La Cybercriminalité nouveaux enjeux de la protection des données

A. La lutte contre le piratage des données personnelles

Au Canada, et plus particulièrement au Québec, la protection des renseignements personnels est assurée par plusieurs lois. Celles-ci définissent un renseignement personnel comme « tout renseignement qui concerne une personne physique et permet de l'identifier ^21(*) ». Elles posent comme principe tant pour la collecte, la communication et l'utilisation des renseignements personnels, le consentement de la personne concernée, principe qui tombe toutefois face à certains impératifs, comme l'intérêt public ou l'avantage certain de la personne pour la loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels^22(*). Quant aux sanctions prévues par ces lois, l'article 91 de la loi sur la protection des renseignements personnels dans le secteur privé dispose ainsi :

Quiconque recueille, détient, communique à un tiers ou utilise un renseignement personnel sur autrui sans se conformer à une disposition des sections II, III ou IV de la présente loi est passible d'une amende de 1 000 $ à 10 000 $ et, en cas de récidive, d'une amende de 10 000 $ à 20 000 $.^23(*)

À la lecture de cet article, on peut se demander si sont aussi ici visées les compagnies qui communiquent involontairement des renseignements personnels, par exemple lorsqu'elles sont victimes de piratage. Jusqu'à quel point leur responsabilité est-elle engagée? Il semble qu'elle soit plus large que la responsabilité qui incombe aux organismes publics puisque pour ceux-ci la loi prévoit :

Quiconque, sciemment, donne accès à un document ou à un renseignement dont la présente loi ne permet pas la communication ou auquel un organisme public, conformément à la loi, refuse de donner accès, commet une infraction et est passible d'une amende de 200 $ à 1 000 $ et, en cas de récidive, d'une amende de 500 $ à 2 500 $.^24(*)

Contrairement aux dispositions applicables au secteur privé, la loi contient le mot « sciemment », qui exonère l'organisme public de toute responsabilité si l'accès aux renseignements personnels se fait à son insu.

En France, la Loi Informatique et Libertés^25(*) a été profondément modifiée en 2004 pour répondre à l'obligation de transposition de la Directive européenne 95/46 CE du 24 octobre 1995^26(*). La loi prévoit notamment en son article 34 que :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

Le non-respect de ces dispositions par celui qui traite les données personnelles, entreprise commerciale du secteur privé comme organisme public, est sanctionné par une autorité administrative indépendante, la Commission Nationale Informatique et Libertés (CNIL), et peut aller du simple avertissement à la sanction pécuniaire, en passant par la mise en demeure et l'injonction de cesser le traitement des données personnelles.

Comment les gouvernements, mais plus largement les compagnies du secteur privé, peuvent-ils limiter leur responsabilité en cas de vol de données? Les gouvernements sont des cibles de choix pour les cybercriminels, en effet leurs serveurs abritent bien souvent nombre d'informations intéressantes pour eux :

The government sector had the highest overall number of identities exposed during the period, accounting for 60 percent of the total. There were a number of high profile data loss incidents during the period.^27(*)

Les sites les plus «  à risque » sont ceux qui abritent les pages relatives à l'administration électronique, id est ceux qui sont relatifs à tous les services administratifs et auxquels les usagers ont un accès en ligne. Les téléprocédures se développent en effet de façon de plus en plus importante, permettant ainsi aux individus de suivre l'avancement de diverses procédures administratives, de payer leurs impôts en ligne ou de procéder à des demandes d'actes d'état civil. Parmi ces sites, certains revêtent un aspect particulièrement vulnérable selon nous: ceux qui sont relatifs aux données de l'état civil et ceux qui sont relatifs aux données de sécurité sociale. En effet, c'est à partir de ces informations de base qu'un vol d'identité pourra se faire. C'est le principal risque face auquel les Etats doivent être préparés et en mesure de se défendre efficacement.

Brièvement, prenons l'exemple de la France, où il est aujourd'hui possible de faire la demande d'un extrait de naissance en ligne sur les sites Internet de nombreuses municipalités. À partir d'un extrait d'acte de naissance, on pourra faire une demande de carte d'identité ou de passeport. Pour faire une demande d'extrait d'acte de naissance la procédure est simplissime, il suffit de donner ses noms, prénoms, date et lieu de naissance, informations ô combien facile à trouver aujourd'hui, notamment grâce aux réseaux sociaux tels Facebook. Il faut également donner les noms et prénoms des parents, et l'extrait d'acte de naissance est envoyé à l'adresse de votre choix. Pour obtenir une carte d'identité, il suffira de joindre deux photographies d'identité et un justificatif de domicile au formulaire de demande. Ensuite on pourra obtenir un passeport de la même façon. Il est donc enfantin de voler l'identité de quelqu'un pour lequel on dispose des informations basiques.

Le Rapport annuel de Symantec identifie quant à lui les sites relatifs à l'éducation comme les plus sensibles pour ce qui concerne les données de l'état civil, en ce que chaque entité (université par exemple) développe son propre site et qu'il est donc difficile pour le gouvernement d'unifier les politiques de sécurité et de contrôler l'accès aux informations:

Educational institutions store a large amount of personal information on students, faculty, and staff that could be used for the purposes of identity theft, including government-issued identification numbers, names, addresses, and birthdates.^28(*)

Autre information sensible, autre exemple de sites risqués : les sites sur lesquels on trouve des informations relatives à l'assurance maladie et notamment au numéro de Sécurité sociale.

Si ces renseignements ne sont pas protégés de manière optimale, et notamment s'il est facile de s'accaparer l'identité d'une personne ou son numéro de sécurité sociale, il devient facile avec une simple connexion Internet et sans grandes connaissances de voler l'identité d'une personne.

Les sites gouvernementaux et institutionnels, comme les sites des entreprises du secteur privé, peuvent abriter sur leurs serveurs des renseignements à caractère personnel, informations qui ne sont pas forcément accessibles en ligne, mais qui existent sur le réseau et auxquelles on peut accéder si l'on connaît les failles de sécurité de ces réseaux. Il est donc nécessaire de porter une attention toute particulière à la protection des réseaux dits « sensibles » susceptibles d'être la cible de vols massifs d'informations personnelles. Pour cela il convient d'adopter une architecture réseau efficace.

Les failles de sécurité d'un réseau peuvent se retrouver principalement au niveau de l'entrée du réseau, au niveau du serveur, et au niveau des ordinateurs des utilisateurs du réseau. Pour sécuriser l'entrée du réseau « sensible » face aux attaques extérieures (provenant du réseau Internet), en plus du routeur d'accès et de l'utilisation de pare-feu, il peut être intéressant de mettre en place une DMZ (zone démilitarisée), qui constitue un rempart supplémentaire contre les agressions extérieures. Les informations sensibles et susceptibles d'être attaquées devront se trouver au-delà ce cette DMZ :

Cette zone est le concept fondamental de sécurité autour duquel tout réseau doit être architecturé. Elle va jouer le rôle de zone tampon entre le réseau interne considéré comme de confiance - et abritant les ressources internes de l'entreprise - et un réseau non maîtrisé et donc potentiellement dangereux [...] La DMZ a pour rôle d'isoler les machines publiques gérant un certain nombre de services (DNS, courrier électronique, FTP, http...) du réseau critique interne.^29(*)

Au sein de cette DMZ et pour améliorer encore la sécurité, on peut mettre en place des serveurs proxy. Un serveur proxy va intervenir lorsqu'une machine du réseau sensible voudra se connecter à une page donnée, et va servir à éviter un contact direct entre le réseau sensible et le réseau extérieur (Internet). Toutefois le plus intéressant dans le cas d'un serveur abritant des données personnelles sera de mettre en place des serveurs reverse proxy, qui permettront de ne pas exposer directement le serveur à risque grâce au rôle de paravent joué par le reverse proxy. Il est important de mettre en place une fragmentation du réseau effective afin que chaque segment soit totalement indépendant, cela permet en cas d'attaque de ne pas voir l'intégralité du réseau paralysée et d'isoler mieux la cible de l'attaque. Les informations sensibles, les plus vulnérables, seront au sein de cette architecture placées le plus loin possible du réseau Internet. Pour assurer une meilleure indépendance entre les différents fragments on peut mettre en place des commutateurs réseaux, ou switch, qui vont répartir l'envoi des données.

Enfin, pour contrer au maximum l'insécurité résiduelle d'un réseau susceptible de contenir des informations à risque, il nous paraît capital de mettre en place des politiques de prévention et de bonne conduite au niveau des utilisateurs du réseau. En effet, malgré une sécurisation efficace du réseau, bien souvent on se rend compte que la faille est humaine. Le Gouvernement du Canada préconise à cette fin l'emploi de mesures de sécurité, tant physiques (claviers verrouillés, utilisation de câbles antivols pour les ordinateurs portables), que technologiques (utilisation de mots de passe, documents chiffrés) ou administratives (accès restreint aux renseignements)^30(*).

D'autres solutions commencent à émerger pour permettre aux gouvernements d'affronter la cybercriminalité, on peut ici citer l'exemple d'ISIS^31(*), un Intranet gouvernemental sécurisé qui a été mis en place en France en 2006 à titre expérimental puis lancé en novembre 2007. Ce réseau, hautement sécurisé, est destiné à échanger des informations confidentielles classées secret-défense entre différents sites institutionnels, notamment pour la gestion de situations de crise. Il est donc capital que ce type d'informations soient protégées, et pour ce faire, le choix a été de ne pas passer par le réseau Internet, trop risqué, mais de transmettre les informations par fibres optiques protégées.

On voit là un exemple de sécurisation maximale des données sensibles, exemple qui pourrait inspirer d'autres Etats. Cependant, au-delà de cet enjeu de sécurisation des données personnelles dites « sensibles », les Etats connaissent d'autres menaces dont l'importance ne cesse de croître, parmi lesquelles le cyber-terrorisme.

* 21 Art 2, Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. chapitre P-39.1

Art 54, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A-2.1

* 22 Art 59, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A-2.1

* 23 Art 91, Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q. chapitre P-39.1

* 24 Art 159, Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, L.R.Q. chapitre A-2.1

* 25 Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Version consolidée au 17 juillet 2008, en ligne < >

* 26 Directive européenne 95/46 CE sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, 24 octobre 1995, en ligne < >

* 27

* 28 SYMANTEC, Symantec Global Internet Threat Report, Trends for July-December 2007, volume XIII, avril 2008

* 29 Eric FILLIOL, Philippe RICHARD, Cybercriminalité - Enquête sur les mafias qui envahissent le Web, Paris, Dunod, 2006

* 30 Sécurité publique Canada, Pratiques modèles générales à l'égard de la sécurité des ordinateurs portables, en ligne < > ; Commissariat à la protection de la vie privée du Canada, Guide à l'intention des entreprises et des organisations - Protection des renseignements personnels : vos responsabilités, mise à jour mars 2004, en ligne

* 31