Sécurité sur Internet [FR]

Pour que l’Internet réalise son potentiel économique, la question de la sécurité dans le monde virtuel est essentielle, mais pour les experts, il n’y a pas de solution simple à un problème ayant à la fois une dimension technologique, sociétale, économique et psychologique.

Les experts de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), basée à Héraklion, en Grèce, classent les risques en fonction de leur probabilité. Les risques sont classés selon trois catégories : « actuels », « émergeants » et « futurs ». L’ENISA se décrit comme un Centre d’excellence pour assurer la sécurité des réseaux et des informations par l’intermédiaire de conseils et de recommandations d’experts.

Les risques actuels concernent l’année à venir. Depuis l’été 2007, on recense :

les spams, les botnetsl’hameçonnage  (phishing), l’usurpation d’identité, le détournement d’adresse IP, la messagerie instantanée, les systèmes de peer-to-peer, les logiciels malveillants  (malware) sur les téléphones portables, les hackers  sur les marchés boursiers, la vulnérabilité informatique  et le manque du protection (par exemple, les antivirus) de certains dispositifs.

Une récente étude menée par Harris Interactive, en partenariat avec Microsoft, a révélé qu’aux Etats-Unis, près de 20% des adultes avaient déjà été victimes d’une arnaque en ligne.

Le OWASP Top Ten Project, un document de sensibilisation aux normes industrielles pour la sécurité des applications Internet soutenu par la Commission fédérale du commerce et le département de la Défense des Etats-Unis, établit la liste suivante des vulnérabilités les plus sérieuses pour les applications Internet en 2007 :

le Cross site scripting  (XSS), les injections SQL, les logiciels malveillants, les références directes non sécurisées, les Cross-site request forgeries  (CSRF), les fuites d'information et la mauvaise résolution des erreurs, la violation de l’authentification  et de la gestion de session, le stockage cryptographique non sécurisé, les communications non sécurisées et l’échec de la restriction de l’accès URL.

Selon l’ENISA, les risques émergeants et futurs pourraient être causés par l’omniprésence des systèmes IT et la dépendance illimitée vis-à-vis d’eux. Cela inclut l’augmentation de l’automatisation dans les foyers et la possibilité de contrôler les appareils utilisés dans les foyers à distance, comme le contrôle du chauffage ou de l’air conditionné par l’intermédiaire d’Internet, voire l’utilisation des points faibles des appareils utilisés dans les foyers afin de s’en prendre aux infrastructures publiques (comme par exemple les attaques de déni de services simultanés  (DDoS) lancées sur les réseaux électriques en utilisant des systèmes de contrôle du chauffage ou de l’air conditionné par Internet).

Les risques majeurs peuvent également provenir de la collecte invisible des données dans les lieux publics (par exemple les systèmes de péage électronique, les caméras de surveillance et le suivi du consommateur) et dans les structures privées (la rétention de données de télécommunication et le stockage de données d’utilisateur par des moteurs de recherche Internet), ainsi que sur les appareils portables comme les téléphones mobiles. 

  • Confiance des consommateurs

Un consensus général règne sur le fait que les dommages causés par la cybercriminalité sont quasiment impossibles à quantifier (il y a plusieurs années, des études les estimaient comparables aux revenus totaux du e-commerce). En revanche, les experts s’accordent à dire que la méfiance des consommateurs provoquée par les risques des transactions sur Internet est extrêmement préjudiciable au e-commerce et entraîne des dommages matériels considérables. Des recherches menées en 2007 suggèrent qu’un tiers des consommateurs privilégie les achats sur un site certifié « hacker safe » plutôt que sur un site non certifié. Cela ne tient pas compte de l’expansion du e-commerce occasionnée si Internet était largement considéré comme un environnement commercial sûr.

Dans sa résolution  du 6 septembre 2006 sur le Livre vert de la Commission concernant la révision de l’acquis communautaire en matière de protection des consommateurs, le Parlement européen « considère qu'il est approprié d'examiner les questions relatives à la protection des consommateurs lorsqu'ils concluent des contrats portant sur la fourniture de contenu numérique, de logiciel et de données ».

  • Infrastructure critique

Le Livre vert sur un Programme européen de protection des infrastructures critiques  (PEPIC) publié par la Commission en 2005 définit les systèmes de TIC comme « infrastructure d’information critique ». Il explique que ces systèmes sont essentiels pour le fonctionnement d’autres infrastructures critiques, comme les télécommunications, les ordinateurs, les logiciels, l’Internet, les satellites, etc.

D’après le Livre vert, la protection des infrastructures d’information critique (PIIC) devrait être considérée comme un phénomène transsectoriel plutôt que d’être limitée à des secteurs spécifiques. Le programme est destiné à maintenir la performance des infrastructures d’information critique en cas de panne, d’attaque ou d’accident dont le niveau est supérieur au degré de service minimum défini et à réduire au maximum les dommages et le temps de dépannage. La PIIC devrait être étroitement coordonnée avec la protection des infrastructures critiques indépendantes des TIC. 

  • Cybercriminalité

Par une Convention de 2001, le Conseil de l’Europe a officiellement introduit le terme « cybercriminalité » pour désigner un certain nombre d’infractions, dont certaines impliquent l’utilisation d’ordinateurs pour commettre des crimes déjà passibles de sanctions dans le monde « réel », tandis que d’autres sont des cybercrimes en soi. Ces infractions incluent les « actes portant atteinte à la confidentialité, à l’intégrité et à la disponibilité des données et des systèmes informatiques », tels l’interception et l’accès illégaux, l’atteinte à l’intégrité des données et du système et l’abus de dispositifs, ainsi que la falsification et la fraude informatique (Source : convention conseil de l’europe). L’UE a depuis approuvécette terminologie et l’a adoptée dans ses propres textes (lire notre LinksDossier). 

La Convention du Conseil de l’Europe oblige ses membres à « adopter les mesures législatives et autres qui se révèlent nécessaires pour que les infractions pénales établies (…) soient passibles de sanctions effectives, proportionnées et dissuasives, comprenant des peines privatives de liberté».

En août 2007, seuls 13 des 27 Etats membres avaient ratifié la Convention sur la cybercriminalité, alors que tous les pays européens l’avaientsignée. Parmi les « anciens » Etats membres, la Convention n’est entrée en vigueur qu’au Danemark, en France, aux Pays-Bas et en Finlande.

Le 28 septembre 2006, lors d’une conférence à Helsinki, Viviane Reding, commissaire chargée de la Société d’information, a déclaré qu’en matière de sécurité, il fallait cesser les discussions et passer à l’action. Elle a précisé que la Commission ne s’était pas endormie sur la question mais qu’elle ne pouvait pas gagner la guerre seule. Selon elle, il nous faut acquérir une culture de la sécurité dans laquelle tout le monde aura un rôle à jouer. Cela signifie que les gouvernements nationaux doivent non seulement identifier les meilleures pratiques dans la prise de décision, mais également les mettre en œuvre. Or les menaces à la sécurité sont, par nature, transfrontalières. Elle a rappelé que le rôle principal de l’ENISA (l’Agence européenne chargée de la sécurité des réseaux et de l’information) est la coordination internationale de la surveillance et de la réaction aux risques.

D’après elle, il est également nécessaire de collecter des informations fiables et indépendantes sur les incidents liés à la sécurité et à la confiance des consommateurs. C’est pourquoi la Commission a également demandé à l’ENISA de développer rapidement un cadre de collecte des données avec les Etats membres et les parties prenantes afin de collecter et d’analyser des données à l’échelle de l’Union européenne. L’industrie a, selon elle, également un rôle à jouer : les fabricants de logiciels et les fournisseurs de services Internet doivent fournir des niveaux de sécurité appropriés et pouvant être facilement contrôlés. Il y aurait quelques mouvements dans le secteur des logiciels informatiques en ce sens. Mme Reding a fait savoir qu’elle s’intéressait de près à la question.

D’après la mission  de l’ENISA, l’Agence européenne chargée de la sécurité des réseaux et de l’information, intitulée Risques potentiels de la future société de l’information européenne ("Europe’s Information Society – the future at risk?"), de plus en plus violations de la sécurité ont déjà provoqué d’importants dommages financiers et eu des effets négatifs sur la confiance des consommateurs. Parallèlement la société de l’information devient de plus en plus indispensable dans tous les domaines de la vie. Les individus, les institutions européennes, les administrations publiques dans les Etats membres ainsi que les entreprises ont élaboré des technologies en matière de sécurité, des procédures de gestion de la sécurité et des campagnes d’information, ainsi que des projets de recherche destinés à améliorer la sécurité des réseaux et de l’information. La complexité technique des réseaux  et des systèmes d’information, la diversité des produits et des services interconnectés ainsi que le nombre considérable d’acteurs publics et privés responsables de leurs actes, risquent de nuire au bon fonctionnement du marché intérieur. La société de l’information européenne moderne et ses activités, basée sur une économie numérique, est par conséquent en danger.

Jean-Philippe Courtois, PDG de Microsoft pour l’Europe, le Moyen-Orient et l’Afrique, a déclaré qu’en tant que leader dans ce secteur, Microsoft a la responsabilité de garantir un service sûr à ses utilisateurs. Il a ajouté que si le véritable potentiel de la technologie en ligne devait se concrétiser, il serait dans l’intérêt de Microsoft de garantir que l’Internet continue d’être un outil viable pour les consommateurs, les administrations et les entreprises.

Dans un essai intitulé « La psychologie de la sécurité  », Bruce Schneier, expert en sécurité sur Internet, explique que la sécurité est à la fois un sentiment et une réalité et que ces deux notions sont différentes. Selon lui, même si le sentiment et la réalité de la sécurité sont différents, ils sont étroitement liés.  Quand notre sentiment de sécurité correspond à la réalité de la sécurité, nous pouvons faire les plus grandes concessions au nom de la sécurité (c'est-à-dire des concessions qui permettent d’obtenir un niveau optimal de sécurité moyennant un prix raisonnable). Lorsque ces deux notions ne sont plus alignées, la sécurité n’est pas bonne.

Bruce Schneier explique que, dans le passé, il a critiqué les mesures de sécurité palliatives dont l’unique effet était d’augmenter le sentiment de sécurité des gens, comme dans un « théâtre de la sécurité ». Cependant, si ces mesures sont utilisées correctement, elles peuvent permettre d’augmenter notre sentiment de sécurité pour qu’il corresponde au maximum avec la réalité. Il précise que le théâtre de la sécurité, à l’instar de la sécurité réelle,  a évidemment un coût. Elle peut impliquer de l’argent, du temps, des capacités, des libertés, etc., et elle coûte généralement plus qu’elle ne rapporte. Se plus, le théâtre de la sécurité ne remplace pas la sécurité réelle. En outre, le théâtre de la sécurité risque d’augmenter le sentiment de sécurité de la population à un niveau supérieur à la réalité, ce qui est également néfaste. Mais, coordonné à la sécurité réelle, une légère dose de  théâtre de la sécurité bien placée pourrait être exactement ce dont nous avons besoin pour être et se sentir en sécurité.

Dans un essai écrit pour le New York Times, l’éminent économiste en technologies de l’information, Hal Varian, explique qu’une des raisons pour lesquelles la sécurité informatique est si faible dans la pratique est que la question de la responsabilité est très incertaine. Il prend l’exemple des attaques survenues il y a quelques mois, alors que des vandales informatiques avaient détourné des ordinateurs appartenant à des réseaux universitaires relativement peu protégés pour nuire à Yahoo et à d’autres sites Internet importants. Même si les universités ont considéré cette mainmise comme une menace, elles n’ont pas pris en charge les frais de réparation des dommages subis par Yahoo. Mais si les universités portaient une partie de la responsabilité des dommages subis par les tierces parties, elles auraient d’autant plus d’intérêt à renforcer la sécurité de leurs réseaux.

Le même type de problème survient dans le cadre de la prestation de service Internet à haut débit chez les particuliers. Ces réseaux sont, par défaut, toujours connectés à Internet, ils sont donc susceptibles d’être utilisés pour organiser une attaque dans le cyberespace. Si l’ordinateur d’un particulier est piraté, devrait-il être responsable des coûts de l’attaque portée à quelqu’un d’autre ? Généralement, l’utilisateur moyen n’a aucune idée de la façon d’empêcher le piratage de son ordinateur, lui faire porter la responsabilité de cet acte ne servirait à rien. Il serait plus judicieux de faire porter la responsabilité à l’opérateur de réseau.

Subscribe to our newsletters

Subscribe

Envie de savoir ce qu'il se passe ailleurs en Europe? Souscrivez maintenant à The Capitals.