HTML version by Oleksandr Svirchevskyy

TRAQUE SUR L'INFO

SERGIO DA SILVA, UNOG/ICTS

Stéphane Koch, conseiller en sécurité de l'information, nous fait le point sur la question:
La mise en réseau des informations a non seulement permis une transmission universelle de n'importe quel document en un clic de souris, mais a aussi augmenté la vulnérabilité de cette information numérisée. Entreprises et gouvernements ont transformé leurs données essentielles et décisionnelles en données numériques, rendant plus fragile et difficile la maîtrise de leur patrimoine et périmètre informationnel. Dans une société interconnectée, où l'information peut faire tomber un gouvernement, les pirates informatiques ont remplacé les soldats de fortune. Mais ces nouveaux mercenaires qu'ils soient à la solde d'organisations criminelles, de groupes terroristes, même de certains gouvernements et d'entreprises peu scrupu­leuses ne se recrutent plus dans les rangs des armées: ils sont disponibles en masse sur les bancs des universités ou, autodidactes, accessibles via le Net.

Que faut-il faire selon vous pour contrer cette criminalité cybernétique qui induit une méfiance inattendue de la part des utilisateurs: gouverne­ments, institutions, ONG ou au niveau individuel?
Chaque personne est susceptible de détenir, transporter ou travailler avec des informa­tions sensibles dont la perte ou le vol, en plus du préjudice économique, peut affecter la ré­putation de l'entité concernée. Sécuriser son environnement de travail et son ordinateur personnel n'est plus suffisant. Il devient donc indispensable de protéger l'information en tant que telle. Par exemple, se demander si toute l'information stockée dans son laptop est indispensable à la mission que l'on va entreprendre.

De quelle manière voyez-vous la pro­tection des données: le cryptage?
L'axiome de base du cryptage des données est que le fait de protéger une information est une information en soi. Cela peut avoir une importance par exemple pour les ONG qui travaillent sur la protection des droits hu­mains et qui se rendent dans certains pays. Il faut en effet intégrer le fait que le cryptage des données est identifiable en tant que tel sur le réseau, et que même si l'information transportée reste confidentielle, cela permet dans certain cas, d'identifier les réseaux sociaux (émetteur et récepteur) qui sont liés à ce type de transmission: ces personnes pourraient ensuite être soumises à des me­sures de contraintes pour leur faire avouer le contenu des informations protégées. Dans le moindre des cas, les réseaux sociaux iden­tifiés pourraient être mis sous surveillance, par le biais de moyens d'écoute des lieux physiques où transite l'information laissant ainsi croire aux acteurs des dits réseaux à une impression de fausse sécurité. Il faut donc ad­mettre que la protection de l'information est un domaine complexe et que la réponse à apporter doit être dûment réfléchie...

Quels sont les éléments qui permettent d'assurer la protection des données d'une manière efficace?
Courrier électronique, laptop et logiciels. En ce qui concerne les e-mail, la protection est assurée par l'utilisation d'un certificat et d'une signature électroniques. La signature électro­nique garantit l'authenticité, la confidentialité et l'intégrité des données, et la non-répudia­tion du message. L'authentification est la vé­rification de l'identité de la personne qui a signé les données, l'intégrité des données est protégée par la signature électronique, qui garantit que le message n'a pas été altéré, et la non-répudiation signifie que l'information envoyée ou reçue ne peut être rejetée. Le certificat assure quant à lui, la confidentialité de l'information grâce à un système de «clé-publique - clé-privée» validé par un tiers de confiance, une autorité de certification.

Pouvez — vous nous expliquer le fonctionnement de ce système de clé-publique - clé-privée?
Ce système a pour but d'éviter de faire tran­siter le mot de passe permettant de déchiffrer l'information sur le réseau. Des systèmes de cryptage ou de chiffrement comme PGP (Pretty Good Privacy) ou Ciphire Mail, per­mettent de chiffrer assez facilement son cour­rier email (Ciphire permettant de le faire de manière transparente). Le principe de fonc­tionnement du système repose sur le fait que l'émetteur du message possède la «clé-pu­blique» du destinataire de son email. Grâce à celle-ci (clé-publique), il va pouvoir chiffrer l'information contenue dans l'email et de cette manière sécuriser son envoi. Seul le récepteur pourra, à l'aide de sa clé-privée, déchiffrer l'in­formation reçue de cette manière. Chaque personne possède deux clés (publique et pri­vée) : la clé-publique ayant pour fonction de chiffrer l'information. L'aspect contraignant de cette technologie est que chaque partie (émetteur et récepteur) doit posséder le même système, il n'est pas possible d'en­voyer un email protégé de la sorte à une per­sonne ne possédant pas de clé-publique.

De quelle manière les données dans un portable peuvent-elles être protégées?
Sur un ordinateur, on peut choisir de proté­ger des fichiers ou la totalité du disque dur ainsi que le démarrage du système d'exploi­tation. Une version de PGP intègre un disque dur «virtuel» (celui-ci apparaissant sur l'ordi­nateur uniquement au moment où il a été rendu actif suite à une authentification) dans lequel on va pouvoir ranger ses documents confidentiels. Le principe étant de créer un fichier au sein duquel toute l'information sera cryptée ; les éléments à l'intérieur de ce fichier étant uniquement accessibles après que l'on se soit authentifié.

Est-ce que cela permet de protéger l'intégralité du disque dur, ainsi que le démarrage de son ordinateur?
Oui, à l'aide de produits tels que Compu-SecTM de CE-Infosys (commercial, mais gra­tuit), ou TrueCrypt (open source). Protéger l'intégralité de son disque dur signifie qu'il faut faire preuve de discipline dans la gestion de ses sauvegardes si on veut éviter de ne plus pouvoir accéder à son information. Protéger le démarrage de son ordinateur permet d'évi­ter l'utilisation de programmes spécifiques destinés à prendre le contrôle à son insu de la machine à son démarrage (de tels produits sont très accessibles sur Internet). Une autre technique de protection consiste à ne pas avoir d'informations stockées sur sa machine (OLMEK, produit commercial), mais d'avoir celles-ci hébergées sur un serveur distant qui sera crypté. La connexion au serveur se fait de manière sécurisée et uniquement l'informa­tion utile est «déprotégée» au moment où cela est utile, ensuite les informations peuvent à nouveau être protégées (ce système peut être utile lors du passage de frontières de certains pays contraignants ou totalitaires en matière de confidentialité de l'information).

Comment être sûr que l'information effacée ne peut pas être récupérée ultérieurement?
Il faut aussi prendre en compte en terme de protection de l'information et de la confi­dentialité des données, que l'information que l'on efface sur son ordinateur, et en par­ticulier sur son système d'exploitation, reste accessible sur le disque dur si on utilise les outils appropriés : logiciels pour la récupé­ration de données effacées volontairement ou accidentellement, tel que ERASER qui est gratuit. On peut palier à ce problème en uti­lisant un programme destiné à effacer l'in­formation résiduelle, dont le principe est de passer sur les zones libres du disque dur pour y écrire des «1» et des «0» afin d'effacer toutes traces de ces zones. On considère que l'espace est sécurisé après sept passages (norme US DoD).

Que faire pour éviter des traces sur les documents de MS/Office?
Un autre aspect de la protection de l'Information se situe au niveau des documents liés aux programmes de la suite Microsoft Office. Ces logiciels, tel que Word ou Excel, contien­nent des éléments d'information dans leurs structures internes, appelés «Meta données». Ces traces d'information, n'apparaissent pas de manière visible sur le document final, mais peuvent contenir des informations comme le nom de l'ordinateur sur lequel le document a été traité (et donc éventuellement le nom de la personne), des versions antérieures du document, ou encore d'autres informations à caractère sensible. Pour se protéger, il existe une option de confidentialité dans les options de configuration dans chacun des logiciels de Microsoft Office.

Jugez-vous utile d'appliquer des principes spécifiques pour les logiciels et fichiers à emmener en fonction du type de mission à accomplir?
En terme de mobilité, la protection de l'in­formation est aussi l'aboutissement d'une démarche logique. De manière métaphorique on pourrait utiliser le principe suivant: quand on part en vacances, on remplit sa va­lise en fonction de la météo qu'il fera et de la durée du séjour... rien de plus naturel... alors pourquoi pas ne pas transposer cela à l'environnement informatique... et ne prendre que l'information nécessaire à la mission dans sa valise numérique (Laptop), de manière à limiter les risques liés au vol ou à la perte d'information. Et si l'information présente est protégée, ceci réduira le risque à une perte matérielle. En aparté, je dirai que dans l'idéal, les laptop utilisés pour des missions doivent faire l'objet d'un traitement approprié dans le but de limiter les risques liés à l'installation de programmes malicieux de type Keylogger ou Spyware et autres chevaux de Troie.

Est-il vraiment nécessaire d'aller si loin en termes de méfiance?
Les différentes méthodes et outils présentés précédemment ne doivent pas faire oublier que l'humain est au centre de la probléma­tique. La multiplication des outils de mobilité et des supports de données a rendu l'ap­proche de l'environnement numérique où est stockée, traitée et par où transite l'infor­mation, d'autant plus complexe. Il ne faut donc en aucun cas sous-estimer la différence qu'il y a entre ce que chacun est en mesure de comprendre des technologies et leur réel potentiel d'action. Cette différence de per­ception est exploitée par les individus mal intentionnés.
Par exemple, il est toujours agréable de pou­voir accéder à un réseau sans fil non protégé (WiFi)... soit... mais comment être sûr que cet «espace de traitement de l'information» n'ai pas été mis là par quelqu'un dont la motiva­tion première est de capturer toutes les in­formations (sites visités, contenu des emails, données de comptes et mots de passe) qui transiteront par son réseau? Ou dans le cas d'un détenteur d'un point d'accès (Wifi) non sécurisé, comment être sûr que les tiers qui s'y connecteront ne visiteront pas des sites à ca­ractère pédophiles et criminels ou ne télé­chargeront pas des contenus illégaux, ou plus grave encore ne profiteront pas de cette op­portunité pour attaquer vos ordinateurs pour les utiliser ensuite à des fins frauduleuses...

On peut bien sûr avoir cette réflexion pour tous les points d'accès que l'on trouve dans les hôtels ou dans les cybercafés...

Quelles autres astuces peuvent être utilisées pour nous piéger et qui exigent notre vigilance?
Il est indispensable de penser en termes d'in­formation plutôt qu'en termes d'outils ou d'infrastructures. Une technique d'attaque basée sur la nature humaine consiste à lais­ser, par exemple dans le parking d'une en­treprise, une ou plusieurs clés USB piégées près d'une voiture afin que la première per­sonne qui la ramasse l'insère ensuite dans un ordinateur qui sera automatiquement conta­miné par le programme malicieux présent sur la clé... Comme on le constate, l'imagination des fraudeurs et autres mercenaires de l'in­formation n'a pas de limites... Votre téléphone mobile représente aussi un grand intérêt. Le protocole Bluetooth (qui permet de connecter des périphériques ex­ternes, tels qu'un kit mains-libres) représente une cible de choix: grâce à celui-ci on va pouvoir obtenir les informations contenues dans votre carnet d'adresses, les données stockées mémoire, ou encore passer des appels par le biais de votre mobile...