La sécurité sur les réseaux n'est pas un problème nouveau, ni sur le plan technique, ni sur le plan juridique. Mais il émerge avec une acuité de plus en plus fine depuis qu'Internet est devenu victime de son succès ; on veut lui attribuer des fonctions non prévues à l'origine, quand il s'agissait d'un réseau de chercheurs, en particulier le commerce électronique. Le protocole TCP/IP (1) qui assure les communications sur Internet ne prévoit en effet aucune sécurité des transferts. La facilité des échanges internationaux via Internet a amorcé le développement du commerce électronique, avec tous les enjeux économiques que l'on peut imaginer ; mais sans sécurité, le commerce ne peut se développer. La sécurité des échanges commerciaux n'est pas un souci nouveau... les pirates du cyberespace n'ont-ils pas quelque chose de commun avec les pirates qui hantaient autrefois nos mers ?

La sécurité sur les réseaux se pose sur deux plans : le plan technique où existent des solutions, et le plan juridique où la possibilité de mise en oeuvre de solutions cryptographiques n'est pas toujours librement autorisée.

Après avoir établi un panorama des divers types de risques encourus lors d'un transfert d'informations sur réseau, ou lors de la création de services d'informations et de leurs parades techniques possibles, nous présenterons la situation législative actuelle en France et son évolution. Nous tenterons ensuite de faire le point sur le développement du commerce électronique au niveau international et français.

Risques et parades

Les risques, et donc la sécurité sur réseaux, se situent à cinq niveaux; des parades différentes sont mises en oeuvre selon le niveau.

La protection des données d'une entreprise vis-à-vis d'intrusions externes

L'administrateur réseau d'une entreprise doit avant tout protéger les ressources de l'entreprise (son Système d'Information) contre les intrusions et les actes de malveillance de toutes sortes. Pour cela, il est indispensable qu'il surveille le réseau local, celui qui assure la communication des postes de travail entre eux et avec le monde extérieur.

La solution adoptée est celle du "fire wall" ou pare-feu (écluse en québécois) : il s'agit de réaliser une barrière logicielle étanche entre le réseau local et le monde extérieur. Ce logiciel, installé sur une machine à la frontière du réseau, filtre certaines catégories de trafics, ceux qui pourraient être néfastes à l'entreprise ; par exemple, on peut ne laisser rentrer aucun protocole FTP (2) et laisser sortir tous les protocoles FTP. Le principe est le suivant : le routeur (3) paramétré pour connaître les trafics autorisés, analyse ceux qui sont en transit ; à partir de l'origine de l'information, il détermine l'application en jeu et détruit tout ce qui n'est pas autorisé. Mais il y a toujours des petits malins : l'an dernier Sony a subi une grosse attaque ; les pirates modifiaient certains "paquets" lors de leur transmission en se faisant passer pour une machine interne au site. Depuis, les routeurs et les pare-feu ont intégré dans leurs filtres une vérification supplémentaire : si c'est une machine interne qui transmet une information, celle-ci ne peut venir de l'extérieur.

Le pare-feu a aussi pour rôle de limiter, pour des raisons économiques ou autres, l'accès du personnel de l'entreprise à certaines ressources offertes par le réseau public.

La protection de l'intégrité de l'offre disponible

Une entreprise qui offre un service public sur Internet doit être en mesure de protéger son offre. En effet, étant responsable du contenu proposé, elle doit empêcher les intrusions malveillantes. Par exemple, elle doit éviter de tomber sous le coup d'une plainte pour diffamation si une personne mal intentionnée a modifié la page d'accueil. L'adjonction d'une simple signature électronique sur chaque page, que l'on vérifie régulièrement, peut être une solution à ce problème.

La protection de l'identité des machines et des utilisateurs lors de transactions

Cette protection passe au minimum par une procédure de reconnaissance de l'utilisateur par un mot de passe ; les experts en sécurité affirment que les méthodes d'authentification traditionnelles, reposant sur l'usage du mot de passe réutilisable sont peu fiables ; ces mots de passe "statiques" peuvent en effet être captés ; aussi certains systèmes proposent-ils des mots de passe "dynamiques", générés à chaque connection, donc non réutilisables.

Dans une transaction commerciale, il apparait indispensable d'authentifier les deux interlocuteurs qui communiquent, à l'aide de mots de passe codés avec un système de clés privées ou de clés publiques. Un bon système de protection doit comporter, d'une part un dispositif de chiffrement rendant le message lisible par le seul destinataire, d'autre part un dispositif d'authentification certifiant l'origine du message.

Les systèmes de protection par clé privée, tels que DES, sont basés sur le principe suivant : lorsque A et B veulent communiquer, ils doivent s'échanger secrètement leur clé privée qui sert aussi bien au chiffrement qu'au déchiffrement. On imagine facilement les risques de pertes de cette clé. De plus, il faudra avoir autant de clés privées que d'interlocuteurs et donc trouver un moyen pour les garder secrètes.

Les systèmes de protection par clé publique, tels que RSA, sont plus complexes mais plus sécurisés : A, lorsqu'il souhaite émettre secrètement vers B, chiffre le message qu'il veut envoyer avec la clé publique de B, qu'il possède comme toutes les autres clés publiques de ses différents interlocuteurs. Seul B avec sa clé privée pourra déchiffrer le message de A. Ainsi, sur le réseau, ne transitent que le message chiffré et la clé publique du destinataire, qui comme son nom l'indique, peut être connue de tout le monde. Symétriquement, lorsque A veut authentifier un texte, il utilise sa clé privée et B décode avec la clé publique.

Généralement l'authentification se fait au niveau de l'application, lorsque l'on se connecte ; mais la méthode d'identification américaine, KERBEROS, comme d'ailleurs le projet européen SESAME, sont des méthodes d'authentification centralisées, dites uniques sur le réseau : lors de la première connexion de la journée, on est identifié, puis authentifié, et l'on reçoit un "ticket" le prouvant, avec éventuellement une date de validité ; avec ce "ticket", on s'adresse à un serveur de privilège ; ensuite avec ce "ticket" de privilège, on peut utiliser une application ou un service, sans plus avoir besoin de s'identifier.

Le projet européen SESAME, réunissant Bull, ICL, SNI (Siemens Nixdorf), a abouti en décembre 95 et appartient à présent au domaine public. La technologie SESAME est intégrée, entre autres, dans les produits BULL et ICL (4).

Ces méthodes d'authentification ne sont pas incompatibles avec les pare-feu : certains protocoles sont filtrés à l'aide d'un pare-feu, afin d'accéder à un système d'information, puis, en fonction du service demandé, une authentification peut être ensuite exigée.

Le système de double authentification (authentification mutuelle) est prévu dans les prochaines générations de cartes bancaires : la banque authentifie le porteur de la carte (code secret), et la carte authentifie la banque (vérifiant que c'est une vraie banque). Ce système pourrait être transposé aux réseaux afin d'assurer la sécurité du commerce électronique.

La protection de l'intégrité de l'information transmise

A ce quatrième niveau de sécurité, il y a de multiples utilisateurs et des risques multiples :

- modification du contenu de l'information au cours de son transfert ;

- usurpation d'identité par une fausse signature ;

- écoute du réseau par un espion ;

- non réception de l'information transmise.

Pour se prémunir contre l'espionnage, la solution consiste à chiffrer l'ensemble des données échangées à l'aide d'algorithmes à clé publique.

La protection de l'intégrité de l'offre disponible sur les réseaux publics

Il y a un risque concernant les libertés des utilisateurs des réseaux, auquel on ne songe pas souvent. Les fournisseurs d'accès peuvent connaître les habitudes des utilisateurs en accédant, à distance, à des données mémorisant leurs connexions. Il s'agit là d'une infraction à la loi "Informatique, fichiers et libertés".

Ainsi, il semblerait que Netscape crée des fichiers nommés "Cookie", dans la machine de l'utilisateur. Leur contenu, codé bien entendu, contiendrait, outre l'adresse électronique de l'utilisateur, les mots de passe utilisés et une trace de toutes ses visites sur Internet. On imagine facilement les dérives possibles, même si Netscape justifie l'existence de tels fichiers par la volonté d'adapter ses pages d'accueil à chaque client, selon ses habitudes. Affaire à suivre ! En attendant, un conseil, mettez à la poubelle vos fichiers Cookie.

La législation

Nous avons passé en revue quelques solutions techniques permettant d'assurer une certaine sécurité sur les réseaux. Mais ces solutions doivent, avant leur mise en place, être admises par la législation nationale.

Deux exemples peuvent illustrer les difficultés rencontrées face à la législation, PGP et KERBEROS.

L'affaire PGP (Pretty Good Privacy), s'est déroulée aux USA, il y a un an environ. L'Américain Philippe Zimmermann a diffusé au monde entier, via Internet, un logiciel de chiffrement inviolable, du moins jusqu'à ce jour, baptisé PGP. En diffusant ce code, il s'est doublement rendu coupable aux yeux de la législation nord-américaine :

- d'exportation illégale d'outils cryptographiques. En effet les techniques américaines sont soumises à une licence de l'ITAR (International Trafic Arm Regulation) pour leur exportation, au même titre que des armes ou des munitions. Certains logiciels de chiffrement ont obtenu l'autorisation d'exportation, mais avec des fonctions dégradées : aux USA ces logiciels utilisent des clés possédant un nombre de bits important ; le cryptage DES utilise des clés de 56 bits, soit 2⁵⁶ combinaisons possibles (72.057.594.037.927.936 clés possibles). Statistiquement, il "suffit" d'en essayer la moitié, soit 2⁵⁵ pour trouver la bonne. Mais ils ne peuvent être exportés qu'avec des clés de 40 bits, que les services secrets américains n'ont aucune difficulté à "casser". D'après une étude américaine, pour se protéger contre une attaque ayant des moyens comparables à ceux du gouvernement américain, il faudrait utiliser une clé de 75 bits ;

- d'utilisation illégale d'un logiciel de chiffrement à clé publique sans avoir acquitté les droits d'auteur, car le principe des clés publiques est breveté et propriété de la société RSA.

L'autre exemple est celui du logiciel KERBEROS, qui permet de faire de l'authentification centralisée, en utilisant le système DES à clé secrète.

Pour accéder aux sources des fonctions cryptographiques de KERBEROS, il faut être citoyen américain résidant aux USA. Ne se sont donc répandues hors des USA que des "versions squelettes" de KERBEROS (tous les programmes sources sans la partie cryptographique). En Grande Bretagne, en réponse à ces restrictions, PGPUI (PGP Unofficial International) a été réalisé, qui récrit une partie de cryptage manquant, afin de ne pas tomber sous la coupe de la législation américaine.

En France, comme nous allons le voir, il n'est actuellement même pas possible d'envisager un tel procédé, car la législation s'y oppose. Il y existe, comme dans de nombreux pays, un régime légal qui règlemente la conception et la diffusion de moyens de cryptologie.

La législation (5) française est basée sur l'idée que la cryptologie est une arme de guerre économique, et devrait donc être réservée aux seuls militaires, même sur le territoire national. Jusqu'en 1986, la cryptologie était considérée comme une arme de guerre de deuxième catégorie (dans cette catégorie sont rangés les matériels destinés à être portés ou utilisés au combat comme les armes à feu !).

La loi établit deux régimes :

- pour l'authentification et le contrôle de signature, il faut déposer une simple déclaration, précisant entre autres, le logiciel et l'algorithme de cryptographie utilisés, mais tout de même pas les clés secrètes ;

- pour la confidentialité des informations, une demande d'autorisation doit être déposée auprès du Premier Ministre, via le SCSSI.

C'est ce SCSSI (6) (Service Central pour la Sécurité des Systèmes d'Informations) directement rattaché au SGDN (Secrétariat Général de la Défense Nationale), qui assure l'examen des dossiers.

Les refus d'autorisation n'ont pas à être justifiés. Des autorisations sont accordées à certaines catégories d'organisations, telles que les banques. La version 2 de Netscape, logiciel de navigation sur Internet, intègre le protocole "Secure Courrier" qui permet de sécuriser les transactions financières. Ce moyen de chiffrement a reçu l'agrément du SCSSI. Cependant, il semble que PGP ne soit pas encore autorisé en France alors qu'il est déjà utilisé, car accessible facilement sur Internet, au grand regret des autorités américaines.

Le régime français est probablement un des plus contraignants, digne d'une vision totalitariste ! Certains Etats se limitent à contrôler les exportations (les USA), d'autres, comme les pays de l'Europe du Nord, n'ont pas de règlementation.

En France, sous la pression de l'évolution technologique et des intérêts économiques, la révision des textes a été réalisée dans le cadre de la Réglementation des Télécoms (7).

L'objectif reste de "préserver les intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat", mais avec une précision, riche de sens : "tout en permettant la protection des informations et le développement des communications et des transactions sécurisées".

Il est ainsi précisé que "l'utilisation d'un moyen ou d'une prestation de cryptologie est :

- libre si le moyen ou la prestation de cryptologie ne permet pas d'assurer des fonctions de confidentialité, notamment losqu'il ne peut avoir comme objet que d'authentifier une communication ou d'assurer l'intégrité du message transmis ;

ou si le moyen ou la prestation assure des fonctions de confidentialité et n'utilise que des conventions secrètes gérées selon les procédures et par un organisme agréés dans les conditions définies ;

- soumise à autorisation du Premier Ministre dans les autres cas".

Les modalités d'application de la loi seront fixées par décret, et ne sont donc pas connues à ce jour. La loi retient le principe du séquestre, c'est à dire du dépôt des clés auprès d'une "Tierce Partie de Confiance".

Ce concept est régulièrement évoqué depuis quelque temps à propos du commerce électronique et de la sécurité sur Internet. Il a été introduit aux USA par le projet du gouvernement, Clipper Chip, qui proposait une cryptographie puissante à condition de déposer les clés des équipements en les partageant entre deux centres gérés par des agences gouvernementales. Ainsi la justice pouvait accéder aux clés qui avaient été utilisées dans une communication. Or le projet a été abandonné, les Américains n'en ont pas voulu (8).

Le commerce électronique

Il est défini comme "l'utilisation conjointe et combinée de tous les vecteurs, de tous les supports mis à disposition par les Télécommunications en vue de développer le commerce de l'entreprise, au niveau national, au niveau international si possible" (9).

Un étude récente menée par le consortium américain Commercenet-Nielsen montre que 11% de la population nord-américaine, soit 24 millions d'habitants, sont connectés sur le Net ; parmi eux plus de 13%, soit environ 2,5 millions, ont acheté des produits ou des services grâce au WEB. Ceci tendrait à prouver qu'un marché Internet existe aux USA. Mais la réalité est difficile à cerner. En France, le marché est balbutiant et les données non significatives. Mais la France est un cas particulier du fait de l'existence du Minitel avec 6 millions de terminaux. Un réel commerce existe sur le Minitel : des organismes, tel Degrifftour, n'utilisent que ce média pour leurs transactions commerciales ; plus de 35% du chiffre d'affaire de la CAMIF passe par le Minitel. Qui n'a pas utilisé un jour un de ces services commerciaux, en donnant son numéro de carte bancaire, pour régler un achat rapide et urgent, sans penser qu'aucune sécurité n'est offerte (sauf avec le Minitel à lecteur de carte) ?

Le journal Le Monde, en expérimentant la vente de ses articles sur le serveur Globe on line (10) qui intègre un système de paiement virtuel, espère toucher ainsi 10.000 lecteurs, essentiellement les lecteurs francophones vivant à l'étranger. Dans un secteur prédestiné, celui de la distribution des logiciels, des transactions existent via le téléchargement du logiciel.

Mais selon une analyse de Cap Gemini Sogeti auprès de 47 grands distributeurs européens, les obstacles au développement du commerce électronique ne manquent pas ; l'insécurité des transactions financières est le troisième obstacle, après le nombre d'utilisateurs trop faible et l'absence de cible du marché. Pour la plupart des entreprises, l'impact du commerce sur Internet ne dépassera pas 1 à 2% de leur chiffre d'affaire.

De la multitude des solutions envisagées pour sécuriser le commerce électronique, quelques unes émergent, favorisant la confidentialité de la transaction par carte bancaire, ou intégrant un lecteur de carte à puce, ou encore utilisant un porte-monnaie virtuel :

- le protocole de paiement SET (Secure Electronic Transactions) mis au point par Visa, Mastercard et Microsoft. SET pourrait être intégré à Windows 95 et à Netscape. Ce protocole associe un système de chiffrement des données (avec les algorithmes de chiffrement RSA) à une sécurisation de la transaction qui serait assurée par des tiers certificateurs, gérant les transferts de clés publiques et de clés privées entre le porteur de la carte, le commerçant, la banque du client et la banque du commerçant ;

- la carte à puce pourrrait s'inspirer du système de paiement Facitel existant sur Minitel Magis, seul système de paiement en ligne actuellement sécurisé. Les PC seraient équipés de lecteur de carte à puce, mais la mise en place d'un tel procédé risque d'être longue ;

- plusieurs systèmes de porte-monnaie virtuels existent, Globe ID fonctionne sur la base d'un porte-monnaie virtuel et d'un tiroir-caisse virtuel (un client et un commerçant). Globe ID est administré par une institution financière agréée et offre un système informatique sécurisé par algorithme de cryptage.

La société Kleline, créée en janvier 96, par la Compagnie Bancaire et le groupe LVMH, gère un système de porte-monnaie virtuel à l'aide d'une clé de cryptage de 512 bits. Les pionniers comme les 3 Suisses, Dégriftour, la revue Investir, des quotidiens envisagent d'utiliser le service de Kleline.

Conclusion

Nous venons de voir que les progrès techniques assurant la sécurité, comme la législation, sont amenés à évoluer souvent et rapidement pour faire face aux astuces de piratage.

Toute protection, technique ou législative, présente simultanément un inconvénient contraire. La vidéosurveillance favorise la sécurité aux dépens de la liberté ; les solutions de cryptologie, en permettant de garantir la confidentialité et la protection des transactions, risquent de rendre plus difficiles les contrôles et peut-être de favoriser la criminalité et les mafias.

Entre un haut niveau de protection favorable à la sécurité des échanges commerciaux et à la libre circulation des informations, et les intérêts des Etats, il va être bien difficile de trouver une solution.

Paradoxalement, pour une fois, les intérêts des financiers rejoindraient ceux des libertaires ! Généralement dans les dispositifs sécuritaires qui se mettent en place, on observe des atteintes aux libertés et une augmentation du contrôle par les autorités des Etats. Arguant de la nécessité de nous protéger contre les mafias et les espions, ils instaurent des dispositifs extrêmement contraignants et liberticides dans leurs excès.

Bibliographie

• AUTRET Thierry, SLIGOS, "Tierces parties de confiance mythe ou réalité", SECURICOM, Paris , juin 96
• GONIK Jacques, "Management de la sécurité des systèmes d'information", AFNOR, 1996
• ITEANU Olivier "Internet et le droit : aspects juridiques du commerce électronique", Eyrolles,1996
• LAIDET Alain, Sécurité des paiements : le choix entre protocole SET et carte à puce, 01 Informatique, 24 mai 96
• LATRY-BONNART Catherine, Cabinet BENSOUSSAN, "La fraude sur Internet : aspects juridiques nationaux et internationaux", SECURICOM, Paris, juin 96
• LATRY-BONNART Catherine, Cabinet BENSOUSSAN, "Sur les autoroutes de l'information, le commerce électronique", SECURICOM, Paris, juin 95
• ITEANU Olivier "Internet et le droit : aspects juridiques du commerce électronique", Eyrolles,1996

Notes

• C. Richard, enseignante en informatique, Université Paris nord, membre du CREIS

D. Naulleau, enseignant en informatique, Université P. & M. Curie, membre du CREIS

1. Les protocoles sont des règles régissant les échanges d'informations dans les télécommunications. TCP/IP Transmission Control Protocol/ Internet Protocol

TCP/IP Transmission Control Protocol/ Internet Protocol
2. FTP : File Transfert Protocol. Protocole de transfert de fichiers entre un ordinateur hôte et un terminal, qui fait partie de TCT/IP
3. Le routeur est un système transférant les données entre deux serveurs utilisant le même protocole.
4. Pour BULL, "Access Master", pour ICL, "Access Manager"
5. Loi n° 90-1170 du 29/12/90 et décret d'application n°92-1358 du 28/12/92
6. SCSSI -18 rue du Docteur Zamenhof 92131 Issy les Moulineaux- Tél 41 46 37 20. Un autre organisme, la DISSI a été supprimée récemment.
7. Loi n° 96-659 du 26 juillet 1996 (JO du 27/07/96 pages 11384-11397)
8. Au niveau européen, une réflexion est aussi menée, et un projet de loi relative aux technologies de l'information devrait voir le jour.

Voir : http://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html
9. Catherine Latry-Bonnart, Cabinet BENSOUSSAN
10. http://www.globeonline.fr