de liens

    Thèmes

    de liens
    1. Accueil
    2. Base doc
    3. Informatique
    4. Securite informatique
    5. SECURITE-INFORMATIQUE

    FICHE N ° 3: Les bonnes pratiques de l'accès à Internet

    Article

    Le présent article clôture notre série de trois consacrés à la sécurité informatique. Celui ci est plus particulièrement dédié au bon usage de l'internet.

    L'accès aux données partagées sur internet n'est en effet pas sans risque pour la collectivité et, pour une meilleure utilisation, certaines pratiques ou règles essentielles doivent être mises en œuvre.

    Les principaux risques liés aux échanges d'information

    Ils s'agrègent principalement autour des quatre principales manœuvres utilisées par l'intrus*:

    - la manipulation des informations du système informatique,

    - l'usurpation d'identité,

    - la réception d'informations non sollicitées,

    - l'utilisation frauduleuse de vos ressources informatiques.

    - Les informations contenues dans le réseau privé de la collectivité et celles de ses ordinateurs peuvent faire l'objet de convoitises ou de dégradations par l'intrus (ou hackers*). Il essaiera de s'en approprier pour en retirer une connaissance dont il pourra tirer profit. L'exemple type est le vol du fichier d'adresses* (électroniques ou non). Il pourra aussi le modifier ou le détruire et perturber ainsi le bon fonctionnement de la collectivité.

    - L'usurpation de l'identité informatique permettra à l'intrus d'effectuer des actions frauduleuses ou ternissant son image qu'il ne souhaite pas mener en son nom.

    - La réception d'informations non sollicitées dans la messagerie est très courante. Parfois résultant du vol d'un fichier d'adresses*, elle est généralement due aux imprudences de l'utilisateur lui-même, pris par les pièges tendus.

    - Enfin, les moyens informatiques de la structure peuvent servir à l'intrus, dès lors qu'il les a colonisés, de rampe de lancement de ses propres actions, souvent malveillantes, et toujours non souhaitées par le propriétaire.

    Les principaux moyens utilisés par l'intrus pour se procurer les informations

    Pour arriver à ses fins, l'intrus met en place des stratégies qui vont lui permettre soit de s'introduire dans le système informatique, soit de disposer des informations attendues sans même chercher à y pénétrer.

    - Pour s'y introduire, il va utiliser toutes les possibilités qui s'offrent à lui. La principale est celle du défaut de sécurité du concepteur du système: la faille de sécurité (dite « backdoor » ou « porte arrière » ou encore « porte dérobée »). Pour pouvoir s'y engouffrer, il va utiliser des chevaux de Troie* qu'il a introduit dans des logiciels « appâts ». Afin de tenter l'utilisateur, ces derniers présentent des améliorations de logiciels tels que MSN, Adobe Photoshop, Safari, ..., proposent des tests touchant à la personne sur la santé, le QI,... ou offrent des jeux gratuits.

    A l'insu même du titulaire du poste de travail, soit par perte ou divulgation inopinée du mot de passe, soit parce que sa session informatique* reste ouverte en son absence, fût elle momentanée, le tiers pourra l'utiliser en lieu et place, sous son identité. La responsabilité de l'utilisateur frauduleux pourra certes être engagée mais celle de l'utilisateur titulaire du poste pourra être recherchée.

    En effet, l'article 323-1 du nouveau code pénal prévoit que « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende ». Le deuxième alinéa de cet article dispose que « Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende ».

    - Les informations recherchées par l'intrus, sans pour autant avoir à pénétrer le système informatique, concernent principalement les adresses électroniques. Il se les procurera par divers canaux tels que forums de discussion, les fichiers d'adresses de fournisseurs d'accès Internet ou autres, ou encore les sites web.

    Les principales actions menée par l'intrus chez le particulier ou la petite structure publique

    Les intérêts commerciaux et la valeur technologique des informations détenues par les systèmes des particuliers ou des petites structures publiques sont faibles. Les intrus, grâce au carnet d'adresses constitué, attaquent principalement les messageries électroniques. Deux techniques sont utilisées pour perturber leur fonctionnement: le « spamming » et le « mailbombing ».

    - Le spamming désigne l'action d'envoyer un message non souhaité et dérangeant, appelé "spam", une personne ou à un groupe de personnes, pour promouvoir la visite d'un site web, l'achat de produits ou pour polluer un forum de discussion de messages publicitaires, commerciaux ou provocateurs.

    - Le « mailbombing » est une technique d'attaque qui consiste à envoyer des centaines, des milliers voire des dizaines de milliers de messages vides ou volumineux, revendicatifs voire injurieux, selon que l'objectif est une attaque du serveur de messagerie ou la saturation de la boîte aux lettres de la victime. Certains virus pratiquent aussi le « mailbombing ».

    Les bonnes pratiques

    Pour être efficace, les bonnes pratiques consistent en une « bonne hygiène de vie » dans l'usage de son informatique.

    Il faut tout d'abord savoir que tout responsable de traitement de données à caractère personnel doit adopter des mesures de sécurité physique adaptées à la nature des données et aux risques présentés. Il pourra s'agir notamment de restrictions d'accès aux locaux ou de mots de passe pour accéder aux fichiers, de pare-feu ou de tout autre programme de protection du système d'information.

    Le manquement à cette obligation est sanctionné au titre de l'article 226-17 du code pénal par cinq ans d'emprisonnement et 300 000 euros d'amende

    En interne, la protection par « mots de passe » doit être activée. L'ordinateur ne peut démarrer une session que par l'activation du code d'accès gardé secret par l'utilisateur. Ce dernier doit aussi verrouiller son poste de travail lorsqu'il s'absente, même momentanément. C'est une manipulation simple qui s'effectue par la simple combinaison simultanée des 3 touches (<ctr>, <alt>, <suppr>) suivie de l'activation de l'option <Verrouiller Ordinateur>. Un paramètre général de l'ordinateur, s'il est positionné, permet de déclencher automatiquement cette fonction dès que le temps d'inactivité choisi par l'utilisateur est atteint.

    Lors d'accès vers le monde de l'internet, les deux types de règles à mettre en œuvre se répartissent entre celles instituées par le technicien en charge de la sécurité du réseau informatique et celles de précaution et de bonne conduite suivies par l'internaute lui-même.

    Les bonnes pratiques effectuées par le responsable sécurité du réseau seront:

    - de privilégier les filtrages des entrées en activant des pare-feux,

    - de mettre en œuvre les options d'anti-spamming,

    - de veiller à la qualité et la cohérence des antivirus,

    - de surveiller l'augmentation des espaces consommés par les boites aux lettres,

    - d'interdire les accès aux sites réputés dangereux,

    - de filtrer les types de fichiers joints ou téléchargés par les utilisateurs.

    Les bonnes pratiques de l'utilisateur seront:

    - de ne pas ouvrir un message douteux. Celui-ci se caractérise par un expéditeur inconnu ou par un objet rédigé en langue étrangère, généralement en anglais. Il faut alors ajouter l'expéditeur à la liste des adresses bloquées et détruire le courriel sans l'ouvrir.

    - de ne jamais répondre à un message douteux,

    - de ne donner son adresse professionnelle qu'à des sites internet connus ou des adresses connues,

    - de ne pas autoriser le destinataire de réutiliser l'adresse de messagerie à d'autres fins que celle qui a conduit à le contacter. La réutilisation (voire la revente parfois) est souvent pratiquée. Cette précaution est aussi à appliquer avec les documents officiels.

    Pour exemple, le « document CERFA de demande de permis de construire », au lien http://www.formulaires.modernisation.gouv.fr/gf/cerfa 13406.do , page 5: il est écrit: « Si vous êtes un particulier : la loi n° 78 -17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés s'applique aux réponses contenues dans ce formulaire pour les personnes physiques. Elle garantit un droit d'accès aux données nominatives les concernant et la possibilité de rectification. Ces droits peuvent être exercés à la mairie. Les données recueillies seront transmises aux services compétents pour l'instruction de votre demande.

    Si vous souhaitez vous opposer à ce que les informations nominatives comprises dans ce formulaire soient utilisées à des fins commerciales, cochez la case ci-contre :  ».

    Cette case doit être cochée si le particulier souhaite que les informations nominatives ne soient pas utilisées à des fins commerciales.

    La solution pragmatique est de créer une 2ème adresse non professionnelle telle que les Gmail de Google ou les Hotmail de Microsoft. Elle servira lors de vos recherches de boite aux lettres de correspondances et permettront de protéger efficacement l'adresse professionnelle contre une diffusion incontrôlée à tout l'univers Internet.

    La collectivité peut enfin établir une charte informatique: répertoire des règles à respecter, inventaire des droits et des devoirs de chacun, présentation conceptualisée des bonnes pratiques internes.

    LEXIQUE INFORMATIQUE

    hackers: « mot anglais signifiant bricoleur, bidouilleur, utilisé pour désigner en informatique les programmeurs astucieux et débrouillards » (définition WIKIPEDIA)

    Intrus (le terme est à prendre au sens « large »): individu qui s'introduit sans invitation de votre part dans la vie informatique de l'internaute. La première méthode utilisée est violente. Elle pénètre le système informatique. L'intrus s'approprie des données (souvent les fichiers d'adresse, des numéros de licences, des codes bancaires, des mots de passe). Il peut utiliser les ressources (ordinateurs, réseaux informatiques, connexion internet) comme rampe de lancement de son business et de ses méfaits.

    La deuxième méthode s'appuie sur « l'engourdissement de vigilance ». Elle est plus douce mais très efficace, au travers des réponses à des courriels* qui semblent connus ou anodins, ou par la consultation des sites internet qui demandent souvent l'adresse électronique de l'internaute.

    Courriel (ou e-mail ou mail ou mél): autre terme pour désigner les messages électroniques.

    Cheval de Troie, « Trojan horse » ou troyen n'est pas un virus informatique. Il est conçu pour être reproduit lors de téléchargements ou de copies par des utilisateurs attirés par les fonctionnalités de logiciels porteurs du cheval de Troie. Ce dernier permet très fréquemment d'ouvrir une « porte dérobée » qui sera utilisée par l'intrus (pirate informatique) pour prendre à distance (par Internet) le contrôle de l'ordinateur.

    Fichier d'adresses de messagerie: les outils informatiques permettent de reconstituer les adresses électroniques à partir d'un fichier nominatif et d'un mail utilisé par la collectivité.

    Par exemple le courriel de contact est: contact @ mairie31.fr

    Le site internet propose au public l'organigramme avec les noms et prénoms des agents (par exemple: Dupont Marie-Christine, Martin claire, Durand philippe, Lefevre Pascal).

    Un outil informatique aura vite permis de tester les associations: nom.prenom @ mairie31.fr ou prenom.nom @ mairie31.fr ,...afin de reconstituer le fichier des adresses électroniques.

    Session informatique: période délimitée pendant laquelle un appareil informatique est en fonction et réalise des opérations au service de l'utilisateur.



    Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.

    Paru dans :

    ATD Actualité

    Date :

    1 février 2011

    Mots-clés

    Mentions légales - Politique de protection des données - Nous contacter - Outils informatiques

    Logo HGI - Logo CD31

    Haute-Garonne Ingénierie
    Agence Technique Départementale de la Haute-Garonne
    54, boulevard de l'Embouchure, 31200 Toulouse
    Tél : 05.34.45.56.56