Les fichiers LOG et à l’espionnage Internet

By 23 September 2012

III / Les fichiers LOG

Au niveau d’un serveur, un fichier log est un fichier enregistrant les opérations des utilisateurs, qui contient donc les informations de connexion. Ce sont les logs de connexion.
De manière plus générale c’est un journal des événements s’étant produits sur un système.

C’est le premier aspect de la vie privée : les échanges de mails passent par des ressources publiques.
Ces fichiers peuvent permettre de retracer ce qui a été fait sur un ordinateur ou les recherches effectuées sur Internet : ce sont toutes les données techniques qui servent à identifier le moindre échange d’un utilisateur sur tout type de réseau, véritables profils intimes de correspondances privées. Les FAI peuvent retracer ainsi toutes les activités d’un utilisateur dans le cas d’une enquête.

Ce sont aussi les traces au niveau applicatif dans les entreprises : ils peuvent être un moyen de contrôle de l’activité des salariés.

3.1/ La législation française sur les fichiers log

Les autorités demandent aux FAI de conserver ces fichiers à des fins préventives : décrets portant sur l’article 29 de la LSQ, loi relative à la sécurité quotidienne du 15 novembre 2001. La LSQ ordonne aux prestataires de services (FAI) de conserver les données ou logs de connexion pendant un an :
« II. Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine, dans les limites fixées par le IV, ces catégories de données et la durée de leur conservation, selon l’activité des opérateurs et la nature des communications ainsi que les modalités de compensation, le cas échéant, des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l’État, par les opérateurs. »

Cette loi autorise également les juges à recourir aux « moyens de l’État soumis au secret de la Défense nationale » pour décrypter les messages.

Un article défend tout de même la vie privée, le contenu ne devant pas être étudié et le traçage est interdit :
« IV. Les données conservées et traitées dans les conditions définies aux II et III portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs et sur les caractéristiques techniques des communications assurées par ces derniers.
Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications.
La conservation et le traitement de ces données s’effectuent dans le respect des dispositions de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Les opérateurs prennent toutes mesures pour empêcher une utilisation de ces données à des fins autres que celles prévues au présent article.
»

Par cette loi les fournisseurs d’accès ont l’obligation de garder ces logs durant un an mais certains sont très réticents et n’ont pas encore mis en place ce stockage, le décret d’application n’étant pas encore passé.

« I. Est puni d’un an d’emprisonnement et de 75 000 Euros d’amende le fait pour un opérateur de télécommunications ou ses agents :
1. De ne pas procéder aux opérations tendant à effacer ou à rendre anonymes les données relatives aux communications dans les cas où ces opérations sont prescrites par la loi;
2. De ne pas procéder à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.
»
(Art. L. 39-3.)

3.2/ « Les recommandations » du G8 sur les logs de connexion

Les membres du G8 ont mis en place le 13 et 14 mai 2002 une série de «Recommandations sur le dépistage des communications électroniques transfrontalières dans le cadre des enquêtes sur les activités criminelles et terroristes», document en gestation depuis 1999. Il a pour objectif « d’aider nos organismes de police et de sécurité nationale à localiser et identifier rapidement les criminels et les terroristes qui se servent des réseaux de communication internationaux à des fins illicites». Ainsi, le terrorisme international est la raison principale de ces recommandations : c’est une justification de sécurité nationale des différents états, ce qui selon la loi est une des raisons autorisant les États à intercepter des correspondances personnelles (en France loi du 10 juillet 1991, article 3 cité dans la première partie).

Pourtant le 18 juillet 2002, la commission parlementaire des libertés du citoyen a encore une fois appliqué le principe de droit à l’oubli.

Une liste de 10 points a été établie : les points un à six sont spécifiques au protocole Internet et sont issus d’une liste publiée officiellement par un comité d’experts du Groupe du G8, le 15 mai 2002, et les points 7 à 10 émanent de la réunion du 11 avril à la Haye, siège de Europol (office européen de coopération policière) et concernent la téléphonie fixe et mobile.

Dans les points spécifiques aux protocoles Internet, on trouve : les systèmes d’accès au réseau (SAR), les serveurs de courriel, les serveurs de téléchargement en amont et en aval, les serveurs Web, le réseau USENET, le service de bavardage Internet (IRC).

Pour ce qui est de la téléphonie, le point 7 précise tout ce qui se rapporte aux lignes fixes, le point 8 aux lignes mobiles et satellites, puis un point sur les formats de numéros et le temps synchronisé. (La liste dressée par Europol se trouve en annexe 3.)

L’application de la LSQ et de ces recommandations va demander des capacités de stockage immenses.

Des données personnelles pourront être communiquées à des autorités étrangères et ne seront effacées qu’en cas d’acquittement ou de relaxe. La durée des procédures pénales étant souvent très longues, de nombreuses personnes innocentes seront fichées durant plusieurs années.

La fédération informatique et liberté (FIL) a été créé le 9 juillet 2002 face à cette montée de la surveillance. Elle regroupe une vingtaine d’associations dont reporters sans frontière.

IV / Les autres ressources à risque

4.1/ Les VBScripts, la technologie Active X et les CGI

Les scripts sont des suites de lignes de codes, ce ne sont pas réellement des programmes mais ils peuvent faire exécuter certaines actions à un logiciel.

4.1.1. Les scripts CGI (Common Gateway Interphase)

Programmes situés sur le serveur qui peuvent être exécutés à partir des pages HTML. Ils sont souvent utilisés pour accéder à une base de données, ils permettent l’ exécution de programmes spécifiques sur un serveur. Chaque connexion provoque le lancement, l’exécution, et la fin d’un programme indépendant généralement écrit en C, C++, Perl ou TCL.

Principal trou de sécurité sur un serveur World Wide Web car si l’installation est faite par défaut lors de l’installation d’un site Web, il y a de grande chance d’installer des scripts CGI présentant des trous de sécurité connus. Ces bugs pourront permettre à des pirates informatiques de récupérer des mots de passe ou d’autres informations.

4.1.2. Les VBScripts

Les scripts Virtual Basic sont des scripts dont le code peut être interprété par des applications Microsoft via ActiveX Scripting ou par des contrôles ActiveX présents dans Windows. L’écriture sur le disque dur et dans le registre de Windows est possible contrairement aux Scripts Java.

Par la consultation d’une page web contenant un script Virtual Basic adéquate on peut effectuer des opérations non autorisées, comme l’écriture, la suppression, la modification d’un fichier sur l’ordinateur. En effet un VBScript contenu sur un page html est interprété par défaut par Internet Explorer. Cette faille a été utilisée par des chevaux de Troie, des programmes permettent de créer des pages web implantant automatiquement un cheval de Troie.

4.1.3. La technologie Active X

Technologie propriétaire de Microsoft, permettant l’incorporation de petits programmes à des documents Internet (HTML), lesquels sont exécutés localement par le navigateur.

Les active X sont dangereux parce qu’ils peuvent accéder sans restriction à toutes les ressources du système hôte (on ne peut pas empêcher un active X d’écrire sur le disque ou d’utiliser les ressources réseaux) : cette technologie permet un contrôle du système sur lequel il s’exécute.

Ils sont très utilisés par les pirates ou par des logiciels espions puisqu’il est possible de programmer facilement des vers ou des chevaux de Troie avec des Active X.

Prévention :
– Vérifier la source de l’active X : présence d’un certificat provenant d’une source sure.
– Désactiver la gestion des Active X ou restreindre les possibilités d’exécution des contenus active X dans les logiciels de navigation et de courrier.
– Ne pas engager d’actions d’auto exécution des scripts et des macros dans les logiciels.

4.2/ Les failles de logiciels et systèmes d’exploitation

Il y a trois types de failles logicielles :
– Des fonctions cachées ou non signalées dans la documentation remise à l’utilisateur mais activables par un tiers. Souvent ces fonctions sont anodines et ne relèvent que de l’amusement du concepteur.
– Elles peuvent être également des programmes espions dans les logiciels de commerce : ce sont des fonctions non détectées que l’on appelle alors backdoor ou portes dérobées puisqu’elles permettent à un tiers d’accéder à un ordinateur (cheval de Troie).
– Les bugs ou trou de sécurité fréquemment trouvés dans Internet Explorer ou Windows, qui sont des erreurs de conception engendrant des problèmes plus ou moins importants de sécurité.

Dans tous les cas, ces failles permettent à des tiers de consulter des informations personnelles ou confidentielles. Le Cert d’Intexxia estime que 60% des failles proviennent de lacunes dans les développements. La question de la faille volontaire ou non s’est posée, mais aucune preuve n’a été trouvée, mis à part la découverte de Andrew Fernandes qui identifia dans Windows une ligne de code faisant référence à la NSA. Il semble pourtant que certaines ont été créées sciemment, la question est alors plus de savoir à quelles fins, commerciales ou d’espionnage.

Les utilisateurs ne sont pas assez sensibilisés aux risques qu’elles entraînent et ils oublient souvent d’installer les nouveaux correctifs. Mais les alertes permanentes tuent l’information : elles sont trop nombreuses et les utilisateurs ne prennent pas le temps de s’informer.

Une question se pose à ce sujet : faut-il avertir tous les internautes lorsque l’on découvre une faille de sécurité ? Le risque est que d’autres personnes ne l’ayant pas découverte s’en servent avant que le correctif ne soit disponible. Or certains internautes croient bon de propager des informations sur des vulnérabilités plutôt que de prévenir d’abord l’éditeur. Cela s’ajoute au nombre des alertes suffisamment important et créé un danger encore plus grand.

4.3/ Les réseaux sans fil (WLAN)

L’émergence des réseaux sans fils, ou Wireless Local Area Network, pose des problèmes de sécurité, car les technologies de sécurité s’y référents ne sont pas encore au point et parce que le public n’est pas encore assez sensibilisé aux problèmes de sécurité liés qu’elles entraînent.

§ Les risques des procédés utilisant la transmission radio sont de plusieurs ordres :
– Les communications peuvent être captées ou écoutées : avec un ordinateur portable équipé d’une carte 802.11 (Wi-fi) on peut capter certains réseaux de grandes entreprises !
– Elles permettent une usurpation d’accès sur l’ordinateur et d’avoir accès à toutes les données résidant sur le disque dur.
– Elles peuvent être brouillées car la ressource des fréquences radio est partagée donc saturable.
– Facilité et faible coût de mise en œuvre : des réseaux pirates sont très simple à mettre en oeuvre. Avec un peu de connaissances techniques sur le branchement des câbles, il est facile de raccorder un réseau sans fil (WLAN) au réseau LAN (Local Area Network).
– Connexion accidentelle : les portables qui ont cette ressource, si celle-ci n’est pas désactivée, risque de se connecter par erreur à un réseau sans fil. C’est ce qui s’est passé à Londres lorsque le RSA a mis en place des « pot de miel » (leurre) pour tester la sécurité de ces réseaux. 75% des personnes qui se sont connectées sur ce leurre l’ont fait par accident et sans le savoir. Cela serait dû à Windows XP qui détecte automatiquement les réseaux sans fil avoisinants et s’y connecte par défaut.

§ La technologie sans fil Wi-fi (Wireless Fidelity) correspond aux normes de communication radioélectrique 802.11. La 802.11b repose sur des fréquences (2,4 GHz) qui étaient à l’origine réservées à l’armée.

Si ce genre de réseau n’est pas protégé, il suffit simplement d’un ordinateur portable, qui peut espionner le réseau à distance ou un accès internet. En effet, le Wi-fi tel quel, n’a pas de barrière de sécurité, il faut absolument utiliser un logiciel de chiffrement. Le problème actuel est que beaucoup de gens l’oublient encore ou ne sont pas assez sensibilisés sur ce point. De plus les normes de fonctionnement des réseaux Wi-fi n’intègrent pas les mesures de cryptage qui seraient nécessaires. Les normes 802.11a et b présentent de sérieuses lacunes en matière de sécurité et donc de confidentialité. C’est pour cela que de nouvelles normes dont la 802.11i sont en cours d’élaboration, normes qui intégreraient des procédés de cryptage et d’authentification plus robustes.

§ Mesures préventives :
– ne pas laisser les ordinateurs personnels allumés et connectés en permanence au réseau local radio.
– Mettre en place une liste de contrôle d’accès énumérant les adresses physiques des cartes Wi-fi utilisées (@mac).
– Système de pare feu entre le réseau sans fil et le réseau local préexistant.
– Une architecture VPN (Virtual Private Network) convient encore mieux : en effet un réseau privée virtuel est déjà une protection importante puisque ce sont des canaux sécurisés.
– Sensibilisation des utilisateurs aux risques potentiels des réseaux sans fil.

Dans les entreprises une politique concernant le sans-fil doit être définie (pour les plates- formes et les périphériques) comprenant une politique utilisateur.

§ Le cadre légal :
Le Wi-fi en France n’est pas encore d’un usage libre en espace public ou en plein air. Le législateur autorise les fournisseurs de services à installer des bornes d’accès (AP) 2,4 GHz sous certaines conditions et dans certains départements.

Les opérateurs voulant offrir des services au public doivent demander une autorisation, gratuite et temporaire. Les demandes sont soumises à l’approbation du ministère de la Défense afin de ne pas perturber les réseaux militaires.

Lire le mémoire complet ==> (Mouchard informatique
De l’atteinte à la vie privée à l’espionnage d’État – Principes, Techniques et Législation
)

Mémoire – DESS Audit et Expertise en Informatique
Université Paris II Panthéon-Assas