Compte rendu de l’événement Traçabilité et Monitoring
Nathalie Iffam, I-TRACING
Forum ATENA est une jeune association œuvrant pour le soutien du dynamisme des NTIC, et a dans ce cadre créé plusieurs ateliers thématiques afin de présenter et débattre des problématiques et réflexions autour de sujets d’actualité dans le monde des Systèmes d’Information, monde oh combien complexifié par la dématérialisation croissante de potentiellement… tout. Ainsi, l’atelier Sécurité de Forum ATENA, présidé par M. Gérard PELIKS, a organisé le 12 février dernier une conférence-débat autour de la Traçabilité et le Monitoring, un thème qui fait souvent peur et que l’on a du mal à cerner. L’essentiel de la conférence a porté sur l’utilisation des traces, tant dans le monde judiciaire que dans le monde de l’entreprise, la finalité étant de bien entendu comprendre les enjeux et les problématiques liés.
L’évènement a eu lieu à l’EPF (Ecole Polytechnique Féminine, pour ceux qui auraient oublié), et des intervenants prestigieux sont venus nous présenter l’état de l’art en matière de traçabilité, de Georges de Souqual de l’OCLCTIC (Direction Centrale de la Police Judiciaire) sur la Cybercriminalité, à la légalité de la traçabilité des flux en entreprise avec Maître Olivier ITEANU, en passant par la confusion générée par le mot Traces en entreprise, et les problématiques posées par les Traces pour l’investigation judiciaire, sans oublier un tour d’horizon sur les solutions et les professionnels du secteur, un portrait robot complet a été tracé de la … traçabilité.
Retour sur un après-midi passionnant.
La Cybercriminalité et l’Enquête Judiciaire – Georges de Souqual – OCLTIC, Office de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication
Georges de Souqual, Commandant en poste à l’OCLCTIC, est venu nous présenter les spécificités des enquêtes judiciaires sur la cybercriminalité, et nous a notamment présenté l’importance des traces dans un tel domaine, ainsi donc que les difficultés inhérentes à cette activité très spécifique, mais aussi critique eut égard à l’évolution du monde d’aujourd’hui
Il faut tout d’abord savoir que l’OCLCTIC a pour but de lutter contre la cybercriminalité, et intervient donc de deux manières différentes sur cette problématique :
- En effectuant les Enquêtes Judiciaires concernant les infractions liées à la haute technologie : il s’agit ici pour l’OCLCTIC d’enquêter sur les infractions liées aux technologies elles-mêmes, sur les infractions liées à l’utilisation des technologies (ex : fraudes à la carte bancaire), et sur les infractions facilitées par l’utilisation des technologies (ex : virements frauduleux).
- En effectuant des travaux d’investigations techniques à l’occasion d’enquêtes judiciaires : il s’agit ici pour l’OCLCTIC d’apporter un concours technique dans le cadre d’enquêtes judiciaires plus étendues, par exemple dans le cadre de la lutte contre le terrorisme.
Lors de son intervention, Georges de Souqual a souligné les difficultés rencontrées par la nature même de la cybercriminalité. Tout d’abord immatérielle, la lutte est d’autant plus difficile que les éléments de preuve sont fugaces, intangibles. Ces éléments de preuve sont bien évidemment les traces laissées sur les SI, qu’il s’agit dès lors de collecter quand celles-ci sont encore présentes, et la difficulté consiste ici non seulement à chercher ces traces au bon endroit, mais aussi à garantir l’intégrité numérique, car sans cela, les preuves ne sont pas recevables.
Dans la plupart des cas, ces éléments sont détenus par les opérateurs et les FAI, qui sont depuis peu soumis à une Directive Européenne leur imposant une durée de conservation minimum des données qui permettent aux autorités d’identifier les adresses IP, les utilisateurs, etc. La cybercriminalité dépassant nos frontières, la coopération internationale entre les autorités et avec les opérateurs est nécessaire, de même que l’uniformisation des obligations légales.
Bien entendu, un certain nombre de limites se posent, tant du point de vue de l’enquête elle-même, que d’un point de vue technique. Malgré un nombre important d’outils et moyens performants (connexion Internet dédiée anonyme, logiciels, bloqueurs, outil de détection des fichiers cryptés, etc.), les difficultés se posent pour l’exploitation immédiate des informations ou sur copie physique. Enfin, malgré les Directives Européennes, les difficultés restent le monopole de détention de l’information technique, la durée de conservation des données, le caractère volatile des données, et bien entendu la problématique des actes illicites commis depuis les cybercafés.
A l’heure actuelle, l’OCLCTIC, c’est près de 200 enquêteurs spécialisés, le BEFTI, près de 200 gendarmes, et la Préfecture de Police, soit près de 500 fonctionnaires de police luttant chaque jour contre cette nouvelle forme de fraude. Mais il y a encore du travail au niveau européen notamment pour accroître l’efficacité des enquêtes.
DE LA CONFUSION GENEREE PAR L’EMPLOI DU MOT « TRAÇABILITE » – LAZARO PEJSACHOWICZ – RSSI CNAM TS
Lazaro Pejsachowicz, en charge notamment de la Sécurité des Systèmes d’Information de la CNAM TS, connaît bien les problématiques rencontrées en matière de gestion et d’utilisation des traces en entreprise.
A été notamment soulignée la confusion qu’il règne dans la problématique : en effet, aujourd’hui, la traçabilité est une problématique qui manque de perspectives, à cause de l’obligation qu’ont les entreprises à produire des traces.
D’une manière générale, une trace est le constat d’un passage ou d’un action, mais bien souvent, on demande aux traces d’avoir des qualités bien plus utiles. Les vraies questions à se poser sont surtout : « qui a conçu les traces ?, qui va les utiliser ?, etc. », car les logiques de conception et les logiques d’utilisation sont différentes, d’où une distorsion/incompatibilité qui peut apparaître.
Il est important de noter que les traces, on s’en sert principalement pour : détecter les anomalies, analyser ou améliorer l’utilisation du système, détecter analyser ou améliorer l’utilisation du système, détecter une tentative d’usage prohibé du système, prouver le bon fonctionnement du SI, attribuer à un acteur la réalisation d’une action sur une info (utilisation la plus importante pour le SI), etc.
Ce qui est le plus important, c’est la qualité des traces : faut-il exiger la centralisation des traces pour la sécurité du SI ? A priori oui, car ces dernières peuvent être supprimées si on les laisse sur le système d’origine. En revanche, il faut que l’administrateur qui les centralise soit différent.
Les traces sont bien sûr importantes pour la détection des actions illégitimes ou frauduleuses. Mais il faut faire attention à ne pas tout réduire à un problème de contrôle d’accès, car les atteintes au SI sont souvent l’œuvre d’utilisateurs habilités !
Egalement la tâche est rendue d’autant plus difficile qu’il n’y a pas de correspondance totale entre les applications à cause des identités intermédiaires, qui rend donc la corrélation plus compliquée à établir.
La Problématique des Traces pour l’Investigation Judiciaire – Lieutenant Colonel Eric Freyssinet – Gendarmerie Nationale
Le Lieutenant Colonel Eric Freyssinet est venu nous faire part de l’utilisation des traces dans le cadre de l’investigation judiciaire, et de ce qu’il résulte quant à l’exploitation des traces en tant qu’élèments de preuve.
En effet, dans les nouvelles formes fraude, la traçabilité est un besoin pour nourrir l’investigation judiciaire, qu’elle soit physique, ou… immatérielle. Seulement voilà, le principe de Locard, appliqué donc au monde physique, ne l’est pas au monde virtuel : les traces sont effaçables! Ce qui rend l’investigation d’autant plus difficile que le cadre légal des enquêtes fixe donc les mêmes droits pour les victimes, que pour les suspects (respect de la vie privée, droit à l’oubli, etc.). Conjugué à cela le syndrome de la boîte noire, et vous obtenez un champ d’action pour l’investigation assez restreint.
La difficulté tient aussi à l’uniformisation des réglementations, au niveau européen et au niveau national. En effet, alors que la réglementation européenne impose une durée de conservation des données a minima, et impose le principe général de l’effacement des données, la réglementation française définit les catégories de données qui doivent être conservées. L’uniformisation est rendue d’autant plus difficile que la Loi pour la Confiance dans l’Economie Numérique vient complexifier la visibilité et l’application des obligations légales, en plus des lois existantes (Code des Postes et Communications Electroniques), redéfinissant le cadre aux données qui doivent être conservées.
Quant à l’accès aux données, il se fait lui aussi dans un cadre bien précis, que ce soit pour les besoins de l’investigation judiciaire (dans le cadre de perquisition et de réquisitions), pour la prévention du terrorisme en visant une personne qualifiée, ou encore pour la sécurité en interceptant uniquement les données en rapport avec l’interception.
Afin d’illustrer ses propos, le Lieutenant Colonel Freyssinet a présenter des cas d’application concrets, quant aux problématiques posées par l’application de la loi, et donc se répercutant sur le travail des enquêteurs. (Je vous propose de vous réferrez aux slides sur le site de Forum ATENA)
Enfin, une conclusion s’impose d’elle même : avoir un dialogue permanent avec tous les acteurs et parties prenantes, afin de garantir cette uniformisation, mais aussi mettre en place un projet d’échanges d’informations sécurisés.
LA LEGALITE DE LA TRAÇABILITE DES FLUX EN ENTREPRISE – MAITRE OLIVIER ITEANU – AVOCAT
Mais dans tout cela, quelles sont les conditions légales de la traçabilité en entreprise? Telle est la question qu’a soulevée Maître Olivier ITEANU lors de son intervention, et à laquelle les réponses légales ont été apportées.
Tout d’abord, une trace est un élément de preuve aux yeux de la justice. En effet, tout mode de preuve est admissible devant les tribunaux, ce qui signifie que tracer les flux pour une entreprise, dès lors confrontée à l’”ouverture” de son patrimoine informationnel, mais aussi exposée à des risques de diverses natures (diffamation, vol de données, fuite d’information, etc.) via le courrier électronique et le web, devient critique.
En effet, l’entreprise court alors un risque juridique, et la responsabilité civile de l’employeur est engagée vis-à-vis des salariés, quant à leur utilisation des outils à leur disposition. La réponse apportée par les entreprises pour gérer au mieux ce risque est de règle générale, la mise en oeuvre d’une charte d’utilisation Internet, mais aussi la mise en oeuvre de cybersurveillance, afin gérer le risque et de collecter des preuves admissibles et licites.
Le cadre de la cybersurveillance est prévu par la loi : en effet, tout ce qui est sur le disque dur est présumé être à caractère professionnel, donc appartenant à l’entreprise, donc susceptible de contrôle. Mais une tolérance légale existe quant à l’usage à titre personnel des biens de l’entreprise. L’employeur a également le droit de contrôler les logs entrants et les logs sortants, ce qui peut même devenir une obligation légale, notamment pour les opérateurs, qui doivent donc conserver les logs techniques de connexion. Il s’agit ici de la LCEN, qui concerne également les FAI. Alors que nous abordons le sujet de la LCEN, Maître Iteanu nous a fait noté l’ambiguité de cette loi : en effet, la formulation est quelque peu ambigüe, et mène à une réelle confusion dans l’application des articles.
La cybersurveillance connaît une constante évolution depuis une dizaine d’années, mais au regard du contexte et des dispositifs légaux (amibigüs et parfois contradictoires), peut-être faut-il s’attendre à un retour de bâton….
La Parole aux Partenaires
VERIZON – WALLIX – WEBSENSE
- VERIZON Business
Pour Verizon, il y a plusieurs façons de faire de la veille en sécurité, et une question à se poser est donc : “Comment les traces peuvent être utilisées pour améliorer la sécurité?” En effet, pour Verizon, il est primordial de détecter des risques, et non pas seulement une attaque, et il est important en matière de sécurité, de surveiller les systèmes qui vont vers l’application.
Verizon ayant de grands domaines d’expertise, allez sur : www.verizonbusiness.com!
- WALLIX
Wallix est un éditeur français spécialisé dans les produits de sécurité informatique, et plus particulièrement sur les problématiques d’infrastructure. Wallix a donc crée des solutions qui répondent à différents besoins en matière de sécurité des systèmes d’information, et notamment en matière de traçabilité.
Wallix a présenté ses solutions : en effet, l’une des grosses problématiques des entreprises est de pouvoir tracer les actions des administrateurs sur les équipements réseaux et applications sensibles, mais l’analyse des logs ne suffit pas, et il faut souvent aller au-delà… D’où des solutions par type de problématique, que ce soit en traçabilité, sécurité, supervision, ou gestion de logs.
Bref, pour toutes les informations dont vous avez besoin, allez directement sur www.wallix.com !
- WEBSENSE
Websense est une société américaine spécialisée dans le filtrage web, et les solutions de sécurité Web. Lors de cette conférence Websense, a notamment insisté sur différenciation entre une fuite d’information et un processus métier. En effet Websense permet de restreindre au strict nécessaire les activités informatiques d’une entreprise, selon 4 critères : Qui manipule ? Quelle donnée ? Pour la mettre Où ? Et de Quelle manière ? Cette précaution évite les activités non conformes, volontaires ou accidentelles. La traçabilité des activités n’en est qu’améliorée.
Plus de détails sur : www.websense.com
Table Ronde
ANIMEE PAR ET AVEC LES INTERVENANTS ET LES ORGANISATEURS DE LA CONFERENCE DEBAT
Question n° 1 : Il y a plusieurs types de logs, et parmi eux les logs techniques. Que dit la CNIL à propos de ceux-là?
Réponse : Dès qu’il y a des données nominatives, il faut les déclarer à la CNIL.
Il faut aussi prendre en compte les modifications de la loi. Mais aussi ne pas oublier que les CIL (Correspondants Informatique er Liberté) existent, et qu’il peuvent donc être d’une aide précieuse pour tout ce qui concerne les déclarations. Nommer un CIL peut simplifier la tâche dans les déclarations notamment.
Question n°2 : La tendance est aujourd’hui à la dispersion/mondialisation dans l’utilisation de l’Internet pour les communications, par exemple. Ainsi, on retrouve des serveurs aux quatre coins du monde, ce qui doit rendre la traçabilité extrêmement difficile. Dans ce contexte, quelle vitesse va la capacité des autorités à suivre la tendance ?
Réponse : Skype ne conserve aucune donnée, car il s’agit de conversation de pairs à pairs, ce qui pose de vrais problèmes en matière de traçabilité. En revanche, en ce qui concerne TOR, des solutions existent pour trouver l’information utile pour mener les investigations. Le vrai travail se situe dans la recherche des solutions, et dans l’utilisation de TOR pour les besoins de l’enquête.
Egalement, il y a possibilité de demander aux autorités légales les données grâce à la réglementation européenne.
Enfin, il faut éviter les découragements. La criminalité est l’affaire de la Police. En conséquence, il ne faut pas hésiter à porter plainte, en tant qu’entreprise.
Question n°3 : Le mail constitue –t-il une véritable preuve juridique, à cause notamment de la conservation des données?
Réponse : En fait, il s’agit davantage d’une conjonction de plusieurs éléments pour attester. La preuve est libre en droit pénal, le mail peut donc faire partie d’un faisceau de preuves. En revanche, en ce qui concerne le droit commercial et civil, les choses sont légèrement différentes, puisqu’il y a un niveau de formalisme plus élevé. Tout n’est pas réglable par mail.
Question/Remarque n°4 : Dans une entreprise, un hacker démasqué a été licencié. Lors des échanges de mail entre l’employeur et son avocat, un mail concernant le licenciement a été intercepté par le hacker en question, et en a donc changé le contenu, en sa faveur. Il n’y avait pas d’authentification forte, ni d’horodatage, il aurait donc pu être recevable en tant que preuve, pour le hacker. Mais par la suite, il s’est avéré que ce mail n’était pas à valeur probante car dans l’historique résidait bien l’original de l’email envoyé par l’employeur.
Question n°5 : Les problématiques de conformité actuelles viennent pour la plupart des loi anti-terroristes, anti blanchiment d’argent. Y-a-t-il d’autres législations sans rapport avec le terrorisme?
Réponse : La LSQ (Loi Sécurité Quotidienne) date de 2001, mais est antérieure aux événements du 11 Septembre. Aussi la réglementation n’a-t-elle aucun rapport avec ces événements. Il est important de noter que le nombre de dépôts de plainte est trop faible par rapport au nombre d’attaques réelles. Aussi, il n’y a que l’obligation légale qui pourra y pallier. Il faut communiquer sur les attaques pour renverser la mécanique, développer une autre culture, et pour cela,la loi est la seule solution.
Egalement, aujourd’hui, il n’y a pas de législation européenne qui oblige à communiquer sur la fuite d’information. En revanche, c’est bel et bien le cas aux USA.
Enfin, il est à noter que les commerçants sont très sensibles aux problématiques de communication car si attaque il y a, cela se traduit automatiquement par une baisse du chiffre d’affaires.
Question n°6 : Aujourd’hui on assiste à une dématérialisation croissante des documents bancaires et commerciaux, qui sont donc échangés, envoyés, etc. Comment, dans un monde totalement informatisé, peut-on retrouver l’original?
Question n°7 : Est ce que les CERT collectent des traces?
Réponse : Non, ce n’est pas leur fonction.
Question n°8 : Comment cela se passe-t-il quand les investigations légales mènent à l’étranger?
Réponse : En général, bien.