Université Paris II Panthéon-Assas
DESS Audit et Expertise en Informatique
Mémoire
Mouchards informatiques
De l’atteinte à la vie privée à l’espionnage des états
Principes, Techniques et Législation
Laure Brignone
Sous la direction de Monsieur Jean Donio
Septembre 2003
Toute reproduction Verbatim de ce présent document dans son intégralité est autorisée sur tout support, pourvu que cette mention soit préservée.
« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
(Article 1er loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)
Le respect de la vie privée : la liberté individuelle. C’est la protection de l’environnement de l’individu sur le plan de l’information, c’est-à-dire le droit de l’individu à contrôler ou agir sur des informations qui peuvent être collectées ou stockées.
Ce dossier est très vaste car il touche à plusieurs sujets liés au monde de l’informatique, à de nombreux points juridiques mais aussi économiques.
La problématique du mouchard informatique ne s’arrête pas aux spywares logiciels, elle inclut également des projets et des technologies. En effet, le vrai problème est que toute technologie liée à l’informatique peut être détournée et devenir un mouchard. De plus, il se situe à deux niveaux : l’intrusion dans les réseaux informatiques (informations stockées) mais aussi l’intrusion sur les réseaux de communication (informations en transit).
Ce sujet soulève plusieurs problématiques :
§ Les problèmes liés à la sécurité, tant au niveau des systèmes d’information que plus globalement ainsi que la confidentialité et l’anonymat.
En effet, l’anonymat et la cryptographie peuvent être une parade à ces mouchards. Pourtant la cryptographie ne sera pas abordée dans ce dossier car il s’agit d’un sujet à part entière, nous y ferons donc simplement référence pour certaines contre-mesures.
Le mouchard est une menace à la confidentialité des informations. Il peut éventuellement toucher la disponibilité lorsqu’il provoque un ralentissement trop important mais cela n’est en général pas visible puisqu’il se veut furtif. Certains peuvent également être une menace à l’intégrité de l’information, en particulier dans le cas des chevaux de Troie.
§ Le modèle économique du net est un grand débat, sa gratuité étant utilisée comme justification aux spywares logiciels mais également des risques d’espionnage économique voire politique.§ La question de la vie privée qui découle du problème de confidentialité : il est difficile de fixer une limite juridique car beaucoup d’éléments entrent en ligne de compte. Ainsi les lois contre la fraude et les techniques mises en œuvre pour assurer une meilleure sécurité vont souvent à l’encontre de la vie privée.
De plus il est difficile de déterminer un périmètre d’analyse des mouchards informatiques, toutes les technologies pouvant être détournées. Il y a donc un problème de terminologie et de périmètre qu’on se propose d’expliciter.
Terminologie
Espiogiciel ou espiologiciel (spyware en anglais) :
Le terme anglais vise toute technologie qui permet de récupérer des informations sur une personne ou une société sans qu’il en soit informé.
En informatique, c’est un module logiciel et par extension un programme permettant de collecter de manière sélective des informations sur ses utilisateurs (configuration matérielle et/ ou logicielle, habitudes d’utilisation, données personnelles…) puis de les transmettre à son concepteur ou à un tiers (régies publicitaires…) via Internet ou tout autre réseau informatique, sans avoir au préalable obtenu une autorisation explicite et éclairée de l’utilisateur, peu importe qu’il y ait ou non un rapprochement entre ces informations et l’identification du dit utilisateur.
Ils se trouvent généralement dans le code d’un programme que l’utilisateur télécharge innocemment sur internet. Dans la plupart des cas se sont des « petits morceaux de code parasites » (routines) intégrés dans le code principal du programme. Ce n’est pas un virus.
Ce terme se réfère surtout, et encore plus dans sa traduction française, aux logiciels servant à regrouper des informations à des fins commerciales. Le terme anglais de spyware peut être utilisé dans un sens plus large, mais l’on préférera ici le terme de mouchard informatique, terme à connotation plus vaste. Cependant il faudra en préciser les limites dans le cadre de ce mémoire, bien que dans le vocabulaire informatique, le terme de mouchard et plus particulièrement de mouchard électronique est surtout utilisé pour définir les cookies.
De façon plus générale, mouchard signifie : indicateur, espion ou nom de certains appareils de contrôle et de surveillance (hachette). Un mouchard dans le sens où nous l’entendons dans ce mémoire est une fonction cachée, résidente, matérielle et/ou logicielle.
Classification
La classification des mouchards informatiques est difficile, puisque toute technique ou technologie informatique peut être détournée à des fins d’espionnage. Si on se situe au niveau des espiogiciels, on peut alors avoir une classification car ils sont répertoriés (pour ceux qui sont connus) dans de nombreuses listes (remises à jour régulièrement).
En revanche, il devient très difficile de définir toutes les techniques pouvant intervenir, d’une part parce que cela couvre l’informatique dans son ensemble et d’autre part, ce domaine évoluant très vite, de nouvelles techniques et des utilisations détournées apparaissent en permanence, ainsi que de nouveaux projets. On a donc répertorié les plus importantes ou en tout cas les plus visibles, mais cette liste est loin d’être exhaustive.
§ Un premier classement pourrait être fait en distinguant ce qui est logiciel (dont le système d’exploitation) du matériel mais il n’est pas pertinent, puisqu’un mouchard matériel est souvent associé à un logiciel, et que ce classement n’inclut pas de distinction entre les solutions dédiées et non dédiées.
§ Classement en fonction de leurs buts et donc des différents acteurs, utilisateurs de ces mouchards :
– les régies publicitaires, éditeurs de logiciels et certains fournisseurs d’accès : ils cherchent à établir des profils d’internautes et à créer d’immenses bases de données regroupant le plus d’informations possible, à des fins commerciales, de marketing et de statistiques. Ils utilisent des spywares logiciels mais aussi les cookies, les web bugs, les guid…
– Les services de renseignement des grands pays industrialisés : à des fins de sécurité ou d’espionnage industriel. Ils utilisent en général toutes les technologies pouvant être détournées de leur utilisation d’origine de manière à pouvoir recouper les informations et retrouver les sources.
– Les hackers, par pure prouesse technique. Ce sont en général eux qui trouvent en premiers les différentes failles et les outils qui peuvent être détournés de leur utilisation originelle. Ce sont également eux qui créent les codes malicieux comme dans notre cas les chevaux de Troie par exemple.
– Les entreprises peuvent utiliser des mouchards ou des outils permettant de tracer l’activité du salarié. Mais cela doit être fait en respectant une législation bien précise et ne doit pas se confondre avec les mesures de sécurité du système informatique de l’entreprise.
Mais ces différents acteurs utilisent des technologies communes.
§ Classement par types de vulnérabilités des systèmes d’information et de communication, moyens permettant de récupérer des informations :
– l’écoute passive : écoute de signaux par interception des liaisons satellitaires ou des faisceaux hertziens, par branchement sur les réseaux filaires ou écoute des réseaux. Ce sont les systèmes d’interception électroniques. C’est l’intrusion sur les réseaux de télécommunication.
– L’écoute active : l’information est fournie par la source en raison de virus informatiques ou de chevaux de Troie introduits dans le système de l’émetteur. Les spywares rentrent aussi dans cette classification. C’est une partie des techniques d’intrusion dans les réseaux informatiques.
– Les intrusions : recherche de l’information au cours des interceptions GSM, attaques lors de télémaintenances, vols de session, usage de portes dérobées (backdoor) dans les systèmes d’exploitation… Nous parlerons très peu de ce point car le sujet porte ici sur les systèmes logiciels ou matériels d’espionnage, les techniques d’intrusions ne seront donc pas abordées.
§ Finalement il nous a paru judicieux d’utiliser une première classification de mouchards dédiés et non dédiés.
Pour subdiviser les mouchards dédiés, nous utiliserons la classification en fonction des buts des acteurs :
– les espiogiciels ou spywares : recherche d’information dans un but commercial,
– les chevaux de Troie : espionnage, pirates informatiques…,
– les programmes d’État : Echelon, Carnivore et autres.
Nous aborderons ensuite toutes les technologies qui peuvent être détournées à des fins de profilage ou d’espionnage : Guid, Cookies et web bugs, fichiers log… mais aussi deux projets à la limite entre sécurité et vie privée, anciennement nommés TCPA et Palladium.
Les justifications de l’utilisation de ces mouchards sont selon leurs types, d’ordre économique ou sécuritaire. Nous verrons pour chacun leurs utilisations et justifications et les atteintes à la vie privée qu’ils peuvent engendrer en fonction des lois en vigueur tant au niveau français qu’européen. Nous aborderons très succinctement les lois américaines dans des points très précis.
Quelques principes juridiques de base sur les données personnelles et le respect de la vie privée
« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. » Convention Européenne de sauvegarde des droits de l’homme et des libertés fondamentales du 4 novembre 1950, article 8
« Chacun a droit au respect de sa vie privée.
Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée ; ces mesures peuvent, s’il y a urgence, être ordonnées en référé. »
Code Civil : Article 9 (loi n°70-643 du 17 juillet 1970)
§ Le traitement des données nominatives dépend de la CNIL (Commission Nationale de l’Informatique et des Libertés), qui est un organe indépendant veillant à l’application de la loi du 06/01/1978. Elle enregistre les plaintes, les instruit et peut prendre des sanctions, en général assez symboliques, mais elle peut aussi dénoncer l’affaire au parquet.
« Une Commission Nationale de l’informatique et des libertés est instituée. Elle est chargée de veiller au respect des dispositions de la présente loi, notamment en informant toutes les personnes concernées de leurs droits et obligations, en se concertant avec elles et contrôlant les applications de l’informatique aux traitements des informations nominatives. La commission dispose à cet effet d’un pouvoir réglementaire, dans les cas prévus par la présente loi. »
(Chapitre 2 de la loi informatique et libertés du 6 janvier 1978)
§ La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés n’interdit pas la création de fichiers nominatifs, mais pour exploiter des données nominatives en tant que personne morale, il faut accomplir une formalité préalable auprès de la CNIL : tout traitement de données personnelles doit être déclaré à la CNIL. Pour le secteur privé une déclaration suffit, la CNIL n’a aucun pouvoir de blocage. Par contre le secteur public doit demander préalablement un avis à la CNIL et si l’avis est défavorable il ne peut passer outre sauf par décret gouvernemental.
Cette loi définit les informations nominatives :
« Sont réputés nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale. »
(Article 4)
Les données nominatives comprennent donc le nom, prénom, adresse, date de naissance, caractéristiques physiques, état civil… mais également une catégorie d’informations qui sont indirectement nominatives c’est à dire qui ne se réfèrent pas directement à la personne mais qui sont liées à elle (adresse IP, les Guid…).
On retrouve une définition proche dans la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, du 24 octobre 1995 :
« «données à caractère personnel», toute information concernant une personne physique identifiée ou identifiable («personne concernée»); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. »
(article 2)
Mais c’est dans la directive 2002/58/CE relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques, du 12 juillet 2002, qu’est précisé le comportement qu’il faut avoir vis à vis des mouchards informatiques : « (24) L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné. »
Une présentation un peu plus précise des directives se trouve dans l’annexe 2 et l’on étudiera plus en détail la loi informatique et liberté lors de la première partie sur les espiogiciels.
Table des matières
Avant propos
– Terminologie
– Classification
– Quelques principes juridiques sur les données personnelles et le respect de la vie privée
1er chapitre : Les Mouchards Dédiés
I / Les mouchards logiciels ou spyware
1.1 / Les moyens de propagation
1.2 / Quelques types de mouchards logiciels
1.2.1. Le spyware de RealJukebox
1.2.2. Le spyware d’ICQ
1.2.3. Alexa ou Related Info
1.2.4. BHO (Browser Helper Objects)
1.3 / L’utilisation de ces informations ou les dispositifs marketing de la net économie
1.4 / Les justifications de leurs usages et le modèle économique du net
1.5 / La législation française et européenne
1.6 / Les licences d’utilisation
1.7 / La détection et les contre-mesures
1.7.1. Prévention
1.7.2. La détection et l’éradication
1.7.3. Le P3P : Platform for Privacy Preferences Projet
II / Les codes malicieux utilisés comme mouchard : Les Chevaux de Troie
2.1 / Principe
2.2 / Classification
2.2.1. Les chevaux de Troie d’administration à distance (RAT)
2.2.2. Les chevaux de Troie FTP
2.2.3. Les chevaux de Troie de mots de passe
2.2.4. Les enregistreurs de touches ou key loggers
2.3 / Les différentes utilisations des chevaux de Troie
2.4/ Détection et éradication
III / Les réseaux d’espionnage d’États ou les systèmes de surveillance et d’interception électronique
3.1 / Le système Échelon
3.1.1. Principe de fonctionnement
3.1.2. Les doutes sur l’espionnage économique
3.1.3. Le problème des libertés individuelles : les atteintes à la vie privée
3.1.4. Les limites du système Échelon
3.2 / Carnivore ou DCS1000
3.2.1. Historique du projet et validité vis à vis de la loi
3.2.2. Principe
3.3 / Les autres projets d’États
3.3.1. Suisse : Satos-3
3.3.2. France : surnommé Frenchelon par les anglo-saxons
3.3.3. Russie : Sorm-2 (System of Efficient Research Mesures)
3.3.4. Les autres pays
3.4/ La législation française sur le sujet
2ème chapitre : Utilisations détournées, abusives de ressources normales
I / Les Guid (Global Unique Identifier)
II / Les cookies et Web bugs
2.1 / Les cookies (ou témoins de connexion)
2.1.1. Fonctionnement
2.1.2. Utilisation
2.1.3. Les moyens de prévention contre une utilisation abusive
2.2 / Les Web bugs ou 1-pixel gifs (pixels invisibles)
2.3 / La législation
III / Les fichiers logs
3.1 / La législation française sur les fichiers logs
3.2 / Les « recommandations » du G8 sur les logs de connexion
IV / Les autres ressources à risque
4.1 / Les VBScripts, la technologie Active X et les CGI
4.1.1. Les scripts CGI (Common Gateway Interface)
4.1.2. Les VBScripts
4.1.3. La technologie Active X
4.2 / Les failles de logiciels et systèmes d’exploitation
4.3 / Les réseaux sans fil
V / Les contre-mesures
5.1 / Les firewalls (pare feu) : protecteur ou espion ?
5.2 / Les proxies et techniques d’anonymat
5.3 /Les projets sécuritaires : TCG et Palladium
5.3.1. Le Trust Computing Group et TCPA
5.3.2. Le NGSCB ou Palladium
5.3.3. Les buts de ces projets
5.3.4. Les risques économiques
5.3.5. La possibilité de désactivation
5.3.6.Au niveau du droitConclusion
