L'objectif sera de comprendre les enjeux de sécurité des informations personnelles, professionnelles et de votre identité ; vous découvrirez leur fonctionnement, leur mode d'usage le plus courant puis l'utilisation malveillante que l'on peut en faire, comme la manipulation (phishing, "fake news", escroquerie), l'espionnage, les fausses informations et la recommandation. Enfin, nous apprendrons comment prendre soin de ces informations numériques.
Les enjeux de vos données personnelles
Les informations personnelles vous permettent d'interroger le moteur de recherche avec plus de facilités (métadonnées : mots-clés, positionnement géographique, préférences), de renseigner également les sites que vous consultez dans vos démarches, qu'ils soient des sites marchands ou institutionnels, pour obtenir les documents que vous souhaitez (données personnelles : nom, prénom, n° immatriculation...). Certaines informations sont plus sensibles parce qu'elles peuvent permettent de vous réidentifier ou encore de divulguer des informations que vous ne souhaitez pas publier, par exemple vos opinions ou convictions, votre appartenance syndicale, ou encore vos données biométriques. Enfin, les infrastructures que vous utilisez pour vous connecter à Internet utilisent également des informations de connexion qui vous concernent.
Les données personnelles
Elles ont été définies par la Commission nationale de l’informatique et des libertés (CNIL) ; la particularité est qu'elles ne peuvent être collectées puis exploitées sans le consentement de leurs propriétaires ; c'est pourquoi la question "acceptez-vous..." vous est posée à chaque fois.
Une donnée personnelle consiste en "toute information identifiant directement ou indirectement une personne physique (ex. : nom, no d’immatriculation, n° de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale...)."
Les données sensibles
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques, aux fins d'identifier une personne physique de manière unique ; des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Les "cookies"
Selon la CNIL, un "cookie" est une suite d'informations, généralement de petite taille et identifiée par un nom, qui peut être transmise à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez. Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d'un site marchand, le contenu courant de votre panier d'achat, un identifiant permettant de tracer votre navigation pour des finalités statistiques ou publicitaires, etc.
Les identifiants
Selon Wikipedia, l'identité numérique (« IDN ») "peut être définie comme un lien technologique entre une entité réelle (personne, organisme ou entreprise) et des entités virtuelles (sa ou ses représentation(s) numériques)." C'est donc la personne virtuelle qui va permettre d'assurer son travail dans l’entreprise, mais également d'effectuer des démarches auprès des organisations.
C’est donc avec une identité qu’on aura la possibilité d’accéder à des ressources (locales ou en ligne) comme on l’a vu tout à l’heure. Vous l’aurez compris, l’identité sans mot de passe ne fonctionnera pas, mais représente un enjeu capital pour l'entreprise et pour vous.
Les enjeux de vos métadonnées pour le big data (le propriétaire du site)
Elles sont également utiles pour vos fournisseurs de services, d'applications, de cloud, de vos sites marchands ; tous les sites sur lesquels vous naviguez quotidiennement. La concurrence est rude, les infrastructures sont coûteuses, elles doivent être optimisées ; c'est pourquoi vos fournisseurs de services, les sites que vous visitez, font des statistiques sur leurs clients (vous) afin d'améliorer le service : vous aidez à mieux trouver l'information recherchée, plus vite, adapter les contenus à vos profils dans l'optique du meilleur service.
C'est pour cela que vous acceptez la plupart du temps de fournir vos cookies.
Comment ça marche pour protéger vos données ?
Le chiffrement comme première mesure
Le chiffrement consiste à rendre un document incompréhensible sans la clé pour le décoder ; nous avons vu en introduction et en BP1 que le chiffrement symétrique est adapté pour le transport sécurisé des données, il utilise la même clé pour coder et décoder, tandis que le chiffrement asymétrique consiste à laisser un message chiffré par une clé privée, lisible par tous ceux qui détiennent la clé publique correspondante.
Alors, on vu tout à l’heure qu’il y avait un client avec une mire d’authentification qui permet de rentrer son login et son password. Donc, on a vu comment le password était véhiculé sur le réseau, quels risques on prenait ; dans cette partie, nous allons voir comment on va utiliser une identité, quelles sont les propriétés d’une identité.
Une identité est un processus (qu’on appellera l’identification), constitué d’un ensemble de fonctions et de propriétés qu’il va falloir respecter pour pouvoir la garantir, pour optimiser la 1re fonction (phase de distribution et de vérification des identifiants). Le but va donc être d’éviter les attaques fondées sur l’usurpation de cette identité. Toute personne qui se servira de cette identité aura accès aux ressources, et pourra espionner vos activités et votre réputation ; vous pourrez donc être vu de cette manière-là.
Organisez et sécurisez l'infrastructure d'annuaire de votre entreprise
Un attaquant qui arriverait à se faire passer pour un serveur de messagerie deviendrait une source dangereuse pour l’entreprise (et en particulier pour l’annuaire LDAP qui est au centre de notre schéma en n° 4).
En termes d’architecture, on va utiliser des protocoles réseaux comme LDAP (Lightweight Directory Access Protocol), qui répond à une norme RFC de IETF. Mais vous allez également utiliser une norme X500 qui est l’organisation des annuaires, donc l’arborescence (classifier les fiches par utilisateur).
Lorsque cet annuaire est construit, vous devez le mettre à disposition de manière discriminante en fonction des utilisateurs qui vont y venir ; par exemple, si c’est la DRH, cette dernière va alimenter l’annuaire ; si ce sont par contre les usagers (service commercial), ils vont utiliser l’annuaire juste pour authentifier, et éventuellement avoir des informations disponibles sur leur compte.
Si maintenant c’est le service informatique, lui aussi va alimenter l’annuaire avec les informations particulièrement importantes, c'est-à-dire ouverture de compte ; et on n’oubliera pas que lorsqu’un salarié part de l’entreprise, on supprime son compte et ses données personnelles en relation avec la DRH ; c’est extrêmement important de mettre en place ces process dans votre entreprise.
Sachez aussi que de nombreuses applications vont venir puiser les informations sur l’annuaire (c’est le cas de la messagerie, des bases de données, services web offerts à vos salariés) ; ces applications sont en relations avec Internet et peuvent à tout moment être un vecteur d’attaque de cet annuaire. Par exemple, un serveur de messagerie mal sécurisé pourrait directement faire une requête LDAP à un annuaire et serait légitime de le faire, puisque les deux machines ont un système d’authentification à privilèges élevés.
Donc, il va falloir avoir un protocole d’identification bâti sur un certain nombre de propriétés qui sont la non-répudiation, le non-rejeu, l’audit et la capacité à envoyer une alarme en cas d’usage non licite de votre identité.
Alors, que sont ces propriétés ?
La preuve de la source et du destinataire
En fait, ce sont exactement les mêmes que l’on utilise dans la vie courante. Quand vous envoyez un courrier postal, vous cherchez à garantir à votre destinataire que vous êtes bien l’expéditeur du courrier, donc c’est extrêmement important de respecter ces propriétés.
Ces propriétés de non-répudiation et d’imputabilité sont fondamentales, car elles vont permettre de pouvoir engager un échange de façon contractuelle ; il y a là une notion de contrat entre l’émetteur et le récepteur, qui ne pourront pas finalement renier leurs actes.
La 2e propriété fondamentale de l’authentification, c’est le non-rejeu, et en particulier la non-réutilisation de l’identité (ce qu’on appelle l’objet-identité), qui va garantir que la ressource (par exemple : mémoire centrale des zones de stockage sur disque) ne peut être réutilisée par personne d’autre.
Vous allez ensuite rejouer le protocole devant le gardien de prison et vous allez pouvoir entrer de la même manière ; eh bien on dira que le protocole qui existe avec le gardien n’est pas anti-rejeu parce qu’il n’est pas lié à l’identité de la personne : n’importe qui qui respecte ce protocole peut rentrer. Donc, c’est un problème car il y a réutilisation du protocole ; donc ça, en informatique, on va utiliser des mécanismes qui vont identifier par exemple un numéro de séquence, un timestamp, c'est-à-dire : à telle heure. Du coup, cela ne pourra pas être rejoué, parce qu’on est en mesure d’accéder à tout un stamp au temps. Donc, dans les réseaux informatiques, le non-rejeu est une propriété assez facile à mettre en œuvre.
Ensuite, l’audit, c’est la capacité à collecter des informations sur l’utilisation des ressources, afin de superviser si par exemple un utilisateur a réellement fait les actes pour lesquels il est autorisé ; et l’audit doit également intégrer un système d’alarme qui va alerter le superviseur du système. Donc, ces mécanismes-là, dans les systèmes informatiques, sont mis en œuvre ; c’est ce qu’on appelle « la sécurité opérationnelle », et vos objets connectés devraient permettre de faire de l’audit. Justement, un des problèmes des objets connectés, c’est qu’ils n’envoient pas forcément ces éléments à un superviseur pour des raisons d’économies, d’énergie et également de bandes passantes ; et ils ne sont pas toujours en relation avec un superviseur.
Enfin, on a parlé de non-répudiation. Il faut savoir qu’en informatique (particulièrement en sécurité des réseaux,) ce mécanisme est mis en œuvre avec des automates et les systèmes ; et c’est assez complexe, parce qu’on va mettre avec la gestion de l’identité la notion de certification de l’identité. Les usages de la clé privée et de la clé publique vont permettre en informatique de réaliser et vérifier cette propriété ; donc, notions de clé publique et clé privée que nous avons déjà vues dans les séances précédentes.
Il y a également un autre problème qui se pose avec l’identité, c’est qu’une fois votre identité construite (votre nom & prénom, votre adresse mail), il va falloir être en mesure d’en faire la preuve. Donc en fait, on se rend compte que la preuve doit être la plus diversifiée possible, c'est-à-dire que l’on peut demander un mot de passe (vu dans les phases précédentes), mais on peut aussi demander d’autres atouts qu’on va appeler des facteurs de complexité.
Donc, au moment où on va associer une identité, on va mettre des facteurs qui vont être la preuve constitutive de cette identité. Vous avez remarqué que très souvent quand vous ouvrez un compte (= phase d’identification) sur votre banque ou sur Google, eh bien on vous demande des informations personnelles complémentaires pouvant être votre date de naissance, votre numéro de téléphone ou d’autres informations ; et on dit que ces éléments-là sont des éléments de preuves constitutive et complémentaire. En informatique, on distingue généralement 4 facteurs d’identification :
Ce que je connais
C’est que l'on représente un élément mémorial de l’individu qui est une espèce de code entre le système et lui, mais on comprend bien que l’on ne pourrait pas se fier à cet élément mémorial parce que l’on peut oublier, parce qu’il peut être volé. Pour cela, on va complexifier également la preuve constitutive.
Ce que je possède
On va rajouter par exemple des éléments sur ce que je possède ; ça c’est un élément matériel qui est un élément fort, car il fait appel à ce que vous êtes du point de vue de votre reconnaissance dans la société, c’est par exemple le cas d’une carte d’identité ou d’une carte à puce. Une carte d’identité est un élément qui vous a été remis par une autorité de confiance (comme la préfecture ou le commissariat de police local).
Ce que je montre
Ensuite, 3e élément c’est un élément corporel qui fait appel plutôt à des éléments liés à votre physique ; par exemple, vous avez une voix, une gestuelle, etc… qui vous sont propres, tout ça, ça va faire partie des éléments de ce que je montre et tout cela (qui vous appartient) va être disponible à chaque instant. Cela suppose d'enregistrer une première fois ces caractéristiques physiques sur le serveur ; elles ne devront pas évoluer, sinon, le serveur qui détient cette base de référence ne vous reconnaîtrait pas.
Ce que je fais
Enfin, dernier facteur, c’est ce que je fais. Ça représente une reconnaissance qu’on appellera comportementale sur l’individu ; par exemple, ça peut être une habitude, comme tous les matins je prends mon café à 8 h sur la place à proximité de mon bureau ; ça c’est un élément d’habitude qui est extrêmement important.
Donc, dans ces 4 facteurs-là, on voit que la biométrie joue un rôle très fort puisqu’on apporte un élément fort à un élément constitutif ; c’est d’ailleurs pour cela que vous entendez parler souvent d'« authentification forte » ou « authentification faible » ; en réalité c’est un raccourci, parce que l’authentification sera forte si l’identification est forte. Donc, la biométrie va être un contributeur extrêmement fort fondé sur du physique, pour apporter une preuve constitutive de votre identité. Donc, la combinaison de plusieurs facteurs est évidemment un facteur lui-même constitutif de la force qu’on va donner à votre identité.
Aujourd’hui, on essaie vraiment de répondre sur les 4 points, alors que pendant longtemps on a répondu juste que sur "ce que je connais", c'est-à-dire le mot de passe. (Il existe une multitude de sites web où le facteur n° 1 est le seul facteur qui est requis).
Menaces, attaque et vulnérabilités
Pourquoi met-on autant de soins à la fois dans la force de l’identité et dans la façon dont on va gérer les informations autour de l’identité ? Eh bien, parce que les attaques sont très répandues, il y a un enjeu très fort : si j’arrive à voler votre identité, en gros, c’est le jackpot ! J’ai tout. Donc c’est pour ça qu’on va mettre un soin particulier à déjouer les attaques ; mais quelles sont les attaques ?
Le vol d’identité est aujourd’hui le plus répandu, il y a 20 % d’attaques informatiques qui sont des vols d’identité. Le problème pour l’émetteur c’est que le vol est sournois ; c'est-à-dire qu’on ne voit pas qu’on se fait voler son identité, et du coup on se rend compte que son identité est volée quand on essaie d’accéder à sa ressource et l’écran s’affiche : « compte bloqué ». Là, on est embêté, c’est déjà trop tard.
Si un pirate accède à ces informations personnelles, il a encore une fois gagné le jackpot de toute l’entreprise, car toutes leurs identités personnelles et leurs informations personnelles y sont présentes. Donc un annuaire comme cela doit absolument être sécurisé. Quand vous entendez par exemple de Google qui s’est fait volé 40 000 comptes de Hotmail, etc., c’est parce que ces informations étaient sur un annuaire qui n’était pas suffisamment sécurisé ; c’est extrêmement dangereux, et vous, en tant qu’entreprise, vous avez une responsabilité personnelle sur ce sujet et vous devez protéger les données de vos collaborateurs.
La deuxième grande catégorie, c’est l’usurpation d’identité ; c'est-à-dire que pendant l’échange, tout d’un coup, vous pensez que tout va bien, vous êtes en train d’échanger, puis soudain on vous détourne la session et on vous vole votre session avec votre niveau de privilège lié à votre identité (cf. bonne pratique n°3). Vous vous retrouvez donc usurpé de votre identité mais également détourné, par exemple si vous étiez sur votre banque, de vos fonds et de tous vos biens. Donc l’usurpation est extrêmement dangereuse et engendre des conséquences énormes ; il vaut alors mieux l’éviter. Enfin, la modification d’identité : quelqu’un a réussi à faire une usurpation, un vol de session, et profite pour entrer sur le gestionnaire de votre identité et modifie votre mot de passe, votre nom d’identité ou bien vos informations personnelles.
Une attaque très connue : vol d’identifiant de session. C’est l’attaque qu’on appelle XSS (c’est du « cross crypting »). Cela consiste à vous faire lancer un script, et ensuite on va utiliser cette action que vous avez faite pour voler votre session. Comment cela se passe-t-il ?
Tout d’abord, vous allez recevoir un mail vous paraissant anodin ou intéressant ; ce mail est en fait envoyé par l’attaquant qui va utiliser toutes ses connaissances, capacités et performances en « social engineering » pour vous faire cliquer sur le lien joint à l’e-mail. L’attaquant envoie 10 000 mails forgés, et il y aura bien parmi toutes ces personnes au moins une qui va cliquer (j’espère que ce ne sera pas vous) pour arriver à construire son attaque ; donc, là, on va voir comment ça se passe.
À partir du moment où vous cliquez, l’attaquant va vous rediriger sans que vous le sachiez sur un serveur « bidon » ; vous allez voir qu’il se passe des choses et vous croyez que votre machine est bloquée ; en réalité il vous a mis en « déni de service ». À partir de ce moment-là, vous n’êtes plus présent par rapport à la session que vous avez entreprise avec le serveur banque qui est à droite ; par conséquent cette session qui était normale et légitime va finalement être bloquée en l’espace d’un instant, et c’est à ce moment-là que l’attaquant va utiliser votre numéro de session pour se présenter sous votre identité devant votre serveur bancaire pour effectuer des actions, qu’en temps normal vous êtes le seul à pouvoir faire.
Comment obtient-il votre numéro de session ?
Ce qu’il faut savoir, c’est qu’au moment où vous étiez connecté de façon légitime, vous avez inscrit ce numéro de session dans un « cookie » ; bien sûr, l'attaquant ne peut pas y accéder directement depuis votre poste de travail, mais en cliquant sur le lien joint au mail qu’il vous a envoyé, vous avez déclenché sans le savoir une commande ou un script ; par exemple, le clic sur lien active « document.write » qui va donc copier le « ID session » dans un fichier que l’attaquant va récupérer sur l'un de ses serveurs « attaquant » (qui est sur la gauche) ; généralement, l'attaquant utilise de façon éphémère des serveurs qu'il a piratés (zombies) afin de ne pas se faire repérer. Pendant tout ce temps, vous êtes bien sûr bloqué, en pensant que vous avez un petit problème de réseau ; sans savoir que vous venez de lui envoyer votre « ID session » et que vous venez également de suspendre votre connexion du serveur banque.
Si bien que maintenant, l’attaquant ayant récupéré votre « ID session », l'attaquant va pouvoir se représenter dans votre session et s’insinuer dans le flux légitime que vous entreteniez avec le serveur banque. Cette capacité extraordinaire est soumise à condition : il faut que le serveur puisse accepter de renouveler la session avec vous. Certaines versions de serveur (par exemple Microsoft ou Linux) le permettent. Pour cela, l’attaquant a préalablement vérifié que le serveur de la banque était vulnérable à cette attaque ; il peut très bien faire cela un mois avant tranquillement, sans que personne n’ait vu que quelqu’un essayait de tester la version du serveur, et quand bien même il l'aurait fait, la corrélation avec un mois avant cette validation et votre session piratée est impossible à faire.
Les bonnes pratiques
Donc, la description des bonnes pratiques commence toujours dans notre série par comprendre l’usage qu’on fait de l’identité numérique et des informations personnelles.
Les enjeux sont de pouvoir entrer sur des applications pouvant être locales à vos objets connectés (des applications sur Iphone ou Android) ou pouvant être distantes dans votre entreprise ou sur le cloud.
On va lister ensemble les bonnes pratiques pour éviter tout cela.
Navigation, formulaire et éléments de votre identité
Quant aux informations personnelles, il ne faut pas remplir de formulaire avec des données personnelles. Le formulaire vous demande vos informations sensibles comme : date de naissance, numéro de téléphone, adresse, etc.
Il ne faut pas divulguer d'informations autres que les indispensables. Par exemple : si vous voulez vous faire livrer un colis, dans ce cas vous êtes bien obligé de fournir votre adresse personnelle.
Il ne faut pas du tout garder le cookie sur vos postes, ou il faut régulièrement après chaque transaction bancaire, vider les cookies. Évidemment ça peut poser des petits problèmes puisqu’il faut vous souvenir du mot de passe à chaque login. Mais ce n’est qu’avec cette bonne pratique que vous n’aurez quasiment aucun souci de vol de session.
Gérer, surveillez vos cookies
Il faut gérer vos paramètres de confidentialités au niveau des navigateurs ; pour cela vous devez consulter régulièrement la CNIL qui met à jour les précautions qu’il faut prendre. À ce sujet, vous devez surveiller les filtres d’informations personnelles à travers le petit outil « CookieViz », il va vous permettre de savoir quels sont les sites avec lesquels vous entretenez des relations ; au-delà d’un certain nombre de sites, il faut absolument que vous vidiez vos cookies pour que vos informations arrêtent de fuiter de partout. Sachez que la récupération d’informations personnelles peut aussi donner lieu à des corrélations qui pourraient être faites avec des outils d’anonymisation, et qui permettraient de vous réidentifier pour des pirates, ou pour des assureurs qui voudraient avoir des renseignements sur vous, ou tout simplement des personnes malveillantes qui voudraient nuire à votre réputation.
Ne cliquez jamais sur une URL inconnue, vérifiez-la !
Avec une URL, il peut y avoir des attaques non souhaitées, par exemple, le but de l'attaquant est que Cerise Dubois clique sur la flèche pour activer son compte.
Cliquer directement sur l'URL est dangereux, cela permet de lancer l'exécution d'une commande non désirée, pouvant bloquer votre PC ou télécharger des malwares. Avant de cliquer, renseignez vous sur qui vous écrit !!!
Concernant les e-mails : il ne faut pas avoir des interactions avec des mails inconnus, ne cliquez pas sur des sites, des URL inconnus. Suivez nos conseils en testant vos URL sur un site de confiance comme virustotal par exemple :
Procédez ainsi :
Anonymisez vos données
Vous avez aussi une dernière bonne pratique dont on a commencé à parler tout à l’heure, qui est l’anonymisation des données personnelles en lien avec l’identification. Sur cet annuaire, il va falloir que vous cassiez certains liens avec l’identité, de telle sorte que si un attaquant vient sur cet annuaire, il ne soit pas en mesure de reconstituer de nouvelles informations qui pourraient être de niveau beaucoup plus grave.
Le terme d’anonymisation est réservé aux opérations irréversibles, le terme de pseudonymisation pour les opérations réversibles :
- anonymiser : supprimer tout caractère réidentifiant à un ensemble de données ;
- pseudonymiser : technique qui consiste à remplacer un identifiant par un pseudonyme.
D’ailleurs, à ce sujet, vous devez avoir un correspondant informatique déclaré auprès de la CNIL puisque vous êtes un responsable des traitements au sens de la CNIL, et ces gestions des identités doivent être également être déclarées surtout avec la nouvelle loi sur la gestion des données personnelles. Vous allez donc devoir mettre en place ceci. Pour pouvoir faire cela, l’architecture en place la plus conseillée c’est de mettre en place un annuaire et de le sécuriser, parce que ce dernier va contenir toutes les informations personnelles de vos utilisateurs.
Conclusion
Nous avons fait le tour sur les bonnes pratiques ; n’oubliez pas non plus les facteurs de complexité, et en tant qu’entreprise, une bonne pratique qui est souvent utilisée, c’est la gestion des identités. Vous devez absolument, pour des raisons qu’on avait vues déjà pour la bonne pratique 1 et la bonne pratique 3, gérer les identités, connaître vos utilisateurs, lister des informations personnelles que vous allez leur demander.
Voilà, vous voyez l’enjeu sur les identités, nous avons été beaucoup plus étoffés que sur les autres sujets, parce que c’est à la hauteur des risques informatiques que vous encourez lorsque vous êtes responsable de l’entreprise et que nous encourons lorsque nous sommes responsables de nos petits objets connectés, ainsi que des ordinateurs, personnel comme professionnel !