"Sécurité de l'information"

Existe-t-il une obligation, pour les entreprises qui fournissent des réseaux et services de communications électroniques, d'assurer la sécurité et l'intégrité de leurs produits ?

Oui, et la loi du 27 février 2011 sur les réseaux et les services de communications électroniques est très claire sur le sujet. Dans son titre VII, article 45, elle dispose :

Les entreprises fournissant des réseaux de communications publics ou des services de communications électroniques accessibles au public prennent des mesures techniques et organisationnelles adéquates pour gérer le risque en matière de sécurité des réseaux et des services de manière appropriée. Compte tenu des possibilités techniques les plus récentes, ces mesures garantissent un niveau de sécurité adapté au risque existant. En particulier, des mesures sont prises pour prévenir ou limiter les conséquences des incidents de sécurité pour les utilisateurs et les réseaux interconnectés.

Les entreprises fournissant des réseaux de communications publics prennent toutes les mesures appropriées pour assurer l’intégrité de leurs réseaux et garantir ainsi la continuité des services fournis sur ces réseaux.

Quels sont les rôles des différents CERT/CSIRT au Luxembourg ?

Les CERT/CSIRT sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous.

Au Luxembourg, il existe plusieurs CERT/CSIRT proposant des services distincts, notamment dans la gestion des incidents de sécurité informatique, mais également dans la prévention des risques. Ces centres d’alerte et de réaction aux attaques informatiques s’adressent à des publics différents.

On distingue ainsi :

Le GOVCERT, point de contact unique dédié au traitement de tous les incidents informatiques affectant les systèmes d’information du gouvernement et des opérateurs d’infrastructures critiques.

Le CIRCL, l’équipe nationale de réponse aux incidents de sécurité informatique en charge de la coordination pour le Grand-Duché de Luxembourg. Ses services s’adressent aux PME qui ne dépendent pas d’un autre CSIRT public luxembourgeois.

RESTENA-CSIRT dont la communauté d’utilisateurs est celle de la Fondation RESTENA qui inclut :

  • l’Université du Luxembourg ;
  • les institutions de l’enseignement supérieur ;
  • les centres de recherche publics et privés ;
  • les institutions culturelles ;
  • les écoles fondamentales et secondaires ;
  • les utilisateurs individuels des services RESTENA.

BEE SECURE Helpline mise en place pour répondre aux demandes des particuliers.

Pour plus d’informations, en particulier sur le rôle de CERT et CSIRT, veuillez consulter la rubrique « Réagir->Identification » des sections respectives.

J'ai ma propre page Internet (site, blog, compte Facebook ...). Y a-t-il des choses que je n'ai pas le droit de publier ?

Toute personne qui publie des informations en ligne est considérée par la loi comme responsable du contenu de la publication. Fausses nouvelles, appels au racisme ou incitations à la haine, injures ou diffamations ne sont pas tolérés sur Internet.

De manière générale, la collecte d’informations sensibles qui « directement ou indirectement » feraient apparaître les origines raciales ou les opinions politiques, philosophiques, religieuses, les appartenances syndicales, la vie sexuelle et la santé des personnes est interdite. De même, la publication d’une photographie sans autorisation de la personne concernée n’est pas autorisée. Enfin, il faut savoir que si l'on fait apparaître des citations ou des images d'autres personnes sur son site, il faut toujours mentionner les sources correspondantes pour respecter les droits d'auteur. De même, le rédacteur d’un blog sur lequel il est possible de laisser des commentaires est responsable de leur contenu.

Obtenir et installer gratuitement une copie d'un logiciel payant, est-ce autorisé ?

De nos jours, la tentation et les possibilités d’installer une copie gratuite d’un logiciel payant sont grandes : offre sur Internet ou don d’un ami, les occasions sont multiples. Attention cependant car ce type de téléchargement est considéré comme du piratage. Les droits d’auteur sont bafoués, ce qui est illégal et peut avoir des conséquences juridiques. Par ailleurs, l’usager qui utilise un logiciel piraté ne peut pas bénéficier du support technique, ni des mises à jour indispensables pour le bon fonctionnement et la sécurité de l’ordinateur.

J'ai constaté qu'un mot de passe LuxTrust ne peut se composer que de chiffres. L'utilisation de ce service présente-t-elle un risque ?

Si le code PIN de votre Smartcard LuxTrust n’est composé que de chiffres, c’est en raison de contraintes imposées par le matériel informatique (hardware) utilisé qui doit être compatible avec les lecteurs de cartes. La sécurité n’en est pas pour autant négligée ; en effet la mesure mise en place assure un blocage immédiat de la carte dès lors que le code PIN s’est révélé faux par trois fois. De ce fait, le risque d’une attaque par force brute est plus que minime.

LuxTrust rappelle cependant les règles de sécurité suivantes :

Il est préférable de choisir plutôt un PIN avec 8 chiffres que d’en choisir un avec 6 ou 7 chiffres ;

  • évitez une suite de chiffres facilement devinables comme, par exemple, la date de naissance, le numéro de téléphone, …
  • évitez des suites logiques comme par exemple 123456, 12131415, 102030, …
  • évitez de répéter le même chiffre plusieurs fois comme par exemple 222888, 55555555, …
  • évitez l’usage de canevas répétitifs ou symétriques comme par exemple 01010101, 45674567, 8091908, …
  • évitez l’usage de suites de chiffres très connues comme par exemple 112112, 925925, …
Qu'entend-on par "rootkit" ?

Un rootkit est un programme utilisé par les pirates informatiques leur permettant de ne pas se faire détecter lorsqu’ils essaient d’obtenir un accès administrateur (non autorisé et frauduleux) à un ordinateur. Le technique du « rootkit » est souvent utilisée dans le but d’espionner la victime, de recevoir des données bien précises ou bien d’utiliser la machine en tant qu’intermédiaire pour effectuer d’autres attaques. Afin que la victime ne remarque pas la présence d’un intrus, le rootkit essaie de dissimuler son activité et de profiter de l’accès le plus longtemps possible.

Classé parmi les outils de dissimulation d’activité, un rootkit est défini par le CERTA (Centre français d’expertise gouvernemental de réponse et de traitement des attaques informatiques) comme Tout programme ou ensemble de programmes permettant à une personne malveillante de maintenir un contrôle illégitime du système d'information en y dissimulant ses activités.

Le CERTA ajoute la remarque suivante : L'installation de ces programmes nécessite que le système soit préalablement compromis (cheval de Troie, intrusion). Ces programmes modifient souvent les commandes usuelles de l'administrateur, afin de dissimuler toute trace de leur présence. Ils effectuent aussi fréquemment plusieurs opérations au niveau du noyau du système d'exploitation, comme l'installation de portes dérobées, la capture des frappes clavier, etc.

On dit que Flash et Java sont dangereux, mais quand je les désactive, je ne peux plus accéder au service bancaire en ligne de ma banque. Y-a-t-il des alternatives ?

Flash et Java sont des exemples de plugins (ajouts) de navigateur. Souvent, les navigateurs ont un mécanisme de mise à jour automatique dont les plugins ne profitent pas. De ce fait, on trouve des plugins vieux et exploitables sur la plupart des ordinateurs personnels. Or les cybercriminels profitent des failles dans ces technologies pour prendre le contrôle des ordinateurs des internautes. Si votre navigateur le permet, activez la fonctionnalité « click to play » qui vous permettra d'activer ces ajouts au cas par cas.

Il n’y a en effet pas d’alternative à l’utilisation de Flash ou de Java. Si on veut utiliser un service en ligne spécifique qui dépend de ces plugins, l’activation de cette technologie s’avère indispensable.

Que faire en cas de litige sur un nom de domaine ?

Le sujet de litige sur un nom de domaine est discuté dans la brochure « Aspects techniques et juridiques des noms de domaine » publiée en 2013 par le service dns.lu de la fondation RESTENA.

Les entreprises qui fournissent des réseaux et services de communications électroniques sont-elles à un contrôle de sécurité par un tiers ?

Oui, les entreprises qui fournissent des réseaux et services de communications électroniques sont obligées de notifier à l’Institut Luxembourgeois de Régulation les mesures mises en place pour assurer l’intégrité de leurs réseaux et de garantir ainsi la continuité des services.

La loi du 27 février 2011 sur les réseaux et les services de communications électroniques dispose dans son article 46 :

  1. À défaut de mise en œuvre par les entreprises notifiées de mesures techniques et organisationnelles appropriées pour assurer l’intégrité de leurs réseaux et garantir ainsi la continuité des services fournis sur ces réseaux par les entreprises notifiées, l’Institut peut, conformément au paragraphe (1) de l’article 15 de la présente loi, imposer des mesures contraignantes de mise en œuvre, y compris des délais à respecter.
  2. L’Institut peut imposer aux entreprises notifiées :
    a) de fournir les informations nécessaires pour évaluer la sécurité et/ou l’intégrité de leurs services et réseaux, y compris les documents relatifs à leurs politiques de sécurité ; et
    b) de se soumettre à un contrôle de sécurité effectué par un auditeur externe compétent en la matière qui communique les résultats directement à l’Institut. Le coût du contrôle est à la charge de l’entreprise notifiée.
L'inscription à iTunes store pose-t-elle des risques de sécurité ?

Une connexion internet qui implique de livrer des données personnelles et un numéro de carte de crédit présente toujours des risques. Le plus important est celui du « Phishing », une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès des internautes ; ils agissent par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, en général une banque ou un site de commerce. Pour ne courir aucun risque, nous vous invitons à vous assurer que vous êtes bien sur les pages officielles de l'iTunes store quand vous vous authentifiez. Par ailleurs, il est essentiel de ne le faire qu’à partir d’un poste sûr.

Bon à savoir : Le logiciel iTunes, à la base de la synchronisation des iPod, iPod Touch et iPhone, nécessite la création d'un compte, notamment pour pouvoir télécharger des applications.
Lorsque l'on tente de créer un compte, iTunes demande systématiquement un numéro de carte bleue ou carte visa afin de pouvoir valider la création du compte. Il est cependant possible d'ouvrir un compte sans aucun moyen de paiement et en toute légalité.

Que faut-il entendre par attaque/menace et quel genre d'attaque/menace est visé par ce portail ?

Ce portail, consacré à la cybersécurité, s’intéresse aux menaces ou attaques informatiques. Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque.

Le site français spécialisé en informatique commentcamarche.net donne de l’attaque informatique une définition claire et la décrit comme l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du système et généralement préjudiciables. Sur Internet, des attaques ont lieu en permanence, à raison de plusieurs par minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées automatiquement à partir de machines infectées (par des virus, chevaux de Troie, vers, etc.), à l'insu de leur propriétaire. Plus rarement il s'agit de l'action de pirates informatiques.

J'aimerais télécharger des films de l'internet. Ai-je le droit de le faire ?

Assurez-vous que le site de téléchargement met à disposition les films de manière légale, c'est-à-dire dans le respect des droits d'auteur.

Le téléchargement d'un film commercial sur un logiciel P2P comme uTorrent ou eMule est proscrit, sauf à en acquitter les droits sur les sites de vidéo à la demande (VOD – Video On Demand). Toutefois, il existe quelques sites permettant de regarder des films ou des courts métrages gratuits, avec l'autorisation de leurs auteurs.

J'ai téléchargé un logiciel qui n'est pas signé. Puis-je l'utiliser sans risque ?

L’utilisation de logiciels non signés n’est pas recommandée et peut avoir des conséquences pour votre ordinateur et vos données personnelles. La décision d’installer ou non un logiciel non-signé ou modifié vous incombe. Par l’exécution d’un tel logiciel dont vous ne pouvez vérifier la source, vous courez le risque de tomber sur un virus ou un cheval de Troie.

Comment le Luxembourg se protège-t-il des attaques majeures ?

Le Luxembourg le fait de plusieurs manières

 

Qu'entend-on par "cybersécurité" ?

Selon la définition de l’Union internationale des télécommunications,

on entend par cybersécurité l'ensemble des outils, politiques, concepts de sécurité, mécanismes de sécurité, lignes directrices, méthodes de gestion des risques, actions, formations, bonnes pratiques, garanties et technologies qui peuvent être utilisés pour protéger le cyberenvironnement et les actifs des organisations et des utilisateurs.

Les actifs des organisations et des utilisateurs comprennent :

  • les dispositifs informatiques connectés ;
  • le personnel ;
  • l'infrastructure ;
  • les applications ;
  • les services ;
  • les systèmes de télécommunication ;
  • la totalité des informations transmises et/ou stockées dans le cyberenvironnement.

La cybersécurité cherche à garantir que les propriétés de sécurité des actifs des organisations et des utilisateurs sont assurées et maintenues par rapport aux risques affectant la sécurité dans le cyberenvironnement. Les objectifs généraux en matière de sécurité sont les suivants :

  • la disponibilité ;
  • l’intégrité ;
  • la confidentialité.
Sur un site Web, on me demande si je souhaite utiliser la version sécurisée du site. Quelle est la différence ?

Les sites Web impliquant des informations personnelles ou financières proposent généralement des connexions sécurisées. Quand une connexion est sécurisée, les données sont chiffrées de manière à éviter que quiconque les intercepte entre l’ordinateur et le site Web et puisse les lire.

Dans le doute, acceptez donc toujours la version sécurisée. Cette version est aisément reconnaissable en observant l’adresse du site Web ; en effet, elle commence toujours par « https: » au lieu de « http: », où le « s » signifie « secured » (sécurisé).

Il est d’ailleurs conseillé, lors d’une connexion à un site Web, d’être attentif aux options telles que Standard et SSL. Standard désigne une connexion non sécurisée. SSL fait référence à une connexion sécurisée (Secure Sockets Layer, protocole de chiffrement Web). Un serveur Web sécurisé par SSL possède une URL commençant par « https: ».

Les systèmes de communication électroniques sont-ils vulnérables ?

Oui, comme tous les systèmes de traitement de l’information, les systèmes de communications électroniques présentent une certaine fragilité. L’efficacité de la politique de sécurisation de ce type de systèmes doit s’appuyer sur la mise en place de moyens techniques adaptés mais également sur l'organisation des processus du prestataire de service et le comportement des utilisateurs.

Dernière mise à jour