Le blog TIC

Archive pour la catégorie ‘Sécurité’

Promise par le ministère de l’Intérieur pour début 20009 – c’est-à-dire avant les élections européennes – la remise à plat du code électoral et du règlement technique sur les machines à voter ne semble toujours pas à l’ordre du jour. C’est ce qu’il ressort des dernières réponses ministérielles sur ce sujet (voir notamment les questions des députés Yvan Lachaud et Franck Reynier ). Aussi le ministère de l’Intérieur maintient-il le statu quo sur ce sujet : aucune commune nouvelle n’est autorisée à s’équiper en machines et la circulaire du 1er février 2008 devrait voir son application prorogée pour le scrutin européen. Une situation qui ne satisfait ni les communes équipées – elles estiment que la circulaire a été écrite trop rapidement et ne remédie pas véritablement aux problèmes d’organisation des scrutins électroniques qu’elles rencontrent – et encore moins les détracteurs du vote électronique. Dans sa recommandation, le Forum des droits sur l’Internet avait de son côté insisté sur la nécessité d’un débat public sur ce sujet délicat : on l’attend toujours…

Après la déception des élections pour l’assemblée des français de l’étranger, l’utilisation du vote par internet pour les élections prud’homales (à Paris uniquement) avait valeur de test pour un mode de vote qui suscite toujours beaucoup de réticence eu égard au manque de fiabilité du procédé. Force est de constater que les résultats ne sont pas à la hauteur des espérances : Sur 1,3 million d’électeurs inscrits à Paris, 78 654 seulement, soit 5,82 % des inscrits ont eu recours au vote par internet. On peut certes incriminer le manque de publicité fait autour de cette modalité de vote – le vote par internet avait lieu de plus avant les « élections papier » – mais ce n’est en tout cas pas le remède miracle à l’abstention vanté par les fournisseurs de solutions de vote électronique. Par ailleurs, plusieurs bugs sont venus, une fois de plus, entacher la crédibilité du vote électronique. D’une part la CGT a eu la surprise de constater l’absence d’une ligne Confédération générale du travail aux utilisateurs sous certaines versions du navigateur Firefox . Ensuite, à l’occasion du dépouillement, un dysfonctionnement dans l’impression des listes d’émargement a eu lieu, nécessitant la récupération des copies de sauvegarde (avec intervention d’huissiers et des assesseurs des syndicats). La CNIL a du reste précisé dans un communiqué qu’ »elle n’avait, en aucune manière, validé les modalités techniques de réalisation de ce vote électronique ».
On soulignera une fois de plus que la technologie n’est pas, en soi, une solution au problème de l’abstention. L’implantation de bureaux de vote dans les entreprises, le rapprochement de l’urne physique et de l’électeur, s’est de fait révélé beaucoup plus efficace dans ce domaine : Le taux de participation aurait dépassé 50 % chaque fois qu’un bureau de vote était installé sur le lieu de travail des salariés.

Après plus de trois ans de gestation, le poratil Mon service-public.fr devrait enfin ouvrir. C’est tout du moins ce qu’a indiqué la DGME à la sénatrice Éliane ASSASSI, comme le révèle son rapport budgétaire sur les crédits modernisation de l’Etat. Le portail aura notamment quatre fonctionnalités :

• Il proposera un espace personnel de stockage en ligne decoordonnées + pièces justificatives (extrait d’acte de naissance, pièces d’identité…) en vue de faciliter la réalisation de démarches (préremplissage de formulaires),
• Le site offrira un mécanisme d’authentification unique permettant à un utilisateur d’accéder aux différentes démarches en ligne de son choix, quelle que soit l’administration (d’Etat…) concernée,
• L’internaute pourra également personnaliser son espace de navigation : raccourcis vers les administrations de son choix, organismes sociaux, collectivités locales… et vers des procédures plus particulièrement utilisées.
• Enfin, le site offrira un suivi de l’ensemble des démarches (Etat) garantissant à l’usager une vision d’ensemble de l’avancement de toutes ses démarches administratives en cours et des messages envoyés par l’administration.

Pour garantir la confidentialité des données personnelles ainsi stockées, le projet s’appuie sur la technologie « Liberty Alliance » et chaque administration n’aura le droit d’accéder qu’aux informations entrant dans son champ de compétence.

Les collectivités locales ne seront pas totalement absente de la V1 du site : dès son lancement, participeront la commune de Vandoeuvre-lès-Nancy et la communauté de communes de Parthenay. La sénatrice a cependant insisté pour que « les autorités administratives, notamment les collectivités territoriales, examinent l’opportunité de la rejoindre le plus rapidement possible et afin d’y offrir la palette la plus étendue possible de démarches en ligne ».

Une mairie pourrait-elle voir son accès à internet coupé du fait des agissements d’un de ces agents ? Non, la loi « création et internet » adoptée par le Sénat intègre le cas des téléchargements d’œuvres protégées effectués au sein d’une entreprise, d’un cybercafé, d’un espace public numérique, d’un hot-spot wifi ou d’une administration. En cas de téléchargement illégal constaté par les ayants droits, la personne morale (identifiée par son adresse IP) recevra « une injonction de prendre des mesures de nature à prévenir le renouvellement du manquement constaté et à en rendre compte à la Haute Autorité, le cas échéant sous astreinte ». En d’autres termes, elle devra mettre en place un dispositif de filtrage, bloquant notamment l’accès aux logiciels pair à pair et aux sites d’échanges de fichiers. Pour permettre de s’y retrouver dans le maquis des solutions de filtrage, un système de labellisation sera mis en place sous la houlette de la nouvelle autorité (l’Hadopi). Le texte, adopté par le Sénat, doit maintenant passer devant les députés.

Rachida Dati, garde des Sceaux et Eric Besson, le secrétaire d’Etat à l’économie numérique ont assisté à la première signature électronique d’un acte notarié. Huit ans après la loi sur la signature électronique (mars 2000), trois ans après la parution des décrets sur la signature électroniques des actes des huissiers et des notaires (aout 2005), la signature électronique des actes authentiques devient enfin une réalité… pour les actes notariés et seulement pour cette catégorie d’acte authentique. On rappellera en effet que la signature numérique des actes d’état civil est toujours à l’étude au ministère de la Justice…

Le dispositif retenu par les notaires est cependant intéressant : il peut préfigurer ce qui sera mis en place dans les communes. Le choix a été fait de ne pas obliger les parties à se doter d’un certificat électronique. En effet, les signataires de l’acte apposent leurs signatures manuscrites sur une palette graphique. Ces signatures numérisées sont ensuite associées à l’acte dématérialisé au format XML / PDF avec ses annexes (un plan scanné…), puis, l’ensemble est signé/crypté électroniquement par le notaire, ce qui lui donne sa valeur légale. Rendus non modifiables, les actes sont archivés dans un Minutier Central Electronique. L’ensemble de l’infrastructure de signature électronique est gérée par les notaires qui ne peuvent en aucun cas déléguer leur autorité. Un contrat pourra ainsi être signé sous forme d’acte authentique dématérialisé n’importe où, sans que les parties aient à disposer d’une signature électronique, seul un accès à Internet étant nécessaire. D’ici cinq ans l’objectif est d’atteindre 2 millions d’actes authentiques signés numériquement, soit la moitié des actes.

Outre le lancement de la CNIE, le plan « France numérique 2012 » revient sur la création d’une carte de vie quotidienne, carte délivrée par les collectivités pour permettre à leurs citoyen d’accéder à des services publics de proximité. L’intitulé CVQ est cependant passé à la trappe, tout comme l’idée d’une carte « physique » en plastique. La mesure n°70 du plan Besson entend en effet plutôt « faire émerger, d’ici au milieu de l’année 2009, une solution générique de “carte ville” téléchargeable dans les mobiles permettant l’accès aux services publics locaux (cantine, bibliothèque, piscines…) qui puisse être exportée ensuite hors de l’Hexagone ». Une solution qui aurait le mérite de mutualiser les coûts de développement, de permettre à toutes les villes, quels que soient leurs moyens, d’offrir ce type de services aux habitants et de stimuler la technologie des NFC (near field communication). Les NFC sont une technologie associant puce RFID et communication sans fil sécurisée. Elle est utilisée d’ores et déjà dans les transports comme c’est le cas pour la carte Navigo, déployée par la RATP. Un projet qui demande cependant que les acteurs industriels et les opérateurs se mettent d’accord sur des standards, points surlesquels le plan Besson entend également agir.
Voir aussi ce blog sur les NFC et le pole de compétitivité transacations électroniques sécurisées

Le Clusif, club qui réunit les DSI des grandes entreprises et administrations, a sondé les collectivités sur leur pratique en matière de sécurité informatique. Selon cette enquête (ici en PDF), menée auprès d’un échantillon représentatif de collectivités, 60 % d’entre elles confessent des incidents tels que le vol ou la disparition de matériels informatiques. Les intrusions sur les systèmes d’information (1 à 8 %) et autres fraudes (2 à 16 %) atteignent également des niveaux non négligeables. Une sinistralité sans doute sous-estimée puisque 74 % des collectivités ne sont pas organisées pour collecter et traiter ces événements, 95 % ne déposant jamais de plainte et 93 % n’évaluant pas l’impact financier de ces incidents. En fait la sécurité reste une problématique encore émergeante dans beaucoup de collectivités. Peu d’entre elles possèdent un responsable de la sécurité des systèmes d’information (RSSI) et, si les collectivités sont désormais largement équipées en antispam et autres firewall, seules les grandes collectivités ont des politiques abouties en termes de moyens (chiffrement, authentification…) comme de méthode (existence d’une charte sécurité, sensibilisation du personnel…). Les DSI ne sont cependant pas forcément à montrer du doigt : les insuffisances budgétaires, le manque de collaboration de la hiérarchie et, in fine de culture SSI, sont autant de facteurs qui expliquent cette situation.

Le livre blanc sur la défense nationale accorde une large place à la sécurité informatique à l’heure d’internet, infrastructure désormais qualifiée de « vitale ». La menace d’attaques via et sur les réseaux est prise très au sérieux. Aussi le livre blanc propose-t-il de créer une agence chargée de la sécurité des systèmes d’information. Au delà de coordination internationale et d’un rôle de veille et d’information sur les menaces et attaques – fonction d’ores et déjà assurée par la Direction centrale de la sécurité des systèmes d’information – cette agence pourrait avoir un rôle élargi. Elle devrait être en mesure d’assurer des missions d’audit, de conseil à l’égard des administrations locales mais aussi du secteur privé dans les secteurs d’activité d’importance vitale. Par ailleurs, le livre blanc propose de veiller à ce que la France se dote de moyens de sécurité fondés sur des solutions européennes si ce n’est franco-françaises.

Conformément à l’accord européen du 13 décembre 2004, la France doit être en mesure de délivrer, à compter du 28 juin 2009, les nouveaux passeports biométriques dotés d’une puce incluant les données de la première page du passeport, la photo et des empreintes numérisés. A cette date 2000 points de délivrance – des communes mais aussi quelques unités mobiles pour les zones rurales – devront être équipées. L’appel d’offre pour choisir le fournisseur des machines servant à collecter les données biométriques est en cours, quatre consortiums s’étant porté candidat. Le maniement de ces machines, comme l’a montré l’expérience menée en 2005 en Gironde, nécessite un apprentissage. C’est la raison pour laquelle le ministère de l’intérieur s’apprête à lancer des expérimentations dans plusieurs communes. Ces communes (dont Nantes et Tourcoing) , situées dans départements – le Nord, l’Oise, l’Aube, la Gironde et la Loire-Atlantique – ont été sélectionnés pour réaliser des tests. Pour rendre ce nouveau service, le ministère a annoncé qu’une indemnité forfaitaire de 3 250 euros par an et par machine serait versée aux communes. Si cette nouvelle mission inquiète les communes, elle soulève également la colère des photographes – ils menacent de faire grève à partir du 10 mars – qui estiment que la prise de photo par les agents municipaux va leur faire perdre 15 à 20% de leur chiffre d’affaire.

Pour faire le point sur ce dossier, l‘AMGVF organise une réunion le 27 mars (strictement réservée aux adhérents de l’association) avec le ministère de l’Intérieur.

Dans le cadre de la lutte contre la cybercriminalité (appréciée dans un sens très large…), deux textes seraient en préparation du côté du ministère de l’intérieur.

Le premier concerne directement les collectivités locales puisqu’il vise à élargir le champ des personnes concernées par le décret du 24 mars 2006 sur la conservation des données de connexion. Face à l’incertitude sur l’application de ce texte– incertitude mentionnée dans le récent rapport du Forum des droits sur l’Internet sur l’accès public à Internet – le ministère aurait décidé de détailler précisément la liste des acteurs concernée. Mme Alliot Marie a en effet déclaré, à l’occasion de la présentation de son plan de lutte contre la cybercriminalité qu’il fallait « clarifier cette disposition pour qu’elle puisse être applicable à l’ensemble des acteurs de l’Internet – et non plus aux seuls opérateurs. Un décret détaillera pour chacun de ces acteurs la liste des catégories de données à conserver. Cette obligation pourra alors s’appliquer aux bornes d’accès Wi-Fi, aux éditeurs de messagerie électronique, aux points d’accès dans les lieux publics ». Les bibliothèques et tout accès à internet public devraient donc être concernés par ce texte.

Le second décret, que le quotidien les Echos s’est procuré, concernerait les fournisseurs d’accès et les opérateurs et les hébergeurs. Selon le journal, il viserait à rendre obligatoire la conservation des données susceptibles d’identifier tout créateur de contenu en ligne : adresse IP, mot de passe, login, pseudonyme, terminal utilisé, coordonnées de la personne physique ou morale, ou encore les identifiants de contenus. Ce texte, qui serait dans les circuits de validation ministériels, suscite d’ores et déjà l’émoi dans le monde internet. Du coté des FAI, c’est le volume des données à stocker, les couts de conservation et les obstacles techniques qui sont dénoncés. Du côté des associations de défense des droits des internautes, c’est évidemment le flicage des internautes.