{{tag>sécurité informatique cours mooc anssi}}
====== Un monde hyper-connecté =====
Module 1, unité 1 du cours [[cours:informatique:securite:secnumacademie:000_start|SecNum Académie]] proposé par l'ANSSI.
===== Introduction =====
ANSSI est l'autorité nationale en matière de sécurité et de défense des systèmes d'information. Une des grandes missions de l'ANSSI est de sensibiliser le grand public autour des enjeux majeurs de la cybersécurité.
Commençons par un panorama des menaces pour prendre conscience des risques liés à l'utilisation des outils informatiques.
La démocratisation d'Internet a vu un bouleversement de la composition des usages et des systèmes d'information.
Un système d'information (SI) est un mot très générique désignant tout ce qui sert à faire transiter de l'information. Pour comprendre ce qu'est un SI et son évolution technologique, faisons un petit bon dans le passé.
Dans les années 80, c'est le développement de l'informatique grand public générant des gains de productivité sans commune mesure. A cette époques les unités centrales d'IBM deviennent incontournable pour les entreprises. Pourtant la saisie, le traitement des données se faisait sur un même ordinateur. La distribution des données se faisait manuellement d'un système à un autre à l'aide de bandes ou de disques.
Pour prospérer rapidement, les entreprises avaient besoin d'un mode de connectivité différent. Au milieu des années 90, un SI comprenait alors un ensemble de terminaux plus ou moins raccordés, des minitels et des fax.
Internet existait déjà mais il était rarement accessible sur les postes de collaborateurs dans les entreprises. Il était alors plutôt réservé a certaines entreprises de la tech ou de la finances et des Universités.
A mesure que le grand public s'équipait de PC, les réseaux de données se développaient et les ordinateurs passaient du boîtier autonome à celui de système connecté.
Dans les années 90, les sociétés de télécommunications mirent en place de nouvelles lignes réseaux faisant plusieurs fois le tour du monde. Les réseaux devinrent alors des autoroutes mondiales pour le transport des informations.
Avec plus de personnes, d'entreprises et d'informations connectées les unes aux autres grâce aux réseaux, la voie est désormais toute tracée pour la plus grande des transformations : l'Internet (réseau logique mondial agrégeant les réseaux opérateurs). On pouvait alors accéder à des données se trouvant à l'extérieur de son PC, ou sur un réseau distant, ce qui a permis de rapprocher les entreprises les unes des autres.
En 30 ans, les choses ont beaucoup évolué et se sont légèrement compliqué. Plus récemment, ce sont les objets du quotidien qui sont à leur tour devenu des objets connectés : voitures, avions, montres, télévisions, frigos, fours, cafetières, caméras de vidéosurveillance ou même le grille-pain.
Notre mode de vie ultra connecté ne peut se passer des objets connectés au sens large... Et comme une connexion à un réseau rend possible une intrusion, tous ces éléments sont susceptibles de subir une attaque qui, si elle réussit, permettra une intrusion sur le SI où ils sont reliés.
Le fait de multiplier l'interconnexion de nos matériels augmente d'autant la surface d'attaque pour ceux qui voudraient en profiter, nous rendant ainsi beaucoup plus vulnérable.
Pour autant il est possible de se protéger en suivant quelques règles qui seront présentées tout au long de se parcours de formation.
===== Diversité des équipements et des technologies =====
Les SI sont aujourd’hui présents partout, à la maison et au travail, sous des formes différentes.
On pense naturellement aux ordinateurs et aux équipements réseaux (tels que le modem ADSL téléphonique, la fibre…), mais il faut également compter les ordiphones (smartphones en anglais), les imprimantes et photocopieurs, les télévisions et montres connectées, pour ne citer que des exemples classiques.
Cette hyperconnectivité se manifeste au travers de réseaux, au premier rang desquels on trouve Internet, l’agrégation mondiale des réseaux d’opérateurs.
On peut également citer les réseaux téléphoniques mobiles, aujourd’hui complètement interconnectés à Internet.
Du point de vue local, d’autres technologies permettent de transférer des données sur de faibles distances telles que les technologies **Wi-Fi** et **Bluetooth**, qui sont beaucoup utilisées dans la domotique ou sur le marché des vêtements intelligents.
Un bracelet connecté, par exemple, n'est jamais très loin du téléphone auquel il transfère ses données.
Cependant, ces technologies ne sont pas exemptes de risques puisque là encore ces réseaux rejoignent la toile mondiale, le plus souvent au travers du modem ADSL / boîtier fibre qui joue le rôle de passerelle.
Aujourd’hui, la diversité des objets connectés dans notre quotidien ne cesse de croître : des réfrigérateurs aux ampoules, **tout est accessible via Internet depuis un ordinateur ou un ordiphone**.
Quel que soit le niveau de sécurité de l’équipement, il est toujours possible de le compromettre à partir du moment où l’on peut accéder à un certain niveau d’information.
Pour l' exemple un article du Monde, deux chercheurs se sont concentrés sur les éléments multimédias des voitures et ont fait la démonstration auprès d’un journaliste spécialisé qu'ils étaient capables de **prendre le contrôle du véhicule** après l’avoir **piraté avec un CD** permettant de faire les mises à jour de la voiture.
Ils ont pris le contrôle du véhicule à distance avec des téléphones mobiles alors que les journalistes l’utilisaient et ont ainsi pu prendre le contrôle des fonctions vitales de la voiture : **modifier la trajectoire, la vitesse, le freinage… à partir d’une simple adresse IP**.
Charlie Miller et Chris Valasek ont passé trois ans à mettre au point leur procédure de piratage. Mais **il leur a suffi d’un ordinateur portable connecté à un téléphone mobile Sprint** pour établir la connexion (le système Uconnect de Jeep fonctionne sur le réseau Sprint).
C’est une **faille dans le système** qui leur a permis de prendre le contrôle du véhicule.
Suite à cette démonstration, 1,4 millions de véhicules ont été rappelés.
Aucun système aussi perfectionné soit-il n’est totalement protégé face aux cyberattaques !
==== Le Cloud ====
Aujourd’hui, de nombreux sites internet vous proposent de **communiquer ou d’héberger vos données** au travers d’**espaces en ligne appelés « cloud »**.
Le « cloud » c’est-à-dire le « nuage », consiste en la **mutualisation** des **ressources de calcul et de stockage** distribuées dans des **datacenters** répartis dans le monde entier.
Il n’est donc pas nécessaire de stocker les données sur un poste de travail ou d’être connecté à un réseau local pour consulter ses documents de travail ou ses photos de vacances.
Notons que de **nombreux services du quotidien fonctionnent sur le cloud** comme certaines messageries électroniques par exemple.
Dans ce cas, les **emails sont stockés sur un serveur** et copiés localement sur votre ordinateur ou votre smartphone pour vous permettre de les consulter.
En substance, le cloud vous permet de **partager facilement des données** entre plusieurs ordinateurs, un smartphone, une tablette, etc
==== Les risques du Cloud ====
Il est important de noter que même su en théorie on peut mettre toutes ses données dans le cloud (agenda, carnets d'adresses, fichiers professionnels,photos et vidéos etc) **cet usage n'est pas sans risque** car même si les données sont sauvegardées sans plusieurs datacenter plutôt que sur un ordinateur, il existe tout de même un **risque de piratage** et de **non respect de la confidentialité** des données.
Pour illustrer le propos, une société fabriquant des jouets connectés et des tablettes pour enfants à été victime de fuite d'informations de centaines de milliers de comptes des parents et de leurs enfants inscrits sur le site, et l'ensemble des communications entre les parents et les enfants à également été rendu accessible.
Notons également que les **hébergeurs** de ces données **se conforment aux lois des pays dans lesquels ils sont implantés** comme vous pourrez le découvrir dans la suite de ce cours, soyez vigilant dans le choix de vos prestataires de cloud!
==== Les objets connectés ====
Ces technologies ne sont pas exemptes de risques puisque ces réseaux rejoignent la toile mondiale, le plus souvent au travers du modem ADSL qui joue le rôle de passerelle.
===== Le cyberespace, nouvel espace de vie =====
L’ensemble des réseaux qui relient ces objets crée le cyberespace.
Par conséquent, les attaques informatiques utilisent ce territoire pour atteindre les cibles.
Or, celui-ci possède des propriétés particulières qui font qu’il est nécessaire de repenser le modèle habituel.
En effet, le cyberespace est un espace sans frontières concrètes.
Mais ces propos sont à nuancer, car les réseaux reposent sur des infrastructures techniques physiques qui se trouvent sur un territoire bien déterminé : il y a donc une dimension de territorialité. Par exemple, dans certains pays, il est interdit de posséder ou de faire transiter une donnée qui serait chiffrée sans permission.
==== Une volonté de contrôle ====
De nombreux états souhaitent contrôler les frontières du numérique pour des raisons de souveraineté nationale, de sécurité ou pour maîtriser la circulation iconographique, culturelle ou religieuse.
L’objectif est de bannir les sites ne respectant pas les idéaux du pays et de créer un Internet national, c’est-à-dire un réseau fermé respectant les normes religieuses ou idéologiques.
==== De nouvelles règles ====
Le cyberespace possède une double dimension:
* Il s’agit à la fois d’un espace social de partage de biens immatériels et de connaissances, mais aussi d’un support pour les nombreux services critiques comme la gestion à distance des usines.
* Cet espace possède des caractéristiques propres comme une quasi-instantanéité, des espaces contractés, des mouvements et extensions perpétuels.
* Chaque individu a la possibilité de créer de nombreux espaces dans ce monde immatériel.
* Ces caractéristiques donnent un avantage certain aux attaquants, car l’impact peut être quasi-immédiat. L’attaquant bénéficie d’un effet de surprise très avantageux.
**Ainsi la défense doit faire preuve d’une forte réactivité !**
==== Des menaces invisibles ====
**La multiplicité des points d’accès fait qu’il est difficile d’attribuer une attaque à une personne, une entreprise ou un gouvernement.**
En effet, les attaquants ont tendance à couvrir les traces d’une attaque en modifiant les caractéristiques des machines utilisées, en passant un grand nombre de relais pour atteindre la cible, voire en effaçant les journaux d’enregistrement des cibles.
==== Asymétrie des affrontements ====
Enfin, le cyberespace permet l’**asymétrie des affrontements**.
Auparavant, un état déclenchait une guerre avec un état, une organisation affrontait une autre organisation, etc.
Par l’intermédiaire du cyberespace, des organisations peuvent attaquer des états et inversement.
Cette asymétrie permet à un petit groupe d’individus de s’en prendre à un état et de toucher un point névralgique comme les usines de traitement de l’eau, par exemple.
===== Un espace de non-droit =====
Contrairement à ce que l’on pourrait penser, ce **cyberespace** n'est pas totalement libre et désordonné.
Cependant, la nature décentralisée d’Internet fait de lui un espace « contrôlé » par plusieurs organismes, états ou entreprises.
**À tous les échelons, de nombreux organismes exercent ou peuvent exercer un contrôle ou une censure sur les informations qui y circulent.**
Notons tout d’abord que pour fonctionner, **le réseau est tributaire de câbles ou de satellites** : en l'absence de « tuyaux » suffisamment grands, le trafic peut être très fortement ralenti. Aujourd’hui, de nombreux pays sont dépendants, pour leur accès au réseau, d'un ou deux câbles sous-marins ou souterrains.
**En Afrique par exemple, des pays entiers voient leur accès tributaire des décisions des pays voisins ou des choix des entreprises privées.**
Notons également que certains pays disposent techniquement de la capacité de **bloquer** ou de **censurer** tout ou partie d'Internet.
Durant les manifestations qui ont précédé la chute de Hosni Moubarak, par exemple, l'Égypte a pu couper **quasi-instantanément** l'accès au réseau en faisant pression sur les fournisseurs d'accès à Internet (FAI).
Sans aller jusqu'à ces extrémités, de nombreux pays exercent aussi un **contrôle très fort sur le réseau**.
Des contenus contraires aux lois nationales sont ainsi bloqués dans la plupart des pays autoritaires, mais aussi dans des démocraties : en France, la loi sur les jeux d'argent en ligne permet d'ordonner le filtrage des sites qui n'ont pas reçu un agrément.
===== Législation et droit du monde cyber en France =====
La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de « **loi informatique et libertés** », est une loi française qui réglemente la liberté de traitement des données personnelles, c’est-à-dire la liberté de ficher les personnes.
Les données personnelles correspondent à toute information relative à une personne physique.
Ces moyens d’identification sont nombreux : nom, prénom, adresse (physique et électronique), numéro de téléphone, lieu et date de naissance, numéro de sécurité sociale, numéro de carte de paiement, plaque d’immatriculation d’un véhicule, photo, empreinte digitale, données médicales et génétiques, etc.
LA CNIL a 4 missions principales :
- Informer et protéger les particuliers et les professionnels
- Accompagner et conseiller
- Contrôler et sanctionner (financièrement et/ou juridiquement)
- Anticiper
==== Loi Godfrain ====
**La loi Godfrain du 5 janvier 1988**, relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage.
Nommée ainsi d'après le député Jacques Godfrain, c'est l'une des lois pionnières concernant le droit des **NTIC**, après, la loi Informatique et libertés de 1978, qui introduit la notion de **système de traitement automatisé de données (STAD)**.
Elle concerne notamment les obligations du responsable du traitement quant à la garantie de la sécurité des données.
==== LCEN ====
La **loi pour la confiance dans l'économie numérique**, n°2004-575 du 21 juin 2004, abrégée sous le sigle **LCEN**, est une loi française sur le droit de l'Internet, transposant la directive européenne 2000 / 31 / CE du 8 juin 2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques.
**Elle vise à promouvoir le commerce électronique au sein de l'Union européenne**, suivant en cela la logique des traités dont le crédo est « un espace sans frontière intérieure dans lequel la libre circulation des marchandises et des services ainsi que la liberté d'établissement sont assurées » tel que préconisé par l'article 14-2 du Traité instituant la Communauté européenne.
==== Secret des correspondances ====
**Le secret des correspondances** est un droit au maintien du caractère privé et secret.
Il s'applique aux correspondances dont l'expéditeur pouvait attendre qu'elles bénéficient d'un minimum de confidentialité.
En général, il s'applique aux **courriers postaux** et aux **courriers électroniques**.
Une correspondance est en général définie comme toute relation par écrit entre deux personnes identifiables, qu’il s’agisse de lettres, de messages ou de plis ouverts ou fermés.
**Au sein de l'Union européenne, le secret des correspondances est garanti par la directive européenne 97 / 66 du 15 décembre 1997**.
Cette dernière fait obligation aux états membres de garantir, par leur législation, la confidentialité des communications passées par la voie des télécommunications et d’interdire « à toute autre personne que les utilisateurs, sans le consentement des utilisateurs concernés, d’écouter, d’intercepter, de stocker les communications ou de les soumettre à quelque autre moyen d’interception ou de surveillance, sauf lorsque ces activités sont légalement autorisées ».
Il y a violation du secret de la correspondance lorsqu'une tierce personne prend connaissance, sans le consentement préalable de l'émetteur, d'un courrier à caractère privé.
En France, la violation du secret des correspondances, qu'elles circulent par voie postale ou par télécommunication, est actuellement punie d'**un an d'emprisonnement et de 45 000 euros d'amende**.
Cette peine peut s’alourdir à 3 ans d’emprisonnement pour les personnes facilitant cette violation dans l’exercice de leurs fonctions (hors cas prévus par la loi).
Les lois et directives françaises ont pour objectifs:
* De protéger les données personnelles des utilisateurs via la CNIL.
* D’assurer la confiance des utilisateurs dans les différents services **RGS**((**R**éférentiel **G**énéral de **S**écurité)). Le RGS s'adresse à l'ensemble des prestataires de service qui assistent les autorités administratives dans la sécurisation des échanges électroniques ainsi qu'aux industriels dont l'activité est de proposer des produits de sécurité. A ce titre, il intègre des principes de cryptologie dans la protection des échanges électroniques ainsi que la description des étapes de mise en conformité.
* De protéger les utilisateurs de la fraude informatique (Loi Godfrain, LCEN).
La directive **NIS**((**N**etwork and **I**nformation **S**ecurity)) s'inscrit dans la lignée de la « stratégie sur la cybersécurité », dans l'Union européenne, publiée en 2013 par la Commission.
Cette stratégie a pour but de promouvoir un cyberespace « **libre et sécurisé** » dans l'Union européenne afin de prévenir et de réagir aux cyberattaques et d'assurer ainsi la croissance de l'économie numérique.
Le but de cette directive est d'assurer un **niveau commun élevé de cybersécurité dans l'Union européenne** :
* En améliorant les **capacités de cybersécurité** des états membres
* En améliorant la **coopération** entre les états et entre les secteurs publics et privés
* En exigeant que les entreprises de secteurs critiques - par exemple l'énergie, le transport, les finances et la santé- ainsi que des services internet clés adoptent des **pratiques de gestion des risques** et communiquent les accidents majeurs aux autorités nationales.
La directive NIS est structurée autour de quatre axes:
**Le renforcement des capacités nationales de cybersécurité.**
Les états membres doivent notamment se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cybersécurité. Dans le cas de la France, l’ANSSI, le CERT-FR et la Stratégie nationale pour la sécurité du numérique.
**L’établissement d’un cadre de coopération volontaire entre états membres de l’UE**
via la création d’un « groupe de coopération » des états membres sur les aspects politiques de la cybersécurité et d’un « réseau européen des CSIRT » des états membres.
Ce dernier visera notamment à faciliter le partage d’informations techniques sur les risques et les vulnérabilités.
**Le renforcement par chaque état de la cybersécurité d’« opérateurs de services essentiels »**
au fonctionnement de l’économie et de la société via la définition au niveau national de règles de cybersécurité auxquelles ces derniers devront se conformer.
**L’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels**
L’instauration de règles européennes communes en matière de cybersécurité :
* des prestataires de services numériques dans les domaines de l’informatique en nuage,
* des moteurs de recherches et places de marché en ligne.
**Cette directive est ensuite adaptée dans chaque pays membre qui y ajoute ses propres règles.**
==== RGPD - Règlement Général sur la Protection des Données ====
Le règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne le 4 mai 2016 et est entré en application en 2018.
La CNIL est très impliquée dans la mise en place de cette règlementation. À ce titre, elle a proposé une consultation en ligne des acteurs français afin de co-construire un cadre de régulation efficace et opérationnel.
**L’adoption de ce texte, fruit des travaux du G29 (groupe des CNIL européennes), doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique**.
**La réforme de la protection des données poursuit 3 objectifs :**
* Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures.
* Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants).
* Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux, et renforcer les sanctions.
**Au niveau mondial, les structures les plus fondamentales d'Internet sont sous le contrôle de l'Icann, « l'Internet corporation for assigned names and numbers ».**
Cet organisme a un statut particulier, puisqu'il s'agit d'une société à but non lucratif, soumise au droit californien.
Composé de nombreuses commissions, qui gèrent des problématiques structurelles, l'Icann encadre notamment les noms de domaine ou le fonctionnement des adresses IP (Internet Protocol, les « adresses » de machines et de sites sur le réseau).
Le pouvoir de l'Icann est fondamental, puisque l'organisation peut suspendre des noms de domaines entiers, comme elle l'avait fait pour le .iq irakien ou pour le domaine afghan.
Le **USA PATRIOT Act** (acronyme traduisible en français par : « Loi pour unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ») est une loi antiterroriste qui a été votée par le Congrès des États-Unis et signée par George W. Bush le 26 octobre 2001.
L'un des axes centraux de ce texte est d'effacer la distinction juridique entre les enquêtes effectuées par les services de renseignement extérieur et les agences fédérales responsables des enquêtes criminelles (FBI) dès lors qu'elles impliquent des terroristes étrangers.
Dans la pratique, cet « **Act of Congress** » autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, **sans autorisation préalable et sans en informer les utilisateurs**.
Cette loi, conséquence directe des attentats du 11 septembre 2001, **renforce énormément les pouvoirs des différentes agences gouvernementales des États-Unis** (FBI, CIA, NSA) et de l'armée américaine.
Elle fut considérée comme une loi d'exception, dont certaines dispositions n'étaient valables que pour quatre années.
Sont modifiées, entre autres, les lois sur l'immigration, les lois d'opérations bancaires, la loi de surveillance d'intelligence étrangère **FISA**((**F**oreign **I**ntelligence **S**urveillance **A**ct)).
**En France, ce contrôle est possible uniquement sur instruction judiciaire.**
Comme vous avez pu le constater au travers de ces différentes réglementations et directives, le **cyberespace n’est pas sans limites**.
Il est soumis à de nombreuses règles qui permettent de **contrôler et réguler l’utilisation de vos données**.
Gardez en tête que **les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la protection de vos données**, en revanche les risques sont accrus lorsqu’un fournisseur est situé à l’étranger.
N’oubliez pas qu’un service gratuit en ligne ne vous apporte **aucune garantie de service**, ce service pouvant s’arrêter à tout moment…
Il est donc important de bien réfléchir aux coûts cachés derrière ces services gratuits hébergés à l’étranger!
===== La protection des données dans le monde =====
La CNIL propose une carte permettant de visualiser les différents niveaux de protection des données par pays disponible à l'URL https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Elle peut aider a répondre aux questions:
* Dans quel pays transférer des données personnelles et à quelles conditions?
* Quel pays dispose d'une législation spécifique ou d'une autorité de protection des données personnelles?