Présentation sur la sécurité sur Internet. Pourquoi l'usage des Logiciels Libres.

1. La traçabilité sur Internet Gilbert Robert Directeur de la société ProLibre http://www.prolibre.com Président du Groupe Romand des Utilisateurs de Linux et des Logiciels Libres ( http://www.linux-gull.ch ) En partenariat avec the HACKADEMY WEB mardi 26 novembre 2003 www.prolibre.com

3. Services en Linux et Logiciels Libres

4. Migration de MSWindows à Linux

5. Déploiement d'infrastructure

6. Conseil, audit réseau et sécurité

7. Formation et certification LPI www.prolibre.com www.prolibre.com

8. ProLibre & Hackademy Association Hacker & Linux mais un Hacker n'est pas un Cracker mais un Cracker est un Hacker www.prolibre.com www.prolibre.com

9. Les Logiciels Libres Définitions Logiciel Libre / Open Source = sources disponibles, modifiables et redistribuables Le Logiciel Libre est protégé par une licence (GPL/NLP/BSD) Le Logiciel Libre suit les standards ouverts cadre juridique = copyleft (Stallman - FSF) www.prolibre.com

10. Les Logiciels Libres Juste une mise au point! Un Logiciel Libre n'est pas domaine public Un Logiciel Libre n'est pas un freeware Un Logiciel Libre n'est pas un shareware www.prolibre.com

12. Adapter le programme à ses besoins

13. Améliorer le programme pour la communauté

14. Copier et Diffuser le programme

15. Développer des applications communautaires www.prolibre.com

17. Serveurs de mail > à 60%

18. Apache 67% , IIS 23% des sites actifs http://www.netcraft.net/survey/ www.prolibre.com

20. Le cabinet marketing META GROUP évalue les parts de marché serveurs de Linux entre 15 et 20%, et il prétend qu'en 2007 Linux devrait détenir 50% du marché.

21. 87 % des clusters de calcul haute performance dans le monde tournent sous Linux ( les 12 plus puissants).

22. La Ville de Munich annonce passer 14'000 PC à Linux

23. L'Estrémadure annonce passer 80'000 Pc à Linux

24. La Corée du Sud vient d'annoncer vouloir passer l'administration à Linux d'ici à 2007 www.prolibre.com

25. La traçabilité Définition Traçabilité = "trace" + "bilité" “ La traçabilité est définie comme l'aptitude à retrouver l'historique, l'utilisation ou la localisation d'un article ou d'une activité, ou d'articles ou d'activités semblables, au moyen d'une identification enregistrée ” (ISO 8402) Traçabilité logistique Traçabilité des process Traçabilité des produits Traçabilité des individus Traçabilité des informations financières Traçabilité intra et inter entreprises www.prolibre.com

26. La traçabilité Aspect juridique RS235.1 Loi fédérale sur la protection des données (LPD) Préposé fédéral à la protection des données (PFPD) Il a un role de conseil, d'information et de surveillance Arbitrage www.prolibre.com

28. Leur traitement doit être effectué conformément aux principes de la bonne foi et de la proportionnalité.

30. La traçabilité Aspect juridique Je désire m'informer auprès du maître d'un fichier pour savoir si et le cas échéant quelles données me concernant sont traitées. Dois-je motiver ma demande ? L'art. 8 LPD stipule que toute personne peut demander ce renseignement sans qu'elle doive prouver ou rendre crédible un intérêt à obtenir ce renseignement. www.prolibre.com

33. Numéro de carte de crédit

34. Caméra vidéo de surveillance

36. Parfait anonymat

37. Absence d'intermédiaire visible

38. Méconnaissance du fonctionnement des réseaux

39. Internet est complexe www.prolibre.com

41. La surveillance nécessite également des moyens, parfois importants; elle n'est pas inéluctable, mais elle est toujours possible. www.prolibre.com

42. La traçabilité Une réalité Comme dans la vie réelle on accepte d'être filmé, enregistré, traçé par concession, alibi on a rien à se reprocher pour retrouver des voleurs pour faire des réclammations pour retrouver des terroristes, des pédophiles etc... www.prolibre.com

43. La traçabilité Un mal? Données - intégrité (impôts..). - confidentialité ( jardin secrêt) - public Sphère privée, publique, professionnelle se mélange “ techtonique des plaques” On a du mal à protéger ces sphères du fait de la mobilité www.prolibre.com

44. La traçabilité Un mal? En rêgle générale on va chez quelqu'un Le fichage est utile pour simplifier la vie de l'internaute Le fichage est utile pour la publicité contextuelle La survie de certains sites Internet On aime bien ce qui est gratuit alors ... Malheureusement On peut constater des abus: SPAM (48% des courriers!) Création de profils On constate des quasi-monopoles: Microsoft – Cisco Des projets ambitieux emmergent tel que Palladium www.prolibre.com

45. La traçabilité Un mal? Sociétés récoltant des données personnelles: Claritas - 4 M. de foyers (environ 12 M. de consommateurs !) Consodata – 20 M. De foyers français renseignés Mediatel, GroupAdress Microsoft travaille avec des sociétés tierces comme: 24/7 Real Media, AdForce, AdKnowledge, AppNet/admaximize/i33, Avenue A, BlueStreak.com, CFM&Z; Click Here, DoubleClick, Flycast, Interad Network, MatchLogic, Mediaplex, Sabela Media, The Thinking Media et Vita Bella Les sites avec inscription: loterie (bananalotto) pornographique achat en ligne téléchargement de logiciels www.prolibre.com

46. La traçabilité Internet www.prolibre.com

47. La traçabilité Ou laisse t-on des traces? Un document MSWord TM Une étude de Simon Byers de research.att.com (avril 2003) montre que sur 100000 documents Word récupérés sur le Net 50% contiennent entre 10 et 50 mots cachés 30% contiennent entre 50 et 500 mots cachés 10% contiennent plus de 500 mots cachés www.prolibre.com

48. La traçabilité Ou laisse t-on des traces? Un document MSWord TM Document Alcatel Alcatel a eu début 2002 des problèmes de sécurité avec un modem ADSL. Une des réponses d'Alcatel un document Word !!! As a result, Alcatel has started an initiative to qualify firewall software that will provide users with the highest possible degree of security. (When and where will the firewall software be available? CERT has said that they don?t believe that installing a firewall is the answer. What are you doing to provide a legitimate fix?) ... To increase the security of its products, , in particular for the more information sensitive Small Office / Home Office market, Alcatel had previously already implemented additional security measures to avoid direct interference with its modems by remote users. This Firmware Protection is available in Alcatel Speed Touch modems Home and PRO modems . Alcatel ships the modems from its F factories with the F irmware P rotection enabled , PRO with Firewall?.. It is switched on by default when the modems leave the Alcatel factories. . (This paragraph worries me a bit. It could be taken as us favoring a segment of customers (SOHO). There?s an argument to be had that everyone?s information is sensitive. Why don?t we provide this level of security to all of our customers? Why don?t we switch on firewalls by default for all of our customers?) www.prolibre.com

49. La traçabilité Ou laisse t-on des traces? Un document MSWord TM Document Tony Blair En février 2003. Le 10 Downing Street publie au format Word un dossier sur les organisations de sécurité et d’espionnage en Irak cité par colin Powel aux Nations Unis.Tony Blair avait dit que personne de son cabinet n’avait touché ce document, et qu’il émanait directement des services secrets. Paul Hamill fonctionnaire du Foreign Office John Pratt fonctionnaire du Downing Street Alison Blackshaw l'aide personnelle du secrètaire de presse du premier ministre Murtaza Khan officier junior de presse pour le premier ministre "cic22" edited file "C:OCUME~1hamillOCALS~1emputoRecovery save of Iraq - security.asd" -Rev. #2: "cic22" edited file "C:OCUME~1hamillOCALS~1emputoRecovery save of Iraq - security.asd" -Rev. #3: "cic22" edited file "C:OCUME~1hamillOCALS~1emputoRecovery save of Iraq - security.asd" -Rev. #4: "JPratt" edited file "C:EMPraq - security.doc" -Rev. #5: "JPratt" edited file "A:raq - security.doc" -Rev. #6: "ablackshaw" edited file "C:Blackshawraq - security.doc" -Rev. #7: "ablackshaw" edited file "C:Blackshaw;Iraq - security.doc" -Rev. #8: "ablackshaw" edited file "A:raq - security.doc" -Rev. #9: "MKhan" edited file "C:EMPraq - security.doc" -Rev. #10: "MKhan" edited file "C:INNTrofileskhanesktopraq.doc" www.prolibre.com

50. La traçabilité Ou laisse t-on des traces? Chez son fournisseur d'accès Internet Le fournisseur d'accès Internet et le premier lien avec Internet. Tout passe par lui et ses serveurs Proxy! Il a l'obligation de garder 6 mois de traces de l'activité Internet et techniquement il a la possibilité de tout enregistrer. Bluewin par exemple: Accès aux données personnelles / Privacy Policy Lors du traitement des données personnelles, Bluewin respecte la législation suisse sur la protection des données et les télécommunications. Seules sont enregistrées et dépouillées les données nécessaires pour assurer l'établissement de la communication, l'établissement et le maintien de prestations de services de haut niveau, la sécurité technique de fonctionnement et la facturation. Sans l'accord des clients concernés, Bluewin ne traite par ailleurs aucune donnée personnelle en rapport avec l'utilisation de services disponibles sur Internet. Bluewin utilise des cookies uniquement pour l'optimisation des procédures techniques, en particulier lors de l'inscription d'un nouvel utilisateur ou de la modification d'un compte d'utilisateur dans Simple Account Management (SAM). www.prolibre.com

51. La traçabilité Ou laisse t-on des traces? Les cookies Un cookie est un petit fichier texte installé par le navigateur sur son ordinateur. Ils sont utilisés pour enregistrer quelques informations qui serviront lors de la connexion et pour personnaliser la navigation. Content-type: text/html Set-Cookie: foo=bar; path=/; expires Mon, 09-Dec-2002 13:46:00 GMT Content-type: text/html Cookie: foo=bar www.prolibre.com

52. La traçabilité Ou laisse t-on des traces? Les cookies Un petit exercice sur le site de la CNIL (Commission Nationale de l'informatique et des Libertés) www.prolibre.com

53. La traçabilité Ou laisse t-on des traces? Le “ Googlisme ” Alfa Romeo GTV2.0 ... Alfa GTV 2.0 année 1984 110000 Km 2me main 4 pneus hivers Tél: 797.00.66 (prof.) 707.71.12 -- Gilbert ROBERT | EMail: Gilbert.Robert ... Telecom95, Geneva ... Rent (3st October - 11th October) : CHF 5000.- ($4000.-) + Refundable Down Payment : CHF 5000.- ($4000.-) CONTACT ----- Gilbert ROBERT Internet Address ... biz.general - 15 sep 1995, post? par Gilbert Robert - Afficher l'arborescence (2 articles) [CH GE] Internet-Intranet-Unix ... vous pouvez consulter mon CV al'adresse suivante : http://issco.unige.ch/staff/robert/CV.html et envoyer vos propositions ? Gilbert.Robert@issco.unige.ch ... fr.emplois.demandes - 12 juin 1997, post? par Gilbert Robert - Afficher l'arborescence (un seul article) MTAG: A set of tools for Tagging. ... tar tar xvf tagger2.1.test-d.tar or http://issco-www.unige.ch/projects/MULTEXT.html Please report any bug or suggestions to -- Gilbert ROBERT | EMail: Gilbert ... comp.edu.languages.natural - 6 juin 1996, post? par Gilbert Robert - Afficher l'arborescence (un seul article) Re: Assurances maladie (bis) ... Gilbert ROBERT -- = Gilbert ROBERT | EMail: Gilbert.Robert@issco.unige.ch ISSCO, University of Geneva | URL: http://issco.unige.ch/staff/robert = 54 route des ... ug.general - 2 d?c 1997, posté par Gilbert Robert - Afficher l'arborescence (un seul article) Re: Stations de ski en direct /v3.asp, line 45 Sans commentaires désagréables... ;- Groupe des Utilisateurs Lémaniques de Gilbert ROBERT | __ http://linux.issco.unige.ch ISSCO ... ch.general - 21 jan 1999, posté par Gilbert Robert - Afficher l'arborescence (2 articles) L'humour sur W3 ... www.unige.ch Et si cela interesse quelqu'un jetez un oeil sur le projet DICO http://issco-www.unige.ch/projects/dico.html -- Gilbert ROBERT | Internet: robert ... fr.rec.humour - 21 avr 1995, posté par Gilbert Robert - Afficher l'arborescence (8 articles) diving in Philippines I am planning a trip to Philippines in october (I don't know exactly where). Does anyone have any helpful information on dive shops ... rec.scuba - 28 juin 1993, posté par Gilbert Robert - Afficher l'arborescence (5 articles) www.prolibre.com

54. La traçabilité Ou laisse t-on des traces? Le “ Googlisme ” www.prolibre.com

56. Carnivore et le FBI

57. L'affaire Swisscom-Verestar

58. SATOS-3 www.prolibre.com

59. La traçabilité Problèmes de sécurité Virus Tout le monde en a fait les frais un jour ou l'autre Failles de sécurité exploité par les crakers Le nombre des alertes de sécurité suit la loi de Moore Passport de Microsoft Recommendation et la clause de précaution du GarterGroup “Break all Passport Connections until at least Nov 2003, until Microsoft can prove that its security is adequate....” Logiciels Propriétaires www.prolibre.com

60. La traçabilité Comment se préserver? Sortez couvert! Permis de surfer – meilleure formation à Internet Mise en place de Firewall Mise à jour régulière des anti-virus Meilleure gestion des Antispams Meilleure gestion des cookies Cryptographie – GPG - SFS Vérification des certificats des sites Internet sécurisés Webmail sécurisés tels que: hushmail.com ou lokmail.com mail2web.com et @hotmail, @yahoo, @caramail pour recevoir le spam Pseudonymat: cybercafé + proxy + webmail à l'étranger www.prolibre.com

61. La traçabilité Comment se préserver? Sortez couvert! Serveur de mail, DNS et serveur web en interne Ipv6 Clé à usage unique : message + nouvelle clé publique Communication point-à-point: Gnuzza (CryptChat) PgPNet VPN Direct Mail Delivery Stéganographie pour les parano ï aques www.prolibre.com

62. La traçabilité Comment se préserver? Extrait du rapport du Préposé Fédéral à la Protection des Données: "Dans un environnement dans lequel les exigences envers la protection et la sécurité des données sont élevées, il est absolument nécessaire que le code source soit accessible ou qu'il soit publié", ou "si le code source n'est pas librement accessible, la protection des données ne peut pas être garantie". www.prolibre.com

63. La traçabilité premières remarques Il ne faudrait pas que l'on s'aventure dans la clandestinité à cause des abus et du manque de confiance que l'on pourrait développer. avec des réseaux tels que Freenet ou Publius m-o-o-t.org / Rubberhose.org avec des réseaux parallèles tels que les Réseau WiFi www.prolibre.com

64. '' Mieux vaut prendre le changement par la main si vous ne voulez pas qu'il vous saisisse à la gorge '' Churchill '' La vraie démocratie ne viendra pas par la prise de pouvoir de quelques-uns, mais du pouvoir que tous auront de s'opposer aux abus de pouvoir '' Ghandi Merci de votre attention Gilbert Robert [email_address]