Première démarche : identifier les risques pour
comprendre comment gérer le risque. De quels risques s'agit-il ?
Les principaux risques résultent de programmes ou de
méthodes de nature à compromettre l'intégrité matérielle et
logicielle des ordinateurs ; ou bien l'intégrité et la confidentialité des
données personnelles ou professionnelles ; ou encore la capacité de travail de ceux
qui les utilisent ; viennent ensuite les risques liés aux nouvelles dérives
législatives et sécuritaires mondiales, que favorisent les abus commerciaux et la
cyber-criminalité. Ces risques concernent non seulement les utilisateurs de PC mais aussi
les administrateurs de sites Web, les responsables de réseaux d'entreprises ou
d'organisations et, enfin, les réseaux publics.
Programmes nocifs
Virus, vers, chevaux de Troie, logiciels espions et autres
pestes s'introduisent dans nos PC par les e-mails, simplement via la connexion à Internet,
lors de la visite d'un site Web, ou encore par la copie de CD-ROM, disquettes ou autres supports
amovibles, voire par l'installation d'un logiciel.
Contrôle à distance
I est possible de prendre le contrôle d'un ordinateur
distant pour utiliser, par exemple, sa mémoire et sa puissance de calcul ou encore pour
dérober des données.
Vol et utilisation abusive de données
La question des données personnelles concerne tous
les utilisateurs d'ordinateur, même sans aller jusqu'aux documents confidentiels ou aux
numéros de cartes de crédit: les mots de passe, dates de naissance, adresses,
adresses e-mail, documents de travail, liste des sites visités, sont autant d'informations
anodines qui peuvent être pillées dans une intention malveillante. De même,
certains sites Web exploitent abusivement les données personnelles collectées.
A titre d'exemple, En 1997 le Clusif [Club de la sécurité des systèmes
d'information français] avait pris position pour la sécurité en matière
d'informations de santé et poursuit ses travaux sur ce thème. Cette question est plus
importante qu'il n'y paraît ; il suffit en effet de mots de passe faibles pour compromettre
la sécurité d'un réseau et le moins que l'on puisse dire est que les
professionnels de santé sont peu formés à ces questions.
Autre exemple : Echelon. Echelon est le système utilisé par la NSA
[United States National Security Agency] pour intercepter et traiter les communications satellites
internationales; il est contrôlé par les Etats-Unis, le Royaume-Uni, le Canada, la
Nouvelle-Zélande et l'Australie. Le cas Echelon fut considéré comme de la
science fiction jusqu'à ce que le Parlement européen mène son investigation.
L'Union européenne vient de décider d'investir 11 Millions d'Euros sur quatre ans
pour développer un système de communication sécurisé exploitant des
procédés de cryptographie quantique pour produire des clés de chiffrement
incassables.
Article Le Monde informatique dont le lien n'aboutit plus
http://www.weblmi.com/news_store/ 2004_05_18_11_M__pour_la_crypto_75/News_view
18/05/2004 [seconde fenêtre], français
Les dérives législatives ou sécuritaires sont
tout autant à craindre. Les principaux risques concernent les données personnelles,
les échanges de mail et les sites Web. Illustrations :
1. Les systèmes d'interception pour le
contrôle des e-mails sont d'actualité dans de nombreux pays, y compris la
Grande-bretagne ; de même que la cyber-surveillance des salariés par certains
employeurs.
2. Les accords US / EU, actuellement en vigueur,
contraignent les compagnies d'aviation européennes à transmettre à
l'Administration américaine la totalité des données personnelles des
voyageurs, préférences alimentaires incluses, pour les vols à destination des
Etats-Unis.
3. La législation sur le droit d'auteur sert de plus
en plus souvent à faire taire un site Web qui dérange.
A titre d'exemple, Carnivore,
système de contrôle des mails, la documentation EPIC [Electronic Privacy Information
Center] sur l'action judiciaire en cours: "The Carnivore FOIA Litigation" [FOIA pour Freedom of
Information Act]. Si vous utilisez les fonctionnalités de recherche, vous trouverez
également des articles sur Echelon.
Pour le cas où nous serions tentés de penser que c'est une question qui ne
concerne que les citoyens des Etats-Unis, voir le Dossier du site strategic-road
Le terme SPAM désigne l'envahissement de nos
boîtes électroniques par des messages non sollicités, à l'égal de
nos boîtes aux lettres. Le SPAM occupe ainsi une place à part ; par sa nature d'abus
commercial d'abord et par ses effets, moins spécifiquement nocifs mais tout aussi
dévastateurs pour la capacité de travail et pour la capacité d'acheminement
des réseaux, et parfois aussi par les contenus véhiculés.
Vecteurs utilisés
Les vecteurs utilisés, tant pour les programmes
nocifs que pour le SPAM, sont notamment le réseau Internet, les réseaux sans fil, des
ordinateurs ou des réseaux d'ordinateurs, des programmes rendus involontairement disponibles
par des serveurs Web, des failles dans la sécurité de serveurs Web ou de serveurs de
noms de domaine, le vol de fichiers, le croisement des données issues de fichiers obtenus ou
dérobés, etc.
Pour en savoir plus
Protection de la vie privée - français - anglais
http://www.vie-privee.org/imprimer.php3?id_article=78 pour le
français
http://security.resist.ca/ pour l'anglais
Portail eService
Comment renforcer la sécurité Internet de votre
ordinateur. Un ensemble de conseils utiles
http://eservice.free.fr/
Dossier "Les risques sur Internet pour votre ordinateur"; Y sont
évoqués de façon simple et claire :
Le développeur Australian P.T. Barnum présentait en 2002
un article multilingue au sujet d'une version OPEN SSH contaminée transformée en
cheval de troie.
