Le blog TIC des Maires de Grandes Villes

Le Clusif, club qui réunit les DSI des grandes entreprises et administrations, a sondé les collectivités sur leur pratique en matière de sécurité informatique. Selon cette enquête (ici en PDF), menée auprès d’un échantillon représentatif de collectivités, 60 % d’entre elles confessent des incidents tels que le vol ou la disparition de matériels informatiques. Les intrusions sur les systèmes d’information (1 à 8 %) et autres fraudes (2 à 16 %) atteignent également des niveaux non négligeables. Une sinistralité sans doute sous-estimée puisque 74 % des collectivités ne sont pas organisées pour collecter et traiter ces événements, 95 % ne déposant jamais de plainte et 93 % n’évaluant pas l’impact financier de ces incidents. En fait la sécurité reste une problématique encore émergeante dans beaucoup de collectivités. Peu d’entre elles possèdent un responsable de la sécurité des systèmes d’information (RSSI) et, si les collectivités sont désormais largement équipées en antispam et autres firewall, seules les grandes collectivités ont des politiques abouties en termes de moyens (chiffrement, authentification…) comme de méthode (existence d’une charte sécurité, sensibilisation du personnel…). Les DSI ne sont cependant pas forcément à montrer du doigt : les insuffisances budgétaires, le manque de collaboration de la hiérarchie et, in fine de culture SSI, sont autant de facteurs qui expliquent cette situation.

Le livre blanc sur la défense nationale accorde une large place à la sécurité informatique à l’heure d’internet, infrastructure désormais qualifiée de “vitale”. La menace d’attaques via et sur les réseaux est prise très au sérieux. Aussi le livre blanc propose-t-il de créer une agence chargée de la sécurité des systèmes d’information. Au delà de coordination internationale et d’un rôle de veille et d’information sur les menaces et attaques – fonction d’ores et déjà assurée par la Direction centrale de la sécurité des systèmes d’information – cette agence pourrait avoir un rôle élargi. Elle devrait être en mesure d’assurer des missions d’audit, de conseil à l’égard des administrations locales mais aussi du secteur privé dans les secteurs d’activité d’importance vitale. Par ailleurs, le livre blanc propose de veiller à ce que la France se dote de moyens de sécurité fondés sur des solutions européennes si ce n’est franco-françaises.

Conformément à l’accord européen du 13 décembre 2004, la France doit être en mesure de délivrer, à compter du 28 juin 2009, les nouveaux passeports biométriques dotés d’une puce incluant les données de la première page du passeport, la photo et des empreintes numérisés. A cette date 2000 points de délivrance – des communes mais aussi quelques unités mobiles pour les zones rurales – devront être équipées. L’appel d’offre pour choisir le fournisseur des machines servant à collecter les données biométriques est en cours, quatre consortiums s’étant porté candidat. Le maniement de ces machines, comme l’a montré l’expérience menée en 2005 en Gironde, nécessite un apprentissage. C’est la raison pour laquelle le ministère de l’intérieur s’apprête à lancer des expérimentations dans plusieurs communes. Ces communes (dont Nantes et Tourcoing) , situées dans départements – le Nord, l’Oise, l’Aube, la Gironde et la Loire-Atlantique – ont été sélectionnés pour réaliser des tests. Pour rendre ce nouveau service, le ministère a annoncé qu’une indemnité forfaitaire de 3 250 euros par an et par machine serait versée aux communes. Si cette nouvelle mission inquiète les communes, elle soulève également la colère des photographes - ils menacent de faire grève à partir du 10 mars - qui estiment que la prise de photo par les agents municipaux va leur faire perdre 15 à 20% de leur chiffre d’affaire.

Pour faire le point sur ce dossier, l‘AMGVF organise une réunion le 27 mars (strictement réservée aux adhérents de l’association) avec le ministère de l’Intérieur.

Dans le cadre de la lutte contre la cybercriminalité (appréciée dans un sens très large…), deux textes seraient en préparation du côté du ministère de l’intérieur.

Le premier concerne directement les collectivités locales puisqu’il vise à élargir le champ des personnes concernées par le décret du 24 mars 2006 sur la conservation des données de connexion. Face à l’incertitude sur l’application de ce texte– incertitude mentionnée dans le récent rapport du Forum des droits sur l’Internet sur l’accès public à Internet – le ministère aurait décidé de détailler précisément la liste des acteurs concernée. Mme Alliot Marie a en effet déclaré, à l’occasion de la présentation de son plan de lutte contre la cybercriminalité qu’il fallait « clarifier cette disposition pour qu’elle puisse être applicable à l’ensemble des acteurs de l’Internet - et non plus aux seuls opérateurs. Un décret détaillera pour chacun de ces acteurs la liste des catégories de données à conserver. Cette obligation pourra alors s’appliquer aux bornes d’accès Wi-Fi, aux éditeurs de messagerie électronique, aux points d’accès dans les lieux publics ». Les bibliothèques et tout accès à internet public devraient donc être concernés par ce texte.

Le second décret, que le quotidien les Echos s’est procuré, concernerait les fournisseurs d’accès et les opérateurs et les hébergeurs. Selon le journal, il viserait à rendre obligatoire la conservation des données susceptibles d’identifier tout créateur de contenu en ligne : adresse IP, mot de passe, login, pseudonyme, terminal utilisé, coordonnées de la personne physique ou morale, ou encore les identifiants de contenus. Ce texte, qui serait dans les circuits de validation ministériels, suscite d’ores et déjà l’émoi dans le monde internet. Du coté des FAI, c’est le volume des données à stocker, les couts de conservation et les obstacles techniques qui sont dénoncés. Du côté des associations de défense des droits des internautes, c’est évidemment le flicage des internautes.

Sur 602 traitements biométriques examinés par la CNIL en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données. Sur ces 53 demandes, 32 ont été autorisées et 21 refusées, ce qui a amené la commission a préciser sa position sur l’utilisation des empreintes par un organisme pour effectuer des contrôle d’accès. Pour la CNIL, l’empreinte digitale a pour caractéristique de « laisser des traces » et les technologies biométriques utilisant des bases d’empreintes doivent être réservées à la protection de biens, de données ou de personnes particulièrement sensibles ou menacés. Dans tous les cas, leur utilisation doit être justifiée par « un enjeu majeur dépassant l’intérêt strict de l’organisme ». Le document de la CNIL cite ainsi l’exemple d’un site SEVESO, d’un laboratoire où sont créés des vaccins, de zones sensibles d’un centre départemental d’incendie et de secours ou encore de la salle où sont stockés les sujets du bac. Il n’est donc pas question donc d’utiliser ce type de système pour gérer l’accès à la cantine (une commune s’est vu refusée l’autorisation) , effectuer des contrôles du temps de présence ou même gérer l’accès à une salle informatique « classique ». En revanche la CNIL donne facilement son aval a des dispositifs d’accès, y compris à la cantine, utilisant la technologie de reconnaissance du contour de la main (objet de la plupart des 500 autres demandes).

La loi n° 2006-64 du 23 janvier 2006, dite antiterrorisme, oblige les opérateurs offrant une connexion internet au public à conserver pendant un an les données de connexion des utilisateurs (voir le décret). Dans quelle mesure cette réglementation s’applique-t-elle aux collectivités mettant en place un accès WiFi dans les bibliothèques, mairies ou établissements scolaires ? La réponse n’est pas simple. Se fondant sur les débats parlementaires de 2006, la CNIL – qui est intervenue à une table ronde organisée par l’association Wireless Link - estime que les mairies, bibliothèques comme les entreprises qui offrent un accès wifi à l’intérieur de leurs locaux ne sont pas concernées dans la mesure où ce service n’est pas « public ». Il s’adresse d’abord à leurs employés ou à des clients/usagers habituels et identifiés. Dans le cas d’un service WiFi public comme celui qu’ouvre Paris, la réponse est en revanche différente, car il s’agit d’un service ouvert à tous, en extérieur qui plus est. Mais, de fait, ces obligations pèsent sur le délégataire/opérateur de hot-spot (SFR). En définitive, tout le monde s’accorde à dire que le texte n’est pas clair sur qui doit conserver les données. Aussi invitera-t-on les collectivités à sécuriser tous leurs réseaux WiFi sans exception, pour pouvoir en contrôler l’accès, et à recourir à un opérateur spécialisé dès lors que ces connexions sont ouvertes au public.

La loi antiterroriste impose aux fournisseurs d’accès de conserver les données de connexion des internautes. Une obligation qui n’a pas arrêté la ville de Paris dans son projet de hot-spot. Comme la expliqué le responsable du projet lors d’un récent colloque, la loi est assez floue et n’obligerait pas à une identification formelle des utilisateurs. Aussi, après en avoir discuté avec l’opérateur SFR chargé de créer et gérer le réseau, seules les informations techniques (adresse IP, heures de début et fin de connexion…) seront conservées par l’opérateur. Par ailleurs aucun filtrage ne sera opéré sur les contenus et les protocoles (FTP, PtoP, voix sur IP…). L’utilisateur pourra utiliser internet comme bon lui semble, avec une contrainte cependant : pour que la bande passante ne soit pas « squattée », des dispositifs de déconnexion seront installés pour limiter les abus. Si jamais les obligations légales venaient à être renforcées, la ville a envisagé deux solutions d’identification des internautes, soit un échange de SMS pour accéder à internet, soit l’exigence d’un micro-paiement.

Les Blackberry – ces assistants personnels qui permettent d’envoyer et de recevoir des mails comme de téléphoner ou de gérer son agenda – sont en vogue dans les administrations, et notamment les cabinets ministériels. Le seul problème est qu’ils ne sont pas assez sécurisés selon le secrétariat général de la défense nationale (SGDN). Cet organisme vient du reste de faire une piqûre de rappel à l’occasion du changement de gouvernement en prônant tout simplement leur interdiction des lieux de pouvoir. Les données échangées à l’aide d’un Blackberry transitent en effet par des serveurs situés aux Canada et au Royaume Uni, où les grandes oreilles de la National Security Administration (NSA) sont susceptibles de les intercepter… Cette capacité de l’administration américaine à lire effectivement les mails échangés est contestée par le fabricant - la société canadienne Research in Motion (RIM). Toujours est-il que les connexions sans fil comme l’hébergement de données sur des serveurs que l’on ne maitrise pas, ne sont certainement pas un gage de sécurité.

L’Etat de Floride vient d’adopter une loi interdisant l’utilisation des machines à voter à écran tactile. Une décision qui fait suite à un audit mené par des experts en sécurité concluant à la vulnérabilité au piratage des machines à voter à écran tactile. C’est tout un symbole car l’équipement massif des collectivités américaines en machines à voter électronique doit beaucoup aux problèmes rencontrés en Floride lors des élections de 2000. Les vielles machines mécaniques – comme celles utilisant un système de cartes perforées – ne seront cependant pas remises en service. L’Etat de Floride a opté pour un système mixte, alliant le recours à des bulletins papiers rempli à la main par les électeurs et des scanners optiques pour automatiser le comptage des votes. Une solution qui semble, au moins si l’on juge l’expérience londonienne qui a eu recours à ce dispositif, être très fiable, d’autant plus qu’il y a toujours la possibilité de recompter le papier. Voila qui devrait encore apporter des arguments aux opposants français au vote électronique.

Près de 90% des courriers électroniques que nous recevons sont du spam… Face à cette marée noire, la priorité des pouvoirs publics est de tenter d’identifier les spammeurs. Pour aider dans cette tâche difficile – les spammeurs sont souvent américains ou chinois, voire vous-même, votre ordinateur ayant été piraté pour servir de relais à un spam – vient d’être lancé signal-spam. Ce site, piloté par une association regroupant les principaux acteurs d’internet et diverses institutions (PJ, CNIL, DDM…), permet de signaler facilement la réception de ces pourriels. L’internaute peut soit copier-coller le message complet dans un formulaire disponible en ligne, soit, plus simplement, installer un plug-in dans son logiciel de courrier électronique (Microsoft Outlook ou Mozilla Thunderbird) pour signaler automatiquement un spam. Signal-spam.fr a été dimensionné pour traiter un million d’e-mails par jour. Les contenus des mails sont ensuite analysés par des logiciels pour en identifier l’origine et débusquer les arnaques ou les fraudes (phishing et autres). Le plus dur sera cependant de coincer les spammeurs, la France ne pouvant que saisir les autorités des pays ou elle a identifié des spammeurs.