Sécurité sur Internet

Transcription

1 Ce document est sous licence Creative Commons

2 Ce dont parlent les médias Menaces les plus médiatiques : fraude à la carte bleue cyber-terrorisme pédophilie Reflet de la réalité ou fantasme?

3 Interception de numéro de CB Scénario : À savoir : Achat sur Internet avec une CB Interception du numéro de carte par un fraudeur Achats par le fraudeur avec le numéro. La majorité des fraudes à la CB ne se fait pas sur Internet Interception le plus souvent faite sur votre propre PC... Juridiquement, vous ne risquez rien si vous avez toujours votre carte et n avez pas donné le code. Passage à des moyens de paiement plus sécurisés risque d évolution de la loi en faveur des banques

4 Terrorisme Internet Concept : bloquage d infrastructures via Internet, éventuellement coordonné avec une attaque terroriste Fantasme sécuritaire : à ce jour, 0 mort, 0 tentative d attaque terroriste pas médiatique (un million d ordinateurs bloqués moins médiatique que dix blessés par bombe). Internet faciliterait le travail des terroristes : oui, et des honnêtes gens aussi... Alibi pratique pour justifier un Big Brother... NB : cyber-terrorisme cyber-guerre

5 Internet & Pédophilie Avertissement : je ne suis pas spécialiste du sujet. En France, actes pédophiles majoritairement commis par des membres de la famille des victimes Pédopornographie : Internet a t-il dégradé la situation? Alibi pratique pour justifier un Big Brother...

6 Les menaces réelles Envoi de messages non sollicités (SPAM) Escroqueries (phishing) Réseaux de zombies (botnets) Virus/vers Vie privée

7 SPAM Nommé aussi pourriel, mail publicitaires,... Principe : faible coût d envoi permettant des envois massifs (millions de message). Coûteux pour la collectivité : temps perdu boîtes saturées messages ne pouvant plus être délivrés contre-mesures : coût, messages perdus Coût pour l expéditeur : 0,0001 par message envoyé. Traquer les envoyeurs : difficile, pas de volonté politique Le SPAM n est pas prêt de s arrêter...

8 Escroqueries Messages envoyés par des escrocs : monnaie courante Principe classique : on vous propose une transaction financière juteuse (légale ou illégale) vous recevez de l argent, vous en transférez une partie et gardez le reste le virement qui vous arrive est finalement annulé (ou n arrive jamais) si la transaction était illégale, vous n irez pas porter plainte de toute façon l escroc est à l autre bout du monde

9 Escroquerie : exemple M. Johnson Colman Tél : Abidjan Côte d Ivoire Monsieur, Je suis M. Johnson colman, le seul fils de [...]. J ai obtenu votre contact [...] Je vous écris dans la confiance absolue principalement pour chercher votre aide Transférer notre argent comptant de Vingt millions de Dollars américains (20,000,000 de $) [...] Pour votre aide, je prie pour vous concéder(admettre) 20 % de cet argent pour vos efforts et aide. Finalement je vous recommande vivement de tenir cette transaction strictement confidentielle. [...] Remerciements Dieu vous bénisse comme vous nous aidez!! Johnson Colman.

10 Phishing Hameçonnage ; plus subtil qu une escroquerie ordinaire. Principe : Vous recevez un message destiné à vous faire peur : Problème de CB Débit suspect sur votre compte Commande bloquée Machine infectée par un virus Le message contient un lien faux site Stressé, vous donnez numéro de CB, mot de passe... Se prémunir : Garder la tête froide. Ne pas se fier à un lien envoyé par mail.

11 Phishing : exemple

12 Vers et virus Similaires aux virus biologiques : bout de programme ajouté à un de vos programmes effectue différentes actions à chaque lancement du programme tente en général de se reproduire en infectant différents programmes Vers informatique : virus informatique particulier cible plus précisément certains programmes se reproduit essentiellement par le réseau Facteurs de risques : OS répandu et faiblement protégé (MS-Windows XP) programmes mal conçus OS/programmes pas à jour absence de pare-feu programmes/documents (MS-Office) d origine inconnue

13 Vers et virus : évolution Il y a 20 ans : conçus par des amateurs pour le défi technique rarement méchants (virus ping-pong) finissent par révéler clairement leur présence Évolution actuelle : but lucratif professionnalisation furtifs contrôle à distance d un PC à l insu de son propriétaire botnets

14 Botnets Réseaux de machines zombies (détournées de leur usage initial) Permettent à ceux qui les contrôlent : de ne pas être retrouvé par les autorités d effectuer des actions massives Regroupe couramment > machines. Utilisés pour des actions délictueuses (SPAM, phishing, attaque de site, stockage de données,...) Machine non protégée = proie facile. Se protéger : une attitude responsable pour soi pour les autres

15 Fin du droit à la vie privée? Oubli impossible Cookies Géolocalisation Croisement de fichiers Surveillance généralisée (Echelon)

16 Google is your friend Moteurs de recherche : Pour les utilisateurs : accès instantané à toute la mémoire du Web (y compris groupes et listes de discussions). Premiers messages : 1981, premier message parlant de Mitterrand : mai 1982, premier message de moi (inintéressant) : nov 1993 pas de droit à l oubli. Pour les propriétaires : mémoire de toutes les requêtes faites, de leur lieu, date, voire plus...

17 Cookies Principe : Entre deux appels de pages web, le serveur vous a oublié Cookie : «ticket» stocké sur votre ordinateur par le serveur Permet au serveur de se souvenir de vous. Utile : permet au site de mémoriser votre «panier» d une page à l autre, d une visite à l autre. Permet de vous ficher dès votre première visite ad vitam æternam.

18 Géolocalisation Principe : Votre adresse IP est envoyée aux sites web sur lesquels vous vous connectez Bases de données adresse/localisation géographique On sait d où vous vous connectez (précision de l ordre de la commune).

19 Croisement de fichiers En soi, chacune de ces données n a rien de secret En recoupant les données, on peut suivre quelqu un à la trace : lieux et dates d envois de vos messages électroniques requêtes envoyées à un moteur de recherche toute information publiée sur le web s y retrouve à vie (page web, forum public,...)

20 Surveillance d État Système Echelon : Mis en place par les USA Avec le Commonwealth (dont Royaume-Uni) Surveillance des communications : téléphone, fax, courriel Usage officiel : défense Usage «commercial» constaté : (contre Airbus) Projet de surveillance totale aux USA : Volonté d interconnecter les fichiers Erreurs fréquentes (milliers d innocents interdits de vol) Accès direct de la NSA aux centraux téléphoniques Globalement inefficace contre le terrorisme Et en France?

21 Résumé/Conclusion Menaces : Avec impact direct, par des criminels : intéresse peu Microsoft (ne rapporte rien) résolues à condition de s en donner les moyens Sur la vie privée : conciliable avec une vie numérique? Vers une société orwellienne : peut-on encore l éviter?