des barres noires espacées ; la largeur
des barres et des espaces forme le code. Cette technique est assez
semblable au code Morse et permet une lecture rapide avec un
décodeur muni d’un laser. Le QR code est un code-barres à deux
dimensions qui permet d'encoder plus de données qu’un code-barres
traditionnel. Les points noirs remplissant le carré blanc forment le
code. Le QR code a été popularisé avec l’usage des smartphones en
permettant à l’aide d’une application mobile d’encoder ou de
décoder de l’information textuelle : un numéro de téléphone, l'adresse
d’un site Internet, un mot de passe, etc. Notons que dans les deux
cas, la donnée est représentée en binaire car une bande ou un pixel
noir représente le un et une bande ou un pixel blanc le zéro.

»LA CRYPTOLOGIE OU L’ART DE L’ÉCRITURE SECRÈTE

La cryptologie est la science du secret qui englobe la cryptographie,
art de l'écriture secrète, et la cryptanalyse qui est l'analyse de cette
dernière. La cryptographie est une discipline visant à protéger les
messages dans leur confidentialité, leur authenticité et leur intégrité.
À l’image d’un message que l’on insère dans une boîte et que l’on
ferme à clé pour garantir le secret, la cryptographie repose sur
l’usage de clés mais cette fois, digitales. Elles sont appelées clés de
chiffrement et elles reposent sur des principes mathématiques. La
cryptanalyse est la science qui consiste à tenter de déchiffrer un
message sans posséder la clé de chiffrement. L’action de
chiffrement fait référence à la transformation d’un message « en
clair » en un message inintelligible à l'aide d'une clé. C’est l’équivalent
de la fermeture d’un message à clé dans une boîte. À l’opposé,
l’action de déchiffrer permet d’obtenir la version originale d'un
message qui a été précédemment chiffré en utilisant la clé. Je prends
la clé puis j’ouvre la boîte et accède au message. Si vous essayez
cette fois d’obtenir la version originale d'un message qui a été
précédemment chiffré mais sans l’aide de la clé, vous tentez de
décrypter le message. Vous êtes alors en train d’essayer de casser la
boîte ou de crocheter la serrure pour accéder au précieux message.
La cryptographie permet l’échange et le stockage de données de
manière sécurisée. La sécurisation de ces données intervient à deux
niveaux. Premièrement, seules les personnes destinataires de ces
données pourront les lire. Une personne interceptant les données ou
accédant aux données stockées ne peut pas les lire. Deuxièmement,
la cryptographie est utilisée pour vérifier que les données n’ont pas
été modifiées, c’est ce que nous appelons l’intégrité. La
cryptographie est utilisée dans de très nombreux domaines pour le
chiffrement des données sensibles, les paiements dans le cadre de
l’e-commerce, l’accès aux comptes bancaires via Internet, la
messagerie électronique, votre déclaration d’impôt, les
télécommunications, les transferts interbancaires notamment via le
réseau Swift, les signatures électroniques, les réseaux privés virtuels
(VPN) et les réseaux et transmissions militaires.

La cryptographie peut se résumer en trois concepts clés que sont le

chiffrement symétrique, le chiffrement asymétrique et les fonctions
de hachage.

»LE CHIFFREMENT SYMÉTRIQUE

Le chiffrement symétrique repose sur l’usage d’une clé pour chiffrer
un message et de cette même clé pour le déchiffrer. La clé est alors
une clé secrète aussi appelée clé de session. La métaphore avec un
coffret est totalement correcte. Le message secret est déposé dans
une boîte fermée à clé. La boîte peut être acheminée par des
canaux non sécurisés sans risquer de corrompre le caractère
confidentiel des données – la boîte peut être transportée mais son
contenu reste inconnu. Celle-ci ne pourra être ouverte que par une
personne possédant cette même clé. Ce type de chiffrement est bien
adapté pour stocker les données de manière sécurisée sur son
ordinateur, son smartphone ou sur clé USB. Par exemple, une
sauvegarde peut être chiffrée en utilisant le chiffrement symétrique.
Par contre, la méthode présente certaines limites dans le cas de la
transmission des données à une tierce personne.
Si Bob souhaite envoyer un message à Alice à l’aide d’un chiffrement
symétrique, il chiffrera le message en utilisant une clé et transmettra
son message. Alice devra posséder la même clé pour pouvoir lire le
message. Les deux interlocuteurs doivent donc définir une clé de
chiffrement préalablement et de manière confidentielle. Si la
transmission de la clé de chiffrement est compromise, un acteur
malveillant pourra intercepter les messages et les déchiffrer. De plus,
il convient de créer une clé de chiffrement pour chaque interlocuteur
afin d'assurer la confidentialité de chaque communication.

Les prémices du chiffrement symétrique existent depuis très

longtemps. À l’époque, les chiffres à substitution modifiaient le
message en échangeant chaque lettre par une ou plusieurs lettres
suivant un algorithme et une clé. Le chiffre de César est l’un des plus
simples : chaque lettre est codée avec une autre lettre qui lui
succède dans l’alphabet. Le décalage est défini par une clé de
chiffrement. Si la clé de chiffrement vaut 2, toutes les lettres sont
décalées de 2 rangs dans l’alphabet ce qui revient à remplacer la
lettre « a » par « c », la lettre « b » par « d », etc. Le message
« CYBERSECURITE » sera donc chiffré en « EADGTUGEWTKVG ».

Un tel chiffrement est très simple car le nombre de clés est limité. Il
suffit d’essayer tous les décalages pour rapidement retrouver le
message qui a du sens. Sa version plus complexe est appelée le
chiffre de Vigenère, où le décalage de chaque lettre du texte
d’origine change en fonction d’un mot-clé. Les lettres de la clé de
chiffrement définissent le décalage par rapport à l'emplacement de
cette lettre dans l’alphabet. Il est intéressant de mentionner que si la
longueur de la clé de chiffrement est égale à la longueur du message
et que la clé de chiffrement est aléatoire, le message chiffré est
considéré comme théoriquement indéchiffrable. Ce type de chiffre
dénommé chiffre à masque jetable est complexe à mettre en place
car une clé longue doit être échangée par les parties avant chaque
message.

Le chiffre à substitution a été mentionné par Arthur Conan Doyle

dans l’œuvre Les Hommes dansants, avec le célèbre détective Sherlock
Holmes. Dans cette intrigue, de petits bonhommes en bâton étaient
dessinés sur une porte afin de transmettre des messages. Le
détective réussit à décrypter le code en identifiant que chaque
bonhomme bâton correspondait à une lettre de l’alphabet. Il trouva
la correspondance entre chaque bonhomme et chaque lettre grâce
à l’analyse des fréquences des lettres. En effet, certaines lettres sont
plus souvent utilisées que d’autres (en langue française le « e » est la
plus fréquente), ce qui permet d’avoir un point de départ en
remplaçant le symbole le plus répandu dans le message codé.
Ensuite, il procéda en décodant les mots de liaison comme « et »,
« ou », etc. Au fur et à mesure, et par déduction, toutes les lettres sont
découvertes.

Le chiffre à substitution consiste donc à remplacer chacune des

lettres d’un message par un symbole déterminé. Les chiffres à
substitution sont souvent utilisés dans les jeux d'énigmes mais ne font
plus partie des moyens de chiffrement modernes.

Le chiffrement moderne tel que AES Advanced Encryption Standard

(soit « standard de chiffrement avancé ») est considéré comme le plus
robuste. Il se base sur l’encodage binaire avec des transformations
complexes et répétitives et nécessite une clé de chiffrement assez
longue.

»LE CHIFFREMENT ASYMÉTRIQUE

Le chiffrement asymétrique est une méthode adaptée à l'échange
de messages sécurisés qui repose sur une bi-clé. La clé publique est
utilisée pour chiffrer le message et la clé privée pour le déchiffrer. Les
deux clés sont interdépendantes mais il est impossible de déduire
l’une à partir de l’autre. La clé publique n’est pas confidentielle et
peut être déposée sur un serveur afin que tout individu puisse l’utiliser
pour chiffrer le message. Seule la clé privée associée est gardée
secrète et peut permettre de déchiffrer le message. Pour envoyer un
message à Alice, Bob va récupérer la clé publique, chiffrer le message
en utilisant cette clé puis il va envoyer le message à Alice. Alice
utilisera sa clé privée pour lire le message.

C’est le chiffrement asymétrique qui assure la confidentialité de vos

échanges sur les messageries vous informant d’une communication
sécurisée. Le fournisseur de services et les applications que vous
utilisez stockent les clés publiques de vos interlocuteurs ce qui vous
permet de leur envoyer des messages chiffrés. Chaque utilisateur
possède sa clé privée dans son application, ce qui permet de
déchiffrer tous les messages entrants.

L’algorithme de chiffrement asymétrique RSA a été inventé par

Ronald Rivest, Adi Shamir et Leonard Adleman, dont il porte les
initiales. Le chiffrement asymétrique est plus coûteux en temps de
calcul que le chiffrement symétrique. C’est pour cette raison que le
chiffrement asymétrique est souvent appliqué pour communiquer la
clé de chiffrement symétrique utilisée par la suite. Nous parlons ici
d’une méthode de chiffrement hybride.
»LES FONCTIONS DE HACHAGE
Les chiffrements symétriques et asymétriques permettent de garantir
la confidentialité des données et sont réversibles : il est possible de
retrouver le message d’origine. Les fonctions de hachage sont des
fonctions à sens unique (donc irréversibles) permettant de créer, à
partir de données de taille variable, telles qu’un mot ou un fichier
texte, un message de taille fixe. Le résultat de la fonction de hachage
est souvent assimilé à une empreinte ou un condensat de ces
données car il est de taille réduite. À partir de l‘empreinte, il est
impossible d’obtenir la donnée d’entrée, d'où le terme de fonction à
sens unique. Il est extrêmement rare de trouver deux messages
distincts qui génèrent la même empreinte, dans ce cas on parle de
collision. Deux données de départ, même très proches, généreront
des empreintes totalement différentes.

La fonction de hachage ne permet pas le stockage ou le transfert de

données de manière sécurisée, mais ces fonctions ont des
caractéristiques qui les rendent intéressantes dans le cadre de la
sécurité informatique. Les fonctions de hachage permettent, par
exemple, de garantir l’intégrité des données : c’est-à-dire que celles-
ci ne sont pas modifiées.

Un fichier peut être modifié ou corrompu pour de nombreuses

raisons, surtout en phase de transfert. La fonction de hachage
permet de vérifier qu’aucune modification n’a eu lieu. Le résultat de
la fonction de hachage appliquée au fichier est ajouté à celui-ci
avant de le transférer. Nous parlons aussi de somme de contrôle. Le
récepteur peut ensuite comparer le résultat de la fonction de
hachage effectué sur le fichier avec le résultat obtenu
précédemment pour le même fichier. Si les empreintes sont égales, le
fichier est exactement le même que celui d'origine ; si les empreintes
sont différentes, le fichier a été modifié. L’intégrité est d’autant plus
importante que dans le cas de fichiers partagés ou téléchargés sur
Internet ceux-ci pourraient être infectés par des virus. La fonction de
hachage permet de s’assurer de la non-modification (dans ce cas de
la non-infection) des fichiers en question.
Les fonctions de hachage les plus communément utilisées
appartiennent à la famille SHA-2 (SHA-256, SHA-512, etc.). Même si
les fonctions SHA-2 n’ont à ce jour jamais été compromises, une
nouvelle famille de fonctions SHA-3 a été proposée comme
alternative. Des fonctions plus anciennes telles que MD5 et SHA-1 ne
sont plus considérées comme sûres et ne sont pas recommandées.

La gestion des mots de passe d’un service se base sur les fonctions
de hachage. Au lieu de stocker les mots de passe en clair dans les
bases de données, les services vont stocker uniquement leurs
empreintes. Quand un utilisateur se connecte avec son mot de passe
sur le service, ce n’est pas le mot de passe mais son empreinte qui
est communiquée au service en question afin de vérifier si celui-ci
correspond à celui sauvegardé dans la base. De ce fait, si la base de
données est compromise ou volée, l’attaquant obtiendra seulement
les empreintes des mots de passe et non les accès directs. Là encore,
c'est une question d'intégrité : le service a uniquement besoin de
s’assurer que les données (les mots de passe) sont les mêmes sans
forcément connaître leur valeur.

Données Empreintes (SHA-256)

motdepasse 967520ae23e8ee14888bae72809031b98398ae4a636773e18fff917d77679334

motdep@sse! e7fae2a0d8922227742fe9f356c7e5e7d712ff95a0a7046f6ae73f2c01bdd69e

mot 01459f1a01f08e6e86474d76f4240d2089cfe4f1bd30be9eb8f88247d7b54015

Exemples d’empreintes générées avec la fonction de hachage SHA-256

Un attaquant peut tenter de déduire les mots de passe simples à

partir de leurs empreintes en utilisant l’attaque dénommée arc-en-
ciel semblable à l’attaque dictionnaire. Les mêmes phrases
produisent toujours les mêmes empreintes avec une même fonction
de hachage. Un attaquant peut donc pré-calculer les empreintes
issues d’un dictionnaire de mots de passe afin de comparer les
résultats avec ceux disponibles dans la base de données dérobée.
Pour complexifier une telle attaque, les services associent une chaîne
de caractères aléatoires appelée grains de sel et qui est ajoutée au
mot de passe d’origine avant d’appliquer la fonction de hachage.

Ensemble, la fonction de hachage et les clés de chiffrement

asymétriques permettent de former une signature numérique de
l'émetteur pour confirmer son identité. Les clés publiques et privées
sont générées de telle manière que le message chiffré avec une clé
peut être déchiffré avec une autre. L'émetteur peut donc chiffrer un
message avec sa clé privée et n'importe qui peut la déchiffrer en
utilisant la clé publique. Ceci tout en étant sûr que celui qui a chiffré
le message est bien le possesseur de la clé privée. Si l'émetteur veut
prouver son identité au récepteur, en plus du message, il doit envoyer
au récepteur l'empreinte du message chiffrée avec sa clé privée qui
fera office de signature. Le récepteur pourra déchiffrer l’empreinte
reçue avec la clé publique de l'émetteur et calculer l’empreinte du
message reçu. Si les deux empreintes sont égales, l’identité de
l'émetteur est confirmée et nous sommes sûrs que le message n’a
pas été modifié.

»LA STÉGANOGRAPHIE
Imaginez-vous tenter de dissimuler un message dans un autre
message qui pourrait être visible de tous. Un exemple des plus
connus dans la littérature sont les échanges entre George Sand,
romancière, dramaturge, épistolière, et le poète et dramaturge Alfred
de Musset. Dans leurs échanges, la lecture d’une phrase sur deux ou
simplement du premier mot de chaque ligne permet de déceler un
À
message dissimulé dans leurs missives. À l’ère du digital, il existe une
multitude de solutions semblables d’art de la dissimulation qui est
nommée la stéganographie.

La stéganographie permet de cacher un message dans un autre de

manière invisible à l'œil humain. L’une des solutions les plus usuelles
consiste à cacher un message textuel à l’intérieur d’une image. Une
personne observant cette image ne pourra pas deviner qu’un
message y est caché car les techniques de stéganographie n'altèrent
pas le support.

Pour se servir d’une image comme d’une cachette pour un message

secret, il faut pouvoir enregistrer les lettres de ce message dans
l’image. Il existe de nombreux formats encodant les images comme
.JPG, .BMP, .TIFF, .GIF, .RAW, .PNG, etc. Tous ces formats représentent
l’image en binaire en encodant les couleurs et leurs emplacements.
Le texte peut, lui aussi, être encodé en binaire à l’aide du code ASCII
par exemple. De ce fait, certains bits (les 0 et les 1) de l’enveloppe
peuvent être remplacés par les bits représentant le message en
suivant un algorithme prédéfini. Il suffira ensuite de rejouer
l’algorithme à l’envers pour récupérer le message.

Certains formats stockent les images de manière compressée, ils

encodent le maximum d’informations en utilisant le nombre
minimum de bits sans encoder d’information redondante. Pour la
stéganographie, il est plus pratique d’utiliser des formats dont le
stockage n’est pas optimisé ; c’est le bruit encodé dans ces formats
qui permet d'intégrer de l’information de manière invisible. Cette
technique est appelée « l’usage des bits de poids faible ».

Une image matricielle est composée de pixels, venant de la

contraction des deux termes picture et element signifiant « élément
d’une image ». Ceux-ci sont des carrés de couleurs de petite taille
agencés les uns à côté des autres formant ainsi l’image globale. On
peut les distinguer lorsque l’on zoome suffisamment sur une image,
ce qui génère un phénomène de pixellisation. La résolution des
appareils photo est notamment mesurée en nombre de mégapixels.
Prenons l’exemple d’une image au format bitmap (BMP) : un format
simple et sans compression d’image. L’image est représentée par une
matrice de pixels ayant une couleur chacun. Chaque couleur est un
mélange de rouge, de vert et de bleu. La combinaison de ces trois
couleurs permet la représentation de toutes les teintes.

Chaque pixel de la matrice est encodé par un triplet d’octets (8 bits

consécutifs) indiquant les valeurs (teintes) de rouge, de vert et de
bleu. La valeur associée à chacune des trois couleurs est stockée
sous forme de code binaire à 8 bits. Par exemple, un pixel noir est
encodé par « 00000000 00000000 000000 » tandis qu’un pixel
blanc correspond à « 11111111 11111111 11111111 ». Un pixel rouge sera
encodé par « 11111111 00000000 00000000 », mais un pixel rose
nécessite un mélange des couleurs en fonction de la teinte et peut
être représenté comme « 11111111 10000000 11111111 ».

Pour cacher un message dans l’image, il est possible de remplacer les

deux derniers bits de chaque couleur par les codes binaires
représentant les lettres du message. L’astuce réside dans le fait que
les 2 bits exploités de chaque couleur portent très peu d’informations
sur la couleur : ce sont des bits de poids faibles. En d’autres termes,
leur présence permet de distinguer uniquement de très faibles
variations de teintes qui sont à peine perceptibles à l’œil humain. Un
pixel rose sera représenté par le triplet « 11111111 10000000 11111111 »,
mais le triplet « 11111110 10000001 11111110 » restera le même rose pour
un observateur humain. Par contre, un récepteur connaissant
l’algorithme utilisé pourra reconstituer le message en extrayant de
l’image les bits nécessaires. Un observateur ne pourra par contre pas
discerner la présence d’un message.

La stéganographie ne se limite pas à cacher du texte dans une

image. Il est possible de cacher quasiment tout type de données
dans tout autre type : une image dans une image, une image dans
une vidéo, du texte dans une vidéo, une image dans une musique,
etc. Le message peut être, là aussi, caché en manipulant les bits
portant peu d’informations afin que le message soit imperceptible.

Les acteurs malveillants peuvent se servir de la stéganographie pour

échanger des messages. Certains attaquants ont déjà communiqué
de manière invisible en partageant des photos sur Internet ou en
modifiant leurs images de profils sur les réseaux sociaux. Certains
logiciels malveillants cachent les informations récoltées dans les
images pour ensuite les transférer. D'autres logiciels, à l’opposé,
récupèrent les instructions à suivre depuis des images téléchargées
après une infection.
 Communications
sécurisées
Internet est certainement l’une des inventions les plus exceptionnelles
de notre époque. Les possibilités et les services offerts ont permis
l’éclosion de la transformation digitale et l'émergence d’une nouvelle
société. Bien qu’étant le socle de cette transformation digitale,
Internet n’est pas pour autant synonyme de confiance, bien au
contraire. En réalité, c’est un réseau qui, au départ, ne fournit aucune
garantie de sécurité. Ce réseau étant public, ces acteurs ne sont pas
nécessairement fiables. Nombre de failles de sécurité peuvent
permettre à un utilisateur d’être infecté lors d’une navigation sur un
site Internet ou à un attaquant d’écouter les échanges sur le réseau.

Concepts clés : réseau, adresse IP, pare-feu personnel, pare-feu

d’infrastructure, HTTP, homme du milieu, HTTPS, certificat, serveur
mandataire, réseau privé virtuel, Wi-Fi, RFID, NFC, tag, Bluetooth.

»LE RÉSEAU
Un réseau informatique est un ensemble d’ordinateurs et
d’appareils informatiques reliés entre eux. Des ordinateurs reliés en
réseau peuvent échanger des données, accéder à des ressources
identiques ainsi que bénéficier de services, comme, par exemple, se
connecter à une imprimante appartenant au réseau. La connexion à
un réseau peut être effectuée avec ou sans fil. Les ordinateurs
peuvent être interconnectés directement comme pour le réseau pair
à pair ou via un intermédiaire tel que le réseau client-serveur. Un
réseau peut être dit local (Local Area Network ou LAN), tel qu’un
réseau d’entreprise, ou bien étendu (Wide Area Network ou WAN),
comme le réseau Internet.
Chaque appareil connecté en réseau est identifié de manière
permanente ou provisoire par un identifiant appelé son adresse IP
(protocole Internet). L'adresse IP dans sa version 4 dénommée IPv4
est formée de quatre chiffres séparés par des points (exemple
192.168.0.1). Notons qu’il existe une version 6 qui est plus longue (IPv6).
Ces adresses permettent de délivrer de l’information à un appareil
spécifique dans le réseau. Tout comme les adresses postales, les
adresses IP doivent être uniques dans un réseau.

On distingue les adresses locales uniques dans un réseau local, des

adresses publiques attribuées lors de la connexion au réseau Internet.
Un appareil peut donc avoir deux adresses IP : une adresse
l’identifiant à l’intérieur du réseau local et une adresse l’identifiant sur
Internet. Les appareils du même réseau local peuvent être visibles sur
Internet sous une seule adresse publique en passant par un serveur
mandataire ou une Box Internet.

Les adresses IP peuvent être fixes ou dynamiques. Une adresse IP fixe

est attribuée à un appareil et ne change pas lors de sa déconnexion.
Typiquement, les serveurs sur Internet ont des adresses fixes. Il est
donc possible de retrouver dans une base d’adresses à qui
appartient une adresse IP donnée. Le matériel d’un réseau local peut
aussi avoir une adresse fixe et il est souvent utilisé pour pouvoir s’y
connecter et le configurer. Une adresse dynamique est attribuée lors
de la connexion au réseau et peut être attribuée à un autre appareil
dès la déconnexion de celui-ci.

Le réseau est devenu incontournable. Le réseau personnel ou

domestique est souvent présent dans nos maisons. C’est un réseau
limité en matière de ressources et d'espace couvert qui devient
néanmoins étendu avec l’apparition des objets connectés rendant
nos maisons intelligentes. Un intrus ayant accès à un réseau local
peut accéder à l’information qui y circule ainsi qu’aux appareils
connectés. Un attaquant peut écouter les échanges effectués sur le
réseau (surtout public) et infecter un utilisateur. Il existe de
nombreuses mesures de sécurité pour protéger ses appareils et son
réseau.
Un pare-feu personnel est un logiciel qui permet de surveiller les
communications réseau de votre machine. Il s’agit de pare-feux
installés sur des postes de travail ou des serveurs qui sont souvent
intégrés aux antivirus. Les pare-feux personnels ont pour objectif de
filtrer l’ensemble des connexions (au réseau Internet) et de journaliser
l’ensemble du trafic. Ils permettent également de bloquer les
attaques connues et de contrôler l’intégrité des fichiers système de
l’ordinateur. C’est l’une des briques de sécurité les plus importantes.

Le pare-feu, aussi appelé firewall en anglais, est indispensable pour le

réseau de l'entreprise : nous parlons alors de pare-feu
d’infrastructure. C’est un équipement logiciel et matériel dont
l’objectif est plus étendu que le pare-feu personnel. Il permet de
cloisonner un réseau en plusieurs sous-réseaux en créant les
« réseaux virtuels » (VLAN). Ce découpage permet d’améliorer la
gestion du réseau, d’optimiser la bande passante allouée à chaque
sous-réseau et de séparer les flux de données. Au niveau de la
sécurité, cela permet également de cloisonner un réseau à la
manière d’un sous-marin. Lorsqu’un VLAN est corrompu, il est alors
possible d’isoler celui-ci du reste du réseau. La création de VLANs
permet aussi d’avoir des sous-réseaux ayant des niveaux de sécurité
différents en corrélation avec les fonctions métier associées.

Dans l'entreprise, le pare-feu sera placé entre deux ou plusieurs

réseaux d'entreprises ainsi qu’entre le réseau de l’entreprise et
Internet. Le pare-feu permet de filtrer l’ensemble des connexions
provenant d’Internet et il est souvent utilisé pour contrôler les flux de
données entre les différents sous-réseaux internes de l’entreprise.

»PROTOCOLE HTTP VERSUS HTTPS

HTTP est un protocole de transfert hypertexte qui est à la base de
toutes les communications sur Internet. HTTP décrit les règles qui
permettent d'établir une communication entre un client (comme le
navigateur de votre ordinateur) et un serveur (site distant auquel
vous souhaitez accéder). Pour chaque action effectuée sur un site, le
navigateur envoie une requête au serveur et visualise la page en
fonction de la réponse obtenue. HTTP inclut plusieurs méthodes,
comme GET qui permet de demander une ressource à un serveur,
telle qu’une page ou une image. La méthode POST permet de
transmettre de l’information sur le serveur quand, par exemple, un
utilisateur remplit un formulaire en ligne.

En plus de la ressource et du nom de domaine du serveur, le

navigateur peut ajouter d’autres informations dans l'en-tête de la
requête HTTP. Souvent, on y trouve des données sur le navigateur qui
initie la requête ainsi que l’URL de la source d’où provient le clic.
L'échange client/serveur est invisible à l’utilisateur. C’est le navigateur
qui transmet les requêtes aux serveurs. L’utilisateur consulte
simplement le visuel des résultats d’échange dans son navigateur.
GET/page.html HTTP/1.0
Host: exemple.com
Referer: http://jarrivedici.fr/
User-Agent: Mozilla/5.0 (Windows NT 6.1)

Exemple de requête HTTP du type GET

Lors de l’utilisation du protocole HTTP, l’ensemble des données

transitant entre votre ordinateur et le serveur est en clair. Cela
implique qu’une personne pourrait récupérer les données en transit et
les réutiliser en effectuant une attaque du type homme du milieu
(man-in-the-middle). Un attaquant passif écoute le réseau et
intercepte les données envoyées en clair. Un attaquant actif peut
même intervenir dans la communication : falsifier le serveur, modifier
les données, etc.

Pour éviter que toutes les communications ne soient accessibles à

n’importe quel espion, la plupart des sites utilisent HTTPS (protocole
de transfert hypertexte sécurisé) qui inclut le protocole de
communication sécurisé appelé « sécurité de la couche de
transport » (SSL/TLS). HTTPS assure donc une communication
client/serveur de confiance. Le protocole utilise les algorithmes de
chiffrement symétrique et asymétrique afin d’établir une connexion
sécurisée où toutes les données en transit sont chiffrées. Même si un
attaquant intercepte les communications HTTPS dans le réseau, les
données interceptées seront chiffrées et donc illisibles.

Pour établir une connexion sécurisée, la machine et le serveur doivent

se mettre d’accord sur une clé de chiffrement ainsi que d’autres
paramètres facilitant l'échange. On parle alors de « poignée de
main ». Lors de la poignée de main, c’est le chiffrement asymétrique
qui est utilisé pour échanger les données.

Tout d'abord, le client vérifie la légitimité du serveur à l’aide du

certificat qu'il reçoit de celui-ci. Le certificat contient le nom de
domaine du serveur (par exemple, google.com) et d’autres
informations permettant de vérifier l’identité du serveur, la période de
validité du certificat ainsi que la clé publique du serveur. Un tel
certificat comporte une signature pour assurer qu’il est issu d’une
source de confiance. Les certificats sont administrés par des tiers de
confiance via les Infrastructures de Gestion de Clés (IGC ou Public
Key Infrastructure – PKI). Grâce au certificat, le client peut s’assurer
qu’il communique avec le bon serveur et non avec un serveur
malveillant. Le client peut récupérer la clé publique du serveur
contenue dans le certificat et lui transmettre de manière
confidentielle la clé de chiffrement symétrique qui sera utilisée lors de
la communication.

Pour vérifier que le site Internet que vous consultez est bien en
HTTPS, il vous suffit de regarder la barre d’adresse de votre
navigateur. Une connexion sécurisée est signalée par un cadenas
vert se trouvant à gauche du HTTPS. Une connexion non sécurisée à
un site soupçonné dangereux est souvent bloquée et indiquée en
rouge dans votre navigateur.

Il ne faut surtout pas transmettre d’informations sensibles

(identifiants, mots de passe, coordonnées bancaires) si la connexion
n’est pas sécurisée. Il est néanmoins important de préciser que même
si HTTPS assure le transfert sécurisé de données, il faut tout de
même prêter attention aux sites avec lesquels vous communiquez.

La sécurité du protocole HTTPS dépend de sa bonne mise en œuvre.

Comme tout système de sécurité, il doit être implémenté (c’est-à-dire
développé) correctement par les programmeurs. Il a été démontré
que plusieurs applications mobiles bancaires implémentant la
communication HTTPS ne vérifiaient pas les certificats. Tous les
certificats étant assumés de confiance, un attaquant a mis en place
l’attaque de l’homme du milieu en utilisant un certificat créé par lui-
même. Cela a permis à l’attaquant de communiquer avec
l’application afin d’obtenir des informations sensibles.

De la même manière que le protocole HTTP, les protocoles utilisés

pour envoyer ou recevoir des courriels ne sont pas sécurisés par
défaut. Ces protocoles sont au nombre de trois : SMTP pour
l’émission de courriels, POP3 pour la récupération de courriels et
IMAP pour la lecture de courriels sur le serveur. Il est possible
d’encapsuler ces protocoles dans le protocole SSL/TLS pour les
sécuriser. Ces protocoles deviennent alors SMTPS, IMAPS, POP3S où
le suffixe « S » indique l’usage de SSL. Comme pour HTTPS, une
personne qui écoute le réseau ne pourra pas récupérer en clair les
courriels échangés entre le client et le serveur.

»LE SERVEUR MANDATAIRE OU PROXY

Un serveur mandataire appelé serveur Proxy est un serveur
effectuant une requête sur Internet à la place d’un ou de plusieurs
équipements (poste de travail, serveurs) servant ainsi d'intermédiaire.
Un serveur mandataire peut cacher l’adresse IP locale de l’utilisateur
vis-à-vis d’Internet. En effet, en passant par un serveur mandataire,
toutes les requêtes effectuées par un utilisateur seront vues comme
provenant du serveur et non de l’utilisateur. Le serveur mandataire a,
dans ce cas, une adresse privée sur le réseau local de l’entreprise et
une adresse publique pour pouvoir accéder à Internet. L’utilisateur ne
se connectera donc jamais directement sur Internet.
Le serveur mandataire est couramment utilisé pour accéder à des
sites bloqués par restriction géographique par exemple. Dans ce cas,
l’usage du Proxy permet de cacher l’utilisateur vis-à-vis du site qui
peut alors accéder à du contenu normalement inaccessible. Il
convient simplement de choisir un serveur Proxy situé dans le pays
dont l'accès n’est pas limité.

Un serveur Proxy peut aussi stocker les pages le plus souvent

consultées par les utilisateurs. Au lieu d’aller chercher
systématiquement les mêmes pages sur Internet, celles-ci sont
directement accessibles sur le serveur. Cela évite de consommer
inutilement de la bande passante au niveau de l’accès Internet. Un
filtre de certaines URLs peut également être mis en place grâce au
Proxy. Le serveur mandataire peut interdire l’accès à certains sites
Internet en accord avec la politique Sécurité des Systèmes
d’Information de l’entreprise. Une entreprise qui fournit un accès à
ses salariés est considérée comme fournisseur d’accès à Internet.
Celle-ci a donc l’obligation de garder trace de toutes les connexions
Internet pendant la durée d’un an. Un Proxy peut permettre
d’authentifier les ressources se connectant à Internet notamment les
utilisateurs.

Les pirates peuvent utiliser des serveurs Proxy afin de ne pas être
localisés et pour poursuivre une attaque. Au lieu de se connecter à
un seul serveur mandataire, l'attaquant peut établir une liste de
serveurs de ce type pour pouvoir les changer fréquemment. Le site
ne voit que les connexions provenant des serveurs Proxy, il est alors
difficile de remonter à la source.

»LE RÉSEAU PRIVÉ VIRTUEL (VPN)

Un réseau privé virtuel (Virtual Private Network ou VPN) est un réseau
créé en utilisant le réseau public. Il est virtuel car il relie 2 réseaux
physiques au travers d’une liaison non fiable qui est Internet. Il est
privé car seuls des ordinateurs appartenant aux réseaux locaux de
part et d'autre du VPN peuvent échanger des données. Un VPN
permet donc d'obtenir une liaison sécurisée pour un minimum de
frais. Il est utilisé pour connecter 2 sites distants géographiquement
d'une entreprise, pour connecter un poste de travail au système
d’information d'une entreprise, lorsque celui-ci est hors du réseau
interne, ou pour connecter le site d'une entreprise et des tiers
(fournisseurs, clients, etc.). Plus généralement, le VPN ouvre un tunnel
de communication de confiance entre 2 ordinateurs distants
connectés sur le réseau Internet. Les deux postes sont alors
considérés dans le même réseau, ce qui permet aux machines
d’obtenir les accès aux réseaux internes de chacun.

Les données échangées dans un VPN sont chiffrées et leur intégrité

est vérifiée. Il existe 2 types de VPN : IPsec (Internet Protocol Security)
et SSL (Secure Sockets Layer). Les VPNs IPsec sont surtout utilisés pour
connecter des équipements matériels et des sites d’entreprises.
Néanmoins, ils peuvent également être utilisés pour connecter un
ordinateur portable ou un smartphone au système d’information de
l’entreprise. Cela nécessite l’installation d’un logiciel spécifique appelé
« client VPN ».

Les VPN SSL sont des VPN utilisant les navigateurs Internet et qui
s'appuient sur le HTTPS (SSL/TLS). Ils sont beaucoup plus faciles à
déployer et à utiliser. Ils sont la plupart du temps utilisés pour
connecter un équipement nomade (ordinateur portable, tablette,
smartphone) au système d’information de l’entreprise. Le logiciel libre
permettant de créer un VPN nommé OpenVPN se base sur SSL.
Attention, le niveau de sécurité des VPNs SSL est plus faible que les
VPNs IPsec car ils utilisent les navigateurs Internet sur lesquels des
vulnérabilités sont régulièrement découvertes.

Un grand nombre d’extensions de navigateurs et de logiciels

proposent de créer un VPN. Ces VPN sont utilisés non pas pour se
connecter à un réseau local distant mais à un serveur fourni pour
détourner les limitations de certains sites. En effet, certains contenus
Internet ne sont pas accessibles selon le pays. En se connectant à un
serveur distinct en VPN, l’utilisateur peut demander au serveur
d'accéder au contenu à sa place et renvoyer le résultat. Le site reçoit
la demande du serveur qui doit se situer dans un pays ayant les
droits d'accès au contenu. Dans ce cas, le VPN joue le rôle de serveur
mandataire. Attention, la connexion entre votre ordinateur et le
serveur est certes sécurisée mais le serveur auquel vous êtes
connecté n’est pas forcément une entité de confiance : il peut tout à
fait enregistrer l’ensemble du trafic de ses clients et utiliser ou vendre
ces données.

»LE WI-FI
Le protocole de communication connu sous le nom Wi-Fi permet
d’être connecté à un réseau distant sans câble de connexion. La
portée des ondes radio dépend du matériel et du type d’antenne
utilisés ainsi que de leurs dispositions et de l'éventuelle présence
d’obstacles. L’ensemble des appareils tels que tablettes, ordinateurs
et imprimantes peuvent utiliser le Wi-Fi pour échanger des données.
Quels sont les risques liés à un réseau Wi-Fi et comment s’en
protéger ?

Un point d’accès Wi-Fi permet de se connecter à un réseau sans fil.

Celui-ci n’est pas forcément sécurisé, il peut être ouvert. N’importe
qui peut se connecter à un point Wi-Fi ouvert et donc entrer dans le
réseau. Le Wi-Fi gratuit est souvent disponible dans les villes
intelligentes, les cafés, les gares, les aéroports et autres lieux publics.
En se connectant à de tels réseaux, l’utilisateur s’expose au risque
d’attaque de l'homme du milieu. L’attaquant (l’homme du milieu)
peut intercepter les informations transmises au travers du réseau et
peut potentiellement charger un programme malveillant sur
l’appareil. Certains points d’accès Wi-Fi gratuits peuvent être mis à
disposition par des acteurs malveillants dans le seul but d’écouter les
communications.

Quand vous utilisez un réseau Wi-Fi public, évitez de transmettre des

informations sensibles et de vous connecter aux services bancaires
ou d’effectuer des achats en ligne. Si vous utilisez un service,
déconnectez-vous dès que vous ne l’utilisez plus.
Privilégiez les sites web qui vous fournissent une connexion sécurisée
en HTTPS au lieu, par exemple, d’utiliser des applications mobiles.
Activez le VPN pour chiffrer les données surtout si vous avez besoin
de vous connecter à un réseau d’entreprise. Il est recommandé de
désactiver la connexion Wi-Fi sur votre appareil quand vous ne
l'utilisez pas : votre appareil risque de se connecter automatiquement
à un réseau non sécurisé et de compromettre vos données.

Il existe plusieurs protocoles de sécurisation du réseau Wi-Fi.

Aujourd'hui les solutions les plus utilisées sont le WEP, WPA et le
WPA2. Le WEP venant de l’anglais Wired Equivalent Privacy signifiant
« confidentialité équivalente au réseau filaire » est un ancien
protocole de sécurité qui n’est plus conseillé car obsolète. Ce
protocole permettait d’assurer la confidentialité et l'intégrité des
données en utilisant le chiffrement. De nos jours, il est facile de
compromettre la sécurité WEP car ses vulnérabilités sont connues. Il
existe de nombreux outils qui permettent aux novices de retrouver la
clé et de se connecter aux réseaux protégés par le WEP.

WPA et WPA2 (venant de l’anglais Wi-Fi Protected Access ou « accès

Wi-Fi protégé ») sont des successeurs de WEP répondant aux
faiblesses de ce dernier. WPA2 est connu sous la norme IEEE 802.11i
et repose sur l'algorithme de chiffrement AES. Ces protocoles
protègent l'accès au réseau Wi-Fi contre des tiers. Quand l'accès est
protégé par mot de passe, nous parlons de WPA2 Personnel. Une
entreprise doit mettre en place le WPA2 Entreprise qui permet
l’authentification de chaque employé avec le couple identifiant et
mot de passe. Il est important de noter que WPA protège le réseau
contre les accès non légitimes, mais il ne protège pas contre les
utilisateurs malveillants qui feraient déjà partie du réseau.
Il est important de sécuriser son réseau Wi-Fi domestique. Pour
l’authentification, il est recommandé de bannir les clés WEP et WPA
et privilégier l’usage d’une clé WPA2. Cette configuration est possible
pour la plupart des équipements Wi-Fi et passerelles domestiques.
La clé WPA2, qui est le mot de passe d'entrée dans le réseau, doit
être suffisamment longue (15 caractères ou plus) et complexe (lettres
majuscules et minuscules, chiffres et caractères spéciaux). Pensez à
changer les mots de passe par défaut sur votre point Wi-Fi et sur les
accès administrateur de votre passerelle domestique.

Dans les paramètres de votre Box, vous pouvez modifier le nom du

réseau (c’est l'identifiant du réseau aussi appelé SSID pour Service Set
Identifier). Privilégiez un libellé non trivial et assez long. Il est
également recommandé d'arrêter la diffusion du nom du réseau pour
que celui-ci n'apparaisse pas lors d’une recherche des réseaux
visibles. Il sera toujours possible de se connecter au réseau, mais il
faudra connaître son nom précis (SSID).

Chaque matériel informatique possède une adresse unique

dénommée adresse MAC ou Media Access Control. Pour éviter que
n’importe quel matériel puisse se connecter facilement à votre
réseau, il est possible de mettre en place un filtrage basé sur ces
adresses. Les configurations permettent de voir les appareils
connectés et leurs adresses MAC pour créer une liste blanche. Seuls
les appareils ayant une adresse MAC indiquée dans cette liste
pourront se connecter à votre réseau.

Pour les réseaux Wi-Fi d'entreprise, il y a plus de précautions à

prendre. Étant donné que nous avons affaire à des ondes radio et
non de câbles, il est relativement facile de brouiller ou de
déconnecter un équipement ayant accès au réseau Wi-Fi. Il est
fortement recommandé de ne pas connecter en Wi-Fi un
équipement dont le taux de disponibilité doit être élevé (un serveur
par exemple).

Les ondes radio se propagent dans toutes les directions. Il est

important de vérifier que la zone de couverture des bornes Wi-Fi ne
soit pas trop étendue et éviter qu’une personne puisse faire de
l’écoute réseau depuis un endroit géographique hors de l’entreprise.
Par exemple, l’accès au réseau Wi-Fi ne doit pas être possible depuis
le parking de l’entreprise.

Il est indispensable de mettre en place une politique de sécurité

propre aux réseaux Wi-Fi. Les bornes Wi-Fi doivent être positionnées
dans un VLAN spécifique et celui-ci ne doit contenir que des
équipements se connectant en Wi-Fi. Nous ne devons jamais installer
des bornes Wi-Fi dans un VLAN où se trouvent des postes fixes, des
serveurs et des équipements se connectant en mode filaire. Il est
primordial de filtrer au niveau des pare-feux toutes les données
provenant des équipements connectés sur le réseau Wi-Fi.

De même, il est pertinent de créer plusieurs sous-réseaux Wi-Fi : un

réseau pour les salariés, un réseau pour les tiers devant se connecter
au système d’information de l’entreprise et un réseau pour les
« invités » avec un accès Internet limité.

»LE RFID/NFC
Les technologies RFID (Radio Frequency Identification) et NFC (Near
Field Communication) sont de plus en plus présentes dans notre vie
quotidienne. Celles-ci permettent d’échanger des données sans
contact physique, par le biais d’ondes radio. Nous la trouvons dans
les badges de contrôle d’accès, la carte Navigo, les paiements sans
contact, le démarrage d’un véhicule.

Malheureusement, sa très grande facilité d'usage n'est pas toujours

compatible avec une sécurité efficace. En effet, le fait que les
échanges de données soient effectués par ondes radio implique une
perte du confinement physique. N'importe qui se trouvant dans la
zone de diffusion pourrait alors intercepter les données transmises.
Bien heureusement, la très faible distance de communication (une
dizaine de centimètres) entre les équipements réduit fortement le
risque de vol de données dans le cas d’une transaction. Néanmoins, il
est possible d’augmenter cette distance (entre 1 et 2 mètres) en
utilisant du matériel spécifique tel qu’un amplificateur et une
antenne. L’opération étant coûteuse, le retour sur investissement pour
le pirate n’est pas évident.

Un autre problème de sécurité provient de l’usage des tags. Un tag

est une étiquette électronique (fine et autocollante) équipée de la
technologie NFC que vous pouvez, par exemple, scanner avec votre
smartphone. L'intérêt est de pouvoir le programmer, de façon à
envoyer une information aux appareils situés dans son champ
d'action. Malheureusement certains tags ne sont pas protégés, ils
peuvent donc être modifiés. Par exemple, au lieu d’installer un logiciel
légitime sur son smartphone, le tag NFC peut renvoyer vers
l’installation d’un logiciel malveillant. Autre exemple, le tag peut vous
rediriger vers un numéro surtaxé au lieu du véritable numéro.

Il existe différentes méthodes pour se protéger. Par exemple, pour

éviter le vol de données à distance de vos différentes cartes, il est
possible d’acheter à bas prix un portefeuille spécialement conçu pour
faire office de « cage de Faraday » c’est-à-dire bloquant les ondes
radio. Pour les tags malveillants, le logiciel sous Android NFC Tag
Writer, permet de vérifier la sécurité du tag et de le modifier le cas
échéant. Vous pouvez également désactiver la fonction NFC sur
certaines cartes ainsi que sur votre smartphone.

»LE BLUETOOTH
Les technologies Bluetooth et Bluetooth à basse consommation
(BLE introduite en 2010) sont des technologies largement utilisées de
nos jours par un grand nombre d’objets : smartphones, manettes de
jeux, claviers, souris, enceintes, casques, automobiles. Comme pour le
Wi-Fi, la perte de confinement nous expose à un certain nombre de
problèmes de sécurité. Les données transitant entre deux
équipements peuvent être interceptées, analysées et/ou rejouées.
Même si la portée du Bluetooth est relativement faible (dans la
plupart des cas, de quelques mètres à 10 ou 20 mètres), il est
possible, comme pour le RFID/NFC, d’augmenter la portée via des
équipements spécifiques pour pouvoir faire des attaques à plus
longues portées.

Les menaces sur ce type de technologies sont similaires aux autres

attaques réseau : l’écoute (sniffing), l’injection de données (fuzzing), le
déni de service (ou DoS pour Denial-of-Service attack). Un attaquant
peut écouter le trafic : capturer le trafic Bluetooth entre deux
appareils sans aucune interaction directe avec ceux-ci. L’écoute est
utilisée pour identifier les acteurs de la communication, récupérer les
données d'un échange et/ou se faire passer pour un des deux
communicants. Un attaquant peut aussi envoyer des données non
habituelles afin de recevoir une réponse différente et non prévue du
périphérique Bluetooth pour découvrir des bogues ou des failles de
sécurité sur l'appareil. Cela permet éventuellement d’obtenir des
informations grâce à la mauvaise réaction face à l'envoi d'une erreur.
Il est possible de saturer le trafic de données Bluetooth jusqu'à ce
que le matériel refuse toute communication et ne soit plus utilisable
par l’utilisateur (le déni de service).

De très nombreuses vulnérabilités et faiblesses du Bluetooth ont déjà

été découvertes et rendues publiques. Elles ont donné lieu à
différentes attaques. Cela a été le cas en septembre 2017, quand une
série de failles baptisée BlueBorn a été publiée. Plusieurs milliards de
machines sont affectées. Ces failles permettent l’interception des
données échangées et l’exécution de code sur les machines cibles.
L’exploitation de ces vulnérabilités ne nécessite pas d’appairer la
machine cible avec un appareil, il suffit de passer à portée de
connexion pour déclencher les attaques.

Les deux seules parades contre BlueBorn sont la mise à jour de

l’équipement ou la désactivation du Bluetooth. Plus généralement,
pour sécuriser le Bluetooth, quelques précautions de base peuvent
être listées. Premièrement, il est impératif de rendre indétectable son
appareil s’il n’y a pas d'appareillage de prévu et d'activer le Bluetooth
uniquement quand cela est indispensable. Pour l’appairage
(connexion de deux appareils via Bluetooth), activez l'authentification
mutuelle. Quand c’est possible, mettez un mot de passe
d'appareillage robuste et suffisamment long et évitez d’utiliser le
même code d'appairage sur tous vos appareils. N’acceptez pas
toutes les connexions entrantes et évitez les modes non sécurisés qui
acceptent les connexions sans vérification. Finalement, mettez
régulièrement à jour le pilote Bluetooth de vos équipements.
 La sécurité
mobile
Depuis l’apparition des assistants personnels digitaux dans les
années 1990 jusqu’à l’apparition du dernier smartphone, les
technologies mobiles se sont développées et ont su séduire un public
grandissant. Les dernières études nous indiquent que les utilisateurs
de smartphones passent en moyenne plus de 5 heures par jour sur
leur téléphone intelligent. Depuis quelques années les activités en
ligne sont majoritairement dominées par les smartphones et non plus
par les ordinateurs traditionnels. La possibilité de personnaliser son
appareil en téléchargeant des applications mobiles sur mesure est
certainement l’un des facteurs clés de ce succès tout comme
l’accessibilité et sa connectivité à l’Internet de manière permanente
et sans contrainte. Nos usages ont donc évolué au fil des ans et se
sont tournés progressivement vers cette technologie mobile
ubiquitaire. Pourtant, qu’en est-il de la sécurité de nos données
mobiles ? Connaissez-vous aussi bien votre smartphone que lui vous
connaît ?

Concepts clés : téléphone intelligent, application mobile, bac à

sable, permission, élévation des privilèges, débridage, extraction des
données, sauvegarde.
»DONNÉES MOBILES : UN SYSTÈME DE SURVEILLANCE
DANS VOTRE POCHE ?
Un téléphone intelligent ou smartphone en anglais est un
ordinateur personnel portatif. Il est doté d’un système d’exploitation
et de connexions réseau permettant d’assurer un nombre très large
de fonctionnalités. Il assure au minimum les fonctions d’appel, de
communication par SMS et de connectivité Internet.
Les smartphones sont livrés avec des applications natives couvrant
un ensemble de besoins : gestion d’agenda, gestion de contacts,
bureautique, messagerie et appareil photo. Les smartphones rendent
possible le téléchargement d’applications sur les kiosques de
téléchargement ou magasins d’applications. Ces annuaires
d’applications leur permettent d’assurer de nouvelles fonctionnalités
non présentes par défaut.

Grâce à l’ensemble des possibilités offertes par ce terminal de petite

taille, le smartphone est une véritable extension de l’humain, qui
connaît très bien vos habitudes et qui partage votre quotidien. Votre
smartphone vous connaît probablement mieux que vous-même si
nous considérons le nombre des données présentes dans sa
mémoire. L’historien des sciences et homme de lettres Michel Serres
évoquait le smartphone comme une nouvelle tête pensante. Il
insistait ainsi sur le fait qu’un tel appareil cumule des capacités
habituellement propres à l’homme. La captation, la mémorisation, le
traitement des informations et même l’intelligence.

Pour bien comprendre les enjeux autour de la sécurisation de votre

téléphone mobile il faut prendre conscience des données qu’il
comporte. Dans le cas d’un accès distant ou direct à votre téléphone,
ces données risqueraient de fuiter.

Dans la liste des contacts se trouvent toutes vos connaissances avec

un certain nombre de données sur elles : en plus du nom et du
numéro de téléphone, il s’y trouve souvent l'adresse, l'entreprise et le
poste, le lien avec vous, les courriels, les photos, l’identifiant sur
d’autres services comme Skype, la date de naissance, le site web
personnel, les liens vers les réseaux sociaux. Pour chaque appel, le
téléphone mémorise si c’est un appel émis ou reçu, la durée de
l’échange ainsi que la date précise de l’échange. L’historique des SMS
comporte le contenu des messages, l’heure et le jour de leur
réception et de leur consultation. Les fichiers multimédias permettent
de connaître votre entourage proche et d’obtenir de l’information sur
votre vie et votre profil mais aussi les services que vous utilisez.

Votre calendrier contient votre emploi du temps détaillé avec les

dates et les heures de vos rendez-vous, leurs lieux, les commentaires
et parfois même la liste des participants. Les courriels non envoyés
sont présents sur votre téléphone ainsi que les courriels récents ou
même l’historique complet des messages en fonction de l’application
que vous utilisez. Votre smartphone mémorise votre historique de
navigation web. Il stocke également certains mots de passe d’accès
à vos comptes en ligne tels que Facebook, Instagram, Skype, Gmail
et bien d’autres.

Les photos et les vidéos que vous prenez peuvent contenir la

localisation de l’endroit où elles ont été prises, la date, l’heure et
autres métadonnées. Ces dernières sont des données fournissant des
informations sur d'autres données. Votre parcours peut donc être
retracé avec, de plus, l’appui de la liste des points Wi-Fi auxquels
votre appareil a été connecté. En fonction des applications que vous
utilisez, vos historiques de recherche et de navigation peuvent se
trouver sur le smartphone ainsi que votre parcours à l'intérieur d’un
bâtiment via la fonction de géolocalisation proposée par certaines
enseignes. La géolocalisation peut être plus ou moins précise. Le GPS
est capable de vous géolocaliser de manière exacte. Cependant,
même si votre GPS est désactivé, votre smartphone est toujours
géolocalisé d’une manière approximative par triangulation à l’aide
des bornes téléphoniques.

Les identifiants de votre appareil, son nom, les captures d'écran et les
écrans actifs, les statistiques d’usage, et les paramètres font partie
des données présentes. Selon les applications installées, nous
trouvons des données liées à la santé et à la nutrition, des données
de réseaux sociaux, des documents divers sur le stockage interne et
externe, des informations sur les comptes que vous utilisez. La liste
des applications installées sur votre smartphone peut déjà révéler
nombre d’informations sur vous : le genre, l'âge, les intérêts, la
banque, etc.

Votre smartphone est capable de s’adapter à vos usages tout en

sondant votre comportement et votre environnement à l’aide, entre
autres, de nombreux capteurs intégrés. Savez-vous combien de
capteurs comporte votre smartphone ? Afin d’assurer leurs
fonctionnalités primaires de téléphonie et d’appels vidéo, les
smartphones disposent d’un microphone et de différentes lentilles
de caméras frontales. Ils peuvent permettre de prendre des photos
et des vidéos de très haute qualité grâce à leur deuxième caméra
située sur le dos du smartphone. L’accéléromètre et le gyroscope
permettent au téléphone de connaître l’orientation du téléphone. Le
magnétomètre permet l’usage d’une boussole et quelquefois la
détection de métaux avec des applications dédiées. Le capteur de
proximité infrarouge permet, grâce à des ondes invisibles, de capter
la distance entre l’appareil et un objet. Vous pouvez notamment
éteindre l’écran quand vous êtes en communication. Le capteur de
luminosité ajuste automatiquement la visibilité de l’écran. Nous
trouvons parfois un baromètre intégré ou un thermomètre pour
monitorer le comportement des composants du téléphone. Une puce
GPS vous permet de connaître précisément votre emplacement ou
celui de votre téléphone. Certaines générations de smartphones
intègrent un capteur de fréquence cardiaque ainsi qu’un capteur
d‘empreintes digitales pour le contrôle d’accès.

Une application mobile exploitant les données issues de ces capteurs

avec l’intelligence artificielle, a démontré la possibilité de connaître ce
que vous êtes précisément en train de faire tout au long de la
journée. Ainsi, elle était capable d’identifier si vous dormiez, si vous
travailliez seul à votre bureau, si vous discutiez avec un collègue, si
vous étiez dans les transports, si vous étiez au restaurant ou si vous
étiez en réunion. Cette application qui avait pour but une prise de
conscience des utilisateurs a été bannie des magasins d’applications.
Toutes ces données, lorsqu’associées et étudiées, apportent des
éléments très précis sur votre comportement, vos habitudes de
déplacement, les personnes de confiance, etc. Ces activités sont
associées à votre identité, donc particulièrement sensibles, et à forte
valeur ajoutée pour un individu malveillant (notamment dans le cas
d’attaques par phishing).

Enfin, votre smartphone est capable de se connecter à de multiples

interfaces réseau. En matière de connectivité téléphonique, les
réseaux disponibles sont G pour GPRS (General Packet Radio Service),
E pour Edge (Enhanced Data-rates for GSM Evolution), 3G ou UMTS
(Universal Mobile Telecommunications System), 3G+ ou H pour HSDPA
(High Speed Packet Access), H+ ou DC (Dual-Cell High Speed Packet
Access+), 4G ou LTE (Long Term Evolution), 4G+ ou LTE-A (Long Term
Evolution Advanced), et la plus récente 5G (5th Generation of Wireless
Systems).

»DISTRIBUTION ET VÉRIFICATION DES APPLICATIONS

MOBILES
Une application mobile est un programme issu d’un éditeur ou d’un
programmeur, que vous téléchargez sur votre téléphone et qui assure
un ensemble de services. Parmi les applications ayant le plus de
succès, nous notons les applications de messagerie, les jeux, les
antivirus, et les réseaux sociaux.

Les deux leadeurs du marché des smartphones et tablettes tactiles

sont Google avec le système Android et Apple avec le système iOS.
Les terminaux de nombreux constructeurs utilisent le système
d’exploitation Android. C’est le cas d’Acer, HTC, Huawei, LG, Samsung
Electronics, Sony, Wiko, etc. Android est distribué en source ouverte
(open-source). Il est donc possible de récupérer le code source du
système et de le modifier librement. Les constructeurs doivent
néanmoins respecter les règles de Google pour rendre le système
compatible avec les services Google. iOS est un système propriétaire
et seulement les appareils Apple utilisent le système d’exploitation
mobile iOS : iPhone, iPad.

Les deux entreprises ont mis à disposition des utilisateurs des

magasins d’applications : Google Play pour les terminaux Android et
l'App Store pour les terminaux Apple. Ceux-ci comportent à eux deux
plus de 5,6 millions d’applications. Les applications Android peuvent
être distribuées hors du magasin d’applications Google via des sites
web, des courriels et d’autres supports de partage de fichiers.
Un grand nombre de magasins d’applications alternatifs Android se
trouvent sur Internet. Pour installer une application hors de Google
Play, il suffit d'autoriser l’installation des applications de sources
inconnues dans les paramètres en cochant la case « Autoriser
l’installation d’applications issues de sources inconnues/hors Google
Play Store ». Les utilisateurs d’iOS avec un système original non
modifié peuvent uniquement installer les applications en utilisant le
magasin officiel.

Étant donné les différentes stratégies de distribution d’Android et

iOS, les mécanismes de vérification des applications sont aussi
distincts. Les applications qui sont proposées sur l’App Store sont
soumises à des vérifications automatiques et manuelles pour assurer
la qualité des applications intégrées dans le magasin d’applications.
Une application doit proposer un service pour les utilisateurs,
fonctionner sans bogues, respecter les bonnes pratiques concernant
l’interface graphique mais aussi ne pas intégrer de code malveillant
et ne pas collecter et envoyer d’informations sur l’utilisateur de
manière abusive. Les applications vérifiées sont ensuite signées par
Apple ce qui garantit la qualité et permet l’installation de celles-ci sur
les appareils compatibles. Sur un système iOS non modifié, il est
interdit d'installer des applications possédant une autre signature.

Il a été néanmoins prouvé qu’il est possible de passer au travers des

vérifications et d'introduire une application malveillante sur le
magasin d’applications Apple. Un des exemples est “Aisi Helper” qui
prétendait être une application de personnalisation de fond d'écran
mais qui, en réalité, proposait aux utilisateurs se trouvant en Chine de
télécharger des applications sur l’App Store gratuitement. Le but
ultime de cette application était de voler les identifiants des
utilisateurs.

Historiquement, les applications Android n’étaient pas vérifiées sur le

magasin d’applications. Avec l’apparition d’un grand nombre
d’applications malveillantes ainsi que de nombreuses critiques sur
l’insécurité des terminaux Android, un système de vérification a été
introduit sur Google Play. À l’aide d’une base de données
comportant un grand nombre d’applications Android malveillantes,
Google Play vérifie si l’application intègre du code malveillant avant
d'accepter cette dernière sur son magasin.

Un système de protection nommé « Google Play Protect » est intégré

dans le système Android. Celui-ci permet de vérifier toutes les
applications avant l'installation même si elles proviennent d’un
magasin tiers ou d’une autre source. Si l’application est détectée
malveillante, l’installation sera interrompue automatiquement et
l’utilisateur en sera notifié. Si l’application paraît anormale, le système
notifie l’utilisateur qui peut ensuite décider si cette application est
nécessaire. Les applications sont envoyées sur le serveur Google pour
vérification, ce qui aide à monitorer la propagation des applications
malveillantes et à tenir la base de données à jour. Le service est actif
de manière permanente ce qui permet de vérifier les applications
durant l’utilisation.

Google a indiqué avoir détecté plus de 700 000 applications

infectées en 2017. Une stratégie typique exploitée par les acteurs
malveillants est de proposer gratuitement aux utilisateurs une copie
d’une application populaire normalement payante. Sur Android, il est
possible de récupérer une application et d’en obtenir le code source
pour pouvoir le modifier et ensuite de la proposer sur Internet sur les
magasins d’applications alternatifs. Ces applications en plus du
service peuvent contenir du code malveillant ajouté préalablement.

Un des exemples se trouve être la réplique exacte d’un jeu très

populaire, Jewels Star. Cette réplique nommée « Jewels Star Classic » a
été infectée par un cheval de Troie appelé Bankbot qui dérobe les
coordonnées bancaires des utilisateurs en imitant les fenêtres
officielles de Google Play. En plus de récupérer les coordonnées
bancaires, l’application contrôle la réception des SMS pour
intercepter les codes de vérifications nécessaires aux paiements.
L’application a été installée par environ 5 000 utilisateurs avant
d'être supprimée du magasin d’applications.

L’application SnapTube installée sur plus de 40 millions de

smartphones a été mise en cause dans des actions malveillantes.
Cette dernière permettant de télécharger des vidéos depuis les
réseaux sociaux intégrait un malware. Plus de 70 millions de
transactions suspectes ont été identifiées en lien avec cette
application.

Même si les applications Android sont vérifiées avant d’apparaître

sur Google Play, des applications malveillantes trouvent leur chemin
pour y figurer. Les applications non malveillantes peuvent également
être abusives en matière de collecte et d’utilisation des données.
DoubleLocker est un ransomware qui se base sur Bankbot et qui a
touché les appareils mobiles fonctionnant sous Android, en se
propageant à travers des applications contrefaites. Non seulement il
chiffre les données de l'utilisateur, mais il change son code PIN
(Personal Identity Number – pour numéro d'identification personnel)
en verrouillant son accessibilité, empêchant ainsi l'utilisateur de
récupérer ses fichiers ou d'utiliser son appareil. DoubleLocker s'est
propagé sous la forme d'une fausse application Adobe Flash Player
par l'intermédiaire de sites Web compromis. La rançon a été fixée à
0,0130 Bitcoin (soit à l’époque environ 80 €) et le message soulignait
qu'elle devait être payée dans les 24 heures.

HummingBad était un malware contenu dans plus de 200

applications mobiles Android disponibles sur le magasin
d’applications officiel. Le téléchargement d’applications et l’affichage
contextuel de publicité à l’insu de l’utilisateur étaient les principales
missions du virus. Les revenus générés par un tel malware sont
estimés à 300 000 $ par mois. Plus de 85 millions d’appareils
auraient été infectés. Les applications contenant le virus ont été
supprimées du magasin d’applications.

Il a été découvert que l’application de discussion instantanée

WhatsApp a fait l’objet d’une copie. Cette application ne comportait
pas de code malveillant mais uniquement des fenêtres publicitaires
absentes dans la version originale. Cette fausse copie a tout de
même été téléchargée 1 million de fois.

GhostPush fait partie des logiciels malveillants œuvrant sur les

terminaux mobiles Android. Celui-ci est glissé à l’intérieur
d’applications mobiles obtenues sur des magasins d’applications
tiers. Une fois installé à l’insu de l’utilisateur, le cheval de Troie exploite
des failles de sécurité du système pour obtenir les droits d’accès
administrateur. Ceux-ci obtenus, le malware est capable de
télécharger de manière silencieuse et invisible des applications
mobiles et de diffuser des publicités sur l’appareil. Il est connu pour
avoir infecté plus de 600 000 appareils par jour.
Le navigateur Google Chrome disponible sur Android intègre une
fonction de vérification des URLs. La fonction de protection est
activée par défaut mais l’utilisateur peut la désactiver dans les
paramètres.

Les applications Android sont signées, tout comme les applications

iOS. Cependant, la signature ne provient pas du vérificateur mais du
développeur. La signature ne garantit donc pas la qualité de
l’application mais aide à vérifier l’origine des applications et de leurs
différentes versions. Si une mise à jour de l’application est disponible,
elle doit être impérativement signée par le même développeur que
l’application d’origine. Cela évite qu’une mise à jour provienne d’un
développeur malintentionné.

»GESTION DES DROITS DES APPLICATIONS

Un des systèmes de sécurité mis en place sur votre appareil mobile
est dénommé le « bac à sable » ou en anglais le Sandboxing. Chaque
application mobile s'exécute dans un bac à sable qui est un
environnement isolé du reste du système et des autres applications
mobiles. De fait, si une application est compromise, ses droits
d’accès, a priori, seront limités à cet environnement confiné. Chaque
application possède son propre espace de stockage isolé et ne peut
pas accéder aux données et aux services sensibles externes au bac à
sable.

Si l’application veut sortir de son bac à sable pour accéder aux

services système ou aux données sensibles, elle doit explicitement en
demander la permission. Ainsi l’accès aux données de localisation
GPS doit être explicitement demandé tout comme les données de
contacts, d’agenda, de rappels, les photographies et autres médias
ainsi que les données de santé. Certains accès aux capteurs tels que
l’appareil photo, le microphone, le Bluetooth sont aussi contrôlés.
Les appareils Apple donnent un accès limité aux applications non
natives (celles qui ne sont pas installées par défaut sur votre
téléphone) et intègrent seulement une quinzaine de permissions. Une
application doit explicitement demander la permission à l’utilisateur
afin de pouvoir accéder à la fonctionnalité. Cette demande est faite
sous la forme d’une fenêtre intruse ou pop-up qui apparaît sur l'écran
de votre téléphone durant l’utilisation de l’application. Celle-ci vous
informe que l'application a besoin d'accéder à certaines données. Le
développeur peut personnaliser cette fenêtre pour ajouter un
message expliquant la nature de l’usage des données. L’utilisateur a
le choix d’accorder la permission ou de refuser l'accès. La décision
peut être ensuite modifiée à tout instant via les paramètres du
système.

Le système Android intègre un grand nombre de permissions. On

dénote environ 80 permissions disponibles aux applications tierces.
Chaque permission est associée à une catégorie parmi les 4
suivantes : normale, dangereuse, système et signature. Les
permissions système sont automatiquement accordées aux
applications venant du fournisseur de l’appareil mais ne sont pas
disponibles aux applications tierces. Les permissions signature sont
automatiquement accordées aux applications ayant la même
signature que l’application qui a déclaré la permission. Il s'agit de
permissions définies par les développeurs pour pouvoir partager
certaines fonctionnalités.

Les permissions appartenant à la catégorie normale ne sont pas

considérées comme dangereuses pour l’utilisateur ni pour le respect
de sa vie privée. Cette catégorie inclut les permissions pour l'accès
Internet, la vibration de l’appareil, l’activation d’un réveil ou du fond
d'écran, l'accès Bluetooth et le NFC. Les permissions dites normales
sont automatiquement accordées à toutes les applications Android
dès l’installation. Il suffit que le développeur intègre sa demande
dans l’application au moment de sa conception.

Les permissions dites dangereuses doivent être explicitement

demandées à l’utilisateur pour que les services associés soient
accessibles à l’application. Les services liés aux appels, SMS,
calendrier, caméra, localisation, microphone et stockage externe sont
protégés par les permissions de ce type. Les utilisateurs Android
ayant une version antérieure à Android 6 doivent vérifier et
approuver la liste des permissions dangereuses avant l’installation de
l’application.
Le système de permissions mis en place sur ces appareils est du type
tout-ou-rien : l’utilisateur est obligé d’accorder toutes les permissions
demandées s’il souhaite installer l’application. Une telle protection a
été prouvée inefficace car les utilisateurs ont tendance à ignorer la
liste des permissions au lieu de les inspecter avant l’installation. De
plus, les utilisateurs ont des difficultés à juger si l’application peut être
dangereuse à partir de sa liste de permissions. Depuis la version 6
d’Android, les utilisateurs reçoivent des notifications semblables aux
notifications iOS et disposent d’un système de paramétrage des
permissions où chaque accès dangereux peut être contrôlé
individuellement.

Il est important de noter que l’acceptation d’une permission ouvre à

l’application concernée l'accès complet aux données relatives à cette
permission, et ce à tout moment.

Une application obtenant de tels accès peut, à votre insu, capter vos
paroles et prendre des photos quand bien même votre téléphone
resterait dans votre poche car la permission n’est pas limitée par un
usage particulier. Certaines applications affichent clairement leur
usage du microphone dans le but unique de connaître les
programmes que vous regardez à la télévision. Pour cela, elle active
le microphone du téléphone, puis transmet les données à des
professionnels du traitement de signal et du marketing. Ces derniers
sont capables de connaître les publicités et les programmes TV que
vous consultez.

Le gyroscope peut identifier ce que l’utilisateur est en train de saisir

sur le clavier en suivant les inclinaisons et les mouvements du
smartphone. Le gyroscope avec un appareil photo activé peut
permettre de reconstituer un lieu en 3D à partir des photos et du
positionnement de l’appareil lors de la prise de photo. Étant donné la
sensibilité des capteurs, il est même possible de reconnaître la saisie
effectuée sur un clavier d’ordinateur si un smartphone est posé à
proximité.

»ÉLÉVATION DES PRIVILÈGES

Le mécanisme du bac à sable permet d’assurer le principe de
moindre privilège étendu au besoin par l’usage des permissions. Par
contre, les développeurs des applications mobiles ne respectent pas
toujours ce principe de base de la sécurité et ont tendance à
demander des permissions de manière abusive. Ainsi, un simple jeu
peut demander la permission de se connecter à Internet (pour
potentiellement publier votre score en ligne), accéder à vos photos
(pour personnaliser l’interface ou charger une image relative à
l’utilisateur), accéder à la musique (pour changer la musique de fond),
accéder au stockage externe (pour sauvegarder les photos ou les
musiques), accéder aux comptes (pour partager les messages ou
pour se connecter avec un compte existant), intercepter un appel
(pour se mettre en veille), etc. Toutes ces permissions qui ne sont pas
forcément nécessaires au fonctionnement du jeu peuvent rendre
vulnérable une partie de vos données.

Une application n’ayant pas de droits n’est pas forcément

bienveillante car elle peut exploiter une faille de sécurité par
élévation des privilèges pour sortir du bac à sable. Certaines
applications peuvent demander des autorisations de manière
abusive pour effectuer leurs actes malveillants. Bankbot, mentionné
auparavant, demandait aux utilisateurs (après 20 minutes
d’utilisation de l’application) les accès à des services semblant être
des services officiels Google qui nécessitaient un grand nombre
d’autorisations pour fonctionner. En acceptant ces permissions,
l’utilisateur donnait tous les accès requis pour que le code malveillant
puisse poursuivre son exécution et télécharger d’autres contenus
viraux.

Certains utilisateurs pratiquent eux-mêmes l'élévation des privilèges

pour détourner le système de sécurité du téléphone afin de pouvoir
effectuer des actions non autorisées par défaut. Nous parlons alors
de débridage ou jailbreak, et en particulier de déverrouillage pour les
appareils Apple et du root pour les appareils Android. Ces
manipulations élèvent les droits de l’appareil et des applications
installées aux droits administrateur qui sont maximaux et permettent
l’installation d’application non autorisées.
L’utilisateur d’un smartphone « rooté » peut modifier le système et,
par exemple, supprimer les applications préinstallées par le
fournisseur, accéder aux informations protégées et modifier les
fonctionnalités. L’utilisateur d’un iPhone débridé peut modifier
l’apparence des écrans et installer des applications hors App Store
(par exemple via Cydia ou Sileo – les installateurs pour iPhone
débridés). En contrepartie, toute la sécurité mise en place par le
système devient inexistante. Toute application installée aura les droits
maximaux ainsi que toute personne ayant un accès physique à
l’appareil. En branchant un tel appareil sur une station de charge
publique, vous donnez potentiellement l'accès à toutes vos données.
Les applications sensibles peuvent intégrer la vérification de l'état du
téléphone pour que les utilisateurs d’un smartphone rooté ne
puissent pas l’utiliser.

Sur les appareils non modifiés, les applications n’ayant pas accès à
certains droits peuvent demander le service à une autre application
qui en a. Par exemple, une application qui n’a pas accès à Internet
peut demander au navigateur de télécharger un fichier comportant
une faille de sécurité à sa place. Ce type d’attaque est souvent
appelé l’agent confus. C’est une méthode fréquemment utilisée
pour débrider un iPhone. Sur Android, le partage de fonctionnalité
est courant entre les applications, ce qui rend cette attaque encore
plus probable, surtout si les applications ne vérifient pas les données
qui entrent et renvoient les données à la demande.

Si plusieurs applications, a priori non malveillantes, sont installées sur

le même appareil Android, ces applications peuvent collaborer pour
générer une fuite de données en s'appuyant sur leurs permissions
conjointes. Une application ayant accès aux données de
géolocalisation peut traquer l’utilisateur et transmettre ces
coordonnées à la deuxième application qui a l’accès Internet. Il est
possible que les deux applications installées séparément fournissent
un service sans avoir d’activité anormale. L’acteur malveillant doit
alors faire en sorte que l’utilisateur installe les applications
collaboratives sur son appareil. Avec la popularisation des jeux, il est
probable que l’utilisateur installe deux applications du même éditeur.

»CHIFFREMENT ET EFFACEMENT
Si votre appareil est perdu et se retrouve dans les mains d’un tiers, il
est possible que celui-ci accède aux données de votre smartphone.
Un smartphone non protégé par un code de verrouillage est
totalement accessible à l’extraction de données par une personne
ayant un accès physique à votre appareil. Il est donc impératif pour
la sécurité de votre téléphone de le verrouiller par un code, un mot
de passe, une empreinte digitale ou une reconnaissance faciale. Cela
évite qu’une personne de passage puisse accéder à votre
smartphone, et protège ainsi vos données en cas de perte ou de vol.
Notons que le chiffrement des données mis en place sur les appareils
est également basé sur le code de déverrouillage.

Toutes les données qui se trouvent sur un appareil iOS sont chiffrées
en utilisant l’algorithme AES-256 considéré comme le plus robuste
actuellement. Chaque fichier est chiffré avec une clé de chiffrement
auto-générée. Ces clés uniques font partie du mécanisme appelé le
« stockage effaçable » qui permet à l’utilisateur d’effacer toutes les
données de l’appareil rapidement soit en utilisant la fonction
d'effacement dans les paramètres, soit en demandant un
effacement à distance. L’effacement à distance peut être activé via
l’espace iCloud de l’utilisateur, ou via un système de gestion des
appareils mobiles dans les cas de l’appareil d’un employé. La
demande d’effacement n’efface pas toutes les données disponibles
sur l’appareil mais seulement les clés de chiffrement associées aux
fichiers. Les données restent donc présentes sur l’appareil mais
deviennent complètement illisibles. Étant donné que les clés de
chiffrement sont auto-générées, longues et différentes pour chaque
fichier, les attaques qui pourraient permettre de retrouver les clés a
posteriori sont inefficaces. Les données d’origine ne peuvent plus être
récupérées suite à l’effacement, il est donc impératif d’effectuer une
sauvegarde. Dans le cas d’une enquête judiciaire, les forces de l’ordre
prévoient une pochette de type cage de Faraday, qui empêche les
smartphones saisis de recevoir une demande d’effacement à
distance.
L’effacement à distance ainsi que la localisation de l’appareil peuvent
être activés sur Android. Pour cela, les utilisateurs doivent activer
l’application Localiser mon appareil après avoir connecté celui-ci à leur
compte Google. Si cette application n’est pas disponible, elle peut
être téléchargée sur Google Play. Les utilisateurs peuvent activer les
deux fonctionnalités (localisation et suppression) dans les paramètres
de sécurité s’ils le souhaitent. Ensuite, si le smartphone est connecté
au réseau Wi-Fi et que sa localisation est activée, il est possible de le
retrouver sur la carte, puis de le bloquer ou d’effacer les données à
partir du compte associé. Dans le cas où les paramètres de sécurité
ne seraient pas activés mais si l’appareil est connecté au réseau
Internet, il est possible d’activer ces fonctions à distance.

Certains fournisseurs d’appareils intègrent leurs propres fonctions

d’effacement qui peuvent être utilisées surtout si la fonctionnalité
native n’est pas disponible. Les utilisateurs d’Android n’ayant aucune
fonction de ce type sur leur système doivent installer une application
dédiée en faisant bien attention au fournisseur.

Le chiffrement de fichiers est une protection supplémentaire dans le

cas où une faille permettrait de détourner votre code de verrouillage
ou copier les données provenant de votre appareil.

La protection des fichiers sur iOS peut être renforcée si celle-ci est
indiquée comme appartenant à une classe « protection complète »
ou « protection jusqu’à la première quantification ». Les clés de
chiffrement de tels fichiers sont chiffrées avec l'identifiant de
l’appareil et le code de verrouillage choisi par l’utilisateur. Si le fichier
appartient à une classe « protection complète », chaque fois que
l’utilisateur déverrouille l’appareil, la clé de chiffrement du fichier sera
déchiffrée, mais à chaque mise en veille de l’appareil, cette même clé
sera supprimée. Dans le cas de la « protection jusqu’à la première
quantification », la clé de chiffrement du fichier sera déchiffrée dès
que l’utilisateur déverrouille son appareil pour la première fois et
jusqu’au redémarrage de l’appareil. Pour accéder au contenu des
fichiers protégés, il faut donc connaître le code de déverrouillage
pour déchiffrer la clé qui permettra ensuite de déchiffrer le fichier.

Un chiffrement qui se base sur le code choisi par l’utilisateur et sur un

code stocké sur l’appareil de manière sécurisé est également intégré
sur les systèmes Android. En fonction de l’appareil et de la version du
système, le chiffrement peut être activé, ou non, par défaut. Vous
pouvez vérifier si le chiffrement est activé dans les paramètres de
sécurité. Il est également possible de chiffrer les données présentes
sur une carte Secure Digital (SD) introduite dans l’appareil. Les
données de la carte SD chiffrée ne seront pas lisibles par un autre
appareil dans le cas où, par exemple, la carte serait extraite du
smartphone et ensuite introduite dans un ordinateur portable.

»SAUVEGARDE, EXTRACTION DES DONNÉES

Pour éviter de perdre des données, il est impératif d’effectuer des
sauvegardes régulières de votre appareil soit sur votre ordinateur,
soit sur une carte SD, ou enfin sur un serveur distant.

Les utilisateurs d’un appareil iOS ont la possibilité d'effectuer cette

sauvegarde via le gestionnaire de fichiers Finder, ou en configurant la
sauvegarde sur iCloud. En effectuant une sauvegarde sur son
ordinateur, l’utilisateur peut choisir de chiffrer la sauvegarde en
choisissant un mot de passe qui sera utilisé comme clé de
chiffrement. Le mot de passe sera donc nécessaire pour pouvoir
restaurer la sauvegarde.

Pour les utilisateurs d’Android, il est possible de configurer une

sauvegarde régulière soit avec le compte Google, soit par une
fonctionnalité proposée par le fabricant de l’appareil, ou enfin via
une application mobile dédiée. Il est possible d’effectuer une
sauvegarde complète afin de restaurer l’ensemble des données sur
un nouvel appareil. La sauvegarde d’une partie des données, comme,
par exemple, les photos, la liste des appels ou les SMS, est aussi
possible.

Un grand nombre de logiciels proposent une fonctionnalité

permettant de lire les sauvegardes mobiles et d’en extraire les
données associées. Un acteur malveillant ayant accès à votre
ordinateur sans avoir accès à votre téléphone peut obtenir les
données issues de votre téléphone en exploitant les sauvegardes. Les
données obtenues sont de tout ordre et propres à chaque appareil.
Elles dépendent également des applications installées par défaut et
par l’utilisateur. Tandis que certaines applications font le choix de
stocker vos données sur le téléphone, d’autres peuvent gérer le
stockage sur des serveurs distants. Si la sauvegarde est chiffrée, il est
nécessaire de récupérer la clé de chiffrement ou de tester une
attaque par force brute. Quelqu’un peut donc s'emparer de la
sauvegarde et accéder à son contenu.

Il est possible d’effectuer une extraction des données d’un appareil

à l’aide de logiciels forensiques utilisés par les services en charge de
la sécurité des biens et des personnes, dans le cadre d'enquêtes
judiciaires. Avec ces outils professionnels (e.g. EnCase Forensic 8,
CMFF, Cellebrite Mobile Forensic Fundamentals, MSAB XRY), il est
possible de récupérer non seulement les données présentes sur un
smartphone, mais aussi les données supprimées : photos, messages.
En effet, quand vous supprimez des données (par exemple un SMS),
elles ne sont plus visibles en utilisant votre système de gestion de
fichiers mais restent sur le disque dur jusqu’à ce qu’une autre donnée
soit écrite à sa place. En copiant toute la mémoire disponible, il est
possible de récupérer des données effacées. On fait donc une
distinction entre une extraction logique (le système de fichiers) et une
extraction physique (la mémoire de l’appareil).
»COMMENT SE PROTÉGER ?
Comme dans beaucoup de cas en sécurité, le bon sens est la
première arme pour se protéger. Ne modifiez pas votre smartphone
en le « rootant » si vous n’avez pas une maîtrise complète de vos
actions et des raisons valables pour le faire, car vous supprimeriez
une grande partie des mesures de sécurité incluses par défaut.
Rooter un smartphone pour supprimer une application préinstallée
qui vous dérange équivaut à enlever la porte de son appartement
pour gagner quelques centimètres d’espace de votre couloir. Préférez
les magasins d’applications officiels. Les utilisateurs Android doivent
faire attention aux applications avant de les télécharger et de les
installer ; il est préférable d’activer Google Play Protect. Pensez à
configurer les permissions de vos applications mobiles et à enlever
toutes les permissions qui ne sont pas nécessaires. Accordez une
attention particulière aux applications qui demandent trop de
permissions.

Si vous suspectez une infection et que vous voyez votre appareil se

comporter de manière inhabituelle, un antivirus téléchargé depuis un
magasin d’applications officiel et développé par un éditeur reconnu
est le moyen le plus simple et efficace pour éradiquer une potentielle
infection. Parmi les symptômes d’une infection, vous pouvez
remarquer une baisse générale des performances de votre
smartphone ou une décharge beaucoup plus rapide de votre
batterie. La redirection spontanée vers les sites lors de la navigation
web, l’apparition intempestive de publicités indésirables et
d’applications mobiles que vous n’avez pas installées sont aussi des
signaux d’infection. L’augmentation de votre consommation de
données, une facture téléphonique anormalement élevée, des
anomalies sur votre compte bancaire ou une activité inhabituelle sur
vos comptes en ligne peuvent indiquer que votre smartphone a été
compromis.

Il est important d'activer l’usage d’un code pour verrouiller votre

terminal ainsi que la mise en veille automatique pour verrouiller
l’appareil inactif. Un filtre de confidentialité peut être positionné sur
l’écran du terminal de manière à éviter qu’une personne se trouvant
à côté de vous ne puisse lire l’écran. Pour une meilleure sécurité de
vos données, chiffrez les données stockées sur votre smartphone,
lorsque celui-ci est sous Android, en cochant l’option de chiffrement
(sur les iPhones, le chiffrement est activé par défaut).

Il est recommandé d’effectuer des sauvegardes régulières du contenu

de votre smartphone, soit dans le cloud, soit sur un support externe.
Une sauvegarde régulière permet de récupérer toutes les données en
cas d’attaque. La mise à jour régulière, au moins au niveau du
système d’exploitation, est importante pour Android comme pour
iOS. Cela réduit les possibilités offertes pour un attaquant car les
failles connues sont rapidement corrigées par les mises à jour. Il est
important de mettre à jour les applications, surtout les navigateurs
web que vous utilisez. Attention, lorsqu’un équipement est trop
ancien, les constructeurs ne les mettent plus à jour. Supprimez les
applications que vous n’utilisez plus et pensez à désactiver les
moyens de communication quand vous ne les utilisez pas : NFC,
Bluetooth, 3G/4G/5G, Wi-Fi.
 Identité et profilage
numérique
La transformation numérique mène à une digitalisation de la société
où les frontières de l’identité sont difficiles à cerner et où le respect de
la vie privée devient de plus en plus délicat à gérer. Tandis qu’un
passeport suffit à justifier votre identité physique, l’identité numérique
est plus complexe à étudier car plus diffuse et variée. Où s’arrêtent
alors les limites de ce que l’on appelle l’identité numérique ? Quelle part
de votre identité est révélée par l’étude de vos profils LinkedIn,
Facebook, Instagram ou d’autres sites Internet que vous consultez
régulièrement ? Vos habitudes de consommation, de connexion, l’usage
des différents services font partie intégrante de votre identité qu’il
convient de préserver et de protéger.

Concepts clés : identité numérique, empreinte géosociale, web-

scraping, web-crawling, application programming interfaces, cookie,
empoisonnement des cookies, mouchard, empreinte digitale de
navigateur, personnalisation, sur-personnalisation.

»IDENTITÉ NUMÉRIQUE
L’identité numérique est aujourd’hui caractérisée par l’ensemble des
traces digitales laissées par un même et unique individu sur l’espace
virtuel. Les activités digitales sont diverses et multiples et reflètent les
facettes variées de notre comportement en ligne. Les profils sur les
réseaux sociaux, les blogs et messages postés sur ces blogs
(Wordpress), vos sites Internet, les photos, ou bien les données publiées
sur vous par une source tierce (journaux digitaux, amis, etc.) font partie
de votre identité digitale.

Les moteurs de recherche d’individus ont pour vocation de regrouper

toutes ces traces et de fournir une vision globale d’une identité
numérique. La recherche est effectuée en sources ouvertes. Ceux-ci
regroupent l’ensemble des données accessibles publiquement pour
obtenir une information qualifiée sur les individus. Il est particulièrement
complexe de protéger les données issues des multiples services que
nous utilisons car chacun a ses règles propres avec des politiques de
confidentialité différentes. Ainsi, c’est par l’accumulation de bribes de
données, qui peuvent sembler insignifiantes de prime abord, que l’on
arrive à retracer nombre de caractéristiques et informations
personnelles.

Sans une configuration spécifique, l’ensemble de vos contacts LinkedIn

(le réseau social professionnel) ont accès à vos données personnelles
telles que votre adresse de courriel et votre numéro de téléphone. Il est
possible via certains outils de récupérer l’adresse électronique à partir
d’un simple compte de réseau social. Ces outils exploitent les données
en sources ouvertes pour prédire l’adresse de courriel du profil consulté.

La géolocalisation de messages sur les réseaux sociaux est, dans

certains cas, active, ce qui permet à n’importe qui de cartographier les
lieux de vos activités quotidiennes (travail, domicile, événement).
L’ensemble de ces traces localisées sur un individu est identifié comme
l’empreinte géosociale. Pour les utilisateurs du réseau social Twitter,
cette empreinte peut être obtenue par l’étude des tweets géolocalisés,
les données de profil, et enfin des lieux mentionnés dans le contenu
des messages.

L’application Facebook – please rob me – que l’on traduit par

« Facebook – cambriolez- moi s’il vous plaît » – a mis en évidence que
trop souvent les utilisateurs révèlent par leurs données Facebook leur
adresse, les richesses qu’ils possèdent et également leurs dates de
congés, favorisant ainsi le travail de cambrioleurs. Cette divulgation
excessive de données est une faille qui peut être exploitée pour lancer
des attaques par harponnage.

»COLLECTE DE DONNÉES EN LIGNE

Il existe une variété de méthodes et technologies pour collecter de
l’information issue du monde digital. Contrairement au monde
physique, sur le digital, l’ensemble de nos actions est mémorisé et
stocké dans des bases de données distantes. Tandis que se souvenir
demande un effort dans nos vies, cela devient particulièrement aisé sur
le digital. On parle quelquefois de droit à l’oubli ou d’une information
qui serait gravée dans le marbre digital. Si vous n’êtes pas convaincu,
consultez la page Google qui recense l’ensemble de votre historique
(recherches, pages consultées, etc.) :
https://myactivity.google.com/myactivity.

Technologiquement parlant, toute donnée qui est disponible sur

Internet et accessible par une recherche manuelle peut être collectée
automatiquement en quelques fractions de seconde par un
programme.

Le web-scraping est une pratique consistant à utiliser un programme

pour consulter une page web dans le but d’en extraire des données.
Cela est possible grâce à la structure du code source d’une page web.
Les pages en langage HTML (HyperText Markup Language), sont
visualisées par votre navigateur web.
Pour visualiser ce code depuis votre navigateur, vous pouvez effectuer
un clic droit sur la page et demander l’affichage du code source.

Chaque page HTML possède une structure qui lui est propre et qui
respecte les standards du World Wide Web Consortium (W3C). Ainsi pour
indiquer le titre de la page, on le place entre les balises <title>Mon
titre</title>. Pour créer une liste d’items, nous utilisons la balise <li> et
ainsi de suite pour tout élément d’un site. Un grand nombre de balises
nous permettent de définir l'emplacement et le format de chaque
élément d’une page web comme, par exemple les balises <div>,
<script>, <li>, <span>, etc.

Le code HTML permet d’imbriquer les balises les unes dans les autres
similairement au ramage des branches d’un arbre. La balise principale
est <html> dans lequel on trouve <head> et <body> qui eux-mêmes
contiennent d’autres balises. Une page peut donc être représentée
sous forme d’arbre HTML ou chaque balise est positionnée à un
endroit bien précis de la hiérarchie. Certains web-scrapers s’appuient
sur cette hiérarchie pour rechercher les éléments de la structure du
fichier HTML. Les éléments d’un emplacement spécifique peuvent être
récupérés en utilisant le langage Xpath.

Les éléments similaires, comme, par exemple, les messages des réseaux
sociaux ou les produits d’un site d’e-commerce sont représentés de
manière similaire dans les multiples pages du service. Cela facilite la
collecte de données en masse. En prenant l'exemple de Twitter, les
messages commencent toujours par le nom du profil, puis la date se
trouve toujours au même endroit pour chaque message, ainsi que les
différentes actions associées (nombre de réponses et relais ainsi que le
nombre de « j’aime »). Un scraper paramétré correctement peut, à
l‘aide d’une requête Xpath bien formée, récupérer la même donnée sur
la page en un minimum de temps. Il est possible par exemple,
d’extraire tous les noms des profils des tweets présents sur la page.

Un webcrawler, au-delà de sa capacité à extraire les données d’un

site Internet, est également capable de parcourir un ensemble de
pages selon une stratégie définie par son programme. Il est possible de
le configurer pour consulter un ensemble de pages web mémorisées
dans une liste d’attente. Chaque page sera consultée une par une
dans l’ordre de la file d’attente. Lors du processus d’extraction de
données d’un site, un crawler peut enrichir sa file d’attente de
l’ensemble des hyperliens qui sont contenus sur chaque page
consultée. Ainsi, en parcourant une page produit d’un site d’e-
commerce, un webcrawler peut détecter la présence de liens vers
d’autres produits de cette même page. Il pourra alors ajouter ces
nouveaux produits dans la liste d’attente à traiter. Ce processus peut
permettre de constituer une base de données très complète des
produits proposés par un site marchand.

S’il existe une logique dans les différentes URLs des pages web d’un
site, le robot peut parcourir l’ensemble des pages en suivant cette
même logique. Par exemple, si tous les produits du catalogue sont
représentés par leur identifiant dans l’URL et que les chiffres se suivent,
le robot peut parcourir tout le catalogue en testant toutes les URLs
contenant des identifiants différents. Il en est de même pour le
parcours de l’ensemble des pages de résultats d’une recherche.

Ce processus de surveillance pouvant être mis en place sur des sites

concurrents s’intègre à la veille informationnelle et peut poser des
problèmes de sécurité et de respect de la vie privée. Dans de
nombreux cas, bien que la technologie ne soit pas illégale, son usage
peut s’avérer non légal. Même si certaines données sont publiquement
visibles et accessibles sur Internet, les termes d’utilisation des services
des sites peuvent interdire explicitement la collecte automatisée des
données. C’est le cas des plus grands réseaux sociaux numériques et
de nombreuses marques d’e-commerce.

Dans certains cas, l’usage du web-scraping peut être assimilé à un vol

de données conformément à l’article 323-3 du Code pénal qui stipule :
« Le fait d'introduire frauduleusement des données dans un système de
traitement automatisé, d'extraire, de détenir, de reproduire, de
transmettre, de supprimer ou de modifier frauduleusement les données
qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 €
d'amende. »

Un autre moyen permettant de collecter de la donnée digitale est

d’utiliser les interfaces de programmation (Applications Programming
Interfaces (API)). Les APIs rendent possible l’interaction avec un service
tiers via un programme, sous les conditions définies par le service en
question. Aujourd’hui la majorité des services web disposent d’une API,
souvent pour favoriser l’usage de leur service, et rendant possible les
interactions avec d’autres services. Par exemple, l’API de Twitter permet
de collecter, de modifier et d’écrire de la donnée sur Twitter. Celle-ci a
favorisé la création de nombreuses applications web et mobiles autour
de son service. C’est grâce à l’usage de l’API de Facebook que les
applications Facebook existent sur la plateforme.
Dans de nombreux cas, pour pouvoir accéder aux données d’un
utilisateur en exploitant une API, il est nécessaire de demander des
droits et de s’authentifier (à la manière des applications mobiles par
exemple). Ceci permet de s’assurer du consentement de l’utilisateur et
de connaître précisément qui est à l’origine de la requête.

Chaque API définit les règles à suivre telles que les données qu’elle
peut renvoyer et la manière dont un programme tiers peut l’interroger.
La requête suivante permet par exemple d’accéder aux tweets
mentionnant le mot-clé « cybersécurité », et étant rédigés en langue
française :

https://api.twitter.com/1.1/search/tweets.json?q=cybersécurité&lang=fr

Demande de tweets en français comportant le terme « cybersécurité »

Il est possible d’introduire des paramètres dans les requêtes afin de

mieux cibler les tweets en ajoutant, par exemple, la date souhaitée ou
la zone géographique ainsi que la langue des tweets recherchés. Le
résultat de cette requête contiendra toute l’information disponible sur
les tweets relatifs à notre requête au format JSON (JavaScript Object
Notation) et contiendra le nom des émetteurs ainsi que les
métadonnées associées (date de création du compte, nombre de
messages envoyés par le compte, taille de l’audience, géolocalisation
du compte et des messages, langue, description du compte, etc.). Un
logiciel peut donc envoyer une requête à une API, puis récupérer et
interpréter la réponse pour l’utiliser ou la mémoriser.

Afin d’éviter les collectes abusives de données, les API sont limitées. La
limite de tweets renvoyés est fixée à 200 par page. Au-delà, une
nouvelle requête devra être envoyée pour récupérer les tweets suivants.
De plus, il n’est pas possible d’obtenir des tweets datant de plus de 7
jours. Aussi dans le cas de Twitter, il ne sera également pas possible
d’effectuer plus de 180 requêtes par quart d’heure (contraintes fixées
par l’usage gratuit de l’API ne s’appliquant pas aux formats premium).
La fuite de données par ce biais est un problème de sécurité
important. En effet, un programme utilisant une API va demander à
l’utilisateur des droits sur son compte et sur ses données. Les
utilisateurs qui acceptent ces droits (sans réel autre choix) peuvent
potentiellement s’exposer à des fuites de données. En règle générale, il
est recommandé de bien vérifier la liste des applications ayant accès à
vos données ainsi que les droits associés et de supprimer toute
application que vous n’utilisez pas.

Dans le cas du scandale Cambridge Analytica, plusieurs dizaines de

millions d’utilisateurs Facebook ont vu leurs données collectées et
exploitées à leur insu. Au départ du scandale, une simple application
Facebook intitulée This Is Your Digital Life avec un but a priori scientifique
et qui demandait aux utilisateurs de remplir une enquête. Problème,
cette application permettait de récolter les données personnelles non
seulement des répondants mais également de leurs contacts. Les
enjeux étaient principalement l’usage des données des utilisateurs pour
un ordre politique dans le cadre de l’élection présidentielle américaine
de 2016.

»TRAQUEURS, COOKIES, PIXEL ESPION

La simple visite d’un site web peut s’avérer être un vecteur de
surveillance pour les entreprises : la collecte des données du
comportement des visiteurs. Cette dernière a une très forte valeur
financière car elle permet de personnaliser des recommandations de
produits et d’ajuster ainsi les stratégies marketing à mettre en place.

Lors de votre passage dans un grand magasin, vous aurez

certainement noté la présence de caméras de sécurité. Ces caméras
sont ici pour assurer la sécurité du magasin et prévenir des potentiels
vols mais peuvent avoir d’autres usages que vous connaissez moins : la
vidéo analytique. Ce processus permet au magasin de procéder à
une analyse de votre parcours dans le magasin pour retracer entre
autres les emplacements les plus visités et l’ordre dans lesquels vous les
visitez. Tout ceci a pour objectif une meilleure compréhension de votre
parcours client pour optimiser l’espace, améliorer l’agencement et
augmenter la probabilité d’acte d’achat. À noter que certaines
technologies sont aujourd’hui en test pour vous permettre de retrouver
vos articles plus facilement dans le magasin, en reposant sur la lumière
connectée.
Si les technologies d’analyse de flux vidéo sont utilisées pour étudier
votre comportement dans un magasin, il est aujourd’hui encore plus
commun d’étudier ce même comportement sur Internet. Pour cela, les
sites vont exploiter un ensemble d’artefacts digitaux tels que les
mouchards, le pixel espion ou les cookies.

Le cookie est un fichier qui est stocké sur votre disque dur par le
navigateur et qui mémorise des données propres aux différents sites
web que vous visitez. Il permet de vous reconnaître lorsque vous rendez
visite à un site Internet pour la seconde fois (retargeting) grâce à un
identifiant unique généré par le site web lors de votre première visite.
C’est aussi par l’usage des cookies qu’un site Internet peut mémoriser,
sans que vous vous y soyez connecté, les produits que vous avez
placés dans un panier virtuel, vos progrès et votre score sur un jeu en
ligne, le nombre de visites, la langue d’interface, ainsi que d’autres
paramètres.

Une attaque nommée empoisonnement des cookies vise à modifier

les paramètres stockés dans les cookies afin de tromper le site. Si le
site ne fait pas de vérification sur les paramètres provenant des
cookies et stocke, par exemple, le montant de votre panier, une
modification des cookies avant le paiement peut permettre d’obtenir
une « réduction » illicite.

C’est grâce aux cookies que vous pouvez vous connecter à un site web
à l’aide d’un identifiant et d’un mot de passe et ensuite naviguer sur le
site sans avoir à les renseigner pour chaque action effectuée sur ce
dernier. Nous parlons ici des cookies de session qui stockent votre
identifiant dès que la connexion avec le service est établie. Cet
identifiant attaché à chaque requête HTTP liée à l’action du site
permet de comprendre qu’il s'agit du même utilisateur. Dès que les
cookies de session sont supprimés ou ont expiré (tous les cookies ont
une date d’expiration), l’utilisateur doit à nouveau s'authentifier à
l'arrivée sur le site.
Étant donné qu’un cookie de session permet d’identifier l’utilisateur, les
attaquants peuvent voler une session en récupérant vos cookies et
ainsi s’identifier à votre place. Le vol peut être fait en accédant
directement à votre ordinateur. Les cookies sont habituellement
stockés par votre navigateur dans un simple fichier texte. En copiant ce
fichier, l’attaquant récupère vos cookies et peut donc se faire passer
pour vous. Un vol de session peut aussi avoir lieu via un site web
vulnérable où l’attaquant aura réussi à injecter un code JavaScript
malveillant. Enfin, une session peut être volée à travers un réseau Wi-Fi
public si la connexion avec le site web n’est pas sécurisée (HTTP au lieu
de HTTPS). Afin d’assurer votre sécurité, les cookies de session ont une
durée de vie limitée et assez courte. Pour limiter l’exploitation de votre
session en cas de vol, il est possible de configurer le navigateur web de
sorte que les cookies soient supprimés à chaque fois que le navigateur
est fermé.

Par principe de fonctionnement et pour des raisons de sécurité,

chaque site gère ses propres cookies et ne peut accéder aux cookies
des autres sites web. Ce sont les noms de domaines qui définissent
l’appartenance d’un cookie, respectant ainsi le principe de la politique
de même origine (same origin policy ou SOP). Ainsi, les cookies
appartenant à www.ebay.com et générés lors de vos visites sur ce site
marchand, ne seront pas accessibles par les autres services tels que
www.facebook.com.

Aujourd’hui, certaines compositions de sites web rendent ce principe

plus difficilement appréhendable. En effet, même si un cookie est
associé à un nom de domaine unique (a priori le site que vous
consultez), certains éléments intégrés dans une page peuvent
permettre la création de cookies par d’autres services. Nous parlons ici
des cookies tiers – il s’agit de cookies qui sont associés aux noms de
domaines autres que le domaine qui héberge le site visité. Par exemple,
il est aujourd’hui fréquent d’observer des boutons tels que le Facebook
« j’aime » et autres plugins sociaux sur la page d’un produit d’un site
marchand. Dans ce cas bien précis, le bouton Facebook est associé au
domaine de Facebook et s'appuie donc sur des cookies tiers liés à son
nom de domaine. Idem pour les publicités et autres contenus
embarqués dans le site venant des domaines extérieurs : chaque
domaine sera associé à ses propres cookies.

À quoi les cookies tiers peuvent-ils servir ? Grâce à ce bouton « j’aime »

intégré dans la page et aux cookies associés, Facebook va connaître le
site ainsi que le produit consulté, et pourra relier cette visite à un de ses
utilisateurs ayant le même cookie (même si le bouton J’aime n’est pas
cliqué). En effet, les cookies seront transmis à Facebook dans une
requête HTTP dès le chargement de la page web et donc dès la simple
apparition du bouton. Le serveur de Facebook de son côté pourra
récupérer les cookies ainsi que la provenance de la requête dans l’en-
tête de la requête HTTP. Lors de l‘ouverture de votre page Facebook,
vous observerez alors certainement des publicités personnalisées en
lien direct avec la page produit consultée sur le site marchand. C’est
une des stratégies exploitées pour la publicité personnalisée, l’un des
enjeux du marketing digital : le reciblage publicitaire ou retargeting.

La rémunération par les publicités est aussi possible grâce aux cookies.
Les marchands peuvent être rémunérés au nombre de clics sur la
publicité ou à l'action effectuée suite à ce clic. Grâce aux cookies, le
fournisseur de publicité peut comprendre que le clic sur la publicité a
bien engendré une action faite par le même utilisateur (par exemple
l’achat) étant donné que le même cookie est associé aux deux actions.
Il est possible de détecter les fraudes ou un même utilisateur cliquant
de manière répétitive sur la publicité en essayant d'épuiser le solde
alloué à cette publicité.

Par respect pour votre vie privée, les sites Internet ont désormais
l’obligation de vous prévenir lorsqu’ils souhaitent utiliser des cookies.
Vous pouvez alors paramétrer vos options pour autoriser ou non cet
usage. Notons qu’il est possible à tout moment de supprimer les
cookies de votre ordinateur.

La navigation privée ou incognito vous permet d'éviter d’être suivi par

les cookies. Chaque onglet de la navigation privée se comportera alors
tel un navigateur qui vient tout juste d’être installé. Vous êtes perçu par
chaque site web comme un nouvel utilisateur étant donné que les
cookies sont supprimés. De plus, dans le cadre de la navigation privée,
l’historique de la navigation n’est pas sauvegardé. Cela est
particulièrement utile dans le cas où vous empruntez un ordinateur et
ne souhaitez pas que la personne puisse consulter a posteriori votre
parcours sur le web.
Les cookies tiers sont fortement liés au concept des mouchards ou
traqueurs web. Les mouchards correspondent au contenu d’un site
web venant de l'extérieur du domaine du site. Ils permettent d’envoyer
les requêtes HTTP et donc des informations que cette requête contient
vers l'extérieur du site. Le bouton « j’aime » de Facebook vu
précédemment est un exemple de mouchard.

Les URLs courtes pouvant être générées par des services de

raccourcissement de liens sont aussi des mouchards (e.g. bit.ly,
tinyurl.com, goo.gl, short.ie). Ces services sont pratiques dans le cas
d’échange de messages et de courriels car ils permettent de réduire
significativement la taille du lien, ce qui facilite la lecture du message,
simplifie son partage et réduit sa complexité.

URL d’origine :
https://librairie.studyrama.com/produit/3707/9782749536316/Le Cahier
de vacances pour les ecoles de commerce

URL courte :
https://bit.ly/2La0hAJ

Exemple de raccourcissement d’URL effectué sur la page de l’ouvrage

Le cahier de vacances pour les écoles de commerce des éditions Studyrama-Bréal

En cliquant sur l’URL courte, l’utilisateur est d'abord renvoyé vers le

domaine du fournisseur de l’URL courte (dans notre cas bit.ly) qui dirige
ensuite de manière invisible l’utilisateur vers la page finale (celle de la
librairie Studyrama). Au passage, le fournisseur de l’URL a pu
comptabiliser un clic sur le lien et a pu également récupérer d’autres
informations provenant de la requête http. Par exemple, votre adresse
IP peut révéler votre position géographique, les informations sur votre
ordinateur et votre navigateur web, la provenance du clic, la date
précise d’ouverture du lien, etc. Elle permet entre autres de
comptabiliser les échanges de ce lien sur les réseaux sociaux
numériques.
Un autre exemple de mouchard est le pixel espion. Le pixel espion ou
pixel invisible est une balise image <img> incorporée dans le contenu
d’une page Web ou d’un courriel, et qui est associée à un service tiers.
Respectant son principe de fonctionnement, le navigateur va
transmettre une requête à ce service afin de récupérer l’image. Cette
requête pourra comporter des informations sur l’utilisateur en
divulguant son comportement aux services propriétaires du pixel. Dans
la requête, le navigateur transmet le cookie spécifique au domaine du
pixel espion, ce qui permet un tracking de l’utilisateur à travers
différents sites intégrant un mouchard provenant du même fournisseur
(c’est-à-dire avec le même nom de domaine). Suite à la transmission
de cette requête, le serveur répondra avec une image transparente de
taille 1 pixel par 1 pixel. Le résultat est donc complètement
imperceptible pour l’utilisateur final.

Le pixel espion est habituellement intégré dans les courriels

publicitaires afin d’en compter le nombre de vues. Pour éviter le
tracking, l'affichage des images est désactivé par défaut sur certains
clients de messagerie. L'emplacement des images reste visible avec un
rectangle mais les images ne sont pas chargées. Il reste pourtant
toujours possible et facile d'autoriser le chargement des images. Si
votre service de messagerie charge les images par défaut, vous pouvez
modifier cette configuration dans les paramètres. Cette précaution
peut vous éviter le tracking dans le cas où il serait mis en place par une
personne malintentionnée – ou si vous ne souhaitez pas être traqué.

Un site marchand peut intégrer dans le contenu de son site, un

ensemble de traqueurs plus avancés pour lui permettre de remonter de
l’information sur votre visite et votre comportement sur le site. Un tel
traqueur est une portion de code écrite en JavaScript et qui permet de
transmettre contextuellement à la suite de vos actions sur le site, de
l’information à un service tiers pour l’analyse de la donnée associée.

Aujourd’hui il est ainsi possible de connaître précisément les actions

effectuées sur un site tel qu’un clic, un passage de la souris, une mise
en évidence d’un élément ou même un simple mouvement de la souris.
Ces fonctions sont définies par les possibilités offertes par le langage
de programmation JavaScript.
 Javascript Action capturée
onMouseOver Passage de la souris au-dessus d’un élément de
la page
onClick Clic sur un élément de la page
onSelect Sélection d’un élément de la page
onFocus Mise en évidence d’un élément par exemple lors
du clic sur un champ de texte
Événements JavaScript permettant de détecter un événement
ayant lieu sur un élément d’une page web

Un site ayant optimisé le tracking utilisateur peut par exemple identifier

les éléments de chaque page web qui sont le plus cliqués ou, à
l’inverse, les éléments ignorés par ses utilisateurs. Il pourra en plus,
récolter l’information relative au passage de la souris au-dessus d’un
élément et sa mise en surbrillance. L’analyse possible est donc
potentiellement très large et génère une quantité de données
proportionnelle au nombre de clients, au nombre de pages monitorées
et au nombre d’éléments de chaque page monitorée. Le processus
d’étude de ce type de données est dénommé « web intelligence et
web analytique » et s’appuie de plus en plus sur les technologies du big
data.

Les données récupérées à l’aide des multiples traqueurs et cookies

aident les entreprises à améliorer l’interface utilisateur de leur site et à
optimiser son usage ainsi que le parcours client. Comprendre les
utilisateurs et leur comportement sur de multiples plateformes permet
d’ajuster les offres et de proposer un contenu adapté à chaque usage.
Les entreprises utilisent ce type d’outils et de données pour la gestion
multicanal de l'expérience utilisateur. Certains sites changent même
leur apparence en fonction du pays de navigation ou du profil
utilisateur. Les résultats de chaque recherche et du système de
recommandations seront ainsi adaptés à chaque profil et prédits
grâce aux données et aux algorithmes d’intelligence artificielle.
Vous pouvez opter pour le non-usage des cookies sur chacun des sites
que vous visitez. Par contre, cela ne vous rend pas forcément anonyme
car les sites et les traqueurs ont la possibilité de vous identifier à l’aide
d’informations contenues dans les requêtes HTTP (c’est-à-dire lors
d’une simple visite de site). Nous parlons ici d’empreinte digitale de
navigateur. Afin de bien appréhender la problématique, il faut
comprendre que lorsque vous consultez une page Internet, c’est votre
navigateur qui demande l’accès à cette page par une requête HTTP.
Cette requête comporte un ensemble d’informations sur votre
navigateur et votre machine : ce sont les en-têtes HTTP. Le « user-
agent » qui fait partie de cet en-tête permet par exemple de connaître
le type d’appareil que vous utilisez ainsi que le système d’exploitation
associé. Ceci a pour but de permettre au service de fournir une page
web adaptée à votre environnement technique.

Le principe de l’empreinte digitale de navigateur est l’exploitation de

l’ensemble des données venant du navigateur web pour vous identifier
de manière quasi unique. Il n’y a pas énormément de facteurs
discriminants puisqu'il est fort probable que nombre d’utilisateurs
possèdent les mêmes navigateurs et systèmes d’exploitation que vous.
C’est la variété des attributs pouvant être obtenus dans l’en-tête mais
aussi l’usage du JavaScript qui peut permettre une identification quasi
unique.

La liste des plugins installés sur votre navigateur peut être obtenue en
exploitant les possibilités de JavaScript. Cette liste une fois combinée
avec les autres attributs tels que la langue, le système d'exploitation, le
fuseau horaire et bien d’autres, pourront permettre la création de la
signature ou empreinte digitale de navigateur. Il est difficile de lutter
contre ce type de pratiques car l’obtention des éléments de la
signature peut être effectuée de manière tout à fait légitime. Vous
pouvez tester l'unicité de votre empreinte en utilisant des services
dédiés à cet effet. Il est toutefois possible d’utiliser des plugins pour
tromper les sites en modifiant votre « user-agent ». Nous pouvons, par
exemple, utiliser « User-Agent Switcher » pour Chrome.

3.43 % des navigateurs observés sont Safari, comme le vôtre.

0.15 % des navigateurs observés sont Safari 11.0.3, comme le vôtre.
13,16 % des navigateurs observés exécutent Mac, comme le vôtre.
2,32 % des navigateurs observés exécutent Mac 10.13 comme le vôtre.
10,29 % des navigateurs observés ont défini « fr » comme langue principale, comme le
vôtre.
20,29 % des navigateurs observés ont UTC + 2 comme fuseau horaire, comme le vôtre.
Cependant, votre empreinte digitale complète est unique parmi les 4269972 collectées
jusqu’à présent.
Exemple du Rapport d’étude des éléments constituant une empreinte digitale obtenue par le
service amiunique.org et développé par des chercheurs de l’Institut national de recherch
en informatique et en automatique (INRIA)

»PERSONNALISATION ET SUR-PERSONNALISATION
L’analyse de données massives sur un individu est souvent utilisée dans
le but de personnaliser une action marketing. Ceci augmente
significativement l’efficacité de la gestion de la relation client (GRC ou
CRM) et par là même, la probabilité d'amener l’utilisateur dans une
démarche d’achat. Les commerciaux qui sont déjà renseignés sur votre
identité pourront plus facilement proposer des produits qui
correspondent à votre situation et trouver des points d’accroche par
rapport à vos activités ou à vos projets. Les données
comportementales d’un client lorsqu’elles sont unifiées dans une même
base marketing et sous l’ensemble de ces facettes et canaux sont
nommées « vision client 360° ».

Un exemple d’usage est la construction d’un profil type en utilisant une

approche par segmentation, c’est-à-dire de regroupement des
comportements semblables (pour des prospects ou des clients). Les
utilisateurs similaires selon un ensemble de critères se retrouvent alors
dans des groupes identiques permettant à l’entreprise d’ajuster ses
actions en fonction des segments. Par exemple, les produits et les
promotions mis en valeur dans une campagne de courriels peuvent
être différents en fonction du segment. La segmentation permet
l’identification des clients apportant le plus de valeur à l'entreprise ce
qui permet ainsi d’ajuster les programmes de fidélisation.

Au-delà d’une approche de recommandation par catégorie, il est

maintenant courant d‘effectuer des recommandations uniques et
entièrement personnalisées. Des services en ligne comme Google et
Netflix ajustent leurs services à chaque individu en fonction de leur
comportement sur le digital. Pour ce faire, l’historique de vos requêtes
ou de vos visionnages est utilisé conjointement aux habitudes de
connexions et autres données personnelles pour effectuer des
recommandations. Les approches Big Data intégrant l’intelligence
artificielle sont souvent utilisées pour ce type d’actions.

La personnalisation sur le digital est un levier exceptionnel pour

optimiser l’expérience utilisateur et minimiser les efforts requis pour
obtenir l’information, le produit, le service recherché. Cependant, des
questions sérieuses se posent quant à la sur-personnalisation. Cette
dernière fait référence aux problèmes dus à l’inégalité face à
l’information générée par la personnalisation.

Le mécanisme d’enfermement des utilisateurs dans une bulle est

souvent mis en évidence pour illustrer les travers d’un système de sur-
personnalisation. De nombreux cas ont été mis en évidence par les
médias dont l’histoire d’une jeune fille enceinte dont les achats et
visites de sites en ligne ont permis aux algorithmes de déceler sa
situation. Seul problème, la jeune fille cachait cette information à ses
parents qui ont été informés lors de la réception de prospectus dédiés
aux femmes enceintes. À titre informatif, les données personnelles
d’une femme enceinte peuvent se revendre 15 fois plus cher que les
données d’une personne lambda.

Au-delà des services, certains sites informationnels, tels que la presse

en ligne et les réseaux sociaux, personnalisent leur contenu. Depuis
quelque temps, Facebook filtre le mur des messages des utilisateurs en
fonction du comportement de celui-ci (ce qu’il aime, ce qu’il commente,
etc.). L’algorithme décide ce qui est potentiellement intéressant pour
vous en se basant sur vos habitudes. Attention, les utilisateurs ne
savent pas ce qui a été filtré. Le flux d’informations est donc modifié,
ce qui risque de vous enfermer dans une bulle ne vous montrant que
du contenu personnalisé et sans vous proposer de contenu qui sorte
de votre zone de confort.

Vous l’aurez compris, les enjeux économiques autour de la donnée ont

amené toutes les marques à collecter, traiter et analyser vos données
comportementales. La finalité est bien souvent marketing avec pour
ambition de vendre mieux, de proposer du contenu personnalisé à
travers des recherches, des publicités en ligne ou des actions
commerciales ciblées. Ainsi, il devient de plus en plus complexe de se
protéger contre des atteintes au respect de la vie privée et à l’ultra-
personnalisation.

Est-il alors possible d'éviter le tracking sur le web ? Il existe plusieurs

extensions web permettant de détecter et de bloquer les mouchards
d’une page web. Ghostery, uBlock, AdBlock et AdBlock Plus sont des
exemples d’outils qui vous aideront à garder un certain contrôle sur les
traqueurs. D’autres initiatives vous permettent de naviguer sur le web
tout en garantissant qu’aucun cookie ne sera généré et qu’aucun
dispositif de traçage ne sera utilisé. C’est le cas des solutions telles que
Qwant, DuckDuckGo ou Tails. Enfin, les réformes récentes à travers le
Règlement général sur la protection des données personnelles (RGPD)
ont permis, du moins en Europe, de remettre l’utilisateur au centre de la
discussion.
 Les nouvelles
technologies
Le monde numérique est sans cesse en mouvement, rendant
obsolètes quelquefois très rapidement des technologies qui ont fait
notre quotidien pendant des années (vidéocassettes, baladeur,
magnétoscope, etc.). Dans un contexte où le support numérique
évolue et s'élargit constamment, de nouvelles problématiques
apparaissent sans cesse et font de la sécurisation un problème
dynamique, nécessitant un effort constant. De plus en plus présentes,
des technologies à l’image des objets connectés rendent
potentiellement vulnérables l’ensemble de nos objets du quotidien :
nos montres, nos stylos, nos réfrigérateurs, notre maison, nos
industries et même nos villes devenues intelligentes. À l’opposé,
certaines technologies nous promettent un avenir plus sûr en passant
par des solutions reposant sur l’informatique en nuage, ou même en
sécurisant nos transactions avec des technologies comme la
Blockchain.

Concepts clés : big data, cloud computing, internet des objets,

Blockchain, cryptomonnaie, attaque Goldfinger, dark web, deep web,
drone.

»DU BIG DATA À BIG BROTHER

Selon Clive Humby, « la donnée est devenue le nouveau pétrole ».
Derrière cette citation se cache un bon nombre d’enjeux stratégiques
du monde économique actuel. Dans un univers digital où le support
de nos actions génère de la donnée, c’est un enjeu remarquable. Le
big data fait référence en trois mots au Volume, à la Variété et à la
Vélocité associée au traitement de ces données.
Le volume de données se compte désormais en Zettaoctet (millions
de Go) et l’ensemble des prédictions nous indiquent que cette
croissance ne diminue pas. L’émergence et la démocratisation du
digital en est la cause avec en exemple-phare : Internet, les réseaux
sociaux numériques, les smartphones et l’Internet des objets. L’enjeu
du big data est aussi lié à la vélocité. Il s’agit, à l’image des moteurs
de recherche, de pouvoir traiter en un laps de temps très court, une
grande masse de données. Cette vélocité permet de proposer des
services complexes dans un délai réduit. Enfin, la variété des
données analysées fait référence aux différences de formats (des
images, des vidéos, du texte, des sites, etc.) et des sources de
données analysées (clients, ventes, mesure de l'audience d'un site
Web, etc.). Dans un cadre stratégique, pour une entreprise, la mise en
place de technologies big data peut permettre de réduire les temps
de réponse lors du questionnement de bases de données de ventes
de très grande dimension, ou de la personnalisation d’un service en
temps réel à des millions d’utilisateurs.

Le big data est associé à un grand nombre d’enjeux essentiels de

cybersécurité. L'agrégation de données personnelles peut porter
préjudice au respect de la vie privée, mais aussi, avoir des
conséquences importantes dans la guerre de l’information. Il ne s’agit
pas d’une dystopie mais bien d’une réalité ; en Chine le système de
crédit social est expérimenté. Ces algorithmes accordant des bons et
mauvais points aux citoyens peuvent mener certains individus à ne
plus avoir le droit de prendre les transports publics. Le système est
opérationnel et déployé à l’échelle nationale.

L’usage du big data sur les données de Facebook a apporté des

résultats surprenants sur le pouvoir prédictif de votre comportement
en ligne. En effet, sur la base unique des contenus que vous avez
aimés (en anglais les likes), l’algorithme de Kosinski est capable de
prédire un ensemble d’attributs à caractère personnel. Le modèle
employé est capable de distinguer les hommes homosexuels et
hétérosexuels dans 88 % des cas, les Afro-Américains et les
Américains blancs dans 95 % des cas. Il est capable de prédire si un
citoyen américain est démocrate ou républicain dans 85 % des cas.
L’algorithme nécessite simplement entre 10 et 30 mentions j’aime
pour être performant. De fortes implications sur la confidentialité de
données et sur le respect de la vie privée sont donc mises en exergue
avec la combinaison du big data, des réseaux sociaux numériques et
de l’intelligence artificielle.

Le big data est largement

utilisé par les
professionnels du
marketing digital pour la
personnalisation des
services. Ceux-ci
exploitent les algorithmes
d’intelligence artificielle
conjointement aux big
data
provenant du comportem
ent client. Il est commun
de segmenter les clients
avec la méthodologie
RFM (Recency, Frequency,
Monetary) qui crée des groupes de clients en fonction de la
fréquence d’achat, du montant dépensé ainsi que de la date du
dernier achat. Ce type d’approche peut s’appliquer sur des millions
de clients en quelques secondes uniquement. Cela permet de
personnaliser les offres et les programmes de fidélisation. À l'ère du
big data, il est désormais possible d’effectuer des segmentations
beaucoup plus fines avec non plus 3 facteurs mais plusieurs
centaines voire milliers de variables. Ce sont les algorithmes
d‘intelligence artificielle qui déterminent les variables les plus
importantes au regard de l’application que l’on souhaite. Un usage
très souvent exploité chez les professionnels est la prédiction de la
perte d’un client. Il est important de préciser que ces données
comportementales peuvent être revendues, voire mises aux enchères
par certaines entreprises. De plus, l’anonymat et la confidentialité
sont difficiles à assurer tout au long de tels traitements
informatiques.
Le big data et l’intelligence artificielle sont largement exploités dans
le cadre de la cybersécurité. Les réseaux sociaux numériques ont
connu depuis les années 2010 une vague de comptes malveillants.
Ceux-ci sont créés pour attirer les utilisateurs vers des sites
malveillants. Ces robots sociaux (socialbots) publient de manière
automatisée des messages contenant des liens vers des sites
suspects. Notons que certains robots sociaux ont pour objectif de
partager de fausses informations avec l’ambition de peser sur
l’opinion publique et la vie politique d’un pays. Afin de remédier à ce
problème, les plateformes sociales ont intégré des algorithmes
d’intelligence artificielle pour détecter automatiquement et supprimer
les comptes de ce type. Notons la solution Botometer qui a été
conçue par l’université d’Indiana pour évaluer un compte Twitter et
déterminer la probabilité qu’il soit automatisé. Cette solution s’appuie
entre autres sur l’analyse du langage utilisé et le comportement du
compte. Notons que nombre de technologies de cybersécurité
emploient l’intelligence artificielle, telles que les sondes de détection
d’intrusion, les antivirus et les filtres antispam.

»INFORMATIQUE EN NUAGE
L’informatique en nuage plus connu sous l’anglicisme du cloud
computing propose des services à distance et à la demande en
utilisant des infrastructures spécifiques. Le service est communément
rendu via le réseau Internet, d'où le nom cloud signifiant « nuage » en
anglais. En effet, Internet est habituellement représenté par un nuage
sur les schémas.

Le cloud se découpe en trois grandes familles de services : logiciel en

tant que service (software as a service ou SaaS), plateforme en tant
que service (PaaS) et infrastructure en tant que service (IaaS). Le
principe commun est la mise à disposition des services, plateformes
ou infrastructures informatiques pour permettre aux clients
d’exploiter leur puissance, sans la nécessité d’avoir une infrastructure
en interne.
En tant qu’utilisateur des solutions digitales, vous êtes confrontés à
l’usage de logiciels sous forme SaaS au quotidien et vous avez vu
disparaître l’usage et la vente de logiciels sous le format de disque ou
même de simple logiciel téléchargé. Il est désormais possible de jouer
à des jeux en ligne ou d’utiliser un logiciel sans avoir besoin de
l’installer sur sa machine. Le serveur gère les ressources nécessaires et
l’utilisateur ne sait même pas où celui-ci se trouve physiquement. Les
logiciels de bureautique ont été amenés progressivement dans le
cloud avec par exemple Microsoft Office 365. Le paiement de tels
services se fait à l’usage et s’adapte aux besoins client.
Même si les technologies de cloud apportent un certain nombre
d’avantages en matière d’utilisation d’applications, de données
accessibles et de disponibilité, elles génèrent également des
problèmes de sécurité.

L’accès au cloud s’effectuant par le réseau, la disponibilité du réseau

et les problématiques de bande passante sont primordiales : le
service ne peut pas être rendu si la communication est coupée. Dans
une architecture classique, le réseau est entièrement géré par
l’entreprise, alors qu’avec le cloud, le réseau est géré par des tiers,
notamment le fournisseur d’accès. Les clients perdent tout contrôle
physique sur l’infrastructure, les applications et les données. Ils
doivent faire aveuglément confiance aux fournisseurs quant à la
gestion de leurs données (sauvegardes, fuite de données, etc.). De
même, comment être sûr qu’en cas de changement de prestataire,
les données seront bien effacées de manière sécurisée chez l’ancien ?

Les fournisseurs de cloud sont nouveaux sur ce marché. De

nombreuses questions peuvent donc se poser sur leur pérennité et
leurs motivations. Une attention particulière doit donc être apportée
sur leur santé financière et sur leurs perspectives à long terme. De
plus, comme toute entreprise, un fournisseur de cloud peut être
victime d’un sinistre majeur. Il est très difficile de savoir si celui-ci
saura réagir à ce type de menace, et si le service qu’il fournit ne sera
pas impacté. Le fournisseur de cloud doit informer ses clients de tout
incident impactant la sécurité. Comment être sûr qu’il le fait
réellement ? C’est également vrai pour les conclusions des audits, des
évaluations et des risques.

Il est légalement impossible d’utiliser un cloud public lorsque

certaines données sont soumises à des restrictions légales ou une
conformité réglementaire. De plus, pour des clouds qui hébergent des
données qui ne sont pas associées à un espace géographique
correspondant à un espace étatique national, il se posera le
problème de transfert des données à caractère personnel.

Le cloud étant relativement récent, il amène de nouveaux risques et

de nouvelles vulnérabilités dont certaines sont déjà connues. La
complexité des architectures matérielles, réseaux et logiciels et
l’utilisation intensive de la virtualisation font qu’il est extrêmement
difficile d’appréhender la sécurité de manière globale. De plus, les
acteurs malveillants peuvent se servir de la puissance du cloud pour
mener à bien des attaques.

Par exemple, les attaquants du réseau de Sony PlayStation en 2011

ont utilisé le service cloud d’Amazon pour lancer leur offensive. Les
acteurs malveillants ont volé les données de 77 millions d’utilisateurs ;
l'accès au réseau a ensuite été fermé pendant une semaine. La perte
financière de l'entreprise suite à l’attaque est évaluée en milliards de
dollars.

Le groupe Carbanak est soupçonné d’avoir utilisé les services cloud

de Google pour leurs attaques sur les systèmes bancaires. Des
documents de bureautique infectés pouvaient recevoir des
commandes venant du service cloud. En effet, les services de
l’informatique en nuage sont intéressants pour les attaquants.
L’activité venant d’un service de cloud connu ne sera probablement
pas détectée comme suspecte et ne sera donc pas bloquée.

»OBJETS CONNECTÉS ET INTERNET DES OBJETS

Nous évoluons dans un monde, entourés de nos semblables humains,
des richesses de notre planète et d’une multitude d’objets provenant
du travail de l’Homme. Pendant des millénaires, ces objets étaient
statiques, indépendants les uns des autres et sans aucune capacité
de communiquer. L’Homme change aujourd’hui la destinée et les
capacités de ces objets au travers de l’Internet des Objets (connu
sous le nom d’IoT ou Internet Of Things).

L’IoT se compose d’un ensemble d’objets qui sont connectés à

Internet et ainsi, par extension, connectés entre eux. Ils disposent d’un
minimum d’électronique leur permettant d’assurer leur fonction
(caméra de surveillance) ou de faire évoluer leur capacité (voiture).
Les ampoules, les prises électriques, les thermostats sont devenus
connectés, rendant les maisons intelligentes : le chauffage s’adapte
en fonction de la température de l'intérieur et la luminosité change
en fonction de l’heure et de l’ensoleillement. L’un des principaux
intérêts d’une telle technologie est la capacité de contrôler l’état des
objets et de les modifier grâce aux technologies de la
communication. Il est envisagé de laisser les objets communiquer
entre eux, se comprendre, apprendre et penser pour agir de manière
coopérative et intelligente.

Les maisons, les bureaux des entreprises, les hôpitaux, les véhicules,
et même les quartiers et les villes deviennent intelligents. Les objets
connectés permettent de suivre et de modérer la consommation
d'électricité et d’eau, de suivre l’état de santé d’un patient et du
matériel pour lever une alerte. Les parcs d’attractions sont aussi
connectés et traquent le flux de personnes et les files d’attente en
temps réel. Les zoos et les parcs naturels proposent des parcours
interactifs grâce à des capteurs. Les centres commerciaux sont
devenus intelligents et suivent les clients à l’aide des lumières
connectées.

Parmi les technologies permettant d’assurer les fonctions des objets

connectés, on note le Bluetooth, le Wi-Fi, le Zig Bee, le Z-Wave, le
NFC. Le marché des objets connectés allant particulièrement vite, la
sécurisation de ces objets fait malheureusement souvent défaut et
nombre de failles traditionnelles du web et des technologies de
communication s’y retrouvent. Ces objets peuvent être équipés de
systèmes obsolètes comportant des failles connues. La
communication peut être assurée de manière non sécurisée et
permettre aux attaquants d’intercepter des données.

De nombreuses attaques ont vu le jour et ont mis en avant les

vulnérabilités des objets connectés. Des pirates ont publié en ligne
des photos prises par des caméras de surveillance publiques. Les
frigidaires connectés ont été exploités pour envoyer des courriels
d'hameçonnage. Certains équipements médicaux se sont montrés
vulnérables tels que les stimulateurs cardiaques et les pompes à
insuline.

Les experts en sécurité informatique ont montré l'existence de failles

dans les voitures intelligentes connectées qui peuvent permettre de
prendre le contrôle de la voiture à distance. Cependant, l'exploitation
de telles failles nécessite des connaissances spécifiques aux systèmes
embarqués. Une attaque plus simple concerne le verrouillage de la
serrure à distance : un attaquant attend une victime sur le parking et
brouille le signal pour empêcher la victime de fermer sa voiture.
Identifiant Mot de passe Le Botnet Mirai est la plus grande
admin none attaque DDoS jamais lancée sur le
fournisseur de services Dyn, utilisant
root password
un botnet qui exploite l’Internet des
root 1234 objets. Cela a conduit à la baisse de
admin 1111 la bande passante de nombreux
services, y compris Twitter, The
root pass
Guardian, Netflix, Reddit et CNN. Ce
guest guest botnet IoT a été rendu possible par
root root l’intermédiaire d’un logiciel
admin1 password
malveillant nommé Mirai. Une fois
infectés par Mirai, les ordinateurs
admin 1234
recherchent sur Internet des objets
Une sélection de couples connectés vulnérables comme des
identifiants /mots-de-passe utilisés caméras de surveillance. Puis,
par le botnet Mirai pour effectuer l’ordinateur se connecte aux objets
son attaque en utilisant des noms d'utilisateur et
des mots de passe par défaut définis
par les fabricants. Enfin, ils les infectent avec des programmes
malveillants.

Un nouveau type d’objet connecté a récemment fait son apparition

dans vos maisons : l’assistant personnel intelligent ou assistant
personnel virtuel. Il s’agit d’une enceinte connectée et intelligente
capable de répondre à vos requêtes à l’aide d’une reconnaissance et
d’une synthèse vocale. Ainsi, les agents Cortana, Siri, Alexa et Google
Home vous répondent à tout instant de la journée. L’intérêt de l’objet
tient en sa capacité à contrôler les autres objets de votre maison et
à s’appuyer sur Internet pour répondre à toutes vos requêtes. Vous
pouvez ainsi demander l’ouverture ou la fermeture de vos volets,
ajuster la température du thermostat ou bien même allumer et
éteindre la lumière de votre logement. Une enceinte connectée
fonctionne en 4 temps : éveil de l’objet par un mot ou une phrase clé
tel que « Ok Google », annonce de la requête à voix haute, analyse
de la phrase prononcée et réponse ou action de l'appareil pour
satisfaire la requête.
L’une des sources d'inquiétude de ces objets est leur positionnement
à l'intérieur du foyer familial et donc leur capacité à être à l’écoute à
chaque instant, et ce de manière discrète et impalpable (pas
d’écran). Que pourrait-il arriver si ces systèmes venaient à être piratés
et vos données exploitées ? Est-il possible que votre famille soit
espionnée en permanence ? Les mêmes questions sont soulevées
pour les autres objets équipés de microphones et de caméras.

Les télévisions intelligentes mettent leurs utilisateurs à l'écoute pour

pouvoir répondre à des commandes vocales. La charte de
confidentialité de SmartTV indique clairement que les paroles
prononcées devant la télévision sont transmises à des services tiers
pour assurer le service de reconnaissance vocale. Si celui-ci est
activé, la télévision intelligente collecte des données relatives à
l’usage de l'appareil et à vos habitudes. Les acteurs malveillants ont
montré qu’il est possible de pirater certains modèles de télévisions
connectées pour rentrer dans le réseau local de l’utilisateur ou même
regarder au travers de la caméra incrustée dans l'objet.

Pour éviter tout problème avec ce type d’appareil, il est recommandé

d'éteindre le dispositif ou a minima son microphone lorsque vous ne
vous en servez pas. Veillez à ne pas laisser l’appareil à proximité ou à
l’usage de vos enfants, ou encore auprès de vos invités, et à le régler
de manière à filtrer certaines requêtes. Veillez à consulter l’historique
de vos requêtes et à le supprimer régulièrement.

»LA BLOCKCHAIN : UNE PANACÉE ?

La blockchain est une technologie de transmission et de stockage
de l’information transparente, sécurisée et décentralisée permettant
d’effectuer des transactions sans passer par un tiers de confiance.

Le principe de fonctionnement de la blockchain pourrait tenir son

origine de la Monnaie de pierre utilisée dans les îles de Yap de
l’Océan Pacifique il y a plusieurs centaines d’années. Celles-ci sont
situées dans l’archipel de l’État de Yap dans les États fédérés de
Micronésie. Cette monnaie, dénommée « Rai », était constituée de
disques de pierre de diamètres variés mais dont la taille pouvait
atteindre près de 4 mètres et son poids plusieurs tonnes. Cette
monnaie difficilement transportable du fait de sa taille et de son
poids était malgré tout utilisée pour les transactions. Celle-ci
apportait nombre de garanties car elle avait l’avantage de ne
pouvoir être falsifiée du fait que sa production était coûteuse et
effectuée uniquement sur une des îles voisines. Mais alors, comment
utiliser cette monnaie lors de transactions ? Impossible de la garder
avec soi. L’acheteur et le vendeur utilisaient des accords verbaux
effectués devant les autres habitants pour indiquer le changement
de propriétaire des différentes pierres lors de transactions. Ces
accords étaient mémorisés par l’ensemble des habitants qui
pouvaient grâce à cet effort de mémoire attester de l’état des
registres.

Le principe de la blockchain est semblable à celui utilisé à l’époque.

Les transactions sont vérifiées par les pairs, stockées dans la chaîne
puis mémorisées par le réseau. Cette technologie a été rendue
célèbre par son usage dans l'échange des Bitcoins – la
cryptomonnaie ou monnaie cryptographique qui est un actif virtuel
stocké sur un support électronique. Le fonctionnement de la
blockchain se base sur le chiffrement asymétrique, les fonctions de
hachage et sur un réseau distribué (réseau pair à pair).
Comment fonctionnent la blockchain et le système des Bitcoins ?
Tout d’abord, deux utilisateurs s’accordent sur une transaction. Une
transaction comporte le montant, la date, l’heure, l'adresse du
récepteur ; l'émetteur signe la transaction avec sa clé privée. Plusieurs
transactions récentes sont regroupées dans un bloc. Un ensemble de
personnes appelé « mineurs » et faisant partie du réseau vérifie que
le protagoniste qui achète le bien possède un nombre suffisant de
Bitcoins pour effectuer la transaction (au regard de toutes les
transactions qu’il a déjà réalisées). Les mineurs s’assurent que le
Bitcoin n’est utilisé qu’une seule fois. Les mineurs valident les
transactions par la « preuve de travail » (résolution d’un problème
mathématique complexe) et effectuent le calcul de la somme de
contrôle du bloc. Si les transactions sont validées, le bloc identifié par
sa somme de contrôle est ajouté à la chaîne. La chaîne est ensuite
mise à jour dans tout le réseau.

Chaque bloc contient la somme de contrôle du bloc précédent ce

qui permet de créer une chaîne de blocs. Autrement dit, les blocs
suivants dépendent des blocs précédents. La chaîne est stockée de
manière redondante par l'ensemble des nœuds du réseau
permettant à chaque membre de vérifier les transactions. Si un
attaquant veut modifier une transaction, il doit posséder une forte
puissance de calcul pour calculer la somme de contrôle du bloc mais
aussi de tous les blocs suivants. Du plus, il doit falsifier la chaîne de
tout le réseau sans qu'un seul nœud ne s’en aperçoive. Une
blockchain peut être comparée à un immense livre comptable dans
lequel l’ensemble des transactions sont visibles et peuvent être
vérifiées sans passer par un tiers de confiance.

Les virus utilisant la puissance de calcul des ordinateurs pour le

minage des Bitcoins se sont multipliés. Les mineurs de Bitcoins sont
rémunérés en fonction de la complexité des calculs effectués. Les
logiciels malveillants joignent le système de la victime au réseau pour
miner les Bitcoins et les acteurs malveillants reçoivent la récompense
sur leurs portefeuilles virtuels.

Appliquée à la cryptomonnaie, la blockchain assure la validité et la

sécurité des transactions mais pas la sécurité du portefeuille stockant
les jetons. La monnaie numérique a déjà fait l'objet de vols. Aux
alentours de 650 000 bitcoins ont disparu du Mt.Gox – plateforme
permettant l’achat et la vente de la cryptomonnaie – ce qui a
entraîné sa faillite. En utilisant une faille de sécurité, les attaquants
ont volé près de 120 000 bitcoins de la plateforme Bifinex en 2016,
3 800 bitcoins de Yapizon et 4 700 bitcoins de NiceHash en 2017. En
effet, les logiciels malveillants peuvent remplacer l'adresse du
destinataire de la cryptomonnaie par une autre à l’initiation de la
transaction sur l’ordinateur de la victime. La victime effectue donc un
transfert à l'attaquant sans s’en apercevoir.

La technologie Blockchain permet d’assurer la confiance entre les

participants et peut être appliquée à nombre d’autres domaines. La
technologie se prête bien à la signature électronique car elle permet
d’assurer une traçabilité et un horodatage des transactions tout en
conservant l’intégrité de celles-ci. Il est possible d’authentifier l’auteur
d’une transaction et avoir la preuve que celui-ci l’a bien signée.

Différents domaines peuvent bénéficier de cette technologie pour

lutter contre la fraude. La certification des diplômes via une
blockchain permet de lutter contre la falsification de ceux-ci.
L’utilisation de cadastres numériques évite le vol de propriété. La
technologie Blockchain peut être appliquée dans le domaine de la
gestion de la chaîne logistique pour assurer la traçabilité des
produits.

Enfin, nombre de projets utilisent cette technologie pour gérer des

identités. C’est le cas d’E-résidence, lancé en 2015 par la République
d’Estonie, qui permet aux non-résidents d’acquérir une nationalité
estonienne numérique ou de signer différents documents
administratifs. Même si la technologie Blockchain est encore récente,
il ne fait aucun doute que celle-ci aura un impact non négligeable
sur les problèmes de cybersécurité.

La technologie n’est pas infaillible. Une attaque des 51 % aussi

nommée attaque Goldfinger cible la Blockchain et son processus
de validation. En effet, si un attaquant prend le contrôle d’au moins
51 % du réseau et de sa puissance de calcul, il peut falsifier les
transactions en validant des doubles dépenses ainsi que rejeter des
transactions. Les mineurs se regroupent pour partager leur puissance
de calcul et augmenter leurs chances de résoudre le problème.
L’attaque des 51 % peut être menée si les mineurs rejoignent un
groupe malintentionné.

Notons enfin qu’à une époque où une prise de conscience collective

a lieu concernant le développement durable et l’avenir de notre
planète, la blockchain reste actuellement une technologie coûteuse
en énergie.

»DU WEB RÉFÉRENCÉ AU DARK WEB

Les sites Internet sont régulièrement visités par des agents tels que le
Googlebot, Applebot, Baiduspider, Bingbot et bien d’autres. Ce type
de web crawler parcourt Internet afin de récupérer les données des
sites qu’ils visitent permettant de les trouver ensuite via un moteur de
recherche : ce sont des robots d’indexation. Nous avons l'habitude de
passer par les moteurs de recherche pour naviguer sur Internet. Pour
certains, le service de recherche Google est même devenu synonyme
d’Internet. Pourtant les moteurs de recherche ne nous montrent
qu’une petite partie des services et des ressources disponibles sur le
web, ce que l’on appelle le web surfacique ou le web référencé.

À l’image d’un iceberg, le

web référencé constitue
une partie visible quand la
plus grande partie reste
toutefois cachée sous
l’eau. Cette partie
immergée est appelée le
web profond (ou deep
web) qui
représente l’ensemble des
sites Internet non
référencés par les moteurs
de recherche traditionnels.
Le non-référencement
peut être dû aux limites des algorithmes de référencement ne
pouvant pas couvrir l'intégralité des pages. Par exemple, les pages
isolées ou les pages nécessitant une authentification pour y accéder
ne peuvent pas être indexées. Nous parlons parfois de web opaque
pour identifier la partie indexable mais pas encore référencée. Les
pages du web opaque peuvent être visibles dès que le robot du
moteur de recherche leur rend visite.

Un administrateur qui ne veut pas indexer certaines pages de son

site peut poser des règles de référencement pour les robots des
moteurs de recherche. Cela se fait via le fichier robots.txt prévu à cet
effet. Ces pages font donc partie du web privé.
Le fichier robots.txt est un
User-agent: * <- signifie tous les robots fichier se situant à la
Disallow: / <- signifie tout le site racine du site et qui définit
les règles à suivre pour les
Exclusion de toutes les pages pour tous les
robots d’indexation. Il se
robots
compose de deux
paramètres : le user-
agent décrivant le type de robots concernés et le allow/disallow qui
précise les pages autorisées et non autorisées pour la visite.
L’administrateur d’un site peut donc interdire la visite de certaines
pages pour certains types de robots.

User-agent: Applebot Disallow: /l.php

Disallow: /ajax/ Disallow: /live/
Disallow: /album.php Disallow: /moments_app/
Disallow: /checkpoint/ Disallow: /p.php
Disallow: /contact_importer/ Disallow: /photo.php
Disallow: /feeds/ Disallow: /photos.php
Disallow: /file_download.php Disallow: /sharer
Disallow: /hashtag/
Exclusion de certaines pages Facebook pour l’Applebot (le robot indexant les pages web
pour Siri)
Mis à part les robots d’indexation, d’autres types de robots n’ont pas
forcément la même légitimité et peuvent être développés par des
individus pour parcourir
les sites. A priori, tous les robots doivent respecter les contraintes
posées par le robots.txt, mais le respect de la contrainte n’est pas
vérifié ni forcé. En effet, le
robots.txt représente un règlement à suivre pour les robots, mais les
robots malintentionnés peuvent simplement l’ignorer. Le fichier peut
aussi être une source d’information pour les attaquants du site afin
de mieux comprendre sa structure ainsi que de découvrir les pages
non-indexées.

Le dark web (qui peut être traduit directement par « le web

sombre ») est une partie invisible du web mais accessible à travers
des réseaux particuliers aussi appelés les darknets. L'accès au dark
web se base sur un réseau décentralisé de type pair-à-pair associé à
la cryptographie et de multiples relais pour conserver l’anonymat des
utilisateurs. Le darknet s'appuie, cependant, sur le réseau Internet et
nécessite une connexion Internet.

Pour pouvoir naviguer sur le dark web il faut être connecté à un des
réseaux darknet tel que Tor ou I2P. Il est possible de s’y connecter en
téléchargeant un navigateur spécifique. Même si nous parlons de
web sombre, l’utilisation de Tor n’est pas illégale. Tor peut être utilisé
comme tout autre navigateur web afin d’accéder à des sites web de
manière anonyme. Le prix à payer est une navigation un peu
plus lente.

En complément des sites habituels, Tor donne accès à des sites du

dark web ayant une extension en « .onion ». Les sites web faisant
partie du dark web ne sont pas hébergés par des serveurs et ne sont
pas visibles sur Internet car ils n’existent simplement pas sur le réseau
Internet. Les sites sont hébergés sur les ordinateurs des pairs
connectés au darknet. La visibilité de telles pages sur Tor peut être
testée à l’aide de la page d’exemple “http://duskgytldkxiuqc6.onion/”
uniquement visible si la connexion à Tor est activée. Ensuite, il faut
soit utiliser un moteur de recherche dédié au dark web ou connaître
l'adresse du site web pour pouvoir y accéder.

Même si l’anonymat que représente le dark web est un avantage

pour les journalistes, les lanceurs d’alertes, les dissidents, il accueille
toutefois différents services dont le principe est de mettre en relation
des acheteurs et des vendeurs de produits illégaux. Il est ainsi
possible d’y trouver des sites de vente de drogue, armes à feu, fausse
monnaie, médicaments contrefaits, produits volés, locations de
services de piratage. Il est aussi composé de magasins et de petites
annonces proposant des produits illégaux ou contrefaits, de services
de blanchiment d’argent, etc. Les achats sur le dark web sont
effectués en crypto-monnaies comme le Bitcoin qui permet d’assurer
un anonymat dans les transactions.

»LES DRONES
Ces dernières années, l’engouement pour les drones, de plus en plus
performants technologiquement, n’a fait que grandir. Dorénavant,
nous les retrouvons dans de nombreux secteurs : agriculture, armée,
loisirs, télévision, livraison, sauvetage, forces de l’ordre, immobilier.
Mais comme toute nouvelle technologie, derrière un côté clair se
cache un côté obscur. La cybersécurité ne fait pas exception et nous
pouvons identifier quelques menaces relatives aux drones.

L’impact sur la vie privée est un problème majeur car même si la

réglementation française est très stricte, l’usage des drones pour
concevoir des vidéos personnelles est de plus en plus fréquent. Le
phénomène est d’autant plus important que les drones personnels
sont peu coûteux. Ces selfies (égoportrait) de nouvelle génération
peuvent avoir un impact fort sur la vie privée car ils captent un
environnement plus large que la simple personne en question. Nous
pouvons retrouver des visages d’autres personnes, des plaques
d’immatriculation, l’intérieur des maisons ou appartements, les cours
intérieures ou les jardins de personnes tierces.
Les drones facilitent l’espionnage et l’intelligence économique. Ils
peuvent être exploités pour survoler des entreprises, des entrepôts,
des sites militaires, des administrations, des ambassades, des
centrales nucléaires. Ces survols peuvent être effectués aussi bien de
jour que de nuit. Il est alors possible de savoir quelles personnes ont
accès aux bâtiments, quelles marchandises sont livrées ou stockées. Il
est également possible de faire de l’écoute à distance jusqu’à
l'intérieur des bâtiments. Il existe même des drones sous-marins et il
n’est pas aberrant de penser qu’un jour des drones pourront être
utilisés pour « écouter » les câbles sous-marins.

La loi interdit le survol de certaines zones géographiques. Les zones

interdites peuvent être consultées sur le portail de l’Institut national
de l’information géographique et forestière.

Tous les drones de loisirs sont soumis aux règles suivantes : ne pas
survoler des personnes, respecter les hauteurs maximales de vol (120
mètres de hauteur), ne jamais perdre de vue son appareil et ne pas
l’utiliser la nuit, ne pas faire voler son appareil au-dessus de l’espace
public en agglomération, ne pas faire voler son appareil à proximité
des terrains d’aviation, ne pas survoler de sites sensibles ou protégés :
centrales nucléaires, terrains militaires, réserves naturelles…, respecter
la vie privée des autres, en ne diffusant pas les prises de vue sans
l’accord des personnes concernées, et en n’en faisant pas une
utilisation commerciale, vérifier dans quelles conditions on est assuré
pour la pratique de cette activité. En cas de doute, tout usager
pourra se renseigner auprès de la Direction générale de l’aviation
civile (DGAC).

Les drones sont aussi une nouvelle arme pour le terrorisme. Qu’ils
soient personnels ou professionnels, ceux-ci peuvent transporter des
charges utiles allant de quelques kilos à plusieurs centaines de kilos.
Ils peuvent donc être utilisés comme vecteurs pour larguer des engins
explosifs dans des zones d’accès interdites et sur des sites sensibles.
Ils pourraient également transporter des charges et armes
biologiques ou chimiques. Certains drones sont piégés, comme cela
a été le cas en 2016 en Irak. Les terroristes pourraient également
pirater des drones militaires car ceux-ci sont pilotables à distance
par liaison radio (prise de contrôle ou modification des données
reçues par le drone).

Les drones sont de petite taille, peu bruyants et relativement rapides,

ce qui en fait des armes redoutables et difficiles à détecter. Plusieurs
solutions ont déjà été mises au point pour protéger les sites sensibles.
Elles utilisent des systèmes de détection basés sur différentes
solutions : radar, optique, acoustique ou radioélectrique ainsi que
l’intelligence artificielle. Enfin, d’autres solutions existent comme
l’utilisation de rapaces.
 La cybersécurité
en entreprise
Que serait une entreprise sans son système d’information ? Pourrait-
elle se passer de sa messagerie, de son accès Internet ? Serait-elle
capable de survivre si elle perdait toutes ses données, ses fichiers de
comptabilité, ses bases clients ou fournisseurs ? Ces questions, trop
peu de dirigeants se les posent, notamment pour les petites et les
moyennes entreprises (PME) et industries (PMI) qui représentent plus
de 99 % des entreprises en France. Pourtant, celles-ci sont
fondamentales. Trop souvent, ces interrogations apparaissent suite à
un incident de nature plus ou moins grave. Une entreprise attaquée
peut perdre des millions d’euros, son cours de la bourse peut chuter,
ses clients perdre confiance et la quitter, ses dirigeants être limogés
et ses salariés démotivés. Bien qu’elle soit longtemps restée confinée
dans un périmètre très technique, et donc forcément éloignée des
préoccupations des dirigeants, la cybersécurité devient un enjeu
majeur. Depuis quelques années déjà, elle s’invite régulièrement au
niveau des plus hautes sphères de direction des entreprises. Celle-ci
n’est plus seulement technique mais est devenue stratégique. Sa
complexité nécessite de disposer d’une vision globale sur l’emprise
croissante du numérique et l’évolution permanente des technologies.
Elle nécessite une compréhension de la transformation de
l’écosystème des entreprises et de ses implications pour la nouvelle
ère de l’industrie 4.0.

Concepts clés : gestion du risque, DICP, vulnérabilité, menace, charte

informatique, sensibilisation, audit, ANSSI, CNIL, OCLCTIC, C3N,
Clusif, RGPD, hygiène informatique, PAP pour « prenez vos appareils
personnels », Mobile device management (MDM).

»CYBERSÉCURITÉ ET GESTION DU RISQUE

La sécurité des systèmes d’information (SSI) peut être considérée, à
la manière d’une assurance, comme une approche de gestion des
risques. Il est important de présenter les quelques notions liées à
cette gestion des risques. Le terme de menace représente un type
d'action interne ou externe susceptible de nuire aux ressources de
l’entreprise. Une vulnérabilité, appelée parfois faille ou brèche
représente le niveau d'exposition face à la menace. Face à cette
menace, une contre-mesure ou parade correspond à l'ensemble des
actions mises en œuvre en prévention. L’impact est la conséquence
sur l’entreprise de la réalisation d’une menace.

Il est commun de considérer le risque comme comprenant à la fois

les menaces mais aussi les pertes qu'elles peuvent engendrer sur
l’entreprise. On le considère également comme la potentialité de
l'exploitation de vulnérabilités par un élément menaçant et son
impact sur l’entreprise.

La SSI est basée sur les 4 grands principes que sont la Disponibilité,
l’Intégrité, la Confidentialité et la Preuve (DICP). Chaque
problématique doit être résolue en étudiant quels sont les impacts
en matière de DICP.

La disponibilité d'un système est une mesure de performance que

l'on obtient en divisant la durée durant laquelle le système est
opérationnel par la durée totale durant laquelle on aurait souhaité
qu'il le soit. Elle se mesure en pourcentage (par exemple : 99,99 %
correspond à une perte de disponibilité de 52 minutes et
33,6 secondes par an). Les pannes font partie des principales
menaces ainsi que le déni de service (DOS) et le déni de service
distribué (DDOS).

L’intégrité fait référence à la non-altération des données lors de leur

traitement, de leur conservation ou de leur transmission. Les erreurs
de saisie font partie des principales menaces ainsi que tout ce qui
concerne les accès non autorisés aux données, suite à des erreurs
d’habilitation ou à des actes malveillants.

La confidentialité assure l’accessibilité de l’information uniquement

aux personnes autorisées. Le principe est donc qu’une donnée ne
doit être accessible que par les personnes qui ont des droits sur cette
donnée. C’est le principe du moindre privilège. La négligence
humaine (vol ou perte d’un smartphone ou d’un ordinateur portable)
est l’une des principales menaces sur la confidentialité au même titre
que l’interception des données.

La preuve (ou imputabilité ou traçabilité) est le fait d’avoir la

possibilité de remonter jusqu’à l’origine d’un événement et cela de
manière sûre et fiable. Cela inclut également la non-répudiation : un
utilisateur ne peut nier avoir effectué une action ou reçu une
information. L’absence de journalisation est l’une des principales
menaces ainsi que l’usurpation d’identité ou encore l’utilisation de
réseaux ou de proxies (serveurs mandataires) permettant un certain
anonymat.

La gestion du risque est définie par la norme ISO 27001 comme

l’ensemble des activités coordonnées visant à diriger et à contrôler
un organisme vis-à-vis du risque. Cette gestion peut se décomposer
en 4 parties. La politique définit les intentions et les orientations
générales. Le processus permet l’application de politiques, de
procédures et de pratiques, notamment pour l’analyse de risques.
Le plan comporte la description de la spécification des composants
et des ressources. Le cadre organisationnel comporte les éléments
de conception, mise en œuvre, surveillance, revue et amélioration.

La gestion des risques a pour objectif l'identification de tous les

risques auxquels l’organisme est exposé. Il convient pour chaque
risque de quantifier le niveau de criticité de celui-ci. Pour chaque
risque inadmissible, des mesures d’atténuation doivent être menées,
afin de ramener celui-ci à un niveau acceptable. La gestion passe
par la mise en place d’un suivi permanent des risques et de leur
niveau. Il convient enfin de s’assurer que chaque risque soit bien pris
en charge et fasse l’objet d’une décision : acceptation, réduction,
transfert, refus.

»CHARTE INFORMATIQUE
La charte informatique que nous pouvons aussi nommer « charte
d’utilisation des moyens informatiques et outils numériques » est un
élément essentiel de la sécurité des systèmes d’information en
entreprise. Celle-ci a pour objectif de définir les règles d’utilisation
des moyens informatiques et de télécommunication par les salariés.
Elle intègre l’ensemble des obligations à respecter et doit être signée
par l’ensemble du personnel. C’est un document important car il
permet de définir les droits et les devoirs de chaque collaborateur
vis-à-vis du système d’information. Il permet de protéger ceux-ci
contre les éventuelles dérives « sécuritaires » des entreprises mais
permet également de préserver les entreprises et leurs dirigeants
contre les abus de leurs salariés. Il s’agit d’un document à
portée juridique.

La charte indique les dispositifs de surveillance des salariés en

respectant 3 obligations : la transparence, la proportionnalité et la
concertation avec les représentants du personnel. La transparence et
la loyauté signifient que les salariés ne doivent pas être surveillés de
manière cachée ou être « piégés ». La proportionnalité indique que
les moyens mis en place par l’entreprise ne doivent pas être
disproportionnés par rapport au risque. Par exemple, la mise en
place d’une authentification biométrique peut sembler abusive pour
un accès à une salle de repos.

La charte précise les règles d’utilisation de la messagerie comme

l’utilisation des listes de diffusion, l’ouverture des pièces jointes et
l’archivage des messages. Elle mentionne les règles d’utilisation de
l’Internet : l’accès à certains sites, l’utilisation de certains navigateurs,
l’utilisation de serveurs mandataires, la journalisation des accès des
salariés. Celle-ci mentionne également le filtrage des sites Internet.
Pour éviter que les salariés n’aient accès à des sites illégaux depuis
leur infrastructure, les entreprises peuvent mettre en place un filtrage
d’adresses Internet.

Les règles relatives aux comptes utilisateurs comme la politique de

mots de passe et l’utilisation de comptes nominatifs sont aussi
indiquées dans la charte. Le document comporte également les
règles concernant l’installation de logiciels et de matériels. Pour des
raisons de sécurité (les programmes malveillants) et de droit (licences
logicielles), il est interdit d’installer n’importe quel logiciel ou matériel
sur son poste de travail. La charte précise les règles concernant la
diffamation et la loyauté vis-à-vis de l’employeur. À l’heure des
réseaux sociaux, il est important de rappeler que les salariés ont une
obligation de loyauté envers leur employeur. Enfin, la charte indique
les sanctions en cas de manquement aux règles.

»SENSIBILISER
La sensibilisation reste l’un des points les plus importants lorsque
nous abordons la cybersécurité de l’entreprise. Nous pouvons mettre
en place toutes les procédures et implémenter toutes les solutions de
sécurité, rien ne servira si l’ensemble des collaborateurs n’est pas un
minimum sensibilisé. Le maillon faible est et restera l’utilisateur.
Malheureusement, la sensibilisation n’est pas chose aisée. De plus,
elle doit être faite de manière continue. Non seulement il y a toujours
de nouveaux collaborateurs, mais ceux déjà formés ont tendance à
oublier rapidement les mesures. Aussi, les nouvelles menaces, dont la
sophistication a tendance à croître, apparaissent régulièrement.

Pour faire simple, nous pouvons définir 3 grandes familles de salariés

à sensibiliser. La première famille est composée par les utilisateurs
simples du système d’information. Ce sont ceux qui utilisent les outils
bureautiques et les applications métiers pour leurs besoins
quotidiens. Ils composent la grande majorité des utilisateurs dans
l’entreprise. Pour eux, une sensibilisation minimale doit être effectuée
en utilisant ce guide par exemple. La seconde famille correspond au
personnel du département informatique qui est composé
d’informaticiens expérimentés. À leur niveau, la sensibilisation doit
être plus poussée et plus technique. Ce type de collaborateurs
représente une double menace pour la cybersécurité : ils disposent
de beaucoup d’habilitations sur les différents systèmes et ils
disposent des compétences pour faire beaucoup de dégâts. Ils
peuvent donc par inadvertance ou par méconnaissance générer des
actions ayant des conséquences importantes et réaliser des
opérations génératrices de vulnérabilités. La dernière catégorie est
composée des hauts dirigeants. Il s’agit des membres des différentes
instances de direction, dirigeants d’entreprises ainsi que certains
cadres supérieurs. Ils sont évidemment des cibles de choix pour les
pirates car ils ont accès aux données les plus sensibles de l’entreprise.

Les séances de sensibilisation doivent être régulières et adaptées aux

profils des utilisateurs. Elles peuvent prendre différentes formes :
courriels, affichages, réunions, espace intranet dédié, vidéos, jeux de
type serious games, MOOC, tests de robustesse des mots de passe.
Les phases de sensibilisation se doivent d’aborder les enjeux que
rencontre l’entité en matière de sécurité des systèmes d’information.
Les informations considérées comme sensibles doivent être
présentées, tout comme les réglementations et obligations légales.
Les règles et consignes de sécurité régissant l’activité quotidienne
sont à rappeler : le respect de la politique de sécurité, la non-
connexion d’équipements personnels au réseau de l’entreprise, la
non-divulgation de mots de passe à un tiers, la non-réutilisation de
mots de passe professionnels dans la sphère privée et inversement,
les problématiques de phishing, les pièces jointes dans les
messageries, le signalement d’événements suspects, etc. Enfin, il
convient de préciser les moyens disponibles participant à la sécurité
du système tels que le verrouillage systématique de la session lorsque
l’utilisateur quitte son poste, les outils de protection des mots de
passe, les antivirus et les outils de sauvegarde.

»AUDITER UN SYSTÈME D’INFORMATION

Toute entreprise a besoin de connaître son niveau de sécurité et son
exposition face aux risques. Pour cela, elle audite ou fait auditer son
système d’information par un tiers. Différentes raisons peuvent
pousser une entreprise à diligenter un audit, notamment la
vérification du respect, de la pertinence et de la cohérence des règles
de sécurité définies par l'entreprise par rapport à sa Politique de
sécurité des systèmes d’information, la vérification que les obligations
légales et les règlements spécifiques à la profession impactant la
sécurité des systèmes d’information sont bien respectés (exemple :
Bâle III pour les banques). L’identification des vulnérabilités des
différents composants des architectures de sécurité (pare-feu,
systèmes d’exploitation, équipements réseau), des erreurs de
configuration, de conception ou d'implémentation, paramètres par
défaut peuvent également faire l’objet d’audits. L’audit externe est
particulièrement important car il permet d’avoir un avis extérieur à
l'entreprise et de ne pas se retrouver dans la situation d’être à la fois
juge et partie.

De même, différents types d’audits existent, allant de l’audit

technique à l’audit organisationnel en passant par l’audit
réglementaire. L’audit de vérification et de management analyse
l'état d'un système ou d'un réseau du point de vue de l'organisation,
des risques, des procédures, de l'architecture, des configurations, de
l'exploitation et des compétences. Il s'agit d'une approche à la fois
organisationnelle et technique. L'audit est réalisé avec les exploitants,
dans un environnement délimité. L’audit de conformité permet de
vérifier que l’entreprise est conforme aux différentes lois et
obligations auxquelles elle est soumise. Ce type d’audit peut
également être utilisé pour déterminer si la gestion des habilitations
est correcte. L’audit d'agrément permet de vérifier l'état du système
vis-à-vis d'un référentiel existant, par exemple le respect d'exigences
de sécurité préalablement définies ou le respect d'une norme
(ISO27001, ISO27002, référentiel groupe, politique de sécurité, etc.).
L’audit intrusif permet la recherche active de failles par rapport à
une base de données de vulnérabilités. L'audit est réalisé à partir d'un
point donné du réseau, audité par une approche basée sur la
tentative d'intrusion. Enfin, l’audit de code concerne la « relecture »
du code source d’une partie ou de l’ensemble des applications
développées par l'entreprise. Cette procédure a pour objectif
d’identifier les erreurs, les failles de sécurité ou la conformité du code
avec les règles.

La profondeur d’un audit dépend de la maturité de l'entreprise en

sécurité, des systèmes d’information et de leur taille, de son domaine
d’activité, de sa dépendance par rapport à son système
d’information, de son périmètre géographique, de ses contraintes
juridiques et normatives, de ses compétences internes en SSI et de
son niveau d’externalisation. L’audit sera de nature différente lorsqu’il
s’agira d’un Opérateur d’Importance Vitale (OIV) assurant des
services indispensables pour la population : activités civiles et
militaires de l’État, les services de santé, alimentation, transports, etc.
L’audit doit, dans la plupart des cas, donner lieu à un plan d’action
concret et pragmatique qui doit définir précisément qui doit faire
quoi, comment et quand avec un budget associé (à l’image de la
matrice RACI).

»MÉTIERS DE LA CYBERSÉCURITÉ
La cybersécurité offre de nombreuses possibilités en matière de
métiers. Ces métiers peuvent être techniques (pentester) comme
organisationnels (responsable de la sécurité des systèmes
d’information). Sans être exhaustifs, nous allons aborder les
différentes familles de métiers relatives au pilotage, à l’organisation
et à la gestion des risques. Certaines sont associées à la gestion et
au cycle de vie des projets. D’autres liées à la production et au
maintien en conditions opérationnelles, les fonctions de support et
de gestion des incidents et celles de conseil, audit et expertise.

Le responsable de la sécurité des systèmes d’information (RSSI)

définit la politique de sécurité du système d’information (PSSI) et
veille à son application. Le RSSI assure une mission stratégique de
conseil, d’assistance, d’information et de formation. Il peut intervenir
en matière de SSI tant au niveau technique, qu’organisationnel et
juridique. Le responsable du plan de continuité d’activité conçoit
et met en œuvre le plan de continuité d’activité (PCA). Celui-ci est
composé de différents plans aussi bien techniques, comme le plan
de reprise d’activité (PRA), que fonctionnels, comme le plan de
continuité de service des utilisateurs (PCU).

Le chef de projet sécurité s’assure de la prise en compte des

aspects sécurité liés au développement d’un projet. Il peut intervenir
à différents niveaux : analyse de risques, sécurité des
développements, audits et tests de sécurité.

Le développeur sécurité assure la prise en compte de la sécurité

dans le développement des logiciels : spécifications de sécurité,
conception, tests, audit du code source, intégration, documentation.
L’architecte sécurité s’assure que l’architecture mise en place est
conforme aux bonnes pratiques de sécurité. Il intervient au niveau
des choix techniques, technologiques et méthodologiques, au niveau
de la mise en production des solutions techniques ainsi que leur
maintien en conditions opérationnelles. L’administrateur sécurité a
pour rôle l’administration des solutions de sécurité déployées comme
les antivirus, les pare-feux, les VPN, les IDS/IPS. Il peut intervenir au
niveau de la gestion des habilitations. Il travaille en collaboration
avec les administrateurs système et les administrateurs réseau.
L’analyste SOC assure le paramétrage des systèmes de supervision
de la sécurité en intégrant et en corrélant l’ensemble des données
provenant des différents équipements de sécurité : pare-feu, VPN,
IDS/IPS, antivirus. Il catégorise, analyse et traite les alertes de
sécurité. Il gère également la réponse aux incidents de sécurité.
L’expert CERT analyse et traite les incidents de sécurité au sein d'une
structure de réponse à incident (CERT, CSIRT, etc.) Il communique et
fournit des recommandations de sécurité aux autres services ainsi
qu’aux autres structures de réponse à incident. Il mène une veille
proactive sur les vulnérabilités et les attaques. Le consultant
sécurité peut agir sur des problématiques techniques,
organisationnelles et juridiques. Il peut mener des travaux d’audit, de
conseil, d’architecture, de veille et d’expertise. Le pentesteur cherche
à identifier les vulnérabilités techniques d’un produit et/ou d’un
système dans son environnement d’utilisation. Il a la charge
d’identifier des chemins d’attaque et de les exploiter. Il a une bonne
connaissance des produits lui permettant de détecter ou d’exploiter
des vulnérabilités.

»ACTEURS PUBLICS
Un certain nombre d’acteurs publics et d’associations font partie de
l’écosystème de la cybersécurité. Nous présentons dans la suite
l’ANSSI, la CNIL, l’OCLCTIC, le C3N et le Clusif.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI)

est un acteur de référence dans la sécurité des systèmes
d’information. C’est une agence publique ayant pour objectif la
défense des systèmes d’information de l’État mais également des
Opérateurs d’Importance Vitale (OIV). Elle est en charge de la
promotion de technologies, des règlements dont elle assure le
respect ainsi que des activités de conseil auprès des administrations
et des entreprises. Elle assure de plus un rôle de surveillance des
réseaux gouvernementaux. Dans le cadre de ses missions, l’ANSSI a
publié Le Guide des bonnes pratiques de l’informatique ainsi que le
célèbre Guide de l’hygiène informatique qui présente simplement et en
42 mesures des solutions pour renforcer la sécurité de son système
d’information. Elle publie régulièrement des guides sur la plupart des
sujets concernant la sécurité des systèmes d’information qu’ils soient
techniques ou fonctionnels. L’ANSSI a notamment créé le MOOC
SecNumacadémie pour sensibiliser et former à la cybersécurité.

La Commission nationale de l'informatique et des libertés (CNIL) fait

office de régulateur national au sujet de l’usage des données
personnelles. Sa mission première est l’accompagnement des
professionnels dans leur mise en conformité par rapport au cadre
juridique. Elle accompagne également les particuliers vers la maîtrise
de leurs données personnelles et l’exercice de leurs droits. Elle étudie
l’impact des nouvelles technologies et des nouveaux usages sur la vie
privée et les libertés. La CNIL a mis à disposition un logiciel open-
source nommé PIA (Privacy Impact Assessment) qui est destiné à la
cartographie des traitements de données réalisés au sein d’une
entreprise. L’analyse d’impact sur la protection des données (PIA) est
un outil disponible en français et en anglais, qui offre des outils de
visualisation permettant de comprendre en un coup d’œil l’état des
risques du traitement étudié. La CNIL définit les données à caractère
personnel comme étant « toute information identifiant directement
ou indirectement une personne physique (nom, numéro
d’immatriculation, de téléphone, photographie, date de naissance,
commune de résidence, empreinte digitale, etc.) ». La CNIL travaille
pour l’élaboration d’une régulation harmonisée à l’échelle
européenne.

L’Office central de lutte contre la criminalité liée aux technologies de

l’information et de la communication (OCLCTIC) est l'organisme de
la police française dédié à la lutte contre la cybercriminalité. Elle
comprend 5 sections. Une section de l’Internet composée de la
plate-forme d’harmonisation, de recoupement et d’orientation des
signalements « PHAROS », dédiée au traitement des contenus illicites
d’Internet. Celle-ci accueille un centre de traitement des escroqueries
chargé du recueil des plaintes en ligne, de leur recoupement et de
leur exploitation. Une autre section, la section opérationnelle, est
chargée de la répression des infractions liées aux atteintes aux
systèmes de traitement automatisé de données (le piratage), des
fraudes aux opérateurs de communications électroniques
(escroqueries au SMS et numéros d’appel surtaxés, des piratages des
systèmes d’exploitation des smartphones et des standards
téléphoniques), des escroqueries commises sur Internet et des
atteintes aux systèmes de paiement. Une section est dédiée à
l’assistance technique, à la recherche et au développement. Une
autre section est dévouée à la formation initiale des premiers
intervenants et des investigateurs en cybercriminalité. Enfin, une
section des relations internationales comprend une cellule de
coopération internationale, une documentation opérationnelle et un
bureau de synthèses et d’analyses.

Le Centre de lutte contre les criminalités numériques (C3N) dépend

du Pôle judiciaire de la Gendarmerie nationale. Ce service à
compétence judiciaire nationale regroupe l’ensemble des unités du
PJGN qui traitent directement de questions (formation, veille et
recherche, investigation, expertise) en rapport avec la criminalité et
les analyses numériques (Département Informatique-Electronique de
l’IRCGN). Il assure également l’animation et la coordination au niveau
national de l’ensemble des enquêtes menées par le réseau
gendarmerie des enquêteurs numériques. Le C3N assure les missions
d’investigation judiciaire, de renseignement criminel et d’appui
opérationnel. L’investigation judiciaire est réalisée sur la base de
constatations dressées, parfois de signalements directs, de plaintes
d’entreprises ou de saisines de magistrats. Les enquêteurs opèrent
une surveillance proactive constante (web, réseaux sociaux, dark web,
réseaux communautaires de jeux en ligne, réseaux pair-à-pair). Le
renseignement criminel caractérise les phénomènes criminels
émergents (modes opératoires, typologie d’auteurs/victimes, etc.) afin
de préparer une réponse opérationnelle optimale des échelons
locaux. L’appui opérationnel assure l’animation et la coordination des
enquêteurs spécialisés du réseau décentralisé « Cybergend ». Il
apporte une assistance en temps réel pour les investigations en
téléphonie ou sur Internet et offre une capacité unique en France de
rapprochement et identification des auteurs/victimes apparaissant
sur des contenus pédopornographiques.
Le Club de la sécurité de l’information français (CLUSIF), est un club
professionnel constitué en association indépendante (Association Loi
1901). Ouvert à toutes les entreprises et collectivités, ce club
rassemble des offreurs et des utilisateurs issus de tous les secteurs de
l’économie. L’objectif principal du CLUSIF est de favoriser les
échanges d’idées et de retours d’expérience au travers de groupes de
travail, de publications et de conférences thématiques. Les sujets
abordés, en relation avec la sécurité de l’information, varient en
fonction de l’actualité et des besoins des membres de l’association.
Même s’il publie de nombreux documents sur tous les sujets
concernant la sécurité des systèmes d’information, l’une de ses
publications phares est son Panorama de la Cybercriminalité, qu’il
publie tous les ans au mois de janvier.

»RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES

DONNÉES
Depuis le 25 mai 2018, le Règlement général européen sur la
protection des données (RGPD) est entré en application dans
l’ensemble des 28 États membres de l’Union européenne. Ce
nouveau règlement a pour objectif de poser un cadre juridique unifié
pour l’ensemble de l’Union européenne. Les entreprises se doivent
d’avoir une conformité basée sur la transparence et la
responsabilisation. Elles doivent préciser les responsabilités partagées
et indiquer les acteurs traitant des données (responsables de
traitement et sous-traitants). Le règlement vise à crédibiliser la
régulation grâce à une coopération renforcée entre les autorités de
protection des données, qui pourront adopter des décisions
communes lorsque les traitements de données seront
transnationaux. Les autorités de protection nationales sont réunies
au sein d’un Comité européen de la protection des données (CEPD).

Le RGPD renforce les droits des personnes. Tout citoyen européen qui
le réclame peut bénéficier d’une visibilité sur l’usage de ses données
personnelles : droit de consulter et de rectifier ses données
personnelles, droit à l’oubli. Un point important concerne la définition
de l’expression du consentement : les utilisateurs doivent être
informés de l’usage de leurs données et doivent donner leur accord
pour la collecte et le traitement de leurs données, ou pouvoir s’y
opposer. La charge de la preuve du consentement incombe au
responsable du traitement. La matérialisation de ce consentement
doit être non ambiguë. Toute collecte de données doit être reliée à
un but d’utilisation et ne doit pas être abusive. Il est interdit d’utiliser
les données au-delà de l’objectif pour lequel le consentement a été
obtenu. De plus, le consentement de l’utilisateur est révocable.

Concernant les entreprises, le RGPD implique un haut niveau de

responsabilité et de transparence. Chaque structure devra préparer
sa conformité en désignant un délégué à la protection des données
et en constituant un registre des traitements de données
personnelles. Elle devra ensuite prioriser les actions à mener,
respecter les droits des personnes et sécuriser les données.

Les sanctions sont encadrées, graduées et renforcées. Celles-ci vont

de la prononciation d’un avertissement à la mise en demeure de
l’entreprise, la limitation temporaire ou définitive du traitement, la
suspension des flux de données. Il est prévu de pouvoir ordonner à
l’entreprise de satisfaire aux demandes d'exercice des droits des
personnes à la rectification, la limitation ou l'effacement des
données. Les amendes administratives peuvent s’élever, selon la
catégorie de l’infraction, de 10 ou 20 millions d’euros ou de 2 % à
4 % du chiffre d'affaires annuel.

»APPAREILS PERSONNELS
Aussi bien pour des problématiques financières que pour facilité le
travail au quotidien, certaines entreprises autorisent leurs
collaborateurs à utiliser leur smartphone personnel à des fins
professionnelles. C’est la politique PAP : Prenez vos appareils
personnels.

Le PAP pose un problème car en cas de perte ou de vol, des

données professionnelles stockées sur l’équipement pourraient être
divulguées. L'entreprise doit s’assurer que les smartphones utilisés par
leurs collaborateurs ne présentent pas une brèche dans leur sécurité.
Pour cela, une solution de « gestion de terminaux mobiles » (MDM
pour Mobile device management) peut être déployée.

Le MDM permet de sécuriser un parc de smartphones hétérogènes

et de suivre leur niveau de sécurité tout au long de leur cycle de vie.
Les solutions de MDM offrent de nombreuses fonctionnalités pour
l’application et la vérification d’une politique de sécurité sur le
smartphone (actions limitées, paramètres, codes de verrouillage).
Elles permettent de superviser et d’administrer les smartphones à
distance par exemple, pour installer les mises à jour, pour un
verrouillage ou un déverrouillage, pour un effacement sécurisé des
données. Les MDM assurent la récupération de l’historique des
communications, la sauvegarde régulière et la restauration des
données du smartphone. Elles permettent de géolocaliser un
smartphone volé ou perdu et d’alerter l’administrateur en cas
d'infection. Concernant les applications mobiles, ces outils
permettent de lister un catalogue d'applications autorisées à être
installées par l'utilisateur mais aussi de déployer un magasin
d’applications propre à l’entreprise. Une solution de MDM permet
l’installation, la désinstallation et la mise à jour des applications à
distance.

Attention, les outils de MDM sont relativement intrusifs et peuvent

poser des problèmes au niveau de la géolocalisation d’un
smartphone mais également au niveau de la
sauvegarde/restauration des données car la frontière est floue entre
données privées et données professionnelles.
Conclusion
Nous avons abordé dans cet ouvrage les éléments constituants la
base de la cybersécurité. C’est ce que nous appelons plus
communément aujourd'hui l’hygiène informatique. L’hygiène
informatique comporte les principes permettant d’avoir un niveau de
sécurité suffisant pour affronter une grande partie des menaces
propres aux systèmes d’information. À partir des différentes
recommandations que nous avons vues dans cet ouvrage, il sera
important de commencer par un état des lieux. C’est-à-dire définir,
par rapport à ces recommandations, quelles sont les différences
inhérentes à votre situation. Ensuite, vous devez définir un plan
d’action pour atteindre le niveau de sécurité adéquate.

Pour conclure cet ouvrage, nous proposons un rappel des éléments-

clés abordés en matière de cybersécurité :

1.Le couple identifiant et mot de passe est essentiel dans la gestion

du contrôle d’accès sur le digital. Un bon mot de passe est un mot
de passe unique pour éviter les attaques par dictionnaire, long pour
lutter contre les attaques par force brute, tout en restant facilement
mémorisable. Vous pouvez opter pour des solutions
d’authentification forte ou pour des gestionnaires de mots de
passe.

2
. L’utilisateur est bien souvent le maillon faible en cybersécurité. Les
acteurs malveillants s’appuient sur des utilisateurs crédules pour
mener à bien leurs actions. Dans ce contexte, soyez
particulièrement vigilants à l’ensemble de vos actions sur le digital.
Cela concerne, en particulier les sites Internet que vous visitez, les
données que vous transmettez sur ces sites, les courriels reçus et les
pièces jointes associées.
3
. Il existe une grande variété de logiciels malveillants ! Virus, vers,
cheval de Troie, rançongiciels, botnet. Pour vous protéger face à
ces menaces, vous avez trois réponses simples : antivirus, pare-feu
personnel et mises à jour régulières. La sauvegarde de vos données
est à ajouter pour se protéger contre les actions néfastes des
rançongiciels.

4
. La cryptographie est l’art du secret. Le chiffrement symétrique et
asymétrique permet d’assurer les échanges de messages de
manière sécurisée. Les fonctions de hachages permettent de
garantir l’intégrité des données. La cryptographie apporte un
élément essentiel manquant à Internet : la confiance.

5
. Les communications sans fil sont sujettes à l’écoute. Soyez très
vigilant quand les connexions Wi-Fi sont ouvertes et gratuites. Vous
ne devez jamais saisir de données sensibles sur un site qui ne soit
en HTTPS. Le S est essentiel car il vous indique l’usage du protocole
de communication sécurisé.

6
. Le smartphone est une porte d’entrée sur vos données personnelles
et sensibles. Ne modifiez pas le système de départ en le « rootant »
et utilisez uniquement le magasin d’applications officiel. Soyez
vigilant aux permissions demandées par chaque application, vous
pouvez les réfuter à chaque instant. Il est recommandé d’utiliser un
antivirus mobile et d'effectuer des sauvegardes régulières de votre
téléphone. Enfin, utilisez un code d’accès pour verrouiller votre
terminal.

7.Le digital garde mémoire de vos actions et de vos données. Gardez

le contrôle de vos données et de ce que vous échangez sur le
digital (réseaux sociaux, sites Internet, blog). Les cookies, traqueurs
et mouchards captent votre comportement sur Internet et
permettent de personnaliser (voire sur-personnaliser) les contenus
 auxquels vous accédez. Si vous souhaitez naviguer sur le web de
manière incognito, utilisez des navigateurs spécifiques.

8
. La blockchain est une technologie prometteuse pour assurer des
transactions transparentes, sécurisées et décentralisées. Nul doute
que celle-ci aura un impact fort en cybersécurité. Le big data
couplé à l’intelligence artificielle permet l'émergence de
nombreuses technologies fascinantes. Face à cette vague de
Internet des objets et du big data, il convient de s’assurer du
respect de la vie privée des utilisateurs. Le règlement général
européen sur la protection des données apporte des éléments de
réponse en ce sens.

9
. La cybersécurité est un enjeu majeur et stratégique pour les
entreprises de toutes tailles, qui doit être abordé comme une
approche de gestion des risques. La cybersécurité nécessite une
politique, des processus et un cadre organisationnel spécifique. La
charte informatique, la sensibilisation et les audits sont des moyens
essentiels. La cybersécurité est une approche aux métiers variés. La
réglementation et les acteurs nationaux et internationaux sont là
pour vous accompagner dans votre démarche.
DANS LA MÊME COLLECTION

Concepts-clés du digital
Vincent Dutot et Charles Perez

Le référencement
Julien Ringard et Benjamin Thiers

Les médias sociaux

Vincent Dutot

Lexique du numérique
Patricia Baudier et Basma Taieb
© GROUPE STUDYRAMA
34/38, rue Camille-Pelletan - 92309 Levallois-Perret cedex

Service éditorial : Charlotte Debroise, Mélanie Dewimille,

Benjamin Dias Pereira, Deborah Lopez, Myriam Pasek
Conception graphique : Catherine Aubin
Illustrations : Karina Sokolova

Dépôt légal à parution

ISBN 978-2-7590-5057-4