Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Le processus de sécurité informatique
Du point de vue de la protection des renseignements personnels confiés à l’État Benoît Girard, DIID, MRCI Bonjour, Merci d’avoir invité la Direction des inforoutes et de l’information documentaire du MRCI à vous adresser la parole aujourd’hui.
2
Introduction Votre mandat: veiller à l’application de la loi sur la protection des renseignements personnels; Internet: un contexte nouveau hautement technique; L’appréciation des mesures de sécurité entourant les renseignements personnels sur Internet. La loi sur la protection des renseignements personnels fait devoir à tous les représentants de l’État de préserver la confidentialité des renseignements personnels. Vous connaissez mieux que moi le détail de cette loi, mais j’ai crû comprendre que, dans le but de s’assurer du respect de cette loi, vous avez été mandaté pour surveiller l’usage qui est fait des renseignements personnels au sein de l’appareil d’État et que vous avez l’autorité nécessaire pour intervenir en cas de besoin. S’il est relativement simple d’identifier les négligences et les abus dans le cas de renseignements personnels conservés dans des dossiers traditionnels, l’arrivée d’Internet dans nos pratiques quotidiennes crée un tout nouvel univers de préoccupations de sécurité dont les tenants et aboutissants sont loin d’être évidents. Cette conférence a pour objectif de vous tracer les grandes lignes de ce nouvel univers de façon à ce que vous soyez mieux en mesure d’apprécier les mesures de sécurité qui protègent les renseignements personnels gérés par votre ministère ou organisme (M/O) et de remplir vos mandats.
3
Notre approche Quelques définitions et concepts généraux;
L’univers de la sécurité informatique; Quelques repères pour l’exercice de votre mandat quand Internet est en cause. Nous allons donc commencer par quelques notions élémentaires concernant la nature de l’information, du renseignement et de la sécurité. Une fois celles-ci bien en mémoire, nous allons brosser un tableau d’ensemble de la scène actuelle en matière de sécurité informatique. Cette partie va nous occuper pour la majeure partie du temps alloué. Enfin, nous tirerons quelques conséquences pratiques du portrait de situation venant d’être tracé. Si tout se déroule comme je l’espère, vous sortirez d’ici avec une idée claire de ce qu’il vous faut faire, de ce qu’il faut demander et des endroits où vous devez regarder pour remplir le mandat qu’on vous a confié quand Internet est en cause.
4
La sécurité absolue n’existe pas
La sécurité est un concept relatif. On est plus ou moins en sécurité qu’avant, plus ou moins qu’ailleurs, mais on ne peut jamais être sûrs d’être parfaitement en sécurité. La toute première notion générale à prendre en considération, c’est que la sécurité est fondamentalement un concept relatif. On ne peut jamais être sûr d’être parfaitement en sécurité, d’avoir réglé tous les problèmes de sécurité. Tout ce qu’on peut faire, c’est 1- améliorer notre sécurité par rapport à ce qu’elle était avant ou 2- nous comparer et nous trouver mieux ou moins bien en sécurité que quelqu’un d’autre. Il y a toujours un élément de comparaison. Par conséquent, votre travail ne peut consister à exiger la sécurité absolue. Il consiste plutôt à : 1- Vous assurer que toutes les précautions raisonnables ont été prises pour optimiser la protection des renseignements personnels confiés à l’État. 2- Et, la sécurité étant une chose dynamique qui évolue dans le temps, votre tâche consiste aussi à évaluer les processus mis en place pour entretenir la sécurité à long terme.
5
La sécurité absolue n’existe pas
Parce qu’elle dépend de la conjoncture extérieure (l’apparition de nouveaux risques); Parce que les ressources à y consacrer sont limitées. La sécurité absolue n’existe pas essentiellement parce que nous sommes à la merci de la conjoncture. Le temps qui passe apporte le changement et, en matière de sécurité, le changement se traduit souvent par l’apparition ou la découverte de nouvelles sources de risques. Mais la sécurité absolue n’existe pas pour une autre raison beaucoup plus concrète: c’est que les ressources que nous pouvons lui consacrer sont limitées.
6
D’où la nécessité d’évaluer l’opportunité d’investir
En fonction de l’importance des données à protéger; En fonction de la probabilité d’une fuite. À cause de cette limitation, il nous faut décider à quel endroit il nous faut investir dans la sécurité. Les deux principaux critères pour nous permettre de procéder aux choix qui s’imposent sont: 1- L’importance, ou la sensibilité, des données à protéger; et 2- La probabilité d’une fuite.
7
Quand l’information est-elle sensible?
Quand de réels renseignements sont en cause; Quand leur divulgation peut porter préjudice aux personnes concernées, même théoriquement; Toutes les données qui nous passent entre les mains ne se méritent pas l’attention de la loi. Pour que nous consacrions des efforts à leur protection, il faut qu’ils s’agisse réellement de renseignements personnels dont la divulgation peut entraîner des préjudices.
8
Comment évaluer la probabilité d’une atteinte?
Se méfier des effets déformants de l’inconnu; Moins on a l’impression d’être en contrôle de la situation, plus on a tendance à exagérer le risque. On doit donc s’employer à dissiper l’inconnu et à garder la tête froide. Dans Internet comme en bien d’autres domaines, il faut essayer de résister aux déformations induites par le manque de contrôle. L’estimation du risque doit s’appuyer sur une bonne information et un jugement porté en gardant la tête froide. Nous allons donc essayer de vous communiquer les bases nécessaires pour y parvenir.
9
Dans un contexte de rareté de ressources, prioriser selon
L’intensité du préjudice; La probabilité du préjudice; De plus, nous ne vivons pas dans un monde parfait et il est rare que nous ne devions pas faire des choix, ne serait-ce qu’en vertu de la rareté des ressources concrètes qui nous sont allouées pour faire respecter la loi. Dans le cas qui nous occupe, ces choix doivent reposer sur une évaluation de l’intensité des préjudices, sur sa probabilité d’occurrence, et en portant attention à bien cibler les efforts de façon à conserver les ressources en ciblant correctement notre action.
10
Usages légitimes et abusifs
Dans le cours normal de ses fonctions, l’État doit manipuler des renseignements personnels; Notre désir de protéger ces renseignements ne doit pas aller jusqu’à entraver ces manipulations légitimes; Il faut savoir faire la distinction entre usages légitimes et abusifs. Par ailleurs, nous n’avons pas à protéger les données contre tous les accès. Il faut savoir distinguer les usages légitimes et les usages abusifs des renseignements détenus par l’État. En général, les renseignements ont été recueillis pour une ou des fins précisées dans les lois et règlements du Québec. Quand les fonctionnaires accèdent aux renseignements dans le cadre de leur travail et dans le but de rencontrer ces objectifs, les manipulations qu’ils font des données sont légitimes. À l’inverse, si un individu, même un employé de l’État, s’approprie les mêmes données pour rencontrer d’autres objectifs, son utilisation des données est pour le moins suspecte, sinon carrément abusive. Mais que penser d’une utilisation comme la compilation de statistiques sur les dossiers médicaux dans le but de repérer des liens de causalité génétiques ou des trajectoires épidémiologiques, ou d’identifier des pratiques à risque et, par conséquent, des méthodes préventives pour diminuer les risques? Y a-t-il préjudice? Il y a certainement gain pour la population et, indirectement, pour les budgets de santé de l’État… Combien d’efforts et de ressources faut-il consacrer à s’opposer à cette utilisation?
11
L’univers de la sécurité informatique
La responsabilité de la sécurité et de la confidentialité des données appartient au premier chef à l’administrateur de réseau informatique branché sur Internet. Commençons par tenter de voir le monde de son point de vue. Commençons donc notre exploration de l’univers de la sécurité informatique en essayant de voir le monde du point de vue d’un administrateur de réseau informatique.
12
La sécurité: une préoccupation majeure de l’administrateur
Il n’y a pas si longtemps, la première préoccupation de l’administrateur de réseau était de faire fonctionner le réseau; Aujourd’hui, cette préoccupation a été remplacée par la sécurité; Comment en sommes-nous venus à une telle situation? D’abord, il faut dire que la sécurité s’est progressivement imposée, ces dernières années, comme une préoccupation majeure, dans cette profession. Avant, le défi consistait à mettre sur pied un réseau qui marche. Aujourd’hui, avec tout ce qui est survenu, la sécurité prend des allures d’obsession parmi les administrateurs de réseau. Comment en sommes-nous venus à utiliser massivement un réseau aussi peu sécuritaire?
13
Une perspective historique
Internet est une création de l’univers UNIX Ce qui a eu des implications sur la sécurité. Pour bien comprendre, nous aurons besoin d’un petit détour historique. Internet a été créé en milieu universitaire à une époque où UNIX dominait la scène. C’est donc sur les systèmes UNIX qu’on a expérimenté et développé les protocoles fondamentaux d’Internet. Encore aujourd’hui, Internet garde de très nombreuses traces de cette origine, notamment en ce qui concerne la sécurité des protocoles.
14
UNIX est un système « multiusagers »
Ordinateur Terminaux UNIX Il faut d’abord savoir que UNIX est un système conçu dès le départ, au plus profond de sa conception, pour laisser plusieurs personnes se servir d’un seul et même ordinateur en même temps. On dit qu’il est « multiusagers ». Chaque ordinateur UNIX est muni d’un grand nombre de terminaux (composés pour l’essentiel d’un écran et d’un clavier) que les utilisateurs utilisent tous en même temps pour communiquer avec l’ordinateur et lui faire accomplir les tâches désirées. C’est une des grandes forces de UNIX que de savoir gérer ces multiples commandes sans emmêler les commandes et les réponses.
15
UNIX doit cloisonner ses usagers
Pour empêcher un usager d’aller effacer les fichiers d’un autre, il a fallu mettre au point un système de cloisonnement des espaces individuels. Dans UNIX, un usager s’empare d’un terminal et « ouvre une session » (login en anglais). C’est-à-dire qu’il s’identifie et donne son mot de passe. Seulement alors peut-il utiliser l’ordinateur. De plus, il ne reçoit la permission d’écrire et d’effacer des fichiers que dans son propre espace personnel. Par contre il peut souvent lire les fichiers et exécuter les programmes se trouvant un peu partout dans le système. Dans le monde UNIX, les logiciels sont rarement vendus. La plupart du temps, ils sont créés collectivement et partagés librement. Espaces individuels de travail
16
UNIX partage ses logiciels
Système et logiciels communs Pour des raisons d’efficience, les logiciels dans UNIX sont installés en une seule copie, dans des répertoires spéciaux, pour être mis à la disposition de tous les usagers. Les usagers normaux, bien qu’ils puissent consulter les répertoires du systèmes et en utiliser les programmes, n’ont pas la capacité de changer quoi que ce soit à ces répertoires. Seul l’administrateur du système, qui détient un mot de passe spécial, peut aller modifier ces répertoires. Donc, parce qu’ils sont multiusagers, les systèmes UNIX ont été dotés de sécurité dès le début. Espaces individuels de travail
17
Internet loge dans l’espace protégé des logiciels communs
UNIX Système et logiciels communs Quand les informaticiens ont développés les protocoles et les systèmes formant Internet, ils les ont naturellement installés dans les espaces communs et protégés, de façon à ce que tous les usagers puissent s’en servir. Les systèmes formant Internet ont donc automatiquement bénéficiés de la sécurité générale de UNIX. Espaces individuels de travail
18
Donc, aucun besoin spécial de protéger les « réseaux »
UNIX UNIX UNIX UNIX UNIX Les connexions entre ordinateurs sur Internet se faisaient, au début d’Internet, à partir d’un espace réservé et protégé vers un autre espace également réservé et protégé. (Les messages, bien sûr, circulaient d’individu à individu, mais les serveurs assurant la connexion et les logiciels pour s’en servir étaient accessibles seulement aux administrateurs de réseau) À cette époque, faire fonctionner le réseau était déjà tout un défi. Personne ne songeait vraiment à le protéger contre la malveillance, d’autant plus que cette protection était largement acquise d’avance. Il n’était donc pas nécessaire de prévoir de protection spéciale pour les protocoles d’Internet. UNIX avait son lot de problèmes de sécurité, mais Internet ne présentait pas de difficulté particulière à cet égard. UNIX UNIX UNIX
19
Et les communications y circulent en « clair ».
UNIX UNIX UNIX Destination UNIX UNIX Un des résultats les plus lourds de conséquences de cette circonstance, c’est que les messages circulant sur TCP/IP ne sont aujourd’hui aucunement protégés. Ils ne sont pas chiffrés, les adresses d’origine et de destination ne sont pas dissimulées, ni rien d’autre. C’est dire que, à moins d’avoir pleinement confiance en chaque administrateur de réseau concerné, chaque ordinateur traversé le long du chemin peut constituer un risque de sécurité. Rien n’empêche ceux qui y ont accès d’y placer des logiciels en mesure d’intercepter les messages selon des critères pré-définis comme par exemple, tous les messages où les mots « Visa », « MasterCard » ou « American Express » apparaissent. Origine UNIX UNIX UNIX
20
L’interconnexion apporte son lot de risques de sécurité
UNIX PC UNIX UNIX MacIntosh Une autre conséquence de la popularité croissante d’Internet, c’est que des ordinateurs aux modèles les plus divers ont bientôt voulu s’y connecter. UNIX UNIX UNIX
21
Au point de départ, un PC ou un MAC n’est pas sécurisé.
En particulier, on a cherché à connecter aux réseaux les principaux modèles de « micro-ordinateurs » comme on disait à l’époque. Or, les micro-ordinateurs ont été conçus au départ, à l’inverse de UNIX, pour n’être utilisés que par une seule personne, loin de toute forme de réseau. Par conséquent, on n’a pas accordé une grande attention à la sécurité. On prenait pour acquis que, si le propriétaire d’un MAC ou d’un PC voulait protéger son micro, il n’avait qu’à fermer à clé la porte de son bureau. Ce n’est que lorsqu’on a commencé à mettre en réseau ces micros qu’on a commencé à se préoccuper de sécurité. Les éléments de sécurité sont donc plaqués par-dessus des systèmes d’exploitation préexistants. Le résultat est nécessairement moins solide que dans le cas d’un système conçu dès le départ pour tenir compte des besoins de la sécurité. Réseau local relié à Internet
22
Les réseaux locaux ont faits des efforts… insuffisants
Réseau local Novell Réseau local AppleTalk Les concepteurs de réseaux locaux, apparus vers , ont fait les premiers efforts sérieux pour sécuriser les micro-ordinateurs. Mais ils devaient composer avec des systèmes d’exploitation propriétaires qu’ils ne pouvaient maîtriser entièrement. Ils ont fait leur possible, mais le résultat ne pouvait être aussi sécuritaire que UNIX. MAC
23
La complexité est source de « vulnérabilités »
Réseau local Novell Réseau local AppleTalk Internet Avec l’arrivée d’Internet, nous nous sommes retrouvés confrontés à une sorte d’ « effet de système ». En multipliant le nombre des modèles différents d’ordinateurs sur le réseau des réseaux, on multipliait encore plus le nombre de logiciels appelés à travailler de concert et on accroissait exponentiellement le nombre des interconnexions possibles entre eux. Le développeur contemporain, malgré toutes les précautions qu’il peut prendre, ne peut examiner toutes ces interconnexions une par une. Elles sont trop nombreuses. Il arrive donc, comme nous l’avons vu, que ces conjugaisons produisent des effets imprévus par les ingénieurs informaticiens. Des effets permettant de déjouer et de contourner les verrous de sécurité qu’on croyait avoir mis en place pour empêcher les intrus de pénétrer des systèmes qu’ils ne sont pas autorisés à visiter. Un tel effet est appelé une « vulnérabilité ». Ce n’est rien d’autre qu’un chemin détourné qui donne accès à un ordinateur à quelqu’un qui n’était pas censé l’avoir. IBM Mainframe UNIX MAC
24
Aussi sécuritaire que le World Trade Center
Le réseau a pu se développer de cette façon largement grâce à l’ignorance du danger. Porté par l’engouement collectif pour Internet, le réseau a proliféré sur toute la planète avant qu’on s’aperçoive de sa vulnérabilité. Quand on en a pris conscience, il était déjà trop tard. Nous étions déjà trop dépendants d’Internet pour faire marche arrière. Il ne nous reste pas d’autre choix que d’aller de l’avant et de sécuriser Internet, ce à quoi une énorme quantité de gens travaillent d’arrache-pied, ces années-ci.
25
Fichier de configuration
Exemple 1 - WS-FTP Internet Disque dur local Votre site Web Votre site Web WS-FTP Copie de travail Vous entendez souvent dire qu’Internet est vulnérable, mais on explique rarement comment. Voici quelques exemples de vulnérabilités. Le premier concerne le logiciel bien connu de transfert de fichiers « WS-FTP ». On se sert de WS-FTP pour transférer des fichiers d’un ordinateur à l’autre via Internet. L’utilisation la plus typique de ce logiciel consiste à publier ou mettre à jour un site Web. En général, on élabore son site Web sur un disque dur local, loin d’Internet. Quand tout est prêt, on transfère le tout sur le lieu d’hébergement en ligne du site en utilisant WS-FTP. Si chacun peut lire les fichiers d’un site Web, l’accès pour écrire ou effacer des fichiers dans le répertoire qui l’abrite est réservé au seul propriétaire et protégé par un mot de passe. Pour nous éviter de le retaper sans cesse, ce mot de passe peut être enregistré en permanence dans WS-FTP avec l’adresse du site et l’identifiant du propriétaire. Ces coordonnées sont conservées dans un fichier de configuration sur notre ordinateur. Pour plus de sécurité, le mot de passe est chiffré. On a donc pris toutes les précautions pour que la sécurité de votre site Web soit acquise, n’est-ce-pas? Et bien non. Pas tout-à-fait... Copie en ligne Fichier de configuration de WS-FTP (identifiant et mot de passe chiffrés)
26
Exemple 1 - WS-FTP Disque dur local Internet Votre site Web Votre site
Pour bien des gens, la mise-à-jour du site Web est le seul usage de WS-FTP. Pour cette raison, un certain nombre d’entre eux installent, sans trop faire attention, leur logiciel WS-FTP dans le même répertoire que le site Web de développement, sur le disque dur local. Par conséquent, le fichier de configuration se retrouve dans ce même répertoire. Quand la personne transfère son site Web en ligne, surtout la première fois, elle donne souvent la commande « Copie tous les fichiers du répertoire vers la destination en ligne » si bien que WS-FTP est également copié sur le site Web en ligne. Ce faisant, le fichier de configuration contenant le mot de passe est copié avec le reste. Un pirate n’a qu’à faire une recherche avec un moteur de recherche sur le titre de ce fichier de configuration pour le repérer et le récupérer. Mais le mot de passe est encrypté, me direz-vous? Aucune importance. Le pirate n’a qu’à remplacer son propre fichier de configuration par celui récupéré sur Internet pour que son micro pense qu’il est le propriétaire du site à pirater. Il y a donc accès aussi facilement que le vrai propriétaire et peut l’effacer ou le défigurer à loisir. Copie de travail Copie en ligne WS-FTP installé dans le même répertoire que le site Web Fichier de configuration
27
Exemple 2 - Hotmail Voici un autre exemple de vulnérabilité. Un exemple qui est plus récent. Il concerne le service « Hotmail » de Microsoft. Vous avez peut-être entendu dire dans la presse que des pirates informatiques avaient trouver le moyen d’accéder au compte de n’importe quel utilisateur du service Hotmail du moment qu’ils connaissaient leur identifiant. Voici comment ils s’y prenaient: Vous avez tous déjà rencontré, au hasard de vos déplacements sur Internet, de ces URL très longs qui sont truffés de « %20 » et autres symboles incompréhensibles.
28
Exemple 2 - Hotmail hminfo_shell.asp?_lang=EN&content=whysign&us=ws &id=2&fs=1&cb=_lang%3dEN&ct= En réalité, cette ligne cabalistique n’est pas si difficile à comprendre. Elle a été générée par le lien sur lequel nous avons cliqué pour arriver à la page associée. Analysons-la un peu:
29
Exemple 2 - Hotmail hminfo_shell.asp?_lang=EN&content=whysign&us=ws &id=2&fs=1&cb=_lang%3dEN&ct= La première partie, en jaune, nous est déjà familière. C’est un URL ordinaire comportant la mention du protocole HTTP, le nom de domaine du site et la liste des sous-répertoires à travers lesquels il faut naviguer pour rejoindre l’endroit où se trouvent les fichiers constituant le contenu de la page affichée. En rouge, ce sont des caractères séparateurs qui permettent au protocole HTTP de distinguer les diverses parties de la ligne. Voici à quoi ressemble notre ligne quand nous enlevons les parties que nous venons d’identifier:
30
Exemple 2 - Hotmail _lang=EN content=whysign us=ws id=2 fs=1
cb=_lang%3dEN ct= On reconnaît sans peine une série de variables. _lang=EN doit vouloir dire langue=Anglais. Content=whysign doit désigner le fichier contenant le texte affiché dans la fenêtre principale. Ce qui me fait dire cela, c’est que la page a pour objet de répondre la la question « Pourquoi s’inscrire à Hotmail? ». Le reste est moins facile à interpréter, mais on devine que ce sont des variables associées à ma requête. Si vous avez un œil exercé, vous reconnaissez aussi un caractère non-imprimable qui a été transformé à l’aide de son numéro de code ASCII. Ici, il s’agit du caractère « = ». Il semble que le logiciel ait besoin de l’expression complète « cb= _lang=EN » quelque part. Seuls les programmeurs qui ont conçus le site de Hotmail savent vraiment à quoi servent toutes ces variables. Elles sont choisies arbitrairement et n’ont de sens que par rapport à ce site Web particulier.
31
Exemple 2 - Hotmail hminfo_shell.asp?_lang=EN&content=whysign&us=ws &id=BenGirard&fs=1&cb=_lang%3dEN &ct= Revenons à notre vulnérabilité. Le principal service de Hotmail, c’est de fournir aux usagers une adresse de courriel gratuite et un espace pour entreposer leurs messages. Il faut bien que le logiciel sache qui nous sommes pour nous mettre en relation avec notre propre répertoire et pas celui du voisin. À une certaine époque, l’application utilisait une variable transmise de la façon que nous venons de décrire pour communiquer cette information et l’identifiant de l’usager apparaissait clairement parmi les variables de la ligne d’URL étendue, un peu comme on peut voir ici. L’application était, certes, conçue pour demander le mot de passe la première fois que l’usager accédait au site mais, une fois cette vérification faite, il acceptait toutes les requêtes provenant de cette même adresse jusqu’à la fin de la session. Donc, un pirate pouvait accéder à son propre compte, s’identifier normalement et donner son mot de passe. Une fois à l’intérieur, il lui suffisait de remplacer son identifiant par celui de n’importe qui d’autre pour se retrouver dans l’espace de travail de cette personne et pour pouvoir lire son courrier, l’effacer, etc.
32
Exemple III - Le cheval de Troie
Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Notre troisième exemple de vulnérabilité procède d’une approche complètement différente: Le « Cheval de Troie ». Pour le comprendre, il faut avoir une idée de comment fonctionne un réseau TCP/IP. Le protocole TCP/IP définit « ports » de communication par lesquels des messages peuvent entrer et sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; Napster utilise le port 6699, et ainsi de suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas échéant, s’il est actif, auquel cas le message lui est transmis. Par exemple, si nous sommes occupés à naviguer sur le Web, chaque page qui entre est acheminé à notre fureteur et pas ailleurs. Quand nous téléversons nos messages de courriel, ils sont acheminés vers notre logiciel de courrier et pas ailleurs. Ça fonctionne quel que soit le nombre de programmes actifs en même temps dans la mémoire de notre ordinateur. Internet Port POP3 Port FTP
33
Exemple III - Le cheval de Troie
Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Une bonne stratégie pour prendre le contrôle de notre ordinateur à travers Internet consiste, pour un pirate, à implanter sur notre ordinateur un logiciel de sa fabrication qui va utiliser un port libre pour attendre les ordres du pirate. Un tel logiciel pourrait être configuré pour être toujours chargé en mémoire dès que notre ordinateur serait mis en marche si bien qu’il serait toujours actif. Avec un tel logiciel, le pirate pourrait faire n’importe quoi à notre ordinateur, selon ce qu’il y aurait programmé. Il pourrait probablement se promener dans tous nos répertoires et acheminer au pirate n’importe quel fichier, il pourrait effacer ou renommer nos fichiers, peut-être pourrait-il remettre le contrôle de notre connexion Internet à ce pirate, laissant croire au monde que ses mauvais coups viennent de nous. Mais pour y parvenir, le pirate doit nous convaincre d’installer son logiciel sur notre ordinateur. Comment diable peut-il s’y prendre? Internet Port POP3 Port associé à un logiciel pirate Port FTP
34
Exemple III - Le cheval de Troie
Partie secrète à l’usage du pirate Partie affichée publiquement, alléchante pour les utilisateurs Pour nous inciter à charger le cheval de Troie dans notre ordinateur, les pirates vont créer un logiciel à deux parties. La première partie nous offre une application anodine et alléchante. Par exemple, un logiciel qui affiche un petit dessin animé très drôle, pour que nous soyons tentés de le poster à tous nos amis. Mais le logiciel comporte aussi une seconde partie qui s’installe secrètement en même temps que la première. Typiquement, cette partie secrète dépose un programme dans notre répertoire Windows, là où nous n’osons pas aller effacer quoi que ce soit. Elle place aussi un lien dans notre répertoire d’auto-démarrage, pour que l’application secrète soit toujours chargée en mémoire. Tout est désormais en place de façon permanente, même si nous nous débarrassons du fichier contenant la blague animée. La prochaine fois que nous allons ouvrir notre ordinateur, le logiciel secret va être chargé en mémoire et faire ce qu’il a été conçu pour faire. Ça peut être n’importe quoi, mais il y a gros à parier qu’il va se mettre à l’écoute d’un port inutilisé pour se mettre aux ordres du pirate. Pour avoir laissé le Cheval pénétrer dans Troie, vous avez aussi accueillis les soldats Grecs qui étaient cachés dedans. Il faut donc se méfier des cadeaux trop alléchants quand leur provenance initiale est douteuse. Logiciel offert gratuitement sur Internet prétendant vous rendre service
35
Les vulnérabilités Sont des maladresses de programmation qui, associées à la négligence humaine, laissent des trous dans le sécurité des ordinateurs ou des sites Web. Pirates et administrateurs de réseaux se font la course, les uns pour ouvrir, les autres pour fermer l’accès aux ordinateurs via ces vulnérabilités. On voit bien à l’aide des trois exemples précédents qu’il n’est pas facile de repérer les vulnérabilités d’un système. Quand une vulnérabilité a été trouvée, il est généralement assez facile de changer la programmation du site pour boucher le trou de sécurité. La difficulté, c’est le repérage. Si la personne qui trouve une faille est un expert en sécurité bien intentionné, il avertit le responsable du site vulnérable (comme HotMail) et lui communique tous les détails de façon à ce que celui-ci fasse les corrections qui s’imposent. Quand la faille concerne une application commerciale qui a été vendue à des milliers d’exemplaires (comme WS-FTP), le fabricant doit émettre une rustine (une « patch ») et l’envoyer le plus rapidement possible à tous ses clients pour qu’ils colmatent la brèche. En fait, il n’est pas possible d’anticiper tous les trous de sécurité avant le lancement d’une application. La seule manière de protéger une application, c’est de corriger les erreurs au fur et à mesure qu’on les trouve. Voilà pourquoi il est important de toujours tenir ses logiciels à jour en appliquant les rustines dès qu’elles sont publiées. Si le découvreur de la faille est un pirate et bien… les choses prennent un peu plus de temps à être découvertes et corrigées...
36
La situation n’est pas si désespérée qu’elle semble
Rassurez-vous, les administrateurs de réseau ne restent pas les bras croisés en attendant les problèmes. Regardons maintenant les choses du point de vue « défensif ». Après ces quelques exemples, retournons à nos administrateurs de réseau et à leurs travaux visant à sécuriser leurs ordinateurs et les données qu’ils contiennent.
37
En quoi consiste la sécurité informatique?
Authenticité; Irrépudiabilité; Intégrité; Confidentialité; Accessibilité. Du point de vue de l’administrateur de réseau, la confidentialité n’est qu’un des éléments de la problématique générale de la sécurité informatique. La raison pour laquelle il lui faut considérer l’ensemble de la sécurité, c’est qu’il ne sert à rien de protéger à double tour la porte d’en-avant si on laisse la fenêtre ouverte à tout venant. Comme la chaîne proverbiale dont la solidité d’ensemble se limite à celle de son maillon le plus faible, le succès de la sécurité informatique se mesure à la protection qu’offre son aspect le moins sécuritaire. La sécurité doit donc être une préoccupation globale dont on ne peut négliger aucune dimension.
38
Authenticité Les documents doivent être préservés dans l’état voulu par leurs auteurs et leurs propriétaires. À tout moment, durant les échanges électroniques, il nous faut pouvoir être certain que les documents manipulés sont authentiques. C’est-à-dire qu’ils sont de la main des personnes qu’ils désignent comme leurs auteurs et non d’un faussaire ayant usurpé l’identité d’un autre.
39
Irrépudiabilité L’identité des auteurs de documents ou de gestes consignés de même que celles des signataires des engagements pris doit être confirmée et correctement consignée de façon à empêcher la répudiation ultérieure. Il faut pouvoir garantir que le signataire de tel ou tel document est bel et bien celui que le document annonce, que la date annoncée comme le moment ou les engagements prennent effet est la bonne, etc… Autrement, les signataires pourraient se soustraire aux obligations qu’ils ont contractées.
40
Intégrité Les documents doivent être conservés dans leur état original
À l’abri de la destruction; À l’abri des modifications non-autorisées. Il faut pouvoir garantir que personne n’a apporté de modification aux documents sans permission. Également, il faut protéger les documents contre la destruction, par exemple à la suite d’un problème avec le disque dur.
41
Confidentialité Les documents doivent être à l’abri des regards indiscrets Les documents doivent être protégées contre les regards indiscrets.
42
Accessibilité Les documents doivent malgré tout être accessibles aux usagers autorisés Et ceci, tout en préservant l’accessibilité aux documents pour les personnes qui sont autorisées et qui doivent y faire des interventions avec aisance et efficacité. Il est important de mentionner cet aspect. Il est évident que si nous coupions tous les liens entre les ordinateurs de l’État et le reste du monde, la sécurité serait améliorée. Mais nous nous priverions ainsi de la plus importante source de gains de productivité qu’un État puisse espérer pour plusieurs années à venir. Il ne saurait être question de faire machine arrière et de refuser l’innovation technologique révolutionnaire que constitue Internet. Donc, non seulement l’accessibilité sera maintenue, mais elle sera certainement décuplée dans les années à venir.
43
Les flux d’information
Citoyens et entreprises État Ces préoccupations s’appliquent à un monde branché de part en part. En milieu gouvernemental, au niveau le plus large, l’État échange des informations avec ses citoyens et les entreprises qui sont sous sa juridiction. Ces informations circulent sur toutes sortes de canaux (la poste, le téléphone, le télécopieur), mais les seuls qui nous intéressent ici sont les canaux télématiques et en particulier Internet.
44
Les flux d’information
Internet État Une bonne partie de ces informations doivent être conservées par l’État. Il lui faut donc les entreposer quelque part. Dans le cas des informations digitales, il peut s’agir de fichiers d’ordinateurs, d’archives de courriels ou de bases de données conservés sur les réseaux locaux des ministères et des organismes.
45
Les flux d’information
Internet État Dans le cadre des activités légitimes de l’État, ces informations doivent circuler entre divers agents à l’intérieur de l’appareil gouvernemental. Il peut s’agir de l’acheminement d’une requête le long d’une chaîne de traitement comportant plusieurs étapes impliquant un nombre égal de personnes aux tâches spécialisées. Ou encore de la soumission d’un dossier à un comité d’analyse et de sélection, ou aux autorités, pour l’approbation d’un budget ou d’une subvention, etc. Quel qu’en soit le motif, les informations sont souvent appelées à circuler électroniquement à l’intérieur des réseaux gouvernementaux.
46
Les trois foyers d’application de la sécurité
Protection des lieux de conservation Entrées et sorties extérieures Internet État On voit clairement que la sécurité doit s’appliquer en trois endroits distincts présentant chacun des problèmes particuliers et indépendants. 1- Durant le transport, au moment de l’arrivée initiale des informations, via Internet, pendant lequel les réseaux de l’État sont en contact avec les réseaux extérieurs sur lesquels il n’exerce pas de contrôle. 2- Autour des lieux d’entreposage des informations, sur les disques durs des ordinateurs appartenant à l’État. 3- Pendant le transport interne, entre deux ou plusieurs agents de l’État, qu’ils travaillent au sein d’un même ministère ou organisme ou pour des organisations différentes. Nous aborderons tour à tour ces trois foyers d’application. Mais vous voyez déjà que votre travail de responsable de la protection des renseignements personnels va consister, entre autres, à vérifier si la confidentialité est assurée en chacun de ces trois endroits. Circulation interne
47
Les problèmes de sécurité liés à l’entreposage des données
Réseau local Ordinateur passerelle donnant accès à Internet Commençons par le cas le plus simple: la protection des données entreposées sur un ordinateur gouvernemental. Pour sécuriser nos réseaux, il nous faut appliquer des mesures de sécurité à différents endroits. Une mesure si efficace soit-elle n’est jamais suffisante en soi. C’est l’ensemble des mesures et des pratiques qui font la sécurité. Le schéma apparaissant ici représente un réseau local typique relié à Internet. On y repère aisément un ordinateur tout aussi typique contenant des fichiers, en orangé, qui doivent être protégés. Cet ordinateur fait partie d’un réseau local réunissant tous les ordinateurs de son organisation. Ici, nous en avons représenté trois. Le réseau est lui-même connecté à Internet via une passerelle. Souvent, la passerelle est un ordinateur dédié exclusivement à la tâche d’assurer la connexion du réseau local à Internet. Comment allons-nous nous y prendre pour sécuriser convenablement les données? Données à protéger Internet
48
Les problèmes de sécurité liés à l’entreposage des données
Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet La sécurité est un concept fondamentalement relatif en ce sens qu’on se protège toujours « de » quelque chose ou de quelqu’un. Les mesures à prendre dépendent de la nature de ce quelqu’un et de sa position sur le terrain. Il nous faut donc, à chaque fois, distinguer une zone de confiance à l’intérieur de laquelle se trouvent les données à protéger et une zone extérieure d’où nous croyons que peuvent venir les attaques. Rien ne nous empêche d’emboîter les zones les unes dans les autres et de créer des endroits protégés par plusieurs couches successives de mesures de sécurité. Nous verrons cela plus loin. Si on veut protéger nos données des attaques provenant d’Internet, il faut bien évidemment fermer la frontière et empêcher la circulation incontrôlée des informations entre la zone de confiance et l’extérieur. Barrières Données à protéger Internet
49
Les problèmes de sécurité liés à l’entreposage des données
Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP La première grande mesure de sécurité a pour objectif d’interdire les accès directs non-autorisés. Il s’agit d’un système d’identification et de mot de passe qui permet à l’ordinateur de vous demander « Qui êtes-vous? » en réponse à quoi il faut fournir son identifiant et « Pouvez-vous le prouver? » en réponse à quoi il faut donner son mot de passe. Une telle barrière peut être placée de façon à contrôler les accès à distance via Internet. Si votre employeur vous a autorisé à vous connecter au réseau local du bureau à partir de votre résidence, par modem, par exemple, il y a fort à parier que cet accès sera contrôlé par un identifiant et un mot de passe. Inutile de vous dire l’importance de ne pas affaiblir la sécurité de tout l’ensemble en choisissant comme mot de passe, le nom de votre compagne, son numéro de téléphone, son adresse ou sa date de naissance, comme 95% des gens le font. Ce sont les premières combinaisons que les crackers vont essayer, avant même de soumettre votre serrure à leur dictionnaire spécialisé. Internet Port POP3 Port FTP Identification
50
Les problèmes de sécurité liés à l’entreposage des données
Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP La deuxième mesure à prendre consistera donc à installer un coupe-feu (« firewall »). Un coupe-feu vient s’installer en toute première ligne entre votre réseau local d’ordinateurs et Internet. Sa principale fonction est de contrôler les accès dans les deux sens aux ports du TCP/IP. Il nous permet premièrement de fermer, c’est-à-dire d’interdire l’utilisation, des ports dont nous n’avons pas besoin dans notre environnement local. Seuls les ports que nous utilisons consciemment et volontairement à l’aide de logiciels connus et maîtrisés peuvent passer le coupe-feu. Les autres ports étant fermés, un Cheval de Troie qui aurait réussi à pénétrer notre réseau ne pourrait pas communiquer avec l’extérieur. De plus, une tentative de communication serait certainement repérée et nous serions en mesure de réagir et supprimer le Cheval de Troie de l’ordinateur contaminé. Internet Port POP3 Port associé à un logiciel pirate Coupe-feu Port FTP Identification
51
Les problèmes de sécurité liés à l’entreposage des données
Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP La troisième ligne de protection est un bon logiciel anti-virus. Cette mesure concerne davantage la protection contre le vandalisme que contre les accès interdits, mais je me permet d’en parler quand même, à cause de son caractère fondamental et incontournable quand on parle de sécurité. L’anti-virus filtre toutes les communications en provenance de l’extérieur et y cherche la signature des virus informatiques connus. Une signature de virus est un groupe caractéristique d’instructions binaires qui correspond aux accès de bas niveau qui sont nécessaires pour que le virus fassent son travail de sabotage. Chaque virus, puisqu’il est constitué d’instructions répétables, ne peut éviter d’avoir une telle signature. Quand votre logiciel anti-virus détecte la présence d’un accès de bas niveau jugé suspect, il intensifie son investigation et cherche avec plus d’intensité la signature d’un virus dans les environs. S’il en trouve un, il vous en avertit en vous donnant le nom du fichier où le virus a été trouvé. Dans certains cas, le fichier peut être réparé. Dans d’autres cas, il devra être supprimé. Certains virus sont polymorphes et tentent de déguiser leur signature pour échapper à la détection. Ils peuvent par exemple, voyager sous une forme et subir une ou plusieurs transformations sur votre disque dur avant de prendre la forme finale qui va leur permettre de frapper. Comme la liste des signatures de virus s’accroît constamment, il convient de la maintenir la plus à jour possible. Internet Port POP3 Coupe-feu Port FTP Identification Anti-virus
52
Les problèmes de sécurité liés à l’entreposage des données
Réseau local et/ou Intranet Coupe-feu individuel Ordinateur passerelle donnant accès à Internet Nous avons donc un réseau local protégé contre les accès non-autorisés en provenance d’Internet et qui ne laisse passer aucun virus. Cela suffit-il? Et si l’intrus faisait parti de votre environnement immédiat. Un voisin de bureau sur le même réseau que vous? Il peut donc être utile, si la nature des données à protéger le justifie, de protéger les ordinateurs individuels de façon analogue à la façon dont on a protégé notre réseau. Il existe des anti-virus personnels et des systèmes d’identification individuels. Il y en a même qui contrôlent le « réveil » d’un ordinateur tombé en mode sauve-écran. Les coupe-feu individuels existent aussi mais ils sont surtout recommandés pour les ordinateurs domestiques reliés en permanence à Internet via le câble ou un lien ADSL. Coupe-feu Données à protéger Internet
53
Les problèmes de sécurité liés à l’entreposage des données
Réseau local et/ou Intranet Coupe-feu individuel Ordinateur passerelle donnant accès à Internet Est-ce suffisant? Si quelqu’un ouvre votre ordinateur en votre absence, croyez-vous qu’il parviendra à prendre connaissance de ce qui y est entreposé? Dans bien des cas, la procédure d’identification/mot de passe concerne uniquement le réseau. En la contournant (avec ESCAPE) il lui sera interdit de parcourir le réseau local, mais votre disque dur local lui sera totalement ouvert. Pour contrer ce genre d’infraction, on peut chiffrer les fichiers à protéger. Un fichier chiffré avec les outils modernes disponibles gratuitement ne peut en aucun cas être lu. Il faut disposer de moyens considérables pour briser un code à 128 bits. De la même façon qu’il faut protéger l’accès à un ordinateur personnel, il faut protéger l’accès physique aux serveurs qui sont actifs sur Internet. La plupart des propriétaires de serveurs les gardent dans des locaux fermés à clé. Coupe-feu Données à protéger Internet
54
Les problèmes de sécurité liés à l’entreposage des données
Copie de sûreté Coupe-feu individuel Ordinateur passerelle donnant accès à Internet Contre les fichiers effacés par erreur, par un virus ou par la malveillance d’un intrus, il y a un moyen radical, simple à mettre en œuvre et aussi efficace contre les bris de disque dur : la copie de sûreté. Un bon système de sécurité doit comporter une manière automatisée de prendre des copies de sûreté de nos données sensibles. Et que faisons-nous de nos copies de données sensibles? Oui, c’est bien ça! Nous les mettons en sûreté. La plupart du temps, cela implique non seulement de protéger les copies autant que l’original des données, mais aussi de les entreposer à bonne distance de celui-ci. Coupe-feu Données à protéger Internet
55
Les problèmes de sécurité durant la communication
Réseau local et/ou Intranet Ordinateur passerelle donnant accès à Internet Passons maintenant aux problèmes de sécurité associés à la communication des informations sur Internet. Nous avons déjà vu qu’un message quelconque sur Internet traverse plusieurs ordinateurs durant son trajet et que nous n’avons aucun moyen de savoir si l’un d’eux n’est pas entre les mains de personnes mal intentionnées. Ces personnes ne peuvent entraver la circulation des informations, ce qui reviendrait à s’exclure du réseau. Mais elles peuvent intercepter les messages qui les intéressent et en prendre connaissance. Il n’y a qu’un seul moyen réellement efficace de protéger nos données des regards indiscrets. C’est de chiffrer les messages. Il y a cependant un problème supplémentaire dans ce cas-ci qui ne se présentait pas dans le cas des données chiffrées entreposées sur votre réseau local. C’est que, puisque les données sont communiquées à un tiers, il faut aussi lui transmettre la clé qui permet de les déchiffrer. Et cette clé doit nécessairement lui être communiquée en clair pour qu’il puisse en prendre connaissance. ??? Données à protéger Internet
56
Le problème de la transmission des clés
Clé de chiffrement Hello Kedoh Internet Kedoh Hello Voici la séquence des opérations requises pour communiquer en toute sécurité à l’aide de messages chiffrés. L’expéditeur rédige son message. Il lui applique une procédure de chiffrement dont tous les calculs se font à partir d’une clé. Le message se transforme en un charabia incompréhensible. Celui-ci est expédié sur Internet, à l’abri des regards indiscrets. À la réception, le destinataire lui applique de nouveau la clé de chiffrement pour retrouver le message dans son état original lisible. Question piège no. 1: Comment l’expéditeur va-t-il communiquer la clé de déchiffrement à son interlocuteur sans risquer qu’elle soit aussi interceptée, ce qui annulerait tout le bénéfice de l’opération? Internet???
57
Le chiffrement à clé publique
Clés publiques De Pierre De Jean Hello Kedoh Internet Kedoh Hello La cryptographie moderne a mis au point une méthode de chiffrement à double clé. L’une est publique et largement diffusée. Elle sert à ceux qui veulent nous écrire en chiffrant leurs messages. L’autre est privée et mathématiquement liée à la précédente. Elle nous sert à déchiffrer les messages qui ont été encodés avec la première avant de nous être expédiés. Ainsi, du moment que nos interlocuteurs se sont munis d’une paire de clé, le problème de la transmission des clés est résolu. Sommes-nous pour autant complètement tirés d’affaire? Pas encore. Sur Internet, nous sommes privés des repères traditionnels qui nous permettent de nous assurer de l’identité de nos interlocuteurs. La clé publique que je m’apprête à utiliser pour envoyer des informations confidentielles à Pierre a-t-elle vraiment été émise par lui? Ou, plus réalistement, le site Web de Sears Canada à qui je m’apprête à remettre mon numéro de carte de crédit appartient-il bien à la compagnie respectable et bien connue que je crois? Comment puis-je m’en assurer? Pierre Jean Clés privées
58
Le problème de l’authentification des agents
Garant La solution au problème de l’authentification opère suivant le même mécanisme que dans la vie courante. Pour savoir si on peut faire confiance à un inconnu, on lui demande des références. Quelqu’un en qui nous avons confiance peut-il garantir l’identité et la bonne réputation de la personne que nous cherchons à authentifier? Sur Internet, c’est la même chose sauf que le processus est largement automatisé pour ne pas ralentir le fonctionnement. Il existe des organismes qui se chargent de faire les recherches nécessaires pour authentifier une fois pour toutes les entreprises et les individus qui peuvent avoir besoin de références. Une fois ce travail fait, l’organisme émet un certificat qui agit un peu comme une lettre de créance. Le certificat garantie que l’entreprise existe réellement et qu’elle a pignon sur rue à telle adresse dans le monde réel. Si nous avons confiance dans l’organisme qui émet le certificat, nous pouvons être raisonnablement certain de pouvoir retrouver l’entreprise si elle venait à disparaître d’Internet. Nous pouvons donc transiger avec elle sans la connaître plus avant. ? ? Internet Pierre?? Jean??
59
Le problème de l’authentification des agents
Garants Avec ce système, il est évident qu’un seul garant ne peut suffire à authentifier tous les sites Web de la terre. Mais si un garant en qui nous avons confiance a, lui, confiance en un autre garant, tous les sites garantis par ce dernier sont reconnus par celui en qui nous avons confiance. On peut donc multiplier les garants pour couvrir toute la terre. Au Québec, le gouvernement a demandé à la Chambre des notaires, je crois, de mettre au point l’infrastructure nécessaire à l’émission de tous les certificats requis. Il y a des projets pilotes en cours actuellement et, si tout se passe bien, nous devrions pouvoir disposer de l’infrastructure nécessaire bientôt. ? ? Internet Pierre?? Jean??
60
Les garants sont dépositaires des clés publiques
Si nous décidons de confier aux organismes garants les clés publiques de chiffrement des organismes qu’ils authentifient, nous avons un système complet. Un inconnu se présente à nous muni de son certificat. Nous vérifions le certificat auprès de l’organisme émetteur qui nous le certifie authentique. Si nous voulons écrire de façon confidentielle à cet interlocuteur, nous pouvons demander au garant de nous remettre sa clé publique. Nous serons ainsi certain qu’il s’agit d’une clé authentique et que nous entrerons en contact avec le bon organisme. Quelles raisons avons-nous de faire confiance à un garant? Les mêmes que celles qui nous permettent de confier notre argent à une banque. Un garant qui ne ferait pas son travail correctement serait vite repéré et exclu du circuit. ? ? Internet Pierre?? Jean??
61
Un système en voie de développement mais inachevé
Les fureteurs modernes gèrent les certificats pour les sites Web de commerce électronique; Pour le courrier électronique, la situation est carrément chaotique; Pour les autres applications, tout reste à faire. Comme pour tous les systèmes qui exigent que tout le monde se mettent d’accord et synchronisent leurs actions, l’infrastructure à clé publique décrite ci-dessus prend beaucoup de temps à se mettre en place. Actuellement, on peut raisonnablement faire confiance aux certificats émis par les développeurs des principaux fureteurs (Microsoft, Netscape et leurs délégués. C’est cette infrastructure qui permet de sécuriser les sites Web de commerce électronique. (On en reconnaît l’action quand notre fureteur nous annonce que nous communiquons désormais via une ligne sécurisé ou, à l’inverse que nous repassons en mode non chiffré.) Ailleurs, dans toutes les autres applications d’Internet, la situation est loin d’être aussi avancée. L’adoption des standards est plus lente.
62
Pour le courrier électronique...
Il n’y a pas encore de standard unique et inter-opérable; De nombreuses entreprises vous offriront des systèmes privés de chiffrement; Cela exige que vos partenaires adoptent le même fournisseur ou un fournisseur compatible. Malheureusement, pour le courrier électronique, le système n’est pas encore en place. Vous trouverez toutes sortes d’offres de service dans l’entreprise privée, mais dans chaque cas, il faut s’entendre d’avance avec tous nos correspondants pour faire l’échange des clés de déchiffrement. Cela peut être faisable entre institutions de bonne taille avec qui les contacts sont fréquents, mais c’est pratiquement impossible avec les individus. Pour ces derniers, c’est encore plus simple de vous écrire par la poste ordinaire que de se prêter à toute cette gymnastique d’entente préalable avant la communication sécurisée. En pratique, la plupart des gens s’écrivent en clair en espérant qu’il n’y aura pas de logiciel mal intentionné sur le trajet de leurs messages.
63
L’offre privée permet le « tunneling »
Entre institutions, cependant, l’offre privée est intéressante parce qu’elle permet de créer des tunnels de communication chiffrée passant par Internet avec des correspondants privilégiés avec lesquels nous sommes en contact fréquent. Si les contacts sont suffisamment nourris, ça vaut la peine de déployer une telle application aux deux bouts de la communication. Mais en attendant le déploiement d’une infrastructure standardisée et généralisée, il n’est pas possible de sécuriser les communications avec n’importe quel correspondant individuel. Ce n’est pas demain que la gestion des clés publiques et privées deviendra un réflexe naturel dans le population des utilisateurs moyens d’Internet. Le changement culturel est trop radical. Données à protéger Internet
64
Une stratégie d’intervention
Prendre les choses à l’échelle du réseau local; Identifiant et mot de passe à tous les niveaux? Coupe-feu? Anti-virus? Chiffrement des fichiers? Copies de sûreté? Mises-à-jour régulières? Sur la base de tout ce qui précède, on entrevoit maintenant de quelle façon un responsable de la protection des renseignements personnels doit procéder pour remplir son mandat de manière quelque peu efficace. Premièrement, puisque nous avons vu que la protection des données entreposées se faisait en bloc, à l’échelle du réseau local d’ordinateurs, notre responsable pourra faire un grand pas dans la bonne direction en se familiarisant avec les politiques et les pratiques de son M/O en matière de protection des réseaux. 1- Quelles sont les politiques en vigueur sur l’identification et les mots de passe pour accéder aux réseaux? Que protège-t-on, exactement? Les disques communs sur les réseaux? Les disques individuels sur les postes de travail? Au moment de l’allumage initial le matin? Les écrans de veille sont-ils protégés? 2- A-t-on déployé un logiciel coupe-feu adéquat? Un anti-virus adéquat? Etc... 3- Y a-t-il des politiques en vigueur sur le chiffrement des fichiers? 4- Avec quelle fréquence fait-on les copies de sûreté des fichiers? Ces copies sont-elles elles-mêmes suffisamment protégées? Si ces choses sont en place, tous les fichiers placés derrière ces barrières de protection peuvent être considérés en sécurité. La moitié du travail aura donc été faite d’un seul coup.
65
Une stratégie d’intervention
Prendre les choses à l’échelle du réseau local; La circulation interne des données; Le réseau local est-il indépendant d’Internet? Les copies accessoires sont-elles éliminées? Y a-t-il une politique dissuasive contre les indiscrétions? Notre prochain sujet d’attention concernera les circuits de transport des données à l’intérieur du ministère ou de l’organisme. 1- Qui, dans le cours normal des opérations, a besoin de travailler avec les données? Comment le transport se fait-il? A-t-on pour habitude de garder des copies des données sur les disques durs individuels? De les imprimer pour les lire plus à l’aise? Y a-t-il une politique concernant l’élimination de ces copies accessoires? Etc. 2- Les transferts internes de fichiers circulent-ils sur un réseau strictement local, à l’abri d’Internet? Un tel montage est possible, mais pas nécessairement en place. Tout dépend de la façon dont le réseau est branché. C’est ici également que vous pouvez demander quelles précautions ont été prises pour cloisonner les données et éviter les regards indiscrets à l’interne même. (Comment se fait-il que tant de fonctionnaires ont besoin de consulter les rapports d’impôt de Céline Dion? Garde-t-on la trace de ces consultations d’une quelconque manière? Y a-t-il des vérifications aléatoires sporadiques pour dissuader les regards indiscrets? Des sanctions sont-elles prévues?). Ici encore, l’idée consiste à vérifier la qualité du système d’ensemble. Si le système est bon (et si les politiques sont réellement appliquées), tous les fichiers individuels seront protégés.
66
Une stratégie d’intervention
Prendre les choses à l’échelle du réseau local; La circulation interne des données; La circulation externe; Avec des partenaires réguliers; Avec des correspondants ponctuels ou occasionnels; Enfin, nous avons vu que la protection des informations circulant sur Internet était plus difficile à assurer. 1- Avec ses partenaires réguliers, le M/O a-t-il pris soin de créer des VPNs (Virtual Private Networks) pour communiquer de façon sécuritaire? 2- A-t-on fait des efforts pour prévenir les correspondants ponctuels ou occasionnels que leur correspondance était susceptible d’être interceptée? 3- A-t-on, par exemple, mis à leur disposition une clé publique de chiffrement permettant à ceux qui connaissent suffisamment la technologie de chiffrer leurs communications avec le M/O? On ne peut exiger que le M/O soit en avance sur les possibilités de la technologie. Mais, au moins, il peut avertir ses correspondants du risque qu’ils courent.
67
Une stratégie d’intervention
Prendre les choses à l’échelle du réseau local; La circulation interne des données; La circulation externe; Faut-il enquêter? De façon générale, les responsables informatiques des M/O sont sympathiques à la cause de la protection des renseignements personnels et font déjà leur possible pour satisfaire aux exigences de la loi. Ils doivent cependant boucler des budgets serrés et assurer un service efficace aux fonctionnaires qui ont un besoin légitime d’accéder aux données. Nous serons donc la plupart du temps en présence d’un équilibre entre les objectifs de protection et d’accès légitime aux renseignements. Votre tâche consiste, à mon avis, à évaluer la valeur de cet équilibre bien davantage qu’à exiger une sécurité maximale qui paralyserait le fonctionnement de l’appareil administratif. Les interventions ne se justifient que si l’équilibre établi laisse à désirer. Si vous avez des raisons de penser qu’il y a négligence, vous pouvez demander à une firme compétente de faire enquête.
68
Une stratégie d’intervention
% de sécurité Nous avons reconnus que la sécurité absolue des données n’existe pas, sauf quand on décide de fermer le M/O et de se passer de l’information. Cette solution n’étant pas envisageable, l’équilibre à trouver se situera sur la courbe apparaissant ici, et il nous faudra nécessairement accepter certain compromis. Cela fait partie de la tâche que de garder un œil sur les coûts (en argent ou en délais administratifs) des mesures que nous pouvons être tentés d’exiger. Nous ne rendrons service à personne en se faisant l’apôtre de mesures inaccessibles... Coûts $
69
Conclusion Nous avons fait un rapide tour d’horizon du domaine de la sécurité informatique; Il reste bien des choses à dire, évidemment; Nous espérons qu’il vous aidera dans l’exercice de vos responsabilités; Nous travaillons ensemble pour le bien des citoyens. Nous voici au terme de cet exposé. Malgré son ampleur, il n’a fait qu’effleurer la surface. Son objectif était de vous communiquer un portrait d’ensemble du domaine de la sécurité informatique de façon à ce que vous puissiez situer votre action dans le domaine. Quels que soient nos soupçons, ne perdons jamais de vue que nous travaillons tous et toutes dans un même but: la promotion des intérêts des citoyens du Québec. Merci.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.