"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| "Un an après les événements tragiques de New York et de Washington, le Réseau (Internet) peut être couché sur la liste des 'dégâts collatéraux' de la dérive sécuritaire généralisée", dénonce Reporters sans frontières (RSF) dans un rapport rendu public jeudi. L'organisation de défense des droits de la presse et des journalistes dresse un état des lieux "accablant" des atteintes portées à la Toile dans un rapport intitulé "Internet en liberté surveillée depuis le 11 septembre 2001". En effet, les attentats du 11 septembre aux Etats-Unis n'ont pas seulement bouleversé la vision géopolitique du monde, ils ont des conséquences directes sur chaque citoyen notamment en matière de liberté d'expression et d'Internet. En vertu de l'éventail de lois votées pour lutter contre le terrorisme, plusieurs Etats dont les pays européens ont adopté des règlements autorisant la police et la justice à contrôler de près les informations échangées sur la Toile, portant "des graves coups" à la liberté, selon RSF: "La cyberliberté a été battue en brèche et les libertés numériques fondamentales ont été amputées". Reporters sans Frontière souligne que "les pays traditionnellement épinglés pour leur non-respect des droits de l'homme et de la liberté d'expression (Chine, Vietnam, Arabie saoudite, Tunisie)", qualifiés "d'ennemis d'Internet", ont "saisi avec opportunisme le contexte de la campagne antiterroriste internationale pour renforcer leurs dispositifs policiers et législatifs d'encadrement de la Toile". Mais RSF s'inquiète particulièrement du fait qu'"Internet doit désormais faire face à une nouvelle menace en provenance des démocraties occidentales". Et de citer "des lois, des mesures et des pratiques, qui sont en passe de mettre Internet sous la tutelle des services de sécurité". "Ces Etats organisent la conservation généralisée des informations relatives aux e-mails reçus et envoyés et aux sites consultés sur la Toile", dénonce RSF. "L'accès à cette masse d'informations est désormais accordé avec une déconcertante aisance aux services de police et de renseignements". Ainsi l'Union européenne a révisé la directive de 1997 sur la protection des données de télécommunications lors du vote du 30 mai dernier qui permet désormais, dans son article 15.1, l'interception, la conservation et l'examen des données de communications téléphoniques, des télécopies, des courriels (e-mails) et des connexions Internet "pour une durée limitée" mais non précisée et laissée au libre arbitre des Etats. A titre d'exemple, Reporters sans Frontières compare cette prérogative à un contrôle du courrier postal. "Que feraient les citoyens si on leur annonçait (...) que les services de police peuvent à tout moment venir tracer leurs échanges épistolaires? Ils s'insurgeraient contre ces actes liberticides", assure l'organisation qui conclut que de telles mesures "appellent une vigilance accrue de notre part". Deux autres organisations (Electronic Privacy Information Center et Privacy International) ont rendu public un rapport cette semaine qui va dans le même sens que le constat de RSF, non seulement pour le courrier électronique mais aussi pour les communications téléphoniques.AP 05.09.2002 | L'apparition du poste de Directeur Sécurité - ou Chief Security Office (CSO), en particulier dans l'industrie du logiciel et dans la finance, selon une étude du Giga Group, correspond à l'imposition d'un métier jusqu'ici cantonné au cercle fermé des entreprises ultra-sensibles. Phénomène relativement récent Plusieurs sondages confirment l'engouement des entreprises pour ce nouveau 'monsieur sécurité'. Le cabinet Booz Alen Hamilton s'est intéressé spécifiquement, en janvier dernier, à 72 sociétés dont le chiffre d'affaires dépasse le milliard de dollars : dans 54 % des cas, celles-ci comptaient un responsable sécurité dans leurs rangs. Même son de cloche pour le site CSO.com, qui réalisait un sondage en ligne au mois de juillet 2002 : 60 % des 1009 enteprises ayant souhaité répondre disposaient du poste, occupé dans 32 % des cas par des Senior Manager. La profession tend donc à devenir monnaie courante, surtout dans les grandes entreprises. Le phénomène est relativement récent : selon le Giga Group, la plupart des CSO américains et européens ont pris leurs fonctions ces deux dernières années. Une observation confirmée par CSO.com : les responsables sécurité ont en moyenne 2 ans et demi d'expérience dans le domaine de la sécurité - presque tous sont passés par une firme de consulting. Plus intéressant encore : les responsables sécurité ont de plus en plus tendance à disposer d'un statut assez élevé dans la hiérarchie de l'enteprise. Leur tâche devient même exclusive : 60 % d'entre eux se concentrent à temps complet sur les problématiques de sécurité. Métier multiforme Un constat rassurant puique la majorité des cabinets de consulting recommandent chaudement l'embauche d'une personne à temps plein à ce poste, notamment pour la raison suivante: une personne jugée sur ses seuls résultats en matière de sécurité aura intérêt à ne rien laisser au hasard. Mais aussi pour éviter de mêler deux fonctions relativement incestueuses : un DSI est jugé sur son aptitude à mettre en place de nouvelles infrastructures rapidement et économiquement, et peut donc faire passer les problématique sécuritaires au second plan. Le métier de CSO est complexe et multi-forme. Il nécessite des compétences techniques - afin de qualifier les dangers et de leur trouver un remède - ainsi que des aptitudes managériales : un bon CSO doit définir une politique de sécurité, et surtout la mettre en application en bousculant l'organisation de l'entreprise. Plus important encore : l'aptitude à la communication. Le CSO doit sensibiliser les employés aux problématiques de sécurité - ce qui requiert beaucoup de doigté - et leur apprendre à éviter certains écueils, parmi lesquels figure évidemment le social engineering. Autant de qualités que l'on trouve rarement dans un profil modeste. Des responsabilités croissantes La plupart des responsables sécurité n'ont pas encore l'envergure ou le statut qui leur permettrait de mener à bien leur mission. Mais les choses évoluent très rapidement outre-Atlantique, en partie sous la pression des instances de régulation : les agences fédérales ont réhaussé leurs exigences en matière de sécurité dans le domaine de la finance et de la santé. Mais de façon générale, de nombreuses entreprises gagneraient à faire de même. En particulier celles qui produisent et stockent des données sensibles, ainsi que celles dont toute la production serait immobilisée par l'indisponibilité du système informatique. Quant aux autres, elles peuvent se contenter de parer au risque le plus visible, qui a déjà coûté cher à de nombreuses enteprises : les virus.JdNet 04.09.2002 | Au début de l'année, quelques plongeurs californiens ont réalisé jusqu'où le bras de la loi s'étend depuis le 11 septembre. Des agents fédéraux, pensant que des attentats terroristes pourraient être perpétrés par des plongeurs sous-marins, ont demandé l'accès au fichier informatique des professeurs de plongée (Professional Association of Diving Instructors). Sans le notifier à la plupart de ses membres, l'organisation a, de son propre chef, fourni une liste de plus 100000 plongeurs diplômés partout dans le monde. Elle a expliqué plus tard qu'elle voulait éviter une injonction légale du FBI, qui l'aurait contrainte à divulguer des informations bien plus fournies. Cindy Cohn, avocate de l'organisation citoyenne Electronic Frontier Foundation (EFF) et elle- même plongeuse répertoriée dans la base de données, a accusé le coup. Cet événement prend un sens plus frappant dans cette ville progressiste de San Francisco, où l'EFF est basée et qui a toujours protesté contre les abus gouvernementaux. «Vous avez contribué à créer un fichier du FBI sur lequel je suis listée avec vos autres clients, bien que nous soyons des Américains loyaux et que nous n'ayons jamais rien fait de répréhensible. Nous devons maintenant subir une surveillance accrue pour la seule raison que nous vous avons fait confiance», a écrit Cohn dans une lettre à l'association de plongée. Les citoyens acceptent en majorité de perdre leurs libertés Depuis le 11 septembre, des bases de données contenant des informations sur des dizaines de milliers de citoyens ordinaires ont été récupérées par des enquêteurs fédéraux, désireux de récolter les moindres bribes d'informations susceptibles de les aider à lutter contre le terrorisme. Des listes de courses au supermarché, des listings de voyage, des informations issues de bases de données publiques ont été saisis par les équipes antiterroristes du gouvernement. Dans cette atmosphère où la sécurité est devenue prioritaire, il semble qu'aucune activité ne soit exclue du champ d'investigation de l'État américain. À juste titre, pensent beaucoup de gens. Après tout, personne n'avait prédit que des élèves-pilotes allaient détruire les tours du World Trade Center, et peu de citoyens seraient d'accord pour camoufler des informations susceptibles de prévenir une autre attaque terroriste. Les sondages montrent que beaucoup de gens sont disposés à tolérer une surveillance accrue ou des contraintes plus élevées en matière de logiciels de chiffrement, et cela au bénéfice de la sécurité. Mais les défenseurs des libertés publiques et privées s'inquiètent de cet accroissement des pouvoirs d'investigation et de la bonne volonté montrée par les citoyens. Ils pensent que cela a, sans nécessité, réduit la liberté de personnes innocentes en menaçant les droits constitutionnels sur le respect de l'intimité et la liberté d'expression. Même si aucune limitation n'est explicite, selon certains la peur des représailles aurait un effet inhibant sur les comportements publics. Mais ces affirmations en forme d'avertissements ne reçoivent pas un soutien massif de la population. «Les gens sont prêts à faire des concessions en ce qui concerne leur vie privée lorsqu'il s'agit de sécurité», explique Jonathan Zittrain, codirecteur du centre Berkman (département juridique de Harvard), spécialisé dans les rapports entre l'internet et la société. «En fait, le problème du respect de la vie privée, c'est le problème de l'abus des sources d'information par le gouvernement. Dès lors, quelle est la plus grande menace? Le terrorisme ou un gouvernement déchaîné? La plupart des gens vous répondront: le terrorisme.» Nouveaux pouvoirs d'investigation sur les activités politiques Un autre élément inquiète davantage les Américains d'origine arabe et les défenseurs des libertés publiques: le FBI a proposé l'allégement de mesures datant des années 1970 et qui leur interdit d'espionner les gens en raison de leurs activités politiques. Selon les nouvelles directives avancées, les agents auraient le droit d'accéder aux bases de données publiques même s'ils ne mènent pas une enquête spécifique. Selon les militants des droits civils, cela aboutirait à de gigantesques opérations de pêche à l'information numérique, sans produire autre chose que des amas de données sans importance. On ne sait pas avec exactitude quelles bases de données sont visées, mais des éléments sont apparus au grand jour: - Un sondage informel mené par le Boston Globe et des consultants du Privacy Council indique que 64% des sociétés de voyage et de transport ont permis aux agents fédéraux d'accéder aux données sur les clients ou les employés après le 11 septembre. Seules 14% de ces sociétés en ont informés les intéressés; - Larry Poneman, P-DG du Privacy Council (spécialisé dans la protection des données personnelles), a déclaré dans une interview récente qu'une chaîne de supermarchés avait livré aux agents le fichier de ses cartes d'achat; - Lexis/Nexis, une énorme base de données contenant des articles de journaux, des dossiers légaux et des fichiers publics divers, affirme travailler plus étroitement avec les services gouvernementaux depuis septembre dernier, y compris sur l'authentification de l'identité des personnes. Les avocats des droits civils se plaignent que les autorités fédérales ne donnent que peu d'indications (voire aucune) sur la manière dont elles utilisent ces renseignements. Plusieurs élus du Congrès ont récemment essayé d'obtenir un rapport sur la manière dont les nouveaux outils légaux étaient exploités pour mener des enquêtes. Le ministère de la Justice n'a pas répondu à cette requête, affirmant qu'il faudrait du temps pour répondre à un questionnaire aussi détaillé. Les moyens d'expression internet dans le collimateur «Il est très important que ces informations soient rendues publiques», lance David Sobel, conseiller juridique de l'Electronic Privacy Information Center, un groupe qui a contribué à rendre publics les détails sur "Carnivore" (DCS 1000), un logiciel utilisé par le FBI pour surveiller les messages internet. Des associations comme l'EPIC, l'American Civil Liberties Union et l'American Booksellers Foundation for Free Expression, ont émis le 21 août une demande officielle pour savoir comment les pouvoirs définis par la récente loi "Patriot Act" étaient exercés. «Nous n'avons encore reçu aucune réponse», déplore Sobel. On ne sait pas non plus quel type de comportement "online" est considéré comme suspect. Certains pensent que les fournisseurs d'accès internet et d'autres sociétés de même type pourraient prendre des mesures excessives de leur propre chef. Des gestionnaires de réseau trop zélés, par exemple, pourraient arbitrairement restreindre certaines communications ou l'accès à certains sites Internet, tout comme ils bloquent souvent les sites pornographiques ou filtrent les courriers électroniques contenant des obscénités. Espionnage accru? Le débat sécurité/liberté est essentiellement centré sur la loi adoptée juste après les attaques de septembre, sous le nom "Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT) Act." L'American Civil Liberties Union affirme que les pouvoirs définis par la loi sont extrêmement larges et qu'ils attaquent en profondeur la liberté individuelle. De nombreux éditoriaux, dans les grands quotidiens américains, ont classé la loi comme réactionnaire. Le Patriot Act définit explicitement de nouvelles règles autorisant les autorités à surveiller les communications électroniques, telles que les courriers ou les accès à l'internet. Comme dans le cas des écoutes téléphoniques, les agents doivent obtenir une commission rogatoire pour obtenir plus d'informations. Les fournisseurs d'accès répugnent à discuter les détails de cette surveillance, se retranchant derrière la sécurité nationale. Mais ils reconnaissent que les demandes de surveillance ont augmenté depuis septembre 2001, dans des proportions difficiles à évaluer. «L'augmentation des demandes est réelle, mais pas vraiment significative», commente Mike Harrad, porte-parole de Road Runner, le service Internet câble de Time Warner. «Il faut comprendre que l'augmentation des demandes est probablement liée davantage à une approche plus vigilante des services gouvernementaux après le 11 septembre, qu'aux pouvoirs définis par le Patriot Act en lui-même.» Livres sous surveillance dans les bibliothèques Les bibliothécaires s'inquiètent également du Patriot Act, notamment de la mesure qui facilite l'obtention des registres des abonnés. D'après la nouvelle loi, les agents fédéraux n'ont plus besoin que d'une commission rogatoire pour obtenir immédiatement les fichiers, au lieu de devoir prouver l'existence d'une piste sérieuse. Qui plus est, la procédure est désormais secrète. Le tribunal qui autorise les recherches délibère à huis clos et les bibliothécaires encourent des poursuites s'ils rendent publiques des informations sur l'enquête, de quelque nature qu'elles soient. Depuis des années, de nombreuses bibliothèques publiques et universitaires disposent de systèmes électroniques qui effacent les registres de données après quelques semaines. Mais les clients qui ont emprunté des livres ou qui doivent une amende restent en mémoire jusqu'au retour du livre ou au paiement de l'amende. Sur les 1026 bibliothèques étudiées par l'American Library Association (ALA) au début de l'année, 85 (soit 8,3%) ont reçu des requêtes d'agents gouvernementaux après le 11 septembre. «Si vous êtes familier des bibliothèques, tout ce que vous empruntez constitue une information que le FBI peut demander», explique Mitch Freedman, président de l'ALA. «La personne qui se rend dans une bibliothèque n'est qu'un des simples citoyens touchés par cette augmentation des pouvoirs d'investigation.» Le FBI et les services gouvernementaux n'ont pas voulu commenter les enquêtes liées au terrorisme. Mais des commentaires publics faits par des officiels ont accru les craintes des groupes de défense des droits civils. Bien qu'ils n'aient connaissance d'aucune poursuite menée sur la base des nouvelles dispositions légales, les juristes affirment avoir déjà observé leurs effets sous d'autres formes. Selon Jennifer Granick, avocate et directrice du "Centre internet et société" de l'université de Stanford, les juges et les jurés se sentent beaucoup plus concernés par le cas des pirates informatiques que dans le passé, et appliquent plus vigoureusement les lois en vigueur. «Ils entendent le mot "hacker", et dans ce climat post-11 septembre, ils prennent peur», explique Granick, avant d'ajouter que les techniciens et les experts, les "vrais" hackers, qui s'attaquent à des problèmes de sécurité légitimes risquent d'être pris dans cette nouvelle toile judiciaire. L'avocate américaine évoque le cas, à Los Angeles, d'un homme qui doit affronter des poursuites pour avoir posté une information sur un site web. Il y évoquait des problèmes de sécurité dans certains logiciels de courrier électronique et proposait d'y remédier. L'homme a été inculpé pour s'être introduit dans un ordinateur fédéral et attend sa sentence. «L'équilibre des pouvoirs vacille au profit du gouvernement», ajoute Granick. «Et ça risque d'empirer.»ZDNet 06.09.2002 |
| Le 6 septembre marque le jour de déclenchement de KLEZ.E, l'un des vers informatiques les plus répandus. Le vers KLEZ est véritablement devenu un fléau à l'échelle mondiale. Il a été repéré pour la première fois au printemps 2001. Un an plus tard, au printemps 2002, il conservait toujours sa place au palmarès des virus les plus répandus au monde. Rappelons que huit modifications du vers original sont connues. Le 6 de chaque mois, la variante KLEZ.E s'active, effaçant toutes les données contenues sur l'ordinateur infecté. La seule façon dont les victimes peuvent récupérer leurs données est par l'utilisation de copies de sauvegarde conservées sur des disques indépendants de l'ordinateur infecté ou sur bandes magnétiques. «Les utilisateurs ne savent peut-être même pas que leurs ordinateurs sont les hôtes, bien malgré eux, du vers. KLEZ passe pratiquement inaperçu jusqu'au jour où il se déclenche» souligne Denis Zenkin, directeur des communications corporatives chez Kaspersky Labs. Il est possible de prévenir les infections par KLEZ sous ses différentes formes. Il faut d'abord s'assurer d'installer les rustines corrigeant les failles de sécurité exploitées par KLEZ dans le logiciel Internet Explorer de Microsoft. Cette mesure préviendra les possibilités d'infection par KLEZ, tout comme par d'autres vers informatiques exploitant les mêmes failles. Il est tout aussi important d'installer un logiciel antivirus et, détail que plusieurs négligent régulièrement, s'assurer d'effectuer des mise à jour régulières des fichiers contenant les profils de virus du logiciel en question. Un logiciel antivirus qui n'est pas constamment gardé à jour inculque un faux sentiment de sécurité qui pourrait vous coûter très cher. Les vers, virus et autres infestations de tout genre sont là pour rester. Ce qu'il importe de comprendre, c'est que nous avons à notre disposition tous les outils nécessaires pour les contrer. Multimédium 06.09.2002 | Le budget d'équipement des armées en hausse face aux nouvelles menaces : Le projet de loi de programmation militaire pour les années 2003 à 2008 présenté ce matin en Conseil des ministres «porte les crédits d'équipement et de recherche à 14,6 milliards d'euros (valeur 2003) en moyenne annuelle sur la durée de la loi, marquant ainsi un redressement significatif des ressources par rapport à l'exécution de la loi de programmation 1997-2002», explique-t-on dans les services du Premier ministre. «Ce redressement doit permettre l'acquisition des capacités rendues indispensables par les menaces multiformes de nature à porter atteinte à nos intérêts et à notre sécurité, que ce soit en matière de renseignement, de projection, de mobilité et de frappe dans la profondeur».Le projet prévoit en outre «un effort particulier pour assurer la disponibilité opérationnelle des matériels» et arrête à 2,4 milliards d'euros (valeur 2003) l'annuité moyenne d'entretien des matériels. Pour sa part, la recherche bénéficiera de 3,8 milliards d'euros sur 6 ans. En matière d'effectifs, «afin d'atteindre le format du modèle d'armée 2015, d'adapter les effectifs de la gendarmerie aux exigences de la sécurité intérieure, d'ajuster les effectifs de l'armée de terre à ses engagements et de conforter les compétences du service de santé, le projet de loi de programmation fixe à 446 600 les effectifs des armées, directions et services en 2008». Un fonds de consolidation de la professionnalisation, doté de 573 millions d'euros sur la période, sera constitué afin d'assurer l'attractivité des métiers militaires et la fidélisation du personnel à forte qualification. Il est prévu un flux annuel de 30 000 recrutements, dont 28 000 militaires, au cours de la période 2003-2008. Le projet de loi tire les enseignements des opérations dans lesquelles les troupes françaises ont été engagées ces dernières années. Si les crédits prévus sont votés au fil des années, il devrait permettre, en théorie de combler les vides qui sont apparus en matière de renseignement, d'électronique, d'informatique et de moyens aéroportés sans abandonner pour autant l'effort indispensable à consentir en faveur de la Marine. Les Echos 11.09.2002 | Les attaques sont en augmentation exponentielle et pourtant peu de sociétés ont pris conscience de la nécessité de protéger plus efficacement leur réseau contre de nouveaux types d'attaque utilisent des flux régulièrement autorisés par les firewalls, tels que http ou smtp. Des éléments de code exécutables peuvent en effet franchir le firewall dans la mesure où celui-ci autorise les flux de données web en entrée, d'où un danger inconsidéré de propagation de vers et autre virus au sein du réseau, mais aussi d'attaques ciblées : 95% des entreprises rapportant des attaques sont équipées de firewall (source : Gartner Group (NYSE: IT - actualité) ) ! Securalis prend aujourd'hui l'initiative de proposer à ses prospects un test gratuit de sa sonde de détection d'intrusion gérée à distance en 24x7 par les équipes sécurité de son centre de supervision. Cette politique commerciale agressive répond à la situation suivante : 1/ les sociétés surestiment l'efficacité de leur défense par firewall et antivirus 2/ les sociétés équipées en IDS (Paris: 7969.PA - actualité) (Intrusion Detection System) ont du mal à apprécier le retour sur investissement réel car les procédures d'exploitation et de réponse aux incidents sont difficiles à mettre en oeuvre en interne. Un firewall ne peut en effet pas contrer efficacement les tentatives d'intrusion utilisant des flux correspondant à des ports et services couramment « ouverts » comme http, smtp, dns,...). L'IDS (Intrusion Detection System) permet, s'il est géré avec la plus grande rigueur, de détecter des comportements anormaux ou des attaques connues. Le Service Managed-IDS, service complet et infogéré de détection d'intrusion, comprend : - une étude d'architecture et d'environnement réseau détaillée. - la mise à disposition du matériel et du logiciel - l'intégration et l'installation de la sonde. - le paramétrage de la sonde (« tuning »). - la maintenance de la base de signatures de la sonde. - la supervision et le traitement permanent des alertes 24h/24. - la mise en oeuvre rigoureuse des procédures de réponse aux incidents (temps de réponse garantis).. - un reporting complet en temps réel de la nature des incidents, des tickets ouverts et des statistiques. Pour Boris Rogier, Directeur Général France de Securalis, « Notre initiative de « Try and Buy » vise à faire prendre conscience que les intrusions dans les réseaux sont nombreuses et rarement identifiées. L'objectif est donc de convaincre les Directeurs Informatiques et RSSI que la sonde de détection d'intrusion réseau est un élément-clé de voûte de leur système de sécurité. D'autant que Managed-IDS est le plus compétitif des services de télésurveillance de la détection d'intrusion en France. »Newswire 12.09.2002 |
| Microsoft est à nouveau pointé du doigt pour une faille de sécurité. Cette fois-ci, il s'agit de son logiciel de traitement de texte - Word - qui comporte une faille qui existe depuis des années. Il ne s'agit pas d'une faille qui pourrait servir à n'importe qui, n'importe quand. Il s'agit plutôt d'un problème qui pourrait être exploité dans un environnement d'entreprise, ou tout environnement où des textes sont revisés par différentes personnes utilisant Word. La faille en question permet à un utilisateur malicieux de voler des fichiers informatiques en incluant dans les codes cachés du document des instructions à cet effet. Il faut donc que le pirate sache le nom du fichier qu'il désire obtenir. Ensuite, le document trafiqué est envoyé à la victime potentielle, généralement avec une requête que le document soit révisé et retourné à l'expéditeur. Lorsque le document est changé et retourné, le document que l'on voulait voler y est intégré. Microsoft a déjà déclaré qu'elle allait définitivement réparer le problème pour les propriétaires des plus récentes versions du logiciel. Cependant, cela pourrait être jugé insuffisant par plusieurs. En effet, de récentes études démontrent que près de 35 % des entreprises utilisent Word 97. Pire encore, cette version de Word est celle pour laquelle la faille de sécurité est la plus importante. Or, Microsoft semble réticente jusqu'à maintenant à produire un correctif pour une version qui date autant. Par contre, comme le soulignent plusieurs personnes, dont Woody Leonhard, qui a écrit de nombreux livres sur les logiciels Word et Office de Microsoft, «il me semble incroyable que Microsoft tourne le dos aux utilisateurs de Word 97. Ils ont acheté le produit en faisant confiance à Microsoft et à sa capacité de les protéger de ce genre d'exploits.» La décision finale n'est pas prise chez Microsoft, mais elle risque de laisser en plan des millions d'utilisateurs de Word 97. Définitivement un dossier à suivre. canoe 13.09.2002 | Le NIPC (National Infrastructure Protection Center), cellule de "protection des infrastructures" informatiques rattachée à la police fédérale des Etats-Unis, a publié un bulletin de mise en garde lundi 23 septembre, à quelques jours de deux sommets internationaux qui s'annoncent agités. Il s'agit des réunions annuelles de la Banque mondiale et du Fonds monétaire international (FMI), qui se tiendront conjointement dimanche 29 septembre à Washington, D.C. À la fin de l'année 1999, le FBI avait, plus discrètement, formulé les mêmes remarques de prudence quelques jours avant le sommet de Seattle (ouest des États-unis) de l'Organisation mondiale du commerce (lire notre actualité du 30/09/1999). Comme lors d'autres rencontres de ce type, les autorités s'attendent à ce que les activistes contre la mondialisation défilent dans les rues, et bloquent toute circulation dans la capitale américaine dès l'avant-veille du sommet. Mais ce que redoute le NIPC, c'est que parallèlement au risque potentiel d'attaques physiques, les protestataires s'en prennent également à des systèmes informatiques «afin d'amplifier les effets d'une attaque physique, ou de perturber le fonctionnement des services d'urgence qui interviendraient dans un tel cas». Prévenir pour ne pas avoir à guérir? Le NIPC estime que les attaques informatiques pourraient être perpétrées par des informaticiens "idéalistes", ou simplement des personnes cherchant à se faire de la publicité. «Des cyberprotestataires pourraient se livrer par exemple à des défigurations de sites web, des attaques [par saturation] avec déni de service (DoS), ou bien encore des campagnes de désinformation», peut-on lire sur son site. Résultat, tous les administrateurs réseau sont fortement invités à rester sur le qui-vive, afin d'empêcher ces "hacktivistes" (hackers-activistes) de pénétrer leurs systèmes ou d'utiliser leur réseau comme tremplin pour lancer une attaque. Ils sont également priés de revoir leurs procédures de sécurité, et notamment de limiter le trafic inutile entrant sur les réseaux, de modifier les mots de passe et code d'accès, et d'appliquer les correctifs logiciels appropriés. Par ailleurs, toute activité suspecte peut être signalée au FBI, au NIPC ou autres autorités, précise le communiqué. Ces avertissements restent des précautions, car aucune menace n'a pour l'heure été faite à l'encontre du sommet du FMI et de la Banque mondiale.ZDnet 26.09.2002 | Au lendemain de la présentation du rapport "National Strategy to Secure Cyberspace" sur la cybersécurité, rédigé par l'équipe de Richard Clarke, conseiller spécial du président Bush, les premières réactions ne se sont pas faites attendre. «Ce rapport manque de mordant», estime Steven Kirschbaum, P-DG de Secure Information Systems, une société de conseil californienne. «Il ne comporte aucune mesure coercitive, or c'est pourtant ce qui s'impose pour établir une politique de sécurité». Le gouvernement propose, les entreprises disposent Richard Clarke semble avoir en effet quelque peu revu à la baisse ses ambitions, puisqu'il n'est plus question de prendre des mesures énergiques, ou de proposer de nouvelles lois. À une seule reprise seulement est-il dit que, «si nécessaire, le pouvoir exécutif peut demander au Congrès d'approuver une législation permettant de faire avancer cette stratégie». Le présent texte a, de plus, été édulcoré, au point de stipuler en substance que ce sont les internautes et les entreprises qui ont la première responsabilité de la sécurité sur internet, et non le gouvernement. Dans une précédente ébauche (100 pages environ, le rapport final n'en comporte que 64), il y avait des recommandations sur la révision de certains protocoles clés utilisés sur le net (lire notre actualité du 17/ 09/2002) - ce qui est absent de la version publique. En revanche le document officiel préconise toujours la création de centres spéciaux qui interviendraient en cas de cyberattaques. Les industriels de l'informatique et des télécoms sont simplement invités à renforcer la sécurité des produits qu'ils commercialisent. Au lieu d'énumérer différentes consignes strictes, le rapport suggère aux organes gouvernementaux d'adopter un système de permis, attribué uniquement aux entreprises qui fourniront des logiciels plus sûrs. Un grand nombre d'entreprises du secteur high-tech ont salué dans un premier temps le rapport, voyant là une première étape dans le processus de sécurisation de l'internet. Mais le fait qu'il s'agisse de démarches volontaires et non obligatoires a soulevé un vent de critiques. «Cela revient à demander aux passagers d'un avion d'apporter leur parachute», estime Alan Paller, directeur de la rechercher à l'institut Sys Admin Audit Network Security (SANS). Pour Michael Overly, du cabinet d'avocats Foley & Lardner de Los Angeles, qui s'attendait aussi à de nouveaux projets de loi, le texte est insuffisant. «Au lieu de contenir des recommandations spécifiques sur la cybersécurité, il se contente de donner de vieilles idées simplement réchauffées. Préconiser aux utilisateurs l'utilisation d'antivirus et de pare-feux n'a rien de révolutionnaire». Les experts tous d'accords pour des solutions "plus musclées" Le rapport reflète la politique de laisser-faire de Washington en la matière. «Le gouvernement ne peut rien dicter ou imposer. Il ne peut à lui seul pas sécuriser le cyberespace», s'est justifié Richard Clarke le 18 septembre en présentant le rapport dans la célèbre université de Stanford, à Palo Alto, en pleine Silicon Valley. Deux jours plus tard, l'un des adjoints de Clarke défendait son rapport et refusait que l'on parle de "laisser-faire" (lire l'article en anglais de notre envoyé spécial à Seattle). Et dans les faits, ce sont des entreprises du secteur privé, et non le gouvernement, qui tiennent les rênes de l'infrastructure permettant à l'internet de fonctionner. Les précédentes ébauches du rapport accordaient pourtant un plus grand rôle au secteur privé dans la sécurisation du net. Mais celui-ci a fait pression, poussant les auteurs à supprimer certains points controversés. Il n'est à présent plus question, par exemple, d'obliger les fournisseurs d'accès internet (FAI) à fournir des pare-feux ou systèmes de sécurité à leurs abonnés; seuls les fournisseurs de services (FSI) doivent s'affranchir de cette tâche. Le rapport a en revanche été bien accueilli par les entreprises qui bénéficient directement d'un accroissement des dépenses de sécurité. Une réaction qui laisse penser que la Maison Blanche a voulu faire plaisir au secteur privé. Pour le CSIS, Centre d'études stratégiques et internationales proche des milieux militaires américains, il faudrait proposer de nouvelles lois contraignantes pour les acteurs de l'internet. Le CSIS est dirigé par John Hamre, qui fut secrétaire adjoint à la Défense de l'administration Clinton et qui a consacré son mandat à travailler sur «le futur Pearl Harbor électronique» qui pourrait toucher les États-Unis si des mesures énergiques ne sont pas prises. Pour James Lewis, directeur du département "Technology and Public Policy" du CSIS, «les entreprises ne modifieront leur façon de faire que lorsque des forces directrices du marché assorties de lois traiteront des problèmes de sécurité. Tant que les États- Unis ne trouveront que des démarches volontaires comme solution, la cybersécurité ne sera guère améliorée». Ce rapport n'a pas été conçu pour rester immuable, puisqu'une période de deux mois est laissée au public pour apporter des commentaires. Il sera peut-être alors corrigé et enrichi, avant de recevoir la validation présidentielle.ZDNet 23.09.2002 |
| Le rapport du gouvernement américain sur la sécurité d'internet déçoit. Il contient uniquement des conseils aux utilisateurs et aux industriels, alors que des propositions de lois étaient attendues. Mise à jour attendue après 60 jours de consultation. PALO ALTO (Californie) - Au lendemain de la présentation du rapport "National Strategy to Secure Cyberspace" sur la cybersécurité, rédigé par l'équipe de Richard Clarke, conseiller spécial du président Bush, les premières réactions ne se sont pas faites attendre. «Ce rapport manque de mordant», estime Steven Kirschbaum, P-DG de Secure Information Systems, une société de conseil californienne. «Il ne comporte aucune mesure coercitive, or c'est pourtant ce qui s'impose pour établir une politique de sécurité». Le gouvernement propose, les entreprises disposent Richard Clarke semble avoir en effet quelque peu revu à la baisse ses ambitions, puisqu'il n'est plus question de prendre des mesures énergiques, ou de proposer de nouvelles lois. À une seule reprise seulement est-il dit que, «si nécessaire, le pouvoir exécutif peut demander au Congrès d'approuver une législation permettant de faire avancer cette stratégie». Le présent texte a, de plus, été édulcoré, au point de stipuler en substance que ce sont les internautes et les entreprises qui ont la première responsabilité de la sécurité sur internet, et non le gouvernement. Dans une précédente ébauche (100 pages environ, le rapport final n'en comporte que 64), il y avait des recommandations sur la révision de certains protocoles clés utilisés sur le net (lire notre actualité du 17/09/2002) - ce qui est absent de la version publique. En revanche le document officiel préconise toujours la création de centres spéciaux qui interviendraient en cas de cyberattaques. Les industriels de l'informatique et des télécoms sont simplement invités à renforcer la sécurité des produits qu'ils commercialisent. Au lieu d'énumérer différentes consignes strictes, le rapport suggère aux organes gouvernementaux d'adopter un système de permis, attribué uniquement aux entreprises qui fourniront des logiciels plus sûrs. Un grand nombre d'entreprises du secteur high-tech ont salué dans un premier temps le rapport, voyant là une première étape dans le processus de sécurisation de l'internet. Mais le fait qu'il s'agisse de démarches volontaires et non obligatoires a soulevé un vent de critiques. «Cela revient à demander aux passagers d'un avion d'apporter leur parachute», estime Alan Paller, directeur de la rechercher à l'institut Sys Admin Audit Network Security (SANS). Pour Michael Overly, du cabinet d'avocats Foley & Lardner de Los Angeles, qui s'attendait aussi à de nouveaux projets de loi, le texte est insuffisant. «Au lieu de contenir des recommandations spécifiques sur la cybersécurité, il se contente de donner de vieilles idées simplement réchauffées. Préconiser aux utilisateurs l'utilisation d'antivirus et de pare-feux n'a rien de révolutionnaire». Les experts tous d'accords pour des solutions "plus musclées" Le rapport reflète la politique de laisser-faire de Washington en la matière. «Le gouvernement ne peut rien dicter ou imposer. Il ne peut à lui seul pas sécuriser le cyberespace», s'est justifié Richard Clarke le 18 septembre en présentant le rapport dans la célèbre université de Stanford, à Palo Alto, en pleine Silicon Valley. Deux jours plus tard, l'un des adjoints de Clarke défendait son rapport et refusait que l'on parle de "laisser-faire" (lire l'article en anglais de notre envoyé spécial à Seattle). Et dans les faits, ce sont des entreprises du secteur privé, et non le gouvernement, qui tiennent les rênes de l'infrastructure permettant à l'internet de fonctionner. Les précédentes ébauches du rapport accordaient pourtant un plus grand rôle au secteur privé dans la sécurisation du net. Mais celui-ci a fait pression, poussant les auteurs à supprimer certains points controversés. Il n'est à présent plus question, par exemple, d'obliger les fournisseurs d'accès internet (FAI) à fournir des pare-feux ou systèmes de sécurité à leurs abonnés; seuls les fournisseurs de services (FSI) doivent s'affranchir de cette tâche. Le rapport a en revanche été bien accueilli par les entreprises qui bénéficient directement d'un accroissement des dépenses de sécurité. Une réaction qui laisse penser que la Maison Blanche a voulu faire plaisir au secteur privé. Pour le CSIS, Centre d'études stratégiques et internationales proche des milieux militaires américains, il faudrait proposer de nouvelles lois contraignantes pour les acteurs de l'internet. Le CSIS est dirigé par John Hamre, qui fut secrétaire adjoint à la Défense de l'administration Clinton et qui a consacré son mandat à travailler sur «le futur Pearl Harbor électronique» qui pourrait toucher les États-Unis si des mesures énergiques ne sont pas prises. Pour James Lewis, directeur du département "Technology and Public Policy" du CSIS, «les entreprises ne modifieront leur façon de faire que lorsque des forces directrices du marché assorties de lois traiteront des problèmes de sécurité. Tant que les États-Unis ne trouveront que des démarches volontaires comme solution, la cybersécurité ne sera guère améliorée». Ce rapport n'a pas été conçu pour rester immuable, puisqu'une période de deux mois est laissée au public pour apporter des commentaires. Il sera peut-être alors corrigé et enrichi, avant de recevoir la validation présidentielle.CNET news 20.09.2002 | Les nouvelles dispositions françaises sur le chiffrement des données, comprises dans la loi sur la sécurité quotidienne (LSQ), sont applicables depuis la publication cet été de deux décrets. Des organisations non gouvernementales rappellent leurs craintes sur les répercussions de ces dispositions sur le droit de la défense et la présomption d'innocence. Ces deux décrets permettent désormais aux autorités hexagonales d'intercepter et de décoder un message échangé entre deux individus. Ainsi, en application du décret n°2002-1073 du 7 août 2002, un centre technique d'assistance, placé sous l'autorité directe du directeur général de la police nationale, a été créé au sein du ministère de l'Intérieur. Sa mission sera de superviser le décodage de messages. Plus de garantie de secret professionnel Seul problème, le décret stipule que «les opérations réalisées par le centre technique d'assistance sont couvertes par le secret de la défense nationale». Aucune explication ne sera donnée sur leur traitement. Surtout que la LSQ énonce que ces opérations «n'ont pas de caractère juridictionnel» et ne sont «susceptibles d'aucun recours» (Art. 230-4). En clair, aucune contestation ne sera possible à la suite de la saisie d'un email par ce service de "briseurs de code" (cryptanalyse). Il faudra ainsi prendre les résultats du centre technique d'assistance pour argent comptant, sans pouvoir réclamer de contre- expertise. Les dérapages éventuels inquiètent la Fédération informatique et libertés (FIL), regroupement d'ONG engagé dans la défense des libertés à l'ère numérique auquel sont affiliés Privacy International, Reporters sans frontières, La Cimade ou le Gisti. Quels seront concrètement les effets de ces décrets? «Il est un peu tôt pour extrapoler, on manque encore de recul et d'analyses plus poussées», déclare à ZDNet Valérie Sédaillan, avocate au bareau de Paris et membre de la FIL à titre privé. «Il est toutefois intéressant de comparer avec ce qui est prévu en matière d'écoutes téléphoniques», dit-elle. En effet, le code de procédure pénal prévoit que les enregistrements soient placés sous «scellés fermés» pour «assurer leur intégrité» et pour garantir «la loyauté de l'information et le respect du principe du [débat] contradictoire (...), toute correspondance enregistrée [doit être] conservée dans son intégralité». Et Me Sédaillan d'enfoncer le clou, «évidemment, si une partie de la procécure est classée secret défense, ce type de mesure paraît difficilement applicable». Les professionnels du chiffrement doivent jouer aux "concierges" Le second décret (no 2002-997 du 16 juillet 2002), valide les modifications apportées par la LSQ à la loi du 10 juillet 1991 relative au "secret des correspondances émises par la voie des télécommunications". Désormais, les fournisseurs des prestations de cryptologie, dont les éditeurs de logiciels de chiffrement, sont donc tenus «de remettre aux agents autorisés» les "conventions" «permettant le déchiffrement des données transformées au moyen des prestations qu'elles ont fournies», peut-on lire dans l'article 31 de la LSQ. Par "convention", il faut comprendre «les clés cryptographiques» ainsi que «tout moyen logiciel ou de toute autre information permettant la mise au clair des données codées», précise désormais le décret. Les fournisseurs de prestations de cryptologie auront l'obligation de collaborer avec les services de l'État pour les aider à déchiffrer les messages. «Le fait de ne pas déférer, dans ces conditions, aux demandes des autorités habilitées est puni de deux ans d'emprisonnement et de 30000 euros d'amende», met en garde la LSQ. Concrètement, cela signifie que les éditeurs devront «installer des "portes dérobées" (backdoor) dans leurs produits, et/ou à devenir des "tiers de confiance", c'est-à-dire garder un double des clefs utilisées par leurs clients», fait remarquer la FIL. Des «incitations qui portent atteinte à la confidentialité des données et à la vie privée des utilisateurs des logiciels de cryptographie», s'insurge la fédération. Des dispositions déjà envisagées Une mesure sur les tiers de confiance, que les anglo-saxons appellent les key escrow (sequestre de clés), avait été envisagée dans les années 1996/1998, avant d'être abandonnée... Elle est donc introduite à présent dans le droit français, à la lumière de la nouvelle donne sécuritaire. Enfin, ces nouvelles dispositions risquent de mettre à mal certains secrets professionnels, met en garde la FIL. Ainsi, «le droit au respect du secret professionnel (notamment des journalistes, avocats, médecins ou ministres du culte) est un droit reconnu par la législation tant française qu'européenne, ainsi que par la Constitution française». «Le problème de cette disposition est que l'incrimination est vague ("quiconque", "susceptible"), alors qu'un cadre pénal exige des incriminations strictement définies», poursuit Valérie Sédaillan. «Concernant l'application de ces dispositions aux personnes soumises au secret professionnel, rien n'est prévu.» «Par exemple, pour les avocats, une perquisition à leur cabinet ou domicile doit être effectuée en présence d'un magistrat et du bâtonnier ou son délégué, qui ont le droit de prendre connaissance des documents saisis avant leur éventuelle perquisition. Il s'agit de vérifier que les documents saisis sont bien en rapport avec [l'enquête] et non relatifs à l'exercice normal de sa profession. Autre exemple: les perquisitions dans les locaux d'une entreprise de presse ne peuvent avoir lieu qu'en présence d'un magistrat.» «Mais ensuite, conclut-elle, quid si les documents que l'on veut saisir sont cryptés? On doit donner la clé, mais comment le bâtonnier exercera son contrôle puisqu'il est censé prendre connaissance des documents avant? A priori le déchiffrement devrait avoir lieu au moment même de la perquisition... mais cela n'est pas prévu dans le texte. Et quid si la perquisition porte sur la clé privée elle-même? Quid enfin si le professionnel reçoit une réquisition lui enjoignant de communiquer une clé indépendamment de toute perquisition?» Apparemment, la mise à l'épreuve de ces décrets ne fait que commencer.ZDNet 23.09.2002 | |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
