1. Cybersécurité et vie privée
Présentation
Christophe-Alexandre PAILLARD,
Directeur des Affaires juridiques, internationales et de l’expertise technologique de la CNIL
Ecole nationale de la magistrature, formation continue des magistrats
Jeudi 3 novembre 2011, 15h30/16h30
3. 3
La cybersécurité : une prise de conscience
mondiale récente
Ce n’est qu’au printemps 2007 que les Etats du monde entier ont vraiment
pris conscience de la montée en puissance de ce que l’on peut appeler la
cyberguerre :
Le développement d’internet a en fait ouvert la voie à un nouveau type d’attaque que l’on peut
qualifier de guerre, forçant tous les pays à revoir leurs systèmes de sécurité.
L’Estonie a subi en 2007 une attaque sans précédent. L’attaque faisait suite au transfert d’un
monument à la gloire de l’Armée rouge qui a déclenché la colère de la minorité russophone d’Estonie
et des actions de représailles de hackers russes. Des journaux, des banques ou des institutions
gouvernementales ont été pris pour cibles par des hackers, forçant ces institutions à fermer leurs sites
pour éviter le vol de données et un blocage complet de leurs serveurs.
Cet évènement a au moins permis aux experts de l’OTAN, de l’Union européenne, des Etats-Unis,
d’Israël et des autres pays du camp occidental d’étudier les moyens mis en œuvre par les hackers
pour pénétrer les systèmes et développer des plans de réponse rapide pour contrer ces attaques.
L’attaque présumée de la Chine contre les Etats-Unis de 2005 a aussi montré l’étendue de
cette lutte. Des internautes chinois avaient alors pénétré sur les sites du Homeland Security, du
Département de la Défense (DoD) et de celui de l’énergie. Aucune information classifiée n’aurait été
dérobée mais les Américains ne sont pas parvenus à localiser la source exacte de l’attaque.
4. 4
Les attaques prennent différentes formes
Les menaces pour les systèmes informatiques sont de plus en plus réelles :
Les pirates ne lancent jamais une attaque directe depuis leurs propres ordinateurs : ils piratent les
ordinateurs d’autrui afin d’en prendre le contrôle au moment choisi, ces ordinateurs étant des zombies. Le
temps entre le piratage d’un ordinateur et le moment ou celui-ci est utilisé pour lancer une attaque rend toute
possibilité de remonter à l’ordinateur de l’attaquant particulièrement difficile.
La compromission d’un ordinateur peut se faire de différentes manières : en ouvrant une pièce jointe
d’un email, qu’il s’agisse d’un programme, mais plus sournoisement également s’il s’agit d’un pdf infecté, ou
encore d’un contenu multimédia (vidéo, photo, mp3), via une clé USB, depuis un site internet infecté, etc. Car
les logiciels d’un ordinateur ne sont jamais exempts de failles de sécurité, connues ou non encore
divulguées, à partir desquelles un malware pourra en prendre le contrôle.
Parmi les modes de cyber–attaques, on peut distinguer celles utilisant les bombes logiques : le malware
ayant infecté les ordinateurs qui vont participé à l’attaque est programmé de façon à déclencher celle-ci à une
date prédéfinie à l’avance. Plus évoluées sont les attaques lancées à partir de botnet, un ensemble
d’ordinateurs compromis auxquels les pirates sont capables de transmettre des commandes depuis internet.
L’attaque dite de déni de service distribué peut faire appel à des centaines de milliers d’ordinateurs ainsi
manipulés, avec pour résultat que le site web attaqué sera injoignable car inondé par trop de demandes,
l’ensemble des visiteurs légitimes voyant alors affiché sur leur navigateur un message d’erreur.
5. 5
Stuxnet : la guerre cybernétique a-t-elle
vraiment commencé ?
En juin 2010, un virus particulièrement sophistiqué dénommé Win32 Stuxnet s’est attaqué à des
systèmes d’automatismes équipés d’automates programmables en provenance de la société
allemande Siemens en Iran :
Cette infection se cachait derrière deux rootkits sophistiqués signés par des certificats en apparence
valides. Un rootkit (outil de dissimulation d’activité) est un ensemble de techniques mises en œuvre par un
ou plusieurs logiciels dans le but d’obtenir un accès non autorisé à un ordinateur.
Stuxnet est un malware complexe permettant de saboter le fonctionnement normal de systèmes
critiques. Pour approcher sa cible, Stuxnet a exploité quatre vulnérabilités 0-day (une faille 0-day est une
faille qui n’est pas encore connue ou qui n’est pas encore corrigée). Ces failles 0-day permettaient à un
pirate d’exécuter du code lors de l’ouverture d’un dossier, que celui-ci soit partagé, local ou issu d’un
périphérique de stockage de masse comme un disque dur externe ou une clef USB.
Le malware utilise un mot de passe défini par défaut au sein des systèmes SCADA ou Supervisory
Control And Data Acquisition. Stuxnet a reprogrammé les systèmes SCADA.
Ce malware portait en lui deux codes malveillants. L’un a permis de détruire le système de commande
des centrifugeuses présentes dans le centre d’enrichissement de Natanz. L’autre a ciblé les turbines à
vapeur fabriquées par l’industriel russe Power Machines de la centrale nucléaire de Busher, à partir des
technologies de Siemens. Les centrifugeuses iraniennes ont été gravement endommagées et le
cycle d’enrichissement d’uranium engagé par l’Iran a probablement été retardé de trois ans.
8. 8
Cybersécurité : de quoi parle-t-on
exactement ?
L’objet de la cybersécurité est de :
Contribuer à préserver les forces et les moyens organisationnels, humains, financiers,
technologiques et informationnels dont se sont dotées les Institutions, les Etats, pour
réaliser leurs objectifs.
Ses enjeux sont de :
Apporter une réponse adéquate aux dimensions humaine, juridique, économique, sociale
et technologique des besoins de sécurité des infrastructures et des populations.
Apporter une réponse au besoin de maîtrise du patrimoine numérique, de la distribution de
biens intangibles / immatériels, du commerce électronique, etc.
Instaurer la confiance en l’économie numérique afin de favoriser un développement socio-
économique profitable à tous les acteurs de la société.
Sa finalité est de :
Garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’organisation ou de
l’Etat.
Diminuer la probabilité de voir des menaces se concrétiser et limiter les atteintes ou les
disfonctionnements induits.
Permettre le retour à un fonctionnement normal à des coûts et à des délais acceptables
en cas d’attaque.
9. 9
Une profusion de stratégies de
cybersécurité sorties entre 2009 et
2011 à travers le monde
12. 12
On agrège les données et les risques à
un niveau sans précédent
5. Systèmes
complètement intégrés
Degré de numérisation des données
(les systèmes des
prochaines années)
4. Intégration technique (ex :
cloud computing)
3. Systèmes d’échange (ex : peer to
peer)
2. Stockage d’informations
(ex : data centre d’une
entreprise)
1.Messages (ex : ouverture d’un
système de messagerie)
Échelle des risques
13. 13
Nos infrastructures physiques
dépendent de plus en plus des cyber-
infrastructures
Source: Department of homeland security, “Securing the Nation’s Critical Cyber Infrastructure”
14. 14
Quelles démarches engager ?
Maîtriser la sécurité en garantissant l’efficience des mesures de sécurité dans le temps
et dans l’espace, en identifiant les acteurs et les responsabilités.
Définir une politique de sécurité précisant les exigences de sécurité envers tous les
acteurs : gouvernement, utilisateurs, prestataires de services, etc.
Elaborer et mettre en œuvre une stratégie de cybersécurité cohérente et efficace.
Développer une éthique d’utilisation et de comportement vis-à-vis des technologies.
Adapter le cadre légal et institutionnel aux nouvelles menaces.
Eduquer, former et sensibiliser l’ensemble des acteurs concernés à la cybersécurité.
Mettre en place des centres d’alerte et de gestion de crise au niveau national/européen.
Créer des systèmes de surveillance et organiser des contrôles par des évaluations
régulières des vulnérabilités et des menaces.
Faire une analyse internationale des cibles stratégique et tactique des cyber-attaques.
Développer les compétences d’une cyberpolice pouvant contribuer à une coopération
internationale en matière de poursuite et d’investigation du cybercrime.
Développer des solutions technologiques de gestion des identités, de contrôle d’accès,
de cryptographie, etc.
Elaborer et mettre en œuvre une stratégie nationale de cybersécurité, des plans
d’action et protéger les infrastructures critiques nationales.
15. 15
Les principales mesures concrètes à mettre
en œuvre
Cadre légal : loi sur la cybercriminalité; loi sur la sécurité des réseaux et
systèmes informatiques; loi sur la protection des données à caractère
personnel.
Cadre organisationnel : désignation d’un responsable national chargé de la
cybersécurité; création d’une agence spécialisée chargée de la sécurité
informatique (ANSSI).
Renforcement des capacités : développer une expertise nationale en matière
de sécurité des réseaux et systèmes informatiques; former des instances de
justice et de police dans le domaine des TIC et des investigations en matière
de cybercriminalité.
Sensibilisation et éducation : sensibiliser à une cyberéthique d’utilisation et
de comportement vis- à-vis des TIC.
Coopération nationale et internationale : collaboration entre le
gouvernement et le secteur privé; coopération internationale; mise en place de
points de contact.
16. 16
II. Quels sont les liens entre cybersécurité et vie
privée ? En quoi la CNIL est-elle concernée ?
17. 17
Des menaces permanentes et de plus
en plus sophistiquées sur vos
données personnelles
Les menaces sur vos données :
Elles arrivent.
Elles sont ciblées.
Elles sont sophistiquées.
• NIR, identité. • Mesures disciplinaires.
• Diplômes, données universitaires. • Mémoires, notes, etc.
• Données professionnelles. • Données médicales.
• Données bancaires. • Données autres : sexe, religion, etc.
17
18. 18
Des Etats et l’UE prennent différentes
mesures touchant à la vie privée
Un constat : de plus en plus d’Etats lient directement cybersécurité et protection de la
vie privée.
Premier exemple, le 8 juillet 2011, les Pays-Bas ont annoncé, dans le cadre de leur
stratégie nationale de cybersécurité, la mise en place du Conseil de cybersécurité
néerlandais. Ce dernier aura pour mission d’informer et de conseiller les institutions
publiques et les entreprises privées des évolutions en matière de sécurité informatique. Au
delà de sa mission de coordination et de prévention, le Conseil aura également pour
finalité de défendre certains droits fondamentaux, notamment la liberté d’expression et
la vie privée.
Autre exemple, le 25 février 2011, l'Agence européenne chargée de la cybersécurité
(ENISA) a présenté un rapport sur les utilisations abusives des nouveaux cookies Internet
capables de dresser le profil et la localisation de l'utilisateur à des fins publicitaires, cela en
toute opacité. L’ENISA explore plusieurs voies pour prémunir les internautes
européens face à une éventuelle intrusion dans leur vie privée. Parmi elles figurent la
nécessité d'obtenir le consentement de l'utilisateur ainsi que la possibilité de gérer ces
cookies aisément. La limitation ou l'interdiction du stockage de ceux-ci hors du navigateur
est prônée comme le besoin de proposer une alternative aux internautes en cas de refus de
cookies. La CNIL est représentée à l’ENISA par le service de l’expertise technologique.
19. 19
Pourquoi lier cybersécurité et vie privée ? La
démonstration canadienne
« Chaque jour, nous accédons à Internet pour effectuer des transactions bancaires,
magasiner ou utiliser des services gouvernementaux, et nous le faisons à partir de n'importe
où. Les infrastructures numériques rendent tout cela possible et assurent le bon
fonctionnement des services essentiels en tout temps …
Les Canadiens (individus, industries et gouvernements) sont conscients des nombreux
avantages qu'offre le cyberespace pour notre économie et qualité de vie. Notre grande
dépendance aux cybertechnologies nous rend toutefois plus vulnérables aux attaques
lancées contre nos infrastructures numériques dans le but de déstabiliser notre sécurité
nationale, notre prospérité économique et nos modes de vie …
Nos systèmes sont des cibles attrayantes pour les services militaires et du renseignement
étrangers ainsi que pour les réseaux criminels et terroristes. Ces groupes (ndlr criminels)
s'emparent de nos systèmes informatiques, fouillent dans nos dossiers et
provoquent des pannes informatiques. Ils volent nos secrets de sécurité nationale et
industriels ainsi que nos identités personnelles ».
L'honorable Vic Toews, ministre de la Sécurité publique du Canada (2010), stratégie
canadienne de cybersécurité.
20. 20
L’exemple canadien (suite)
« La cybersécurité concerne chacun d'entre nous, puisque même les attaquants
possédant seulement des compétences de base peuvent causer de graves dommages. Les
attaquants qui s'y connaissent vraiment peuvent troubler les contrôles électroniques des
réseaux de distribution d'électricité, des installations de traitement des eaux et des réseaux
de télécommunications. Ils nuisent à la production et à la livraison de biens et services
essentiels fournis par nos gouvernements et le secteur privé. Ils portent atteinte à notre
droit à la vie privée en volant nos renseignements personnels. Il ne suffit pas de lutter
séparément contre les différentes cybermenaces. Par l'entremise de la Stratégie, le
gouvernement continuera de travailler de manière concertée avec les provinces, les
territoires et le secteur privé pour combattre les menaces auxquelles font face le Canada et
ses citoyens ».
« La Stratégie de cybersécurité du Canada constitue notre plan pour combattre les
cybermenaces. La Stratégie repose sur trois piliers : protéger les systèmes
gouvernementaux; nouer des partenariats pour protéger les cybersystèmes
essentiels à l'extérieur du gouvernement fédéral; aider les Canadiens à se protéger en
ligne : le gouvernement aidera les citoyens canadiens à obtenir l'information dont ils
ont besoin pour se protéger et protéger leur famille en ligne et pour accroître la
capacité des organismes d'application de la loi de lutter contre les cybercrimes ».
21. 21
Les Etats-Unis proposent une stratégie
internationale de coopération
Le 16 mai 2011, les Etats-Unis ont publié leur stratégie internationale de coopération en
matière de cybersécurité Intitulée « International Strategy for Cyberspace ».
Ce document développe une stratégie qui s’articule autour de sept axes, économique,
militaire, juridique et politique. L’administration américaine propose un engagement
financier destiné à encourager l’innovation et les échanges en ligne tout en préservant la
propriété intellectuelle.
Comme pour la stratégie américaine nationale de sécurité, ce texte met très clairement
en avant les notions de vie privée : « our strategy marries our obligation to protect our
citizens and interests with our commitment to privacy As citizens increasingly engage via
the Internet in their public and private lives, they have expectations for privacy:
individuals should be able to understand how their personal data may be used, and be
confident that it will be handled fairly Likewise, they expect to be protected from fraud,
theft, and threats to personal safety that lurk online—and expect law enforcement to use
all the tools at their disposal, pursuant to law, to track and prosecute those who would
use the Internet to exploit others ».
23. 23
Et la France ?
La France s'est dotée d'une stratégie pour se défendre et se protéger dans le
cyberespace pour répondre aux cybermenaces : « le cyberespace est devenu un
nouveau champ d’action dans lequel se déroulent déjà des opérations militaires, la
France devra développer une capacité de lutte dans cet espace. Des règles
d’engagement appropriées, tenant compte des considérations juridiques liées à ce
nouveau milieu, devront être élaborées » (livre Blanc de la Défense et de la Sécurité
nationale de juin 2008).
Par décret publié au Journal Officiel du 8 juillet 2009, l’ANSSI se substitue à la Direction
centrale de la sécurité des systèmes d’information (DCSSI) rattachée au Secrétariat
général de la Défense nationale (SGDN). Elle est dirigée par Patrick Pailloux.
En 2012, l’ANSSI pourrait compter 250 personnes (soit un doublement des effectifs par
rapport à 2008) et disposera d’un budget de 90 millions d’euros à la même échéance.
La guerre ne fait que commencer : à l’automne 2010, Bercy a été victime d’attaques
(rappel : vendredi de la com de la CNIL). le 29 septembre 2011, Areva a reconnu avoir
été victime d’attaques durant deux ans sur l’ensemble de ses installations informatiques.
24. 24
La stratégie française en bref
Quatre objectifs stratégiques : être une puissance mondiale de cyber-défense; garantir la
liberté de décision de la France par la protection de l’information de souveraineté; renforcer
la cyber-sécurité des infrastructures vitales nationales; assurer la sécurité dans le cyber-
espace.
Sept axes d’effort :
1. mieux anticiper et analyser l’environnement afin de prendre les décisions adaptées;
2. détecter les attaques et les contrer, alerter les victimes potentielles et les accompagner;
3. accroître et pérenniser nos capacités scientifiques, techniques, industrielles et humaines
dans l’objectif de conserver l’autonomie nécessaire;
4. protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales pour
une meilleure résilience nationale;
5. adapter notre droit afin de prendre en compte les évolutions technologiques et les
nouveaux usages;
6. développer nos collaborations internationales en matière de sécurité des systèmes
d’information, de lutte contre la cyber-criminalité et de cyber-défense pour mieux protéger
les systèmes d’information nationaux;
7. communiquer, informer et convaincre afin de permettre aux Français de prendre la mesure
des enjeux liés à la sécurité des systèmes d’information.
26. 26
Et la CNIL dans tout cela ?
La CNIL fait de la cybersécurité sans le dire. Quelques exemples concrets :
Ne pas prendre de risque, c’est effacer ses traces sur internet : cf. Surfer sur internet,
ça laisse des traces ! Faites-en l'expérience du 16 juin 2011.
Lutter contre le harcèlement : cf. Le harcèlement sur internet en questions du 2
novembre 2010.
La confiance numérique : cf. délibération n°2007-391 du 20 décembre 2007 portant avis
sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004
pour la confiance dans l’économie numérique.
Le plan numérique 2012 présenté en octobre 2008 par Eric Besson demandait à garantir la
protection des données personnelles. L'action n°80 de ce plan invitait « la CNIL à mettre en
place une campagne de sensibilisation 'informatique et libertés ».
Patrick Pailloux (ANSSI) a rappelé début octobre 2010 qu'un nombre très important
d'attaques à des fins d'espionnage sont détectées par l'administration et les entreprises. Il a
évoqué la nécessité d'appliquer des " règles d'hygiène informatique élémentaire " avec
comme exemple : « limitation des droits d'accès, analyse des mouvements suspects sur les
systèmes d'information, sanctuarisation des éléments les plus critiques comme les dispositifs
de gestion des droits d'accès, application régulière des correctifs de sécurité ». C’est bien la
doctrine habituelle de la CNIL.
27. 27
La relation entre la protection de la vie
privée et la sécurité, comme Janus,
présente deux faces distinctes
Puisque les renseignements personnels se retrouvent de plus en plus dans le
cyberespace, la protection de la vie privée dépend de plus en plus de la
cybersécurité.
Toutefois, dans certains cas, la cybersécurité, comme toute mesure de sécurité, peut
représenter une menace pour la protection de la vie privée.
Ainsi, la notion de protection de données personnelles (privacy) va devenir délicate à
traiter. En effet, si les militaires ont décidé d’investir le cyberespace, ce dernier comporte
bien plus de civils (les internautes) et d’entreprises que de militaires. Où sont alors les
intérêts des uns et des autres ? La militarisation déguisée ou avérée du cyberespace
ne doit pas se faire au détriment des enjeux économiques (le monde des affaires) et
du respect de la vie privée des internautes.
Là se situeront probablement les échecs ou la réussite des stratégies en matière de
cybersécurité dans les années qui viennent.
En clair, cette sécurité mérite-t-elle que nous lui sacrifions l’essentiel de notre vie privée ?