Protection des réseaux personnels contre les intrusions des tiers (fr)
Sommaire
Introduction
La protection des réseaux est devenu un en enjeu majeur de notre société. Dans un monde où l'informatique et l'interconnexion occupent une place primordiale (e-commerce, e-administration...), la sécurité des réseaux par lesquels transitent nos données personnelles est capitale. Une sécurité optimale des réseaux ne peut pas relever que d'un acteur unique. Le prestataire technique mais aussi l'utilisateur final sont concernés par cette problématique et une protection efficace doit émaner d'un effort des ces deux acteurs.
Définitions
Il existe différents types de réseaux et d'une manière générale un réseau de communication électronique peut se définir comme « toute installation ou tout ensemble d'installations de transport ou de diffusion ainsi que, le cas échéant, les autres moyens assurant l'acheminement de communications électroniques, notamment ceux de commutation et de routage . » Il existe des réseaux locaux (LAN, ETHERNET, WIFI), des réseaux métropolitains sans fils (WIMAX) et des réseaux étendus sans fils comme le GSM, GPRS ou UMTS.
Le réseau personnel peut donc être perçu comme la liaison filaire ou sans fil permettant la connexion de différents périphériques (ordinateurs, imprimantes, scanner …) en vue de l'échange de données et ou du partage d'une connexion internet.
Le réseau personnel sans fil est également appelé WPAN (Wireless Personal Area Network). Le réseau personnel dispose d'une faible portée. La technologie WPAN la plus populaire est la technologie Bluetooth, qui a été lancée en 1994. Cette connexion peut également être établie grâce au routeur et à la technologie WIFI.
Le code des postes et communications électroniques n'évoque pas clairement la notion de réseau personnel néanmoins l'article L32 de ce même code détermine différents types de réseaux et notamment les réseaux indépendants dont la définition pourrait s'apparenter à celle de réseau personnel : « On entend par réseau indépendant un réseau de communications électroniques réservé à l'usage d'une ou plusieurs personnes constituant un groupe fermé d'utilisateurs, en vue d'échanger des communications internes au sein de ce groupe. » De ce fait l'intrusion par des tiers de ce réseau personnel est une question importante. D'une façon générale l'intrusion par des tiers peut-être vue comme l'accès frauduleux d'un tiers au réseau d'un utilisateur. L'accès frauduleux aux systèmes de traitement automatisés de données (conséquence directe de l'intrusion du réseau) est quant à lui réprimé pénalement depuis le code Pénal. Dès lors la protection de ce réseau est capitale afin que soient sécurisés les stations informatiques ou (systèmes de traitement automatisés de données) directement connectés à internet ou encore les réseaux eux-même victimes d'une cybercriminalité grandissante. Les réseaux professionnels obéissant à des règles spéciales et bénéficiant de moyens de protection accrus, ne sera envisagée que la question des réseaux personnels domestiques.
Les risques
Le développement des possibilités d'interconnexion des systèmes de traitement automatisés de données entre eux, dans un même foyer, a conduit à une croissance de l'intérêt de l'utilisateur final pour la sécurité de son réseau. En effet l'intrusion par les tiers du réseau personnel donne accès à toutes les données en transit sur les stations informatiques, tout comme celles en transit sur internet. Ainsi la destruction de données ou l'utilisation frauduleuse de celles-ci peut conduire à des cas d'usurpation d'identité, de perte de données, de vol de données sensibles etc. Cependant, pour éviter une intrusion des tiers, des moyens de protection ont été mis en place et la responsabilité de cette sécurité incombe à tout les acteurs (du prestataire technique jusqu'à l'utilisateur final).
La protection des réseaux personnels contre les intrusions des tiers
Le réseau personnel permet le transport des données entre systèmes de traitement automatisés de données mais aussi le transit d'informations par le réseau internet.
Les moyens de protection
Les outils de gestion des connexions entrantes
Certains instruments permettent aujourd'hui de limiter l'accès au réseau par des tiers. C'est le cas des pare-feu (firewall) ou des routeurs. Le fonctionnement de ces outils repose généralement sur un principe de filtrage du trafic et des connexions entrantes. Cependant, pour que ce pare-feu soit efficace il est nécessaire de le configurer afin qu'il rejette les connexions entrantes indésirables et qu'il ne gêne en rien l'utilisation du réseau par son titulaire.
Le recours au mot de passe
Il est également possible de configurer son réseau afin que chaque personne voulant y accéder doive fournir un mot de passe.
La cryptologie
La cryptologie est une technique utilisée pour la protection des données transitant sur les réseaux numériques. Cela permet donc indirectement de protéger les systèmes de traitement automatisés de données reliés au réseau personnel. La cryptologie a été prévue par la loi LCEN et est définie en son article 29 comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité. » La cryptologie, le contrôle d'accès, la protection des stations informatiques ainsi que le chiffrement des données sont les bases nécessaires à la protection des réseaux personnels. Cependant, les stations informatiques étant directement reliées aux réseaux personnels et aux réseaux locaux ou internationaux, la protections de celles-ci est également nécessaire.
Protection des réseaux et obligations législatives
L'obligation d'information du prestataire technique
La sécurisation des moyens de communications au public en ligne permet indirectement la protection des systèmes de traitement automatisés de données et donc du réseau personnel, tous ceux-ci étant directement liés entre eux. C'est pourquoi le législateur a prévu de mettre à la charge de certain prestataires techniques une obligation d'information. L'article 6 I 1. « Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens. Les personnes visées à l'alinéa précédent les informent également de l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle et leur proposent au moins un de ces moyens.» Les prestataires techniques sont donc désormais dans l'obligation d'informer l'utilisateur final des moyens de protection existants. Cette obligation est devenue d'une grande nécessité lorsqu'il a été question notamment d'imposer aux titulaires d'un accès de sécuriser leur connexion.
L'obligation de sécurisation à la charge de l'utilisateur final
La loi Création et Internet a prévu dispositif pénal protégeant la création artistique. Il en résulte que tout utilisateur dont le réseau de communication au public en ligne a été utilisé à des fins de reproduction illicite d'œuvres littéraires ou artistiques sera présumé pénalement responsable. Cependant cette présomption est dangereuse en cas de piratage du réseau. C'est pourquoi la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet a modifié l'article L336-3 du code de la propriété intellectuelle, qui prévoit désormais que « La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits ». Cependant la loi précise également qu'en cas de manquement à cette obligation par le titulaire, sa responsabilité pénale ne sera pas engagée.
L'incidence indirecte de la loi Godfrain
La loi Godfrain du 5 janvier 1988 avait prévu un dispositif pénal réprimant la fraude informatique. Désormais ces dispositions sont contenues dans le code pénal aux articles 323-1 et suivants et punissent « le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ». Cet article concerne directement les systèmes de traitement automatisés de données et non pas les réseaux personnels. Cependant l'intrusion à un réseau personnel conduit généralement à l'intrusion du ou des systèmes de traitement automatisés de données reliés audit réseau personnel. Sont également réprimés par le code pénal la suppression ou l'introduction de données dans un systèmes de traitement automatisés de données, l'entrave au bon fonctionnement du systèmes de traitement automatisés de données, l'importation, la détention ou la cession d'un équipement, d'un instrument, d'un programme informatique permettant l'accès frauduleux à un systèmes de traitement automatisés de données.
Précisions jurisprudentielles
La jurisprudence est venue renforcer le dispositif pénal prévu en considérant que la protection d’un système de traitement automatisé de données par un quelconque moyen ne constitue pas une condition de l'incrimination. En effet dans un arrêt en date du 18 septembre 2008, la 31ème chambre correctionnelle du Tribunal de grande instance de Paris a condamné un internaute qui avait accédé frauduleusement à la base de données d'un site d'annonces entre particuliers. Le TGI a jugé qu' « il est de jurisprudence constante que le délit [d’accès frauduleux dans un système de traitement automatisé de données] est constitué dès lors qu’une personne non autorisée pénètre dans un système informatique que celui-ci soit ou non protégé ». Bon nombre de décisions vont en ce sens et ne consacrent pas la protection du système en cause comme condition de l'existence de l'infraction d'accès frauduleux. (note Cour d’appel de Paris, 5 avril 1994 « il n’est pas nécessaire, pour que l’infraction existe, que l’accès soit limité par un dispositif de protection » ; « Cour d’appel de Toulouse, 21 janvier 1999, « l’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder ; la présence d’un dispositif de sécurité n’est pas nécessaire »). La jurisprudence concernant directement l'intrusion d'un réseau personnel est rare mais dans le contexte actuel de développement important des actes de cybercriminalité, il n'est pas exclut que des contentieux ne voient le jour.
Liens externes
http://fr.wikipedia.org http://www.legifrance.gouv.fr http://www.commentcamarche.net
Sources
Collectif, Lamy droit de l'informatique et des réseaux, Éd. Guide Lamy, 2009, p.132.