Tech News

A quand le permis de navigation sur

Internet ?

Sergio da Silva, ONU/STIC

Le «web» est une invention majeure du XX^e siècle, qui a permis à des millions d’internautes de communiquer entre eux, d’accéder à d’innombrables sources d’information et de partager leurs connaissances et leur culture. Tout comme la nature humaine et malgré sa force, il y a aussi des faiblesses tels que les pourriels (SPAM), les virus ou les vers (worms). Pour en parler, nous avons invité Thomas Braun qui est chargé de la sécurité des systèmes informatisés à l’Organisation Mondiale du Commerce.

Quelles sont aujourd’hui les grandes questions en relation avec la sécurité informatique? Les grandes organisations ont déjà beaucoup de mesures en place pour contrer les différents fléaux. Plus important actuellement, c’est que chacun d’entre nous joue un rôle plus actif et soit plus conscient de la complexité des risques d’une utilisation du courrier électronique et de l’Internet.

Pensez-vous qu’il faut dissocier l’utilisation du PC du bureau avec celui de la maison, ou qu’au contraire la vulnérabilité de l’un peut affecter celle de l’autre? L’état de l’un peut affecter l’état de l’autre. Ce n’est pas seulement parce que beaucoup de fichiers sont transférés par disque ou clé à mémoire, il y a de plus en plus de gens qui se relient au réseau du bureau depuis la maison. Avec des connexions de type ADSL qui sont laissées connectées à Internet en permanence, on augmente les risques d’infractions ou d’infections en laissant une porte ouverte aux visiteurs non désirés.

Est-ce que le problème du pourriel (courrier non sollicité) peut être résolu avec une législation plus adaptée? Je ne crois pas qu’il s’agisse uniquement d’une question de législation. Le problème est que nous utilisons un protocole de transmission (SMTP) qui n’effectue pas la validation de nos échanges électroniques. Malgré des propositions diverses de changement de protocole, il n’y a pour l’instant rien qui pourrait être réalisé demain. Des logiciels anti-SPAM sont bien sûr utilisés par les grandes organisations. Les modifications au niveau de la législation peuvent améliorer la situation actuelle, mais le plus important à mon avis est d’évoluer vers une nouvelle génération de courrier électronique. Il faudra, entre-temps, ne pas donner son adresse à tout le monde, éviter de répondre à ces messages d’origine douteuse que nous recevons, de ne pas suivre les liens qu’ils contiennent (souvent avec un faux libellé) et de les effacer.

Récemment, des images sont aussi devenues des vecteurs de virus. La créativité semble ne pas avoir de limites et pour certains, il semble légitime de repenser le mode de fonctionnement de la toile. Il n’y a pas, là, un risque de dérapage qui serait contraire aux libertés fondamentales de l’individu? Cela dépend des mesures qui seraient prises. Les anti-virus savent maintenant détecter ces types de virus dans les images JPEG. Il y aurait effectivement un risque de dérapage si le filtrage venait à s’effectuer au niveau des institu- tions. Pour éviter toute tentation de prise de mesures drastiques, il est important de responsabiliser les utilisateurs que nous sommes à travers l’information et la formation.

En regardant vers le futur, croyez-vous à une sécurité informatique «parfaite» et à une navigation sans risques? Je suis optimiste, cependant il m’est difficile d’imaginer une navigation sans risques. C’est comme aller skier et croire que vous êtes à l’abri de tout accident. Sans formation, vous naviguez sans forcément savoir comment mieux éviter de vous perdre ou devenir une proie facile. Nous devons nous rendre plus responsables de l’utilisation de ces outils technologiques. Les grandes compagnies commencent d’ailleurs à vendre leurs produits en association avec la formation correspondante.

Selon vous, naviguer sur le web sans formation, c’est un peu comme conduire une voiture sans permis!

Oui, l’Internet (le web et email également) doit être mieux expliqué! Les virus et les vers se propagent très vite aux PC qui sont en perma- nence connectés à Internet. Ceux qui envoient du pourriel utilisent souvent ces PC pour le multiplier. Ceci est souvent détecté, mais quand cela arrive, une grande quantité a déjà pu être envoyée. Il a été découvert qu’à travers un seul fournisseur d’accès à Internet il y a eu quelque 800 millions de pourriels envoyés. Ce fournisseur a changé la configuration de leur système et les utilisateurs ne peuvent plus envoyer des messages directement aux destinataires, seulement à travers d’un serveur contrôlé par le fournisseur et pas plus de 100 par jour. Ceci est plus que suffisant pour un uti- lisateur normal mais constitue un obstacle pour un «spammer». Avec ce type de mesures, je pense que nous sommes sur la bonne voie. Le comportement de l’Internaute est même plus important à la maison parce que là, il est l’administrateur de son outil de navigation.

Que change t-il véritablement au niveau de la sécurité que je sois connecté à Internet via ADSL ou le câble TV par rapport à la connexion de type «dial-up» ? C’est que dans le premier cas, il y aura suffi- samment de temps à quelqu’un pour essayer de rentrer dans le PC et à travers lui, envoyer une grande quantité de pourriels. Une connexion temporaire minimise tout simplement les chances pour que cela se produise. La ten- dance actuelle étant d’avoir des connexions de type permanent, il faut prendre davantage de précautions et des mesures de protection.

Et pour ce qui est de l’accès au réseau de l’Organisation?

Lors d’échange de courrier, de données confi- dentielles ou d’accès à des bases de données, il n’est pas exclu que quelqu’un d’autre essaye à travers votre PC de s’introduire sans que vous ne le sachiez. Il est du ressort de l’Organisation de s’assurer d’un niveau de sécurité approprié.

Dans quel but sont installés des chevaux de Troie (trojans) dans les PC? Les virus récents peuvent installer un agent qui permet le contrôle à distance d’un PC par des personnes mal intentionnées et qui pourraient l’utiliser par exemple pour envoyer des pourriels. Ce type de virus en soi, ne détruit rien au niveau du PC, mais autorise l’accès au PC à travers un mot de passe.

Ces chevaux de Troie ne sont-ils pas détruits par l’anti-virus du PC? Oui, s’ils sont détectés par son anti-virus. Quelqu’un crée un nouveau virus, il se propage et est détecté. Sa signature (pour les détecter) est créée par les compagnies des anti-virus et distribuée aux PC. Entre-temps, si le virus affecte d’autres ordinateurs avant l’installation de la signature correspondante, le virus gagne.

Cela veut dire que nous devrions avoir les mises à jour automatiques activées en permanence au niveau du PC? Oui, c’est la meilleure recommandation à faire pour tout utilisateur d’un ordinateur domestique, puisque au bureau cela se fait automatiquement.

Est-ce que les vers et les virus se propagent de la même manière? La différence entre les vers et les virus, c’est que les virus ont besoin que l’utilisateur entreprenne une action pour les déclencher, comme cliquer sur un fichier attaché à un message ou le voir en HTML (avec des images incluses). Un ver n’a besoin que de trouver un ordinateur allumé, qui soit connecté à Inter- net et ne soit pas protégé. Si cela est le cas de votre PC personnel, vous n’avez qu’à attendre qu’un ver le visite.

Y a-t-il d’autres cas de figure possibles?

Beaucoup de nouvelles méthodes d’intrusions sont découvertes et publiées chaque mois. Il faut par conséquent mettre à jour les systèmes et les logiciels – à la même façon que les «signatures» anti-virus. Par exemple, certaines versions moins récentes des logiciels de partage d’imprimantes sont vulnérables à certains vers et si vous ne faites pas de mises à jour et que vous n’avez pas d’ordinateur pare-feu (firewall) des vers pourront s’installer sur votre PC.

Comment se présentent-t-ils?

Ce sont des programmes autonomes conçus quelque part, sans même être des fichiers. Certains vont directement vers la mémoire et il n’y a même pas de traces sur le disque du PC.

Certaines compagnies et institutions ont commencé à offrir des logiciels anti-virus pour leur personnel à la maison. Que pensez- vous de cette initiative? C’est un très bon exemple qui met bien en évidence un souci qui mène à ce type de mesures, et qui pourrait être aussi suivi par d’autres Organisations.

Le vol d’identité est une autre menace récente qui consiste dans le vol d’informations personnelles: des codes d’accès et des mots de passe (phishing)

L’escroquerie par pourriel (phishing) est la toute dernière technique de piratage informatique. Vous pouvez recevoir un courrier comme s’il venait de votre banque, vous cliquez sur un lien qui figure à l’intérieur et vous entrez dans une page web qui ressemble à celle de votre banque mais qui est en réalité celle d’une orga- nisation criminelle. Vous entrez votre identification d’utilisateur et votre mot de passe et vous recevez un message du genre: «Nous sommes en maintenance. Revenez plus tard.» C’est le présage d’une visite pour un nettoyage à sec de votre compte bancaire. La menace est tellement prise au sérieux que plusieurs institu- tions se sont associées pour créer la coalition anti-escroquerie par pourriel, dans le but d’éduquer les utilisateurs contre ces pratiques.

Comment des compagnies peuvent-elles connaître nos habitudes de consommation? Beaucoup de pages que vous visitez gardent des «cookies» dans votre PC. Ils peuvent être utilisés par des maisons commerciales pour connaître vos préférences en matière de produits que vous consommez, pour vous proposer ce qui peut vous intéresser. Dans certains sites vous pouvez consulter l’information sur les normes d’utilisation de ces données. Per- sonne ne sait cependant si l’usage en reste là.

Comment éviter la fraude en ligne?

Quelques logiciels de navigation permettent de garder vos données personnelles en mémoire pour éviter que vous les rentriez tout le temps. Cela est bien pratique, mais c’est justement une des pratiques à éviter pour vous assurer que le numéro de votre carte de crédit ne passe pas dans d’autres mains.

Dans ce cas, pourquoi ne pas utiliser plus les systèmes biométriques? Il s’agit surtout d’une question de prix. Pas encore très utilisé comme remplacement à l’identification à donner pour accéder à des systèmes informatiques mais plutôt comme une mesure de sécurité supplémentaire.

A quoi servent les programmes anti- mouchards (Spyware/Adware)? Ils détectent les mouchards (cookies) ou quelques logiciels qui ont été installés à votre insu dans votre PC. Si plus de 200 mouchards sont détectés… il vaut mieux y regarder de plus près. Pour le savoir, téléchargez l’outil dans le site suivant: http://www.earthlink.net/spyaudit/

Que pensez-vous d’un gratuiciel (freeware) du type AdAware pour contrer les mouchards? Je recommande son installation à tous ceux qui veulent savoir ce qui se passe dans leur PC, sans que pourtant cela suppose un effacement aveugle de tout ce que le programme indique comme une menace. http://www.lavasoft.de/

Devons-nous installer des systèmes pare-feu personnels pour protéger les PC à la maison? Absolument! Applicable en particulier aux utilisateurs de Windows 2000 et XP qui ont des PC connectés en permanence et qui veulent partager une imprimante avec l’autre PC à la maison et pas avec le monde entier. Vous pouvez aller vers l’Internet mais ne laissez pas l’Internet aller vers vous.

Ceci n’est-il pas déjà réglé avec la version SP2 de Windows XP?

Oui. Avec Windows XP SP2 le pare-feu est automatiquement activé. Windows XP dispose d’un pare-feu mais il n’est pas activé d’office et le faire n’est pas une tâche facile pour tout utilisateur.

En bref, on minimise les risques avec ces pare-feu? Le pare-feu installé par Windows XP SP2 empêche les entrées depuis l’extérieur. Si à votre insu un programme a été installé dans votre ordinateur et qu’il essaye de transmettre l’information de votre carte de crédit à l’extérieur, cela n’arrivera pas si vous avez un pare-feu qui bloque les communications sor- tantes non autorisées et qui vous informe que le programme «xxx. exe» essaie de se connecter à l’Internet depuis votre PC.

Et cela n’est pas fait par le pare-feu de Windows? Non. Ce type de pare-feu existe sous forme de gratuiciel ou de logiciel commercial. Un des gratuiciels les plus recommandés est «Zone Alarm». Cela demande cependant un certain temps pour bien le configurer et com- prendre.

Y-at-il d’autres moyens de diffusion de tout ce malware ? A travers le partage de fichiers point-à-point (P2P) sur Internet, ce qui comprend la musi- que et les vidéos. Le principe du partage de fichiers est au point. On installe un programme spécial sur le PC, on met des musiques d’un CD dans un répertoire du PC et quelqu’un d’autre procède de la même manière. En exécutant le programme en question, nous regardons ce qui nous intéresse dans le PC de chacun et le téléchargeons dans le PC. Même si ces logiciels ne respectent pas les droits d’auteur et sont donc en général considérés illégaux, on les trouve souvent – et pas seulement sur les ordinateurs des jeunes. Au niveau de la sécurité, il faut savoir que beaucoup de ces fichiers ne sont pas authentiques et peuvent contenir des virus ou autre information. L’in- dustrie du disque met certains fichiers sur le réseau qui commencent avec une vraie chanson, mais se terminent différemment. Un exemple récent: une compagnie qui enregistre les musiques d’une chanteuse mondia- lement connue l’a mise à disposition sur le net, mais quelques 5 secondes après le début de la chanson, la chanteuse crie elle-même «que pensez-vous que vous êtes en train de faire?»

Ces malware peuvent-ils se propager indifféremment à travers des applications douteuses ou des versions de démonstration commerciales? Il faut toujours être attentif aux sites inconnus et à certains programmes en version de démonstration.

Quel lien entre le courrier électronique, les virus et les liens HTML? Tout le monde sait qu’il y a des risques avec les virus mais cela n’empêche qu’on clique sur des liens qui apparaissent dans certains sites sans que l’on sache où on va atterrir. Si la sécurité absolue nous obsède, nous devrions nous abstenir d’utiliser le courrier électronique qui utilise HTML. Quand on ouvre un message en HTML, des liens imbriqués dans celle-ci, peuvent téléchar- ger automatiquement des pages web, des images ou des ensembles de commandes («scripts»).

HTML accepte la couleur, les fonds d’écran, l’animation, etc. Beaucoup d’actions «invisibles» peuvent avoir lieu et certaines images imbriquées peuvent contenir des liens à d’autres sites… Oui, et un de ces liens imbriqués pourrait être utilisé pour télécharger un «web bug» (image invisible) qui est utilisé pour suivre vos messages.

Est-ce que des ensembles de commandes (scripts) peuvent être téléchargés sans qu’on le demande? Cela dépend des paramètres de sécurité de votre navigateur internet. Internet Explorer permet par défaut que plusieurs ensembles de commandes soient exécutés sans qu’on s’en rende même pas compte.

Est-il exact que le comportement d’un navigateur ou de l’application client e. mail peuvent être modifiés sans qu’on s’en aperçoive? L’été dernier, un cheval de Troie s’est propagé, et a modifié «Internet Explorer» pour intercep- ter toutes les communications avec une cin- quantaine de banques en ligne et obtenir les noms des clients et leurs mots de passe. Malgré une connexion cryptée, c’est bien arrivé et les clients ne s’en sont pas aperçus.

Que doit faire l’Internaute pour mieux naviguer? Utiliser son bon sens. Ne pas croire que des choses bizarres n’arrivent qu’aux autres. C’est une technologie formidable mais qui demande qu’on y pense deux fois avant d’appuyer sur le bouton, de ne pas s’exposer inutilement ou aller sur des sites douteux. De plus, on n’est pas obligé de donner sa bonne adresse email si un site le demande. Il faut éviter de visualiser, d’ouvrir des messages bizarres ou inconnus et les tentations des messages du type «I love you», et ne pas les ouvrir.

Que recommandez-vous d’autre à tous les Internautes à la maison? Définissez chaque utilisateur dans votre PC sans privilèges d’administrateur pour les travaux de type courant, c’est à dire; pour utiliser le courrier, travailler sur des documents et les imprimer, voir des vidéos, éditer des photos, etc. mais pas pour changer des paramètres du pare-feu, installer de nouveaux programmes ou une nouvelle imprimante. Pour cela, utilisez l’accès en tant qu’adminis- trateur juste le temps d’effectuer les change- ments, ce qui limite les dommages en cas d’intrusion et vous réduisez les chances d’avoir quelqu’un qui change votre navigateur pour par exemple, intercepter vos coordonnées bancaires. C’est une bonne procédure à suivre qui, avec toutes les autres, vous permettra de naviguer avec plus d’efficacité et de confiance.