Souris Libre

Il n’aura pas fallut longtemps au gouvernement avant de réagir sur la nouvelle parue hier concernant l’acquisition du nom de domaine idenum.fr par un particulier.Ce futur service de gestion d’identité numérique à propos duquel j’ai réalisé un article, n’a pas attendu longtemps pour faire appel à un cabinet d’avocat Lyonnais qui a envoyé le 2 Février dernier un courrier de mise en demeure  selon l’article L713-2 du code de la propriété intellectuelle pour obtenir gain de cause.Le particulier est donc soumis à céder le domaine à l’État.Affaire à suivre…

Quand on apprend que le gouvernement Français cherche à instaurer un système de gestion d’identité numérique, il y a de quoi faire rire tout internaute quelque peu au courant des tendances du web.En effet, IDéNUM est un projet d’identité numérique permettant de simplifier la gestion de mot de passe à l’utilisateur ainsi que ses différents profils sociaux.Le concept est simple, au lieu de s’authentifier sur un site avec un login et mot de passe différents selon le site en question, l’internaute doit (si il possède une politique de mot de passe superficielle au minimum) se connecter avec un mot de passe correspondant au site.Ce concept permettra donc d’utiliser son identité numérique IDéNUM pour s’authentifier sur les sites supportant cette technologie.Ce système fera appel à un support physique comme une clé USB ou téléphone portable (ce qui je dois le dire, n’est pas forcément une bonne chose).

Dans l’ensemble, ce projet est interessant.Cependant à y voir de plus près, ce n’est qu’une franche rigolade.D’une part, le système sera gérée par l’Etat, qui aura donc accès à un système contenant un nombre d’information importants.Après la mise en place de système tels que HADOPI, LOPPSI, LSQ et autres sytèmes du même accabit, on a de quoi se poser la question sur la confiance que l’on peut donner à un tel sytème.De plus, l’Etat vient proposer un système qui existe déja sur le marché.Live ID ou OpenID font déja leurs bouts de chemin à ce niveau.Pourquoi ne pas aider ces systèmes déja existants plutôt que de vouloir sortir un nouveau système ? Le pire, pourquoi vouloir proposer un système géré par l’Etat et qui plus est payant ? Car oui, IDéNUM sera un service payant alors que les autres acteurs du marché proposent eux, un service gratuit.Le pire, c’est que IDéNUM n’est même pas capable de protéger sa propre identité, les noms de domaines associés à l’identité IDéNUM ont déja été réservés en grande partie par des particuliers depuis un moment.Comment donc prendre au sérieux, ce genre de projet ?

De retour à la réaction de l’actualité du web, c’est suite à cette annonce de la cour de cassation qui rappel que le fait de divulguer sur un site web, l’existence d’une faille de sécurité est un délit.Cette démarche s’appelle le Full Disclosure, une opération qui consiste à rendre publique une faille de sécurité (un exploit).Résultat, consternation générale dans le monde de la sécurité informatique.

Certes, cet arrêt correspond à l’application de l’article 323-3-1 du code pénal.Mais tout de même, appliquer une loi pénale à une communauté qui offre son temps libre à la détection de failles de sécurité permettant ainsi aux éditeurs de pouvoir les combler le plus rapidement possible est tout de même une action louable.Alors, certes, j’entends déjà certains me dire que ces « chercheurs de failles » pourraient très bien envoyer directement leur découverte aux éditeurs concernés.Le soucis, c’est qu’il n’y a aucun prise de conscience de ces derniers lorsqu’on leur indique une faille de sécurité importante, y compris Microsoft qui agit généralement longtemps après la bataille.Il faut bien l’avouer, ces exploits diffusés au quotidien est un moteur important de motivation, une spirale positive sur le développement de patch de sécurité.

Au lieu de réfléchir à cet article de loi et de l’adapter aux changements qui s’opèrent sur le web, la justice préfère nous rappeler cela en appuyant bien le fait qu’il s’agit d’un délit susceptible de vous faire recevoir une peine pénale.Un comportement qui à coup sur, fera reculé la veille technologique de certains qui ne divulgueront plus les failles qu’ils découvriront.Résultat, un panel d’application seront bourrées de failles de sécurité que seuls les hackers auront connaissance et pourront exploiter à leur guise.Est-ce donc un bon choix ?

Je ne sais comment prendre cette annonce de la Commission Nationale de l’informatique et des Libertés qui aujourd’hui, nous informe à l’aide de 10 conseils, l’art et la manière de protéger son système d’information.Certes, c’est une idée louable, mais pourquoi aujourd’hui et surtout, pourquoi le contenu de celui-ci est si pauvre ? Car à vrai dire, je doute de l’efficacité de leur plan d’action lorsque l’on regarde de plus pret, ces dix conseils qui font appel au bon sens ou à l’évidence selon son point de vue.Étudions donc quelque peu, ces 10 conseils de la CNIL.

Le premier conseil : Adopter une politique de mot de passe rigoureuse : mot de passe individuel, difficile à deviner et secret.Évidemment, cela parait être une des choses les plus importantes qu’il soit, mais avons nous attendu que la CNIL nous le dise pour y réfléchir ? Disons qu’il s’agit ici d’un rappel plutôt que d’un réel conseil innovant.Cependant, il ne faut en aucun cas sous-estimer une politique de mot de passe stricte, certes déplaisante pour les utilisateurs, mais tellement efficace contre les attaques de type « Brute Force ».

Le second conseil : Concevoir une procédure de création et de suppression des comptes utilisateurs.On ne pense jamais assez à cela, en effet, il se pourrait que vos anciens employés, amère de leur départ, soit susceptible de venir visiter votre système d’information et d’y récupérer des informations importantes, voir même y venir pour porter préjudice à la société.

Le troisième conseil : Sécuriser les postes de travail : les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum).Ceci est également important, mais logiquement déja mis en place par défaut sous Windows lors d’une configuration sur une domaine Active Directory, configuration que l’on voit pratiquement partout.

Le quatrième conseil : Identifier précisément qui peut avoir accès aux fichiers.Une bien belle idée, mais comment réalise t-on cela ? Audit de sécurité ? Analyse des trames du réseau sur l’accès à certaines données critiques ? Un conseil amenant donc un coût important ou l’usage d’un technicien  à temps plein.

Le cinquième conseil : Veiller à la confidentialité des données vis-à-vis des prestataires.Il parait évident que cela doit être l’une des priorités.Mais une fois de plus, les actions à mettre en place ne sont pas donné à tous le monde.

Le sixième conseil : Sécuriser le réseau local : Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.Une phrase qui en dit long, mais qui ne signifie pas grand chose.Il parait plus qu’évident qu’un système d’information se doit d’être protéger des attaques extérieurs.Mais quelles techniques peuvent être employées ? Un technicien pourrait y répondre, je peux donc y répondre, mais une fois de plus, cela demande un coût important d’audit ou la nécessité d’avoir un responsable sécurité sur place.

Le septième conseil : Sécuriser l’accès physique aux locaux.Évidemment, on pense souvent aux attaques externes, mais on oublie les attaques plus proches de nous, de la mise en place d’un accès sécurisé à une salle serveur, de la vérification des opérations faites sur le système d’information par des prestataires de services venant agir sur l’environnement de celle-ci.

Le huitième conseil : Anticiper le risque de perte ou de divulgation des données.Notamment via la mise en place d’outil de filtrage des fuites de données vers l’extérieur, encore appelé « Data Leakage », que ce soit par e-mail ou par contre des périphériques mobiles, la « End Point Security », où la sécurité des périphériques tiers, tels que les clés USB et autres stockages amovibles.

Le neuvième conseil : Anticiper et formaliser une politique de sécurité du système d’information.Malheureusement, il est parfois trop tard pour réfléchir à cela, une fois que l’entreprise est établie.Celle-ci ne s’applique généralement que dans les grosses sociétés, les SSII sont difficilement la cible de ce genre d’opération.

Le dixième conseil : Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés ».Une bien belle idée qui se retrouve être quasiment impossible.L’éducation des utilisateurs devraient se faire bien avant le cadre professionnel.Cette sensibilisation devrait se faire directement pendant le cursus scolaire, cependant, nombreux sont les écoles et lycées à ne posséder que très peu de moyens en terme d’infrastructure réseau et surtout de cours à ce sujet.

Au final, la CNIL nous donne des conseils déja vus, mais soulignons tout de même l’effort effectué, même si il est vrai qu’il n’est pas aisé à tous d’appliquer l’ensemble de ces conseils sans aide de la part de l’État ou d’institution spécialisée.

L’information n’est pas toute récente, mais celle-ci m’a donné l’envie de réaliser une nouvelle rubrique sur Souris-Libre, celle de la messagerie, car en effet, ce domaine est celui où je suis le plus à l’aise, compte tenu que je suis amené professionnellement à m’y intéresser.C’est donc un rappel que j’effectue aujourd’hui, car la plupart du temps, on sous-estime beaucoup trop, l’importance de sécuriser des informations et données sensibles sur une plateforme hébergée où l’on ne possède pas un contrôle total.En effet, dans ce cas présent, les trois plateformes de messagerie par le web citées en titre de cet article ont été compromises.

L’incident a commencé avec Hotmail qui a vu 10.000 de ses comptes emails être hackés, tout du moins, ne plus être sécurisé, car les mots de passe de ces comptes ont été divulgués sur un certain site web.Mais par la suite, c’est au tour de Gmail et Yahoo! que l’incident s’est répandu.Fatalement, à partir du moment où plusieurs plateformes ont été touchées, il devient alors presque évident que d’autres plateformes puissent rencontrer ce problème, voir même être déja en train de se faire visiter.Cependant, il a été mentionné pour le moment que cette faille serait davantage liée à un problème de sécurité du coté du navigateur de l’utilisateur.Comme vous l’aurez remarqué, l’utilisation du conditionnel est encore de mise.Moralité, vérifiez vos mots de passe, leur complexité et ne prenez pas à la légère la sécurité de vos données hébergées.