Volume 2, numéro 2, Mars 2000

Introduction

La sécurité est un sujet d’actualité qui nous fait parfois frémir …

C’est un sujet qui touche toutes les composantes de la vie, passant de la sécurité des femmes, des enfants à la sécurité routière… Eh, bien il fallait s’y attendre, le sujet touche également les technologies de l’information et des communications…

En effet, si on se souvient de l’ampleur médiatique des attaques de piratage qui ont eu lieu dernièrement envers les systèmes informatiques de compagnies telles Amazon.com, Yahoo, etc. Il est évident que la sécurité touche également les groupes communautaires, mais en général à une moins grande échelle.

Ce mois-ci, nous traitons de la sécurité sur Internet, une thématique centrale dans la gestion de l’intégration des TIC dans nos organismes. Ce sujet peut vous paraître comme une porte grande ouverte vers l’insécurité et la gestion de problèmes techniques. Dans le domaine de la sécurité, il faut se fier au vieux dicton stipulant ” qu’il vaut mieux prévenir que guérir “, car à l’ère de la multiplication des moyens de communications, la sécurité n’est plus un choix optionnel mais bien une réalité avec laquelle il faut composer.

Afin d’illustrer l’importance de ce sujet, nous abordons dans ce bulletin, la question du piratage sur Internet dans le cadre d’une entrevue avec Monsieur Lubin Bisson, Directeur Général de CAM Internet, un fournisseur montréalais d’accès Internet qui a subi récemment une attaque. Cette attaque nous touche particulièrement, étant donné que plusieurs organismes font affaire avec CAM (hébergement de sites, ou comptes d’accès). De plus CAM est connu dans le milieu communautaire, étant le seul fournisseur d’accès Internet ayant une politique de services communautaires, ainsi que pour son implication dans la télématique communautaire.

Pour vous accompagner dans votre cheminement vers l’ère de la sécurité, nous vous proposons également, dans le cadre de ce bulletin des pistes afin d’intégrer la sécurité dans vos organisations.

Le piratage sur Internet

Aux cours des mois de septembre et octobre derniers, le fournisseur d’accès Internet (FAI) montréalais, CAM Internet, s’est fait attaqué par des pirates, à plusieurs reprises. Ce qui a eu comme conséquence de neutraliser temporairement l’accessibilité aux courriels et aux sites webs de ses membres. De plus, suite à ces actes de piratages, CAM note la perte définitive de certains courriels des membres ainsi que le contenu partiel de certains sites webs hébergés sur son serveur.

“On parle d’ingénierie sociale, explique Monsieur Bisson, directeur général de CAM Internet. Nous pensons que quelqu’un s’est fait passer pour l’un de nos membres, et a demandé un nouveau mot de passe. Avec le nom d’utilisateur de ce membre, il s’est introduit chez nous via un accès Shell Unix “.

” La première intrusion a eu lieu le 3 septembre. Nos deux pages d’accueil ont été modifiées et les noms d’utilisateurs et mots de passe de nos membres ne fonctionnaient plus “. CAM Internet a annoncé le rétablissement de son service Shell Unix le 10 septembre.

Dans la nuit du 11 au 12, le pirate (hacker) a, cette fois, expédié une multitude d’informations, sous la forme d’un courriel. Ce courriel a eu l’effet d’une bombe. La multitude de données s’est répandue sur l’un des serveurs de CAM et l’a aussitôt paralysé. De là, la catastrophe car l’achalandage, engendré par les visiteurs des sites webs hébergés chez CAM a eu pour conséquence de contaminer les quatre autres serveurs. Conséquence tragique, la perte des informations entreposées sur le système. Heureusement, CAM était doté d’un système de sauvegarde (back-up) et 80% du contenu des sites affectés a pu être récupéré et remis en ligne. “Tout n’a pas pu être restauré. C’est comme un magnétoscope VHS, il ne lira pas les cassettes Betacam, dit Lubin Bisson. Pour nos ordinateurs c’est pareil. Les sites construits il y a 3-4 ans n’avaient pas le même langage, ou code source. Chaque individu ou organisme faisant affaire avec un FAI devrait faire un back-up et ne pas laisser ses courriels sur le serveur; pour ce faire, il suffit simplement de ne pas cocher dans son logiciel courriel la mention: laisser sur le serveur.”

Le 15 octobre, une troisième attaque est survenue. De nouveau, un courriel dissimulant une multitude d’informations, attaquait le système. Ce genre d’attaque se nomme, le ” syn-flood attack ” et se manifeste par l’envoi simultané d’un million de copies d’une même requête. Conséquence : les serveurs ont de nouveau été paralysés. Ce phénomène est tout nouveau, ce type de piratage a fait sa première apparition six semaines avant l’attaque de CAM. Évidemment, quand des méthodes de piratage en sont à leur phase d’émergence, il est difficile de prévoir les mécanismes pour les contrer, car leurs impacts sont imprévisibles.

Suite aux mésaventures de CAM, son fournisseur de bande passante, Uunet, a installé un filtre, afin de créer un sas de sécurité et permettre une première lecture des informations envoyées sur les serveurs de CAM. Néanmoins, dans la même nuit, Uunet était à son tour, la cible d’une telle attaque. Une question nous interpelle, quels sont les motifs ou les intentions de ces pirates?

“Il existe deux sortes de hackers, commente M Bisson. Il y a ceux qui poussent au maximum les capacités des TIC et il y a les crackers, qui sont les bandits du Net, dont les intentions sont plutôt malsaines. Dans notre cas, il s’agissait d’un kiddy-cracker, c’est à dire un jeune cracker qui a compris un aspect du hacking et qui se croit supérieur.”

Internet est encore un phénomène nouveau et il y a des mesures de sécurité évidentes à prendre, mais personne ne peut garantir une pleine sécurité.

” CAM ne peut pas être redevable, il n’y a pas d’assurance avec Internet. Tout comme nous ne pouvons être responsables de sites qui sont hébergés chez nous. On n’avait jamais vu de syn-flood-attack avant, on ne peut pas en être responsable. C’est comme de dire qu’il est illégal de garer son vaisseau spatial sur le toit de sa maison. Ça serait ridicule car ça n’existe pas encore!”

Mais à entendre toutes ces histoires, doit-on craindre Internet? ” Bien sûr, le système n’est pas encore sûr à 100%, tout comme il existe des cambrioleurs et des bandits dans la vie. Et puis les pirates du Net ont très certainement d’autres cibles que le site web d’un organisme ou d’un particulier. Il faut tout de même prendre quelques mesures de sécurité “.

“Trouver un mot de passe intelligent et le changer souvent, ne pas le divulguer, essayer les démos des anti-virus accessibles gratuitement sur Internet, ne pas ouvrir de documents attachés sans être sûr de la provenance”, explique M Bisson. Et, rajoute-t-il avec humour “Peur d’Internet? Regarde la gamme de toutes les expériences de ta vie, c’est la même chose avec Internet. Combien de personnes vont gagner un million à la loterie, sortir avec Ricky Martin et tomber du haut de l’Everest? La gamme d’expériences avec Internet, c’est pareil.”

Bref, Internet est un outil qui s’avère très utile si on l’utilise correctement. De simples mesures de sécurité peuvent éviter bien des soucis. Et si ces mesures à prendre semblent être parfois lourdes à gérer, ne vous inquiétez pas, “le but d’Internet est de devenir aussi invisible que l’électricité” conclut Monsieur Bisson.

Pour conclure, notons que même si les mésaventures de CAM Internet font parti de la réalité dont il faut tenir compte avec l’essor que connaît Internet, il ne faut pas pour autant redouter l’arrivée des TIC. Nous voilà pour le moins rassurés, n’est-ce pas?

Conseils pratiques de M. Bisson

  • Changer régulièrement votre mot de passe
  • Effectuer une sauvegarde régulière de votre site web
  • Ne pas laisser des courriels sur le serveur; il suffit de ne pas cocher dans son logiciel de courriel la mention : laisser sur le serveur
  • Ne pas ouvrir des fichiers attachés, si on n’est pas sûr de la fiabilité de la provenance, particulièrement les fichiers exécutables (.exe)
  • Essayer les démos des anti-virus accessibles gratuitement sur Internet

La prévention est l’antivirus de la sécurité

Il est bien évident que la sécurité totale et parfaite n’existe pas. Mais à l’heure où de plus en plus d’ informations transitent entre ordinateurs, où de plus en plus d’organismes informatisent leur travail, où un nombre grandissant de groupes se branchent sur les technologies de l’information et des communications (TIC), la sécurité devient une question essentielle. Les organismes n’ayant pas le temps de se documenter sur le sujet, préfèrent la mettre au rancart. De plus, un mythe persiste stipulant que ce sujet est réservé aux “pro” de l’informatique. Ce n’est pas toujours vrai. La sécurité n’est pas qu’une question purement technique, c’est aussi une question de planification et d’organisation du travail. Avant de se lancer dans des dédales techniques, il est important de penser et d’établir une politique en matière de sécurité au sein de votre groupe.

Une façon de penser ” Sécurité “

La question de sécurité ne doit surtout pas reposer sur une seule et unique personne! C’est une question qui doit, non seulement, préoccuper la direction, mais aussi concerner l’ensemble de l’équipe de travail, sur deux aspects principaux:

  • La gestion des équipements (protection des locaux contre le feu, le vol, sauvegarde régulière des fichiers, installation et mise à jour d’anti-virus, etc…);
  • le côté humain, (c’est-à-dire la sensibilisation et la formation des membres de l’équipe et du conseil d’administration, afin d’établir une politique en matière de sécurité etc…)

Il n’est pas nécessaire d’être un informaticien chevronné pour amorcer cette réflexion. Vous devez en premier lieu, établir les besoins de votre organisme en matière de sécurité, et la technique suivra, outillant simplement votre démarche.

Après cette réflexion, un plan de sécurité devrait être clairement établi, afin de préserver la cohérence entre la réflexion et le travail au quotidien.

Une façon de travailler ” Sécurité “

Les règles alors établies ne doivent pas être vues comme des contraintes, mais plutôt comme une gestion efficace des outils de votre organisme.

Il n’y a pas de règle d’or, ni de recette idéale pour établir une politique en matière de sécurité: l’important est d’obtenir l’adhésion de tous les membres afin de veiller et d’appliquer les modalités de sécurité dans une perspective de protection des outils de travail. À vous de juger jusqu’où vous souhaitez aller en matière de sécurité. Vous n’êtes pas obligés de bâtir une politique archi-béton, comme le font les grandes entreprises qui se préservent aussi de l’espionnage industriel, mais vous pouvez inclure quelques idées de base, comme la vérification des disquettes provenant de l’extérieur, la vérification des fichiers reçus par Internet, l’installation et le changement régulier des mots de passe sur vos systèmes, etc…

Suite à l’élaboration de la politique de sécurité, il faut en déterminer les modalités de gestion. Qui s’occupe du parc informatique et de sa sécurité? Faut-il engager une nouvelle personne, ou est-ce une tâche nouvelle qui incombe à une personne déjà en poste? Dans ce cas, faut-il former cette personne? Faut-il revoir ses tâches de travail?

Une façon de gérér ” Sécurité “

Avec l’arrivée des TIC, plusieurs groupes et organismes ont dû prévoir, dans leur planification financière, un nouveau poste budgétaire dans leur charte des comptes: celui relié à l’informatique, que ce soit pour l’achat d’équipements ou de logiciels, l’entretien, la formation ou encore pour la connexion à Internet.

La mise en place de mesures de sécurité dans le développement informatique d’un organisme est donc quelque chose qu’il faut également prévoir financièrement. Instaurer des procédures de base, prévoir l’achat de logiciels, assurer leur mise à jour (celle des anti-virus surtout), constituent les ingrédients essentiels à considérer.

Créer et respecter un plan de sécurité n’est certes pas gratuit, mais avouons-le, l’absence de mesures de sécurité pourrait vous coûter très cher en heures de travail perdues. Cependant, des consignes simples, claires et précises sont déjà le début d’une bonne formation en matière de sécurité. Il faut donc trouver le juste milieu, entre une politique raisonnable de sécurité et les moyens financiers et humains de l’organisme.

En bref, la question de la sécurité informatique est une réalité qui touche les organismes communautaires qui ont de plus en plus de documents et de données informatisés. Les mesures de sécurité doivent s’inscrire dans une démarche globale de réflexion, de gestion et d’organisation du travail.

En résumé

Le Piratage informatique prend plusieurs formes :

  • Pénétration des réseaux et banques de données
  • Introduction d’antiprogrammes pour contaminer les systèmes, ce qui a pour effet d’altérer ou de détruire des données.

Conseils pratiques

  • Amorcer une réflexion au sein de votre organisme afin d’identifier vos besoins en sécurité
  • Établir une politique simple en matière de sécurité appropriée à vos besoins :
    • En misant sur l’adhésion de tous les membres du groupe
    • En établissant des consignes simples, claires et précises (exemple : vérification des disquettes provenant de l’extérieur )
  • Déterminer les modalités de gestion :
    • Désigner d’unE responsable du parc informatique, (exemple : procédure de sauvegarde des données, achats et renouvellement des logiciels d’anti-virus, etc)
    • Former et sensibiliser l’équipe
  • Utiliser les ressources gratuites disponibles sur Internet, tels les démos de logiciels d’anti-virus
  • Visiter les sites utiles touchant le sujet de la sécurité et de la protection informatique (un point de départ : www.communautique.qc.ca, section ressources, virus informatique : ressources disponibles sur Internet)

Nous offrons un atelier de formation sur la Gestion des informations et sécurité à l’ère des réseaux, voir les dates de formation sur notre site.

Merci à Monsieur Bisson pour sa participation à ce numéro.

Recherche et Rédaction : Caroline Gord et Michèle Glémaud

Correction et mise-en-page : Michèle Glémaud, Arielle Cassini