Forum Atena : à chacun sa traçabilité…
février 2009 par Emmanuelle Lamandé
A l’occasion du dernier atelier sécurité du Forum Atena, le thème « Traçabilité et monitoring » était mis à l’honneur. Que ce soit dans le cadre d’une enquête judiciaire, pour protéger son SI et sa responsabilité en entreprise, ou encore par obligation (Opérateurs, FAI, ...), nous cherchons de plus en plus à collecter toutes les traces qui pourront faire office de preuve. Cependant, est-ce que ce principe de traçabilité s’accorde avec la protection des données à caractère personnel, notamment en France, le droit à l’anonymat et à l’oubli, pilier même de l’Internet ? Dans cette course effrénée contre la cybercriminalité, les outils de traçabilité et de cybersurveillance se multiplient, mais atteignent rapidement leurs limites...
Georges de Souqual, Commandant Fonctionnel, Coordinateur Opérationnel, OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l ’Information et de la Communication)
Le code de procédure pénale désigne sous le nom d’enquêtes, les actes de police judiciaire qui consistent à constater les infractions, à en rassembler les preuves et à en rechercher les auteurs. Il définit trois cadres juridiques d’enquêtes dans lesquels s’exerce la mission de police judiciaire : l’enquête préliminaire, l’enquête de flagrant délit et la délégation d’une juridiction d’instruction.
Par cybercriminalité, il entend toutes les infractions spécifiques aux technologies de l’information et de la communication, ainsi que les infractions dont la commission est liée à l’utilisation de ces technologies, ou facilitée par l’utilisation des T.I.C. Cette nouvelle forme de criminalité est transnationale. De ce fait, en raison de la fugacité des éléments de preuve numérique, les services spécialisés doivent nécessairement échanger rapidement et directement des informations.
Les éléments fondamentaux de preuve sont le plus souvent détenus par les opérateurs techniques
Cependant, dans ce domaine, les éléments fondamentaux de preuve sont le plus souvent détenus par les opérateurs techniques (fournisseurs d’accès Internet, hébergeurs, opérateurs de télécommunications …), ce qui représente une difficulté majeure pour les enquêteurs.
Au niveau de la conservation des données, la directive européenne sur la rétention de données de connexion, a été adoptée le 21 février 2006 par le conseil européen (entre 6 mois et 2 ans). Quid en France ? Les données de trafic doivent être conservées pendant un an. Quelles sont les catégories de données à conserver ? L’identification de l’utilisateur, les destinataires de la communication, le type d’équipements terminaux, la date, l’heure et la durée de chaque échange, les services complémentaires utilisés, les fournisseurs.
Dans cette lutte contre la Cybercriminalité, l’OCLCTIC collabore, entre autres, avec les structures institutionnelles répressives, les services d’alerte et de veille, un réseau d ’Enquêteurs Spécialisés en Criminalité Informatique sur l’ensemble du territoire national (ESCI), la Brigade d’Enquête sur les Fraudes aux technologies de l ’Information (BEFTI), les Référents en DDSP, la Gendarmerie Nationale, la Sous-Direction chargée de la Lutte contre la criminalité organisée et la délinquance financière, le pole de lutte contre la délinquance financière et la protection du patrimoine. ..
Pour mener à bien une enquête judiciaire, différentes techniques d’investigations sont utilisées pour identifier l’auteur de l’infraction. L’acte des constatations est le plus important dans une enquête. Il s’agit de relever les traces et indices, c’est-à-dire de recueillir la preuve informatique. C’est pourquoi il est primordial de garantir l’intégrité numérique. Les enquêteurs font également appel aux différents prestataires Internet : F.A.I., hébergeurs, messagerie,... Plusieurs outils sont à disposition des spécialistes : une connexion Internet dédiée (ADSL) et anonyme, ainsi que des matériels dédiés et logiciels spécifiques : SACASA, TRECORDER, LOGICUBE, Write Bloker XP, Encase, X-Ways Forensic, Access Data, Ilook, ...
Les données sont volatiles et faciles à dissimuler
Toutefois, les enquêteurs se heurtent souvent à certaines limites au niveau technique, juridique ou encore financier. Pendant le délai de garde à vue, deux options s’offrent aux enquêteurs : l’exploitation maximale immédiate ou la copie physique pour une exploitation ultérieure. Les opérateurs et FAI ont le monopole de la détention de l’information technique, ce qui complexifie le processus de remontée d’informations. Les données sont, de plus, volatiles et faciles à dissimuler. L’identification des adresses IP aboutit le plus souvent dans des cybercafés et les connexions Wi-Fi et Wi-Max rendent la localisation d’une connexion difficile. L’application du principe de territorialité et le caractère récent du droit international posent, en outre, les limites juridiques.
La coopération internationale, la prévention et l’adaptation des services de l’Etat face aux nouvelles menaces représentent les enjeux majeurs de cette lutte contre la cybercriminalité. La stratégie européenne s’avère, d’ailleurs, être une priorité ministérielle. Elle devrait s’articuler autour d’un partenariat entre le public et le privé, d’une recherche d’outils juridiques adaptés aux enquêtes et la création d’une plateforme européenne de signalement des contenus illicites.
Je trace, tu journalises, il log… Et la sécurité du SI ? Lazaro Pejsachowicz, CNAMTS, CLUSIF
« Les tuiles qui nous protègent de la pluie ont été posées par temps sec » (Proverbe Normand), ce qui sous-entend qu’il faut faire de la sécurité avant l’incident. Mais comment être sûr, étant donné qu’il ne pleut pas, que les tuiles ont été mises dans le bon ordre et qu’elles vont réellement protéger de la pluie ?
« En informatique, le concept d’historique des événements ou de logging désigne », selon Wikipédia, « l’enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier (application, activité d’un réseau informatique...). Le journal (en anglais log file ou plus simplement log), désigne alors le fichier contenant ces enregistrements. Généralement datés et classés par ordre chronologique, ces derniers permettent d’analyser pas à pas l’activité interne du processus et ses interactions avec son environnement ».
Au-delà de son contenu, voici quelques questions de base à se poser, selon lui, sur un journal : Qui l’a conçu ? Qui le remplit ? Qui va l’utiliser (logiques de conception vs logiques d’utilisation) ? Niveau (couche) des objets contenus dans les traces ? Et surtout, quelle est sa finalité (vision du créateur des logiques d’utilisation) ? Et même si les traces sont souvent nécessaires pour des objectifs imprévisibles, il faut définir les objectifs principaux pour la mise en place d’un système des traces.
Parmi les principaux usages d’un tel système, il relève la détection des anomalies de fonctionnement d’un système, qui représente en général l’usage prévu par le concepteur, l’analyse ou l’amélioration de l’utilisation du système, la détection d’une tentative d’usage prohibé du système, la preuve du bon fonctionnement du SI, ou encore l’imputabilité, qui permet d’attribuer à un acteur la réalisation d’une action sur une information. C’est le plus important pour la SSI.
Quelles sont les qualités exigibles aux traces pour la SSI ?
– Fournir les informations nécessaires aux objectifs recherchés
– Permettre de déterminer la suite des événements ayant produit un sinistre ou une violation de la politique de sécurité
– Permettre d’attribuer une action à un « acteur » (utilisateur ou automate). C’est « l’imputabilité »
– Prouver le bon fonctionnement du SI dans les cas de contestation de la part des utilisateurs ou autorités (auditabilité)
– Permettre le recoupement avec d’autres informations (corrélation) afin d’accomplir l’objectif n°2 sur une pluralité des systèmes
– Permettre l’accès aux demandes d’information des autorités judiciaires dans le cadre d’enquêtes civiles ou pénales
Certaines contraintes ne doivent pas être négligées. Au niveau juridique :
– Les obligations de conservation d’un an pour tout entreprise « fournissant un service ».
– Le « droit à l’oubli », obligation de destruction au bout d’un certain temps.
– Dans quelles conditions mes traces sont utilisables en tant que preuve opposable ?
Concernant « l’identité numérique » :
– L’utilisation des « logs » en tant que trace implique l’utilisation d’identités numériques, dont le lien n’est pas facile à prouver.
– S’agit-il d’une identité « personne » et est-elle une identité unique (« pseudos ») ?
– Si c’est bien une identité unique, sommes-nous en présence d’une cybersurveillance ?
Il faut positionner les traces au niveau de la manipulation de l’information
Pour Lazaro Pejsachowicz, les atteintes à l’information sont rarement effectuées par des « hackers » classiques sans connaissance du système. Plus encore, elles sont, dans la plupart des cas, l’oeuvre d’utilisateurs habilités. Afin de détecter les actions illégitimes ou frauduleuses, il faut donc positionner les traces au niveau de la manipulation de l’information, c’est-à-dire, dans les applications. Mais les informations fournies par ces traces peuvent avoir besoin d’être recoupées avec celles d’autres composants applicatifs, des « logs techniques » et nous nous retrouvons face au problème des identités numériques multiples et les difficultés du « time stamping ».
Eric Freyssinet, Chargé des projets cybercriminalité - Direction générale de la gendarmerie nationale / Sous-direction de la police judiciaire : préservation et collecte des traces
La conservation des données est un sujet sensible. Le principe de Locard ne s’applique pas exactement de la même façon dans l’univers numérique, puisque les traces peuvent facilement disparaître.
Il faut créer les conditions de la traçabilité dans l’environnement numérique, tout en respectant la vie privée de chacun. L’investigation doit donc se faire tout en s’astreignant au strict minimum, de manière à réduire les coûts et protéger la vie privée.
A la fin d’une communication, les données doivent être effacées, sauf pour les besoins de facturation, d’investigation ou de sécurité du réseau.
Directives européennes : l’harmonisation manque…
D’un côté, on retrouve la directive européenne 2002/58/CE, articles 5, 6, 9, concernant l’effacement des données. Ces articles définissent les règles applicables au traitement, par les fournisseurs de réseaux et de services, de données relatives au trafic et de données de localisation générées par l’utilisation de services de communications électroniques. Ces données doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion ; moyennant l’accord de l’intéressé, certaines données peuvent également être traitées afin de commercialiser des services de communications électroniques ou de fournir des services à valeur ajoutée.
La directive 2006/24/CE sur la conservation des données a, quant à elle, pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.
La directive s’applique aux données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.
En ce qui concerne la téléphonie fixe en réseau, la téléphonie mobile, l’accès à l’Internet, le courrier électronique par l’Internet et la téléphonie par l’Internet, les États membres veillent à ce que soient conservées en application de la directive les catégories de données nécessaires pour :
– retrouver et identifier la source d’une communication ;
– identifier la destination d’une communication ;
– déterminer la date, l’heure et la durée d’une communication ;
– déterminer le type de communication ;
– identifier le matériel de communication des utilisateurs ou ce qui est censé être leur matériel ;
– localiser le matériel de communication mobile.
Les données conservées ne sont transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément à la législation nationale. Elles sont conservées pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication. Le 15/09/2010 au plus tard, la Commission présentera au Parlement européen et au Conseil une évaluation de l’application de la directive et de ses effets sur les opérateurs économiques et les consommateurs.
Quid de la réglementation française en ce qui concerne la conservation ?
– Dans le Code des postes et communications électroniques (CPCE), selon l’art. L34-1 -II, « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ».
Cette réglementation s’applique aux opérateurs de communications électroniques et aux « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit […] » (cybercafés, hot-spots…).
En cas de non respect de cette réglementation, la peine encourue est d’un an de prison, 75.000 euros d’amende, voire même l’interdiction du droit d’exercer la profession (article L39-3).
– Selon l’art. R10-13 (Décret en conseil d’Etat n°2006-358 du 24/03/2006) : « I. -En application du II de l’article L.34-1, les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
– les informations permettant d’identifier l’utilisateur ;
– les données relatives aux équipements terminaux de communication utilisés ;
– les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
– les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
– les données permettant d’identifier le ou les destinataires de la communication.
II. - Pour les activités de téléphonie l’opérateur conserve les données mentionnées au I et, en outre, celles permettant d’identifier l’origine et la localisation de la communication.
III. - La durée de conservation des données mentionnées au présent article est d’un an à compter du jour de l’enregistrement.
IV. - Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l’article R.213-1 du code de procédure pénale ».
– Loi pour la confiance dans l’économie numérique (LCEN) :
Selon l’Art.6 -II « […] détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ». En cas de non application, la peine encourue s’élève à un an de prison et 75.000 euros d’amende. Le projet d’application n’est pas encore publié.
Les opérateurs de téléphonie et les FAI sont des gros consommateurs de données (factures et lutte contre la fraude), qui connaissent très bien leurs clients. Cependant, dans la nécessité d’accès aux données, la problématique des « pré-payés » et des accès gratuits se pose. Est-ce que ces formes d’anonymat sont légales ? De plus, ils sont souvent prestataires de divers services. Les hotspots gratuits et les cybercafés sont particulièrement prisés par les délinquants. La législation s’y applique, mais que faire en pratique ? En Italie, par exemple, une loi y impose le contrôle d’identité.
Le dialogue avec l’ensemble de ces opérateurs est permanent sur la conservation des données, de manière à obtenir une application équilibrée des réglementations, conclut-il.
Olivier Iteanu, Avocat à la Cour, aborde la question de la cybersurveillance
Est-ce qu’une trace est une preuve ? La réponse est affirmative. Depuis 2000, tout mode de preuve est admissible devant les tribunaux.
Les SI des entreprises se sont ouverts à l’Internet avec les services Web et email. Ces flux ont fait évalué la menace. Ces nouvelles menaces créent un risque juridique nouveau pour l’employeur et pour le salarié. Ce risque est à la fois pénal et civil.
Art. 1382 du Code Civil : « Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. »
Art. 1383 : « Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence. »
– Art. 1384 : « On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l’on a sous sa garde… »
– Art. 1384 alinéa 5 : « Les maîtres et les commettants, (sont solidairement responsables) du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés »
En plus des risques, des contraintes juridiques s’imposent à l’employeur.
Dans son arrêt du 2 octobre 2001 dit « Nikon », la Cour de cassation a posé le principe selon lequel il était interdit à l’employeur de consulter les emails personnels d’un salarié en vertu du droit au respect de la vie privée et du secret des correspondances : « Attendu que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l’employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur ».
Cette décision extrêmement restrictive s’agissant du contrôle par l’employeur des documents informatiques du salarié a été assouplie par la Cour de cassation dans son arrêt du 17 mai 2005 dit « Cathnet » qui a précisé que « sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé ».
L’entreprise se retrouve prise entre le marteau et l’enclume
Dans un arrêt du 18 octobre 2006, la Cour de cassation a poursuivi cette évolution en indiquant que « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence ». Dès lors, il appartient aujourd’hui au salarié de créer dans l’ordinateur mis à sa disposition par l’entreprise un ou plusieurs fichiers intitulés « personnel » afin que l’employeur ne puisse pas y avoir accès hors sa présence.
L’entreprise se trouve prise entre le marteau (les risques) et l’enclume (les contraintes). Certains outils patronaux peuvent, toutefois, être mis en place :
– une charte d’usage Internet : c’est un outil pédagogique qui devient un outil juridique s’il est intégré au contrat de travail, au règlement intérieur, ou s’il fait l’objet d’une note de service.
– un système de cybersurveillance : pour la mise en place d’un tel système, les salariés doivent en être informés au préalable et les représentants du personnel consultés.
L’objectif de la cybersurveillance est de surveiller afin de gérer le risque (prévention) et de collecter une preuve licite et admissible par les tribunaux, tout en se conformant à la loi Informatique et Libertés. Elle ne doit, en aucun cas, servir à améliorer la productivité des salariés.
L’étendue du contrôle peut concerner le nombre de messages, leur intitulé, leur taille, la nature des pièces jointes, le filtrage URL. En ce qui concerne le contenu des messages, il s’agit de correspondances privées protégées par la loi. Il existe, cependant, deux types de correspondances privées, celles qui appartiennent à l’employeur et celles du salarié. Peut-on surveiller les connexions Internet et les données de connexions ? La réponse est affirmative. Depuis le 9 juillet 2008, ce n’est plus considéré comme une atteinte à l’intimité du salarié puisque les connexions sont professionnelles.
On observe une évolution constante depuis 10 ans qui tend vers plus de cybersurveillance. La tendance vise, en effet, à étendre et à accepter la cybersurveillance. Doit-on, néanmoins, s’attendre à un « retour de bâton » ? L’objectif, conclut-il, est de trouver un équilibre pour l’entreprise et son bon fonctionnement.
L’intraçabilité sur Internet, par Mauro Israël, Expert en sécurité
Quels sont les moyens de se prémunir contre la traçabilité ? Les hackers utilisent des aninimizers, tels que anonimizer.ru (mais ce site dispose de toutes les informations que vous tapez). Le réseau « Tor » (The Onion Routeur) est un autre système d’anonymisation sur Internet. Ce réseau, développé par deux américains, vous protège en faisant rebondir vos communications à l’intérieur d’un réseau distribué de relais maintenus par des volontaires partout dans le monde : il empêche qu’une tierce personne scrutant votre connexion Internet connaisse les sites que vous avez visité, et empêche les sites que vous avez visité de connaître votre position géographique. Votre requête devient ainsi "anonyme". Elle prend plus de temps, bien évidemment, donc à ne pas faire pour toutes les requêtes. Ce type de réseau pose un véritable problème à la police qui souhaite remonter les informations. Un réseau que les autorités ne doivent pas négliger... « La traçabilité est un vœu pieu », conclut-il.