16 2. Les solutions pour se protger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Partie B. Les traces sur Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1. Les cookies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2. Les espiogiciels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3. Autres catgories de malwares (ou codes malveillants). . . . . . . . . . . . . . . . . . . . 27 4. Autres techniques d'espionnage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Partie C. Les traces sur logiciels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 1. Prsentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 2. Comment supprimer quelques traces ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3. Un mouchard dans les fichiers Word et Excel. . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1. La notion d'identit sur Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35 2. Les vers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3. Les canulars (hoax). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4. Les chevaux de Troie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5. "Les portes drobes". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 6. Le phishing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Partie B. Le piratage informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 1. Les hackers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 2. Illustration : les dangers du mail-bombing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Partie C. Notions de scurit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 1. Contrle d'accs, bon usage des mot de passe et login. . . . . . . . . . . . . . . . . . . . 45 2. Les outils de protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3. Scurisation du rseau : les pare-feux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Partie D. Sauvegarder ses donnes importantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 1. Pourquoi faut-il sauvegarder ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 2. Mthodologie des sauvegardes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 3. Logiciels de sauvegarde. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
1. Les virus et macro-virus informatiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58 2. Le texte de la loi du 6 janvier 1978. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Partie B. La LCEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 1. Principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 2. Le texte de la LCEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Partie C. La cryptologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 1. Prsentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 2. Pourquoi utiliser la cryptologie ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 3. Pourquoi crypter ses courriers lectroniques ?. . . . . . . . . . . . . . . . . . . . . . . . . . . 76 4. Mthodes de cryptage de ses courriers lectroniques. . . . . . . . . . . . . . . . . . . . . 78 5. Le cryptage des fichiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
1. Contexte et problmatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79 1. Modifications lgislatives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 2. La certification numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 3. La signature numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Partie E. Le SPAM et la loi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 1. L'adresse lectronique.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 2. Les aspects juridiques du spamming. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 3. Conseils pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 4. Organismes de rgulation et de lutte contre le spamming. . . . . . . . . . . . . . . . . . 92 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95 2. Que sont les "oeuvres de l'esprit" ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Partie B. Le droit d'auteur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 1. Principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 2. Droit d'auteur, copie prive et P2P. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
1. Principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
104 2. Les tablissements universitaires et les chartes. . . . . . . . . . . . . . . . . . . . . . . . . . 104 Partie B. La charte RENATER. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 1. Prsentation et principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 2. Liste des infractions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Partie C. La netiquette. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 1. Prsentation et principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 2. Respecter la loi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 3. Extraits de la netiquette. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Partie D. Illustrations et exemples de chartes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 1. Chartes d'tablissement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 2. Rgles de conduite dans un forum de discussion. . . . . . . . . . . . . . . . . . . . . . . . . 109
1. Dfinition et principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Prambule
Prsentation du module
Objectifs pdagogiques de ce module Dans la mesure o nul n'est cens ignorer la loi, toute personne utilisant un ordinateur se doit de connatre les grands principes du droit de l'informatique, de la mme manire que tout usager de la route (qu'il soit piton, conducteur de deux roues ou automobiliste) a l'obligation de connatre le code de la route. Le droit de l'informatique n'est donc pas une science rserver aux juristes, mais il doit tre compris et assimil par tous les utilisateurs de l'outil informatique. A noter galement que connatre et appliquer le droit de l'informatique ne suffit pas pour autant : il faut galement apprendre les rgles de bon usage qui sont en vigueur sur Internet. L'objectif de ce module de formation est donc de : vous transmettre les grands principes du droit de l'informatique ; vous sensibiliser aux problmatiques juridiques relatives l'usage des nouvelles technologies ; vous permettre de prendre connaissance des rgles rgissant les relations et les changes sur Internet. En tant qu'internaute et usager des technologies de l'information et de la communication, il est important que vous ayez connaissance de vos droits afin de les faire valoir et de ceux d'autrui afin de les respecter. Plan Comment atteindre cet objectif ?
Au travers de 6 chapitres, ce module vous propose d'aborder les thmatiques et problmatiques suivantes, vous permettant d'acqurir les connaissances juridiques relatives l'usage des TICs : Chapitre 1 Introduction au module qui prsente les bases de votre rflexion sur les droit fondamentaux de l'Homme et l'informatique ; Chapitre 2 La marise de son identit numrique sur le Web ; Chapitre 3 La scurisation des donnes sensibles ; Chapitre 4 La protection des donnes confidentielles ; Chapitre 5 La loi sur la cration et la protection des oeuvres ; Chapitre 6 Les chartes d'utilisation de bon comportement. Infos sur le module Temps d'apprentissage estim Environ 3 heures. Niveau de difficult De dbutant intermdiaire. Navigation et mode de lecture Ce module transversal traitant de problmatiques en relation directe avec l'ensemble des autres modules du dispositif (du B0 au B7), vous pouvez prendre connaissance de cette ressource dans l'ordre dans lequel vous tes amens dcouvrir les autres composants du dispositif, soit au fur et mesure de votre progression dans votre formation au C2i. Vous pouvez ainsi consulter les chapitres de ce module dans l'ordre que vous dsirez. Pris individuellement, nous vous recommandons de suivre ce module en respect du scnario pdagogique mis en oeuvre.
Chapitre
I
Introduction au module
Partie A. Les droits fondamentaux de l'Homme et Internet
1. Quels rapports entre les droits fondamentaux et Internet?
L'informatique a toujours eu des rapports conflictuels avec le droit et il y a plusieurs raisons ce phnomne. 1. La premire difficult est que la technologie volue beaucoup plus vite que le droit, si bien que ce dernier a du mal s'adapter aux mutations informatiques. Pour ne prendre qu'un seul exemple, l'mergence des rseaux d'changes peer-to-peer (P2P) qui permettent des internautes de partager des fichiers (notamment de la musique et des films) a pris de court la justice qui a mis un certain temps ragir. Pourtant, les premires lois rglementant l'informatique sont relativement anciennes et la France a compris assez tt qu'il fallait lgifrer sur le sujet. cet gard, la loi Informatique et liberts du 6 janvier 1978 constitue un lment fondamental du dispositif lgislatif qui encadre le droit de l'informatique. 2. Le deuxime cueil est que le droit de l'informatique est par nature complexe si bien que les utilisateurs d'ordinateurs ne font pas toujours la diffrence entre ce qui est permis et ce qui est interdit. Si les internautes qui tlchargent illgalement de la musique ont la plupart du temps bien conscience de commettre un dlit, en revanche ceux qui collectent des adresses lectroniques sans le consentement de leur propritaire n'ont en gnral absolument pas le sentiment de commettre une infraction.
10
On en arrive donc un double constat d'chec : le droit de l'informatique est mconnu et finalement peu appliqu au regard des nombreuses infractions qui sont commises quotidiennement. Cette relative impunit a d'ailleurs accrdit la thse qu'Internet constituait une zone de non droit et qu'aucune lgislation ne pouvait s'appliquer au rseau des rseaux en raison notamment de son caractre transfrontalier. Bien videmment, cette thse est errone mme s'il faut bien reconnatre que l'application de certaines lois sur Internet pose problme. Attention Pourtant, dans la mesure o nul n'est cens ignorer la loi, toute personne utilisant un ordinateur se doit de connatre les grands principes du droit de l'informatique, de la mme manire que tout usager de la route (qu'il soit piton, conducteur de deux roues ou automobiliste) a l'obligation de connatre le code de la route. Le droit de l'informatique n'est donc pas une science rserver aux juristes, mais il doit tre compris et assimil par tous les utilisateurs de l'outil informatique. Remarque Connatre et appliquer le droit de l'informatique ne suffit pas pour autant : il faut galement apprendre les rgles de bon usage qui sont en vigueur sur Internet. La toile tant par essence un lieu de partage d'ides, il s'y cre de nombreuses communauts virtuelles qui possdent des rgles de savoir-vivre qu'il convient de ne pas ignorer. La lecture et le respect des chartes d'utilisation en vigueur sur Internet sont le minimum que l'on doit attendre de tout internaute. Internet est aussi un vritable paradoxe en matire de droits car il se rvle bnfique pour l'exercice des droits de l'homme et bafoue la fois certains droits de la personne prive. Exemple Par exemple, Internet est un fantastique outil de communication et d'information qui permet certains citoyens de pays peu dmocratiques de djouer la censure. Dans ce cas-l, c'est la libert d'expression qui triomphe et l'article 19 de la Dclaration universelle des droits de l'homme qui stipule que "tout individu a droit la libert d'opinion et d'expression, ce qui implique le droit de ne pas tre inquit pour ses opinions et celui de chercher, de recevoir et de rpandre, sans considrations de frontires, les informations et les ides par quelque moyen d'expression que ce soit" ( Article 19 de la Dclaration universelle des droits de l'Homme.) est finalement respect grce Internet. En revanche, cette libert d'expression peut galement tre dvoye et servir la transmission de propos injurieux, racistes, xnophobes ou haineux. De la mme manire, le respect de vie prive ou du droit d'auteur sont trs souvent mis mal sur Internet. Complment Sur la thmatique des droits fondamentaux des droits de l'Homme et Internet, nous vous conseillons de consulter la section juridique d'Educnet.
Introduction au module
11
12
Article 323-3-1 Le fait, sans motif lgitime, d'importer, de dtenir, d'offrir, de cder ou de mettre disposition un quipement, un instrument, un programme informatique ou toute donne conus ou spcialement adapts pour commettre une ou plusieurs des infractions prvues par les articles 323-1 323-3 est puni des peines prvues respectivement pour l'infraction elle-mme ou pour l'infraction la plus svrement rprime. Article 323-4 La participation un groupement form ou une entente tablie en vue de la prparation, caractrise par un ou plusieurs faits matriels, d'une ou de plusieurs des infractions prvues par les articles 323-1 323-3-1 est punie des peines prvues pour l'infraction elle-mme ou pour l'infraction la plus svrement rprime. Article 323-5 Les personnes physiques coupables des dlits prvus au prsent chapitre encourent galement les peines complmentaires suivantes : 1. L'interdiction, pour une dure de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalits de l'article 131-26 ; 2. L'interdiction, pour une dure de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activit professionnelle ou sociale dans l'exercice de laquelle ou l'occasion de laquelle l'infraction a t commise ; 3. La confiscation de la chose qui a servi ou tait destine commettre l'infraction ou de la chose qui en est le produit, l'exception des objets susceptibles de restitution ; 4. La fermeture, pour une dure de cinq ans au plus, des tablissements ou de l'un ou de plusieurs des tablissements de l'entreprise ayant servi commettre les faits incrimins ; 5. L'exclusion, pour une dure de cinq ans au plus, des marchs publics ; 6. L'interdiction, pour une dure de cinq ans au plus, d'mettre des chques autres que ceux qui permettent le retrait de fonds par le tireur auprs du tir ou ceux qui sont certifis ; 7. L'affichage ou la diffusion de la dcision prononce dans les conditions prvues par l'article 131-35. Article 323-6 Les personnes morales peuvent tre dclares responsables pnalement, dans les conditions prvues par l'article 121-2, des infractions dfinies au prsent chapitre. Les peines encourues par les personnes morales sont : 1. L'amende, suivant les modalits prvues par l'article 131-38 ; 2. Les peines mentionnes l'article 131-39. L'interdiction mentionne au 2 de l'article 131-39 porte sur l'activit dans l'exercice ou l'occasion de l'exercice de laquelle l'infraction a t commise.
Introduction au module
13
Article 323-7 La tentative des dlits prvus par les articles 323-1 323-3-1est punie des mmes peines. Remarque Il faut d'abord prciser que tous ces articles ont t modifis par la loi du 21 juin 2004 pour la confiance dans l'conomie numrique, baptise LCEN. Ces articles existaient pratiquement tous avant le vote de la LCEN, mais toutes les peines (dure et montant) ont pratiquement t doubles, signe manifeste de la volont du lgislateur. Le dernier article, 323-7, est lui-mme assez dissuasif car la tentative de commettre un dlit est punie exactement des mmes peines. En clair, si vous tentez de pirater une machine, mais que vous tes un mauvais hacker, vous coperez de la mme peine que si vous y russissez. En conclusion... En conclusion, on peut dire que la lgislation a t terriblement durcie et qu'il vaut mieux viter de jouer avec le feu. Nous pensons notamment tous ceux que les hackers appellent des script-kiddies qui sont des gamins qui trouvent des logiciels malveillants prts l'emploi sur Internet et s'amusent avec. Si un adolescent rcupre sur Internet un kit de construction de virus (il en existe plusieurs) et cre en quelques minutes une variante d'un virus, il risque trs gros diffuser sa cration. Le risque est d'autant plus grand que les script-kiddies ne sont pas en gnral de grands informaticiens et ont donc toutes les chances de se faire prendre car ils ne sauront pas maquiller leurs traces.
Chapitre
II
La matrise de son identit numrique
Prambule
L'imagination des dveloppeurs de logiciels malveillants semble sans limite et leurs auteurs exploitent la moindre faille du systme qu'ils peuvent trouver. Internet, en passant du statut d'outil destin la communaut universitaire celui de mdia grand public, a attis la convoitise de tous les escrocs qui cherchent profiter de la manne que reprsentent les millions d'utilisateurs qui surfent sur le rseau des rseaux. Les motivations des crateurs de ces logiciels sont bien videmment identiques celles des auteurs de virus, ceci prs qu'il existe gnralement en plus une volont criminelle et non pas simplement destructrice. Un crateur de virus recherche souvent une certaine forme de reconnaissance en montrant au monde (en tous cas, ceux qui utilisent un ordinateur) qu'il est le plus intelligent et qu'il a su djouer les mesures de scurit. Il y a en revanche presque toujours une motivation criminelle derrire un logiciel malveillant : l'auteur du malware veut prendre le contrle de la machine de l'utilisateur pour lui voler des informations ou bien lui extorquer de l'argent. L o le virus se montrait voyant du fait de sa prolifration exponentielle, le malware cherche se faire discret et reste furtif. Remarque Il y a toujours un ct dsesprant, quand on a got aux joies de l'informatique, constater que des individus peuvent mettre leur intelligence au service de la cration de logiciels malveillants. Cela tant, on ne voit pas trs bien pourquoi l'informatique serait pargne par cette loi qui gouverne le monde et qui veut que l'tre humain est capable du meilleur comme du pire.
16
Il faut toujours garder l'esprit que les ordinateurs et les logiciels sont faits par des humains. On a parfois la trs nette impression que, face la puissance de certaines applications, l'utilisateur a tendance oublier cette vrit premire et considrer que l'informatique est une science surnaturelle. On pourrait peut-tre mme aller jusqu' dire que les problmes de scurit viennent en grande partie de cette absence de prise de conscience de la ralit. La plupart des utilisateurs d'ordinateurs ne voient pas le danger qu'il y a excuter un programme dont l'origine est douteuse alors qu'il ne leur viendrait absolument pas l'esprit de garer leur voiture dans un parking public en laissant les cls sur le tableau de bord.
17
Les conseils quant la navigation Web Utiliser des navigateurs scuriss qui permettent de limiter les informations diffuses votre sujet...par consquent, il est fortement conseill d'viter l'usage d'Internet Explorer.
1. Les cookies
1.1. Que sont les cookies et quoi servent-ils ?
Qu'est-ce qu'un cookie ? En informatique, les cookies ne sont pas des petits gteaux secs, mais des fichiers qu'un serveur Internet peut vouloir stocker sur votre machine afin de mmoriser vos prfrences de consultation et, ainsi, vous reconnatre la prochaine fois que vous vous connecterez ce site. Un cookie se prsente sur votre disque dur sous la forme suivante :
18
Son contenu est constitu de diverses informations, incomprhensibles pour l'utilisateur, qui se prsentent par exemple ainsi : Exemple FindLawTP TOMPA-www-3-62.23.165.210-28061-1019201344-798759-112-APMOT findlaw.com/ 0 1520984064 29558341 3040740160 29484915 *
19
Attention Le cookie est galement utile pour le commerant et le publicitaire qui l'utilisent des fins de marketing et peuvent ainsi adapter leurs annonces commerciales ou publicitaires nos habitudes de navigations recueillies par le cookie. Par exemple, si nous avons visits plusieurs fois la page d'un site de vacances consacre aux sjours en montagne, le mme site nous prsentera automatiquement, lors d'un prochain passage sur d'autres pages, des promotions sur des randonnes dans les Pyrnes. Dans la mesure o les cookies peuvent recler des donnes caractre personnel, certaines personnes pensent qu'ils peuvent tre dangereux pour le respect de la vie prive. Les versions rcentes des navigateurs intgrent donc une gestion des cookies et permettent notamment de refuser les cookies qu'un site Web voudrait dposer sur votre machine. Si l'on fait une application stricte de la loi, un serveur Web dsirant dposer sur votre machine un cookie doit au pralable vous en avertir afin que vous puissiez donner votre accord. Si l'on prend la peine de regarder les cookies qui sont dposs sur sa propre machine [il suffit pour cela de trouver le dossier intitul Cookies qui est en gnral un sous-dossier du rpertoire au nom de l'utilisateur], on ne peut que constater qu'il y en a beaucoup et que pratiquement aucun des sites ayant inscrit un cookie n'a demand l'autorisation. La CNIL, prenant sans doute acte de cette situation, rappelle dans son communiqu du 7 dcembre 2001 ainsi que sur son site web que "la plupart des cookies jouent le rle de simples tmoins de connexion destins faciliter la navigation sur un site web ou scuriser l'accs ( sa messagerie lectronique par exemple) sans avoir ressaisir des informations identifiantes." .
** *
Le cookie personnalise donc et facilite la navigation de l'internaute en rappelant les prfrences qu'il a pu dclarer lors d'une prcdente visite sur un site (langue, identifiant, mot de passe, slection d'objets, ...).
20
21
2. Les espiogiciels
2.1. Que sont les espiogiciels ?
Espiogiciel est la traduction franaise du terme anglais spyware, spy en anglais signifiant espion , que l'on peut donc traduire par logiciel espion . Les espiogiciels sont un phnomne d'apparition rcente qui est en train de prendre une ampleur considrable. Un espiogiciel est un programme qui rassemble des informations l'insu de son utilisateur et les transmet une organisation qui cherche en tirer parti. En fait, on dsigne sous le terme d'espiogiciel des programmes qui recueillent des informations telles que les sites web visits, les applications installes sur l'ordinateur, la version du navigateur et du systme d'exploitation. Ces donnes permettent de dresser un profil commercial de l'utilisateur qui est surtout considr comme un consommateur en puissance. Remarque On range habituellement sous le terme spyware une autre catgorie de logiciels appels adwares [ad, en anglais, est l'abrviation de advertisement et signifie publicit ] qui sont des programmes qui affichent de manire intempestive des informations de nature publicitaire. Alors qu'un spyware est toujours furtif et agit sans le consentement de l'utilisateur, un adware peut, dans le meilleur des cas, demander l'autorisation de l'utilisateur et, bien souvent, avertir l'utilisateur de ses intentions en noyant cette information dans les clauses d'utilisation d'un logiciel freeware que personne ne lit jamais. Bien que le principe de ces deux types de logiciels ne soit pas identique, tous ces programmes consacrent l'ide qu'Internet est aujourd'hui devenu un gigantesque espace marchand. Si le fait qu'un logiciel rcupre la version de votre navigateur et de votre systme d'exploitation peut paratre assez bnin, le problme est que la majorit des espiogiciels ne se contentent pas de ce genre d'informations. En outre, il convient d'tre intraitable sur les principes et de considrer qu'aucune donne ne doit sortir de votre ordinateur sans votre consentement. Les espiogiciels menacent donc la scurit de votre systme d'information et il convient dans ces conditions de les combattre par tous les moyens.
22
Remarque : Les espiogiciels sont frquemment associs des logiciels proposs en tlchargement gratuit sur l'internet, comme par exemple les logiciels d'changes de fichiers peer-to-peer, mais galement dans des produits phares de grands diteurs. On peut galement compter au nombre de ces techniques les web bugs qui, le plus souvent des fins de mesure d'audience, prennent la forme d'une image invisible et indtectable constitue d'un unique pixel insr dans des pages ou courriers lectroniques au format html. Ces derniers toutefois ne font pas l'objet d'une installation permanente sur les machines des utilisateurs concerns. Ampleur du phnomne Un fournisseur d'accs Internet amricain (Earthlink) et une socit spcialise dans la scurit informatique (Webroot) ont uni leurs efforts au dbut de l'anne 2004 pour tenter de mesurer l'ampleur du phnomne des espiogiciels en offrant aux internautes la possibilit de tester leur systme grce un programme baptis Spy Audit. La particularit de ce logiciel est qu'il s'installe et scanne votre ordinateur extrmement rapidement. Les rsultats de l'tude de ces deux socits sont assez difiants et mritent que l'on s'y arrte. Vous trouverez ci-dessous un tableau rsumant les rsultats de l'audit ralis au cours des quatre premiers mois de l'anne 2004 :
Rsultats globaux Nombre d'ordinateurs analyss Nombre de spywares trouvs Moyenne des spywares trouvs par ordinateur analys Nombres adwares trouvs Nombres de chevaux de troie trouvs
TAB. 1 : RSULTATS D'AUDIT
Priode du 1er Janvier au 30 Avril 2004 1 483 517 40 846 089 27,5 7 642 556 257 761
Complment Vous pouvez consulter l'ensemble de l'tude en cliquant ici. Vous pouvez tester votre ordinateur en tlchargeant cet utilitaire en cliquant ici. Une autre tude indique qu'en octobre 2004, 80 % des ordinateurs taient infects par des spywares. Pour la consulter, cliquer ici.
23
L'objectif affich par les diteurs de ces logiciels est d'assurer une meilleure maintenance des programmes dans lesquels ils sont intgrs. La transmission de donnes comme la version utilise, les programmes associs ou les erreurs rencontres, permet en effet parfois d'envoyer automatiquement l'utilisateur les mises jour et correctifs indispensables au bon fonctionnement du programme principal. Une autre pratique consiste galement en la revente des donnes ainsi collectes des rgies publicitaires, des centrales d'achats ou des socits de marketing. Ces donnes constituent une ressource apprciable pour ces entreprises, la valeur de leurs fichiers et de leurs bases de donnes tant dtermine par la qualification et le profilage les plus prcis possible des internautes lists. L'espiogiciel est cet effet la rponse la plus avance la culture de l'anonymat et du pseudonymat qui demeure encore aujourd'hui un des traits fondamentaux de l'identit sur internet. Les fonctions d'espionnage sont mme parfois la ranon de la gratuit d'un logiciel : son concepteur l'offre librement en tlchargement mais se rmunre en contrepartie par la revente des informations recueillies. Remarque L'espiogiciel est cet effet la rponse la plus avance la culture de l'anonymat et du pseudonymat qui demeure encore aujourd'hui un des traits fondamentaux de l'identit sur internet. Les fonctions d'espionnage sont mme parfois la ranon de la gratuit d'un logiciel : son concepteur l'offre librement en tlchargement mais se rmunre en contrepartie par la revente des informations recueillies. Exemple Par exemple, une disposition de la licence de tlchargement du logiciel d'change de fichiers (peer-to-peer) KaZaA, qui a fait l'objet d'un procs aux Pays-Bas, signalait bien la prsence d'un logiciel espion parmi les fichiers installs. Mais la taille des caractres et la formulation employe pour prvenir l'utilisateur ne dlivraient pas une information vritablement claire. Ce manque de transparence est bien entendu de nature entacher la validit du consentement de l'utilisateur la collecte de ses donnes personnelles. Remarque En marge des questions lie la protection de la vie prive, il faut enfin remarquer que les espiogiciels mobilisent des ressources de l'ordinateur lorsqu'ils sont actifs en tche de fond [mmoire disque, mmoire vive et bande passante pour les transmissions de donnes].
24
de grands pourvoyeurs de spywares. D'autres logiciels comme Babylon Translator, GetRight, Download Accelerator ou Cute FTP en contiennent galement. Il est bien difficile de trouver sur Internet une liste exhaustive des logiciels hbergeant un spyware, qu'il soit externalis ou interne. On considre cependant que plus d'un millier de programmes contiendrait un espiogiciel. Certains spywares s'installent parce que vous avez donn votre accord, mais certains programmes particulirement insidieux, comme Comet Cursor ou Gator, se retrouvent sur votre ordinateur sans que vous n'ayez rien demand. Attention Les spywares sont souvent difficiles supprimer manuellement et ce n'est pas parce que vous supprimez le logiciel hte que l'espiogiciel disparatra. Ainsi, la suppression de Kazaa de votre disque dur n'entrane pas la suppression du logiciel Cydoor. En revanche, la suppression d'un spyware peut entraner des dysfonctionnements dans le logiciel auquel il est li. En clair, si vous dsinstallez Cydoor, rien n'indique que Kazaa continuera fonctionner normalement. Remarque Si vous avez donn votre consentement l'installation d'un espiogiciel de type adware, il est normal de voir apparatre de temps en temps des bannires publicitaires. En revanche, si vous n'avez pas donn votre accord et que vous constatiez des comportements surprenants aprs l'installation d'un logiciel gratuit, vous devez souponner la prsence d'espiogiciels sur votre ordinateur. Voici une liste de symptmes qui sont rvlateurs de la prsence de spyware : La page d'accueil de votre navigateur a t modifie. Des fentres publicitaires s'affichent que vous soyez ou non sur Internet. Une barre d'outils a t installe dans votre navigateur et vous n'arrivez pas la supprimer. Votre ordinateur ralentit de manire inexplique. Conseil Si vous constatez de tels symptmes, vous devez vous procurer un outil qui permet de scanner votre disque dur afin de rechercher la prsence de spywares. Dans la mesure o les espiogiciels ne sont pas des virus ni des chevaux de Troie, les antivirus classiques ne les dtectent pas et il faut alors faire appel une autre catgorie de programmes : les scanners de spywares.
25
26
27
En France, la CNIL considre depuis longtemps qu'une adresse lectronique est une donne caractre nominatif et il y a donc une contradiction entre les principes noncs par Cydoor et la ralit. D'autre part, Cydoor dcline toute responsabilit en ce qui concerne les traitements de donnes nominatives qu'effectuent les socits pour lesquelles elle ralise de la publicit. On voit donc bien qu'il y a l un grand flou juridique et que le consommateur ne sait finalement pas grand-chose des traitements de donnes qui sont raliss sur son ordinateur.
28
Terme anglais Backdoor Boot Trojan Clicker DDoS Program Downloader Dropper Exploit File infector Flooder Keylogger Macro Trojan Notifier Nuker Password Stealer Registry Modifier Script Trojan Sniffer Spammer Trojan Porte drobe
Equivalent franais Cheval de Troie de dmarrage Programme rorientant le navigateur vers un site spcifique Programme de dni de service distribu Tlchargeur Programme extrayant dautres malwares sur lordinateur Exploitation dune faille de scurit Infecteur de fichier Programme inondant une connexion pour la surcharger Programme dinterception des touches saisies au clavier Cheval de Troie macro Programme de notification dinformations au hacker Programme permettant de planter une machine distance Voleur de mots de passe Modificateur du registre Cheval de Troie de script Programme dcoute du trafic rseau Programme denvoi de courriers non sollicits Cheval de Troie
Cette base de donnes est galement intressante car elle permet d'effectuer une recherche en prenant comme critre l'effet du malware[ Effet tel que : mise en danger de la scurit rseau, corruption de disque dur, cration de fichiers, suppression de fichiers, affichage d'images ou de messages, formatage du disque dur, plantage du systme, redmarrage de l'ordinateur, vol de mots de passe, etc.]. Remarque Bien videmment, cette classification est sujette caution et on trouve sur Internet, dans les forums spcialiss sur la scurit informatique, de nombreuses joutes oratoires o les experts se querellent sur la pertinence de telle ou telle catgorie. Frquenter ce genre de base de donnes est cependant trs formateur car cela permet de mieux apprhender l'ampleur du phnomne et sa ralit. Complment Vous trouverez une liste de malwares encore plus complte (71 lments) l'adresse suivante : http://www3.ca.com/securityadvisor/pest/search.aspx
29
30
notamment de dclencher l'ouverture de fentres publicitaires dites "pop up" ou encore l'inscription d'un site en page de dmarrage. Ils peuvent aussi servir collecter des donnes personnelles. La CNIL les classe d'ailleurs dans la catgorie des procds de collecte automatise de donnes. A l'instar des cookies et des spywares, les donnes collectes peuvent aller de la configuration technique de la machine l'historique des sites visits ou d'autres donnes plus sensibles comme des adresses e-mail. Remarque Contrairement aux scripts java, les contrles ActiveX sont programmables sans restrictions et sont cet gard potentiellement plus dangereux que les java scripts. En effet, ces contrles peuvent permettre leur programmeur, une fois excuts, de raliser distance un trs grand nombre de tches et d'actions sur la machine de l'utilisateur en disposant des mmes privilges sur les fichiers et les programmes que ce dernier : lier, crire, effacer, transfrer, excuter. Ainsi, certains contrles ActiveX permettent de modifier la base de registre de l'utilisateur. Cette base contient les informations de configuration et de scurit des programmes et des fichiers, toute modification ayant des consquences non ngligeables sur la scurit. Les contrles ActiveX ne fonctionnent toutefois que sous un environnement Windows qui constitue la majorit de systmes d'exploitation des ordinateurs personnels. Attention Ce ne sont pas pour autant des virus, car ils ne se propagent pas et n'infectent pas les documents de l'utilisateur.
31
1. Prsentation
Il est de plus en plus frquent de constater la mise en oeuvre de mouchards pour les applications informatiques sensibles. C'est devenu le cas de la majorit des applications utilises dans les entreprises, les banques, les assurances, et ceci sous la pression de plus en plus forte des audits de scurit. Cette surveillance qui, dans sa forme la plus simple, consiste inscrire dans un fichier le nom et les heures de connexion/dconnexion d'un utilisateur une application informatique, permet alors de tracer plus ou moins prcisment l'activit d'un salari. Il parait en effet normal qu'une socit tente de scuriser au maximum son systme informatique vu les enjeux, mais force est de constater, d'une part, que la mise en place de ces traces est rarement connue des utilisateurs et, d'autre part, que leur consultation ou leur exploitation est souvent possible pour d'autres personnes[les informaticiens internes l'entreprise, voire les prestataires de service qui interviennent sur le systme, par exemple] que celles qui y ont lgitimement accs[le service de contrle gnral ou la cellule scurit de l'entreprise]. Exemple 1 Quand vous utilisez Outlook Express, vous laissez, par dfaut, des traces de tous les courriers que vous recevez et envoyez. Si cela vous pose des problmes de confidentialit, vous devez apprendre supprimer tous les courriers compromettants. Pour que les courriers envoys ne soient pas systmatiquement stocks dans le dossier lments envoys, dsactivez la case cocher Copier les messages envoys dans 'lments envoys' dans l'onglet Envois de la commande Outils > Options. Exemple 2 Pour prendre un autre exemple, les logiciels de la suite Office stockent au sein des documents des renseignements dont la plupart des utilisateurs ignorent l'existence. Qui connat dans Word l'existence de l'option de confidentialit dans Word? On y accde par la commande Enregistrer sous en slectionnant le menu Outils > Options de scurit. L'option Supprimer les informations personnelles des proprits du fichier lors de l'enregistrement permet de ne pas diffuser involontairement des informations masques, comme le nom de l'auteur du document ou les noms associs aux commentaires ou aux marques de rvision. Conseil D'une manire gnrale, vous devez prendre conscience du fait que toutes les tches que vous effectuez sur un ordinateur laissent des traces : ce n'est pas parce que vous venez d'effacer un courrier compromettant qu'une copie de sauvegarde n'en a pas t fate sur le serveur. Mfiez-vous de toutes les fonctions logicielles qui permettent de sauvegarder automatiquement des informations. Par exemple, la fonction de saisie semi-automatique de Windows peut rvler des renseignements confidentiels un intrus qui utiliserait votre ordinateur. Et nous ne parlons mme pas des logiciels d'espionnage qui enregistrent votre insu tout ce que vous saisissez sur votre clavier...
32
33
fichiers crs par Word ou Excel contenaient un numro d'identification unique. Le lendemain, la socit Junkbusters publia un communiqu de presse o elle dnonait l'attitude de Microsoft face au respect de la vie prive. Par la voix de son prsident, Jason Catlett, cette socit dont le but est d'aider les consommateurs protger leur vie prive contre les agressions du marketing dclarait que "les socits devaient rvler ce qu'elles faisaient avec les informations permettant d'identifier les personnes. En raison du fait que le processus d'enregistrement de Windows relie des gens des numros d'identification, Microsoft se doit d'informer le public sur la destination de ces numros. Le New York Times n'est pas le lieu adquat o vous devez dcouvrir que chaque document cr avec Microsoft Word a t tatou secrtement avec un numro d'identification." Nous avons personnellement longtemps cru que l'acronyme GUI signifiait Graphic User Interface[Interface utilisateur graphique], mais il a fallu se rendre l'vidence : cela voulait dire galement Globally Unique Identifier[on trouve aussi dans la littrature technique l'acronyme GUID qui signifie la mme chose]. Les bonnes mes s'taient mues lors de la sortie de Windows 98 de la procdure d'installation qui proposait l'utilisateur de s'inscrire en ligne car, outre les informations ncessaires tout enregistrement de licence[nom de l'utilisateur, adresse, etc.], l'assistant proposait d'examiner l'environnement matriel dans lequel l'utilisateur voluait et pouvait ainsi rcolter des informations qui taient transmises Microsoft. Or, dans l'dition du 7 mars du New-York Times, on a appris que Richard Smith avait dcouvert qu'un numro d'identification unique tait transmis Microsoft lors de l'enregistrement en ligne de Windows 98 mme si l'utilisateur ne souhaitait pas communiquer le profil matriel de son ordinateur. Le PDG de Phar Lap montrait comment l'Assistant d'enregistrement de Windows 98 (RegWiz) pouvait divulguer les numros de l'ordinateur et du client. Le premier des deux numros est appel Hardware ID ou HWID [Il s'agit d'un numro unique assign par Microsoft qui identifie votre ordinateur. Il contient galement l'adresse de votre carte rseau si vous en possdez une. L'adresse est contenue dans les douze derniers chiffres du HWID.] Le deuxime numro est appel Microsoft ID ou MSID. Un magazine allemand, CT Magazine, a pu prouver que ce numro est plac dans un cookie afin de pister les dplacements de l'utilisateur sur le site web de Microsoft. Il s'agit d'un numro de srie unique qui identifie la personne qui a enregistr Windows 98 sur son ordinateur. Comme le dmontre Richard Smith, en raison d'un bug dans le contrle ActiveX RegWiz, ces deux numros peuvent tre lus par d'autres sites web et stocks dans leurs propres bases de donnes alors que, normalement, ils ne devaient tre disponibles que pour Microsoft. la suite de cette histoire, Microsoft proposa en tlchargement un outil pour supprimer cet identificateur unique[Office 97 Unique Identifier Removal Tool] et jura ses grands dieux que la version suivante d'Office ne contiendrait plus cette fonctionnalit. Malheureusement, Microsoft ne tint pas promesse : les documents d'Office 2000 taient encore tatous. Il a fallu attendre la version d'Office XP (2002) pour que cet identificateur disparaisse, en tous les cas sous la forme que nous connaissons.
34
Remarque Si vous avez encore des documents Office 2000 sur votre disque dur, vous pouvez faire le test l'aide d'un petit utilitaire que l'on peut tlcharger sur le Web l'adresse suivante : http://www.vecdev.com/guideon.html Complment Guideon permet non seulement de supprimer l'identificateur unique, mais galement de le sauvegarder au pralable dans un fichier journal. Cela permet de constater que, dans l'adresse MAC de sa carte rseau [lisible grce la commande IPCONFIG/ALL], se trouve bien le mouchard. quelque chose, malheur est bon : c'est grce au GUID que l'on a pu arrter l'auteur du virus macro Melissa. Application Amusez-vous lancer REGEDIT, l'utilitaire de modification du registre, et recherchez l'adresse MAC de votre carte rseau en saisissant tous les chiffres sans espace. Vous serez tonn du nombre d'occurrences que vous rencontrerez...
Ressources
http://www.tactika.com/cookie/
Coockiecentral.com : Site en anglais qui prsente toute l'actualit sur les cookies et autres "tmoins" informatiques, une importante FAQ explicative et un forum de discussion. En anglais.
Chapitre
III
La scurisation des informations sensibles
Partie A. Les dangers d'Internet
1. Les virus et macro-virus informatiques
Qu'est-ce qu'un virus informatique ? Un virus informatique est un programme[des instructions crites dans un langage de programmation] qui effectue certaines actions et, en gnral, cherche se reproduire. Il peut aussi avoir comme effet, recherch ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'oridnateur infect. Les actions effectues dpendent du virus et sont diffrentes d'un virus l'autre : cela peut aller du simple affichage d'images ou de messages l'cran l'effacement complet du disque dur (dans ce cas, on parle de bombe logique ou de charge utile ), en passant par la suppression de certains fichiers. Les virus informatiques peuvent se rpandre travers tout moyen d'change de donnes numriques comme l'Internet, mais aussi les disquettes, les cdroms,... Son appellation provient d'une analogie avec le virus biologique puisqu'il prsente des similitudes dans sa manire de se propager et de se reproduire.
36
Remarque : Sachez que le nombre de virus en circulation sur PC s'lve plusieurs dizaines de milliers. Le danger est donc bien rel et cela n'arrive pas qu'aux autres. Il faut donc apprendre bien identifier les risques pour ne pas se faire contaminer ni, par voie de consquence, contaminer les autres ; en effet, quand vous tes victime d'un virus, outre le dsagrment de la situation, la plupart du temps vous le transmettez vos correspondants chaque fois que vous envoyez un e-mail. Raison de plus pour vous protger ! Attention Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'enre elles, jouant sur l'ignorance informatique des utilisateurs, leur font parfois dtruire des lments de systme d'exploitation totalement sains. Les macro-virus Les macro-virus s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel,...) grce au VBA de Microsoft. Exemple Par exemple, en s'intgrant dans le modle normal.dot de Word, un virus peut tre activ chaque fois que l'utilisateur lance ce programme.
2. Les vers
Les vers se rpandent dans le courrier lectronique en profitant des failles des diffrents logiciels de messagerie (notamment Microsoft Outlook). Ds qu'ils ont infect un ordinateur, ils s'envoient eux-mmes dans tout le carnet d'adresses, ce qui fait que l'on reoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante ( I Love You ). Les experts n'arrivent pas se mettre d'accord sur l'appartenance ou non des vers la classe des virus informatiques.
37
En gnral, le hoax n'est pas rellement dangereux puisqu'il ne met pas en dfaut la scurit des donnes de l'utilisateur et n'essaie pas de lui extorquer de l'argent. Cependant, le hoax possde quelques cts pervers : Il sert la dsinformation en faisant circuler de fausses informations ou des rumeurs non fondes et dcrdibilise le moyen de diffusion que reprsente Internet. Il engorge les rseaux et les botes aux lettres en se servant des utilisateurs crdules pour tre propag. Le site web www.hoaxbuster.com est une ressource en ligne recensant tous les hoax qui circulent sur Internet. Pour lutter contre la dsinformation, pensez toujours vrifier une information avant de l'envoyer vos amis. Conseil Une alerte de virus par email : mettez votre anti-virus jour et laissez-le faire son boulot ! Une chane de solidarit : vrifiez sur www.hoaxbuster.com ! Votre souhait se ralisera ... arrtez de lire l'horoscope, vous allez finir par y croire !
38
Exemple Quand un utilisateur croit excuter un programme de jeu de dames qu'il a tlcharg sur Internet, il va galement lancer un petit logiciel furtif qui va enregistrer toutes les touches qu'il saisit au clavier et, par consquent, dvoiler tous ses mots de passe, son numro de carte bancaire s'il ralise des achats sur Internet, etc. C'est ensuite un jeu d'enfant pour le cheval de Troie de stocker toutes ces informations dans un fichier qui sera ensuite transmis par protocole FTP, ds l'activation de la connexion Internet, sur un serveur situ dans un pays o la lgislation n'est pas trop regardante... Attention Internet reprsente une vritable mine car on y trouve de trs nombreuses informations gratuites et de qualit. Cela est galement vrai pour les logiciels et vous pouvez trouver sur la Toile de trs nombreux programmes freeware (gratuits) d'excellente facture. Il convient cependant d'tre particulirement mfiant et de faire attention o l'on met les pieds. Il ne s'agit absolument pas de jeter ici l'anathme et de semer le doute sur tout ce qui est gratuit car certains programmes freeware sont bien meilleurs que d'autres qui sont commercialiss. Pour autant, il faut reconnatre que de nombreux chevaux de Troie sont diffuss par le biais de programmes freeware en tlchargement sur Internet. Dans ces conditions, vitez de tlcharger tout et n'importe quoi car vous risquez d'affaiblir considrablement la scurit de votre ordinateur. Si vous apprciez les logiciels freeware, adoptez les rgles suivantes : Prfrez les programmes qui sont livrs sur les CD-ROM des revues (en principe, ils ont dj t tests et sont garantis sans virus). Optez pour les programmes freeware crits par des individus ou des socits dont la rputation est irrprochable (faites-vous votre opinion en lisant les commentaires des autres utilisateurs). Mfiez-vous des programmes qui viennent de sortir et qui sont inconnus. Proscrivez les logiciels dont le but est clairement illgal et que l'on trouve sur certains sites underground. Rcuprer un programme qui permet de craquer les mots de passe ou de gnrer de vrais faux numros de cartes bancaires peut vous donner l'impression (fausse) d'tre un gourou de l'informatique et vous procurer des frissons insondables en vous persuadant que vous tes en train de passer du ct de la force obscure, mais vous risquez surtout d'introduire un cheval de Troie sur votre ordinateur. Privilgiez les logiciels dont les dveloppeurs publient le code source (vous ne serez peut-tre pas capables de l'analyser, mais des professionnels de la scurit pourront le faire votre place et mettre un avis). En cas de doute, abstenez-vous et optez pour un autre logiciel, mme s'il s'agit d'un programme payant. N'oubliez pas qu'avec un logiciel commercial, vous pouvez avoir un recours en cas de problme.
39
Complment D'aprs tous les diteurs d'antivirus, le nombre de chevaux de Troie est en trs nette augmentation depuis quelques annes ; dans la liste des virus recenss par la base de donnes de Symantec, le terme trojan apparat plus d'un millier de fois. Si les premiers chevaux de Troie taient assez primitifs et ne faisaient pas dans la dentelle[En formatant, par exemple, votre disque dur comme le programme Mungabunga], on a affaire aujourd'hui des programmes de plus en plus sophistiqus. En janvier 2005, les policiers espagnols ont ainsi arrt un programmeur de 37 ans qui avait crit un cheval de Troie permettant de rcuprer des informations sur les comptes bancaires des utilisateurs. De plus, disponible sur les rseaux d'changes de fichiers (P2P), ce logiciel espionnait les utilisateurs munis d'une Webcam... Les programmeurs de chevaux de Troie rivalisent aussi d'imagination pour diffuser leurs oeuvres. Certains n'hsitent pas se faire passer pour Microsoft et envoient ainsi des courriels qui ressemblent s'y mprendre aux messages que Microsoft diffuse. La seule diffrence est que Microsoft ne diffuse jamais de programme par courrier lectronique. Ses correctifs logiciels se tlchargent soit par Windows Update, soit directement sur le site web de Microsoft.
40
Exemples d'actions ralises par les portes drobes Parmi ces actions, on peut citer : Le transfert de fichiers (dans un sens ou dans l'autre) ; La suppression et la modification de fichiers ; Le vol d'informations ; L'enregistrement de la saisie au clavier ; L'arrt de certaines application[L'antivirus, par exemple.] ; Le dmarrage d'un serveur FTP qui permettra ainsi d'autres attaquants de se connecter la machine. Illustration Afin de mieux comprendre le fonctionnement de ce genre de programme, nous allons illustrer notre propos l'aide d'un exemple et tudier le comportement de la porte drobe Berbew qui est justement recherche par l'outil de suppression de logiciels malveillants de Microsoft. Tout commence par la rception d'un courrier lectronique en provenance d'une banque. L'adresse lectronique a t falsifie, mais le courriel semble provenir d'un service nomm Citibank Accouting. Le sujet du message, Re : Your credit application , semble indiquer que la banque rpond l'un de vos courriers. Dans le corps du mail, il est indiqu que le prt en ligne que vous avez demand a t refus et que les informations concernant le profil bancaire que vous avez fourni la banque sont incluses en pice jointe. Le courriel vous incite les vrifier en ouvrant la pice jointe. La pice jointe dont le poids est de 5 664 octets a pour nom web.da.us.citi.heloc.pif. Cette pice jointe est un cheval de Troie de type downloader (tlchargeur), qui a pour mission de tlcharger sur Internet la porte drobe nomme Berbew, de l'enregistrer dans le rpertoire systme de Windows sous le nom de Rtdx32.exe, puis de l'excuter. La porte drobe : copie le programme dans le rpertoire systme de Windows sous un nom alatoire ; cre une cl dans le registre de manire que la porte drobe s'excute au dmarrage de Windows ; cre un fichier de configuration afin de stocker diffrentes informations ncessaires au bon droulement du programme[Par exemple, numros des ports rseau utiliss par la porte drobe, URL o envoyer les informations voles, etc.] ; tente d'accder aux diffrents mots de passe l'ordinateur[Connexion Internet, partages rseau, etc.] ; stocks sur
rcupre les informations saisies au clavier ainsi que le contenu du Presse-papiers. Elle tente aussi de rcuprer des informations bancaires. Pour rcuprer les informations, le programme modifie certaines options de Windows, comme la saisie semi-automatique.
41
6. Le phishing
6.1. Qu'est-ce que le phishing et en quoi consiste t-il ?
Le phishing (qui vient du mot anglais fishing qui signifie la pche) est une technique d'ingnierie sociale qui consiste envoyer un courriel en se faisant passer pour une organisation avec laquelle vous tes en relation (une banque, une administration, un diteur de logiciel, un fournisseur d'accs Internet, etc.). Dans ce courriel, il vous est demand de fournir des renseignements personnels qu'une personne malveillante pourra exploiter ultrieurement pour, par exemple, pirater votre compte bancaire. Le courriel peut aussi vous rediriger vers un site Web qui affichera un formulaire de saisie imitant parfaitement le formulaire rel de l'entreprise dont le pirate cherche usurper l'identit. Tout est mis en oeuvre pour mettre l'internaute en confiance : l'adresse du site Web pirate ressemble une lettre prs l'adresse du site Web de l'entreprise et l'identit visuelle (logo, polices de caractres, mise en page, etc.) est reprise l'identique. Vous avez ainsi l'impression de communiquer avec une entreprise que vous connaissez et avec laquelle vous entretenez des relations commerciales. En ralit, vous fournissez des renseignements un pirate.
IMG. 2
IMG. 3
42
43
Il est bien vident qu'en tant que particulier, vous ne risquez pas grand-chose de ce genre d'individus. Il est tout de mme possible que votre machine soit la cible d'un cheval de Troie qui l'oblige servir de relais, par exemple, pour une attaque de dni de service[Dni de service : Attaque d'un systme informatique qui a pour but de rduire ses performances et, au final, de le bloquer totalement. Ainsi, un serveur web qui subira une attaque de dni de service ne sera plus en mesure de rpondre aux requtes des utilisateurs. Les attaques de dni de service distribu sont labores partir de plusieurs ordinateurs (parfois plusieurs centaines) qui unissent leurs efforts pour attaquer leur cible. En gnral, les machines qui participent une attaque de dni de service distribu ont t contamines par un cheval de Troie.]. En revanche, de nombreux hackers n'ont aucune motivation politique : l'appt du gain est la seule raison qui les pousse hacker une machine, c'est--dire en prendre le contrle. Votre machine sera attaque soit parce qu'elle renferme des informations qui sont susceptibles d'tre monnayes, soit tout simplement parce qu'elle est mal verrouille et qu'elle pourra servir de base arrire un pirate qui brouillera ainsi les pistes en n'utilisant pas sa propre machine pour commettre son forfait.
** *
Une fois introduit sur le rseau priv, l'objectif du hacker peut tre multiple : Obtention d'informations confidentielles ; Utilisation des machines pour compromettre d'autres actes illicites ; Destruction ou altration d'informations (comme des comptes en banque).
44
45
46
Vous pouvez bnficier des dispositifs matriels et logiciels les plus sophistiqus, au bout du compte, il y aura toujours un mot de passe dont vous serez responsable. Dans cette optique, le choix du mot de passe et sa conservation deviennent primordiaux. Voici quelques conseils pour bien grer vos mots de passe : Un mot de passe doit tre long (au minimum 8 caractres). Un mot de passe ne doit pas avoir de signification. Un mot de passe ne doit pas faire rfrence votre vie prive : ne choisissez pas le nom de votre chien, votre date de naissance, etc. Un mot de passe doit contenir tous les caractres possibles (minuscules, majuscules, chiffres, symboles, etc.). Un mot de passe doit tre chang rgulirement. Un mot de passe ne doit jamais tre crit nulle part, hormis dans un coffre-fort dont la combinaison ne sera jamais crite. Ne faites pas mmoriser vos mots de passe par vos logiciels. Ne rvlez jamais votre mot de passe qui que ce soit. Utilisez un cran de veille muni d'un mot de passe.
47
Conseil Il existe de multiples faons de se protger des diverses nuisances prsentes, mais la premire et la plus efficace est de changer ses comportement. Notamment, n'ouvrez pas les courriels de personnes qui vous sont inconnues ou dont les sujets vous semblent suspects: Hi ! My picture ! ...
IMG. 4 : SCHMA
48
Remarque Certains pare-feu permettent galement de tenir un journal (en anglais, log) de toutes les tentatives d'intrusion sur votre ordinateur. Ces statistiques peuvent par la suite tre tudies par des spcialistes ou la police. Fondamentaux A l'aide du firewall l'utilisateur peut dfinir sa politique de scurit : Soit il autorise uniquement les communications ayant t explicitement autorises donc tout ce qui n'est pas explicitement autoris est interdit. Soit il empche les changes qui ont t explicitement interdits donc tout le reste est autoris. La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et contraignante des besoins en communication. En effet, chaque fois que le firewall dtecte un change jamais rencontr jusqu'ici, il demande l'utilisateur d'autoriser ou d'interdire cet change. Attention Ce n'est pas parce que vous avez install un pare-feu qu'il faut vous sentir invulnrable. Un pare-feu n'arrte pas les virus ni les chevaux de Troie. Sachez qu'en matire de scurit informatique, il vaut mieux rester prudent et humble. La protection 100 % n'existe pas et mme si votre systme est jour, quip d'un antivirus et d'un pare-feu, il existe toujours un risque potentiel. Si vous pensez tre l'abri des hackers parce que vous ne possdez aucune information de valeur sur votre ordinateur et ne dtenez aucun secret qui pourrait se monnayer, ne croyez pas pour autant que vous ne courez aucun risque. Gardez l'esprit que, comme les sportifs, les hackers doivent s'entraner pour rester performants et essayer de trouver de nouvelles failles de scurit. Et croyez-moi, quand ils s'entranent, les hackers frappent n'importe o, sans distinction aucune. Complment
49
50
Remarque Il y a principalement deux raisons qui peuvent nous pousser faire des sauvegardes : Nous vivons aujourd'hui dans un monde hautement numris et nous manipulons de plus en plus d'informations numriques. Certaines informations sont importantes pour nous, mais nous ne nous en rendons pas compte. Rappel C'est une vidence de rappeler qu'aujourd'hui le numrique a envahi notre maison, l'ordinateur tant le grand chef d'orchestre de cette nouvelle organisation de l'information. Nous coutons de la musique numrique, prenons des photos numriques et changeons des courriers lectroniques. Nous faisons nos achats en ligne, grons nos comptes bancaires en ligne et recevons nos chanes de tlvision par ADSL. Pour bien vous pntrer de cette ralit, il existe un test simple qui consiste imaginer ce dont nous nous priverions aujourd'hui si notre ordinateur tombait en panne. Posez-vous la question et vous mesurerez ainsi votre dpendance l'gard de cette petite machine. Une fois ce constat ralis, il faut faire l'inventaire de toutes les informations qui feraient gravement dfaut si l'on n'en disposait plus. Cette ralit recouvre en gnral deux catgories bien diffrentes : les informations auxquelles nous sommes attachs sentimentalement et les informations qui ont une valeur parce qu'elles nous sont utiles et dont le remplacement coterait cher ou prendrait du temps. Il existe aussi des informations dont nous nous servons tous les jours et dont la perte se rvlerait gnante. Bien videmment, ces informations n'ont pas de caractre vital, mais leur indisponibilit vous ferait perdre beaucoup de temps. Le seul argument qui puisse faire rflchir la ncessit de raliser des sauvegardes est d'estimer le temps qu'il faudrait pour recrer compltement toutes ces donnes: Si ce temps excde de beaucoup le temps ncessaire la ralisation des sauvegardes, c'est peut-tre le moment de modifier vos habitudes de travail.
51
52
2.2.1. Cot
En gnral, on estime le cot d'une sauvegarde en calculant le prix de revient au Mo ou au Go. Si, par exemple, un CD-R de 700 Mo cote 0,50 Euro, le cot au Go sera donc de 0,71 Euro (0,5 / 0,7). Il est toujours intressant de faire ce genre de calcul car cela permet de comparer facilement les supports physiques. On s'aperoit ainsi que certains supports qui paraissent plus onreux de prime abord sont en fait meilleur march. La sauvegarde en ligne Gnralisation de l'ADSL oblige, les possibilits de sauvegarde en ligne se multiplient. Si l'on n'a pas un gros volume de donnes sauvegarder et que l'on dispose d'une connexion ADSL, cette solution est facile mettre en oeuvre et trs peu onreuse. Les clients des fournisseurs d'accs Internet oublient souvent que leur FAI met galement leur disposition un espace pour crer des pages personnelles Web. Ce n'est pas parce que vous ne crez pas de pages perso qu'il faut laisser cet espace inutilis. Il suffit d'apprendre se servir d'un logiciel de FTP pour bnficier ainsi d'un espace de stockage en ligne dont le volume est en gnral proche de 100 Mo. On commence aussi voir apparatre sur le march plusieurs offres commerciales de stockage en ligne dont le cot abordable les destine aux particuliers. Beaucoup de personnes pratiquaient dj la sauvegarde en ligne sans le savoir en s'envoyant sur leur compte de courrier lectronique les fichiers importants qu'ils dsiraient conserver sous la main. Avec l'inflation du volume mis la disposition des utilisateurs de Webmail, les possibilits de ce systme sont encore renforces, surtout si l'on utilise en plus un logiciel de compression.
53
54
Attention Tout systme de secours doit tre rgulirement test et c'est la raison pour laquelle on fait des exercices d'alerte au feu. Vos sauvegardes ne font pas exception cette rgle de base en matire de scurit et vous devez donc rgulirement vrifier la qualit de vos sauvegardes.
2.3. La frquence
Idalement, ds que vous avez modifi une information, il faudrait en crer une copie de sauvegarde. Les systmes professionnels fonctionnent d'ailleurs de la sorte grce des dispositifs de disque miroir, chaque information crite sur un disque dur tant duplique instantanment sur un deuxime disque dur. Dans le cadre d'une utilisation domestique, il est bien videmment impensable de procder de la sorte. Conseil Nous vous conseillons de raliser sur cl USB une sauvegarde des fichiers sur lesquels vous travaillez rgulirement ds que vous les avez modifis ; nous prconisons d'autre part une sauvegarde hebdomadaire de votre systme. Attention Si vous avez des documents vraiment importants, il est prfrable de raliser deux copies de sauvegarde et de les stocker dans deux endroits diffrents. En effet, si un incendie dtruit votre habitation, il y a de grands risques pour que votre ordinateur et vos sauvegardes partent en fume. Un utilisateur prudent conserve un deuxime jeu de sauvegarde dans un autre lieu.
3. Logiciels de sauvegarde
Bien videmment, votre premier logiciel de sauvegarde sera l'Explorateur Windows dans la mesure o il permet de faire une copie de fichiers de votre disque dur sur une autre unit. Vous noterez galement l'intrt des logiciels de compression qui permettent : d'une part de gagner de la place en rduisant la taille des fichiers ; d'autre part, de sauvegarder toute une srie de fichiers et de dossiers sous un seul nom de fichier archiv. Remarque La notion de dossier compress tant prsent intgre dans les versions actuelles de Windows, les logiciels spcifiques de compression tels que WinZip, WinRAR ou bien encore PowerArchiver ont moins la cote, mais il peut toujours s'avrer utile d'avoir ce genre de logiciels dans sa bote outils car il n'est pas rare de tomber sur un format d'archive un peu sotrique qui n'est pas pris en compte par Windows.
55
Conseil Si vous ne possdez pas d'utilitaire de compression de fichiers, pointez votre navigateur sur le site http://www.telecharger.com et vous dcouvrirez une centaine de programmes dans la rubrique Utilitaire > Compression et dcompression, dont certains sont gratuits. Utilitaire de sauvegarde Windows Absent des premires versions de Windows, le systme d'exploitation offre depuis Windows 98 un utilitaire de sauvegarde. Ce dernier est bien cach et pour l'excuter, vous devez cliquer sur la squence Dmarrer > Tous les programmes > Accessoires > Outils systme > Utilitaire de sauvegarde. Conseil Lors de l'excution de cet utilitaire, l'cran de dmarrage vous propose d'utiliser un assistant ; si c'est la premire fois que vous utilisez ce programme, nous vous conseillons d'employer l'assistant qui vous guidera pas pas. Attention Mme si l'Utilitaire de sauvegarde possde de nombreux assistants qui vous guideront lors des oprations de restauration, vous devez premirement vous familiariser avec le fonctionnement de la restauration, ce qui signifie que vous devez vous entraner restaurer des donnes sauvegardes. En cas de plantage de votre systme, vous serez ainsi habitu cette opration et risquerez moins de commettre des erreurs dans cette situation d'urgence. Deuximement, vous devez tester le bon fonctionnement de votre sauvegarde (bons fichiers sauvegards, qualit du support, etc.).
Ressources
Introduction la scurit informatique
Attaques et arnaques
56
Authentification
Protection
Chapitre
IV
La protection des donnes confidentielles
Cliquez sur le lien ci-dessous afin de dcouvrir les menaces qui psent sur les infrastructures de signature numrique. Quelles sont les menaces ?
58
59
Dans le courant des annes 1970, avec la monte en puissance de la mini-informatique et des mainframes, on a vu se dvelopper toute une srie de projets de grande envergure visant ficher les individus sur des supports magntiques. Les grandes administrations ont eu concevoir des fichiers informatiques regroupant peu ou prou la totalit de la population franaise (fichier des services fiscaux, de la scurit sociale, etc.). Puis le projet SAFARI est n : il prvoyait l'interconnexion des fichiers manant de services publics sur la base d'un identifiant unique, le numro INSEE. Certains esprits se sont alors mus des dangers d'un tel projet et un groupe de travail, sous la prsidence du conseiller d'tat Tricot, a t cr. Les travaux de cette commission sont l'origine de la loi du 6 janvier 1978 sur les rapports entre l'informatique et les liberts, et de la Commission nationale de l'informatique et des liberts (CNIL) qui est charge de veiller au respect de la loi. Conseil Tous ceux qui s'intressent la problmatique des rapports entre l'informatique et les liberts peuvent consulter le site web de la CNIL qui est une vritable rfrence en la matire. Sont notamment accessibles en ligne les rapports annuels publis par la CNIL, qui sont une mine d'informations. Toujours passionnants, ils pinglent les pratiques dlictueuses et dressent un inventaire des problmes actuels relatifs aux traitements de donnes caractre personnel.
1.2. Problmatique
Avant de dcrire la loi et le rle de la CNIL, il nous faut poser la problmatique de l'informatique et des liberts. Si nous sommes tous convaincus de l'utilit et du progrs de l'informatisation, il faut bien tre conscient des dangers que peut comporter le fait que des informations nominatives soient stockes dans des ordinateurs et puissent tre facilement exploites, recoupes et analyses. En effet, l'article 9 du code civil qui reconnat le droit au respect de la vie prive est souvent mis mal par la constitution de fichiers nominatifs. Auparavant, il faut bien reconnatre que de tels fichiers manuels existaient, mais leur exploitation tait trop lourde pour tre vraiment menaante. Aujourd'hui, avec la puissance de l'informatique, les fichiers nominatifs deviennent des enjeux de toute nature. Pour tre plus prcis, nous citerons trois exemples concrets de cas o la mauvaise utilisation de fichiers peut tre prjudiciable aux liberts individuelles.
60
Exemple Le premier grand risque est l'interconnexion des fichiers : seule la personne qui a recueilli l'information est en droit de l'exploiter. Le principe du secret professionnel ne doit pas tre bafou. Si les fichiers sont interconnects, rien n'empche par exemple votre banquier de savoir que vous tes atteint d'une maladie virale ou bien votre mdecin d'apprendre que vous tes interdit de chquier. Se pose aussi le problme du dtournement des fichiers de leur usage primitif. Les journaux se font assez rgulirement l'cho de piratages de fichiers publics ou privs des fins commerciales ou politiques : ainsi, un syndicat d'une entreprise publique produisant de l'nergie s'est vu pingler par la CNIL pour avoir dtourn le fichier du personnel. Enfin, il peut arriver que les informations stockes soient inexactes. De telles erreurs peuvent entraner des injustices sans que l'intress en soit mme averti. Se pose alors la question du droit d'accs aux informations et de la modification des informations faussement saisies.
** *
Les missions de la CNIL - Commission Nationale Informatique et Liberts - consistent : recenser et contrler les fichiers ; rglementer ; garantir le droit d'accs ; instruire les plaintes ; informer.
61
pralables la mise en oeuvre des traitements automatiss. Remarque La loi du 6 janvier 1978 fut une des premires lois au monde encadrer l'usage des fichiers informatiques. En 1995, l'Union europenne accoucha d'une directive (n 95/46 CE du 24 octobre) sur la protection des personnes physiques l'gard du traitement des donnes caractre personnel et la libre circulation des donnes. La France avait trois ans pour transcrire cette directive europenne et dans la mesure o nos gouvernements successifs ont quelque peu tard dans la transposition, la directive europenne est entre automatiquement en vigueur le 25 octobre 1998. En effet, peu de gens le savent, mais il faut ici rappeler que tout individu qui subit des dommages suite au manquement d'un tat membre de transposer une directive, est autoris obtenir des rparations devant les tribunaux nationaux, aux termes d'une jurisprudence de la Cour de Justice (affaire Francovich). La France s'est enfin dcide transposer la directive europenne, presque dix ans aprs sa publication, avec la loi du 6 aot 2004 relative la protection des personnes physiques l'gard des traitements de donnes caractre personnel. Pour autant, on a gard la rfrence originale la loi du 6 janvier 1978. La loi de 1978 comportait 48 articles et la loi de 2004 en compte 72. Pour rsumer, on peut dire que la nouvelle a renforc les pouvoirs de la CNIL, largi son champ d'application, augment les droits des personnes tout en simplifiant les procdures administratives. Vous trouverez une analyse dtaille des diffrences entre les deux lois sur le site de la CNIL l'adresse suivante : http://www.cnil.fr/index.php?id=1744 Vous trouverez une version du texte consolid (c'est--dire prenant en compte toutes les modifications lgislatives) de la loi du 6 janvier 1978 l'adresse suivante : http://www.cnil.fr/index.php?id=301 La loi rglemente la collecte l'enregistrement et la conservation des informations nominatives; elle reconnat des droits aux individus et met des obligations la charge des dtenteurs de fichiers informatiques ou manuels. Attention Beaucoup de gens pensent que la loi ne concerne que les fichiers automatiss, c'est--dire informatiques. En fait, la loi s'applique tous les fichiers nominatifs, mme ceux qui figurent sur de bonnes vieilles fiches bristol.
2.2. Article 2
Le grand mrite de la loi (dans son article 2) est de dfinir prcisment ce qu'est une donne personnelle ainsi que les traitements qui s'y appliquent.
62
Extrait de texte lgal " Constitue une donne caractre personnel toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro d'identification ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne. Constitue un traitement de donnes caractre personnel toute opration ou tout ensemble d'oprations portant sur de telles donnes, quel que soit le procd utilis, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction." (Article 2 de la loi du 6 Janvier 1978.) Remarque Que les possesseurs d'agenda lectronique se rassurent : le champ d'application de la loi carte les traitements mis en oeuvre pour l'exercice d'activits exclusivement personnelles, ce qui signifie que les contacts de votre carnet d'adresses ne sont pas pris en compte par cette loi. Rappel Bien que l'on parle en gnral de donnes nominatives, il convient de bien comprendre que toute information qui permet d'identifier une personne est une donne nominative. Cela signifie qu'une adresse lectronique, l'adresse IP que vous attribue votre fournisseur d'accs Internet ou bien encore votre numro de tlphone sont des donnes caractre personnel dont l'utilisation est encadre par la loi.
2.3. Article 6
L'article 6 de la loi dfinit la manire dont les donnes caractre personnel peuvent tre traites ; il dfinit notamment les points suivants : Les donnes sont collectes et traites de manire loyale et licite ; Elles sont collectes pour des finalits dtermines, explicites et lgitimes et ne sont pas traites ultrieurement de manire incompatible avec ces finalits ; Elles sont adquates, pertinentes et non excessives au regard des finalits pour lesquelles elles sont collectes et de leurs traitements ultrieurs ; Elles sont exactes, compltes et, si ncessaire, mises jour ; les mesures appropries doivent tre prises pour que les donnes inexactes ou incompltes au regard des finalits pour lesquelles elles sont collectes ou traites soient effaces ou rectifies ; Elles sont conserves sous une forme permettant l'identification des personnes concernes pendant une dure qui n'excde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes et traites.
63
2.4. Article 7
L'article 7 de la loi prcise qu'un traitement de donnes caractre personnel doit avoir reu le consentement de la personne concerne. Remarque Il existe bien videmment des cas o l'on ne vous demande pas votre avis, mais ces exceptions sont bien dfinies et encadres par la loi (obligation lgale, excution d'une mission de service public, intrt lgitime poursuivi par le responsable du traitement, etc.)
2.5. Article 8
L'article 8 prcise qu'il est interdit de collecter ou de traiter des donnes caractre personnel qui font apparatre, directement ou indirectement : les origines raciales ou ethniques les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes les informations qui sont relatives la sant ou la vie sexuelle des personnes. Remarque Bien videmment, la loi prvoit des exceptions et l'on comprend bien qu'un chercheur en mdecine puisse raliser une enqute comportant des questions relatives la sant.
2.6. Article 9
L'article 9 de la loi est intressant plus d'un titre et nous le reproduisons ci-dessous intgralement : Extrait de texte lgal Les traitements de donnes caractre personnel relatives aux infractions, condamnations et mesures de sret ne peuvent tre mis en oeuvre que par : 1. Les juridictions, les autorits publiques et les personnes morales grant un service public, agissant dans le cadre de leurs attributions lgales ; 2. Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confies par la loi ; 3. [Dispositions dclares non conformes la Constitution par dcision du Conseil constitutionnel n 2004-499 DC du 29 juillet 2004 ;] 4. Les personnes morales mentionnes aux articles L. 321-1 et L. 331-1 du code de la proprit intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prvus aux livres Ier, II et III du mme code aux fins d'assurer la dfense de ces droits.
64
Remarque Cet article encadre donc les fichiers de la police et de la justice. Il est intressant de noter que l'article 3 a t censur par le Conseil constitutionnel. Cela prouve, s'il en tait encore besoin, que le problme de l'informatique et des liberts est un sujet sensible et qu'un certain nombre de dputs ont cru bon d'interpeller le Conseil constitutionnel qui leur a donn en partie raison. Complment La dcision motive du Conseil constitutionnel peut tre consulte en cliquant sur ce lien Attention La lecture de l'alina 4 pour les personnes qui ne sont pas habitues aux textes juridiques peut sembler compltement absconse. En fait, ces quelques phrases sont ce que l'on appelle un texte de circonstance car c'est sur sa base que les industriels du disque vont pouvoir poursuivre les internautes adeptes des changes de fichiers grce aux rseaux peer to peer (P2P). En clair, les maisons de disques vont pouvoir collecter les adresses IP de ceux qui s'adonnent aux joies du P2P et demander un juge d'ordonner un FAI de fournir l'identit du titulaire de l'abonnement Internet.
2.7. Articles 11 31
Les articles 11 21 de la loi dfinissent la composition et le rle de la CNIL. Remarque Il faut noter que la CNIL n'est pas un tribunal, mais une autorit administrative indpendante. Son rle est de regrouper et de contrler l'ensemble des dclarations des traitements automatiss d'informations nominatives. Les articles 22 31 dcrivent les formalits de ces dclarations.
2.8. Articles 32 37
Les articles 32 37 de la loi dcrivent les obligations incombant aux responsables des traitements. Conseil Nous vous encourageons vivement lire la totalit de ces articles, ce qui permettra de vous rendre compte que la majeure partie des questionnaires que vous remplissez en ligne ne respecte pas ces obligations.
2.9. Articles 38 43
Les articles 38 43 de la loi prcisent les droits des personnes qui sont l'objet d'un traitement de donnes caractre personnel. Nous vous conseillons d'apprendre par coeur l'article 38 de cette loi et d'en user autant
65
que vous le voulez : Extrait de texte lgal " Toute personne physique a le droit de s'opposer, pour des motifs lgitimes, ce que des donnes caractre personnel la concernant fassent l'objet d'un traitement. " (Article 38 de la loi du 6 janvier 1978.) "Elle a le droit de s'opposer, sans frais, ce que les donnes la concernant soient utilises des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultrieur." (Article 38 de la loi du 6 janvier 1978.) Remarque C'est grce au deuxime alina de cet article que l'on peut dsormais faire figurer son numro de tlphone en liste rouge sans avoir besoin de payer quoi que ce soit.
** *
Pour rsumer, une personne peut exercer les droits suivants face un traitement de donnes caractre personnel : Droit d'tre inform sur la nature du traitement ; Droit de s'opposer au traitement ; Droit d'accs aux donnes collectes ; Droit de rectification des donnes.
2.10. Articles 45 52
Les articles 45 49 de la loi dfinissent les sanctions que peut prendre la CNIL lorsqu'un responsable d'un traitement de donnes ne respecte pas ses obligations. Les articles 50 52 prcisent les sanctions pnales prvues par la loi en cas d'infraction. Ces infractions ont d'ailleurs t reprises dans le code pnal (articles 226-16 226-24). Exemple titre indicatif, le fait, y compris par ngligence, de procder ou de faire procder des traitements de donnes caractre personnel sans qu'aient t respectes les formalits pralables leur mise en oeuvre prvues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.
** *
Voir annexe A en fin de fascicule
66
Partie B. La LCEN
1. Principes
La loi du 21 juin 2004 pour la confiance dans l'conomie numrique (ou LCEN) est un texte qui a mis du temps aboutir. En effet, la LCEN est quelque part l'hritire du projet baptis Loi sur la socit de l'information (LSI) que le gouvernement de Lionel Jospin avait mis en chantier, mais qui n'a jamais vu le jour. Pourtant, ds le mois d'aot 1997, le gouvernement avait fait de l'entre de la France dans la socit de l'information une de ses priorits. Malgr cette volont affiche, les dputs ont mis 5 ans (juin 2001) pour accoucher d'un projet de 32 pages qui n'a jamais pu passer devant l'Assemble nationale. Arriv au pouvoir, Jean-Pierre Raffarin a choisi d'abandonner ce projet pour en remettre un autre en route, la LCEN. Il aura galement fallu 2 ans pour que ce texte de loi voit le jour et soit publi au Journal Officiel. Certes, d'autres textes importants ont quand mme t adopts pendant cette priode, comme celui sur la signature lectronique, mais on a quand mme d attendre une anne entre le vote de cette loi et la publication de son dcret d'application. La LCEN tait attendue car il commenait y avoir urgence sur plusieurs fronts. En effet, plusieurs problmes relatifs la responsabilit des hbergeurs, la lutte contre le spam ou bien encore la libralisation totale de la cryptographie n'taient pas rgls et les professionnels de l'Internet rclamaient grands cris le vote d'une loi. Remarque La LCEN, qui compte 58 articles, est une loi vraiment importante pour Internet. Dans le cadre de cette formation, il nous est impossible de citer tous les articles qui la composent, mais nous vous conseillons de consulter le document en tlchargement ci-dessous et mme d'aller sur le site de Legifrance pour la lire intgralement.
2. Le texte de la LCEN
2.1. Article 1
Dans son premier article, la LCEN affirme un principe de libert : Extrait de texte lgal " La communication au public par voie lectronique est libre. " (Article 1 de la LCEN.) "L'exercice de cette libert ne peut tre limit que dans la mesure requise, d'une part, par le respect de la dignit de la personne humaine, de la libert et de la proprit d'autrui, du caractre pluraliste de l'expression des courants de pense et d'opinion et, d'autre part, par la sauvegarde de l'ordre public, par les besoins de la dfense nationale, par les exigences de service public, par les
67
contraintes techniques inhrentes aux moyens de communication, ainsi que par la ncessit, pour les services audiovisuels, de dvelopper la production audiovisuelle." (Article 1 de la LCEN.)
2.2. Article 2
L'article 2 de la LCEN prcise des dfinitions qui n'avaient jamais t donnes auparavant : Extrait de texte lgal " On entend par communications lectroniques les missions, transmissions ou rceptions de signes, de signaux, d'crits, d'images ou de sons, par voie lectromagntique." (Article 2 de la LCEN.) "On entend par communication au public par voie lectronique toute mise disposition du public ou de catgories de public, par un procd de communication lectronique, de signes, de signaux, d'crits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractre d'une correspondance prive." (Article 2 de la LCEN.) Remarque C'est dsormais le Conseil suprieur de l'audiovisuel (CSA) qui a la mission de garantir l'exercice de la libert de communication audiovisuelle en matire de radio et de tlvision par tout procd de communication lectronique
68
Extrait de texte lgal Le lgislateur leur a donn satisfaction et prcise que "les personnes physiques ou morales qui assurent, mme titre gratuit, pour mise disposition du public par des services de communication au public en ligne, le stockage de signaux, d'crits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilit civile engage du fait des activits ou des informations stockes la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractre illicite ou de faits et circonstances faisant apparatre ce caractre ou si, ds le moment o elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces donnes ou en rendre l'accs impossible" (Article 6 de la LCEN.) . Remarque Un autre alina prcise que la responsabilit pnale de l'hbergeur n'est pas non plus engage. Ce texte rgle donc le problme de la responsabilit a priori de l'hbergeur. La loi prcise clairement que les FAI ne sont pas soumis une obligation gnrale de surveiller les informations qu'ils transmettent ou stockent, ni une obligation gnrale de rechercher des faits ou des circonstances rvlant des activits illicites. Attention En revanche, si un FAI est avis d'un contenu illicite mis en ligne sur la page personnelle d'un de ses clients, il doit immdiatement faire cesser le trouble. Le lgislateur a quand mme pris une mesure pour limiter les recours des personnes qui voudraient faire cesser la publication d'une information sur un site Web. Ainsi toute personne qui prsenterait un hbergeur un contenu ou une activit comme tant illicite dans le but d'en obtenir le retrait ou d'en faire cesser la diffusion, alors qu'elle sait cette information inexacte, serait punie d'une peine d'un an d'emprisonnement et de 15 000 euros d'amende. Les FAI doivent conserver pendant un an les donnes de nature permettre l'identification de quiconque a contribu la cration du contenu ou de l'un des contenus des services dont elles sont prestataires.
** *
La LCEN tente de responsabiliser les FAI en matire de droit d'auteur. Ainsi lorsqu'un FAI voque dans une publicit la possibilit de tlcharger des fichiers dont il n'est pas le fournisseur, il doit faire figurer dans cette publicit une mention facilement identifiable et lisible rappelant que le piratage nuit la cration artistique. Le FAI a galement l'obligation de suspendre, par tout moyen, le contenu d'un site Web portant atteinte l'un des droits de l'auteur, y compris en ordonnant de cesser de stocker ce contenu ou, dfaut, de cesser d'en permettre l'accs.
69
2.4. Article 20
Extrait de texte lgal L'article 20 stipule que "toute publicit, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir tre clairement identifie comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est ralise" (Article 20 de la LCEN.) . La loi enfonce le clou en prcisant que "dans tous les cas, il est interdit d'mettre, des fins de prospection directe, des messages au moyen d'automates d'appel, tlcopieurs et courriers lectroniques, sans indiquer de coordonnes valables auxquelles le destinataire puisse utilement transmettre une demande tendant obtenir que ces communications cessent sans frais autres que ceux lis la transmission de celle-ci. Il est galement interdit de dissimuler l'identit de la personne pour le compte de laquelle la communication est mise et de mentionner un objet sans rapport avec la prestation ou le service propos" . Attention Signalons un systme pernicieux mis en place par certaines socits peu scrupuleuses : Vous recevez un courriel publicitaire au bas duquel figure un lien permettant de vous dsabonner et de ne plus recevoir ainsi de publicit. Vous cliquez sur ce lien qui affiche une page Web vous demandant de saisir votre adresse lectronique. Si vous possdez plusieurs adresses lectroniques grce des systmes de redirection et que le champ "Destinataire" a t masqu par le spam, vous tes alors incapable de savoir quelle adresse lectronique il faut inscrire dans le formulaire de dsabonnement. D'autre part, on peut lgitimement se demander si une telle pratique n'est pas une mthode pour vrifier si votre adresse est bien valide. En gnral, quand on crit quelqu'un, on connat son adresse lectronique et si on souhaite lui donner la possibilit de ne plus lui envoyer de courrier, on n'a pas besoin de la lui demander.
70
2.6. Article 29
Le Titre III de la LCEN, intitul "De la scurit dans l'conomie numrique" traite des moyens et prestations de cryptologie. Extrait de texte lgal L'article 29 propose les dfinitions suivantes : " On entend par moyen de cryptologie tout matriel ou logiciel conu ou modifi pour transformer des donnes, qu'il s'agisse d'informations ou de signaux, l'aide de conventions secrtes ou pour raliser l'opration inverse avec ou sans convention secrte. Ces moyens de cryptologie ont principalement pour objet de garantir la scurit du stockage ou de la transmission de donnes, en permettant d'assurer leur confidentialit, leur authentification ou le contrle de leur intgrit. " (Article 29 de la LCEN.) " On entend par prestation de cryptologie toute opration visant la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie." (Article 29 de la LCEN.)
2.7. Article 30
Extrait de texte lgal L'article 30 est une vritable rvolution car "il nonce que l'utilisation des moyens de cryptologie est libre" . Les professionnels de la scurit attendaient cette disposition rglementaire depuis des annes et ils ont donc toutes les raisons de s'en satisfaire. Cela tant, l'alina suivant prcise que "la fourniture, le transfert depuis ou vers un Etat membre de la Communaut europenne, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrle d'intgrit sont libres" (Article 30 de la LCEN.) . Remarque On ne comprend pas bien la lecture de ce texte pourquoi le lgislateur a tenu prciser son propos dans la mesure o il indiqu plus que la cryptologie tait libre. En y regardant de plus prs, on s'aperoit que sont libres l'utilisation de la cryptologie pour authentifier et contrler l'intgrit. Quelle est donc l'autre fonction de la cryptologie qui manque dans cette nonciation ? Si vous avez suivi, vous savez que la cryptologie sert bien videmment aussi masquer, cacher, chiffrer des informations. Bizarrement, cette fonctionnalit de la cryptologie n'est pas indique dans cet alina. On comprend mieux pourquoi quand on lit le suivant : "La fourniture, le transfert depuis un Etat membre de la Communaut europenne ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrle d'intgrit sont soumis une dclaration pralable auprs du Premier ministre, sauf dans les cas prvus au b du prsent III." On reste dubitatif quand on considre un pareil nonc : pourquoi ne pas appeler
71
un chat un chat ? La cryptologie qui chiffre est donc dsigne par la priphrase "moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrle d'intgrit" . Complment Au cas o le lecteur n'aurait pas compris, le lgislateur indique que les outils qui ne sont pas soumis dclaration sont "les catgories de moyens dont les caractristiques techniques ou les conditions d'utilisation sont telles que, au regard des intrts de la dfense nationale et de la scurit intrieure ou extrieure de l'Etat, leur fourniture, leur transfert depuis un Etat membre de la Communaut europenne ou leur importation peuvent tre dispenss de toute formalit pralable" (LCEN) . Bref, ce texte signifie que l'on peut chiffrer ses fichiers tant que cela ne nuit pas aux intrts de l'arme et de la police. Dans ces conditions, la cryptologie est-elle vraiment libre ? Pour tous ceux qui n'auraient encore pas compris, le lgislateur prcise que le fait de fournir des prestations de cryptologie visant assurer des fonctions de confidentialit sans avoir satisfait l'obligation de dclaration prvue l'article 31 est puni de deux ans d'emprisonnement et de 30 000 euros d'amende. Attention La LCEN modifie galement le code pnalen indiquant que lorsqu'un moyen de cryptologie a t utilis pour prparer ou commettre un crime ou un dlit, ou pour en faciliter la prparation ou la commission, cela constitue une circonstance aggravante qui accrot le nombre d'annes de prison de la peine prvue.
2.8. Article 39
L'article 39 de la LCEN parat tellement tonnant que nous ne rsistons pas au plaisir de vous le soumettre : " Les dispositions du prsent chapitre ne font pas obstacle l'application du dcret du 18 avril 1939 fixant le rgime des matriels de guerre, armes et munitions, ceux des moyens de cryptologie qui sont spcialement conus ou modifis pour porter, utiliser ou mettre en oeuvre les armes, soutenir ou mettre en oeuvre les forces armes, ainsi qu' ceux spcialement conus ou modifis pour le compte du ministre de la dfense en vue de protger les secrets de la dfense nationale. " (Article 39 de la LCEN.)
** *
La LCEN se termine sur des dispositions sur les systmes satellitaires et la couverture du territoire par les services numriques.
72
Au final, la LCEN est un texte juridique complexe et incomplet dans la mesure o il manque de nombreux dcrets d'application importants, ce qui semble tre une vritable spcialit franaise. En effet, on ne compte plus le nombre de textes vots, mais inappliqus en raison de la non publication des dcrets d'application. Encore rcent, ce texte a galement besoin que la jurisprudence en prcise certaines orientations. Il n'en reste pas moins qu'il s'agit du texte principal qui rgit le droit de l'Internet. En tant que tel, il parat difficile de l'ignorer si l'on est internaute. Voir annexe B en fin de fascicule
Partie C. La cryptologie
Prambule
Parler de cryptologie est un exercice trs dlicat. Dans l'esprit du grand public, la cryptographie voque souvent l'image des casseurs de code mythiques comme Alan Turing qui russit dchiffrer le code de l'Enigma, ce qui permit aux allis de dbarquer un an plus tt en Normandie pendant la Deuxime Guerre mondiale. Pour les spcialistes, la cryptologie n'est qu'une affaire de factorisation et de nombres premiers ; ne dit-on pas d'ailleurs que le premier employeur de mathmaticiens au monde est la NSA (National Security Agency), le service de renseignements amricain qui pilote le programme d'coute Echelon ? L'usage de la cryptographie a longtemps t rserv en France aux gens qui sont chargs de prparer la guerre, savoir les militaires. Les politiques ayant finalement compris que ces restrictions lgislatives taient un frein norme au dveloppement du commerce lectronique, la loi a t modifie et les moyens cryptographiques ne sont plus dsormais considrs comme des armes de guerre. Quand on conseille un utilisateur d'employer un outil de cryptographie, son premier rflexe est de prtendre qu'il n'a rien cacher. Quand bien mme cela serait vrai (ce qui reste encore prouver...), nous allons voir que les enjeux de la cryptographie sont tout autres et que la cryptologie est aujourdhui au centre de toute dmarche scuritaire en informatique.
73
1. Prsentation
La cryptographie La cryptographie est la science qui tudie les moyens de chiffrer (c'est dire de rendre secrets) et de dchiffrer des messages. Un message est chiffr (ou cod) l'aide d'une cl (ou chiffre). La cl peut tre aussi simple qu'un dcalage ou une permutation de lettres. Le passage du texte cod au texte en clair, en utilisant la cl de chiffrement, est appel dchiffrement. Le dcryptement est l'opration qui consiste obtenir le texte en clair partir du texte cod, sans connaissance de la cl de chiffrement. La cryptographie est trs ancienne puisque Jules Csar l'utilisait dj ; pendant deux mille ans, les techniques cryptographiques se sont affines, allant jusqu' donner naissance des machines sophistiques comme l'Enigma. La cryptographie cl symtrique Si le chiffre est devenu au fil du temps de plus en plus complexe, le principe reste identique : c'est la mme cl qui sert la fois chiffrer et dchiffrer les messages. Ce systme, appel cryptographie cl symtrique, comporte cependant une grosse lacune : si l'on veut que son correspondant puisse dchiffrer les messages cods qu'on lui envoie, il faut bien lui faire parvenir la cl. Cette opration est le maillon faible de la cryptographie symtrique car, ce moment-l, la cl peut tre intercepte. Dans les annes 1970, plusieurs chercheurs ont explor d'autres pistes afin de trouver un autre systme qui permette de faire l'conomie de l'change des cls. Ainsi naquit le concept de cryptographie cl publique (ou asymtrique) qui allait s'imposer comme le pivot central de toute la cryptographie moderne. La cryptographie publique Dans un systme cryptographique symtrique, on utilise la mme cl pour chiffrer et dchiffrer Avec la cryptographie cl publique, on emploie deux cls: la cl publique pour chiffrer et la cl prive pour dchiffrer. Les deux cls sont lies par une fonction mathmatique trs complexe qui a la particularit de ne pas tre rversible. Cela signifie en clair que la cl publique est calcule partir de la cl prive, mais que l'on ne peut pas dduire la cl prive si l'on connat la cl publique. Avec ce systme, le problme de l'change des cls est rsolu car les correspondants n'ont besoin de s'changer que leur cl publique qui ne sert qu' chiffrer un message. Cela fonctionne un peu comme un cadenas : on peut le fermer, mais si l'on ne connat pas la combinaison, on ne peut pas l'ouvrir.
74
Illustration des principes de fonctionnement de la cryptographie publique Quand Bernard veut envoyer Alice un message crypt, il procde de la manire suivante : Bernard demande Alice sa cl publique. Alice la lui envoie par courrier lectronique. Bernard chiffre son message l'aide de la cl publique d'Alice. Bernard envoie son message chiffr Alice. Alice utilise la cl prive pour dchiffrer le message de Bernard. Avec ce systme, ni l'un ni l'autre n'a d envoyer une cl prive.
75
Remarque On voit donc bien que parler de cryptologie n'est pas une chose aise car cette activit scientifique a de multiples implications dans des domaines aussi varies que le commerce, la communication et les liberts publiques. Si l'on essaye de confronter les diffrents points de vue en prsence, il faut d'abord parler des commerants qui veulent pouvoir offrir leurs clients des moyens de paiement scuriss. Si l'on se focalise aujourd'hui sur le commerce lectronique et notamment par Internet, il faut rappeler que les banques ont t les premires grosses consommatrices de cryptologie et que la carte puce que chacun possde fait bien videmment usage de procds cryptographiques. Il est donc clair que le dveloppement du commerce sur Internet ne pouvait pas faire l'conomie d'un assouplissement de la lgislation en la matire. La cryptologie est la science du secret et ceux qui prtendent ne rien avoir cacher ne voient pas l'intrt de passer du temps comprendre l'utilisation d'une telle technologie. Outre le fait qu'il n'est pas certain que vous n'ayez rien cacher puisque, pour reprendre la clbre formule de Florian, "pour vivre heureux, vivons cachs " , il faut bien comprendre que la cryptologie est le seul moyen efficace que l'on possde aujourd'hui pour scuriser certaines oprations en ligne. En effet, la cryptologie, aussi bizarre que cela puisse paratre, ne sert pas qu' crypter, mais on l'utilise galement pour la signature lectronique qui est promise un bel avenir. Si l'on veut dvelopper toute une srie de services en ligne, comme la dmatrialisation de certaines dmarches administratives, il est obligatoire d'utiliser des moyens cryptographiques. Exemple Par exemple, si vous faites partie de ces Franais qui ont fait leur dclaration d'impt par Internet, vous avez utilis une des multiples applications de la cryptographie.
** *
La cryptologie est donc trs utile dans notre monde virtuel et il faut donc apprendre l'apprivoiser. L'autre raison est qu'il s'agit d'un domaine sensible pour les liberts publiques, ce qui signifie qu'il vaut mieux en avoir une vision claire si l'on veut exercer son pouvoir de citoyen. Enfin, la cryptologie est un sujet qui touche de nombreuses disciplines intellectuelles et son tude se rvle passionnante.
76
77
Rappel Il faut ici rappeler que la structure mme du rseau a t labore par le ministre de la Dfense amricain pour pouvoir rsister une attaque nuclaire : si une partie du rseau tait endommage, les communications devaient pouvoir continuer fonctionner sur l'autre partie. De mme, le rseau n'tait pas conu pour le grand public. Le protocole IP prend donc en compte, grce notamment au concept de routage, l'acheminement des paquets par des voies de communication diffrentes, mais il n'est pas prvu la base pour garantir la confidentialit des informations qui circulent sur le rseau. Il est donc trs facile d'installer un logiciel (qu'on appelle sniffer) qui intercepte les paquets transitant par le rseau. Bien videmment, au fur et mesure de l'ampleur que prenait Internet, les spcialistes de la scurit ont pris la mesure du problme et de nouveaux protocoles de communication scurise ont vu le jour. Il est donc dsormais possible de crypter les paquets IP, ce qui rend, en cas d'interception, leur dcodage plus complexe. Mais il faut cependant reconnatre que le mode de transmission des courriers lectroniques n'est pas un modle de confidentialit : le fait qu'un courriel passe par de multiples bureaux de poste virtuels, o il peut facilement tre copi, n'est pas de nature rassurer ceux qui veulent conserver le secret de leur correspondance lectronique. Pour ceux-l, la seule solution demeure le cryptage.
78
Remarque Votre fournisseur d'accs Internet (FAI), s'il gre votre compte de courrier lectronique, a aussi fatalement la capacit de lire tous les courriels que vous recevez et envoyez. Enfin, et il ne s'agit malheureusement pas de science-fiction, vous pouvez tre victime d'un hacker qui pirate votre ordinateur ou le serveur de messagerie de votre FAI.
79
Remarque Dans la seconde mthode, votre cl publique fait partie de votre identit numrique qui est garantie par une autorit de certification.
80
La signature lectronique est un dispositif cryptographique qui permet de s'assurer de l'identit de la personne qui signe le courrier. En fait, signer un courrier lectroniquement, c'est fournir un code secret qui authentifie l'auteur du message, de la mme manire que le code secret de votre carte bancaire permet au distributeur de billets de savoir que c'est bien vous qui retirez de l'argent. Ce nouveau concept est rendu possible grce l'volution des moyens cryptographiques, ainsi qu' l'adaptation de la lgislation. L'application la plus immdiate de la signature lectronique est que l'on peut signer un document numriquement et l'envoyer par courrier lectronique, l o il fallait auparavant prendre un stylo, signer au bas de la feuille et envoyer le document papier par la Poste.
1. Modifications lgislatives
Pour que le concept de signature lectronique devienne une ralit, il a fallu modifier plusieurs lois. Il a tout d'abord t ncessaire d'autoriser la cryptographie. Se rendant compte que cette absence de libralisation demeurait le frein principal l'essor du commerce lectronique, le gouvernement de Lionel Jospin dcida alors d'autoriser l'usage de la cryptographie avec des cls de 40 bits[La longueur de la cl d'un systme cryptographique se mesure en bits, bit tant l'acronyme de binary digit, ou chiffre binaire, c'est--dire zro ou un ; plus la cl est longue, plus le dcryptement est long et difficile]. Face aux dolances des professionnels d'Internet qui s'insurgeaient contre ces mesures juges trop timides, le gouvernement publia le 17 mars 1999, au Journal officiel, deux dcrets (99 199 et 99 200) qui lgalisaient l'utilisation de la cryptographie avec des cls de 128 bits. Les dbuts de la signature lectronique ont commenc au mois de mars 2000 lorsque la loi n 2000-230, portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique, a t publie au Journal officiel. Pour tous les nostalgiques du papier, ce fut un jour noir car cette loi stipule que "l'crit sous forme lectronique est admis en preuve au mme titre que l'crit sur support papier, sous rserve que puisse tre dment identifie la personne dont il mane et qu'il soit tabli et conserv dans des conditions de nature en garantir l'intgrit " . Un peu plus loin, le texte assne : "l'crit sur support lectronique a la mme force probante que l'crit sur support papier. " Il a encore fallu attendre un an pour que le dcret d'application de cette loi soit publi (un an pour rdiger quatre pages, quelle productivit !) mais, depuis le 31 mars 2001, c'est chose faite. Remarque : Vous pouvez donc dsormais envoyer un courrier lectronique sign numriquement chaque fois que l'on exige de vous une signature manuscrite. Mais attention, armez-vous de patience et de persuasion car les ractionnaires de tout poil et les ignorants courent les rues et il faut encore pas mal ferrailler pour qu'une administration accepte un courriel sign numriquement la place d'un courrier papier. Que cela ne vous empche pas de persvrer car il arrivera bien un jour o le bon sens informatique triomphera de la bureaucratie.
81
2. La certification numrique
2.1. Les autorits de certification
Comment fait-on en pratique pour signer numriquement un courrier lectronique ? Pour ce faire, il faut se procurer au pralable un certificat numrique que la loi dfinit comme "un document sous forme lectronique attestant du lien entre les donnes de vrification de signature lectronique et un signataire" . On trouve ce genre d'ustensile auprs d'une autorit de certification (ou AC), ou d'un prestataire de services de certification lectronique, soit " toute personne qui dlivre des certificats lectroniques ou fournit d'autres services en matire de signature lectronique" () . Remarque Dans Outlook Express, vous pouvez obtenir l'adresse d'autorits de certification grce au bouton Obtenir un identificateur de la commande Outils > Options > Scurit. Malheureusement, toutes les autorits de certification proposes par Microsoft sont des autorits trangres qui offrent leurs services en anglais. Complment Cliquez sur le lien ci-dessous afin de visualiser l'animation correspondante. De quoi avons-nous besoin ?
82
Exemple Sur le site de Certinomis, vous devez fournir des renseignements personnels, puis envoyer, par la Poste : une photocopie de votre pice d'identit ; une facture de tlphone ou une quittance de loyer, ; un chque et un contrat rgissant les rapports entre l'utilisateur et l'AC. Aprs avoir vrifi votre dossier, l'AC valide votre certificat numrique, que vous devez tlcharger sur votre ordinateur. Son utilisation est subordonne une cl prive qui vous est envoye par la Poste.
83
usurper votre identit. La cl prive est vraiment le garant de votre identit numrique et vous devez la protger. Pour ce faire, vous pouvez choisir un mot de passe ; cela est une prcaution indispensable si votre ordinateur est accessible d'autres personnes. L'authenticit des certificats numriques Si votre certificat numrique est bien protg et au-dessus de tout soupon, en est-il de mme de celui de tous vos correspondants ? Dans tout systme scuris, il existe un maillon faible, notamment quand l'tre humain intervient. Il convient donc de rester vigilant et de ne pas accorder sa confiance systmatiquement tous les certificats numriques. Dans la mesure o certaines autorits de certification (AC) accordent un certificat numrique sans vrifier srieusement l'identit du demandeur, on peut mettre en doute certaines identits numriques. De la mme manire, la cl prive qui protge le certificat numrique peut tre vole ou bien devine si le mot de passe qui la verrouille est mal choisi. Si cette msaventure vous arrive, vous devez avertir immdiatement votre AC qui placera votre certificat sur une liste de rvocation. Chaque fois que vous utilisez un certificat numrique, Outlook Express vrifie, auprs de l'AC qui l'a mis, qu'il est valide et ne figure pas sur sa liste de rvocation. Vos correspondants seront alors aviss de l'invalidation de votre certificat numrique.
2.4. Animations
Cliquez sur les liens ci-dessous afin de visualiser les animations correspondantes. Pourquoi un certificat ? Pourquoi un certificat ? A qui faire confiance ? A quoi tout cela ressemble-t-il ? Serez-vous assez prudent ?
3. La signature numrique
3.1. Signer numriquement un courriel
Quand vous avez votre certificat numrique en poche, vous pouvez alors signer lectroniquement les courriers que vous envoyez. Attention Faites cependant bien attention au fait qu'un certificat numrique (ou identit numrique) est associ une seule adresse lectronique. Cela signifie que si vous possdez plusieurs comptes de courrier lectronique, vous devez possder plusieurs certificats numriques. Si vous ne possdez qu'un seul certificat, vous ne pouvez envoyer des courriers signs numriquement qu' partir du compte auquel est associ votre certificat. Dans le mme ordre d'ides, l'adresse de rponse de votre compte de courrier
84
lectronique (spcifie dans Outils > Comptes > Courrier > Proprits) doit tre identique l'adresse spcifie dans votre certificat numrique. Pour signer numriquement un courriel, vous devez composer un nouveau message, puis choisir la commande Signer numriquement partir du menu Outils de la fentre de composition du message. Vous pouvez galement cliquer sur le bouton Sign Mes. de la barre d'outils. Un ruban rouge apparat alors dans la partie droite de la fentre de message. En cliquant sur le bouton Envoyer, vous signez numriquement votre message et envoyez en mme temps votre correspondant une copie de votre identit numrique (votre cl publique). Vous pouvez configurer Outlook Express pour que tous vos messages soient par dfaut signs numriquement. Pour ce faire, choisissez la commande Outils > Options > Scurit et cochez la case Signer numriquement tous les messages sortants.
85
L'intgrit. Si un message sign numriquement a t modifi, que ce soit la suite d'une erreur de transmission, ou bien intentionnellement par un pirate qui a intercept le courrier, Outlook Express le dtectera et en avertira le destinataire. La non-rpudiation. Quand on a sign un courrier lectronique numriquement, on ne peut pas prtendre par la suite que l'on ne l'a pas envoy. Cette fonctionnalit est importante dans le cadre d'un contrat, et notamment pour le commerce lectronique. La confidentialit. Le certificat numrique sert de cl publique, ce qui signifie que si vous possdez une signature lectronique, on est susceptible de vous envoyer des messages crypts que vous pourrez dchiffrer l'aide de votre cl prive. La section suivante expose en dtail le cryptage des courriers lectroniques. Quelle est la valeur juridique de la signature lectronique? Juridiquement, la signature lectronique a la mme valeur que la signature manuscrite, ds lors qu'elle permet de garantir : l'identit du signataire : la signature d'une personne exprimant son consentement, il est essentiel de pouvoir affirmer avec certitude que la signature lectronique a bien t appose par cette personne (et non par une autre) ; l'intgrit du document sur lequel a t appos la signature : une personne ne signe un document que parce qu'elle est d'accord avec ce qu'il contient. Il est donc impratif de garantir que le contenu ne pourra pas tre modifi aprs signature ; l'indissociabilit de la signature et du document sign : il ne doit pas tre possible d'extraire la signature lectronique appose par une personne sur un document pour l'intgrer un autre document.
3.4. Animations
Cliquez sur les liens ci-dessous afin de visualiser les animations correspondantes. Principes de la signature numrique Comment signer un document numrique ? Qu'est-ce que le chiffrement asymtrique ? Sauriez-vous signer un mel, un contrat sur disquette, un achat par carte bancaire ? Quels avantages attendre de la signature numrique ? A vous de jouer !
86
** *
Le fait que l'adresse lectronique soit perue comme une information caractre personnel a donc des consquences juridiques puisque sa collecte et son utilisation sont rglementes.
87
adresses lectroniques. Si, de surcrot, l'adresse est qualifie, parce que vous avez, par exemple, post une contribution sur un forum consacr aux sous-vtements en latex, elle prend tout de suite de la valeur. Conseil 1 Il convient donc de veiller ne pas laisser traner son adresse lectronique n'importe o. La premire des prcautions est de ne pas la confier n'importe qui. De la mme manire, quand vous diffusez un courriel en nombre, rien ne vous oblige diffuser l'adresse lectronique de vos correspondants tous les destinataires de l'envoi. Aprs tout, le champ Cci a t invent pour cela, mais il assez tonnant de voir que trs peu de personnes l'utilisent et encore moins se rendent compte qu'elles commettent un traitement automatis de donnes caractre personnel quand elles mettent tout leur carnet d'adresses dans le champ Vers d'un courriel... La moindre des courtoisies, si vous ne voulez pas que l'on diffuse tout va votre adresses lectronique, est donc bien de commencer par ne pas rpandre l'adresse lectronique de vos correspondants. Conseil 2 Il est galement prudent de ne jamais poster de message sur un forum en utilisant sa vritable adresse. Les marchands d'adresses lectroniques scrutent les forums et ont conu des logiciels qui rcuprent automatiquement toutes les adresses lectroniques qui s'y trouvent. Le plus simple, quand cela est possible, est de dclarer une adresse inexistante ou bien de crer une adresse sur un serveur de Webmail gratuit qui ne servira qu' cet effet. Au final, moins vous diffusez votre adresse lectronique, moins vous recevrez de spam.
88
quatre taient du spam. Le phnomne n'arrte pas de progresser et on pourra s'en persuader en lisant toute une srie de chiffres disponibles l'adresse suivante : http://www.journaldunet.com/cc/03_internetmonde/spam.shtml Les entreprises commencent prendre cette ralit trs au srieux, car le trafic gnr par ces courriers non sollicits cre un engorgement des serveurs de messagerie.
89
Remarque : Cet article de loi durcit considrablement les textes en vigueur et supprime en thorie la possibilit du spam puisqu'il faut obtenir le consentement pralable du destinataire avant de pouvoir lui envoyer un courrier qui sera donc, par dfinition, considr comme sollicit. Les entreprises avaient d'ailleurs six mois pour se mettre en conformit avec la loi et obtenir le consentement de leurs clients. Certaines ont jou le jeu, mais elles ne sont pas majoritaires. On continue donc malgr tout recevoir de nombreux courriers non sollicits en provenance d'entreprises franaises qui sont, par consquent, en infraction manifeste avec la nouvelle loi. Conseil Quand cela vous arrive, nous vous conseillons, si cela est possible, de leur rappeler systmatiquement la loi l'aide d'un modle tout prt l'emploi. Si tous les spamms s'unissent pour protester, on peut esprer que cela fera bouger les choses, au moins en France. Il faut malheureusement avoir l'honntet de reconnatre que, pour le spam en provenance de l'tranger, nous n'avons pratiquement aucun moyen d'action. Remarque Signalons enfin que les tribunaux commencent condamner le spam, et parfois trs lourdement. Ainsi, au mois de mai 2004, un entrepreneur du sud de la France a t condamn par le tribunal de commerce de Paris verser 22 000 euros de dommages et intrts Microsoft et AOL qui avaient poursuivi le spammeur, ce dernier ayant quand mme envoy plus d'un million de courriers non sollicits.
90
Dans le deuxime cas, c#est le systme du opt-in (qui signifie en anglais "accepter") et c'#est vous de donner explicitement votre accord pour recevoir des informations.Pratiquement,c'est vous de cocher une case qui ne l'est pas a priori ou bien vous devez envoyer un courriel pour vous abonner. On comprendra que le systme du opt-out est plus avantageux pour le commerant alors que le systme du opt-in est plus respectueux des liberts du consommateur. Remarque Comme nous l'avons vu prcdemment, la loi sur la confiance dans l'conomie numrique (LCEN) a prcis les choses sur le plan juridique et c'#est clairement le systme du opt-in qui a t adopt en France, mais vous devez noter que dans d#'autres pays c'#est le systme du opt-out qui prime. Complment Nous vous invitons consulter le site suivant, prsentant des lment sintressants sur ce sujet : http://www.journaldunet.com/dossiers/mailing/
3. Conseils pratiques
Malgr les protections juridiques, de nombreux internautes demeurent victimes d'envois abusifs. Des solutions pratiques et techniques existent pour vous prmunir de la rception des courriers lectroniques indsirables. Voici 5 conseils frquemment dispenss.
3.1. Evitez de rpondre aux spams dont le contenu vous semble rellement abusif
Les expditeurs cherchent savoir si votre adresse lectronique est bien valide. Leur rpondre, c'est leur donner l'occasion de vrifier sa validit. Ils pourront alors les revendre d'autres spammeurs.
3.2. Evitez de mettre votre adresse lectronique habituelle sur des sites web ou dans les groupes de discussion
Les adresses lectroniques affiches dans les espaces publics d'internet sont susceptibles d'tre collectes votre insu par les logiciels dont se servent les spammeurs pour vous inscrire sur leurs fichiers. Vous pouvez utiliser une adresse auxiliaire ou encore cryptez votre adresse habituelle. Complment Pour encrypter vos adresses, voir : http://www.caspam.org/cas_cryptemail.html
91
3.3. Eviter de dlivrer votre adresse ml sans connatre la finalit pour laquelle elle est collecte
Lorsqu'un site vous demande votre adresse de courrier lectronique, c'est bien entendu pour communiquer avec vous. Avant de la dlivrer, assurez-vous que le site en question respecte les principes relatifs la protection des donnes personnelles. Plusieurs indices pourront vous orienter : apposition d'un label ; appartenance un organisme professionnel respectueux des donnes personnelles ; rfrences aux lois en vigueur (loi de 1978 en France, directive de 1995...) ; indications prcises sur l'utilisation qui sera faite de votre adresse de courrier lectronique. Conseil Observer bien galement les ventuelles cases cocher ou dcocher pour viter, par exemple, que l'on vous envoie des informations caractre promotionnel.
92
Conseil Il est recommand de signaler les messages abusifs auprs de votre fournisseur d'accs, ce qui lui permettra d'oprer un filtrage gnralis pour l'ensemble de ses abonns. Pour cela, il est ncessaire de leur envoyer copie de l'en-tte du courrier abusif. Pour retrouver l'entte sur Outlook Express, appuyez en mme temps sur les deux touches "Alt" + "Entre" puis ciquez sur "dtails". Sur Outlook, cliquez sur "affichage" puis "options".
93
Ressources
Cryptographie
Vie prive
94
Droit l'image
Chapitre
V
La loi sur la cration et la protection des oeuvres
Les bases lgislatives
La lgislation sur l'information est lie la protection d'une oeuvre de cration de l'esprit, elle se rattache alors la notion de proprit intellectuelle (issue d'une traduction de intellectual property). Cependant, les mises en applications de cette proprit intellectuelle diffrent selon les tats. Dans la pays anglo-saxons, les Etats-Unis notamment, les lgislation est celle du copyright. En France, et dans la plus grande partie de l'Europe, c'est le droit d'auteur qui rgit les droits lis aux TICs, quelles que soient le type d'oeuvre. Les diffrences entre ces diffrents concepts peuvent tre subtiles mais existent. Et les volutions de la lgislation rendues obligatoires par les volutions des TICs, ainsi que les enjeux conomiques qu'elles reprsentent, peuvent tre dterminantes.
96
La proprit intellectuelle Le code la proprit intellectuelle est celui qui encadre le droit d'auteur dans la lgislation franaise, il se dcompose en deux parties distinctes : la proprit littraire et artistique (droit d'auteur, ...) ; la proprit industrielle (brevet, ...). Remarque Quand on parle ici d'auteur et de droit d'auteur, il faut prendre ce terme au sens large et lui attribuer plutt la notion de crateur. Au sens de la proprit intellectuelle, un auteur est celui qui cre des oeuvres de l'esprit.
97
les crations des industries saisonnires de l'habillement et de la parure. Ce catalogue est assez htroclite et l'on y trouve aussi bien des oeuvres de l'esprit communment admises en tant que telles, mais galement des choses plus surprenantes comme les logiciels. Remarque Ds qu'un auteur cre une oeuvre, celle-ci est protge par le droit de la proprit intellectuelle, qu'elle ait t publie ou non.
98
Attention Bien videmment, ce raisonnement vaut pour tous les types d'oeuvres, qu'il s'agit d'un texte, d'une image, d'une chanson, d'un logiciel ou bien encore d'un film. En cas de non respect de ces dispositions lgales, vous risquez de vous faire condamner. Ainsi, la mise disposition sur un site Web de paroles de chansons, sans le consentement de l'auteur ou de son diteur, a t plusieurs fois condamne par les tribunaux. http://www.juriscom.net/jpc/visu.php?ID=155 http://www.juriscom.net/jpc/visu.php?ID=250 Ce principe peut paratre rducteur et accorder trop d'importance au pouvoir de l'auteur sur son oeuvre, mais c'est la loi. Vous imaginerez bien que si le fait de recopier des paroles constitue une infraction, il en va de mme pour la musique elle-mme... Remarque Il existe cependant des exceptions prvues par la loi qui limitent le droit d'auteur (article L122-5), notamment le droit la copie prive et le droit de citation. En matire de citation, la loi stipule que les citations doivent tre courtes et le nom de l'auteur et la source doivent tre indiqus clairement. A la fin de l'anne 2005, une loi importante sur le droit d'auteur et les droits voisins dans la socit de l'information (DADVSI) doit tre vote. On peut lgitimement s'attendre un durcissement des textes dj en vigueur afin de lutter plus efficacement contre le piratage des oeuvres sur les rseaux d'change P2P. http://www.culture.gouv.fr/culture/cspla/conseil.htm
99
justifient le piratage de la musique au nom de l'exception de copie prive. Les choses sont pourtant extrmement claires : on a le droit de faire une copie d'un disque que l'on a achet, uniquement pour son usage personnel. Cela signifie que, lorsque vous achetez un disque, vous pouvez sans problme graver un CD-Rom pour l'couter dans votre voiture ou votre maison de campagne. En revanche, cela ne vous autorise pas en faire une copie pour votre voisin, votre cousin ou votre collgue de bureau. Nous savons tous que peu de gens respectent cette loi la lettre et il nous est tous arriv de faire des copies qui dpassaient le cadre de la copie prive. Le problme actuel qui a fait ragir les professionnels de l'industrie du disque est que la gnralisation d'Internet couple la monte en puissance des dbits et l'mergence des logiciels de peer to peer (P2P) qui autorisent le partage de fichiers entre milliers d'internautes a mis en place un systme de copie pirate gnralis et chelle industrielle. En effet, dans le cadre d'un systme d'change P2P, l'quation est assez simple : la mdiathque accessible tous est forme de l'ensemble des contributions de chacun. Si 100 internautes mettent chacun la disposition de chaque membre du rseau un millier de chansons diffrentes, cela signifie que chaque internaute possde une bibliothque virtuelle constitue de 100 000 chansons. Sur le papier, ce systme parat gnial tellement il offre des possibilits vertigineuses, mais il a deux inconvnients majeurs : premirement, il contrevient aux dispositions du code de la proprit intellectuelle ; deuximement, les industriels du disque sont persuads qu'ils vendent moins de CD cause du P2P. Remarque Bien videmment, le raisonnement que nous venons de tenir pour la musique vaut galement pour les logiciels et les films. Face l'importance prise par le phnomne du P2P, il tait somme toute assez logique que les industries phonographiques ragissent, ce qu'elles ont fini par faire. Elles ont d'abord commenc par rappeler le volet pnal du code de la proprit intellectuelle dont nous reproduisons ci-dessous quelques articles : Article L335-2 - Toute dition d'crits, de composition musicale, de dessin, de peinture ou de toute autre production, imprime ou grave en entier ou en partie, au mpris des lois et rglements relatifs la proprit des auteurs, est une contrefaon et toute contrefaon est un dlit. - La contrefaon en France d'ouvrages publis en France ou l'tranger est punie de trois ans d'emprisonnement et de 300 000 euros d'amende. - Seront punis des mmes peines le dbit, l'exportation et l'importation des ouvrages contrefaits. - Lorsque les dlits prvus par le prsent article ont t commis en bande organise, les peines sont portes cinq ans d'emprisonnement et 500 000 euros d'amende.
100
Article L335-3 - Est galement un dlit de contrefaon toute reproduction, reprsentation ou diffusion, par quelque moyen que ce soit, d'une oeuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont dfinis et rglements par la loi. - Est galement un dlit de contrefaon la violation de l'un des droits de l'auteur d'un logiciel dfinis l'article L. 122-6. Article L335-4 - Est punie de trois ans d'emprisonnement et de 300 000 euros d'amende toute fixation, reproduction, communication ou mise disposition du public, titre onreux ou gratuit, ou toute tldiffusion d'une prestation, d'un phonogramme, d'un vidogramme ou d'un programme, ralise sans l'autorisation, lorsqu'elle est exige, de l'artiste-interprte, du producteur de phonogrammes ou de vidogrammes ou de l'entreprise de communication audiovisuelle. - Est punie des mmes peines toute importation ou exportation de phonogrammes ou de vidogrammes ralise sans l'autorisation du producteur ou de l'artiste-interprte, lorsqu'elle est exige. Dans la mesure o les campagnes de sensibilisation n'ont pas vraiment bien march, les diteurs sont passs la vitesse suprieure et ont dcid de porter plainte. Au dbut du mois de fvrier 2005 a eu lieu la premire condamnation d'un internaute ayant tlcharg massivement de la musique grce un logiciel de P2P. Cliquez sur le lien ci-dessous afin d'accder aux extraits de la dcision du tribunal de Pontoise. Voir annexe C en fin de fascicule Complment Pour en savoir plus, nou svous invitons consulter le site suivant : http://www.juriscom.net/int/visu.php?ID=173
Ressources
Tout sur les droits et les obligations des crateurs de sites, de la page personnelle au portail. Site "Droit du Net".
La proprit intellectuelle
101
Chapitre
VI
Les chartes d'utilisation et de bon comportement
Internet, un autre monde ?
Internet, tout comme tout nouveau mdium de communication, nous offre un nouveau moyen d'changer des informations. Il ne faut cependant pas perdre de vue que la majeur partie des outils de communication sur Internet restent des outils de communication de personne personne (courrier lectronique, chat, IRC, forums, ...). Il est trs dommageable de voir la dpersonnalisation l'emporter dans les changes entre personnes sur Internet, cela est en partie de la distance entre les individus que cre ce mdium. Il n'est pas rare de voir des comportements qui seraient considrs comme inadmissibles s'ils taient tenus en personne . Si Internet est un nouveau mdium de communication, les interlocuteurs restent des personnes humaines ! Pour ce faire, les chartes d'utilisation et de comportement ont pour objectif de fixer les rgles lies l'usage des TICs qu'aucun autre texte national ne peut dfinir et qu'il incombe chaque tablissement ou cole de prciser compte tenu de la grande varit d'utilisation des ressources lies aux TICs. Complments indispensables de la rglementation, les chartes ont l'avantage de s'adresser directement aux usagers et d'encadrer une libert d'usage du rseau, au plus prs des pratiques.
104
105
Tlchargement et lecture de la charte RENATER Cette charte est disponible en tlchargement sur le site Web de Renater et nous vous conseillons de la lire.
106
informatiques (art. 226-16 226-24, issus de la loi n 2004-801 du 6 aot 2004 relative la protection des personnes physiques l'gard des traitements de donnes caractre personnel et modifiant la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts) - - Atteintes aux mineurs : art. 227-23 ; 227-24 et 227-28 et Loi 2004-575 du 21 juin 2004 (LCEN). 2. Crimes et dlits contre les biens - Escroquerie (art. 313-1 et suite) ; - Atteintes aux systmes de traitement automatis de donnes (art. 323- 1 323-7 modifis par la loi n 2004-575 du 21 juin 2004). 3. Cryptologie - Art. 132-79(insr par loi n 2004-575 du 21 juin 2004 art. 37). 2. Infractions de presse (loi 29 juillet 1881, modifie) Provocation aux crimes et dlits (art.23 et 24) ; Apologie des crimes contre l'humanit (art. 24) ; Apologie et provocation au terrorisme (art. 24) ; Provocation la haine raciale (art. 24) ; Ngationnisme : contestation des crimes contre l'humanit (art.24 bis) ; Diffamation (art. 30.31 et 32) ; Injure (art. 33).
3. Infraction au Code de la proprit intellectuelle - Contrefaon d'une oeuvre de l'esprit (y compris d'un logiciel) (art. 335-2 modifi par la loi n 2004-204 du 9 mars 2004, art. 34 - et art. 335-3) ; - Contrefaon d'un dessin ou d'un modle (art. L521-4 modifie par la loi n 2004-204 du 9 mars 2004, art. 34) ; - Contrefaon de marque (art. L716-9 - modifi par la loi n 2004-204 du 9 mars 2004, art.34 -et suivants). 4. Participation la tenue d'une maison de jeux de hasard ( cyber-casino ) - Art.1 de la loi du 12 juillet 1983, modifi par la loi du 16 dcembre 1992.
Partie C. La netiquette
1. Prsentation et principes
Netiquette signifie plus simplement l'Etiquette des Rseaux. Il s'agit d'une charte de bon comportement tablie en 1996 par l'ETF (Internet Engineering TaskForce). Elle est propose comme base pour toutes les chartes futures que celles-ci vous engagent vis--vis d'un fournisseur d'accs priv.
107
La netiquette rappelle les rgles de comportement et de courtoisie lmentaires avoir dans le cadre de communications : entre 2 individus : courrier lectronique, chat,... entre plusieurs individus : IRC, forums, chat, courrier lectronique,... Remarque Pour plus d'informations, nous vous invitons consulter la dfinition fournie par Wikipdia en cliquant sur ce lien.
2. Respecter la loi
Si la ntiquette dcrit le bon usage et le savoir-vivre sur Internet, il ne faut pas non plus oublier qu'il existe des lois qui encadrent la libert d'expression sur Internet. La Toile tant considr comme un outil de communication au mme titre que les grands mdias d'information, c'est principalement la loi sur la presse qui s'appliquera (loi du 29 juillet1881). Mme si cela peut paratre superflu, nous prfrons rappeler quelques vidences que la loi interdit : Contenus faisant l'apologie des crimes contre l'humanit ; Informations incitant la haine raciale ou la discrimination ; Photo ou film pornographiques reprsentant un mineur. Attention De la mme manire la diffamation (porter atteinte l'honneur d'une personne) et l'injure publique sont prohibes sur Internet. Attention Si vous tenez un blog sur Internet et donnez la possibilit vos lecteurs de dposer des commentaires, vous devenez en quelque sorte directeur de cette publication et vous tes donc tenu pour responsable des propos qui s'affichent sur votre blog. Si certains commentaires vous paraissent contraires la loi, vous avez tout intrt les supprimer sans dlai.
108
3. Extraits de la netiquette
La RFC, portant le numro 1855, fournit un guide d'usage de la netiquette. Comme son nom le laisse supposer, la ntiquette est l'tiquette du Net, c'est--dire les rgles du bon usage en vigueur sur les rseaux lectroniques. Tout utilisateur d'Internet devrait avoir lu ce texte avant de se lancer dans l'exploration des multiples facettes de ce rseau. En voici quelques extraits, mais nous vous conseillons d'aller directement consulter vous-mme l'original de ce texte ou l'une de ses nombreuses traductions en franais qui sont publies sur Internet. Quelques extraits de la RFC 1855
3.1. Extrait 1
moins d'avoir votre propre accs Internet grce un fournisseur d'accs, veillez demander votre employeur, qui est propritaire du courrier lectronique, les rgles concernant la proprit du courrier lectronique diffrent d'un endroit l'autre. moins d'utiliser un outil de cryptage (matriel ou logiciel), vous supposerez que le courrier lectronique n'est pas sr. Ne mettez jamais dans un message lectronique quelque chose que vous ne mettriez pas sur une carte postale.
3.2. Extrait 2
Respectez les droits d'auteur de ce que vous reproduisez. Presque tous les pays ont des lois sur les droits d'auteur. Pensez aux Cc lorsque vous rpondez. Ne continuez pas inclure des gens si les messages deviennent une conversation bilatrale.
3.3. Extrait 3
Souvenez-vous que les gens avec lesquels vous communiquez sont situs partout dans le monde. Si vous envoyez un message auquel vous dsirez une rponse immdiate, il se peut que la personne qui le reoit soit chez elle, en train de dormir. Laissez-lui une chance de se rveiller, d'aller au travail et de se connecter, avant de supposer que le courrier n'est pas arriv ou qu'il a t nglig.
3.4. Extrait 4
Vrifiez toutes les adresses avant de commencer des discours longs ou personnels. Il est de bonne pratique aussi de mettre le mot Long dans la ligne d'entte Objet, pour permettre au destinataire de savoir que le message va demander un temps certain de lecture et de rponse. partir d'une centaine de lignes, un message est considr comme long.
3.5. Extrait 5
Souvenez-vous que le destinataire est un humain dont la culture, la langue et l'humour ont d'autres rfrences que les vtres. Rappelez-vous que les formats de date, les units de mesure et les idiomes peuvent mal s'exporter. Soyez particulirement prudent avec les sarcasmes.
109
3.6. Extrait 6
Sachez utiliser les minuscules et les majuscules. LES MAJUSCULES DONNENT L'IMPRESSION QUE VOUS CRIEZ.
3.7. Extrait 7
Soyez concis, sans tre excessivement bref. Lorsque vous rpondez un message, citez suffisamment du texte original pour tre compris, mais pas plus. Il est de trs mauvais got de rpondre simplement un message en reprenant tout le message reu : supprimez tout ce qui est hors propos. Si vous estimez que l'importance d'un message le justifie, rpondez brivement immdiatement pour signaler l'expditeur que vous l'avez reu, mme si vous allez rpondre plus longuement ultrieurement.
110
Exprimez-vous dans un langage correct et clair ; Avant de poser une question, cherchez sur le forum si la rponse ne s'y trouve pas dj ; Ne prenez pas part aux polmiques et ne rpondez pas aux provocations ; Quand vous rdigez un message, ne mentionnez pas votre adresse lectronique car vous pourriez aprs tre victime de spam. Forum modr Certains forums de discussion sont modrs ; cela signifie qu'il existe des modrateurs qui surveillent le contenu des messages. En pratique, tous les messages sont lus par une ou plusieurs personnes qui contrlent si les messages sont bien conformes aux rgles du forum. Les messages qui ne respectent pas la ligne ditoriale du forum sont censurs et ne sont donc pas publis. Les messages censurs sont ceux qui sont hors sujet, publicitaires, incorrects ou bien diffamatoires. Sur les forums qui ne sont pas modrs, il n'y a donc aucun contrle a priori des messages qui sont posts. Attention Ce n'est pas parce qu'il n'y a pas de censure sur un forum non modr que vous tes autoris crire n'importe quoi. N'oubliez pas que les forums de discussion sont des forums publics ; la loi les considre comme des organes de presse et c'est par consquent la loi sur la presse qui s'y applique. Cela signifie que les propos discriminatoires, diffamatoires ou menaants constituent un dlit pnal qui est svrement rprim.
111
Conclusion
Les chartes d'utilisation organisent les rgles de savoir-vivre sur le rseau Internet et ventuellement dans les salles d'accs libre informatique ; il est important de les lire, de les comprendre et de les respecter. Remarque Dans certaines universits, vous ne pourrez pas utiliser les services du rseau informatique tant que vous n'aurez pas sign une charte d'utilisation. Remarque Il peut coexister plusieurs chartes diffrentes (Renater, charte de votre universit, etc.), mais toutes ces chartes ont le mme objectif : favoriser la vie dans les communauts lectroniques et optimiser l'usage du rseau tout en respectant les lois. La ntiquette est galement une charte du bon usage du rseau Internet.
Bibliographie
Annexes
AnnexeA. Cliquez ici pour avoir le texte de loi intgralement AnnexeB. Cliquez ici pour avoir le texte de loi intgralement AnnexeC. Cliquez ici pour avoir les extraits de la dcision du tribunal de Pontoise
1/4
informatiques. En fait, la loi sapplique tous les fichiers nominatifs, mme ceux qui figurent sur de bonnes vieilles fiches bristol. Le grand mrite de la loi (dans son article 2) est de dfinir prcisment ce quest une donne personnelle ainsi que les traitements qui sy appliquent. Constitue une donne caractre personnel toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer lensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne. Constitue un traitement de donnes caractre personnel toute opration ou tout ensemble doprations portant sur de telles donnes, quel que soit le procd utilis, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction. Note Que les possesseurs dagenda lectronique se rassurent : le champ dapplication de la loi carte les traitements mis en oeuvre pour lexercice dactivits exclusivement personnelles, ce qui signifie que les contacts de votre carnet dadresses ne sont pas pris en compte par cette loi. Bien que lon parle en gnral de donnes nominatives, il convient de bien comprendre que toute information qui permet didentifier une personne est une donne nominative. Cela signifie quune adresse lectronique, ladresse IP que vous attribue votre fournisseur daccs Internet ou bien encore votre numro de tlphone sont des donnes caractre personnel dont lutilisation est encadre par la loi. Larticle 6 de la loi dfinit la manire dont les donnes caractre personnel peuvent tre traites ; il dfinit notamment les points suivants : - Les donnes sont collectes et traites de manire loyale et licite ; - Elles sont collectes pour des finalits dtermines, explicites et lgitimes et ne sont pas traites ultrieurement de manire incompatible avec ces finalits ; - Elles sont adquates, pertinentes et non excessives au regard des finalits pour lesquelles elles sont collectes et de leurs traitements ultrieurs ; - Elles sont exactes, compltes et, si ncessaire, mises jour ; les mesures appropries doivent tre prises pour que les donnes inexactes ou incompltes au regard des finalits pour lesquelles elles sont collectes ou traites soient effaces ou rectifies ; - Elles sont conserves sous une forme permettant lidentification des personnes concernes pendant une dure qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes et traites. Larticle 7 de la loi prcise quun traitement de donnes caractre personnel doit avoir reu le consentement de la personne concerne. Il existe bien videmment des cas o lon ne vous demande pas votre avis, mais ces exceptions sont bien dfinies et encadres par la loi (obligation lgale, excution dune mission de service public, intrt lgitime poursuivi par le responsable du traitement, etc.) Larticle 8 prcise quil est interdit de collecter ou de traiter des donnes caractre personnel qui font apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou lappartenance syndicale des personnes,
2/4
ou qui sont relatives la sant ou la vie sexuelle de celles-ci. Bien videmment, la loi prvoit des exceptions et lon comprend bien quun chercheur en mdecine puisse raliser une enqute comportant des questions relatives la sant. Larticle 9 de la loi est intressant plus dun titre et nous le reproduisons ci-dessous intgralement: Les traitements de donnes caractre personnel relatives aux infractions, condamnations et mesures de sret ne peuvent tre mis en uvre que par: 1 Les juridictions, les autorits publiques et les personnes morales grant un service public, agissant dans le cadre de leurs attributions lgales ; 2 Les auxiliaires de justice, pour les stricts besoins de lexercice des missions qui leur sont confies par la loi ; 3 [Dispositions dclares non conformes la Constitution par dcision du Conseil constitutionnel n 2004-499 DC du 29 juillet 2004 ;] 4 Les personnes morales mentionnes aux articles L. 321-1 et L. 331-1 du code de la proprit intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes datteintes aux droits prvus aux livres Ier, II et III du mme code aux fins dassurer la dfense de ces droits. Cet article encadre donc les fichiers de la police et de la justice. Il est intressant de noter que larticle 3 a t censur par le Conseil constitutionnel. Cela prouve, sil en tait encore besoin, que le problme de linformatique et des liberts est un sujet sensible et quun certain nombre de dputs ont cru bon dinterpeller le Conseil constitutionnel qui leur a donn en partie raison. Note La dcision motive du Conseil constitutionnel peut tre consulte ladresse suivante: http://www.conseil-constitutionnel.fr/decision/2004/2004499/2004499dc.htm La lecture de lalina 4 pour les personnes qui ne sont pas habitues aux textes juridiques peut sembler compltement absconse. En fait, ces quelques phrases sont ce que lon appelle un texte de circonstance car cest sur sa base que les industriels du disque vont pouvoir poursuivre les internautes adeptes des changes de fichiers grce aux rseaux peer to peer (P2P). En clair, les maisons de disques vont pouvoir collecter les adresses IP de ceux qui sadonnent aux joies du P2P et demander un juge dordonner un FAI de fournir lidentit du titulaire de labonnement Internet. Les articles 11 21 de la loi dfinissent la composition et le rle de la CNIL. Il faut noter que la CNIL n'est pas un tribunal, mais une autorit administrative indpendante. Son rle est de regrouper et de contrler l'ensemble des dclarations des traitements automatiss d'informations nominatives. Les articles 22 31 dcrivent les formalits de ces dclarations. Les articles 32 37 de la loi dcrivent les obligations incombant aux responsables des traitements. Nous vous encourageons vivement lire la totalit de ces articles, ce qui permettra de vous rendre compte que la majeure partie des questionnaires que vous remplissez en ligne ne respecte pas ces obligations. Les articles 38 43 de la loi prcisent les droits des personnes qui sont lobjet dun traitement de donnes caractre personnel. Nous vous conseillons dapprendre par cur larticle 38 de cette loi et den user autant que vous le voulez : Toute personne physique a le droit de sopposer, pour des motifs lgitimes, ce que des donnes caractre personnel la concernant fassent lobjet dun traitement. Elle a le droit de sopposer, sans frais, ce que les donnes la concernant soient utilises des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui dun traitement ultrieur.
3/4
Cest grce au deuxime alina de cet article que lon peut dsormais faire figurer son numro de tlphone en liste rouge sans avoir besoin de payer quoi que ce soit. Pour rsumer, une personne peut exercer les droits suivants face un traitement de donnes caractre personnel :
dtre inform sur la nature du traitement de sopposer au traitement daccs aux donnes collectes de rectification des donnes
Les articles 45 49 de la loi dfinissent les sanctions que peut prendre la CNIL lorsquun responsable dun traitement de donnes ne respecte pas ses obligations. Les articles 50 52 prcisent les sanctions pnales prvues par la loi en cas dinfraction. Ces infractions ont dailleurs t reprises dans le code pnal (articles 226-16 226-24). titre indicatif, le fait, y compris par ngligence, de procder ou de faire procder des traitements de donnes caractre personnel sans qu'aient t respectes les formalits pralables leur mise en oeuvre prvues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.
4/4
La LCEN
La loi du 21 juin 2004 pour la confiance dans lconomie numrique (ou LCEN) est un texte qui a mis du temps aboutir. En effet, la LCEN est quelque part lhritire du projet baptis LSI (Loi sur la Socit de lInformation) que le gouvernement de Lionel Jospin avait mis en chantier, mais qui na jamais vu le jour. Pourtant, ds le mois daot 1997, le gouvernement avait fait de lentre de la France dans la socit de linformation une de ses priorits. Malgr cette volont affiche, les dputs ont mis cinq ans (juin 2001) pour accoucher dun projet de 32 pages qui na jamais pu passer devant lAssemble nationale. Arriv au pouvoir, Jean-Pierre Raffarin a choisi dabandonner ce projet pour en remettre un autre en route, la LCEN. Il aura galement fallu deux ans pour que ce texte de loi voie le jour et soit publi au Journal Officiel... La LCEN tait attendue car il commenait y avoir urgence sur plusieurs fronts. En effet, plusieurs problmes comme celui de la responsabilit des hbergeurs, de la lutte contre le spam ou bien encore la question de la libralisation totale de la cryptographie ntaient pas rgls et les professionnels de lInternet rclamaient grands cris le vote dune loi. La LCEN est une loi qui compte 58 articles et qui est vraiment importante pour Internet. Il nous est impossible de citer tous les articles, mais nous vous conseillons daller sur le site de Legifrance pour la lire intgralement. Nous allons nous contenter ici dindiquer les articles importants. Dans son premier article, la LCEN affirme un principe de libert : La communication au public par voie lectronique est libre. Lexercice de cette libert ne peut tre limit que dans la mesure requise, dune part, par le respect de la dignit de la personne humaine, de la libert et de la proprit dautrui, du caractre pluraliste de lexpression des courants de pense et dopinion et, dautre part, par la sauvegarde de lordre public, par les besoins de la dfense nationale, par les exigences de service public, par les contraintes techniques inhrentes aux moyens de communication, ainsi que par la ncessit, pour les services audiovisuels, de dvelopper la production audiovisuelle. Larticle 2 de la LCEN prcise des dfinitions qui navaient jamais t donnes auparavant : On entend par communications lectroniques les missions, transmissions ou rceptions de signes, de signaux, dcrits, dimages ou de sons, par voie lectromagntique. On entend par communication au public par voie lectronique toute mise disposition du public ou de catgories de public, par un procd de communication lectronique, de signes, de signaux, dcrits, dimages, de sons ou de messages de toute nature qui nont pas le caractre dune correspondance prive. Cest dsormais le Conseil suprieur de laudiovisuel (CSA) qui a la mission de garantir lexercice de la libert de communication audiovisuelle en matire de radio et de tlvision par tout procd de communication lectronique. Le Chapitre II de la LCEN traite des fournisseurs daccs Internet (FAI) appels dans la loi prestataires techniques. Larticle 6 rgle le dlicat problme de la responsabilit des hbergeurs. Il faut ici rappeler quen cas de contenu illicite publi sur un site Web, lhbergeur pouvait tre dclar complice. Les hbergeurs prtendaient juste titre quils ne pouvaient pas
1/4
surveiller tous leurs clients tant donn leur grand nombre et que la mission de contrle du contenu de ce qui passait dans leurs tuyaux ne pouvait pas leur incomber. Le lgislateur leur a donn satisfaction et prcise que les personnes physiques ou morales qui assurent, mme titre gratuit, pour mise disposition du public par des services de communication au public en ligne, le stockage de signaux, dcrits, dimages, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilit civile engage du fait des activits ou des informations stockes la demande dun destinataire de ces services si elles navaient pas effectivement connaissance de leur caractre illicite ou de faits et circonstances faisant apparatre ce caractre ou si, ds le moment o elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces donnes ou en rendre laccs impossible. Un autre alina prcise que la responsabilit pnale de lhbergeur nest pas non plus engage. Ce texte rgle donc le problme de la responsabilit a priori de lhbergeur. La loi prcise clairement que les FAI ne sont pas soumis une obligation gnrale de surveiller les informations quils transmettent ou stockent, ni une obligation gnrale de rechercher des faits ou des circonstances rvlant des activits illicites. En revanche, si un FAI est avis dun contenu illicite mis en ligne sur la page perso dun de ces clients, il doit immdiatement faire cesser le trouble. Le lgislateur a quand mme pris une mesure pour limiter les recours des personnes qui voudraient faire cesser la publication dune information sur un site Web. Ainsi toute personne qui prsenterait un hbergeur un contenu ou une activit comme tant illicite dans le but den obtenir le retrait ou den faire cesser la diffusion, alors quelle sait cette information inexacte, serait punie dune peine dun an demprisonnement et de 15 000 euros damende. Les FAI doivent conserver pendant un an les donnes de nature permettre lidentification de quiconque a contribu la cration du contenu ou de lun des contenus des services dont elles sont prestataires. La LCEN tente de responsabiliser les FAI en matire de droit dauteur. Ainsi lorsquun FAI voque dans une publicit la possibilit de tlcharger des fichiers dont il nest pas le fournisseur, il doit faire figurer dans cette publicit une mention facilement identifiable et lisible rappelant que le piratage nuit la cration artistique. Le FAI a galement lobligation de suspendre, par tout moyen, le contenu dun site Web portant atteinte lun des droits de lauteur, y compris en ordonnant de cesser de stocker ce contenu ou, dfaut, de cesser den permettre laccs. Le Titre II de la LCEN traite du commerce lectronique quil dfinit comme lactivit conomique par laquelle une personne propose ou assure distance et par voie lectronique la fourniture de biens ou de services. Le commerce lectronique couvre aussi les services tels que ceux consistant fournir des informations en ligne, des communications commerciales et des outils de recherche, daccs et de rcupration de donnes, daccs un rseau de communication ou dhbergement dinformations, y compris lorsquils ne sont pas rmunrs par ceux qui les reoivent. Le Chapitre II de la LCEN rglemente la publicit par voie lectronique mais il sagit l dune tentative de rgler les problmes poss par linflation croissance du spam. Larticle 20 stipule que toute publicit, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir tre clairement identifie comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est ralise. La loi enfonce le clou en prcisant que dans tous les cas, il est interdit dmettre, des fins de prospection directe, des messages au moyen dautomates dappel, tlcopieurs et courriers lectroniques, sans indiquer de coordonnes valables auxquelles le destinataire puisse utilement transmettre une demande tendant obtenir que ces communications cessent sans frais autres que ceux lis la transmission de celle-ci. Il est galement interdit de dissimuler lidentit de la personne pour le compte de laquelle la communication est mise et de mentionner un objet sans rapport avec la prestation ou le service propos.
2/4
Signalons un systme pernicieux mis en place par certaines socits peu scrupuleuses : vous recevez un courriel publicitaire au bas duquel figure un lien permettant de vous dsabonner et de ne plus recevoir ainsi de publicit. Vous cliquez sur ce lien qui affiche une page Web vous demandant de saisir votre adresse lectronique. Si vous possdez plusieurs adresses lectroniques grce des systmes de redirection et que le champ Destinataire a t masqu par le spam, vous tes alors incapable de savoir quelle adresse lectronique il faut inscrire dans le formulaire de dsabonnement. Dautre part, on peut lgitimement se demander si une telle pratique nest pas une mthode pour vrifier si votre adresse est bien valide. En gnral, quand on crit quelquun, on connat son adresse lectronique et si on souhaite lui donner la possibilit de ne plus lui envoyer de courrier, on na pas besoin de la lui demander. Le Chapitre III de la LCEN consacre lusage de lcrit sous forme lectronique grce la signature lectronique. Ainsi, lorsquun crit est exig pour la validit dun acte juridique, il peut tre tabli et conserv sous forme lectronique. De la mme manire, lorsquest exige une mention crite de la main mme de celui qui soblige, ce dernier peut lapposer sous forme lectronique si les conditions de cette apposition sont de nature garantir quelle ne peut tre effectue que par lui-mme. La LCEN dfinit galement la manire dont les contrats sous forme lectronique peuvent tre conclus. Le Titre III de la LCEN, intitul De la scurit dans lconomie numrique traite des moyens et prestations de cryptologie. Larticle 29 propose les dfinitions suivantes : On entend par moyen de cryptologie tout matriel ou logiciel conu ou modifi pour transformer des donnes, quil sagisse dinformations ou de signaux, laide de conventions secrtes ou pour raliser lopration inverse avec ou sans convention secrte. Ces moyens de cryptologie ont principalement pour objet de garantir la scurit du stockage ou de la transmission de donnes, en permettant dassurer leur confidentialit, leur authentification ou le contrle de leur intgrit. On entend par prestation de cryptologie toute opration visant la mise en oeuvre, pour le compte dautrui, de moyens de cryptologie. Larticle 30 est une vritable rvolution car il nonce que lutilisation des moyens de cryptologie est libre. Les professionnels de la scurit attendaient cette disposition rglementaire depuis des annes et ils ont donc toutes les raisons de sen satisfaire. Cela tant, lalina suivant prcise que la fourniture, le transfert depuis ou vers un Etat membre de la Communaut europenne, limportation et lexportation des moyens de cryptologie assurant exclusivement des fonctions dauthentification ou de contrle dintgrit sont libres. On ne comprend pas bien la lecture de ce texte pourquoi le lgislateur a tenu prciser son propos dans la mesure o il indiqu plus que la cryptologie tait libre. En y regardant de plus prs, on saperoit que sont libres lutilisation de la cryptologie pour authentifier et contrler lintgrit. Quelle est donc lautre fonction de la cryptologie qui manque dans cette nonciation ? Si vous avez suivi, vous savez que la cryptologie sert bien videmment aussi masquer, cacher, chiffrer des informations. Bizarrement, cette fonctionnalit de la cryptologie nest pas indique dans cet alina. On comprend mieux pourquoi quand on lit le suivant : La fourniture, le transfert depuis un Etat membre de la Communaut europenne ou limportation dun moyen de cryptologie nassurant pas exclusivement des fonctions dauthentification ou de contrle dintgrit sont soumis une dclaration pralable auprs du Premier ministre, sauf dans les cas prvus au b du prsent III. On reste dubitatif quand on considre un pareil nonc : pourquoi ne pas appeler un chat un chat ? La cryptologie qui chiffre est donc dsigne par la priphrase moyen de cryptologie nassurant pas exclusivement des fonctions dauthentification ou de contrle dintgrit . Au cas o le lecteur naurait pas compris, le lgislateur indique que les outils qui ne sont pas soumis dclaration sont les catgories de moyens dont les caractristiques techniques ou les conditions dutilisation sont telles que, au regard des intrts de la dfense nationale et de
3/4
la scurit intrieure ou extrieure de lEtat, leur fourniture, leur transfert depuis un Etat membre de la Communaut europenne ou leur importation peuvent tre dispenss de toute formalit pralable. Bref, ce texte signifie que lon peut chiffrer ses fichiers tant que cela ne nuit pas aux intrts de larme et de la police. Dans ces conditions, la cryptologie est-elle vraiment libre ? Pour tous ceux qui nauraient encore pas compris, le lgislateur prcise que le fait de fournir des prestations de cryptologie visant assurer des fonctions de confidentialit sans avoir satisfait lobligation de dclaration prvue larticle 31 est puni de deux ans demprisonnement et de 30 000 euros damende. La LCEN modifie galement le code pnal en indiquant que lorsquun moyen de cryptologie a t utilis pour prparer ou commettre un crime ou un dlit, ou pour en faciliter la prparation ou la commission, cela constitue une circonstance aggravante qui accrot le nombre dannes de prison de la peine prvue. Larticle 39 de la LCEN parat tellement tonnant que nous ne rsistons pas au plaisir de vous le soumettre : Les dispositions du prsent chapitre ne font pas obstacle lapplication du dcret du 18 avril 1939 fixant le rgime des matriels de guerre, armes et munitions, ceux des moyens de cryptologie qui sont spcialement conus ou modifis pour porter, utiliser ou mettre en uvre les armes, soutenir ou mettre en uvre les forces armes, ainsi qu ceux spcialement conus ou modifis pour le compte du ministre de la dfense en vue de protger les secrets de la dfense nationale. La LCEN se termine sur des dispositions sur les systmes satellitaires et la couverture du territoire par les services numriques. Au final, la LCEN est un texte juridique complexe et incomplet dans la mesure o il manque de nombreux dcrets dapplication importants, ce qui semble tre une vritable spcialit franaise. En effet, on ne compte plus le nombre de textes vots, mais inappliqus en raison de la non publication des dcrets dapplication. Encore rcent, ce texte a galement besoin que la jurisprudence en prcise certaines orientations. Il nen reste pas moins quil sagit du texte principal qui rgit le droit de lInternet. En tant que tel, il parat difficile de lignorer si lon est internaute.
4/4
ANNEXE C Cliquez ici pour avoir les extraits de la dcision du tribunal de Pontoise
Extraits de la dcision du tribunal de Pontoise Nous reproduisons ci-dessous des extraits de la dcision du tribunal de Pontoise. Alain O. est prvenu : Avoir Pontoise, du 1er aot 2003 au 31 aot 2004, en tout cas sur le territoire national et depuis temps nemportant pas prescription, grav et tlcharg en entier ou en partie, 614 albums de musique sans respecter les droits dauteur et notamment la Sacem, la Sdrm et la Sppf, commettant ainsi des contrefaons.
DISCUSSION
Sur laction publique : Le 18 fvrier 2004, les gendarmes du Services Technique de Recherches Judiciaires et de Documentation de Rosny sous Bois, dans le cadre de la surveillance du rseau internet, dcouvraient un serveur gr par un particulier et ddi lchange de supports informatiques; Selon le rapport, un internaute sous le pseudonyme d"Altapunkz" se livrait la contrefaon et la distribution de musique hors les circuits commerciaux lgaux; Le propritaire du Hub devenant ladministrateur dun rseau autorise ou refuse laccs son ordinateur; Les militaires avaient plus particulirement ax leurs investigations sur les transactions via des Hub, permettant la connexion en toile dautre PC; Pour y accder, il suffit dinstaller un logiciel gratuit de type DC++ sur son propre ordinateur ; En lespce, le Hub identifi appartenait la socit Pegase Computer Ltd base en Angleterre mais avec des numros de tlphone et de tlcopie franais et plus particulirement dans la zone sud-est, commenant par 04; Les enquteurs constataient que 302 internautes taient connects en toile. Ils sintressaient plus particulirement linternaute utilisant le pseudonyme "Altapunkz" en raison de lespace partag de son disque dur, 30 000 giga de donnes. Ils pouvaient visualiser le contenue de son PC, notamment de nombreux fichiers musicaux au format MP3; Sur rquisition judiciaire, linternaute concern tait identifi comme tant Elodie B. avec comme adresse email "alain.o @free.fr"; Les gendarmes de la brigade territoriale de Cergy opraient une perquisition le 18 aot 2004 au domicile dElodie B. Ils taient reus par son concubin Alain O. Immdiatement, celui-ci dclarait tre lunique utilisateur de cette ligne internet et donnait son assentiment express pour une perquisition en la forme prliminaire. 185 CD gravs taient dcouverts. La tour dordinateur tait saisie; Entendu, Alain O. reconnaissait sur le champ les faits. Il avait tlcharg en 2003 le logiciel DC++ lui permettant de se connecter des Hub. Il prcisait textuellement "jai pu durant environ un an tlcharger et mettre disposition des autres participants, des musiques et des films... En outre jai pratiqu la gravure de certaines de ces musiques des fins personnelles".
1/3
En conclusion, il avouait "Je savais que cela tait interdit mais je ne me rendais pas compte de la gravit de ce que je faisais"; A laudience, le prvenu tentait, fort maladroitement au demeurant, de contester les faits ; Sil reconnaissait le tlchargement de musique il niait avoir mis disposition ses fichiers sur internet ayant toujours dsactiv le partage, contrairement ce quil avait dclar aux gendarmes. Sil avait diffus la liste des uvres musicales, ctait uniquement pour accder aux ordinateurs des autres internautes; Son conseil produisait un constat dhuissier de plus de 500 CD compacts originaux. Il nest pas exclu que ces disques lui appartenaient mme si aucune mention na t faite au procs verbal de perquisition des gendarmes; En revanche, il ressort trs clairement du mme procs verbal que les originaux des 185 CD gravs ne se trouvaient pas au domicile dAlain O., ce qui en soit permet dtablir la prvention; Lensemble des lments constitutifs de contrefaon est runi; Llment matriel ressort du tlchargement denviron 10 000 uvres musicales provenant dautres ordinateurs connects pour la plupart de ce Hub et la mise disposition des internautes; Llment lgal consiste en le transfert de programmes ou de donnes dun ordinateur vers un autre. La jurisprudence a prcis les contours de cette notion; Il sagit dun acte de reproduction, chaque fichier dune uvre numrise tant copi pour tre stock sur le disque dur de linternaute qui le rceptionne et dun acte de reprsentation consistant dans la communication de luvre au public des internautes par tldiffusion; Ainsi dans le rseau de "peer-to-peer" utilis par Alain O., celui-ci accompli les deux oprations. Il convient de prciser que le logiciel DC++, contrairement ce que la dfense a soutenu laudience, impose aux utilisateurs douvrir leurs disques durs aux autres internautes raccords au Hub; Enfin, llment intentionnel rsulte de la simple matrialit de cet agissement telle que la jurisprudence la dfini et confirm plusieurs reprises; Il conviendra toutefois de faire une application trs modre de la loi pnale. En effet ce remarquable outil de communication et dchanges quest internet sest dvelopp sur une incomprhension lourde de consquences; Nombre dinternautes ont considr ou cru quil sagissait dun univers, lieu de libert o les rgles juridiques lmentaires ne sappliqueraient pas. Or, les utilisateurs de ce systme doivent prendre conscience notamment de la ncessaire protection des droits des auteurs, compositeurs ou producteurs des uvres de lesprit; Il rsulte des lments du dossier et des dbats quil convient de dclarer Alain O. coupable pour les faits qualifis de: Contrefaon par dition ou reproduction dune uvre de lesprit au mpris des droits de lauteur, faits commis du 1er aot 2003 au 31 aot 2004 Pontoise, et quil y a lieu dentrer en voie de condamnation.
DECISION
Le tribunal statuant publiquement, en matire correctionnelle, en premier ressort et par jugement contradictoire lencontre de Alain O., prvenu, lgard de la Sacem, la Sppf, la Scpp, la Sdrm, parties civiles; Sur laction publique: . Dclare Alain O. coupable pour les faits qualifis de : Contrefaon par dition ou reproduction dune uvre de lesprit au mpris des droits de lauteur, faits commis du 1er aot 2003 au 31 aot 2004, Pontoise.
2/3
Vu les articles susviss : . Condamne Alain O. une amende dlictuelle de 3000 . Vu les articles 132-29 132-34 du code pnal : . Dit quil sera sursis totalement lexcution de cette peine dans les conditions prvues par ces articles. Si le tribunal sest montr relativement clment sur le volet pnal en condamnant le prvenu une peine avec sursis et en ninscrivant pas cette condamnation au casier judiciaire de lintress (ce qui lui permet entre autres de poursuivre sa carrire denseignant), en revanche les dommages et intrts accords aux parties civiles sont dun montant trs levs pour cette premire condamnation car ils avoisinent les 15000 euros. Cette affaire est intressante car elle constitue une premire en France, mais une bonne cinquantaine dautres affaires sont en attente de jugement. En conclusion, si vous vous adonnez aux joies du P2P, vous vivez dsormais dangereusement.
3/3