Post = le message d’un inconnu

Il y a qq jours, j’ai eu un message via le formulaire de contact du blog, message intéressant, incongru, piquant, mais sans signature électronique, je ne peux donc pas répondre !

Que l’individu se reconnaisse et laisse un message sur ce post – nous pourrons alors débattre !

 » Bonjour, un point qui me turlupine depuis quelques années (si, si) et pour lequel je ne vois aucun développement concret aboutir. Il y a bien Shibboleth mais seules des centres de recherche sont impliqués et non le vulgum pecum. Or, je considère cela comme fondamental dans le monde électronique actuel et nous pourrons en discuter ensuite : la réappropriation par l’usager de son identité (et de ses authentifiants). Depuis quelques années on assiste à une centralisation forcée des identités et c’est volontairement que les multinationales avancent masquées sur le  sujet : l’identité individuelle recèle un gisement important de monétisation. Ben tiens. Qui plus est, avec les attaques que subissent régulièrement les offreurs de service hébergeant des bases d’identité on sera bientôt obligé de changer son mot de passe (80% des gens utilise le même mot de passe pour tous leurs services) toutes les heures. Il y a bien OpenId ou équivalent mais nous sommes toujours dans une optique de centralisation de l’identité. Et ça ce n’est pas tolérable. L’identité  ne DOIT PAS être délégable mais offrir malgré tout de la résilience. En fait, l’identité DOIT être un service  comme le DNS : distribué, individualisable (j’ai mon propre serveur DNS pour les domaines que je possède) et résistant (j’ai un secondaire qui n’est pas sur le même réseau). Les esprits chagrins objecteront que la sécurité est un sujet trop sérieux pour être laissé au particulier. Je leur répondrai que sans DNS l’Internet n’existerait pas et pourtant celui-ci est dans mon placard chez moi. Mais bon, il est vrai que je ne demande pas à Mme Michu d’héberger michu.com chez elle. Il existe des produits que l’on nomme HSM qui peuvent se matérialiser sous la forme d’une simple carte à puce connectée à un lecteur USB. La carte bancaire, ça, tout le monde connaît non ? On peut donc imaginer un boîtier homologué et certifié (EAL4+) qui assurerait la gestion de ou des identités des personnes qui souhaitent assurer cette gestion en propre. Pour les autres, comme il y a les serveurs DNS des hébergeurs, des registres ou des FAI et bien, il y aurait les fédérateurs d’identité commerciaux (sorte de FAI dédiés à l’identité). D’où la question : pourquoi ne pas commencer à développer une telle solution (coût de l’ordre de la centaine d’euros pour un équipement et donc 200 euros pour le système redondant) ? Votre question : pourquoi votre blog pour cette question ? Le hasard 🙂 db  « 

Connaissez vous l’ANTS ?

  L’Agence Nationale des Titres Sécurisés (ANTS) est un établissement public administratif, placé sous tutelle du ministère de l’Intérieur, de l’Outre-Mer et des Collectivités Territoriales.
L’Agence a pour mission de répondre aux besoins des administrations de l’Etat en matière de titres sécurisés : le certificat d’immatriculation (communément appelée carte grise), le passeport biométrique, le permis de conduire, la carte nationale d’identité électronique (CNIE) et le titre de séjour électronique (TSE). Ces titres sont des documents qui sont délivrés par l’Etat et qui font l’objet d’une procédure d’édition et de contrôle sécurisée.

La création de cet établissement s’inscrit dans la volonté de réforme, de modernisation et de rationalisation des moyens de l’Etat. L’Agence est amenée à se développer dans un contexte national et européen de renforcement de la sécurité des titres délivrés par l’Etat.

L’Agence Nationale des Titres Sécurisés a aussi en charge de la définition, l’évangélisation, le développement et le support des middleware liés aux cartes dite IAS ECC, qui sont utilisées dans le cadre. Il reste à noter qu’il peut être très intéressante d’utiliser ces cartes dans des projets non gouvernementaux, en effet, cela permet d’obtenir des middlewares développés et maintenus gratuitement (sauf nos impôts…) par un organisme gouvernemental à but non lucratif et d’être certain d’obtenir une interopérabilité complète quelque soit le fournisseur de la carte: Gemalto, Oberthur ou Sagem.

Il reste à déplorer que cette spécification n’est trouvé l’élan de développement à l’échelle Européenne, alors qu’il s’agissait à priori d’une volonté affichée par les organismes gouvernementaux.

 

 

La maison blanche choisit un ex-Microsoft pour contrôler les vols de cyber-identités sur Internet

La maison blanche a choisi de nommer Howard Schmidt au poste de « White House Cybersecurity Coordinator », avec comme focus une action sur le vol d’identité au travers du réseau Internet. Cet ex employé de Microsoft a déjà travaillé en profondeur dans le domaine de la protection des identités numériques lors de sa mission chez l’éditeur.

Pour voir la présentation de Howard Schmidt:

{ merci à oliwek pour son commentaire 😉 }

La CNIL met en avant la sécurité par la gestion des identités et des accès

cnil10 conseils de la CNIL pour sécuriser votre système d’information: La loi « informatique et libertés » impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique. Il apparait clairement que la gestion des identités et des accès est au coeur de la sécurité du système d’information. Voici la liste des 10 recommendations de la CNIL:

1. Adopter une politique de mot de passe rigoureuse

L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes.

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. En effet, les comptes « génériques » ne permettent pas d’identifier précisément une personne. Cette règle doit également s’appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l’exploitation du système d’information.

3. Sécuriser les postes de travail

Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces dispositions sont de nature à restreindre les risques d’une utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent du poste concerné. Par ailleurs, le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier, est fortement recommandé.

4. Identifier précisément qui peut avoir accès aux fichiers

L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné. Pour chaque mouvement ou nouvelle affectation d’un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d’accéder et faire procéder à la mise à jour de ses droits d’accès. Une vérification périodique des profils des applications et des droits d’accès aux répertoires sur les serveurs est donc nécessaire afin de s’assurer de l’adéquation des droits offerts et de la réalité des fonctions occupées par chacun.

5. Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les éventuelles interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées « sensibles » au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.

« A noter » : l’administrateur systèmes et réseau n’est pas forcément habilité à accéder à l’ensemble des données de l’organisme. Pourtant, il a besoin d’accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n’a pas connaissance, et qui est détenue par une personne qui n’a pas accès à ces données (le responsable de la sécurité par exemple), l’administrateur peut mener à bien ses missions et la confidentialité est respectée.

6. Sécuriser le réseau local

Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.

Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivité locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

« A noter » : Un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives (ordonnance 2005-1516), doit voir le jour prochainement (voir projet sur le site http://www.ssi.gouv.fr/). Il imposera à chacun des acteurs des mesures de sécurité spécifiques.

7. Sécuriser l’accès physique aux locaux

L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l’objet d’une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés.

8. Anticiper le risque de perte ou de divulgation des données

La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les serveurs hébergeant des données sensibles ou capitales pour l’activité l’organisme concerné doivent être sauvegardés et pourront être dotés d’un dispositif de tolérance de panne. Il est recommandé d’écrire une procédure « urgence – secours » qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l’objet d’une sécurisation particulière, par chiffrement, au regard de la sensibilité des dossiers ou documents qu’ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés, doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées.

9. Anticiper et formaliser une politique de sécurité du système d’information

L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés. Sa rédaction requiert l’inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d’information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l’organisme concerné. Enfin, le paramètre « sécurité » doit être pris en compte en amont de tout projet lié au système d’information.

10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »

Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l’utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi périodique de fiches pratiques. Elle sera également formalisée dans un document, de type « charte informatique », qui pourra préciser les règles à respecter en matière de sécurité informatique, mais aussi celles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d’internet. Ce document devrait également rappeler les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles, par exemple après avoir obtenu l’accord de son responsable, du service juridique ou du CIL de l’entreprise ou de l’organisme dans lequel il travaille.

Ce document doit s’accompagner d’un engagement de responsabilité à signer par chaque utilisateur.