Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

lundi 26 septembre 2016

Sécurisation des échanges électroniques

Les transactions électroniques sont aujourd'hui fortement ancrées dans notre mode de vie et les échanges que nous réalisons nécessitent désormais une attention particulière au niveau de leur sécurité
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

L'importance de l'information

La pénétration toujours plus grande des technologies de l'information dans notre quotidien induit une augmentation constante de la quantité d'informations que nous stockons sur nos ordinateurs ou que nous échangeons entre ceux-ci. Les documents stockés dans un système informatique, contrairement aux documents "classiques", ne sont pas protégés correctement par les barrières physiques (portes, serrures, etc.). La partie logicielle de tout système informatique est une porte d'accès qui doit aussi être verrouillée pour assurer la protection contre la consultation non autorisée ou le vol pur et simple des informations.

De plus, l'information numérique n'est pas statique. Elle voyage. Et à chaque étape, il est possible de l'intercepter si aucune mesure particulière n'est mise en place. Il est néamoins important de souligner que chaque niveau de transfert est associé à un couple complexité/sécurité qui, pour être brisé, implique souvent un coût élevé.

Par rapport à un bien physique classique ou un support écrit, l'information numérique offre par ailleurs la particularité de pouvoir être volée sans disparaître. En effet, un fichier informatique peut être recopié très facilement, sans que l'original n'en soit affecté, donnait ainsi un faux sentiment de sécurité à son propriétaire.

L'arrivée des réseaux de données et particulièrement l'Internet ont ouvert un nouveau monde de communication rapide et bon marché. Mais quel est le niveau de sécurité et de confidentialité? Il existe de nombreux logiciels d'encryption et de matériels informatiques disponibles pour assurer la sécurité, mais qu'en est-il de l'ordinateur lui-même? Quelles sont ses vulnérabilités?

Diverses recommandations permettent de réduire les risques de vols d'informations:

  • l'utilisation de comptes utilisateurs avec mot de passe,
  • la mise en oeuvre de règles d'accès utilisateurs au système de stockage de fichiers,
  • l'utilisation de systèmes de cryptage de données (sur un fichier unique ou sur le système de stockage tout entier),
  • l'usage approprié des possibilités du partage de données en réseau,
  • etc.

L'échange d'information

Dans le monde des données numériques, l'utilisation d'une information va de pair avec son tranfert entre différents médias, à différents niveaux:

  • le transfert d'un espace de stockage vers la mémoire vive d'un ordinateur,
  • le transfert de la mémoire vive vers une application,
  • le transfert d'une application au système d'affichage (par exemple l'écran),
  • le transfert de ou vers un périphérique externe (par exemple l'impression sur une imprimante),
  • le transfert physique d'un ordinateur vers un autre par un support amovible (disque dur, disquette, clé USB, etc.),
  • le transfert électronique d'un ordinateur vers un autre via un réseau local, un Intranet ou bien de l'Internet,
  • etc.

Toute interception d'informations n'est pas obligatoirement liée au transfert à travers un réseau local ou l'Internet. Supposons qu'un appareil ou une antenne ait été placé à proximité d'une maison ou d'un bâtiment professionnel. Supposons encore qu'un appareil puisse capturer tout ce qui se passe sur un ordinateur, par la "simple collecte"' des radiations électromagnétiques émises par l'écran, le processeur de l'ordinateur ou encore un équipement périphérique comme le clavier. Supposons enfin qu'il puisse ensuite manipuler ces émissions afin de reconstruire un signal cohérent. De la science-fiction? Non la technologie existe depuis longtemps.

Sans se focaliser sur des technologies de très haut niveau, nous sommes confrontés à des problèmes d'insécurité pour les échanges électroniques "à notre échelle", c'est-à-dire le mail, la consultation sur l'Internet, le commerce électronique, etc.

Le courrier électronique

Le courrier électronique, bien que non palpable contrairement à un courrier papier, doit être considéré comme tel.

Pendant les vacances, nous envoyons des cartes postales. On a le choix de les mettre ou non sous enveloppe. Généralement pour une carte postale, on ne le fait pas. C'est plus joli et , surtout, ce type de correspondance n'a normalement rien de confidentiel!

En règle générale, le courrier électronique est comme une carte postale. On n'a pas vraiment la possibilité de le mettre sous enveloppe. Le message électronique classique circule donc "en clair" et emprunte un chemin plus ou moins long, passant par 2 voire 10 entreprises spécialisées dont les serveurs de courrier joueront le rôle d'intermédiaire de communication avant de permettre au message de trouver son destinataire! Or nous ne connaissons pas vraiment ou pas du tout ces entreprises! Pouvons-nous leur faire confiance comme à la Poste? La réponse à cette question est au coeur de la sécurité informatique!

La raison pour laquelle on ne peut pas enfermer son message électronique "dans une enveloppe" vient du fait que le logiciel de messagerie utilise un protocole "en clair". Cette caractéristique induit qu' un mot de passe peut être intercepté, mais aussi évidemment le contenu même du message.

La sécurité informatique offre un certain nombre de remèdes à ce problème de confidentialité, notamment grâce à la cryptographie informatique.

Les outils de cryptographie

La cryptographie joue de plus en plus un rôle de clé de voûte pour la politique de sécurisation de la communication électronique des organisations. Elle offre également de nombreux outils pour le grand public.

Vous utilisez peut-être sans le savoir, dans certains logiciels de bureautique, des outils vous permettant de protéger via un mot de passe vos documents ou vos images. Cette protection est toutefois symbolique. Afin de se protéger réellement de toute consultation non sollicitée, il est préférable d'utiliser des outils comme PGP ou OpenPGP, ainsi que certains outils permettant l'association d'un certificat numérique pour encrypter les fichiers et les courriers électroniques.

Ces outils sont disponibles à des prix abordables, mais aussi dans des versions Open Source.

La cryptographie n'est pas l'unique moyen pour protéger des informations pendant leurs transferts. De nombreux protocoles "en clair" ont leurs équivalents sécurisés, le plus souvent symbolisés par le suffixe "S" ajouté à leur acronyme (l'origine provient de la technologie Secure Socket Layer) ou bien encore par un cadenas en mode graphique. Un exemple assez connu est le protocole HTTPS qui permet notamment de réaliser des transactions via des formulaires sécurisés(par exemple les applications bancaires par Internet).

D'autres protocoles disposent également de leur version sécurisée, comme SMTP, POPS et IMAP pour le courrier électronique. Ces protocoles sont très souvent méconnus, la plupart des fournisseurs d'accès Internet (FAI) n'en faisant pas la promotion.

Portail de la Région wallonne