[Newsletter HSC] N°58 - Juin 2009
Newsletter d'information de HSC
newsletter at hsc-news.com
Mar 2 Juin 13:46:11 CEST 2009
========================================================================
HSC Newsletter -- N°058 -- juin 2009
========================================================================
"Une chose n'est pas juste parce qu'elle est loi ;
mais elle doit être loi parce qu'elle est juste."
[Montesquieu]
--[ Sommaire ]----------------------------------------------------------
1. Editorial : HADOPI - Raphaël Marichez & Hervé Schauer
2. Editorial : LOPPSI - Raphaël Marichez
3. Le saviez vous ? La question
4. Appel à communication : 3ième conférence "SMSI et normes ISO 27001"
5. Agenda des interventions publiques
6. Veille en vulnérabilités HSC
7. Prochaines formations HSC
8. Offres d'emploi
9. Actualité des associations : Club 27001 et OSSIR
10. Le saviez vous ? La réponse
--[ 1. Editorial - Raphaël Marichez & Hervé Schauer ]-------------------
HADOPI
S'il est un sujet qui fait couler beaucoup d'encre numérique en France,
il s'agit bien des nouvelles lois concernant Internet.
Internet, pourtant, est mort une première fois en 2004 [1] avec la
LCEN (transposition en droit français de la directive "commerce électronique"
datant de 2000). Rappelez-vous, les hébergeurs allaient faire faillite et
les éditeurs de logiciels en sécurité ont dû fermer [2], surtout en
Allemagne alors que les dispositions pénales concernées étaient les mêmes
qu'en France. On s'est aussi demandé si Gmail n'allait pas fermer son
site en Allemagne [3] à cause de l'obligation de conserver les données de
connexions pour l'établissement des responsabilités pénales (alors que
Google, lui, ne conserve rien, et on sait parfaitement dans quelles
conditions sont accédées les données qui ne sont pas conservées). Le
décret venant préciser la liste des données permettant d'identifier les
éditeurs aurait également tué Internet [4]. Enfin, DADVSI a tué le
pair à pair (peer-to-peer) et généralisé le filtrage d'Internet.
[1] http://print.squat.net/docs/photos/20030306-Manif_anti_LEN/20040306-Bareusai-banderole_n_sculpture-1.jpg
[2] http://www.gizmodo.fr/2007/08/12/les_hackers_dans_le_collimateur_de_lallemagne.html
https://busyreadywhat.net/2007/07/lallemagne-interdit-les-outils-de-securite-informatique/
http://kismac.de/
[3] http://www.generation-nt.com/gmail-allemagne-google-vie-privee-anonyme-surfer-internet-actualite-42478.html
[4] http://www.vincentabry.com/la-mort-de-l-internet-en-france-par-l-etat-francais-475
Il s'est passé beaucoup de choses sur les blogues et journaux à sensation.
En réalité, ces dernières années ont vu se définir un droit de la
communication au public en ligne (Internet) distinct de la communication
audiovisuelle (télévision, radio), avec des procédures spécifiques et
aujourd'hui indispensables pour faire respecter ses droits (droit de
réponse, identification de l'éditeur...). Aujourd'hui, il est possible
d'agir contre des propos ou des images outrageantes portant atteinte à sa
vie privée, contre une contrefaçon de sa marque, et de nombreux hébergeurs
consciencieux se sont même vus exonérés de responsabilité civile et pénale
concernant des délits graves liés aux contenus qu'ils hébergeaient en toute
bonne foi.
HADOPI va-t-elle encore tuer Internet ?
Il est bien difficile de se faire une idée d'HADOPI. Tout le monde en
parle mais peu lisent la petite loi [5]. (elle n'est pas longue certes,
mais surtout, c'est son nom officiel s'agissant d'un projet adopté et
faisant l'objet d'une saisine du Conseil Constitutionnel). Concernant
les billets de blogues, excepté celui d'un avocat très connu (malheureusement
reposant sur une version périmée du texte), il semble impossible de trouver
des références vraiment sérieuses.
Le législateur a décidé (on peut critiquer, mais c'est son choix) de
renforcer la prévention contre un type particulier de délit possiblement
commis sur Internet (la contrefaçon). Les autres délits possibles sur Internet
(diffamation, intrusions, ...) ne sont étonnamment (?) pas concernés. HADOPI
ajoute dans le chapitre "prévention du téléchargement illicite" du Code de la
Propriété Intellectuelle [6], chapitre qui avait justement été créé par
DADVSI, un article 336-3 qu'il convient de rappeler :
[5] http://www.legifrance.gouv.fr/affichLoiPreparation.do;jsessionid=1536BB65249C513E7BCF478172534D55.tpdjo03v_2?idDocument=JORFDOLE000019017488&type=general
[6] http://www.legifrance.gouv.fr/WAspad/UnCode?code=CPROINTL.rcv
"Art. L. 336-3. - La personne titulaire de l'accès à des services de
communication au public en ligne a l'obligation de veiller à ce que cet
accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de
représentation, de mise à disposition ou de communication au public d'oeuvres
ou d'objets protégés par un droit d'auteur ou par un droit voisin sans
l'autorisation des titulaires des droits prévus aux livres Ier et II
lorsqu'elle est requise."
Le manquement à cette obligation constitue une infraction bien distincte de
l'éventuelle infraction de contrefaçon, commise soit par la même personne,
soit par une autre. En France, il n'y a pas de double peine (on dit "non
bis in idem") : la sanction administrative prévue par HADOPI punira (c'est
une sanction répressive, qui vise à punir, tout comme une sanction pénale)
celui qui manque à cette obligation, et le législateur a même pris le soin
d'ajouter dans les derniers débats qu'il n'y aura pas de responsabilité
pénale recherchée pour ce manquement. La sanction administrative est plus
rapide, plus discrète aussi et moins moralement traumatisante qu'une
sanction pénale, mais elle respecte le principe du contradictoire
(l'intéressé est informé de la situation et peut adresser ses explications
par écrit avant le prononcé de la sanction).
Est-ce une révolution ?
Quelques questions intéressantes ont été adressées à HSC suite à l'adoption
du texte, notamment "les entreprises vont-elles devoir se protéger contre les
attaques externes et surtout contre l'utilisation par les employés de l'accès
internet pour pirater" ?
Mais dans quel monde vivons-nous, dans lequel on se demande encore si les
entreprises doivent sécuriser leur réseau afin d'empêcher 1] de se faire
pirater, 2] les piratages d'origine interne ? Faut-il rappeler que
l'employeur est civilement responsable des faits de ses salariés dans
les fonctions auxquelles ils sont employés ? (cf. l'affaire Lucent /
Multimania / Escota [7]).
[7] http://www.legalis.net/jurisprudence-decision.php3?id_article=1611
N'oublions pas non plus que la responsabilité civile d'un dommage peut
être recherchée du fait d'un agissement imprudent ou négligent (art. 1383 cc),
ou encore du "fait des choses que l'on a sous sa garde" (art. 1384 cc).
Pourtant, en cas d'utilisation frauduleuse de son accès Internet occasionnant
un dommage, il ne serait pas juste de faire porter la responsabilité civile
de ce dommage sur le titulaire de l'accès, du moins tant que l'événement est
imprévisible, irrésistible et extérieur (c'est-à-dire un cas de force
majeure, exonérant de toute responsabilité). Ou se situe la limite entre
imprudence et prudence ? Entre négligence et diligence ?
En ce sens, on peut souhaiter étendre la notion de responsabilité du fait
des choses dont on a la garde aux accès à Internet, puisqu'une utilisation
maladroite de ces accès peut faciliter ou permettre la commission de délits
graves : diffusion de contenu illicite (pédo-pornographie, négationnisme,
diffamation), attaques informatiques, et... contrefaçon.
La loi HADOPI veut résoudre ce problème (pour le cas particulier de la
contrefaçon) en soumettant le titulaire de l'accès à une obligation de moyen
("veiller à ..."). L'appréciation du manquement à "l'obligation de veiller à..."
reste malheureusement très floue. Heureusement, en cas de problème, le titulaire
de l'accès peut se décharger de toute responsabilité en invoquant le fait que son
accès a été piraté, ou, pour les non-spécialistes en SSI, en ayant installé un
dispositif de sécurisation labellisé par l'HADOPI (nous y reviendrons).
Tout est prévu.
Si vraiment le titulaire de l'accès est mauvais, ne veut pas, par principe,
installer un logiciel tiers, malgré les deux recommandations successives de
l'HADOPI, alors les sanctions administratives encourues (art. L331-25 et
suiv.) sont de deux types (exclusifs) :
- la suspension temporaire de l'accès à internet ;
ou
- la mise en oeuvre de mesures permettant de prévenir le renouvellement du
manquement à l'obligation de veiller à empêcher l'utilisation frauduleuse
de son accès.
Il s'agit là encore d'une obligation de moyen. De plus, le titulaire est
libre de choisir la mesure de sécurisation qui lui convient. La loi ajoute
"... notamment un moyen de sécurisation" labellisé, mais ce n'est pas une
obligation contrairement à ce qu'on peut lire.
HADOPI n'allait-elle pas filtrer tout l'internet ?
Il est vrai que si le titulaire choisit un logiciel labellisé, cela suffit
à l'exonérer à l'avenir de sa responsabilité (art. L336-3 2°) en cas de
défaillance de la sécurisation de son accès.
S'il se confirme que l'entreprise peut être considérée titulaire de
l'accès, (ce qui reste encore à discuter, même si c'est probable dans la
majorité des cas), alors une rapide gestion du risque juridique nous montre
qu'il sera tentant d'éviter le risque de la sanction en achetant un de
ces logiciels labellisés.
C'est un effet de bord que l'on craint. Si HADOPI est appliquée (et on en
est loin...), alors les éditeurs de logiciels labellisés vont très
sûrement utiliser et détourner HADOPI pour prétendre une soi-disante
obligation d'installer un de leurs logiciels. Cela, assurément, ne peut
être bénéfique à la SSI dans son ensemble. HSC s'emploiera comme toujours
à communiquer et conseiller ses partenaires en toute indépendance, sur des
arguments vérifiables et réels, et sera vigilant à ce sujet.
D'autres effets de bord sont envisageables. HADOPI modifie la législation
sur les opérateurs et les FAI (L34-1 du CP&CE), permettant aux agents
assermentés d'HADOPI d'accéder aux données de connexion conservées dans le
cadre de l'art. L34-1 al. II du CP&CE [8]. Le changement de finalité et de
destinataires de ce traitement pourrait légitimement soulever des
commentaires, au moins sur le principe. Il n'est pas certain que cette
modification de finalité soit sans effet sur l'avis que la CNIL a émis pour
la publication du décret n°2006-358 précisant ce traitement. Curieusement,
ce changement non négligeable semble être passé inaperçu auprès de la
presse et des blogueurs.
[8] http://www.legifrance.gouv.fr/WAspad/UnArticleDeCode?code=CPOSTESL.rcv&art=L34-1
Concernant les réserves de la CNIL, dont certaines ont été entendues par
le législateur, la compétence de l'Autorité Adminitrative Indépendante qu'est
HADOPI (comme la CNIL, d'ailleurs) pour exercer un traitement de données à
caractère personnel (art. 331-34) tendant à la constatation d'infractions
a été soulignée, ce qui est fort logique puisque la CNIL est favorable à
réserver cette compétence à l'autorité judiciaire. De plus, ne connaissant
pas les caractéristiques des logiciels de sécurisation labellisés, des
interrogations subsistent quant à la proportionnalité entre le risque sur
la vie privée engendré et l'objectif de réduire le risque de contrefaçon.
Il est opportun de noter par ailleurs la suppression, au cours des débats,
d'une troisième voie de sanction (ex-art. L331-25-1bis) , s'agissant de la
limitation de l'accès à Internet "en fonction de l'état de l'art"
(comprendre : filtrage sélectif et/ou réduction du débit comme au Canada),
ce qui aurait permis de maintenir un accès même dégradé à Internet (allant
dans le sens des propositions des euro-députés), mais causant aux FAI de
nombreux problèmes techniques de mise en oeuvre, ainsi qu'un risque
d'atteinte aux droits légitimes pour le cas du filtrage.
En outre, s'alarmer qu'il existe des agents assermentés ayant le pouvoir de
constater des infractions en matière de contrefaçon, ce serait oublier
l'existence et l'activité de l'APP (Agence pour la Protection des Programmes)
depuis 1982.
Comme pour DADVSI, le Conseil Constitutionnel est saisi de la loi HADOPI.
Mais attention : paradoxalement, il arrive que les décisions du Conseil
Constitutionnel desservent les intérêts des auteurs de la saisine. C'était le
cas pour DADVSI [9]. Toutes les décisions d'invalidité concernaient les cas
d'exonération de responsabilité ou de caractère délictueux : les termes
"travail collaboratif", "interopérabilité", "fins de recherche" étaient
imprécis et peu clairs (principe de légalité des délits et des peines), les
restrictions portées au "travail collaboratif" et aux "logiciels de pair
à pair" étaient inégalitaires. Finalement, le passage devant le Conseil
Constitutionnel a rendu le texte encore plus dur qu'à l'origine.
La saisine, publiée par Les Echos [10], comporte 11 motifs dont quelques uns
seulement pourraient donner lieu à une décision de non-conformité.
Risquons-nous à un pronostic :
- L'incompétence négative [11] du législateur pourrait être déclarée à
l'encontre de dispositions délégant de nombreuses responsabilités à
d'autres instances, notamment concernant les spécifications fonctionnelles
des moyens de sécurisation à labelliser,
- Le défaut de légalité des délits et des peines pourrait être opposé à
l'infraction de "manquement à l'obligation de veiller" à la non-utilisation
frauduleuse de l'accès Internet. En effet les conditions de licéité ne sont
pas bien établies et ne semblent, pour l'heure, relever que de
l'appréciation de l'autorité administrative. Le Conseil Constitutionnel
pourrait à tout le moins émettre une réserve d'interprétation engageant
un comportement fautif (par imprudence ou négligence) de l'internaute.
- l'étendue, aux agents de l'HADOPI, des destinataires et de la finalité du
traitement consistant en la conservation des données de connexion des
opérateurs et des FAI, pourrait être critiquée sur le fondement du respect
de la vie privée, du fait de l'absence de limitation des données que ces
agents sont en droit de demander, mais également du fait que l'autorité
judiciaire ne sera plus la seule autorité capable de lier une adresse IP
et un nom.
[9] http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/depuis-1958/decisions-par-date/2006/2006-540-dc/decision-n-2006-540-dc-du-27-juillet-2006.1011.html
[10] http://www.lesechos.fr/medias/2009/0519//300350517.pdf
[11] http://fr.wikipedia.org/wiki/Conseil_constitutionnel_(France)#Les_griefs_d.27inconstitutionnalit.C3.A9
En revanche, les saisines portant sur le caractère fondamental de la liberté
d'accès à Internet, la gravité disproportionnée de la sanction, l'atteinte
aux libertés individuelles, l'inefficacité des mesures législatives
proposées, le possible cumul des peines, ou la gravité de la sanction
d'interruption de l'accès telle qu'elle ne peut être prononcée par une
autorité administrative et telle qu'elle viole la liberté d'expression,
recevront difficilement une réponse favorable.
Si le Conseil Constitutionnel répond positivement à l'un des motifs
ci-dessus, alors l'application de la loi deviendra rapidement un casse-tête
insurmontable.
Cette loi est encore bien fragile.
Il est clair que si l'accès à Internet devenait un jour une liberté
fondamentale [12] dans le droit français, alors de nombreuses autres
dispositions de la loi HADOPI seraient aisément attaquables et cette loi
deviendrait rapidement caduque. C'est d'ailleurs la ligne de défense de
nombreux opposants.
HADOPI sera-t-elle appliquée ?
L'internet français a connu des hauts-le-coeur similaires lors des débats
autour de DADVSI, et les deux dispositifs ont bien des similitudes. Il
échoit de constater aujourd'hui l'inactivité de l'Autorité Administrative
Indépendante créée par DADVSI (l'ARMT) [13], comme l'explique son rapport
d'activité [14] (partie 2). Parions dès aujourd'hui que HADOPI connaîtra
un sort similaire.
[12] http://www.vie-publique.fr/decouverte-institutions/institutions/approfondissements/conseil-constitutionnel-protecteur-droits-libertes-citoyens.html
[13] http://www.armt.fr/spip.php?article10
[14] http://armt.fr/IMG/pdf/rapport_annuel_armt.pdf
D'une part, de nombreux décrets seront nécessaires à l'application d'HADOPI.
Une grande incertitude, d'ailleurs figurant aux motifs de la saisine du
Conseil Constitutionnel, plane notamment sur le dispositif de sécurisation.
Sera-t-il un mouchard ? Un pare-feu ? Un portail captif authentifiant par
mot de passe (ou par certificat) ? Un token physique ? Un traitement de
texte comme l'a expliqué Christine Albanel, Ministre de la Culture [15] ?
Tout est possible, et c'est bien ce qui rend les choses à la fois très
incertaines et très inapplicables, tant que le décret n'est pas sorti, s'il
sort un jour.
D'autre part, il faudra attendre qu'une liste de tels moyens de sécurisation
labellisés soit publiée.
Il est probable enfin que la LOPPSI occulte HADOPI bien avant que toutes ces
étapes soient franchies. C'est pourquoi HADOPI est finalement un non-problème,
et devrait être considérée comme tel par les professionnels.
Pour ceux qui pensent que malgré tout, Internet va encore mourir demain, ce
n'est pas à Paris, mais à Bruxelles qu'il faut aller s'exprimer, car c'est
au niveau européen que se dessinent aujourd'hui les cadres législatifs
relatifs à Internet. HADOPI n'est qu'une petite aventure de peu d'avenir.
Votez le 7 juin :)
Il est bien naturel que des blogueurs et des journalistes prennent position.
Il n'est pas interdit de travestir la vérité pour n'en retenir que ce qui
sert son opinion. Par contre, la vitesse de reproduction des inepties et
approximations concernant des sujets sérieux montre qu'Internet (et même
Wikipedia ce coup-là) est aussi un espace où l'esprit critique et où le
temps de la réflexion font cruellement défaut. Internet n'exonère pas
l'internaute 2.0 de la responsabilité morale de sa réflexion.
[15] http://www.dailymotion.com/swf/x8ury3_albanel-ministre-de-linculture-open_news
--[ 2. Editorial - Raphaël Marichez ]-----------------------------------
LOPPSI
Le projet de loi d'orientation et de programmation pour la performance
de la sécurité intérieure (LOPPSI, période 2009-2013)[1], venant relayer la
"loi d'orientation et de programmation relative à la sécurité" (LOPS,
1995-2000)[2], puis la "loi d'orientation et de programmation relative à la
sécurité intérieure" (LOPSI, 2002-2007)[3], mérite un peu plus d'intérêt
qu'HADOPI. La rédaction de ce projet démontre le long travail d'une
administration et la recherche d'un réel pragmatisme, tout le contraire
d'HADOPI.
[1] www.legifrance.gouv.fr/html/actualite/actualite_legislative/programmation_securite.html
[2] www.legifrance.gouv.fr/texteconsolide/PPEAQ.htm
[3] www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000780288
N'attendez pas de la part d'HSC des critiques bêtes et passionnelles de
la LOPPSI comme celles qui peuplent le web 2.0 depuis le mois d'avril,
alors que le projet de loi n'a été présenté que le 27 mai.
Non, Internet ne va pas mourir.
ZDnet titre le 28 mai : "La loi qui va imposer le filtrage d'Internet en
France". Encore ?? C'est au moins la troisième fois !
Nous reconnaissons dans ce projet un fort aspect administratif et de
procédure pénale, ce qui signifie que l'essentiel du texte ne devrait pas
concerner le grand public. On y retrouve des inspirations de nos voisins
européens, et également différentes préoccupations du Livre Blanc sur la
Défense telles que :
- l'utilisation des systèmes d'information, éventuellement
hors des juridictions nationales, dans les activités criminelles ;
- l'explosion des activités de renseignement privé et la collusion des
intérêts ;
- la protection de l'identité sur internet ;
- la protection du secret des identités des agents de renseignement, ainsi que
de leurs sources ;
- ainsi que d'autres axes qui sortent du cadre de la SSI (sécurité civile,
menaces naturelles, délinquance routière ...)
Les points intéressant le secteur de la SSI sont les suivants.
Premièrement, il n'y a pas, et il n'y aura pas, de délit d'usurpation
d'identité en tant que telle, même restreint à Internet. Aucune révolution.
Rappelons qu'actuellement, l'usurpation d'identité est punissable
lorsqu'elle est susceptible d'entraîner des poursuites pénales contre le
tiers (art. 434-23 CP).
Elle peut également donner lieu à réparation selon le droit commun (en cas
d'avantage financier indu, etc.). L'ancienne proposition d'introduire un délit
d'usurpation d'identité stricto sensu sur Internet dans le chapitre 323 du
code pénal n'est toujours pas d'actualité.
Le projet de loi insérerait un article 222-16-1 dans le code pénal punissant
l'utilisation "réitérée" sur internet de "l'identité d'un tiers ou des données
qui lui sont personnelles, en vue de troubler la tranquillité de cette personne
ou d'autrui", ou "de porter atteinte à son honneur ou à sa considération"
(l'un des quatre critères cumulatifs considérés dans les cas de diffamation).
On s'interrogera sur les limites de l' "identité" (un pseudonyme, un prénom,
un code numérique d'identification, constituent-ils une identité ?) ainsi
que sur "des données qui sont personnelles à une personne". La loi
Informatique et Liberté définit la "donnée à *caractère* personnel", sur
laquelle on s'achoppe déjà énormément.
S'il ne s'agit pas d'une maladresse de formulation, alors tout en respectant
l'interprétation stricte du texte du projet, "des données qui [me] [sont]
personnelles" pourraient être des données informatiques que je détiens et que
je maîtrise, par exemple une photographie d'un paysage que j'ai réalisée lors
de mes dernières vacances. Quel rapport avec l'identité ? Comment se délimite
l'appartenance à une personne de données informatiques ? Soit c'est juste une
erreur de formulation, et la formulation correcte devrait être "données à
caractère personnel concernant autrui", soit l'objectif poursuivi est de
protéger sa vie privée et son image sur Internet (son "e-reputation") bien
au-delà de sa seule identité.
On remarquera également l'étendue de l'incrimination : "la tranquillité de
cette personne ou d'autrui". Plus besoin que la victime soit nécessairement
la personne dont l'identité aura été empruntée. C'est ingénieux car cela
prend également en compte le cas (pas rare) où la victime est destinataire
d'un email frauduleusement conçu (ingénierie sociale, menaces...).
Le point suivant, qui intéresse les opérateurs et les FAI, vient modifier
sans grande surprise le régime des intermédiaires techniques (LCEN,
article 6).
Une liste noire serait créée, portant sur les adresses Internet (a priori
les adresses IP), y compris et même surtout à l'étranger lorsque l'hébergeur
ne peut pas lui-même être poursuivi, fournissant des services (sites web,
FTP, P2P, ou autre...) diffusant du contenu pédo-pornographique. Là où les
hébergeurs soumis à la réglementation européenne et des pays en conventions
sont concernés par potentiellement tout type de contenu, ici cette nouvelle
obligation ne viserait que les contenus liés à la pédo-pornographie. Cette
liste serait a priori gérée par l'OCLCTIC. Elément intéressant, les
opérateurs et FAI seraient tenus d'empêcher l'accès à ces services "sans
délai". Voilà qui va couper court aux questions de délai qui portent sur la
notion de "promptitude" concernant l'obligation déjà faite aux hébergeurs
d'empêcher l'accès à des contenus manifestement illicites dont ils ont
connaissance. Vue sous ces deux angles (liste noire contre "contenu
manifestement illicite si on est au courant", et "sans délai" au lieu de
"promptement"), reconnaissons au moins à ce projet le mérite d'être
beaucoup plus précis que le 6-I-3 de la LCEN, ce qui évitera de nombreux
flous judiciaires.
Naturellement, les hébergeurs soumis à nos législations ne seraient pas
concernés par cette liste noire : leur régime juridique n'évolue pas. Pour les
opérateurs et les FAI, ce serait une réglementation coûteuse et lourde, mais
pour laquelle une compensation serait prévue. La vraie question qui se pose
est : quelles seraient les conditions de recours de l'opérateur/FAI s'il ne
respecte pas cette obligation, sciemment ou non, par exemple si une des
adresses listées héberge plusieurs services légitimes et importants (blogues,
wikis), ou si le service incriminé sort a priori du cadre de la lutte contre
la pédo-pornographie ? (ou : comment ne pas avoir peur d'un certain
arbitraire ou de préjudices majeurs envers des tiers ?)
L'article 20 du projet renforcerait la protection du secret des identités
réelles des agents de renseignement agissant sous identité d'emprunt, ainsi
que des sources, y compris devant l'autorité judiciaire. Jusqu'à présent,
seuls les lieux et les informations classifiées sont explicitement protégés.
L'article 21, très novateur et répondant aux objectifs d'intelligence
économique définis par le Livre Blanc, réduirait le flou entourant les
activités des officines de renseignement privées, notamment celles employant
des anciens agents publics. D'une part, la direction d'une de ces
entreprises serait soumise à agrément issu du Ministère de l'Intérieur,
ainsi qu'à des conditions de nationalité (espace européen) et de bonnes
moeurs (enquête administrative).
D'autre part, l'exercice de l'activité ferait l'objet d'une autorisation
ministérielle, révocable. Enfin, les fonctionnaires et agents de police et de
gendarmerie devraient respecter, après leur service, une période de 3 ans
avant d'exercer cette activité. La définition de cette activité reste
toutefois assez floue, notamment elle ne prévoit pas de critère géographique.
Enfin et c'est un point majeur, l'article 23 du projet permettrait
l'utilisation par l'enquête pénale de dispositifs de captation de données
informatiques, venant compléter le cadre existant des interceptions légales
de correspondance et les captations légales de paroles et images.
L'usage d'un tel dispositif de captation serait limité aux cas limitatifs des
crimes et des délits les plus graves (art. 706-73 cpp) et serait fortement
encadré, tant dans le formalisme que dans les personnes impliquées.
Le dispositif n'est pas décrit, il pourrait être matériel comme logiciel ou
les deux, installé sur place ou à distance ou les deux, seul son objectif
est décrit. En particulier, notons la précision "telles que [les données]
s'affichent (...) pour l'utilisateur (...) ou telles qu'il les y introduit
par saisie de caractères." Cela correspond aux "keyloggers" (au sens large, y
compris ceux qui effectuent des captures d'écran, déjà massivement utilisés
dans la cybercriminalité), mais il ne serait pas question d'écoute réseau.
Cependant, un détail en particulier, qui n'a pas encore été repris par la
presse à l'heure où j'écris ces lignes, retient mon attention : le II-b de
l'article 23 du projet de loi, certes cryptique pour un non-initié. Il était
déjà réprimé (art. 226-3 CP[4]) de détenir (ou d'importer, de fournir,
etc.) un appareil conçu pour réaliser les opérations pouvant constituer
une interception des correspondances privées. Viendrait s'ajouter
l'interdiction de détenir un appareil conçu pour réaliser les opérations
pouvant constituer une intrusion informatique (accès ou maintien frauduleux
dans un STAD). Il y a plusieurs commentaires à fournir.
D'une part, une question de forme : l'article 226-3 du code pénal fait partie
des textes qui punissent les atteintes à la vie privée. Or, il est prévu ici
d'augmenter la portée de cet article bien au-delà de la vie privée.
D'autre part : l'objectif de cette disposition est de prévenir l'utilisation
frauduleuse de dispositifs de captation (de même que les interceptions légales
de correspondances engendrent un risque d'atteinte au secret des
correspondances privées - art. 226-15 du CP[5]). Or il n'existe pas de délit
de captation de données informatiques à distance. Celui qui s'en
rapprocherait le plus est sans doute le 323-1 du CP (accès et maintien
frauduleux) et il n'y a donc pas lieu de s'inquiéter. Une interprétation
plus large nous conduirait à supposer que ces fameux dispositifs pourraient
tout aussi bien être installés par voie de piratage à proprement parler.
Mais ne soyons pas (encore) paranoïaques.
Enfin, et c'est l'impact majeur, il résulte de cette différence de
destination entre l'incrimination prévue au 323-1 du CP [6] d'une part, et
la captation de données à distance d'autre part, que la portée de la
proposition du projet de loi dépasserait largement son objectif initial, et
pourrait concerner, dans la rédaction actuelle, les personnes morales et
physiques ayant à disposition, utilisant, vendant ou offrant de manière
licite et légitime, des logiciels d'intrusion.
En effet, il ne s'agit pas ici du spectre de la LCEN brandi un peu à tort
et à travers en 2004 avec une lecture faussement extensive de
l'article 323-3-1 [7] du code pénal. D'une part, l'article 323-3-1 autorise
l'usage de ces logiciels avec "motif légitime", et d'autre part, les
logiciels concernés par cet article sont seuls ceux "conçus ou spécialement
adaptés pour commettre" une attaque informatique. Alors que le projet de loi
d'une part, ne prévoit pas l'exonération pour motif légitime, et d'autre
part, se distingue du 323-3-1 par une indirection supplémentaire,
élargissant ainsi le champ d'application à tout appareil dont l'objet n'est
pas l'attaque en elle-même, mais une opération autre qui pourrait constituer
l'infraction d'intrusion informatique. Pris en ce sens, un ordinateur
personnel en fait partie. Simple erreur de précipitation ?
[4] www.legifrance.gouv.fr/WAspad/UnArticleDeCode?code=CPENALLL.rcv&art=226-3
[5] www.legifrance.gouv.fr/WAspad/UnArticleDeCode?code=CPENALLL.rcv&art=226-15
[6] www.legifrance.gouv.fr/WAspad/UnArticleDeCode?code=CPENALLL.rcv&art=323-1
[7] www.legifrance.gouv.fr/WAspad/UnArticleDeCode?code=CPENALLL.rcv&art=323-3-1
Je me demande donc s'il est bien nécessaire, et même simplement utile ou
opportun, d'ajouter dans l'article 226-3 sur l'atteinte à la vie privée, la
mention d'appareils dont l'usage permettrait l'intrusion dans un STAD. Au
pire, les discussions en séance du législateur devraient préciser l'objectif
de cette disposition et prévenir d'éventuels jugements malencontreux.
Une fois mis de côté ce point étrange et la notion de "données qui sont
personnelles à un individu" elle aussi étrange, ce projet de loi mérite des
commentaires certes, mais espérons-le, un peu plus réfléchis et mesurés que
ceux portant sur HADOPI.
--[ 3. Le saviez vous ? La question ]-----------------------------------
A quoi sert le fichier /etc/gai.conf que l'on retrouve sur les distributions
Linux récentes ?
--[ 4. Appel à communication : 3ème conférence "SMSI et normes ISO 27001" ]--
Appel à communication pour la troisième conférence "SMSI et normes
ISO 27001" organisée par le club 27001.
Le Club 27001 (http://www.club-27001.fr/), association à but non lucratif,
organise à Paris le jeudi 19 novembre 2009 sa troisième conférence annuelle
autour des normes ISO 27001.
Voici les thèmes sur lesquels nous attendons des propositions, sans que
ceux-ci soient exhaustifs :
- Retours d'expérience dans l'utilisation des normes
. Mise en oeuvre d'une des normes
. Usage sans certification
. Organisations certifiées
. Retours d'expérience à l'étranger
- Mise en oeuvre d'un SMSI
. ISO 27003, reprise de l'existant
. Comment engager la direction générale
. Systèmes de Management Intégrés (ISO 9001, 14001, 20000-1, etc.)
ou SMSI séparé ?
. Mise en place d'audits internes
. Utilisation de l'ISO 19011 et ISO 27006
- Liens entre ISO 27001 et d'autres normes, référentiels ou règlements :
ISO 20000-1 / ITIL, BS25599, CobiT, PCI-DSS, SoX, Bâle II, Solvency II,
RGS (DGME/DCSSI), etc.
. Mutualisation, opposition, complémentarité, déclencheur, ...
. Gouvernance de la sécurité, de l'IT, de la gestion des risques
- Gestion des risques pour un SMSI
. Retour d'expérience de la méthode normalisée ISO 27005
. Implication des métiers
. Calcul du risque
. Intégration dans la gestion de risques opérationnels, financiers, etc.
. Usage de l'ISO 27005 dans les projets
. Migration EBIOS ou Mehari vers ISO 27005
- Construction d'indicateurs ou de métriques pour un SMSI
. ISO 27004
. Liens avec d'autres référentiels
- Certification et audits de SMSI
. Expérience des accréditeurs, des organismes de certification, des
auditeurs et des audités.
- Applications sectorielles : télécommunications, santé, etc
. Utilité et usage du référentiel appliqué à un métier
- Formation et certifications individuelles
. Comment et pourquoi se former aux SMSI ?
Les propositions doivent faire part d'un retour d'expérience pratique
et ne doivent pas être la présentation d'une offre de service, d'un
produit ou plus généralement d'une solution commerciale. Le comité de
programme sera sensible à l'aspect pratique des propositions.
Les présentations feront de 35 à 45 minutes et seront en français ou en
anglais.
Contenu des soumissions à envoyer à conference at club-27001.fr :
- Nom de l'auteur, biographie et affiliation
- Synopsis d'une page de l'intervention avec un plan de celle-ci
Calendrier
- 10 juillet 2008 : date limite de réception des soumissions
- 18 septembre 2008 : notification aux auteurs et
publication du pré-programme
- 10 octobre 2008 : publication du programme définitif
- 13 novembre 2008 : réception des présentations
- 19 novembre 2008 : conférence
Le comité de programme est composé des membres de l'association élus au
conseil d'administration, soit :
- Nicolas Andreu, Devoteam
- Bertrand Augé, Kleverware, trésorier
- Gérôme Billois, Solucom
- Dominique Ciupa, Bull
- Eric Doyen, Crédit Immobilier, président
- Emmanuel Garnier, Systalians, vice-président
- Catherine Guelou, CRAM-Bretagne
- Loic Guézo, IBM
- Bruno Michaud, Trans-Z
- Anne Mur, Edelweb
- Hervé Schauer, HSC, secrétaire
- Jérôme Vivier, Thales
--[ 5. Agenda des interventions publiques ]-----------------------------
- 4 juin 2009 : SSTIC 2009 - Rennes
Conférence invitée : "La norme ISO 27001" - Alexandre Fernandez-Toro
http://www.sstic.org/SSTIC09/programme.do
- 9 juin 2009 : Conference du CERT-IST - Paris
Participation à la table-ronde "Dépérimétrisation et cloud computing" -
Hervé Schauer
http://www.cert-ist.com/fra/news/Forum2009Agenda/
- 11 juin 2009 : Séminaire Aristote "Sécurité Distribuée" - Paris (Palaiseau)
"SSI du secteur privé : retour d'expérience et confrontation des
habitudes avec le monde de l'enseignement-recherche" - Raphael Marichez
http://www.aristote.asso.fr/doku.php/public/seminaires/accueil
- 12 juin 2009 : Panorama de la cybercriminalité du Clusif - Bordeaux
"Surmédiatisation des failles de sécurité" - Hervé Schauer
Clusir Aquitaine, http://www.clusir-aquitaine.fr/
- 12 juin 2009 : Clusir Aquitaine - Bordeaux
"La norme de gestion de risques en sécurité de l'information ISO 27005" -
Hervé Schauer
http://www.clusir-aquitaine.fr/
- 23 juin 2009 : "La sécurité pour accélérer le business" - Paris
"Enjeux de la SSI pour les entreprises"
Hervé Schauer représentant le Clusif
Organisé par les rédactions de CIO, de Réseaux et télécoms, et de CSO
Retrouvez l'agenda de nos interventions publiques sur
http://www.hsc.fr/conferences/agenda.html.fr
--[ 6. Veille en vulnérabilités HSC ]-----------------------------------
1421 13-05-2009 14 vulnérabilités corrigées dans Microsoft Office PowerPoint
1422 18-05-2009 Vulnérabilité dans IIS 6
--[ 7. Prochaines formations HSC ]--------------------------------------
Nos prochaines formations sont les suivantes :
- Paris
ISO 27005 Risk Manager .............. : 2 au 4 juin (complet)
ISO 27001 Lead Implementer .......... : 8 au 12 juin (complet)
ISO 27001 Lead Auditor .............. : 15 au 19 juin (complet)
Réalisation pratique des Tests d'Intrusion : 22 au 26 juin (complet)
ISO 27005 Risk Manager .............. : 1 au 3 juillet
ISO 27001 Lead Auditor .............. : 6 au 10 juillet
ISO 27005 Risk Manager .............. : 31 aout au 2 septembre
Essentiels de l'ISO 27001 ............ : 3 et 4 septembre
ISO 27001 Lead Implementer .......... : 7 au 11 septembre
ISO 20000-1 Lead Auditor ............. : 7 au 11 septembre
Fondamentaux techniques de la SSI ... : 14 et 15 septembre
Gestion des identités et des accès .. : 16 au 18 septembre
ISO 27001 Lead Auditor .............. : 21 au 25 septembre
ISO 27005 Risk Manager .............. : 28 au 30 septembre
Mesures de sécurité ISO 27002 ........ : 1 et 2 octobre
Formation RSSI ....................... : 5 au 9 octobre
Réalisation pratique des Tests d'Intrusion : 12 au 16 octobre (*)
ISO 27001 Lead Implementer .......... : 19 au 23 octobre
DNS par la pratique .................. : 26 octobre (*)
Postfix par la pratique ............. : 27 octobre (*)
Lutte contre le spam par la pratique . : 28 octobre (*)
Fonctionnement des PKI ............... : 29 octobre
Sécurité de la VoIP .................. : 30 octobre
Sécurité des serveurs et applications web : 5 et 6 novembre
Réalisation pratique des Tests d'Intrusion : 16 au 20 novembre (*)
Sécurité du WiFi et des réseaux sans-fil : 18 novembre
(*) : formations pratiques avec un ordinateur par stagiaire
- Genève (Suisse)
ISO 27001 Lead Auditor .............. : 9 au 13 novembre
- Luxembourg
ISO 27a01 Lead Auditor .............. : 25 au 29 mai
ISO 27005 Risk Manager .............. : 24 au 26 juin
ISO 27001 Lead Implementer .......... : 12 au 16 octobre
- Lyon
ISO 27001 Lead Implementer ........... : 22 au 26 juin
- Nantes
ISO 27005 Risk Manager .............. : 16 au 18 septembre
- Nice
ISO 27001 Lead Implementer .......... : 29 juin au 3 juillet
- Strasbourg
ISO 27001 Lead Implementer .......... : février 2010
- Toulouse
ISO 27005 Information Security Risk Manager : 18 au 20 novembre
ISO 27001 Lead Auditor .............. : 1 au 5 mars 2010
Pour tout renseignement, et pour vous inscrire pour toutes les villes
sauf Luxembourg, contactez Lynda Benchikh :
formations at hsc.fr -- +33 141 409 704
Pour les formations à Luxembourg contactez Sylvie Favaut :
Sylvie.Favaut at eu.didata.com
Tél : +352 25 48 25 321 -- GSM : +352 621 31 20 88 -- Fax : +352 25 48 30
Rappel : pour 4 jours de formation consécutifs commandés
simultanément par la même personne, le 5ème jour est offert (sauf
formations d'une semaine et certifiantes).
Vous souhaitez des formations dans votre ville ? Contactez Hervé Schauer.
Retrouvez le détail de nos formations (plan pédagogique, agenda) ainsi que
notre catalogue sur http://www.hsc.fr/services/formations/index.html.fr
--[ 8. Offres d'emplois ]-----------------------------------------------
HSC recherche :
- Un à deux consultants débutants intéressés par la sécurité autour des
normes ISO 27001 (SMSI) et ISO 27005 (Gestion de risques SSI),
pour faire de la sécurité organisationelle
- Un administrateur système et réseau, webmestre et logisticien
Au delà de ces recherches actives, tous les autres profils sont
invités à faire des candidatures spontanées, en rappelant pourquoi
leur profil sort de l'ordinaire.
Les postes sont basés à Levallois-Perret, à 5 minutes de la gare de
Paris Saint-Lazare, dans 400m2 de bureaux climatisés.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Les consultants orientés organisationnels en SSI réaliseront des
prestations de conseil, d'expertise, d'audit, d'accompagnement et de
formation en sécurité, typiquement dans la mise en oeuvre et l'audit
de SMSI, la gestion de risque en sécurité de l'information, et de manière
plus générale tout ce qui touche à l'organisation de la SSI.
HSC propose un programme de 3 à 8 semaines de formations accessible à
tous les nouveaux embauchés, permettant un apprentissage sans équivalent
par des experts de chaque domaine.
Les candidats devront avoir un bon contact humain, une bonne qualité de
rédaction en français, et une maîtrise de l'informatique et des technologies.
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv at hsc.fr.
Pour plus d'informations : http://www.hsc.fr/societe/recrutement.html.fr
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
HSC recherche un administrateur système et réseau, de formation BTS
ou IUT, qui soit autonome, capable de prendre des décisions rapidement en
fonction des besoins, qui sache analyser les journaux système et réseau,
ayant de très bonnes compétences système Windows, et la connaissance de
Linux ou un autre Unix (Solaris, AIX, etc), et la maîtrise des routeurs
CISCO. Une compétence dans les produits VMware et Asterisk (VoIP) sera un
plus.
Les tâches attribuées à ce poste seront de veiller au bon fonctionnement de
toute l'infrastructure (réseau, serveurs, sécurité périmétrique), de gérer
les sauvegardes, de veiller à la sécurité des équipements internes et
périmétriques, de gérer le web interne et le web externe. Cette dernière
tâche sera importante et une connaissance du langage WML (Website Meta
Language) sera un plus (http://www.thewml.org/).
Il sera responsable de la logistique et des moyens généraux, et préparera
les salles de travaux pratiques (postes clients et infrastructure).
Si vous souhaitez proposer votre candidature, nous vous remercions d'envoyer
votre CV en format texte ascii par courrier électronique à cv-admin at hsc.fr.
--[ 9. Actualité des associations : Club 27001 et OSSIR ]-----------------
o Club 27001 (http://www.club-27001.fr/)
. Prochaine réunion à Paris jeudi 11 juin chez Altran à Levallois-Perret
- "Présentation du RGS" par Emeric Laroche, HSC
- "Le framework RiskIT de l'ISACA et ISO 2700x, complémentarité ou
concurrence ?" par Jean-Luc Strauss, Altran
- "Retour d'expérience sur l'implémentation de l'ISO 27001 en
environnement infogéré", par Sébastien Bombal, Areva
. La réunion suivante à Paris est le 17 septembre.
Les animateurs sont en attentes de propositions de présentations.
. Prochaine réunion à Toulouse le vendredi 26 juin 2009
. Création d'un club 27001 à Marseille, première réunion en
septembre 2009.
o OSSIR (http://www.ossir.org/)
. Prochaine réunion à Paris le mardi 9 juin à l'ENSAM salle P2
- "Le bac à sable Anubis" par Ulrich Bayer, projet Anubis
- "Compte-rendu du SSTIC 2009" par Nicolas Ruff, EADS
. Prochaines réunions à Lyon, Rennes et Toulouse annoncées bientôt
--[ 10. Le saviez vous ? La réponse ]------------------------------------
Le fichier /etc/gai.conf dirige l'implémentation dans la libc Linux du
RFC 3484 (http://www.ietf.org/rfc/rfc3484.txt). Ce RFC spécifie comment
doivent être choisies les adresses sources et destination lors de connexions
IPv6, notamment l'ordre de tri des adresses retournées lors d'appels à
getaddrinfo() (résolution de nom et services).
Les machines possédant une "dual stack" IPv6/IPv4 sont notamment concernées,
le RFC spécifie que les connexions IPv6 doivent être choisies de préférence
aux adresses IPv4.
Ce choix peut poser des problèmes, notamment lorsque l'accès IPv6 est lent
ou peu stable, ou encore quand les serveurs IPv6 atteints sont moins fiables
que leurs équivalents IPv4.
Il est donc possible de changer l'ordre par défaut, afin de privilégier
l'accès IPv4 ou d'exclure des hôtes IPv6.
La configuration par défaut est la suivante :
precedence ::1/128 50
precedence ::/0 40
precedence 2002::/16 30
precedence ::/96 20
precedence ::ffff:0:0/96 10
Les adresse IPv4-compatibles ont le poids le plus faible, et sont donc
choisies en dernier, comme on peut le voir par exemple sur un système Linux
connecté à Internet en IPv6 et V4 et voulant accéder au serveur Whois de
l'AFNIC :
> ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:1e:c9:55:3a:77
inet addr:192.70.106.33 Bcast:192.70.106.47 Mask:255.255.255.240
inet6 addr: fe80::21e:c9ff:fe55:3a77/64 Scope:Link
inet6 addr: 2001:7a8:1155:2::abcd/64 Scope:Global
> host whois.afnic.fr
whois.afnic.fr is an alias for whois.nic.fr.
whois.nic.fr has address 192.134.4.25
whois.nic.fr has address 192.134.4.24
whois.nic.fr has IPv6 address 2001:660:3003:2::4:25
whois.nic.fr has IPv6 address 2001:660:3003:2::4:24
> whois hsc.fr
%%
%% This is the AFNIC Whois server.
%%
%% complete date format : DD/MM/YYYY
%% short date format : DD/MM
%% version : FRNIC-2.5
%%
%% Rights restricted by copyright.
%% See http://www.afnic.fr/afnic/web/mentions-legales-whois_en
%%
%% Use '-h' option to obtain more information about this service.
%%
%% [2001:07a8:1155:0002:0000:0000:0000:abcd REQUEST] >> -V Md4.7 hsc.fr
La requête est effectuée avec l'adresse source IPv6
2001:07a8:1155:0002:0000:0000:0000:abcd .
En éditant /etc/gai.conf et en changeant le poids de ::ffff:0:0/96,
(représentation IPv6 des adresses IPv4), on peut favoriser
l'utilisation d'adresses IPv4 :
> grep -v '^#' /etc/gai.conf
precedence ::ffff:0:0/96 100
> whois hsc.fr
%%
%% This is the AFNIC Whois server.
%%
%% complete date format : DD/MM/YYYY
%% short date format : DD/MM
%% version : FRNIC-2.5
%%
%% Rights restricted by copyright.
%% See http://www.afnic.fr/afnic/web/mentions-legales-whois_en
%%
%% Use '-h' option to obtain more information about this service.
%%
%% [192.70.106.33 REQUEST] >> -V Md4.7 hsc.fr
L'adresse IPv4 source 192.70.106.33 est alors utilisée.
On peut aussi mettre des poids faibles aux adresses destinations IPv6 que
l'on veut ignorer, par exemple ici en baissant la priorité des adresses
assignées à l'AFNIC :
> grep -v '^#' /etc/gai.conf
precedence 2001:660:3003::/48 5
> whois hsc.fr
%%
%% This is the AFNIC Whois server.
%%
%% complete date format : DD/MM/YYYY
%% short date format : DD/MM
%% version : FRNIC-2.5
%%
%% Rights restricted by copyright.
%% See http://www.afnic.fr/afnic/web/mentions-legales-whois_en
%%
%% Use '-h' option to obtain more information about this service.
%%
%% [192.70.106.33 REQUEST] >> -V Md4.7 hsc.fr
%%
%% RL Net [##########] - RL IP [#########.]
Les administrateurs réseau et sécurité configurant des machines "dual stack"
ont de bonnes raisons de s'intéresser à ce fichier, s'ils ne sont pas sûrs
de la symétrie du filtrage IP réalisé dans les mondes IPv4 ou IPv6 : si un
de leurs correspondants commence à placer des adresses IPv6 dans le DNS,
les services en fonctionnement risquent d'être affectés (filtrage,
journalisation, performances, ...).
HSC recommande d'ailleurs à ce titre de toujours désactiver IPv6 sur les
machines n'en ayant pas besoin, la quasi totalité des systèmes récents
activant l'autoconfiguration. Il nous est arrivé par exemple dans un test
d'intrusion (et avec l'accord du client) après compromission d'une machine,
d'annoncer un /64 dans une DMZ et de la rendre entièrement accessible
depuis le réseau IPv6 HSC, en contournant tous les systèmes de sécurité (y
compris les IDS évidemment).
Plus d'informations sur la liste de diffusion newsletter