L'Internet semble devenir un repaire de truands qui sont d・ermin・ ?exploiter ?nbsp;la confiance injustifi・ ?que les usagers placent dans ce r・eau, estime M. Cross. Il ajoute que la reproduction des logiciels donne aux individus m・e peu f・us de technologie les moyens de mener des cyberattaques aux effets d・astateurs.

La vuln・abilit?associ・ ?l'Internet pr・ente des risques pour les pouvoirs publics, l'arm・, le commerce et les usagers peu enclins ?la m・iance. L'Internet est un monde complexe et dynamique de r・eaux interconnect・, d・ourvu de limites bien d・inies et de contr・e central. Comme les questions de s・urit?interne n'ont pas ・?envisag・s au moment de la conception de l'Internet, il est difficile aujourd'hui de garantir l'int・rit? la disponibilit?et la confidentialit?des informations.

Il s'agit l?pourtant de consid・ations importantes, parce que l'Internet est en passe de remplacer d'autres formes de communication ・ectronique et qu'il se d・eloppe ?un rythme ph・om・al. Parall・ement ?cette expansion, les intrus ont acc・ ?des outils de plus en plus perfectionn・, lesquels sont de surcro・ de plus en plus faciles ?trouver et ? utiliser. Pour la premi・e fois, les intrus arrivent ?mettre au point des techniques qui leur permettent de s'approprier la puissance des centaines de milliers de syst・es vuln・ables sur l'Internet.

Voici quelques exemples d'incidents de s・urit?informatique qui ont ・?relat・ dans la presse. Outre ces exemples, le centre de coordination des ・uipes d'intervention en cas d'attaque informatique, d・omm?le CERT/CC, enqu・e sur les cas d'intrusion qui lui sont signal・ par les sites de commerce ・ectronique, ce qui se produit tous les jours.

Un intrus a obtenu 100.000 num・os de cartes bancaires en fur・ant dans les fichiers informatiques d'une douzaine d'entreprises qui vendent leurs produits en ligne. Comme les ouvertures de cr・it oscillaient entre 2.000 dollars et 25.000 dollars, le vol pouvait se chiffrer ?1 milliard de dollars. L'intrus s'est fait prendre lorsqu'il a essay?de vendre ces num・os ?ce qu'il croyait ・re un r・eau de criminalit?organis・, alors qu'il s'agissait du FBI.

Des intrus ont r・ssi ?s'introduire dans les fichiers informatiques confidentiels d'une grande soci・?am・icaine. Cette derni・e s'est r・・・ incapable de d・ouvrir la strat・ie utilis・ pour l'intrusion. Contrainte d'isoler son site du r・eau pendant 72 heures ?titre de pr・aution, elle a en m・e temps bloqu?son acc・ aux usagers l・itimes et emp・h?ses clients de prendre connaissance des informations qu'elle communiquait normalement sur le r・eau.

On cite m・e un cas d'extorsion dans le cyberespace : un intrus, qui avait obtenu 300.000 num・os de cartes bancaires par le vol de fichiers informatiques d'un disquaire en ligne, a envoy?un courrier ・ectronique au New York Times en se vantant d'avoir acc・?aux donn・s financi・es de cette entreprise, dont le logiciel comportait une faille qu'il avait su exploiter. Ensuite, l'intrus, qui disait ・re un jeune Russe de 19 ans, a exig?de l'entreprise la somme de 100.000 dollars, en contrepartie de quoi il aurait d・ruit les fichiers confidentiels qu'il d・enait. Lorsque l'entreprise a refus?de c・er au chantage, l'intrus a diffus?sur l'Internet des milliers de num・os de cartes bancaires, ce qui a fait le plus grand tort ?l'entreprise du point de vue publicitaire. Les sp・ialistes ne savent toujours pas comment l'intrusion s'est produite et ils n'ont pas encore mesur?pleinement les r・ercussions de cette intrusion pour les clients du site touch? Les institutions financi・es ・ettrices ont annul?et remplac?les cartes bancaires dont le num・o avait ・?vol?et elles en ont avis?les titulaires par courrier ・ectronique. Selon les sp・ialistes, de nombreux cas d'intrusion ne seraient jamais signal・.

En mars 2000, un groupe d'intrus du Royaume-Uni se sont introduits dans les syst・es informatiques d'une douzaine au moins de multinationales et ils ont subtilis?des fichiers confidentiels. Jamais aucune entreprise britannique n'avait ・?victime d'une attaque syst・atique aussi grave. Les intrus ont exig?des ran・ns, certaines atteignant jusqu'?10 millions de livres, en ・hange de la remise des fichiers. Scotland Yard et le FBI enqu・ent et suivent de tr・ pr・ les messages ・ectroniques qui sont ・hang・ entre l'Angleterre et l'Ecosse. Les enqu・eurs sont convaincus d'avoir affaire ?un groupe de professionnels qui pourraient agir pour des interm・iaires sp・ialis・ dans l'espionnage commercial.

Si la mission m・e du CERT/CC ne suffisait pas ?nous en convaincre, les exemples ci-dessus montrent clairement qu'il nous reste encore beaucoup ?faire pour garantir l'int・rit?de nos r・eaux ・ectroniques de fa・n ?r・ondre aux besoins du commerce ・ectronique, qui est en pleine expansion. D'ores et d・? on peut prendre des mesures susceptibles de r・uire le risque de failles dans les syst・es de s・urit? dont les r・ercussions sont si lourdes pour les entreprises qui tentent de s'implanter sur le march? ・ectronique.

La puissance de s・uction de l'Internet aupr・ des intrus

Par rapport aux autres infrastructures vitales, l'Internet semble ・re une p・ini・e virtuelle d'attaquants. Si certaines intrusions rel・ent du simple d・ir de s'introduire dans un syst・e, juste pour le plaisir d'y aller (c'est le cas, par exemple, de jeunes qui veulent tester la capacit?du r・eau), alors que d'autres visent ?nuire, toutes peuvent avoir des cons・uences pr・udiciables dans la mesure o?elles emp・hent les transactions commerciales de se faire sur le r・eau. Les intrus obtiennent un acc・ privil・i??un syst・e qui passe alors sous leur contr・e. Ils peuvent ensuite se servir de ce syst・e pour mener des attaques contre d'autres sites ou comme maillon dans la distribution d'outils d'intrusion par le syst・e lui-m・e, ce qui permet de faire intervenir un grand nombre de sites simultan・ent, ceux-ci attaquant tous en m・e temps un h・e ou un r・eau, voire plusieurs. D'autres attaques, encore, sont con・es pour obtenir des informations n・ralgiques, des mots de passe ou des secrets commerciaux par exemple. On peut trouver des strat・ies sp・ifiques d'attaque dans les bulletins du CERT/CC, qui sont publi・ en ligne ?l'adresse www.cert org. Malheureusement, les attaques contre l'Internet en g・・al, et en particulier celles qui visent ?bloquer l'acc・ aux services - autrement dit, ?emp・her des usagers l・itimes d'utiliser un service - demeurent faciles ? mener, difficiles ?・ucider et sans gros risque pour l'intrus.

S'il est facile de corrompre l'Internet, c'est que ses utilisateurs accordent au r・eau une confiance injustifi・. Souvent, les entreprises qui ont un site ne sont pas conscientes du degr?de confiance qu'elles placent dans l'infrastructure de l'Internet et ses protocoles. Malheureusement, l'Internet a ・?con・ au d・art pour r・ister ?des attaques ou ?des ・・ements ext・ieurs ?l'infrastructure du r・eau ?c'est-?dire ?des attaques mat・ielles contre les c・les et les ordinateurs qui composent le syst・e. Il n'a pas ・?con・ pour r・ister aux actes de malveillance qui viennent de l'int・ieur, autrement dit qui sont le fait d'individus faisant partie du r・eau. Or, maintenant que l'Internet regroupe autant de sites, ses initi・ se comptent par millions.

Les attaques contre l'Internet sont un jeu d'enfant pour d'autres raisons. Il est vrai que certaines n・essitent des connaissances techniques ?d'un niveau ・uivalent ?celui d'un ・udiant titulaire d'un dipl・e en informatique ?mais il ne faut pas oublier que m・e des individus peu f・us sur le plan technique sont capables de mener ?bien un grand nombre d'intrusions. Ceux qui poss・ent les comp・ences n・essaires reproduisent leurs logiciels et les informations utiles en les pr・entant sous une forme facile d'emploi et peu co・euse, si bien que les novices peuvent faire autant de mal que les sp・ialistes.

La difficult?de remonter ?la source des attaques

?l'aide d'une technique connue sous le nom anglais IP spoofing, les intrus peuvent masquer leur identit?et leur emplacement sur le r・eau. Les donn・s qui circulent sur l'Internet sont transmises dans des paquets d'information, dont chacun contient des informations sur l'origine et la destination de ces donn・s. On peut comparer un paquet d'information ?une carte postale ?l'exp・iteur inscrit une adresse qui est cens・ ・re la sienne, mais elle ne l'est pas n・essairement. L'Internet est con・ de mani・e ?rapprocher chacun de ces paquets de leur destination finale, sans chercher ? garder la trace de leur origine. Il n'y a m・e pas de cachet qui en indiquerait la provenance de mani・e ne serait-ce que g・・ale. Pour garder la trace de ces paquets dans le cas d'une attaque, il faut pouvoir compter sur l'・roite collaboration des sites touch・ et poss・er du mat・iel tr・ moderne.

En outre, l'Internet est con・ de mani・e ?faciliter le transfert de ces paquets par-del? les fronti・es g・graphiques, administratives et politiques. D・ lors, pour remonter la fili・e d'une attaque, on peut avoir besoin de la coop・ation d・une multitude d・entreprises et d・organismes, dont la plupart sont peu enclins ?investir le temps et les ressources n・essaires pour d・usquer les intrus, parce qu'ils ne sont pas directement touch・. La n・essit?m・e de la coop・ation internationale conf・e ainsi aux attaquants une mesure suppl・entaire de s・urit? d'autant que les enqu・es judiciaires se heurtent ?un certain nombre de difficult・.

Comme un intrus peut mener une attaque contre l'Internet sans avoir ?・re physiquement pr・ent sur le site, le risque qu'il soit identifi?se trouve r・uit. En outre, on ne sait pas toujours quels ・・ements devraient susciter des inqui・udes. Par exemple, il n'est pas inconcevable que les recherches et les attaques qui ・houent soient des activit・ l・itimes de responsables de r・eaux soucieux de v・ifier la s・urit?de leurs syst・es. M・e lorsque les entreprises sont ?l'aff・ des activit・ ill・itimes, ce qui est le cas d'une minorit?seulement des sites raccord・ ?l'Internet, les intrusions passent souvent inaper・es parce qu'il est difficile d'identifier les activit・ illicites. En outre, comme les intrus franchissent de multiples domaines g・graphiques et juridiques, les poursuites judiciaires se r・・ent probl・atiques.

Les r・ercussions des failles dans les syst・es de s・urit?/B>

Comme le montrent les exemples cit・ au d・ut de cet article, les failles ou les faiblesses des syst・es de s・urit?peuvent faire perdre du temps et des ressources aux entreprises, dont le personnel doit effectuer des recherches pour ・aluer l'ampleur des d・・s caus・ et les dommages potentiels ainsi que pour restaurer les syst・es. Ceux-ci peuvent fonctionner de mani・e r・uite, voire ne pas ・re disponibles du tout, pendant un certain temps. Des informations n・ralgiques risquent d'・re divulgu・s ou modifi・s, et il faut craindre la perte de confiance du public. Apr・ une intrusion r・ssie, il peut ・re tr・ difficile, voire impossible, de d・erminer pr・is・ent les dommages subtils qui pourraient persister. La confiance du public risque d'・re entam・ m・e si l'intrus ne cause aucun d・・, parce que le site attaqu?ne peut pas le prouver.

Les attaques faites pour bloquer l'acc・ aux services et pour divulguer des informations n・ralgiques se r・・ent particuli・ement graves pour les entreprises. Ceux qui s'en rendent coupables cherchent non pas ?obtenir un acc・ non autoris??des machines ou ?des donn・s, mais ?emp・her des utilisateurs l・itimes de se servir du syst・e. Ces attaques rev・ent diverses formes. Les attaquants peuvent mitrailler de donn・s un r・eau ou consommer d・ib・・ent une ressource en quantit?limit・. Ils peuvent aussi perturber les composantes mat・ielles du r・eau ou manipuler les donn・s en transit, y compris les donn・s cod・s. Une fois qu'une attaque de cette nature a ・? contr・ et que le service a ・?r・abli, les utilisateurs retrouvent g・・alement confiance dans le site vis? En revanche, la divulgation d'informations n・ralgiques risque fort de faire na・re une profonde m・iance.

Quelques solutions recommand・s

Au vu de la gravit?et de la complexit?du probl・e, il convient d'envisager toute une panoplie de mesures pour att・uer les risques associ・ ?la d・endance croissante de l'Internet et ?la possibilit?d'une attaque soutenue contre le r・eau. Pour ・re efficaces, les solutions doivent passer par une coop・ation multidisciplinaire qui inclut l'・hange d'informations et le d・eloppement concomitant de solutions de grande envergure ainsi que le soutien d'un programme de recherche ?long terme.

La collecte, l'analyse et la diss・ination des donn・s sur la garantie de l'information : la nature des menaces visant l'Internet se modifie rapidement et il continuera d'en ・re ainsi pendant un avenir pr・isible. La conjugaison des mutations techniques rapides, de l'expansion rapide de l'utilisation du r・eau et de la multiplicit?des emplois possibles de l'Internet, toujours nouveaux et souvent stup・iants, cr・ une situation incertaine dans laquelle la nature des menaces et des vuln・abilit・ est difficile ? ・aluer et plus difficile encore ?pr・ire.

Pour favoriser la survie de l'Internet, et celle de l'infrastructure de l'information dans son ensemble, il est essentiel que les organes charg・ de l'application des lois et les ・uipes d'intervention en cas d'attaques informatiques continuent de veiller au grain et qu'ils s'emploient ?suivre de pr・ les vuln・abilit・ du cyberespace, ?identifier les tendances en mati・e d'intrusion et ?diffuser largement cette information parmi l'ensemble des usagers de l'Internet.

Le d・eloppement et l'emploi de m・anismes mondiaux de d・ection : pour se faire une id・ des menaces qui p・ent ?l'・helle mondiale, on gagnerait ?s'appuyer sur l'exp・ience des ・uipes d'intervention en cas d'incidents en mati・e d'identification des nouvelles menaces et vuln・abilit・. Le CERT/CC, par exemple, pr・e son concours aux administrateurs de syst・es informatiques parmi les usagers du r・eau qui font ・at de probl・es de s・urit? En cas de faille, son personnel aide les administrateurs des sites touch・ ?cerner et ?corriger les vuln・abilit・ qui ont permis ?l'incident de se produire ; il informe les vendeurs des failles dans le syst・e de s・urit?de leurs produits, les aide ?trouver des parades et ?corriger certaines erreurs, et il facilite le suivi des r・onses aux incidents, dont il garde la trace ; enfin, il fait acte de liaison aupr・ des autres sites touch・ par le m・e incident.

Comme le CERT/CC et les autres principaux organismes charg・ du suivi des incidents qui portent atteinte ?la s・urit?des syst・es informatiques sont en mesure de recueillir une quantit?consid・able de donn・s, ils sont ?m・e de cerner les tendances et de coordonner la recherche de solutions aux nouveaux probl・es qui se font jour.

Par ailleurs, les fournisseurs de service devraient cr・r des ・uipes d・intervention en cas d・incidents de s・urit?et mettre au point d'autres services d'am・ioration de la s・urit?pour leurs clients. Sur ce point, beaucoup d'entre eux sont d'ailleurs bien plac・ pour leur proposer des services. Ils devraient notamment les aider ?installer et ?faire fonctionner des connexions s・uris・s ainsi que des m・anismes propres ?assurer la diss・ination rapide des informations relatives aux vuln・abilit・ et aux parades possibles.

L'・ucation et la formation pour renforcer la s・urit?/B> : la plupart des usagers de l'Internet ne comprennent pas plus le c・?technique de ce r・eau que celui des autres infrastructures. De m・e, beaucoup d'administrateurs de syst・es ne poss・ent pas suffisamment de connaissances sur le r・eau et la s・urit?nbsp;; or l'Internet ne cesse de devenir plus complexe et plus dynamique. Pour encourager l'utilisation sans danger de l'informatique, les pouvoirs publics devraient financer le d・eloppement de mat・iel et de programmes ・ucatifs sur le cyberespace qui seraient destin・ ?tous les usagers, aux adultes comme aux enfants, et investir dans des campagnes d'information qui mettraient en relief la n・essit?de dispenser une formation en la mati・e aux administrateurs de syst・es, aux responsables de r・eaux et aux principaux responsables de l'information.

La recherche et le d・eloppement : il faut toujours se placer dans la perspective du long terme et investir dans la recherche pour mettre au point des syst・es et des techniques op・ationnelles de nature ?produire des r・eaux capables de r・ister aux attaques et de prot・er les donn・s n・ralgiques. Pour ce faire, il importe au plus haut point de rechercher des solutions techniques nouvelles et fondamentales et de faire fond sur la pr・ention plut・ que sur la correction des erreurs.