30
Cybersécurité et vie privée Présentation Christophe-Alexandre PAILLARD, Directeur des Affaires juridiques, internationales et de l’expertise technologique de la CNIL Ecole nationale de la magistrature, formation continue des magistrats Jeudi 3 novembre 2011, 15h30/16h30

CyberséCurité Et Vie PrivéE

Embed Size (px)

DESCRIPTION

Conférence donnée à l\'Ecole nationale de la magistrature.

Citation preview

Page 1: CyberséCurité Et Vie PrivéE

Cybersécurité et vie privée

Présentation

Christophe-Alexandre PAILLARD,Directeur des Affaires juridiques, internationales et de l’expertise technologique de la CNIL

Ecole nationale de la magistrature, formation conti nue des magistratsJeudi 3 novembre 2011, 15h30/16h30

Page 2: CyberséCurité Et Vie PrivéE

Propos introductifs

2

Page 3: CyberséCurité Et Vie PrivéE

La cybersécurité : une prise de conscience mondiale récente

Ce n’est qu’au printemps 2007 que les Etats du mond e entier ont vraiment pris conscience de la montée en puissance de ce que l’on peut appeler la cyberguerre :� Le développement d’internet a en fait ouvert la voie à un nouveau type d’attaque que l’on peut qualifier de guerre, forçant tous les pays à revoir leurs systèmes de sécurité.

� L’Estonie a subi en 2007 une attaque sans précédent . L’attaque faisait suite au transfert d’un monument à la gloire de l’Armée rouge qui a déclenché la colère de la minorité russophone d’Estonie et des actions de représailles de hackers russes. Des journaux, des banques ou des institutions gouvernementales ont été pris pour cibles par des hackers, forçant ces institutions à fermer leurs sites pour éviter le vol de données et un blocage complet de leurs serveurs.

� Cet évènement a au moins permis aux experts de l’OTAN, de l’Union européenne, des Etats-Unis, d’Israël et des autres pays du camp occidental d’étudier les moyens mis en œuvre par les hackers pour pénétrer les systèmes et développer des plans de réponse rapide pour contrer ces attaques.

� L’attaque présumée de la Chine contre les Etats-Uni s de 2005 a aussi montré l’étendue de cette lutte . Des internautes chinois avaient alors pénétré sur les sites du Homeland Security, du Département de la Défense (DoD) et de celui de l’énergie. Aucune information classifiée n’aurait étédérobée mais les Américains ne sont pas parvenus à localiser la source exacte de l’attaque.

3

Page 4: CyberséCurité Et Vie PrivéE

Les attaques prennent différentes formesLes menaces pour les systèmes informatiques sont de plus en plus réelles :

� Les pirates ne lancent jamais une attaque directe depuis leurs propres ordinateurs : ils piratent les

ordinateurs d’autrui afin d’en prendre le contrôle au moment choisi, ces ordinateurs étant des zombies. Le

temps entre le piratage d’un ordinateur et le moment ou celui-ci est utilisé pour lancer une attaque rend toute

possibilité de remonter à l’ordinateur de l’attaquant particulièrement difficile.

� La compromission d’un ordinateur peut se faire de différentes manières : en ouvrant une pièce jointe

d’un email, qu’il s’agisse d’un programme, mais plus sournoisement également s’il s’agit d’un pdf infecté, ou

encore d’un contenu multimédia (vidéo, photo, mp3), via une clé USB, depuis un site internet infecté, etc. Car

les logiciels d’un ordinateur ne sont jamais exempts de failles de sécurité, connues ou non encore

divulguées, à partir desquelles un malware pourra en prendre le contrôle.

� Parmi les modes de cyber–attaques , on peut distinguer celles utilisant les bombes logiques : le malware

ayant infecté les ordinateurs qui vont participé à l’attaque est programmé de façon à déclencher celle-ci à une

date prédéfinie à l’avance. Plus évoluées sont les attaques lancées à partir de botnet , un ensemble

d’ordinateurs compromis auxquels les pirates sont capables de transmettre des commandes depuis internet.

L’attaque dite de déni de service distribué peut faire appel à des centaines de milliers d’ordinateurs ainsi

manipulés, avec pour résultat que le site web attaqué sera injoignable car inondé par trop de demandes,

l’ensemble des visiteurs légitimes voyant alors affiché sur leur navigateur un message d’erreur.

4

Page 5: CyberséCurité Et Vie PrivéE

Stuxnet : la guerre cybernétique a-t-elle vraiment commencé ?

En juin 2010, un virus particulièrement sophistiqué dénommé Win32 Stuxnet s’est attaqué à des systèmes d’automatismes équipés d’automates program mables en provenance de la sociétéallemande Siemens en Iran :

� Cette infection se cachait derrière deux rootkits sophistiqués signés par des certificats en apparence valides. Un rootkit (outil de dissimulation d’activité) est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels dans le but d’obtenir un accès non autorisé à un ordinateur.

� Stuxnet est un malware complexe permettant de saboter le fonctionnement normal de systèmes critiques. Pour approcher sa cible, Stuxnet a exploité quatre vulnérabilités 0-day (une faille 0-day est une faille qui n’est pas encore connue ou qui n’est pas encore corrigée). Ces failles 0-day permettaient à un pirate d’exécuter du code lors de l’ouverture d’un dossier, que celui-ci soit partagé, local ou issu d’un périphérique de stockage de masse comme un disque dur externe ou une clef USB.

� Le malware utilise un mot de passe défini par défaut au sein des systèmes SCADA ou SupervisoryControl And Data Acquisition. Stuxnet a reprogrammé les systèmes SCADA.

� Ce malware portait en lui deux codes malveillants. L’un a permis de détruire le système de commande des centrifugeuses présentes dans le centre d’enrichissement de Natanz. L’autre a ciblé les turbines àvapeur fabriquées par l’industriel russe Power Machines de la centrale nucléaire de Busher, à partir des technologies de Siemens. Les centrifugeuses iraniennes ont été gravement endo mmagées et le cycle d’enrichissement d’uranium engagé par l’Iran a probablement été retardé de trois ans .

5

Page 6: CyberséCurité Et Vie PrivéE

6

Les cyberguerres en bref

6

Page 7: CyberséCurité Et Vie PrivéE

I. La cybersécurité : principaux enjeux et défis

7

Page 8: CyberséCurité Et Vie PrivéE

Cybersécurité : de quoi parle-t-on exactement ?

L’objet de la cybersécurité est de :� Contribuer à préserver les forces et les moyens organisationnels, humains, financiers, technologiques et informationnels dont se sont dotées les Institutions, les Etats, pour réaliser leurs objectifs.

Ses enjeux sont de :� Apporter une réponse adéquate aux dimensions humaine, juridique, économique, sociale et technologique des besoins de sécurité des infrastructures et des populations.

�Apporter une réponse au besoin de maîtrise du patrimoine numérique, de la distribution de biens intangibles / immatériels, du commerce électronique, etc.

� Instaurer la confiance en l’économie numérique afin de favoriser un développement socio-économique profitable à tous les acteurs de la société.

Sa finalité est de :� Garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’organisation ou de l’Etat.

� Diminuer la probabilité de voir des menaces se concrétiser et limiter les atteintes ou les disfonctionnements induits.

� Permettre le retour à un fonctionnement normal à des coûts et à des délais acceptables en cas d’attaque.

8

Page 9: CyberséCurité Et Vie PrivéE

Une profusion de stratégies de cybersécurité sorties entre 2009 et 2011 à travers le monde

9

Page 10: CyberséCurité Et Vie PrivéE

Destinées à quels publics ? Qui est concerné par ces stratégies ?

10

Page 11: CyberséCurité Et Vie PrivéE

11

Les routes de transit de l’information

11

Page 12: CyberséCurité Et Vie PrivéE

Échelle des risques

1.Messages (ex : ouverture d’un système de messagerie)

2. Stockage d’informations (ex : data centre d’une entreprise)

3. Systèmes d’échange (ex : peer to peer)

4. Intégration technique (ex : cloud computing)

5. Systèmes complètement intégrés (les systèmes des prochaines années)

Deg

réde

num

éris

atio

n de

s do

nnée

sOn agrège les données et les risques àun niveau sans précédent

12

Page 13: CyberséCurité Et Vie PrivéE

Source: Department of homeland security, “Securing the Nation’s Critical Cyber Infrastructure”

Nos infrastructures physiques dépendent de plus en plus des cyber-infrastructures

13

Page 14: CyberséCurité Et Vie PrivéE

Quelles démarches engager ?� Maîtriser la sécurité en garantissant l’efficience des mesures de sécurité dans le temps

et dans l’espace, en identifiant les acteurs et les responsabilités.

� Définir une politique de sécurité précisant les exigences de sécurité envers tous les acteurs : gouvernement, utilisateurs, prestataires de services, etc.

� Elaborer et mettre en œuvre une stratégie de cybersécurité cohérente et efficace.

� Développer une éthique d’utilisation et de comportement vis-à-vis des technologies.

� Adapter le cadre légal et institutionnel aux nouvelles menaces.� Eduquer, former et sensibiliser l’ensemble des acteurs concernés à la cybersécurité.

� Mettre en place des centres d’alerte et de gestion de crise au niveau national/européen.

� Créer des systèmes de surveillance et organiser des contrôles par des évaluations régulières des vulnérabilités et des menaces.

� Faire une analyse internationale des cibles stratégique et tactique des cyber-attaques.

� Développer les compétences d’une cyberpolice pouvant contribuer à une coopération internationale en matière de poursuite et d’investigation du cybercrime.

� Développer des solutions technologiques de gestion des identités, de contrôle d’accès, de cryptographie, etc.

� Elaborer et mettre en œuvre une stratégie nationale de cybersécurité, des plans d’action et protéger les infrastructures critiques nationales.

14

Page 15: CyberséCurité Et Vie PrivéE

Les principales mesures concrètes à mettre en œuvre

� Cadre légal : loi sur la cybercriminalité; loi sur la sécurité des réseaux et systèmes informatiques; loi sur la protection des données à caractère personnel.

� Cadre organisationnel : désignation d’un responsable national chargé de la cybersécurité; création d’une agence spécialisée chargée de la sécuritéinformatique (ANSSI).

� Renforcement des capacités : développer une expertise nationale en matière de sécurité des réseaux et systèmes informatiques; former des instances de justice et de police dans le domaine des TIC et des investigations en matière de cybercriminalité.

� Sensibilisation et éducation : sensibiliser à une cyberéthique d’utilisation et de comportement vis- à-vis des TIC.

� Coopération nationale et internationale : collaboration entre le gouvernement et le secteur privé; coopération internationale; mise en place de points de contact.

15

Page 16: CyberséCurité Et Vie PrivéE

II. Quels sont les liens entre cybersécurité et vie privée ? En quoi la CNIL est-elle concernée ?

16

Page 17: CyberséCurité Et Vie PrivéE

17

Les menaces sur vos données :

� Elles arrivent.� Elles sont ciblées.� Elles sont sophistiquées.

• NIR, identité.• Diplômes, données universitaires.• Données professionnelles.• Données bancaires.

• Mesures disciplinaires.• Mémoires, notes, etc.• Données médicales.• Données autres : sexe, religion, etc.

Des menaces permanentes et de plus en plus sophistiquées sur vos données personnelles

17

Page 18: CyberséCurité Et Vie PrivéE

Des Etats et l’UE prennent différentes mesures touchant à la vie privée

Un constat : de plus en plus d’Etats lient directement cybersécu rité et protection de la vie privée.

� Premier exemple, le 8 juillet 2011 , les Pays-Bas ont annoncé, dans le cadre de leur stratégie nationale de cybersécurité, la mise en place du Conseil de cybersécuriténéerlandais. Ce dernier aura pour mission d’informer et de conseiller les institutions publiques et les entreprises privées des évolutions en matière de sécurité informatique. Au delà de sa mission de coordination et de prévention, le Conseil aura également pour finalité de défendre certains droits fondamentaux , notamment la liberté d’expression et la vie privée.

� Autre exemple, le 25 février 2011 , l'Agence européenne chargée de la cybersécurité(ENISA) a présenté un rapport sur les utilisations abusives des nouveaux cookies Internet capables de dresser le profil et la localisation de l'utilisateur à des fins publicitaires, cela en toute opacité. L’ENISA explore plusieurs voies pour prémunir les i nternautes européens face à une éventuelle intrusion dans leur vie privée . Parmi elles figurent la nécessité d'obtenir le consentement de l'utilisateur ainsi que la possibilité de gérer ces cookies aisément. La limitation ou l'interdiction du stockage de ceux-ci hors du navigateur est prônée comme le besoin de proposer une alternative aux internautes en cas de refus de cookies. La CNIL est représentée à l’ENISA par le service de l’expertise technologique .

18

Page 19: CyberséCurité Et Vie PrivéE

Pourquoi lier cybersécurité et vie privée ? La démonstration canadienne

« Chaque jour, nous accédons à Internet pour effectuer des transactions bancaires, magasiner ou utiliser des services gouvernementaux, et nous le faisons à partir de n'importe où. Les infrastructures numériques rendent tout cela possible et assurent le bon fonctionnement des services essentiels en tout temps …

Les Canadiens (individus, industries et gouvernements) sont conscients des nombreux avantages qu'offre le cyberespace pour notre économie et qualité de vie. Notre grande dépendance aux cybertechnologies nous rend toutefois plus vulnérables aux attaques lancées contre nos infrastructures numériques dans le but de déstabiliser notre sécuriténationale, notre prospérité économique et nos modes de vie …

Nos systèmes sont des cibles attrayantes pour les services militaires et du renseignement étrangers ainsi que pour les réseaux criminels et terroristes. Ces groupes (ndlr criminels) s'emparent de nos systèmes informatiques, fouillent dans nos dossiers et provoquent des pannes informatiques. Ils volent nos secrets de sécurité nationale et industriels ainsi que nos identités personnelles ».

L'honorable Vic Toews, ministre de la Sécurité publi que du Canada (2010), stratégie canadienne de cybersécurité.

19

Page 20: CyberséCurité Et Vie PrivéE

L’exemple canadien (suite)

« La cybersécurité concerne chacun d'entre nous , puisque même les attaquants possédant seulement des compétences de base peuvent causer de graves dommages. Les attaquants qui s'y connaissent vraiment peuvent troubler les contrôles électroniques des réseaux de distribution d'électricité, des installations de traitement des eaux et des réseaux de télécommunications. Ils nuisent à la production et à la livraison de biens et services essentiels fournis par nos gouvernements et le secteur privé. Ils portent atteinte à notre droit à la vie privée en volant nos renseignements p ersonnels. Il ne suffit pas de lutter séparément contre les différentes cybermenaces. Par l'entremise de la Stratégie, le gouvernement continuera de travailler de manière concertée avec les provinces, les territoires et le secteur privé pour combattre les menaces auxquelles font face le Canada et ses citoyens ».

« La Stratégie de cybersécurité du Canada constitue notre plan pour combattre les cybermenaces. La Stratégie repose sur trois piliers : protéger les systèmes gouvernementaux ; nouer des partenariats pour protéger les cybersystè mesessentiels à l'extérieur du gouvernement fédéral ; aider les Canadiens à se protéger en ligne : le gouvernement aidera les citoyens canadie ns à obtenir l'information dont ils ont besoin pour se protéger et protéger leur famill e en ligne et pour accroître la capacité des organismes d'application de la loi de l utter contre les cybercrimes ».

20

Page 21: CyberséCurité Et Vie PrivéE

Les Etats-Unis proposent une stratégie internationale de coopération

� Le 16 mai 2011 , les Etats-Unis ont publié leur stratégie internationale de coopération en matière de cybersécurité Intitulée « International Strategy for Cyberspace ».

� Ce document développe une stratégie qui s’articule autour de sept axes, économique, militaire, juridique et politique. L’administration américaine propose un engagement financier destiné à encourager l’innovation et les échanges en ligne tout en préservant la propriété intellectuelle.

� Comme pour la stratégie américaine nationale de sécurité, ce texte met très clairement en avant les notions de vie privée : « our strategy marries our obligation to protect our citizens and interests with our commitment to privacy As citizens increasingly engage via the Internet in their public and private lives, they have expectations for privacy: individuals should be able to understand how their personal data may be used, and be confident that it will be handled fairly Likewise, they expect to be protected from fraud, theft, and threats to personal safety that lurk online—and expect law enforcement to use all the tools at their disposal, pursuant to law, to track and prosecute those who would use the Internet to exploit others ».

21

Page 22: CyberséCurité Et Vie PrivéE

Une multiplication des initiatives américaines

22

Page 23: CyberséCurité Et Vie PrivéE

Et la France ?

� La France s'est dotée d'une stratégie pour se défendre et se protéger dans le cyberespace pour répondre aux cybermenaces : « le cyberespace est devenu un nouveau champ d’action dans lequel se déroulent déjà des opérations militaires, la France devra développer une capacité de lutte dans cet espace. Des règles d’engagement appropriées, tenant compte des considérations juridiques liées à ce nouveau milieu, devront être élaborées » (livre Blanc de la Défense et de la Sécuriténationale de juin 2008).

� Par décret publié au Journal Officiel du 8 juillet 2009, l’ANSSI se substitue à la Direction centrale de la sécurité des systèmes d’information (DCSSI) rattachée au Secrétariat général de la Défense nationale (SGDN). Elle est dirigée par Patrick Pailloux .

� En 2012, l’ANSSI pourrait compter 250 personnes (soit un doublement des effectifs par rapport à 2008) et disposera d’un budget de 90 millions d’euros à la même échéance.

� La guerre ne fait que commencer : à l’automne 2010, Bercy a été victime d’attaques (rappel : vendredi de la com de la CNIL). le 29 septembre 2011, Areva a reconnu avoir été victime d’attaques durant deux ans sur l’ensemble de ses installations informatiques.

23

Page 24: CyberséCurité Et Vie PrivéE

La stratégie française en bref� Quatre objectifs stratégiques : être une puissance mondiale de cyber-défense; garantir la

liberté de décision de la France par la protection de l’information de souveraineté; renforcer la cyber-sécurité des infrastructures vitales nationales; assurer la sécurité dans le cyber-espace.

� Sept axes d’effort :

1. mieux anticiper et analyser l’environnement afin de prendre les décisions adaptées;

2. détecter les attaques et les contrer, alerter les victimes potentielles et les accompagner;

3. accroître et pérenniser nos capacités scientifiques, techniques, industrielles et humaines dans l’objectif de conserver l’autonomie nécessaire;

4. protéger les systèmes d’information de l’État et des opérateurs d’infrastructures vitales pour une meilleure résilience nationale;

5. adapter notre droit afin de prendre en compte les évolutions technologiques et les nouveaux usages;

6. développer nos collaborations internationales en matière de sécurité des systèmes d’information, de lutte contre la cyber-criminalité et de cyber-défense pour mieux protéger les systèmes d’information nationaux;

7. communiquer, informer et convaincre afin de permettre aux Français de prendre la mesure des enjeux liés à la sécurité des systèmes d’information.

24

Page 25: CyberséCurité Et Vie PrivéE

Conclusions

25

Page 26: CyberséCurité Et Vie PrivéE

Et la CNIL dans tout cela ?

La CNIL fait de la cybersécurité sans le dire. Quelq ues exemples concrets :� Ne pas prendre de risque, c’est effacer ses traces sur internet : cf. Surfer sur internet, ça laisse des traces ! Faites-en l'expérience du 16 juin 2011.

� Lutter contre le harcèlement : cf. Le harcèlement sur internet en questions du 2 novembre 2010.

� La confiance numérique : cf. délibération n°2007-391 du 20 décembre 2007 portant avis sur le projet de décret pris pour l’application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

� Le plan numérique 2012 présenté en octobre 2008 par Eric Besson demandait à garantir la protection des données personnelles. L'action n°80 de ce plan invitait « la CNIL à mettre en place une campagne de sensibilisation 'informatique et libertés ».

� Patrick Pailloux (ANSSI) a rappelé début octobre 2010 qu'un nombre très important d'attaques à des fins d'espionnage sont détectées par l'administration et les entreprises. Il a évoqué la nécessité d'appliquer des " règles d'hygiène informatique élémentaire " avec comme exemple : « limitation des droits d'accès, analyse des mouvements suspects sur les systèmes d'information, sanctuarisation des éléments les plus critiques comme les dispositifs de gestion des droits d'accès, application régulière des correctifs de sécurité ». C’est bien la doctrine habituelle de la CNIL.

26

Page 27: CyberséCurité Et Vie PrivéE

La relation entre la protection de la vie La relation entre la protection de la vie privpriv éée et la se et la s éécuritcurit éé, comme Janus, , comme Janus, prpr éésente deuxsente deux faces distinctesfaces distinctes

� Puisque les renseignements personnels se retrouvent de plus en plus dans le cyberespace, la protection de la vie privée dépend de plus en pl us de la cybersécurité .

� Toutefois, dans certains cas, la cybersécurité, comme toute mesure de sécurité, peut représenter une menace pour la protection de la vie privée.

� Ainsi, la notion de protection de données personnelles (privacy) va devenir délicate àtraiter. En effet, si les militaires ont décidé d’investir le cyberespace, ce dernier comporte bien plus de civils (les internautes) et d’entreprises que de militaires. Où sont alors les intérêts des uns et des autres ? La militarisation déguisée ou avérée du cyberespa ce ne doit pas se faire au détriment des enjeux économ iques (le monde des affaires) et du respect de la vie privée des internautes .

� Là se situeront probablement les échecs ou la réussite des stratégies en matière de cybersécurité dans les années qui viennent.

� En clair, cette sécurité mérite-t-elle que nous lui sacrifions l’essentiel de notre vie privée ?

27

Page 28: CyberséCurité Et Vie PrivéE

Assiste-t-on au retour des barbares ?

28

Page 29: CyberséCurité Et Vie PrivéE

Un peu de lectures

29

Page 30: CyberséCurité Et Vie PrivéE

Questions/réponses

30