La société de l'information en danger

Direction de la science, de la technologie et de l'industrie

La sécurité des systèmes d’information est chaque jour affinée. Hélas, les pirates aussi affûtent leurs armes de leur côté, prêts à frapper.

Si les progrès technologiques ont considérablement amélioré la sécurité du système d’information dans son ensemble, ils ont en même temps donné aux agresseurs potentiels les moyens de pénétrer beaucoup plus rapidement dans les bases de données des particuliers, des entreprises ou des pouvoirs publics, et de leur causer des dégâts plus vastes et plus profonds encore. Plus grave, grâce aux technologies nouvelles, l’ennemi ne laisse quasiment plus de traces, ce qui ne facilite guère la tâche des enquêteurs. Et sur le réseau mondial, n’importe qui, ou presque, peut se procurer les instruments nécessaires pour perpétrer de tels méfaits.L’informatique joue de nos jours un rôle si considérable que l’impact d’un acte de piratage informatique risque d’atteindre des proportions jamais observées. D’après les chiffres du CERT de l’Université Carnegie Mellon, l’un des principaux centres d’expertise sur la sécurité Internet, le nombre des incidents recensés mettant en cause la sécurité est en forte augmentation.Cette menace moderne a frappé à deux reprises notables au début de l’année 2000. En mai 2000, le virus I Love You perturbait fortement le réseau mondial de courrier électronique, non sans effacer au passage un certain nombre de disques durs. Quelques mois auparavant, en février, plusieurs sites réputés de commerce électronique avaient été la cible d’attaques par saturation des serveurs (distributed denial of service, ou DDOS).Les attaques par DDOS caractérisent la vulnérabilité du réseau actuel dans son ensemble. Elles consistent pour le pirate à prendre le contrôle de plusieurs serveurs dont le niveau de sécurité est faible, principalement des sites d’information peu sensibles comme des stations de collecte à distance de données météorologiques. Il y installe ensuite subrepticement des programmes auto-exécutables (appelés agents DDOS) qui envoient simultanément un très grand nombre de requêtes, saturant ainsi les ressources du système visé.Lorsque plusieurs machines sont interconnectées au sein d’un même réseau, ce sont les plus faibles d’entre elles qui sont le plus souvent visées par les attaques. En fait, les maillons les plus faibles de la chaîne déterminent la robustesse de l’ensemble du réseau. Mais avant de conclure hâtivement qu’il faut améliorer le niveau de sécurité de tout un système, il faut procéder à une analyse plus détaillée des risques et des coûts pour décider si de tels investissements sont justifiés. Autre aspect à prendre en considération : le renforcement de la sécurité au niveau des couches réseau des protocoles, comme dans la future génération de protocole Internet proposée, IPv6.L’affaire I Love You a démontré à tout le monde comment un virus, même rudimentaire, peut se propager vite et loin via Internet. L’événement a suscité une certaine prise de conscience, mais peut-être qu’un travail de pédagogie aurait pu être accompli préventivement auprès des utilisateurs. Il aurait suffi de quelques précautions élémentaires (et de règles de base fixées par les responsables informatiques) pour contenir la progression du virus (par exemple apprendre à reconnaître les extensions des fichiers « à risque »). La force du virus I Love You venait du fait que les utilisateurs, reconnaissant le nom de correspondants qui leur étaient familiers, ouvraient en toute confiance des messages porteurs du virus. En effet, il suffisait qu’un seul employé ouvre un message pour que le virus infeste tout son carnet d’adresses e-mail - une ruse tout à fait redoutable. Quand les responsables informatiques et les responsables sécurité des réseaux ont compris ce qui se passait et ont alerté les utilisateurs, le virus s’était déjà propagé dans le monde entier. Il faut dire qu’empêcher les premiers utilisateurs d’ouvrir (innocemment) le message n’est pas chose aisée.I Love You a aussi apporté un autre enseignement : il a montré combien il est difficile pour le système pénal à lui seul de traiter les affaires internationales, en particulier lorsque certains des pays concernés ont un système judiciaire rudimentaire, qui n’est pas armé pour les affaires pénales liées au commerce électronique. Et, comme les actes de piratage par agent DDOS, I Love You a montré combien il était difficile de suivre ou de retracer les transmissions internationales de virus et d’agents. Les ministres de l’OCDE ont pris conscience de ce problème, appelant dans un communiqué en juin 2000 à « une plus grande confiance dans le domaine de l’authentification et de la protection de la vie privée » et engageant l’OCDE à « poursuivre ses travaux à cet égard et à collaborer avec le secteur privé et les autres acteurs pour mettre au point des mesures efficaces face à des problèmes urgents concernant la sécurité de l’Internet tels que le piratage et les virus ». L’OCDE avait déjà formulé en 1997 des lignes directrices en matière de cryptographie, pour permettre une transmission plus sûre des données et un stockage des informations sécurisé, au niveau national et international.Déjà, plusieurs initiatives récentes du G8 et du Conseil de l’Europe en matière de piratage informatique ont eu pour objet de faire valoir la responsabilité civile et de permettre des poursuites pénales en cas d’atteinte à la sécurité. Dans le domaine du commerce électronique mondial, la sécurité nécessite des protocoles et des procédures au niveau international. Il faut trouver un instrument juridique permettant d’engager la responsabilité civile des responsables de la sécurité et de poursuivre les auteurs des actes de piratage. Étant donné le caractère international de la menace, il faut également un effort du secteur privé pour appliquer de manière uniforme des solutions universelles, afin que des protocoles et des systèmes d’authentification plus fiables soient utilisés le plus largement possible.Malheureusement, jusqu’à maintenant, dans la lutte contre la criminalité informatique, la réaction l’a emporté sur la prévention. Or, tout comme dans le commerce traditionnel, la prévention active est plus économique et plus efficace que les mesures réactives.En d’autres termes, si nous voulons renforcer la confiance du public dans la sécurité des systèmes d’information, il est grand temps de réfléchir à des moyens sortant des techniques traditionnelles de la police d’État. La prévention passe essentiellement par la mise en place de réseaux plus robustes, plus compacts, à la sécurité à peu près infaillible. Jusqu’à présent, cette préoccupation a été exclusivement l’affaire du secteur privé, en particulier des entreprises qui conçoivent et utilisent de tels systèmes. Les gouvernements ne peuvent bien sûr pas contrôler les activités des entreprises, mais ils peuvent contribuer à coordonner les initiatives, au nom des États, mais aussi pour le compte d’autres acteurs, comme les consommateurs et les organisations internationales. Soulignons en outre le rôle important des échanges d’informations sur les actes de piratage (d’ailleurs, peut-être que les affaires dont nous avons connaissance ne constituent que la partie visible de l’iceberg), les points faibles et les exemples de parades qui se sont avérées efficaces.Il faut reconnaître que, jusqu’à présent, toutes les politiques mondiales en matière de sécurité de l’information ont souffert d’un évident manque de coordination interdisciplinaire et internationale. Pour faire évoluer les choses, la participation d’un large éventail d’acteurs serait nécessaire : entreprises, dirigeants d’institutions internationales, groupes d’utilisateurs, experts de la sécurité (y compris des pirates bien intentionnés). Un tel regroupement devrait être placé sous le signe de la coordination, plutôt que du contrôle. L’OCDE, avec ses programmes d’ouverture en direction des non-membres, peut jouer un rôle catalyseur pour le dialogue et le partage d’informations en organisant des conférences, des ateliers et des réunions conjointes.La coopération internationale en matière de sécurité pourrait avoir pour cadre les Principes directeurs de l’OCDE sur la sécurité des systèmes d’information, parus en 1992, révisés en 1997, et dont une nouvelle version est attendue en 2002. On peut toutefois se demander si cet instrument suffira à répondre aux défis qui pèsent actuellement sur la sécurité. Il faut agir vite et avec détermination. En attendant, le mot d’ordre est simple : n’ouvrez pas vos e-mails sans y réfléchir à deux fois.


Données économiques

Courriel gratuit

Recevez les dernières nouvelles de l’OCDE :

Flux Twitter

Abonnez-vous dès maintenant

Pour recevoir notre édition papier en anglais par courrier


Edition en ligne
Editions précédentes

Ne manquez pas

  • G20: « Le temps est venu d’accroître les dépenses publiques » (Le Monde)
  • En France, les inégalités salariales se réduisent chaque année. Les salaires des femmes cadres de moins de 30 ans sont « seulement » inférieurs de 5 % à celui des hommes, selon l’Association pour l’emploi des cadres (APEC) dans une étude publiée en mars 2015.Les réseaux féminins ont-ils encore un rôle à jouer dans le monde du travail ? (Le Monde)
  • Pourquoi les fils d’immigrés ne réussissent-ils pas à l’école aussi bien que leurs sœurs? Un article du journal Le Monde.
  • L'intégration rapide des réfugiés est la clé de la croissance économique en Europe, selon le FMI et l'OCDE, présents à Davos, le forum économique mondial qui se déroule du 20 au 23 janvier. Lire l'article du Monde ici.

  • Expliquez-nous... l'OCDE par FranceInfo
  • "Nous avançons à une vitesse d'escargot" sur le climat, estime Ban Ki-moon. Le secrétaire général des Nations Unies confie au journal Le Monde son optimisme sur la conclusion d’un accord international permettant de contenir le réchauffement en cours, en dépit des obstacles.
  • La France est "l'un des pays où l'anxiété en classe est la plus fortement ressentie" explique Eric Charbonnier, analyste à l'OCDE.
  • Après le vote des mesures sociales demandées par l'Union européenne et le FMI, prévu pour le 22 juillet au soir, le gouvernement grec "va reprendre immédiatement les négociations avec les institutions, UE, BCE et FMI, qui doivent durer jusqu'au 20 août au plus tard".
  • Peut-on réduire l'immigration légale? Le député français de l’Yonne Guillaume Larrivé, membre de l'opposition, a proposé que les parlementaires fixent des plafonds d’immigration annuels. Thomas Liebig, spécialiste des migrations internationales à l’OCDE, analyse cette proposition pour le journal La Croix.
  • "Les 40% les plus pauvres, les classes moyennes, manquent de moyens pour investir dans le capital humain", explique à L'Express l'économiste Michael Förster, spécialiste des inégalités à l'OCDE.
  • La lutte contre le travail au noir franchit un nouveau seuil. Selon le bilan 2014 publié par Les Echos, le montant total des redressements imposés par les Urssaf pour « travail dissimulé » s’est élevé à 401 millions d’euros, contre 320 millions l’année précédente.
  • Le Secrétaire général de l’ONU Ban Ki-moon rallie le soutien de l’OCDE: « 2015 est une année des plus cruciales pour l’humanité ».

Articles les plus lus

Blog OECD Insights

NOTE: Les articles signés expriment l’opinion de leurs auteurs
et pas nécessairement celle de l’OCDE ou de ses pays membres.

©Tous droits réservés. OCDE 2016