Les détournements de données et leur notification

Big_DataAprès un long silence, ce billet sur la notification des incidents de sécurité, et en particulier ceux qui relèvent de détournements de données à caractère personnel. L’actualité nous en apporte effectivement l’exemple avec le cas de la société Orange qui avertit depuis quelques heures ses clients sur un détournement de certaines catégories de données depuis les systèmes d’information qu’elle gère. La France est en retard, mais c’est le cas dans beaucoup de pays, sur la culture de la notification, et plus généralement sur le choix ou non de rendre public une atteinte à son système d’informations: ce n’est pas une tâche facile pour les responsables de la sécurité des systèmes d’information.

Un nécessaire partage d’informations

En préambule, il est important de se rappeler que tout système d’information est susceptible d’être un jour victime d’une tentative d’intrusion ou d’une intrusion réussie. Cela ne relève pas du marketing de la peur en matière de sécurité numérique, mais d’une réalité bien tangible (voir cet article des Echos qui évoque le marché des données) pour toute personne responsable d’un système d’information et pour ses responsables de la sécurité, administrateurs systèmes et autres acteurs de la chaîne de confiance. Les données, quelles qu’elles soient, ont une valeur, souvent marchande, qui attise d’autant plus l’intérêt des délinquants.

A cela, il faut rajouter les situations où des vulnérabilités sont découvertes et signalées à son responsable par un chercheur, un utilisateur du système ou encore un auditeur. Il revient alors à l’organisation de corriger rapidement la faille, y compris en prenant des mesures conservatoires (indisponibilité du service comme lorsque voilà quelques semaines le fisc canadien rendait indisponible son système de déclaration d’impôts dans la phase de correction de la faille Heartbleed).

Dans tous les cas, il est important de partager l’information avec des cercles plus ou moins larges en fonction des circonstances. Les motivations sont multiples:

  1. informer les organisations exerçant le même métier, les professionnels de la SSI sur des risques particuliers ;
  2. informer les développeurs des solutions logicielles et matérielles concernées, ainsi que potentiellement leurs utilisateurs ;
  3. informer les personnes concernées – lorsque leurs données personnelles sont potentiellement compromises.

Dans le premier cas, ce partage pourra être réalisé publiquement (blogs de certains CERT, de certaines équipes de sécurité qui publient des retours d’expérience, lors de conférences, dans des articles) ou bien dans des cercles plus restreints parce que la confiance y est plus forte et le partage peut rentrer dans des détails plus poussés pour permettre aux autres acteurs du secteur, les utilisateurs d’un même outil, de mettre en œuvre les mesures correctrices avant qu’elles ne puissent être exploitées.

J’ai évoqué la seconde situation à de multiples reprises dans des articles de ce blog (dernier exemple l’an dernier sur les mises à jour de Java), il y a encore de gros progrès à faire dans la façon dont la communauté de la sécurité gère ces questions, mais la prise de conscience est globale.

Enfin, lorsque des données personnelles sont compromises, il peut être nécessaire, après évaluation des données concernées et de leur impact, de prévenir très rapidement les personnes concernées, par exemple pour éviter que leurs numéros de cartes bancaires ne soient utilisés à des fins malveillantes.

A cela, il faut rajouter l’action des autorités de contrôle: en matière de protection des infrastructures vitales (rôle de l’ANSSI en France) ou des données à caractère personnel (CNIL).

Certaines de ces situations sont couvertes par des obligations légales et réglementaires que je vous propose de parcourir rapidement.

Le cadre juridique

En effet, il existe aujourd’hui un cadre juridique (article précédent sur ce même blog appelant à son émergence) qui renforce les obligations de certains acteurs (dont celles introduites par une ordonnance du 24 août 2011, que j’évoquais dans le livre La cybercriminalité en mouvement au paragraphe 6.2.3) et la récente Loi de programmation militaire :

  • l’article L33-1 du code des postes et communications électroniques (CPCE) précise que l’établissement et l’exploitation de réseaux ouverts au public et la fourniture au public de services de communications électroniques est soumise au respect de règles portant sur « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services » ;
  • l’article R20-44-39 (anciennement R20-44-35) du CPCE prévoit que l’office gérant les noms de domaine de premier niveau correspondant au pays (l’organisme chargé par l’Etat de gérer les noms de domaines en .fr notamment) reçoit un cahier des charges qui prévoit des « exigences relatives à la notification aux services de l’Etat des atteintes ou tentatives d’atteintes à la sécurité du service » ;
  • l’article D98-5 du CPCE prévoit des dispositions complémentaires relatives à l’intégrité ou à la sécurité en ce qui concerne les opérateurs: information des abonnés "lorsqu’il existe un risque particulier de violation de la sécurité du réseau" et du ministère de l’intérieur en cas "d’atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services" ;
  • un article L34bis récent inséré dans la loi informatique et libertés, qui vient compléter l’article L34 qui oblige toute personne opérant un traitement de données à caractère personnel à "prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès" (le non respect de cette disposition constitue l’infraction prévue à l’article 226-17 du code pénal), en prévoyant une obligation de notification à la CNIL [EDIT du 08/05/2014] portant spécifiquement sur tout "traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification" [/EDIT] de tout incident important et si nécessaire la communication aux personnes concernées ;
  • enfin, l’article 22 de la Loi de programmation militaire du 18 décembre 2013 (articles L1332-6-1 et suivants du code de la défense) rend obligatoire la déclaration des incidents constatés par les opérateurs d’importance vitale sur leurs systèmes d’information.

Nota: les opérateurs d’importance vitale sont définis par les articles L1332-1 et L1332-2 du code de la défense comme étant d’une part "les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation" et d’autre part "des établissements mentionnés à l’article L. 511-1 du code de l’environnement [installations dites classées pour la protection de l'environnement] ou comprenant une installation nucléaire de base visée à l’article L593-1 du code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population".

Nota 2: la notification sur le site de la CNIL concernant les fournisseurs de services de communications électroniques (les opérateurs de façon très large) est accessible ici.

A ce jour, le cadre juridique porte donc sur: les opérateurs d’importance vitale, les opérateurs de communications électroniques (dont certains sont aussi des OIV) – ainsi qu’en pratique l’AFNIC – et les personnes qui traitent des données à caractère personnel [EDIT du 08/05/2014](obligation de sécurité pour tous et de notification pour les fournisseurs de services de communications électroniques)[/EDIT].

[Au passage, j'ai noté plusieurs débats sur la question juridique du "vol de données". Effectivement, il n'est pas constamment accepté en droit français qu'on puisse voler des données (à caractère personnel ou uniquement confidentiel), parce que le vol suppose la soustraction. Toutefois, cette notion de copie frauduleuse de données mériterait vraisemblablement de recevoir un cadre juridique plus protecteur. Lorsqu'il s'agit de données nominatives on pourra évidemment viser la collecte frauduleuse prévue par la loi informatique et libertés. En revanche, pour des données uniquement confidentielles, il n'y a pas à ce jour d'infraction spécifique, ni de terminologie reconnue - il existe par exemple une proposition de loi sur le secret des affaires qui adresse partiellement cette question.]

Conclusion

Le cadre juridique ne fait pas tout, mais pour les secteurs qu’il couvre (données personnelles [EDIT du 08/05/2014] et notamment celles traitées par les opérateurs [/EDIT] et OIV) il permet une plus grande clarté dans la responsabilité des acteurs. Toutefois, on ne peut qu’appeler à de plus amples échanges sur ces questions, qu’il s’agisse d’échanges directs entre professionnels concernés, avec les éditeurs et utilisateurs de solutions ou vers les publics directement concernés à chaque fois qu’il y a des risques ou des incidents avérés.

Enfin, il est essentiel pour toute organisation de se préparer à devoir gérer un tel incident (et donc à l’évaluation de la situation qui en découle, les mesures nécessaires et la communication à réaliser). Les entreprises ou les administrations qui vivent récemment ce type d’événements essuient un peu les plâtres en matière de communication autour de ces sujets parce que la culture ou la législation ne les y poussait pas, mais montrent aussi qu’il est possible de gérer une telle situation.

Et pour conclure, j’ajouterai qu‘il est important que l’on devienne tous plus objectifs et constructifs face à ces situations: il peut arriver à toute organisation des circonstances où les mesures de sécurité prises n’ont pas été suffisantes, toutefois être en mesure de détecter rapidement l’incident (grâce à des mesures internes ou grâce à des signalements externes rapidement pris en compte) est aussi une phase importante de la gestion de ces incidents, puis apporter des informations précises aux personnes concernées en est une autre. Ainsi, sans banaliser ce type d’incidents parce qu’on va en parler de plus en plus quand ils seront rendus publics, il faut surtout apprendre à mieux les gérer ensemble: par exemple, beaucoup d’articles se contentent de relayer l’information sur les incidents (jouant parfois sur le sensationnel) sans apporter aucun conseil exploitable aux lecteurs.

J’en profite donc pour rajouter quelques conseils:

  • si vos données personnelles ont été compromises, il est important d’obtenir et de comprendre de la personne qui les gérait les détails des données concernées ;
  • si votre adresse de courrier électronique a été compromise, il faut renforcer sa vigilance quant aux messages que l’on reçoit – mais ce conseil vaut de façon générale, les adresses de courrier électronique circulant quand même aujourd’hui énormément et ne pas hésiter à signaler les messages problématiques ou suspects ;
  • si votre mot de passe a été compromis (certains sites ne le protègent pas correctement), évidemment il faudra le modifier sur le site concerné, mais aussi pensez à le changer sur d’autres sites où vous auriez placé un mot de passe identique (ce qui en soi est une mauvaise idée, pensez à utiliser des mots de passe variés) – il en va de même pour les questions secrètes de récupération de mots de passe, essayez de les varier quand c’est possible. La CNIL donne un certain nombre de conseils sur la sécurité des mots de passe ;
  • si votre numéro de carte bancaire est concerné (ce qui ne devrait pas arriver chez des commerçants en ligne en France à cause de la règlementation en vigueur mais pourrait survenir sur des sites étrangers), il faut rapidement contacter son agence bancaire pour leur en faire part et vérifier les transactions depuis l’incident, à la recherche de potentielles transactions frauduleuses.

Rendez-vous au FIC 2014

fic 2014Bien installé dans le paysage des événements liés à la cybersécurité, le 6ème Forum International sur la Cybersécurité aura lieu les 21 et 22 janvier prochains à Lille Grand Palais.

Pour vous inscrire: http://www.forum-fic.com/

La thématique générale de cette année est "Identité numérique et confiance", mais vous trouverez dans le programme de nombreux thèmes qui vous intéresseront, notamment ceux qui sont au cœur de la lutte contre la cybercriminalité. Cet événement se veut ouvert et tourné vers les entreprises, les collectivités locales, les administrations et le citoyen. C’est pour cela que cette année encore l’entrée est gratuite. En y participant, vous pourrez échanger dans les couloirs et au moment des pauses, poser des questions lors des débats, des ateliers et des conférences.

Cette année plusieurs nouveautés importantes:

  • l’organisation d’un challenge forensique à destination des étudiants et des débutants dans l’investigation numérique (les inscriptions sont closes depuis le 31 décembre);
  • de nombreux ateliers seront en anglais ou traduits en anglais pour une meilleure ouverture vers nos visiteurs étrangers;
  • l’attribution d’un prix de la PME innovante.

Pour ma part je participerai à deux occasions:

  • Une conférence de 45 minutes sur la lutte contre la cybercriminalité
  • Un atelier que j’animerai avec Guillaume Arcas (Sekoia) sur la réponse aux incidents dans les entreprises. La réponse aux incidents comporte notamment les techniques qui sont mises en oeuvre pour comprendre l’origine et l’importance d’un incident de sécurité informatique, collecter éventuellement des preuves (en vue d’un dépôt de plainte) et aider aux processus de reprise d’activité. Cet atelier se déroulera en trois temps, avec une introduction concrète sur ce qu’est la réponse aux incidents, une démonstration des méthodes utilisées puis une table ronde pour discuter avec la salle des enjeux et difficultés de la réponse aux incidents avec plusieurs intervenants.

Rendez-vous à Lille !

Article 6 de la LCEN

L’article 6 de la loi pour la confiance dans l’économie numérique est l’objet de beaucoup d’attentions et de débats. C’est lui qui fixe en France les règles juridiques principales en matière de régulation des contenus sur Internet et le rôle des différents acteurs impliqués. Il reste – il faut être honnête – complexe à déchiffrer, aussi je vous en propose une lecture commentée.

Le texte complet est disponible, comme d’habitude, sur Legifrance, vous pouvez vous y rapporter.

Parcours de l’article 6

Première partie (I)

1. Définit les fournisseurs d’accès. Ceux-ci ont pour obligation d’informer leurs abonnés sur l’existence de moyens de filtrage individuels (notamment les logiciels de contrôle parental) et d’en proposer au moins un. Ils doivent aussi informer leurs utilisateurs de la liste des moyens permettant d’éviter que sa connexion soit utilisée pour réaliser des contrefaçons d’œuvres de l’esprit (ces moyens n’ont à ce jour pas été décrits).

2. Définit les hébergeurs (personnes physiques ou morales). Ils ne peuvent pas voir leur responsabilité civile engagée à cause d’un contenu illicite qu’elles hébergeraient si elles n’en ont pas eu connaissance préalablement ou si elles n’ont pas pris de mesures pour rendre le contenu inaccessible ou le retirer quand elles en ont eu connaissance.

3. Évoque les mêmes circonstances quant à la responsabilité pénale des hébergeurs.

4. Présenter un contenu comme étant illicite à un hébergeur, alors qu’on est conscient que le contenu n’est pas illégal est puni d’un de prison et 15.000 € d’amende.

5. Cette section définit la façon dont un contenu illicite doit être notifié à un hébergeur. Toute personne peut procéder à une telle notification. La notification (dont la loi ne prévoit pas qu’elle doive être réalisée par courrier recommandé avec accusé de réception):

  • Il convient de saisir d’abord l’auteur ou l’éditeur du contenu litigieux (si son adresse de contact est fournie par exemple), ou à défaut l’hébergeur à qui il faut indiquer les éléments suivants:
  • La date de notification, ses coordonnées (personnelles ou celles de sa société si on agit à titre professionnel)
  • Le nom et l’adresse de la personne à qui on s’adresse (siège social pour une entreprise)
  • La nature des faits litigieux et leur localisation sur Internet (une URL, un numéro ou autre identifiant d’article ou de commentaire, selon le contexte et la plateforme d’hébergement)
  • La description des bases juridiques et factuelles qui font que le contenu identifié est illégal (citation des articles de loi correspondants et en général des mots qui ou de l’élément précis qui revêt un caractère illégal)
  • Copie de l’échange avec l’auteur ou l’éditeur du contenu, ou à défaut justification de la raison pour laquelle on n’a pas pu le contacter.

6. Cette section précise que FAI ou hébergeurs ne relèvent pas de la législation sur les producteurs de contenu de la loi de 1982 sur la communication audiovisuelle.

7. Cette section vient préciser les missions préventives des hébergeurs et fournisseurs d’accès:

  • Ils n’ont pas d’obligation générale de surveillance des contenus qu’ils transportent ou stockent
  • L’autorité judiciaire peut prescrire des mesures de surveillance ciblée et temporaire
  • Ils concourent à la lutte contre les contenus constitutifs d’apologie des crimes contre l’humanité, d’incitation à la haine raciale, de pédopornographie, d’incitation à la violence – notamment les violences faites aux femmes, ou portant atteinte à la dignité humaine, ainsi que la pornographie lorsqu’elle est susceptible d’être vue ou perçue par un mineur
  • Ils mettent en place un dispositif de signalement de ce type de contenus, facilement accessible et visible (on notera que ce dispositif de signalement de contenus illicites particuliers est totalement distinct de la procédure de notification de contenus illégaux, décrite dans la section 5 au dessus, qui demande a priori plus de formalisme)
  • Ils doivent informer promptement les autorités publiques des contenus illégaux de cette nature qui leur sont signalés.
  • Ils doivent informer publiquement sur les moyens qu’ils mettent en place pour lutter contre ces contenus illicites en particulier (ces moyens ne se limitent donc pas a priori à mettre en place un dispositif de signalement) .
  • Ils informent leurs usagers des sites de jeux en ligne tenus pour répréhensibles (renvoie au rôle de l’autorité de régulation des jeux en ligne)

Cette section prévoit enfin que l’autorité administrative peut prescrire aux fournisseurs d’accès des mesures de blocage de contenus pédopornographiques.

8. Cette dernière section prévoit qu’un juge (saisi en référé ou sur requête) peut prescrire toutes mesures propres à prévenir ou faire cesser un dommage.

Deuxième partie (II)

Cette partie est relative aux données d’identification que doivent détenir et conserver les FAI et hébergeurs. J’évoquais le décret d’application de cette mesure dans un billet précédent.

Dans la partie IIbis qui suit, on retrouve les dispositions quant à l’accès à ces données par les services en charge de la prévention des actes de terrorisme. Cette partie est supprimée par l’article 20 de la loi de programmation militaire votée récemment et remplacée par de nouvelles dispositions du code de la sécurité intérieure, à partir du 1er janvier 2015.

Troisième partie (III)

Cette partie inclut les obligations des éditeurs de sites Web personnels ou professionnels. J’en détaillais les dispositions dans un billet précédent.

Quatrième partie (IV)

Cette partie vient préciser les conditions d’exercice du droit de réponse suite à une publication sur Internet:

  • la demande est adressée par la personne nommée ou désignée dans la publication à l’éditeur du contenu ou, si elle est anonyme, à l’hébergeur
  • elle doit être présentée dans un délai de trois mois suivant la publication
  • la personne contactée a trois jours pour publier le droit de réponse (à défaut il pourrait être condamné à une amende correctionnelle de 3750 €).

Cinquième partie (V)

Cette partie rappelle, pour éviter tout doute, que les dispositions de la loi sur la liberté de la presse s’appliquent quant à la nature des publications illégales (de l’incitation à la haine en passant par l’apologie des crimes de guerre, etc.) ainsi que la durée de la prescription.

Sixième partie (VI)

Cette dernière partie vient préciser les peines encourues par les hébergeurs, FAI ou éditeurs de services de communication au public en ligne qui ne respecteraient pas les dispositions prévues dans cet article (un an d’emprisonnement et 75000 € d’amende, ainsi que des peines spécifiques possibles pour les personnes morales).

Modifications envisagées

Le projet de loi pour l’égalité entre les femmes et les hommes actuellement en débat au Parlement (1ère lecture en cours à l’Assemblée nationale, après le Sénat cet été) propose une modification:

Article 17

Le troisième alinéa du 7 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :

  • 1° Après les mots : « haine raciale », sont insérés les mots : « , à la haine à l’égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap, » ;
  • 2° Les mots : « et huitième » sont remplacés par les mots : « , huitième et neuvième » ;
  • 3° La référence : « articles 227-23 » est remplacée par les références : « articles 222-33-3, 227-23 ».

Il s’agit donc de renforcer les obligations des FAI et des hébergeurs dans la prévention des infractions de presse relatives à la haine à l’égard de personnes à raison de leur sexe, de leur orientation, identité sexuelle ou de leur handicap, ainsi qu’en matière de prise ou de diffusion d’images de violence de l’article 222-33-3 du code pénal (ou "happy slapping"). Ainsi, un hébergeur ou un fournisseur d’accès devront prendre des mesures préventives adaptées contre ces infractions (gestion de la modération par exemple, ou sensibilisation du public) et notamment inclure ces infractions dans leur dispositif de signalement facilement accessible et visible (pour beaucoup il s’agira de rajouter une ou deux cases à cocher, et ils se verraient soumettre un nombre de signalements manifestement plus important) et lorsque les agissements sont effectivement illégaux d’en informer les autorités publiques compétentes (très souvent c’est la plateforme interministérielle https://www.internet-signalement.gouv.fr/, déjà compétente pour tout contenu ou activité illicite signalée sur Internet, qui est saisie).

On notera que nonobstant ces dispositions spécifiques, il est déjà possible de recourir à la procédure de notification plus complexe du I – 5 de l’article 6 de la LCEN pour ce type d’infractions (comme pour toute infraction). Il ne s’agit donc pas d’une évolution dans le type d’infractions qui peuvent être notifiées aux FAI et hébergeurs, mais bien d’une extension du dispositif de signalement d’accès facilité, pour permettre à tout internaute de facilement signaler un contenu relatif à ce type de propos discriminatoires, ou au happy slapping, mais aussi d’attirer plus particulièrement l’attention de ces acteurs sur ce type de contenus.

Botconf – Première conférence sur la lutte contre les botnets – Bilan

Botconf-Poster-WebQuelques mois déjà que je n’ai pas publié sur ce blog, plein de boulot comme beaucoup, mais surtout un événement important à organiser: la première conférence sur la lutte contre les botnets, Botconf. Nous étions ainsi plus de 160 personnes du monde entier rassemblés les 5 et 6 décembre derniers à Nantes (Loire-Atlantique, France).

Les origines

Depuis un peu plus de deux ans je suis engagé dans une thèse de doctorat sur la lutte contre les botnets. Pendant ces travaux je suis amené à rencontrer et échanger avec des spécialistes de toutes origines (chercheurs du monde académique et industriel, mais aussi des chercheurs indépendants et évidemment des spécialistes d’autres services officiels en France et à l’étranger), lire des papiers scientifiques, des articles de blog et assister à des conférences. Une confirmation d’abord: les botnets préoccupent aujourd’hui beaucoup d’acteurs, de nombreuses réflexions, expérimentations et actions sont menées pour lutter conte eux.

Note pour les lecteurs moins assidus de mon blog: les botnets sont des réseaux constitués par des ordinateurs sous le contrôle d’un virus informatique – une fois infectés par ce virus ils se connectent à un système de commande et de contrôle (souvent un site Web, mais ça peut être aussi un système de communication pair à pair ou encore en abusant d’un réseau social tel que twitter comme canal de communication). L’utilisation de ces réseaux de machines est varié: diffusion de spams ou encore d’autres virus, collecte d’informations confidentielles sur les ordinateurs infectés, conduite d’attaques en déni de service coordonnées, etc. Il s’agit de l’infrastructure cybercriminelle la plus utilisée aujourd’hui sur Internet.

Mais pour ce qui est des conférences ouvertes sur la sécurité, beaucoup traitent d’aspects intéressants et en rapport avec les botnets, mais les sujets sont parfois isolés et dans la salle peu sont les participants qui en général travaillent spécifiquement sur cette question – même si elle touche beaucoup d’univers de la sécurité numérique – et donc il y a rarement de vrais débats ou retours. Il existe évidemment des conférences qui touchent aux virus informatiques (on peut citer ECIW 2012 qui était organisé chez nos amis de l’ESIEA à Laval, la conférence de Virus Bulletin qui aura lieu du 24 au 26 septembre 2014 à Seattle ou encore Malcon). Il existe des conférences plus confidentielles où ces questions sont évoquées (à Interpol et Europol évidemment ou encore le Digital crimes consortium organisé chaque année par Microsoft). Il m’a donc semblé, avec un groupe de participants actifs de la communauté Botnets.fr qu’il y avait de la place pour une conférence ouverte traitant spécifiquement de la lutte contre les botnets.

L’organisation

C’est un travail d’équipe avant tout. Ainsi, même si tous n’ont pas pu venir à Nantes, nous avons été une bonne dizaine à participer activement de près ou de loin au succès de cette conférence. Je vais citer leurs pseudonymes sur twitter et par ordre alphabétique: @ackrst@fabien_duchene@FredLB@g4l4drim, @gcouprie@Jipe_@penpyt@_Reza__@r00tbsd@sanguinarius_Bt@Sebdraven, @udgover ainsi que @vloquet pour les relations presse. Plus généralement, c’est la communauté Botnets.fr dans son entier qui s’est beaucoup mobilisée pour nous soutenir – au moins moralement – et bien entendu des sponsors qui nous ont progressivement rejoints pour permettre à l’événement de se réaliser.

En pratique, nous avons déposé les statuts d’une association dès le mois de novembre 2012 pour offrir un cadre juridique clair à l’organisation, monté une évaluation du budget et commencé à rechercher les meilleurs endroits pour organiser cette conférence. Une partie de l’équipe étant basée à Nantes, c’est dans cette ville que nous avons choisi de commencer l’aventure. La Chambre de commerce et d’industrie de Nantes dispose de locaux très adaptés à ce type d’événements, à des coûts particulièrement raisonnables et nous nous sommes donc tournés vers eux (et l’accueil sur place fut excellent). Le comité scientifique a été construit en même temps pour garantir une construction du programme incontestable, je tiens à tous les remercier: Hendrik Adrian (Japon), José Araujo (France), Domagoj Babic (USA), Gilles Berger-Sabbatel (France), Guillaume Bonfante (France), Nicolas Brulez (France), Alexandre Dulaunoy (Luxembourg), Barry Irwin (Afrique du Sud), Denis Laskov (Israël), Corrado Leita (France), Jean-Yves Marion (France), David Naccache (France), Fred Raynal (France).

botconf-header-logo-300x97

Bien entendu, nous avons créé un site Web (sous WordPress pour cette année) et lancé l’appel à papiers : la gestion de la soumission des papiers s’est faite sur Easychair, qui s’est révélé très efficace (et c’est gratuit). Beaucoup de détails ensuite, mais qui ont toute l’importance: conception graphique, impression d’affiches et des t shirts, kakémonos, trouver des restaurants, un traiteur et des chambres d’hôtel pour les conférenciers… Une partie importante du calage du budget portait évidemment sur les frais d’inscription: nous avions prévu un tarif réduit pour les étudiants (que nous avons aussi proposé aux personnes sans emploi) et aux services de police. La gestion de la vente des tickets elle-même s’est fait avec un module additionnel de WordPress (WP Event Ticketing) et les tickets eux-mêmes ont été envoyés par courrier électronique aux participants pour impression, une fois pliés en 4 ils formaient un badge lisible inséré dans une pochette A6.

Le déroulement

BotConf13-30Le déroulement de la conférence fut sans encombre: messages préalables aux conférenciers et participants pour les informer sur la façon d’accéder à Nantes par avion, par train et jusqu’à la salle de la conférence, dîner avec les conférenciers le 4 décembre au soir, l’accueil et la validation des badges au moment de l’arrivée (juste trois cas particuliers à régler sur 168… ouf !) puis respecter le timing tout au long du programme des exposés, gérer les pauses et le repas convivial qui nous attendait dans un restaurant installé sur la Loire, puis faire repartir en sécurité tous nos participants ! Pendant une grosse partie de la conférence, les présentations étaient diffusées en direct par webcast.

Le bilan

Le programme de la conférence était équilibré, vous pouvez le consulter ici avec les présentations et d’ici quelques jours avec les vidéos des conférences. Ainsi, étaient couverts des sujets sur le fonctionnement des botnets, leur détection dans les réseaux, la mitigation et les méthodes de lutte (techniques, mais aussi plus opérationnelles, y compris au travers d’une présentation d’Europol).

Plusieurs blogs ont déjà fait le bilan de la conférence:

et une petite recherche sur twitter vous ramènera quelques retours très sympathiques.

Et après ?

Le succès de la conférence et les nombreux retours positifs nous poussent à renouveler l’aventure en 2014. Après avoir fait le bilan au travers d’un questionnaire de satisfaction diffusé ce week-end aux participants, nous entamerons les travaux de préparation de Botconf 2014. Je peux d’ores et déjà vous annoncer qu’elle devrait se dérouler à Nancy, avec le soutien de l’équipe du Laboratoire de haute sécurité du LORIA, la première semaine de décembre 2014 et que la première étape sera l’ouverture de l’appel à papiers et propositions de conférences dès le début de l’année. Cette année, nous souhaitons voir plus de présentations dans des domaines connexes mais importants dans le champ de la lutte contre les botnets: le droit, l’étude des groupes criminels qui gèrent ces botnets (comment ils se rencontrent, se coordonnent, qui les composent). Merci encore aux participants, aux conférenciers, à nos sponsors et à la super équipe d’organisation ! Si vous souhaitez en suivre l’actualité, connectez-vous à @Botconf et rendez-vous l’année prochaine!

LCEN & mentions légales

Un certain nombre de mentions légales sont rendues obligatoires par l’article 6 de la loi pour la confiance dans l’économie numérique de 2004. Ce petit article pour faire le point, en notant au passage que l’on tombe très souvent sur des sites Web par ailleurs légitimes qui ne respectent pas cette loi.

Que dit ce texte?

III. – 1. Les personnes dont l’activité est d’éditer un service de communication au public en ligne mettent à disposition du public, dans un standard ouvert :

a) S’il s’agit de personnes physiques, leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription ;
b) S’il s’agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s’il s’agit d’entreprises assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription, leur capital social, l’adresse de leur siège social ;
c) Le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction au sens de l’article 93-2 de la loi n° 82-652 du 29 juillet 1982 précitée ;
d) Le nom, la dénomination ou la raison sociale et l’adresse et le numéro de téléphone du prestataire mentionné au 2 du I.
2. Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l’adresse du prestataire mentionné au 2 du I, sous réserve de lui avoir communiqué les éléments d’identification personnelle prévus au 1.
Les personnes mentionnées au 2 du I sont assujetties au secret professionnel dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, pour tout ce qui concerne la divulgation de ces éléments d’identification personnelle ou de toute information permettant d’identifier la personne concernée. Ce secret professionnel n’est pas opposable à l’autorité judiciaire.
[...]

VI. – [...]
2. Est puni d’un an d’emprisonnement et de 75 000 EUR d’amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’activité définie au III, de ne pas avoir respecté les prescriptions de ce même article.
Les personnes morales peuvent être déclarées pénalement responsables de ces infractions dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues par l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 de ce code. L’interdiction mentionnée au 2° de cet article est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

En résumé

Pour l’éditeur professionnel d’un site Web (ou toute autre forme / tout autre protocole utilisé pour diffuser un service de communication au public en ligne), ils doivent mettre à disposition sur leur site dans un standard ouvert (et donc de façon claire et facilement accessible):

  • s’il s’agit de personnes physiques : nom, prénoms, domicile, numéro de téléphone, numéro d’inscription au registre de commerce le cas échéant
  • s’il s’agit de personnes morales: dénomination ou raison social, siège social, numéro de téléphone et numéro d’enregistrement, capital social, adresse du siège social.
  • le nom du directeur ou du codirecteur de la publication, et le cas échéant, celui du responsable de la rédaction,
  • le nom, la dénomination ou la raison sociale et l’adresse et le numéro de téléphone de l’hébergeur.

Pour les personnes éditant à titre non professionnel (donc un site personnel, comme le présent blog) et s’ils souhaitent préserver leur anonymat (pour ma part, j’indique mes nom et prénom):

  • seule la publication de l’information sur l’hébergeur est obligatoire,
  • et cet hébergeur doit connaître les éléments d’identification personnelle (nom, prénoms, adresse et numéro de téléphone).

Le non respect de ces dispositions est puni d’un an de prison et de 75000 € d’amende. Toute publication de ces informations dans un format qui ne serait pas clair (en masquant les informations par un ROT13 comme dans un cas que j’ai observé récemment), l’obligation légale ne serait pas respectée et l’infraction constituée.

D’autres types de mentions peuvent être obligatoires sur un site Web, en particulier lorsqu’on collecte des données à caractère personnel. Pour ça je vous renvoie vers le site de la CNIL.

Code pénal: modifications aux articles définissant la pédopornographie et la corruption de mineur

Parmi les dispositions assez nombreuses de la loi n°2013-711 du 5 août 2013 portant diverses dispositions d’adaptation dans le domaine de la justice en application du droit de l’Union européenne et des engagements internationaux de la France, un certain nombre concernent la protection des mineurs et la transposition de la directive 2011/93/UE [nota: oui il y a une divergence de numérotation de ce texte] du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil.

Ainsi, l’article 227-23 du code pénal décrivant l’interdiction de la pédopornographie et les infractions associées devient (en gras les modifications):

Le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende. Lorsque l’image ou la représentation concerne un mineur de quinze ans [remarque: en langage juridique, désigne les personnes de moins de quinze ans], ces faits sont punis même s’ils n’ont pas été commis en vue de la diffusion de cette image ou représentation.

Le fait d’offrir, de rendre disponible ou de diffuser une telle image ou représentation, par quelque moyen que ce soit, de l’importer ou de l’exporter, de la faire importer ou de la faire exporter, est puni des mêmes peines.

Les peines sont portées à sept ans d’emprisonnement et à 100 000 euros d’amende lorsqu’il a été utilisé, pour la diffusion de l’image ou de la représentation du mineur à destination d’un public non déterminé, un réseau de communications électroniques.

La tentative des délits prévus au présent article est punie des mêmes peines. [déplacé plus bas en fait, donc concerne deux alinéas supplémentaires]

Le fait de consulter habituellement ou en contrepartie d’un paiement un service de communication au public en ligne mettant à disposition une telle image ou représentation, d’acquérir ou de détenir une telle image ou représentation par quelque moyen que ce soit est puni de deux ans d’emprisonnement et 30 000 euros d’amende.

Les infractions prévues au présent article sont punies de dix ans d’emprisonnement et de 500 000 euros d’amende lorsqu’elles sont commises en bande organisée.

La tentative des délits prévus au présent article est punie des mêmes peines.

Les dispositions du présent article sont également applicables aux images pornographiques d’une personne dont l’aspect physique est celui d’un mineur, sauf s’il est établi que cette personne était âgée de dix-huit ans au jour de la fixation ou de l’enregistrement de son image.

La définition de la corruption d’un mineur est aussi aménagée, article 227-22 du code pénal:

Le fait de favoriser ou de tenter de favoriser la corruption d’un mineur est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende. Ces peines sont portées à sept ans d’emprisonnement et 100 000 euros d’amende lorsque le mineur lorsque le mineur est âgé de moins de quinze ans ou [voir plus bas] a été mis en contact avec l’auteur des faits grâce à l’utilisation, pour la diffusion de messages à destination d’un public non déterminé, d’un réseau de communications électroniques ou que les faits sont commis dans les établissements d’enseignement ou d’éducation ou dans les locaux de l’administration, ainsi que, lors des entrées ou sorties des élèves ou du public ou dans un temps très voisin de celles-ci, aux abords de ces établissements ou locaux.

Les mêmes peines sont notamment applicables au fait, commis par un majeur, d’organiser des réunions comportant des exhibitions ou des relations sexuelles auxquelles un mineur assiste ou participe ou d’assister en connaissance de cause à de telles réunions.

Les peines sont portées à dix ans d’emprisonnement et 1 000 000 euros d’amende lorsque les faits ont été commis en bande organisée ou à l’encontre d’un mineur de quinze ans.

Suite à des échanges sur cette question sur twitter: il est rappelé que l’interdiction des représentations (y compris donc les dessins, les simulations par ordinateurs, etc.) de mineurs à caractère pornographique date de 1998 et que la simple détention de tels documents est punie explicitement depuis 2002. Aucune modification de fond n’est donc apportée sur cette question par ce nouveau texte, contrairement à ce qu’affirme Numerama. Il s’agit ici d’une aggravation des peines possibles, suite à la directive européenne.

Le parlement européen vote une nouvelle directive sur la cybercriminalité

http://commons.wikimedia.org/wiki/File:Drapeau_du_Parlement_Europ%C3%A9en_de_Strasbourg.JPG?uselang=fr

Source: Commons Wikimedia (CC/GNU FDL) par Jef132

Le 4 juillet 2013, le parlement européen a voté en première lecture le texte de la directive "relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil".

La présentation par le service de presse du Parlement Européen est disponible ici, et notamment "Le texte exige que les États membres fixent une peine de prison maximale au minimum à deux ans pour les crimes suivants: l’accès illégal aux systèmes d’information ou interférence illicite dans ces systèmes, l’interférence illicite dans des données, l’interception illégale de communications ou la production et la vente intentionnelle d’outils utilisés pour commettre ces délits."

Le texte adopté en téléchargement ici.

Sondage sur la gestion des mises à jour

logotype_botnets160x113Dans le cadre de ma thèse  (pour rappel, le Wiki de ma thèse), je souhaite diffuser un sondage pour mieux connaître les pratiques en matière de gestion des mises à jour. Le sondage est évidemment anonyme. N’hésitez pas à le rediffuser auprès de vos contacts. Enfin, n’hésitez pas à en parler aussi ici, si le sujet vous amène des réflexions complémentaires !

Si vous êtes RSSI ou DSI dans votre entreprise ou organisation, vous pouvez répondre à ce sondage ici. La réponse à ce sondage ne devrait pas prendre plus de dix minutes.

Si vous connaissez personnellement votre RSSI ou votre DSI, faites lui gentiment passer l’adresse de cet article ! Merci de votre aide.

De la cyberdéfense

Cette semaine à Paris a connu deux événements qu’il est intéressant d’observer en parallèle:

Comment est définie la cyberdéfense ?

Comme souvent, lorsque l’on parle de défense nationale, il faut se rappeler qu’elle ne touche pas qu’aux missions militaires, mais bien à l’ensemble des mesures permettant de défendre l’intégrité physique autant qu’économique ou sociale de la nation. La cyberdéfense était définie dans un papier très attendu publié par l’ANSSI en février 2011:

Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’information jugés essentiels.

et cela vise le cyberespace:

Espace de communication constitué par  l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.

qui correspond très largement à l’Internet tel qu’on l’entend généralement, mais aussi à tous les réseaux qui y sont connectés.

… et vient s’inclure dans la notion plus globale de cybersécurité:

État recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

Dans le rapport piloté par Jean-Marie Bockel La cyberdéfense: un enjeu mondial, une priorité nationale, son auteur s’était proposé de

se concentrer sur les attaques informatiques susceptibles de porter atteinte aux intérêts fondamentaux de la Nation et les moyens de s’en protéger.

En réalité, et on le voit dans les nombreuses affaires qui ont dû être traitées au cours des derniers mois, il y a une grande partie de la politique de cyberdéfense qui se doit d’utiliser les outils juridiques de la lutte contre la cybercriminalité, puisqu’on s’est souvent retrouvés dans une situation d’abord délictuelle – souvent vraisemblablement liée à des actions d’espionnage. A contrario, toutes les mesures de la cyberdéfense ne relèvent pas uniquement de la sécurité des systèmes d’information, parce que partie prenante de la politique de défense du pays et donc disposant d’autres modes d’action complémentaires (comme la diplomatie, la négociation de traités, l’action militaire éventuelle – notamment offensive).

Les composantes de la cybersécurité

Les composantes de la cybersécurité

Il faut donc comprendre la cyberdéfense comme une posture spécifique et renforcée de sécurisation (mesures de protection, détection des incidents et réaction) de systèmes d’information jugés essentiels et notamment ceux qui touchent aux intérêts fondamentaux de la nation. En pratique, cela concerne donc les systèmes d’information de l’Etat – et notamment ceux liés à la Défense nationale, des collectivités locales et autres acteurs qui traitent des systèmes d’information sensibles au profit de l’Etat, ainsi que les opérateurs d’importance vitale (ou OIV, définis à l’article R1332-1 du code de la défense).

L’article R. 1332-1 du code de la défense précise que les opérateurs d’importance vitale sont désignés parmi les opérateurs publics ou privés mentionnés à l’article L. 1332-1 du même code, ou parmi les gestionnaires d’établissements mentionnés à l’article L. 1332-2.

Un opérateur d’importance vitale :
– exerce des activités mentionnées à l’article R. 1332-2 et comprises dans un secteur d’activités d’importance vitale ;
– gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population.

Cela va donc des fonctions techniques et d’infrastructure (opérateurs, composantes essentielles des réseaux comme les plateformes d’échange de trafic, les serveurs DNS, etc.) à tous les systèmes d’information sensibles des secteurs clés (énergie, transport, alimentation, santé, etc.).

Cette posture particulière se traduit notamment en France par la désignation d’entités spécifiques au sein de l’administration chargées prioritairement de cette mission: l’Agence nationale de la sécurité des systèmes d’information et la chaîne de commandement Cyber du Ministère de la défense. Bien entendu, ces entités disposent de nombreux partenaires agissant à différents titres: citons police, gendarmerie et justice dans les domaines judiciaires, ou encore la direction générale de l’armement dans la dimension technico-opérationnelle.

Que retenir du colloque organisé au Sénat ?

Le colloque avait d’abord pour objet de prendre acte des progrès accomplis depuis la publication du livre blanc de la défense de 2008. La cyberdéfense n’était alors pas encore affichée sous cette terminologie:

(Extrait de la synthèse) La guerre informatique est une préoccupation majeure du Livre blanc qui développe deux axes stratégiques : d’une part, une conception nouvelle de la défense informatique, organisée « en profondeur » et coordonnée par une agence de la sécurité des systèmes d’information placée sous la tutelle du secrétaire général de la défense et de la sécurité nationale; d’autre part, la constitution de capacités de lutte informatique offensive qui seront développées, pour les armées, sous l’égide de l’état-major des armées, et en outre par des services spécialisés.

Entre autres, l’agence nationale de la sécurité des systèmes d’information, successeure de la direction centrale de la sécurité des systèmes d’information aux missions élargies, a bien été créée et a recruté assez largement. De même, le ministère de la défense a renforcé ses structures dédiées à la cyberdéfense, couronnées par la nomination d’un "officier général cyber" au sein de l’Etat major des armées.

Dans le Livre blanc 2013 de la défense et de la sécurité nationale, l’ambition est réaffirmée, ce à plusieurs reprises:

(page 90) Nos armées remplissent d’abord des missions permanentes. La dissuasion continuera de se fonder sur la posture permanente des deux composantes, océanique et aéroportée. Dans le cadre de la fonction stratégique de protection, les postures permanentes de sûreté terrestre, aérienne et maritime seront tenues dans les mêmes conditions qu’aujourd’hui. L’engagement des armées en renfort des forces de sécurité intérieure et de sécurité civile en cas de crise majeure pourra impliquer jusqu’à 10 000 hommes des forces terrestres, ainsi que les moyens adaptés des forces navales et aériennes. Pour remplir ces différentes missions de protection, il sera fait appel, lorsque c’est nécessaire, à des moyens prélevés ponctuellement sur nos forces d’intervention. Cette posture sera complétée par le dispositif de cyberdéfense, qui est appelé à s’amplifier dans les années qui viennent.

(page 94) Le développement de capacités de cyberdéfense militaire fera l’objet d’un effort marqué, en relation étroite avec le domaine du renseignement. La France développera sa posture sur la base d’une organisation de cyberdéfense étroitement intégrée aux forces, disposant de capacités défensives et offensives pour préparer ou accompagner les opérations militaires. L’organisation opérationnelle des armées intégrera ainsi une chaîne opérationnelle de cyberdéfense, cohérente avec l’organisation et la structure opérationnelles de nos armées, et adaptée aux caractéristiques propres à cet espace de confrontation : unifiée pour tenir compte de l’affaiblissement de la notion de frontière dans cet espace ; centralisée à partir du centre de planification et de conduite des opérations de l’état-major des armées, pour garantir une vision globale d’entrée et une mobilisation rapide des moyens nécessaires ; et spécialisée car demandant des compétences et des comportements adaptés. La composante technique confiée à la direction générale de l’armement aura pour mission de connaître et anticiper la menace, de développer la recherche amont, et d’apporter son expertise en cas de crise informatique touchant le ministère de la Défense.

(page 105) La lutte contre la cybermenace

Les suites données aux analyses et aux recommandations du Livre blanc de 2008 dans le domaine de la cyberdéfense ont permis à la France de franchir une étape décisive dans la prise en considération de cette menace et dans la mise en œuvre des réponses qu’elle requiert. Toutefois, la croissance continue de la menace, l’importance sans cesse accrue des systèmes d’information dans la vie de nos sociétés et l’évolution très rapide des technologies imposent de franchir une étape supplémentaire pour conserver des capacités de protection et de défense adaptées à ces évolutions. Elles nous imposent aujourd’hui d’augmenter de manière très substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information, tant pour le maintien de notre souveraineté que pour la défense de notre économie et de l’emploi en France. Les moyens humains qui y sont consacrés seront donc sensiblement renforcés à la hauteur des efforts consentis par nos partenaires britannique et allemand.

La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l’État doit soutenir des compétences scientifiques et technologiques performantes.

La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale. Un effort budgétaire annuel en faveur de l’investissement permettra la conception et le développement de produits de sécurité maîtrisés. Une attention particulière sera portée à la sécurité des réseaux de communication électroniques et aux équipements qui les composent. Le maintien d’une industrie nationale et européenne performante en la matière est un objectif essentiel.

Un renforcement de la sécurité des systèmes d’information de l’État est nécessaire. Une politique de sécurité ambitieuse sera mise en œuvre. Elle s’appuiera notamment sur le maintien de réseaux de haute sécurité irriguant les autorités de l’État, sur une politique appropriée d’achat public et sur une gestion adaptée des équipements de communications mobiles. Elle sera complétée par une politique de sensibilisation en direction des administrations déconcentrées de l’État, des collectivités territoriales, de leurs établissements publics et des principaux utilisateurs du cyberespace. La cybersécurité de l’État
dépend aussi de celle de ses fournisseurs de produits et de services, qui doit être renforcée. Des clauses seront insérées dans les marchés afin de garantir le niveau de sécurité attendu.

S’agissant des activités d’importance vitale pour le fonctionnement normal de la Nation, l’État fixera, par un dispositif législatif et réglementaire approprié, les standards de sécurité à respecter à l’égard de la menace informatique et veillera à ce que les opérateurs prennent les mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes sensibles. Ce dispositif précisera les droits et les devoirs des acteurs publics et privés, notamment en matière d’audits, de cartographie de leurs systèmes d’information, de notification des incidents et de capacité pour l’agence nationale de la sécurité des systèmes d’information (ANSSI), et, le cas échéant, d’autres services de l’État, d’intervenir en cas de crise grave.

La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires :

  • la mise en place d’une posture robuste et résiliente de protection des systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ;
  • une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés.

Au sein de cette doctrine nationale, la capacité informatique offensive, associée à une capacité de renseignement, concourt de façon significative à la posture de cybersécurité. Elle contribue à la caractérisation de la menace et à l’identification de son origine. Elle permet en outre d’anticiper certaines attaques et de configurer les moyens de défense en conséquence. La capacité informatique offensive enrichit la palette des options possibles à la disposition de l’État. Elle comporte différents stades, plus ou moins réversibles et plus ou moins discrets, proportionnés à l’ampleur et à la gravité des attaques.

De manière plus générale, la sécurité de l’ensemble de la société de l’information nécessite que chacun soit sensibilisé aux risques et aux menaces et adapte en conséquence ses comportements et ses pratiques. Il importe également d’accroître le volume d’experts formés en France et de veiller à ce que la sécurité informatique soit intégrée à toutes les formations supérieures en informatique.

Toute politique ambitieuse de cyberdéfense passe par le développement de relations étroites entre partenaires internationaux de confiance. Les relations seront approfondies avec nos partenaires privilégiés, au premier rang desquels se placent le Royaume-Uni et l’Allemagne. Au niveau européen, la France soutient la mise en place d’une politique européenne de renforcement de la protection contre le risque cyber des infrastructures vitales et des réseaux de communications électroniques.

(page 120) Il faudra en outre organiser la montée en puissance de nouvelles composantes de la réserve opérationnelle, spécialisées dans des domaines dans lesquelles les forces de défense et de sécurité sont déficitaires. C’est notamment le cas de la cyberdéfense, qui fera l’objet d’une composante dédiée au sein la réserve opérationnelle. Celle-ci constituera un atout au service de la résilience de la Nation et sera prévue et organisée spécifiquement pour permettre au ministère de la Défense de disposer d’une capacité de cyberdéfense démultipliée en cas d’attaque informatique majeure.

[...] Compte tenu des enjeux multiples et croissants dans ce domaine, une réserve citoyenne sera particulièrement organisée et développée pour la cyberdéfense, mobilisant en particulier les jeunes techniciens et informaticiens intéressés par les enjeux de sécurité.

Les présentations de la première partie de la journée ont donc développé autour des idées détaillées dans le livre blanc. Je résumerais en trois points les idées principales que j’en retiens:

  • Un acquis important tant sur le plan organisationnel que des moyens mis à disposition;
  • Une véritable prise de conscience politique de l’enjeu de la cybersécurité et plus particulièrement de la nécessité de renforcer notre cyberdéfense – dans le précédent livre blanc, le sujet était bien présent, mais diffus ;
  • Une ambition réaffirmée, qui même si elle n’est pas chiffrée précisément, se positionne à la hauteur de ce qui est pratiqué par nos partenaires les plus proches – Royaume-Uni et Allemagne (l’Allemagne a annoncé un programme de financement de la recherche en cybersécurité à hauteur de 30 M€).

L’après-midi a été consacrée au rôle des industries spécialisées françaises, qui nous ont expliqué – et l’évolution de leur organisation et de leurs offres le démontre – qu’elles sont en ordre de bataille pour répondre aux enjeux proposés par le livre blanc ou le rapport Bockel. Le sujet des petites et moyennes entreprises œuvrant dans ce domaine a été abordé, notamment au travers de l’intervention de Jérôme Notin, l’un des responsables du projet d’antivirus français DAVFI. Et on touche là à un sujet essentiel et ce pour plusieurs raisons:

  • l’innovation se développe très souvent dans de petites structures (VUPEN est souvent cité comme acteur majeur de la connaissance des menaces, mais beaucoup d’autres sont à l’oeuvre comme PicViz, ArxSys, Quarkslab, Lexfo, Tetrane, Amossys, 6cure ou certains des membres du pôle Systematic, puis dans les toutes petites Agarrin’hésitez pas à me signaler d’autres petites entreprises en pointe);
  • l’offre de sécurité à taille humaine, c’est-à-dire à la taille des PME ou des collectivités locales doit se développer, elle existe en France de façon encore insuffisante (l’offre peine à atteindre ou à convaincre tout le public qu’il faudrait toucher) et fragile (les difficultés financières d’HSC annoncées récemment en sont une illustration criante).

Enfin, la recherche et la formation sont deux composantes essentielles de la politique à développer. Tous partagent le constat qu’un gros effort reste à réaliser dans le domaine de la formation, qu’il s’agisse de sensibilisation de tous les français, des responsables d’entreprises, d’initiation à la sécurité des informaticiens, de formation de spécialistes en sécurité des systèmes d’information et plus spécifiquement en cyberdéfense ou de la formation continue des acteurs complémentaires (comme les magistrats, gendarmes ou policiers par exemple). Les besoins sont clairement détaillés dans le rapport Bockel.

Vous retrouverez des extraits en vidéo de la journée sur le site du Sénat. Pour ceux qui seraient intéressés enfin, une fiche sur la réserve citoyenne cyberdéfense.

Autres articles sur ce colloque:

Sujet très complémentaire de nos préoccupations en matière de cybercriminalité !…

Les conférences en sécurité

Revenons sur le deuxième événement de cette semaine avec NoSuchCon. Les conférences de sécurité informatique se multiplient en France et dans les pays voisins et c’est une bonne chose. Rien qu’entre mai et juin on peut citer:

… puis à l’automne:

Autant d’occasions pour rencontrer non seulement des français qui travaillent sur des questions de sécurité, mais des spécialistes venus du monde entier. Témoignage d’une vivacité grandissante de cette communauté en France. NoSuchCon était l’occasion, à l’image de Hackito Ergo Sum quelques jours plus tôt, d’assister à des présentations qui auparavant ne parvenaient pas jusque chez nous.

Pour finir, quelques articles en ligne sur la NoSuchCon pour vous en faire votre propre idée:

J’ai eu un faible pour la toute dernière présentation, par deux français, Robinson Delaugerre & Adrien Chevalier, Killing RATs, the Arsenic Framework, qui ont pour ambition de mettre à disposition une plateforme d’analyse de certains types d’attaques en profondeur. A suivre donc !

Botconf 2013

anglais English version of this post.

ImageLes 5 et 6 décembre prochains se tiendra à Nantes (France) Botconf 2013, la première conférence dédiée à la lutte contre les botnets.

L’appel à présentations ou articles scientifiques est en ligne sur le site Web de la conférence https://www.botconf.eu/. La date limite pour soumettre des papiers est le 30 juin 2013.

La conférence est ouverte aux chercheurs académiques, industriels et aux services de police. Les étudiants dont les papiers seront sélectionnés recevront une aide pour assister à la conférence (aide financière pour le transport et le logement).

Le comité d’organisation est composé de volontaires de la communauté botnets.fr et le comité scientifique indépendant est composé de spécialistes en sécurité de tous secteurs et de toutes les régions du monde. La conférence se tiendra en langue anglaise.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 128 autres abonnés

%d bloggers like this: