Flash informatique 2000 - no spécial été - Sécurité by EPFL

ECOLE POLY TECHNIQUE FEDERALE DE L AUSANNE

0 0 0 2 é t é l ia c é p s o r é m Nu Sécurité cune convention inIl n’existe actuellement au it efficacement la sphère ternationale qui protégera ilisateurs devraient donc privée sur Internet. Les ut ents avant de permettre être particulièrement prud rsonnelles. l’accès à leurs données pe codées par l’interméL’envoi de données non aussi sûr et confidentiel diaire d’Internet est tout stale ! (page 16) que l’envoi d’une carte po

alité Technologie et crimin énoncés par les douanes am

iciels contrefaits an 76 millions de dollars de log e 10) ricaines en 1998 (lire en pag

nformats chargés du transfert d’i bo ro es pl sim s de es, air moinDes agents prim de lui sans lui prêter la ur to au lle fo e ess vit e un tions, virevoltaient à dre attention. (page 3)

viConseil fédéral sur les ser du e nc na on rd l’O de ur important L’entrée en vigue nstitue un premier pas co e iqu on ctr éle on ati fic ces de certi isse (page 13) merce électronique en Su m co du n tio isa ur séc la vers

Chaque œil possède en sa rétine un arrangement un iq ue de s va iss ea ux sanguins. (voir page 25)

u temps où l’on se souciait peu de sécurité, où nos mots de passe oscillaient entre le nom des enfants et celui du chat, quand ils n’étaient pas griffonnés sur un post-it jaune collé sur l’écran, en ce temps là, les protocoles euxmêmes étaient basés sur la conﬁance. En 1990, Internet ne reliait entre eux que 300 000 ordinateurs, la plupart dans des universités, on évoluait dans un club presque privé. Jolie époque que celle-là, les hackers qui sévissaient avaient rarement l’intention de nuire et avaient même parfois l’élégance de prévenir quand ils avaient détecté une faille. Puis Internet a connu l’extraordinaire expansion que l’on connaît. En 2000, plus de 300 millions de personnes ont accès à

editorial Internet, y font leurs achats, téléchargent des œuvres (sons, photos, films) sous format numérique. Des sommes considérables sont en jeu, il faut que l’utilisateur-client soit serein et puisse utiliser, l’âme en paix, les modes de paiement électroniques, il faut que les droits d’auteur soient respectés, il faut que nos données privées restent confidentielles! Aujourd’hui, plus de 50% des utilisateurs d’Internet se disent préoccupés par les différents aspects de sécurité: protection des données, intrusion sur les ordinateurs personnels, virus, ... Comme il nous est apparu que quelque chose avait définitivement changé, que les temps de joyeuse insouciance étaient loin derrière nous, nous avons décidé de consacrer ce numéro spécial à la sécurité informatique et à tous ses aspects: techniques, éthiques, légaux. Vous n’y trouverez peut-être pas de recette miracle mais nous espérons que sa lecture vous permettra d’avoir un aperçu de la complexité du problème et donc des solutions. ■

FI-spécial été 2000 – 5 septembre 2000 – page 2

sommaire 2

Éditorial Jacqueline Dousson

Jeux de demain Patrice Waridel

Les clés en cryptographie Lionet Vallet

Signatures Claude Lecommandeur Six façons différentes de Pascal Junod

casser DES

Nouvelles technologies et Bertrand Lathoud

criminalité

à la sécurité Problèmes juridiques liés eau rés le des transactions sur Michel Jaccard

et Internet

La protection des données Kosmas Tsiraktopulos & Frédéric Schönbett

s systèmes Stratégie et protection de d’information Solande Ghernaouti

Carte à puce et sécurité Bertrand Lathoud

ation Biométrie et Authentiﬁc Djamila Mahmoudi

Vous avez dit sécurité? blème Le survol rapide d’un pro e lex plutôt comp Touradj Ebrahimi

Hacker, hacker, de hacker ? 32 est-ce que j’ai une gueule Laurent Kling Musique d’avenir: uteur sur la protection des droits d’a Internet Jean-Jacques Dumont Glossaire Jacqueline Dousson

39 42

Jeux de demain

e ll e v u o n e r u le il e m la e d Concours la peau d’un agent secondaire sans trop se soucier de son apparence. Il avait ainsi pris la forme d’un Woppy, un petit animal ressemblant à un marsupilami et faisant actuellement fureur chez les enfants, dans la fourrure duquel apparaissait en filigrane la signature spécifique aux agents de cette société. Il était occupé à copier consciencieusement les fichiers intéressant ses mandataires, quand un de ses détecteurs lui envoya un discret signal d’alerte dans son champ de vision. Il finit tranquillement son travail, puis

remplacée par une ouverture sombre. Armin jubilait comme à chaque fois qu’il utilisait ce passage secret. Il était tout particulièrement satisfait du grincement sinistre qui accompagnait le pivotement de la porte. Après avoir vérifié une dernière fois qu’il avait tous ses outils, il pénétra dans le passage.

Patrice.Waridel@ipp.unil.ch, assistant à l’Institut de Pharmacognosie et Phytochimie, Uni-Lausanne

Armin était arrivé sans encombre au cœur de la forteresse, le noyau informatique d’une start-up de haute technologie, en utilisant toute la pano-

Jeux de demain

rmin ne put s’empêcher de contempler une fois de plus avec fierté le living-room qu’il s’était aménagé. Dans une cheminée des bûches se consumaient projetant de temps à autre une gerbe d’étincelles avec un craquement sonore. Une paroi était occupée par une immense bibliothèque remplie de livres aux superbes reliures. En face de celle-ci de hautes fenêtres laissaient entrer une douce lumière automnale éclairant des fauteuils, une table basse, un secrétaire et une haute armoire vitrée contenant une collection d’échiquiers. Tous ces meubles étaient en bois de noyer et reposaient sur un magnifique tapis d’Orient occupant presque toute la surface de la pièce. Trois portes discrètes lui permettaient d’accéder à sa chat-room qu’il aménageait en fonction de ses invités, au monde extérieur ou directement au Réseau. Il existait en outre une quatrième porte qu’il utilisait pour ses mandats spéciaux. S’approchant de la bibliothèque, il fit courir ses doigts le long des livres jusqu’à ce qu’il trouve son favori: L’île au trésor. Il tira l’ouvrage à lui, un cliquetis se fit entendre et une partie des rayonnages pivota pour être

plie de ses outils informatiques pour forcer discrètement l’entrée. Des agents primaires, des simples robots chargés du transfert d’informations, virevoltaient à une vitesse folle autour de lui sans lui prêter la moindre attention. Il voyait également quelques agents secondaires, responsables de la recherche sélective d’informations, à l’intelligence plus élaborée et avec des formes généralement tirées du monde animal actuel, fossile ou mythique, selon la fantaisie du programmeur. De temps à autre passait également une silhouette humaine représentant les personnes chargées de superviser le travail de ces agents. Les apparences choisies étaient également très diverses selon l’imagination ou plus souvent le manque d’imagination de leurs auteurs. Cela avait ainsi cessé depuis longtemps d’être un jeu de compter le nombre de fois où il avait vu Bill Gates ou Omer Simpson lors ses pérégrinations. Cependant cette liberté dans la diversité des formes, caractéristique de ces entreprises de haute technologie plus intéressées à la créativité de leurs employés qu’à leur apparence ou à leur humour, facilitait sa tâche puisqu’il avait pu se glisser dans

passa dans un autre espace de stockage mémoriel. Il ne fallait en effet surtout pas réagir à l’entrée des nouveaux venus, dont l’activité numérique indiquait clairement la fonction d’agents de sécurité. Ils étaient en effet en principe invisibles pour les humains et agents travaillant en ce lieu, et le fait qu’il puisse les voir, grâce à un de ses programmes dont il était particulièrement fier, était un aveu de sa nature de pirate. Il s’agissait d’agents tertiaires, des programmes complexes avec une intelligence numérique élevée, dont l’apparence d’Alien sorti des mains de Giger était caractéristique du sens de l’humour douteux des informaticiens en général. Un deuxième signal lui apprit qu’il était sondé, puis un troisième que son habileté n’avait cette fois pas suffi: il était découvert ! Un frisson d’excitation le parcourut. «Il va y avoir du sport» se dit-il, mais ses nombreuses années de jeu l’avaient aguerri. Il lança prestement une grenade qui explosa dans l’espace de stockage en libérant un nuage de 0 et de 1 parasites qui couvrirent sa fuite éperdue avec ses précieuses données.

* FI-spécial été 2000 – 5 septembre 2000 – page 3

Jeux de demain

blier la nouvelle de

Nous avons le plaisir de pu

demain Patrice Waridel: Jeux de sco.

00.- offert par la société Ci

remporter le prix de 10 qui a permis à son auteur de

Mais, curieusecomposé de cinq personnes. y jur du le ba glo te no e ur la meille «Jeux de demain» a obtenu y a individuellement préféré une nouvelle différente. jur ce de re ment, chaque memb Ce sont: EPFL Glassey, assistant au ESST Le casse du siècle de Olivier sit, collaborateur au SIC-EPFL Tim Prière d’insérer de Richard er Renault, assistant au LIG-EPFL ivi Ol de at ch FL La journée du ésy, assistant aux ACM-EP rth Co o un Br de s ur ate din A quoi rêvent les or étudiant au DMX-EPFL Jules de Stephan Stücklin, sur le Web à l’adresse: Vous pouvez les découvrir cations/FI00/fi-sp-00/ SA/publi http://sawww.epfl.ch/SIC/ et nous avons eu plus d’une vingtaine de textes exercice. u reç me mê de t tou ns avo nous à cet Malgré le délai assez court,Merci à tous les auteurs qui ont bien voulu se prêter remise ! e e. rti lir pa e les à qu e st peut-êtr beaucoup de plaisir anceux de cette année, ce n’e Pour les timides et les malch Les membres du Jury

Il sautait d’un site à l’autre aussi vite qu’il le pouvait, tel un hyper-funambule du Réseau. Il passa d’une entreprise vantant les vertus d’une méthode révolutionnaire pour maigrir rapidement et sans efforts, à un site porno vantant les vices de ses femmes, et arriva dans une église prônant l’abstinence et le détachement de soi. Mais ils étaient toujours sur ses traces. Il avait déjà été surpris qu’ils puissent le suivre à l’extérieur sur le Réseau, mais cette surprise se muait en inquiétude en se rendant compte qu’il n’arrivait pas à les semer. Ce fut finalement avec stupéfaction qu’il s’aperçut en sautant sur le site d’une société de pompes funèbres qu’une partie de ses poursuivants l’avait précédé et lui bloquait le passage. Armin ressentit d’abord de l’admiration devant l’ingéniosité de la programmation de ces Aliens, qui avaient sans doute utilisé des algorithmes probabilistes de haut niveau pour déterminer son chemin de fuite le plus vraisemblable. Mais il était avant tout extrêmement frustré de devoir abandonner FI-spécial été 2000 – 5 septembre 2000 – page 4

son alter ego avec ses fichiers, dont il espérait tirer un très bon prix, en sachant qu’il lui serait très difficile de pénétrer à nouveau dans leur système. Résigné, il activa son code de sortie directe du Réseau, et s’aperçut avec étonnement, puis avec horreur qu’il ne fonctionnait pas: il était prisonnier du Réseau avec des créatures cauchemardesques fondant sur lui. «C’est impossible!» fut sa dernière pensée cohérente. Il s’ensuivit un maelström sans fin de sons et d’images en succession rapide qui agressèrent ses sens, l’étourdirent et lui donnèrent une terrible envie de vomir. Une sensation d’étouffement commença à l’envahir et sa panique devint totale. Puis il perdit conscience et fut déconnecté.

Armin reprit douloureusement conscience, affalé dans un fauteuil. Une terrible migraine pulsait sous son crâne. Il ouvrit péniblement les yeux et contempla en cillant les murs blancs éclairés par une lampe halogène. Sa main tâta prudemment sa tempe droite et désactiva complètement sa prise neurale. Se redressant, il entreprit alors

d’ôter maladroitement de ses mains des fins gants reliés une console qui se trouvait à sa droite sur une table basse. C’est alors qu’il prit conscience de l’odeur et constata qu’il s’était vomi dessus. «Les salauds!» murmura-t-il en fermant à nouveau les yeux. «Heureusement que je n’avais pas de prise neurale complète, cela aurait été sûrement bien pire» songea-t-il ensuite. Les faits étaient clairs: il s’était fait surprendre en flagrant délit d’espionnage, avait fui, s’était fait rattraper et avait reçu ce qu’on pouvait appeler une monumentale raclée, efficace bien que virtuelle. Armin ne réussissait cependant pas à comprendre comment ils avaient réussi à désactiver son code de sortie directe. Mais il allait le découvrir. Il améliorerait ensuite sa stratégie et ses camouflages, et inventerait de nouveaux stratagèmes pour mieux protéger une éventuelle fuite. «J’ai perdu une bataille, mais la guerre ne fait que commencer» se dit-il avec confiance. Il semblait ignorer que cette guerre avait déjà débuté longtemps avant sa naissance, et se prolongerait certainement bien après sa mort. ■

Les clés en cryptographie

Lionel.Vallet@epfl.ch, Institut des Transports et de Planification

ouloir parler de cryptographie nous amène indéniablement à traiter des clés de chiffrage, éléments in-

différente est alors utilisée pour chaque paire d’utilisateurs du réseau. Le nombre total de clés croît alors suivant un polynôme quadratique. Ainsi, un groupe de 10 utilisateurs met en jeu 45 clés différentes et 100 utilisateurs, 4950 clés. nombre de clés = n(n-1) / 2 Un exemple d’un tel algorithme est le très fameux Data Encryption System (DES) inventé par Feistel Horst, chercheur au sein d’IBM, qui a longtemps fait figure de référence et qui existe encore aujourd’hui sous diverses variantes; par exemple le Triple DES qui applique sur le message trois fois

ment permet de déchiffrer ce qui a été chiffré avec la clé de déchiffrement, et vice versa. Le possesseur d’une telle paire de clés, en rend une (au choix) publique, c’est-à-dire qu’il la donne à tout le monde, dans une sorte d’annuaire. Tout correspondant qui veut envoyer un message, chiffre son message à l’aide de la clé publique du destinataire. Seul le possesseur de la clé secrète correspondant à cette clé publique pourra déchiffrer le message. Les algorithmes de chiffrement à clé publique permettent aussi à l’envoyeur de signer son message. En effet, il lui

Les clés en cryptographie dispensables pour coder une information et ainsi la rendre secrète. En effet garantir la confidentialité d’un message est sans nul doute le rôle premier d’une clé, mais nous verrons que les méthodes actuelles nous permettent en plus de garantir l’authentification de l’émetteur, la non-répudiation des transactions et encore l’intégrité du message (être certain que le contenu n’a pas été modifié).

Les clés symétriques (ou clé secrète) Dans les algorithmes à clés symétriques, la clé de chiffrement est identique à la clé de déchiffrement. Ainsi c’est la même clé qui va nous permettre à la fois de chiffrer le message et de permettre aux destinataires de le déchiffrer. Cela ne va pas sans poser un problème majeur: l’échange préalable de la clé entre les protagonistes. Or, ceci est particulièrement difficile à réaliser, puisque, tant que la clé n’est pas transmise il n’existe pas de moyen sûr d’échange d’information, en dehors d’une rencontre physique qui n’est pas forcément possible. Le deuxième problème est le nombre de clés nécessaire pour sécuriser un ensemble de relations. En effet, si l’on désire que chaque utilisateur d’un réseau puisse communiquer avec un autre utilisateur de manière sécurisée, une clé

l’algorithme du DES avec deux ou trois clés différentes selon les variantes. L’International Data Encryption Algorithm (IDEA) quant à lui a été développé par le Docteur X. Lai et le Professeur J. Massey en 1991 en Suisse pour remplacer le DES. Son principe est le même que le DES sauf qu’il utilise une clé de 128 bits (contre 40 bits pour la version du DES). Son principal avantage est sans nul doute sa rapidité ce qui explique qu’il a été implémenté par P. Zimmerman dans le PGP (Pretty Good Privacy). Cependant le principal avantage de ces algorithmes est la rapidité. Ce qui explique en partie la forte implémentation de ces derniers dans des puType de ces électroniques pour les cryptosystème besoins des entreprises. Pourtant, le principe de l’échange préalable de la clé a amené à repenser la cryptographie et c’est Clé ique symétr ainsi que sont apparues les clés asymétriques.

Les clés asymétriques (ou clé publique) Dans ce cas, les clés de chiffrement et de déchiffrement sont distinctes, et généralement symétriques entres elles: la clé de chiffre-

Clé publique

suffit de chiffrer le message (ou une partie de ce message) avec sa propre clé secrète. Le destinataire déchiffrera cette fonction avec la clé publique de l’envoyeur et sera ainsi certain de l’identité de l’expéditeur, puisqu’il est le seul à posséder la clé secrète qui permet de faire un tel chiffrement. Ainsi cette méthode permet de réaliser une communication confidentielle sans échanger auparavant de code secret. Le principal inconvénient de ce type d’algorithme est la lenteur à laquelle s’effectue les opérations de chiffrement et de déchiffrement.

Avantages

Inconvénients

• Rapide • Peut être facilement réalisée sur une puce

• Difficulté de distribuer les clés • Ne permet pas de signature électronique

• Utilise deux clés différentes • Fournit des garanties d'intégrité et de non répudiation par signature électronique

• Lent et demandant beaucoup de calculs

FI-spécial été 2000 – 5 septembre 2000 – page 5

Les clés en cryptographie On peut citer le RSA (Rivest, Shamir, Adelman, les 3 inventeurs) comme le plus connu de ces algorithmes. La sécurité du RSA réside dans l’impossibilité pratique de factoriser un grand nombre de quelques centaines de chiffres en un temps raisonnable. Qui plus est pour assurer sa pérennité il est toujours possible d’augmenter la longueur de la clé qui varie entre 1024 et 2048 bits. En résumé, une synthèse de ces deux méthodes de cryptographie est décrite dans le tableau ci-contre. Finalement comme nous avons pu le voir précédemment, les deux systèmes de base de la cryptographie (symétrique et asymétrique) souffrent de problèmes complémentaires. Quelle méthode est la meilleure? Ni l’une, ni l’autre puisque chacune a ses spécificités. La force des algorithmes à clés asymétriques réside dans l’échange et le chiffrement des clés alors que les algorithmes à clés symétriques sont très performants en vitesse de chiffrement. Ainsi l’intérêt pour augmenter la sécu-

rité des systèmes de cryptage passe certainement par l’utilisation combinée de ces deux techniques, ce que l’on nomme la cryptographie mixte (PGP est un des ces algorithmes).

Quelques liens sur Internet

Une faiblesse du protocole SSL mise en évidence par le LASEC

Les algorithmes de cryptage ❚ site officiel de RSA http://www.rsa.com ❚ site officiel de PGP avec entre autres les codes sources en C http://www.pgpi.com Des sites de certification de clés ❚ certificat français de type X.509 http://www.certificat.com ❚ entreprise de certification crée en 1998 par Gemplus, Matra, Verisign et France Telecom http://www.certplus.fr ■

s) est SSL (Secure Sockets Layer ur po t, ne ter In trè s uti lis é sur tam no s, on cti nsa encrypter des tra es. iqu on ctr éle s ent ment les paiem sécurité Le LASEC (Laboratoire de en évis mi a ie) ph et de cryptogra probala nt do se les dence une faib stitue con i qu is ma bilité est faible produ lle chi d’A un sérieux talion . ion cédé d’encrypt le paL’idée de base repose sur da y rth (bi ire rsa ive rad oxe d’a nn per 23 si e qu ule paradox) qui stip s dan s nie réu t son sonnes au moins ilité que une même pièce, la probab même la nt aie s elle deux d’entre s de plu de est ire rsa date d’annive L, SS age cod du cas 50%. Dans le de rds llia mi 4 c ave on se retrouve né e de pe rso nn es et un e an 1’6 16 ’55 09 3’7 ’07 18 ’44 6’7 44 te le res ipe nc pri le jou rs, ma is même! uipe L’attaque réalisée par l’éq heure sur du LASEC en moins d’1 vrir deux ou déc de t un PC perme du texte segments de 8 caractères ssite vainitial avec un taux de réu ssa ge me du lle tai ria nt ave c la ssage me un c ave 00 (0.5 pour 10 codé de 1GB). au Rien de dramatique en soi onstravu de la probabilité, la dém e pratition est plus théorique qu une fois que; mais cela démontre céd és de plu s qu e les pro t montré d’encryption actuels on leurs limites. ent, Pour plus de renseignem Se rge co nt act er le Pr ofe sse ur Vaudenay par l.ch e-mail: serge.vaudenay@epf ■ 3. 60 6/7 69 3-7 ou par tél. 69

FI-spécial été 2000 – 5 septembre 2000 – page 6

Signatures

Claude.Lecommandeur@epﬂ.ch, collaborateur au Service informatique central

e problème de la signature des messages et plus généralement des documents n’est pas récent. Dès l’antiquité on utilisait des sceaux de bois ou de métal qu’on appliquait sur de la cire chaude ou du plomb pour en garantir l’origine. Plus récemment, on a simplifié la technique, l’auteur se contentant d’apposer son nom écrit d’une façon particulière et constante en bas du document à signer. Le signataire est supposé être le seul à pouvoir reproduire cette écriture et le récepteur est supposé en être convaincu. Plus généralement, signer un document, c’est donc lui adjoindre un truc (un machin peut parfois suffire) qui prouve qu’une certaine personne (physique ou morale) prend la responsabilité du contenu de ce document. Cela se corse dans le cas d’un document électronique. Quoi de plus anonyme qu’une suite d’octets, vous pouvez la modifier, la dupliquer, et prétendre n’importe quoi sur elle. Il va donc falloir ruser. La solution est le chiffrement à clé publique. Un algorithme de chiffrement est une méthode qui permet de transformer un document en un autre totalement incompréhensible si l’on ne dispose pas d’une clé. Voir «Chiffrement des données et sécurité informatique» (http://sawww.epfl.ch/SIC/SA/ publications/FI95/fi-7-95/7-95page3.html) pour quelques détails sur la question. Il y a, en gros, 2 catégories d’algorithmes de chiffrement, ceux dits à clé privée et ceux dits à clé publique. Nous nous intéressons ici aux algorithmes à clé publique qui sont le ressort principal des méthodes de signatures électroniques. Dans ce cas la clé qui permet le chiffrement est différente de celle qui permet le déchiffrement. Et de plus, ces 2 clés ne sont pas déductibles facilement l’une de l’autre. Voir quelques

détails sur la question (http:// cognac.epfl.ch/CA/pk_crypt.html) par mon estimé collègue Martin Ouwehand. Supposons que Bob veuille faire parvenir un message galant à son amie Alice. Il prend donc un algorithme de chiffrement (A), une paire de clés dont l’une sera nommée clé secrète (S) et l’autre clé publique (P). A et P sont donc connus de tout le monde et S n’est connue que de Bob. D’autre part il faut signaler ici qu’Alice est une personne assez suspicieuse.

Signatures Comment va donc faire Bob pour lui prouver qu’il est bien l’auteur du poulet? Facile, il le chiffre à l’aide de l’algorithme A en utilisant sa clé secrète S, il obtient ainsi un autre document D. Il envoie à Alice ce document, ainsi que l’algorithme A et sa clé publique P. A la réception, la belle Alice déchiffre D en utilisant A et P et si tout s’est bien passé elle obtient le billet original, mais avec en plus la certitude que Bob est bien l’auteur puisqu’il est le seul à disposer de la clé secrète S qui a permis de fabriquer D. Cela n’a pas l’air mal comme ça, mais Alice est-elle vraiment sure de l’origine de la missive? En fait, que peut déduire Alice sur l’authenticité de D? Elle a juste la preuve que le signataire du message est le possesseur de la clé secrète associée à la clé publique P. Il y a donc encore une étape à franchir, Bob doit prouver à Alice que la clé publique P est bien la sienne. Si Bob et Alice se connaissent personnellement, Bob peut communiquer sa clé publique par un moyen non informatique, comme par exemple des signaux de fumée, mais ce serait fastidieux et en général, Bob et Alice ne se connaissent pas personnellement. Il faut donc qu’un organisme tiers se charge de cette garantie. Le travail de cet organisme est de certiﬁer que telle clé publique est bien celle de telle personne. Ces organismes existent et se nomment des autorités de certification, les garanties qu’ils produisent s’appellent des certiﬁcats. L’EPFL dispose d’une

telle autorité (http://cognac.epfl.ch/CA). Quel genre de documents électroniques signe-t-on et pourquoi ? En gros, 3 catégories: Des courriers électroniques Si on veut utiliser le courrier électronique de façon un peu sérieuse, il va devenir de plus en plus nécessaire que l’expéditeur justifie son identité. On pourra alors se passer totalement des documents papier dans beaucoup de cas. Des programmes Quand on exécute un programme sur son ordinateur, par exemple en cliquant sur un document attaché à un e-mail en VBS au titre prometteur, ce serait pas mal de se renseigner sur l’auteur avant de commettre l’irréparable. Les programmes signés sont souvent des programmes d’informatique mobile plus connus sous le nom d’applets. Des certificats Vous vous êtes sans doute posé la question: sous quelle forme est donné ce fameux certificat signé par l’autorité de certification dont il est question plus haut? Cette autorité dispose elle-même d’une paire de clés qu’elle utilise pour signer des documents du genre: Juste pour rire, voici un vrai certificat: http://slpc1.epfl.ch/public/ claude.pem. Quels outils de signature utilise-ton? Le lecteur ne sera pas surpris d’apprendre qu’il y a toute une variété de possibilités incompatibles entre elles. Pour le courrier électronique, les 2 principaux protagonistes sont PGP et S/MIME: ❚ PGP (Pretty Good Privacy de Phil Zimmermann) est le plus ancien et le plus populaire chez les internautes historiques. Malheureusement en perte de vitesse au profit de son concurrent. ❚ S/MIME Secure Multipurpose Internet Mail Extensions): supporté par les outils de courrier électronique les plus populaires. Pour les programmes et les certificats, rien de normalisé, des tas de formats et sous-formats avec des moyens de conversion pour passer de l’un à l’autre. Rien de palpitant. ■ FI-spécial été 2000 – 5 septembre 2000 – page 7

Six façons différentes de casser DES (Data Encryption Standard)

Pascal.Junod@epﬂ.ch, en cours de thèse au Laboratoire de Sécurité et de cryptographie

Introduction DES (Data Encryption Standard) est un algorithme de chiffrement à clé secrète qui a été adopté comme stan-

ASCII, image JPEG, paquet de réseau ayant une structure connue,…), la méthode la plus simple est une recherche exhaustive de la clé correspondante parmi les 256 ~ 7.2 •1016 possibilités. Le principe, très simple, est le suivant: une clé après l’autre, on essaye de déchiffrer le bloc de données, l’information sur le texte clair nous permettant de reconnaître la bonne et donc d’interrompre la recherche. Nous aurons besoin, en moyenne, de 255 essais avant de terminer notre attaque.

Une machine dédiée La complexité, mesurée en terme de quantité de

chargé de l’espionnage électronique [7]) ou d’organisations criminelles.

Un gigantesque cluster Il n’est même pas nécessaire de disposer de gros moyens ﬁnanciers pour pouvoir casser DES. De la bonne volonté et quelques bénévoles sont sufﬁsants. Le 19 janvier 1999, dans le cadre d’un concours sponsorisé par une des entreprises majeures en sécurité informatique, RSA Labs, a cassé une clé en moins de 23 heures. L’organisation distributed .net [3] regroupe des milliers d’ordinateurs (de la machine la plus simple aux serveurs multiproces-

S E D r e ss a c e d s te n e r fé if d Six façons dard pour une utilisation non-militaire aux Etats-Unis en janvier 1977 par le National Bureau of Standards [1]. Il est extrêmement répandu dans bien des domaines d’applications, qui vont du simple chiffrement d’un document à l’authentiﬁcation de transactions bancaires électroniques. Dans cet article, nous nous proposons de présenter six façons différentes de casser DES qui ont été découvertes aux cours de ces dernières années.

Recherche exhaustive DES est un algorithme capable de chiffrer un bloc de données P de 64 bits à l’aide d’une clé secrète K de 56 bits. Le résultat est un bloc de données chiffrées de 64 bits que nous noterons C. L’opération de déchiffrement P=DK(C) est, grâce à la structure même de l’algorithme, quasiment identique à l’opération de chiffrement C = EK(P), la seule différence étant une légère modiﬁcation de la préparation de la clé. Imaginons que nous disposions d’un bloc de données chiffrées C’ et que nous voulions trouver la clé secrète correspondante. Si nous disposons d’un peu d’information sur la structure ou le contenu des données en clair (texte FI-spécial été 2000 – 5 septembre 2000 – page 8

calcul, d’une recherche exhaustive est certes énorme, mais à présent, grâce aux progrès de la technologie des microprocesseurs depuis 1977, elle est loin d’être inaccessible. DES est un algorithme orienté hardware qui a le gros désavantage pour le cryptanalyste d’être très lent en software. Une plate-forme PC actuelle, à savoir un processeur Intel Pentium III 666MHz, peut examiner environ 2 millions de clés par seconde, ce qui implique un temps de recherche moyen de 600 années pour un seul PC. Une solution matérielle a été proposée et réalisée par l’EFF (Electronic Frontier Fundation) en 1998, dans le seul but de prouver que DES n’est pas (ou plus) du tout un algorithme sûr. Deep Crack [2], tel est le nom de cette machine extraordinaire, a coûté moins de 210’000 $. Elle est constituée de 1536 chips qui sont capables de décrypter un bloc en 16 cycles d’horloge, le tout étant cadencé à 40 MHz. Ces caractéristiques lui donnent la possibilité d’examiner 92 milliards de clés par seconde, ce qui donne un temps de recherche moyen situé entre 4 et 5 jours. Vu le budget modeste de l’EFF, il n’est pas difﬁcile de tirer des conclusions alarmistes sur la sécurité de DES vis-à-vis d’organismes gouvernementaux (tel la NSA, organe américain

seurs les plus puissants) sur Internet qui fournissent gracieusement leur puissance de calcul à disposition lorsqu’ils sont inactifs. Plus de 100’000 ordinateurs ont reçu un certain nombre de clés à contrôler via le réseau, ce qui a permis un taux de traitement de 250 milliards de clés par seconde.

Un compromis tempsmémoire Nous avons déjà abordé l’idée de recherche exhaustive de clé: on a à disposition un couple texte clair - texte chiffré et on essaye les 256 clés possibles. Cette méthode ne demande quasiment aucune mémoire, mais en contrepartie, on devra essayer en moyenne

Six façons différentes de casser DES (Data Encryption Standard) 255 clés avant de tomber sur la bonne. D’un autre côté, il serait imaginable, pour un texte clair x donné, de précalculer le texte chiffré y = EK(x) correspondant pour toutes les 256 clés K, et de stocker les paires (yK, K) triées par leur première coordonnée. Plus tard, lorsque l’on obtient un texte chiffré y à partir de x, il est possible, par une simple recherche dans notre table, de retrouver la clé correspondante. Nous pouvons noter que cette recherche demande un temps constant; par contre, nous avons un besoin énorme de mémoire (1.5 milliard de Go), ainsi que de beaucoup de temps pour construire cette table. De plus, le bénéﬁce ne devient effectif que si l’on doit chercher plus d’une clé à partir du texte chiffré d’un même message. Un algorithme, dit de compromis temps-mémoire, a été proposé en 1980 par Hellman [4]. Il combine à la fois une demande de mémoire moindre que celle de notre proposition, ainsi qu’un temps de calcul inférieur à celui d’une recherche exhaustive. Cette attaque demande environ 1000 Go de capacité de stockage et 5 jours de calculs sur un simple PC.

Cryptanalyse différentielle En 1990, deux chercheurs israéliens du Weitzmann Institute, Biham et Shamir, ont présenté une nouvelle attaque, la cryptanalyse différentielle [5]. En utilisant cette méthode, les deux chercheurs ont proposé pour la première fois une façon de casser DES qui demande moins de temps de travail qu’une recherche exhaustive. Imaginons que nous disposions d’un boîtier électronique capable de chiffrer des données avec une clé inconnue câblée dans le matériel; de plus, nous ne disposons pas du matériel nécessaire pour récupérer physiquement la clé dans le boîtier. Il nous est cependant possible de produire au moyen de textes clairs choisis les textes chiffrés correspondants avec cette clé inconnue. La meilleure attaque différentielle connue demande actuellement 247 textes clairs choisis. La phase d’analyse calcule la clé à l’aide de cet énorme amas de données. Une propriété intéressante

de cette attaque est qu’il est possible de la monter même si le nombre de données disponibles est petit; la probabilité de succès augmente linéairement avec ce nombre.

Cryptanalyse linéaire Une autre attaque théorique importante est la cryptanalyse linéaire. Elle a été proposée par Matsui, de Mitsubishi Electronics, en 1993 [6]. Bien qu’elle ne soit que théoriquement utile dans le monde réel, c’est l’attaque la plus efﬁcace connue à ce jour contre DES. Imaginons le scénario suivant: nous disposons d’un grand nombre de couples texte clair - texte chiffré avec une clé identique. Nous pouvons dans ce cas procéder à ce que l’on nomme une attaque à texte clair connu. Ainsi, il est possible d’exploiter une faiblesse d’une des briques composantes de DES en effectuant des statistiques sur un ﬂot de 243 couples de données (soit la bagatelle de deux fois 64 To).

Projet actuel au LASEC

peut plus le mettre en œuvre pour protéger des données sensibles. Les autorités américaines l’ont bien compris, le processus d’adoption du prochain standard étant en passe d’aboutir ces prochains temps.

Références [1] Data Encryption Standard, in Federal Information Processing Standards Publications, No. 46, U.S Department of Commerce, National Bureau of Standards, January 1977 [2] Cracking DES, Electronic Frontier Fundation, May 1998, O’reilly [3] http://www.distributed.net/ [4] M. Hellman, A cryptanalytic timememory tradeoff, IEEE Transactions on Information Theory, v. 26, n.4, Jul. 1980, pp 401-406 [5] E. Biham and A. Shamir, Differential Cryptanalysis of DES, Springer-Verlag, 1993 [6] M. Matsui, Linear Cryptanalysis of DES cipher, Advances in Cryptology – EUROCRYPT ’93 Proceedings, Springer-Verlag, 1994, pp. 386-397 [7] http://www.nsa.gov ■

Un des projets actuels du LASEC (Laboratoire de Sécurité et de Cryptographie), est de mettre en œuvre cette attaque en analysant plus précisément son coût. Actuellement, cette attaque tourne sur une quinzaine de PC (certains prêtés gracieusement par le LTHI, le LTHC et par le LTS) et casse une clé tous les 4 à 5 jours. Elle emploie une implémentation de DES extrêmement rapide, développée et optimisée spécialement pour l’occasion, qui est capable de chiffrer des données à un taux de 192 Mbps sur un Intel Pentium III cadencé à 666MHz. Les premiers résultats théoriques ont démontré que l’attaque a une complexité moindre que celle estimée par Matsui, faits conﬁrmés par les résultats expérimentaux.

Conclusion Nous avons présenté de façon succincte six possibilités différentes de casser DES. Elles démontrent que cet algorithme est en ﬁn de vie, et qu’on ne FI-spécial été 2000 – 5 septembre 2000 – page 9

Nouvelles technologies et criminalité

Bertrand Lathoud, assistant à l’Institut d’informatique et d’organisation, HECLausanne

epuis les affaires récemment rapportées par les médias, [qu’il s’agisse des attaques contre des sites tels que Yahoo (10 février 2000) ou du virus Loveletter (04 mai 2000)], le monde de l’Internet a perdu son ingénuité. Il ne s’agit plus du réseau libre et ouvert, tourné vers le partage du savoir, dont ses concepteurs avaient rêvé. Le phénomène de globalisation des économies, qui l’a accompagné, a entraîné des changements structurels fondamentaux dans la gestion des entreprises et institutions publiques. Les conséquences politiques, sociales et économique de ce mouvement ont notamment introduit un niveau supplémentaire de complexité dans la compréhension de la criminalité. Etablir une typologie des menaces directement liées aux nouvelles technologies de l’information et de la communication (NTIC) peut permettre de distinguer les nouveaux crimes et délits de ceux, préexistants, qui voient leur commission facilitée ou modiﬁée.

à apporter à ces nouvelles formes d’atteinte au bon fonctionnement quotidien des institutions. C’est ainsi, par exemple, que l’exercice formel que constitue la demande annuelle de budget du FBI, se transforme en une action de sensibilisation des élus aux risques nouveaux ou accrus qui pèsent sur la sécurité intérieure des Etats-Unis [1]. Les dernières années ont été l’occasion d’insister sur l’impact des NTIC. Organisations criminelles Depuis la chute du mur de Berlin, elles se sont afﬁrmées comme l’une des principales menaces pour les systèmes

cros, actions parfaitement illégales mais que des gadgets électroniques bon marché ont fait passer de l’univers de l’expert à celui du quidam). Les services de sécurité doivent être d’autant plus vigilants que ces individus agissent en général dans leur secteur professionnel, et que ces initiatives ne sont pas sans conséquences économiques à l’heure où tous les coups semblent permis pour gagner de nouveaux marchés. Par exemple, la réception clandestine des rayonnements électro-magnétiques parasites (effet Tempest) est une menace souvent mal évaluée par les entreprises, car perçue comme technique-

té li a in im r c t e s ie g lo o n h c te Nouvelles

Les principales menaces classiques La plupart des pays anglo-saxons disposent d’un équivalent du Conseil National de Sécurité américain. Ils peuvent ainsi disposer d’un lien institutionnel entre les pouvoirs exécutif et législatif, les administrations en charge de la sécurité de leurs concitoyens, et certains pôles de recherche universitaire. Cette synergie leur donne une grande souplesse dans la déﬁnition de la politique de sécurité intérieure par le biais d’une perception accrue des menaces émergentes. Ils sont en mesure de préparer avec plus d’efﬁcacité les réponses FI-spécial été 2000 – 5 septembre 2000 – page 10

démocratiques [3]. Organisées à l’échelle internationale, elles profitent des barrières pour la justice que sont les frontières inter-étatiques (et en Suisse: inter-cantonales,…). Leur objectif semble être l’obtention d’un retour sur investissement maximal et immédiat, de la commission de leurs activités illégales. Elles utilisent de manière intensive les NTIC (GSM prépayés, chiffrement de leurs fichiers, blanchiment par multiplication des transactions électroniques entre paradis financiers et fiscaux…[4]). La description des comportements des membres de la filière de trafiquants de drogue, démantelée par la police fribourgeoise, est à ce titre exemplaire [Le Temps – 25 juin 1999 – opération Vérésius]. Tous les crimes et délits communs (racket, traite des êtres humains, trafics en tous genres, escroquerie, vols,…) qu’elles commettent, sont susceptibles de bénéficier de la meilleure organisation que ces bandes retirent de l’utilisation des NTIC, (le Business Process Reengineering n’est pas réservé aux seules entreprises légales !). Espionnage et activités de renseignement Ces activités ne sont plus l’apanage des professionnels. Les technologies permettent aujourd’hui à tout un chacun d’intercepter des informations qui ne lui sont pas destinées (par l’écoute de communications, ou la pose de mi-

ment très difficile à réaliser. Dans le même temps, les administrations concernées la présentent comme un risque important. A ce sujet, il est d’ailleurs possible de se référer à la documentation proposée en France par la Direction Centrale de la Sécurité des Systèmes d’Information (www.scssi.gouv.fr). Menaces terroristes Si la Suisse reste relativement épargnée par les actions terroristes extrêmes, telles que l’attentat du World Trade Center à New-York, elle n’en demeure pas moins susceptible de voir se réaliser des opérations spectaculaires en raison de l’existence de nombreuses cibles fortement symboliques. L’actuel débat qui s’y déroule au sujet de l’évolution de sa politique étrangère la rend d’autant plus sensible à une éventuelle campagne de destabilisation. Ceci n’implique pas de figer ce débat (là n’est pas le propos du présent article), mais de déterminer quels outils et politiques doivent être mis en œuvre par les services de sécurité pour limiter le risque. Un fait important est l’utilisation systématique, par les terroristes professionnels, de moyens récents de communication et de traitement de l’information (chiffrement en particulier). Ils peuvent ainsi améliorer leur propre sécurité en limitant la quantité d’information susceptible d’être récupérée par la police. Les données chiffrées sont difficiles à intercepter, et les dispositifs de télécommande et de minuterie les plus

Nouvelles technologies et criminalité sophistiqués autorisent la mise en route de machines infernales sans être présent à proximité, réduisant la portée d’éventuels témoignages. Trafic d’armes de destruction massive Il s’agit là d’une menace particulièrement sensible aux yeux du FBI [1]. On peut être plus réservé pour ce qui concerne la Suisse…Elle doit néanmoins s’inquiéter des transactions qui peuvent avoir lieu sur son sol, profitant de l’amélioration par l’informatique, de l’interconnexion entre différents acteurs de ce marché très particulier (sociétés d’import-export, officines financières).

Les menaces émergentes Au-delà de ces activités qui allient souvent le spectaculaire à la gravité, la sécurité intérieure d’un pays est aujourd’hui confrontée à des menaces criminelles nouvelles, liées à l’existence des NTIC.

Les cyber-attaques Popularisées par de nombreux ﬁlms cinématographiques, elles prennent diverses formes, qui vont de la prise de contrôle clandestine d’un système, à la destruction ou au vol de données sensibles (hacking, cracking, phreaking etc. cf [2]). Peu de statistiques sont disponibles, en raison de l’attitude des victimes qui préfèrent souvent ne rien dire pour ne pas ternir leur image aux yeux de leurs clients ou partenaires,… Néanmoins, la mise en place par les USA, des Computer Investigation and Infrastructure Threat Assessment (CITA) squads décentralisés et coordonnés par le National Infrastructures Protection Center (NIPC) suppose que la menace en question ne relève pas seulement de la ﬁction, et que les entreprises ne sont pas les seules concernées. Pour le FBI, l’infrastructure de traitement et transport de l’information est considérée comme vitale pour la bonne marche du pays, au même titre que les hôpitaux par exemple, et doit être protégée comme telle. En 1996, une déci-

sion présidentielle (Presidential Decision Directive 63) a jeté les bases du NIPC en soulignant que l’interconnexion croissante entre les infrastructures économiques critiques [électricité, énergie, transports, télécommunications, banque et finance, services médicaux, fonctions gouvernementales…] les rend de plus en plus vulnérables à une impossibilité de fonctionner provoquée par une attaque. Trois catégories ont été définies pour classer les cyber-attaques. La première concerne les menaces non-structurées, et rassemble pêle-mêle les insiders et les hackers (recreationnals or institutionnals). La seconde qualifie des menaces plus structurées telles que le crime organisé, les activités d’espionnage industriel, et le terrorisme. Enfin, la dernière inclut les menaces représentées par les menées des autres Etats. La contrefaçon La facilité avec laquelle l’information numérique peut être reproduite a favorisé l’apparition d’un marché de la copie illicite qui représente un manque à gagner de plusieurs dizaines de mil-

FI-spécial été 2000 – 5 septembre 2000 – page 11

Nouvelles technologies et criminalité liards de dollars pour les éditeurs dans les domaines de la musique, du film vidéo, ou encore des logiciels. Par exemple, pour la seule année 1998, les douanes américaines ont annoncé avoir saisi pour 76 millions de dollars de logiciels contrefaits (Zdnet France – actualités du 29 juillet 1999). Le marché de la pornographie Il prend une toute autre dimension lorsqu’il permet à des communautés virtuelles clandestines de se constituer autour de pratiques rigoureusement punies par la loi (pédophilie, snuff movies,…). Des échanges de matériels (films) se réalisent de manière beaucoup moins facile à intercepter par la police, par le moyen des NTIC (serveurs dans des pays où les forces de police sont inexistantes ou dépassées, chiffrement des fichiers, utilisation de serveurs IRC privés et actifs pendant des durées très limitées…). L’accroissement de l’activité sur ce marché entraîne directement une augmentation de la traite d’êtres humains. La manipulation de l’information Le récent conflit en ex-Yougoslavie a permis d’en mesurer la portée. Le pouvoir de Belgrade s’est servi de l’Internet pour alimenter des rumeurs sur le nombre d’avions abattus, ou l’étendue des dégâts écologiques provoqués par les bombardements… Si ses objectifs de déstabilisation des opinions publiques n’ont été que partiellement atteints, il n’en reste pas moins que les débats internes aux pays occidentaux ont parfois été très vifs (exemple de l’Allemagne où le débat traditionnel sur l’engagement de la Bundeswehr sur des théâtres d’opérations extérieures s’est trouvé avivé par les rumeurs qui ont couru au sujet des conséquences écologiques d’une guerre qui ne disait pas son nom). Les nouvelles formes d’escroquerie Les réseaux permettent à de nouveaux types d’escrocs de sévir. Il y a tout d’abord ceux qui usurpent une identité afin de bénéficier de prestations sans avoir à les rémunérer. Leur outil de travail est souvent le logiciel de carding qui permet de créer de numéros de carte bancaire parfaitement valides bien que ne correspondant à aucun compte réel. Il suffit ensuite d’acheter en ligne et de se faire livrer à FI-spécial été 2000 – 5 septembre 2000 – page 12

une adresse de complaisance que l’on utilisera une seule fois. Le coût sera supporté par le système bancaire ou le commerçant. L’utilisateur final est aussi concerné lorsque son numéro de carte de crédit a été livré par un pickpocket, ou un commerçant indélicat, à un réseau spécialisé. La deuxième grande famille d’escrocs est constituée par tous ceux qui proposent des prestations tant inexistantes qu’injustifiées. Parmi les plus pittoresques se trouvent les vendeurs de passeports diplomatiques d’Etats imaginaires – en général, ils utilisent des noms d’îles du Pacifique -. Plus couramment, les sites de ventes aux enchères ne semblent pas être toujours les lieux où l’on réalise de bonnes affaires à tous les coups. L’impossibilité qu’il y a d’expertiser le bien mis en vente permet à de nombreux délinquants d’écouler des produits de mauvaise qualité, ou provenant d’activités de recel. La diffusion de méthodes permettant la réalisation de crimes et délits Après chaque drame lycéen, aux Etats-Unis, la presse rappelle combien il est facile de se procurer des recettes pour la fabrication et la mise en œuvre d’explosifs. La préparation des substances psychotropes tient aussi une place de choix dans la «littérature illégale» accessible depuis l’Internet. Dans un registre moins dramatique, la SNCF a obtenu en 1998, la fermeture d’un site qui réunissait tous les trucs permettant de frauder sans risque à bord de ses trains. La moindre difficulté dans l’obtention de telles informations, ainsi que l’impression de «faire comme les autres» sont de puissants facteurs d’incitation au passage à l’acte…

Conclusion Les nouvelles technologies ne sont pas l’apanage d’un groupe de scientiﬁques visionnaires et mus par le seul souci de l’amélioration du sort de l’humanité. Les délinquants ont su s’adapter à ce nouvel environnement et en faire proﬁter leurs activités traditionnelles. On peut légitimement s’inquiéter en voyant à quel point ils peuvent être imaginatifs lorsqu’il s’agit d’inventer de nouveaux usages pour ces NTIC. Les organisations criminelles n’ont pas attendu que l’Europe et les

USA se mettent d’accord sur les futures normes en matière de téléphonie mobile pour adopter largement le Natel. Il serait dangereux de laisser les forces de police prendre un retard dans le domaine technologique, quand on sait que le rattrapage aura non seulement un coût ﬁnancier direct sous forme d’investissements dans de nouvelles infrastructures, mais aussi et surtout un coût social par l’accroissement de l’emprise des structures maﬁeuses ou assimilées sur la société, avec tous les risques de déstabilisation que cela comporte. Toutefois, l’accroissement excessif de la “ présence policière ” sur le réseau n’est pas forcément la meilleure des choses si l’on souhaite que se perpétue l’esprit de liberté qui en a caractérisé les premières années. Pour que l’Internet soit policé, plutôt que policier, il est nécessaire que chacun, individu ou organisme collectif, se sente responsable de son attitude vis-à-vis de la “ cyber-délinquance ”. On retrouve ici le besoin d’une attitude citoyenne, tel qu’il a pu être décrit par les “ Lumières ” au XVIIIème siècle.

Bibliographie [1] Freeh Louis J., FBI’s 1999 budget request: statement before the House Appropriations Subcommittee for the Department of Commerce, Justice, and State, the Judiciary, and related Agencies, Washington D.C., 05 mars 1998, http://www.fbi.gov/pressrm/congress/ 98archives/hac35.htm [2] Ghernaouti-Hélie Solange, Stratégie et ingéniérie de la sécurité des réseaux, Dunod/InterEditions, Paris, 1998 [3] Lacoste Pierre, Les maﬁas contre la démocratie, Jean-Claude Lattès, Paris 1992 [4] Ribaux Olivier, Les nouvelles technologies de l’information et leur impact sur la sécurité, Revue Militaire Suisse n°9-1999, pp.11-15, septembre 1999 ■

Problèmes juridiques liés à la sécurité des transactions sur le réseau contrats-cadres négociés, parfois appelés Conventions d’interchange.

Les transactions B2C en milieu ouvert Michel Jaccard,avocat à Genève et chargé de cours à l’Uni-Fribourg, jaccard@ttv.ch

Introduction Une des applications les plus répandues du commerce électronique est certainement la conclusion et l’exécution de véritables transactions juridiquement contraignantes sur un réseau ouvert comme Internet. De telles transactions peuvent se nouer entre entreprises (business to bu-

Concrètement, les transactions B2C typiques qui se déroulent sur le réseau s’analysent au plan juridique comme l’achat/vente de marchandises ou la prestation de services de toutes sortes (téléchargement de logiciels ou accès à des bases de données en ligne par exemple). De telles transactions sont-elles juridiquement valables? La véritable question est plutôt: pour quelles raisons les transactions en cause ne seraient-elles plus juridiquement valables, ou seraient valables à des conditions différentes, par hypothèse plus strictes,

manière générale le principe de la liberté des formes (cf. art. 11 et suivants du Code des obligations). Dès lors, sauf exceptions conﬁnées à des domaines qui ne sont pas encore courants sur le réseau, comme les transactions immobilières, l’assurance ou le petit crédit en ligne par exemple, les transactions commerciales évoquées plus haut ne perdent pas leur validité du simple fait qu’elles ne seraient pas reproduites sur papier avant d’être conclues ou qu’une signature manuscrite ne soit pas apposée au bas de l’engagement. En revanche, et c’est là le point important, la preuve de telles transactions pourrait être problématique, en l’absence de support physique matérialisant l’accord de volontés et de signature manuscrite établissant l’identité des

é it r u c sé la à s é li s e u iq id r ju Problèmes des transactions sur le réseau siness ou B2B) ou entre entreprises et consommateurs (business to consumers ou B2C), pour tous les cas où l’une des parties (personne physique) achète des biens, consomme des marchandises ou utilise des services à des ﬁns non professionnelles. Mais l’on trouve également un commerce électronique entre particuliers (private to private [P2P] ou consumer to consumer [C2C]), dont un des aspects les plus spectaculaires est sans doute l’essor des ventes aux enchères en ligne, auxquelles participent d’ailleurs parfois aussi des sociétés commerciales. Dans cet article, nous nous concentrerons sur quelques caractéristiques juridiques du commerce B2C en milieu ouvert, qui offre la plus grande vulnérabilité au plan de la sécurité. En effet, le commerce B2B se déroule en général entre partenaires connus faisant des affaires ensemble sur le long terme plutôt qu’occasionnellement, la plupart du temps au sein d’un réseau fermé. Dès lors, les problèmes sécuritaires, techniques et commerciaux sont généralement traités préalablement dans des

que celles qui s’appliqueraient à ces mêmes transactions si elles étaient conclues et/ou exécutées en dehors du réseau, de façon traditionnelle ? Schématiquement, le passage à Internet entraîne les caractéristiques suivantes: 1. Automatisation des manifestations de volonté, en ce sens que l’ordre de commande ou son acceptation peut être transmis automatiquement sans qu’une personne physique conﬁrme à chaque fois manuellement la volonté d’être lié contractuellement en visualisant les commandes à l’écran. Cette première caractéristique ne remet pas en cause la validité des mécanismes juridiques de formation des contrats, dans la mesure où, selon des théories déjà éprouvées, le comportement, les actions et les omissions d’un système informatique sont en général imputables à celui ou celle qui en a le contrôle. 2. Dématérialisation du support d’expression des volontés, puisque le contenu de l’accord n’est pas couché sur papier, ni, a fortiori, signé à la main. Cependant, le droit suisse connaît de

parties. Comment le droit suisse aborde-t-il ces questions ?

Les véritables problèmes juridiques du commerce électronique: la preuve et la sécurité Au plan civil, les règles de preuves devant les tribunaux varient de canton à canton, même si quelques principes sont unifiés au plan fédéral. Il en va ainsi de la libre appréciation des preuves. En vertu de ce principe, il n’existe pas de catégories privilégiées de preuve (témoignage plutôt que document écrit, original plutôt que copie par exemple). Ainsi, un papier original signé à la main n’aura pas, a priori, une valeur probante supérieure à celle du print-out d’un log file stocké sur disque optique. Il demeure bien entendu qu’un avantage de fait peut subsister en faveur de celui ou celle qui étaie ses affirmations par des moyens de preuve plus traditionnels que des données informatiques, auxquelles les tribunaux suisses ne sont pas encore (entièrement) familiarisés. FI-spécial été 2000 – 5 septembre 2000 – page 13

Problèmes juridiques liés à la sécurité des transactions sur le réseau Le principe de la libre appréciation des preuves implique également que toute preuve doit obligatoirement emporter l’intime conviction du juge pour être retenue. Prétendre donc qu’une preuve informatique est admissible a priori devant les tribunaux suisses ne dispense en aucun cas celui ou celle qui cherche à s’en prévaloir de tout mettre en œuvre pour que le juge soit effectivement convaincu de la véracité du contenu de la preuve en question. Dans cette perspective, c’est bien entendu la ﬁabilité des systèmes de sauvegarde, le professionnalisme de l’organisation interne et la qualité des mesures de sécurité prises qui joueront un rôle décisif. Typiquement, c’est par une combinaison des différents modes de preuve qu’une allégation pourra être démontrée: en plus de la production des documents pertinents imprimés à partir d’une copie de sauvegarde sûre, il s’agira de faire en sorte que le responsable de la sécurité informatique de la société incriminée témoigne des mesures prises dans le traitement de l’information, dont la ﬁabilité pourrait encore être corroborée par un expert neutre. Des solutions sont donc possibles; leur coût risque pourtant d’être disproportionné par rapport à l’objet du litige. C’est pourquoi l’adoption récente en Suisse d’une réglementation en matière d’infrastructure à clé publique (Public Key Infrastructure ou PKI) revêt une importance particulière.

L’ordonnance du Conseil fédéral du 12 avril 2000 sur les services de certiﬁcation électronique (OSCert) Cette ordonnance, entrée en vigueur le 1er mai 2000, est le premier texte réglementaire en Suisse qui traite FI-spécial été 2000 – 5 septembre 2000 – page 14

de manière cohérente de l’introduction d’une PKI et de la possibilité de recourir à des systèmes de signature numérique pour, en particulier, faciliter la preuve des transactions informatiques. Concrètement, la signature électronique d’un ﬁchier (texte, son, image) résulte de l’utilisation d’une clé mathématique privée (connue du seul signataire) et d’un algorithme cryptographique, appliqué au texte original. Ainsi, la signature électronique constitue un ensemble de données numériques chiffrées, distinctes du message original. Le

lien entre le texte et sa signature n’est plus physique, mais logique. A la clé privée de l’expéditeur correspond une clé cryptographique publique, connue du destinataire, que celui-ci va utiliser pour déchiffrer la signature électronique et comparer le résultat au message original. S’ils correspondent, c’est la garantie que le message a été signé électroniquement par le titulaire de la clé privée correspondante et qu’il n’a pas été modiﬁé ni altéré pendant sa transmission, puisque seul le titulaire de la

clé privée peut générer une signature électronique et qu’il est (quasiment) impossible de la reconstituer en connaissant uniquement la clé publique. La conﬁdentialité de la transmission est par ailleurs assurée si l’expéditeur du message le chiffre avec la clé publique du destinataire avant de le signer électroniquement avec sa propre clé privée. L’ensemble du processus est bien évidemment automatisé, quasi transparent pour l’utilisateur et ne prend que quelques secondes. Pour parfaire la sécurité du système, il importe encore qu’une autorité de certiﬁcation tierce (parfois appelée

cybernotaire) atteste vis-à-vis de tous et notamment du destinataire d’un message signé numériquement que le titulaire de la clé privée qui a signé le message est bien une personne déterminée plutôt qu’une autre. La première tâche de l’autorité de certification est donc la vérification de l’identité de la personne en cause, par une apparition physique à un guichet d’enregistrement et la présentation de documents de légitimation. Sur cette base, un certificat électronique (sorte de passeport pour le monde virtuel) est établi, contenant en particulier le nom du client et la clé

Problèmes juridiques liés à la sécurité des transactions sur le réseau publique qui l’identifie vis-à-vis des tiers. Pour garantir son authenticité, ce certificat est signé électroniquement par l’autorité de certification ellemême, avant d’être mis à disposition de tous dans un registre librement accessible sur le réseau. L’autorité de certification doit enfin, le cas échéant, s’engager à suspendre ou à révoquer immédiatement un certificat s’il s’avère que son titulaire le demande ou que la clé privée a été perdue. Dans un tel système, authentification, intégrité et confidentialité sont garanties, ce qui est bien entendu propre à renforcer la confiance des utilisateurs sur le réseau et à faciliter la preuve des transactions qui s’y déroulent. Alors que la directive communautaire sur la question, adoptée en décembre dernier, règle non seulement le fonctionnement d’une PKI mais consacre également l’équivalence entre la signature manuscrite et la signature électronique, l’Ordonnance du Conseil fédéral se contente de prévoir les conditions juridiques, techniques et financières auxquelles autorités de certification doivent satisfaire si elles entendent être soumises à l’Ordonnance. Bien que volontaire, le régime est cependant incitatif si l’on considère qu’une autorité de certification reconnue jouira certainement d’une légitimité supérieure et du «label de qualité» officiel. Sans entrer dans les détails, les conditions posées par l’Ordonnance ont trait en particulier à la qualification du personnel et à la solidité financière qui doit être suffisante pour faire face à l’éventuelle responsabilité qui découlerait d’une certification erronée. La responsabilité d’une autorité de certification peut en effet être engagée tant visà-vis de son client, au nom duquel elle a établi un certificat électronique erroné, que vis-à-vis des destinataires des messages signés électroniquement. De façon à renforcer la prévisibilité, l’Ordonnance prévoit que l’autorité de certification sera responsable en cas de certification erronée, à moins de pouvoir démontrer qu’aucune faute ne lui est imputable. Cette réglementation spécifique du régime de responsabilité est très certainement un des aspects importants de l’Ordonnance et devrait renforcer la confiance des utilisateurs.

Dans ce même souci, l’Ordonnance prévoit également la possibilité d’obtenir des autorités de surveillance des fournisseurs des services de certiﬁcation une attestation de la conformité et de la validité du certiﬁcat électronique à un moment donné, ce qui devrait faciliter la preuve des transactions, notamment dans le cadre de poursuites judiciaires.

Conclusion Dans le cadre du commerce électronique les problèmes juridiques liés à la sécurité informatique sur un réseau ouvert comme Internet ne concernent pas en premier lieu la validité des contrats qui pourraient s’y conclure puisqu’une signature manuscrite et un support papier ne sont que rarement exigés par la loi pour les transactions en cause. La preuve n’est pas non plus impossible, même si elle risque d’être coûteuse, pour autant qu’elle s’appuie sur un ensemble de mesures préventives efficaces. Dès lors, la véritable problématique juridique liée à la sécurité des transactions en ligne consiste à faciliter la preuve de l’intégrité des communications et l’identification des partenaires commerciaux sur le réseau, ce qu’une infrastructure à clé publique permet. Dans cette perspective, l’entrée en vigueur de l’Ordonnance du Conseil fédéral sur les services de certification électronique constitue sans conteste un premier pas important vers la sécurisation du commerce électronique en Suisse. En choisissant une réglementation compatible avec les textes internationaux déjà existants, la Suisse démontre en outre qu’elle entend fournir aux acteurs de la Nouvelle Economie un environnement juridique et réglementaire adéquat. Cependant, un texte légal consacrant l’équivalence véritable entre la signature électronique et la signature manuscrite doit encore être adopté, et un projet de loi dans ce sens est d’ores et déjà annoncé dans les prochains mois. Espérons que le législateur suisse continue à ce rythme.

Quelques références bibliographiques et sites Internet utiles ❚ Matthew D. Ford, Identity Authentication and «E-Commerce», 1998 (3) The Journal of Information, Law and Technology (http:// elj.warwick.ac.uk/jilt/98-3/ ford.html). ❚ Michel Jaccard, Les relations juridiques et les responsabilités dans une infrastructure à clé publique, in: “Geschäftsplattform Internet: Rechtliche und praktische Aspekte Digitale Identität und Vertragsschluss im Internet”, ZIK Band 10, Zurich 2000 (http://www.schulthess.com/ buch.htm). ❚ Michel Jaccard, La conclusion des contrats par ordinateur – Aspects juridiques de l’Echange de Données Informatisées (EDI), Berne 1996 (http:// w w w. s t a e m p fl i . c o m / v e r l a g / default.htm). ❚ Office fédéral de la justice, Signature électronique et droit privé (droit des contrats), Avis de droit du 24 novembre 1998, JAAC 63.46 (http:// www.vpb.admin.ch/franz/doc/63/ 63.46.html). ❚ Matthias Ramsauer, Die Public Key Infrastructur in der Schweiz, in: “Geschäftsplattform Internet: Rechtliche und praktische Aspekte Digitale Identität und Vertragsschluss im Internet”, ZIK Band 10, Zurich 2000 (http://www.schulthess.com/ buch.htm). ❚ http://www.swisskey.com (autorité suisse de certification). ❚ http://www.bakom.ch/ (Office fédéral de la communication – texte de l’Ordonnance sur les services de certification électronique) ❚ http://www.uncitral.org/ (projet de loi uniforme) ❚ http://www.ispo.cec.be/ecommerce/ legal/digital.html/ (Union européenne) ❚ http://www.tavernier-tschanz.com (présentations, références et documents dans le domaine du e-commerce et du droit de l’informatique). ■

FI-spécial été 2000 – 5 septembre 2000 – page 15

La protection des données et Internet

Kosmas Tsiraktsopulos & Frédéric.Schoenbett@BK.admin.ch, collaborateurs au Secrétariat du Préposé fédéral à la protection des données

La protection des données au niveau international Il n’existe à l’heure actuelle aucune convention internationale garantissant la protection de la personnalité sur Internet.

tection des données à caractère personnel utilisées à des ﬁns de paiement et autres opérations connexes, la Recommandation n° R (91) 10 sur la communication à des tierces personnes de données à caractère personnel détenues par des organismes publics ou la Recommandation n° R (95) 4 sur la protection des données à caractère personnel dans le domaine des services de télécommunication, eu égard notamment aux services téléphoniques. La Recommandation n° R (99) 5 sur la protection de la vie privée sur Internet recommande aux gouvernements des Etats membres de diffuser largement les lignes directrices pour la protection des personnes à l’égard de la collecte et du traitement des données à caractère personnel sur les inforoutes. Ces lignes directrices doivent être diffusées en particulier auprès des utilisateurs, des fournisseurs de services d’Internet et de toute autorité nationale chargée de

fédérale sur la protection des données - loi fédérale du 19 juin 1992 sur la protection des données (LPD) et ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD) - à savoir les principes généraux et les règles matérielles.

La licéité (art. 4, 1er al., LPD) Toute collecte de données personnelles ne peut être entreprise que d’une manière licite. Ceci implique, pour les organes fédéraux, l’existence d’une base légale (art. 17 LPD) et ancrage dans une loi au sens formel si des données sensibles ou des proﬁls de la personnalité sont traités. Pour les personnes privées (art. 12 et 13 LPD), il faut un motif justiﬁcatif (le consentement de la personne concernée, un intérêt prépondérant public ou privé, la loi). Il est bien entendu illicite de collecter des données par la menace, par astuce ou en usant de violence.

t e n r te In t e s e é n n o d s e d n La protectio La protection des données au niveau européen Il n’existe pas au niveau de l’Union européenne de directive spéciﬁque sur la protection des données dans l’Internet. Plusieurs directives contenant des dispositions de protection des données sont cependant applicables à Internet, c’est notamment le cas de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et de la Directive 97/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications. Les travaux du Conseil de l’Europe en matière de protection des données sont considérables. Plusieurs textes touchent indirectement Internet, par ex. la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, la Recommandation n° R (90) 19 sur la proFI-spécial été 2000 – 5 septembre 2000 – page 16

La bonne foi (art. 4, 2e al., LPD)

veiller au respect des dispositions de la protection des données. Ces lignes directrices peuvent également être intégrées ou annexées à des codes de conduite. Le texte de la recommandation et les lignes directrices sont disponibles sur le site du Conseil de l’Europe (www.coe.fr). A l’heure actuelle, un groupe de travail élabore un Projet de convention relative à la criminalité dans le cyber-espace. Ce projet contient une liste d’infractions autonomes à la protection des données. Il faut souligner que des Etats non membres du Conseil de l’Europe participent à ces travaux, il s’agit des Etats-Unis, du Canada et du Japon.

Les données doivent être traitées conformément à la bonne foi. En règle générale, la collecte doit avoir lieu auprès de la personne concernée ou du moins pas l’être à l’insu de celle-ci ou contre sa volonté. Celui qui recueille des données en trompant intentionnellement la personne concernée [par exemple en donnant de fausses indications quant au but du traitement] transgresse le principe de la bonne foi. Il en va de même de celui qui collecte des données clandestinement.

La protection des données au niveau national

Celui qui traite des données est obligé de ne collecter et de ne traiter que les seules données qui lui sont nécessaires et aptes à atteindre un but déterminé.

Tout traitement de données personnelles effectué par les différents acteurs d’Internet (le fournisseur d’accès, le fournisseur de contenu et dans une moindre mesure l’utilisateur) doit respecter les dispositions de la législation

La proportionnalité (art. 4, 2e al., LPD)

La ﬁnalité (art. 4, 3e al., LPD) Les données personnelles ne peuvent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des cir-

La protection des données et Internet constances. Par exemple, des adresses obtenues à l’occasion d’une récolte de signatures à l’appui d’une initiative ne peuvent pas être utilisées à des ﬁns commerciales.

L’exactitude des données (art. 5 LPD) Quiconque traite des données personnelles doit s’assurer qu’elles sont correctes. L’exactitude au sens de cette disposition n’implique pas seulement que les données doivent contenir des affirmations exactes, mais aussi qu’elles doivent être complètes et à jour, du moins autant que les circonstances le permettent. Par exemple, le chef du personnel qui déplace ou congédie un employé, sur la base d’un certificat médical périmé, peut porter atteinte à la personnalité de ce dernier. En outre, la personne concernées peut requérir la rectification des données inexactes. La rectification est traitée plus en détail dans la partie concernant le droit d’accès.

La communication à l’étranger (art. 6 LPD, 5, 6, 7 et 19 OLPD) Afin d’éviter en particulier que des maîtres de fichiers ne transmettent des données dans des pays présentant des risques considérables pour la personnalité des personnes concernées (si, par exemple le pays destinataire ne dispose pas de législation en matière de protection des données équivalente), et pour permettre aux intéressés d’exercer leur droit d’accès, quel que soit le lieu où se trouvent les données les concernant (droit de suite), la LPD prévoit à l’art. 6 l’obligation, avant de transmettre un fichier à l’étranger, de le déclarer au Préposé fédéral si la communication ne découle pas d’une obligation légale ou si elle a lieu à l’insu des personnes concernées. Dans le secteur privé, l’OLPD (art. 5 et 6) complète la loi en précisant tout d’abord ce que l’on entend par transmission de fichier à l’étranger, à savoir non seulement la communication de fichiers ou de parties essentielles de ceux-ci, mais également la communication par procédure d’appel (online/self-service), ainsi que la transmission de fichiers à un mandataire. L’art. 6 OLPD décrit la procédure de déclaration, qui doit être faite par écrit et préalablement à la communication (l’art. 6, 3ème al., OLPD prévoit la possibilité d’une dé-

claration globale). Quant aux exceptions, l’art. 7 OLPD prévoit qu’il n’y a pas de déclaration lorsque des fichiers ne se rapportant pas à des personnes sont transmis (recherche, statistique) et que les résultats sont publiés sous une forme ne permettant pas d’identifier les personnes concernées. Il en va de même si des fichiers sont communiqués dans des pays dotés d’une législation équivalente sans risque de réexportation dans un Etat tiers qui n’en est pas doté, et que les fichiers communiqués ne contiennent ni données sensibles, ni profils de la personnalité. Le Préposé fédéral établit et tient à disposition de quiconque communique des données personnelles à l’étranger une liste des Etats dotés d’une législation équivalente.

La sécurité des données (art. 7 LPD, 8, 9, 10, 11, 12, 20, 21, 22 et 23 OLPD) Certains problèmes de protection des données peuvent être évités, si l’on prend, à temps, les mesures de sécurité qui s’imposent. Les systèmes informatiques modernes requièrent des mesures d’aménagement des lieux, empêchant à tout tiers non autorisé d’accéder aux équipements informatiques. Des mesures techniques sont également nécessaires pour prévenir les pannes (par exemple à la suite d’une coupure de courant) et, partant, la destruction irrémédiable des données. Enﬁn, on veillera à ce que les données ne soient pas accessibles à n’importe qui et à ce que les principes fondamentaux de la protection des données soient respectés par des mesures organisationnelles, telles des procédures d’identiﬁcation des usagers, des évaluations périodiques des mesures de sécurité ou encore la nomination d’un responsable de la protection des données au sein de l’entreprise.

Le droit d’accès (art. 8, 9, et 10 LPD, 1, 2, 13, 14 et 15 OLPD) C’est un droit fondamental pour la personne concernée et l’institution-clé de la protection des données. Ce n’est qu’ainsi que l’intéressé pourra faire valoir ses droits, en particulier faire rectiﬁer des données inexactes, en contester l’exactitude ou les faire le cas échéant détruire. Ce droit a en outre un effet préventif certain. Même si les particu-

liers en feront rarement usage, le seul fait, pour le maître d’un fichier, de connaître l’existence de ce droit l’incitera à traiter correctement les données personnelles dont il aura vraiment besoin. Les modalités de l’exercice de ce droit sont décrites à l’art. 1er OLPD. Il y est notamment prévu que l’intéressé doit en règle générale faire valoir son droit par écrit en justifiant de son identité (pièce d’identité, permis de conduire etc.). Certains organes fédéraux ont pour habitude de fournir des informations par téléphone. L’OLPD n’exclut pas cette manière de procéder, encore faut-il que la personne concernée y ait consenti et ait été identifiée. Les renseignements requis doivent être dans la mesure du possible fournis dans les 30 jours suivant réception de la demande. Afin que ce droit puisse être exercé par chacun, indépendamment de sa situation financière, le législateur a prévu le principe de la gratuité du droit d’accès (art. 8, 5e al. LPD). Une participation aux frais pourra exceptionnellement être demandée par le maître du fichier lorsque le droit d’accès aura déjà été exercé dans les 12 mois précédant la demande sans modification non annoncée des données relatives à l’intéressé. Idem si la communication des renseignements demandés occasionne un volume de travail considérable. Le but de cette participation financière n’est pas de couvrir les frais, mais de prévenir les abus. Le montant maximal a été fixé par le Conseil fédéral à 300 francs. Le maître de fichier public peut refuser ou restreindre la communication des renseignements demandés si une loi le prévoit, les intérêts prépondérants d’un tiers l’exigent, un intérêt public prépondérant le requiert (sûreté intérieure ou extérieure de la Confédération) ou le déroulement d’une procédure d’instruction risque d’être compromis (art. 9 LPD). Le maître de fichier privé peut également refuser ou restreindre le droit d’accès si une loi le prévoit, les intérêts prépondérants d’un tiers l’exigent ou ses propres intérêts prépondérants le requièrent, à condition que ces données ne soient communiquées à des tiers (art. 9 LPD). Pour les médias, l’accès peut être restreint ou refusé dans un fichier servant exclusivement d’instrument de travail personnel du journaliste. Il en va de même des fichiers utilisés exclusivement pour la partie rédactionnelle FI-spécial été 2000 – 5 septembre 2000 – page 17

La protection des données et Internet d’un média à caractère périodique pour protéger les sources, l’exclusivité d’une publication ou la libre formation de l’opinion publique (art. 10 LPD). Si, en prenant connaissance de données le concernant, l’intéressé constate en particulier qu’elles sont inexactes ou que leur traitement est illicite, il peut requérir la rectiﬁcation ou la destruction des données litigieuses ou interdire leur communication (art. 15 LPD). Il est cependant des cas où ni l’exactitude, ni l’inexactitude d’une donnée ne peut être établie. Le demandeur peut alors requérir que l’on ajoute à la donnée la mention de son caractère litigieux.

La protection de la vie privée et les fournisseurs de services d’Internet

thodes de codage et d’authentiﬁcation). 4. Enﬁn, mentionner la manière dont l’utilisateur peut faire valoir ses droits. Vous trouverez des renseignements sur l’élaboration d’une déclaration de traitement de données sur Internet dans le 7ème rapport d’activités 1999/ 2000 (p. 158) du Préposé fédéral à la protection des données (PFPD). Ce rapport est disponible sur le site du PFPD (www.edsb.ch).

Quelques conseils permettant aux utilisateurs de services d’Internet de préserver leur vie privée

Internet permet d’accéder au niveau de la planète à des informations Les informations collectées sur la base des visites effectuées sur les sites Internet peuvent servir à des études de marché et s informaVous trouverez de plus ample même être vendues à des tiers. ernet du tions très utiles sur le site Int Les fournisseurs de services on des Préposé fédéral à la protecti d’Internet doivent développer données une politique en faveur de la protection de la personnalité (http://www.edsb.ch). afin de répondre aux exigences légales (transparence, information, possibilité de choix, sécuou à des prestations. En même temps rité, agrément de la personne concerqu’ils surfent sur le net, les utilisateurs née). Cette politique leur permettra du (souvent à leur insu) fournissent des reste de mettre en confiance leurs données personnelles qui sont traitées, clients et les futurs utilisateurs. Les rassemblées, exploitées ou transmises à principales mesures à prendre sont les des tiers de diverses manières. Or les suivantes: lois nationales sur la protection des 1. Signaler en un endroit bien visible données ne sont applicables que sur le de l’offre à quelles dispositions légaterritoire de l’Etat en question. Pour cette raison, en cas d’atteinte à la perles de protection des données cette sonnalité, il est très difficile pour les offre est soumise. En outre, la pratipersonnes concernées de faire valoir que du site en la matière doit être leurs droits. Il n’existe actuellement présentée dans un langage clair (déaucune convention internationale qui claration de traitement de données protégerait efficacement la sphère prisur Internet). Il convient en particuvée sur Internet. Les utilisateurs delier de dire quelles données vont être relevées et utilisées, et dans quel but. vraient donc être particulièrement pru2. Donner à l’utilisateur la possibilité dents avant de permettre l’accès à leurs de limiter l’utilisation (par ex. s’il données personnelles. Nous avons rass’oppose à l’élaboration de son profil semblé ci-dessous quelques conseils de consommation) et la transmission permettant de mieux protéger la sphère des données le concernant (par ex. à privée sur Internet: 1. Sachez qu’en utilisant Internet, vos des fins publicitaires). données personnelles sont relevées et 3. Selon la destination des données, prendre des mesures de sécurité gaenregistrées, en partie à votre insu. rantissant l’exactitude, l’intégralité et 2. Assurez-vous d’abord que le traitel’actualité des données (par ex. mément de données personnelles sur un FI-spécial été 2000 – 5 septembre 2000 – page 18

site particulier est soumis à des dispositions précises de protection des données. Certains prestataires indiquent dans quel but les données sont relevées et quelle sera leur utilisation. 3. Ne communiquez vos données personnelles que si cela est indispensable. 4. Utilisez la dernière version des programmes de navigation qui offrent en général une meilleure sécurité. 5. Ne transmettez jamais des données confidentielles non cryptées par Internet. Protégez vos données (codage, signature digitale), si vous voulez garantir leur intégralité et leur confidentialité. Vous pouvez charger gratuitement via Internet des logiciels qui permettent de coder les données de manière sûre. 6. Si vous participez à des groupes de discussion et acceptez de figurer sur des listes de participants, pensez que vos données, notamment votre adresse électronique sera enregistrée pour longtemps et accessible à tous. 7. Vos données peuvent être réutilisées ou abusivement utilisées. Afin d’éviter cela, nous vous recommandons de faire usage des outils d’anonymisation gratuitement disponibles sur Internet. 8.Ne réglez aucune affaire via Internet si la structure n’est pas dotée d’un système de sécurité. 9. Soyez toujours conscients que lorsque vous visitez les sites, vos destinations de prédilection seront pour la plupart enregistrées. Afin de l’éviter, fuyez les offres qui ne garantissent pas l’anonymat ou utilisez sinon les outils d’anonymisation. Vous trouverez des informations pratiques dans le bulletin d’information n° 1/2000 (mars 2000) disponible sur le site du PFPD (www.edsb.ch).

Le cas de l’envoi de publicité non souhaitée par courrier électronique Il est facile d’identiﬁer et d’enregistrer une personne dans Internet par le biais de son adresse électronique. Mais une adresse électronique peut aussi comporter d’autres informations sur le destinataire comme son nom, son prénom, son lieu de travail et son adresse

La protection des données et Internet personnelle. Grâce à ces renseignements sur la personne, et le cas échéant grâce aussi à la participation des personnes concernées à des listes de distribution ou à divers groupes de discussion, il est possible de cerner ses intérêts et d’établir ainsi un profil de sa personnalité. Ces données peuvent être exploitées par des tiers et utilisées à d’autres fins, par exemple pour l’envoi de publicité. Lorsqu’il s’agit d’un envoi conventionnel de publicité par poste, on peut bloquer son adresse qui ne sera plus utilisée à des fins publicitaires (liste Robinson ou étoile dans l’annuaire téléphonique). Les expéditeurs d’envois publicitaires sont tenus dans ce cas de respecter le souhait d’une personne qui ne désire pas recevoir de publicité. La situation est tout autre dans le cas du courrier électronique. Bien que l’adresse soit valable dans le monde entier, il n’existe pas de liste centrale d’adresses où l’on pourrait, si nécessaire, la faire bloquer. Il est donc difficile de se protéger du courrier électronique non désiré. Aux désagréments crées par la publicité, s’ajoutent encore les taxes téléphoniques qui sont à la charge de la personne concernée. Il convient donc de mettre en œuvre les moyens techniques adéquats pour protéger l’utilisateur du courrier électronique qu’il ne désire pas et qui, en outre, implique pour lui des coûts. Certains serveurs mettent à la disposition des utilisateurs des programmes contenant des filtres qui trient les messages électroniques entrants. On peut ainsi fixer les conditions dans lesquelles le courrier publicitaire est automatiquement effacé. Les filtres puissants

dirigent eux-mêmes les envois publicitaires dans la corbeille à papier. Là aussi, un inconvénient n’en demeure pas moins: la publicité non désirée n’est reconnue qu’après avoir été chargée. Donc les frais de téléphone demeurent. Il est possible de remédier à cet inconvénient lorsque le tri se fait déjà au niveau du serveur. La messagerie électronique a donc «son prix». Il est en effet long et fastidieux de se protéger des envois non souhaités. Mais, indépendamment des envois publicitaires non souhaités, il n’est pas sans danger d’envoyer soi-même des données par courrier électronique. La plupart du temps, ces envois ne sont pas codés et peuvent être aisément lus, copiés ou modiﬁés par des tiers. Nous aimerions à cet endroit rappeler avec insistance que l’envoi de données non codées par l’intermédiaire d’Internet est tout aussi sûr et conﬁdentiel que l’envoi d’une carte postale ! Vous trouverez des informations supplémentaires dans le 7ème rapport d’activités (p. 238) disponible sur le site du PFPD (www.edsb.ch).

La protection de la sphère privée grâce aux technologies favorables à la protection des données Internet, comme d’autres services en ligne, se caractérise entre autres par sa capacité à générer la transmission de très grandes quantités d’informations. L’accès des utilisateurs aux services en ligne est très rarement anonyme. En outre, la plupart des utilisateurs ignorent les risques que cette activité en ligne comporte pour leur sphère privée qui n’en est que plus menacée. Il convient donc de prendre des mesures qui

limitent au minimum le relevé de données personnelles. Pour ce qui est de la protection de la sphère privée à l’aide de moyens techniques [dans la mesure de ce qui est réalisable ], les services en ligne doivent tenir compte du besoin légitime d’anonymat. En effet, à l’ère des réseaux mondiaux, les lois sur la protection des données ne suffisent plus à elles seules à protéger le droit à la vie privée. La technique doit donc être utilisée de manière à ce que les systèmes de traitement de données permettent de limiter d’emblée au strict nécessaire le traitement de données personnelles. Aujourd’hui déjà, il existe des moyens techniques favorables à la protection des données permettant de concevoir des systèmes qui ne nécessitent que peu de données ou qui garantissent l’anonymat (services en ligne anonymes, procédé de codage, utilisation de pseudonymes dans des cas où l’identification de la personne n’est pas nécessaire, cartes à prépaiement anonymes et rechargeables, etc.). Néanmoins, dans la pratique, ces possibilités sont encore trop peu exploitées. Nous recommandons donc aux utilisateurs et aux fournisseurs de services d’Internet de faire davantage usage de ces technologies compatibles avec la protection des données. Il est aussi dans l’intérêt des fournisseurs de services en ligne de promouvoir et d’offrir des technologies favorables à la protection des données. Cela permet d’accroître la confiance des utilisateurs à l’égard de l’offre de prestations de services électroniques, confiance nécessaire pour que les prestations offertes rencontrent un écho favorable. Enfin, il convient de ne limiter que dans la mesure du nécessaire par une loi et de manière permanente les restrictions au droit à l’anonymat ou les moyens techniques à cet effet (par exemple les procédés de codage). Vous trouverez également des informations sur le site de la société Electronic Privacy Information Center www.epic.org/privacy/tools.html (uniquement en anglais).■

FI-spécial été 2000 – 5 septembre 2000 – page 19

Stratégie et protection des

systèmes d’information données et logiciels existent et sont conservés le temps nécessaire; ❚ la non-répudiation (aucune contestation).

Solange Ghernaouti-Hélie, Professeur à l’Institut d’informatique et d’organisation, HEC-Lausanne

Objectif central de la sécurité des systèmes d’information L’objectif de la sécurité des systèmes d’information est de garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre1 .

Ces propriétés, en fonction de la valeur des ressources et de leur cycle de vie, doivent être garanties par des mesures de sécurité. Celles-ci, sont mises en œuvre au travers d’outils particuliers, de procédures adaptées et de personnes. Elles sont gérées et validées par des procédures de gestion et d’audit. La sécurité repose donc sur un ensemble cohérent de mesures, procédures, personnes et outils.

fonction de facteurs critiques de succès qui permettent d’atteindre les objectifs de l’entreprise, les mesures et directives sécuritaires appropriées. Ces dernières doivent être cohérentes par rapport aux plans d’entreprise et informatique. Pour cela, une vision stratégique de la sécurité globale de l’entreprise est nécessaire. Le choix des mesures de sécurité à mettre en place au sein des organisations, résulte généralement d’un compromis entre le coût du risque et celui de sa réduction. Il dérive de l’analyse à long, moyen et court termes des besoins et des moyens sécuritaires.

La mission de sécurité informatique

Déﬁnir une stratégie sécuritaire

La mission de la sécurité se résume en cinq types d’actions génériques. Elle consiste à: ❚ déﬁnir le périmètre de la vulnérabilité lié à l’usage des technologies de

La gestion de la sécurité est spéciﬁque à la structure organisationnelle de l’entreprise et dépend de sa stratégie. Il existe donc autant de politiques, de

es m è st sy s e d n o ti c te o r p t e ie g Straté d’information La sécurité ne permet pas directement de gagner de l’argent mais évite d’en perdre. Ce n’est rien d’autre qu’une stratégie préventive qui s’inscrit dans une approche d’intelligence économique. Pour ce qui concerne les données et les logiciels, la sécurité informatique implique qu’il faille assurer les propriétés suivantes: ❚ la conﬁdentialité (aucun accès illicite): maintien du secret de l’information et accès aux seules entités autorisées; ❚ l’intégrité (aucune falsiﬁcation): maintien intégral et sans altération des données et programmes; ❚ l’exactitude (aucune erreur); ❚ la disponibilité (aucun retard): maintien de l’accessibilité en continu sans interruption ni dégradation; ❚ la pérennité (aucune destruction): les 1

Sinistre: erreur (de saisie, de transmission, d’exploitation, d’utilisation), accidents naturels (dégât des eaux, incendie, etc.),

FI-spécial été 2000 – 5 septembre 2000 – page 20

l’information et de la communication; ❚ offrir un niveau de protection adapté aux risques encourus par l’entreprise; ❚ mettre en œuvre et valider l’organisation, les mesures, les outils et les procédures de sécurité; ❚ optimiser la performance du système d’information en fonction du niveau de sécurité requis; ❚ assurer les conditions d’évolution du système d’information et de sa sécurité. L’efﬁcacité de la sécurité d’un système d’information ne repose pas uniquement sur les outils de sécurité mais également sur une stratégie, une organisation et des procédures cohérentes. Cela nécessite une structure de gestion adéquate dont la mission est de gérer, mettre en place, valider, contrôler et faire comprendre à l’ensemble des acteurs de l’entreprise l’importance de la sécurité. Elle détermine également le comportement, les privilèges, les responsabilités de chacun. Elle spéciﬁe, en

procédures, d’outils de sécurité que d’entreprises et de besoins sécuritaires. La direction générale de l’entreprise est responsable de l’évaluation des risques, de l’établissement de la politique de sécurité et de la mise en place de la structure organisationnelle qui la mettra en œuvre. Risques et politique font l’objet d’une évaluation et d’une actualisation. Une politique de sécurité offre une réponse graduée à un problème sécuritaire spéciﬁque, en fonction de l’analyse des risques qui en est faite. Elle doit exprimer l’équilibre entre les besoins de production et de protection.

Des questions simples, des réponses précises Les interrogations suivantes sont à prendre en considération pour réaliser une démarche sécurité. Elles sont simples et relèvent du bon sens: ❚ Quelles sont les valeurs de l’entreprise?

Stratégie et protection des systèmes d’information ❚ Quel est leur niveau de sensibilité ou de criticité? ❚ De qui, de quoi doit-on se protéger? ❚ Quels sont les risques réellement encourus? ❚ Ces risques sont-ils supportables? ❚ Quel est le niveau actuel de sécurité de l’entreprise? ❚ Quel est le niveau de sécurité que l’on désire atteindre? ❚ Comment passer du niveau actuel au niveau désiré? ❚ Quelles sont les contraintes effectives? ❚ Quelles sont les moyens disponibles?

Réaliser une politique de sécurité Une entreprise détermine des normes générales de sécurité2 qui s’appliquent à l’ensemble de ses systèmes et de son personnel. La démarche sécurité est un projet d’entreprise. Dans la mesure où chacun est concerné par sa réalisation, elle est analogue à celle de qualité totale. Sa validité sera renforcée si l’organisation développe une éthique d’entreprise et si elle stipule également ses exigences de sécurité envers ses partenaires externes. La réalisation d’un inventaire complet, sous forme d’enquêtes et de questionnaires de tous les éléments matériels, logiciels, organisationnel, économiques et humains intervenant dans la chaîne sécuritaire, contribue à réaliser la politique de sécurité. Il faut identiﬁer: ❚ les contraintes techniques et organisationnelles aﬁn de déterminer la fai2

Les normes générales de sécurité ou encore référentiels de sécurité déﬁnissent les règles de sécurité communes à tous les acteurs de la sécurité et qui concernent notamment le contrôle d’accès, les per-

sabilité technique et organisationnelle de la politique de sécurité pour chaque cible; ❚ les ressources, les connexions, les mécanismes de sécurité inhérents et applicables (conﬁguration, paramètres, gestion des utilisateurs, etc.), les risques et leurs scénarios possibles (erreur d’utilisation, de paramétrage, accidents, malveillance, sabotage, attaque logique, etc.).

Parallèlement, il est nécessaire d’effectuer une classiﬁcation des ressources pour déterminer leur degré de sensibilité. Ce dernier, indique leur importance en cas de perte, d’altération ou de divulgation des données. Plus les conséquences sont graves pour l’entreprise, plus la ressource est sensible, possède de la valeur et est à protéger.

FI-spécial été 2000 – 5 septembre 2000 – page 21

Stratégie et protection des systèmes d’information

Conditions de succès d’une démarche sécurité La mise en place d’une démarche sécurité passe par la réalisation des points: ❚ une volonté directoriale; ❚ une politique de sécurité simple, précise, compréhensible et applicable; ❚ la publication de la politique de sécurité; ❚ une gestion centralisée de la sécurité et une certaine automatisation des processus de sécurité; ❚ un niveau de conﬁance déterminé des personnes, des systèmes, des outils impliqués;

(ressources informatiques, informations). La difficulté de mise en œuvre de solutions efficaces de sécurité provient du fait qu’elles doivent être à la fois d’ordre technologique, procédural, réglementaire, organisationnel, humain et managérial. Ces multiples facettes sont donc à intégrer de façon cohérente et doivent être acceptées et gérées efficacement par l’ensemble des acteurs intervenant dans une opération commerciale. Ces derniers sont nombreux, voire répartis au niveau international et possèdent des systèmes hétérogènes.

leurs impacts, en des mesures concrètes de sécurité. Sa spécification est un des garants du bon dimensionnement des mesures de sécurité et d’une gestion efficace. Elle donne de la cohérence à la gestion et permet d’adopter vis à vis des risques et menaces, une attitude préventive et pro-active et pas seulement réactive. Elle permet de lier la stratégie de sécurité de l’entreprise à sa réalisation opérationnelle. Elle doit être dynamique et remise en question de manière permanente afin de suivre l’évolution

Quelques constats tous. ❚ La sécurité est l’affaire de blématique que pas assez. pro si entiﬁer pourquoi on aus est té ❚ Trop de sécuri sécurité à appliquer mais d’id de ie log hno tec la est lle ider que ❚ Le plus dur n’est pas de déc i. quo sur et doit l’appliquer lle aux enjeux. n des risques et proportionne ❚ La sécurité doit être fonctio quotidien. au uise déﬁnitivement, elle se vit ❚ La sécurité n’est jamais acq urité qu’ils servent. séc de de la politique end dép té uri séc de certains systèmes de ils out ❚ La qualité des de limitations particulières tir par à çue con e êtr pas ne doit ❚ Une politique de sécurité licatifs, etc.). app n d’attractibilité de n, atio oit xpl (systèmes d’e étration d’un système (notio pén de ue risq le est nd gra s se, plu ❚ Plus grande est la récompen le). cib que t tan en l’entreprise

❚ du personnel sensibilisé et formé à la sécurité, possédant une haute valeur morale; ❚ des procédures d’enregistrement, de surveillance et d’audit; ❚ la volonté d’éviter de mettre le système d’information de l’entreprise en situation dangereuse; ❚ l’expression, le contrôle et le respect des clauses de sécurité dans les différents contrats; ❚ une certaine éthique des affaires et respects des contraintes légales (recensement des ﬁchiers nominatifs, etc.).

Dimension multidisciplinaire des solutions de sécurité La sécurité informatique exige une démarche globale de maîtrise des risques liés à l’usage de systèmes informatiques et de télécommunication et contribue à la protection des valeurs FI-spécial été 2000 – 5 septembre 2000 – page 22

Il est primordial que le même niveau de sécurité soit offert tout au long de la transaction commerciale. Au-delà des aspects purement techniques de compatibilité de systèmes et de réalisation de services à distance, la technologie ne peut suppléer au manque de rigueur de gestion et de cohérence de la mise en œuvre des outils. En effet, c’est du ressort des dimensions organisationnelle et managériale que dépendent la qualité et la sécurité du service client: identiﬁcation des données sensibles, procédures de sauvegarde, de secours, de reprise, choix technologiques, paramétrage des systèmes, mises à jour logicielles, exactitude des informations, exécution des obligations du vendeur, logistique, livraison, etc.

Conclusion La politique de sécurité permet de transcrire le travail de modélisation effectué pour comprendre les risques et

des systèmes, de l’environnement et des risques. La bonne réalisation d’une politique de sécurité permet au mieux, de maîtriser les risques informatiques, tout en réduisant leur probabilité d’apparition. Toutefois, il ne faut pas perdre de vue que même un bon gestionnaire de la sécurité, tout en anticipant et prévenant certains accidents volontaires ou non, n’est pas devin. L’on évoque couramment l’intégrité des données, moins souvent celle des hommes. Nul service de sécurité, aussi perfectionné soit-il, ne tient si l’intégrité des administrateurs, responsables réseau, hommes systèmes ou utilisateur se trouve mise en cause. Ne perdons pas de vue que le maillon faible de la sécurité est l’homme. Ndr: Solange Ghernaouti-Hélie est l’auteur du livre à paraître: Sécurité Internet; Stratégies et technologies, Dunod (octobre 2000) ■

Carte à puce et sécurité

Bertrand Lathoud, HEC-UNI-Lausanne

u cours des mois d’avril et mai 2000, des enquêteurs du GAO (General Accounting Ofﬁce) [organisme

fait ses preuves depuis plus de dix ans. Brevetée en 1974 par un ingénieur français, le concept de carte à puce va connaître son essor pendant les années quatre-vingt grâce à la mise sur le marché des premières cartes bancaires (carte bleue en France), et des télécartes destinées à la téléphonie. Dès 1985, les géants de la carte de paiement que sont Visa et Mastercard, s’y intéressent. On la retrouve ensuite dans les décodeurs des chaînes de télévision à péage, ou encore dans les natels (SIM: Subscriber Identiﬁcation Module).

rect, ou par radiofréquences (technologie des transpondeurs) et embarquant un microprocesseur de type RISC. L’intérêt de la carte à puce en matière de sécurité est de pouvoir offrir un mécanisme d’authentiﬁcation très robuste. En effet, certaines zones de la carte ne sont pas lisibles directement. Elles peuvent enfermer des données chiffrées, que le microprocesseur embarqué sera en mesure de traiter en fonction des instructions et informations fournies par le lecteur de carte. Une smart card

é it r u c sé t e e c u p à te r a C chargé de mener des enquêtes pour le compte du Congrès des Etats-Unis] ont réussi à pénétrer dans une vingtaine de bâtiments fédéraux dépendant notamment du FBI, de la CIA, ou encore du Département de la Défense, en étant simplement munis de faux badges confectionnés à partir de modèles disponibles sur Internet ou chez des revendeurs spécialisés (dépêche Reuters du 26 mai 2000). Des telles faiblesses en matière de sécurité ne sont pas simplement imputables au laxisme de quelques gardes, ou aux lacunes des procédures de contrôle d’accès. Les outils de contrôle d’accès et d’identité, tels que les badges, ne sont plus forcément adaptés à leur mission, compte tenu des technologies disponibles. En effet, contrefaire une identité n’est plus réservé aux seules organisations gouvernementales, ou aux mafias de tout poil. On comprend mieux les motivations de l’administration fédérale américaine (par le biais du GSA: General Services Administration) à mener rapidement à son terme un projet fédéral intitulé: Smart Access Common Identification Card. Ce choix technologique n’est pas le fruit du hasard, ou de la réussite d’un groupe de lobbyistes particulièrement actifs. La carte à puce est un outil permettant de répondre efficacement à plusieurs des critères essentiels de la sécurité: identification, authentification, et confidentialité. Les Etats-Unis font mine de découvrir aujourd’hui une solution développée en Europe, où elle

Il existe aujourd’hui six familles de cartes, qui vont de la carte à mémoire simple, jusqu’à la carte multi-technologies pouvant être lue par contact di-

peut par exemple contenir des données permettant l’identiﬁcation du porteur et une clé privée dans la zone protégée de sa mémoire. Le lecteur d’un distributeur automatique de billets n’aura accès qu’au résultat du chiffrement, et devra comparer avec les informations correspondantes conservées par la banque. Toutefois, le niveau de sécurité garanti par l’utilisation de cartes à puce sera déterminé par le degré de sécurisation offert par la puce elle-même. La récente affaire Humpich, en France, a provoqué une polémique entre le Groupement d’Intérêt Economique (GIE) Carte Bancaire [rassemblant environ 200 banques françaises], le Gouvernement, et les associations de consommateurs. En effet, Serge Humpich, ingénieur français, a découvert en 1997 un moyen de leurrer la protection mise en place au niveau des lecteurs de cartes, aﬁn

FI-spécial été 2000 – 5 septembre 2000 – page 23

Carte à puce et sécurité de créer une Yescard: une fausse carte à puce qui répond OK quel que soit le code secret entré sur le clavier du lecteur. Poursuivi en justice par le GIE, il a été condamné à 10 mois de prison avec sursis en février 2000, au terme d’une instruction menée dans des conditions parfois surprenantes. Certains y ont vu la ﬁn du mythe de la carte à puce inviolable. En fait, il semblerait que la réalité soit plus complexe: si la carte bancaire telle qu’elle existe aujourd’hui en France, est vulnérable, c’est en partie dû à la légèreté du GIE qui n’a pas su adapter la force du chiffrement des données transportées par la carte, à la puissance de calcul disponible pour le grand public et a fortiori les pirates. On se retrouve confronté à un problème de gestion, et non de technologie. De plus, certaines faiblesses de la carte bleue sont inévitables pour des raisons de compatibilité avec les systèmes de paiement électronique en vigueur dans certains pays. Ceux-ci en sont restés à la carte à bande magnétique, très facilement clonable. Si l’on veut pouvoir faire usage de la carte à puce dans ces pays, il est nécessaire d’enregistrer certaines informations, normalement conﬁnées dans la puce, sur la piste magnétique. Les pirates disposent ainsi d’un biais pour contour-

ner la forte protection que représente la puce. L’avenir des cartes à puce ne semble pas pour autant assombri. Selon une étude du cabinet IDC, le marché européen pour cette technologie devrait croître de 31% par an pour les cinq prochaines années. Au niveau mondial, la croissance devrait se situer aux alentours de 40% par an. On se retrouverait ainsi avec 3,3 milliards de cartes en circulation dans le monde en 2005. Dès 2003, la grande majorité des cartes bancaires à puce devrait respecter le standard déﬁni par Visa et Mastercard: chiffrement asymétrique et clés de 1024 bits. Outre les domaines traditionnels de la Banque et de la téléphonie mobile, on devrait la retrouver fréquemment dans tout ce qui touche à la sécurité des réseaux. Soucieuses d’améliorer leur image, les banques françaises ont promu une nouvelle solution de sécurisation des échanges commerciaux sur Internet: CyberComm. Respectant le protocole SET (Secure Electronic Transaction), elle prend la forme d’un lecteur de carte à brancher sur l’ordinateur de l’utilisateur, et permet d’authentiﬁer ce dernier sans que le code secret n’ait à transiter sur le réseau. Compaq a annoncé une première production de 100’000

claviers équipés d’un lecteur de carte à puce et compatibles avec cette technologie. Enﬁn, l’apparition des usages réellement mobiles (informatique diffuse) devrait accentuer la demande. On peut imaginer que la puissance croissante de l’électronique embarquée favorisera la diffusion de cartes contenant simultanément des données implantées par le fournisseur de services (banque, opérateur télécom,…) et des informations en provenance de l’utilisateur, telles que celles numérisées par des capteurs biométriques.

Bibliographie ❚ La carte à puce, Jean Donio et alii, Collection Que sais-je, PUF, Paris, 1999, ISBN: 2 13 050106 0 ❚ PC et Carte à puce, Patrick Gueulle, ETSF, Paris, 1995, ISBN:2 85535 239-8 Site présentant les choix normatifs de Visa et Mastercard: www.emv.com Etude IDC: www.idc.fr/presse/cp_smartcards_ fr.htm Site sur l’affaire Humpich: www.parodie.com/monetique ■

Flash informatique

nt l’unité, du tampon officiel engage Les articles accompagnés s. Toute reeur aut rs leu de on ini l’op les autres ne reflètent que c l’accord de le, n’est autorisée qu’ave production, même partiel s. la rédaction et des auteur line Dousson, fi@epfl.ch Rédacteur en chef: Jacque bosa e: Appoline Raposo de Bar Mise en page & graphism vay, JeanBo s que Jac ur, aniel Bonjo Comité de rédaction: Jean-D in, Jean-Jacques Dumont, Hervé can Michel Chenais, Milan Crv rray, Martin Rajman, François Mu Le Pezennec, Elaine Mc ann & Jacques Virchaux Roulet, Christophe Salzm rographie EPFL Rep de Impression: Atelier Tirage: 4000 exemplaires ons/ .epfl.ch/SIC/SA/publicati Adresse Web: http://sawww sanne Lau 15 -10 CH , 121 Adresse: SIC-SA EPFL, CP 22 46 & 22 47 Téléphone: +41 (21) 693

ISSN 1420-7192

FI-spécial été 2000 – 5 septembre 2000 – page 24

9<HSMENA=hbjaab>

La biométrie pour l’authentiﬁcation du client: état de l’Art

Djamila.Mahmoudi@swisscom.com, PhD, collaboratrice au département Corporate Information and Technology de Swisscom AG

dant, les utilisateurs ne sont pas tout à fait satisfaits de ces cartes ID pour les raisons suivantes: ❚ les cartes ID basées sur les mots de passe ne sont pas fiables, ❚ les cartes ID peuvent être perdues, oubliées ou mal placées, ❚ le mot de passe risque d’être oublié ou compromis. Le fait de ne pas permettre une authentification physique de l’utilisateur rend les cartes ID relativement faciles à falsifier, et ceci constitue leur inconvénient majeur. En effet, les utilisateurs ne se sentent pas suffisamment bien protegés en effectuant des transactions faisant appel à de telles techniques d’authentification. De nombreuses entreprises recherchent la technique qui permet de donner plus de confort à leurs utilisateurs tout en garantissant un accès hautement sécurisé. Différentes techniques d’authentification basées sur les caractéristiques physiques de l’utilisateur ont été développées par la recherche scientifique. Ces techniques, généralement appelées méthodes biométriques, ont donné naissance à.plusieurs produits commerciaux d’authentification que l’on peut trouver actuellement sur le marché. L’avantage principal de ce qu’on appelle mot de passe biométrique est lié au fait qu’il ne pourrait pas être volé, oublié ou transmis à une autre personne. En effet, chaque membre de la population possède sa propre caractéristique biométrique, et elle est relativement stable. Par conséquent, il est fort possible que dans un futur relativement proche, le mot de passe biométrique remplacera le mot de passe conventionnel dans toutes les applications nécessitant un niveau élevé de sécurité.

données criminelles (Mug shot matching). Elle figure aussi dans les applications civiles où l’authentification des cartes de crédit, de permis de conduire et des passeports est de plus en plus courante. Avec l’émergence du commerce électronique (E-commerce), tous les fournisseurs de produits et de services par Internet sont en train de fournir un effort considérable afin de se proté-

n o ti a c fi ti n e th u A t e ie tr é Biom Introduction Actuellement, l’accès sécurisé et la surveillance constituent un sujet de très grande importance à cause du développement fulgurant des réseaux informatiques présents dans tous les domaines, ainsi que l’ampleur que prend chaque jour Internet dans notre société. En général, on distingue deux catégories d’identification, fondamentalement différentes et dépendantes de l’application: ❚ la reconnaissance ou l’identification de l’utilisateur qui consiste à associer une identité à une personne. En d’autres termes, elle répond à des questions du type: «Qui suis-je?» ❚ l’authentification ou la vérification de l’utilisateur qui permet de confirmer une identité proclamée ou de l’infirmer. Le système doit alors répondre à la question suivante: «Suisje réellement la personne que je suis en train de proclamer?» En ce qui concerne les applications, l’authentification d’utilisateur est utilisée dans tous les domaines nécessitant un accès contrôlé tels que celui des applications bancaires, les endroits hautement sécurisés comme les sièges de gouvernement, et Internet. Quant à la reClient connaissance, elle est souvent utilisée par la police et les services d’immigration dans les aéroports, ainsi que dans la recherche de bases de

ger. En d’autres termes, le processus d’authentiﬁcation de l’utilisateur, ainsi que les aspects de sécurité sont devenus essentiels pour toute entreprise voulant se lancer dans le monde du commerce électronique. Les techniques d’authentiﬁcation offrant plus de précision et de robustesse en présence de facteurs interférents sont donc de plus en plus recherchées.

L’état du problème De nos jours, la fraude ne cesse d’augmenter dans notre société. Certains utilisateurs, appelés imposteurs, sont capables de falsiﬁer leur identité avec une facilité remarquable. Ceci est dû au fait que les systèmes d’authentiﬁcation les plus utilisés sur le marché sont basés sur la solution conventionnelle: login and password ou accès avec mot de passe, souvent associés à une carte ID contenant l’information sur d’identité de son possesseur. Cepen-

Modèles de la phase d'entrainement

Acquisition

Extraire la caractéristique

Base de Données

Classement

Décision

sortie

n système d’identiﬁcation

Fig.1:Structure globale d’u

FI-spécial été 2000 – 5 septembre 2000 – page 25

Biométrie et authentification

Biométrie et authentification de l’utilisateur Technologie: La biométrie est la science qui permet d’identifier automatiquement un individu en se basant sur ses caractéristiques physiologiques ou comportementales. Généralement, on distingue deux catégories de méthodes d’authentification biométrique: les méthodes basées sur les caractéristiques physiques telles que visage, voix, iris, rétine, pouce, forme de la main et de l’oreille, ADN, et celles basées sur les caractéristiques comportementales comme la signature, la manière de marcher ou de taper sur un clavier (keystroke dynamics). Généralement, le processus d’identification (voir Fig.1) consiste à comparer la caractéristique en question, souvent appelée modèle de l’utilisateur avec les modèles équivalents de tous les utilisateurs, déjà stockés dans une base de données. L’utilisateur inconnu est identifié comme l’utilisateur ayant la caractéristique biométriques ou le modèle qui ressemble le plus, selon un critère donné, au modèle d’entrée. Notons que le système est capable de fournir uniquement l’identité d’un utilisateur ayant déjà un modèle stocké dans la base de données. Contrairement à l’identification, l’authentification consiste à comparer le modèle d’entrée avec seulement celui de l’identité proclamée. Ici, il s’agit de classer l’utilisateur comme un vrai utilisateur ou un imposteur. Les différentes étapes du processus d’identification sont: 1. Acquisition: Un système d’acquisition équipé d’un capteur est utilisé pour acquérir une caractéristique spécifique de l’utilisateur, par exemple: une caméra ou un microphone dans le cas de la voix. 2. Extraction: Ayant une image ou une voix en entrée, une étape de segmentation permet d’extraire la caractéristique dont le processus d’authentification a besoin. Par exemple: extraire le visage du fond d’une image dans le cas de l’identification de visage. 3. Classification: En examinant les modèles stockés dans la base de données, le système collecte un certain nombre de modèles qui ressemblent le plus à celui de la personne à identifier, et constitue une liste FI-spécial été 2000 – 5 septembre 2000 – page 26

limitée de candidats. Cette classification intervient uniquement dans le cas d’identification car l’authentification ne retient qu’un seul modèle (i.e. celui de la personne proclamée). 4. Décision: Dans le cas de l’identification, il s’agit d’examiner les modèles retenus par un agent humain et donc décider. En ce qui concerne l’authentification, la stratégie de décision nous permet de choisir entre les deux alternatives suivantes: l’identité de l’utilisateur correspond à l’identité proclamée ou recherchée ou elle ne correspond pas. Elle est basée sur un seuil prédéfini. L’estimation du seuil de la décision constitue la plus grande difficulté de ces techniques, et elle peut engendrer deux types d’erreurs, souvent prises comme mesures de performances pour ces techniques d’authentification: faux rejet (FR) qui correspond à rejeter un vrai utilisateur ou une identité valable, et fausse acceptation (FA) qui donne accès à un imposteur. Bien sûr, un système d’authentification idéal est celui qui donne FA=FR=0. Malheureusement, dans les conditions réelles, ceci est impossible. Quand FR augmente, FA diminue et vice versa. Par exemple, si l’accès est donné à tout le monde, FR=0 signifiant que FA=1. Par contre, un accès refusé à tout le monde correspond à FR=1, mais entraîne un FA=0. Par conséquent, un compromis doit être fait dans le choix du seuil, et ce dernier est très dépendent de l’application: FA doit avoir une valeur très faible dans les applications bancaires afin de garantir plus de sécurité. Généralement, un système d’authentification opère entre les deux extrêmes pour la majorité des applications: on ajuste le seuil de décision pour atteindre une valeur désirée et prédéfinie de FR ou de FA. Il est donc difficile de comparer les performances des systèmes d’authentification en se basant uniquement sur les valeurs de FA

Les méthodes biométriques Dans cette partie, nous allons présenter les biométries utilisées ainsi que leurs techniques de traitement, et nous mentionnerons quelques produits commerciaux. Les empreintes digitales Il s’agit d’une des premières biométries utilisées dans des machines d’authentiﬁcation et la technologie la

plus mature pour la reconnaissance des criminels. Le premier système automatique d’authentification utilisant les empreintes digitales a été commercialisé au début des années 1960. La formation des empreintes dépend des conditions initiales du développement embryogénique, ce qui les rend uniques à chaque personne et même à chaque doigt. L’image d’empreinte est prise soit selon le mode traditionnel qui est un scanning du doigt couvert d’encre soit en utilisant un dispositif d’acquisition d’image spécifique (live-scan fingerprint scanner). Les images d’empreintes digitales sont relativement faciles à traiter, comme la plupart de l’information est contenue dans la forme des lignes. Le traitement est généralement effectué sur des images binaires. Autrefois utilisée par les forces de sécurité, cette technique se développe à présent dans le secteur grand-public grâce à l’apparition de capteurs bon marché. Le visage L’authentification du visage est la technique la plus commune et populaire. Elle reste la plus acceptable puisqu’elle correspond à ce que les humains utilisent dans l’interaction visuelle. Les caractéristiques jugées significatives pour la reconnaissance du visage sont : les yeux, la bouche et le tour du visage. Le nez ne présente pas de particularité pour la vue de face. Les fréquences spatiales jouent des rôles différents: les composantes basses fréquences contribuent à la description globale et permettent de déterminer le sexe, par contre les composantes hautes fréquences sont plus importantes pour la tâche d’authentification ou d’identification. Le visage est une biométrie relativement peu sûre. En effet, le signal acquis est sujet à des variations beaucoup plus élevées que d’autres caractéristiques. Celles-ci peuvent être causées, entre autres, par le maquillage, la pilosité, la présence ou l’absence de lunettes, le vieillissement et l’expression d’une émotion. La méthode d’authentification du visage est sensible à la variation de l’éclairage et le changement de la position du visage lors de l’acquisition de l’image. En plus, il est recommandé d’utiliser le même type de caméra dans plusieurs applications. Plusieurs produits commerciaux sont déjà apparus, parmi lesquels

Biométrie et authentification FaceIt®, qui a été choisi par des instances gouvernementales pour la surveillance d’aéroports. La voix: La reconnaissance d’un locuteur offre l’avantage d’être bien acceptée par l’utilisateur, quelle que soit sa culture. De plus, s’il s’agit de sécuriser une transaction téléphonique, la voix est la seule information disponible. On distingue les systèmes à texte prédéterminé (text dependent), où l’utilisateur doit répéter un texte qu’il ne choisit pas, et les systèmes où la personne peut parler librement (text independent). La phase d’apprentissage utilise généralement plusieurs modèles du locu-

ments de haute sécurité, comme l’accès aux sites nucléaires militaires. Cette méthode requiert une collaboration étroite de la part du sujet, car il doit placer son œil extrêmement près de la caméra. Cette caractéristique a limité le développement d’applications grand public.

L’iris: Si la couleur, la forme et l’apparence générale de l’iris est déterminée génétiquement, sa texture détaillée est propre à chaque individu, voire même à chaque œil. De plus, cette texture est stable et ne peut être modifiée sans perte importante des capacités visuelles. Une technique de description de cette texture basée sur des filtres de Gabor a été développée et a concoût duit à des applications commerciales (la compagnie qui détient les iris brevets sur la reconnaissance par main l’iris S’appelle IriScan). Cette technique est sûre et moins contrairétine signature gnante pour l’utilisateur que celle e ital dig e de la rétine, mais elle nécessitait int pre em visage jusqu’à présent que l’utilisateur place son œil en bonne position voix par rapport à la caméra, ce qui a précision fortement limité son succès en ues riq Europe. Cependant, l’incorpomét bio hniques Fig.2: Comparaison des tec la de ration de techniques de localiet ts des coû les plus utilisées en fonction sation de l’œil permet de relaxer précision la contrainte à laquelle l’utilisateur est soumis, et son utilisation est envisagée dans les distributeurs teur pour tenir compte de la variade billets de banque et pour l’accès sébilité de son discours. La phase de recurisé à Internet. connaissance consiste à segmenter le signal de parole en unités qui sont enLa main: suite classées. Ces unités peuvent être La silhouette de la main est une des mots ou des phonèmes. La perforcaractéristique de chaque individu. La mance est sujette à la qualité du signal, forme de la main est acquise par un qui dépend de la variabilité de la voix scanner spécialisé, généralement à indu locuteur dans le temps comme dans frarouge. Des paramètres tels que la le cas de maladie (e.g. rhume), des états longueur des doigts, leur épaisseur et émotionnels (e.g. angoisse, joie) et de leur position relative sont extraits de l’âge, des conditions d’acquisition de l’image et comparés à la base de donla voix telles que le bruit et la réverbénée. ration, de la qualité des équipements Cette biométrie est toutefois sujette tels que le microphone, sans oublier le aux modifications de la forme de la fait que différentes personnes peuvent main liées au vieillissement. avoir des voix similaires. La rétine: Il a été montré que chaque œil possède en sa rétine un arrangement unique des vaisseaux sanguins. La technique basée sur la rétine utilise la texture de ces vaisseaux. Cette technique est relativement ancienne, et a été utilisée essentiellement dans des environne-

Autres biométries: D’autres techniques sont actuellement étudiées, telles que la démarche de l’individu, son ADN, sa signature manuscrite. Pour plus d’informations, on pourra se référer à: Biometric: Personal Identiﬁcation in Networked Society, A. Jain, R. Bolle, S. Pankanti

editors, The Kluwer International Series in Engineering and Computer Science, Kluwer, 1999. L’utilisation d’une seule caractéristique biométrique pour l’authentification de l’utilisateur ne peut pas garantir de bonnes performances dans certains cas, par exemple l’authentification de visage dans le cas de vrais jumeaux, la variation du signal acquis ou la présence de bruit. Afin de surmonter ce problème, des méthodes biométriques, appelées multi-modales, ont été introduites pour obtenir de meilleures performances. Il s’agit de combiner plusieurs biométries dans le processus de l’authentification pour assurer un niveau de sécurité plus élevé. Un exemple de ces méthodes est celle qui utilise le visage, la voix et le mouvement des lèvres ensemble.

Conclusion L’utilisation massive de systèmes biométriques repose sur un prix et des performances acceptables. Naguère élevé, le prix des systèmes d’authentification diminue rapidement, mais l’amélioration des performances promet d’être plus lente. Du côté des sociétés de service, le facteur d’acceptation principal est le taux de succès. Cependant, le cahier des charges varie d’une application à l’autre: un distributeur de billets de banque nécessite un taux de faux rejet (FR) faible, alors qu’une application militaire nécessite une fausse acceptation (FA) très faible. La figure 2 donne une idée du positionnement des méthodes évoquées en fonction de la performance et des coûts. Dans un futur proche, les systèmes biométriques vont peu à peu remplacer l’utilisation de mots de passe, voire de clés qui sont utilisés actuellement pour les ordinateurs, les voitures, les accès contrôlés à des bâtiments ou à Internet. Les systèmes qui rencontreront le plus de succès seront ceux qui offriront l’interface la plus simple et la moins contraignante à l’utilisateur, tout en garantissant un bon niveau de sécurité. Finalement, l’authentification biométrique contribuera à rendre l’utilisation de certains systèmes plus simple et plus conviviale. ■

FI-spécial été 2000 – 5 septembre 2000 – page 27

Vous avez dit sécurité? Le survol rapide d’un problème plutôt complexe

Commençons par le commencement : Définitions, Problèmes, Solutions…

Touradj.Ebrahimi@epfl.ch, Professeur au Laboratoire de Traitement des signaux

Préambule La sécurité est un problème qui a préoccupé l’homme depuis le début des temps. Si autrefois, la sécurité consistait tout simplement à se protéger ou à protéger ses biens contre des dangers phy-

Comme dit plus haut, la sécurité est une notion qui englobe un vaste domaine et un nombre très élevé de problèmes et de solutions. En ce qui concerne la sécurité informatique, qui nous intéresse principalement dans ce texte, nous allons partager le problème de la sécurité en deux grands ensembles, comme tout bon ingénieur qui essayera de diviser un problème complexe en plusieurs petits problèmes moins complexes, pour pouvoir les résoudre plus facilement. Ainsi la sécu-

légales et surtout morales, il est évident que le droit d’une œuvre ou d’une création revient à celui qui l’a crée ou à celui à qui ce dernier a légué son droit. Le droit international a clairement défini des prévisions légales qui le stipulent. L’exemple le plus récent d’un tel article de loi est celui de WIPO (World Intellectual Property Organization). A chaque innovation technologique liée aux traitements de l’information dans le sens le plus large, de nouveaux problèmes et questions concernant les droits d’auteurs sont apparus. Dans l’histoire récente, on peut mentionner l’apparition de la cassette audio

Vous avez dit sécurité? t tô lu p e m lè b o r p n ’u d e id p a r l Le survo complexe siques tels que des prédateurs ou des intempéries, aujourd’hui elle a pris des dimensions multiples et plutôt complexes. Dans la vie moderne, la sécurité se réfère de plus en plus à un ensemble de notions et problèmes variés, parfois même contradictoires. Ainsi on parle de la sécurité des locaux en les protégeant physiquement par des moyens adéquats tels que des portes blindées, des systèmes d’alarmes,… On se protége (se sécurise ?) également contre le vol et la maladie par le biais d’un contrat individuel ou d’une convention collective. L’apparition de l’informatique et des télécommunications a contribué à une complexité accrue des problèmes et des solutions de sécurité en amenant des notions telles que les virus informatiques, les accès non autorisés aux données, les fausses informations, etc. Dans ce contexte, nous allons nous limiter à une discussion des problèmes liés à la sécurité informatique en nous concentrant surtout autour des notions telles que l’authentification, la protection des droits d’auteurs, l’accès conditionnel, le watermarking, la signature numérique, etc. FI-spécial été 2000 – 5 septembre 2000 – page 28

rité informatique peut se diviser en problèmes référant à la sécurité de l’auteur ou de la source de l’information, et à la sécurité de l’information elle-même (voir l’illustration de la figure 1). Côté auteur, nous pouvons subdiviser le problème plus loin en distinguant entre des problèmes liés à la protection des droits d’auteurs et ceux liés à l’authentification de l’auteur de la source de l’information. Une subdivision est également possible pour le problème lié à l’information elle-même. Ainsi on peut distinguer entre le problème d’accès conditionnel à l’information et le problème d’intégrité de l’information. De multiples solutions peuvent être envisagées pour résoudre chacun des problèmes évoqués. Nous en parlerons plus tard. Pour l’instant, concentronsnous sur ces quatre types de problèmes en les examinant d’un peu plus près.

Protection des droits d’auteur (copyright) La protection des droits d’auteur n’est pas un problème nouveau, et ne se limite surtout pas au domaine informatique. Pour des raisons éthiques,

permettant l’enregistrement de la musique, celle de la vidéo permettant l’enregistrement des films. Les fameux problèmes liés à la copie et à la distribution non autorisée de la musique sous format MP3 (la norme de compression audio définie par le groupe de travail MPEG - MPEG-1 Layer 3) qui font la une des journaux ces jours-ci ne sont que les exemples les plus récents de ce même problème. Le problème des droits d’auteur est d’autant plus complexe qu’il englobe des notions culturelles, légales, éthiques et techniques.

Authentification d’auteur Une personne s’identifie le plus souvent à l’aide d’une carte d’identité ou d’un document équivalent, donnant des informations pour qu’un tiers puisse vérifier que son porteur est bien celui qu’il prétend être. Le problème d’authentification et d’identification de personne du point de vue informatique est déjà assez complexe en soi et plusieurs solutions existent, allant d’un examen de l’empreinte digitale ou d’une signature, à l’analyse d’ADN, en passant par un nombre important d’analyses des données dites biométriques telles que la voix, l’iris, la rétine, etc.

Vous avez dit sécurité? Le survol rapide d’un problème plutôt complexe

Intégrité des données L’intégrité peut se définir par la question suivante: comment s’assurer qu’un document (photo, contrat,…) contenant des données et des informations est authentique ou n’a pas été changé après avoir été créé. Ce problème pose déjà des défis considérables

Des problèmes mais aussi des solutions

nique. Quand on parle de commerce (donc de l’argent), la sécurité prend une place privilégiée. C’est pourquoi un ensemble considérable des solutions existe pour sécuriser les différents aspects (i.e. les problèmes évoqués ci-dessus) du commerce électronique. Une chose qu’on peut dire tout de suite est qu’une solution universelle et sûre n’existe pas, et peut-être n’existera jamais. Chaque problème spécifique peut avoir une ou plusieurs solutions envisageables, mais la sécurité souvent ne se résume pas à un aspect d’un problème mais à celui d’un ensemble. C’est pourquoi il faut souvent considérer un ensemble de solutions complémentaires pour sécuriser un système. Il faut également savoir que chacune des solutions proposées, même si elles visaient à résoudre le même problème, ne sont pas tout à fait équivalentes et viennent avec des forces et des faiblesses différentes. C’est finalement l’application envisagée et ses exigences qui font qu’une solution devient meilleure par rapport à une autre. Il est donc difficile et même dangereux de considérer des solutions à un problème de sécurité de manière générique avant de clairement identifier l’application subjacente et ses spécifications. La suite de ce texte présente brièvement quelques solutions populaires pour résoudre les problèmes évoqués ci-dessus.

Même si les problèmes évoqués cidessus ne couvrent peut-être pas l’ensemble de la sécurité informatique, on peut dire qu’ils représentent sous une

Solution Problème

Labelling Monitoring

Fingerprinting Authentification d'auteur

Watermarking Cryptage

Accès conditionnel

Hashing

Information

Scrambling

Intégrité

de quelques problèmes Figure 1 : Une vue générale

dans des domaines autre que l’informatique et les télécommunications. Des millions de dollars en fausse monnaie, et des documents officiels (carte d’identités, passeports, …) falsifiés en sont quelques exemples. Même si au fond, en informatique, le problème de l’intégrité reste le même, des défis encore bien plus importants sont à relever.

rmatique

et solutions en sécurité info

forme ou une autre, un ensemble important de ceux-ci. A titre d’exemple, le problème de détection et de protection contre les virus informatiques n’entre pas facilement dans cette esquisse, mais on peut ajouter des problèmes supplémentaires à la liste ainsi que leurs solutions. Grâce à la montée fulgurante de l’Internet, on parle désormais des applications dites du commerce électro-

Labelling Le labelling est la forme la plus simple mais aussi la plus fragile d’identification des données. Dans sa version visible, cela revient à apposer un logo,

Accès conditionnel Dans des problèmes informatiques et en télécommunications, comme ailleurs, souvent on ne donne pas un droit d’accès illimité à une information ou des données. Ainsi, on peut donner à un utilisateur le droit de seulement consulter une information sans pour autant pouvoir y ajouter ou y changer quelque chose. De plus, un tel accès peut être limité dans le temps, par exemple, une information serait accessible seulement pendant une certaine période qui pourrait dépendre du mode de paiement convenu. Figure 2 : Une image avec

n de copyright

un label visible de notificatio

FI-spécial été 2000 – 5 septembre 2000 – page 29

Vous avez dit sécurité? Le survol rapide d’un problème plutôt complexe

de d' ident ificat eur c omple (9) L t ivrais on

Utilisateur du copyright

(1) Création du contenu

(10) Livraison

Acheteur

Description

(2)

Description

d ent

eman

trem egis Enr

oits

r es d

(6) D

Propriétaire du copyright

(5) Permission

yright

ibuts de cop (4) Enregistrement des attr

Centre de gestion de ts de distribution Enregistrement des attribu nu l'identification du conte (8) WM (3) Création de l'identificateur partiel

Description

Base de données des droits de propriété intellectuelle

r complet, de (7) Création de l'identificateu du WaterMark la description et insertion

ution

urs et de distrib e de gestion de droits d’aute tèm sys n d’u ce pla en e mis cord de cIDf) Figure 3 : Exemple de ents de monitoring (avec l’ac électronique, avec des élém

ou une notification aux données à protéger. Cette solution est souvent utilisée à la télévision où le logo de la chaîne paraît dans un coin de l’écran. Dans la version numérique, ceci peut se faire en ajoutant des champs bien définis parmi les bits représentant les données, où il est possible d’ajouter des informations telles que les coordonnées du détenteur des droits sur le contenu. Comme cet exemple le montre bien, le labelling est surtout utile pour la protection des droits d’auteur. Mais cette protection peut-être qualifiée de rudimentaire car un logo ou un champ de bits peut être souvent effacé sans trop d’effort et sans laisser de trace visible. La figure 2 donne un exemple d’une image avec un label visible.

pourra exiger des royalties en se basant sur la fréquence d’utilisation de son œuvre, si un tel monitoring est effectué. La figure 3 montre un exemple de système de gestion de droits d’auteurs et de distribution avec des élément de monitoring .

Watermarking Le watermarking (en français, le tatouage numérique) est une procédure qui vise à insérer de manière invisible une information (le plus souvent sous

Monitoring Le monitoring consiste à enregistrer tout trafic de données et des informations y relatif. Ainsi, il est toujours possible de connaître la provenance et l’acheminement d’un document. Cette solution est particulièrement utile pour le problème de droit d’auteur. A titre d’exemple, un détenteur de droit FI-spécial été 2000 – 5 septembre 2000 – page 30

k est invisible. mark. A l’œil nu, le watermar ter wa son et ge ima e Un : Figure 4 é par l’encadré), tique (dont l’effet est illustr rma info e mm gra pro n d’u de le watermark qui C’est à l’ai il sera possible de détecter qu’ e, liqu pub ou e rèt sec et d’une clé s pas un point se cache aux endroits marqué

Vous avez dit sécurité? Le survol rapide d’un problème plutôt complexe forme d’un numéro d’identification) à l’intérieur d’un document (musique, photo, vidéo, …). D’une certaine façon, c’est une forme évoluée de labelling dans laquelle on ne sait pas où se trouve l’information insérée (par exemple le numéro d’identité du détenteur des droits d’auteur) dans le document. La procédure d’insertion d’un numéro d’identification par watermarking peut être conçue pour être soit très résistante soit très sensible aux manipulations. Dans le premier cas, on parle de watermarking robuste. Il est surtout utile aux problèmes liés à la protection

un grand nombre d’applications non liées à la sécurité, telle que l’insertion d’informations utiles (meta-données) comme par exemple le nom de la personne se trouvant dans une image, ou un pointeur (par exemple une adresse URL) pour avoir plus d’informations sur une image. La figure 4 montre l’exemple d’une image qui a été soumise à une procédure de watermarking robuste. Les points mis en évidence dans l’image montrent les endroits cryptés. La position des ces points dépend d’une clé secrète ou publique. La couleur de ces points diffère de celle

ment (audio, vidéo, photo, …). le scrambling est souvent utilisé pour des situations d’accès conditionnel dans des applications telles que la réception d’une chaîne de TV payante. Un exemple de scrambling se trouve à la figure 5.

Le mot final Il faut ajouter un point important à ce qui a été dit ci-dessus. Il concerne la fiabilité d’un système de sécurité, qui n’atteint pas ni ne les atteindra jamais

ambling

ge après la procédure de scr

Figure 5 : Exemple d’une ima

des droits d’auteur, où il sera possible d’extraire le numéro d’identité d’un détenteur de droit, même si les données originales ont été plus ou moins fortement modifiées (par exemple quelqu’un qui coupera la partie centrale d’une photo apparentant à quelqu’un d’autre pour l’utiliser). Dans le deuxième cas, on parle de watermarking fragile avec un but opposé à celui cidessus. Dans le cas de watermarking fragile, le numéro d’identification de l’auteur doit disparaître après une manipulation visant à modifier le contenu du document. Le récepteur du document pourra ainsi savoir après vérification de l’existence de watermark, si ce dernier a été modifié ou pas entre temps. Le watermarking peut être utilisé comme solution à un grand nombre de problèmes liés à la sécurité (sauf l’accès conditionnel dans l’esquisse des problème). Il est également utilisé pour

d’origine selon le chiffre du numéro d’identification qu’il représente.

Fingerprinting Le fingerprinting (en français empreinte digitale) est un cas particulier de watermarking dans lequel un numéro identifiant l’auteur ou l’appareil utilisé est automatiquement inséré dans un document dès qu’il est accédé, copié, ou simplement créé. On peut donner l’exemple d’un appareil photographique prenant des photos et insérant automatiquement le numéro de série de l’appareil comme watermark.

les 100%. Autrement dit, tous les systèmes de sécurité sont faillibles, mais les bons systèmes sont conçus de façon telle que le coût pour contourner leur sécurité est rédhibitoire. C’est pourquoi il est important de bien connaître l’application avant de se décider pour un système de sécurité et les solutions y relatives. ■

Scrambling Le scrambling (en français brouillage) est assez similaire au cryptage comme solution avec une différence essentielle qui veut que l’utilisateur ait accès à une forme détériorée de document (non utilisable) ou au moins peut connaître le type de docuFI-spécial été 2000 – 5 septembre 2000 – page 31

Hacker, hacker, est-ce que j’ai une gueule de hacker ? n de Aﬁn de faciliter l’identiﬁcatio suit von qui l’auteur des propos dre join de mis per suis me vre, je réle , ent rem mon portrait [bizar . nc] bla it bru du à sultat ressemble

Laurent.Kling@epﬂ.ch, colaborateur au Département d’Architecture

n paraphrasant Arletty, dans Hôtel du Nord, de Marcel Carné (1938), je ne prétends pas répondre à la célèbre réplique d’Arletty à Jouvet, mais donner un éclairage à la thématique qui nous préoccupe. Cette tragédie [ou cette farce?] va se dérouler en trois actes: ❚ la préhistoire ou l’époque des pionniers, ❚ la naissance du réseau, ❚ l’époque contemporaine.

Kurt Gödel 1906-1978 mathématicien austro-hongrois

Alan Mathison Turing 1912-1954 mathématicien anglais János Neumann John von Neumann 1903-1957 mathématicien hongrois, puis américain

❚ une réponse, ruinant ces espoirs de formalisation, de Kurt Gödel (théorème d’incomplétude), en 1931 [les personnes intéressées par cette problématique peuvent se rapporter au livre de Hofstadter «Gödel, Escher, Bach, les Brins d’une Guirlande Eternelle»]; ❚ le concept d’un automate vu par un jeune mathématicien, Alan Turing, en 1936, préﬁguration de tous les ordinateurs actuels. Un collègue actif dans de nombreux domaines, John von Neumann, remarque le travail de Turing et fait le rapprochement avec ses propres travaux de formalisation.

Hacker, hacker, ? r e k c a h e d le u e u g e n u i est-ce que j’a

Intermède Le doyen a dit: «Il y a deux catégories d’imbéciles: ceux qui disent: cela est ancien, donc bon, et ceux qui afﬁrment: cela est nouveau, donc meilleur.» John Brunner, Sur l’onde de choc, p 91

Les pionniers Je me permets de rappeler quelques éléments historiques, sans lesquels le phénomène hacker1 n’existerait pas [du moins dans le sens communément admis aujourd’hui]. Dans un premier temps, la genèse, il est nécessaire de mettre en place quelques acteurs de ce drame:

David Hilbert 1862-1943 mathématicien allemand

hacker (to hack = piocher) est issu de la communauté universitaire américaine pour désigner une personne qui serait dénommée un bourreau du travail [peut-être un stakhanoviste?]. Par extension, il s’applique à un informaticien qui connaît particulièrement bien un ordinateur ou un système d’exploitation.

FI-spécial été 2000 – 5 septembre 2000 – page 32

La montée des périls, puis la 2ème Guerre mondiale font que leurs efforts se concentrent sur la menace que représentent les U-boat sur les lignes d’approvisionnement entre les EtatsUnis et l’Angleterre: ❚ Turing, par la mise en place de sa théorie des automates au service du Suite au 2e congrès de mathématidécodage des messages Enigma utiques tenu à Paris en 1900, Hilbert, alors lisé par l’armée allemande. Le décoau faîte de sa gloire, propose 21 prodage de ces messages Enigma, perblèmes représentant, selon son point de mit de déterminer la position des vue, les grands domaines de recherche meutes de U–boat, entraînant la prode cette discipline. L’un de ces problètection des convois de ravitaillement mes consistait [je simpliﬁe], à propoentre les USA et l’Angleterre. Le casser une théorie de la démonstration ou sage de ce code fut tenu secret jusmétamathématique permettant de forqu’en 1975, car de nombreux pays maliser une théorie des mathématiques ont utilisé des méthodes de cryptage [vaste programme]. Comme réponses similaires à Enigma jusqu’aux années à ce problème, en voici deux remarqua60 ! bles: ❚ Von Neumann, par son calcul célèbre déterminant la distance optimale entre deux navires dans un convoi (le premier exemple d’une formulation mathématique qui tient compte de l’intelligence de l’adversaire, en l’occurrence le caPark salle des bombes à Bletchley pitaine de Uboat). Un procédé de codage de message, Enigma, utilisé par les allemands pendant la Seconde Guerre mondiale

Hacker, hacker, est-ce que j’ai une gueule de hacker ? Le modèle mathématique pour l’organisation interne des calculateurs (ou ordinateurs) mis au point par Von Neumann en 1945 permit de déﬁnir l’architecture Turing-Von Neumann qui est toujours la base des processeurs actuels. La mise au point des bombes à Bletchley Park pendant la Seconde Guerre mondiale assura à Turing un havre de paix. Du fait de son rôle central dans le projet Enigma, son homosexualité ne posa pas de problème. Cette quiétude ne dura pas dans l’Après-Guerre, le puritanisme postvictorien le persécute [n’oublions pas qu’Orwell dans 1984 ne décrit pas un monde totalitaire futur, mais cette société]. On le condamne à suivre un traitement hormonal destiné à le guérir de ce comportement [une méthode rappelant les épisodes les plus sombres de la psychiatrie où l’on faisait subir des

surprenant car les Européens (Anglais, dans une moindre mesure Français et Allemands) bénéficient des retombées de ce programme d’écoute électroavec une interface texte e d’un serveur récent (PC) rag mar Dé nique [et des taupes disposées dans ces pays !]. Après tout, la mise de nombreuses microprogrammasur fiches récente d’une partie de la tions avec des interfaces similaires]. population suisse et allemande est Pour prendre un exemple familier à une atteinte plus grande à la liberté 95% des utilisateurs d’ordinateurs individuelle. personnels [le Macintosh ne souf❚ que la compréhension intime des sysfrant pas de cet atavisme], le démartèmes est la base même de leur utilirage d’un ordinateur ou la configusation et de leur développement [une ration d’une carte ! évidence, mais à l’heure des mythes, Ces lieux d’échanges furent à mon un constat rafraîchissant]. avis le début d’une prise de conscience d’un phénomène hacker. Les fabricants d’ordinateurs, comprenant le formidaLe réseau ble réservoir de ressources humaines et d’expertises que représentaient ces foNe désirant pas rums, les mirent à leur service en créant aborder la naissance des services similaires avec une logique d’Internet [car mainpseudo élitaire de différents niveaux tenant cela tient de la d’accès ! [souvent en relation avec la culture générale], je cotisation devant refléter la qualité des vais tenter de l’approservices proposés]. cher sous la thématiCette vision futuriste est digne des que qui nous intéplus grands (Jules Verne, Conan Doyle, resse. Dans un do-

partie de Colossus

lobotomies aux patients]. L’échappatoire de Turing fut la synthèse de cyanure de potassium par l’intermédiaire d’un équipement ménager commun, selon un procédé inconnu à l’époque, voulant démontrer ainsi la dangerosité de chaque ménagère anglaise. Il en ingurgita un échantillon, un parfait exemple d’humour [noir] anglais. De ces éléments historiques, on retiendra: ❚ que l’informatique c’est d’abord des théories mathématiques avant d’être un phénomène économique, ❚ que le premier usage d’un calculateur a été de casser un codage [ce qui explique que le réseau Echelon soit un projet anglo-américain faisant suite au projet Enigma]; le récent remue-ménage au Parlement européen à ce sujet peut apparaître quelque peu

maine comme l’informatique où l’union fait la force, la nécessité de disposer de moyens de communication a permis la création des BBS (Bulletin Board System). Ces moyens d’échange d’information peuvent nous paraître archaïques: ❚ en effet, la vitesse des modems était de 300 bauds, ❚ le contenu était généralement du texte [apparemment cette époque a inspiré de nombreux développeurs actuels, car on trouve

de Un artiste, écrivain, auteur n Joh e, iqu ann brit ion science fict écrit Brunner (1934-1995) a préun ouvrage que je qualifie de choc monitoire, Sur l’onde de paru (ShockWawe Ridder, 1975 livre en français en 1977). Ce gie alo tétr sa s dan t s’inscrivan bite noire (Tous à Zanzibar, L’or aveudéchiquetée, Le Troupeau de gle et bien sûr, Sur l’onde se qui iété soc une rit choc) déc manibase sur l’information et sa mes]. pulation [sous toutes ses for soLe héros, surdoué de cette le er ibu attr voir se t ciété, peu cker titre d’hacker, voire de cra re. Bénéficiant de la faculté de s endéfinir son état civil, il nou iolotraîne dans une analyse soc sogique transversale de cette r ateu cré est: il r tou à r ciété. Tou e de d’utopies, conseiller en styl ert vie, spéculateur delphique, exp que , sab ote ur en inf orm ati me rationalisateur-système et hom de d’église (la terminologie est l’auteur).

FI-spécial été 2000 – 5 septembre 2000 – page 33

Hacker, hacker, est-ce que j’ai une gueule de hacker ? HG Wells, Philip K Dick, Frank Herbert) et préfigure le new age avec 15 ans d’avance [et également des modes que j’espère ne pas connaître]. Son analyse de la course au cerveau, voire des manipulations des gamètes humains préfigure des débats toujours d’actualité. Mais sa plus grande création reste son héros, créateur de virus informatiques circulant sur le réseau, la couleuvre2 [N’oublions pas qu’à l’époque où l’auteur a écrit ce livre, Internet en était à ses balbutiements]: ❚ ce virus auto reproductible entraîna la paralysie du réseau [tiens, cela évoque des événements récents]; ❚ l’auteur du virus, un étudiant à Cornell University, Robert Morris Jr., dont le père n’est qu’un des créateurs de TCP et un des responsables scientifiques pour National Security Agency’s National Computer Security Center in Fort George G. Mead, aurait eu comme livre de chevet, Sur l’onde de choc! Cet épisode de hacking, montre [si besoin en est], le rôle majeur des artistes dans notre appréhension de notre réalité et du côté prémonitoire de l’art. Dans le genre visionnaire, je vous propose comme lecture Crise de Lester del Rey, qui sur la problématique de la sûreté nucléaire a fait preuve d’encore plus de capacité d’anticipation. Cette nouvelle parue en 1942 dans une revue de science-fiction (Astouding Science-Fiction) fut interdite sur un des sites du projet Manhattan (classé top secret), alors qu’elle était disponible dans la ville voisine! Ce genre, souvent assimilé à une littérature de gare avec les attributs s’y rapportant: format de poche, couverture criarde, est en réalité un espace de liberté: ❚ dans ce pays paradoxal que sont les États-Unis, des mouvements religieux fondamentalistes ont réussi dans une série d’états du sud (la ceinture de la bible) à interdire à l’école l’enseignement de l’évolution des espèces; ❚ la science-fiction permet donc la diffusion d’idées subversives dans de 2

Cela n’est pas anodin: un des premiers virus qui touchera le monde Internet (en novembre 1988) l’a été par l’intermédiaire d’un étudiant en informatique qui utilisa les mécanismes propres à sendmail [qui intègre un langage de commande encore plus

FI-spécial été 2000 – 5 septembre 2000 – page 34

larges couches de la population sans risque de censure. Les mêmes fondamentalistes peuvent par leur pouvoir d’achat boycotter des canaux de distribution, empêchant même la parution de livres. Ce vivier d’inspiration commence à être pris au sérieux, car l’agence spatiale européenne (ESA) a mandaté le musée d’Ailleurs d’Yverdon pour réaliser un inventaire de techniques de projets spatiaux à partir d’ouvrages de science-fiction. Dans le même sens, je peux vous recommander la lecture des ouvrages suivants qui me paraissent pertinents: ❚ Sur l’onde de choc (Shock Wave Rider 1975) de John Brunner, en français en 1977 chez Robert Laffont [réédité en Livre de poche 7122]. Que dire de ce livre, sinon qu’il a tout inventé… [Par une curieuse ironie de la traduction, la couverture de l’édition américaine se retrouva sur le livre de William Gibson, Mona Lisa s’éclate, 1990)]. ❚ Crise (Nerves, Astouding ScienceFiction 1942, Ballantine Books 1956 & 1975) de Lester del Rey, en français en 1978 dans la collection Ailleurs et demain, Robert Laffont. Une centrale nucléaire en 1942, avec un accident supercritique! ❚ Neuromancien (Neuromancer 1984) de Walter Gibson, en français en 1985 chez La Découverte [réédité chez J’ai lu 2235]. Le livre choc sur le cyberespace et le début officiel du mouvement cyberpunk. Navré pour les admirateurs de techno psychédélique, ce précurseur est plutôt tranchant [un problème similaire à l’interprétation de post-moderne]. ❚ Câblé (Hardwired 1986) de Walter Jon Williams, en français en 1987 chez Denoël, Présence du futur 437 Peut-être le plus cyberpunk des auteurs de science-fiction, il reprend le mythe américain des conquête de l’ouest, traversée des grandes plaines et lutte contre les sociétés supranationales [vous avez dit OMC ou mondialisation]. ❚ Le souffle du cyclone (Voice of the whirlwind 1987) de Walter Jon William, en français en 1988 chez Denoël, Présence du futur 478 Un classique sur la quête de l’identité, les passages où le héros plonge dans des structures informatiques est particuliè-

❚

rement saisissant [et me rappelle quelque souvenir]. La schismatrice (Schismatrix 1986) de Bruce Sterling, en français chez Denoël Une épopée baroque dans l’espace, le théoricien du mouvement cyberpunk. Alan Turing, the enigma de Andrew Hodges, Burnett Books 1983 & Vintage 1992 La biographie de référence sur Turing, abordant de manière exhaustive les différents aspects de sa vie. The hacker crack down - Law and disorder on the electronic frontier de Bruce Sterling, Bantam Book 1992 Mythe et réalité des hackers, le parallèle entre le début de la téléphonie et celui de l’informatique est particulièrement édiﬁant Gödel, Escher, Bach, les Brins d’une Guirlande Eternelle (Gödel, Escher, Bach: an Eternal Golden Braid 1979), de Douglas Hofstadter, Basic Books, en français en 1985 chez InterÉditions Un livre complet et intéressant établissant un parallèle entre Gödel, Escher, Bach et compréhensible sans avoir un gros bagage mathématique. Code Breakers, the inside story of Bletchley Park, ed. by F.H. Hinsley & Alan Stripp, Oxford Cambridge Press, 1993 Ce livre décrit les différents développements du centre de décodage des messages Enigma, et de son passage d’une ère artisanale à l’ère industrielle [préﬁguration du NSA ?] Computer Ethics de Tom Forester & Perry Morrison, MIT Press 1994 Une très bonne vision d’ensemble des problèmes éthiques soulevés par l’usage des ordinateurs et de leur mise en réseaux. Particulièrement bien documenté.

L’époque contemporaine Je me permets de rappeler quelques points de vocabulaire aﬁn de pouvoir les utiliser sans retenue: ❚ langage machine: symbolique spéciﬁque à un processeur décrivant des opérations représentées en binaire (ou ses codages en octal ou hexadécimal). ❚ assembleur: représentation symbolique de langages machine, généralement intelligibles par les humains.

Hacker, hacker, est-ce que j’ai une gueule de hacker ?

nnement d’u acsBug) pour suivre le fonctio (M eur ogu déb n d’u n tio Utilisa désassembleur (MacNosyII)

❚ langage: outil permettant de développer des applications (et accessoirement de communiquer dans l’humanité). ❚ débogueur: outil permettant d’exécuter pas à pas des instructions dans un programme. Il me paraît primordial de comprendre que chaque outil utilisant un processeur (organisé selon une architecture Turing-Von Neumann) s’exécute en langage machine, celui-ci étant généré par un être humain, (ou pour éviter le problème de l’œuf et de la poule) au moyen d’un outil développé par l’intelligence humaine. Une certaine catégorie d’humains ne peut résister à l’attrait de l’inconnu et désire comprendre le fonctionnement des outils qu’on lui met à disposition. Dans le cas de l’informatique, il y a des gens qui vont vouloir comprendre comment fonctionne leur programme favori (d’une manière similaire à leur envie de démonter tous les objets usuels [et parfois même à les remonter]). Disposant des outils adéquats, ils vont donc plonger dans le code (utiliser un débogueur ou un désassembleur) aﬁn d’obtenir un code plus compréhensible qu’un dump hexadécimal. La compréhension de l’assembleur, est à mon avis, un passage obligé pour tout informaticien ! Connaissant une architecture spéciﬁque, et les outils (assembleur, compilateur de langage) s’y rapportant, ou peut comprendre le travail du concepteur du logiciel.

Bravo, vous venez de devenir un hacker…

hine en assembleur Transformation de code mac de caractères] [transformation d’une chaîne

cur lage d’un programme [en l’oc Vue d’ensemble du désassemb if] encore un problème récurs

rence, lui-même,

En fait, vous pouvez vous trouver devant quelques déconvenues comme: ❚ analyser un programme écrit en parallèle avec son système d’exploitation (comme la version 1.0 de MacPaint, sur MacOS 1.0 qui ne contient que 4 routines [faisant fi de la boîte à outils du système qu’il écrivait en parallèle, Bill Atkinson a écrit ainsi une application!]); ❚ tenter de comprendre l’algorithme d’un programme de modélisation volumique utilisant un quad-tree [sans connaître cette technologie et avec un programme écrit en Forth]; ou dans un esprit constructif: ❚ modifier votre compilateur, afin de pallier ses faiblesses conceptuelles (changement du mode d’adressage relatif de 16 à 32 bits); ❚ permettre à un programme de gesFI-spécial été 2000 – 5 septembre 2000 – page 35

Hacker, hacker, est-ce que j’ai une gueule de hacker ? tion de traceur d’écrire dans un fichier, et plus directement sur le port série, ou afin de permettre à votre post-processeur de convertir des polices bâton en polices vectorielles interprétées depuis le PostScript. Ces différentes opérations s’effectuent: ❚ en comprenant le travail de vos collègues [c’est toujours instructif ], ❚ en tirant parti des faiblesses des compilateurs, comme celles du pascal en sauvegardant sur la pile l’ensemble des registres du processeur, ❚ en re-codant la partie vous intéressant d’une manière compacte afin de ménager de la place pour vos modifications.

Bien, mais c’est la face obscure qui vous intéresse [admirateur de StarWars?] Vous voulez devenir un cracker! [sans aucun rapport avec un amuse-gueule!] Étant déjà un hacker [cela peut aider] vous désirez: ❚ utiliser un jeu que vous avez acheté, mais dont la protection [en changeant la vitesse de rotation de la disquette] ne tient pas compte des tolérances de fabrication des moteurs de disquette. Après quelques bra et nop [pour amateur] vous bénéficiez d’une version fonctionnelle, avec le plaisir [secret] de bénéficier de ce jeu 2 mois avant que la société ne fasse faillite, à la suite de demande de remboursement et de l’apparition du patch salvateur [légal]. ❚ éviter que la productivité de votre entreprise naissante ne soit mise en danger par l’utilisation systématique d’un programme qui fait descendre des tétragrammes [fort amusant au demeurant]. Simplement profiter d’un week-end ensoleillé pour introduire un high-score de 9999, vos collègues plafonnant difficilement vers 2800, et observer, l’air amusé, leurs réactions: dans un premier temps, un profond respect, puis un subtil questionnement sur les techniques utilisées, et enfin un éclat de rire suivi d’un dégoût profond pour les jeux informatiques [il est curieux de voir où l’esprit de compétition va se nicher!]. ❚ vérifier la fiabilité du procédé de protection de l’entreprise qui vous emploie [sur sa demande] et vous aperFI-spécial été 2000 – 5 septembre 2000 – page 36

cevoir que seule la partie contenant la protection ne ressemble pas vraiment à un code habituel [pourquoi il est si récursif, avec des CRC sur lui-même, sûrement un code bien optimisé]; c’est la seule partie du programme où les noms des sous-programmes sont inclus ou ont disparu! [et généralement des noms explicites contenant soit le nom de l’entreprise ou protect], ou après ce premier échec cuisant, là où le code est crypté [hum, c’est beaucoup dire, des décalages à gauche avec la retenue, des swap byte et autres ou exclusif ]. ❚ obtenir une version fonctionnelle d’un logiciel pour en tester les fonctionnalités. Oui, j’ai bien écrit tester et pas utiliser, une distinction de taille, contrairement à certaines idées reçues, on peut être hacker et avoir une certaine éthique. Cela permet généralement de distinguer entre le pseudo-pirate qui a comme seul mérite d’accéder à un cercle (plutôt une nébuleuse) apparemment fermé, où les numéros de série, les programmes de patch sont disponibles, et le milieu où: ❚ on ne commercialise pas de hack, ❚ on achète les produits utilisés dans un développement commercial normal, cela permet de bénéficier des services de mise-à-jour, d’un support, de documentation [si, si, elle est la base de toute compréhension], il est curieux de constater que les photo-pilleurs omettent systématiquement de copier l’index et la table des matières, se privant ainsi d’une bonne partie de l’utilité de cette opération [ou faisant preuve d’un masochisme certain]; ❚ on n’utilise pas ces ressources afin d’obtenir un avantage indu par rapport à vos compagnons. Dans la communauté informatique, une entraide existe afin de tirer parti des outils mis à disposition. Malheureusement, dans certaines professions, on garde jalousement ces petits secrets [alors que nous sommes dans une société de communication!]; ❚ si on entre dans un système, on ne laisse aucune trace de son passage, donc on ne modifie aucune donnée! [plus complexe que simplement modifier une page Web ou effacer un disque]. Dans ce domaine où l’information côtoie souvent la désinformation, voire le bourrage de crâne, il existe un cer-

tain nombre de mythes et de légendes. Je vais essayer de préciser certains points importants:

Le mythe du hacker loup solitaire Ce mythe est probablement la conséquence du manque généralisé d’information, donc de compréhension des technologies modernes. Un hacker est par essence même, une personne au cœur de l’information; son travail est généralement lié au domaine informatique [généralement, son niveau de compréhension des systèmes lui permet d’en tirer un revenu lucratif ]. Sa profession peut être variée, mais reste généralement en rapport étroit avec de grandes masses d’information, quasiment tous les métiers de la société moderne nous confrontent à ce déluge d’information. Que l’on soit architecte, informaticien, mécanicien, chirurgien, documentaliste, enseignant ou étudiant, la connaissance provient d’échanges et de la compréhension intime des éléments que l’on manipule. Je pense que n’importe quel scientiﬁque curieux peut appliquer les méthodes décrites dans cet article et se considérer comme un hacker.

Le syndrome de la victime Sans tomber dans celui de Stockholm [où la victime épouse la cause de son kidnappeur], il est souvent plus simple pour la victime d’invoquer des puissances ténébreuses que de reconnaître son manque de vigilance, voire son incompétence. Le visionnage de grands classiques du cinéma comme le docteur Knock où les spécialistes en tous genres ressemblent à Jouvet [le talent en moins] et les cohortes de malades [plus ou moins somatiques], à des experts en informatique. En effet dans une société où la maîtrise des systèmes d’information passe pour un acquis de la part de tous ses acteurs, il apparaît que la reconnaissance de lacunes, de faiblesses, est considérée comme une faute grave. Dans un rôle d’expert, il est savoureux de constater la réaction des interlocuteurs quand on reconnaît son incompétence totale sur un sujet! [que le questionneur par sa

Hacker, hacker, est-ce que j’ai une gueule de hacker ? pratique quotidienne manipule avec une dextérité consommée]. Les réactions constatées sont: ❚ le passage du statut d’expert à incompétent [vériﬁant par là même, le principe de Peter !], ❚ pire encore, le soupçon de faire de la rétention d’information [je serais plus enclin à celle des lipides], ❚ le souci de remédier à cette non-connaissance par la consultation d’un mode d’emploi ou de référence vous vaut le mépris de l’interlocuteur {il exagère: j’aurais pu [et dû] le faire moi-même}. Ce genre d’attitude est paradoxal, car il est surhumain et particulièrement vain de tenter d’assimiler l’ensemble des ressources mises à notre disposition. Il serait plus simple de constater que tous ensemble nous savons plus de choses qu’individuellement [principe même de la spécialisation du travail due à la civilisation de Sumer, il y a 7000 ans].

La légende de la complexité Contrairement à la tradition de l’heroic fantasy à la Tolkien, le monde où nous vivons n’est pas entouré de mages ou de lutins, mais fait de l’application de règles et de normes, qu’elles soient issues du droit coutumier, législatif ou de facto. Ces normes issues de notre civilisation ont connu une mise en œuvre incomparable grâce à la Révolution française et à l’adoption du système MKSA (Mètre, Kilo, Seconde, Ampère). Cette logique se retrouve dans l’informatique [que serait Internet sans les «RFC», Request For Comment] et explique par là même son évolution (sans normalisation, pas d’économie d’échelle). Il est étonnant de constater l’obstination à vouloir simpliﬁer, puis complexiﬁer l’apparence des outils informatiques. Une expérience qui provoque souvent l’effroi est la mise en place d’un débogueur, puis l’interruption d’un programme quelconque pour parcourir pas à pas le code en assembleur, le must étant de relancer le déroulement du programme: ❚ on a souvent l’impression d’avoir ouvert la boîte de Pandore; ❚ une expérience du même ordre est de changer l’apparence du bureau d’un système d’exploitation. Il serait peut-être souhaitable que

chaque utilisateur soit confronté dans son apprentissage avec une machine de Turing et les différents niveaux de fonctionnement d’un ordinateur [on peut toujours rêver]. D’une manière similaire à l’automobile, il serait judicieux de disposer d’un réseau hiérarchisé d’intervenants. De cette manière, on pourrait bénéficier des différents niveaux de compréhension, ceci sans aucune notion de hiérarchie. Le pire bêta-testeur que l’on puisse imaginer est, soit le concepteur, soit quelqu’un connaissant les algorithmes utilisés [je plaide encore coupable]. Cela peut être drôle de tester le cas limite répertorié dans la littérature et d’observer le désastre qui en résulte lors de présentation publique [vaporware?, non, logiciel commercial!]. La dualité de l’épée et du bouclier [ou l’attaque défense] La course à l’armement n’est [malheureusement] pas une découverte récente, au village fortiﬁé gaulois ont répondu les légions romaines et leur fameux pilum [sauf un petit village qui…]. Cette course semble s’être arrêté dans l’équilibre de la terreur [aussi nommé dissuasion nucléaire]. Pour

l’informatique, ces deux tendances cœxistent [avec leur lot de propagande], malheureusement l’hystérie semble parfois régner… J’ai malheureusement vécu l’expérience, où évoquant à bâtons rompus les problèmes de sécurité, j’ai abordé le fait que chaque objet programmable peut être reconﬁguré pour un autre usage, en prenant comme exemple une imprimante PostScript [c’est ce que fait la soi-disant capture d’une imprimante sur NT, ou plus prosaïquement le dictionnaire propre à la description de chaque police de caractère]. La réponse de mon interlocuteur fut une frappe préventive, une lettre du directeur de son département à mon patron m’intimant l’ordre de me tenir éloigné de toutes ses imprimantes. [La chute était qu’elles se trouvaient dans le même réseau AppleTalk]. Plus sérieusement, on peut se poser la question des méthodes de gestion système, où une grande partie des tâches se font manuellement. Ceci est à mettre en relation avec le fait que les outils offensifs utilisés par les hackers sont des programmes. En général, après 2 heures sur un réseau Internet [sans

ses de 1939 à 1945 [les prémis Évolution de Bletchey Park d’Échelon et du NSA]

FI-spécial été 2000 – 5 septembre 2000 – page 37

Hacker, hacker, est-ce que j’ai une gueule de hacker ? pare-feu], vous avez des tentatives d’intrusion [vivent les tables de routage]. Ceci crée la légende que des versions modifiées de Satan [un utilitaire écrit pour vérifier la fiabilité d’une configuration Unix] sont utilisées pour pénétrer des sites informatiques [et c’est possible]. On oublie que le créateur de Satan, un universitaire travaillant à l’institut technologique d’Eindhoven, est également l’auteur de TCP-Wrapper, un programme très efficace pour bloquer les ports TCP [de nombreux outils commerciaux offrent une fonctionnalité similaire avec une interface graphique plus seyante qu’un simple fichier texte de configuration]. Tant que l’écriture de code est de l’ordre de la réflexion humaine, la création de contre-mesures est possible (le plein emploi en informatique est une aubaine pour la sécurité, en asséchant le vivier potentiel de hackers-crackers). Seule l’utilisation de la glace1 noire2 (chère à William Gibson) pourra peutêtre changer cette situation.

Cracker vs Hacker Aﬁn de promouvoir une tendance politiquement correcte, on fait le distinguo entre hacker et cracker, ce dernier devant symboliser une tendance néfaste dans un dualisme primitif. Je ne pense pas que cette distinction existe: ❚ dans la première partie de cet article, le travail de Bletchley Park était à la fois du hacking (compréhension du travail) pour du craquage (neutralisation de la protection) d’un codage; ❚ d’une manière similaire, le travail du décodage des différents génomes tient également du craquage; ❚ on passe généralement sous silence que l’ingénierie inverse n’est pas uniquement une méthode digne des romans d’espionnage: les processeurs compatibles comme ceux de AMD sont issus de 2 équipes de recherche, l’une procédant à un décodage des microcycles d’un processeur concurrent à l’aide d’observation 1 GLACE = Générateur de Logiciel Antiintrusion par Contre-mesure électronique, (ou ICE, Intrusion Contermeasures Electronics) 2 Noire car piloté par une IA, Neuromancien - page37

FI-spécial été 2000 – 5 septembre 2000 – page 38

stroboscopique, l’autre par la recréation du microcode considéré; ou simplement les analyses de code concurrent intégrant des algorithmes ou des portions de codes ayant servi de pièce à conviction pour des procès gagnés contre Big Brother (bientôt 2 Brothers).

La tentative hégémonique Il peut être commode de croire à la pérennité d’une technologie ou à sa toute-puissance dans un domaine où les chapelles sont légion. À mes débuts dans ce domaine, l’hégémonie était représentée par 2 acronymes qui doivent être totalement inconnus de nombreux utilisateurs aujourd’hui: ❚ CPM: un système d’exploitation, disponible sur des disquettes 8" simple face, simple densité. ❚ S100: un système de bus, synonyme d’extension, la capacité maximale du système était un espace d’adressage de 64 k octets [les configurations luxueuses étaient de 8k]. Dans ce sens, il me paraît primordial de favoriser des configurations hétérogènes: ❚ la multiplication de défauts génétiques dans les familles régnantes européennes du fait d’une trop grande consanguinité [n’a-t-elle pas affecté leur capacité de discernement?]; ❚ que dire de l’aveuglement de certains pour un système d’exploitation, et qui louent les nouveautés de la dernière version (nt5-windows2000) alors que ces fonctionnalités sont présentes depuis plus de 5 ans dans des OS concurrents (Unix avec NFSNIS) [et ne supportent pas que l’on puisse faire des comparaisons]; ❚ la perturbation importante provoquée par le choix d’un langage (visual basic) comme outil de macro-commandes donnant accès à de nombreuses fonctions du système sans contrôle de sécurité, au détriment d’un langage conçu avec une optique sécuritaire (java). À l’exemple de la civilisation hispanique de 800 à 1400 qui a permis, grâce à la tolérance de régimes mulsumans, la cœxistence pacifique des religions mulsumane, hébraïque et chrétienne, donnant ainsi la base de connaissance de la Renaissance, grâce

à la conservation des savoirs grecs et romains et à l’apport de la diversité des cultures. Grâce à cette hétérogénéité, une perturbation n’affectera qu’une partie des services fournis.

Conclusion Je ne peux m’empêcher d’essayer d’élever le débat quelques instants et de reprendre in extenso la conclusion de John Brunner dans Sur l’onde de choc: «Le contenu des propositions 1 Notre planète est riche. Par suite, la pauvreté et la faim en sont indignes, et puisque nous avons les moyens de les supprimer, nous le devons. 2 Nous appartenons à une espèce civilisée. Par suite, nul ne pourra désormais tirer de proﬁt illicite du fait que, tous ensemble, nous savons plus de choses qu’un seul d’entre nous n’en peut connaître. Le résultat du plébiscite Alors… comment avez-vous voté ?»

Illustrations ❚ David Hilbert: http://aleph0.clarku. edu/~djoyce/hilbert/hilbert.gif ❚ Kurt Gödel: http://www-groups.dcs. st-and.ac.uk/~history/BigPictures/ Godel.jpeg ❚ Alan Turing: p.300 d’Alan Turing, the enigma de Andrew Hodges, Burnett Books 1983 & Vintage 1992 ❚ John Brunner: http://home.t-online. de/home/08152980483-0001/ jbrunner.jpg ❚ Code Breakers, the inside story of Bletchley Park, ed. by F.H. Hinsley & Alan Stripp, Oxford Cambridge Press, 1993: p.124(2) machine Enigma à 3 rotors, p.127(6) salle des bombes à Bletchley Park, p.127(7) partie de Colossus, p.308(A1) le site de Bletchley Park de 1939 à 1945 ❚ Shock Wave Rider de John Brunner, Del Rey Book, 1975, Couverture de l’édition américaine de Murray Tinkelman. ❚ Laurent Kling: Autoportrait en bruit blanc, utilisation MacsBug © Apple, désassembleur: MacNosyII © Jasik Designs ■

Musique d’avenir: la protection des droits d’auteur sur Internet

Jean-Jacques.Dumont@epﬂ.ch, responsable de la section Logiciel du SIC

La bombe MP3 Vous aurez sûrement été interpellé récemment par l’agitation médiatique créée autour du succès phénoménal de la diffusion de musique en format MP3 sur Internet. En particulier aux US, un bras de fer juridique oppose en ce moment-même la toute puissante RIAA (Recording Industry

tuitement. Des pénalités sont prévues par la Copyright Law of the United States au chapitre Digital Audio Recording Devices and Media ou l’équivalent dans les autres pays (qui sont souvent plus laxistes). Alerté par tout ce tapage, le Sénat US vient de créer une Commission ad hoc qui effectue une enquête sur le futur de la musique digitale, dans le but de démêler l’imbroglio judiciaire dont les aspects techniques échappent clairement à la plupart des juges chargés de ce type d’affaire.

Les droits d’auteur Mais revenons si vous le voulez à l’origine du problème, à savoir le principe communément admis et ﬁgurant

cier de ce droit, il faut que la création existe sous une forme tangible et soit originale, cette seconde condition n’étant pas toujours évidente à prouver. N’importe quelle phrase écrite ou bout de code informatique peut être considéré comme une création, la plupart n’ayant toutefois aucune valeur commerciale. Une compilation quelconque d’œuvres ou simplement de faits peut également être considérée comme une création, avec tous les problèmes juridiques complexes que cela peut créer. Il subsiste quelques cas où une copie sans permission de l’auteur est autorisée, lorsqu’un autre principe important intervient. Par exemple, si l’on désire critiquer un texte, il est permis de reproduire une partie de ce texte pour

Musique d’avenir: r su r u te u ’a d s it o r d s e d n la protectio Internet Association of America) aux rebelles MP3 Inc. et Napster Inc. L’enjeu: tout simplement le fabuleux marché de la production musicale qui, comme tous les autres domaines de l’économie mondiale, est actuellement contrôlé par quelques multinationales géantes, dont les motivations artistiques ne sont pas toujours évidentes au premier coup d’œil. Pour suivre les débats, il faut d’abord se rappeler que MP3 n’est qu’un mode de compression de données numériques représentant des sons (pour les détails techniques, voir notamment Audio et Web: la révoluson, FI 2/00) et que la plupart des ﬁchiers MP3 diffusés sur Internet le sont de façon parfaitement légale. Ce qui est illégal, c’est de mettre à disposition sur le net des CD commerciaux sans l’autorisation des détenteurs des droits. Il est aussi permis de se faire une copie personnelle en MP3 sur cassette ou sur disque, mais pas d’en donner une copie à une autre personne, même gra-

explicitement dans la plupart des systèmes de réglementation nationaux en vigueur: celui de la protection de la propriété individuelle non seulement des biens matériels, mais aussi des créations intellectuelles. Dans ce cas, il s’agit d’œuvres artistiques, de procédés de fabrication, de codes informatiques, ou de toute autre forme de travail créatif. La Convention de Berne a pour but d’uniformiser toutes les législations et a été signée par tous les pays membres de l’ONU, plus la Suisse évidemment. Selon cette convention, tout travail créatif est automatiquement protégé dès qu’il a une forme tangible, sans qu’il soit nécessaire de le déposer ou le déclarer. Le droit persiste pour ses héritiers durant au moins 50 ans après la mort de l’auteur. Les lois sur les copyrights ou la protection des droits d’auteur assure au créateur le droit exclusif de contrôler qui peut faire des copies de sa création ou créer des œuvres dérivées de l’œuvre originale. L’auteur peut aussi attribuer une licence sur ce droit. Pour bénéﬁ-

que le lecteur puisse comprendre l’objet des critiques. C’est ce que nous ferons dans la suite de cet article. En Suisse, c’est l’Institut Fédéral de la Propriété Intellectuelle qui est chargé d’assurer l’avenir des idées créatrices. La propriété intellectuelle comprend les droits d’auteur mais aussi les droits voisins (interprètes, exécutants, producteurs et organismes de distribution/promotion), ce qui complique encore la situation dans le cas particulier de la production musicale.

Les associations Disposer d’un arsenal juridique est une chose. Avoir les moyens de faire respecter ses droits partout sur la planète en est une autre qui n’est clairement pas à la portée de tous les artistes et autres créateurs. D’où l’idée de s’organiser en associations puissantes, reconnues par les producteurs d’œuvres, mais aussi par les pouvoirs publics, et pourquoi pas même par les consommateurs. FI-spécial été 2000 – 5 septembre 2000 – page 39

Musique d’avenir: la protection des droits d’auteur sur Internet Dans le cas de la création musicale, notons toutefois une différence essentielle entre le modèle américain (copyrights) et le modèle européen (droits d’auteur et droits voisins). Aux US, l’artiste signe un contrat avec une maison de disque dont le principe est le suivant: l’artiste cède ses droits d’auteur à la maison de disques qui en échange lui garantit des royalties sur les copies vendues. Les artistes n’ayant plus de droits n’ont plus rien à défendre et donc plus d’intérêt à créer des associations. Par contre, les industriels de la production musicale ont au moins un but commun: celui de préserver le système en vigueur, qui les avantage clairement lors de la négociation du contrat. D’où l’existence de cette fameuse RIAA qui alimente aujourd’hui l’actualité. En Europe et au-delà, lorsque le système US des copyrights n’a pas pu s’implanter, les associations nationales dites de gestion collective des droits d’auteur se sont multipliées sur le modèle de la SACEM, en France, qui déﬁnit ses missions et son fonctionnement de la façon suivante (voir http:// www.sacem.fr pour plus de détails). La SACEM a pour mission d’intervenir chaque fois qu’il y a représentation ou reproduction d’une œuvre qu’elle gère. La répartition des sommes perçues s’effectue à partir ❚ des informations fournies par les membres de la société lors de la déclaration de leurs œuvres: titre, genre, durée, nom et qualité des ayants droit (auteur, compositeur, arrangeur, éditeur,…); ❚ des programmes des œuvres diffusées ou reproduites remis par les utilisateurs de musique (télévisions, radios, organisateurs de spectacles, producteurs de phonogrammes,…); Après déduction des frais de gestion et des fonds consacrés à l’action sociale et culturelle, les droits sont répartis: ❚ par tiers entre l’auteur, le compositeur et l’éditeur pour les droits de représentation; ❚ selon une convention particulière établie entre les ayants droit pour les droits de reproduction. Quelques commentaires s’imposent ici. D’abord, on voit donc que ce FI-spécial été 2000 – 5 septembre 2000 – page 40

modèle prévoit deux types de tarifs bien distincts pour le consommateur d’œuvres musicales: ❚ celui prévu pour la vente de copies sous forme de disques, cassettes… qui ne se distingue pas fondamentalement du système des copyrights ❚ mais également une sorte de taxe sur l’utilisation ou l’exécution d’œuvres lors de concerts, d’émissions radio/ télé, ou dans des lieux publics tels que cafés, restaurants, etc. Se pose alors la question universelle de la légalité de cet impôt, ainsi que de nouveaux problèmes liés à l’apparition de la musique numérique. Typiquement: dans quels cas les sons électroniques mixés lors d’une soirée techno peuvent-ils être assimilés à une œuvre. Autrement dit: qu’est-ce qu’une œuvre originale, tout simplement, dans le contexte moderne? Sur le plan international, cette taxe ne saurait être appliquée sans l’appui de l’Organisation Mondiale du Commerce, qui dans ce cas a pris le parti du modèle européen malgré les violentes protestations des associations de consommateurs américaines. L’avis du soussigné est que cette situation anachronique ne saurait survivre bien longtemps, surtout si l’on tient compte de la problématique totalement nouvelle posée par le Net. Deuxième commentaire: si les objectifs initiaux définis par la SACEM sont certainement louables, on peut toutefois se poser de sérieuses questions sur le mode de distribution des recettes, qui reste très opaque même en consultant le Rapport d’Activités Annuel dans ses moindres détails. A titre d’exemple, voici quelques phrases extraites de documents officiels qui peuvent laisser rêveur: La SACEM gère un fonds social au bénéfice notamment des auteurs de variétés dont les droits actuels ne correspondent plus au succès passé de leurs œuvres. Elle encourage la diffusion du spectacle vivant en subventionnant plus de 700 spectacles et festivals (Printemps de Bourges, Francofolies de La Rochelle…). Elle participe aux activités d’organismes à vocation éducative, telle que la Fédération nationale des Associations de parents d’Elèves de conservatoires et écoles de musique (sic).

Sur le plan international, il faut reconnaître le rôle moteur de la SACEM pour la CISAC (Confédération Internationale des Sociétés d’Auteurs et Compositeurs), le BIEM (Bureau International des sociétés gérant les droits d’Enregistrement et de reproduction Mécanique) et le GESAC (Groupement Européen des Sociétés d’Auteurs et Compositeurs). Avec tous ces organismes, les auteurs/compositeurs/éditeurs ne peuvent certes pas se plaindre de ne pas être bien défendus ! Par contre, le coût intrinsèque de ces multiples administrations n’est pas souvent mentionné dans les documents diffusés aux sociétaires et consommateurs. Un simple oubli, probablement… En Suisse, c’est la SUISA qui est l’équivalent de la SACEM. Selon le site Web www.suisa.ch, La SUISA est une coopérative suisse de droit privé formée des compositeurs, paroliers et éditeurs de musique. Elle gère leurs droits d’auteur en Suisse et au Liechtenstein. A titre d’illustration, reprenons quelques extraits particulièrement intéressants de son règlement: ❚ Du point de vue des droits d’auteur, le fait qu’une manifestation soit commerciale ou non, que l’organisateur perçoive un prix d’entrée ou non, qu’il fasse un bénéfice ou qu’il soit déficitaire ne joue aucun rôle. En cas de déficit, la redevance se calcule sur les frais et non sur les recettes. ❚ Lorsque l’auteur est membre de SUISA ou d’une société-sœur étrangère, il a déjà cédé ses droits à la société de gestion qui gère les droits collectivement. Il ne peut pas les céder une deuxième fois ni y renoncer au cas par cas ❚ Avec le nouveau contrat de gestion, les membres de SUISA lui cèdent également les droits pour les utilisations sur Internet. Mais les droits d’auteur des membres de SUISA ne sont pas les seuls à être concernés. Si on utilise de la musique à partir de phonogrammes existants, il faut également acquérir les droits voisins des interprètes et des producteurs. Ces ayants-droit ne sont pas représentés par SUISA et doivent donc être sollicités à part et à l’avance.

Musique d’avenir: la protection des droits d’auteur sur Internet A nouveau, on peut se poser la question de la légalité, de la valeur juridique de ce type de règlement. Si un lecteur averti pouvait éclairer le soussigné sur ce point, il en serait ravi !

Problèmes posés par l’évolution technologique L’émergence des NTIC et la place qu’occupent les US dans leur développement accentue une concurrence ancienne entre le système des droits d’auteur et celui du copyright. Dans le cas du système des copyrights, la solution est en fait très simple: il sufﬁt de protéger les documents numériques audios soumis aux droits d’auteur à l’aide d’une empreinte digitale (watermarking). Le document ne peut être décrypté qu’à l’aide d’une clé fournie moyennant une contribution ﬁnancière variable selon l’usage que l’on veut en faire: pay-per-listen pour une seule écoute, pay-per-copy si on veut en distribuer des copies. De nombreux systèmes concurrents ont été proposés, notamment par l’entreprise genevoise Audiosoft (http://www.audiosoft.com), mais aucun jusqu’à présent n’a pu encore atteindre le statut de standard, faute d’appui politique et commercial consensuel. Ce sera probablement la SDMI (Secure Digital Music Initiative, voir http://www.sdmi.org), regroupant la plupart des acteurs importants du domaine (y compris Napster et Microsoft !) qui imposera son choix, avec DRM (Digital Rights Management) d’InterTrust comme favori du jour. Par contre, le système européen de gestion collective des droits risque de se discréditer complètement en tentant désespérément et au mépris de la logique élémentaire d’imposer son mode de fonctionnement anachronique au monde ouvert d’Internet. A nouveau, que l’on en juge d’après les extraits suivants de nouvelles réglementations et leurs implications.

l’occupation de mémoire sur le serveur, les frais de personnel employé pour le déroulement de l’émission. On compte également comme frais les dépenses économisées lorsque certaines prestations de services sont fournies gratuitement par d’autres entreprises (sic). Pour les offres de morceaux de musique entiers offerts à la demande individuelle, on applique par analogie les tarifs pour les droits de reproduction mécanique. Par analogie? Supposons, comme cela se passe fréquemment, qu’un concert soit capté dans une salle, compressé en MP3 et distribué sur le Web à l’aide d’un streaming server. N’importe qui connecté au Web avec un client RealAudio, QuickTime ou autre peut écouter ce concert soit quasiment en direct, soit en différé, lorsqu’il le souhaite (audio-on-demand). Où donc est l’analogie avec la reproduction mécanique? Il est aussi possible que ce consommateur copie le concert sur son disque dur, ou le grave sur un CD. Comment sera déterminé dans ce cas le montant de la taxe que le diffuseur du concert sur Internet devra payer, avec comme seul règlement le texte ci-dessus? Qui osera aller devant les tribunaux pour contester la procédure utilisée, laquelle aura forcément toutes les apparences de l’arbitraire?

Pour la SACEM: On doit aussi tenir compte du droit moral, inexistant dans les pays de copyright, qui protège l’auteur face aux capacités de retraitement des œuvres par les systèmes informatiques.

Pour la SUISA:

La stratégie de la SACEM est ❚ de militer en faveur des systèmes pay per copy; ❚ de préserver le domaine du droit de représentation, avec ou sans ﬁl; ❚ d’éviter le développement de droits voisins, aﬁn que les producteurs et interprètes ne puissent interdire la communication des phonogrammes sur les réseaux en affaiblissant la position des auteurs.

Broadcasting sur Internet: la redevance s’élève à un pourcentage des recettes ou des frais produits par l’utilisation de la musique… Par exemple les frais des appareils d’enregistrement,

Cela signiﬁe que la SACEM s’engage maintenant à défendre les droits des auteurs qui ont tout intérêt à voir leurs œuvres diffusées sur Internet CONTRE les bénéﬁciaires de droits

voisins qui y voient au contraire une menace pour leurs propres intérêts. Très intéressant, pour la suite des événements !

Une solution ? Du point des vue des copyrights, il existe une forte analogie entre la conception de logiciels et la création musicale. A partir de combien de lignes de code, à partir de combien de notes peut-on considérer que l’on a affaire à une œuvre originale protégée par la loi sur les droits d’auteur ? Comment déterminer la valeur commerciale de l’œuvre en question ? Comment s’assurer qu’aucune copie illégale n’est possible ? Comment l’auteur peut-il être rémunéré de façon équitable ? Pour les logiciels, une solution parfaitement satisfaisante aussi bien du côté de l’auteur que du consommateur (mais évidemment pas des intermédiaires, inutiles sur le Web) a été trouvée: il s’agit du concept de shareware. Supposons que vous trouviez sur Internet un logiciel qui corresponde à vos besoins. Il n’est pas protégé, mais l’auteur vous demande de lui verser quelques dollars pour qu’il puisse continuer d’en assurer le développement et le support. Si une majorité de consommateurs joue le jeu, ce qui est le cas dans le monde scientiﬁque, ce logiciel qui peut vous rendre de grands services ne vous aura coûté que ces quelques dollars, alors que l’auteur en gagnera des dizaines, voire des centaines de milliers. Peuton imaginer un meilleur système ? Alors posons-nous la question: pourquoi le même principe ne pourrait-il pas fonctionner pour la production musicale ? Les artistes peuvent très bien se grouper en coopératives pour la diffusion de leurs compositions en réduisant au maximum les frais administratifs. Si vous aimez un artiste, refuserez-vous de lui verser une thune aﬁn qu’il puisse continuer de vivre et de composer? Surtout si cette thune vous permet d’accéder librement à toute sa musique, avec la conscience tranquille ! ■

FI-spécial été 2000 – 5 septembre 2000 – page 41

glossaire national de veille et réponse aux attaques informatiques. http://www.cert.org

Cheval de Troie (trojan horse)

Jacqueline.Dousson@epfl.ch, Collaboratrice au Service informatique central

Autorité de certification Autorité morale qui définit les critères et les modalités d’attribution des certificats numériques. Elle garantit l’identité du possesseur de la clé publique diffusée; Lire l’article Confidentialité et identité sur WWW dans le FI10/97.

Biométrie Science qui permet d’identifier de manière unique un individu en se basant sur ses caractéristiques physiques (iris, visage) ou comportementales (manière de marcher ou de taper sur un clavier). Lire l’article en page 25.

Buffer overflow Erreur de programmation qui est la cause la plus répandue d’intrusions informatiques à distance. En résumé, le programmeur ne vérifie pas la taille d’une chaîne de caractères avant de la copier dans une portion de mémoire. Si cette chaîne est sous contrôle externe (variables d’environnement, options, username, etc.), un pirate peut parfois placer dans les octets surnuméraires des instructions de son choix qui seront alors exécutées par le programme fautif.

Carnivore Ce programme fait l’actualité dans les revues techniques en ce moment aux USA; il permet au FBI d’intercepter au niveau du prestataire Internet les e-mails d’un suspect en scannant des milliers de messages par seconde. Le FBI garantit qu’il n’agit ainsi qu’avec des personnes qui font l’objet d’investigations judiciaires, mais certains esprits chagrins craignent que Carnivore ne permette aussi d’espionner d’autres «suspects».

CERT (Computer Emergency Response Team) centre de coordination interFI-spécial été 2000 – 5 septembre 2000 – page 42

Programme d’apparence anodine ouvrant une brèche de sécurité à des fins mal intentionnées. Il se présente en général caché dans un autre programme accepté sciemment et souvent envoyé de bonne foi par les internautes ignorant les dangers qu’il contient. Il diffère du virus, car celui-ci a la capacité de se reproduire par lui-même ce qui lui permet de se transmettre sans aucune intervention humaine directe.

Glossaire Clé privée Valeur attachée à une ressource ou un individu, lui permettant de déchiffrer des données chiffrées avec la clé publique correspondante ou d’apposer sa signature au bas de messages envoyés.

Clé publique Valeur de 512 à 2048 bits dans la pratique, attachée à une ressource ou un individu, qui la distribue aux autres afin qu’ils puissent lui envoyer des données chiffrées ou déchiffrer sa signature.

Cookies Courte chaîne de caractères déposée dans un fichier de votre ordinateur par votre navigateur Web, lors de la visite d’un site. Un cookie peut contenir la date et heure de votre visite, une réponse à un questionnaire que vous avez rempli sur le site visité, une information personnelle recueillie par le serveur, etc. Certaines compagnies de marketing utilisent intensément les cookies. Elles sont, grâces à des bannières installées sur plusieurs sites, capables de déterminer les habitudes de navigation des internautes. Lire Les cookies démystifiés http:// www.tactika.com/cookie).

Coupe-feu (firewall) Système matériel et/ou logiciel qui permet de contrôler les connexions entre un réseau local et Internet et de le protéger des intrusions de personnes en provenance d’Internet.

Cryptologie (ou cryptographie) C’est à la fois une science et une technologie. La cryptologie couvre quatre grandes fonctions de sécurité: ❚ l’authentification: il s’agit de garantir l’origine d’une information (signature numérique) ❚ l’identification: il s’agit de garantir l’identité et la qualité d’une personne qui souhaite accéder à des informations ou des ressources matérielles ❚ la confidentialité: il s’agit de garantir le secret de l’information retransmise ou archivée ❚ l’intégrité: il s’agit de garantir l’intégrité c’est-à-dire l’absence de modification d’un message ou d’un document.

Déni de service (DoS: Denial of Service, et même DDoS: Distributed Denial of Service). Attaque consistant à bloquer l’accès d’un serveur (mail, Web) en multipliant les requêtes à ce serveur. Sous sa forme distribuée, ce n’est plus d’un ordinateur que proviennent les requêtes mais de 5000 ou plus, soigneusement synchronisés.

DES (Data Encryption Standard) Algorithme de chiffrement à clé secrète de 56 bits travaillant sur un bloc de données de 64 bits. Lire l’article en page 8.

DIODE C’est le projet de sécurisation du réseau EPFL mise en place en juillet 2000; en résumé le nombre de machines de l’EPFL entièrement visibles depuis l’extérieur est limité aux seuls serveurs. Lire l’article DIODE, TREMPLIN, SSH et vous-même dans le FI6/ 2000.

Echelon Programme de renseignement anglosaxon mis en place au tout début de la guerre froide. Il peut capter les conversations téléphoniques, fax,

glossaire e-mails, à travers le monde. Il est dirigé par NSA (National Security Agency). http://www.monde-diplomatique.fr/ dossiers/echelon

Hoax Canular qui se répand sur Internet par e-mail; la plupart concerne l’arrivée imminente d’un terrible virus, (l’annonce provient en général de quelqu’un qui connaît quelqu’un, ..., qui travaille chez IBM ou ATT); mais cela peut aussi être une pétition pour une bonne cause (Sauvez le petit Jose!) mais qui cache un moyen facile de récupérer quelques adresses en vue d’un futur envoi publicitaire. D’autres «hoaxes» sont sociologiquement plus intéressants: par exemple, un prétendu échange de mails entre dirigeants de la société Total-Fina, en janvier 2000, détaille les moyens de lutter contre des pétitions demandant le boycott, suite au naufrage Erika; ces mails ont été créés de toute pièce. Rien de nouveau, les chaînes du bonheur et autres rumeurs sont des faits de société bien connus, les nouvelles technologies leur donnent simplement une efficacité accrue. Très utile pour éviter de tomber dans le piège: http://www.hoaxbuster.com, site français consacré à ces canulars. Mais il me reste un doute, ce site n’est-il pas un canular?

IPSec (Internet Protocol Security) Cadre de sécurité autour du protocole IP; l’IETF (Internet Engineering Task Force) définit un ensemble de normes mais le choix des algorithmes de chiffrement et des outils d’authentification est laissé aux vendeurs de logiciels.

PGP (Pretty Good Privacy) Logiciel de cryptographie gratuit, écrit en 1991 par Philip Zimmermann. C’est un logiciel culte pour les internautes pionniers. Après diffusion de son logiciel sur Internet, Philip Zimmermann a été poursuivi par le gouvernement américain pour trafic d’armes! PGP repose sur le principe d’échange de clés entre utilisateurs, donc sur un principe de confiance réciproque, contrairement

à S/MIME qui repose sur une infrastructure de certificats.

PKI (Public Key Infrastructure) Organisation interne à une entreprise ou inter-entreprises, permettant de traiter dans un cadre global la gestion et la distribution des certificats et des clés publiques.

RSA Algorithme d’encryption à clé publique, inventé en 1978 par Ronald Rivest, Adi Shamir, Leonard Adleman.

S/MIME (Secure/Multipurpose Internet Mail Extensions) Intégré dans de nombreux outils de messagerie, S/MIME encrypte le message et garantit l’identité de l’envoyeur. Voir les RFC 2311 et 2312 et dans ce numéro page 7.

Sandbox Modèle de sécurité fourni par la plate-forme Java; il a été conçu dans le but de mettre à disposition de l’utilisateur un environnement très restrictif afin d’exécuter du code suspect (untrusted) téléchargé depuis le Web. Le principe du modèle sandbox original est de considérer que du code local est autorisé (trusted) à avoir un accès total aux ressources vitales du système (tel que le système de fichiers) alors qu’à l’inverse du code téléchargé sur le Web (comme une applet) est suspect et ne peut accéder qu’aux ressources limitées fournies à l’intérieur du sandbox. Cela constitue une zone confinée permettant d’exécuter en toute sécurité du code qui aurait pu être dangereux pour le système tel que des applets hostiles.

Spam C’est l’équivalent sur Internet de la publicité que vous recevez dans votre boîte aux lettres. Pour en savoir plus, et notamment, comment éviter que votre machine devienne un relais pour les spammers, relisez l’article Meurs, spammer! de Martin Ouwehand du FI 7/99 .

Spoofing IP C’est une usurpation par un utilisateur du réseau, d’une adresse IP, afin de se faire passer pour la machine à laquelle correspond normalement cette adresse. Cette technique rend plus complexe la localisation des hackers notamment dans le cas d’un DDoS (voir déni de service).

SSL (Secure Sockets Layers, que l’on pourrait traduire par couche de sockets sécurisée) Procédé de sécurisation des transactions effectuées via Internet. Il repose sur un procédé de cryptographie par clé publique. La plupart des navigateurs Web supportent désormais les SSL. Netscape Navigator affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL. Un serveur sécurisé par SSL possède une URL commençant par https://, où le «s» signifie bien sûr secured (sécurisé).

Virus Programme qui recherche d’autres programmes pour y incorporer secrètement ses propres instructions. Ce processus, qu’on appelle infection, est la principale caractéristique du virus: il se reproduit lui-même en modifiant d’autres programmes. Lorsque les programmes infectés seront exécutés ils chercheront à leur tour à infecter d’autres programmes, d’où l’effet de propagation.

VPN Virtual Private Network Réseau privé virtuel, permet d’accéder à un réseau privé d’entreprise depuis l’extérieur en garantissant une connexion sécurisée

Watermarking Tatouage numérique qui vise à insérer de manière invisible une information à l’intérieur d’un document (musique, photo, film, ...). Lire en page 28. ■

FI-spécial été 2000 – 5 septembre 2000 – page 43

S É C U R I

,…) document (photo, contrat Comment s’assurer qu’un ormations est authentique ou des inf contenant des données et 28) oir été créé. (lire en page av rès ap gé an ch été s pa n’a s stion collective des droit le système européen de ge plètement en tentant m risque de se discréditer co la logique élémentaire de ris ép désespérément et au m onnement anachronique cti d’imposer son mode de fon ernet. (page 39) au monde ouvert d’Int

Casser D E S

entielle La meilleure attaque différ ent em ell tu ac connue demande age 8) 247 textes clairs choisis (p

e le maillon faible de la Ne perdons pas de vue qu (voir page 20) sécurité est l’homme. atie dans l’impossibilité pr La sécurité du RSA résid aint ce s ue d nombre de quelq que de factoriser un gran raisonnable. (voir page 5) ps nes de chiffres en un tem

mbéciles: ceux qui Il y a deux catégories d’i nc bon, et ceux qui disent: cela est ancien, do , donc meilleur (lire afﬁrment: cela est nouveau en page 32)

T É

réussi à enquêteurs du GAO ont s de , 00 20 i ma et l vri d’a Au cours des mois dépendant notamment du ux éra féd ts en tim bâ de ine nt simplement pénétrer dans une vingta ment de la Défense, en éta sur Internet rte pa Dé du re co en ou A, FBI, de la CI les disponibles ectionnés à partir de modè munis de faux badges conf cialisés. (lire en page 23) ou chez des revendeurs spé

3nK Y3W qoF 2G B1g db0 6bJ zlr Ser page 7 la de he uc Tf4 Nb0 /a1 h5l HPB lo 5uq wms ge na Z76 on Jas rs pe 3Js Zfa gyZ TAH Ceo 0r7 9J+ Clé publique du vkA xq0 MyX qB4 LmN bfQ x2T pb0 Fju I2p e8F DkU ud4 HOW C/i t5u k72 8xs FI-spécial été 2000 –

5 septembre 2000 – page 44