Anda di halaman 1dari 296

MYTHES ET LEGENDES DES TIC

19 mai 2011

Collection ATENA

Une ralisation de Forum ATENA avec la collaboration de (par ordre alphabtique) :


Christian Aghroum, Jean-Pierre Archambault, Christophe d'Arcy, Thierry Autret,
Luc Baranger, Jacques Baudron, Eric Bourre, Thomas Bousson, Stphan
Brunessaux, Jean-Pierre Cabanel, Dominique Decavle, Louis Derathe, Ladji
Diakit, Michel Elie, Jean Christophe Elineau, Franck Franchin, Laura Garcia, Jean-
Denis Garo, Grard Gaudin, Thierry Gaudin, Patrick Giroux, Jean-Marc Grmy,
Jean-Yves Gresser, David Grout, Daniel Guinier, Daniel Hagimont, Bruno Hamon,
Laurent Heslault, Mauro Isral, Dominique Lacroix, Jean-Michel de Lamezan,
Michel Lanaspze, Sophie de Lastours, Antonin Le Faucheux, Franois Letellier,
Victor Le Manchec, Fabrice Mattatia, Lionel Mourer, Jean Papadopoulo, Jean-
Claude Patin, Grard Peliks, Guy Perrot, Sadry Porlon, Philippe Poux, Bruno Rasle,
Yvon Rastteter, Guillaume Rembert, Grgoire Ribordy, Paul Richy, Nicolas Ruff,
Yanis Taieb, Laurent Treillard, Philippe Vacheyrout, Franois Zamora

Livre collectif sous la direction de Grard Peliks

Les ajouts depuis la version du 9 mai apparaissent en bleu


Copyright forum ATENA Voir en dernire page les droits de reproduction
Mythes et lgendes des TIC

INTRODUCTION
Ce livre collectif de forum ATENA propose une approche originale pour expliquer
diffrentes facettes des Technologies de l'Information et de la Communication (TIC).
En soulignant les croyances largement partages mais fausses, ce livre sadresse tous les
utilisateurs des TIC qui dsirent acqurir des connaissances et dominer les problmes poss
par l'Information, les systmes d'information et les rseaux connects Internet. Ce livre
apporte des rponses leurs interrogations, leurs doutes, rtablit la vrit et donne des
conseils pratiques bass sur nos expriences du terrain. Il aborde non seulement les aspects
techniques mais aussi les aspects juridiques, humains, organisationnels et mtiers qui se
posent tous.
Pour aller plus loin dans la connaissance des TIC, des rfrences des livres crits par les
auteurs de celui-ci sont conseills en fin d'ouvrage.
Le fichier PDF de la version la plus rcente du livre est en tlchargement libre partir du
Web de Forum ATENA en www.forumatena.org/?q=node/12, rubrique "Mythes et
lgendes des TIC", en laissant votre adresse e-mail.

Grard Peliks
Prsident de l'atelier scurit de Forum ATENA
Coordinateur de cet ouvrage

Un livre collectif 2 / 296


Mythes et lgendes des TIC

SOMMAIRE

MYTHESETLEGENDESDESTIC............................................................................................................... 1
INTRODUCTION..................................................................................................................................... 2
L'ETHIQUE............................................................................................................................................. 6
FAUTILDEMYSTIFIERL'INTERNET?....................................................................................................... 7
LA"SOCIETEDEL'INFORMATION",UNMYTHE? .................................................................................... 9
MYTHESETLEGENDESDEL'HISTOIREDELACRYPTOLOGIE .................................................................. 12
LANEUTRALITEDUNET,UNMYTHEPARADOXAL ................................................................................ 17
LEMYTHEDELACOMPETENCETERRITORIALED'UNJUGEFRANAIS ................................................... 21
LEMYTHEDEL'INUTILITED'UNEDISCIPLINEINFORMATIQUEDANSL'ENSEIGNEMENTGENERAL.......... 23
LESMYTHESDELASOCIETEDELACONNAISSANCE .............................................................................. 25
1PARTIE:ASPECTSINFORMATIONETSYSTEMESD'INFORMATION .................................................... 27
MYTHESETLEGENDESD'INTERNET...................................................................................................... 28
MYTHESETLEGENDESDELANAVIGATIONSURL'INTERNET................................................................. 32
MYTHESETLEGENDESDELARECHERCHED'INFORMATIONSURINTERNET .......................................... 38
MYTHESETLEGENDESDEL'IDENTITENUMERIQUEPARTIE1................................................................ 45
MYTHESETLEGENDESDEL'IDENTITENUMERIQUEPARTIE2................................................................ 49
MYTHESETLEGENDESDEL'IDENTITENUMERIQUEPARTIE3................................................................ 52
MYTHESETLEGENDESDESSYSTEMESDECLOUD................................................................................. 57
MYTHESETLEGENDESDESSERVICESDECLOUD .................................................................................. 64
MYTHESETLEGENDESDESTELECOMMUNICATIONSSPATIALES........................................................... 69
MYTHESETLEGENDESDESMEDIASOCIAUX ........................................................................................ 71
MYTHESETLEGENDESDESCOMMUNICATIONSUNIFIEESETCOLLABORATIVES ................................... 77
MYTHESETLEGENDESDUCALCULINTENSIF ........................................................................................ 81
MYTHESETLEGENDESDEL'OPENSOURCEETDULOGICIELLIBRE ........................................................ 85
MYTHESETLEGENDESDESLOGICIELSLIBRES....................................................................................... 97
MYTHESETLEGENDESDELADEMATERIALISATION............................................................................ 101
2PARTIE:ASPECTSSECURITE........................................................................................................... 106
CONFIDENTIALITE,INTEGRITEETDISPONIBILITE ................................................................................ 107
MYTHESETLEGENDESDELASECURITEDEL'INFORMATION............................................................... 109
MYTHESETLEGENDESDESRISQUESDECYBERGUERRESURLESINFRASTRUCTURESVITALES ............. 114
MYTHESETLEGENDESDESVULNERABILITESLOGICIELLES .................................................................. 121
MYTHESETLEGENDESDESVERS,VIRUSETTROJANS ......................................................................... 124

Un livre collectif 3 / 296


Mythes et lgendes des TIC

MYTHESETLEGENDESDUCHIFFREMENT........................................................................................... 127
MYTHESETLEGENDESDESMATHEMATIQUESDELACRYPTOGRAPHIE............................................... 133
MYTHESETLEGENDESDESTECHNOLOGIESQUANTIQUESDEL'INFORMATION................................... 136
MYTHESETLEGENDESDELASIGNATUREELECTRONIQUE .................................................................. 144
MYTHESETLEGENDESDUMANAGEMENTDESEVENEMENTSETDEL'INFORMATIONDESECURITE .... 149
MYTHESETLEGENDESDELAPREVENTIONCONTRELESPERTESD'INFORMATIONS(1) ....................... 151
MYTHESETLEGENDESDELADLP(2).................................................................................................. 155
MYTHESETLEGENDESDUPCA/PRA(1)............................................................................................ 158
MYTHESETLEGENDESDUPCA/PRA(2)............................................................................................ 161
3PARTIE:ASPECTSMATERIELS ........................................................................................................ 163
MYTHESETLEGENDESDESIMPRIMANTES......................................................................................... 164
MYTHESETLEGENDESDELAQUALITEDESERVICE............................................................................. 166
MYTHESETLEGENDESDESTECHNOLOGIESVOCALES......................................................................... 170
MYTHESETLEGENDESDELACARTEAPUCE ...................................................................................... 172
MYTHESETLEGENDESDUPAIEMENTMOBILE ................................................................................... 176
MYTHESETLEGENDESDELAFINDESCABLESENCUIVRE ................................................................... 178
4PARTIE:ASPECTSNORMESETSTANDARDS .................................................................................. 182
MYTHESETLEGENDESDELACERTIFICATIONCRITERESCOMMUNS.................................................... 183
MYTHESETLEGENDESDELASERIEISO/IEC270XX ............................................................................. 189
MYTHESETLEGENDESDEL'ISO27005 ................................................................................................ 193
5PARTIE:ASPECTSJURIDIQUES...................................................................................................... 195
MYTHESDEL'IMPUNITEJURIDIQUE,DEL'ARGENTFACILEETDELASURVEILLANCETOTALE ............... 196
MYTHESETLEGENDESDEL'INFORENSIQUE ....................................................................................... 201
MYTHESETLEGENDESDESERREURSJUDICIAIRES.............................................................................. 206
MYTHESETLEGENDESDUDROITDELACOMMUNICATIONSURL'INTERNET ...................................... 211
MYTHESETLEGENDESDESTELECHARGEMENTSILLEGAUX................................................................. 215
MYTHESETLEGENDESDELACONTREFAONSURL'INTERNET ........................................................... 221
MYTHESETLEGENDESDELAPUBLICITESURINTERNET...................................................................... 227
MYTHESETLEGENDESDELECOMMERCE ......................................................................................... 233
MYTHESETLEGENDESDEL'IMPUISSANCEDUJUGEFACEAUXRESEAUX ........................................... 237
MYTHESETLEGENDESDELAPOLITIQUEDESECURITEETDELACHARTE ............................................ 242
6PARTIE:ASPECTSMETIERS............................................................................................................ 247
MYTHESETLEGENDESSURLESHACKERS........................................................................................... 248
MYTHESETLEGENDESDUCORRESPONDANTINFORMATIQUEETLIBERTES........................................ 265
MYTHESETLEGENDESDEL'AUDITDESECURITE ................................................................................ 273
ACRONYMES ..................................................................................................................................... 277

Un livre collectif 4 / 296


Mythes et lgendes des TIC

GLOSSAIRE ........................................................................................................................................ 279


POURALLERPLUSLOINDANSLACONNAISSANCEDESTIC ................................................................. 281
APROPOSDESAUTEURS ................................................................................................................... 285

Un livre collectif 5 / 296


Mythes et lgendes des TIC

L'ETHIQUE

Un livre collectif 6 / 296


Mythes et lgendes des TIC

FAUT-IL DEMYSTIFIER L'INTERNET ?

Michel Elie

Lobjectif poursuivi dans cet ouvrage est clairement expos dans son introduction : il sagit
de souligner les croyances largement partages mais fausses propos de linternet.
Lobjectif nest pas seulement de dcrire des mythes et lgendes qui se sont dveloppes
son propos et de sinterroger sur leur persistance, mais aussi de les combattre : en un mot, il
sagit dune entreprise de dmystification. Cette recherche de vrit rationnelle peut-elle aller
son terme alors que chacun reconnat dans linternet et dans ses propres usages une part
dimaginaire, de rve ? Ne faut-il pas conserver une part au doute, au flou, lincertain ?
Bien sr, prtendront les rationalistes, linternet nest quun dispositif technique dont
luniversalit fait la force. Tout y est raisonnable et explicable. Tous les points soulevs dans
cet ouvrage ne se rattachent dailleurs pas la catgorie des mythes ou celle des lgendes.
Certains ne sont que correctifs techniques, surgeons de caractristiques dpasses, voire une
forme de rglement de comptes.
Peut tre les mythes dcrits dans ce livre sont-ils invents, peut-tre est il licite et utile de les
expliquer, de dbusquer au passage petits et grands mensonges, petites et grandes illusions,
petites et grandes incertitudes, sil sagit derreurs, ou de les combattre sil sagit de
mensonges. Leur existence et leur diffusion nen a pas moins un sens allgorique, une ralit
imaginaire mais significative. Le monde virtuel de linternet est un espace particulirement
favorable au dveloppement de mythes, de lgendes, en plus des rumeurs, mensonges, qui
lalimentent jet continu. Selon Wikipedia, un mythe est un rcit qui se veut explicatif et
fondateur d'une pratique sociale. Il est port l'origine par une tradition orale, qui propose
une explication pour certains aspects fondamentaux du monde et de la socit qui a forg ou
qui vhicule ces mythes La Toile, gigantesque cheveau de liens ne confine-t-elle pas la
religion, celle qui relie ? Le mythe est plus tenace que la rumeur : il franchit les sicles et a
trait aux racines profondes de lhomme.
Linternet propose lhumanit un miroir dformant. Celle-ci lalimente en problmes
philosophiques : la mmoire et loubli, la libert et la censure, lidentit et lanonymat. Cest
aussi un outil faire tomber des murs qui structuraient les organisations humaines, les
langues, les frontires, les prjugs Il modifie donc le monde rel tout en crant un monde
virtuel propice au dveloppement dutopies, de mythes et de lgendes. Et parfois, comme
nous lexprimentons avec force dans les bouleversements actuels des pays arabes, il
contribue l'incarnation dans le rel de situations rves. Cette part dimaginaire ne
constitue-t-elle pas dailleurs lun des moteurs du succs de linternet, largement exploite par
certaines applications commerciales ?. LInternet nest-il pas aussi une machine faire rver ?
Par la couverture physique de la terre entire et louverture sur un autre monde, le monde
virtuel, linternet constitue un terreau fertile la prolifration de mythes, lgendes, rumeurs :
attachons-nous ce qui de prime abord y voque des mythes fondateurs de notre civilisation,
puisque linternet en est un produit, tout en se voulant mondial et comme me le disait la fin
des annes 90 un administrateur de lISOC une offrande des Etats Unis dAmrique
lhumanit . Quels liens entre les mythes et lgendes de ce recueil, et ceux de lantiquit
grecque ?

Un livre collectif 7 / 296


Mythes et lgendes des TIC

Comme dans tous les champs de lhumain, le monde de linternet est un terrain de lutte entre
le bien et le mal. Contrairement au Cosmos ou la Gense, la cration de linternet est un
vnement historique et document. Ce qui nempche pas de discuter de lidentit de son
ou de ses crateurs, de ses inspirateurs, du rle dans son dveloppement de multiples
contributeurs anonymes, souvent bnvoles, (tant de gens auraient-ils consacr autant de leur
temps libre nourrir linternet de leurs connaissances et de leur exprience sil ntait pas un
grand vhicule dutopies ?) et de celui de lvolution concomitante des techniques et de la
libralisation de la socit.
Pour certains dtracteurs de linternet, ce ne serait quune vaste poubelle do ne jailliraient
que lerreur et la confusion, comme du Chaos antique ne pouvait natre que Frbe, les
tnbres, et Nyx, la nuit. Cest nanmoins du Chaos quest n le Cosmos, dans une
construction fragile et sujette bien des dangers.
Sisyphe pour avoir dfi Zeus stait vu condamn remonter ternellement sur une
montagne une roche qui, ds le sommet atteint, roule jusquen bas. Linternaute, lui nest-il
pas condamn combattre sans fin des virus perptuellement renouvels par des humains
malfaisants et qui tel le phnix, renaissent constamment de leurs cendres ?
Linternaute ne se contemple-t-il pas travers lclat de son site personnel ou de son blog,
jusqu parfois sy perdre comme Narcisse qui s'abreuvant une source, voit son reflet dans
l'eau, en tombe amoureux et meurt de dsespoir ne pouvoir rattraper sa propre image ?
Ceux qui cherchent contrler linternet ne se heurtent-ils pas des adversaires qui
ressurgissent ds quils ont russi juguler lune de leurs multiples identits, tels lhydre de
Lerne dont les ttes repoussent peine coupes ?
Il nest pas tonnant que le monde virtuel engendre comme le monde rel, ses propres
mythes et lgendes, btis sur limaginaire de linternet , les peurs ou les espoirs quil
suscite, donnant naissance une thogonie du virtuel.
Comme le ciel du monde rel au temps des grecs, le ciel du monde virtuel, qui se construit
sous nos yeux, se peuple de dieux, demi dieux, hros, gourous et autres papes. Chaque jour
peuple notre monde virtuel de nouveaux hros qui entranent notre monde rel dans de
nouvelles aventures : certains sulfureux comme Julian Assange avec Wikileaks ou affairistes
comme Mark Zuckerberg, crateur de facebook et lun des hommes les plus riches au
monde, qui construit sa fortune en mme temps que sa lgende ; dautres angliques et
bienfaiteurs comme les blogueurs Han Han en Chine ou Abdel Kareem Nabil en Egypte qui
parviennent dstabiliser des rgimes, qui le monde rel destine sa reconnaissance et quil
couronne ou couronnera de prix nobel de la paix. Entre eux et avec le peuple des
internautes, se construisent autant de mythes, se btissent des lgendes et se dveloppe une
sagesse rapprocher de la sagesse populaire o linternaute pourrait puiser, par exemple dans
ce sage proverbe nordique sur la protection de la vie prive: Confie tes penses un seul,
mais mfie toi de deux. Ce qui est su de trois est connu de tous

Un livre collectif 8 / 296


Mythes et lgendes des TIC

LA "SOCIETE DE L'INFORMATION", UN MYTHE ?

Thierry Gaudin, Ingnieur gnral des mines (honoraire)

Lexpression socit de linformation est utilise habituellement pour faire comprendre et


accepter que le traitement dinformation est devenu la nouvelle manire de vivre ensemble.
Sy ajoute une connotation implicite selon laquelle ce serait un progrs. Or, le mot progrs,
qui avait autrefois un sens plutt neutre de progression, a t connot positivement, sans
doute comme encouragement accepter linvitable. La transition de la socit industrielle
vers la socit de linformation a acquis limage dun puissant mouvement de lHistoire quil
vaut mieux accompagner et mme, si possible, devancer.
Sil est exact que plus de la moiti des emplois sont maintenant tertiaires, il nen reste pas
moins que la nourriture, les vtements, les btiments, les quipements des familles et des
entreprises sont des choses bien concrtes produites par lagriculture et lindustrie. Une
bonne partie de ces productions ont dailleurs t dlocalises dans des pays bas salaires.
Est-ce que les services rendus par les emplois tertiaires de la socit de linformation aux
producteurs constituent une contrepartie quitable et durable ? Il est assez vraisemblable que
la rponse est non. La profusion dinformation mne la saturation cognitive alors que les
producteurs de biens concrets sont sous rmunrs et marginaliss. Ds lors, comment se
fait-il que cette tertiarisation de lconomie se poursuive et samplifie ?
La rponse cette question nest pas facile accepter. Elle ne se trouve pas dans la presse ni
dans les mdias ni dans les cours dconomie. La voici : au Moyen ge, pour traverser un
pont, il fallait acquitter un page. Aujourdhui, cest pour couter de la musique, visionner
des vidos et mme pour accder aux informations dutilit publique telles que le texte des
normes ou le contenu des manuels scolaires quil faut payer des pages.
En outre, la socit a multipli les formalits. Chacune a, bien entendu, ses justifications. Et,
globalement, on ne peut quadmirer lingniosit qui permet de rmunrer mme ceux qui
entravent ou ralentissent les activits productrices, croire quelles seraient devenues si
performantes que la population serait bien en peine de consommer tout ce quelles
pourraient produire.
En prenant un peu de recul, il apparat que le fonctionnement de lconomie a permis la
prolifration des intermdiaires. Par exemple, lenqute mene il y a quelques annes par le
Wppertal Institute a valu que le yaourt aux fraises faisait un trajet de plusieurs milliers de
kilomtres avant darriver sur la table du consommateur, consommant au passage un bon
quota de carbone.
Sans doute lespoir dune dsintermdiation par Internet a-t-il commenc se concrtiser
dans la vente aux enchres ou les banques, par exemple. Et le projet de dvelopper le travail
distance voque dj, malgr la timidit de ses initiatives, la possibilit daller vivre la
campagne tout en exerant un mtier urbain. En se rapprochant du pis de la vache et du
potager, on peut alors rver de faire son yaourt soi-mme, dsintermdiation alimentaire,
reconqute de lautonomie dans un monde presque totalement htronome, comme disait
Ivan Illich.
Nanmoins, la transition vers le web 2.0 sest accompagne de nouvelles intermdiations : les
rseaux sociaux, les plateformes vido, les magasins en ligne et les moteurs de recherche

Un livre collectif 9 / 296


Mythes et lgendes des TIC

maills dirruptions publicitaires. Les lois de lconomie sont comme celles de la nature :
quand une nouvelle niche cologique souvre, il se trouve vite un animal pour sy fourrer.
Dautre part, avec trois heures de mdiatisation par jour, la saturation neuronale se fait sentir.
En tmoigne cette enqute mene dans le Bade Wurtemberg et publie dans le journal Die
Welt. La premire ligne montre des dessins denfants qui passent moins dune heure par jour
devant la tl, la seconde denfants de mme ge et mme origine sociale qui y passent plus
de trois heures par jour.

Pour complter, jajouterai que les neurophysiologistes (voir Les Neurones de la lecture de
Stanislas Dehaene) ont mesur assez prcisment le temps que met un cerveau reconnatre
une personne ou un objet connu : entre 100 et 300 millisecondes. Ce qui donne un ordre de
grandeur : si le microprocesseur travaille en nanosecondes, il va cent millions de fois plus
vite que les neurones.
Est-ce dire que la micro-lectronique, Internet et la communication ATAWAD (Any Time,
Any Where, Any Device, selon lexpression de Xavier Dalloz) va rendre cent millions de fois
plus de services lusager ? Non, bien entendu. Un tel ordre de grandeur induit un
changement qualitatif. Il donne un pouvoir nouveau et peut-tre dmesur aux producteurs
et diffuseurs dinformations, lesquels semploient videmment programmer le psychisme
du public dans le sens de leurs intrts. Cest pourquoi on pourrait plaider que lexpression
socit de linformation nest quun leurre dissimulant une autre ralit, la socit de
dsinformation .
Nanmoins, une fois ce diagnostic critique nonc, il convient de le dpasser. Wikileaks nest
pas le seul exemple de raction, porte par Internet, contre les excs de pouvoir, quils soient
politiques ou commerciaux. Il se dessine donc une nouvelle sorte de conflit, mondial, dans le
registre de la persuasion, dont Internet est le champ de bataille. On peut dj anticiper que
laffrontement sera long et peut-tre mme dvastateur. Aujourdhui, environ le tiers de la
population mondiale est internaute. Dans quinze ans, ce seront plus des deux tiers, donc le
grand public de tous les pays. Laffrontement sera plantaire.
Les forces en prsence sont dun ct les anciens intrts court terme, commerciaux et
financiers, de lautre les nouveaux venus : par exemple lagriculture biologique, les nergies
nouvelles et les conomies dnergie ainsi que les dfenseurs de lintrt gnral, de la
prservation de la plante et des biens communs mondiaux.
lvidence, les premiers sont actuellement les mieux arms. Ils ont russi une performance
extraordinaire : engendrer une crise financire mondiale sans en subir eux-mmes les

Un livre collectif 10 / 296


Mythes et lgendes des TIC

consquences. Cette crise, commence en 2008, ntait pas vraiment une surprise. Elle fait
suite, daprs Stiglitz, une srie de 176 crises en 25 ans, depuis que la monnaie circule
autour du monde par Internet la vitesse de la lumire.
Elle a t amplifie par de la cration de liquidits, en trillions de $, adosse des crances
notoirement fragiles. Si ces turpitudes se poursuivent, les monnaies alternatives sur Internet
apparatront comme un refuge. Ce sera le dbut du web 3.0.
Invitablement, les seconds, les nouveaux venus, parce quils sorientent par rapport au long
terme, auront le dernier mot. Reste savoir dans quel tat sera alors la plante et comment
pourra se dvelopper et se structurer le nouvel tat de conscience.

Un livre collectif 11 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'HISTOIRE DE LA


CRYPTOLOGIE

Sophie de Lastours

1
Pandore avait lAnctre, et le chiffre a la Fille,
Ce dernier rejeton de lillustre Famille
Des botes do jaillit lespoir du lendemain,
2
Linconnu convoit, souci du genre humain.

LEtat quelle que soit sa forme est sans relche expos dinnombrables menaces, des plus
intenses comme la guerre aux plus subtiles comme la trahison, le terrorisme, lespionnage, le
pillage conomiquequi exigent la mise en uvre de moyens de dfense appropris.
Ds lAntiquit, les Etats ont eu des fortifications pour protger leurs territoires, mais ils ont
eu aussi pour protger le secret de leurs communications, ce que les Anglo-saxons dsignent
par la formule le pouvoir invisible et qui est la cryptologie.
La cryptologie est aussi un des piliers du monde du renseignement et a jou et joue un rle
primordial. Elle est une arme double tranchants au cur de nos socits.

LE SECRET DU SECRET
Le chiffre a une longue histoire puisquil est plus ancien mme que lcriture,
Les hommes comptant sur les doigts de leurs mains pouvaient ainsi laborer des codes, et
leur imagination leur faisait dessiner, crer des symboles, puis lcriture elle-mme est
devenue une sorte de code puisque peu de personnes sachant lire, tout lecteur devenait un
dcrypteur. Longtemps la lecture fut le monopole de la classe sacerdotale comme en Egypte
et Babylone.
Flechter Pratt3 affirme que les Grecs ont invent la transposition et les Romains la
substitution, les deux grands systmes de chiffrement. Un chiffre est un symbole. La
diffrence entre chiffre et nombre est rapprocher de celle qui existe entre lettre et mot.
Mais le systme tabli des chiffres romains utilise les lettres latines. Les termes chiffre et code
sont souvent employs comme synonymes alors quils ne le sont pas, le chiffre et le nombre
sont aussi confondus La Franaise des jeux elle-mme le fait.

1
Pandore naquit du ressentiment de Zeus, voulant punir les hommes du don du feu que Promthe leur avait fait.
Hphastos la modela dans largile, Athna lui insuffla la vie, Aphrodite lui octroya la beaut, Apollon le don de la
musique.
2
Claude Ducellier, B.211 , Aux Armes , le 9 octobre 1939, Bulletin de lArcsi, no2 et 3, juin septembre
1955.la B.211 est une machine chiffrer achete par larme franaise la fin des annes 30 son concepteur,
lindustriel Boris Hagelin.
3
Flechter Pratt, Histoire de la cryptographie, Les critures secrtes depuis lAntiquit jusqu nos jours,
Payot, 1940.

Un livre collectif 12 / 296


Mythes et lgendes des TIC

Selon les civilisations, les nombres sont porteurs du destin : le quatre4, le sept, le douze5, le
treize, le dix-sept6sans oublier le fameux nombre dor7 Le mythe du chiffre est port par la
puissance de lnigme que constitue toute existence. Le don de la pomme dEve Adam,
nest-il pas le moyen de casser le code en accdant la connaissance ?
Mythe fondateur du pch originel que celui contenu dans la Bible8. Depuis toujours, il est
affirm que le texte de la Bible repose sur une structure cache obissant des rgles
mathmatiques. Linformatique a permis dapprofondir cette recherche. Trois scientifiques
israliens9 ont publi en 1994 un article dtaill sur le sujet. Ils valuent la probabilit que le
hasard dans leur dmonstration ne slve qu une chance sur 2,5 milliards.
Ils affirment que les messages cods formant un ensemble cohrent quils ont retrouvs, ont
t intentionnellement inclus dans le texte par une intelligence suprieure10.
La Shoah, la cration de lEtat dIsral, lassassinat de Rabin seraient annoncs.
Ceci ne prouverait pas ncessairement que si ces codes sont vritablement prsents que Dieu
les y a introduits. Une bataille dexperts est n, o partisans et sceptiques se sont affronts11.
Le journaliste Michael Drosnin entra alors en scne. Ctait dautant plus intressant que ce
dernier se dfinissait comme juif agnostique. Il publia La Bible, le code secret12 . Il
lattribua lui une intelligence extra-terrestre, cornant le mythe.
Cest alors que de nombreux chercheurs voulurent relever le dfi, parmi eux des Chrtiens,
des Juifs pratiquants ou pas. Leurs tudes ont gravement remis en cause ces affirmations et
dmontr que des codes secrets identiques ceux de la Bible se trouvaient dans toute
langue intelligible avec une probabilit plus grande que dans un ensemble incohrent de
lettres sans aucune signification.
On trouva dans Moby Dick, la dclaration code de la mort de Lady Di accompagne du
nom de son amant Dodi et mme celui du chauffeur de la voiture !
Des codes dits ngatifs et contradictoires furent aussi trouvs dans la Bible, tel que Dieu est
une chose dtestable ou tantt Il y a un Dieu , il ny a pas de Dieu.
La conclusion a t que la Bible est un livre irremplaable mythique et qui sil a t inspir
par Dieu, celui-ci ny a mis aucun code secret. Des partisans acharns de lexistence de
messages cachs poursuivent toujours leur combat. Mais Dieu, peut-tre pour nous mettre
lpreuve, a aussi bien pu introduire des messages codes en faisant croire quil sagissait dun

4
Le 4 porte malheur en Asie. Selon la prononciation, le mot peut signifier mort en Chinois.
5
Le 12, nombre divin : 12 dieux dans lOlympe, 12 tribus dIsral, 12 signes du zodiaque, 12 aptres
6
Le 17 porte malheur en Italie.
7
Matila Ghika (1881-1965), Le nombre dor, Gallimard, 1931. Prince diplomate et ingnieur naval roumain.
8
On saccorde dater les textes de la Bible hbraque du VIIIe sicle au IIe sicle avant J.C.
9
Dorson Witztum, Eliahu Rips et Yoav Rotenberg, respectivement physicien, professeur de mathmatiques et tudiant
en informatique
10
Ces messages cods ne se trouveraient que dans la version du texte hbreu canonique dite massortique de la Bible.
Elle serait due aux copistes respectant trs fidlement les textes, lesquels sont dits Seigneurs de la tradition .
11
Les sceptiques tant Brebdan Mc Kay, mathmaticien ; James D. Price, ingnieur et professeur dHbreu, Barry
Simon mathmaticien et juif orthodoxe.
12
Michal Drosnin, La Bible : le code secret, Laffont, 1997.

Un livre collectif 13 / 296


Mythes et lgendes des TIC

pur hasard, car il exige de nous la vritable foi13. Parce que tu mas vu, tu as cru. Heureux
ceux qui nont pas vu et qui ont cru !14 dit le Christ de lEvangile Thomas.
Selon Hrodote que lon saccorde reconnatre comme le Pre de lHistoire , le rcit de
lIliade aurait t rdig entre 850 et 750 avant J.C., soit quatre sicles aprs la guerre
mythique quil relate. Un passage de lIliade mentionne que Bellrophon fut chass dArgos
par le roi Proetos car la reine Ante lavait faussement accus de harclement, comme la
tradition considrait que la mise mort dun hte tait un crime impardonnable, il lenvoya
donc chez son beau-pre en Lycie, lui confiant une tablette dargile recouvertes de signes
inconnus remettre ce dernier. Ces dessins symboliques gravs taient des lettres dun
alphabet diffrent que le grec et demandaient que Bellrophon soit tu. Reconnu comme
dessence divine, ce petit-fils de Sisyphe qui eut combattre sur dautres cieux15 ne fut pas
assassin.

LE CHIFFRE, CLE DE VOUTE DE L'HISTOIRE


La cryptologie, discipline vieille de plusieurs milliers dannes est aujourdhui lavant-garde
de lhistoire de lhumanit : son ct pile dfend notre libert individuelle, son ct face nous
protge de celle des autres mais elle affiche deux visages, tel Janus, le dieu des portes, celle de
la paix alors ferme, celle de la guerre alors ouverte, Janus tourn vers le pass et tourn vers
lavenir.
Une sculpture symbolisant la cryptologie se dresse lentre du sige de la CIA Langley en
Virginie. Des centaines de lettres y sont graves reproduisant un message chiffr. Seul
lartiste, crateur de luvre et le directeur de linstitution connaitraient le texte clair de ce
message. La cl se transmettrait-elle de directeur en directeur comme le code de larme
atomique de prsident en prsident ? Il semblerait que ce texte ait t dcrypt il y a
maintenant plusieurs annes. Gageons quil prne la paix et lentente entre les peuples.
En politique, diplomatie, conomie, la cryptologie est une arme de premier plan.
Les hackers ayant infiltr Bercy ne sinscriraient-ils pas dans un mouvement de contestation
numrique, une sorte d altermondialisme numrique comme le proclame haut et fort Eric
Filiol16. Le mythe de la cryptologie seffondrerait-il quand le site hyper protg de lEtat est
attaqu avec succs ? Combien de vols, dintrusions, dinformations capitales, de documents
perdus jamais constats. ?
Le mythe du fruit dfendu de la Bible est de retour, car la cryptologie longtemps sous
contrle militaire prsente maintenant aussi de grands dangers, elle dissimule des actes
condamnables, lactivit des mafias, le blanchiment dargent, le terrorisme
Le contrle de la cryptologie ne peut tre nglig et linverse il faut crer lexemple de la
Core du Sud des units de cyberdfense. Lexistence du dcryptement comme source
dinformation et lexplication qui a pu en tre donne par les services de renseignement
lorsquelle a t rvle, est reste souvent cantonne dans des milieux restreints. Ce fut le
cas pour le radiogramme de la Victoire de juin 1918, pour les travaux dUltra chez les

13
http://jewsforjudaism.org/response.html
14
Evangile de Jean, 20.24-29. Le Christ sadresse laptre Thomas.
15
Allusion sa fin et celle de son destrier mythique Pgase.
16
Il se dfinit comme un corsaire de la scurit informatique. Il a dirig le laboratoire de virologie et de cryptologie de
lESAT et enseigne maintenant lESIEA de Laval.

Un livre collectif 14 / 296


Mythes et lgendes des TIC

Britanniques et Magic chez les Amricains. On peut mme prtendre que les autorits civiles
et militaires sont restes dans leur majorit, ignorantes du rle jou par la cryptologie lors des
conflits.
Vassili Mitrokhin17 affirme que la CIA na pas t mise au courant avant fin 1952 des
rvlations dcryptes ds 1948 par lUS Army Security Agency (ASA). Le prsident Truman
avait t tenu lgard de ces informations, de crainte quil en fasse mention au directeur de
la CIA.
Il a fallu attendre 1945 pour que la dfection dun employ du chiffre de lambassade
sovitique Ottawa, Igor Gouzenko soit correctement exploite et permette de dcouvrir
lextraordinaire ampleur de lespionnage sovitique par lURSS des secrets nuclaires allis.
Les dcryptements qui ont chang le cours de lHistoire napparaissent que peu nombreux,
ce qui signifie que beaucoup sont demeurs inconnus, que le secret de russite avait t bien
gards mais lorsquils le furent, la ralit en fut blouissante.
La suprme russite de la cryptologie au cours du temps a t de rester secrte, tour de force
dans une socit qui a aujourdhui le culte de la transparence. Antoine Rossignol18 ne cessa
de rpter que pour quun chiffre militaire soit performant, il devait retarder le dcryptement
jusqu ce que lordre ait t excut ou jusqu ce que le renseignement nait plus aucune
valeur. Ce principe reste fondamental dans lusage de cette science mme si tous les aspects
de notre vie tendent devenir dpendants de la cryptologie avec les ordinateurs, les cartes
bancaires
Ne pas avoir de secrets est un renoncement. Si pour Madame de Stal La gloire tait le
deuil clatant du bonheur , ne peut-on pas dire sous forme de boutade que facebook est le
deuil clatant du secret.
De nombreuses affaires despionnage en tout genre o la cryptologie joue le premier rle se
sont additionnes depuis le dveloppement de cette discipline dans notre quotidien. Les
satellites et les systmes dcoute et de dcryptement quadrillent la plante depuis longtemps,
les hackers ou ne faut-il pas prfrer le mot les crackers19sont de plus en plus jeunes, de plus en
plus performants. Cette sorte de monte aux extrmes ne finira telle pas par produire une
sorte dquilibre de la terreur comme le nuclaire en son temps ?
Concluons sur lexpression chiffre-cl , ces deux mots qui sont un double ssame au sein
de la cryptologie o tout repose sur chacun de leur respectif secret. Amusons-nous de la
richesse du vocabulaire en ce domaine : avancer un chiffre, le doubler, le gonfler, il est l
employ au singulier mais lest aussi ailleurs au pluriel comme : tre fch avec les chiffres,
jongler, maquiller, falsifier les chiffres !
Le mot code prolifre de mme : code de conduite, civil, postal, pnal, de la route, gntique
sans oublier jamais le code dhonneur Le mythe de la cryptologie dans lHistoire rsiste
toutes les dmonstrations car il sapparente au divin alors que la ralit quotidienne remet
tout en cause, fausse tout.
Une spirale infernale nous entrane en acclrant la vitesse du temps, devenu temps
numrique o une information en chasse une autre dans la seconde. Paralllement le pouvoir

17
Transfuge russe qui a crit avec Christopher Andrew Mitrokhin Archives.
18
Antoine Rossignol (1600-1682), eut le titre de Conseiller du roi, son fils Bonaventure et son petit-fils furent aussi
dminents cryptologues.
19
Expression de Eric Filliol

Un livre collectif 15 / 296


Mythes et lgendes des TIC

du chiffre a augment dans les mmes proportions et celui des dcrypteurs tout autant, sinon
davantage ? Lhumain est le maillon faible : Marie Stuart, Le chevalier de Rohan, Marie-
Antoinette, le gnral Pichegru, Murat moururent du chiffre pour des raisons diffrentes,
tratrise, oubli, vantardise, compromissions. Painvin20 en tomba malade, Olivari21 eut de
terribles maux de tte, Betty Pack y perdit la sant. Certains ont du tre atteints de folie !
Le chef des renseignements britanniques Stewart Menzies en fut prisonnier au point de ne
pouvoir voquer la machine Enigma pour assurer sa propre dfense.
Flechter Pratt relate quun officier du Bureau du chiffre anglais a calcul quun tiers des
messages chiffrs passant dans son service au cours de la Premire Guerre tait erron car
des fautes avaient t faites dans le chiffrement.
Quand une information est secrte, ladversaire mettra tout en uvre pour lobtenir. Francis
Walsingham, le matre-espion dElisabeth dAngleterre avait pour principe de demander que
les archives des messages des chiffreurs du royaume soient dtruites.
Souvenons-nous de Pandore voque plus haut. Dote de nombreuses qualits, elle avait
aussi quelques dfauts : Herms lui avait appris le mensonge et Hra la curiosit.
Cest pourquoi elle ne sut rsister et ouvrit la fameuse bote que Zeus lui avait offerte pour
son mariage, tout en la mettant en garde du danger de soulever le couvercle. Les maux de
lhumanit furent ainsi librs : la guerre, la maladie, la famine, la pauvret, le mensonge, le
vice, la passion destructrice ainsi que lEspoir, mais Pandore affole voulut refermer le
couvercle, il tait hlas trop tard, seul lEspoir, dernier schapper y resta.
Ce nest pas un hasard si Pandore que Hsiode22, lade qui affronta Homre selon la lgende
dans un tournoi dialectique est appele le si beau mal . La strophe sibylline qui introduit
ces pages devrait tre dchiffrable23 pour tout Arcsien encore que lon puisse avoir
diffrentes interprtations
Du Cantique des Cantiques, au Quantique des Quantiques sans omettre le possible
CANTIQUE des QUANTIQUESlhistoire du chiffre est mythique. Longtemps la
cryptologie quantique nous a t prsente comme ouvrant les cls du paradis. On a appris
depuis que celle-ci ne serait pas invulnrable24.
Sir Charles Napier, lors de la conqute des Indes, tlgraphia du front do il commandait la
campagne du Sindh, le plus bref message de lHistoire du chiffre : PECCAVI (I have Sinned)
Ceci nest pas une lgende.

20
Le capitaine Georges-Jean Painvin qui dcrypta le Tlgramme de la Victoire en juin 1918.
21
Le colonel Henry Olivari appartenait la section du chiffre pendant la Premire Guerre Mondiale. Il sera envoy en
mission en Russie pendant six mois.
22
Pote grec du VIII me sicle avant J.C.
23
Arcsi : Association des Rservistes du Chiffre et de la Scurit de lInformation.
24
Constatation que le professeur dinformatique quantique Hoi-Kwong Lo Toronto rsume par cette phrase
lapidaire : Nous avons tout autant besoin de hackers quantiques que de cryptographes quantiques . Le Monde,
internet Actu.net, du 26.06.2009.

Un livre collectif 16 / 296


Mythes et lgendes des TIC

LA NEUTRALITE DU NET, UN MYTHE PARADOXAL

Dominique Lacroix, prsidente de la Socit europenne de l'Internet (SEI)

L'expression neutralit d'Internet , trompeuse pour les non initis, dsigne un principe
d'architecture des rseaux lectroniques. Ce principe fait l'objet d'un dbat mondial depuis
plus d'un an : Union europenne, USA, Japon, Norvge, Sude, Royaume-Uni etc. La France
y a consacr l'anne 2010 et va lgifrer sur ce thme en 2011, notamment dans le cadre de la
transposition du Paquet Tlcom europen de 2009.
De quoi s'agit-il ? Les oprateurs rseaux qui font circuler les paquets d'information ne
doivent pas y toucher. Sauf force majeure comme une congestion de rseau ou une attaque,
ils doivent les transporter sans discrimination, que ce soit selon la source, la destination ou le
type de message auquel le paquet appartient (donnes, voix, audio, vido). Ce principe est
tendu aux services et applications, ce qui interdit les pratiques commerciales de distribution
exclusive, d'exclusion et de traitement prioritaire au sein des offres Internet. La transparence
est requise sur les oprations de gestion des flux et sur le contenu rel des offres de services
Internet. premire vue, ce sont des principes basiques : protection de la confidentialit et
de l'intgrit de la correspondance (principe au moins aussi vieux que le tlgraphe), droit de
la concurrence et droits d'information du consommateur.
Et pourtant, les affrontements sur ce thme sont mondiaux et vhments. Pourquoi ?
Des motifs conomiques, d'abord, permettent de comprendre ce paradoxe. La dernire
dcennie a consacr l'organisation conomique d'Internet en quatre groupe d'acteurs :
producteurs d'lments de rseaux et de terminaux (ex. Intel, Microsoft, Cisco, Alcatel-
Lucent, Dassault Systems), oprateurs rseaux (ex. AT&T, Verizon, France Telecom),
fournisseurs de services et intermdiaires (ex. Google, Amazon, eBay, Pages Jaunes) et
producteurs de contenus (ex. The Walt Disney Company, Time Warner, Lagardre, Reed
Elsevier). La catgorie la plus rcente, les intermdiaires, est celle participe le moins
l'investissement dans les rseaux, chappe largement l'impt et ralise les bnfices les plus
importants. C'est aussi celle qui occupe une part croissante des ressources en bande passante.
Cet effet ciseau ressort bien des tableaux de l'volution de la part relative de la vido dans le
trafic d'une part et taux de marges, d'investissement et de bnfices d'autre part.

Un livre collectif 17 / 296


Mythes et lgendes des TIC

En bref, la vido sature les rseaux . Pour renouveler et amliorer les infrastructures, tant
fixes que mobiles, les oprateurs rseaux sont tents de facturer soit aux offreurs de
contenus des services de livraison prioritaire, soit aux abonns une qualit de service
privilgie ou des bouquets de contenus exclusifs. Toutes offres en infraction avec le
principe de neutralit.
On en est l. Comment rguler ? Et qui va raliser les investissements d'infrastructures en
trs haut dbit reconnus indispensables ?
Le dcor une fois plant, on devine le sourire entendu des professionnels et initis.
La neutralit d'Internet ? Pfi ! Un principe mythique. La neutralit n'existe pas et, si elle a
jamais exist dans l'Internet, il y a belle lurette qu'on l'a abandonne.
L'examen successif des trois niveaux d'Internet, physique, logique et contenus, tonne en
effet au regard de la neutralit.
La matrialit sous-jacente, quoique souvent occulte, repose d'abord sur une pine dorsale
de cbles qu'il faut bien fabriquer et poser, sous la terre et sous les mers, puis grer pour
distribuer l'accs, en principe le plus largement possible travers le globe.
Or, ce monde du silence, terriblement opaque et sans rgulation, est tenu par un club trs
ferm, celui des plus gros fournisseurs de premier niveau. Ces acteurs changent par troc
(peering) entre homologues et ce simple jeu les connecte l'ensemble des rseaux.
Plus on s'loigne de ce qu'il faut bien appeler le centre d'un rseau rput acentr, plus les
acteurs changent par accords de transit, c'est dire d'achat de transport factur, mcanisme
o les acteurs les plus loigns du centre ont un faible pouvoir de ngociation sur les prix.
Mis part le japonais NTT, l'indien Tata et TeliaSonera qui est finno-sudois, ces gros
transporteurs sont tats-uniens. Ils contrlent donc le trafic de quasiment l'ensemble de la
plante et en font remonter l'essentiel des bnfices puisque l'exploitation de la fibre optique
ce niveau est rpute permettre des marges confortables.
Le niveau logique n'est gure plus quilibr. Le systme Isoc-Icann, mis en place par le
Ministre amricain du commerce, a dvolu le contrle des ressources critiques adresses
IP, extensions et noms de domaines l'Icann, association de droit californien. On
aimerait croire aux engagements pris pour grer ces ressources comme l'exige un espace
public mondial. Mais pour le moment, ni la transparence requise, ni la reddition de comptes
devant une instance internationale ne sont au rendez-vous. Et, par exemple, la France gre
toujours son domaine national le .fr en vertu d'une dlgation accorde par cette association
californienne.

Un livre collectif 18 / 296


Mythes et lgendes des TIC

On sait par ailleurs qu'en termes gostratgiques les tats-Unis ont dfini l'espace et le
cyberespace comme rservoirs de croissance et de puissance. Les observateurs peinent donc

croire les promesses de partage du pouvoir sur le rseau mondial sans dmonstrations
tangibles.
Les contenus enfin. La neutralit va de pair avec le principe de bout-en-bout (end-to-end).
L'intelligence est place en bout de ligne et le pouvoir donn aux utilisateurs. C'est, disait la
lgende, la fin des intermdiaires. Or, jamais les intermdiaires n'ont t si puissants et
concentrs : Google, Amazon, eBay, Apple, Yahoo, MSN, Facebook et autres compagnies,
commercialisent tout ce qui peut l'tre dans le nouveau monde : donnes personnelles,
donnes de connexions, statistiques, musique, livres, interstices d'espace sur les sites,
transactions entre les personnes etc.
Cette conomie numrique, florissante pour une poigne d'acteurs, s'tablit sur des
fondamentaux bien analyss : la quasi-nullit du cot marginal de production et la non
rivalit, cette espce de magie qui empche un objet numrique de disparatre quand on le
consomme .
Est-ce pour autant que les simples citoyens peuvent, eux aussi, explorer les bnfices inous
de cet univers conu aux origines pour l'change et le partage ? Cet univers toujours dcrit
comme le vhicule d'une socit d'information, de cration et d'mancipation ? Cet univers
o l'attention des individus ne serait plus capte leur insu ou contre leur gr mais dsormais
ddie la coopration, la coproduction de savoirs et la rsolution de problmes
socitaux ?
On peut en douter et craindre que les internautes ne soient au contraire la cible de
producteurs de contenus en recherche de consommateurs. Le temps humain disponible n'est
pas extensible dans les mmes proportions que les supports numriques et les catalogues de
droits fabriqus. Un autre effet ciseau se profile l'horizon. Le choc risque d'tre violent.
C'est avec leurs cibles commerciales elles-mmes que les producteurs de contenus entrent en
concurrence. L'enjeu se rvle clairement. Sans garde-fous nergiques, l'Internet serait en
train d'involuer vers un dispositif de Minitel amlior. Le renforcement et la dfense du
copyright met en place aux quatre coins de la plante un arsenal juridique et rpressif, fruit de

Un livre collectif 19 / 296


Mythes et lgendes des TIC

la convergence des besoins de surveillance entre socits commerciales candidates pages


et pouvoirs politiques enclins au contrle scuritaire.
Revenons donc notre neutralit du net. On peut hausser les paules et, sourire en coin,
faire mine de clairvoyance face un mythe corn : Ce fut un mythe fondateur, mais
soyons modernes et ralistes. Business as usual...
Par del l'viction frquente face ces interminables dbats fondements techniques, on
peut se demander qui a vraiment intrt refuser l'analyse et la rgulation visant restaurer la
neutralit des rseaux.
Le fait est que le dcalage entre discours et ralit est d'une ampleur rare. Plus on s'loigne de
la neutralit des rseaux plus les proclamations d'attachement au principe se multiplient,
comme l'expression d'un inconscient inquiet, comme dans une sorte de schizophrnie
sociale.
La Commission europenne a assorti le Paquet Tlcom d'une dclaration explicite en faveur
de la neutralit. Elle a consacr le rle des agences nationales de rgulation dans la dfense
d'Internet ouvert et neutre.
La France est le pays qui s'illustre simultanment avec d'un ct la riposte gradue au partage
de fichiers prsum illgal qui fait d'elle le hraut mondial de la Walt Disney Company et de
l'autre ct une agence de rgulation, l'Arcep, qui donne l'exemple du travail srieux et
mthodique d'un rgulateur engageant les acteurs restaurer l'Internet.
Aux tats-Unis, le rgulateur, la Federal Communications Commission (FCC), peine noncer et
dfendre quelques principes bien en de de ceux de l'Arcep. Pourtant, le prsident Obama
lui-mme est un partisan dclar de la neutralit du net, qui tait mme l'un de ses thmes de
campagne.
La neutralit du net apparat comme un rve qui hante des pouvoirs impuissants, comme une
patate chaude que tout le monde se passe en esprant que le problme sera rsolu sans avoir
le traiter, sans avoir affronter les intrts divergents.
Aussi peut-on tre tent d'affirmer que le mythe n'est pas la neutralit du net. Le vritable
mythe, ce qui n'existe pas ou plus, c'est un pouvoir tutlaire et cohrent, qui, par nature,
veillerait aux intrts des populations. Le pouvoir politique actuel est plutt un vaste champ
de bataille o s'affrontent des groupes d'influence, une instance charge de prparer l'avenir
incertain avec des valeurs du pass.
L'autre mythe, ce qui n'existe pas encore, mais pourrait advenir, ce serait une humanit
consciente, qui prendrait son sort et celui de la plante entre ses mains et se mettrait au
travail sur ce qui importe vraiment.
Peut-tre cette prise de conscience pourrait-elle se produire ? Grce l'Internet, justement,
grce un Internet neutre et ouvert !

Un livre collectif 20 / 296


Mythes et lgendes des TIC

LE MYTHE DE LA COMPETENCE TERRITORIALE


D'UN JUGE FRANAIS

Sadry Porlon
Avocat au Barreau de Paris
Docteur en droit

INTERNET ET LA QUESTION DE LA COMPETENCE DES JURIDICTIONS FRANAISES


LInternet pose, par essence, un problme de dtermination du juge comptent et du droit
applicable dans des situations comprenant un lment dextranit.
Les litiges ainsi prsents devant les juridictions franaises opposent rgulirement deux
thories : celle de laccessibilit dune part, celle de la destination, dautre part.

LEMERGENCE DU CRITERE DE LACCESSIBILITE


Suite un arrt remarqu rendu le 9 dcembre 2003 par la Cour de cassation25, dans une
affaire dite Champagne Roederer, qui considrait les juridictions franaises comptentes
pour obtenir rparation du dommage subi en France raison d'actes de contrefaon commis
sur un site Internet tranger, du simple fait de leur accessibilit partir du territoire franais,
on a vu merger le critre daccessibilit.
Cet arrt retenait en effet, qu'en admettant la comptence des juridictions franaises pour connatre de la
prvention et de la rparation de dommages subis en France du fait de l'exploitation d'un site internet en
Espagne, la Cour d'appel qui a constat que ce site, ft-il passif, tait accessible sur le territoire franais, de
sorte que le prjudice allgu du seul fait de cette diffusion n'tait ni virtuel ni ventuel, a lgalement justifi sa
dcision .
Larrt tait ainsi fond sur le critre de laccessibilit, alors quil ny ni avait ni fait gnrateur
ni dommage reli la France.

LA CONSECRATION DU CRITERE DE LA DESTINATION


Depuis un arrt dit Hugo Boss rendu le 11 janvier 200526, la Cour de Cassation retient
dsormais quil ny a contrefaon que si et seulement si le service ou le produit vise
spcifiquement le public de France. Un critre de la destination est donc venu remplacer
celui de laccessibilit jug trop incertain.
Parmi les indices permettant de dmontrer que la destination du site est bien le public
franais, elle tient notamment compte de la langue utilise, du lieu de livraison du produit
ainsi que du public vis.
Dans un arrt du 6 juin 200727, la 4me chambre de la Cour dappel de Paris a galement
remis en cause le critre daccessibilit, qui permet une juridiction de se dclarer
territorialement comptente ds lors que le site Internet, objet des faits ou actes incrimins,

25
Cour de Cassation, 1re Ch. civ, Socit Castellblanch / Socit Champagne Louis Roederer
26
Cour de cassation, Ch. Com, Hugo Boss / Reemtsma Cigarettenfabriken
27
CA Paris, 4e ch., sect. A, 6 juin 2007

Un livre collectif 21 / 296


Mythes et lgendes des TIC

est accessible dans son ressort et a surtout ajout que : sauf vouloir confrer systmatiquement,
ds lors que les faits ou actes incrimins ont pour support technique le rseau Internet, une comptence
territoriale aux juridictions franaises, il convient de rechercher et de caractriser, dans chaque cas particulier,
un lien suffisant, substantiel ou significatif, entre ces faits ou actes et le dommage
allgu ; que, compte tenu de luniversalit de ce rseau, appliquer le critre de la simple accessibilit aurait
28
ncessairement pour consquence dinstitutionnaliser la pratique du Forum shopping .
Depuis ces diffrents arrts, les juridictions franaises ont tendance rappeler lexigence du
critre de la destination quand se pose la question du bien fond de leur comptence.
Dans un rcent arrt en date du 29 mars 201129, qui concernait la plateforme Ebay, la Cour
de cassation a dailleurs cass larrt dappel au motif quil a retenu que le tribunal franais
tait comptent sans quil soit utile de rechercher sil existe ou non un lien suffisant, substantiel ou
significatif entre les faits allgus et le territoire franais et soutenu que le seul critre de
laccessibilit dun site internet en France ne permet pas de retenir la comptence du tribunal
franais, pris comme celui du lieu du dommage allgu.
Elle rappelle, par ailleurs, que pour admettre la comptence de la juridiction franaise, il
aurait fallu que la cour dappel de Paris recherche si les annonces litigieuses taient destines au
public de France , ce qui ntait pas le cas au motif que les annonces litigieuses taient rdiges
en anglais et diffuses sur le site Ebay.com30.

28
Il s'agit de la pratique qui consiste pour un demandeur en raison de la diversit des rgles de comptences
internationale de saisir les tribunaux des pays appels rendre la dcision la plus favorable ses intrts.
29
Cour de cassation Ch. Com, Ebay Europe et autres / Maceo et autres
30
Arrt disponible sur le site legalis.net cette adresse : http://legalis.net/spip.php?page=jurisprudence-
decision&id_article=3142

Un livre collectif 22 / 296


Mythes et lgendes des TIC

LE MYTHE DE L'INUTILITE D'UNE DISCIPLINE


INFORMATIQUE DANS L'ENSEIGNEMENT GENERAL

Jean-Pierre Archambault, prsident de l'association Enseignement Public et Informatique (EPI)

Si, au fil des annes, un consensus sest progressivement dgag sur lide que linformatique
tait dsormais une composante de la culture gnrale de notre poque et, ce titre, un
lment de la culture gnrale scolaire, ce ne fut pas sans douleur. Les discours selon lesquels
linformatique ntait quune mode qui passerait comme passent les modes ont pris un sacr
coup de vieux. Pourtant on les entendait encore la fin du sicle dernier jusqu' ce que le
dveloppement d'Internet leur torde le cou.
Mais, s'il y a dsormais consensus sur lobjectif gnral, des divergences fortes subsistent
encore sur le contenu mme de la culture informatique et les modalits pour la donner
vritablement tous les lves. Avec un mythe qui a la vie dure : point ne serait besoin d'un
enseignement d'une discipline scientifique et technique en tant que telle. Un mythe qui
rserve ainsi un sort particulier l'informatique qui reprsente pourtant 30% de la R&D au
plan mondial (18% seulement en Europe). En effet, heureusement, on enseigne les
mathmatiques et les sciences physiques qui sous-tendent les ralisations de la socit
industrielle. Or le monde devient numrique comme l'a dit Grard Berry dans sa leon
inaugurale au Collge de France, le 17 janvier 2008 (Pourquoi et comment le monde devient
numrique).
Au nom de ce mythe, assorti d'un non-dit sur la rcupration de postesd'enseignants, une
option informatique prsente dans la moiti des lyces d'enseignement gnral, mise en place
dans les annes quatre-vingt, fut supprime une premire fois en 1992, rtablie en 1994 puis
nouveau supprime en 1998. Singulire faon d'entrer dans la socit numrique ! Entorse
au mythe, il y avait des lments d'informatique dans le cours de technologie au collge.
Le mythe fonctionne sur un certain nombre de prsupposs. Son cur de doctrine est que
l'utilisation des outils informatiques suffit se les approprier et donner une culture en la
matire. Les comptences attribues aux natifs numriques sont souvent invoques. Or
des thses universitaires montrent qu'il faut relativiser fortement les comptences acquises
hors de lcole, qui restent limites aux usages quotidiens. Elles sont difficilement
transfrables dans un contexte scolaire plus exigeant. Les pratiques ne donnent lieu qu une
trs faible verbalisation. Les usages reposent sur des savoir-faire limits, peu explicitables et
laissant peu de place une conceptualisation.
Le mythe a inspir le B2i (brevet informatique et internet) cens donner aux lves une
culture informatique travers son utilisation dans les autres disciplines. Mais les faits ont
montr que cela ne marchait pas. Rendu obligatoire pour l'obtention de brevet des collges,
on a assist des attributions massives et systmatiques du B2i afin que les lves ne soient
pas recals lexamen. Le B2i sest rvl tre une machine administrative, donnant lieu des
courses la croix sans ralits ni finalits pdagogiques.
Cela doit-il tonner ? Pas vraiment. En effet, le B2i suppose implicitement un apport de
connaissances mais ne dit pas o les trouver, dans quelles disciplines et avec quels
enseignants. Il nest dj pas vident dorganiser des apprentissages progressifs sur la dure
lorsque les comptences recherches sont formules de manire trs gnrale (du type
matriser les fonctions de base ou effectuer une recherche simple ), ventuellement

Un livre collectif 23 / 296


Mythes et lgendes des TIC

rptitives lidentique dun cycle lautre, et que les contenus scientifiques, savoirs et
savoir-faire prcis permettant de les acqurir, ne sont pas explicits. Mais, quand, en plus,
cela doit se faire par des contributions multiples et partielles des disciplines, partir de leurs
points de vue, sans le fil conducteur de la cohrence didactique des outils et notions
informatiques, par des enseignants insuffisamment ou non forms, on imagine aisment le
caractre ardu de la tche au plan de lorganisation concrte. Ainsi, un rapport de
lInspection gnrale de l'Education nationale a-t-il soulign que, si diffrentes circulaires
prcisent les comptences qui doivent tre valides et le support de lvaluation (feuille de
position), elles laissent nanmoins dans lombre de lautonomie les modalits concrtes de
mise en uvre . Pour se faire une ide de ces difficults, il suffit dimaginer lapprentissage
du pass compos et du subjonctif qui serait confi dautres disciplines que le franais, au
gr de leurs besoins propres (de leur bon vouloir ), pour la raison que lenseignement sy
fait en franais. Idem pour les mathmatiques, outil pour les autres disciplines. Avec une
approche dans laquelle on placerait l'tude des entiers relatifs dans le cours d'histoire (avant-
aprs JC) et celle des coordonnes en gographie au gr des notions de latitude et de
longitude !
Le mythe n'empche pas les entreprises du secteur des TIC d'avoir du mal recruter les
personnels qualifis dont elles ont besoin. Or l'on sait bien l'importance de la prcocit des
apprentissages. L'on sait galement que le lyce est l'espace et le moment o les lves
construisent leur autonomie intellectuelle et o naissent les vocations. Les lycens choisissent
d'autant plus une voie par got aux contenus qu'ils l'ont effectivement rencontre
concrtement dans leur scolarit. En 2009, le rapport Stratgie nationale de recherche et
d'innovation , le SNRI, a fait le constat que la majorit des ingnieurs et chercheurs non informaticiens
n'acquirent pendant leur cursus qu'un bagage limit au regard de ce que l'on observe dans les autres
disciplines. Pourtant, ils utiliseront ou pourront avoir dcider de l'utilisation d'outils informatiques
sophistiqus. Il est craindre qu'ils ne le feront pas avec un rendement optimal ou que, en position de
responsabilit, ils sous-estimeront l'importance du secteur.
Le vote de la loi Cration et Internet dite loi Hadopi, la transposition de la directive
europenne sur les Droits dauteur et les droits voisins dans la socit de linformation
(DADVSI) par le Parlement en 2006 ont t loccasion de dbats complexes o exercice de
la citoyennet a rim avec technicit et culture scientifique. En effet, sil fut abondamment
question de copie prive, de proprit intellectuelle, de modles conomiques, ce fut sur
fond dinteroprabilit, de DRM, de code source, de logiciels en tant que tels. Dans un cas
comme dans lautre on na pu que constater un srieux dficit global de culture du
numrique largement partag. La question se pose bien de savoir quelles sont les
reprsentations mentales oprationnelles, les connaissances scientifiques et techniques qui
permettent tout un chacun dexercer pleinement sa citoyennet (lors des dbats concernant
le nuclaire le citoyen peut s'appuyer sur ses connaissances acquises dans le cours de sciences
physiques ; pour ceux concernant les OGM sur le cours de SVT). Sans risque de se tromper
on peut affirmer que cliquer sur une souris et utiliser les fonctions simples dun logiciel ne
suffisent pas les acqurir, loin de l. N'en dplaise au mythe, qui a du mal concevoir que
l'informatique, outil pour enseigner, outil dans les autres disciplines et l'informatique objet
d'enseignement en tant que tel, sont complmentaires et se renforcent mutuellement.
Mais le mythe vacille. De nombreuses actions ont t menes en faveur d'une discipline
informatique au lyce, notamment par l'EPI. Un enseignement de spcialit optionnel
Informatique et sciences du numrique a t cr en Terminale S. Il entrera en vigueur
la rentre 2012. C'est un premier pas positif qui en appelle d'autres...

Un livre collectif 24 / 296


Mythes et lgendes des TIC

LES MYTHES DE LA SOCIETE DE LA CONNAISSANCE

Laura Garcia Vitoria, directrice scientifique de la Fondation des Territoires de Demain

Toute socit en pleine reformulation de ses valeurs et de ses objectifs se trouve tre une
grande productrice de mythes renvoyant son pass aussi bien qu'au futur qu'elle s'imagine
devoir construire.
Le premier niveau de la fabrique des mythes rside naturellement largement dans les images
mentales qu'elle gnre, qu'il s'agisse d'images d'anticipation qui s'avrent toujours errones,
mais aussi d'une absence dans ces mmes images du pass qui est le sien et dont nos
contemporains regrettent l'avance leur absence ! Nous savons tous au travers de
l'exprience de nos annes passes combien ces deux catgories de reprsentations s'avrent
videmment minemment fausses et qu'elles font partie habituellement des mythes ici
voqus.
Aux ctes des images, c'est le vocabulaire qui se voit producteur de mythes multiples. C'est le
cas de tous les fosss sociaux et psychologiques que n'arrtent de dnoncer ceux qui y voient
le seul horizon possible pour justifier leurs fantasmes politiques et conomiques. Le savoir -
pourquoi ne pas le dire ici - est pourtant bien moins vecteur de fractures sociales que
l'ignorance !
Il en est de mme des expertises qui devront tre les ntres dans la socit de demain: elles
seront en effet bases sur des stratgies d'appropriation des savoirs dclines au quotidien,
que des outils technologiques naissants nous permettront de russir et qui ne seront en
aucun cas des vecteurs d'checs dans la mmorisation de ce qui assure la gestion de nos
identits.
De mme encore, font parties des mythes de la socit naissante, l'vidence, les soi-disantes
dviations des savoirs et des savoir-faire : il ne saurait bien sr en tre autrement, tant les
mutations des socits tonnent pour assurer les fins de leurs habitudes de lire et de penser,
de regarder et de dduire, de croire et de s'assurer. Nous savons l encore - au travers de tous
les exemples que l'histoire des deux ou trois millnaires nous propose - qu'il n'en est rien,
souvent bien au contraire !
C'est le cas prcisment des nouvelles faons de travailler et de vivre qui s'esquissent sous
nos yeux. Jamais nous n'avons eu autant de moyens de nous souvenir, de nous rfrer
notre pass, de nous le projeter dans les endroits les plus adquats, d'en associer les
composantes l'heure qui nous sied le plus.
Nous imaginons de mme les individus plongs dans de nouvelles formes d'isolement, alors
mme que l'conomie du lien mergente qui nous environne nous aide fabriquer des
rapports aux autres dmultiplis.
La mise en rseau de ce qui rend notre prsence au monde plus pertinente nous permet
d'ailleurs de crer cet gard le meilleur des imaginaires alliant des environnements tactiques
producteurs de sens des cosystmes nous offrant toutes possibilits de changement, au fur
et mesure des objectifs qui se proposent nous.
Aussi, peine sortis d'horizons sociaux aux contraintes multiples, nous nous forgeons des
mythes de contraintes nouvelles qui ne tiennent en ralit, l encore, qu' nos propres
ignorances, nos visions de problmes de toutes natures sans d'abord voir autour de nous ce

Un livre collectif 25 / 296


Mythes et lgendes des TIC

qui permet prcisment d'y mettre fin. Constitue ce propos un vrai paradigme la naissance
d'un rseau international de journalistes se proposant, en liaison avec de nombreux acteurs
conomiques et technologiques, d'voquer les solutions plus que les problmes, les
possibilits humaines plus que les impossibilits matrielles...
Certes, la mythologie ainsi esquisse ne saurait tre bien videmment univoque, elle sait aussi
agencer des inquitudes - mme si celles-ci rsident surtout dans notre apprhension ne
pouvoir y faire face -.
Plus sombre donc peut paraitre la liste des dfis et notre propension penser d'abord la
difficult pour y faire face. Et l aussi, nous nous fabriquons un horizon mythologique
consquent.
Ainsi s'enrichit d'abord une imagerie de l'autre qui n'est pas loin de forger un nouveau
chapitre des imageries d'Epinal qui nous montrent des pouvoirs qui n'en sont pas au travers
notamment de la dmultiplication des rseaux sociaux. De mme en sera-t-il des penses qui
n'en sont pas, des rfrences sans consistance, des copier-coller sans mesure, des amis
clbres parce qu'inconnus, des propos qui s'entrechoquent, des mises en liaison rapides, des
comprhensions lentes devant des listes de micro-bloging interminables...
La galerie s'avre donc d'ores et dj consistante, avec ses enthousiasmes faciles et ses
craintes qui ne le sont pas moins, avec un horizon social o les uns ont le sentiment de
pleinement se retrouver et d'autres dmultiplient des regrets dont la vacuit ne saurait les
accompagner dans le futur.

Un livre collectif 26 / 296


Mythes et lgendes des TIC

1 PARTIE : ASPECTS INFORMATION


ET SYSTEMES D'INFORMATION

Un livre collectif 27 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES D'INTERNET

Grard Peliks, CASSIDIAN


an EADS Company

LES FAUSSES CERTITUDES


L'Internet est tellement ancr dans notre vcu quotidien que comme pour toute chose qui
s'est rapidement impose, il s'est bti autour de ce phnomne, des croyances devenues
certitudes qu'il n'est mme pas envisageable de remettre en question sans passer pour
quelqu'un qui n'a rien compris ce qui semble vident l'homo vulgaris.
Mais ces certitudes ont parfois leur part d'erreurs et peuvent figer le dveloppement de ce
moyen irremplaable de communication qui a bien besoin d'voluer, peut-tre mme en
changeant de base.
Mieux comprendre l'Internet d'aujourd'hui, en particulier dans ses couches basses est
indispensable pour apprhender les travaux qui sont mens actuellement dans des centres de
recherche, et qui pourraient bien changer les bases de l'Internet du futur.

MYTHE N 1 :
L'INTERNET BENEFICIE LARGEMENT DE L'INNOVATION
En fait trs peu d'innovations ont t ralises depuis la fin des annes 70 dans les couches
basses d'Internet. Comme le systme fonctionne, port par l'augmentation des performances
prvue dans les lois de Moore, comme les protocoles sont entrins par des organismes de
standardisation, l'IETF en particulier, ceux qui avaient le pouvoir de faire voluer l'Internet
ont prfr se servir de l'existant pour asseoir leur business. Notons que la standardisation
d'Internet n'est pas le fait d'organismes internationaux de normalisation comme l'ISO, l'UIT
ou l'ETSI, et que l'IETF est un organisme essentiellement sous contrle des Amricains.
La recherche et le dveloppement des couches basses d'Internet ont t laisss l'abandon
car les retombes en revenus immdiats n'ont jamais t perues de manire vidente et
l'aspect conomique a prim et cart l'innovation. Il fallait que l'Internet rapporte de
l'argent. Pour cela, il ne fallait surtout pas toucher aux couches basses qui devaient rester
stables.
Certes, ct applicatif, il y a eu de grandes innovations, comme bien sr le Web, aujourd'hui
participatif et demain smantique, comme les nouveaux usages : musique, vido, films, P2P,
ToIP, forums. Il y en aura de nombreux autres peine croyables aujourd'hui, comme la 3D
et la ralit augmente... Mais justement, ces avances peuvent difficilement reposer sur des
couches basses qui n'ont pas volu en rapport avec ce que rclament les nouvelles
applications, en scurit, en mobilit, en sans-fils, en multihoming (connexion plusieurs
rseaux).

MYTHE N 2 :
L'INTERNET EST UN RESEAU QUI APPARTIENT A TOUT LE MONDE
a c'est un mythe tellement rpandu que l'accs la toile, l'envoi des courriels, les forums de
discussion sont devenus aussi naturels que l'air qu'on respire et qui appartient tous, comme
semble l'tre l'Internet, abonnement un fournisseur de services mis part. Et pourtant

Un livre collectif 28 / 296


Mythes et lgendes des TIC

l'Internet est loin d'tre neutre. Il "appartient" l'ICANN (Internet Corporation for
Assigned Names and Numbers). En effet, l'ICANN gre l'espace d'adressage du sommet de
la hirarchie des noms de domaines d'Internet, et ses serveurs de noms de domaines racines,
ce qui en fait de facto son vritable propritaire car qui dtient le nommage dtient le
pouvoir.
Cr en 1998, l'ICANN est une organisation de droit priv, plus prcisment de droit
californien. Vinton Cerf, un des intervenants de notre grand vnement sur le futur
d'Internet du mois de janvier en avait t le prsident durant prs d'une dizaine d'annes. Il
est vrai que ces derniers temps, la gouvernance de l'ICANN est devenue un peu moins
amricaine, mais peine moins. On dit que le prsident des Etats-Unis dispose (ou
disposera) d'un gros bouton rouge, pour dsactiver l'Internet mondial en cas de cyber
attaque grave sur son pays. D'ailleurs les Etats-Unis avaient dconnect pendant un certain
temps le domaine de l'Irak du reste d'Internet. Aucun autre pays ne pourrait en faire autant.
Les Chinois ont dj pris leurs distances par rapport ce qu'on appelle encore
communment "l'Internet" (au singulier), en constituant leur propre Internet indpendant de
celui du reste du monde. Les Iraniens penseraient srieusement faire de mme. Ces
dissidences pourraient faire effet domino, ne serait-ce que pour prendre en compte des
alphabets non latins, des lettres accentues ou une philologie non amricaine. On parlera
alors non pas d'Internet mais "des" internets, tout ceci pour une question d'adressage et de
gestion des noms de domaines !

MYTHE N 3 :
L'INTERNET EST ISSU DU RESEAU ARPANET
Ce n'est pas faux. L'Internet a beaucoup bnfici des travaux raliss pour le rseau
ARPANET et en particulier du dveloppement des protocoles IP et des protocoles au
dessus (TCP, UDP, ICMP, FTP, SMTP, HTTP ).
Toutefois si on mne une recherche en paternit d'Internet, on peut remonter plus loin,
jusqu'aux travaux autour du projet CYCLADES de l'IRIA (qui allait devenir l'INRIA) et de
l'ide du datagramme, objet logiciel qui permet de travailler en mode sans connexion. A la
tte du projet CYCLADES, il y avait le Franais Louis Pouzin, qui revient le titre
d'inventeur d'Internet. Mais dans la France des annes 70, sous la prsidence de Valry
Giscard d'Estaing, les PTT avaient impos le circuit virtuel (mode avec connexion) qui allait
donner X25 puis ATM.
Et c'est ainsi qu'une ide franaise, un mode sans connexion, ne s'est pas concrtise en
France et que les Etats-Unis sont devenus les matres incontests d'Internet.

MYTHE N 4 :
LE ROUTAGE D'INTERNET EST DECENTRALISE
Dcentralis comme le routage du tlphone ou du GSM ? On voudrait bien que ce soit vrai
mais c'est loin d'tre le cas. Si on prenait une image, utiliser le routage d'Internet, c'est
comme si on demandait un facteur de distribuer le courrier, mettons rue de Vaugirard.
Mais le premier immeuble de cette rue ne serait pas le "1 rue de Vaugirard", mais le "232
boulevard Eisenhower", en face ce ne serait pas le "2 rue de Vaugirard" mais le 12 avenue
Mao Tse Toung, et ainsi de suite.
Vous voyez le surcroit de travail pour le pauvre facteur oblig de consulter un rpertoire qui
fait la liaison entre l'implantation de l'immeuble dans la rue et son adresse ? Et pour les

Un livre collectif 29 / 296


Mythes et lgendes des TIC

employs du centre de tri postal, quel cauchemar pour classer le courrier ! Il faut donc des
rpertoires (serveurs DNS).
Tout ceci suite de mauvaises options dans l'attribution des adresses IP, dans le nommage
des domaines et dans la rpartition des tches entre les couches IP et TCP. Mais c'est ainsi
que fonctionne le routage sur l'Internet car la plupart des routes sont statiques.
Chaque message, chaque fichier est dcoup en datagrammes et chaque datagramme qui
connat son adresse de destination (contenue dans le champ IP) est achemin de proche en
proche, via des routeurs, dans les rseaux connects. Et chaque routeur doit connatre vers
quel routeur de proximit transmettre le datagramme qui ne lui est pas destin, en fonction
des routes qu'il connait et de celles qu'on lui fait connatre.
Ceci entraine une explosion en taille des tables de routage, des performances dgrades car
les routeurs arrivent la limite de leur capacit de calcul et le problme va vite devenir
insoluble.

MYTHE N 5 :
L'ADRESSE IP IDENTIFIE UN ORDINATEUR
a vous semble vident ? Et bien non, l'adresse IP identifie le contrleur rseau par lequel
votre ordinateur se connecte l'Internet ou un Intranet. On aurait bien voulu qu'une
adresse IP indique qui en est le possesseur, ou au moins l'ordinateur qui possde cette
adresse si ce n'est qui est l'utilisateur de cet ordinateur, quel endroit se trouve cet ordinateur
et quelle est sa fonction. On est loin du compte.
Tous ces renseignements (qui, o, quoi), ne peuvent tre donns qu'en rajoutant
constamment des rustines au dessus de la couche IP d'Internet.
Comme l'a fait remarquer le professeur Kav Salamatian de l'Universit du Jura, l'Internet
bien conu il y a quarante ans pour un nombre trs petit de nuds, ses dbut dans le projet
ARPANET, avait une couche IP fine et lgante, mais elle s'est trs vite engraisse et
prsente aujourd'hui de grosses poignes d'amour qui sont IPsec, NAT, Diffserv, Mcast...
Un poids trop lev et un corps trop potel, tous les nutritionnistes vous le diront, ce n'est
pas bon pour la sant.

MYTHE N 6 :
L'IPV6 VA RESOUDRE TOUS LES PROBLEMES EVOQUES
L'IPv6, nouveau protocole d'Internet, rsout le problme du nombre d'adresses IP devenu
trs insuffisant, avec l'IPv4, pour satisfaire aux exigences de la demande pour les objets
communicants, pour les voitures lectriques, pour les compteurs lectriques intelligents et
d'une manire gnrale pour l'explosion du nombre d'utilisateurs. Un utilisateur, en
particulier pour la mobilit a besoin aujourd'hui de nombreuses adresses IP. Et les objets
intelligents communicants, les tiquettes RFID vont encore faire exploser ce nombre
d'adresses ncessaires.
L'IPv6 ajoute galement des solutions pour assurer la scurit, la qualit de service, la
mobilit et la diffusion en multicast (un metteur et plusieurs rcepteurs).
Mais l'IPv6 conserve la philosophie de l'IPv4, en particulier celle du mode sans connexion et
la notion de "best effort".
Si l'IPv6 n'est pas la solution, faut-il faire table rase de l'existant et repartir zro, et non de
protocoles couverts de rustines, et de protocoles qui s'empilent et parfois coexistent mal

Un livre collectif 30 / 296


Mythes et lgendes des TIC

entre eux, comme le prconisent plusieurs chercheurs, tels John Day et Louis Pouzin qui ont
t la base d'Internet ?

LE POST-IP
En conclusion de ces mythes et des rponses qu'on peut apporter pour dmystifier le
phnomne, John Day propose, par exemple, un nouveau socle pour l'Internet, non plus bti
sur les couches IP mais sur un modle de communication interprocessus (Inter Process
Communications : IPC) rcursif : les protocoles RINA qu'il dcrit dans son livre "Patterns in
Network Architecture, a return to fundamentals"
Dans ce nouveau principe, qui est une technologie de rupture par rapport l'existant, le
rseau n'est plus un moyen de transporter les donnes mais un mcanisme d'change entre
processus qui transportent les donnes. Seuls les processus accdent aux donnes qu'ils
transportent. L'extrieur n'a pas accs aux adresses internes, ce qui rend difficiles les attaques
classiques, bases sur la connaissance des adresses IP vulnrables, pour compromettre les
donnes et renforce la scurit.
Si le mode avec connexion et le mode sans connexion se rencontrent pour assurer un
transport de l'information sr et performant, dans une architecture o les IPC remplaceront
le modle en couches, et se dupliqueront de manire rcursive pour s'adapter aux rseaux
physiques, il est certain que l'Internet du futur pourra reposer sur un socle plus solide que
celui sur lequel repose l'Internet d'aujourd'hui.

Un livre collectif 31 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA NAVIGATION SUR


L'INTERNET

Michel Lanaspze, SOPHOS

Vous pensez tre bien protg lorsque vous naviguez sur Internet ? Avec une nouvelle page
infecte toutes les deux secondes, il est pourtant quasiment impossible de disposer d'une
scurit permanente sur le Web, mme en tant parfaitement inform ou conscient des
risques potentiels.
Posez-vous juste les questions suivantes :
Pratiquez-vous une navigation prudente sur le Web ? Evitez-vous les sites risque ? Utilisez-
vous un navigateur scuris ? Savez-vous reconnatre lorsqu'un site prsente un risque
quelconque ? Limitez-vous la navigation pendant les heures de travail ? Avez-vous mis en
place une politique stricte d'accs Internet ?
Si rpondez "oui" l'une de ces questions, alors nous vous recommandons vivement de lire
la suite. Vous pourriez tre la victime de prjugs sur la scurit d'Internet. Mais ne vous
inquitez pas, vous n'tes pas seul. Ces dernires annes ont vu beaucoup de dsinformations
circuler sur les risques du Web, leurs effets potentiels et ce qu'il faut faire pour s'en protger.

MYTHE N 1 :
LE WEB EST SUR CAR JE N'AI JAMAIS ETE INFECTE PAR DU MALWARE EN NAVIGUANT
SUR LE WEB

Si vous faites partie des rares internautes ne pas encore avoir pris conscience du danger, il
est malheureusement assez probable que vous ayez dj t infect sans le savoir.
En effet, depuis plusieurs annes dj, la navigation Web est devenue le principal vecteur
dinfection par des malwares. Une nouvelle page Web est compromise toutes les deux
secondes pour tre transforme en page Web infectieuse. De plus, la majorit du spam qui
arrive dans vos botes aux lettres lectroniques essaie de vous diriger vers une de ces pages
Web infectieuses, un site Web contrefait (attaque par hameonnage ou phishing ) ou des
sites de vente en ligne douteux.
Comme lcrasante majorit des infections est silencieuse, les internautes sont rarement
conscients davoir t infects quand ils ne bnficient daucun systme de protection.
Gnralement, les attaques de malware sur le Web sont conues pour drober des mots de
passe et des informations personnelles, ou pour utiliser votre poste votre insu comme
plate-forme de distribution de spam, de malwares ou de contenu inappropri.

MYTHE N 2 :
SEULS LES SITES A CARACTERE PORNOGRAPHIQUE, JEUX D'ARGENT ET AUTRES SITES
SUSPECTS PRESENTENT UN DANGER
Plus de 80 % des sites hbergeant du malware sont en fait des sites dits de confiance qui ont
t pirats. Les internautes les consultent quotidiennement sans savoir qu'ils ont t pirats
pour distribuer des malwares.

Un livre collectif 32 / 296


Mythes et lgendes des TIC

Pourquoi ? Parce qu'ils sont populaires, ces sites attirent un fort trafic et permettent de
distribuer du malware aux visiteurs leur insu et en grande quantit.
Mme sil est avr que certaines catgories de sites sont considrablement plus affectes que
dautres, les sites dentreprises rputes sont susceptibles dtre infects. Il suffit pour cela
dune page Web mal code ou dune nouvelle vulnrabilit du serveur Web non corrige
pour ouvrir la porte aux pirates.
Il est donc essentiel que les internautes restent vigilants, mme quand ils limitent leur
navigation des sites de confiance.

MYTHE N 3 :
AU MOINS, LES RESEAUX SOCIAUX SONT-ILS SURS PUISQUE JE MY RETROUVE ENTRE
AMIS.

Cest un mythe quil faut combattre de toute urgence, pour que les internautes ne baissent
pas la garde quand ils socialisent sur ces nouveaux espaces dchanges.
En effet, les rseaux sociaux sont rapidement devenus le nouveau champ daction privilgi
des pirates informatiques et autres cybercriminels. Il ny a rien dtonnant cela, les attaques
informatique de masse suivant leurs victimes potentielles l o elles se retrouvent en nombre.
Qui plus est, ce nouvel espace reprsente une cible de choix car les internautes sy sentent en
confiance, tant en principe entours damis.
Les pirates sont ainsi passs experts dans le vol de comptes et mots de passe de rseaux
sociaux, quils utilisent pour infecter et arnaquer les cercles damis. Un moyen relativement
simple utilis par les pirates pour rcuprer ces informations de comptes consiste envoyer
des messages de spam vous enjoignant de vous connecter de toute urgence sur votre rseau
social prfr, prtextant la ncessit dune suppose mise jour ou dune vrification
administrative. Le lien qui vous sera propos nest autre quune version contrefaite de la page
daccs au rseau social, cre dans le seul but de voler votre compte et votre mot de passe.
Une fois en possession dun accs votre compte, le pirate sempressera de modifier votre
mur ou dajouter des messages invitant vos amis cliquer sur un lien intressant, qui nest
autre quune page infectieuse ou un site darnaque.
Lintrt croissant des pirates pour les rseaux sociaux les a men crer des malwares
spcialiss, tels que la clbre famille Koobface. Les malwares de cette famille sont si
sophistiqus qu'ils sont capables de crer automatiquement un compte Facebook, de l'activer
en confirmant le courriel envoy une adresse Gmail (quils auront pris soin de crer
auparavant automatiquement), de devenir amis avec des inconnus inscrits sur le site, de
rejoindre des groupes Facebook et de diffuser des messages sur les murs de ses amis,
prtendant diriger vers des vidos sexy contenant en ralit du malware. De plus, il cherche
assurer sa discrtion en restreignant le nombre de nouveaux amis qu'il accepte par jour. Au
dpart limit Facebook, dont il a d'ailleurs tir son nom, Koobface a depuis largi sa cible
en visant un grand ventail de sites. Apparue en 2008, cette famille ne cesse de se raffiner et
se diversifier, faisant preuve dune longvit tout fait exceptionnelle dans le monde des
malwares, ce qui illustre lengouement des pirates pour les rseaux sociaux.

Un livre collectif 33 / 296


Mythes et lgendes des TIC

MYTHE N 4 :
VOUS NE POUVEZ ETRE INFECTE QUEN TELECHARGEANT DES FICHIERS
La plupart des infections par malwares se produisent aujourd'hui par tlchargement passif,
qui ne requiert aucune action de la part de l'internaute si ce n'est le simple fait de visiter un
site.
Les pirates injectent du code malveillant dans le contenu de leur page web, qui se tlcharge
et s'excute automatiquement dans le navigateur comme une sous-fentre de visualisation de
la page Web.
Un bon exemple de ce type dattaque est fourni par la famille Gumblar. Cette famille de
malwares a reprsent jusqu 40% de toutes les infections de sites Web. Aprs une clipse
en fin danne 2009, elle est revenu sur le devant de la scne dbut 2010. Il sagit dun code
JavaScript malveillant infect au sein de sites web lgitimes, dans le but de rediriger les
visiteurs vers des sites web contrls par les pirates, qui tentent dexploiter des vulnrabilits
dAcrobat Reader et de Flash/Shockwave pour infecter le systme. Cest un type dattaque
par tlchargement passif auquel appartient galement la clbre injection iFrame.

MYTHE N 5 :
SEULS LES UTILISATEURS NAFS SE FONT INFECTER PAR DES VIRUS ET DES MALWARES
Comme mentionn prcdemment, la plupart des infections seffectuant par tlchargement
passif, l'infection n'a donc rien voir avec les comptences informatiques de l'utilisateur. En
ralit, ds lors que vous visitez des sites Internet, le risque existe.
Ces malwares sont trs souvent crs partir de kits de code malveillant professionnel,
commercialiss et vendus aux pirates, qui les utilisent pour exploiter les failles dans le
navigateur, le systme d'exploitation et les plug-ins et infecter les systmes. Encore une fois,
cela s'effectue de manire totalement invisible aux yeux de l'utilisateur qui visite simplement
un site pirat.
Un systme parfaitement tenu jour des derniers correctifs de scurit contre les
vulnrabilits connues du systme dexploitation, du navigateur, de ses plug-ins et des
applications Web prsente cependant un dfi certain pour les pirates. Ils peuvent nanmoins
toujours sappuyer sur les vulnrabilits non corriges ou, plus simplement, la navet de
certains utilisateurs face aux attaques par ingnierie sociale .
Une des attaques les plus en vogue consiste proposer les services dun faux antivirus. En
naviguant ainsi sur une page Web compromise, linternaute sera dabord soumis, en gnral,
une premire tentative dinfection silencieuse par lintermdiaire dune faille de scurit
ventuelle. Si cette attaque choue, le malware passe alors au plan B , celui du faux
antivirus. Pour cela, il ouvre des fentres prsentant sy mprendre laspect dun antivirus
ordinaire, mais de marque inconnue, qui va aprs quelques secondes dclarer avoir dtect
plusieurs virus. Il vous proposera alors de dsinfecter gratuitement votre ordinateur, en vous
demandant de valider son activation. En cliquant sur oui , vous donnez en ralit
lautorisation un malware de sinstaller sur votre systme. En guise de cerise sur le
gteau , beaucoup de ces faux antivirus vous proposeront ensuite dacheter une licence
illimite prix cass, qui naura dautre but que de rcuprer votre numro de carte de
crdit !
Dans ces cas dattaque par ingnierie sociale, il est effectivement recommand dtre
constamment sur ses gardes et ne pas pcher par navet.

Un livre collectif 34 / 296


Mythes et lgendes des TIC

MYTHE N 6 :
FIREFOX EST PLUS SUR QU'INTERNET EXPLORER
Tous les navigateurs sont exposs de faon identique aux risques car ils constituent tous un
environnement d'excution de JavaScript, qui est le langage de programmation employ pour
Internet.
C'est pourquoi tous les auteurs de malwares l'utilisent pour initier des attaques. De plus, de
nombreuses failles exploitent les plug-ins, tels que le logiciel Acrobat Reader, qui
fonctionnent avec tous les navigateurs.
Bien que les navigateurs les plus utiliss sont plus connus pour leurs failles sans correctifs, ce
sont les failles qui ne font pas parler d'elles qui devraient vous alerter le plus. En ralit, il
n'existe aucun navigateur sr.
Quant Firefox, une tude ralise par la socit de recherche en scurit Secunia portant
sur le nombre de failles des navigateurs en 2008, a montr qu'il noccupait pas
ncessairement la premire place des navigateurs les plus srs, et de loin.

Source : http://secunia.com/gfx/Secunia2008Report.pdf

Dune manire gnrale, quel que soit le navigateur que vous utilisez, il est essentiel de le
tenir parfaitement jour des plus rcents correctifs de scurit.
Ceci prsente un dfi particulier en entreprise, o nombre dutilisateurs souhaiteraient utiliser
leur navigateur prfr, quitte importer une version mal corrige dun navigateur. Il faut
rappeler aux internautes quun des premiers bnfices que leur peut apporter leur entreprise
est une navigation sre, et qu ce titre il est non seulement lgitime mais dans leur propre
intrt que lentreprise contrle les versions des navigateurs utiliss sur son rseau.

MYTHE N 7 :
LORSQUE L'ICONE DE VERROUILLAGE APPARAIT DANS LE NAVIGATEUR, JE SUIS EN
SECURITE

L'icne de verrouillage indique la prsence d'une connexion chiffre SSL entre le navigateur
et le serveur afin de protger contre l'interception des informations sensibles personnelles.
Mais il n'apporte aucune scurit contre les malwares.
En fait, c'est mme le contraire.
En effet, la plupart des produits de scurit Web ignorent compltement les connexions
chiffres : c'est donc le parfait vecteur pour infiltrer du malware sur un poste.

Un livre collectif 35 / 296


Mythes et lgendes des TIC

De plus, certains malwares peuvent exploiter des vulnrabilits pour imiter des certificats
SSL, donnant ainsi aux utilisateurs l'impression d'tre scuriss, ou activer des connexions
dtournes vers de faux sites bancaires. De nombreux cas rcents illustrent comment les
pirates crent des techniques sophistiques de phishing qui permettent de reproduire des
sites complets de banque en ligne, avec cartes de crdit et comptes PayPal, via l'imitation de
certificats SSL, extrmement difficiles identifier pour l'utilisateur moyen. Ces mthodes
engendrent des risques de scurit de plus en plus levs.

MYTHE N 8 :
NOUS CONTROLONS L'UTILISATION DU WEB ET NOS UTILISATEURS NE PEUVENT PAS
CONTOURNER NOTRE POLITIQUE

Beaucoup dinternautes sont passs matres dans lutilisation de proxies anonymes pour
contourner la politique de filtrage Internet et consulter les sites Web de leur choix. Dabord
populariss dans les milieux tudiants, les proxies anonymes sont nombreux et facilement
accessibles par les utilisateurs. Chaque jour, des centaines de proxies anonymes sont conus
et mis en ligne dans le but de contrer les barrages de scurit des entreprises et les utilisateurs
les plus sophistiqus tablissent mme leur propre proxy priv la maison pour pouvoir
naviguer sur le Web en toute libert et chapper tout contrle.
Si vous avez tendance minimiser le problme, il vous suffit de consulter les trs
nombreuses pages proposant des moyens d'viter le filtrage Internet sur Google pour vous
rendre compte de l'ampleur du phnomne.
Il est donc fortement recommand de mettre en place des solutions de protection
permettant dviter le contournement des politiques de scurit par des proxies anonymes.

MYTHE N 9 :
DE TOUTE MANIERE, NOUS NE POUVONS RIEN CONTROLER QUAND LES CONNEXIONS
SONT CHIFFREES PAR HTTPS

Les connexions chiffres prsentent un dfi particulier car dans ce cas, il nest pas possible
de vrifier que des malwares ne sont pas introduits dans lentreprise ou que des informations
sensibles, comme des informations caractre personnel au sens de la CNIL, ne sont pas
diffuses hors de toute lgitimit.
De nombreuses solutions de protection de la navigation Web permettent cependant de filtrer
le trafic HTTPS. Gnralement installes en passerelle, elles nautorisent ltablissement de
connexions HTTPS qu condition de leur donner un droit de regard pour appliquer les
politiques de scurit de lentreprise.
Bien entendu, ce type de filtrage doit tre dclar explicitement dans la charte des politiques
de scurit de lentreprise, revue et valide par les reprsentants du personnels et accepte
explicitement par les employs eux mme. Ce filtrage exclut en gnral les connexions vers
certains sites, comme ceux dtablissement bancaires et financiers reconnus, afin de prserver
la confidentialit complte et lgitime de certaines communications.
Il est bon de rappeler que si lutilisation dInternet pour des motifs personnels est tolre en
entreprise, elle reste soumise aux politiques de scurit dfinies par lentreprise, qui
sattachent dfendre aussi bien les proprits intellectuelles de lentreprise, les droits
collectifs des individus comme dfinis par la CNIL et le droit des employs pouvoir
naviguer sur le Web en toute scurit.

Un livre collectif 36 / 296


Mythes et lgendes des TIC

MYTHE N 10 :
LA PROTECTION DU WEB SUPPOSE UN COMPROMIS ENTRE SECURITE ET LIBERTE
Internet est devenu un outil indispensable pour les entreprises. Mais que ce soit Facebook
pour les ressources humaines ou Twitter pour les relations publiques, il n'y a pas de
compromis faire entre libert d'accs et scurit.
Une bonne solution de scurit doit permettre d'accder aux sites dont vos utilisateurs ont
besoin dans le cadre de leur travail, tout en maintenant lentreprise scurise.
Mme quand lentreprise dcide dappliquer des restrictions sur les types de sites accessibles,
il faut toujours garder lesprit que pour les utilisateurs, la premire des liberts consiste
pouvoir naviguer sur le Web en toute scurit.

CONCLUSION
Comme dans tous les autres domaines de la scurit informatique, lducation des utilisateurs
reprsente la premire protection contre les menaces. A ce titre, il est essentiel que les
internautes prennent pleinement conscience des dangers qui les guettent, afin de se tenir sur
leurs gardes et de ne pas se prcipiter dans les piges, parfois grossiers, qui leur sont tendus.
Il est galement bon de rappeler la ncessit dune bonne hygine de son ordinateur, qui
commence par linstallation rgulire des derniers correctifs de scurit, aussi bien sur le
systme dexploitation que sur les applications Web, et par la mise en place dune protection
anti-malware parfaitement mise jour, qui bnficie si possible dune fonction de blocage de
laccs aux pages Web malveillantes. En entreprise, cette protection sur les postes de travail
sera en outre complte par une protection au niveau de la passerelle Internet.

Un livre collectif 37 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA RECHERCHE


D'INFORMATION SUR INTERNET

Stphan Brunessaux et Patrick Giroux


Cassidian, an EADS company

Que ce soit pour vrifier l'adresse d'un correspondant, la dfinition d'un terme, l'ge d'une
clbrit, la photo d'un monument historique, la citation d'un auteur clbre, etc., rechercher
de l'information sur Internet est devenu un rflexe de l'homme connect, renvoyant aux
oubliettes dictionnaires et encyclopdies papier en 20 volumes.
L'essor des smartphones et des connexions data permanentes amplifient aujourd'hui cette
tendance en offrant des interfaces vocales qui facilitent l'interrogation des moteurs de
recherche et la navigation sur Internet.

MYTHE N 1 :
LE WEB, C'EST FACILE A UTILISER
Le Web est un fabuleux gisement dinformations de toutes natures et sur tous les sujets ou
presque. Grce un simple accs Internet, chacun peut disposer librement et
instantanment dune infinit de documents et de contenus numriques susceptibles
dapporter des rponses plus ou moins prcises des questions plus ou moins difficiles et sur
des problmatiques plus ou moins complexes. De la recette de cuisine la thorie
mathmatique en passant par les paroles de chansons ou les photographies de sites
touristiques, tout est l sur votre PC, porte de quelques clics.
A priori, on pourrait penser qu'il suffit de taper quelques mots clefs sur n'importe quel outil
de recherche pour trouver immdiatement ce dont on a besoin. Mais est-ce vraiment aussi
simple?
Pour linternaute dbutant, les dconvenues sont souvent la hauteur des attentes et, mme
dans le monde professionnel, bon nombre dutilisateurs ne sont pas capables de rechercher
efficacement linformation dont ils ont besoin. Linformation existe et elle est disposition,
mais elle reste, pour certains dentre eux, introuvable.
En fait, mme si cela semble facile et accessible tous, la recherche et la navigation sur le
Web requirent une certaine expertise. On peut mme considrer quil existe une forme de
talent ou dintuition qui permet certains internautes de trouver immdiatement la rponse
prcise la question pose alors que dautres y passeront des heures sans parvenir au but. La
formulation dune requte dinterrogation un moteur de recherche nest pas une tche aussi
simple quil y parait. Le choix des termes utiliss comme mots-clefs doit tre judicieux et
intgrer les problmatiques de smantique, de polysmie (un terme ayant plusieurs
significations), de synonymie (plusieurs termes ayant la mme signification), de logique,
dorthographe ou encore de multilinguisme. Souhaite-ton obtenir un maximum de rappel
quitte gnrer du bruit avec des donnes sans intrt ? Ou, au contraire, prfre-t-on
privilgier la prcision et passer sous silence des donnes potentiellement intressantes ?
Choisit-on de composer des requtes complexes en utilisant toute la puissance du langage
dinterrogation et des oprateurs proposs par le moteur de recherche ? Ou opte-t-on pour
une recherche plus empirique en se contentant dexploiter le premier document trouv et de

Un livre collectif 38 / 296


Mythes et lgendes des TIC

parcourir les liens quil propose ? Faut-il procder diffremment suivant quil sagit dune
question ouverte ou ferme ? Comment tirer le meilleur profit de loutil ?
Lorsquon analyse l'activit de recherche d'information sur le Web, on constate quelle est
rgie par un processus dynamique et volutif. A lorigine, un besoin particulier d'information
ou de connaissance conduit au choix dune stratgie qui peut voluer et sajuster en fonction
dune valuation de la pertinence des rponses. On peut considrer deux types de stratgies :
le searching ou recherche directe ou encore recherche analytique qui consiste
formuler explicitement une requte,
le browsing ou butinage qui consiste naviguer par les liens proposs dans les
premires rponses fournies et parfois se laisser guider par lintrt engendres par
celles-ci.
Les tudes montrent que les experts utilisent plus volontiers les stratgies directes alors que
les novices privilgient plutt la navigation. Dans cette seconde stratgie, il arrive parfois que
linternaute trouve des informations quil ne cherchait pas mais qui lintressent nanmoins.
Cest le phnomne de srendipit sur lequel le moteur de recherche Exalead a bti une
partie de sa stratgie et qui peut tre dfini comme le fait de raliser des dcouvertes
inattendues grce au hasard et l'intelligence.
Mme si le Web constitue une formidable ouverture vers la connaissance universelle, laccs
efficace linformation utile dans un contexte donn reste parfois un vritable challenge
pour les non initis et conduit, assez souvent des constats dchecs ou dapproximations.

MYTHE N 2 :
GOOGLE EST LE MEILLEUR MOTEUR DE RECHERCHE
Avec pratiquement 85% de part de march au niveau mondial (source NetMarketShare),
Google concentre la quasi-totalit des requtes faites par les utilisateurs de moteurs de
recherche. Trs loin derrire, avec moins de 5% chacun, Yahoo et Bing se partagent la
deuxime et troisime place du podium. Baidu se hisse la quatrime place grce sa forte
prsence sur le march chinois. Trs loin derrire, les autres moteurs de recherche n'arrivent
pas dcrocher le 1% qui leur permettraient de se distinguer du lot. Alors, faut-il en conclure
que Google est le meilleur moteur de recherche ?
Google, au mme titre que les moteurs cits ci-dessus, permet de retrouver des contenus non
structurs qui vhiculent des informations en rapport avec la requte. Il ne fournit pas un
accs direct linformation mais un moyen de retrouver le document qui contient
linformation. La recherche de donnes par requtes en langage naturel et systmes de
question rponses constitue lun des enjeux du Web Smantique. Dans cette approche
introduite par Tim Berners-Lee en 1994, linformation contenue dans les documents est
exprime sous forme de mtadonnes formelles directement comprhensibles par la
machine. Les ressources du Web ne sont pas uniquement des documents mais peuvent
prendre la forme de concepts de classes ou de proprits. Les moteurs de recherche
sapparentent des systmes de gestion de bases de connaissance et sont capables dapporter
des rponses des questions prcises comme Qui est prsident de la rpublique franaise
en 2011 ? Le projet DBpedia a pour objectif de concrtiser cette approche en extrayant
automatiquement les informations smantiques de Wikipedia. En 2010, la base de donnes
dcrivait 3,4 millions d'entits (312 000 personnes, plus de 413 000 lieux, 94 000 albums de
musiques, 49 000 films, etc.). Aujourdhui, les producteurs de contenus essaient, de plus en
plus, denrichir leurs bases avec des mtadonnes en sappuyant sur des modles smantiques

Un livre collectif 39 / 296


Mythes et lgendes des TIC

normaliss (ontologies). Il ne sagit encore que de potentialits mais, dans le futur, une autre
gnration de moteur, l'instar de ce qui est propos par Yahoo Answers ou Wolfram
Alpha, pourrait voir le jour et proposer une alternative intressante Google et ses
concurrents.
En attendant, nous vous invitons dcouvrir les fonctionnalits originales des autres
moteurs de recherche comme la recherche phontique propose par Exalead. D'autres
moteurs plus spcialiss, comme Wikiwix ou Yippy pour n'en citer que quelques-uns,
proposent des approches intressantes comme l'indexation des articles publis dans
l'encyclopdie libre et collaborative Wikipedia, le suivi temps rel des liens tweets par les
internautes du monde entier, ou bien encore la prsentation des rsultats de recherche en
fonction des rfrences gographiques des articles ou en fonction des proximits
smantiques qui existent entre les rsultats. My Wikiwix vous propose mme de crer votre
propre moteur de recherche qui indexera les contenus que vous aurez pralablement
slectionns et ainsi vous permettre de restreindre vos rsultats de recherche un ensemble
de sites pralablement qualifis.
On ne peut donc que vous conseiller de partir la dcouverte de tous ces autres moteurs de
recherche, de les exprimenter et d'apprendre choisir le moteur adapt en fonction de la
nature de votre requte du moment.

MYTHE N 3 :
GOOGLE INDEXE TOUT LE WEB
Pendant longtemps, la guerre a fait rage entre les diffrents moteurs de recherche pour
afficher la plus grosse taille d'index c'est--dire le plus gros nombre de nombre de pages
indexes par le moteur de recherche. Principal argument marketing, cet indicateur a disparu
en 2005 de la page d'accueil des moteurs de recherche. Cependant, des recherches sont
toujours conduites pour estimer la taille du Web. A fin mars 2011, l'universit de Tilburg a
calcul qu'ils existent un peu plus de 40 milliards de pages Web indexes. Cependant, ct
de ces pages indexes, ils existent des milliards de pages Web non indexes, et donc
inaccessibles depuis Google. Il s'agit entre autres des pages des sites nouvellement crs qui
mettront quelques semaines avant de venir enrichir l'index de Google mais il s'agit galement
des mille milliards de milliards de pages du Web invisible (deep Web en anglais) qui ne seront
jamais recenses par Google !
Car mme les robots d'indexation les plus puissants ne peuvent recenser toutes les ressources
du Web : absence de liens entrants (backlinks ou inlinks), pages gnres dynamiquement en
fonction du contexte dans lequel elles sont accdes, base de donnes en ligne interrogeables
travers une interface spcifique, contenus protgs par un login ou par un mcanisme
permettant dexclure les robots (web opaque), documents ou donnes dans des formats non
supports, inclusion de scripts excuts louverture de la page, etc. En 2001, la taille du
Web invisible tait estime entre 400 et 550 fois suprieure celle du Web accessible par
lintermdiaire dun moteur comme Google. Mme si certains mta-moteurs permettent
aujourdhui, en interrogeant plusieurs autres moteurs plus ou moins spcialiss, daller un
peu plus en profondeur dans lexploration des ressources, le Web sapparente une sorte
diceberg dont la partie immerge est gigantesque.

Un livre collectif 40 / 296


Mythes et lgendes des TIC

MYTHE N 4 :
ON TROUVE NIMPORTE QUOI SUR INTERNET
Qui n'a pas entendu cette phrase ? Effectivement, la publication d'informations sur un site
Web ou sur un blog n'tant pas soumise une relecture par un comit, il est possible de
trouver une affirmation et son contraire sur deux sites diffrents. Aussi, il est important
d'adopter quelques rflexes d'valuation de crdibilit lors de la consultation d'information
sur Internet.
Ainsi, on prfrera accorder sa confiance une information publie sur un site rput srieux
plutt qu'un site d'un auteur anonyme. On s'attachera vrifier la date de la publication afin
de s'assurer que l'information est d'actualit. On cherchera le cas chant les commentaires
posts sur le site et/ou l'auteur consults afin de se faire une ide de leur rputation.
Il sera d'autant plus important d'adopter ces rflexes que l'information est importante ou
sensible. En particulier, lors de la consultation d'informations caractre mdical, on
s'assurera d'tre sur un site dont le srieux n'est plus dmontrer. En toutes circonstances,
on se souviendra qu'une erreur de frappe est vite arrive et qu'elle peut changer
fondamentalement la nature du propos.
Ces rgles de base vous permettront d'liminer les informations parasites et d'utiliser Internet
aussi sereinement, que des dictionnaires et encyclopdies papier qui n'ont jamais t exempts
d'erreurs ou imprcisions.

MYTHE N 5 :
IL EST TRES FACILE D'EFFACER DES DONNEES PUBLIEES SUR INTERNET
Contrairement une ide largement rpandue, il est extrmement difficile d'effacer une
information publie sur site Internet, que ce soit un site institutionnel ou un site personnel.
L'actualit du dbut de l'anne 2011, avec les rvlations explosives du site Wikileaks, a
d'ailleurs dmontr, s'il tait encore besoin de le faire, qu'il tait difficile de faire taire
quelqu'un qui a choisi la toile pour s'exprimer. S'il n'y a bien sr aucune difficult technique
modifier ou effacer la page sur laquelle l'information a t publie, il est bien plus compliqu
de retrouver toutes les copies de cette page afin de procder la mme opration.
Et bien des copies existent, avec notamment celles contenues tout d'abord dans les caches
des moteurs de recherche. Les caches reprsentent des copies instant donn de l'ensemble
des lments de texte figurant dans les pages des diffrents sites indexs par le moteur. Ils
permettent de construire les index qui sont interrogs lors de la soumission d'un mot cl par
l'utilisateur. Ainsi, lorsque Google prsente ses rsultats de recherche, il est possible de
choisir entre le lien donnant accs la page du site contenant le ou les mots clefs demands
ou la page stocke dans le cache de Google. On considre qu'en moyenne la dure de vie
d'une page "cache" est de trois semaines ce qui correspond au temps que mettra le moteur
pour revenir indexer le contenu du site.
Cependant, les moteurs de recherche ne sont pas les seuls faire des copies. Diffrents
systmes d'archives existent, qu'ils soient propres l'hbergeur d'un site ou plus global
comme le projet WayBackMachine ou Internet Archive. Ce projet de mmoire du Web
collecte depuis 1996 des milliards de page Web et offre un mcanisme original permettant de
consulter l'tat d'un site dans lequel il tait un instant donn.
Enfin, n'importe quel internaute a sa disposition les moyens techniques lui permettant de
faire une copie des pages d'un site. Il est bien videmment soumis la lgislation sur le droit

Un livre collectif 41 / 296


Mythes et lgendes des TIC

d'auteur mais rien ne garantit qu'une page publie un jour et "efface" quelques jours plus
tard ne va pas rapparaitre plusieurs annes aprs.
Aussi, on ne saurait que recommander la plus grande prudence en matire de publication sur
Internet.

MYTHE N 6 :
J'AI LE DROIT DE REUTILISER TOUT CE QUE JE TROUVE SUR INTERNET
C'est sur Internet, j'ai donc le droit de l'utiliser ! Encore un mythe fortement rpandu tant
chez les particuliers que chez les professionnels.
Sur Internet, la lgislation sur le droit d'auteur est applicable, ce qui signifie simplement que
soit l'auteur vous concde un droit d'utilisation du contenu qu'il a publi ou au contraire qu'il
ne vous concde aucun droit (le cas par dfaut). Aussi, lorsque vous souhaitez rutiliser de
l'information publie sur Internet, il est important de regarder si une mention de type
copyright figure sur le site et d'analyser les droits ventuellement concds par l'auteur. En
l'absence d'une telle indication, il conviendra de contacter l'auteur pour obtenir une licence
d'utilisation afin de se prmunir d'ventuelles poursuites judiciaires pour une utilisation non
autorise du matriel publi.
Attention, certaines licences concdent des droits d'utilisation titre priv qui excluent
l'utilisation dans un cadre professionnel. A titre d'exemple, le site Le Monde.fr "consent un
droit d'utilisateur usage priv" qui exclut "toute mise en rseau, toute rediffusion, sous
quelque forme, mme partielle". Aprs avoir expliqu les peines encourues, le site explique
comment s'acquitter des droits de reproduction d'un article.
Devant la diversit des licences (Creative Commons, LGPL, etc.), il conviendra d'tre
extrmement prudent avant de rutiliser tout ou partie d'un site en analysant finement les
diffrentes clauses de proprits. Cette recommandation est bien videmment valable titre
individuel mais galement dans le cadre de l'exercice d'une activit professionnelle.

MYTHE N 7 :
L'INFORMATION TROUVEE SUR INTERNET EST AUSSI FIABLE QUE CELLE FIGURANT
DANS LES LIVRES.

La rvolution Wikipedia , article publi en 2007 par un collectif dauteurs tudiant


Sciences Po, posait, en sous-titre, une question pouvant paraitre a priori lgitime : Les
encyclopdies vont-elles mourir ? .
On constate, en effet, que la mise disposition sur le Web de ressources dinformation
gnrale a radicalement modifi nos comportements en matire de recherche
encyclopdique. Pour tous les internautes du monde, le Web est devenu la principale source
dinformation et les encyclopdies collaboratives en ligne telles que Wikipedia sont
considres, par beaucoup dentre eux, comme une rfrence en matire de connaissance
universelle. Avec ses 7 millions de pages et ses 9 millions de visites par mois pour sa seule
version franaise, Wikipedia est incontestablement un formidable succs qui suscite une
certaine concurrence. Avec Knol , le gant Google propose lui aussi depuis 2008 un outil
de partage du savoir.
En 2005, la revue britannique Nature publiait un article dans lequel elle comparait
Wikipedia et Britanica. Exemples lappui, elle dmontrait que le clbre site Web tait aussi
fiable que lencyclopdie considre comme la plus acadmique. Mais les rsultats de cette
tude furent trs controverss et de nombreux scientifiques et intellectuels slevrent avec

Un livre collectif 42 / 296


Mythes et lgendes des TIC

vhmence contre les conditions de lenqute et la conclusion qui en t donne. Car la


critique la plus frquence contre Wikipedia concerne bien sa fiabilit. Pour quune
information soit fiable, il faut avant tout quelle soit vrifie et soumise des procdures de
contrle rigoureuses. Or, il faut bien reconnaitre que lcriture collaborative des
encyclopdies en ligne ouvre quelques brches dans un systme visant formaliser un savoir
stable et valid. Au-del des simples erreurs dues labsence dexpertise de lauteur, les
risques de drives existent. En labsence dune instance darbitrage comptente et vigilante, il
devient videmment possible dutiliser le Web et sa puissance mdiatique des fins, plus ou
moins malveillantes, de dsinformation ou de propagande.
Les canulars, rumeurs, contre-vrits, et autres hoax qui polluent le Web sont
indnombrables et se renouvellent quotidiennement.
Conscient du danger, Larry Sanger, lun des fondateurs de Wikipdia, a lanc le projet
Citizendium dencyclopdie en ligne collaborative et gratuite, mais faisant appel des experts
pour guider les auteurs dans lcriture des articles et pour valider leurs contenus avant une
publication dfinitive.
En consquence, on ne saurait trop mettre en garde tous ceux qui utilisent le Web pour
apprendre, comprendre ou se faire une opinion sur un sujet quel quil soit. Il convient de
cultiver un esprit critique et de prendre toutes les prcautions ncessaires avant daccorder du
crdit une information qui ne peut tre vrifie.
Les ressources du Web et le savoir quelles vhiculent sont incommensurables mais, sur
Internet, tout nest pas paroles dvangile , loin de l. Linformation du Web nest pas
toujours suffisante et peut parfois savrer trompeuse. Au-del de la vracit de linformation
(proprit binaire qui permet de savoir si elle est vraie ou pas), la valeur quon lui accorde et
la porte quelle prend dans un contexte particulier, sont fondamentales dans lexploitation
qui en est faite. Utiliser une information brute disponible instantanment sur le Web, plutt
que de mener une vritable enqute base sur des lectures rflchies ou de vraies recherches
en profondeur , cest souvent se contenter du superficiel et renoncer au vritable savoir
dont lacquisition exige du temps et du recul.

MYTHE N 8 :
L'INFORMATION DISPONIBLE SUR INTERNET EST MOINS COMPLETE QUE CELLE
FIGURANT DANS LES LIVRES.

Nous sommes le samedi 16 aot 2008. Il y a moins dune minute que Usain Bolt vient de
franchir la ligne darrive en finale du 100 mtres des Jeux Olympiques de Pkin. Devant
mon tlviseur, je le regarde mimer le geste de lclair. Celui-l restera dans lhistoire, cest
sr. Mais le prcdent vainqueur ? Je ne me souviens mme plus de son nom. Jattrape mon
PC portable et je me connecte sur Wikipedia sur larticle Liste des mdaills olympiques en
athltisme - 100 m . Jai la rponse en quelques secondes : le vainqueur de 2004 tait Justin
Gatlin mais sur la ligne juste en dessous, les trois noms du podium 2008 sont dj l
alors que la course nest termine que depuis une ou deux minutes.
Au travers cette petite anecdote, on peut percevoir toute la puissance du Web et des
encyclopdies en ligne. Malgr les critiques et rserves que lon peut mettre son gard, il
faut bien admettre que le Web constitue un formidable outil daccs linformation et quil
devient de plus en plus difficile de sen passer. Si lon sait en faire bon usage, le Web est
probablement la source dinformation la plus efficace que lon puisse trouver.

Un livre collectif 43 / 296


Mythes et lgendes des TIC

La grande force du Web cest sa capacit voluer instantanment en fonction de lactualit,


des dcouvertes et des expriences vcues aux quatre coins de la plante. Le Web se met
jour en temps rel et de faon presque autonome. Les deux milliards dinternautes sont
autant de contributeurs potentiels qui peuvent partager leur savoir, rapporter des faits, faire
part de leurs ractions, de leurs sentiments ou de leurs aspirations.
Linformation tant souvent un pr-requis laction, le Web peut aussi devenir un support
de mobilisation ou influencer le cours des vnements et de lhistoire. Le rle des rseaux
sociaux dbut 2011 dans les rvoltes du monde arabe en est un exemple criant. Le Web peut
aussi tre vu comme un instrument de subversion. La censure dInternet vote par
lassemble nationale de la Rpublique populaire de Chine en est une illustration. Mais les
trsors dingniosit mis en uvre par les internautes pour contourner les limitations
arbitraires et inventer de nouveaux modes de communication donnent aussi une bonne ide
de limpact politique et des effets collatraux du Web sur lvolution du monde et de la
socit.
Linformation disponible sur Internet peut tre parfois moins fiable et moins riche que celle
des livres mais elle est, sans aucun doute, plus fraiche, plus accessible, dorigine plus
diversifie et donc, dune certaine faon, plus complte.

Un livre collectif 44 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'IDENTITE NUMERIQUE


PARTIE 1

Philippe Vacheyrout, CAPUCINE

La notion didentit numrique apparait dans la loi Informatique fichiers et libert de 1978
et le concept sest impos progressivement au fil des pratiques didentification et
dauthentification, notamment dans le cadre des procdures administratives et de la mise au
point de processus de signature numrique.
Par ailleurs, lutilisation du Web dans une perspective participative, le dveloppement des
rseaux sociaux ont permis lmergence dautres problmatiques qui y sont lies.
On en arrive donc lutilisation du mme terme dans deux contextes diffrents :
Lidentit numrique perue en termes dimage de lindividu au sens social du terme,
c'est--dire le-rputation.
Lidentit numrique en tant que support de procdures lgales, recouvrant la notion
didentification et de possibilit dauthentification de documents valeur probante,
relis lidentit au sens lgal du terme (authenticit). Cest dans ce sens l que nous
lenvisagerons sous le terme de Cyber Identit en liaison avec les labels SuisseID,
IDNum et les cartes Nationales dIdentits Electroniques.
Techniquement, lidentit numrique se dfinit comme un lien technologique entre une
entit relle et une entit virtuelle . (voir Wikipedia)

MYTHE N 1 :
L'IDENTITE NUMERIQUE EST UNIQUE :
Ceci est la fois vrai et faux.
Lentit relle en cause tant lindividu, elle est unique malgr la diversit des moyens
employs pour lauthentifier. Par contre, lentit virtuelle, en tant que profil utilisateur
(Avatar) : national, familial, professionnel, mdical, juridique, consommateur, etc. - est
multiple avec les donnes qui sy attachent et qui ne sont pas ncessairement toutes les
mmes. Dans les deux cas lindividu doit pouvoir bnficier de lapplication de la loi
Informatique et libert et des recommandations diverses qui laccompagnent :
Anonymat
Droit loubli
Protection des donnes personnelles
Proprit intellectuelle
Traabilit des donnes
Maitrise de son Identit Numrique au niveau international
En ce qui concerne les dispositifs, divers processus, mthodes, sont possibles. Plusieurs
niveaux de certification existent, les autorits de certifications peuvent tre prives ou
publiques. Il en rsulte une multitude de moyens et mme de faons den aborder le concept.
En ce sens il est possible de parler de multiplicit des identits virtuelles, du simple
pseudonyme usage cibl lidentit certifie travers un acte authentique

Un livre collectif 45 / 296


Mythes et lgendes des TIC

Il en est de mme des procds, du couple login/ mot de passe au systme bas sur des
donnes biomtriques dont le plus extrme serait lADN, en passant par les systmes de
certificats. Il convient de protger cet identifiant par les dispositifs disponibles sur le marche
(PKI, IGCP 2.0, OTP, SSO, Token etc.)

MYTHE N 2 :
L'IDENTITE NUMERIQUE RELEVE DE L'AUTORITE REGALIENNE.
Les gouvernements dlguent des tiers certificateurs le soin d'tablir l'identit nationale par
le biais d'une identit numrique (Carte bancaire, cl USB, mot de passe dynamique etc)
De plus toute identit numrique nest pas utilise dans un cadre ncessitant une
identification certaine (Cartes prpayes)
Il est possible de mettre en place des cyber- identits destines retracer une activit tout
en permettant un certain anonymat sous rserve des possibilits didentification dans un
cadre rglement, par exemple travers la possibilit dindiquer simplement lhbergeur dans
le cas de blogs individuels. Cette Cyber Identit permet lutilisateur de conserver
lanonymat, assurer la protection de ses donnes personnelles et de prserver la proprit
intellectuelle, mais elle nest pas dpendante de lautorit rgalienne.

MYTHE N 3 :
IDENTIFICATION ET AUTHENTIFICATION C'EST PAREIL.
L'identification repose sur les informations associes un objet ou un humain dans un
contexte donn pour le distinguer. Il sagit de disposer des informations ncessaires pour
dterminer que lindividu est bien, selon les donnes que lon possde, celui quil prtend
tre. Elle sapplique lindividu.
L'authentification consiste s'assurer de l'authenticit, l'intgrit et la non-rpudiation des
informations fournies. Il peut sagir des informations fournies pour lidentification ou de tout
autre processus ou document. Elle sapplique lobjet et non lindividu.

MYTHE N 4 :
LA SECURITE EST GARANTIE PAR LES REFERENTIELS DE SECURISATION ET
31 32
D'INTEROPERABILITE (RGS - RGI )

Selon le Rfrentiel Gnral de Scurit :


Lobjectif du RGS nest pas dimposer une technologie, une architecture ou une solution technique, ni mme
les fonctions se scurit dcrites dans le RGS
Le socle de scurisation IAS (Identification, Authentification, Signature) sur lequel sappuient
les rapports de certification 33 pour les Carte dIdentit lectronique ne peut pas fonctionner,
dans la mesure o les identifiants biomtriques sont des donnes statiques numrisables et

31
Le rfrentiel RGS peut tre trouv sur le site : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf
32
Voir le rfrentiel sur le site :
https://www.ateliers.modernisation.gouv.fr/ministeres/domaines_d_expertise/architecture_fonctio/public/rgi/referent
iel_general1617/downloadFile/file/Referentiel%20General%20Interoperabilite%20Volet%20Technique%20V0.9
0.pdf
33
Voir sur le site du gouvernement : http://www.ssi.gouv.fr/IMG/certificat/anssi-cc_2009-56fr.pdf

Un livre collectif 46 / 296


Mythes et lgendes des TIC

reproductibles. Il est donc possible, partant dune fausse identit authentifie, daboutir une
signature techniquement valide mais fausse.
En inversant les deux facteurs, le socle AIS permet l'utilisateur de dlivrer son identit dans
un environnement authentifie avec une adresse ID (label IDNum 34 pour la France)
constituant un intranet ou rseau de confiance numrique qui rejoint le post-IP et la
proposition de John DAY en y associant l'ID (SuisseID, IDNum, CapucineID etc .). Ce
dernier est compatible avec le RGS puisquil est prcis :
En revanche lorsquune autorit de certification juge ncessaire, lissue dune analyse de risque, de mettre
en uvre les fonctions de scurit qui sont prvues dans le RGS, elle doit alors respecter les rgles
correspondantes .

MYTHE N 5 :
LA GOUVERNANCE D'INTERNET RELEVE D'UNE ORGANISATION CENTRALISEE
La Gouvernance d'Internet ne se limite pas une question dadressage et la gestion des noms
de domaine. L'objet de lICANN prcise Les autres questions concernant les internautes,
telles que les rgles relatives aux transactions financires, les contrles de contenus sur
lInternet, les messages lectroniques caractre commercial non sollicit (*spam*) et la
protection des donnes nentrent pas dans le cadre des responsabilits de coordination
technique de lICANN
Les autres questions relvent donc des Internautes, en complment du rseau constitu par
la gestion des DNS avec des adresses IP il convient de crer un rseau de fdration
dIdentit linstar de Shibboleth (qui est un mcanisme de propagation d'identits,
dvelopp par le consortium Internet 35, qui regroupe 207 universits et centres de
recherches). Cette notion associe avec des adresses ID, linstar dun rseau OpenID+
scuris, associs aux rseaux des Internets, pourrait constituer une gouvernance d'Internet
qui relverait alors de plusieurs organisations centralises sur la base de critres communs
voqus prcdemment, dfinis dans le Web smantique.
Il revient donc chaque usager de s'assurer du bon usage des TIC en rseau scuris pour
participer la gouvernance mondiale dans le cadre du Forum pour la Gouvernance
d'Internet 36 et construire la Socit de l'Information du XXIme sicle, en tirant parti des
Technologie du Relationnel notamment avec les environnements 3D, pour partir de la ralit
augmente, vers un futur augment.

EN CONCLUSION : INTERNET EST LA PIRE ET LA MEILLEURE DES CHOSES


Cette formule fourre-tout nest pas un argument mais est largement utilise par les
dtracteurs dInternet. Une formule ne fait pas la ralit et, si nous avons pu observer ce que
pouvaient tre les pires facettes dInternet, linstar du Le meilleur des mondes 37 de
Aldous Huxley. Reste exprimenter ce que pourrait tre un monde meilleur entre le Big

34
Voir annonce IDNum : http://www.gouvernement.fr/gouvernement/label-idenum-plus-de-securite-et-plus-de-
facilite-pour-l-usage-des-services-sur-interne
35
Voir la dfinition de ce concept sur Wikipdia sur http://fr.wikipedia.org/wiki/Internet2
36
Site du Forum : http://www.intgovforum.org/cms
37
Voir la page de Wikipedia http://fr.wikipedia.org/wiki/Le_Meilleur_des_mondes

Un livre collectif 47 / 296


Mythes et lgendes des TIC

Brother de George Orwell 38 et la Big Society de David Cameron , le premier ministre


britannique, pour mieux responsabiliser les citoyens dans les collectivits locales afin de
construire un rseau vertueux dconomie sociale et solidaire avec une dmarche
dentrepreneuriat social, pour un dveloppement soutenable.

38
Pour en savoir plus, voir la page de Wikipedia : http://fr.wikipedia.org/wiki/George_Orwell

Un livre collectif 48 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'IDENTITE NUMERIQUE


PARTIE 2

Fabrice Mattatia,
Ancien responsable technique du programme de protection de l'identit au ministre de l'intrieur,
Concepteur du projet Idnum

Fondamentalement, lidentit dune personne nest pas dfinie en droit franais. Le dcret du
6 fructidor an II prescrit que chaque citoyen doit porter les noms et prnoms inscrits sur son
acte de naissance. Mais lidentit ne peut se restreindre ces lments, car certaines
personnes sont homonymes de nom, de prnoms, et mme, cest moins courant mais cela
sest vu, de date et de commune de naissance. On considre alors, de manire usuelle, que
lidentit dune personne consiste en ses nom, prnoms, date et lieu de naissance, ainsi quen
sa filiation (les mmes lments pour ses parents).
Dans ces conditions, parler didentit numrique ou didentit lectronique relve forcment dun
abus de langage. Cette expression entrane de surcrot des confusions, car selon les auteurs
elle recouvre deux ralits diffrentes :
au sens large, l identit numrique dsigne limage que lindividu donne de lui-
mme sur internet. Chacun a le droit dutiliser des pseudonymes sur le web, et donc de
se construire autant didentits numriques quil a davatars.
au sens rgalien, on peut trouver le terme identit numrique utilis par mtonymie
pour exprimer un moyen numrique de preuve de lidentit . Cette preuve peut
servir uniquement dans le monde rel (par exemple un passeport lectronique), ou
bien servir aussi prouver lidentit sur internet.

MYTHE N 1 :
LIDENTITE NUMERIQUE EST UNIQUE
Tout dpend de ce que lon entend par identit numrique . Sil sagit des avatars sur
internet, ils ne sont videmment pas uniques. Sil sagit de la preuve lectronique de sa vraie
identit, les moyens de preuve peuvent eux aussi tre multiples, mais ils se rattachent tous
la mme identit relle. Par exemple, un passeport lectronique et une carte didentit
lectronique sont deux preuves numriques distinctes de la mme identit dans la vie relle.
Deux certificats lectroniques mis par deux tiers de confiance diffrents sont deux preuves
de lidentit utilisables sur internet.

MYTHE N 2 :
IDENTITE, ANONYMAT ET DROIT A LOUBLI SONT DES CONCEPTS OPPOSES
Au contraire, ces concepts sont complmentaires. Il y a des situations o lanonymat ou le
recours un pseudonyme sont lgitimes : la consultation dinformations, les jeux, la
participation des forums de discussion Inversement, dans certains cas il serait absurde
dinvoquer le droit lanonymat ou au pseudonymat : par exemple la consultation de son
dossier mdical, laccs son compte bancaire, la signature de contrats ou la souscription de
produits toutes situations o une garantie forte de lidentit relle de la personne est
indispensable, aussi bien dans la vie courante que sur internet.

Un livre collectif 49 / 296


Mythes et lgendes des TIC

Quant au droit loubli, il nexiste pas en tant que tel. Il sagit dune appellation marketing
du droit dopposition instaur par la loi Informatique et Liberts pour certains cas de
traitements de donnes personnelles. Pour exercer ce droit leffacement de ses donnes, il
faut dailleurs prouver son identit, pour montrer quon est bien la personne concerne !
Remarquons ce propos que la loi Informatique et Liberts ne contient aucune disposition
concernant l identit numrique , elle ne mentionne que lidentit humaine (notion
floue et dclamatoire qui recueille la dsapprobation des juristes) et lidentit tout court
(pour faire valoir ses droits).

MYTHE N 3 :
LIDENTITE NUMERIQUE RELEVE DE LETAT
Si lon fait rfrence aux passeports et cartes didentit, cest vident.
Si l identit numrique signifie les moyens de preuve didentit sur internet, ce nest plus
obligatoirement vrai. LEtat peut fournir de telles preuves, par exemple en implantant des
certificats dans des cartes didentit lectroniques, comme le font la Belgique, lEstonie,
lEspagne, le Portugal, la Finlande, lItalie, la Sude, la Lituanie et Monaco39. Les
internautes peuvent galement se les procurer auprs de tiers de confiance privs, comme en
Finlande, en Sude, en Italie, en Autriche Dans ce dernier cas, lEtat peut crer un label
garantissant le niveau de scurit des tiers de confiance. Des oprateurs suisses ont ainsi
commercialis en 2010 des certificats bass sur le label SuisseID du gouvernement fdral
helvtique. Le projet franais de label Idnum repose sur le mme principe.

MYTHE N 4 :
IDENTIFICATION ET AUTHENTIFICATION CEST PAREIL
De manire usuelle, on utilise ces termes avec les significations suivantes :
identifier, cest annoncer une identit ;
authentifier, cest la prouver.
Mais il arrive que le terme identification soit utilis pour couvrir les deux significations.
En effet, le terme authentification est mal compris aussi bien du grand public que des
juristes, pour lesquels il fait plutt rfrence la notion, totalement diffrente, d acte
authentique .

MYTHE N 5 :
IDENUM EST UN CONCURRENT DE LA CARTE DIDENTITE ELECTRONIQUE
Il sagit en fait de deux projets franais complmentaires pour fournir aux internautes des
preuves didentit lectroniques.
Le projet de carte didentit lectronique, au format carte puce et comportant des bicls et
des certificats dauthentification et de signature, a t lanc par le ministre de lintrieur. Un
projet de loi sur le sujet, qui a connu plusieurs versions depuis 2005, est toujours en attente
dexamen devant le parlement.

39
Pour plus de dtails, on consultera :
Fabrice Mattatia, An Overview of Some Electronic Identification Use Cases in Europe, in Practical studies in
e-government, S. Assar, I. Boughzala et I. Boydens (dir), Springer, 2011.

Un livre collectif 50 / 296


Mythes et lgendes des TIC

Idnum est un projet de label, lanc en 2010 par la secrtaire dEtat lconomie numrique,
visant garantir le niveau de scurit des bicls et des certificats dauthentification et de
signature mis par des acteurs privs. Ces outils seront disponibles sur diffrents supports
adapts la navigation mobile, comme des cls USB cryptographiques ou des cartes SIM. Le
cahier des charges dIdnum repose notamment sur le rfrentiel gnral de scurit (RGS)
de ladministration, publi en 2010. Idnum nutilise pas la biomtrie ; comme pour la carte
bancaire, lusage des cls prives est conditionn la possession dun objet (le support
cryptographique) et la connaissance dun code secret.
Idnum et la carte didentit lectronique utilisent les mmes standards. Un internaute pourra
dtenir une carte didentit et un ou plusieurs outils Idnum de diffrents fournisseurs, et les
utiliser indiffremment, tous offrant le mme niveau de garantie. Il choisira ainsi celui qui a le
support le plus pratique pour chaque circonstance, ou celui manant de lmetteur auquel il
prfre avoir recours pour chaque authentification ou signature.

Un livre collectif 51 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'IDENTITE NUMERIQUE


PARTIE 3

Jean-Yves Gresser

Au 19e sicle, Condorcet dfinit l'identit comme le fondement du contrat social entre
l'individu et l'tat. Mais lidentit dune personne nest toujours pas dfinie en droit franais.
Le dcret du 6 fructidor an II prescrit que chaque citoyen doit porter les noms et prnoms
inscrits sur son acte de naissance40. La notion didentit numrique commence merger dans la
loi n78-17 relative l'informatique, aux fichiers et aux liberts du 6 janvier 1978 (plus
connue sous le nom de loi informatique et liberts de 1978), sous lexpression donnes
caractre personnel. Le concept sest impos progressivement au fil des pratiques didentification
et dauthentification, notamment dans le cadre des procdures administratives et de la mise au
point de processus de signature numrique.
Par ailleurs, le dveloppement des rseaux sociaux a permis lmergence dautres
problmatiques. On en arrive lutilisation de la mme expression dans deux sens diffrents :
lidentit numrique constitutrice dimage de la personne, au sens social du terme,
lidentit numrique en tant que support de procdures administratives ou
commerciales. Ce dernier sens stend des personnes physiques aux machines et aux
objets.

MYTHE N 1 :
UN IDENTIFIANT ET UNE IDENTITE NUMERIQUE SONT UNE MEME CHOSE
Dune manire gnrale, une identit est un ensemble de proprits qui vont permettre une
personne ou une machine de reconnatre une autre personne, un objet ou une autre machine
en la distinguant dune personne, dun objet ou dune machine semblable.
Dans le monde numrique, il existe de multiples dfinitions du mot identit41. Une identit
numrique est la reprsentation de cet ensemble de proprits en un format assimilable par un
ordinateur. Alors que les proprits appartiennent lentit laquelle elles se rfrent, la
reprsentation on parle alors dattribut42- passe par un fournisseur didentit. Ce fournisseur
peut tre ltat ou un des ses reprsentants, administratif ou technique.
En bref, dans ce monde une mme personne peut, de manire pratique, se voir dote de
plusieurs identits (voir mythe no 2).

40
Mais lidentit ne peut se restreindre ces lments, car certaines personnes sont homonymes de nom, de prnoms, et mme, cest moins courant
mais cela sest vu, de date et de commune de naissance. On considre alors, de manire usuelle, que lidentit dune personne consiste en ses nom,
prnoms, date et lieu de naissance, ainsi quen sa filiation (les mmes lments pour ses parents) Fabrice Mattatia, ancien responsable technique
du programme de protection de l'identit au ministre de l'intrieur, Concepteur du projet Idnum.
41
Voir lannexe A du document prcit et la partie relative aux identits de J.-Yves Gresser, Draft Ontology Of Financial Risks &
Dependencies Within & Outside The Financial Sector, Vol. 2 Glossaries, juin 2010, 104 pages
42
Un attribut est une Information concernant un objet gr, utilise pour dcrire tout ou partie de cet objet. L'information se constitue d'un type
d'attribut et de la valeur d'attribut correspondante qui peut tre une valeur simple ou multiple. (Source IUT- [X.790])

Un livre collectif 52 / 296


Mythes et lgendes des TIC

Un identifiant43 est un groupe de caractres (au sens typographique) permettant didentifier ou


de dsigner des donnes, le cas chant de prciser certaines de leurs proprits (ISO
2382/IV). Un numro de scurit social ou un numro SIREN dentreprise sont des
identifiants.
Dun point de vue pratique, un ensemble dattributs peut tre condens en un seul
identifiant, comme sur un passeport ou une carte didentit. Le mot identit devient alors
synonyme didentifiant. Malgr cela il subsiste une diffrence majeure entre les deux. Un
identifiant peut-tre ou non rversible, cest dire dcomposable en ses lments
constitutifs, une identit doit toujours ltre.

MYTHE N 2 :
UNE IDENTITE NUMERIQUE ET UN CERTIFICAT NUMERIQUE SONT UNE MEME CHOSE
Un certificat numrique est un objet informatique, un ensemble de donnes, fourni par un
prestataire aux utilisateurs potentiels dun service (fourni par un autre prestataire) pour leur
permettre daccder ce service dans des conditions juges acceptables par lensemble des
parties prenantes : prestataire principal, partenaires, autres utilisateurs, services de paiement
associs, assureur, administration fiscale etc.
Un tel certificat peut comprendre :
des lments didentifications des parties prenantes,
des attributs relatifs aux droits et diligences des parties prenantes,
des lments qualifiant la robustesse du certificat, notamment celle des codes scuritaires
ayant servi sa fabrication.
Dans le monde numrique lexpression identit numrique, raccourcie en identit dsigne
souvent ce genre de certificat.
Dans la plupart des contextes pratiques, cela ne prte pas confusion mais il faut se rappeler
quun certificat est produit dans loptique dune utilisation ou dune famille dutilisations
dtermines. Ces utilisations reposent sur 4 types de processus :
identification,
authentification,
habilitation,
autorisation (ou validation).

MYTHE N 3 :
LIDENTITE NUMERIQUE EST UNIQUE
Au vu de ce qui prcde la notion didentit unique, au sens de cl daccs toutes les
applications imaginables, est une vue de lesprit qui ne peut avoir aucune porte pratique.
Un certificat lectronique est calcul partir dun nombre fini dattributs de cette entit. Le
rsultat dpend du choix et de la caractrisation (mode de reprsentation) de ces attributs, du
mode de calcul et des entits charges de la collecte de linformation ou de llaboration du
certificat.

43
LAcadmie prfre identificateur, mieux form, mais lusage penche nettement en faveur didentifiant.

Un livre collectif 53 / 296


Mythes et lgendes des TIC

Cela nexclut pas que certains certificats aient une large porte. Mais cela tient dabord la
robustesse de ces certificats, la garantie ventuelle qui leur est attache et leur interoprabilit,
cest dire la capacit de pouvoir tre utiliss dans des contextes varis. La robustesse est lie
celle des processus mis en place depuis la cration jusqu la diffusion et lutilisation du
certificat.
Lunicit est au cur dune srie de paradoxes releve lors des rencontres dAutrans en
2006 :
l'identit peut tre anonyme,
l'identit seule ne sert rien, elle est vecteur d'changes, elle appartient une chane,
l'identit peut tre inconnue de son propritaire,
l'identit peut tre contre-productive de confiance,
une identit peut en cacher une autre,
la force de l'identification proportionnelle au risque,
une identit est concurrente d'une autre.

MYTHE N 4 :
IDENTITE, ANONYMAT ET DROIT A L'OUBLI SONT DES CONCEPTS OPPOSES
Au contraire, ces concepts sont complmentaires. Il y a des situations o lanonymat ou
recours un pseudonyme sont lgitimes : la consultation dinformations, les jeux, la
participation des forums de discussion. Inversement, il serait absurde dinvoquer le droit
lanonymat ou au pseudonymat : par exemple la consultation de son dossier mdical, laccs
son compte bancaire, la signature de contrats ou la souscription de produit, toutes situations
o une garantie forte de lidentit (relle) de la personne est indispensable44.
Le droit loubli existe sous une forme diffuse. Le droit au respect de sa vie prive est inscrit
dans le Code civil (art. 9). La loi informatique et libert prvoit que toute personne dont les
donnes personnelles sont traites peut exiger du responsable du traitement que soient, selon
les cas, (...) mises jour, ou effaces les donnes caractre personnelles la concernant, qui
sont (..) primes (art. 40). Mais les magistrats estiment que ds lors qu'une information
caractre prive a t licitement divulgue en son temps, par exemple par des comptes
rendus judiciaires, l'intress ne peut invoquer un droit l'oubli pour empcher qu'il en soit
nouveau fait tat 45 .
Il existe aussi deux exceptions concernant les crivains et les journalistes (recommandation
de la CNIL en 2001).

MYTHE N 5 :
L'IDENTITE NUMERIQUE RELEVE DE LAUTORITE REGALIENNE.
Il peut exister des identits numriques relevant de ltat.
Le problme majeur est lirresponsabilit juridique de ltat (de tout tat) relative aux actes
pouvant sappuyer sur une telle identit.

44
Texte repris de Frabrice Mattatia
45
Voir sur le site de la CNIL http://www.droit-technologie.org/actuality-1200/le-droit-a-l-oubli-sur-internet.html

Un livre collectif 54 / 296


Mythes et lgendes des TIC

La cyberidentit tatique universelle est une vue de lesprit. Par contre, ltat peut fournir un
cadre juridique gnral incluant certification et labellisation et, pour ses propres activits,
technique.

MYTHE N 6 :
IDENTIFICATION ET AUTHENTIFICATION, CEST PAREIL
Dans le contexte des identits numriques, identifier a deux sens. Il peut dsigner :
le processus par lequel une identit est attribue une entit (personne, objet,
machine),
la visualisation dune identit, cest dire laffichage des attributs ou proprits
identitaires dune entit.
Une identit peut tre ou non authentifie. Lauthentification est alors un processus ou le rsultat
dun processus par lequel la vracit de lidentit dune entit peut tre prouve ou sinon
conforte. Mais lauthentification a une porte plus gnrale. Cest le processus par lequel on
vrifiera quune entit a bien la capacit ou la permission deffectuer ou non certaines
transactions. Ce processus est le fondement de la confiance sur linternet. Il va de pair avec
deux autres processus :
lhabilitation, qui consiste donner des droits, droit daccs ou droit deffectuer
certaines tches une entit (on parle parfois de rle pour distinguer cette notion de
46
celle de proprit , consubstantielle lentit),
lautorisation ou la validation, qui donne au dtenteur dun droit la possibilit effective
dexercer ce droit.
NB La notion dacte authentique est une notion purement juridique qui na pas de rapport
direct avec la notion dauthentification.

MYTHE N 7 :
ON PEUT MAITRISER SON IDENTITE SUR LINTERNET.
Revenons un moment sur un des sens profond didentit dans le monde numrique et qui a
peu voir avec la notion de certificat. Cest ce que certains dsigne par le mot persona ou plus
prosaquement par trace(s).
En fait, les sens sont lgrement diffrents. La personne numrique est pour certains lensemble
des informations glanes sur la toile et cense reprsenter une personne physique de manire
fidle (et sincre).
Cela commence par la collecte de renseignements de toute nature, tirs de documents ou de
messages changs et qui sont publiquement accessibles sur des serveurs de toute nature, les
traces.
Le problme est qu partir du moment o une information est numrise et accessible, elle
est indfiniment reproductible et transportable. Quel que soit le dispositif de contrle
daffichage, dimpression etc. mis en place celui-ci peut tre contourn. Certes plus ou moins
facilement, mais il lest toujours pour qui veut bien sen donner la peine !
Se constituer un espace priv ct dun espace public est ainsi impossible mme en utilisant
des pseudonymes diffrents. Les moyens de recoupement existent toujours.

46
Voir mythe no 1.

Un livre collectif 55 / 296


Mythes et lgendes des TIC

Le meilleur moyen pour quune donne reste prive cest de ne pas la publier du tout. Est-ce
raliste ?
NB Cette problmatique concerne toute identit numrique. Il ne peut pas en exister
dinfalsifiable. Il serait donc dangereux dessayer attribuer une personne une identit unique
et univoque. Que ferait cette personne en cas de vol ou dusurpation ?

MYTHE N 8 :
UNE IDENTITE NUMERIQUE EST TOUJOURS UN FACTEUR DE CONFIANCE.
En fait lidentit peut tre contreproductive de confiance.
Lusage de mthodes propritaires et secrtes ne permet pas dvaluer correctement le niveau
de scurit de toute identit.
De plus, la gestion des identits et des certificats donne aux gestionnaires un pouvoir de
surveillance et de connaissance des activits de leurs clients. La mainmise sur cette gestion
par des socits hors contrle des utilisateurs est une porte ouverte aux conflits dintrts,
aux abus de dominance, et aux usages dtourns dinformations confidentielles.
grande chelle, cest une drive vers une tutelle conomique et politique par des groupes
hors datteinte juridique et prdateurs.

MYTHE N 9 :
POUR ECHANGER DE MANIERE SURE SUR LINTERNET IL SUFFIT DE PRESENTER UNE
IDENTITE NUMERIQUE SUFFISAMMENT ROBUSTE.

L'identit seule ne sert rien, elle est seulement un lment d'accs dans une chane plus ou
moins complexe et plus ou moins tendue.
Ds quun change est porteur de valeur, une simple identit ne suffit pas. Un processus
dauthentification courant requiert un identifiant et un mot de passe. Une authentification 2
facteurs va rclamer la fourniture dinformations concordantes via deux canaux diffrents.
Une preuve de prsence peut tre demande.
Une chane implique linteroprabilit de processus mis en uvre par plusieurs acteurs et celles
des identits manipules.
Les acteurs peuvent relever ou non du mme espace gographique, juridique ou technique.
Les processus de certification ou de labellisation des identits sont souvent limits un tat.
Les rfrentiels transnationaux sont encore rares tout comme les organismes capables de les
faire respecter.

Un livre collectif 56 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES SYSTEMES DE CLOUD

Professeur Jean-Pierre Cabanel, INP / ENSEEIHT, membre de l'IRIT


Professeur Daniel Hagimont, INP / ENSEEIHT, membre de l'IRIT

Face laugmentation continuelle des cots de mise en place et de maintenance des systmes
informatiques, les entreprises externalisent de plus en plus leurs services informatiques et
confient leur gestion des entreprises spcialises (que nous appelons fournisseurs). Lintrt
principal rside dans le fait que le client de ces fournisseurs ne paie que pour les services
effectivement consomms, alors quune gestion de ces services par le client ne serait pas
compltement amortie, en particulier lorsque les besoins du client varient. Le Cloud
Computing se situe dans cette orientation rcente.
Devant le manque de consensus sur la dfinition de la notion de Cloud Computing ,
reprenons celle de CISCO : "Cloud Computing is an IT ressources and services that are
abstracted from the underlying infrastructure and provided on-demand and at scale in a
multitenant environment".
Il sagit donc de fournir aux clients (des entreprises) des services la demande, illusion de
linfinit des ressources et enfin dutiliser les mmes ressources (mutualisation) pour tous les
clients.
Cette stratgie offre plusieurs avantages parmi lesquels :
Rduction des cots pour le client. Il na plus besoin de grer sa propre infrastructure
et il est factur en fonction de lutilisation des services du Cloud.
Flexibilit pour le client. Il peut augmenter la capacit de son infrastructure sans
investissements majeurs, les ressources du Cloud tant alloues dynamiquement la
demande.
Moins de gaspillage. Les infrastructures gres chez les clients sont souvent sous-
utilises, alors que linfrastructure dun Cloud mutualise un ensemble de ressources
pour un grand nombre de clients, ce qui permet daugmenter le taux moyen
dutilisation des ressources.
Un exemple privilgi de mesure de ce gaspillage est la consommation lectrique des
infrastructures.

MYTHE N 1 :
LE CLOUD EST JUSTE CE QU'ON APPELAIT AVANT LE "TIME SHARING" : LES
APPLICATIONS NE SONT PLUS HEBERGEES CHEZ SOI ET ON NE PAYE QUE CE QUE L'ON
CONSOMME

Le Cloud, c'est un peu plus compliqu. Les utilisateurs potentiels dun Cloud se regroupent
en 3 catgories : administrateur du Cloud, administrateur du client et utilisateur final.
Ladministrateur du Cloud est responsable de ladministration des ressources matrielles et
logicielles du Cloud. Il est notamment responsable de la gestion de la capacit dhbergement
du Cloud. Le Cloud doit donc fournir son administrateur des services dadministration lui
permettant de grer les ressources matrielles et logicielles mises disposition des clients.
Quant ladministrateur du client, il utilise les ressources fournies par le Cloud pour grer
les applications finales du client. Il na pas une vue globale de lenvironnement du Cloud,

Un livre collectif 57 / 296


Mythes et lgendes des TIC

mais seulement des ressources mises la disposition du client et des applications gres avec
ces ressources.
En fonction du niveau de service fourni par le Cloud, on identifie 3 scnarios dutilisation du
Cloud :
Infrastructure as a Service (IaaS) : Il sagit du niveau le plus bas. Le Cloud fournit
des ressources matrielles ses clients (capacit de traitement, de stockage ...). Ces
ressources matrielles peuvent tre fournies directement au client (lunit dallocation
est alors gnralement une machine quipe dun systme dexploitation) ou tre
virtualises (lunit dallocation est alors gnralement une machine virtuelle, plusieurs
machines virtuelles pouvant sexcuter sur une mme machine physique) pour une
gestion plus fine des ressources physiques. Pour ce niveau, le Cloud fournit un
ensemble dAPI permettant ladministrateur du client dutiliser un ensemble de
ressources. Ladministrateur du client a alors la responsabilit dutiliser ces ressources
(machines physiques ou virtuelles) pour y installer et grer les applications utilises par
le client.
Platform as a Service (PaaS) : Il sagit dun niveau intermdiaire dans lequel le Cloud
ne fournit pas que des machines et leurs systmes dexploitation, mais galement des
logiciels appels plateformes applicatives. Ces plateformes sont des environnements
dexcution pour les applications finales comme par exemple : les serveurs
dapplications dans une architecture JEE. Ces plateformes applicatives sont
maintenues par ladministrateur du Cloud, mais ladministrateur du client a la charge
dadministrer les applications finales du client sur ces plateformes applicatives.
Software as a Service (SaaS) : Il sagit du niveau le plus haut dans lequel le Cloud
fournit directement les applications finales ses clients. Ladministrateur du Cloud
administre les applications finales et le rle de ladministrateur du client est quasiment
nul. Il est important de souligner quun Cloud de niveau SaaS peut tre implant par
un acteur en sappuyant sur un Cloud de niveau PaaS gr par un autre acteur, lui
mme implant sur un Cloud IaaS.

MYTHE N 2 :
LE CLOUD COMPUTING EST UNE REVOLUTION TECHNOLOGIQUE
On peut penser que le Cloud Computing est une rvolution technologique, mais non,
cest une orientation vers un mode de gestion des infrastructures informatiques des
entreprises.
En adoptant cette orientation, on retrouve tout les problmes classiquement adresss dans
les infrastructures actuelles, et notamment :
La tolrance aux pannes. Un service gr dans un Cloud soit tolrer les pannes dans
le sens o il faut assurer la cohrence de ltat du service en cas de panne ainsi que sa
disponibilit pour les usagers. La disponibilit peut tre plus difficile assurer du fait
que les services sont dports dans le Cloud et quune indisponibilit de la connexion
entre le client et le Cloud peut lourdement affecter la disponibilit du service.
La scurit. Un service gr dans un Cloud doit rsister des utilisations
malveillantes. La scurit peut tre dlicate assurer du fait que le Cloud peut hberger
des applications pour le compte de diffrents utilisateurs (ce qui nest pas le cas pour
une infrastructure interne lentreprise cliente). De plus, lutilisation dun service

Un livre collectif 58 / 296


Mythes et lgendes des TIC

ncessite une communication entre le client et le Cloud, ce qui peut constituer un talon
dAchille pour la scurit.
Linteroprabilit et la portabilit. Les clients des Clouds auront vite envie de
pouvoir migrer des services dun Cloud un autre, ce qui ncessitera ltablissement de
standards permettant de tels changes.
Un problme apparat toutefois plus crucial dans le domaine du Cloud Computing. Comme
on la vu prcdemment, lorganisation dun Cloud implique deux administrateurs :
ladministrateur du Cloud et ladministrateur du client. Ladministrateur du Cloud doit
dployer des logiciels (systmes dexploitation, machines virtuelles, plateformes applicatives
ou logiciels pour lutilisateur final) sur des machines physiques et les grer lexcution
(migration, rpartition de la charge) afin dassurer la qualit de service ses clients.
Ladministrateur du client doit effectuer les mmes tches dadministration dans le cas des
scenarios PaaS et IaaS. Ces tches dadministration ne peuvent tre effectues manuellement
et une tendance gnrale est de fournir des environnements dadministration autonomes
visant automatiser au maximum ces tches (on parle galement plus gnralement
dautonomic computing . Ces environnements dadministration autonome fournissent des
formalismes permettant de dcrire les actions effectuer pour dployer des applications et
les reconfigurer dynamiquement pour prendre en compte les conditions lexcution.
Il existe principalement trois types de systme de Cloud et les problmes de scurit sont
diffrents suivant la structure utilise.
1. Les systmes privs propres un grand compte, avec si ncessaire quelques sous-
traitants
2. Les systmes partags par plusieurs grands comptes
3. Les systmes publics, ouverts tout le monde
Un systme de type Cloud se dcompose en plusieurs parties :
Des postes clients indpendants
Un systme de communication entre le poste client et le systme.
Des btiments qui abritent les ordinateurs Cloud
Des ordinateurs, systmes dexploitation et logiciels du Cloud
Chacun des ces lments est un des maillons de la chaine scuritaire du systme et impacte
sur les paramtres suivants :
Confidentialit
Authentification
Dni de service
Pollution, destruction
La problmatique de la scurit dun systme de Cloud relve dune tache ardue, et les
protections envisages vont diminuer la potentialit de gnralisation dutilisation de Cloud
multiples pour un mme client.
De manire induite, la problmatique juridique est, elle aussi, trs difficile : Qui va tre
responsable des alas direct ou indirect qui surviendront ? Comment obtenir la ralit sur les
causes des situations ?
Il y a quelques annes, les constructeurs de main frame , DEC, BULL, IBM etc.,
exploitaient des systmes identiques au Cloud avec sur le plan scuritaire plusieurs
diffrences essentielles :

Un livre collectif 59 / 296


Mythes et lgendes des TIC

Trs souvent, les clients du point central, appartenaient une mme entit juridique:
une banque, une industrie etc.
Les systmes de communications utiliss ntaient pas l'Internet, ils permettaient un
contrle suffisant : lignes et rseaux spcifiques et propritaires.
La protection des ressources et la recherche des causes dalas taient simplifies, une
seule entit juridique cliente et des systmes de communication propritaires des
fournisseurs de Main Frame ou centre de ressources informatiques.
La nouvelle approche, modifie lenvironnement prcdemment prsent : clients avec des
entits juridiques multiples, mme si ces clients sont connus et identifiables priori, et
utilisation de moyens de communication ouverts et incontrlables : l'Internet.

MYTHE N 3 :
LE CLOUD PRIVE D'UN GRAND COMPTE EST COMPLETEMENT SECURISE
Dans les systmes privs propritaires dun grand compte, ce type dutilisation (trs proche
des PKI intra entreprise), le systme est install sur le site de lentreprise et les risques
scuritaires sont minimiss. Ils relvent de la protection des communications dans
lentreprise (internationales) et du contrle des personnes et des systmes ddis au Cloud.
Le responsable vis--vis des utilisateurs est alors le service informatique qui gre les services
de Cloud. Sommes-nous face un systme qui possde un haut niveau de scurit ?
Et bien cela nest pas si clair, il est encore ncessaire de contrler, les chemins utiliss par
linformation afin que des copies illicites ne soient ralises, de sassurer de la prennit du
fournisseur du service, afin de ne pas perdre de linformation et ainsi dsorganiser
lentreprise, contrler les communications, etc.
Avec les systmes rservs plusieurs grands comptes, nous sommes en prsence de la
structure la plus expose aux problmes scuritaires. En effet le site physique du Cloud nest
pas sous contrle de lentreprise mais contient des informations confidentielles de plusieurs
entreprises.

MYTHE N 4 :
LES INFORMATIONS STOCKEES SUR UN CLOUD PARTAGE SONT PROTEGEES, PAR
CONTRAT, DES VIRUS, VERS ET AUTRES ATTAQUES

Les postes clients du systme Cloud, utilisent srement des supports magntiques amovibles,
(il existe trs peu dapplication ferme) ou bien le poste client est utilis pour dautres
travaux, ou dans le cas pire, le poste client est connect l'Internet de temps en temps.
Pensez-vous alors que les filtres anti virus du Cloud vont protger les informations des
entreprises clientes ? Et bien non ! En ralit ces filtres possdent une efficacit toute relative
et cela conduit au risque de pollution du Cloud par les virus et autres programmes
malveillants positionns par un client et ainsi polluer ou dtruire des informations des
entreprises clientes du Cloud
Vous imaginez peut-tre, que les donnes des entreprises peuvent tre spares
physiquement sur des machines diffrentes avec des accs rseaux diffrents ? Et bien non !
La ralit conomique de ces systmes oblige mettre en commun les ressources afin de
diminuer les cots pour les clients.
Un fournisseur de systmes de Cloud peut-il garantir par contrat la non destruction ou
pollution des donnes stockes ? Les notions de virus et vers sont elles assimiles aux forces

Un livre collectif 60 / 296


Mythes et lgendes des TIC

majeures : nature, guerre etc. ? La prennit du fournisseur est-elle prise en compte par des
clauses spcifiques ? Il semble que si lon dsire garder des cots acceptables de service de
Cloud, il soit trs difficile de garantir de telles contraintes.
Pensez vous quil est possible, de dtecter le client responsable dune pollution ? Quelles sont
les responsabilits partages du Cloud et du client pollueur ?
Dans un environnement semi ouvert (les clients sont connus), la technique actuelle ne
permet pas de protger de la pollution un site de Cloud, de plus, cette dernire, peut tre
engendre par un poste client, qui ne connait pas obligatoirement son propre tat de
pollution. Il est donc trs difficile de remonter au client initial, et les autres clients du Cloud
sont alors en droit de se retourner vers le propritaire du Cloud dans le cas de pollution de
leurs donnes.
De plus des postes clients peuvent eux-mmes tre pollus, par un Cloud pollu par un autre
client. Cela montre linteraction informatique entre des entreprises qui ne se connaissent peut
tre pas,
Peut tre pensez vous que si vous participez un Cloud, le fournisseur vous garantit un
cloisonnement informatique tanche ? Et bien non ! Votre entreprise (vos postes connects
au Cloud) devient une partie de la toile tisse par le Cloud et votre informatique est alors
assujettie aux alas dautres entreprises.
Cest un des problmes trs important li au systme de type Cloud.

MYTHE N 5 :
SI VOUS QUITTEZ VOTRE FOURNISSEUR, VOTRE CONTRAT GARANTIT LA
CONFIDENTIALITE ET LA RESTITUTION DE VOS INFORMATIONS ET LEUR DESTRUCTION

En dehors des problmes de confidentialit et dauthentification relatifs aux communications


lectroniques entre plusieurs sites, les informations (confidentielles ou non) des clients sont
stockes chez un tiers. Il se pose alors le problme de la confiance dans le tiers par rapport
aux problmes suivants :
Accs des informations de clients par des employs du tiers (espionnage).
Pntration du site par autrui qui est ou non un client. (usurpation didentit)
Mme si les informations sont chiffres sur les machines du Cloud, le chiffrement est
propritaire (algorithme et clef) du Cloud et pas de chaque client. Un chiffrement propre
chaque client avec des clefs diffrentes pour chaque envoi, minimise les risques
dindiscrtion, mais complique la gestion du Cloud et ouvre la porte dautres problmes.
Comment pensez-vous accorder votre confiance un fournisseur de service de Cloud ? Quel
niveau dinformations confidentielles tes-vous prt confier autrui ? Pensez vous que par
contrat le fournisseur de Cloud va vous garantir la non divulgation en interne, ou par accs
extrieur, des informations stockes ?
Ces questions montrent la difficult daccorder sa confiance un fournisseur de service
de Cloud, que vous ne contrlez pas.
Vous pouvez aussi penser changer de fournisseur de Cloud ou vous pouvez vous retrouver
face la disparition de votre fournisseur.
Alors se pose la question de la rcupration de vos donnes et de leffacement des
informations des supports magntiques utiliss. Pensez-vous que par contrat, votre
fournisseur va vous garantir leffacement de vos informations, c'est--dire la destruction des

Un livre collectif 61 / 296


Mythes et lgendes des TIC

supports magntiques ? Il semble peu vraisemblable que vous obteniez cette clause dans
votre contrat.
Les systmes ouverts au public ne peuvent correspondre au monde industriel, y compris aux
PME/PMI. Les dangers sont trs importants, ils correspondent ceux relatifs au rseau
internet. Aucun contrat ne pourra garantir la scurit des informations, donc ils ne peuvent
tre utiliss que pour des informations ou traitement non confidentiels.

Comme les puissances de calcul, les volumes de stockage, les prix des logiciels continuent de
samliorer, on peut se demander si le grand public ncessite ce type doffre.

MYTHE N 6 :
AVEC UN SERVICE DE CLOUD, JE N'AI PLUS BESOIN DE ME PREOCCUPER DE MA
SECURITE ET DE LA DISPONIBILITE DES SERVICES, ET MON CONTRAT COUVRIRA LES
RISQUES INFORMATIQUES ENGENDRES

Comme tout problme de scurit, la problmatique de lutilisation de systmes de type


Cloud peut tre formalise par les deux ides antinomiques suivantes :
Dun cot les diminutions de cot engendres par la mise en commun et la meilleure
utilisation des ressources informatiques et, dun autre cot une augmentation importante des
risques despionnage, pollution etc. dans le monde informatique.
Avec un service de Cloud Computing, les problmes de scurit sont trs fortement
amplifis : destruction, pollution, confidentialit etc., et la disponibilit des ressources est
assujettie au fonctionnement du rseau. Il est plus facile de scuriser des informations dans
son entreprise que sur un systme non propritaire partag et utilisable travers un rseau.
Il est clair, que pour des entreprises stratgiques de taille importante, la notion de Cloud ne
peut exister que dans le primtre de lentreprise, le Cloud est physiquement install sur un
des sites et les clients appartiennent un mme environnement. Cest une vieille utilisation,
mme si lexploitation des calculateurs est confie un tiers qui peut tre le fournisseur de
systme Cloud.
Pour des entreprises (PME-PMI) stratgiques, un vrai problme se pose, et lanalyse entre la
perte financire engendre par la copie (espionnage ou destruction) de document, et le gain
obtenu par la diminution des cots journaliers de linformatique, est trs difficile valuer et
dpend de nombreux facteurs.
Lutilisation des systmes de Cloud ouverts et grs par des tiers devient alors limite des
applications dont le niveau de confidentialit est faible, dans le monde industriel, la dernire
molcule, le dernier programme etc. ne se partage pas, et les informations relatives la
comptabilit client sont protges.
Lutilisation de systme de type Cloud pose le problme de la confiance vis--vis du
fournisseur du Cloud, mais aussi vis--vis de ses clients, il manque un gendarme.
Pensez-vous vraiment confier vos informations confidentielles un tiers, et pensez vous que
votre contrat couvrira les risques informatiques engendrs ? Linformatique volue, les types
dattaques aussi, et un contrat sign une date, ne peut envisager les volutions dans les
annes suivantes.

Un livre collectif 62 / 296


Mythes et lgendes des TIC

QUELQUES PLATEFORMES EXISTANTES


Plusieurs plateformes ont merg dans le domaine du Cloud Computing. Parmi les plus
connues, nous pouvons citer :
Amazon Elastic Compute Cloud (EC2) : il sagit dune plateforme de type IaaS
base sur les machines virtuelles Linux. EC2 fournit une plateforme de cration de
machines virtuelles personalises (AMI pour Amazon Machine Image) et dexcution
de ces machines virtuelles.
Google App Engine : il sagit dune plateforme de type PaaS de dveloppement et
dexcution dapplications web. Une quantit de ressources minimum est alloue par la
plateforme et peut voluer en fonction des demandes de lapplication.
Microsoft Live Mesh : il sagit dune plateforme de type SaaS de stockage
dapplications et de donnes. Elle assure la disponibilit et la synchronisation des
donnes entre tous les quipements du client.
Ces quelques exemples montrent limplication des grands acteurs. Si le Cloud Computing est
plus une orientation stratgique et architecturale quune rvolution technologique, il est clair
que cette orientation risque de bouleverser les infrastructures informatiques de nos
entreprises.

Un livre collectif 63 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES SERVICES DE CLOUD

Jean-Marc Grmy, Cabestan Consultants

MYTHE N 1 :
CELA FAIT DEJA 30 ANS QUE NOUS FAISONS DU CLOUD COMPUTING !
Non ! La dfinition des services de Cloud Computing est compltement en opposition avec
cette ide. Depuis 30 ans nous externalisons la fonction Informatique chez des tiers (les tant
redouts contrat de Facility Management des annes 90) ou nous optons pour lhbergement de
systmes dans des Datacenter. Dans le premier cas on mutualise les ressources humaines,
dans le second cas les infrastructures physiques (btiment, nergie, accs tlcoms). Mais
en aucun cas nous avons mutualis sur la mme machine des applications, des systmes
dexploitation divers appartenant soit au prestataire de Cloud dans le cas du IaaS soit au
client final dans le cadre du PaaS.
Peut-tre le seul cas rencontr jusquici est celui de lhbergement des sites Web
institutionnels des entreprises. Ils taient hbergs, souvent pour des questions de couts, sur
une machine physique avec des instances du service Web. Ainsi une mme machine pouvait
supporter plusieurs sites web de diffrentes entits juridiques. Dans ce contexte lhbergeur
garantissait lexploitation du systme, la disponibilit des infrastructures daccs (souvent le
seul rseau Internet) ainsi que la sauvegarde des donnes applicatives.
La dfinition47 du Cloud impose lide du partage de ressources et de la colocation de
systmes. A elle seule cette dfinition exclue les modles que nous avions construit jusque l.
Une machine, un service, un propritaire.
Le Cloud Computing a ceci de particulier quil propose travers ces diffrentes
architectures48 une volutivit des implmentations : de la machine ddie (hardware)
lapplication en passant par des OS ddis, des bases de donnes ddies sur des machines
partages. Le service suivant la mme logique : exploitation du hardware uniquement jusqu
lexploitation de lapplication et ses donnes en passant par lexploitation unique dune
instance de lOS.
Pour comprendre les volutions et les possibilits de la technologie, projetons-nous en avant
pour en voir lvolution. Si nous repartons de lide de payer en fonction des besoins (i.e. pay
as you grow) ne pourrions nous pas imaginer que cette seule assertion prdit la fin des serveurs
informatiques dans nos Datacenter privs ? Lide serait que finalement nous pourrions ne
plus avoir de systmes mais uniquement des units duvre de calcul chez un oprateur de
service. En fonction des besoins, du moment de notre activit, de sa saisonnalit, nous
aurions plus ou moins de capacit de calcul. Linstitut dtude IDC prdit un march mondial
du Cloud Computing en 2013 une valeur de $45mds ; le prix dune machine virtuelle tant
infrieur $1 chez certain oprateur, le nombre possible de machines avec $45mds est
vertigineux.

47
NIST : National Institute of Standards and Technology. Agence du Department of Commerce Amricain.
48
Voir Mythes et Lgendes des systmes de Cloud

Un livre collectif 64 / 296


Mythes et lgendes des TIC

Pour mettre en perspective les dfinitions des architectures de Cloud, et pour donner
quelques repres au lecteur, nous pouvons illustrer la dfinition que nous avons donne avec
les offres49 suivantes :
Software aaS (SalesForce, GoogleApps...)
Platform aaS (Force.com, Google App Eng, Microsoft Azur...)
Infrastructure aaS (Amazon EC2, Microsoft Azur...)
Alors si les constructeurs de serveurs vont se positionner, qu'en est-il des oprateurs
tlcoms et Internet ? Leur lgitimit est tout aussi importante que les constructeurs, si ces
derniers ont la puissance de calcul, les oprateurs disposent du transport. Mariage de raison
ou prise de pouvoir ? Lhistoire le dira
Si on ne sait pas qui sera demain le grand gagnant de cette nouvelle vague , une chose est
sre, cela fait 30 ans que lon se prpare larrive du Cloud.

MYTHE N 2 :
LE CLOUD COMPUTING CEST UTILISER DES INFRASTRUCTURES VIRTUALISEES.
Oui, cest le principe fondateur ! Quand Harry rencontre Sally, ou quand la technologie rend
possible des choses qui ne ltaient pas ou trs peu autrefois. Mais qui dit "virtualisation" ne
dit pas ncessairement "diteur unique". Il existe aujourdhui plusieurs offres sur lesquelles
lentreprise peut sappuyer pour btir son propre Cloud Priv. Les critres de choix sont
multiples : volutivit (lasticit pour certain), scurit, exploitabilit, interoprabilit
La diffrence essentielle avec la virtualisation propose par les grands systmes, depuis
maintenant plusieurs annes, rside dans le fait que lon peut toujours cloisonner des
instances de systmes dexploitation, mais ces derniers peuvent tre de nature diffrente :
Windows, Linux, Mac OS
Cette dfinition de la virtualisation et son association aux offres de Cloud Computing sont
essentielles. Cest en partie pour ce point que le Mythe n1 est en opposition avec lide
dune existence ancienne du Cloud. La virtualisation est le moteur conomique et technique
du Cloud. Elle reprsente elle seule lide du Cloud. Les instances applicatives sont
mutualises sur des quipements physiques communs. Sans ce partage de ressources
techniques, il ny a pas de Cloud.
La dimension conomique de la virtualisation est avant tout lie la capacit de la
technologie proposer une agilit de lentreprise pouvoir dployer la demande son
informatique : des serveurs la demande aux postes de travail la demande lensemble de la
chane technique peut-tre virtualis. Lavantage de la virtualisation est la capacit quelle
offre de permettre une instanciation rapide et facile dune machine (au sens systme
dexploitation). Dans certains cas de figure cette ide, pousse son extrme, permet de
mettre en place des plans de contingence informatique jusque l rservs aux grandes
entreprises. Comment ? Redmarrer sur un autre site physique le serveur logique qui aura t
pralablement sauvegard. Dans des temps record de restitution.
Mais attention ne pas faire trop de raccourci ou dfinir les services de la virtualisation, sa
souplesse, son volutivit et sa scurit la seule offre dun diteur, futil le best-of-breed .
Ne pas recrer un frigidaire de la virtualisation.

49
Les produits commerciaux noncs restent la proprit de leurs ayants droit, cette liste ne saurait tre exhaustive en
termes de dfinition doffre et dappellation.

Un livre collectif 65 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
LES OFFRES DE SERVICES DU CLOUD COMPUTING NE PROPOSENT PAS DE SECURITE
LOGIQUE

Nous naborderons pas dans ces pages la question de la scurit physique. On prsume,
peut-tre tord, quelle fait partie des fondations des offres de services ; notamment pour la
couverture des risques.
Pour faire cho ce point et pour conserver une vision impartiale de tout
constructeur/offreur de service, nous appuierons notre dveloppement de la scurit des
50
offres de Cloud sur les travaux communs : de la Cloud Security Alliance , de lEuropean
51
Networks and Information Security Agency ainsi que sur les premiers travaux de lOpen Datacenter
52
alliance .
Cela tant pos, revenons la scurit logique. Pour dvelopper ce point, quelques chiffres
issus dune tude publie en 2008 par le cabinet dtude IDC :

Sur le podium des proccupations du panel ressort la scurit la premire et troisime


place. On pourrait, dans une certaine mesure, associer la performance la scurit mais nous
ne dvelopperons pas ce point ici.

50
CSA : www.csa.org.
51
ENISA : www.enisa.europa.eu
52
Open Datacenter Alliance : www.opendatacenteralliance.org.

Un livre collectif 66 / 296


Mythes et lgendes des TIC

Quelle diffrence peut faire linterview entre scurit et disponibilit ? Dans les critres
fondamentaux de la scurit, on a lhabitude de discerner la disponibilit, de la
confidentialit et de lintgrit. Donc dans cette tude, laversion au risque de perte des
services est telle que cette proccupation ressort telle quelle. Dont acte. Nous reviendrons
sur ce point dans le mythe suivant.
La scurit, lintgrit des donnes et leur confidentialit sont donc la proccupation
majeure. Par habitude, nous pouvons mme penser que par scurit, le panel devait penser
au seul critre de confidentialit.

MYTHE N 4 :
SI JE CHANGE DE PRESTATAIRE DE CLOUD, JE NE POURRAI PAS RECUPERER LES
INFORMATIONS QUE JE LUI AI CONFIEES

Il est vident que les donnes confies sont rcuprables. Mais attention, l encore la plus
grande prudence est observer quant aux capacits relles de les rcuprer. Lentreprise doit
tout dabord considrer deux points :
le volume de ses donnes stockes. A lui seul ce paramtre constitue llment de la
faisabilit, nous reviendrons dessus dans le prochain Mythe,
la possibilit technique de loffre de Cloud.
Cette question importante, qui fait appel un concept sous-jacent, quelle est ma possibilit
relle de changer de prestataire ? Lide ici est de mettre en perspective les situations dans
lesquelles les entreprises auront cloudises des penta octets de donnes. Comment les
transfrer vers un autre oprateur de cloud ? Nous considrons loprateur de Cloud dans le
cas des offres de service de type IaaS ou PaaS. Dans le cas du SaaS, la question est plus
simple et peut-tre plus complexe quil ny parat. Nous reviendrons sur ce cas,
ultrieurement.
Pour faire cho cette possibilit technique, qui de toute faon doit prendre une forme
quelconque, lvolution des offres de Cloud verra peut-tre arriver des oprateurs de
stockage qui fourniront leur service aux oprateurs commerciaux (Paas ou SaaS). De telle
sorte que les donnes naient plus tre techniquement rcupres .

MYTHE N 4 BIS :
QUAND JE DEMANDE UNE SUPPRESSION DE FICHIER, OU DE L'ENSEMBLE DE MON
INFORMATION NOTAMMENT QUAND JE CHANGE DE PRESTATAIRE, LES FICHIERS ET
ENREGISTREMENTS SERONT SUPPRIMES

Si la possibilit technique de rcuprer ses donnes nous est donne par les lments
vrifier sur loffre de service telle que nous lavons aborde prcdemment, le point est
maintenant tout autre, quelle est la rmanence des donnes chez le prestataire ?
Lessence mme du Cloud nest elle pas de garantir en tout lieu (de la plante Internet),
tout moment laccs ces donnes ? Encore un point pour lequel la rponse nest ni triviale
ni dfinitive.
Elle nest pas triviale, car elle dpend de loffre de service.

Un livre collectif 67 / 296


Mythes et lgendes des TIC

MYTHE N 5 :
LE PRESTATAIRE A UN ACCES COMPLET A MES APPLICATIONS ET MES DONNEES QU'IL
HEBERGE

On attend une certification de Qualit de la scurit ddie aux offres de Cloud. Aurons-
nous des approches de certification de la gestion de la scurit de linformation, linstar des
processus de certification ISO/IEC 27001 ? Le cadre normatif a dvelopp des normes de
bonnes pratiques destination des professionnels de sant (ISO 27799), des professionnels
des tlcoms (ISO 27011) Auront-ils demain une dmarche identique dans le Cloud ou
pouvons nous appliquer les modles de certification existant ?
Pour fermer ce point sur la certification des services, nous rappellerons la philosophie de la
dmarche de certification : apporter la confiance aux tiers. Cette confiance permet aussi au
prestataire de sassurer quil suit bien, au-del de ltat de lart, les attentes et les prrequis.
Cette confiance lui est donc aussi destine.

MYTHE N 6 :
AVEC UN SERVICE DE CLOUD COMPUTING JE NAI PLUS BESOIN DE ME PREOCCUPER DE
MA SECURITE, NOTAMMENT DE LA DISPONIBILITE DES SERVICES

La question de la disponibilit est un point essentiel du Cloud. Observons-la sur deux axes :
Le premier celui de lubiquit des donnes. En effet, lide sous-tendue par les diffrentes
offres de Cloud (rappel sur la dfinition du NIST) est que les machines virtuelles dans le cas
du IaaS, les systmes dexploitation et applications de base dans le cas des PaaS ou des
applications et leurs donnes dans le cas des SaaS sont en permanence disponibles, et ce, o
que vous vous trouviez sur le globe.
Mais dans la ralit est-ce vrai ? Comment tre sr du respect de ce postulat ?
Si nous tenons compte des contraintes lgales (lois et rglementations) dans certain cas de
figures, les donnes doivent tre stockes dans des localisations bien prcises : en France, en
Europe, les sites doivent tre auditables. Dans ce contexte, la logique de Cloud et la
disponibilit quil offre sont revoir, si lon imaginait que la disponibilit tait implicitement
garantie.
Le second point trop souvent ignor est la rsilience du rseau, donc cela nous ramne la
part que joueront demain les oprateurs. Mais deux coles existent :
Loprateur disposant de son propre rseau est en mesure den assurer la continuit.
Au dtail prs que la quasi totalit des oprateurs utilise les services dautres oprateurs
pour amliorer la capillarit de leur rseau, les performances, la disponibilit. Dans ce
cas une dfaillance de loprateur du contrat serait potentiellement un problme
La connexion aux services du Cloud se fait par Internet. Et dans ce cas on considre le
rseau techniquement suffisamment rsilient pour prendre en compte la majeure partie
des problmes assurer tout le temps et en tout point
Dailleurs, cette question de la disponibilit de linformation nest pas trs loigne de celle
de lIntgrit de linformation. Un dfaut dintgrit dune information peut avoir comme
consquence directe la perte de la disponibilit. Attention ce point, lorsque par exemple,
lentreprise dploie des outils de cryptographie sans matrise de loutil, de recouvrement voire
de squestre des cls de chiffrement Linformation est semble til disponible mais
inaccessible par la transformation opre par le chiffrement.

Un livre collectif 68 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES TELECOMMUNICATIONS


SPATIALES

Guillaume Rembert

MYTHE N 1 :
UN PROCESSEUR DE CALCUL EMBARQUE DANS UN SATELLITE EST PLUS PERFORMANT
QUE CELUI DE MON ORDINATEUR

Le vhicule spatial, et, dans le cadre du sujet qui nous intresse, le satellite de
tlcommunications sont des systmes assez mal connus du grand public et font l'objet de
tous les fantasmes. Parmi ceux-ci, une personne qui n'en connait pas les aspects techniques
pourrait penser que les calculateurs de bord et autres technologies embarques sont plus
performants que les technologies commerciales rencontres parmi le grand public. On prte
aux satellites des aspects quelque peu magiques. Ils sont en soi une relle prouesse humaine :
nous avons russi arracher la gravit et faire tourner un objet assez vite pour qu'il ne
retombe pas. Ils sont galement une preuve concrte de l'accs au voyage spatial pour
l'Homme.
Quelle que soit l'orbite d'un satellite, c'est dire sa position et son mouvement relatif la
Terre, il est soumis un environnement trs rude (vide, variations de tempratures extrmes,
temptes d'lectrons, vibrations pendant le lancement, etc.) qui, combin une trs faible
maintenabilit (il est assez difficile d'aller le rparer), entraine un nombre phnomnal de
prcautions et de validations ncessaires la garantie du taux de fiabilit dsir par les
oprateurs de satellites. Pour exemple, un acteur majeur des communications spatiales,
affiche pour son rseau le taux de fiabilit record de 99,9999% pour l'anne 2005 (moins
d'une minute d'indisponibilit sur toute l'anne)...
Il faut ensuite savoir que la dure de vie moyenne d'un satellite gostationnaire est
actuellement suprieure 15 ans. Cela peut laisser rveur et jaloux plus d'un technicien
concevant des quipements de communications terrestres, mais beaucoup moins leurs
gestionnaires financiers qui sont actuellement embourbs dans un modle conomique bas
sur la rente, la saturation du march et l'hyper-consommation.
Nanmoins, la qualit a un cot, et il n'est pas que financier... Il est aussi et principalement
technologique ! Le changement d'une ligne de code dans un programme, le remplacement
d'un cble ou le changement d'une molcule dans la formule d'une peinture engendre un trs
grand nombre de tests et d'essais. Les oprateurs recherchent trs souvent des technologies
valides en orbite, qui ont fait la preuve de leur fonctionnement pendant un temps dfini en
conditions oprationnelles.
Ce secteur industriel se diffrencie sur de nombreux points : les formidables avances
scientifiques qu'il permet, le frisson de peur associ aux oprations de lancement et de mise
poste de tout vhicule spatial, l'chec redout et le got du risque. Les sommes financires
qui y sont mises en jeu sont colossales et les difficults potentielles tellement nombreuses
que l'innovation technologique oprationnelle y est rendue trs difficile. De nombreux
projets de constellations satellitaires ayant pris de trop longues annes tre dvelopps sont
arrivs trop tard vis--vis de leurs concurrents terrestres qui avaient dj conquis le march.
Heureusement, les pouvoirs publics sont intervenus souvent pour soutenir ces

Un livre collectif 69 / 296


Mythes et lgendes des TIC

dveloppements, effet d'engagement aidant, mais principalement parce que le service rendu
avait une relle valeur ajoute pour l'Homme.
La pression financire associe la maturit technologique (le cot d'une assurance
augmente fortement lorsqu'une technologie n'est pas valide en orbite), la longue dure des
cycles de dveloppement et de validation de nouvelles solutions techniques ralentit
l'volution et l'adoption de technologies complexes. On comprend donc facilement qu'un
processeur que l'on achte pour quelques euros, que l'on utilise tous les jours (dans son
ordinateur par exemple), dont la fiabilit peut laisser dsirer, est bien plus performant qu'un
processeur embarqu dans un satellite, dont la fiabilit est garantie. Il ne faut malgr tout pas
oublier que les modles physiques les plus pousss se basent sur l'ala, que les conditions
environnementales des systmes ne sont jamais totalement maitrises et que de ce fait, la
garantie d'un bon fonctionnement n'est jamais absolue...

Un livre collectif 70 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES MEDIA SOCIAUX

Yanis Taieb, MediaWeb Lab

La rvolution internet consistait interconnecter des millions dindividus ou entits sociales.


Mais pour que ces interconnections puissent aboutir de relles interactions, il fallait quelles
soient organises autour de sujets, de contenus que lon puisse partager.
Or cest justement cette dimension manquante quont apporte les mdia sociaux en
permettant tous les internautes de crer, partager et diffuser du contenu. Grce ces
plateformes des millions dinternautes peuvent, chaque jour, changer de linformation, des
connaissances, du savoir, partager des motions, des sentiments et l on nest pas dans le
virtuel.

MYTHE N 1 :
LES MEDIA SOCIAUX SONT DANGEREUX POUR LES UTILISATEURS
Un certain nombre de mdia traditionnels semblent, par un discours rducteur, vouloir nous
faire croire que ces nouveaux mdia sont dangereux pour les utilisateurs.
Je tiens souligner que si les mdia sociaux sont dangereux, cest surtout pour les mdia
traditionnels avec qui ils rentrent en concurrence directe !
Au mois de novembre 2010, plusieurs jugements des Prudhommes donnent gain de cause
diffrentes entreprises ayant licenci des salaris pour propos dloyaux sur Facebook. En
lisant les commentaires auxquels ont donn lieu ces dcisions, je prends pleinement
conscience que la majorit des internautes na pas ralis quinternet nest pas un espace
virtuel et lest encore moins depuis lavnement du web 2.0.
Du danger imaginaire de ce nouvel environnement
Je voudrais, faire remarquer, que si les propos des salaris lorigine de ces jugements
prudhomaux avaient t tenus sur des mdia traditionnels, ils auraient entrains les mmes
consquences.
Doit-on en dduire que les mdia traditionnels sont galement dangereux ?
Un mdia est, daprs sa dfinition une institution ou un moyen impersonnel permettant
une diffusion large et collective dinformations ou dopinions . Par dfinition, cest donc un
canal de diffusion public. Certes Facebook, comme dautres rseaux sociaux permettent de
restreindre la diffusion de ses informations. Cependant, partir du moment o lon accepte
la diffusion de ses informations aux amis de ses amis ou au-del bien sr tous les
membres dune communaut, on nest plus dans une sphre prive mais dans une dmarche
de communication mdiatique. Il convient donc de tenir compte des textes de lois rgissant
la prise de parole publique.
Se poser la question de savoir si ces lois sont en phase ou rentrent en contradiction avec la
libert dexpression individuelle est un autre dbat.

Un livre collectif 71 / 296


Mythes et lgendes des TIC

MYTHE N 2 :
LES MEDIA SOCIAUX SONT UN PHENOMENE DE MODE MINEUR

Non dcidemment le phnomne des mdia sociaux nest pas un phnomne mineur. Il nest
pas non plus limit dans lespace que ce soit certaines catgories de populations ou
certaines zones gographiques (sa seule relle limite en la matire tant la ncessit dune
connexion internet). Enfin ce nest certainement pas un phnomne de mode qui a une
dure de vie phmre.
Les mdia sociaux : un phnomne mineur ?
Pour atteindre 50 millions dutilisateurs, la radio a mis 38 ans, la tlvision 13 ans, internet 4
ans. Or, Facebook compte plus de 400 millions dutilisateurs actifs aprs seulement 4 ans
dexistence. La plateforme a rejoint Google sur le plan de lactivit avec une moyenne de 7%
de la part du temps consacr par les internautes.
Il y a quelques semaines, Twitter, plateforme en vogue du web 2.0 et cre en 2006 atteignait
175 millions de membres et tait value 1,6 milliard de $, soit 50% au dessus de la valeur du
New York Times, vritable institution des mdia traditionnels fonde il y a plus de 150 ans.
Pendant ce temps, deux des principales plateformes de rseaux sociaux professionnels
LinkedIn et Viadeo connaissent une croissance sans prcdant dune part en termes de
membres et dautre part en termes dactivit.
La premire compte plus de 70 millions de membres rpartis sur plus de 200 pays et affiche
une moyenne pour chaque membre de 42 pages visites par mois.
La deuxime dnombre plus de 30 millions de membres dont la bagatelle de 500 000
entrepreneurs et dirigeants et 3 millions de Franais et rassemble 145 000 groupes de
discussions regroupant au total 5 millions dinternautes.
Je ne mtendrai pas plus sur les chiffres : on ne peut que constater limmense opportunit
daudience que proposent les mdia sociaux !

MYTHE N 3 :
LES MEDIA SOCIAUX NE SONT QU'UNE TENDANCE POUR JEUNES PUBLICS

Si lessor initial des mdia sociaux est mettre lactif des jeunes gnrations, on constate
dune part lmergence de plateformes plutt destines un public plus g (notamment les
plateformes professionnelles) et dautre part on assiste un effet de rattrapage du taux de
pntration des populations plus ges, y compris sur des plateformes, plutt tout public,
comme Facebook.
Ainsi, aujourdhui, le phnomne stend largement au-del des publics jeunes. Voici
quelques chiffres pour illustrer la situation et lvolution rcente : Lge mdian des membres
de Linkedin se situe autour de 41 ans et celui de Viadeo autour de 36 ans. Lge mdian de
ceux de Facebook est pass de 26 ans 33 ans, dans lanne 2009. Cette mme anne, la
plateforme a enregistr, par exemple, aux Etats-Unis, une croissance de plus de 900% de sa
population de + de 55 ans, alors que la croissance moyenne stablissait 145%.
Cette tendance sest propage en 2010 sur les diffrents continents.

Un livre collectif 72 / 296


Mythes et lgendes des TIC

MYTHE N 4 :
LES MEDIA SOCIAUX SONT UN PHENOMENE TYPIQUEMENT AMERICAIN OU ANGLO
SAXON

Il naura chapp personne que le phnomne des mdia sociaux est n aux Etats-Unis,
tout comme, dailleurs, celui des sites de rencontre duquel il a puis son inspiration.
Cependant, on constate que si son expansion a dbut dans les pays dvelopps, elle a trs
rapidement atteint lensemble des pays en voie de dveloppement qui aujourdhui
contribuent aussi largement la croissance du phnomne malgr leur handicap
dquipements informatiques et de connexions internet.
Ainsi, le taux de pntration de Facebook sur lensemble de la population Philippine
connecte est de lordre de 65%, celui de la Malaisie, au dessus de 75% : des taux assez
proches de ceux constats dans la plupart des pays dvelopps.
De la mme faon, si le phnomne sest initialement propag dans les pays anglo-saxons, il
en a largement dpass les frontires. Un chiffre rsume bien la situation : 70% des membres
de Facebook ne sont pas amricains. Des statistiques rcentes indiquent mme un taux de
pntration des rseaux sociaux plus important parmi les internautes brsiliens que chez les
internautes amricains, de mme quun taux quasi quivalent ou plus important dans les pays
latins (Espagne, Italie, France, Roumanie) quau Royaume Uni. On notera dailleurs aussi que
certains pays latins font quasiment jeu gal avec les USA.
Or, une des caractristiques communes de ces pays non anglophones qui ont largement
assimil le phnomne, est davoir toujours maintenu un lien social trs fort !

MYTHE N 5 :
LES MEDIA SOCIAUX SONT LE DERNIER ACCESSOIRE BLING BLING A LA MODE
Le lien social ? Lessor des mdia sociaux sappuie largement sur un des fondements de
lhumanit depuis ses origines : la vie en socit qui induit la ncessit du lien social et donc
du rseau social. Ainsi le rseau social a toujours exist. Ce qui change aujourdhui, cest sa
porte : on peut dsormais tre reli avec des millions de personnes aux quatre coins du
monde et changer, partager avec eux, en direct ou en diffr.
Mais ce qui caractrise aussi ce phnomne, cest quil remet lHomme au centre de laction
par rapport lOrganisation. On pouvait craindre une dshumanisation de nos socits et
lon pourrait assister un second souffle de lhominisation. On comprend ainsi que ces
nouveaux mdia sont la croise daspirations et denjeux vitaux pour la communaut
humaine. Aussi, il serait trs tonnant que leur dveloppement ne soit pas durable.

MYTHE N 6 :
LES MEDIA/RESEAUX SOCIAUX SONT DES OUTILS A DESTINATION DES GRANDES
ENTREPRISES

Les grandes entreprises face aux mdia sociaux


La plupart des grandes entreprises du secteur technologique ont rapidement adopt et
intgr les mdia sociaux dans leur stratgie.
Ce nest pas tonnant de les retrouver prcurseurs dans ce domaine car dune part, la nature
de leur activit en fait gnralement des entreprises trs ractives surtout vis--vis des
nouvelles technologies et dautre part, leur organisation et leur fonctionnement sappuient

Un livre collectif 73 / 296


Mythes et lgendes des TIC

largement et depuis longtemps sur des principes collaboratifs qui constituent un des aspects
essentiels de lenvironnement du web 2.0.
Cette situation est cependant loin dtre gnralisable lensemble des grandes entreprises
qui ne sont globalement pas trs prsentes sur ces nouveaux mdia. En effet, les grandes
firmes sont lentes sengager car un dploiement sur les mdia sociaux a des impacts sur
lensemble des fonctions vitales de lentreprise, ce qui ncessite une parfaite coordination des
diffrents services. De plus, ces nouveaux mdia induisent un degr trs lev dinteractivit
de la communication auquel il sagit de rpondre par un niveau lev de ractivit.
Or, ces deux obstacles que les grandes entreprises doivent surmonter avant de dcliner leur
stratgie sur les mdia sociaux, ne constituent pas des obstacles majeurs pour les TPE ou les
PME.
Mdia sociaux au service des TPE et PME
Au-del, lenvironnement du web 2.0 sert particulirement bien la stratgie de ces dernires.
Les mdia sociaux permettent dabord laccs un cot quasiment nul une trs large
audience. Je rappelle quelques donnes : Facebook compte 500 millions de membres,
LinkedIn le premier rseau professionnel, plus de 70 millions de membres avec 50% de
dcideurs conomiques, Viadeo en runit prs de 30 millions dont plus de 3 millions en
France
Ces mdia sont galement trs efficaces pour affiner leur positionnement, aspect aujourdhui
essentiel de la stratgie de communication dune petite entreprise. Ils offrent des outils de
segmentation trs performants permettant aux entreprises de toucher plus facilement leur
cur de cible, atout primordial pour des entreprises qui sadressent des marchs de niche
ou des nouveaux marchs avec des produits innovants.
Enfin ils constituent des outils dinformation, de veille et dinspiration sans quivalent
notamment pour des structures qui ont peu de temps consacrer cette activit, pourtant
stratgique dans un environnement de plus en plus fluctuant.
Dcidemment, ces nouveaux mdia prsentent de nombreux arguments favorables pour les
TPE et PME. Mais quen est-il du temps y consacrer, nest ce pas une discipline
chronophage ?

MYTHE N 7 :
LES MEDIA/RESEAUX SOCIAUX SONT DES OUTILS CHRONOPHAGES
Communiquer : dvelopper sa notorit, amliorer sa visibilit notamment sur
Internet, faonner son image ;
Vendre : prospecter, tablir un lien permanent avec ses clients et prospects, engager la
discussion avec eux sur ses produits, ses services ;
Cooprer : identifier de nouveaux partenaires, maintenir le lien avec ses partenaires
existants, collaborer avec eux ;
Recruter : se mettre en relation avec des futurs collaborateurs potentiels, mieux les
connatre, garder le contact;
Anticiper : sinformer, se former, se positionner ;
Crer : analyser, comprendre, sinspirer

Un livre collectif 74 / 296


Mythes et lgendes des TIC

Autant dactivits vitales au dveloppement de lentreprise et autant dactivits que lon peut
pratiquer sur les mdia/rseaux sociaux. Non ! Avec une vision pragmatique et raliste, les
mdia et rseaux sociaux ne sont pas des outils chronophages. Mais il sagit bien sr de les
matriser, davoir une stratgie et de les utiliser bon escient.

CONCLUSION
Internet, considr depuis son apparition comme lune des rvolutions technologiques
majeures du 20me sicle ntait, jusqu prsent, parvenu qu rendre obsolte lutilisation
du tlcopieur.
Pourtant penser que limpact de cette technologie resterait limit cela, ctait oublier cette
formidable capacit des hommes assimiler les nouvelles technologies, surtout quand elles
sont rvolutionnaires et dvelopper partir de celles-ci une multitude dinnovations crant
ainsi un effet dentrainement susceptible de gnrer bouleversements sur bouleversements.
Linnovation et la socit humaine
Depuis la nuit des temps, lhomme na eu de cesse dinnover et la socit humaine de
sapproprier ces innovations, de les digrer, de les dcortiquer, de les dcliner, de les diffuser
et dinnover encore.
Ces innovations engendrent leur lot dvolutions et de changements dont lampleur et le
rythme dpendent bien sr de la nature mme de linnovation mais aussi de sa capacit
ventuelle acclrer les processus de dveloppement et de diffusion dautres innovations.
Ainsi la domestication du feu ft une innovation essentielle car elle permit, notamment,
lhomme de prendre dfinitivement le dessus sur lanimal et dassurer sa survie en milieu
hostile. Mais le feu a aussi t un facteur prpondrant du processus dhominisation et donc
de socialisation, qui a trs largement contribu lacclration de lhistoire. Autre exemple
prpondrant, le rail a t lorigine de bouleversements en srie qui ont fait dire Charles
Pguy : Le monde a plus chang entre 1880 et 1914 que depuis les Romains.
On comprend bien quavoir accs, qui plus est rapidement, des ressources et des territoires
inaccessibles jusqu prsent, permettre aux personnes et aux marchandises de circuler 20
fois plus vite (pour la petite histoire, le rail a permis, au 17 me sicle, de rduire le temps de
la traverse transcontinentale de lAmrique de 6 mois 1 semaine) engendraient un certain
nombre de changements dans le monde et ouvraient de nouvelles perspectives.
Les impacts indirects des rvolutions technologiques
Mais la principale rvolution du chemin de fer ne ft pas le chemin de fer lui-mme mais son
action indirecte sur le processus dinnovation. Le chemin de fer permit dune part, en
rapprochant les hommes dacclrer le dveloppement de linnovation, de la mme manire
que la domestication du feu, mais il permit aussi dacclrer la diffusion de ces innovations.
Or la dcouverte engendrant dautres dcouvertes, linnovation dautres innovations, le rail a
provoqu un mouvement dentrainement de grande ampleur. Ignorer ces bouleversements
ainsi que les nombreuses opportunits quils gnraient, aurait t, lpoque, fatal
nimporte quelle entreprise.
Le web 2.0 et son impact sur linnovation
Quels impacts le web 2.0 pourrait-il avoir sur le processus dinnovation ?
Non seulement les mdia/rseaux sociaux facilitent la communication entre tous les
hommes (connects internet) et la rendent mme immdiate, mais en plus ils fournissent
des outils collaboratifs trs pousss.

Un livre collectif 75 / 296


Mythes et lgendes des TIC

Non seulement les plateformes des mdia/rseaux sociaux permettent dacclrer la


diffusion de linnovation mais de plus elles permettent de mieux la digrer, la dcortiquer, la
dcliner et continuer innover.
Nul doute que notre monde va connatre, dans les annes venir, des mutations et des
bouleversements sans prcdant avec de trs fortes rpercussions sur les entreprises et leurs
marchs.
Jack Welch, PDG emblmatique de General Electric a dit : Lorsque la vitesse dvolution
du march dpasse celle de lorganisation, la fin est proche.
Un des plus grands dfis de lentreprise, pour rester performante aujourdhui, est
dapprhender ces nouveaux mdia. Il est, ainsi, essentiel que les dirigeants soient la fois
initiateurs de ce mouvement et chef dorchestre de son dploiement.

Un livre collectif 76 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES COMMUNICATIONS


UNIFIEES ET COLLABORATIVES

Jean-Denis Garo, Aastra

Le terme communications unifies et collaboratives runit un ensemble dapplications


portes sur un ordinateur, une tablette, un smartphone. Couples au systme dinformations
et de communications (Tlphonie) elles rpondent un besoin de dveloppement des outils
pour enrichir les relations entre les utilisateurs offrant divers mdias synchrones et
asynchrones.
Les applications les plus courantes sont : la messagerie unifie, laudio et vidoconfrence, la
gestion de prsence, le partage de documents, la messagerie instantane (IM ou chat), le
softphone, le click to call (CTI), le social web et web2.0

MYTHE N 1 :
LES COMMUNICATIONS UNIFIEES ET COLLABORATIVES FAVORISENT LA PRODUCTIVITE.
Mettre disposition des outils favorisant les communications, ouvrir des fentres dchange
entre les utilisateurs sont videmment les objectifs des solutions de communications unifies
et collaboratives. Toutefois un dploiement mal accompagn, labsence de formation aura
leffet contraire celui souhait. Lutilisateur lui-mme, dans son organisation du travail, peut
tre son pire ennemi. Lutilisateur doit rester matre de ses outils. La gestion prsence est un
moyen pour lui de dfinir quel moment il se dclare joignable et via quel mdia.
Lautre danger vient de lintroduction doutils collaboratifs personnels dans la sphre
professionnelle. On peut ici parler de prolifration, les salaris jonglant entre outils
professionnels et personnels tout instant. Un autre smartphone (priv), lusage
dapplications chat ou rseaux sociaux (si la DSI lautorise) apportent dautres intrusions
dans le temps de travail.
A productivit il faut opposer fragmentation du travail. La multiplication doutils de
communication amne lutilisateur tre constamment sollicit, rduisant ainsi les plages
horaires ddies au travail de fond, ncessitant concentration. Toutefois la faute nen revient
pas aux outils mais lusage des outils. Ces derniers doivent sadapter lorganisation du
travail souhaite. Nous ne recommanderons jamais assez laccompagnement au changement,
la formation aux outils et aux mthodes de travail, en un mot la communication autour du
projet. Une rupture dusage et une nouvelle faon de travailler ncessitent une rflexion
pralable.

MYTHE N 2 :
LES COMMUNICATIONS UNIFIEES ET COLLABORATIVES SONT DES OUTILS DE
CONTROLE (FLICAGE)

Dans ce cas prcis, cest la gestion de prsence qui est souvent incrimine. Dclarer son
statut, partager son calendrier, laisser des collaborateurs y inscrire des rendez-vous,
communiquer sur lensemble des mdias disponibles (N de tlphone portable, fixe, chat,
vidoconfrence) pour tre joint, accepter dtre joignable tout moment, sont autant de

Un livre collectif 77 / 296


Mythes et lgendes des TIC

fentres permettant une personne ou une organisation de suivre, contrler lactivit dun
salari.
Cest pourtant oublier les principes de base qui laissent lutilisateur lopportunit de
dclarer ou non son statut. Une entreprise peut automatiser un certain nombre de
mcanismes comme lancer automatiquement le logiciel louverture dune session sur
lordinateur. Cest oublier aussi que ces outils sont avant tout mis disposition des
utilisateurs pour favoriser la communication, la joignabilit, et faciliter les changes. Ce nest
pas un terminal que lon cherche joindre mais une personne. Dailleurs quoique lentreprise
souhaite contrler il ne faut pas oublier que lutilisateur trouve toujours un moyen de
contournement. Aussi lentreprise doit-elle dfinir des rgles applicables et acceptables, afin
de rpondre son besoin lgitime de management des quipes, et ainsi favoriser ladoption
doutils amliorant sa performance. Les outils devant avant tout tre contrls par les
utilisateurs et non pas un moyen pour lentreprise de contrler ses salaris.
Les nouvelles gnrations vivent ainsi : elles dclarent dj ce quelles font, pensent, o elles
sont sur Facebook, Twitter Lusage est bien l. Ces gnrations sont toutefois rticentes
agir de mme dans le cadre de lentreprise. Mais lutilit de ces solutions prendra vite le pas
sur la mfiance.

MYTHE N 3 :
LES COMMUNICATIONS UNIFIEES ET COLLABORATIVES REMPLACENT LES LOGICIELS DE
GROUPE DE TRAVAIL (GROUPWARE OU COLLECTICIEL)

Le travail de groupe est surtout une affaire dorganisation, loutil va permettre de favoriser ou
faciliter lchange, fluidifier linformation. La gestion de prsence permet de connatre la
disponibilit de quelquun, le partage dagenda permet de positionner des rendez-vous, le
partage de documents permet dchanger plusieurs sans avoir se dplacer, la vido
apporte une proximit, le chat une spontanit les mdias de communications unifies ne
remplacent pas toutefois des logiciels ddis au travail collaboratif, voire des progiciels
mtiers. Ces logiciels ddis apportent des rponses des besoins de partage de notes, de
documents, de wikis et offrent la possibilit de co-rdaction. Ils requirent aussi lexistence et
la gestion de bases de connaissances
Si lamlioration de la productivit personnelle est au premier rang des bnfices reconnus de
ce type de solutions, la productivit collective, elle, en est ses prmices.
Les communications unifies et collaboratives sont donc des solutions favorisant la flexibilit
et lintelligence collective mais ne sont pas encore considres par les entreprises comme une
solution ddie au travail de groupe. Lvolution des solutions disponibles et lintgration
dapplications mtiers devraient rapidement inflchir cette tendance.

MYTHE N 4 :
LES COMMUNICATIONS UNIFIEES ET COLLABORATIVES ATTIRENT LES JEUNES
(GENERATION Y) EN ENTREPRISE
Si un quipement performant attire les jeunes, comme un PC portable, ou un tlphone
mobile, un vhicule pour les gnrations prcdentes, offrir un panel de solutions unifies et
collaboratives comme la vido et le chat semble moins tre un dclencheur que lusage de
solutions prives au travail. Ce que les jeunes aiment cest utiliser leurs mdias Facebook,
MSN pour communiquer avec leurs groupes damis plus quavoir des outils similaires pour

Un livre collectif 78 / 296


Mythes et lgendes des TIC

changer avec leurs collgues. Cest aussi la possibilit de rester connect avec ces mmes
groupes tout au long de la journe.
Cet usage des nouvelles technologies au sein de lentreprise sapproche plus dun moyen
dont se dote lentreprise pour tre performant, voire adopter une dmarche dveloppement
durable, ce qui rassure les jeunes prtendants mais ne sera pas un lment dattraction. Le
salaire, la localisation, les valeurs et la notorit de lentreprise restent en tte des critres de
dcision des jeunes.
Lentreprise gagnera avec ces gnrations une adoption facilite aux outils/mdias de
dernire gnration. On constate dailleurs dj une acclration de lusage doutils tels que le
chat . Elle gagnera aussi en image de marque (Dynamisme). Mais plus que loutil, le
tltravail, facilit par ces outils de communications unifies et collaboratives, peut tre un
argument pour attirer les jeunes, leur offrant une certaine autonomie.

MYTHE N 5 :
LA VIDEOCONFERENCE EST RESERVEE AUX GRANDES ENTREPRISES
Lusage de la vido au sein des entreprises est plus que jamais une ralit. Il persiste
nanmoins un dcalage entre les attentes des utilisateurs, les messages marketing des acteurs
spcialiss et la mise en uvre relle de ces solutions. Rserves auparavant certaines
catgories dutilisateurs dans lentreprise, les solutions tendent aujourdhui se gnraliser
la plupart des utilisateurs de lentreprise. La vido tant de plus en plus considre comme
une extension du systme de communication et dinformation (SI), et donc comme un mdia
complmentaire de la voix et de la data.
La vidoconfrence se dmocratise, elle rpond de nouvelles attentes. En effet les solutions
de vidoconfrence (salles ddies) rpondent gnralement des besoins de runions
longues, programmes, privilgiant la parole ( lcrit), dans des salles ddies, offrant parfois
lapparence dune runion virtuelle (tlprsence, co-prsence physique). Dsormais plus
facilement utilisables, les solutions de vidoconfrence peuvent tre inities depuis un PC
portable (favorisant le nomadisme ou le tltravail), et rcemment partir dun tlviseur ou
mme dun smartphone. Les solutions de vidoconfrence sur PC sont, elles, plus utilises
pour des runions impromptues, o rapidement le partage de documents prendra le pas sur
la fentre vido. Souvent utilises pour un suivi de projet (follow-up) elles sont, du fait de
leurs cots rduits, plus accessibles aux PME. Lmergence de terminaux ddis la vido et
certaines applications offre une troisime voie. Celle de la convivialit dun terminal vido
HD et la possibilit de poursuivre le partage de documents sur le PC. Dautres solutions de
confrence vido se dveloppent comme les webconfrences.
Le besoin cre donc toujours la solution. Lensemble des solutions de vidoconfrence (salle
ddie, utilisateur PC, tltravailleur) sinterconnectant / inter-oprant pour rpondre aux
nouveaux usages de mobilit et aussi aux budgets des entreprises. Lappropriation de ces
nouveaux mdias de communication ayant profit de lusage grand public des applications
Skype ou MSN.

CONCLUSION
La plupart des technologies mises en uvre dans un projet de communications unifies et
collaboratives existent depuis prs dune dizaine dannes, limage de la messagerie unifie
ou de la gestion de prsence. Elles sont prsent intgres une suite logicielle sous forme
de briques indpendantes offrant des fonctions. La DSI dcidant doffrir telle ou telle

Un livre collectif 79 / 296


Mythes et lgendes des TIC

fonction selon des profils dfinis dans lentreprise (utilisateur intensif, nomade,
tltravailleur, etc).
Le dveloppement de lusage dapplications similaires dans la sphre prive, parfois utilises
avec ou sans autorisation dans lentreprise, amne des utilisateurs avertis, mais aussi
exigeants. La difficile cohabitation des applications professionnelles et prives au sein de
lentreprise apporte son lot de problmatiques nouvelles (scurit, confidentialit, efficacit
etc.).
Touchant lorganisation du travail, amenant des nouveaux usages, provoquant de nouveaux
types de relations entre les individus, crant de nouvelles rgles de communications (attitude
face la camra, stylistique du chat, syntaxe du sms) elles alimentent les mythes et lgendes.

POUR EN SAVOIR PLUS


Livre blanc Collaboration Vido sur IP, ce quen pensent les dcideurs IT
http://support.aastra.fr/CollaborationVideosurIp/
Livre blanc Communications Collaboratives Unifies, ce quen pensent les dcideurs IT
http://support.aastra.fr/ccu/
De la ToIP aux Communications Unifies , Collection guide, Edition crestel - 2010

Un livre collectif 80 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU CALCUL INTENSIF

Jean Papadopoulo, JP ETUDES & CONSEIL

Calcul intensif est le terme utilis ces dernires annes pour dsigner le terme anglophone
de High Performance Computing ou HPC, ce dernier ayant lui-mme vinc celui de
Supercomputing . Historiquement, les matriels et logiciels classs dans cette catgorie
taient ddis des applications scientifiques et techniques, telles la mcanique des fluides, la
mtorologie et la climatologie, la thermodynamique, etc Les trois caractristiques les plus
significatives du calcul intensif taient : les performances de larithmtique flottante (ce qui
justifie que le classement des solutions proposes se fait gnralement laune des oprations
flottantes par seconde ou FLOPS consacr par le classement TOP500 , actuellement
dans la zone petaflopique ) ; limportance du calcul vectoriel (lie la nature des
problmes rsoudre) ; et le dbit mmoire (li au volume des donnes traites). Lvolution
des matriels ces dernires annes, tel que nous le dcrirons dans la suite, a lgrement
modifi cette dfinition. En effet, les mmes systmes permettent aujourdhui daborder des
applications diffrentes, telle la recherche de squences gntiques qui nutilise pas le calcul
flottant, ou la fouille de donnes et linformatique dcisionnelle quon aurait plutt tendance
classer comme application de gestion.

MYTHE N 1 :
LE CALCUL INTENSIF EST A LINFORMATIQUE CE QUE LA F1 EST A LA VOITURE DE MR
TOUTLEMONDE
Cette comparaison tait tout fait de mise pratiquement jusqu la fin du 20me sicle : les
ordinateurs wqui possdaient les caractristiques voulues taient terriblement onreux, bass
sur des architectures propritaires et parfois exotiques , peu compatibles entre les
diffrents constructeurs, bnficiant de peu de logiciels, souvent dvelopps en interne et
galement chers. Lexcellence dans ce domaine tait gage de prestige et dimage, mais aucun
des acteurs en place ntait conomiquement viable et, pour tout dire, aucun naurait survcu
sans des subventions substantielles de la part des pouvoirs publics. Par suite, les cots de
possession et dutilisation taient tels que peu de domaines scientifiques et techniques
pouvaient justifier un retour sur investissement suffisant pour recourir au calcul intensif.
Toutefois, les choses ont vritablement commenc changer ds le milieu des annes 90,
dans la brche ouverte par linformatique de gestion. Cette dernire a en effet atteint un haut
niveau de standardisation, par le jeu dinstructions dabord, le X86-64 soctroyant un quasi
monopole dans le domaine ; par larchitecture systme multiprocesseur (SMP comme
Symmetrical Multi-Processor) que lon retrouve aujourdhui au niveau du chip mme ; au
niveau du systme dexploitation enfin, Windows et Linux ayant rlgu le reste dans des
niches de faible diffusion. La domination de larchitecture X86-64 a mis beaucoup plus de
temps stablir dans le calcul intensif, car la monte en puissance de ce jeu dinstruction
sest tale sur une vingtaine dannes pour rattraper ses concurrents propritaires les plus
avancs, surtout concernant les performances de larithmtique flottante. De plus, la grande
majorit des applications de calcul intensif requirent plus de puissance que ne peut dlivrer
un seul processeur, ni mme un systme multiprocesseur quutilise avec succs linformatique
de gestion. Ainsi, les quinze dernires annes ont vu lmergence des clusters de SMP en tant

Un livre collectif 81 / 296


Mythes et lgendes des TIC

que plate-forme de prdilection pour le HPC. Linterconnexion de ces briques de grande


diffusion a bnfici du trs haut niveau de standardisation dans le domaine des rseaux par
lutilisation dInfiniBand et Ethernet. Ceci est dautant plus vrai depuis ladoption rcente de
la spcification RoCE (RDMA over Converged Ethernet) qui apporte Ethernet le seul
attribut qui lui manquait pour jouer ce rle, savoir une faible latence des messages. Pour
complter le tableau, lutilisation de Linux (sans minimiser les efforts de Microsoft avec
Windows HPC Server) et le standard de communication par message MPI (message Passing
Interface) ont transform les perspectives offertes aux dveloppeurs dapplications qui ne
sont plus confronts une multitude de plates-formes incompatibles avec tout ce que cela
implique de cots dadaptation et maintenance de versions multiples.
Le rsultat net de cette volution est que lindustrie du calcul intensif est passe dune
priode litiste vers une standardisation pousse, la transformant ainsi dun march de niche
en march de grande diffusion, garant dconomies dchelle et moteur de sa
dmocratisation. Et si le clbrissime TOP500 continue de susciter des luttes intenses de
prestige, il ne reprsente aujourdhui que le haut dune pyramide dont la base stoffe et attire
des utilisateurs qui naurait pas imagin y recourir il y a encore quelques annes.

MYTHE N 2 :
LE CALCUL INTENSIF EST LA CHASSE GARDEE DES AMERICAINS ET DES JAPONAIS
Encore une ide reue qui sexplique par lhistoire telle que nous lavons esquisse ci-dessus.
En effet, le modle initial de lindustrie du calcul intensif le plaait doffice comme une
activit extrmement onreuse et tributaire daides importantes. Dans ce contexte, seuls les
Etats-Unis ont eu les moyens et la volont politique de subventionner son dveloppement de
faon suivie et relativement cohrente. Dans les annes 80, le Japon avait bti une stratgie
ambitieuse dans tous les domaines de linformatique et sest lanc dans le dveloppement
dordinateurs vectoriels qui pendant un certain temps a menac le quasi monopole amricain.
Avec la prise de pouvoir du modle cluster de SMP , bas sur lintgration dlments de
grande diffusion largement accessible, la barrire dentre dans ce domaine sest
singulirement abaisse. Cette redistribution met lindustrie du calcul intensif la porte de
nombreux pays qui ont le savoir faire dintgration de matriel et logiciel grande chelle.
Ainsi, selon le dernier classement TOP500, le systme le plus puissant au monde est
actuellement chinois. Bull, vnrable socit franaise qui priclitait lentement, a trouv son
salut en dveloppant des systmes de calcul intensif. Le plus puissant ordinateur en Europe,
Tera100, install au CEA/DAM en est un exemple, et le systme Curie achet par le
GENCI portera galement les couleurs de Bull. Les annes venir verront dautres entrants,
russes, indiens ou autres encore.
Reste quen termes de puissance de calcul installe, les Etats-Unis sont toujours loin devant
avec plus de la moiti du total gnral. Ceci reflte la tradition de lutilisation de cet outil,
largement explicable par le poids du pass. Mais la croissance considrable des
infrastructures mises en place en Chine en si peu de temps, le rattrapage opr par lEurope
et plus particulirement la France avec notamment linitiative PRACE laissent augurer un
avenir plus quilibr.

MYTHE N 3 :
SEULES LES (TRES) GRANDES ENTREPRISES OU ORGANISMES PUBLICS Y ONT ACCES
Avec la dmocratisation du calcul intensif, ce mythe appartient galement au pass. Nous
avons mentionn prcdemment limportance du cot de possession et dopration de loutil

Un livre collectif 82 / 296


Mythes et lgendes des TIC

informatique pour justifier ou non son emploi. Lautre lment de taille considrer est
lapparition de logiciels de simulation de plus en plus performants et accessibles. La
simulation est devenue, pour reprendre une trs belle expression dun rapport amricain, le
troisime pilier de la science, avec la thorie et lexprimentation. La modlisation permet de
prvoir les performances et le comportement dun produit avant mme de lavoir construit.
On connat ainsi les gains quapporte la simulation aux industries du transport ou du
btiment, vitant les coteux prototypes ou tests destructifs. Mais ces techniques trouvent
leur voie un peu partout, mme dans des PMEs o on a du mal le deviner. De nombreuses
anecdotes sont connues, telle la cooprative agricole qui a recouru la simulation sur une
plate-forme de calcul intensif pour concevoir lemballage utilis pour sa production de
pches

MYTHE N 4 :
LAVENIR DU CALCUL INTENSIF PASSE PAR LUTILISATION DES GPGPU
La dsaffection des calculateurs vectoriels au profit des architectures parallles bases sur
lintgration dlments de grande diffusion a tout de mme laiss un vide pour certains types
dapplications qui narrivent exploiter quune partie de la puissance thorique maximale,
lexemple classique tant les prvisions mtorologiques qui ont t les derniers dfenseurs
des machines vectorielles. Depuis plusieurs annes se pose priodiquement la question
comment augmenter les architectures clusters pour amliorer le traitement vectoriel.
Rapidement les diffrentes options envisages se sont cristallises sur lemploi opportuniste
de cartes drives des contrleurs graphiques de PC qui ont t baptises GPGPU (General
Purpose Graphical Processor Unit). Cette volution technologique apporte aujourdhui, il est
vrai, des rsultats spectaculaires dans le haut de la pyramide (cf. rsultats publis dans le
dernier TOP500 sur le clbrissime benchmark Linpack). Cependant, malgr les efforts
intenses de la recherche, il est encore trs difficile dobtenir des amliorations quivalentes
dans lapplication lambda dun utilisateur. On peut galement observer le manque de
standard universellement accept, ce qui nous parat justement aller lencontre de lobjectif
de plates-formes de grande diffusion et de portabilit des applications.
Si la direction est clairement perue par les principaux acteurs de lindustrie, des
implmentations divergentes saffrontent actuellement. NVIDIA, le plus populaire
actuellement, propose sa solution Fermi qui est base sur une connexion lche (PCI Express)
avec les curs des processeurs, ce qui implique une valuation dlicate entre les gains du
temps des calculs dports par rapport au temps perdu pour la communication entre
processeurs et coprocesseurs. Consciente de la faiblesse que reprsente labsence doffre
CPU, NVIDIA vient de prendre une dcision radicale et audacieuse en adoptant ARM,
architecture prvalente dans les applications basse consommation (tlphones, ultra-
portables,) plutt que de chercher une source x86. AMD vient dannoncer la sortie
prochaine de sa technologie Fusion qui rassemble sur un seul chip CPU et GPU, dont on
peut esprer justement une rduction drastique des temps de communication entre les deux.
Intel, enfin, a annonc ISC10 Knights Corner , une rorientation du projet Larrabee
(initialement annonc comme processeur graphique) visant en faire un lment cl dans les
systmes ddis au calcul intensif. Il est clair que le concept dcantera dans les annes
venir, mais notre avis, ce nest que lorsque cette acclration sera disponible avec un
couplage fort au(x) CPU(s) quelle pourra tre considre comme susceptible de devenir un
standard pour produits de diffusion de masse. Une analogie peut tre tablie ce sujet avec
les oprations sur nombres flottants qui ont un certain temps t confies des

Un livre collectif 83 / 296


Mythes et lgendes des TIC

coprocesseurs avant de devenir partie intgrante du CPU. NVIDIA avec CUDA et AMD
avec OpenCL ont pris un peu davance, mais lissue de la bataille venir est loin dtre joue.
Une chose est certaine : lavenir du calcul intensif est dans les processeurs htrognes
fortement coupls et non lpiphnomne qui utilisait des composants discrets plaqus
sur des systmes. Le choc prvisible entre les tenants de larchitecture x86-64, jouissant dun
quasi-monopole dans les hautes performances et dans le support des dveloppeurs de
logiciels versus les primo-accdants pariant sur leur avantage dans le domaine de la
performance par watt savre passionnant et prometteur.

MYTHE N 5 :
LE CLOUD COMPUTING SERA LA SOLUTION PRIVILEGIEE POUR ABORDER LE CALCUL
INTENSIF

Peut-tre. Les phnomnes de mode sont tenaces, en particulier en informatique. Depuis


que la bureautique et la gestion ont commenc tre accessibles comme services (signe
tangible de la maturit de lindustrie) diffrents niveau (infrastructure, plate-forme,
application), beaucoup prdisent que le calcul intensif suivra le mme chemin. Si de
nombreux arguments peuvent appuyer cette prophtie (conomie dchelle et efficacit des
grands centres en quelque sorte le retour de la clbre loi de Grosch- ; mutualisation des
prix de licences, administration, maintenance ; coopration et collaboration facilites), les
diffrences avec le calcul intensif subsistent. La (re)concentration des serveurs issus du
downsizing des annes 80-90 a rsult de la monte continue en puissance des
microprocesseurs, ce qui a dclench la propagation des techniques de virtualisation, un seul
systme tant capable de se charger de multiples tches. Comme nous lavons mentionn
prcdemment, le calcul intensif ncessite au contraire lutilisation parallle de plusieurs
systmes. Le paralllisme en gestion est automatique , la charge se rpartissant entre les
ressources de calcul partageant la mme mmoire, alors que le paralllisme entre les nuds
dun cluster est explicite et ncessite une analyse prcise garantissant la proximit des
traitements et des donnes utilises. A titre dexemple, mentionnons quil y a quelques
annes certains promettaient la disparition des grands centres de calcul au profit des grilles, il
nen a rien t.
Notre conviction est que seules les tches les moins exigeantes pourront tre servies par le
modle du Cloud Computing . Cela conviendra vraisemblablement bien aux PMEs, et
cest dj un progrs trs notable

Un livre collectif 84 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'OPEN-SOURCE ET DU


LOGICIEL LIBRE

Franois Letellier Franois, Consultant indpendant, entrepreneuriat et innovation dans les NTIC

MYTHE N 0 :
LE MYTHE FONDATEUR

Toute lgende commence par il tait une fois... La lgende du logiciel libre n'chappe pas
la rgle. Le mythe fondateur du logiciel libre (free software) remonte aux annes 70 travers
l'pope de Richard Stallman (RMS), hacker de gnie travaillant au MIT aprs tre pass par
Harvard, qui se trouvant en proie des bourrages rptition de son systme d'impression
Xerox, tenta d'y remdier par lui-mme en amliorant le pilote. Las, ledit pilote n'est fournit
qu'en binaire, le code source est jalousement gard secret par le fournisseur. Cet incident
choque profondment RMS, dont les valeurs sont celles des hackers de l'poque : amour de
la technologie et du savoir, mpris de la vnalit, valorisation du partage, dfiance face
l'autorit, mais sens des responsabilits. Par la suite, le terme de hacker sera repris et
dvoy, pour dsigner des individus anims d'un dsir de nuire.
Stallman fut l'origine de nombre de piliers de la mythologie du libre :
Le projet GNU, visant rimplmenter sous une forme libre un systme compatible
Unix qui aprs ajout d'un kernel par Linus Torvald en 1991 deviendra le fondement
de la famille d'OS GNU/Linux ;
Le choix du terme de free software pour dsigner le logiciel libre, avec une forte
connotation libertaire qui, selon les interlocuteurs, galvanise ou irrite ;
La cration des licences copyleftes (GNU Public Licence, puis LGPL) qui, bases
sur le droit du copyright anglo-saxon, le retournent comme un gant selon l'ide
suivante : si en tant qu'auteur, j'ai tous les droits sur mon uvre, eh bien libre moi de
les transmettre tous, et libre moi d'y ajouter une condition : que ceux qui
bnficient de mon altruisme s'engagent faire de mme auprs de tiers ;
La cration de la Free Software Foundation, garante de la puret de la pense
libriste qui este rgulirement en justice pour faire respecter les licences libres.
A l'origine, l'aventure tait maille de facties typiques de l'esprit hacker : GNU est
acronyme rcursif (GNU's Not Unix), pirouette dont on peut tracer l'origine dans le style
frquemment rcursif des algorithmes LISP en vogue au tournant des annes 80. Les
liberts nonces par Stallman sont numrotes partir de zro comme tout tableau
index informatique. Copy-left est un double jeu de mots partir du copy-right. Le terme
left ayant en anglais deux sens : laisser et gauche , copyleft propage l'ambigut entre
je laisse le droit de copier ou le droit d'auteur avec une sensibilit de gauche . Au fil des
annes, l'pope de RMS a pris un tournant presque religieux et RMS lui-mme, cheveux et
barbe longs, s'est souvent produit affubl d'un costume de St Ignucius en rfrence
GNU et St Ignace de Loyolla, pre des jsuites et missionnaire de la contre-rforme.
Bref, le libre s'est forg un systme quasi mythologique dans le courant des annes 80 et
90. Puisque tout hros a besoin d'un adversaire, le Mchant dsign fut Bill Gates. Parmi les
innombrables crimes de Gates, on peut citer sa dfense froce du droit d'auteur ds les
annes 70, le hold-up plantaire (pour reprendre le titre d'un ouvrage de R. Di Cosmo)

Un livre collectif 85 / 296


Mythes et lgendes des TIC

sur l'OS des ordinateurs personnels de presque toute la plante, mais aussi les marges
faramineuses de Microsoft qui en ont fait, en quelques annes, un mastodonte du logiciel.
L'difice conceptuel du Libre a atteint son apoge dans le courant des annes 90 alors que
des coups de canifs commenaient l'entamer. Premier affront, le fameux systme Linux
driva son nom de celui de ce jeune guerrier qu'tait Linus Torvalds, en oubliant presque le
vieux sage Stallman et son combat dj dcennal. Microsoft, aprs avoir endoss le costume
du Mchant, a contrattaqu et men des campagnes de propagande (FUD pour fear, insecurity
and doubt selon le camp adverse) pour dmontrer en vrac que le monde du Libre n'tait pas
fiable, pas juste, infest de crypto-communistes, etc. Consquence de cette Guerre des
toiles du logiciel, des trublions californiens ont fini, au tournant du millnaire, par contester
le vocable mme de logiciel libre pour proposer celui d' open source . Dans une
formule, elle-mme devenue mythique, Eric Raymond (ESR) se serait exclam show us the
code! (montrez-nous le code, ou autrement dit, arrtez le bla bla et les discours, revenons
du concret).

Prcisons ce stade que, dans ce chapitre, nous utiliserons indiffremment les termes de logiciel libre ou de
logiciel open-source , au risque de faire dresser les cheveux sur la tte des puristes.

Pass 2010, des astrodes sont nomms Stallman ou GNU, en Catalogne une rue se voit
baptise rue du logiciel libre ... RMS a t l'artisan d'un norme effort de promotion d'une
thique, d'une philosophie, d'un discours, d'un arsenal juridique, presque d'un dogme.
Tout mythe est un mlange de vrit historique et de rcriture romance de l'histoire. Ainsi
en est-il du mythe zro du logiciel Libre. Comme aprs la Gense vient l'Exode, puis plus
loin les livres historiques, le mythe fondateur a maintenant cd la place une pratique
quotidienne, universelle, scularise, du libre et de l'open-source dont le rcit dtaill serait
laborieux.
Aujourd'hui, tout pousse penser que la dynamique du partage et de l'ingnierie
collaborative est une tendance naturelle dans le monde du logiciel (nous y reviendrons) et
que l'poque des diteurs 100% propritaires fut plutt une parenthse historique. Ancre
dans la culture et la pratique mathmatique, l'informatique ne protgeait initialement pas les
programmes (pas plus que les thormes). En 2011, seuls les dinosaures du logiciel se
retranchent encore derrire des barricades en conspuant le libre .
Car le libre, ou l'open-source, est en fait au centre du processus d'innovation dans les TIC.

MYTHE N 1 :
TOUS DES SUIVEURS, POINT D'INNOVATION
Linux ? Toutes les bonnes ides viennent d'UNIX. Open Office ? C'est pour ceux qui n'ont pas les moyens
de payer MS Office. GIMP ? Un clone de PhotoShop en moins bien... La liste est longue des logiciels
libres qui, peu ou prou, sont semblables une offre commerciale. Au jeu des feature-lists (listes
de fonctionnalits), les solutions libres ne sortent pas toujours gagnantes. Elles sont
frquemment souponnes de reprendre toutes les innovations issues de leurs prdcesseurs
propritaires.
Inversement, les projets libres PERL, PHP, mais aussi tous les logiciels d'infrastructure de
l'Internet, pour n'en citer qu'une poigne, sont ns, se sont dvelopp, sont devenus des
standards de fait. IIS ? A la trane derrire NCSA HTTPd. Oracle ? Ingres tait sous licence BSD
quatre ans plus tt. Mac OS X ? Un FreeBSD avec un noyau libre Mach...

Un livre collectif 86 / 296


Mythes et lgendes des TIC

Des chercheurs ont valu que le taux de projets innovants parmi les projets phares de
SourceForge est quivalent au taux d'innovation dans le monde du logiciel propritaire :
entre 10% et 15%.
Innover pour innover n'est pas la panace. GIMP ne fait peut-tre gure mieux que
PhotoShop. Mais ses crateurs mettent la porte de tous une technologie de traitement
d'images. Ce faisant, ils contribuent la banalisation de cette technologie. La banalisation est
le pendant de l'innovation : sans ce double mouvement, d'innovation dans un premier temps,
de banalisation par la suite, les innovations ne diffuseraient pas dans la socit, ne serviraient
pas au plus grand nombre. Internet Explorer ou Mozilla Firefox ? Voil deux rivaux qui,
quelques dtails prs, se valent ; ils rendent le mme service, avec un style diffrent. La
technologie du navigateur web est, aujourd'hui, banalise. En consquence, elle se rpand
universellement et devient un outil de base pour une foultitude d'autres applications ou
usages. On notera que si Internet Explorer reste propritaire, il est gratuit. Lorsqu'une
technologie est entirement banalise ( commoditise selon un barbarisme frquent), son
prix de march est peu prs gal son cot de fabrication marginal. Dans le cas du logiciel,
ce cot est nul. La technologie est devenue gratuite.
Que penser alors d'un Apple, qui s'emparant des fondements open-source, et gratuits, que
sont FreeBSD et Mach, assemble un Mac OS X, systme d'exploitation propritaire et...
payant ? Dans cet exemple, un socle banalis a permis un acteur commercial de crer de la
valeur ajoute en spcialisant, en compltant, la base gratuite et ouverte. Une appropriation,
en sorte, non exclusive, mais parfois regarde d'un mauvais il.
L'approche rductionniste consistant comparer, projet libre contre logiciel commercial, qui
innove et qui copie, est strile. Le schma d'ensemble, lui, met en vidence que les bases de
code open-source sont de formidables courroies de transmission de l'innovation entre les
acteurs les uns commerciaux, les autres publics, certains ddis la recherche, d'autres
mmes tant de simples particuliers. Au niveau europen, le recours des dynamiques open-
source pargne l'industrie des TIC le tiers de son effort de R&D qu'elle peut investir
ailleurs simplement parce qu'elle n'a pas rinventer la roue, ni payer pour l'utiliser. Dans
une inspiration, certains innovent parfois en libre, parfois en propritaire. Puis dans une
expiration, la technologie est banalise : libration de code propritaire, apparition d'un
substitut open-source une offre commerciale, ou bien mme intgration d'une technologie
open-source dans un logiciel gratuit (gratuiciel, freeware) propritaire. Observez les mentions
lgales dans Acrobat Reader : vous verrez combien de projets open-source y sont utiliss !

MYTHE N 2 ET 2BIS :
LES LOGICIELS OPEN-SOURCE SONT PLUS FIABLES (OU MOINS FIABLES) QUE LES
LOGICIELS PROPRIETAIRES

Ainsi donc, la comparaison point point, logiciel par logiciel, ne fournit pas de clef pour une
comprhension d'ensemble du mouvement du libre . Il n'empche que les arguments
fusent, entre avocats et dtracteurs d'un camp ou de l'autre. Au nombre de ceux-ci : la
question de la scurit...
Les partisans du modle propritaire prconisent une approche de scurit par l'obscurit
consistant garder secret les recettes de fabrication des logiciels, donc leur code source. Ce
faisant, ils prtendent compliquer la tche d'individus malveillants. Dans un logiciel libre,
prtendent-ils n'importe qui peut insrer du code malveillant . De plus, en cas de panne ou
de problme majeur, il n'y a personne contre qui se retourner. Pas de contrat de

Un livre collectif 87 / 296


Mythes et lgendes des TIC

maintenance, pas de responsable, pas de gorge trancher ni de possibilit au DSI d'ouvrir un


parapluie pour se protger.
La diatribe sonne bien, mais se rvle totalement errone. La stratgie de scurit par
l'obscurit n'apporte aucune garantie : ni contre les initis internes, personnels malveillants
des producteurs de logiciel eux-mmes, ni contre les attaquants extrieurs suffisamment
dtermins (capables par exemple de dsassembler et dsobfusquer un code excutable).
Pire, elle empche des utilisateurs initis, mais bienveillants, de s'assurer de la fiabilit des
systmes, de vrifier l'absence de chevaux de Troie et autres backdoors ou malware. Ainsi la
plate-forme propritaire Wintel (Windows sur processeur Intel) a-t-elle battu, au long de ses
versions successives, des records de vulnrabilit aux virus. La socit McAfee,
commercialisant un anti-virus, annonait le chiffre de 400.000 virus recenss au tournant
2008. Mentionnons Stuxnet, ver informatique ciblant la plate-forme SCADA de Siemens,
sous Windows, destine piloter (entre autres) des centrales nuclaires...
Outre le code malveillant, qui utilise les failles du systme, la multiplication de bugs en toutes
circonstances (du bogue de l'an 2000 Y2K aux rats d'Ariane 5, dtruite lors de son
lancement inaugural suite une simple ngligence de calibration d'une grandeur entire)
dmontre que les logiciels propritaires ptissent d'un problme gnral au logiciel : ce sont
des systmes ultra complexes et les humains qui les conoivent ne sont pas l'abri des
erreurs.
C'est prcisment la faillibilit humaine que les avocats du logiciel open-source
prtendent remdier. Si une personne est faillible, un groupe tendu d'observateurs ayant
accs au logiciel et mme son code source, multipliera par contre les chances de dcouvrir
les bugs et de les rsoudre : aucun bug ne rsiste face une multitude d'yeux . De plus, les
projets open-source communautaires bien organiss travaillent autour d'une base de code
centralise en utilisant un systme de gestion de version qui trace toute modification. Nul ne
peut y insrer de code, malveillant ou non, sans l'aval d'un petit nombre de gardiens du
temple, que l'on appelle souvent les committers . Ceux-ci sont coopts par le leader du
projet.
Pourtant, open-source ne veut pas dire code de qualit. Si une vingtaine de milliers de
logiciels libres sont matures et largement adopts, donc a priori fiables, le reste des projets
(soit des centaines de milliers) ne sont maintenus que par une poigne de dveloppeurs,
souvent un ou deux, et faiblement adopts. Pour ceux-ci, la thorie de la multitude d'yeux ne
s'applique plus.
Ainsi, dans le monde de l'open source l'valuation de la qualit du logiciel ncessite des
mthodes spcifiques. La qualit du code lui-mme importe, mais aussi la taille de la
communaut, le soin apport la gestion de la base de code et la gouvernance sous-jacente
pour l'attribution des rles dans la communaut. En fond de plan se pose la question des
acteurs qui pilotent ou contribuent au projet : s'agit-il d'individus, d'universitaires, de socits
commerciales ? Quel est leur modle conomique, leur taille, leur politique ? Les pripties
subies par MySQL aprs son rachat par Sun, puis MySQL et Open Office aprs le rachat de
Sun par Oracle, doivent rappeler que mme les projets soutenus par les socits les plus en
vue ne sont pas l'abri d'un changement de cap. Dans ce cas, les licences open-source
permettent chacun de prendre le destin de son application en main, voire un groupe de
crer un fork dans le projet. Il n'en va pas de mme lorsqu'un diteur propritaire dcide
d'arrter la commercialisation et le support d'un de ses produits : dans ce cas, l'utilisateur
peut continuer utiliser le logiciel mais doit faire une croix sur le support correctif.

Un livre collectif 88 / 296


Mythes et lgendes des TIC

D'ailleurs, les utilisateurs de logiciels propritaires se plaignent souvent de l'attitude des


diteurs, peu soucieux de traiter promptement les bugs, renvoyant leur correction la
prochaine mise jour (parfois payante) sinon aux calendes grecques. Ct open-source, la
riposte s'est organise. Ne serait-ce qu'en France, des centaines de SSII se sont spcialises
dans les logiciels libres. Elles sont en mesure de proposer des contrats de formation, support,
maintenance sur un logiciel ou un bouquet de logiciels. Dans ce cas, une plate-forme
composite regroupant plusieurs logiciels open-source indpendants (mais inter-dpendants)
est assemble et maintenue par la SSII prestataire, pour le compte du client. Des retours
d'exprience repris dans la presse ont mis en lumire la pertinence de ce mcanisme, et la
satisfaction des utilisateurs grands comptes qui y ont recours : les temps de prise en
compte et correction d'incident peuvent se compter en heures, l o des diteurs
propritaires se feraient tirer l'oreille pendant des mois. Outre les contrats de prestation
personnalis, des diteurs open source (c'est dire des socits de logiciel ayant une
capacit de R&D interne et distribuant leurs logiciels en masse sous des licences open
source) ne facturent pas de cot de licence, mais proposent optionnellement un ensemble de
services (maintenance corrective voire volutive) sous forme de souscription : tel est le cas de
distributions Linux comme Red Hat, qui cible les grands comptes.

MYTHE N 3 :
LES GRANDS COMPTES N'UTILISENT PAS DE LOGICIEL OPEN-SOURCE

C'est un mythe car les grands comptes aussi utilisent de l'open-source. Seulement voil : ils
ne le savent pas encore tous, du moins pas en haut lieu. En 2005, diffrentes tudes
convergeaient pour estimer qu' l'horizon 2010, 80% des grands comptes utiliseraient du
libre pour leur infrastructure logicielle (systmes d'exploitation, serveurs d'application, etc).
On aura compris que ce chiffre de 80% est symbolique et prudent : autant dire tous les
grands comptes - si l'on comptabilise aussi les logiciels libres prsents dans les routeurs ou
embarqus dans les logiciels propritaires (voire les tlphones sous Android !). Chose plus
tonnante : un tiers des responsables interviews en grands comptes dclaraient ne pas avoir
recours au logiciel libre... Situation qui pourrait se rsumer par la formule suivante : Nous
n'utilisons pas de logiciel libre pour notre infrastructure, nous leur prfrons MySQL et
Apache !
Historiquement, l'entre de l'open source chez les grands comptes s'est plutt faire par la
petite porte. Les dveloppeurs, pour leurs besoins internes, ont utilis, souvent sans l'aval des
services juridiques, des composants logiciels sous licence open source. Depuis quelques
annes, il faut noter que les dveloppeurs frachement sortis d'coles ou de l'universit ont
recours, le plus naturellement du monde, une myriade de frameworks et d'outils de
dveloppement libres : la technologie Java, si prsente chez les grands comptes
prcisment, doit entre autres son succs toutes les librairies (de Spring Hibernate) ou
autres outils de dveloppement (de JBoss Eclipse) disponibles librement pour les
dveloppeurs. La pile LAMP (Linux/Apache/MySQL/PHP) est devenue quasiment
incontournable dans les cursus de tous les informaticiens qui, de prs ou de loin, touchent au
web autrement dit tous. Le seul point noir de cette situation est le dficit persistant de
formation, chez les nouveaux diplms techniques, aux aspects juridiques du logiciel libre.
Ainsi en est-il : les grands comptes utilisent du logiciel open source. Les motivations initiales
sont pcuniaires : si libre ne veut pas dire gratuit, l'absence de cots de licence prsente
des avantages certains. A commencer par la possibilit d'essayer et de commencer dployer
des pilotes moindre frais. Par la suite, en cas de dploiement plus massif ou pour des

Un livre collectif 89 / 296


Mythes et lgendes des TIC

applications critiques, le recours des prestations de support, ou les cots internes de


maintenance, viendront alourdir la facture mais graduellement. En cas de migration d'une
version la suivante, seuls les frais de conduite du changement (invitables) seront prvoir,
et non les cots de mise niveau que les diteurs aiment tant facturer, puisqu'ils leurs
assurent un revenu rcurrent. Une fois adopt, les solutions libres sduisent et leurs
utilisateurs dclarent les conserver principalement en raison de la souplesse qu'elles
permettent dans le dploiement, l'adaptation, l'volution.
La tendance gagne les applications mtier, mais de faon plus limite. L'explication est
double : en premier lieu, les applications trs spcialises ne peuvent pas aisment regrouper
une communaut large d'utilisateurs. Leur dveloppement en open source trouve ses
limites. D'o une seconde consquence : les applications mtier ont tendance se scinder
en deux : un socle technologique gnrique large audience et une spcialisation fine adapte
une seule socit. Deux exemples : les portails d'entreprise sont dsormais dploys sur
des moteurs de portail, spcialiss pour les besoins du site de l'entreprise ; idem pour les
applications de gestion intgres, maintenant bases sur des socles gnriques
programmables, le dtail des fonctionnalits tant dvelopp spcifiquement pour chaque
entreprise.
Les applications mtier ont donc tendance clater en un socle technologique et une fine
couche de spcialisation. Le socle se banalise, par une tendance conomique naturelle qui
consiste rationaliser (donc mutualiser) le dveloppement de tout ce qui n'apporte pas un
diffrenciateur fort. La sur-couche devient spcifique un seul compte. Ce mouvement vaut
quelque soit le modle de licence : l'ERP SAS est un outil gnrique que l'on spcialise, en
faisant souvent appel des consultants dont les journes factures ont pour objet de
permettre l'adaptation fine aux process de l'entreprise. Ainsi le socle des applications mtier
devient-il un composant d'infrastructure et le mcanisme de banalisation qui s'enclenche
ouvre la porte l'open-source. On voit arriver des ERP open source. Pour ce qui est des
moteurs de portail, la vague est dj passe ! La couche mtier, de son ct, serait plutt
ranger dans le dveloppement spcifique. Pas vritablement open source , car non
partage, mais finalement non partageable, par dfinition.

MYTHE N 4 :
SI JE CREE UN PROJET OPEN SOURCE, JE VAIS BENEFICIER D'UNE MASSE DE
CONTRIBUTIONS GRATUITES

Il est difficile d'valuer exactement le nombre de projets libres de par le monde, et ce pour
deux raisons : la palette des licences tant vaste, l'on ne sait o classer certains projets.
Jusqu'en 2008, Scilab se prsentait comme un logiciel libre, alors que sa licence tait rejete
la fois par FSF et OSI. La librairie ac_runactivecontent largement diffuse par Adobe porte une
mention indiquant que tous les droits en sont rservs... La seconde raison est simplement
l'absence de centralisation, comme il est de rgle dans l'Internet, des projets libres. L'on voit
ainsi des projets tiquets logiciel libre qui ne sont mmes pas diffuss l'extrieur des
organismes qui les dveloppent. L'ordre de grandeur, au tournant 2010, pourrait tre
d'environ 400.000 projets libres / open-source dans le monde... dont 20.000 (5%)
bnficiant d'une communaut significative, d'un code stable et mature.
Le mythe fondateur du logiciel Libre est celui d'une thique humaniste et libertaire. En
miroir, avec le courant open source naquit une sorte de geste hroque des guerriers du
code, pour qui la technique et seule la technique (mais ni la politique, ni l'argent) compterait.
Dans cette mouvance, la fondation Apache fournit un excellent exemple (sans tre le seul,

Un livre collectif 90 / 296


Mythes et lgendes des TIC

loin s'en faut), en tant qu'association uniquement compose de personnes physiques, ayant
pour seul but d'tre administratrice d'une infrastructure, technique et juridique,
d'hbergement de projets. Sa gouvernance est organise rigoureusement, mais le pilotage des
multiples projets incombe entirement aux dveloppeurs, sous la surveillance du chef (le
lead) de projet, encadr par ses barons que sont les committers. Le mythe veut que seuls les
choix techniques soient pris en compte dans le pilotage de projets, avec plusieurs mots-clefs :
mritocratie et co-optition en tte. Les confrences Apache sont des grand-messes annuelles o
les membres de la communaut se retrouvent. Une hirarchie implicite apparat entre les
leaders d'opinion et une myriade de technophiles plus ou moins proches des centres de
dcision, attirs voire blouis par la lumire que projettent sur le monde de grands noms du
code, gniaux et dsintresss, frus de technique et uniquement de technique.
Un code de qualit sera adopt, un mauvais code prira : une slection naturelle au pays du logiciel.
Un code de qualit attirera les contributeurs et ils apporteront bnvolement leur pierre l'difice.
Tel est le mythe, issu de dmonstrations largement scnarises et d'une instrumentalisation
avise des communauts et organisations but non lucratif.
La ralit est assez diffrente. Crer un projet open source, ou librer un code
propritaire, suffisent rarement crer une communaut active de contributeurs
enthousiastes. Certes il existe des exemples, tel les projets Debian ou PERL, mais la clef du
succs, dans bien des cas, n'est pas chercher dans la qualit du code ou le gnie du lead
mais plutt dans les investissements consentis par les acteurs (souvent commerciaux, parfois
publics) qui fournissent main d'uvre et/ou subsides au projet. Ubuntu prospre sur le
terreau des capitaux accumuls par Marc Shuttleworth et injects dans la socit Canonical et
la Fondation Ubuntu (10 millions de dollars en 2005). Talend, Nuxeo, JBoss, Liferay, Zimbra
sont des projets issus de socits qui ont bnfici d'investissements significatifs, utiliss
certes pour de la R&D, mais aussi pour une large part en marketing/communication et
dveloppement de la communaut. La Mozilla Foundation reoit de Google des dizaines de
millions de dollars par an en change d'une fonctionnalit de recherche rapide dans le
navigateur Firefox qui dirige le trafic prfrentiellement vers le moteur de recherche. IBM

MYTHE N 5 :
ILS VONT ME VOLER MON CODE !
A l'oppos de l'enthousiaste qui imagine navement que le monde entier se ralliera son
panache blanc se trouve le mfiant qui se croit entour de prdateurs perfides obsds par le
besoin de nuire. Plus qu'un mythe, il s'agit l d'une peur irrationnelle. Certes les grands
mythes de l'humanit sont souvent des rponses aux grandes angoisses existentielles : la
cration du Monde comble le nant des origines, les mythes de l'au-del apaisent la peur de la
mort, les divinits peuplent un monde autrement incomprhensible... donc inquitant.
Ignorance et inquitude : deux catalyseurs de la naissance des mythes que le prsent ouvrage
a prcisment pour but de combattre !
Ainsi en va-t-il aussi dans le monde des TIC et l'angoisse dont nous traitons ici afflige
principalement les socits du secteur du logiciel qui ont une forte culture propritaire.
Dtentrice d'une technologie, gnralement confidentielle bien que perue comme unique, la
socit en vient se poser la question de prendre le virage du Libre , c'est--dire diffuser
sous licence open-source un logiciel dvelopp en interne. A ce stade, la circonspection est
lgitime : ouvrir son code peut tre une excellente manire de prcipiter la chute de son
chiffre d'affaires, pour peu que l'on s'y prenne n'importe comment. Pourtant, la
frquentation des entreprises qui abordent le virage mentionn plus haut dmontre que l'on

Un livre collectif 91 / 296


Mythes et lgendes des TIC

rencontre frquemment des dirigeants particulirement angoisss l'ide qu'un concurrent


s'empare de la technologie dans le but de leur damer le pion, voire de les liminer.
Le scenario redout est le suivant. Imaginons que la socit, objet des angoisses que nous
tudions, libre un logiciel dvelopp en interne. Ce logiciel est rput innovant et unique,
vrai dire une vritable trouvaille, une mine d'or. Un concurrent mal intentionn, embusqu
dans l'ombre, pourrait alors s'emparer du logiciel, l'amliorer, puis le distribuer lui-mme
pour en tirer profit. Il proposerait au passage du service ses clients et finirait par touffer,
puis liminer, notre socit.
Le scnario digne d'un James Bond relve pourtant d'une peur irrationnelle. A moins d'avoir
faire un concurrent psychopathe, anim d'un dsir de nuire et prt en dcoudre quitte
mettre en pril sa propre activit, le scenario redout est tout fait irraliste.
La premire illusion, et pas la moindre, vient d'un problme de perspective, qui tend faire
tenir pour plus rvolutionnaire qu'elle n'est la technologie dont on est l'auteur. La
libration de code relve le plus souvent du non-vnement et il convient de faire du
tapage pour que quelqu'un s'y intresse ! Certes les concurrents aviss, qui effectuent une
veille rgulire, seront informs. Mais du point de vue des-dits concurrents, l'investissement
pour valuer, puis matriser ( rebours de leurs propres choix technologiques), et enfin
commercialiser la technologie frachement libre serait significatif. Son cot - non
ngligeable - s'avrerait d'autant plus important que la technologie serait plus sophistique.
Qui dit cot et complexit dit risque. Les concurrents aviss feront donc plutt montre de
circonspection, attendant que le code libr fasse ses preuves avant de l'adopter comme
pice matresse de leur stratgie. Derrire la peur affiche d'une prdation se cache peut-tre
souvent la crainte, inavouable quoique plus raliste, qu'un logiciel n'intresse personne, mme
en open-source !
Supposons donc que la technologie diffuse sous licence libre connaisse un certain succs.
Notre concurrent machiavlique se retrouverait alors dans la position inconfortable de
nouvel entrant sur le march, avec une offre qu'il ne matrise qu' moiti, et qui se diffrencie
peu de l'offre de rfrence sous licence libre. Sa seule voie de succs consisterait non pas
cloner la technologie logicielle, mais proposer des complments valeur ajoute : un
excellent service, des modules complmentaires sduisants...
A ce stade, il apparat clairement qu'une stratgie hostile sera contre-productive. Proposer du
service sur une technologie que l'on matrise mal et dont on ne contrle pas la feuille de
route est tout fait inconfortable. Dvelopper des additifs une plate-forme pilote par un
concurrent s'apparente du suicide. La seule voie raisonnable sera le partenariat et la
ngociation.
Un scnario catastrophe alternatif mettrait en scne un gros poisson mangeant le petit. Dans
cette fiction, un requin concurrent mal intentionn viendrait rcuprer le code libr par
notre poisson rouge de modeste taille, pour ensuite liminer ce dernier. Certes ledit requin
aura peut-tre les reins assez solides pour gravir marche force la courbe d'apprentissage
d'une technologie exogne, se jouer des problmes d'image que provoquerait une attitude
prdatrice, voire finalement racheter purement et simplement le poisson rouge. Mais si notre
requin nourrit de telles ambitions, peu lui en faudra que le logiciel soit libre ou non !
Ainsi, le mythe du renard voleur de code open-source qui ourdit une conspiration pour tuer
la poule aux ufs d'or relve le plus souvent de la peur irrationnelle. Si le modle
conomique de notre socit libratrice de code tient la route, les concurrents dans
l'cosystme ne seront pas avantags du simple fait que le code soit open-source.

Un livre collectif 92 / 296


Mythes et lgendes des TIC

Ce qui ne signifie pas qu'il n'existe pas, dans l'industrie, des acteurs qui agissent contre le bon
sens et finalement tirent leur secteur d'activit vers le bas... Citer des noms serait indlicat,
mais des exemples pourront tre trouvs par le lecteur, parmi les grandes socits de service.
Certaines d'entre elles mettent htivement leur catalogue une offre de service (formation,
support, maintenance) sur des logiciels open-source qu'elles ne matrisent gure. Les
responsables commerciaux confondent simplement accs au code source et matrise de
la technologie . En rponse des appels d'offres, lesdites SSII pourront se trouver bien
positionnes et rafler des marchs en proposant des solutions assorties des services
demands, sur la base de logiciels open-source qu'elles ne matrisent pas, et ce sans avoir au
pralable conclu de partenariat avec leurs leads. Ce faisant, elles couperont l'herbe sous le pied
des diteurs open-source qui investissent en R&D sans tirer le bnfice des revenus des
services. Faute d'avoir ngoci un accord pralable nos SSII se trouveront, le jour o un
incident srieux se produira, face des diteurs plutt rticents n'tre pays que pour le sale
boulot. Invitablement, l'ide que la solution dysfonctionne parce que c'est de l'open-
source natra autour de la machine caf.

MYTHE N 6 ET 6 BIS :
IL Y A (OU IL N'Y A PAS) DE "MODELE ECONOMIQUE" POUR L'OPEN SOURCE
Le milieu des investisseurs franais reste mfiant, voire mal inform, des ralits de l'open-
source. Il en allait de mme dans la Silicon Valley avant 2005. Se prsenter comme un acteur
de l'open-source exposait recevoir un good luck mi goguenard, mi dsapprobateur. Cinq
ans plus tard, la raction est tout autre les investisseurs sont devenus friands d'ouverture.
La vague n'a gure fini de traverser l'Atlantique, et plus qu'une vague, le mouvement pourrait
plutt ressembler un train par trop facile rater mme si depuis quelques semestres les
grosses leves de fonds du secteur des TIC hexagonal chatoient volontiers des couleurs du
Libre : Talend, BonitaSoft, Nuxeo, eXo Platform, avec des financements issus souvent de
socits de capital risque trangres.
Avant 2005, l'antienne se rsumait il n'y a pas de modle conomique pour l'open-
source ... Avec un peu de recul, il appert que ce mythe tait absolument... justifi ! Il n'y a
pas un modle conomique pour l'open-source car il y a en ralit une palette complte de
modles conomiques.
Comme les restes, le Libre s'accommode de multiples faons, mais se consomme
difficilement seul. La dconstruction du Mythe numro un a t l'occasion de dmontrer que
le Libre est une courroie de transmission, vecteur d'innovations dans l'industrie. Sur cette
base peuvent crotre nombre d'activits conomiques lucratives, qu'il s'agisse de produire du
code et d'instrumentaliser son adoption pour promouvoir une offre complmentaire, ou de
consommer du logiciel Libre cr par d'autre afin de concocter des produits innovants sans
avoir rinventer la roue.
Le modle le plus simple, historiquement dat et par trop frquemment cit comme le
modle conomique du Libre a t propos par E. Raymond dans son livre fondateur la
Cathdrale et le Bazar . L'ide est simple : le logiciel est open-source, les entreprises vendent
du service. Pour l'investisseur, ce modle tout service est frapp d'un sceau d'infamie : celui des
cots qui croissent de manire linaire avec les revenus, donc d'une marge sans effet de
levier.
Plus anglo-saxon, le mcanisme de la double licence met en scne un diteur qui diffuse un
logiciel Libre dvelopp sur R&D interne ; la licence choisie est fortement copylefte (par
exemple, une licence GPL ou AGPL). De par son ct contaminant , ladite licence a l'heur

Un livre collectif 93 / 296


Mythes et lgendes des TIC

de fortement dplaire aux juristes d'entreprises qui voient immdiatement le risque de se


retrouver en contrefaon, par exemple l'occasion de fusion-acquisitions. Pour les tenants
de la double licence, le ct repoussoir du copyleft constitue la clef de voute du modle, car
il incite les clients payer pour se dfaire des clauses contaminantes et finalement obtenir
une licence propritaire sur le logiciel convoit. Bien compris outre-Atlantique, la double
licence est plus mal accepte en Europe, car elle instrumentalise le Libre comme un
pouvantail afin de pousser le client acheter du propritaire ! Les investisseurs, eux,
comprennent mieux et apprcient beaucoup...
Nous dispenserons le lecteur d'une fastidieuse revue de littrature, pour ne retenir qu'une
ide simple : selon les auteurs, les classifications des modles conomiques open-source
varient considrablement. La frquentation des communauts actives dmontre que les
entrepreneurs n'innovent pas seulement sur la technologie, mais aussi sur les manires
d'utiliser les licences open-source dans une stratgie d'ensemble.
L'exemple du franais Parrot, qui a mis sur le march fin 2010 un quadri-copter grand public
baptis AR-Drone, rsume lui seul l'ide force au centre de tout modle conomique qui
inclue de l'open-source. Le logiciel Libre n'est pas le produit ; le produit n'est pas le logiciel
Libre. Par contre, l'utilisation et la production de logiciel Libre sont des facteurs d'innovation
et d'adoption.
L'AR Drone est un petit engin volant vendu auprs du grand public par diffrents canaux, en
magasin ou sur Internet. Son prix est comparable celui d'une console de jeu. Il se pilote
grce un tlphone mobile (initialement l'iPhone) via un rseau Wifi ad-hoc. L'offre
d'ensemble repose sur la capacit de fournisseurs tiers dvelopper des jeux (en ralit
augmente) qui tirent parti la fois de la plateforme multimdia constitue par le tlphone
mobile et des capacits du drone, par exemple ses camras embarques.
Les APIs du firmware du drone sont publies ; un kit de dveloppement open-source est
propos publiquement. De ce fait, la forte dpendance initiale la technologie d'Apple
(iPhone) pourra voluer au fur et mesure que d'autres tlphones seront utiliss pour
piloter le drone par exemple les smartphones Android (dont le systme d'exploitation lui-
mme est open-source). Se cre ainsi communaut de bricoleurs et d'universitaires qui
utilisent la base de la plate-forme matrielle de l'AR Drone et portent son SDK sur diffrents
systmes d'exploitation pour dvelopper des logiciels embarqus, des logiciels de pilotage ou
mme des engins modifis.
Cette stratgie permet Parrot de se focaliser sur la commercialisation du matriel tout en
bnficiant de la force d'innovation d'un cosystme de partenaires qui offrent des produits
complmentaires (par exemple des jeux) et d'une communaut de passionns. La relation
privilgie avec Apple, garante d'un marketing de dpart efficace (notamment travers
l'AppStore) ne risque pas de devenir un boulet, puisque l'ouverture des APIs et SDK garantit
la possibilit de portage sur d'autres smartphones sans ncessairement impliquer Parrot.
Parrot n'est pas un pure player open-source. Le produit commercialis n'est pas un logiciel,
mais un gadget mcatronique grand public. Pourtant, l'open-source traverse le modle
conomique de l'AR Drone.

MYTHE N 7:
OPEN SOURCE ET OPEN INNOVATION VONT DE PAIR
L'innovation a bien lieu dans le monde du Libre... Elle se produit l o on la cherche, mais
aussi l o les fondamentalistes de l'innovation institutionnelle ne l'attendent pas : sous une

Un livre collectif 94 / 296


Mythes et lgendes des TIC

forme diffuse, non quantifiable, incrmentale et communautaire, loin des brevets, de l'INPI
et de l'OEB. Innovation foisonnante, enthousiasme cratif qui rapproche des universitaires
financs par les subsides publics de geeks calfeutrs dans leur garage les soirs de week-end,
sous l'il bienveillant de multinationales bleues comme des lphants ou de jeunes gazelles
aux dents de gupards. Innovation et ouverture. Voici un petit jeu de diction pour
prsentateur radio : rptez rapidement open source is innovation cent fois. Parions qu'une
fois au moins votre langue fourchera et que sortira le vocable open innovation !
Open innovation... Open source... les deux termes sont suffisamment proches pour tre
volontiers amalgams. Pratiquer l'innovation ouverte ne signifie pourtant pas ouvrir les
rsultats de sa recherche et dveloppement ! Cela veut dire ouvrir son processus d'innovation
lui-mme. La nuance peut paratre spcieuse, elle est loin de l'tre.
L'ide centrale d'une dmarche d'innovation ouverte consiste rendre poreuses les
frontires de son organisation (entreprise, laboratoire) pour laisser l'innovation circuler plus
librement entre les acteurs du monde extrieur et sa propre structure. Le premier rflexe
consiste donc aller chercher l'extrieur les innovations qui pourraient tre utiles son
activit. Mais inversement, la logique ouverte encourage transfrer vers des tiers les
innovations qui ne trouvent pas d'application dans son propre business.
Le concept d' open innovation , nologisme ponyme d'un ouvrage de Henry Chesbrough,
synthtise l'approche innovante de nombreuses socits, dans le secteur des TIC (Intel, Sun,
Cisco...) et en dehors (Amgen, Genzyme, Procter & Gamble...) Cette conception de
l'innovation ncessite de bien matriser la fois sa propre activit, pour identifier les
manques mais aussi les zones sans valeur ajoute , et le monde extrieur, pour s'ouvrir aux
champs de recherche du reste de l'cosystme. Dans l'industrie, cette dmarche d'innovation
ouverte s'applique largement des domaines o la proprit intellectuelle est utilise dans
toute son ampleur. Des intermdiaires se mettent en place pour organiser les flux
d'innovation, frquemment sur la base de contrats de licence sur des inventions brevetes. Il
s'agit bien d'innovation ouverte ; on reste pourtant loin de l'open-source, du Libre, sans
mme parler de copyleft!
Inversement, nous voyons apparatre des diteurs open source qui crent, diffusent,
animent des projets open-source comme s'il s'agissait de projets propritaires, avec la seule
diffrence d'une diffusion du code sous licence libre. Le processus de dveloppement reste
internalis, centralis voire opaque, les contributions extrieures ne sont pas encourages.
Les licences prfres pour ces scnarios sont... copyleft fort (GPL, AGPL), car elles
tiennent l'cart d'ventuels concurrents, rels ou imaginaires, qui pourraient fomenter une
rutilisation hostile du code. Le bilan est paradoxal : les licences les plus extrmistes au
regard de la libert du code sont instrumentaliss par certains acteurs de l'open-source les
moins ouverts dans leur dmarche d'innovation.
Si open source et innovation ouverte ne se superposent pas, le logiciel libre est cependant
une courroie de transmission fondamentale dans les dmarches d'innovation ouverte de la
filire logiciels. Lorsqu'ils sont suffisamment collaboratifs, ouverts dans leur organisation, et
assortis d'un schma de licence adapt, les projets open source deviennent de vritables
intermdiaires d'innovation. Les uns contribuent au dveloppement et alimentent les bases
de code avec leur production, les autres viennent y piocher des briques qui les intressent.
Une objection morale est frquente : il serait choquant que certains profitent gratuitement du
travail d'autrui. Pourtant, pour frquente qu'elle soit, cette critique n'en reste pas moins
infonde. Car le logiciel a une proprit assez unique, qui ne se retrouve pas dans les autres
industries : c'est un bien non rival . Dans la mesure o les participants aux projets open

Un livre collectif 95 / 296


Mythes et lgendes des TIC

source contribuent volontairement et en phase avec leur stratgie d'entreprise, la prsence de


passagers clandestins, qui ne font que consommer sans contribuer, n'enlve en ralit rien
aux autres participants. Mieux : elle contribue l'adoption de la technologie, elle permet
l'cosystme de se dvelopper et, finalement, plus les passagers clandestins sont nombreux,
plus il est probable que certains deviennent actifs et contribuent au dveloppement lorsque
leur intervention sera utile.
Le logiciel possde encore une autre proprit : il est la fois schma et outil. Il n'y a pas de
meilleure description d'un logiciel que son propre code. Pour faire une analogie imaginaire
avec le monde industriel, le logiciel serait l'quivalent d'un brevet qu'il suffirait d'introduire
dans une machine magique (un ordinateur) pour produire instantanment, et en srie,
l'invention dcrite. Ds lors, pourquoi s'ingnier organiser des contrats de licence sur des
brevets logiciels plutt que simplement partager... le code ? D'autant que sa duplication et
son envoi d'un bout l'autre de la plante sont quasiment instantans - et gratuits.
Les projets open source peuvent donc constituer des intermdiaires d'innovation ouverte.
Parce que le logiciel est un bien immatriel, non rival, et constitue sa propre description, ces
intermdiaires d'innovation ne travaillent pas sur des titres de proprit intellectuelle
monnays, mais sur des logiciels, gratuits de surcrot. Tout cela s'avre conomiquement
cohrent et fonctionne depuis plusieurs dcennies. L'innovation ouverte, le monde du Libre
la pratique depuis toujours en Monsieur Jourdain du logiciel. Ce qui ne veut pas dire qu'il
suffise d'apposer une licence open-source sur son code pour pratiquer l'open innovation .
Nous avons vu plus haut que mme les parangons du logiciel propritaire s'ouvrent
aujourd'hui l'open-source, ne serait-ce qu'en passagers clandestins. Ainsi font-ils finalement
un premier pas vers une dmarche d'innovation ouverte !

Un livre collectif 96 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES LOGICIELS LIBRES

Jean Christophe Elineau, prsident du ple AQUINETIC


Yvon Rastteter, ARTS.SOFT

MYTHE N 1 :
LE LOGICIEL LIBRE EST GRATUIT

Un des contre-sens les plus courants dans la thmatique Logiciels Libres consiste
effectivement dire qu'un logiciel libre est un logiciel gratuit.
Il faut savoir qu'un logiciel libre n'est pas forcment gratuit mme si pour la plupart d'entre
eux, c'est effectivement le cas. Ces logiciels sont alors tlchargeables sur de nombreux sites
internet, spcialiss notamment. La confusion vient de fait que la langue anglaise utilise
l'expression Free Software pour ce que nous appelons nous, logiciel libre . Or, en
anglais, free peut aussi bien signifier libre que gratuit . Le terme Free Software est
donc trs souvent mal interprt.
Il existe autour du logiciel libre, plusieurs modles conomiques et certains d'entre eux
permettent notamment de vendre des logiciels libres (modle de la double licence
notamment ou l'diteur peut alors proposer une version communautaire gratuite mais aussi
une version professionnelle payant). C'est par exemple notamment le cas pour la solution
trixbox, solution libre de tlphonie base d'Asterisk.
Des versions payantes, destines des entreprises, sont commercialises par des diteurs,
avec support technique et documentation complte. La socit Red Hat, socit amricaine
fournit par exemple son produit Red Hat Enterprise Linux en basant sur des services
avec vente de maintenance, formations
Vous trouverez en conclusion de la thmatique, un document de l'APRIL (Association
franaise ayant pour objet la promotion et la dfense du logiciel libre) ayant pour intitul le
logiciel libre, comment ca marche ? . Il permet de mieux comprendre le concept que nous
dfendons.

MYTHE N 2 :
LE LOGICIEL LIBRE DETRUIT LA VALEUR AJOUTEE DE L'INDUSTRIE DU LOGICIEL
La valeur ajoute de l'industrie du logiciel porte sur la vente des progiciels d'une part et les
services associs l'adaptation, l'exploitation, la maintenance et des logiciels d'autre part.
L'analyse du prix de revient d'un progiciel fait apparatre des frais importants concernant le
marketing et un cot de dveloppement rparti entre le nombre de licences vendues qui est
d'autant plus faible que le nombre de licences est important.
On est dans un modle conomique qui vise crer de la raret alors que le cot marginal
pour produire une nouvelle version du logiciel est quasiment nul.
Cette raret cre profite tous les acteurs de la filire : l'diteur du progiciel et la socit de
service qui le revend un client. Les marges peuvent tre importantes, surtout dans les
domaines ou un progiciel est dans une situation de quasi-monopole.
L'intrt des consommateurs, particuliers ou entreprises, est de faire baisser le prix de ce
progiciel. Ceci est possible lorsqu'un diteur produit un logiciel offrant les mmes

Un livre collectif 97 / 296


Mythes et lgendes des TIC

fonctionnalits, mais sous forme de logiciel libre. Il se rmunre alors sur le service offert
l'utilisateur ou sur le service de haut niveau offert un intgrateur.
D'autre part, la forme de marketing viral, de bouche oreille, effectu dans l'cosystme du
logiciel libre est beaucoup moins coteux que le marketing classique.
Tous les postes de la chane de valeur s'en trouvent ainsi rduits. Parler de destruction de
valeur, c'est adopter le parti qui exploite la rente du systme conomique propritaire.
Prendre le parti de l'utilisateur consiste dire que, dans une conomie numrique ouverte et
concurrentielle, le cot d'un logiciel doit reflter sa ralit conomique : la raret ne
s'applique pas puisque le cot de production marginal est quasiment nul.
Il est d'ailleurs intressant d'observer que tous les acteurs du logiciel propritaire s'appuient
sur des briques en logiciel libre efficaces et performantes pour rduire leur cot de
production. Il est donc inluctable que la part des logiciels libres va crotre dans le contexte
de l'conomie numrique.

MYTHE N 3 :
UN LOGICIEL LIBRE N'EST PAS SOUMIS A UNE LICENCE
Voil sans doute un des aspects les plus intressants de la thmatique : "Ce logiciel est libre
donc il n'est pas soumis licence". Mais non, le logiciel libre est lui aussi soumis licence.
On en dnombre entre trente et cinquante environ (selon classification). Ces licences sont
beaucoup moins restrictives que les licences propritaires mais elles permettent d'offrir un
certain nombre de garanties aux crateurs de programmes.
Selon WikiPedia (l'encyclopdie libre), Une licence libre est un contrat juridique qui confre
toute personne morale ou physique, en tout en temps et tout lieu, les quatre possibilits
suivantes sur une uvre :
La possibilit d'utiliser l'uvre, pour tous les usages ;
La possibilit d'tudier l'uvre ;
La possibilit de redistribuer des copies de l'uvre ;
La possibilit de modifier l'uvre et de publier ses modifications .
On notera donc surtout la possibilit de modifier l'uvre mais aussi l'obligation de publier
les modifications. Le contributeur devient ainsi co-auteur. C'est en fait la pleine expression
du droit d'auteur qui peut prendre ainsi une forme collective.
Parmi ces licences, on retiendra notamment la licence GNU GPL (GNU General Public
licence, fixant les conditions lgales de distribution des logiciels libres du projet GNU) ou
bien encore la licence CeCILL (CEA CNRS INRIA Logiciel libre).
Le non respect de ces licences peut entrainer des poursuites judiciaires. Ce fut le cas en 2009
quand la Cour dAppel de Paris qui sanctionna une socit n'ayant pas respect les principes
de la licence GNU GPL.

MYTHE N 4 :
LE LOGICIEL LIBRE N'EST PAS PROFESSIONNEL
Ou dit autrement : c'est une affaire de bidouilleurs qui travaillent en perruque en volant les
heures de travail leur employeur.
L'extension de l'utilisation de modules crits diffuss et maintenus en logiciel libre prouve
que ce n'est pas vrai. Le nombre croissant d'diteurs propritaires qui incorporent des

Un livre collectif 98 / 296


Mythes et lgendes des TIC

modules en "logiciel libre" dans leurs produits, voire les recomposent entirement avec ces
produits prouvent que ces produits sont professionnels.
Les diteurs propritaires ont intrt accrditer cette ide pour mieux vendre leurs produits.
Ils s'appuient sur le prjug comme quoi quelque chose qui est gratuit n'est pas de bonne
qualit et sur le srieux et la solidit de leurs moyens pour la maintenance.
Il est vrai cependant que, dans certains domaines, les diteurs et intgrateurs de logiciel libre
n'ont pas atteint la taille suffisante pour pntrer des marchs matriss depuis des dizaines
d'annes par les fournisseurs propritaires.
Les produits du logiciel libre se sont implants dans les domaines mergents, celui par
exemple des serveurs Web. Ils peinent s'imposer dans des domaines comme la tlphonie
ou les acteurs historiques dominent le march depuis des dizaines d'annes et o un
offreur comme Cisco a acquis une monopole mondial par la vente de ses routeurs et a pu
considrablement investir pour s'implanter sur la tlphonie et concurrencer les fournisseurs
historiques.
C'est question de taille et de croissance pour atteindre la taille critique. Cependant atteindre
une grande taille n'est pas ncessaire pour s'imposer sur le plan mondial.
C'est le cas de socits comme Talend, ExoPlatform. Mme Redhat reste une socit de
petite taille par rapport aux grands. Reste l'volution actuelle qui voit des gris diteurs
racheter des diteurs en logiciel libre, comme MySQL par SUN puis Oracle, mais c'est une
autre problmatique. Ces diteurs de logiciel libre font justement l'objet de convoitise cause
de leur professionnalisme !

MYTHE N 5 :
UN LOGICIEL LIBRE N'EST PAS, OU EST MAL, DOCUMENTE
Autre mythe concernant les logiciels libres : nos amis, gentils programmeurs de solutions
libres ne prennent pas le temps de rdiger des documentations techniques compltes, ni de
les traduire.
Ce n'est absolument pas le cas et bien au contraire la plupart des logiciels libres sont
aujourd'hui particulirement bien documents.
Prenons par exemple, les documentations concernant certains systmes d'exploitation
comme Ubuntu, Fedora ou autres... Les documentations proposes avec ces logiciels, n'ont
vritablement rien envier aux documentations fournies avec certains systmes
d'exploitation propritaires. Des sites spcialiss sont mme crs sur cette thmatique (ex :
http://doc.fedora-fr.org/).
Il existe aussi des projets comme Traduc.org qui rassemble et soutient les projets
dadaptation franaise des documents et logiciels de linformatique libre en runissant des
traducteurs volontaires pour les projets libres.
Tout ce travail peut tre, bien entendu protg notamment par la Licence de documentation
libre GNU, dont l'objet est de protger la diffusion de contenu libre.

EN COMPLEMENT :
Les Rencontres Mondiales du Logiciel Libre (R.M.L.L) rassemblent chaque anne les contributeurs du
logiciel libre ainsi qu'un public gnraliste de plus en plus nombreux. L'organisation des R.M.L.L. est
attribue par un comit rassemblant les organisateurs prcdant de l'vnement, un G.U.L.L. (Groupe
d'Utilisateurs de Logiciels Libres)

Un livre collectif 99 / 296


Mythes et lgendes des TIC

Cre en 2000 par l'A.B.U.L. (Association Bordelaise des Utilisateurs de Logiciels Libres (A.B.U.L.),
cette manifestation a depuis 10 ans, sillonn l'hexagone. Ainsi, les ditions prcdentes se sont elles donc
droules successivement Bordeaux (2000, 2001, 2002, 2004 et 2010), Metz (2003), Dijon (2005),
Vandoeuvre les Nancy (2006), Amiens (2007), Mont de Marsan (2008) et Nantes (2009).
Pour 2011, la manifestation prendra racine dans une ville symbolique pour l'Europe, en l'occurrence
Strasbourg. Mais plus intressant encore, 2012 semble tre parti pour tre l'anne de l'exportation de
l'vnement en dehors de la France pour la premire fois car c'est la ville de Lige en Belgique qui a retenue
l'attention du comit de slection.
Mais intressons nous d'un peu plus prs au public qui frquente l'vnement et notamment aux pays
reprsents. En 2008 Mont de Marsan, ce ne sont pas moins de quarante pays qui taient ainsi prsents
pendant les cinq premiers jours du mois de juillet. : Espagne, Allemagne, Angleterre, Pays-Bas, Irlande,
Suisse, Venezuela, Canada, Etats Unis, Russie, Asie et de nombreux pays Africains (et ceci malgr les
conditions d'obtention des visas particulirement difficiles). Je m'excuse par avance auprs des pays que
j'oublierais dans cette liste la Prvert.
Cette diversit permet donc des rencontres particulirement enrichissantes mais justifie surtout l'appellation de
Rencontres MONDIALES.

Document de l'APRIL (Association franaise ayant pour objet


la promotion et la dfense du logiciel libre)

Un livre collectif 100 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA DEMATERIALISATION

Jean-Michel de Lamezan, journaliste en nouvelles technologies

Alors que la Science joue de la dmatrialisation, comme Monsieur Jourdain de la prose, en


jonglant avec des concepts aussi volus que E = mc2, antimatire, boson de Higgs ou
matire noire, le propos, ici, est de s'en tenir notre vie courante : la dmatrialisation des
procdures et des supports d'information. Moult mythes, lgendes et inepties courent dj
ce niveau ! Sans prtention exhaustive, voquons-en quelques aspects significatifs.

MYTHE N 1 :
LA DEMATERIALISATION NE TOUCHERA PAS MON DOMAINE D'EXPERTISE
La dmatrialisation de la messagerie n'a pas attendu l'lectronique ni mme l'lectricit, pour
acclrer les liaisons distance, comme le montre, par exemple, l'utilisation du smaphore.
Cependant, du tlgraphe d'hier la "tlportation" d'aprs-demain, en passant par la
tlprsence d'aujourd'hui, on mesure combien la dmatrialisation recule sans cesse ses
limites, au rythme des dveloppements technologiques. A l'instar de cette filire des
tltransmissions, on ne peut pas dire o s'arrtera le processus global de dmatrialisation.
Les changes financiers, commerciaux, administratifs, juridiques et fiscaux disposent
maintenant de pratiques dmatrialises tablies, jouissant de la reconnaissance officielle. Il
en va de mme pour l'archivage des donnes d'entreprise, ainsi que de moult procdures de
la vie professionnelle, l'instar du bulletin de paye lectronique. Si ncessaire, les trs lgaux
Tiers de Confiance peuvent apposer leur sceau virtuel, sur les documents dmatrialiss.
Montique et billettique se rinventent constamment, face aux nouvelles exigences des
transactions en ligne : le besoin est contradictoire, entre la souplesse indispensable d'une
procdure d'achat instantane distance et la scurisation exige par tous. Initialement en
usage dans les pays en dveloppement, le transfert d'argent interpersonnel par tlphonie
mobile tend se gnraliser sur la plante. Le tlphone mobile, vecteur de dmatrialisation
sans prcdent, devient aussi moyen de paiement sans contact. En France, aprs moult
soubresaut, le procd entame sa phase de dploiement.
Le domaine industriel poursuit la dmatrialisation et l'optimisation de ses processus, au
rythme de l'volution des outils d'laboration du cycle de vie du produit, PLM (Product
Lifecycle Management). Le PLM prpare virtuellement toutes les oprations industrielles, de
la CAO au recyclage, en passant par les mthodes, l'usinage, la logistique... De la mme
faon, la dmatrialisation s'exerce sur les autres activits de fabrication, comme
l'architecture ou l'artisanat.
En poids lourds de l'conomie numrique, se positionnent l'e-learning, l'e-marketing, l'e-commerce
et l'e-sant, avec un "e" comme Electronique, voire un "m" comme Mobile. La
dmatrialisation, en uvre dans la mdecine, accompagne un dfit particulirement
loquent de notre socit : mieux soigner, moindre cot, de plus en plus de patients, avec
de moins en moins de personnel. A ce titre, la renaissance du plan DMP (Dossier Mdical
Personnel), sous l'gide de l'ASIP Sant, marque une tape dcisive en France. Ce processus
de dmatrialisation redfinit les relations entre tous les acteurs de la sant : patients,
professionnels de sant, ordres professionnels, administrations, tablissements hospitaliers,
dossiers patients...

Un livre collectif 101 / 296


Mythes et lgendes des TIC

La transposition de nos activits en ligne s'accompagne du brassage de plus en plus


consquent des donnes caractre personnel. Vie prive et professionnelle, prfrences et
engagements, occupations diverses, culture, sant, environnement relationnel et habitudes,
parmi tant d'autres informations, font d'Internet une base de donnes de plus en pus
gigantesque sur les personnes. A noter que la biomtrie, au sens de la reconnaissance
automatise des personnes, s'inscrit prcisment dans la tendance la dmatrialisation des
procdures.
Enfin, on ne peut pas faire l'impasse sur les sulfureuses procdures HADOPI et consorts,
visant contrler la circulation des uvres d'auteur support dmatrialis : uvres
musicales, audiovisuelles, livresques...

MYTHE N 2 :
LE NUMERIQUE ET LA DEMATERIALISATION, C'EST LA MEME CHOSE
En contre-exemple l'erreur largement rpandue, qui consiste confondre numrique et
dmatrialisation, on peut citer le cas emblmatique du CD musical. De son nom exact CD-
DA (Compact Disc Digital Audio), ce disque initie le grand public la musique numrique,
ds 1982, poque laquelle bien peu de nos congnres se soucient dj d'Internet et de la
dmatrialisation.
Aussi, est-il bon de prciser le sens de trois mots cls, gnralement associs :
dmatrialisation, numrisation et virtualisation.
Dmatrialisation : Opration de remplacement d'un objet ou d'un dispositif matriel,
par un systme d'information, visant rendre un service quivalent. Depuis des
dcennies, par exemple, la bureautique dmatrialise ainsi divers documents et
procdures du secrtariat.
Numrisation : Opration de transposition d'un signal analogique, par exemple
provenant d'un capteur de son ou d'image, en signal numrique, rput plus robuste et
plus apte au traitement de l'information. Notamment, les documents imprims sont
numriss,"digitaliss", par reconnaissance optique de caractres, OCR (Optical
Character Recognition).
Virtualisation : Opration de modlisation d'un dispositif ou d'un phnomne,
permettant d'en simuler le fonctionnement. Ainsi, la virtualisation de serveurs, de
postes de travail, de volumes de stockage ou d'autres quipements, permet d'en
dcoupler la fonction logique de l'aspect matriel.
En outre, ces notions se conjuguent avec les modes d'externalisation des systmes
d'information : SaaS (Software As A Service), IaaS (Infrastructure As A Service), PaaS
(Platform As A Service), Cloud Computing... Une tude IPSOS / Microsoft, ralise en Janvier
2011, rvle que, sans en avoir conscience, un entrepreneur sur deux, 52%, utilise
aujourdhui des solutions Cloud, notamment sous forme de messagerie hberge.
Une mosaque de termes, gravitant autour des NTIC (Nouvelles Technologies de
l'Information et de la Communication), participe encore la confusion gnrale. Ainsi, la
ralit virtuelle, la base des jeux vido et des serious games, simule les interactions entre des
personnages ou des dispositifs et leur environnement. Le rich media forme en temps rel des
flux composites, partir d'informations multimdias de natures ou de sources distinctes. La
ralit augmente, largement mdiatise par des applications mobiles, enrichit les images
captes de graphiques ou d'indications connexes interactifs. On pourrait ainsi dcliner

Un livre collectif 102 / 296


Mythes et lgendes des TIC

l'envie la taxinomie de la high-tech, tout en gardant l'esprit que ce vocabulaire revt, le plus
souvent, des usages gomtrie variable !

MYTHE N 3 :
LA DEMATERIALISATION SUPPRIME LES SUPPORTS
Si la dmatrialisation en marche est bien de nature supprimer les supports traditionnels,
comme papier, disque, cassette ou film, les habitudes tendent les conserver. Le monde
professionnel, notamment, produirait encore plus de 7.000 feuilles imprimes, par poste et
par an. D'aprs le cabinet IDC, les ventes mondiales de systmes d'impression ont progress
de 12% en 2010, 125,2 M d'units. Cette tendance la conservation des supports matriels
touche aussi les "biens de consommation culturels". Avec 4 Md d'e-books vendus en 2014,
value le cabinet IDATE, ce ne serait que 17% du march gnral du livre qui serait
dmatrialis. Alors que la diffusion de la musique en ligne entame srieusement les ventes
de CD Single, le march du CD album distribu en magasin, disque grav de plusieurs titres et
par d'un livret, ne chute que de 10% en 2010. Le DVD musical progresse mme de 9% sur
cette priode, comme en tmoignent les chiffres du SNEP.
Surtout, la dmatrialisation et le dveloppement de la "vie numrique" entranent la cration
de nouveaux vecteurs matriels, supports de l'information. Le secteur des TIC est engag
dans une course aux performances, indispensables cette migration des contenus et des
services. L'volution est la convergence et l'explosion des usages, ainsi que des activits
collaboratives, via des accs en ligne divers, trs hauts dbits, et des terminaux multiples.
En illustration l'inflation de la production de contenus, on peut citer, par exemple, l'activit
phnomnale du site Youtube : 20 heures de flux vido publi chaque minute par les
internautes, soit l'quivalent de 100 ans de film scanns, par jour... Comme le souligne M.
Eric Besson, Ministre charg de lIndustrie, de lEnergie et de lEconomie numrique, lors
des deuximes rencontres parlementaires de Fvrier 2011, sur lconomie numrique : "Le
trafic chang sur Internet crot globalement de 50% chaque anne. Sur les rseaux mobiles
en particulier, la pression est trs forte, avec une croissance annuelle du volume de donnes
changes de 250%".
Pour faire face, lobjectif du gouvernement est de couvrir 70% de la population en trs haut
dbit, dici 2020, et 100% de la population en trs haut dbit, dici 2025. Sur les 4,25 Md du
FSN (Fonds national pour la Socit Numrique), issus du programme gouvernemental
"Dveloppement de lEconomie Numrique" des Investissements dAvenir, 2 Md sont
ddis au soutien au dploiement des nouveaux rseaux trs haut dbit, sur lensemble du
territoire franais, hors zones trs denses. Rappelons que le total des investissements,
ncessaires au cblage trs haut dbit en fibre optique de l'ensemble de la population
franaise, s'lverait prs de 30 Md . A ces cots, s'ajoutent les investissements ncessaires
aux quipements du haut dbit mobile, 4G, qui seraient de l'ordre de 18 Md .
La dmatrialisation s'accompagne aussi de l'arrive massive de nouveaux terminaux. D'aprs
le cabinet IDC, le nombre de tablettes interactives, commercialises dans le monde en 2012,
s'lverait 70,8 M d'units. L'acquisition de ces nouveaux objets n'empche d'ailleurs pas la
croissance du march mondial des ordinateurs, qui serait de 13,6% en 2012, selon le cabinet
Gartner. Ds 2011, nous dit Deloitte, le march plus global, comprenant tablettes et
smartphones, reprsenterait dj 425 M d'units. Au ct des smartphones et tablettes, le monde
numrique engendre aussi la production d'autres nouveaux appareils sduisants, diffusion
mondiale et obsolescence rapide : box, consoles, baladeurs multimdias, APN,

Un livre collectif 103 / 296


Mythes et lgendes des TIC

picoprojecteurs, GPS, netbooks, liseuses, crans relief, bornes interactives, vhicules


connects, etc.
Emblmatique de la tendance la dmatrialisation gnralise, la technologie Kinect permet
d'interagir avec les jeux vido, sans manette et sans contact, par la seule reconnaissance
distance des mouvements corporels des joueurs. C'est pourtant comme objet bien concret,
que la Kinect pour Xbox 360 Microsoft figure dj au Guinness World Records (Livre
Guinness des Records). Elle y est rcompense, comme tant le priphrique dlectronique
grand public avoir connu la plus rapide progression de ses ventes. 8 M d'units ont t
coules, durant ses 60 premiers jours de commercialisation. Dbut Mars 2011, Kinect
dpassait les 10 M d'units vendues.

MYTHE N 4 :
LA DEMATERIALISATION REDUIT LE TEMPS DE TRAVAIL
Un gain de temps effectif est rcupr sur la dmatrialisation des documents et procdures,
comme par exemple en gestion de facture, en maquettage numrique, en prototypage
industriel... Cependant, la dmatrialisation s'accompagne d'une augmentation
"chronophage" de nouvelles obligations, inhrentes au monde numrique.
Il faut surmonter les soucis d'optimisation des procdures composites. Selon le cabinet
Markess International, se basant sur son enqute de fin 2010, la dmatrialisation du
processus d'achat, par exemple, impose, encore trop souvent, l'emploi d'une succession
d'outils diffrents, ddis chaque tape : demande d'achat, commande d'achat, accus de
rception de la commande, bon de livraison, bon payer, accus de rception de la livraison,
facturation, demande d'avoir et enfin avis de paiement !
Surtout, le numrique devient synonyme de communication imprative et fournie. L'enqute
nationale de L'Atelier BNP Paribas / IFOP, ralise en Janvier 2011, montre que plus dun
tiers des cadres, 38%, estime d'ores et dj que les entreprises doivent communiquer sur les
mdias sociaux, comme Facebook ou Twitter. Rappelons que Facebook est arriv en France
en 2008. Dbut 2011, plus dune entreprise sur quatre, 27%, utilise les medias sociaux pour
s'exprimer. On pourrait aussi voquer le succs grandissant des rseaux sociaux typiquement
professionnels, comme Linkedin ou Viadeo. D'une manire gnrale, comme le montre une
tude Mdiamtrie portant sur Dcembre 2010, les internautes restent de plus en plus
longtemps sur les blogs et rseaux sociaux : en moyenne 5h30 par mois, soit 1h20 de plus que
l'anne prcdente. Le temps pass sur les sites communautaires a ainsi t multipli par trois
en deux ans. Cependant, le traitement du courrier papier ne disparat pas pour autant du
monde de l'entreprise : le courrier ne serait totalement substituable que pour 24% des cadres
interrogs.
La professionnalisation des modes de communications numriques conduit les entreprises
s'investir srieusement, dans les nouveaux mtiers affrents : Web master, content manager,
community manager, spcialiste de l'e-reputation, expert en rfrencements... Selon le rapport
"The 2011 Online Marketing National Salary Guide" de Crandall Associates, les salaires des
spcialistes du rfrencement en entreprise, "SEO Specialist", ont augment de 17,5%, entre
2010 et 2011.
RSSI (Responsable de la Scurit des Systmes d'Information) et CIL (Correspondant
Informatique et Libert), notamment, veillent aux risques croissants, dus aux
dveloppements tous azimuts des SI (Systmes d'Information). D'ailleurs, la progression du
march mondial de la scurit des SI est estime 11 % par an. La dmatrialisation, qui

Un livre collectif 104 / 296


Mythes et lgendes des TIC

compacte l'espace-temps mais pas l'implication des acteurs, d'une manire gnrale, exige
ractivit et disponibilit des personnels. Suivant son importance, elle suscite conduite du
changement et formation en consquence.

MYTHE N 5 :
LA DEMATERIALISATION LIMITE LES CONSOMMATIONS ENERGETIQUES
"Les TIC pourraient contribuer raliser le tiers des rductions dmissions de gaz effet de
serre, fixes par le gouvernement lhorizon 2020", affirme ltude de prospective du
ministre charg de lIndustrie : "Technologies cls 2015". Cependant, rduire les
consommations nergtiques de ces infrastructures, aux capacits en dveloppement
exponentiel, supposerait que la "Loi de Moore" des technologies soit plus favorable que la
"Loi de Moore", applique l'accroissement des attentes qu'elles suscitent ! Rien qu'en
volume dinformations stockes, indique EMC, les entreprises ont un besoin, qui crot de
50% par an.
Comme le rappelle l'tude du ministre, le secteur des TIC reprsente prs de 15% de la
consommation lectrique gnrale (source OCDE), via les nombreux quipements, rseaux
et datacenters. APC note que la consommation nergtique d'un datacenter, sur 10 ans,
reprsente le mme budget que l'investissement initial li sa construction. Dans ces
conditions, la dmatrialisation d'un document ne conduit pas en rduire l'impact
cologique une valeur ngligeable. Par exemple, une facture dmatrialise, comme le
souligne l'tude de la Fdration des Services Financiers Finlandais, en partenariat avec
lUniversit dAalto, produit tout de mme un quart de l'impact cologique d'une facture
papier.
Le bilan nergtique global de la dmatrialisation des documents et procdures est plomb
par la multiplication, sans prcdent, des infrastructures et des terminaux qui la vhiculent.
L'efficacit nergtique des technologies de l'information, dj sujette intense innovation,
occupe de plus en plus les R&D. Ainsi, le programme RICE du projet d'IRT (Institut de
Recherche Technologique) B-com ambitionne de diviser la consommation nergtique des
rseaux et infrastructures par 10, tout en multipliant leur capacit par 100 !

MYTHE N 6 :
LA DEMATERIALISATION, C'EST LA FIN DES RENCONTRES SUR LE TERRAIN
Avec la gnralisation des changes par messagerie instantane, rseau social, tltravail,
tlprsence, ainsi que par les technologies convergentes de communication, on pourrait
craindre la forte diminution, si non l'extinction, du besoin de rencontre sur le terrain. Or
l'exprience est tout autre. La dmatrialisation devient d'ailleurs, par elle-mme, prtexte
rencontres vnementielles supplmentaires : salons, confrences, colloques... Utiliss en ce
sens, les outils numriques brillent finalement par leur aide la mobilit. Continuit d'action
et golocalisation sont des avantages souvent cits.
A l'instar des imprimantes 3D, qui "rematrialisent" des objets virtuels, la dmatrialisation
des documents et procdures induit une vague de nouvelles matrialisations. D'ampleur sans
prcdent, celle-ci transforme radicalement notre environnement, en symbiose avec
l'volution numrique en cours. En 2020, la dmatrialisation des changes se traduira par la
matrialisation de plus de 100 Md d'objets connects !

Un livre collectif 105 / 296


Mythes et lgendes des TIC

2 PARTIE : ASPECTS SECURITE

Un livre collectif 106 / 296


Mythes et lgendes des TIC

CONFIDENTIALITE, INTEGRITE ET DISPONIBILITE

Louis Derathe, Thales

Depuis de trs nombreuses annes, la scurit dune information est apprcie laune de
trois critres53. la Confidentialit, lIntgrit et la Disponibilit (la fameuse triade C I D).
Longtemps ces critres ont paru suffisants pour conduire llaboration de politiques de
scurit techniques et organisationnelles dans les systmes informations, permettant de
protger ces informations de toutes les attaques enfin, autant que cela tait possible !
Mais, les Nouvelles Technologies de lInformation et de la Communication et leur cortge de
cyber-attaques ont bouscul les certitudes et entach de doute cette caractrisation ; de
nombreux critres sont apparus comme pouvant complter cette caractrisation scurit
des informations et mieux rpondre la menace ambiante : de nombreux gourous ont donc
complt la liste proposant en guise de critre, aussi bien des fonctions de scurit que de
sret, arguant que tout est dans tout et la scurit partout.
Certes, la communaut de la SSI su faire la part des choses et rejeter livraie, mais une
suggestion rcurrente engage encore aujourdhui un vrai questionnement : Est-ce que
lauthenticit dune information peut tre un critre de scurit ?
En effet, une information authentique, c'est--dire vraie, ne peut pas nuire la scurit dun
systme dinformation et donc, cette qualit devrait tre, lvidence, protge ! La
confiance, la vracit, la conviction ou la preuve sont des valeurs partages sur lesquelles une
scurit devrait ce construire ; voil lvidence qui nous aveugle soudain !
Et voil surtout lanalyste scurit plong dans les affres du doute et de la crainte de
lincompltude de la faille logique de sa dmarche danalyse !
Si lon se rfre aux dfinitions couramment offertes par nos dictionnaires, authenticit se
dcline selon deux approches complmentaires : ce qui est conforme la vrit, ce dont lexactitude
ne peut tre conteste (Larousse).
Poursuivons notre analyse ! Deux concepts constitutifs de cette notion dauthenticit
apparaissent donc : la vrit et sa preuve.
Nous conviendrons sans hsiter que la vrit, en soi, nest pas une qualit relevant de la
scurit puisquelle procde plus de la foi ou de la confiance (du point de vue plus centr sur
les systmes dinformation, elle relve des utilisateurs du SI ; cest une qualit relevant de la
source de linformation comme par exemple pour les systmes de Renseignement et ses
logiques de cotation).
Mais lexactitude, la preuve ! Voil qui fleure bon la scurit, non ?
Rcapitulons, ce ne serait donc pas lauthenticit en soi, mais bien sa composante
preuve/dmonstration qui serait alors un nouveau critre scurit de linformation.
Or, quelques mots dun certain Jacques Stern54, trouvs sur le web, clairent notre rflexion :

53
Cf. la mthode EBIOS
54
Directeur du Laboratoire dinformatique de lcole normale suprieure

Un livre collectif 107 / 296


Mythes et lgendes des TIC

Un service dauthenticit garantit lidentit dune entit donne ou lorigine dune communication ou dun
fichier. Lorsquil sagit dun fichier, et que lentit qui la cr est la seule avoir pu apporter la garantie
dauthenticit, on parle de non-rpudiation . Ce service de non-rpudiation est ralis par une signature
numrique, qui a une valeur juridique depuis la loi du 20 mars 2000
. Signature numrique ! Le mot est dit car, quest-ce quune signature, sinon
effectivement un lment permettant un metteur de garantir lintgrit et la provenance
dune information ?
Lauthenticit ne serait donc finalement, du point de vue scurit, que lintgrit dune
information associe lidentit de son metteur ce que lon traduit plus communment
dans le langage technique : preuve dorigine ! Et nous voil nouveau revenus aux trois
critres immmoriaux.
Vite un autre critre ! Un autre gourou !

Un livre collectif 108 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA SECURITE DE


L'INFORMATION

Grard Peliks, CASSIDIAN


an EADS Company

LES AGRESSIONS, A N'ARRIVE PAS QU'AUX AUTRES


Bien cal dans votre fauteuil, vous lisez votre messagerie, parfois vous participez aux forums
sur les vulnrabilits et les menaces pouvant peser sur votre systme d'information, et de
temps en temps vous prenez connaissance des dernires alertes des CERT.
Oui, bien des gens n'ont pas de chance de se faire ainsi agresser. Mais pas vous ! Parmi les
dizaines de milliers de logiciels malfaisants qui tournent en permanence sur les rseaux,
guettant la moindre faille autour de votre PC, comment faites-vous pour toujours passer au
travers ? Qu'il est merveilleux, ce sentiment de scurit qui entoure votre Information !
Sentiment de bien-tre encore accru par l'assurance que les contre-mesures que vous avez
mises en uvre, en particulier votre antivirus et votre firewall personnel vous garantissent de
ne jamais tre concerns par les horreurs qui se passent chez les autres !
Mais la ralit est que la scurit de l'Information, avec laquelle vous vivez en apparence, est
un mythe ! L'inscurit est l'tat normal et, comme vos voisins, vous subissez aussi des
agressions et parfois celles-ci passent et font des dgts.
Le vritable danger d'ailleurs n'est pas tellement au niveau des menaces qui vous environnent
mais se situe entre votre chaise et votre clavier. Le vritable danger, pesant sur votre
information, c'est vous, si vous ne mesurez pas combien est dangereux le monde qui vous
entoure.

MYTHE N 1 :
IL EXISTE DES HAVRES DE PAIX SUR L'INTERNET
Les virus, les vers, les chevaux de Troie, concernent les utilisateurs des PC sous Windows.
Votre PC tourne sur une distribution de Linux (Ubuntu, Mandriva ?) et donc les virus ne
sont pas dirigs contre vous, puisque sous Linux il n'y en a pas ? Erreur, il existe des logiciels
malfaisants sous Linux aussi.
Alors, tournons nous vers les MAC puisque l au moins nous sommes tranquilles ? Erreur, il
existe aussi des logiciels malfaisants ddis aux MAC. Mais votre Smartphone n'est pas sous
Windows et ce n'est pas un MAC ? Vous avez raison sur ce point mais c'est aussi un mythe
qu'il n'y a pas de logiciels malfaisants pour Smartphones, et plus il y aura de PC sous Linux,
plus il y aura de MAC, plus il y aura de smartphones et de eBooks, plus il y aura de virus qui
les prendront pour cible. Et ce n'est pas tout.
L'imprimante de votre entreprise n'est pas plus l'abri que le sont vos postes de travail. Une
imprimante en rseau est, comme tout serveur, un nud sur l'Intranet et comme tout nud
d'un rseau, elle est menace dans son fonctionnement tout d'abord. Que diriez-vous si votre
imprimante, ds qu'elle est alimente, imprimait longueur de journe, rame aprs rame,
parce qu'elle serait victime d'une campagne de spam que vous ne pouvez arrter qu'en payant
une ranon ? Le chantage visant une entreprise est un march qui commence devenir
florissant, et qui pourrait bien un jour se gnraliser.

Un livre collectif 109 / 296


Mythes et lgendes des TIC

Votre imprimante pose de plus un problme ct confidentialit des informations qu'elle a


imprimes. Non ce n'est pas parce qu'une main inavouable rcupre systmatiquement, avant
vous, sur votre imprimante, les informations confidentielles que vous venez d'imprimer,
encore que a peut arriver. Ce n'est pas non plus que vous ne vous mfiez pas assez du
spool. Votre imprimante a un disque dur dans lequel les impressions sont stockes. Et quand
vous restituez votre imprimante la socit qui vous l'a loue, pour vous quiper d'une
imprimante plus moderne ou mieux adapte, vos informations rsident toujours sur son
disque dur. Et voil comment, des informations confidentielles depuis longtemps stockes
sur une imprimante, alors que ses utilisateurs n'en avaient pas conscience, changent de main.
On a aussi beaucoup parl des dangers que font courir les documents de la suite Office de
Microsoft, suite aux macrovirus qui prsentent effectivement un rel danger. Heureusement,
la transmission de documents au format PDF est la solution ? Elle ne l'est plus. Les fichiers
PDF, qui peuvent tre aussi contamins, reprsentent aujourd'hui un des trois principaux
vecteurs d'infection.
Alors vers quoi vous tourner ? Sur 360 degrs, vous tes menacs. Il faut apprendre vivre
dangereusement et comme il n'est pas possible d'liminer tout danger, il faut chercher le
rduire un niveau acceptable. C'est ce qu'on appelle le risque rsiduel, qu'il faut savoir
accepter et grer.

MYTHE N 2 :
LES EXECUTABLES EN .EXE", VOILA LE DANGER !
Au dbut, il y avait les virus, constitus d'instructions qui s'accolent un programme
excutable. Le virus libre sa charge ltale quand le programme, auquel il est accol,
s'excute. Si vous ne lancez pas l'excutable contamin, le virus reste inactif. Et comme le
virus modifie la taille de l'excutable, en fonction du contenu et de la taille de ses
instructions, la modification qui est la signature du virus, une fois connue, peut tre
radique de l'excutable pour le faire revenir son tat sain. C'est ainsi que procdent les
anti-virus. Contrairement ce qu'on croit gnralement, les virus ne se dupliquent pas.
L'infection ne peut se rpandre que si on transmet l'excutable contamin, par exemple en
attachement un e-mail.
Mais Il existe une autre famille de logiciels malfaisants, les vers (worms en anglais) qui eux ne
sont pas attachs un excutable. Ils sont eux-mmes des excutables autonomes et ils
investissent votre PC en passant, travers le rseau, par une faille non couverte affectant un
des logiciels que vous utilisez. Une fois installs chez vous, ils se dupliquent et, toujours par
le rseau, se rpandent un peu partout chez les autres utilisateurs. On pourrait juste vous
reprocher d'tre connects !
Les vers forment une famille bien plus nombreuse et bien plus dangereuse que les virus, et
c'est pourquoi, croire que n'excuter que des fichiers ".exe", ".zip" ou autres fichiers avec du
code excutable de confiance, pour ne pas tre infect, est un mythe.
Croire que la messagerie est le seul vecteur d'infection avec les fichiers excutables attachs
aux messages que vous recevez est aussi un mythe. Le vecteur principal d'infection
aujourd'hui est le Web.
Il suffit de naviguer sur des pages Web contamines et vous rcoltez des programmes
malfaisants contenus dans des pages que votre navigateur tlcharge avant de les interprter.
Une page Web, apparemment anodine, peut contenir beaucoup d'lments excutables,
comme des applets Java, des ActiveX, des codes JavaScript, des Flashs Les cybercriminels

Un livre collectif 110 / 296


Mythes et lgendes des TIC

pigent des sites, mme les plus honntes, surtout les plus lus. C'est ce qu'on appelle
l'infection "drive by download" trs rpandue. Aujourd'hui le Web devance la messagerie
comme premier vecteur d'infection et. Les fichiers PDF viennent juste aprs la messagerie
dans le classement des lments dangereux.

MYTHE N 3 :
LES CYBERCRIMINELS VEULENT DETRUIRE VOTRE SYSTEME D'INFORMATION
Attaquer les systmes d'information pour prouver la dlicieuse pousse d'adrnaline qui
vient avec l'agression du systme d'information d'une entreprise, si possible grande et
connue, pour le dtruire et en entendre ensuite parler; attaquer les rseaux pour prouver
qu'aprs tout on n'est pas incomptent, et les plaintes que poussera l'entreprise en seront une
preuve clatante, c'est du pass et ce type d'attaques ludiques est devenu un mythe, sauf si
une cyberguerre se dclenche ou si le cyberterrorisme frappe, ce qui est un autre problme.
Aujourd'hui les cybercriminels attaquent le rseau pour un motif tout aussi inavouable que
pour le dtruire et leurs attaques sont plus feutres. Ils mnent leurs attaques pour gagner de
l'argent facilement et sans prendre trop de risques. Il est moins prilleux en effet d'attaquer
les coffres virtuels d'une banque situe 10 000 km de distance, par l'Internet, depuis un
pays o la lgislation concernant le cybercrime est quasi inexistante, en utilisant un PC et une
connexion haut dbit, que d'utiliser un camion blier, un fusil pompe et un chalumeau, sur
place.
Attaquer pour des raisons pcuniaires change les attaquants, les attaques et les cibles. Les
attaquants sont souvent des groupes de cybercriminels, parfois sans comptence
informatique particulire, mais utilisant des outils conviviaux qu'on trouve dans
l'underground d'Internet, les "kiddies tools". Vous y trouvez mme des kits "prts
l'emploi".
Ces attaques sont silencieuses et les vecteurs d'infection, comme chevaux de Troie et bots
spcialiss s'insrent sans dgts visibles dans les systmes d'information des victimes cibles.
Aux virus dvastateurs succdent les familles de chevaux de Troie, qui sont des bots, pour
relayer les attaques, et des vers qui ne veulent surtout aucun mal votre outil de travail et
vos informations, seulement vos comptes bancaires. Bien au contraire, ils ont intrt ce
que tout marche parfaitement chez vous. Mais tapis au fond de votre disque dur, ils
observent. Les logiciels malfaisants attendent leur heure
Et quand vous saisissez l'adresse Web de votre tablissement bancaire, alors ils se rveillent
et captent l'information que vous entrez : login, mot de passe, numro de compte, date
d'expiration de votre carte de crdit, tout est intercept et envoy au cybercriminel. Et ainsi
le march du renseignement sur les victimes potentielles est aliment et rapporte gros. Il
existe des keyloggers qui vont chercher l'information au niveau des touches du clavier que
vous utilisez.
Vous pouvez certes chiffrer votre information sur votre PC, mais ce que vous tapez sur les
touches de votre clavier, c'est de l'information en clair. La question hlas ne sera pas, avec la
gnralisation de la cybercriminalit, de savoir si vous avez ou pas un cheval de Troie dans
votre systme d'information, mais plutt combien vous en avez, qui se battent en duel pour
tre peu nombreux bnficier de vos ressources informatiques.

Un livre collectif 111 / 296


Mythes et lgendes des TIC

MYTHE N 4 :
LA SECURITE DE L'INFORMATION EST UN CENTRE DE COUT
Bien entendu s'quiper des matriels et logiciels indispensables, s'entourer d'experts scurit
comptents a un cot. Maintenir et bien grer le systme, tablir des tableaux de bord
conformment sa politique de scurit, et aux standards, exploiter les rsultats des
vnements, des vulnrabilits, des non-conformits n'est pas une tche anodine et mobilise
des ressources humaines et pcuniaires.
Le cot de la scurit pse en gnral sur le budget informatique, et constitue parfois, hlas
pour les victimes futures, une variable d'ajustement des budgets, surtout en temps de crise.
Mais l'inscurit a-t-elle un cot ? Si une entreprise victime d'une agression qui lui a fait
perdre son fichier clients, l'historique de ses commandes, ses secrets de fabrication, son
image de marque, et entach la moralit de ses dirigeants, est appele disparatre court
terme aprs une attaque russie, le cot de l'inscurit sera support par l'ensemble de
l'entreprise, quand celle-ci devra fermer ses portes.
Mais si vous croyez que la scurit est trop chre essayez l'inscurit"

MYTHE N 5 :
LES ATTAQUES VIENNENT DE L'EXTERIEUR
Le ct obscur de la force qui pse sur votre information peut certes venir de l'extrieur o
une cohorte d'individus malfaisants menace vos finances et vos ressources. Ca ce n'est pas
un mythe. Mais le mythe serait de croire que les mchants sont toujours l'extrieur.
Le firewall qui isole votre rseau en btissant un primtre de scurit autour de votre
systme d'information et filtre tout ce qui sort et ce qui entre conformment votre
politique de scurit est indispensable. Mais il ne sait pas ce qui se passe dans votre Intranet.
Les systmes d'information aujourd'hui ne sont plus des places fortes qui doivent tre
entoures d'un rempart imprenable. Ils se rapprochent plus de pays avec des frontires, des
ports mais aussi des aroports d'o l'on peut pntrer sans passer par les frontires. Sans
compter, pour le criminel, la possibilit d'tre parachut prs d'un endroit sensible. Il faut
donc scuriser plus que le primtre de scurit extrieur de votre entreprise. C'est d'autant
plus vrai avec les technologies sans fils, le Peer to Peer, le Cloud Computing, qui, s'ils
rendent des services indiscutables, n'en ouvrent pas moins des brches dans le primtre de
scurit d'une entreprise. Il faut aussi mettre des contre-mesures l'intrieur de votre rseau
d'entreprise.
Les employs sont-ils des mchants quand l'occasion fait le larron ? Pas tous, bien sr, mais il
faut garder l'esprit qu'au moins 60% des attaques russies, ont pour origine l'intrieur de
l'entreprise, ou au moins des complicits dans l'entreprise.

MYTHE N 6 :
LE CYBERMONDE EST UN ESPACE DE NON DROIT
La multiplication des attaques, largement plus mdiatise que les peines qui pourtant
frappent les attaquants qui se font prendre, peut laisser penser que le cyber monde est un
espace de non-droit o les malveillants, les matres chanteurs, les indlicats peuvent uvrer
en toute impunit et leurs victimes se faire agresser ou plumer sans recours. Il nen est rien.
Mais comme lInternet ne connat pas de frontires, il nest pas toujours vident de
dterminer quelle juridiction sapplique. Droit du sol o le serveur Web malveillant rside ?

Un livre collectif 112 / 296


Mythes et lgendes des TIC

Nationalits des agresseurs ? Nationalits des victimes ? Pays o se passe lagression ? En


France, larticle 113-2 du nouveau code pnal rpond en partie ces questions. Il sappuie
sur le principe de territorialit, tablit que linfraction est suppose commise sur le territoire de la
Rpublique ds lors quun de ses faits constitutifs a eu lieu sur ce territoire .
Nous allons voquer ici seulement des lois qui sappliquent en France. N'tant pas juriste, je
n'entrerai pas dans les dtails. Chaque pays a ses propres lois et ses accords croiss avec
dautres pays ou communauts de pays et bien sr les agresseurs avertis lancent de
prfrence leurs attaques partir de pays o la lgislation est trs floue et lextradition
difficile. Cest bien sr aussi dans ces mmes pays que sont hbergs souvent les serveurs
dlictueux et les matres des Botnets.
En France, contrairement ce qu'on peut croire, le cybercrime est encadr. Des lois existent
et la jurisprudence commence s'toffer. D'ailleurs, plusieurs lois datant d'avant mme la
gnralisation de l'utilisation d'Internet sont applicables, telles la loi dites Godfrain, du 5
janvier 1985, articles L.323-1 et suivants du Nouveau Code pnal qui punit les atteintes au
systme de traitement automatis de donnes et prvoit des amendes et des peines de prison mme si
aucune incidence directe n'a perturb le systme pntr.
Mais le systme judiciaire ne peut intervenir que si la victime ne tait pas le dlit commis par
l'attaquant et le prjudice subi et que si elle porte plainte.
Avec la volatilit des preuves, la difficult de les tracer, lanonymat facile, labsence de
frontires et une prsence policire limite, le cybermonde runit tous les ingrdients pour
tre le thtre dun crime parfait, moins que les victimes ne ragissent efficacement.
Si vous vous apercevez que vous avez t attaqus et avez subi des prjudices mais si vous ne
portez pas plainte, lagresseur ne sera srement pas inquit. Si par contre vous portez
plainte auprs de lautorit comptente, il reste une petite chance pour que lagresseur soit
inquit et cesse de sattaquer vous et aux autres. Comme avec l'Internet nous sommes
tous lis, amliorer sa scurit, c'est aussi amliorer la scurit des autres.
Un web de signalement des infractions a t mis en place par le Ministre de l'intrieur,
n'hsitez pas l'utiliser, c'est ainsi que la vie peut devenir plus dure pour les cybercriminels :
www.internet-signalement.gouv.fr

Un livre collectif 113 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES RISQUES DE


CYBERGUERRE SUR LES INFRASTRUCTURES VITALES

Franck Franchin, FRANCE TELECOM

MYTHE N 1 :
LES SYSTEMES CRITIQUES SONT PROTEGES DES ATTAQUES GRACE A LEUR REDONDANCE
Dans de nombreux secteurs dactivit industrielle, 2 ou 3 fournisseurs se partagent dsormais
le march des systmes de supervision, de commande et de contrle (les fameux SCADA),
sous forme dun duopole ou dun oligopole. Cela entraine que la redondance des systmes
caractre critique est souvent assure par le mme logiciel ou le mme matriel, simplement
dupliqus, afin de permettre une redondance froid ou chaud.
Que se passe-t-il donc si un systme est attaqu ? On peut scnariser une attaque en cinq
phases :
Phase prparatoire de reconnaissance, infiltration et renseignement ouverture des
accs ncessaires lattaque
Phase dattaque
Dcouverte de lattaque par la victime
Mesure de dfense
Forensique et post-mortem
Lorsque lattaque est dcouverte, la victime peut adopter plusieurs stratgies : arrter
totalement le systme et/ou le processus concern ou basculer sur le systme de secours.
Grande question : est-ce que le systme de secours a t compromis ?
Dans un avion, les commandes de vols vitales sont doubles, via des technologies
diffrentes : cbles lectriques, fibres optiques, circuits hydrauliques et passent par des
chemins physiques diffrents. Il existe aussi des modes dgrads lorsque la redondance des
systmes est trop complexe ou trop couteuse implmenter.
Avec un systme informatique, comment sassurer dune vraie redondance quand le systme
dexploitation est du mme fournisseur, voire de la mme version, sans mme parler du
mme logiciel mtier. Comment tre sr que le systme de secours est vraiment
isofonctionnel (et donc mis jour comme le systme en production) ?
Si on prend comme rfrence la fameuse affaire Stuxnet, la prconisation de Siemens une
fois lattaque connue fut... de ne surtout toucher rien et surtout de ne pas changer le mot
de passe qui tait cod en dur dans les programmes ! Le remde risquait dtre plus grave que
la maladie. Rappelons quon parle pourtant de systmes plusieurs millions deuros qui
rgulent et pilotent des centrales nuclaires, des usines chimiques et autres activits risque.
Il y a donc redondance et redondance. Quand on implmente la redondance de deux baies
de disques durs amenes stocker des donnes trs sensibles, on utilise des processus
logiques et physiques de redondance froid et chaud (les fameux disques durs hot plug ou
les modes de stockage de type RAID) mais on sassure aussi que les disques durs eux-mmes
ne proviennent pas du mme fabricant pour chaque baie. Et si ce nest pas possible, on
prend des lots fabriqus des dates diffrentes pour ne pas risquer un mme dfaut de
fabrication.

Un livre collectif 114 / 296


Mythes et lgendes des TIC

Il est beaucoup plus difficile dappliquer cette saine philosophie dans le monde informatique
des logiciels.
Un exemple trs simple : imaginez que vous soyez journaliste, que votre outil critique soit
votre traitement de texte et que vos missions ncessitent une disponibilit de votre outil
100%. La solution pour saffranchir des failles ou des attaques informatiques consisterait
avoir un ordinateur PC sous Windows et un autre ordinateur Apple sous MacOS. Au niveau
logiciel, vous pourriez avoir un OpenOffice dun ct et un Microsoft Word de lautre. Cela
fonctionnerait trs bien tant que le journal pour lequel vous travaillez nait pas choisi
dimplmenter des macros spcifiques Word qui nexistent pas sous OpenOffice. La solution
serait alors dtre iso-outil et davoir Word sur les deux machines. Sauf que Word sous
Windows et Word sous MacOS ne sont pas totalement iso-fontionnels, voire compatibles
(selon lditeur, cela serait corrig dans la version 2012). La seule solution dfinitive serait
alors davoir deux ordinateurs PC avec Word sous Windows, lun sous Windows Seven,
lautre sous Windows XP, par exemple. En esprant que les macros se comportent
exactement de la mme manire sous les deux systmes exploitation.
Hlas, le choix est encore plus limit pour les systmes de supervision, de commande et de
contrle en milieu industriel de type SCADA. La solution retenue pour la redondance est
donc trs souvent une copie synchronise du systme en production, avec bascule des
donnes, voire des donnes de session. La meilleure faon davoir deux systmes aux
vulnrabilits strictement identiques.
Cela signifie que la meilleure redondance reste souvent la dcision et larbitrage humain.
Encore faut-il que lattaque ait t dcele temps. Dans lexemple prcdent de Stuxnet,
lattaque modifiait certains paramtres bien particuliers de processus industriels trs
complexes. Seules les victimes savent aujourdhui rellement le temps qua dur lattaque
avant quelles ne sen soient aperu. Certaines centrifugeuses iraniennes ont eu des baisses de
rendement inexpliques bien avant quon voque du bout des lvres lventualit de
Stuxnet

MYTHE N 2 :
INTERNET EST UNE INFRASTRUCTURE CRITIQUE PRIMORDIALE
Lorsquon se demande si lInternet est une infrastructure critique primordiale, la grande
question se poser est sans aucun doute : peut-on vivre sans ?
Bien videmment, lInternet a pris une si grande importance dans nos vies professionnelles
ou personnelles quotidiennes, quil est difficile dimaginer devoir ou pouvoir sen passer.
Tout comme il semble impensable quune conomie ou quun tat puisse fonctionner sans
lui.
Dailleurs, lHistoire rcente des conflits politiques ou militaires entre certains pays de
lancien Bloc de lEst nous rappelle que lattaque des rseaux et des services de
communication fait bien partie de la doctrine militaire et des actions de dsorganisation
propres la prparation de toute vellit plus ou moins belliqueuse.
Toutefois, une simple taxinomie des services vraiment vitaux au fonctionnement dun tat,
cest dire sa capacit assurer ses fonctions rgaliennes, nous oblige ngliger quelque
peu le grand Internet. Rappelons ici quelles sont les grandes fonctions rgaliennes dune
dmocratie :
Frapper la monnaie (et grer et protger la devise du pays)
Dfinir le droit et rendre la justice

Un livre collectif 115 / 296


Mythes et lgendes des TIC

Assurer la scurit du territoire et des citoyens


Au niveau du citoyen, de ltre humain, les besoins rellement vitaux sont :
Salimenter (eau et nourriture)
Accder aux soins ncessaires (mdecine gnrale, petite et grosse chirurgie,
mdicaments)
Disposer dun hbergement convenable (chauffage, lieux daisance)
Le lecteur notera dailleurs quune certaine partie de lHumanit na pas la chance de se poser
ces questions car elle ne dispose pas, sur une base quotidienne, de ce niveau de base que
nous considrons comme vital
La question est donc de savoir dans les six points prcdents quels seraient les impacts dune
indisponibilit d'Internet, que ce soit suite des attaques physiques ou logiques ou que ce
soit par dfaillance du rseau nergtique.
En terme de scurit des personnes et des biens, les services de ltat (police, gendarmerie,
pompiers, armes) disposent des moyens de communication ncessaires, mme si certains
services ont succomb aux charmes de la VoIP. Habitus aux situations de crise, ils savent
mettre en place des rseaux de secours si ncessaire. Le risque rsiderait ventuellement sur
les incompatibilits de certains rseaux entre eux.
En terme de distribution de llectricit et de leau courante, certains systmes de supervision
et de contrle sont connects via lInternet. Cela peut donc poser problme. Toutefois, les
fonctions critiques peuvent tre assures soient de manire autonome, soient travers des
rseaux quon peut qualifier de privatifs.
En terme de distribution deau potable et de nourriture, il est vrai que les changes
commerciaux et logistiques sont dsormais bass sur des procdures automatises de type
EDI/XML et que la plupart des rseaux de ngoce passent par lInternet, sous VPN ou non.
Toutefois, il serait assez facile de passer en mode dgrad, partir du moment o les parties
prenantes disposeraient des moyens de communication adquats et que les carburants,
ncessaires au transport routier, ne viendraient pas manquer. Ces contraintes sont assez
bien identifies et prises en compte dans la plupart des plans de crises tatiques.
Restent les services de sant au sens large. Leur criticit et leurs vulnrabilits sont trs
variables. Toutefois, partir du moment o laccs lnergie (chauffage et lectricit) est
maintenu et que les communications durgence sont assures, les prestations durgence
peuvent tre maintenues dans leur trs grande majorit, de manire indpendant d'Internet.
Au risque de surprendre, le seul impact rellement majeur me semble tre celui pouvant
toucher la distribution dargent liquide et le paiement par carte. Il convient de ne pas
minimiser cet aspect qui pourrait tre risque de grand dsordre, voire de panique, pour les
populations civiles. La plupart dentre nous, dans nombre de pays occidentaux, ont
lhabitude de ne pas avoir plus de 100 euros dargent liquide sur eux, ce qui serait insuffisant
en cas de crise impactant le rseau bancaire pendant plus dune semaine.
Pour conclure, mon propos nest pas de minorer les impacts graves et vidents quaurait une
dfaillance d'Internet sur notre conomie mais de la relativiser sur notre vie quotidienne. Il
ne sagirait pas dune crise humaine grande chelle. Une grve des transports routiers ou
une grve du raffinage de carburant serait bien plus grave et coteuse.

Un livre collectif 116 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
NOUS AURONS UN PEARL-HABOR DIGITAL DANS LES DIX PROCHAINES ANNEES
Cette phrase est extraite dune audition dexpert devant le Snat amricain en 1998. Dj en
1993, John Arquilla et David Ronfeld faisaient trembler les Etats-Unis en annonant la
cyberguerre prochaine.
Que sest-il pass depuis ? Des vnements bien plus graves quun Pearl Harbor numrique:
laffaire Madoff, la crise des surprimes, le dpt de bilan virtuel des PIGs, la Core du Nord
qui joue avec le feu. Quen penser ?
Tout dabord, il y a une grande diffrence en terme de doctrines et dimpacts entre un Pearl-
Habor numrique et une cyberguerre (voir Mythe N5).
Les ardents dfenseurs de ce mythe ont avanc plusieurs arguments au fil des ans. Dans un
premier temps, il y a 10-15 ans environ, le monde devait redouter quune bande de mchants
gnies de linformatique, ultralibertaires, altermondialistes, pirates ou terroristes, sen prenne
nos infrastructures vitales : transport, hpitaux, centrales nuclaires, trafic arien, etc.
Aujourdhui, ce sont des Etats qui cyber-combattent de manire directe ou indirecte (Russie-
Georgie, Russes-Estonie) ou des Etats contre des entreprises (Chinois/Chine contre
Google).
Le problme est probablement ailleurs. Les Etats-Unis vont dpenser entre 50 et 75 milliards
de dollars pendant la priode 2010-2015 pour leur doctrine de cyberguerre. Une manne
inespre pour les Boeing, Northrop, Lockheed et autre Thals. Des rapports alarmistes
fleurissent dans les diffrents cercles de lobbying europens et amricains, tous financs
directement ou indirectement par des tierces parties qui ont des intrts cette
cyberprogagande.
Nous sommes dans le domaine du fantasme, quelque fois entretenu par des journalistes en
manque dun bon papier. Les rseaux du Pentagone sont attaqus des centaines de fois par
jour et si on en croit Siemens, seule une petite vingtaine de systmes Scada ont t concerns
par Stuxnet et de toute faon sans impact particulier (sic).
A ce jour, le seul Pearl-Harbor rellement numrique fut probablement WikiLeaks. Et tous
les moyens financiers, juridiques, diplomatiques, policiers et militaires des Etats concerns
nont pu y mettre rellement fin, lheure o jcris cette phrase (Dcembre 2010).

MYTHE N 4 :
LE CYBER-TERRORISME EST UNE MENACE IMPORTANTE
Quand on lit la presse ou les documents gouvernementaux dorigine anglo-saxonne, et
particulirement en provenance des Etats-Unis, on frmit la simple allusion de la possible
ventualit dun acte de cyber-terrorisme. A la dfense de nos amis amricains, il y aura
toujours un avant et un aprs 9/11. Il est difficile pour nous europens de comprendre
vraiment quel point cette tragdie les a touchs au plus profond de leurs mes et de leurs
certitudes. Il convient donc de comprendre que leurs ractions tatiques, qui nous paraissent
parfois endmiques ou disproportionnes, sont tout fait normales, et lgitimes, dans leur
esprit.
Cela tant dit et reconnu, quel est le risque rel dune menace cyber-terroriste ? Au risque de
surprendre, je dirais pratiquement aucun. Non pas que je souhaite minimiser ce risque ou
cette menace, mais simplement parce que je suis convaincu que les-dits terroristes disposent

Un livre collectif 117 / 296


Mythes et lgendes des TIC

de moyens bien plus efficaces (si le lecteur me permet cette expression) pour arriver leurs
fins.
Le Dr. Dorothy Denning a donn en 2007 la dfinition suivante pour le cyber-terrorisme :
...the convergence of terrorism and cyberspace. It is generally understood to mean unlawful attacks against
computers, networks, and the information stored therein when done to intimidate or coerce a government or its
people in furtherance of political or social objections. Further, to qualify as cyberterrorism, an
attack should result in violence against persons or property, or at the least cause
enough harm to generate fear. Attacks that lead to death or bodily injury, explosions, plane crashes,
water contamination, or severe economic loss would be examples.
La notion de gnration de terreur est trs importante dans la doctrine de la plupart des
terroristes. Je me permettrais de rajouter la dfinition prcdente que lacte terroriste doit
tre en soit un acte de communication, qui marque les esprits, qui permet de faire les gros
titres des mdias pendant plusieurs jours, plusieurs semaines.
La plupart des rseaux terroristes ont deux objectifs principaux :
Dvelopper leur rseau de soutien et assurer le financement de leurs activits
Creuser le foss culturel, politique, motionnel entre leurs partisans (ce que jappelle les
identitaires) et le reste du monde (les oppresseurs et les victimes potentielles...)
On est trs proche de lesprit des sectes.
Dans cet esprit, tout acte terroriste doit rpondre de manire directe ou indirecte ces
objectifs.
Une erreur courante consiste croire que les terroristes sont des gens irrationnels. Bien au
contraire, un terroriste agit en gnral de manire trs pragmatique et trs logique.
Simplement, cest sa logique propre que nous avons du mal comprendre, en particulier car
nous refusons son mode de pense. Un terroriste pense toujours que son action est lgitime
par rapport son rfrentiel de pense et/ou de croyance. Il na pas justifier ses crimes car
il ne se considre pas comme un criminel. Selon ses propres rfrentiels, cest lui qui est la
victime, le martyr, le hros.
Les organisations terroristes sont de grands utilisateurs du cyberespace. Tout dabord, ils ont
rapidement pris conscience de lnorme capacit d'Internet, de cet espace de libert de
pense et dexpression, comme outil de propagande, de recrutement et de financement
(directement ou indirectement via la cybercriminalit). On a pu dcouvrir dans certaines
affaires que ces organisations matrisaient parfaitement les outils et les mthodes
danonymisation, doffuscation, de dni de service distribu (DDoS) et de chiffrement. On
sait aussi que les plus importantes dentre elles ont mis en place depuis plusieurs annes des
cellules spcialises, limage de nos armes.
Ces organisations ont donc tout fait les capacits techniques, financires et logistiques pour
mener avec succs des actions et des attaques dans le cyber-espace. Quand on voit quune
poigne de script-kiddies, dfenseurs des ides libertaires de WikiLeaks, ont pu mettre mal
pendant des heures des sites bancaires comme PostFinance.ch ou Paypal, on peut aisment
imaginer ce que des terroristes dtermins pourraient faire pour nuire des intrts vitaux
des Etats cibles. Et pourtant, aucune attaque cyber-terroriste importante na t rvle ce
jour.
Joserais plusieurs explications possibles.
Tout dabord, en reprenant la dfinition ci-dessus, quels seraient les points demploi dun
acte cyber-terroriste qui concernerait les infrastructures vitales et qui serait gnrateur

Un livre collectif 118 / 296


Mythes et lgendes des TIC

dextrme violence et/ou dextrme terreur. Quelques exemples viennent immdiatement


lesprit : hacking dun rseau de distribution deau, dune centrale nuclaire, dun rseau de
contrle ferroviaire. Mon sentiment est que le rsultat serait bien faible par rapport aux
moyens engags grce aux contrles, aux rgulations et au facteur humain qui, pour une fois,
serait notre avantage. Si on veut sattaquer un rseau deau, il est bien plus facile
dintroduire des produits nocifs en aval des systmes de capteurs, danalyse et de
protectionSi on veut mettre en danger une centrale nuclaire, il est bien plus facile de le
faire de lintrieur, voire de lattaquer avec un commando suicide. Les rcentes attaques de
bases ultra-scurises en Afghanistan en donnent un triste exemple. Bref, le cot
dopportunit serait disproportionn par rapport dautres attaques possibles.
Ce nest clairement pas un objectif prioritaire actuel des organisations terroristes alors
quelles disposent darmes de martyrs prts se faire sauter pour leur cause (je refuse
dutiliser le terme de Kamikaze par respect vis vis de ces hros japonais).
Toutefois, mon analyse des doctrines terroristes actuelles me conduit suggrer un risque
diffrent : celui dune attaque cyber-terroriste de nos infrastructures vitales comme partie
dun plan daction coordonn plus global. Par exemple :
Pour fixer les organisations gouvernementales
Pour dsorganiser lEtat et les populations
Pour amplifier lacte terroriste physique principal.
Ce livre na cependant point le propos de dfinir ni de proposer des scnarios dattaques
terroristes et cest pourquoi je nirai pas plus loin dans les dtails.
Gageons que les plus hautes autorits sont conscientes de ces risques et que des scnarios,
des exercices et des plans de crise sont dj oprationnels.

MYTHE N 5 :
LA GUERRE DE TROIE NAURA PAS LIEU
Au contraire des raisonnements prsents dans les 4 mythes prcdents, je serai hlas bien
moins optimiste pour ce Mythe N5.
Toutes les armes et les gouvernements du monde se prparent depuis presque 10 ans la
guerre cyberntique. La question nest pas de savoir dsormais pourquoi ou comment mais
quand.
Rcemment, dbut 2010, Mike McConnell, ancien directeur de la NSA, avanait mme que
les Etats-Unis taient en train de perdre cette fameuse cyberguerre.
Dailleurs, smantiquement parlant, cette Guerre de Troie numrique a dj eu lieu. Quand le
Hezbollah a pirat les flux vidos des drones israliens, ou quand des russes ont attaqu les
rseaux bancaires et media de lEstonie, ctaient des actes de cyberguerre ou de
cyberguerilla. Sans parler du dtournement du trafic de lInternet mondial pendant 18
minutes via la Chine, suite une erreur malencontreuse de China Telecom.
Il est intressant de noter quen matire de cyberguerre, certains pays ont mis en place des
units oprationnelles offensives avant mme de parler leur propre politique de dfense.
Pour les experts en scurit, ce qui fait froid dans le dos, ce nest pas tant la dbauche de
moyens militaires ou privs qui semblent se prparer au pire, mais plutt les discours de
certains politiques qui clament haut et fort que leurs pays sont bien protgs et labri de
toute cyberattaque.

Un livre collectif 119 / 296


Mythes et lgendes des TIC

Il est bien connu que la meilleure faon de minimiser ses faiblesses, cest de les clamer haut
et fort publiquement en les considrant comme des forces !

Un livre collectif 120 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES VULNERABILITES


LOGICIELLES

Nicolas Ruff, EADS Innovation Works

MYTHE N 1 :
TROUVER DES VULNERABILITES , C'EST COMPLIQUE (RESERVE AUX EXPERTS)
Dans le domaine des failles de scurit, il y a bien deux comptences disjointes (souvent
dtenues par des personnes diffrentes d'ailleurs): la dcouverte des failles, et la
transformation des failles en attaques (appele exploitation ou simplement exploit dans le
jargon).
Si la deuxime comptence reste et restera rserve aux experts techniques, il est au contraire
la porte de n'importe qui de dcouvrir des failles.
Vous avez reu un document endommag qui fait "planter" Word ? Vous avez peut-tre
entre les mains une bombe !
Vous avez rempli un formulaire en ligne et le serveur vous a retourn un message
incomprhensible car vous avez un guillemet simple (') dans votre nom de famille ou dans
votre mot de passe ? Vous avez peut-tre trouv un moyen de compromettre distance le
serveur !
En pratique, quiconque a pratiqu l'audit de scurit pendant quelques annes a forcment
dcouvert des vulnrabilits dans des dizaines de logiciels pourtant largement utiliss. Il y a
un foss entre le sentiment de scurit des utilisateurs (souvent bats devant la technologie),
et la scurit effective de leurs applications.

COROLAIRE: UN LOGICIEL QUI N'A AUCUNE VULNERABILITE CONNUE EST "SUR"


Archifaux ! Un logiciel qui n'a aucune vulnrabilit connue n'a jamais t audit srieusement
et/ou son diteur n'a pas de processus srieux de gestion des vulnrabilits (ce qui inclut
correction et communication).

MYTHE N 2 :
MAINTENANT QUE LA SECURITE EST DEVENUE UN ENJEU IMPORTANT POUR LES
EDITEURS, LE NOMBRE DE VULNERABILITES VA DIMINUER

Il est certain que la scurit informatique n'a jamais bnfici d'autant de couverture
mdiatique (n'allons pas jusqu' dire de moyens :). Pourtant le nombre de nouvelles
vulnrabilits ne baisse pas - il a mme plutt tendance augmenter !
La raison ? C'est que la plupart des "gros" logiciels que nous utilisons actuellement a t
dveloppe il y a fort longtemps, dans un monde trs diffrent du ntre. Un monde o les
quelques personnes interconnectes l'taient via RNIS, et o la principale menace tait la
disquette. Pour des raisons de cot et de compatibilit, ces logiciels ne sont pas prts d'tre
rcrits.
Et en ce qui concerne les nouveaux logiciels qui sont dvelopps actuellement ? Ils le sont
par des stagiaires ou des sous-traitants offshore, qui reproduisent exactement les mmes
erreurs qu'il y a 30 ans !

Un livre collectif 121 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
TOUT LE MONDE EST TRES CONCERNE PAR LA DECOUVERTE DE VULNERABILITES
CRITIQUES

On pourrait penser que la dcouverte d'une vulnrabilit critique dans un logiciel est un
vnement srieux qui va impliquer toutes les parties prenantes.
Pourtant l'utilisateur (ou le client, s'il ne s'agit pas d'un logiciel gratuit) ne peut pour ainsi dire
rien faire : il doit attendre le correctif de l'diteur.
L'diteur quant lui dispose de ressources et de connaissances en scurit limites (c'est pour
cela que ses produits sont vulnrables ;). Il va donc au choix : minimiser la porte de la
dcouverte, intgrer le correctif dans une future maintenance, ou proposer un correctif
spcifique (parfois payant) au client.
Quant aux autres utilisateurs du logiciel, ils sont rarement prvenus : les diteurs n'aiment pas
trop qu'on parle de leurs failles sur la place publique.
Et ceci dans le meilleur des cas, car parfois l'auditeur (ou son client) sont poursuivis en
justice par l'diteur du logiciel pour violation de licence !

MYTHE N 4 :
CORRIGER LES VULNERABILITES AMELIORE LA SECURITE DES SYSTEMES

Cela pourrait tre vrai dans un monde o tous les systmes sont mis jour en temps rel.
Malheureusement la plupart des systmes du monde "rel" sont mis jour entre 24h et
jamais !
Ceci est particulirement vrai dans le domaine des systmes embarqus (sans parler de
SCADA). On peut considrer par exemple que l'norme majorit des tlphones portables
n'est pas mise jour aprs sa commercialisation. Un tlphone sous Android restera donc
vulnrable toute faille affectant le noyau Linux et/ou le navigateur Chrome aprs sa sortie.
A contrario, il faut souvent moins de 24h un attaquant motiv pour produire une attaque
partir d'un correctif de scurit. Sans parler de l'auteur initial de la dcouverte, qui est libre de
l'exploiter loisir tant que le correctif n'est pas disponible, ce qui prend parfois des annes !
Ce problme a dj t retourn dans tous les sens - et il n'admet pas de solution satisfaisante
pour toutes les parties. Il est impossible de ne pas mettre au courant les clients des failles
sans en informer galement les pirates.

MYTHE N 5 :
IL EXISTERA UN JOUR DES LOGICIELS GRAND PUBLIC INVULNERABLES
Est-ce que nos enfants (ou nos petits-enfants) pourront utiliser un jour un "systme de
traitement automatis de donnes" (quel qu'il soit) en toute fiabilit ? Probablement pas.
D'ailleurs c'est plutt l'inverse qui est en train de se produire: aujourd'hui, la "panne
informatique" est invoque pour justifier peu prs toutes les erreurs et tous les
dysfonctionnements.
La rduction des cots outrance, la dqualification des mtiers techniques comme
l'ingnierie logicielle, la course l'immdiatet (et la culture du "patch" qui l'accompagne) ont
tendance diminuer la qualit de la production logicielle.
A titre anecdotique, on peut citer l'exemple des jeux vido dont la version vendue en
magasin est non fonctionnelle - les diteurs ayant mis profit le temps de pressage et de

Un livre collectif 122 / 296


Mythes et lgendes des TIC

distribution des CD-ROM pour finir le dveloppement du logiciel, et fournir le tout sous
forme d'un patch tlcharger.
Sans parler videmment des vulnrabilits qui sont introduites volontairement par l'diteur
(aussi appeles backdoors), souvent dans le but de faciliter le support client Vous avez
oubli votre mot de passe de 30 caractres ? Pas de problme, le technicien saura vous
dpanner !
On peut donc conclure sur une note positive en affirmant que la recherche de vulnrabilits
logicielles a de beaux jours devant elle !

Un livre collectif 123 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES VERS, VIRUS ET TROJANS

David Grout, McAfee

MYTHE N 1 :
LES EDITEURS D'ANTIVIRUS ECRIVENT EUX-MEMES LES CODES MALVEILLANTS:
Ds que je suis arriv dans ce domaine en 2003 ce fut la premire remarque de lun de mes
clients Mais cest vous qui gnrez tous ces codes pour vous mettre en valeur travers
vos protections et nous vendre vos solutions . Vaste question, que dinterrogations, serait-ce
possible ? Une investigation devenait alors ncessaire. Aprs quelques recherches sur
l'Internet je me rendis compte que les vers les plus rpandus de cette poque ltaient en fait
travers des codes gnrs par des scripts Kiddies (nous en reparlerons dans un prochain
mythe). 7 annes plus tard en 2010 lensemble de mes interrogations sur le sujet est lev et
sans ambiguts, en effet les laboratoires dun diteur de scurit reoivent en moyenne 1000
nouveaux codes malveillants par heure.
On comprend aisment deux choses, les diteurs de scurit nont pas besoin de se faire de
la publicit, le mal est rel, et de plus le volume est si considrable que les entreprises
daujourdhui nauraient mme pas la capacit humaine de gnrer tous ces codes.
Pour conclure, il est sur quaujourdhui lcriture de codes de malveillants nest pas fait par
les diteurs de scurit, ils ont dj un travail herculen les contrecarrer.

MYTHE N 2 :
LES CODES MALVEILLANTS SONT ENFANTINS A GENERER :
Cette phrase est la citation prfre de tous les geeks en laboration de codes malveillants,
autrefois appels les scripts kiddies terme qui tait au dpart plutt pjoratif dans la
communaut mais que jemploierai plus pour englober les personnes et les utilitaires
permettant nimporte quelle personne de gnrer par lui-mme un code malveillant.
Malheureusement nous sommes passs depuis quelques annes dans une autre dimension de
la scurit et de la malveillance, car aujourdhui largent est le vecteur premier de
reconnaissance. Finie lpoque ou lon souhaitait juste dfigurer un site Internet et y mettre
son nom pour, comme disent les enfants, montrer que lon est cap de le faire .
Aujourdhui mme si ce type dattaque existe toujours, il est aisment contr par des
dispositifs de scurit de base comme les antivirus, firewall.
Depuis quelques annes la gnration de codes malveillants se complexifie et est le fruit
dquipes compltes de personnes prsentant des comptences multiples et trs pointues
dans diffrents domaines. Il existe mme ce jour des entreprises ddies lcriture de
codes malveillants (avec un SAV oui oui !!!), nous sommes passs de la reconnaissance dun
nom la reconnaissance financire.
Les dernires attaques en dates appeles aussi APT (Advanced Persistent Threats) telles que
Aurora ; Stuxnet le dmontrent. Le code malveillant est devenu aujourdhui une chose
extrmement complexe motive par le plus vieux moteur du monde : lArgent. Il ne faut pas
oublier aussi lutilisation de cette menace, ou de cette arme quest le code malveillant un
niveau tatique. Aujourdhui la dmobilisation dun pays par un malware serait-elle possible :
Die Hard 4 est-il si loin de nous ?.

Un livre collectif 124 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
C'EST SUR LES PC SOUS WINDOWS QUE LES VIRUS ATTAQUENT

Un mythe qui nous tient, je dirais mme qui nous colle Et oui les virus attaquent
Windows mais pas seulement. Le concept aujourdhui dune attaque malware est de gagner
de largent, alors pourquoi Windows ? Tout simplement parce que la part de march de cet
OS est la plus consquente donc potentiellement les cibles offertes par Windows sont les
plus nombreuses.
Mais aujourdhui avec lvolution et louverture des plateformes on voit des virus sur MAC,
sur Linux et encore plus aujourdhui sur IOS (Apple OS). Une chose est sre : la seule
motivation et le seul vecteur est largent, alors plus un OS est utilis par des populations
sensibles en entreprises plus ces OS seront viss. Il y a fort parier que 2011 sera lanne du
mobile et ce dans tous les sens du terme.
Dernier lment qui casse dfinitivement ce mythe, parmi les attaques cibles des fins
financires mais aussi politiques, les malwares visent aussi des OS inconnu du grand public :
SCADA avec lattaque Stuxnet en est un.
Donc pour conclure, aucun OS nest labri et au vu du peu de couverture que les
entreprises consacrent des environnements non standards comme Linux ou MAC, il est
sr que si j'tais un hacker, mon choix de cible primaire serait vite fait

MYTHE N 4 :
UNE MISE A JOUR DE LA BASE ANTIVIRALE PAR SEMAINE ET JE SUIS TRANQUILLE
Commenons par quelques chiffres : En 2003 lditeur pour lequel je travaille annonait que
nous franchissions la barre mythique des 200 000 souches virales couvertes par les signatures
antivirales. Aujourdhui ce chiffre est atteint tous les 4 jours Oui, oui vous lisez bien,
aujourdhui une base de signatures couvre 42 millions de souches et augmente en moyenne
de 50 000 chantillons par jour.
Alors oui, on peut se mettre jour toute les semaines le risque nest que de 350 000
infections potentielles. Aujourdhui il est clair que le niveau de mise jour se doit dtre
continu. Cependant les diteurs sont confronts une problmatique que nont pas les
hackers, le risque de "faux positif". En effet, un faux positif, ou une dtection errone dun
fichier sain, peut avoir des consquences dsastreuses, cest pour cela que les firmes antivirus
sont contraintes des tests de qualifications et qualits multiples avant la publication de leurs
signatures.
La solution aujourdhui est complexe mais le march va vers la scurit travers des
signatures pour une base valide et teste laquelle sajoute une approche In the Cloud
ou en temps rel en cas de suspicion forte sur un fichier, mme si celui-ci nest pas dtect
par la signature classique. Mais il faut retenir que mme si ce type de protection tend vers
une couverture complte, elle ne reste nanmoins quune protection ractive. Lavenir de la
protection se situe aujourdhui dans la pro activit et surtout la prdictibilit, un norme
challenge
En attendant mettez vous jour antivirale le plus souvent possible, voici un mythe qui nen
nest pas un !

Un livre collectif 125 / 296


Mythes et lgendes des TIC

MYTHE N 5 :
IL NE SE PASSE RIEN DE SPECIAL SUR MA MACHINE CEST DONC QUE TOUT VA BIEN
Une veille croyance du monde de linformatique est que si rien ne se passe dtrange cest
que tout va bien Je dirais que cela nest pas faux dans 95% des cas, mais que se passe til
dans les 5% restant ?
Vous allez vous dire, mais il est parano celui l ? Il voit des malwares partout ! Vous navez
pas tort, mais aujourdhui il existe une catgorie de malware encore mal perue par les
utilisateurs, les Trojans (ou chevaux de Troie) qui veulent rcuprer de largent de manire
silencieuse.
Le concept nest plus comme dans le cas de virus massif, de faire tomber une machine (ex :
conficker) ou de crer un rseau de robots qui ciblera des sites web pour les faire tomber,
mais un concept vraiment diffrent. Lide globale est pour lassaillant de venir sinviter sur le
poste de sa cible sans que celle-ci sen aperoive, travers lutilisation de rootkits par
exemple.
Ensuite le jeu est de faire voluer son code de manire sensible afin de ne jamais alerter les
outils de protections locaux, puis une fois le virus install et actif , douvrir une porte entre la
machine attaque et lInternet (Backdoor). Lorsque ces tapes sont ralises alors lassaillant
commence lancer des commandes et rcuprer de linformation : captures dcran,
fichiers sensibles et ceci en petits morceaux afin de ne jamais veiller le doute
Si vous venez de lancer votre gestionnaire de tches, votre "regedit" et que vous recherchez
des traces cest que vous aussi vous tes devenu paranoaque
Mais si il ne se passe rien sur votre machine, alors peut-tre quil ne se passe rellement rien
?

Un livre collectif 126 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU CHIFFREMENT

Grard Peliks, CASSIDIAN


an EADS Company

Celui qui vous dites votre secret devient matre de votre libert
La Rochefoucault - 1650

QUELQUES MOTS A MAITRISER QUAND ON PARLE DE CRYPTOLOGIE


La cryptologie, science des messages cachs, se divise en deux disciplines antagonistes, la
cryptographie et la cryptanalyse.
La cryptographie est l'art de transformer un message en clair, en un message
incomprhensible. Pour cela le message en clair est trait par un algorithme (un programme)
et une cl de chiffrement (un ensemble de bits). La cryptographie est aussi l'art, connaissant
l'algorithme et une cl, de retrouver le message en clair partir du message cach. On parle
de "chiffrer" et de "dchiffrer" le message. C'est le chiffre de dfense : on cache
l'information sauf celui qui est en droit d'en prendre connaissance.
Mais si on connait le message chiffr sans connaitre la cl pour dchiffrer le message, il est
parfois, par calcul, quand mme possible d'obtenir le message en clair. C'est la cryptanalyse.
On parle alors de "dcrypter" le message chiffr. C'est le chiffre d'attaque : on essaie de
rcuprer un message chiffr alors qu'on n'en est pas le destinataire.
Ceci tant pos, que signifie "crypter" un message ? Cela ne signifie rien et le mot crypter est
bannir du vocabulaire de la cryptologie.
La cryptologie l're numrique est un combat entre les cryptographes qui laborent des
algorithmes toujours plus difficilement cassables, et qui se basent sur des cls toujours plus
longues, et les cryptanalystes qui laborent des mthodes toujours plus efficaces pour
retrouver le message en clair sans utiliser la cl.
Par exemple, l'aire pr-numrique, Scherbius qui avait conu la premire machine Enigma
dans les annes 1920 tait un cryptographe. Les Anglais du Bletchley Parc, durant la seconde
guerre mondiale, qui dcryptaient les messages, que les Allemands chiffraient avec cette
machine, taient des cryptanalystes.

MYTHE N1 :
LE SECRET DU CHIFFREMENT EST DANS L'ALGORITHME
Non, contrairement ce qu'on pense gnralement, le programme de traitement
(l'algorithme) qui transforme, en utilisant une cl de chiffrement, un fichier en clair en un
fichier chiffr, n'est ni confidentiel dfense, ni mme un secret industriel, tout du moins dans
un contexte o ce principe a t compris.
Le secret rside dans une cl qui sert chiffrer un fichier, cas de la signature lectronique ou
du chiffrement symtrique, ou dchiffrer ce fichier, cas du chiffrement asymtrique.
Kerckhoffs, la fin du 19eme sicle avait dj nonc ce principe : "le secret du chiffrement
ne doit rsider que sur le secret de la cl". L'algorithme peut tre public.

Un livre collectif 127 / 296


Mythes et lgendes des TIC

Et mieux, si l'algorithme est un standard comme par exemple l'AES ou le RSA, une
communaut importante d'experts peut essayer de le casser, signale ses failles qui sont alors
corriges, et avec le temps, le code d'implmentation de cet algorithme ne prsente plus de
vulnrabilit vidente, connue.
Si le code d'implmentation de l'algorithme de chiffrement est jalousement gard, alors seuls
ceux qui ont le droit d'en connatre, donc un nombre infime d'experts par rapport ceux qui
composent la communaut sur le net, peuvent corriger d'ventuelles erreurs. De plus, quand
les experts qui connaissent les mandres d'un algorithme confidentiel ne sont plus
disponibles, la connaissance a disparue et la maintenance ne peut plus se faire.
Avec un algorithme public, c'est au niveau de la cl que le secret rside. L'algorithme utilise
diverses parties de la cl pour effectuer les transformations qui aboutissent au chiffrement ou
au dchiffrement du message. Sans la connaissance de la cl, il est difficile de savoir
comment se comporte l'algorithme, donc il est difficile, partir du message chiffr, de
reconstituer le message en clair.
Il existe nanmoins des chiffrements qui reposent sur le secret de l'algorithme. Mais ni
Kerckhoffs, ni les cryptologues d'aujourd'hui ne trouvent que c'est une bonne ide et
conseillent d'utiliser plutt les algorithmes standards et prouvs, et de plus soutenus par la
communaut du chiffre.

MYTHE N 2 :
ON CHIFFRE AVEC SA CLE PRIVEE
Mythe ou ralit, cela dpend.
Pour comprendre ce qui suit et pourquoi le chiffrement qui utilise une cl prive est un
mythe, cela ncessite des explications sur les deux mthodes de chiffrement. Le chiffrement
symtrique et le chiffrement asymtrique.
Dans le chiffrement symtrique, on chiffre une information en utilisant une cl et un
algorithme de chiffrement symtrique tels que le 3DES ou l'AES. On dchiffre avec le mme
algorithme et la mme cl. La cl de chiffrement, dite "cl secrte", est la mme que la cl de
dchiffrement, c'est pourquoi ce type de chiffrement est dit symtrique. En utilisant la mme
cl, un coup on chiffre, un coup on dchiffre.
Mais un problme se pose. Celui qui chiffre gnre la cl de chiffrement symtrique (la cl
secrte), mais comment celui qui va dchiffrer, si ce n'est pas la mme personne que celui qui
a chiffr, va-t-il entrer en possession de cette cl, qui doit bien sr rester secrte pendant le
transfert ? L'autre gros problme est la multiplication des cls secrtes si on se met chiffrer
et dchiffrer entre un nombre lev de destinataires. Le chiffrement symtrique est pratique
et de plus trs rapide, mais suite la difficult de transmettre la cl et suite la multiplication
des cls qu'il impose, il est difficilement utilisable en l'tat.
Le chiffrement asymtrique met en jeu deux cls mathmatiquement lies. Une cl prive qui
est un secret et une cl publique dont tout le monde peut prendre connaissance. Quand on
chiffre avec un algorithme de chiffrement asymtrique comme le RSA, et avec une des deux
cls, on dchiffre avec le mme algorithme et avec l'autre cl. Dernier postulat : connaissant
la cl publique, il est videmment trs difficile de retrouver la cl prive correspondante.
Vous conservez votre cl prive, de manire idale sur un token USB ou une carte puce
protge par un code PIN, et vous donnez tous ceux qui en ont besoin votre cl publique
correspondante, ou alors vous dites o aller la chercher.

Un livre collectif 128 / 296


Mythes et lgendes des TIC

Avec quoi chiffrez-vous votre information pour la garder confidentielle ? Avec votre cl
prive ? Non bien sr, rflchissez. Si vous chiffrez avec votre cl prive, tous ceux qui ont
votre cl publique pourront dchiffrer votre information, donc il aura t inutile de la
chiffrer et la confidentialit espre ne sera qu'illusoire.
Mais tout de mme, une signature RSA est le chiffrement par la cl prive d'une information.
Ici le but n'est pas la confidentialit, mais l'authentification: tout porteur de la cl publique
doit pouvoir dchiffrer cette information pour l'authentifier comme venant du porteur,
unique, de la cl prive.

MYTHE N 3 :
ON CHIFFRE AVEC UNE CLE PUBLIQUE
Nous avons vu que ce n'est pas avec votre cl prive que vous chiffrez votre information,
sinon tout le monde pourrait la dchiffrer.
Alors si ce n'est pas avec votre cl prive, c'est forcment avec l'autre cl, votre cl publique ?
Et bien non ! Si vous chiffriez avec votre cl publique, comme personne d'autre que vous
n'est cens possder votre cl prive, pour dchiffrer, moins que vous chiffrez vos
informations pour, seulement vous-mme les dchiffrer, ce ne peut tre avec votre cl
publique. Alors si ce n'est avec votre cl publique, ce pourrait tre avec la cl publique de
celui qui vous voulez envoyer votre information chiffre ?
En effet, comme vous trouvez cette cl publique dans le certificat de celui qui vous voulez
envoyer l'information chiffre, et comme ce certificat est sign par une autorit de confiance,
vous tes sr que c'est vraiment la cl publique de votre correspondant, car lui seul possde
la cl prive correspondante avec laquelle il va dchiffrer l'information que vous avez
chiffre. Donc tout va bien et c'est comme a qu'il faut faire ?
Et bien non !
Le chiffrement asymtrique prsente un gros handicap : il est cent mille fois plus lent que le
chiffrement symtrique. Cela est du ses algorithmes qui sont plus complexes. Si dchiffrer
une vido prend 5 minutes en chiffrement symtrique et plusieurs heures en chiffrement
asymtrique, vous aurez vite choisi quel chiffrement vous dsirez utiliser.
Ce n'est donc pas non plus avec la cl publique de votre destinataire que vous allez chiffrer
votre information, mais avec une cl secrte symtrique que vous gnrez. Et cette cl
secrte, vous la chiffrez avec la cl publique de votre destinataire. Vous lui envoyez cette cl
de chiffrement symtrique ainsi chiffre. La cl de chiffrement symtrique reste
confidentielle durant le transfert puisqu'elle ne peut tre dchiffre que par le destinataire qui
seul possde sa cl prive. Avec sa cl prive le destinataire dchiffre la cl secrte, et avec
cette cl secrte, il dchiffre l'information qui avait t chiffre avec cette mme cl secrte,
par chiffrement symtrique.
En rsum, ce n'est pas avec une cl publique qu'on chiffre une information, mais avec une
cl secrte symtrique. La cl publique ne servant ici qu' chiffrer la cl secrte, par
chiffrement asymtrique, et la cl secrte sera ensuite dchiffre par la cl prive du
destinataire.

Un livre collectif 129 / 296


Mythes et lgendes des TIC

MYTHE N 4 :
LE CHIFFREMENT QUANTIQUE, ARME ABSOLUE, DES AUJOURD'HUI
Bas non plus sur des calculs mathmatiques mais sur la physique des particules, le
chiffrement quantique causera une rupture technologique, dans le monde des cryptographes
et des cryptanalystes, c'est dire que leur combat va prendre une dimension nouvelle.
Le calcul quantique permet d'effectuer en parallle une norme quantit d'oprations qui
s'oprait en srie avec les calculateurs classiques. Les ordinateurs vont pouvoir rsoudre
rapidement les problmes quasiment insurmontables avec les moyens conventionnels tels
que la dcomposition d'un grand nombre en facteurs premiers, base du RSA, ou le problme
du logarithme discret, base du chiffrement par courbes elliptiques.
Nous n'entrons pas ici dans les dtails, mais retenez que le cassage de cls par force brute,
c'est--dire la recherche de toutes les combinaisons possibles de cls pour arriver retrouver
un message en clair partir d'un message chiffr, deviendra possible, dans un temps
acceptable.
Mais aujourd'hui les ordinateurs quantiques ont un gros dfaut : ils n'existent pas, sauf dans
les romans de science fiction ou alors titre exprimental, ils en sont leurs premiers
balbutiements dans des laboratoires de recherche.
Les cryptographes ont ainsi encore des annes de tranquillit devant eux. De plus, ils
peuvent utiliser la mcanique quantique, et nous ne parlons plus d'ordinateurs quantiques,
pour changer une cl de chiffrement de manire sre, ce qui tait jusque l le gros problme
rsoudre pour le chiffrement symtrique.
La mcanique quantique dit qu'un photon tourne autour d'un axe qui est orient dans une
direction qu'on peut lui imposer en jouant sur un champ magntique. On connait d'autre
part la probabilit que ce photon traverse ou pas un filtre particules, en fonction de l'angle
que fait ce filtre par rapport l'orientation de l'axe du spin du photon qui essaie de le
traverser.
Et merveille des merveilles, pour un cryptographe, si une tierce personne observe le spin
d'un photon, son orientation est modifie. Celui qui reoit la cl s'aperoit d'une incohrence
avec ce que devait tre l'tat du photon quand celui-ci a t envoy.
Cette proprit est utilise pour changer la cl de chiffrement de manire sre, car si un
espion entre dans la boucle et observe, la cl envoye est invalide et on en essaie une autre.
Le calculateur quantique qui rsout les problmes difficilement traits par les ordinateurs
actuels et qui cassent les cls dont la taille rendait jusqu'ici ce cassage impossible ou trop
coteux en temps et en ressources est encore un mythe qui va durer quelque temps avant de
devenir ralit.
Par contre l'change scuris de cls de chiffrement, qui utilise la mcanique quantique, a ds
aujourd'hui des applications, en particulier dans le domaine des tlcoms.

MYTHE N 5 :
LE CHIFFREMENT SEUL MOYEN D'ASSURER LA CONFIDENTIALITE
Une faon d'assurer la confidentialit d'une information est de la chiffrer. Mais il existe un
autre moyen, plus pernicieux : cacher cette information, dans son contenant. C'est la science
de la stganographie, aussi vieille que la cryptologie, sinon plus.
Avec la stganographie, l'information cacher est en clair (ou chiffre), mais on ne se doute
pas de sa prsence. Un exemple physique simple est l'utilisation de l'encre sympathique qui

Un livre collectif 130 / 296


Mythes et lgendes des TIC

rend invisible un message, sauf quand on chauffe son support. Plus technique, des
micropoints peuvent dissimuler une information en la rendant microscopique.
Autre exemple, dans une vido de vacances, suivant que vous portiez un chapeau de paille
ou un bret basque, a peut signifier quelque chose quelqu'un que vous avez mis au parfum
de la vraie signification de votre couvre-chef, mais pas pour le commun des mortels.
Une application numrique de la stganographie est de jouer sur le dernier bit de chaque
pixel d'une image, pour cacher un message dans l'ensemble de ces bits. L'il ne remarque pas
les modifications de teintes ou de niveaux de gris de l'image, mais avec le programme
appropri, l'image rvle ses messages cachs.
Face un message chiffr, le cryptanalyste pensera que le message dissimule un secret et a
donc de la valeur et il tentera de le dcrypter. L'avantage de la stganographie est que si le
message est simplement invisible dans son support visible, qu'il soit chiffr ou en clair,
personne n'aura l'ide d'aller le chercher sauf son destinataire qui saura que, dans un fichier
anodin, se trouve le message secret.

LES MECANISMES DU CHIFFREMENT


Principe 55 :

Bob chiffre un fichier et l'envoie Alice. Les exemples sur le chiffrement font toujours
intervenir Bob et Alice. Dans la ralit, se sont-ils connus vraiment et changs des
informations chiffres ? Peut-tre est-ce aussi un mythe ?

55
Crdit Pictogrammes Aastra

Un livre collectif 131 / 296


Mythes et lgendes des TIC

Comme l'a dit Albert Einstein il faut rendre les choses complexes aussi simples que
possible mais il ne faut pas les rendre plus simples que possible . Il est sr que la crypto est
complexe, a ce n'est pas un mythe.
Allons y ensemble, je vous guide dans l'utilisation des diverses cls et algorithmes divers qui
interviennent dans l'change d'un fichier chiffr.
Bob demande Alice son certificat. Alice le lui envoie. Bob vrifie le certificat d'Alice, qui est
l'autorit qui l'a sign, ses dates de validit, et s'il l'accepte en tire la cl publique d'Alice, pour
l'utiliser dans un algorithme asymtrique, comme le RSA.
Bob gnre une cl secrte avec laquelle il chiffrera son message confidentiel par un
algorithme de chiffrement symtrique, comme l'AES.
Avec la cl publique d'Alice, Bob chiffre sa cl secrte qu'il vient de gnrer, en utilisant un
chiffrement asymtrique, comme le RSA.
Avec sa cl secrte, Bob chiffre son message, en utilisant un chiffrement symtrique, comme
l'AES.
Bob envoie Alice, le message qui a t chiffr par sa cl secrte et un algorithme symtrique
comme l'AES, et joint sa cl secrte qui a t chiffre par la cl publique d'Alice et un
algorithme asymtrique comme le RSA.
Avec sa cl prive contenue dans son token USB, Alice dchiffre la cl secrte, gnre par
Bob et chiffre avec la cl publique d'Alice.
Et avec cette cl secrte et un algorithme symtrique, comme l'AES, Alice dchiffre le
message envoy par Bob.
La cl secrte intervenant dans le chiffrement symtrique utilise pour chiffrer et dchiffrer
le message secret a ainsi t envoye par Bob Alice en toute scurit.

Un livre collectif 132 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES MATHEMATIQUES DE LA


CRYPTOGRAPHIE

Eric Bourre, CASSIDIAN


an EADS Company

MYTHE N1 :
LES FAILLES CRYPTOLOGIQUES SONT DUES A DES MATHEMATIQUES PAS ASSEZ SOLIDES
Penser que des failles cryptologiques seraient dues des problmes mathmatiques est une
ide fausse.

POUR LA CRYPTOGRAPHIE A CLE SECRETE (SYMETRIQUE) :


Les algorithmes de chiffrement utiliss aujourd'hui sont l'AES ou le 3DES. L'AES n'a pour
l'instant pas t cass et la recherche exhaustive (force brute) demeure la seule solution pour
retrouver la cl de chiffrement.
Les standards sont conus de manire ce que les attaques classiques, comme la cryptanalyse
linaire ou diffrentielle, soient trs difficiles voir impossibles raliser.
Si l'on considre l'attaque par force brute pour trouver la cl secrte comme la seule possible,
il faut essayer toutes les possibilits.
Si la cl utilise est de longueur 256 bits, il faudra essayer 2256 combinaisons (soit environ 1
million de milliard de milliard de milliard de milliard de milliard de milliard de milliard de
milliard de combinaisons), ce qui reprsente un nombre qui dpassera toujours la puissance
de calcul qui peut tre mise en place. Cela quivaudrait pratiquement compter un un tous
les atomes qu'on estime composer l'univers (environ 2270 atomes) ! Cela rend en fait
inconcevable le dchiffrement. Nous verrons toutefois dans le mythe n4 pourquoi ce niveau
de scurit est la plupart du temps interdit.

POUR LA CRYPTOGRAPHIE A CLE PUBLIQUE (ASYMETRIQUE) :


Elle se base sur des fonctions sens unique.
Les fonctions sens uniques sont des fonctions difficilement inversibles moins d'en
connatre la brche, la brche tant la cl prive. C'est dire qu'un message chiffr sera
difficilement dchiffrable si l'on ne connat pas la cl prive, correspondant la cl publique
qui l'a chiffr.
Bien sr le terme "difficilement dchiffrable" s'exprime et se quantifie de faon
mathmatique. En cryptologie, ces problmes 'difficilement dchiffrables" sont de
complexit exponentielle par rapport la taille des cls.
Pour RSA doubler la taille d'une cl ne rend pas le problme 2 fois plus difficile mais plus de
1000 fois plus difficile rsoudre. Il serait possible de choisir des cls assez grandes pour
rendre toute attaque vaine.
Mais alors pourquoi ne choisissons-nous pas des tailles de cls plus grande?
Cela est du au fait que le temps de dchiffrement (ou de signature) augmente plus que
linairement en fonction de la taille de la cl. Ainsi doubler la taille des cls rend le
dchiffrement/ signature entre 6 et 7 fois plus lent, donc 6 7 fois plus coteux !!

Un livre collectif 133 / 296


Mythes et lgendes des TIC

Plus la taille de la cl est grande, plus le cot associ aux oprations cryptographiques sera
grand.
Le tout est donc de trouver un juste milieu entre la scurit ncessaire (qui dpend des
puissances machines existantes) et son cot. Il existe des recommandations lies la taille de
cls pour un algorithme de chiffrement choisi (jusqu'en 2010 : 1024 bits, jusqu'en 2030 :
2048, puis ensuite 3072). Cela est valable, tant que l'on ne trouve pas de meilleur algorithme
de dchiffrement que le RSA.
Pour rsumer, les failles des systmes cryptographiques tiennent donc :
des failles sur les protocoles, ou algorithmes mis en place (ex : le WEP) ;
des donnes, en entre des problmes trop faibles, comme des tailles de cls trop
faibles ;
des langages de programmation, faille systmes ;
des composants physiques ou logiciels qui utilisent des cls (rayonnement des cartes
puce....).
Mais les problmes mathmatiques eux sont solides.

MYTHE N2 :
ON ME DIT QUE L'ALGORITHME RSA SE CASSE DEUX FOIS PLUS FACILEMENT, NOUS
DEVONS ALORS DOUBLER LA TAILLE DES CLEFS

Comme je l'ai indiqu dans le mythe prcdent, la complexit du problme RSA n'est pas
linaire en fonction d'une taille de cl.
Si l'on double la taille de la cl RSA, on rend l'attaque par force brute plus de 1000 fois plus
longue pour aboutir. De faon pratique, si on trouvait un algorithme qui casse RSA deux fois
plus rapidement, il suffirait de choisir des cls avec seulement quelques bits supplmentaires.
L'INRIA en 2009 a russi casser une cl RSA de 768 bits. Pour casser une cl d'environ
1536 bits, l'INRIA aurait besoin d'une puissance de calcul 1000 fois suprieure (sachant que
cet institut possdait dj des supercalculateurs calculant en parallle pour raliser ce
cassage). La croissance de la difficult de cassage de cl augmente beaucoup plus vite que la
taille des cls. Nous pouvons aujourd'hui penser que les cls de taille 2048 bits ont de beaux
jours devant elles.

MYTHE N3 :
LA MONTEE EN PUISSANCE DE CALCUL PERMETTRA DE RESOUDRE DES PROBLEMES
COMPLEXES

Penchons nous sur la loi de Moore un instant.


Elle stipule que la puissance machine double chaque anne (on a constat qu'elle doublait
rellement tous les 18 mois). Cela veut dire que la puissance machine augmente de faon
exponentielle. On pourrait alors penser que ces amliorations pourraient rsoudre des
problmes complexes (solutions exponentielles). Toutefois cette loi ne peut durer car la
croissance exponentielle s'essouffle invitablement trs rapidement. En fait ce qui va bloquer
ce dveloppement est le fait que le cot des chanes de production, permettant de crer les
processeurs plus puissant, est lui aussi exponentiel ( tel point que mme des gants comme
IBM et Siemens, pourtant concurrents, ont d grouper leurs investissements pour arriver
suivre le mouvement). On est donc proche de la fin de la loi de Moore.

Un livre collectif 134 / 296


Mythes et lgendes des TIC

Sauf une dcouverte d'autres lois physiques comme l'utilisation du calcul quantique pourrait
permettre la loi de Moore de se vrifier durablement. Mais rien n'est plus hypothtique car
le calcul quantique rclamerait apparemment une nergie exponentielle pour tre mise en
application. Sans dcouverte physique majeure, il y aura toujours des tailles de cls
intouchables face toute puissance de calcul que l'homme pourra mettre en place.

Un livre collectif 135 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES TECHNOLOGIES


QUANTIQUES DE L'INFORMATION

Grgoire Ribordy, ID Quantique SA

Au niveau fondamental la nature suit les lois de la physique quantique. Au niveau fondamental, la
thorie de linformation doit donc tre une thorique quantique de linformation.
David Deutsch

MYTHE N1 :
LE FUTUR DES TIC EST QUANTIQUE
Le dveloppement fulgurant des TIC au cours des quatre dernires dcennies a t rendu
possible par la loi de Moore. Ce principe, nonc en 1965 par Gordon Moore, un des
fondateurs dIntel, stipule que le nombre de transistors que peut incorporer un circuit intgr
double tous les dix-huit mois (lors du premier nonc de cette loi, Moore parlait de 12 mois).
Cette loi a pour corollaire que la puissance de calcul disposition cot fixe double elle aussi
tous les 18 mois. Alors que le circuit Intel 4004, le premier microprocesseur commercialis
par Intel et lanc en 1971, contenait approximativement 2300 transistors, les puces les plus
rcentes en comprennent plusieurs milliards. Cest cette augmentation exponentielle qui a
permis le dveloppement des applications des TIC qui ont transform la socit dans laquelle
nous vivons.
Pour que la loi de Moore soit vrifie, lindustrie des semi-conducteurs a d faire face au dfi
de rduire la taille des transistors. Pour ce faire, les techniques de photolithographie, qui
permettent dimprimer sur des galettes de Silicium les circuits lectroniques ont t
affines progressivement de faon augmenter leur rsolution et la finesse des composants
fabriqus. En 1971, lpaisseur de la grille dun transistor du microprocesseur Intel 4004
mesurait environ 10um (1/10 de lpaisseur dun cheveu). Quarante ans plus tard, lpaisseur
de cette mme grille a t rduite par un facteur de plus de 1000 et approche les 5nm (1nm
est un milliardime de mtre), ce qui correspond environ une vingtaine datomes de
silicium. Avec de telles dimensions, on nest plus trs loin du domaine o les lois de la
physique quantique commencent jouer un rle et modifier le comportement de la
matire, empchant les transistors de fonctionner.
La physique quantique est un ensemble de thorie physique dcrivant le monde
microscopique et introduit au dbut du 20e sicle. Elle marque une rupture avec la physique
dite classique, qui comprend lensemble des principes physiques admis au 19e sicle. Au
cours des dernires dcennies de ce sicle, les techniques exprimentales ont suffisamment
progress pour mettre en vidence des diffrences entre les prdictions thoriques et les
rsultats de mesure. Des physiciens, comme Max Planck, Albert Einstein ou Niels Bohr se
sont donc vus contraints dintroduire une nouvelle thorie, la physique quantique, pour
modliser ces expriences. Cette nouvelle physique dcrit le comportement des atomes et
des particules lmentaires, mais ne sapplique pas au monde macroscopique o la validit
des lois de la physique classique reste inconteste.
Une des prdictions qui dcoule de cette physique quantique est leffet tunnel. Ce
phnomne rend compte de la possibilit au niveau microscopique pour les particules de

Un livre collectif 136 / 296


Mythes et lgendes des TIC

traverser des barrires, si celles-ci sont suffisamment fines. Cest cet effet qui empcherait de
faire fonctionner un transistor dont la taille serait rduite abusivement. Les lectrons auraient
en effet la possibilit de traverser les barrires du transistor, qui aurait donc des fuites.
Le fait que la fabrication des transistors risque de se heurter un mur quantique , cause
de leffet tunnel et plus gnralement de linfluence des lois quantiques, amne certains
prdire la fin de la loi de Moore. Il faut noter ici que dautres facteurs, tel que laugmentation
du cot des installations de fabrication avec la miniaturisation des composants, ou encore la
difficult dissiper la chaleur gnre dans les puces, qui augmente aussi avec leur
densification, pourraient aussi contribuer mettre un terme la progression de Moore. Les
plus optimistes remarquent que la fin de la loi Moore a dj t prdite de multiples
reprises par le pass, mais que les limites ont toujours pu tre dpasses.
Une des approches propose pour dpasser ce mur quantique consiste raliser un
ordinateur quantique. Le dveloppement dun tel ordinateur vise utiliser les lois de la
physique quantique pour acclrer le traitement de linformation plutt que dtre limit par
ces lois. Sil est dj tabli quun ordinateur quantique permettrait de rsoudre certains
problmes de faons plus efficaces quun ordinateur conventionnel, en ltat des
connaissances actuelles il ne semble pas que ce soit un outil universel. Il serait donc plus
adquat de parler de calculateur ou de co-processeur quantique.
En rsum, sil est certain que la physique quantique aura un impact sur la conception des
puces du futur et quelle offre des pistes intressantes pour lamlioration des performances
des ordinateurs dans certains domaines, il est difficile de prdire dans quelle mesure ses lois
seront vraiment utilises dans les TIC de demain.

MYTHE N2 :
UN ORDINATEUR QUANTIQUE PERMET DE CASSER LES TECHNIQUES ACTUELLES DE
CHIFFREMENT ASYMETRIQUE

Cest la fois vrai et faux. Nous avons vu au mythe prcdent que les lois de la physique
quantique imposent des limites la miniaturisation des composants lectroniques. Or depuis
le milieu des annes 80, des physiciens ont propos de tenter de tirer profit de ces lois, en
dveloppant un ordinateur quantique, pour raliser certaines tches de faon plus efficace
quavec un ordinateur conventionnel.
A ce jour, aucun ordinateur quantique complet na t dmontr, du moins dans le monde de
la recherche publique. Labsence de matriel na pas empch les thoriciens de rflchir au
logiciel. Un certain nombre dalgorithmes quantiques visant tirer profit des capacits dun
tel ordinateur a ainsi t propos au cours des vingt dernires annes. Certains de ces
algorithmes ont un impact drastique dans le domaine du chiffrement. On citera ainsi
lalgorithme de Shor, propos en 1994 par Peter Shor, alors chercheur aux Bell Labs. Cet
algorithme permet de factoriser un nombre entier, cest dire de trouver les nombres
premiers dont le produit est gal ce nombre entier, de faon efficace.
Bien quanodin pour le commun des mortels, le problme de la factorisation joue un rle
important dans le domaine du chiffrement. On a vu au Mythe N3 du chapitre sur le
chiffrement, quil est possible de chiffrer un message au moyen de la cl publique du
destinataire de ce message, de faon ce que lui seul soit en position de le dchiffrer grce
sa cl prive correspondante. Ce type de chiffrement est bas sur des objets mathmatiques
appels fonctions sens unique qui sont faciles calculer, mais difficiles inverser moins
den connatre la brche. Le chiffrement au moyen de la cl publique se fait en calculant la

Un livre collectif 137 / 296


Mythes et lgendes des TIC

fonction. Le dchiffrement avec la cl prive quivaut inverser cette fonction en


connaissant sa brche. Finalement, un adversaire qui souhaiterait dcrypter le message cest
dire quil ne disposerait pas de la cl prive se voit contraint inverser cette fonction sans
pouvoir utiliser la brche. La fonction sens unique utilise par un des algorithmes de
chiffrement asymtrique le plus rpandu, lalgorithme RSA, est la multiplication des nombres
entiers. Une feuille de papier et un crayon suffisent calculer le produit de 2357 par 4201 en
quelques minutes. Factoriser 9901757, cest dire trouver les deux entiers dont le produit
donne ce nombre, est en revanche beaucoup plus gourmand en ressources.
Or, lalgorithme de Shor permet, au moyen dun ordinateur quantique de factoriser
efficacement des nombres entiers de grande taille. Sil tait possible dassembler un
ordinateur quantique, il serait donc possible dutiliser cet algorithme pour casser lalgorithme
RSA et donc dchiffrer des transmissions scurises par ce procd.
Comment se fait-il quun ordinateur quantique permette une telle prouesse, impossible au
moyen dun ordinateur conventionnel ? Une dmonstration rigoureuse requerrait bien
videmment des notions avances de physique quantique. Il est toutefois possible de
proposer une explication intuitive. Une des caractristiques de la physique quantique est le
principe de superposition. Il est possible de prparer un systme quantique dans une
superposition de deux tats A et B. Un tel systme se trouve la fois dans ltat A et dans
ltat B. Au moment dune mesure, on force le systme dcider dans quel tat il se trouve et
on obtient le rsultat A ou B, mais pas les deux. Au moment de la rdaction de cet article, je
me trouve Genve. La physique classique ne mautorise me trouver quen un seul endroit
la fois. En revanche, si jtais un tre quantique , je pourrais me trouver dans une
superposition spatiale et tre localis la fois Genve et Paris. Ce principe de
superposition nest pas vraiment intuitif, mais il faut laccepter. En informatique, on peut le
mettre profit, tel que la dmontr Shor, pour acclrer certaines tches. Imaginons un
problme dont la rsolution au moyen dun ordinateur conventionnel ncessite deffectuer
un calcul sur toutes les donnes possibles constitues de n bits. Il en existe 2^n, ce qui
implique, si n vaut 10, de raliser le calcul 1024 fois. Pour rsoudre le mme problme avec
un ordinateur quantique en exploitant le principe de superposition, on peut tout dabord
prparer une superposition de toutes les donnes possibles : 1er bit en superposition de 0 et
1, 2e bit en superposition de 0 et 1, et ainsi de suite jusquau ne bit. Il suffit ensuite
deffectuer le calcul une seule fois pour explorer tout lespace des donnes et obtenir le bon
rsultat. Il est bien vident que cette explication est simplifie lextrme, mais son esprit est
correct.
On a vu que la scurit du procd asymtrique RSA est mise mal par un ordinateur
quantique permettant dimplmenter lalgorithme de Shor. Quen est-il des autres procds
asymtriques ? Bien que bass sur des problmes mathmatiques diffrents, certains
procds sont mathmatiquement quivalents celui du RSA. On peut par exemple citer le
procd des courbes elliptiques. Ils sont donc videmment aussi vulnrables un adversaire
disposant dun ordinateur quantique.
Est-ce dire que la scurit de tous les algorithmes asymtriques sera annihile par le
dveloppement dun ordinateur quantique ? Il nest pas possible de rpondre cette
question. Il existe en effet au moins un algorithme asymtrique, lalgorithme dit de McEliece,
dont la rsistance lalgorithme de Shor a t dmontre. On ne peut toutefois pas exclure la
dcouverte future dun algorithme, classique ou quantique, permettant de le casser .
En rsum, un ordinateur quantique, sil existait, permettrait de casser les procds de
chiffrement asymtriques les plus usits grce lalgorithme de Shor. Il a toutefois t

Un livre collectif 138 / 296


Mythes et lgendes des TIC

dmontr rcemment que cet algorithme est inoprant contre au moins un procd
asymtrique. La scurit de ce procd na toutefois pas t formellement dmontre, mais il
nexiste pour linstant aucune vulnrabilit connue. Cette situation peut nanmoins voluer
rapidement.

MYTHE N3 :
UN ORDINATEUR QUANTIQUE PERMET DE CASSER LES TECHNIQUES ACTUELLES DE
CHIFFREMENT SYMETRIQUE

On a vu au mythe prcdent quil existe un algorithme pour ordinateur quantique permettant


de rsoudre les problmes mathmatiques sur lesquels sont bass certains des procds de
chiffrement asymtrique les plus usits. Quen est-il de limpact de cet ordinateur quantique
sur les procds symtriques ?
Les procds symtriques ntant pas bass sur des fonctions sens unique, lalgorithme
nest daucune utilit dans ce cas. Il existe toutefois un second algorithme, celui de Grover,
qui a un impact sur ces procds. Cet algorithme a t invent en 1996 par Lov Grover, lui
aussi chercheur aux Bell Labs. Il permet deffectuer une recherche dans une base de donnes
non trie de faon plus efficace quavec le meilleur algorithme fonctionnant sur un
ordinateur conventionnel.
Bien que ce problme nait en apparence pas grand chose voir avec la cryptographie, il est
possible dutiliser lalgorithme de Grover pour attaquer les procds de chiffrement
symtrique. Limpact de cet algorithme est de diviser la longueur de la cl par deux.
La rsistance dun procd de chiffrement symtrique peut tre caractrise par la longueur
de la cl quil utilise. Intuitivement, plus la cl est longue, plus il en existe de diffrentes. Il
faudra ainsi plus de temps une personne essayant de dcrypter une communication en
essayant toutes les cls. Comme les ordinateurs travaillent en mode binaire, on dfinit cette
longueur de cl en nombres de bits. Lagence nationale de scurit des systmes
dinformation recommande lutilisation dune cl de 128 bits. Une telle scurit est
videmment atteinte avec le procd de chiffrement le plus utilis actuellement, lAdvanced
Encryption Standard (AES), qui fonctionne avec trois longueurs de cl : 128 bits, 192 bits ou
256 bits.
Bien que suffisante actuellement, une longueur de cl de 128 bits ne serait plus adquate si
un adversaire avait sa disposition un ordinateur quantique permettant dutiliser lalgorithme
de Grover. La longueur de cl effective serait en effet rduite 64 bits, taille considre
comme nettement insuffisante. Cest une des raisons pour laquelle le procd AES a t
standardis avec plusieurs longueurs de cl, dont une de 256 bits. Celle-ci est en effet
surdimensionne si lon considre uniquement les ordinateurs classiques.
En rsum, un ordinateur quantique affaiblit les procds de chiffrement symtrique, mais de
faon moins dramatique quil ne le fait pour les procds asymtriques. Pour contrer une
telle attaque, il suffit de doubler la longueur de la cl utilise, ce qui est faisable ds
aujourdhui.

MYTHE N4 :
UN ORDINATEUR QUANTIQUE NEXISTE PAS ENCORE. JE NAI DONC AUCUNS SOUCIS A
ME FAIRE.

En considrant les rsultats scientifiques publis, il semble possible de conclure quun


ordinateur quantique suffisant pour rsoudre un problme impossible avec un ordinateur

Un livre collectif 139 / 296


Mythes et lgendes des TIC

classique nexiste pas encore. Des moyens financiers importants sont toutefois investis et des
progrs constants raliss. Des ralisations de portes quantiques, le composant
lmentaire dun ordinateur quantique, ont t dmontres par plusieurs groupes dans le
monde. Ces portes sont bases sur diffrentes technologies, sans quil ne soit pour lheure
clair de savoir laquelle se rvlera tre la plus pratique. Plusieurs de ces portes quantiques
ont mme t couples pour raliser des enchanements simples doprations.
Il nen reste pas moins que ces prototypes, du moins ceux raliss dans le domaine de la
recherche publique, ne constituent pas une menace aujourdhui. Est-ce donc dire quil est
inutile de se faire des soucis actuellement ?
Tout dpend de la dure de vie des communications devant tre protges. Linterception
dun message et son dcryptage ne doivent pas ncessairement tre simultans. Il est en effet
possible pour un adversaire denregistrer des donnes chiffres puis dattendre quun
ordinateur quantique soit disponible pour les dcrypter. Le seul critre est videmment que
les donnes aient encore une valeur et ne soient pas encore tombes dans le domaine public
au moment o il devient possible de les dcrypter. Ce nest pas le cas des informations
changes par le commun des mortels, mais il existe des applications qui requirent une
protection de longue dure. On peut penser ici par exemple aux communications militaires
et gouvernementales, ou encore aux donnes mdicales personnelles.
Il convient ici encore de prciser que lorsque lon parle dordinateur quantique, il ne faut pas
imaginer un PC install sous un bureau, mais plutt un coprocesseur spcialis coupl un
ordinateur conventionnel, le coprocesseur se concentrant sur certaines tches bien dfinies.
Il faut aussi noter que le nombre dalgorithmes quantiques offrant des performances
suprieures leur contrepartie classique est relativement limit, environ une quinzaine. Les
dtracteurs de lordinateur quantique ne se privent pas de le rappeler. Ce nombre est certes
limit, mais certains de ces algorithmes quantiques ont un impact drastique dans des
domaines importants.

MYTHE N5 :
LA CRYPTOGRAPHIE QUANTIQUE PERMET DE TRANSMETTRE DES INFORMATIONS AVEC
UNE CONFIDENTIALITE ABSOLUE

Non, la cryptographie quantique ne permet pas de transmettre des informations avec une
confidentialit absolue. Elle permet en revanche dchanger une squence de bits alatoires
et de vrifier sils ont t intercepts ou non.
On peut utiliser une image pour tenter dexpliquer le principe de cette technologie. Un canal
de communication, cest un peu comme une partie de tennis. Lmetteur de linformation
prend une balle de tennis, y inscrit le message et lenvoie son partenaire. Celui-ci attrape la
balle et lit le message. Le risque, cest quun troisime joueur soit plac entre les deux
premiers et se munisse dun filet papillon. Il pourrait ainsi intercepter les balles et lire les
messages, avant de les transmettre plus loin.
Avec la cryptographie quantique, cest un peu comme si on remplaait les balles de tennis par
des bulles de savon. Si quelquun tente de les intercepter, elles clatent et la communication
est interrompue, gnrant ainsi une alarme.
Il est vident que personne nutilise des balles de tennis pour transmettre des messages. Dans
tous les systmes de communication, il y a toutefois toujours un support physique qui
transporte linformation. Dans les rseaux haut dbit moderne, les donnes voyagent sous
la forme dimpulsions lumineuses guides par des fibres optiques. Ces impulsions lumineuses

Un livre collectif 140 / 296


Mythes et lgendes des TIC

sont intenses et sont constitues de millions de grains de lumire, appels photons. Pour
intercepter les communications sur un tel rseau, il est possible dextraire quelques pourcents
de la lumire sans perturber les autres photons. Cest par exemple possible en courbant
lgrement la fibre optique de faon induire des fuites. On recueille ainsi lintgralit des
communications.
Lide de la cryptographie quantique est de remplacer ces impulsions intenses par des
impulsions lmentaires constitues dun seul grain de lumire. Un photon est un objet dcrit
par les lois de la physique quantique. Celle-ci stipule quil nest en gnral pas possible de
procder une mesure sur un systme sans le perturber. Il sagit du principe dincertitude
dHeisenberg. Par analogie, il nest pas possible de toucher une bulle de savon sans la faire
clater. Il sagit ici dune explication simplifie du principe de la cryptographie quantique. Il
nen reste pas moins que cette technologie exploite les lois de la physique quantique pour
mettre en vidence une interception de communications.
Toutefois, il est important de raliser que cette dtection dune interception a lieu
posteriori. Cette technologie nempche pas lespionnage, mais elle le rvle. Il serait ainsi
inappropri de lutiliser pour changer des donnes confidentielles. Il vaut mieux lutiliser
pour transmettre une squence de bits alatoires puis vrifi sils ont t intercepts ou non.
Si ce nest pas le cas, on peut tablir que la squence nest connue que par lmetteur et le
rcepteur. Elle peut donc tre utilise comme cl de chiffrement avec un procd
symtrique.
Plutt que de parler de cryptographie quantique, il vaut mieux ainsi dnommer cette
technologie distribution quantique de cls. Il faut aussi insister sur le fait que cette
technologie ne vise pas remplacer tous les procds de cryptographie conventionnelle. Il
sagit plutt dune primitive supplmentaire permettant dchanger une cl symtrique et
donc de complter larsenal des procds conventionnels. Une des forces de la distribution
quantique de cls est que sa scurit ne repose que sur les lois de la physique quantique, sans
aucune hypothse mathmatique. Elle peut ainsi tre dmontre de faon rigoureuse.

MYTHE N6 :
LA CRYPTOGRAPHIE QUANTIQUE, ARME ABSOLUE
La scurit de la cryptographie quantique peut se dmontrer de faon rigoureuse partir des
lois de la physique quantique. Elle est bien videmment base sur une hypothse la
physique quantique est correcte mais celle-ci est taye par plus dun demi-sicle de
recherches thoriques et exprimentales. La physique quantique est une des thories
physiques dont les prdictions ont t vrifies avec la plus grande prcision.
En comparaison, la scurit des principaux procds de chiffrement asymtrique repose sur
deux hypothses. Premirement, les fonctions sens unique sont vraiment sens unique. On
ne connat actuellement pas dapproches permettant dinverser les fonctions sens unique de
faon efficace, mais il nexiste aucune preuve formelle quune telle approche ne puisse tre
dcouverte. Si ctait le cas, la scurit de ces procds serait rduite nant.
La seconde hypothse a dj t discute. Ces procds asymtriques sont vulnrables
lordinateur quantique et il faut donc supposer quun tel calculateur nexiste pas. Cest
probablement vrai aujourdhui, mais combien de temps cela le restera til ?
La scurit de la cryptographie quantique ntant base sur aucune hypothse technologique,
elle est idale pour complter larsenal des procds conventionnels de faon protger des
informations dont la dure de vie est longue et dpasse quelques annes.

Un livre collectif 141 / 296


Mythes et lgendes des TIC

Toutefois, la cryptographie quantique na telle pas t casse ? Certains rsultats scientifiques


rcents rapports de faon errone ou tronque dans la presse grand public pourraient le
laisser croire. Toutefois, ces rsultats ne rapportent que lexploitation de failles dans certaines
implmentations de systmes de cryptographie quantique. Ce nest donc pas la cryptographie
quantique qui est casse, mais une ralisation particulire. Ces recherches ont montr quil est
parfois possible de tirer parti dimperfection pratique des composants utiliss dans un
systme pour le rendre vulnrable. Ce qui est en cause, cest une mauvaise implmentation,
mais le principe de la cryptographie quantique reste fondamentalement sr. Il est bien
vident que les systmes de cryptographie conventionnelle peuvent eux aussi tre vulnrables
des imperfections dimplmentation.
En rsum, la scurit de la cryptographie quantique repose sur une base la validit de la
physique quantique - compltement diffrente de celle des techniques conventionnelles
inexistence des ordinateurs quantiques et robustesse de certains problmes mathmatiques.
En ce sens, on peut considrer avec raison quelle reprsente un saut quantique. De l
justifier le qualificatif darme absolue, il y a certainement un pas quil vaut mieux ne pas
franchir. Il ne faut dailleurs pas oublier les limitations de cette technologie qui require une
connexion par fibre optique de bout en bout et dont la porte nexcde actuellement pas les
250 kilomtres.

MYTHE N7 :
LES TECHNOLOGIES QUANTIQUES EN SONT ENCORE AU STADE DU LABORATOIRE
Il faut tout dabord sentendre par ce quon appelle technologie quantique. Le laser, et son
oscillation lumineuse collective, est prdit par la physique quantique et a t dmontr pour
la premire fois il y a plus de 50 ans. Aujourdhui, il sagit videmment dun composant banal
que lon trouve mme dans les applications grand public. Un laser nest toutefois pas
purement quantique, car il sagit dune manifestation macroscopique dun phnomne
quantique. Une telle source lumineuse produit des millions de grains de lumire, ou photons,
qui se comportent selon les lois de la physique classique.
Ce qui est nouveau, cest de travailler au niveau dun systme quantique lmentaire un seul
photon, un seul atome, une seule particule et de lui associer une valeur binaire pour raliser
des tches jusque l impossibles. Il sagit dapplications de la thorie quantique de
linformation. Evidemment, ces technologies sont beaucoup moins mres que le laser.
Il est ainsi probable quaucun ordinateur quantique complet nait encore t dvelopp dans
le monde de la recherche publique. Des composants lmentaires, des portes quantiques,
ont t dvelopps au moyen de diffrentes technologies, mais il reste difficile des les
assembler pour raliser lquivalent dun processeur quantique. Le problme principal est li
la dcohrence, cest dire la perte de leurs proprits quantiques par ces bits quantiques
on parle de qubits. Cette dcohrence est cause par une interaction des qubits avec
lenvironnement qui les parasite. Pour raliser un ordinateur quantique, il est donc important
de pouvoir isoler les qubits de lenvironnement pendant les oprations. Cette isolation doit
toutefois tre contrlable, car il faut pouvoir la dclencher initialement pour saisir les
donnes du problme et aprs les oprations pour lire le rsultat du calcul. La difficult
rside donc la mise au point de techniques disolation que lon peut enclencher et dclencher
volont.
Il ne faut toutefois pas conclure des difficults lies au dveloppement de lordinateur
quantique que toutes les technologies issues de la thorie quantique de linformation en sont
encore au stade du laboratoire. Il existe en effet des produits de cryptographie quantique qui

Un livre collectif 142 / 296


Mythes et lgendes des TIC

permettent de scuriser des communications sur un rseau optique. La premire application


publique remonte 2007 o cette technologie a t dploye pour scuriser un rseau utilis
par le dpartement des technologies de linformation du Canton de Genve, en Suisse, pour
le dpouillement des rsultats dlections. Des applications dans le secteur gouvernemental et
financier commencent aussi merger. Les technologies actuelles permettent de scuriser
des liens dune porte dune centaine de kilomtres. Les systmes de cryptographie quantique
sont coupls des botiers de chiffrement auxquels ils fournissent des cls de chiffrement.
Une autre application de la physique quantique est la gnration dalas. La physique
quantique tant intrinsquement alatoire elle ne prdit pas le rsultat exact dune mesure,
mais la probabilit dobtenir un rsultat parmi un ensemble il est naturel de lutiliser pour
produire des nombres alatoires. Il faut rappeler que la physique classique, quant elle, est
fondamentalement dterministe. Si lon connat ltat dun systme au temps initial, on peut
prdire son volution. Il nest donc pas possible dutiliser un processus de physique classique
pour produire du hasard. Un ordinateur en particulier ne peut pas produire du hasard sans
lajout dun priphrique ddi cette tche. Les nombres alatoires sont toutefois fort utiles
dans de nombreuses applications. On citera titre dexemple la gnration de mots de passe
ou de cl de chiffrement. Des gnrateurs quantiques dalas existent depuis plus dune
dizaine danne. Bien quil en existe plusieurs types, leur principe gnral est le suivant : des
photons sont envoys un par un sur un miroir semi-rflchissant ; selon la physique
quantique, chaque photon dcide de faon alatoire et indpendante sil sera rflchi ou
transmis par le miroir ; il suffit de placer un dtecteur de photons derrire chacune des deux
sorties du miroir et de leurs associer une valeur binaire pour produire des bits alatoires. Un
de ces gnrateurs est disponible commercialement pour une somme de lordre de 1000
euros. Il a dailleurs t adopt par une grande partie des oprateurs des plateformes de jeu et
loteries en ligne pour tirer au hasard les nombres gagnants ou brasser les cartes virtuelles de
poker.

Un livre collectif 143 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA SIGNATURE


ELECTRONIQUE

Grard Peliks, CASSIDIAN


an EADS Company

LA SIGNATURE ELECTRONIQUE, CE QU'ELLE N'EST PAS


Avec la gnralisation des accs par l'Internet et la dmatrialisation des documents, un jour
viendra o la signature lectronique va relguer la signature papier au rang de curiosit du
pass.
Aujourd'hui cette technologie, qui authentifie un document et en prouve l'intgrit, est mal
connue, et dans le vcu quotidien, on utilise la signature lectronique sans trop se poser de
questions ou si on s'en pose, on apporte souvent de mauvaises rponses. C'est en particulier
le cas sur l'utilit du certificat, objet de bien d'interprtations errones.
Comme la signature manuscrite, la signature lectronique permet celui qui consulte un
document sign d'authentifier le signataire. Mais la signature lectronique, c'est encore autre
chose.
Non, la signature lectronique n'est pas la copie d'une petite partie d'un cran contenant une
signature manuscrite, qu'on aurait coupe puis colle au bas d'un document Word. Cette
manipulation s'appelle simplement du traitement d'image et n'a aucune valeur car on peut
aprs tout placer ainsi n'importe quelle signature sur n'importe quel document. Il est alors
trompeur d'tablir une relation entre le document et la signature, mme si celle-ci tait, en
toute honntet, dj dans le document initial scann.
La signature lectronique n'est pas d'avantage ce que vous saisissez en apposant votre
paraphe sur une tablette digitale et qui ajoute directement votre signature manuscrite au
document que vous signez, comme un contrat de location de voiture, par exemple. Cela
s'appelle la signature numrique et fait l'objet de lois spcifiques.
La signature lectronique consiste en un petit fichier chiffr, accol un document, qui
prouve en faisant appel divers algorithmes et cls de chiffrement que le document a bien
pour origine celui qui l'a sign (authenticit) et n'a pas t modifi depuis sa signature
(intgrit). Le destinataire, par son logiciel de traitement du document sign, ou
manuellement, peut en vrifier l'authenticit et l'intgrit. De plus, le signataire ne pourra pas
prtendre ne pas avoir eu connaissance de son document sign (non rpudiation).
Nous voquons dans ce document les mythes et les lgendes qui tournent autour de la
signature lectronique, et nous apportons des rponses. A la fin du document, vous
trouverez des explications techniques plus dtailles sur les mcanismes qui interviennent
dans l'tablissement d'une signature lectronique et sur la vrification du document sign.

MYTHE N 1 :
ON SIGNE PAR SON CERTIFICAT ELECTRONIQUE
Un certificat lectronique ne sert en aucun cas signer un document qu'on met. Il intervient
dans la vrification de la signature d'un document qu'on reoit ou qu'on consulte.

Un livre collectif 144 / 296


Mythes et lgendes des TIC

Votre certificat personnel ne vous est d'aucune utilit pour signer un document ou pour
vrifier la signature d'un document que vous recevez. Pour effectuer cette vrification, vous
avez besoin, non pas de votre certificat mais du certificat de celui qui a sign le document.
En annexe, vous trouverez des explications techniques qui vous permettront de mieux saisir
les mcanismes.
Un certificat prouve que quelqu'un, qui en est le propritaire, possde aussi une cl de
chiffrement prive qui lui est propre et qu'il a utilise pour signer son document. Grace ce
certificat le destinataire du document pourra vrifier que ce document a bien t sign par
celui dont il a le certificat.
Un certificat contient une cl, dite "cl publique", mathmatiquement lie une deuxime
cl, dite "cl prive".
Si vous chiffrez un lment du document avec votre cl prive, cet lment ne pourra tre
dchiffr qu'avec votre cl publique correspondante, qui se trouve dans votre certificat que
vous remettez au destinataire du document. Inutile de prendre des prcautions pour
transfrer votre certificat, celui-ci ne contient aucune donne confidentielle.
Votre certificat est lui-mme sign par une autorit de confiance, qui utilise bien sr le mme
mcanisme, pour prouver que la cl publique trouve dans le certificat est bien la vtre, c'est-
-dire correspond bien la cl prive que vous possdez et avec laquelle vous avez sign le
document.
Vous signez votre document avec votre cl prive, le destinataire de votre document sign
vrifie votre signature avec votre cl publique.
L'lment chiffr puis dchiffr qui a servi tablir qui a sign le document est une
"empreinte", ou anglais un "hash" et en bon franais un "condensat".
On ne signe donc pas avec un certificat lectronique, ni avec la cl publique qu'on trouve
dans le certificat, mais avec sa cl prive.

MYTHE N 2 :
LE CERTIFICAT EST CONFIDENTIEL ET IL FAUT LE PROTEGER
Non, un certificat n'est pas confidentiel, c'est un fichier tout fait visible et public, destin
tre lu et utilis par n'importe qui. Le certificat ne contient aucune donne confidentielle,
tout son contenu est en clair, mis part l'lment chiffr dont nous avons parl au mythe no
1.
Le certificat est par contre, lui-mme, sign lectroniquement par une autorit de confiance
qui en atteste l'authenticit et l'intgrit. Si vous modifiez ne serait-ce qu'une virgule dans le
certificat, cette modification apparatra au logiciel de traitement du certificat comme n'tant
plus sign par l'autorit de confiance que ce certificat indique.
Le certificat contient une cl de chiffrement publique, qui correspond la cl prive
possde galement par le propritaire du certificat. Comme le nom des cls l'indique, la cl
publique trouve dans le certificat est publique et donc n'est pas confidentielle.
Seule la cl prive correspondant la cl publique est confidentielle, et son propritaire ne
doit jamais la dvoiler. La cl prive n'est bien videmment pas dans le certificat mais, dans le
cas idal, sur un support amovible, tel qu'un token USB protg par un code PIN.
Le certificat est lui-mme sign par une autorit de confiance qui a chiffr un lment du
certificat (l'empreinte du certificat qui est l'lment dont nous avons parl au mythe no 1).

Un livre collectif 145 / 296


Mythes et lgendes des TIC

Vous possdez le certificat de l'autorit de confiance, contenant sa cl publique (attention,


c'est un deuxime certificat, celui de l'autorit de confiance).
L'empreinte chiffre du certificat peut tre alors dchiffre, par vous, l'aide de la cl
publique de l'autorit de confiance et ainsi vous tes sr de l'authenticit et de l'intgrit du
certificat qui est atteste par l'autorit de confiance.
Mais si ne possdez pas le certificat de l'autorit de confiance ? Alors vous ne pouvez pas
vrifier la validit (authenticit et intgrit) du certificat que cette autorit a sign. Rassurez-
vous, vos logiciels connaissent dj les certificats de nombreuses autorits de confiance, et
ceux qui vrifient les signatures lectroniques, savent vous demander d'ajouter, aux certificats
des autorits que vous connaissez dj, le certificat de telle autorit de confiance, et vous
indiquent en gnral d'o le tlcharger.

MYTHE N 3 :
UNE SIGNATURE ELECTRONIQUE EN VAUT UNE AUTRE
Bien entendu, nous ne parlons pas ici de l'identit de celui qui signe. Il est sr qu'un
document sign par un notaire ou par une autorit officielle a plus de valeur devant la loi
qu'un document sign par un inconnu. Nous parlons ici de la validit d'une signature, qui que
soit le signataire. En d'autres termes nous parlons de l'adquation entre le signataire et sa
signature.
Il existe diffrents niveaux de confiance pour les signatures parce qu'il existe diffrents
niveaux de confiance pour les certificats. Tout dpend qui en tablit la validit et comment
les certificats ont t obtenus.
Il y a galement diffrents niveaux de confiance accorder aux certificats suivant les
algorithmes de chiffrement et de calcul d'empreinte utiliss et la longueur des cls de
chiffrement. L'algorithme de calcul d'empreinte recommand aujourd'hui est le SHA2 et la
longueur des cls pour le chiffrement asymtrique RSA est de 2048 bits.
La premire chose qu'on regarde dans un certificat est l'autorit de confiance qui l'a sign. Si
le destinataire a confiance en cette autorit, le certificat peut tre utilis pour en tirer la cl
publique qu'il contient afin de vrifier qui a sign le document. Si le destinataire ne fait pas
confiance en l'autorit qui a sign le certificat, il ne fera pas confiance en la signature du
document.
Les autorits de confiance n'ont de sens que par la confiance qu'elles inspirent leurs clients
qui achtent leurs certificats (et avec chaque certificat la cl prive qui correspond la cl
publique que le certificat contient.
Cette confiance peut tre accorde par exemple aux certificats signs par une autorit de
confiance de mme nationalit que le destinataire du document sign, ou alors une autorit
de confiance reconnue par beaucoup d'tat comme Verisign qui est une autorit amricaine.
Et surtout, il est important de connatre comment un certificat a t dcern son
propritaire. Le certificat et la cl prive ont pu tre achets par courriel, travers l'Internet,
juste en fournissant une adresse et en le payant. A l'autre bout de l'chelle, le certificat, et sa
cl prive associe ont pu tre dcerns par une autorit de confiance qui convoque
l'utilisateur et s'assure de son authenticit, avant de lui remettre sa cl prive et le certificat
qui contient sa cl publique.
On distingue plusieurs classes de certificats. Un certificat s'il est obtenu sans formalits,
pourvu qu'on le paye, est un certificat qui n'est pas de la mme classe qu'un certificat obtenu
aprs dplacement et authentification forte de l'utilisateur. En France, seuls les documents

Un livre collectif 146 / 296


Mythes et lgendes des TIC

signs et vrifis avec des certificats partir d'une certaine classe ont mme valeur juridique
que les documents qui prsentent une signature manuscrite.

MYTHE N 4 :
SIGNER, C'EST CHIFFRER ET CHIFFRER C'EST SIGNER
Non, signer n'est pas chiffrer. Il y a des documents signs et des documents chiffrs. Il y a
aussi des documents la fois signs et chiffrs. En fait la signature et le chiffrement sont
deux fonctions diffrentes avec des buts diffrents. Le chiffrement assure la confidentialit
alors que la signature assure l'authenticit et l'intgrit du document sur laquelle elle porte.
Un document peut tre sign mais tre en clair.
La signature du document, d'un point de vue technique fait appel un calcul d'empreinte,
puis cette empreinte est chiffre par chiffrement asymtrique. De mme la vrification de la
signature du document fait appel aussi au chiffrement asymtrique pour dchiffrer
l'empreinte avec la cl publique correspondant la cl prive.
Mais seule l'empreinte du document est chiffre ou dchiffre, le document lui peut ne pas
tre chiffr. La signature lectronique n'assure pas la confidentialit du document.
A l'oppos, rien ne prouve qu'un document chiffr l'ait t par son propritaire et qu'il n'ait
pas t modifi par une tierce personne.

MYTHE N 5 :
UNE SIGNATURE ELECTRONIQUE, C'EST POUR LA VIE
La signature n'est vrifiable que durant la priode de validit du certificat.
Outre la cl publique, le certificat contient la date partir de laquelle il commence tre
valable et la date partir de laquelle il ne sera plus valable. Comme le certificat est lui-mme
sign par une autorit de confiance, si on falsifie ces dates, cela se remarque. Les logiciels de
vrification des signatures tiennent compte de ces dates.
Il existe galement des listes de rvocation de certificats. Si le certificat du signataire a t
rvoqu, le logiciel de traitement de signature lectronique refusera de considrer la signature
du document comme valable, mme si le certificat est encore dans ses dates de validit.
Une signature lectronique n'est donc vrifiable, par logiciel, que durant la priode de validit
du certificat qui possde la cl publique avec laquelle on le vrifie.
Mais si le document a t sign alors que le certificat pour vrifier la signature tait encore
valable ? Bien entendu, mme quand le certificat a expir ou a t rvoqu, la signature peut
tre tout de mme recevable par un tre humain qui prend de la hauteur par rapport un
logiciel de traitement de signatures lectroniques, qui agit mais n'interprte pas.
C'est le mme cas qui se pose si un contrat a t sign par un employ qui tait dans une
entreprise au moment de la signature, et l'a quitte depuis.

LES MECANISMES DE LA SIGNATURE ELECTRONIQUE


Pour comprendre le mcanisme de la signature lectronique, il faut connatre deux
mcanismes qui sont le calcul d'empreinte et le chiffrement asymtrique.
Le calcul d'empreinte consiste calculer, partir d'une chaine de caractres de longueur
quelconque, un ensemble de bits (l'empreinte) dont le nombre fixe est dtermin par
l'algorithme de calcul d'empreinte. C'est par exemple 128 bits pour le MD5 et 160 bits pour

Un livre collectif 147 / 296


Mythes et lgendes des TIC

le SHA1. Si la chaine de caractre de longueur variable subit la moindre modification, son


empreinte produite sera diffrente. Un document est donc caractris par son empreinte.
Le chiffrement asymtrique fait intervenir deux cls. L'une pour chiffrer, l'autre pour
dchiffrer. L'une des cls est prive et doit tre garde secrte par son propritaire, l'autre est
publique et son propritaire peut la donner tout le monde. Cette cl publique est place
dans un certificat lectronique qui atteste qu'elle correspond bien la cl prive dtenue par
le propritaire des deux cls.
La cl publique est contenue dans un certificat qui est sign par une autorit de confiance.
Bien entendu, connaissant la cl publique, il n'est pas possible d'en dduire la cl prive.
Quand on chiffre avec l'une des cls, on ne peut dchiffrer qu'avec l'autre. Dans la signature
lectronique, c'est la cl prive qui est utilise pour chiffrer et la cl publique pour dchiffrer.
Dans le chiffrement asymtrique d'un document, c'est l'inverse.
Le signataire calcule l'empreinte du document signer et la chiffre avec sa cl prive. Il joint
l'empreinte chiffre au document qui est alors sign.
Ceux qui vrifient la signature du document ont besoin de la cl publique de celui qui l'a
sign, donc du certificat qui la contient. Ils dchiffrent grce la cl publique l'empreinte
chiffre. Ils recalculent, partir du document reu, l'empreinte de ce document. Si
l'empreinte dchiffre est la mme que l'empreinte recalcule, la signature est prouve.
Le document est authentique car son empreinte n'a pu tre chiffre que par celui qui dtient
la cl prive. Le document sign est intgre puisque le calcul de l'empreinte du document
sign est identique au calcul d'empreinte du document avant sa signature.
Principe :

Terminons cette exploration en soulignant un arrt de la Cour de Cassation qui par un arrt
du 30 septembre 2010 rappelle les formes impratives que doit revtir un change
lectronique pour acqurir une force probatoire et une valeur juridique donnant ainsi son
importance cette technologie : " Sans signature lectronique garantissant identit du
signataire et intgrit du message, le courriel n'a pas plus de valeur juridique qu'une lettre
anonyme faite de collages de caractres dcoups dans les journaux".

Un livre collectif 148 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU MANAGEMENT DES


EVENEMENTS ET DE L'INFORMATION DE SECURITE

56
Grard Gaudin, Consultant indpendant, initiateur du Club R2GS

Le management des vnements et de linformation de scurit (appel dans le monde anglo-


saxon SIEM Security Information and Event Management) est un domaine constituant un
sous-ensemble de la GOS (Gestion Oprationnelle de la Scurit), ou de la LID (Lutte
Informatique Dfensive), ce dernier terme tant couramment utilis dans les milieux
gouvernementaux et de la Dfense Nationale.

MYTHE N 1 :
LE SIEM, C'EST DE LA GESTION DE LOGS
Le domaine SIEM (Security Information and Event Management), dont lexistence date du
dbut des annes 2000 et a t ainsi dnomm par un grand cabinet de conseil en stratgie
anglo-saxon, a t fortement assimil lorigine la gestion dvnements de scurit en
temps rel. Or, le pourvoyeur dinformations pour la dtection et la mise en vidence
dvnements de scurit sest avr tre naturellement lensemble des logs disponibles sur le
systme dinformation des entreprises et des organisations, du fait de leur organisation
structure et de leur orientation changement dtat . Mais progressivement avec la
maturation du domaine sont apparus des besoins de sources dinformations plus diversifies,
telles des donnes de contrle de conformit et dintgrit, des donnes issues des scanneurs
de vulnrabilits, des donnes issus des systmes dadministration rseau et systme, ou des
donnes didentification ou issues des rfrentiels systme. Les outils initiaux danalyse et de
corrlation de logs sont de ce fait en train dvoluer vers des outils traitant plus largement
des informations : logs, donnes issues des systmes dadministration rseau et systme
(incidents de type dysfonctionnement et charges notamment), donnes relatives aux vuln-
rabilits ou aux non-conformits des systmes ou applications, ou fichiers de description des
paramtres de configuration des systmes sous surveillance. On peut ainsi considrer ce
sujet que plus de la moiti des sources utiles sont de nature diffrente des logs.

MYTHE N 2 :
LES ASPECTS TECHNIQUES SONT PREDOMINANTS
Le domaine SIEM a trs vite t identifi essentiellement aux outils de gestion de logs, sous
linfluence puissante des diteurs de ces outils. La suite logique a t une focalisation quasi
exclusive des organisations lanant des projets sur les aspects techniques, au dtriment de la
mise en place des liens avec les moyens en matire de gouvernance scurit que sont le suivi
des points de repre du SMSI (Systme de Management de la Scurit de lInformation) et la
mesure des risques rsiduels principaux pesant sur les systmes dinformation. Cette
situation, qui a consist ainsi se priver de la raison dtre et de la finalit relle de ces outils
(le Check et le Act du modle PDCA couramment utilis en qualit et en scurit), a
conduit des difficults de justification de la pertinence des investissements consentis, les

56
Club de Rflexion et de Recherche en Gestion Oprationnelle de la Scurit

Un livre collectif 149 / 296


Mythes et lgendes des TIC

effets essentiels de levier de progrs ntant ni perus ni mis en valeur ; do lapparition dans
la prcdente dcennie de nombreux checs et dsillusions. Tirant les leons de ces fausses
pistes et de ces approches bottom-up errones, nombre dorganisations ont entam
depuis peu (notamment sous limpulsion du Club R2GS cr en 2009 en France) des
dmarches radicalement opposes, pouvant tre dfinies comme des dmarches globales
dentreprise de type top-down et sarticulant sur les 3 axes phares suivants :
Appui sur les 2 piliers de base que sont les risques principaux pesant sur le SI de
lorganisation (incidents les plus frquents ou les plus graves) et son SMSI, pour dfinir
des objectifs naturels de surveillance et de dtection,
Appui sur un ensemble de modles et processus (dont un modle de classification des
vnements de scurit, un rfrentiel dindicateurs et un rfrentiel de plans de
raction), permettant de dcliner finement les politiques dassurance scurit de
lorganisation,
Accent sur la promotion auprs de lorganisation scurit et IT de la dmarche SIEM
et des modles et processus associs.

MYTHE N 3 :
LE SIEM EST UNIQUEMENT UNE AFFAIRE DE SPECIALISTES
Le domaine SIEM est un domaine rput difficile daccs, o les risques dchec sont rels
comme il a t indiqu prcdemment. Les quipes oprant dans ce domaine, en premier lieu
des quipes de terrain oprationnelles ayant pour mission de dfendre lentreprise contre
toute attaque externe ou interne, doivent matriser les diffrents types et mthodes dattaque
ainsi que les outils les soutenant dans leur tche. Mais dans cette lutte quotidienne et de tous
les instants, les autres acteurs de lentreprise ou de lorganisation ont un rle pouvant
souvent tre cl. Il sagit :
Des managers des diverses entits de lorganisation qui doivent transmettre les enjeux
de certains comportements humains en terme de risques pour lactivit,
Des responsables du SI qui doivent veiller ce que la scurit soit une composante
majeure des nouveaux projets et de la production et de lexploitation des rseaux et
systmes,
Des managers de haut niveau qui doivent crer une culture scurit de manire
similaire ce qui a t gnralement fait dans le pass avec la qualit.
Dans cet effort de plus en plus ncessaire bien que de priorit variable selon le secteur
dactivit concern, les facteurs comportementaux prennent une part de plus en plus
prpondrante, dans un contexte o les vulnrabilits de nature technique disposent
aujourdhui des outils adquats pour pouvoir tre matrises. Cette attention imprative au
facteur humain ne peut que conduire la diffusion progressive des thmes SIEM au sein des
grandes organisations les plus exposes. Les vols dinformations tant stratgiques qu
caractre personnel sont l pour nous rappeler, notamment quand ils font les unes de la
presse, que les politiques de scurit doivent marcher main dans la main avec les politiques
de ressources humaines sur cette question hautement symbolique de lthique envers son
employeur. Ces aspects seront de plus en plus cruciaux dans un monde hyperconcurrentiel
ou souvent domin par lavidit o tout se monnaye. Dans les fuites ou les vols
dinformations sensibles, les collusions volontaires ou involontaires demploys sont en effet
prsentes dans plus de 60 % des cas de sinistres, selon certaines tudes et certains chiffres
pouvant tre considrs comme fiables.

Un livre collectif 150 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA PREVENTION CONTRE


LES PERTES D'INFORMATIONS (1)57

Laurent Heslault, Security Strategist, Symantec

Votre entreprise/organisation possde-t-elle des informations sensibles ? OUI !


Savez-vous prcisment ou elles se trouvent et qui les utilise ? Non
Considrez-vous cet tat de fait comme un problme potentiel ? Oui.
La prvention contre les pertes dinformations sensibles est un sujet de plus en plus actuel, et
lactualit de ces derniers mois na fait que renforcer cet intrt, de la part du public, des
entreprises, et des instances dirigeantes franaises et europennes.
Voici des dfinitions voir ou revoir, et certains mythes dissiper
Dfinition : Incident lors duquel la confidentialit dinformations a t compromise.

Information divulgue des tiers causant un impact ngatif.


dimportance traite en tant Malveillants Rputation
stratgique que partie dun Internes Responsabilits lgales
contenant des systme non-
Valeur de laction
dtails personnels transmise autoriss Cots imprvus
consistant en secrets lectroniquement Presse ou
ou oralement Perte dactifs tangibles
commerciaux ou autre mdia
proprit copie dun Fraude
Concurrents
intellectuelle format vers un Autorits?
commercialement autre
sensible stocke
pouvant apparatre notamment sur
embarrassante ou des appareils
diffamatoire vulnrables
sujette des
obligations lgales et
rglementaires
(Source : Information Security Forum)

MYTHE N 1 :
LA PROTECTION DES DONNEES SENSIBLES, C'EST LE DLP
Si les technologies de DLP doivent tre la tour de contrle de la protection de
linformation, elles ne sont en aucun cas suffisantes. Dautres technologies telles que le
chiffrement, la gestion des accs aux donnes, lapplication de droits sur les documents, la

57
Data Loss Prevention

Un livre collectif 151 / 296


Mythes et lgendes des TIC

gestion de la proprit et autrespeuvent et mme doivent faire partie dun projet de


protection des informations.
Comme tout projet informatique et particulirement de scurit, au-del de la partie
technologique, il faudra prendre en compte la dimension humaine et procdurale.

MYTHE N 2 :
UN PROJET DLP EST COUTEUX
La mise en uvre dun projet DLP doit passer par plusieurs phases et primtres, ces
derniers allant en slargissant. Une premire mise en place sur un primtre restreint va
donner une estimation des cots pertinente, et intgrant tous les aspects du projet, pas
uniquement le prix des logiciels. Mais en rsum, think big, start small .
Le cot dune perte dinformation confidentielle peut tre en revanche trs lev ! Une
rcente tude du Ponemon Institute tablit le cot moyen dune perte de donnes en France
2,2 millions deuro en 2010, en augmentation de 16% par rapport 2009. Tous les dtails et
le rapport sont disponibles ladresse suivante :
http://www.encryptionreports.com/costofdatabreach.html
Il est cependant frquent de voir les entreprises ne sintresser la question quaprs une
perte majeure. Phnomne plutt latin semble-t-il, car diffrent dans les pays anglo-
saxons, notamment, ou cela dit la lgislation est moins souple en la matire.

MYTHE N 3 :
LE DLP, CEST SEULEMENT AU NIVEAU DU POSTE DE TRAVAIL
Il faut traiter le problme de manire la plus large possible. De nos jours, les informations
sont partout. Il faut donc traiter la situation des donnes au repos (data at rest), celle des
donnes en mouvement (data in motion) et en action (data in use). Une approche aussi
exhaustive que possible est donc ncessaire pour lobtention des meilleurs rsultats. Il est
donc important de disposer de doutils au niveau du poste de travail pour pouvoir identifier
des utilisations non-conformes aux politiques localement (mme en mode dconnect), mais
galement au niveau des sorties (et entres ?) rseaux, quel que soit le moyen ou le protocole
(messagerie, rseaux sociaux) et bien sr de pouvoir dtecter des expositions non-
appropries de donnes confidentielles sur les espaces de stockage. Lidal tant de disposer
dun rfrenciel commun tant au niveau des politiques quau niveau des alertes. Et au
passage, quid des disques durs des imprimantes/copieurs/fax ?
La prvention des pertes dinformations confidentielles doit avoir un spectre trs large, et
considrer les environnements aussi bien physiques quinformatiques, fixes que mobiles.

MYTHE N 4 :
CEST UN PROJET POUR LEQUIPE SECURITE DE LINFORMATION
Lquipe charge de la scurit informatique doit bien entendu se trouver au cur des projets
de ce type. Cependant, les seuls savoir parfaitement quelles informations sont sensibles
sont bien les propritaires, c'est--dire les mtiers. Un projet DLP russi doit voir stablir
une collaboration troite entre les quipes informatiques (pour la prise en compte de
linfrastructure), lquipe scurit (pilotage global conformit au politiques) et les quipes
mtiers, en charge du contenu et potentiellement de la gestion des incidents.

Un livre collectif 152 / 296


Mythes et lgendes des TIC

Il est fondamental que les quipes mtiers comprennent quune grande partie de
ladministration du DLP leur revient et par consquent doivent tre prts y ddier des
ressources. Lessentiel reste de la gestion des incidents, voir le cas chant de la gestion de
crise, pour laquelle une quipe intgrant les diffrentes parties prenantes aura t cre au
pralable.

MYTHE N 5 :
LE DLP CEST UNE AFFAIRE DE TECHNOLOGIE
Laspect technologique dun tel projet nest pas le principal. Un accompagnement
spcifique en amont et en aval du dploiement de la technologie est impratif.
Ainsi, un projet DLP pourrait se drouler suivant les tapes suivantes :
1. Education des collaborateurs et les tiers sur les fuites dinformations.
2. Identification des environnements plus propices aux fuites dinformations.
3. Classification de linformation en fonction de son niveau de confidentialit.
4. Prise en compte globale de la problmatique.
5. Dploiement des solutions technologiques pour les informations les plus sensibles
6. Prparation la gestion dincidents, ou mme de crises.
Loutil logiciel ne sera que le moyen par lequel la vrification de la conformit aux politiques
de scurit de linformation sera automatise, rappelant infatigablement lutilisateur parfois
tte en lair ses devoirs en termes de protection des informations confidentielles.

MYTHE N 6 :
TOUT LE MONDE NA PAS BESOIN DE DLP
En tous les cas, tout le monde besoin de protger ses donnes !
Toute entreprise ou organisation possde de nos jours de linformation confidentielle sur ses
employs et clients, critique pour les affaires, voir politiquement sensible. Nul nest labri
dune perte, mme cause par un collgue bien intentionn, dun vol, linitiative dun
employ malveillant, dun concurrent, ou encore dun piratage par des cybercriminels.
La protection de nos donnes ou informations se doit dtre au niveau de limportance
quelles ont dans le bon fonctionnement et le dveloppement des entreprises.

MYTHE N 7 :
AVEC DU DLP, PLUS JAMAIS DE PERTE OU DE FUITE !
Malheureusement non. Cependant, la mise en uvre de solutions de type DLP, va
considrablement limiter les risques, notamment lis aux erreurs humaines, mais ne pourra
stopper toute malveillance ou cyber-attaque ; Lutilisation de technologies, comme la
stganographie, restant trs difficile dtecter, en tous les cas pour des cots raisonnables.

CONCLUSION :
Nous sommes dornavant entrs dans lconomie de linformation. Cest une conomie qui
se caractrise par la valeur de la proprit intellectuelle, du contenu, des ides, la valeur de
linformation. Dans un monde ou linfrastructure des systmes dinformations change, vers
plus de varit et moins de contrle, ceux qui sauront adresser les dfis de la scurit, la
disponibilit et de la conformit en seront les grands vainqueurs. Les systmes

Un livre collectif 153 / 296


Mythes et lgendes des TIC

dinformations doivent voluer dune orientation trs systme vers un focus sur
linformation.
La prservation du patrimoine informationnel des entreprises, quelle que soit leur taille, et
des organisations publiques doit maintenant passer au premier plan.

Toute organisation est assise sur une montagne de secrets


Julian Assange.

Un livre collectif 154 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA DLP (2)58

Christophe d'Arcy, Mirca

Mettre en place une solution de prvention de fuite dinformation (DLP), cest conduire un
projet dentreprise, transversal et multidisciplinaire. Son objectif consiste protger
lentreprise de la perte de contrle de ses donnes les plus sensibles, en alliant un processus
organisationnel rigoureux, une solution technologique adapte. Pour russir cet ambitieux
projet, vous devez djouer les piges et les mythes qui sont nombreux et dont certains ont la
vie dure.

MYTHE N 1 :
JE VAIS ADRESSER LA DLP COMME N'IMPORTE QUEL PROJET TECHNOLOGIQUE
Surtout pas !
Il faut tout dabord mobiliser vos directions Mtier, seules comptentes pour dfinir les
informations qui mritent tout particulirement dtre protges, et en dduire les ressources
et les outils ncessaires. Ce nest quaprs que vous pourrez mobiliser vos fonctions support,
dont la fonction informatique, en rpondant prcisment aux besoins des directions Mtier.
Il ny a pas de belle solution technologique : il ny a que celle qui rpond aux besoins des
oprationnels Mtier, l o elle est attendue.

MYTHE N 2 :
GRACE A LA DLP, JE N'AI PLUS BESION DES AUTRES OUTILS DE SECURITE
Grave erreur !
Les technologies et les processus associs la DLP sont une brique de la scurit de
linformation. Pour tre efficace, elle doit sintgrer au processus global de scurit de
linformation, qui doit inclure entre la gestion des identits, la gestion des droits daccs, le
chiffrement des donnes sensibles, une infrastructure de firewall, une solution antivirus et
anti-malware, un plan de sauvegarde, un plan de continuit efficace et performant, et enfin
une organisation bien identifie. Pour autant, il faut se proccuper de la DLP mme si on ne
se sent pas parfaitement au point sur ces autres domaines.
La DLP est sans doute un ultime obstacle la fuite dinformation, quelle soit involontaire,
intentionnelle ou frauduleuse.
Mais comme tout obstacle, il peut tre contourn.

MYTHE N 3 :
JE N'AI BESOIN DE PERSONNE POUR CONSTRUIRE MA DLP
En aucun cas !
Comme tout projet transverse, vous devez susciter ladhsion de tous. Ds le dbut de la
conception de la DLP, il faut mobiliser la direction gnrale, seule autorit pour la lgitimer.
Cette adhsion, cest celle que lEntreprise attend de ses collaborateurs tout moment de

58
DLP : Data Leak Prevention / Prvention de la Fuite dInformation

Un livre collectif 155 / 296


Mythes et lgendes des TIC

traitement des donnes sensibles. Ds le projet de mise en place de la DLP, vous devez
communiquer vos objectifs de rsultats. Il faut viter les difices technologiques et les
effets tunnels tout comme il est ncessaire de fixer des objectifs atteignables. Adresser
lensemble de donnes de lentreprise, ce nest pas un objectif raliste, et cest rarement ce
dont vous avez besoin. Commencez par ce qui est vraiment critique, adressez dans un
premier temps un seul dpartement spcifique avant de dployer toute votre DLP. La
prvention de la fuite dinformations dans lentreprise, cest laffaire de tous.

MYTHE N 4 :
UNE DLP, A COUTE LES YEUX DE LA TETE ET N'A PAS DE RETOUR SUR
INVESTISSEMENT

Fausse ide !
La mise en place dune DLP est une ncessit que lon rend accessible en ajustant la
dmarche aux enjeux dune entreprise tout en faisant preuve de pragmatisme et du souci de
la matrise de linvestissement.
Par consquent, un projet DLP doit tre adapt au contexte de lentreprise quil va toucher ;
la sensibilisation des collaborateurs doit tre privilgie. Pour ce faire, les informations de
lentreprise doivent tre correctement rpertories et classifies afin de faire prendre
conscience aux employs de la valeur des donnes quils manipulent. Linvestissement
technologique est minime en regard de limpact dune fuite dinformations sensibles : dni
dimage, perte de parts de march, fuite de clients, poursuites pnales.

MYTHE N 5 :
LA DLP C'EST BON QUE POUR LES GRANDS GROUPES
Encore une ide fausse!
Les PMEs sont galement confrontes un environnement concurrentiel trs tendu, et sont
considres par nature comme plus vulnrables, donc plus attaquables . Par ailleurs, les
processus ny sont pas aussi rigoureux que dans les grands groupes, et les informations
sensibles sont souvent manipules par lensemble des collaborateurs. Ces donnes peuvent
tre dune extrme sensibilit (laboratoires de recherches, cabinets davocats, cliniques,).
Enfin, tant moins diversifies que les grands groupes, la perte de contrle de donnes
sensibles peut facilement mettre en cause lensemble de lactivit.

MYTHE N 6 :
LA DLP VA ME GENERER DES PROBLEMES JURIDIQUES A N'EN PLUS FINIR
Absolument pas !
Comme tout processus de surveillance des donnes lectronique, une information du
personnel, un avis de comit dtablissement, une dclaration la CNIL, et tout est en ordre,
comme pour nimporte quelle dtection de virus dans la messagerie ou le trafic internet !

MYTHE N 7 :
LA DLP EST DEJA COUVERTE PAR L'ENSEMBLE DES ATRES TECHNOLOGIES DE
SECURITE DE L'INFORMATION

Autre fausse ide !

Un livre collectif 156 / 296


Mythes et lgendes des TIC

Si les autres technologies de la scurit de linformation (chiffrement, IAM, firewall, anti-


malwares, DRM, sauvegardes,) sont indispensables une bonne DLP, elles ne sont
malheureusement pas suffisantes ! Plus de 78% des violations de donnes sont effectues par
des personnes autorises, et le plus souvent de manire bien involontaire. Par exemple, des
fins de suppos confort, de nombreuses rplications dinformations sensibles sont
effectues, qui sur une clef USB pour travailler sur un autre ordinateur, qui sur son PC
portable pour travailler tranquillement hors connexion, qui envoyes par mail sur sa
messagerie personnelle (Yahoo, Google,) pour travailler de la maison, qui sur un espace de
partage (Sharepoint, disque rseau, Cloud public) pour retravailler les donnes en dehors de
leurs applications natives. Toutes ces manipulations de stockage sauvage, dutilisations
intempestives et de mouvements non scuriss sortent les informations du contrle de
lentreprise et les mettent en situation de fuite ou de vol. La DLP est l pour prvenir ce
genre de drive.

MYTHE N 8 :
MA SOLUTION EST INSTALLEE, LE TRAVAIL EST FINI
Malheureusement non, il ne fait que continuer !
La vie de lEntreprise continue, lentreprise elle-mme volue, et vous devez adapter les
processus de dcision de lEntreprise pour quils pensent DLP : un nouvel embauch, un
nouveau produit, une nouveau processus, une nouvelle application, un nouveau contrat, un
nouveau rglement, un nouveau site de production, une nouvelle agence commerciale, une
croissance externe, une rorganisation et, bien entendu, un nouvel outil informatique : autant
de changements traduire sur votre DLP, pour la maintenir jour et oprationnelle et viter
les faux positifs ou les faux ngatifs.
Cest ce que lon appelle le Maintien en Condition Oprationnelle (MCO) de la DLP qui doit
prendre en compte toutes les volutions et mises jour de votre processus de DLP au sein
de votre organisation.

CONCLUSION
Toute dcision de mise en place dune DLP exige une volont affirme, demande du temps
et de lnergie, et suppose lallocation en ressources, pas tant pcuniaires que humaines.
La DLP est un processus continu, qui exige donc un suivi permanent. Tout comme le PCA,
la DLP va devenir terme elle aussi un lment commercial diffrenciateur.
Mettre en place une DLP au sein de son organisation est un moyen et non une finalit.

Un livre collectif 157 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU PCA / PRA59 (1)

Bruno Hamon, MIRCA

Construire un PCA cest conduire un projet dentreprise, transversal et multidisciplinaire.


Son ardent objectif consiste prparer lentreprise faire face un sinistre, pour assurer sa
survie. La construction du PCA impose la production dun plan dactions dtaill sur ce quil
faudra faire si le sinistre survient.
Construire le PCA, revient donc adapter lorganisation dune entreprise pour atteindre
lobjectif de continuit, lui-mme orient vers la satisfaction de ses clients.
Pour russir cet ambitieux projet, vous devez djouer les piges et les mythes qui sont
nombreux et dont certains ont la vie dure.

MYTHE N 1 :
JE N'AI BESOIN DE PERSONNE POUR CONSTRUIRE MON PCA
En aucun cas !
Comme tout projet transverse, vous devez susciter ladhsion de tous. Il faut mobiliser ds la
construction du PCA la direction gnrale, seule autorit pour le lgitimer. Cette adhsion,
cest celle que lEntreprise attend de ses collaborateurs au moment du sinistre. Ds le projet
de mise en place du PCA, vous devez communiquer vos objectifs de rsultats et de dlais.
Il faut viter les cathdrales technologiques et les effets tunnels tout comme il est ncessaire
de fixer des objectifs atteignables. Redmarrer toutes vos activits sous 2 heures, ce nest pas
un objectif raliste, et cest rarement ce dont vous avez besoin. Le PCA dans lentreprise,
cest laffaire de tous

MYTHE N 2 :
JE VAIS D'ABORD TRAITER L'INFORMATION DANS MON PCA
Surtout pas
Il faut tout dabord mobiliser vos directions Mtier, seules comptentes pour dfinir les
objectifs oprationnels atteindre au moment du redmarrage, et en dduire les moyens et
les outils ncessaires. Ce nest quaprs que vous pourrez mobiliser vos fonctions support,
dont la fonction informatique, en rpondant prcisment aux besoins des directions Mtier.
Il ny a pas de belle infrastructure technique : il ny a que celle qui rpond aux besoins des
oprationnels mtier, dans les dlais et l o elle est attendue.

MYTHE N 3 :
JE N'AI PAS BESOIN DE TESTER MON PCA
Grave erreur !
Dans un PCA, il n'y a ni hros, ni exploit personnel, ni improvisation subtile de dernire
minute.

59
Plan de Continuit d'Activit / Plan de Reprise d'Activit

Un livre collectif 158 / 296


Mythes et lgendes des TIC

Les improvisations de dernire minute sont rarement gniales.


Quand votre PCA est dfini, document, et que tous ont t entrans son excution, il faut
alors mobiliser toute lEntreprise sur lobjectif des tests du PCA.
Seuls ces tests permettent dtablir avec certitude que votre PCA est oprationnel.
Pour les deux volets du PCA souvent dsigns par le PCO (Plan de Continuit Oprationnel
qui traite langle Mtier) et le PCI (Plan de Continuit Informatique qui lui traite de la partie
technique), il est fortement recommand de procder rgulirement des tests unitaires
(une seule procdure) mais aussi raliser des tests de bout en bout (enchainement de
lensemble des procdures)

MYTHE N 4 :
UN PCA, A COUTE LES YEUX DE LA TETE
Fausse ide !
La mise en place dun PCA est une ncessit que lon rend accessible en ajustant la dmarche
aux enjeux dune entreprise tout en faisant preuve de pragmatisme et du souci de la matrise
de linvestissement.
Par consquent, un projet PCA doit tre adapt au contexte de lentreprise quil va toucher ;
la prvention doit tre privilgie, dans certain cas lexternalisation du secours peut
galement permettre lentreprise de ne se concentrer que sur son cur de mtier. Par
ailleurs, on a pu constater ces dernires annes que les cots des solutions techniques avaient
drastiquement baiss ; dans certain cas la solution technique peut rpondre aux chocs
extrmes mais aussi aux problmes de disponibilit du quotidien.
Enfin, notons quun PCA peut commencer par une simple cl USB !

MYTHE N 5 :
UN PCA EST UN PROJET SANS RETOUR D'INVESTISSEMENT
Autre fausse ide !
Dcider de mettre en place un PCA ressemble, peu de choses prs, la signature dun
contrat dassurance.
De fait, la question se poser alors nest pas tant Avons-nous besoin dun PCA ? que
Jusqu quel point avons-nous besoin de dfinir les mesures de continuit dactivit de
notre organisation .
Cette approche spcifique privilgie donc ladquation des mesures aux enjeux dune
entreprise et doit garantir un retour sur investissement par construction.
Dans tous les cas de figure, les bnfices attendus doivent sajuster aux risques encourus.

MYTHE N 6 :
UN PCA N'EST BON QUE POUR LES GRANDS COMPTES
Encore une ide fausse!
Une PME reste plus sensible aux risques de choc extrme car elle rside souvent sur un seul
et mme site. Autrement dit, son bassin commercial est souvent rgional et son assise
financire demeure plus fragile. Trs rares sont les cas o les PME peuvent compter la fois
sur le recouvrement des fonctions-cls mais galement sur une concentration de leurs
ressources vitales.

Un livre collectif 159 / 296


Mythes et lgendes des TIC

Par consquent, une PME peut moins se permettre de laisser les sinistres dcider de son
avenir en comparaison avec ses principaux et gros concurrents qui eux sont gnralement
assis sur plusieurs sites/continents ou adosss des groupes/investisseurs puissants.
Dans tous les cas, il est important de bien calibrer lorganisation de crise et le dispositif du
PCA.
Ces deux aspects doivent tre aussi souples et agiles que la PME.

MYTHE N 7 :
MON PCA EST ACHEVE ET TESTE : LE TRAVAIL EST TERMINE
Malheureusement non, il ne fait que continuer !
La vie de lEntreprise continue, et vous devez adapter les processus de dcision de
lEntreprise pour quils pensent PCA : un nouvel embauch, un nouveau client, un
nouveau fournisseur, un nouveau produit, un nouveau contrat, un nouveau rglement, un
nouveau site de production, une nouvelle agence commerciale, une croissance externe, et,
bien entendu, un nouvel outil informatique : autant de changements traduire sur votre
PCA, pour le maintenir jour et oprationnel.
Cest ce que lon appelle le Maintien en Condition Oprationnelle (MCO) du PCA qui doit
prendre en compte toutes les volutions et mises jour de votre PCA au sein de votre
organisation.

CONCLUSION
Toute dcision de mise en place dun PCA exige une volont affirme, demande du temps et
de lnergie, suppose un budget en consquence. Le PCA impose galement un suivi
permanent, requiert un pilote motive, disponible, rigoureux et mthodique. Dun autre ct,
le PCA va devenir terme un lment commercial diffrenciateur : il est un moyen et non
une finalit.

Un livre collectif 160 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU PCA / PRA (2)

Lionel Mourer, ESR Consulting

MYTHE N 1 :
60
IL NE PEUT RIEN NOUS ARRIVER OU LE BIAIS DE STABILITE
Le biais de stabilit , cest lide du caractre indiscutable des chiffres (probabilits,
statistiques) : il y a une chance sur 1 million que cela nous arrive . Pourtant, le jour o cela
arrive : aye aye aye !
Que dire des sinistres qui ne peuvent pas arriver et qui pourtant arrivent ! Nombreux sont les
exemples, parmi eux citons :
le World Trade Center (septembre 2001) : deux avions plants dans des gratte-
ciels !,
panne majeure dlectricit en Europe de lOuest (novembre 2006) : 10 millions
deuropens sans lectricit pendant une nuit et 5 millions de franais pendant prs
dune heure,
mare noire dans le golfe du Mexique (avril 2010)
Fukushima (mars 2011) : une enceinte anti-tsunami prvue pour des vagues de moins
de 6 mtres (celle du 11 mars en faisait 14),
etc.
Sans oublier les sinistres dorigine naturelle. Par exemple, rien que pour lanne 2010 en
Europe, citons :
la scheresse en Russie : plus de 56 000 morts et un nombre ahurissant dincendies,
la tempte Xynthia : 64 morts et environ 2 milliard deuros de cots induits,
lruption volcanique en Islande, entrainant nombre de perturbations notamment
conomiques mais sans grands dommages matriels),
etc.
Le Plan de Continuit dActivit dune entreprise ne prtend pas couvrir la totalit des
diffrents types de sinistres et tout particulirement lorsque celui-ci dpasse le cadre de
lentreprise. Toutefois, sa mise en place a fait ses preuves dans la capacit dune entreprise
rebondir face un sinistre, lui permettant la reprise rapide de ses activits stratgiques.
Bien entendu, le PCA ne peut pas non plus prtendre rpondre 100% tous les sinistres,
en particulier lorsque celui-ci dpasse le cadre de lentreprise. Toutefois, lexistence dun tel
mcanisme a souvent fait ses preuves dans la capacit des entreprises reprendre leurs
activits stratgiques suite un sinistre majeur

60
Cf. les travaux des psychiatres amricains Amos Tversky et Daniel Kahneman sur les
schmas de pense et le rle des biais cognitif .

Un livre collectif 161 / 296


Mythes et lgendes des TIC

MYTHE N 2 :
RIEN NE SERT DE SECOURIR, IL SUFFIT DE SAUVEGARDER
Soyez certain que nos quipes sont habitues grer les situations durgence : cest leur
quotidien ! : combien de fois ai-je entendu cette litanie Malheureusement, les faits nous
ramnent la dure ralit : sans vision globale et en cas de sinistre majeur, le risque de ne pas
redmarrer les activits vitales est important !
De fait, lorsque lon parle de continuit dactivit de lentreprise et/ou du Systme
dInformation, la sauvegarde nest pas la panace ! Bien entendu, celle-ci reste indispensable
pour pouvoir rintroduire les donnes dont les utilisateurs auront besoin lors de la remise en
route des systmes (gestion du Recovery Point Objective ou Perte de Donnes Maximale
Admissible).
Toutefois, un Plan de Continuit dActivit ne sarrte pas aux aspects restauration
informatique . En effet, en cas de sinistre grave, nul ne sait lavance qui et/ou quoi
pourrait tre atteint. De fait, des procdures doivent exister, afin de grer :
la phase de bascule (doit-on ou pas dclencher le PCA ?...),
en cas de dclenchement, la gestion de crise : comment organise-t-on la reprise,
comment communique-t-on (en interne, en externe, etc.),
la prparation au retour la normale (sur le site dorigine ; mais o va-t-on si le site est
dtruit ?...),
etc.
On le voit, un PCA est un ensemble de procdures, crites lavance, qui permettent, le jour
de la crise, en suivant un canevas cohrent et efficace de rpondre au sinistre qui survient.

MYTHE N 3 :
METTONS EN PLACE UN SYSTEME DE REPLICATION ET SUPPRIMONS LES
SAUVEGARDES

Attention ! Certains voudraient vous faire croire que la rplication (synchrone ou


asynchrone) suffit elle seule garantir les donnes. Cest sans compter sur la pollution
logique
Bien entendu, les mcanismes de rplication ont fait dnormes progrs et ils apportent (pour
un prix qui peut tre trs lev) des solutions performantes. Toutefois, une donne qui serait
pollue (perte de son intgrit), serait immdiatement rplique sur la baie de sauvegarde
et en cas de sinistre, les donnes restaures ne seraient pas cohrentes !
Pour viter cela, il est indispensable de conserver une sauvegarde dite de recours , ayant
une certaine anciennet (1 semaine, 1 mois, voire plus selon les donnes conserver) qui
permettra le cas chant de rinjecter des donnes, certes anciennes, mais cohrentes !
Cette sauvegarde de recours peut tre ralise sur tout support adapt qui pourra tre relu
lors de la restauration du Systme dInformation.

Un livre collectif 162 / 296


Mythes et lgendes des TIC

3 PARTIE : ASPECTS MATERIELS

Un livre collectif 163 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES IMPRIMANTES61

Antonin Le Faucheux, NBS System

Les imprimantes sont le type de priphrique que lon retrouve partout, tant dans les
entreprises que chez les particuliers. Elles sont indispensables et font partie de notre
quotidien. On ne sy intresse en gnral que quand celles-ci tombent en panne ou quil faut
changer un consommable. A lheure du tout numrique et de la dmatrialisation, les
imprimantes ont encore toute leur place au sein des entreprises et doivent faire lobjet dune
attention particulire.

MYTHE N 1 :
LES DOCUMENTS SONT EFFACES DE LA MEMOIRE DE LIMPRIMANTE DES QUILS SONT
IMPRIMES

La majorit des imprimantes utilises en entreprise sont des imprimantes rseau. La quasi-
totalit de ces imprimantes disposent dun disque dur. Le disque dur est utilis pour stocker
le document entre le moment de son arrive depuis le rseau jusqu' son impression par
limprimante. Une fois le document imprim, celui-ci est effac du disque dur de
limprimante. Le problme vient du fait que leffacement du fichier nest que partiel. En
effet, seule la rfrence vers le fichier est effac, le fichier est toujours physiquement sur le
disque dur mme si il nest alors plus accessible logiquement. Maintenant imaginez que
quelquun subtilise le disque dur de limprimante. A laide de programmes spcialiss, il lui
est tout fait possible de rcuprer le document soit disant effac. Plus la taille du disque dur
est importante, plus le nombre de documents rcuprable sera important.

MYTHE N 2 :
LES IMPRIMANTES SONT DES APPAREILS PASSIFS
On peut penser quune imprimante ne fait quattendre sagement de recevoir des documents
imprimer et quelle ne fait rien le reste du temps. En ralit, a majorit des imprimantes
contrlent en continu ltat de ses consommables (papier, encre, ..) et sont capables
dmettre des alertes si une anomalie est constate. Certaines imprimantes peuvent mme
envoyer des mails et gnrer automatiquement les commandes de consommables.

MYTHE N 3 :
LES IMPRIMANTES SONT DES COMPOSANTS SECURISES AU NIVEAU LOGICIEL
Les imprimantes sont des systmes embarqus dont la principale tche est de raliser
limpression de documents. La majorit des imprimantes fonctionne grce un un systme
dexploitation GNU/Linux ou UNIX modifi par le fabriquant. Une fois limprimante mise
sur le march, la plupart du temps, aucune procdure de mise jour du systme
dexploitation nexiste. De nouvelles failles pour les systmes dexploitation sont dcouvertes
chaque jour. Ce nest donc quune question de temps pour quune faille soit dcouverte pour
la version du systme dexploitation embarqu dans limprimante. La spcificit dune

61
DLP : Data Leak Prevention / Prvention de la Fuite dInformation

Un livre collectif 164 / 296


Mythes et lgendes des TIC

imprimante la rend moins vulnrable quun ordinateur de bureau aux failles applicatives mais
elle peut tre touche par une faille exploitable distance.
Il faut galement noter que de plus en plus dimprimantes disposent dune interface Web
pour leur administration. Ces interfaces peuvent tre vises par des attaques de type Cross
Site Scripting qui, si elles visent un administrateur, peuvent permettre un attaquant de
prendre le contrle de limprimante.

MYTHE N 4 :
LA COMPROMISSION DUNE IMPRIMANTE NA PAS DINCIDENCE NOTABLE EN MATIERE
DE SECURITE

En cas de compromission dune imprimante, un attaquant peut non seulement intercepter


tous les documents qui sont envoys pour impression mais il peut galement utiliser
limprimante comme un vecteur dattaque. Par exemple, en modifiant le systme
dexploitation, il est possible dajouter des outils permettant de scanner le rseau interne de
lentreprise. Lavantage pour lattaquant est que les imprimantes sont trs peu surveilles et il
y a fort parier que lattaque passera inaperue.

Un livre collectif 165 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA QUALITE DE SERVICE

Jacques Baudron, iXTEL

MYTHE N 1 :
LA QUALITE DE SERVICE SOBTIENT EN DIFFERENCIANT LES SERVICES
Ce nest pas tout fait exact. La diffrenciation de services gre la pnurie de ressources en
situation de congestion.
Quest-ce que la congestion ? Cest une situation temporaire o un, voire plusieurs
quipements, ne sont plus en mesure dacheminer les flux pour cause de surcharge. En
fonctionnement normal les quipements de rseaux routeurs par exemple orientent les
paquets vers les ports de sortie. Lorsque la charge du routeur est importante les paquets
doivent patienter en mmoire que les ressources se librent ; ds que la charge dpasse la
capacit de lquipement, des paquets sont perdus. La diffrentiation de service avantage
dans ces oprations de dlestage certains flux au dtriment de flux
moins prioritaires. Lordre de priorit est attribu type de flux par
type de flux lentre dans le rseau. Par exemple un transfert de
fichier sera retenu le temps que des flux sensibles au temps de transit
(trafic interactif, rseaux de stockage ) et/ou des trafics sensibles
aux variations de ce temps (voix, vido ) soient couls.
Parmi les limites inhrentes ce mcanisme, prcisons que la notion de priorit na de
signification que si suffisamment de trafic est non prioritaire. Dans quelle proportion ?
50 ? 70% ? Un chiffre absolu est dlicat dterminer. Ce qui est certain, cest que la
concentration en trafic prioritaire augmente chaque traverse de nud en congestion,
dgradant dautant les performances du mcanisme.
Effet de bord : les paquets dtruits lors de la congestion seront r-mis, augmentant ainsi la
charge dun rseau dj sous tension.
Une piste pour amliorer la qualit de service est donc, non pas de grer la pnurie en cas de
congestion, mais de cerner les mcanismes lorigine de la congestion. Laccus numro un
est le comportement grgaire des paquets lors de leur priple dans le rseau. Partant tous des
mmes rgles et des mmes informations sur le rseau, les calculs de routes pour chacun des
paquets aboutissent des conclusions similaires. Rsultat : le trafic se concentre sur un
nombre restreint de routes. Et ceci quels que soient les pondrations et cots attribus
chacun des liens du rseau.
Ce fonctionnement peut tre visualis partir doutils
trs simples sous forme dhistorique. Linformation
intressante nest pas alors de voir quil y a eu congestion,
- a, tout le monde lavait constat - mais de savoir que
des routes de contournement mme dabsorber le trafic
taient disponibles ce moment..
Bien entendu, ce raisonnement ne vaut que dans la
mesure o il y a plusieurs chemins physiques ou logiques disponibles. Les technologies WiFI
qui partagent un mdium unique entre plusieurs utilisateurs ne sont par exemple pas
concernes.

Un livre collectif 166 / 296


Mythes et lgendes des TIC

Cest maintenant le travail de lingnierie de trafic de rpartir le trafic sur lensemble des
ressources du rseau laide des outils et technologies disponibles.

MYTHE N 2 :
LA PROTECTION CONTRE LES COUPURES SE FAIT EN MOINS DE 50 MILLISECONDES
Vrai et faux.
La protection consiste basculer rapidement (en moins de 50 millisecondes) dune voie
normale vers une voie de secours pr-dtermine, contrairement la restauration o les
routes sont calcules aprs un dfaut.
Cette valeur de 50 ms, arbitraire, est directement hrite des rseaux tlcoms. La rfrence
en matire de protection est le modle SDH qui a construit ses mcanismes autour de ce
chiffre.
Il faut considrer deux phases : la dtection du dfaut et la commutation sur des ressources
de secours.
Aujourdhui, toutes les technologies sont mme de commuter en quelques millisecondes
dune voie normale sur une voie de secours. Mais quen est-il de la dtection du dfaut ?
Les antiques rseaux de tlcoms monopolisaient la bande passante en envoyant en
permanence un signal quil y ait des informations transporter ou non. Ce comportement
coteux prsente un avantage pour la protection : il permet de dtecter immdiatement
(autrement dit en quelques centaines de micro-secondes) une dtrioration du signal.
Dans le cas des rseaux par paquets, le principe de fonctionnement est diffrent. On
nenvoie des paquets que lorsquon veut transmettre des informations. Mais alors, partir de
quel critre une absence de paquet doit-elle tre interprte comme une coupure ? Comment
peut-on dtecter une coupure dans un rseau IP ?
Remarquons que fondamentalement IP est un protocole dinterconnexion de rseaux
(Internetwork Protocol) : par dfinition, il ignore la nature des rseaux interconnects. Il
perd la vue physique pour ne travailler quau niveau logique. Il est alors logique de ne plus
avoir accs aux alarmes qui sont des informations lies ltat physique du rseau.
Deux mthodes permettent nanmoins de retrouver ces informations dalarme.
La premire voie consiste tablir un change permanent de messages (KeepAlive) entre
nuds voisins pour dtecter les coupures. La cadence laquelle il est recommand
deffectuer cet change est de 5 millisecondes. Malheureusement, que psent 5 millisecondes
face une congestion ? Combien de millisecondes dure une congestion ? 10 ? 100 ? 1000 ?
Le problme est que toutes ces valeurs sont correctes, car ce temps est par nature non
dtermin. Les 5 millisecondes sont de ce fait dans une zone dincertitude et sont la source
de fausses alarmes ; elle deviennent alors le plus frquemment dans les configurations de
rseau 1 voire 3 secondes. On se retrouve ainsi avec un systme capable de cicatriser un
dfaut en moins de 50 millisecondes aprs une dtection en 1 seconde !
La deuxime voie consiste faire fi du modle en couches et aller chercher directement au
niveau physique les informations dalarme. Le monde tant petit, la couche physique est
typiquement SDH.

Un livre collectif 167 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
LA PROTECTION CONTRE LES COUPURES NE CONSOMME QUE PEU DE BANDE PASSANTE
En terme de protection, la rfrence est constitue par les rseaux tlcoms de type SDH,
qui ont donn lieu la dfinition de mcanismes aujourdhui prouvs. La dfinition de la
protection dans les rseaux IP ou plus gnralement par paquets laisse esprer une meilleure
occupation de la bande passante. Or nous allons voir que si il y a effectivement un gain en
labsence de contrainte de temps, lobjectif de 50 millisecondes limite les options
doptimisation de la bande passante.
Premire question : peut-on couler du trafic de moindre
Quel protocole pour une priorit dans des ressources prvues pour la protection
protection en 50 millisecondes?
La dure dune congestion est
lorsque celle-ci nest pas active ? La rponse est oui si il ny
incertaine, comprise le plus a pas de contrainte de temps et non dans le cas contraire.
souvent entre 10 millisecondes Dans un rseau IP , deux situations peuvent se trouver.
et quelques secondes. Dans ces Soit les ressources sont suffisamment dimensionnes pour
conditions, il nest pas possible
de garantir la ralisation dun
accepter le trafic rerout en protection auquel cas on est
dialogue par change de dans la situation o il ny pas de gain en bande passante,
paquets dans un dlai de 50 soit les ressources sont insuffisantes et la congestion, alors
millisecondes. cre, est gre par des mcanismes de priorit qui cartent
le trafic Best effort au profit du trafic protger. Ces
conditions de congestion ne permettent pas de spcifier une valeur maximum pour le temps
mis accomplir le reroutage.
Si une cicatrisation en moins de 50 millisecondes est recherche, les ressources de protection
doivent tre prtes accueillir le trafic. Les ressources de protection doivent tre rserves au
mme titre que les ressources de transport en mode normal. Il ny a alors pas de gain en
bande passante par rapport aux techniques de protection SDH.
Une deuxime question se pose au niveau des routes
de protection. La solution la plus intuitive consiste
prvoir deux routes disjointes et de basculer de lune
lautre lors de lapparition dun dfaut. Ce principe est
utilis pour la protection des rseaux tlcoms
classiques.
Malheureusement, ce principe saccomode mal de la contrainte des 50 millisecondes. Pour
pouvoir basculer de la voie normale vers la voie secours , il faut faire parvenir
linformation de dfaut aux extrmits. Or cette information circule dans un rseau soumis
aux situations de congestion encore amplifies par la raction la coupure. Il nest dans ces
conditions pas possible de garantir un basculement sur la ressource de protection en temps
requis.
Pour pallier le problme, le mcanisme Fast
Reroute par exemple prconise une commutation
directe de la part des extrmits du lien endommag
vers une route de secours locale sitt le dfaut
constat (local repair). Il ny a plus ainsi propager
linformation jusquaux extrmits du flux. Par contre ce nest pas sans consquence sur
loccupation des ressources. La bande passante de secours est rserve sur chaque maille
traverse.

Un livre collectif 168 / 296


Mythes et lgendes des TIC

La protection contre les coupures a un cot modr tant quil ny a pas de contrainte de
temps mais est trs exigeante ds que lon cherche retrouver les conditions des rseaux
tlcoms classiques.

Un livre collectif 169 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES TECHNOLOGIES


VOCALES

Philippe Poux, VocalNews.info

Reconnaissance automatique et synthse de la parole sont nes sous limpulsion de quelques


chercheurs, autour du Professeur Jelinek, dans les laboratoires IBM.
Rapidement ce qui semblait ais en traitement informatis du signal sest avr
mathmatiquement complexe, gourmand en puissance de calcul dmontrant ainsi que
notre cerveau est nettement plus efficace quun simple calculateur.
Avec des algorithmes bass sur les modles de Markov, et laugmentation rgulire de la
puissance de calcul des processeurs, ces technologies de la parole sont devenues ralit. On a
vu alors des variantes dgrades envahir nos tlphones mobiles et dautres les serveurs
vocaux interactifs, avec plus ou moins de bonheur, laissant le champ libre plusieurs ides
reues.

MYTHE N 1 :
LES CLIENTS NAIMENT PAS PARLER A UN ORDINATEUR
La plupart des responsables de relation client pensent instinctivement dplaire leurs clients
en leur proposant ces technologies, sans tayer leur point de vue sur la moindre tude ou
analyse. Et en oubliant que le premier souhait dun client qui appelle cest dobtenir une
rponse. Le mode dinteraction importe peu.
En corollaire, on entend souvent que les technologies de la parole dshumanisent la relation
client rien nest dit de tel concernant le site web ou les scripts contraignants imposs aux
tlacteurs ;-)
Alors, basons-nous sur quelques faits dmontrs. Ltude Forrester de dbut 2010 a montr
que les consommateurs notent mieux les systmes automatiss que les agents pour certaines
interactions car ces derniers sont tellement enferms dans des scripts quils rpondent
moins bien quun SVI. Le sondage a galement rvl que les systmes tlphoniques
automatiss sont un attendus et accepts comme service par 82 % des clients.
Par ailleurs limpression dsagrable de nombre de services vocaux vient de leur ergonomie
dficiente. En effet, pourquoi faire confirmer les demandes lorsque lon sait que le moteur de
reconnaissance est bon dans 96% des cas ? Cest ce qua trs bien compris Air France avec
son service 3654, qui remercie chaque information client et passe la phase suivante.
Ltude BVA Service Client 2010 montre que la satisfaction client est de 79% avec un email
et 75% au tlphone, contre 93% en face face

MYTHE N 2 :
LES HUMAINS SONT PLUS EFFICACES
Rien ne vaut un tre humain, que ce soit pour couter, comprendre, ou entrer en empathie.
Les prescripteurs comme les chercheurs dvous aux technologies vocales ne cherchent pas
remplacer lhumain, seulement laccompagner, laider. Et les questions complexes sont

Un livre collectif 170 / 296


Mythes et lgendes des TIC

plus du ressort de lintelligence humaine, lartificielle restant encore plus limite que la
reconnaissance de la parole.
Mais une fois ces jalons poss, force est de constater que si lhumain est plus efficace que
lordinateur, cest aussi une denre rare et chre. Les entreprises continuent de considrer les
centres de contacts comme des centres de cot et non de vritable relation client, aussi ils
limitent le nombre des oprateurs. Au dtriment de leurs clients.

MYTHE N 3 :
INTERNET REMPLACE LES SERVICES VOCAUX
Les SVI auraient t un moyen de proposer du renseignement et self service avec le
tlphone, Internet supple donc tous ces besoins. Ce point de vue se tient un dtail prs,
lmergence de lautre phnomnale rvolution de ces dernires annes, le Mobile.
Les usages ont profondment volu, le mobile est nettement plus prsent que laccs
internet et la convergence ne fera quacclrer la prdominance du Mobile.
Cest ce quont trs bien compris Larry Page et Sergei Brin, les fondateurs de Google, en
expliquant fin 2008 quil leur fallait devenir aussi les leaders de la recherche dinformation sur
ces appareils et que linteraction la plus naturelle tait la voix !
Ils ont alors cr un dpartement entier pour dvelopper leurs moteurs vocaux, lanc un
service gratuit dannuaire pages jaunes (1-800-GOOG-411) afin dapprhender les
comportements et daffiner leurs modles. Ce service a tellement bien fonctionn quils
proposent maintenant leurs premires applications vocales pour smartphones avec une
qualit tonnante. Maintenant quil a rempli sa mission, le service 411 a t ferm

MYTHE N 4 :
LA RECONNAISSANCE VOCALE EST MORTE
Certaines technologies prennent moins de temps pour devenir matures. Aussi, certains
analystes, constatant que les taux derreur rduisent lentement, que la parole na pas encore
envahi tous nos appareils, en dduisent la mort de cette technologie.
Et il est vrai que la plupart des recherches en intelligence artificielle ont pris beaucoup de
temps. Plus que prvu, pens, rv Car lintelligence humaine est beaucoup plus complexe
que ne le supposaient certains chercheurs. Ce nest pas une raison pour jeter aux orties les
systmes experts, rseaux neuronaux et autres avances.
Enfin, on verra rapidement que des usages simples de la reconnaissance de la parole dans des
mobiles arrivent et rendent de vritables services. Il suffit de voir le succs de ces
applications sur lAppStore de liPhone ou sur Android.

Un livre collectif 171 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA CARTE A PUCE

Thierry Autret et Dominique Decavle

La carte puce est devenue au fil des temps un objet familier du quotidien de nos
concitoyens au point que des publicits nhsitent pas lassocier au bien tre dun moment
pass avec un proche, tout le reste pouvant sacheter avec une carte bancaire. En France, par
son utilisation dans les distributeurs de billets et les terminaux de paiement, dans les
publiphones et les parcmtres, mais galement dans le secteur de la sant, de ladministration,
du transport, la carte puce a jou un rle majeur dans la modernisation des infrastructures
et par de considrables gains de production depuis le dbut des annes 80.
Aujourdhui moyen de paiement prfr des franais, la carte puce est devenue
incontournable au point quon pnalisera bientt le mdecin de 50 centimes deuros si le
patient na pas sa carte Vitale pour gnrer sa feuille de soin lectronique. Cest donc la
solution tous nos problmes.
Mais quelle est sa gense et quels sont les mythes rencontrs sur cette fameuse carte ?

MYTHE N 1 :
LA CARTE A MEMOIRE ET LA CARTE A PUCE C'EST DU PAREIL AU MEME
Certes non ! Au dbut il y a eu une certaine confusion de langage entre les cartes mmoire
dites passives et les cartes circuit intgr galement appeles carte microprocesseur ou
microcontrleur. Les premires sont quivalentes des cls USB flash daujourdhui ou aux
RFID savoir des supports de donnes. Elles transportent de linformation mais sont
passives. Les cartes microprocesseur, comme leur nom lindiquent, disposent quant elles
dun ou plusieurs processeurs et, lorsquelles disposent de lalimentation dun lecteur de
carte, se comportent comme un ordinateur qui disposerait de son programme embarqu,
voire de plusieurs pour les cartes multi-applications.
Le terme carte puce peut sembler plus gnrique car il peut regrouper toutes les formes de
cartes ds lors quon peut les prsenter un terminal.

MYTHE N 2 :
LA CARTE A PUCE EST UN ORDINATEUR
Oui, mais un ordinateur teint tant quon ne la prsente pas un terminal ou linduction
dun champ magntique pour les cartes les plus rcentes qui disposent dune antenne
intgre. Il sagit des cartes sans contact qui vont progressivement se populariser dans les
services de fidlisation et de paiement.

MYTHE N 3 :
LA CARTE A PUCE A ETE INVENTEE PAR ROLAND MORENO
Cest sans nul doute Roland Morno qui a fait connatre au grand public la carte puce. Mais
en ralit, comme toute invention majeure elle est le fruit dune gense collaborative :
En 1969, Jrgen Dethloff dpose un brevet sur un circuit intgr incorpor dans un
objet portable et servant lidentification du porteur ;

Un livre collectif 172 / 296


Mythes et lgendes des TIC

En 1974, Roland Moreno dpose un brevet centr sur la protection des donnes de
lobjet portable par un code confidentiel (initialement sous la forme dune bague). La
mme anne il cre la socit Innovatron pour exploiter son brevet ;
En 1977, Michel Ugon de Bull dpose un brevet qui met en avant la capacit de
traitement plutt que la mmoire, cest la technique CP8 ;
En 1978, la Direction Gnrale des Tlcommunication, anctre de France Telecom
lance avec dix banques franaises le GIE Carte mmoire ;
En 1979, Louis Guillou met laccent sur la cryptographie embarque ;
Ces brevets sont relatifs au concept daccs conditionnel, c'est--dire le contrle des droits
daccs une ressource, un service.
Dautres brevets portent sur le facteur de forme, c'est--dire la forme physique de lobjet et
de ses interfaces :
En 1990 Mikron dpose un brevet sur une interface sans contact ;
En 1990 Hartmut Hennige dpose un brevet sur une carte multi-application.
Ce dernier exemple est intressant du point de vue de la dfinition dune carte puce, car en
2000 les propritaires du brevet ont poursuivi en justice certains fabricants de PDA,
ordinateurs de poche dont le format se rapproche de celui dune carte, alors que par ailleurs
les systmes dexploitation multi-application navaient rien de nouveau sur les ordinateurs.
En sloignant du domaine de la proprit intellectuelle vers celui des ides pures, la suite
de Michel Ugon, on reconnatra un anctre de la carte puce en 1968 sous la plume de Ren
Barjavel dans La Nuit des Temps : Chaque fois qu'un Gonda dsirait quelque chose de nouveau, des
vtements, un voyage, des objets, il payait avec sa cl. Il pliait le majeur, enfonait sa cl dans un emplacement
prvu cet effet et son compte, l'ordinateur central, tait aussitt diminu de la valeur de la marchandise ou
du service demands .
En sloignant du domaine des brevets dans lautre direction, vers celui des utilisations relles
de la carte puce, on tirera notre chapeau Roland Moreno pour avoir convaincu les
autorits franaises, et en particulier la Direction Gnrale des Tlcommunications que la
carte puce devait figurer dans les NTIC (Nouvelles Technologies de lInformation et de la
Communication) ct du Minitel et du Visiophone).
Mais en France ce sont les applications de la carte puce qui vont la rendre si populaire. En
1984, un protocole daccord jette les bases de linterbancarit CB. Il sagit, pour la premire
fois, de permettre tout porteur de carte CB quel que soit ltablissement metteur de retirer
de largent dans nimporte quel DAB parmi les 7 000 en service et de rgler ses achats chez
les 300 000 commerants affilis CB. Le systme CB rend ainsi interoprable 3 systmes
existants : celui de la Carte Bleue, du Crdit Agricole et du Crdit Mutuel.
Cette mme anne voit natre le Groupement des Cartes Bancaires CB charg de faire vivre
cette interbancarit.

MYTHE N 4 :
LA CARTE A PUCE EST UNE TECHNOLOGIE DAVENIR
La carte a un format physique normalis par lISO, dont lorigine remonte aux cartes de
paiement estampes (en franglais embosses ) des annes 50. La premire rvolution
technologique de la carte de paiement a t la piste magntique, dont lobjectif tait
dautomatiser la consultation de la liste noire des cartes en opposition. La deuxime
rvolution technologique a t la puce.

Un livre collectif 173 / 296


Mythes et lgendes des TIC

En 1986, Visa a fait dvelopper une Super-smartcard qui avait un clavier, un cran et sa
propre alimentation. Elle tait plus paisse quune carte ISO. Si le nom de Visa navait pas
t crit dessus, laurait-on appele une carte ?
Une carte sans contact et lecteur dempreinte digitale incorporant son alimentation est-elle
encore une carte ?
Le facteur de forme qui caractrise traditionnellement la carte puce est, en plus du format
ISO, labsence dinterface humaine qui fait que la carte interagit avec son porteur via un
terminal. Cest le terminal qui affiche le montant que vous allez payer. Cest le terminal qui
saisit votre code confidentiel et lenvoie la carte.
Ce nest pas un problme dans les systmes dont tous les composants sont sous la
responsabilit dun seul acteur, par exemple un systme de paiement par carte, tout au moins
tant quil utilise des moyens ddis. Mais combien de temps dureront les systmes ddis ?
Srement longtemps pour les applications de type tiquette RFID (tag) o il ny a pas de
porteur, mais dans les systmes daccs conditionnel ?
Plus que dans son packaging, cest dans les fonctionnalits de la puce que se trouve lavenir
de la filire industrielle carte puce, mme si cette puce nest plus demain sur une carte mais
au fond dun tlphone intelligent ou dune ardoise pour grer des droits acquis par le
porteur ou au fond dun ordinateur pour grer lauthenticit et lintgrit des
tlchargements. Cest dailleurs la voie dj trace par les cartes SIM des tlphones mobiles,
qui ne doivent dtre restes des cartes quau jeu de pouvoir entre oprateurs tlphoniques
et fabricants de tlphones.

MYTHE N 5 :
LA CARTE A PUCE PROTEGE LES DROITS DE SON PORTEUR
Lattaquant serait donc un tiers qui vient usurper les droits du porteur lgitime
Mais alors que penser dune des premires applications de dossier portable mise en uvre
par larme amricaine, qui se donnait pour objectif dviter quun soldat ne sarroge des
dcorations ou des qualifications quil navait pas gagnes ? Et que penser dun porte-
monnaie lectronique ?
Regardons de plus prs le fonctionnement dune carte de signature lectronique. Si elle
fonctionne base de cryptographie asymtrique, et quelle a gnr sa propre bicl, elle
contient un certificat de cl publique, qui na pas besoin de protection par nature, et une cl
prive bien protge au fond du silicium.
Mais si elle fonctionne base de cryptographie symtrique, elle contient une cl secrte
partage avec lautre bout de la liaison cryptographique, par exemple un serveur bancaire. Il
peut tre dans lintrt dun porteur-fraudeur de fabriquer un clone quil remettra un
comparse tandis que lui-mme organise son alibi afin de pouvoir contester les transactions et
daccuser la gestion des secrets par la banque.
La construction juridique des contrats cartes bancaires fait donc de la carte un objet remis au
porteur mais qui continue dappartenir la banque, en quelque sorte une agence de banque
miniature laquelle le porteur donne des ordres en frappant son code confidentiel.

Un livre collectif 174 / 296


Mythes et lgendes des TIC

MYTHE N 6 :
LA CARTE A PUCE EVALUEE CRITERES COMMUNS RESISTE AUX ATTAQUES
Les attaques sur une carte puce ont pour but de dcouvrir ses secrets, de falsifier des
informations ou de modifier son comportement.
Les attaques par canaux cachs consistent observer les fuites de toutes sortes :
consommation de courant, dure de traitement, radiations. Les attaques par perturbation
consistent injecter des fautes ou faire fonctionner le composant en dehors des conditions
normales, par exemple envoi dun pain sur le contact dalimentation ou abaissement de la
frquence dhorloge jusqu fonctionner en pas pas. Les attaques par intrusion recouvrent
la modification physique de la puce et la pose de sondes.
Les exigences de scurit vis--vis desquelles est test un produit sont rdiges par le
constructeur lorsquil adresse son produit un march. Mais lorsque le produit est destin
une clientle spcifique, il nest pas rare que cette clientle ait rdig ses propres exigences.
Par exemple, dans le cas des cartes bancaires, le niveau de scurit de la carte est
proportionnel aux sommes auxquelles elle donne accs.

Un livre collectif 175 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU PAIEMENT MOBILE

Philippe Poux, MobilePaymentExpo

Lomniprsence des tlphones mobiles permet denvisager une nouvelle dynamique pour les
logiques de porte-monnaie lectronique. Nous ne sortons plus jamais sans notre mobile alors
que nous navons pas toujours un sou en poche, la solution semble donc vidente.
Pourtant le paiement depuis un mobile peine dcoller en Europe, alors quil sest fortement
dvelopp en Asie (80 millions de porteurs au Japon) et que les transferts dargent par ce
biais sont largement en avance en Afrique.
En 2010, le nombre d'utilisateurs de solutions de paiement mobile dans le monde dpass
les 108 millions, contre 70 en 2009, soit une progression de 54%. Selon Juniper Research,
leurs achats reprsenteront 200 milliards de dollars en 2012 et plus de 600 en 2014

MYTHE N 1 :
NOUS AVONS ASSEZ DE MOYENS DE PAIEMENT
Il est vrai quavec la monnaie, le chque, le virement et la carte bancaire, nous ne manquons
gure de moyens de paiement. A la diffrence des pays africains o le taux de bancarisation
est dramatiquement faible.
Mais cela nexplique pas tout. Nombreux sont les cas o la carte bancaire ne peut remplacer
labsence dargent liquide freinant notre capacit satisfaire nos dsirs dachat. Le besoin
dune alternative existe donc bien. Il sagit plutt de rsistance au changement. Et lhistoire a
montr que lassignat a eu besoin de bousculer les mentalits pour remplacer les pices dor.
Mais l'histoire a eu besoin aussi de batailles de pouvoir entre banquiers et oprateurs, chacun
cherchant imposer son modle, pour profiter au maximum de cette manne de transactions
montaires qui sannonce.
Au risque de laisser le champ libre de nouveaux acteurs ?

MYTHE N 2 :
LES TECHNOLOGIES MANQUENT
Il y a dbat entre NFC62, non-NFC mais cest un faux dbat. La vraie condition dun
dploiement de ce type de solution, cest la disponibilit des offres et services. La technologie
qui les fait fonctionner importe peu. Nos tlphones mobiles nont pas grand chose voir
avec les premiers radiotlcoms, mais le besoin de tlphoner est rest le mme.
Par ailleurs, de grands acteurs, comme Nokia, Samsung, RIM, Apple, Google, ou Gemalto,
prparent leurs offres.
Les conditions du march existent, les technologies sont fiables, il ne manque plus quun
consensus entre les acteurs.

62
NFC : Near Field Communication

Un livre collectif 176 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
LES PROJETS PILOTES SONT DECEVANTS
17 initiatives en France, aucune dont vous ayez vraiment entendu parler sauf pour Nice,
l'initiative la plus rcente et la plus prometteuse, qui a runi Bouygues Tlcom, SFR, Orange
et NRJ Mobile autour du NFC.
Paypal, Amazon, Starbucks, Carrefour, Franprix, SNCF ... nombreux sont les acteurs
conomiques qui y sont alls de leur propre projet. Ce qui, lheure du village mondial et
d'Internet, semble prsomptueux, car on voit mal comment ils pourraient imposer un
modle lensemble des autres marchands, institutions financires et oprateurs.

Un livre collectif 177 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA FIN DES CABLES EN


CUIVRE

Luc BARANGER, FFIE


Ladji DIAKITE, Syndicat professionnel des fabricants de fils et cbles nergie et tlcom
Guy PERROT, Nexans

LES FAUSSES CERTITUDES


Certains Oprateurs ont tent de nous persuader il y quelques annes que tout notre trafic
passerait par le WiMAX, et que de toute faon, terme, il ny aurait plus que des applications
radio.
Puis la problmatique du trs haut dbit est apparue; les difficults de ces mmes Oprateurs
aussi. Malgr des contorsions impressionnantes certains nayant pas hsit parler de haut
dbit 50 kbit/s on dcide alors que seule la fibre optique nous permettra de rsoudre tous
nos problmes.
Dailleurs, le cble de cuivre souffre de tous les maux : il est cher, ncessite le dploiement
par des Installateurs, il gnre des problmes de CEM, et enfin, on peut se prendre les pieds
dans les cordons !
A telle enseigne que tel Oprateur qui veut dtourner notre attention des effets
physiologiques ventuels des rseaux radio na pas hsit assimiler les utilisateurs de cbles
en cuivre des crtins.
La question se pose de savoir sil faut prvoir de mettre ces cbles au muse, ct de la
batterie de casseroles en cuivre, ou bien sil faut continuer prvoir de les utiliser.

MYTHE N 1 :
LA FIBRE OPTIQUE EST LE SEUL MEDIUM CAPABLE DE FOURNIR LES DEBITS DEMANDES
AUJOURD'HUI

La question primordiale est de savoir de quoi lon parle, de ne pas confondre dbit et bande
passante et de ne pas mlanger les transmissions longue distance et les communications
locales.
Le dveloppement des fibres optiques dans les annes soixante dix a fait natre dimmenses
espoirs chez les oprateurs tlcom qui y ont vu le Graal qui allait remplacer paires torsades,
coaxiaux et autres guides dondes.
La fibre optique en fait nest quun guide donde comme un autre et ses proprits de
transmissions sont comme pour les autres guides dondes (y compris les paires torsades et
coaxiales) rgies par les quations de Maxwell.
Son avantage rside dans sa petite taille qui lui permet de (ou loblige ) travailler des
frquences beaucoup plus leves que nimporte quel autre guide donde mtallique.
Corollairement les dperditions en fonction de la longueur deviennent quasiment
ngligeables (aujourdhui de lordre de 0.1 0.3 dB au km).

Un livre collectif 178 / 296


Mythes et lgendes des TIC

Le cble de cuivre a longtemps t limit en frquence par les imperfections des procds de
fabrication. Il faut dire quil y a cinquante ans on ne demandait pas ces cbles de travailler
au del de 3 KHz, ce qui tait largement suffisant pour transporter la voix !
La demande pour des frquences plus leves est ne avec le dveloppement des ordinateurs
et la cration de lEthernet. On sest rapidement aperu que si pour les longues distances la
fibre tait la solution indiscutable, pour les rseaux locaux (arbitrairement limits 100 m) la
paire torsade tait le mdia le plus fiable, le plus simple, le moins coteux et le plus robuste.
Lorsque lon a commenc parler de 100 Mbit/s sur paire cuivre (1992) tout le monde a cri
au fou. Mais la signature cette anne de la norme 10Gbit/s est quasiment passe inaperue.
Plus encore, les travaux ont dj commenc pour crire une norme pour le 40 Gbit/s alors
que dautres rvent du 100 Gbit/s.
Ralit ou fiction ?
Les dtracteurs des cbles cuivre agitent le spectre du thorme de Claude Shannon qui est
cens donner le dbit maximum dun cble en fonction de son affaiblissement:
La capacit dun canal de transmission de bande passante H sexprime de la faon suivante :
C = H log2 (1 + PS/PN) bit/s
o PS/PN reprsente le rapport signal sur bruit du canal.
Le fait est quaujourdhui lapplication de ce thorme dmontre la capacit dun cble
cat7 supporter 40 Gbit/s sur 100 m tandis que 100Gbit/s apparait inatteignable.
Aurait-on fait ces calculs il y a quinze ans que lon aurait trouv que 10 Gbit/s ne serait
jamais atteint. Depuis on a fait des progrs en diminuant le bruit dans les cbles
(amliorations de la diaphonie) mais laffaiblissement est rest quasiment stable. Si demain
on trouve comment rduire les pertes dilectriques (primordiales en haute frquence) de ces
cbles alors on atteindra les 100 Gbit/s. Mais cela pourrait aussi se faire en augmentant
limpdance de ces cbles (120 ou 150 ohms au lieu de 100).
Il faut maintenant mettre en perspective les dbits rellement demands.
Dans lentreprise aujourdhui le dbit de 100 Mbit/s Ethernet domine, et lon peut
esprer que le Gigabit Ethernet laura totalement remplac dans dix ans ;
Dans les data center le 10 Gbit/s commence simposer ;
En cblage rsidentiel la tendance est darriver dans un rseau FttH avec un dbit de
100 Mbit/s dans un dlai de 5 ans ;
Certains parlent dj du FttH 1 Gbit/s.

MYTHE N 2 :
IL N'Y A PAS D'AUTRES SOLUTIONS QUE DE REMPLACER LES CABLES EN CUIVRE PAR DES
CABLES OPTIQUES

Pourquoi remplacer les cbles en cuivre par des cbles optiques ?


Aujourdhui le cble en cuivre peut non seulement fournir les signaux (le dbit) mais
aussi lalimentation lectrique ncessaire aux terminaux.
Aujourdhui tous les terminaux sont quips de connecteurs cuivre (RJ45).
Aujourdhui on sait installer des cblages cuivre insensibles aux perturbations
lectromagntiques.
Le cble optique napporte aucun progrs sur des distances de lordre de 100m. De plus, il
nexiste encore aucun accord sur ce que devrait tre un cblage terminal gnrique en fibre

Un livre collectif 179 / 296


Mythes et lgendes des TIC

optique. Les acteurs se dchirent sur le choix de la fibre, le choix des connecteurs, le choix
de la longueur donde.
Mais si nous ne nous limitons pas au dernier 100m, il faut aussi noter que alors que le DSL a
vu le jour au milieu des annes 1990 et que nous avons longtemps cru quil tait limit
quelques Mgabit/s sur des distances infrieures au kilomtre. Des exprimentations
rcentes ont dmontr que le 800 Mbit/s pouvait tre atteint sur des distances de 400 m au
prix, il est vrai, de lutilisation de plusieurs circuits en parallle.
Remplacer les cbles en cuivre par des cbles fibre optiques sur des distances courtes nest
donc pas la panace. Il est au contraire coteux sans que, le plus souvent, le bnfice attendu
soit probant.

MYTHE N 3 :
DEMAIN ON S'AFFRANCHIRA DE TOUS LES CABLES (EN CUIVRE OU EN FIBRE OPTIQUE)
QUI EMPECHENT TOUTE REELLE MOBILITE

Le rve est de se passer tout bonnement de cbles. On entend beaucoup parler des progrs
(rels) des transmissions radio. Ces progrs sont dus des systmes de codages de plus en
plus complexes permettant daugmenter le nombre dinformations transmises pour une
mme bande passante.
Tous ces nouveaux systmes peuvent de toute vidence tre injects sur les cbles existants
ce qui permet den dmultiplier lefficacit. Pour simplifier, disons que le mode guid (ou
conduit), celui utilis dans les cbles quels quils soient, est toujours plus efficace que les
modes rayonns (radio, wifi, LTE).
Ceci induit donc que dans la course au dbit, les cbles auront toujours une longueur
davance mme sils doivent utiliser des inventions prvues pour la radio. Lexemple du DVB
et du DSL devrait donner rflchir tous ceux qui souhaitent enterrer prmaturment le
cuivre (et non enterrer des cbles en cuivre !).
Limmense avantage du mode guid, outre quil peut se dmultiplier linfini (lorsque le
cble est satur on en met un autre, alors que, lorsque lther est satur on sarrte), cest
aussi que les informations transmises sont confines.
Il est pathtique de voir le combat de la TNT contre la tlvision sur IP, lorsque la tlvision
sur IP offre dj des milliers de chaines, la TNT en offre dix fois moins en faisant des
prouesses.
Un vieux principe admis par tous tait que tout ce qui est diffus (rayonn) peut tre capt et
dcrypt. Aucun systme ne garantira jamais la scurit dinformations radio, comme vous
pouvez le lire dans dautres chapitres de cet ouvrage.
Ce principe na jamais encore t infirm et est une des causes du dveloppement ds les
annes 1990 des liaisons optiques sous-marines alors que les satellites semblaient apporter la
solution la croissance des communications tlphoniques intercontinentales.
Le meilleur moyen de scuriser les informations a toujours t et est encore den empcher la
divulgation lextrieur dun volume donn. Cest justement ce que fait un cble cuivre ou
optique.
Paradoxalement, l encore, le cuivre na pas dit son dernier mot. Alors que lon a appris
durcir les cbles cuivre par des crans empchant quiconque daccder aux informations
transitant dans ces cbles sans tre immdiatement repr, les cbles optiques actuels

Un livre collectif 180 / 296


Mythes et lgendes des TIC

peuvent tre pirats par de petits malins qui ayant accs la fibre peuvent bricoler un
coupleur dont lincidence sera le plus souvent indtectable sur le bilan de transmission.
En fait le sans fil nest et ne sera jamais un concurrent pour les liaisons filaires (cuivre ou
optique), il en est un complment comme le vlo est un complment la voiture automobile.
La scurit y est faible, le dbit est plus faible, mais il nest pas cher et pratique mettre en
uvre.
Enfin un dernier point mrite que lon sy arrte, laspect sant des utilisateurs.
Alors que les cbles Ethernet sont absolument sans danger, on connait dj les dangers
potentiels des transmissions optiques sur des utilisateurs non avertis et des risques de ccits
encourus par ceux-ci. Mais ce nest rien compar au dbat qui depuis plusieurs annes fait
rage sur la nocivit prsume de trop de champs lectromagntiques. Il est peu probable que
ce dbat steigne rapidement alors que la socit demande toujours plus de prcautions
sanitaires.

CONCLUSION
La premire conclusion est que nous sommes encore loin aujourdhui davoir besoin de plus
de dbit quun cble cuivre peut fournir sur 100m.
La fibre nest donc pas le seul mdium capable de fournir les dbits demands aujourdhui.
La seconde conclusion est donc quil existe encore des solutions pour accroitre lorsque cest
ncessaire le dbit pouvant tre support par les lignes de transmission en cuivre.
Contrairement aux ides reues il ny a aucune raison pour le moment de remplacer un cble
cuivre par un cble optique sachant quen plus il faudra reconvertir les signaux sur cuivre
pour alimenter le terminal.
On ne saffranchira jamais de tous les cbles (en cuivre ou en fibre optique) mme si le sans
fil se rpandra toujours plus pour des applications spcifiques, moins que le principe de
prcaution ne finisse par le tuer.
La troisime conclusion est donc que les liaisons filaires ne seront jamais dtrnes par le
sans fil en raison de la fiabilit et de la confidentialit des communications quelles
prservent, et que parmi les liaisons filaires celles en cuivre ne sont pas plus menaces voire
moins menaces que les liaisons optiques.

Un livre collectif 181 / 296


Mythes et lgendes des TIC

4 PARTIE : ASPECTS
NORMES ET STANDARDS

Un livre collectif 182 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA CERTIFICATION


CRITERES COMMUNS

Grard Peliks, CASSIDIAN,


an EADS Company

LA CONFIANCE OBJECTIVE EN UNE SOLUTION DE SECURITE


L'Information que vous dtenez est sans doute protge par des solutions de scurit. Mais
ces solutions sur lesquelles rside votre confiance, sont-elles scurises ?
Un logiciel de scurit n'en reste pas moins un logiciel et comme toute uvre de l'esprit
humain, il peut tre entach d'erreurs de programmation, ou d'implmentation, qui sont
autant de vulnrabilits ouvertes aux attaques que le logiciel est cens contrer. Il en est de
mme pour les cartes puce et pour les logiciels embarqus.
Qu'est ce qui pourrait alors motiver la confiance que vous accordez un logiciel de scurit ?
Serait-ce parce que votre voisin n'a pas eu de problmes avec la mme solution ? Est-ce la
notorit que le produit rencontre sur le march ? Seraient-ce les sirnes d'un constructeur
qui vous affirme que son produit est le meilleur ? Non, tout ceci n'est que confiance
suggre
Une confiance objective peut-elle s'tablir ? Oui, un certain niveau de confiance objective
reste possible si la solution de scurit a t soumise des essais normaliss, conduits par un
organisme indpendant, troitement surveill, et si un organisme officiel reconnu au plan
international, quand les tests ont donn un rsultat satisfaisant, appose sa signature sur
l'attestation de certification. Et bien sr chaque solution de mme type doit passer les mmes
tests. C'est l'un des buts de la norme des Critres Communs63 (ISO/IEC 15408) conue la
fin des annes 1990 et qui volue. Mais ces rsolutions cachent bien des mythes et lgendes,
en voici quelques uns.

MYTHE N 1 :
MA SOCIETE EST CERTIFIEE "CRITERES COMMUNS"
Non, la certification Critres Communs ne s'applique en aucun cas un organisme. Elle ne
peut tre attache qu' une solution de scurit. Si un produit qui a obtenu cette certification
n'est plus commercialis par le mme diteur, suite par exemple un rachat de technologie
ou suite un rachat de l'diteur qui a cr le produit, le produit n'en demeure pas moins
certifi Critres Communs pour la version qui a obtenu cette certification.
Le srieux affirm par un organisme vis--vis de la scurit, en d'autres termes vis vis de la
gestion de la scurit de son propre systme d'information, peut tre certifi par rapport
d'autres normes comme celles de la famille ISO 2700x, en particulier par l'ISO 27001 qui est
la scurit d'un systme d'information, ce que l'ISO 9001 est la qualit. Pour obtenir la
certification ISO 27001, l'organisme doit gravir une pente qui le conduit plus de scurit en
adoptant le modle dit "roue de Deming". A chaque tour de la roue de Deming, les tapes

63
www.ssi.gouv.fr/site_rubrique71.html et www.commoncriteriaportal.org/

Un livre collectif 183 / 296


Mythes et lgendes des TIC

"Plan, Do, Check, Act" se succdent et la socit mesure l'cart entre ce qui devrait tre et ce
qui est rellement, pour rduire cet cart. Cette ascension de la roue de Deming qui gravit
une pente, conduit l'organisation obtenir, puis maintenir, sa certification ISO 27001. Mais
cela est une autre facette de la scurit et ne porte pas sur la certification d'un produit ou
d'une solution intgre de scurit, donc sur la certification Critres Communs, objet de cet
article.
Une socit qui propose des services, mais aucun produit, peut tre certifie ISO 27001 et un
constructeur ou diteur de logiciels de scurit qui n'est pas certifi ISO 27001 peut faire
certifier ses produits "Critres Communs". Mais souvent il y a confusion entre ces normes.
La certification Critres Communs peut d'ailleurs s'appliquer galement des solutions
comme des IPBX (autocommutateurs tlphoniques sur protocole IP) ou des systmes
d'exploitation pour contrler et affirmer dans le dtail la robustesse c'est dire l'exactitude
des annonces de scurit, et rpondre des questions comme : les protections sont-elles
efficaces face aux menaces ?

MYTHE N 2 :
LA CERTIFICATION CRITERES COMMUNS PORTE SUR L'ENSEMBLE D'UN PRODUIT
C'est un mythe de croire qu'un pare-feu (firewall), par exemple, certifi Critres Communs
l'est sur l'ensemble de ses fonctionnalits, quelle que soit sa version et ses conditions
demploi. La certification Critres Communs porte sur une version prcise d'un produit, qui
tourne sur une version prcise d'un systme d'exploitation ; le tout dans un environnement
qui doit respecter un certain nombre dhypothses spcifies dans le document Cible de
Scurit . Quand le pare-feu, ou autre logiciel, est propos dj intgr sur un calculateur
(une Appliance), la certification porte seulement sur certains des modles de cet Appliance.
Et quand l'Appliance comporte un pare-feu, un antivirus et un antispam, ni l'antivirus, ni
l'antispam ne sont, le plus souvent, couverts par la cible de scurit.
Tout ceci est crit sur l'attestation remise avec la certification, encore faut-il la lire
attentivement. Il ne serait pas trs honnte, par exemple, pour un diteur, d'affirmer "mon
Appliance de scurit a obtenu la certification Critres Communs au niveau EAL3+ (en
insistant toujours sur le "+" !) alors que cette certification a t obtenue sur une version dj
ancienne de cette Appliance et qui n'est plus commercialise, et peut-tre sur un autre
systme d'exploitation que celui propos la vente. La scurit du produit n'a pas forcment
rgress depuis l'obtention de sa version certifie, mais rien ne le prouve. Un programme de
maintenance de la certification de la solution existe, qui tablit la non rgression de la
scurit du produit sur la surface teste (la cible de scurit) chaque nouvelle version, ou
aprs chaque action de maintenance majeure; mais l'diteur a-t-il souscrit ce programme ?

MYTHE N 3 :
DEUX PRODUITS DE MEME TYPE, CERTIFIES CRITERES COMMUNS, SONT COMPARABLES
Il est certain que l'un des buts principaux des Critres Communs a t de permettre la
comparaison, ct scurit, entre des produits de mme type, par exemple des pare-feux, des
rseaux virtuels chiffrs (VPN) ou des produits de chiffrement sur disque. Les certifications
prcdentes, comme l'Orange Book aux USA ou les ITSEC en Europe n'avaient pas intgr
cette possibilit, et c'est en quoi les Critres Communs se dmarquent principalement des
autres certifications de produits. Mais affirmer que deux produits de mme type, certifis
Critres Communs un mme niveau, par exemple deux pare-feux certifis Critres

Un livre collectif 184 / 296


Mythes et lgendes des TIC

Communs EAL3+, sont comparables, peut tre un mythe si on ne sait pas exactement ce
que la certification recouvre pour chacun d'eux.
Une certification porte sur une certaine surface de fonctionnalits du produit, et sur certaines
menaces que le produit doit contrler. Tout ceci est consign dans un document appel la
"cible de scurit" (ST : Security Target). Deux outils de chiffrement sur disque certifis
EAL4+, chacun sur des cibles de scurit diffrentes, ne sont assurment pas comparables.
Avant de commencer une dmarche de tests, le commanditaire doit faire accepter la cible de
scurit par l'organisme officiel qui signera le certificat. En France, l'ANSSI (Agence
Nationale pour la Scurit des Systmes d'Information) est cet organisme. L'ANSSI, qui est
rattache au Premier Ministre, engage son srieux par sa signature, et la confiance que porte
un utilisateur dans un produit certifi dpend bien sr de la confiance qu'inspire l'ANSSI
De plus, pour viter que le commanditaire de la certification n'opre un savant dcoupage en
dentelles de la cible de scurit afin de n'y inclure que les fonctionnalits qu'il juge devoir
russir les tests sans problme, il a t introduit la notion de "Profil de Protection" (PP). Si
des profils de protection existent, l'ANSSI peut exiger que le primtre propos la
certification respecte les exigences spcifies dans ces documents. Ainsi deux produits de
mme type, peuvent prsenter une cible minimale commune, mais bien sr un constructeur
peut faire certifier une cible plus tendue que celle constitue par l'ensemble des profils de
protection exigs, afin de se dmarquer de ses concurrents. Les produits ne sont alors plus
comparables.

MYTHE N 4 :
DANS EALX+, LE "+" EST LE PRINCIPAL FACTEUR DE QUALITE
Le niveau dassurance (aussi communment appel "niveau dvaluation" ou "niveau de
certification") dfinit la liste des contrles qui doivent tre raliss sur le produit et son
environnement de dveloppement. Choisir un niveau dvaluation, par exemple le niveau
EAL4 (Evaluation Assurance Level de niveau 4) signifie slectionner un paquet standard de
contrles tel que dfinit dans les Critres Communs. Les Critres Communs dfinissent 7
paquets de EAL1 EAL7 comportant un nombre croissant de contrles raliser. Mais les
Critres Communs offrent aussi la possibilit aux commanditaires des valuations de
demander des contrles supplmentaires, par exemple qui seraient requis pour des paquets
EAL suprieurs. Cet ajout est nomm une "augmentation" du paquet standard EAL. Si la
terminologie officielle impose de dtailler dans le certificat la liste des augmentations, les
fournisseurs de produits se contentent souvent dun "+".
Ce que recouvre le "+" est parfois ngligeable par rapport ce que recouvre le paquet
impos par le niveau de certification choisi. Hors souvent l'acheteur est plus impressionn
par le "+" que par le niveau de certification et ainsi se constitue le mythe du +, qui n'est pas
le vrai diffrentiateur de qualit d'une certification Critres Communs. Mais le "+" peut tout
de mme recouvrir des lments significatifs, comme les tches d'assurance lies la
correction des dfauts, ce qui intresse directement l'acheteur.

MYTHE N 5 :
UN CERTIFICAT CRITERES COMMUNS A UNE DATE DE PEREMPTION
Oui et Non. Comme nous lavons indiqu auparavant, un certificat ne sapplique qu une
version prcise dun produit. Il atteste qu la date de signature du certificat, le produit a
pass avec succs tous les tests spcifis dans sa cible de scurit. Dans labsolu, cette

Un livre collectif 185 / 296


Mythes et lgendes des TIC

attestation na pas de raison dtre invalide. En revanche, une personne qui souhaiterait
utiliser ce certificat doit se poser la question suivante : vu les volutions des techniques
dattaque depuis la signature de ce certificat, le produit ne risque-t-il pas aujourd'hui ou
demain de ne plus passer la certification ? La ligne Maginot aurait sans doute obtenu la
certification Critres Communs avant 1940.
LANSSI propose un programme de Surveillance qui revient mettre jour
rgulirement les rsultats des tests. Si cette surveillance est bien adapte des produits
matriels qui nvoluent pas, elle lest moins pour des logiciels en constante volution. En
effet, il faudrait alors se poser la question : si la version prcdente du produit a pass avec
succs lvaluation il y a quelques mois, quen est-il de la nouvelle version aujourdhui ?
Pour rpondre cette question, lANSSI propose deux solutions :
fournir un rapport de maintenance qui, sur la base dune analyse dimpact ralise par
le dveloppeur, estime un niveau de "certificabilit" de la nouvelle version,
faire raliser par un CESTI une rvaluation de la nouvelle version du produit avec
rutilisation au maximum des travaux dj raliss sur la version antrieure.

MYTHE N 6 :
UNE CERTIFICATION CRITERES COMMUNS OBTENUE DANS UN DES PAYS
CERTIFICATEURS EST AUTOMATIQUEMENT RECONNUE DANS TOUS LES PAYS

Les pays qui possdent des centres de tests des produits et aussi des organismes officiels qui
dlivrent et maintiennent les certificats obtenus sont en nombre trs limit. Seuls ces pays
peuvent tre des centres de certification. Un commanditaire qui veut faire certifier une
solution de scurit doit crire la cible de scurit sur laquelle portera la certification et la
faire accepter par l'organisme officiel d'un des pays certificateurs, mme s'il n'y rside pas.
Les tests ayant donn un rsultat satisfaisant, l'organisme officiel signera le certificat. La
certification obtenue dans un des pays certificateurs est reconnue, en thorie, dans tous les
pays. Mais cela n'est vrai que jusqu'au niveau de certification EAL4. Au-del, cela peut tre
un mythe. A partir du niveau de certification EAL5, une certification obtenue dans un des
pays de la Communaut Europenne n'est reconnue que dans certains des pays de cette
Communaut, et seulement aujourd'hui pour les "microcontrleurs scuriss et produits
similaires". Cette certification Critres Communs au-del du niveau EAL4 ne sera pas
reconnue, aujourd'hui, par les USA. De mme, une certification partir du niveau EAL5
obtenue aux USA n'est pas reconnue dans les pays de la Communaut Europenne. Tout est
question d'accords mutuels entre les organismes d'tat de chacun des pays (CCRA, SOG-IS)
et ces accords voluent avec le temps.

MYTHE N 7 :
UN NIVEAU DE CERTIFICATION EVALUE LES FONCTIONNALITES DE SECURITE D'UN
PRODUIT

C'est ce qu'on pense gnralement mais c'est une ide fausse. Le niveau EALx (Evaluation
Assurance Level niveau "x") indique non pas l'tendue des fonctionnalits de scurit
soumises aux tests c'est la cible de scurit (ST) qui l'indique - mais la liste des contrles
qui doivent tre raliss sur ces fonctionnalits.
La documentation Critres Communs est constitue de trois volumes. Le deuxime volume
est un catalogue de composants fonctionnels qui doivent tre utiliss pour spcifier, dans le
document Cible de Scurit, les fonctionnalits de scurit valuer. Une fois la cible de

Un livre collectif 186 / 296


Mythes et lgendes des TIC

scurit accepte par l'organisme officiel (l'ANSSI en France), le niveau de certification


slectionn va dfinir la manire dont vont se drouler les tests sur les fonctionnalits de la
cible. Cette manire est dfinie par les composants d'assurance dcrits dans le volume 3 des
Critres Communs.
Ce niveau peut reprsenter une valuation en bote noire (EAL1) qui consiste vrifier que
le produit se comporte comme l'indique sa Cible de scurit et sa documentation, ou en
bote blanche, partir du niveau EAL2 o on commence regarder comment le produit est
conu. La fourniture d'une partie des sources peut tre exige partir du niveau EAL4.
A partir du niveau EAL5, les Critres Communs demandent lvaluateur de vrifier si le
dveloppeur a utilis des mthodes semi-formelles ou formelles lors de la conception du
produit pour la politique de scurit (EAL5), pour la conception dtaille EAL6), pour la
vrification du code (EAL7).

MYTHE N 8 :
UNE SOLUTION DE SECURITE DOIT ETRE CERTIFIEE CRITERES COMMUNS POUR
ENTRER DANS LE CATALOGUE DE L'ADMINISTRATION FRANAISE

Comme la dmarche pour obtenir une certification Critres Communs dure plusieurs mois et
cote cher, y compris par les ressources internes du commanditaire qu'elle mobilise, peu de
PME peuvent se permettre de runir ce budget.
Pour permettre tous de faire certifier un produit de scurit, et mme pour que les logiciels
libres puissent obtenir une certification, l'ANSSI a conu une certification plus lgre : la
CSPN (Certification de Scurit de Premier Niveau). En 25 jours de travaux (cots limits),
35 jours si le produit comporte des mcanismes cryptographiques, une organisation peut
faire valuer son produit pour obtenir la certification CSPN. Bien entendu, la solution de
scurit peut ne pas obtenir cette valuation l'issue des 25 ou 35 jours mais les cots sont
limits et connus d'avance.
Pour entrer dans le catalogue des solutions de scurit des administrations franaise, le
produit certifi doit tre galement qualifi. La qualification implique une vrification par
l'ANSSI que la cible de scurit est conforme des profils d'exigences et correspond aux
besoins des administrations. Trois niveaux de qualifications sont dfinis : lmentaire,
standard, et renforc. La qualification lmentaire implique une certification CSPN, les deux
autres une certification Critres Communs. Il est donc faux d'affirmer qu'une solution de
scurit qui n'a pas la certification Critres Communs ne peut tre vendue aux
administrations. Un logiciel libre peut ainsi trouver un commanditaire dans son club
d'utilisateurs pour tre valu CSPN et entrer dans le catalogue des solutions de scurit des
administrations. TrueCrypt par exemple est certifi CSPN. Attention, la certification CSPN
qui est purement franaise n'est reconnue qu'en France.

MYTHE N 9 :
EN FRANCE, C'EST L'ANSSI QUI CONDUIT LES TESTS D'EVALUATION
Non, l'ANSSI n'intervient que dans la supervision le contrle de la conformit des actions
d'valuations de scurit effectues par des laboratoires, et l'analyse du rapport d'valuation,
donnant ou non lieu la dlivrance du certificat Critres Communs ou CSPN. L'ANSSI
publie les rsultats sur son site Web.
Les tests d'valuation sont mens par une socit d'experts qui ralise les tests sur la base du
document cible de scurit crit par le commanditaire et qui constitue son cahier des charges.

Un livre collectif 187 / 296


Mythes et lgendes des TIC

Ces socits d'experts s'appellent des CESTI (Centre d'valuation de la Scurit des
Technologies de l'Information). Il existe en France deux CESTI habilits mener les tests
d'valuation Critres Communs pour les logiciels et trois CESTI habilits mener des tests
pour les logiciels embarqus et les cartes puces. Le CESTI est l'interface oblige entre le
commanditaire et l'ANSSI qui signe le certificat au vue des rapports techniques dlivrs par
le CESTI. Toutefois, si la solution de scurit comporte des mcanismes cryptographiques,
l'ANSSI peut mener des analyses complmentaires sur ces mcanismes.

Un livre collectif 188 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA SERIE ISO/IEC 270XX

Paul Richy, vice prsident du groupe scurit de l'Information l'AFNOR


Thomas Bousson, directeur de projet, Sogeti-Capgemini

Depuis 2000 avec la premire version de lISO/IEC 27002 traitant des bonnes pratiques et
surtout depuis 2005 avec la norme certifiante ISO/IEC 27001, lISO a entrepris de faire
paratre une srie de normes concernant le management de la scurit de linformation. Cette
approche est bien perue dans un grand nombre de pays dvelopps (plus de 7000 certificats
en cours de validit). Elle conduit aussi llaboration de normes (actuellement environ 25
parues ou en phase de conception) complmentaires des premires et toutes centres sur la
notion dISMS (Information Security Management System) et lapproche PDCA (Plan, Do, Check,
Act) damlioration continue des processus.

MYTHE N 1 :
LA SERIE ISO/IEG 270XX CONCERNE LA SECURITE INFORMATIQUE
Cest vrai mais elle ne sy limite pas. Ds la parution en 2000 de la premire version de
lISO/IEC 27002, le champ trait est clairement celui de la scurit de linformation sous
toutes ses formes et tous ses supports. Do une volution importante par rapport aux
normes prcdentes plutt orientes informatique et technique. De plus, linformation, par
sa transversalit, largit le domaine de la scurit. Lorientation managriale, confirme par
une norme en prparation sur la gouvernance, accentue cette tendance et rattache en gnral
la scurit de linformation au niveau de la direction des organismes. Cette volution sinscrit
dans une recherche plus complexe, celle de la scurit globale.

MYTHE N 2 :
LISO 27001 ET 27002 FONT REFERENCE A UNE ANALYSE DE RISQUE MAIS NE LA
DECRIVENT PAS

Vrai - La premire norme de la srie est parue en 2000 (sous le numro 17799), elle dcrivait
des mesures de scurit. En 2005, la 27001 est parue qui permettait analyse de conformit et
certification. Ces deux normes insistaient sur la ncessit dune analyse de risque pralable
sur les rsultats de laquelle on pouvait mettre en place organisation et mesures de scurit.
Toutefois, aucune rfrence normative ne venait en appui. On utilisait donc des mthodes
existantes ou dveloppes cette fin mais dont la pertinence tait difficile valuer.
LISO/IEC 27005 (Information security risk management) est parue en 2008. Elle a remdi
cette lacune en dcrivant les principes que devait respecter une mthode de gestion de risque
en scurit de linformation utilise dans la perspective de la srie 270xx. Elle a aussi permis
danalyser et de confirmer la conformit des principales mthodes dj utilises cette fin
(en France, EBIOS et MEHARI). Elle peut aussi servir de base des rflexions sur
lvolution des mthodes de gestion de risque dans un cadre dpassant celui de la scurit de
linformation. Le thme est dailleurs dune actualit telle que lISO a mis en 2009 une
norme plus gnrale sur la gestion du risque lISO 31000 (Risk management) laquelle est
associ un document de vocabulaire, lISO Guide 73:2009.

Un livre collectif 189 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
LA SERIE COMPREND DEUX OU TROIS NORMES
Loin de l ! Initialement, la srie a commenc par les normes 27001 et 27002 directement
issues dun standard britannique en deux parties, la BS 7799. Assez rapidement, il est apparu
ncessaire de dvelopper de nouvelles normes pour faciliter la mise en uvre de lISMS
(27005 sur la gestion de risque mais aussi 27003 sur la mise en uvre de lapproche ISMS,
27004 sur le mesurage ou 27006 sur les obligations en matire daudit pour les certificateurs).
Un autre projet (ISO/IEC 27013) concerne la mise en uvre conjointe des approches
ISO/IEC 20000 (ITIL) et ISO/IEC 27000 (ISMS). Un autre encore, lISO/IEC 27015,
traite des lignes directrices pour les services financiers.
De plus, il a aussi fallu concevoir des rfrentiels techniques pour faciliter la mise en uvre
de lISMS. Cest ainsi quune dizaine de normes sont en prparation sur des thmes
importants (continuit, cyberscurit, scurit des rseaux, scurit des applications, gestion
des incidents, gestion des enregistrements,). Certains de ces projets reprennent des
documents antrieurs (ainsi les normes en prparation sur la scurit des rseaux partent
dun document ISO/IEC 18028 qui traitait ce thme ; il en est de mme pour le projet sur la
gestion des incidents qui reprend lISO/IEC 18044). Dans de tels cas, les projets avancent
assez rapidement. Cest plus complexe et plus long pour les projets nouveaux comme
lISO/IEC 27032 sur la cyberscurit ou lISO/IEC 27034 sur la scurit des applications. Il
est noter que certains de ces documents sont dj disponibles, cest les cas pour la premire
partie de la norme sur la scurit des rseaux et aussi pour lISO/IEC 27031 sur le
management de la continuit qui est parue cette anne.

MYTHE N 4:
LA CERTIFICATION ISO 27001 APPORTE UNE GARANTIE SUR LE NIVEAU DE SECURITE
DE LORGANISME CERTIFIE

En ralit, cest faux. La certification ISO 27001 est un certificat de conformit qui atteste
que le systme de management de la scurit de linformation (SMSI) de lorganisme est
conforme aux exigences de la norme IS0 27001 relativement un primtre et un SoA
(Statement of Applicability) dfinis. Certes ces exigences requirent que lorganisme analyse ses
risques et quil dfinisse un plan de traitement des risques. Le plan de traitement des risques
permet lorganisme de spcifier ce quil va faire pour grer ce risque. Une des options de
gestion du risque serait daccepter le risque en ne mettant en uvre aucune mesure
particulire. Il serait ainsi possible davoir un organisme qui vise la conformit lISO 27001
tout en acceptant tous les risques ce qui ne permettrait pas lorganisme davoir un niveau de
scurit lev.
Dune manire gnrale, la certification concerne la conformit un rfrentiel et il est
toujours intressant dexaminer quel est ce rfrentiel (il est accessible au public dans une
certification du type considr). Le niveau de scurit est li lanalyse de besoins, aux
mesures prises et aussi bien sr la maturit de lorganisme. Le certificat ne gre quune
partie de ces points. Souvent dailleurs, on oublie de se faire communiquer les informations
publiques relatives un certificat. La certification ISO 27001 se dveloppe diffremment
selon les pays (sur les 7000 certificats voqus plus haut, plus de 3500 sont au Japon, 500 en
Chine, en Inde ou en Grande-Bretagne, une centaine dans une dizaine de pays, une vingtaine
seulement en France).

Un livre collectif 190 / 296


Mythes et lgendes des TIC

MYTHE N 5:
UNE FOIS DELIVRE, UN CERTIFICAT RESTE VALIDE SANS LIMITE DE TEMPS
En ralit, un certificat atteste que la conformit constate est en cours de validit. Il a une
dure de validit de trois ans avec une surveillance annuelle permettant de garantir le
maintien de la conformit. Des accords internationaux garantissent la reconnaissance des
certificats entre les pays signataires. Opposables aux tiers, ces certificats vitent aussi davoir
subir des audits de conformit sur le mme domaine pendant leur dure de validit.
En premire analyse, la certification rpond des exigences lgales ou rglementaires,
laccs des marchs (quand des clauses imposent une certification aux candidats) ou
lobtention dun avantage concurrentiel principalement en terme dimage sur des domaines
spcifiques.
Dans de nombreux cas, il nest pas utile de rechercher la certification et lorganisme concern
peut procder une recherche de conformit qui sera valide par laudit interne selon le
rfrentiel retenu. Cette approche est lheure actuelle largement rpandue et permet ensuite
une focalisation efficace et moins coteuse sur une certification cible ventuelle.

MYTHE N 6:
ON PEUT CERTIFIER DES PRODUITS (ISO/IEC 15408), DES PROCESSUS (ISO/IEC
27001) MAIS PAS DES PERSONNES
En fait si ! LISO/IEC 27001 est une norme dexigences dont lutilit premire est de
certifier des organismes ou des processus en sappuyant sur des normes complmentaires
comme lISO 17021 sur la certification de systmes de management. Pour certifier les
comptences, il existe une certification de personnes base sur lISO/IEC 27001 et sur des
normes complmentaires comme lISO 17024 sur la certification de personnes. Cest la
certification Lead Auditor 27001. Elle est valide pour une dure de trois ans avec suivi
pendant la priode de validit. Des certifications de Lead Implementor (27003) ou de Risk
Manager (27005) sont aussi proposes. Dautres certifications de personnes, souvent lies la
scurit, existent comme CISA pour laudit des systmes dinformation, CISSP pour la
scurit des systmes dinformation ou CISM pour le management de la scurit des
systmes dinformation.

MYTHE N 7:
TOUTES CES NORMES SONT EN LANGUE ANGLAISE.
Vrai et faux. La langue dorigine des normes de la srie ISO/IEC 270XX est langlais. Elles
sont donc toutes disponibles en anglais. Toutefois, en raison de leur utilisation croissante en
France et dans des pays francophones, les plus importantes dentre elles font lobjet dune
traduction franaise homologue lAFNOR, soit disponible soit en prparation. Il en est
ainsi par exemple pour :
la norme dexigences ISO/IEC 27001
la norme sur le management des risques en scurit de linformation, lISO/IEC 27005
la norme traitant de la vue densemble et du vocabulaire, lISO/IEC 27000 ;
la norme technique sur la continuit des affaires, lISO/IEC 27031.
Il manque une norme importante dans cette liste, cest le recueil de bonnes pratiques,
lISO/IEC 27002. Cette dernire est en cours de rvision et il est prvu de traduire la
nouvelle version.

Un livre collectif 191 / 296


Mythes et lgendes des TIC

MYTHE N 8:
LES NORMES ISO SONT TECHNIQUES
Oui et non. Il est vrai que lISO a mis et met encore de nombreuses normes techniques. Il
convient toutefois de constater quelle fait paratre aussi un nombre important de normes
dfinissant des exigences ou des lignes directrices concernant les bonnes pratiques de
management. Historiquement, cette tendance a commenc au dbut des annes 1980 avec la
norme dexigences ISO 9001 sur la qualit. Le succs de cette approche a conduit la
parution de lISO 14001 sur le management environnemental, suivie en 2005 de lISO/IEC
27001 sur le management de la scurit de linformation. Cette tendance sest confirme avec
la norme ISO 28001 sur la supply chain en 2007 et, tout rcemment, avec lISO 30301 sur le
systme de management des informations et des documents. Toutes ces normes
correspondent des approches certifiantes.
Cette tendance sest accompagne plus rcemment de la parution de normes de management
contenant des lignes directrices. Celles-ci ne suivent pas un modle de systme de
management et ne sont pas certifiantes. Les plus connues sont lISO 31000 parue en 2009
sur le management du risque et lISO 26000 parue en 2010 sur la responsabilit socitale.

Un livre collectif 192 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'ISO27005

Franois Zamora, Orange France Telecom Group

Selon lISO Guide 73, norme de vocabulaire consacre et parue depuis 2002, le management
des risques signifie (chap. 2.1) activits coordonnes dans le but de diriger et piloter un
organisme vis--vis du risque . LISO 31000 propose une description de ces activits. Quel
que soit leur domaine dapplication, leur squencement dans un processus pilot est possible
au sein dune organisation condition quelle ait t prpare pour cela.
LISO/IEC 27005 :2008 instancie le management des risques dans le domaine de la scurit
de linformation.

MYTHE N 1 :
LISO 27005 EST CERTIFIANTE POUR LORGANISATION.
Faux. LISO 27005 nest pas un recueil dexigences certifiables. Le processus de management
des risques en scurit de linformation dune entreprise ne peut donc pas tre certifi ISO
27005 .
Cependant, des personnes peuvent se faire certifier Risk Manager 27005 , suite une
formation adapte. Ce certificat garantit un niveau de matrise dans la comprhension du
processus. En fait, il sagit dune certification relativement lISO 27001 selon et
relativement lapproche de lISO 27005 et aux comptences quelle entrane.

MYTHE N 2 :
LISO 27005 EXIGE QUE LA GESTION DES RISQUES EN SECURITE DE LINFORMATION
SAPPLIQUE A TOUTE LORGANISATION.

Inexact. LISO 27005 ne prjuge pas de la taille du primtre de lorganisation. La gestion de


risque concernera le primtre et le contexte retenus dans la phase initiale.

MYTHE N 3 :
LISO 27005 EST PRETE A LEMPLOI POUR LANALYSE DE RISQUES EN SECURITE DE
LINFORMATION.

Non, lISO 27005 nest pas un outil prt lemploi, mais un cadre de rfrence partir
duquel on sait ce quil convient de faire pour analyser les risques en scurit de linformation
dun primtre dactivit et dinformations de lorganisation.
Pour analyser les risques, il faut :
suivre les tapes indiques dans la 27005
utiliser une base de connaissance en menaces et vulnrabilits

MYTHE N 4 :
DANS LISO 27005, LACTIF INFORMATIONNEL EST UNE INFORMATION.
Oui, mais pas seulement. Il est trs important de le comprendre. LISO 27005 clarifie lactif
informationnel de lISO 27001.

Un livre collectif 193 / 296


Mythes et lgendes des TIC

Les actifs sont diviss en deux : des actifs intangibles, comprenant informations et activits.
Ils sont qualifis de primordiaux . Primordiaux aux enjeux de lorganisation que la matrise
des risques prserve ou dveloppe.
Les actifs tangibles, correspondant aux ressources utilises ou concernes par ces activits.
Ces actifs sont qualifis d actifs support . Ils peuvent tre des personnes, des ressources
informatiques, des rseaux, de lhbergement physique, des organisations.
Ainsi, identifier les risques en scurit de linformation pour un primtre dactivit donn,
cest identifier
les actifs primordiaux : les activits et les informations, porteuses des enjeux et des
critres de scurit qui caractrisent leur atteinte par dventuelles sources de menaces.
les actifs support : les ressources matrielles, logicielles, humaines, organisationnelles,
porteuses de vulnrabilits face aux mthodes dattaques ou menaces.
Cest grce cette dissociation des activits et informations de leur support que la 27005
permet une analyse de risques en scurit de linformation, avec mme une ouverture
possible dautre thme comme notamment la continuit dactivit.

MYTHE N 6 :
LISO 27005 EST UN GUIDE DIMPLEMENTATION DE LA GESTION DES RISQUES EN
SECURITE DE LINFORMATION.

Non, elle fournit un cadre de rfrence une implmentation, De mme quil faut utiliser
une base de connaissance en menaces et vulnrabilits, il faut recourir des bonnes pratiques
quant aux mesures prendre une fois lanalyse de risques accomplie. LISO/IEC 27002 est
une base de bonnes pratiques dans ce domaine et peut saccompagner dautres rfrentiels
issus par exemple des mtiers concerns ou de la veille.

Un livre collectif 194 / 296


Mythes et lgendes des TIC

5 PARTIE : ASPECTS JURIDIQUES

Un livre collectif 195 / 296


Mythes et lgendes des TIC

MYTHES DE L'IMPUNITE JURIDIQUE, DE L'ARGENT


FACILE ET DE LA SURVEILLANCE TOTALE

Christian Aghroum
Ancien chef de l'OCLCTIC
Directeur de la scurit d'un groupe international suisse

Mais que fait la police ? On a souvent limpression que le policier et le gendarme sont
seulement l pour nous verbaliser au bord des routes ... rassurez vous, ils veillent aussi sur les
autoroutes de linformation ...

MYTHE N 1 :
INTERNET PERMET AUX DELINQUANTS DECHAPPER AUX POURSUITES.
Faux, il nest pas ncessaire de connatre priori lauteur ou le suspect des faits commis. Rien
ninterdit douvrir une enqute contre personne inconnue, contre X... dit-on, ds lors que
lauteur des faits est inconnu. Il faut cependant reconnatre que la cybercriminalit profite de
tous les atouts accords la criminalit moderne : un caractre organis, transfrontalier,
complt par lutilisation de technologies toujours nouvelles, dont nauraient pu bnficier
que les services secrets il y a peine deux dcennies. La cryptologie, la miniaturisation ne
serait-ce que des camras et appareils photos, des microphones, la simplification des outils
de transmission sont autant dlment de progrs dont les criminels ont rapidement su tirer
profit. Enfin, la capacit dissminer rapidement une information sur la plante entire
permet au criminel de tout poil dlargir considrablement le panel de ses victimes possibles.
On pche avec un immense filet aux mailles trs serres ...
La collaboration entre services de police et autorits judiciaires progresse aussi en matire de
lutte contre la cybercriminalit, tout particulirement grce un texte fondateur, la
convention de Budapest du 23 novembre 2001.
Alors bien sr, dans le lot, chappent quelques dlinquants, aids par lhbergement de leurs
activits dans des pays corrompus aux lgislations dfaillantes voire inexistantes. Il nen reste
pas moins vrai que les progrs techniques profitent aussi la justice. Les services de police se
spcialisent et se dotent doutils performants, la justice se forme et sadapte. Les
cyberpatrouilleurs veillent dornavant.
Laction pnale ne peut tre efficace par contre quavec laide de la victime qui prendra soin
de dposer plainte et de fournir trs rapidement et sans hsitation tous les lments en sa
possession. Cela permettra des constatations exhaustives et une meilleure connaissance de
lenvironnement victimiologique, seules garanties dune enqute ancre sur de bonnes bases.

MYTHE N 2 :
LA POLICE ET LA JUSTICE ONT TOUJOURS UN TEMPS DE RETARD.
Voil une approche bien rapide et faisant fi de la ralit pragmatique du terrain. Le temps de
la justice ne peut pas tre celui de linfraction si lon veut que la justice demeure objective et
impartiale. Police et justice sont ancres dans le temps de laction, dclenche avant tout par
leur information. Si nul ne se plaint, si aucune information ne filtre, il ne peut y avoir

Un livre collectif 196 / 296


Mythes et lgendes des TIC

daction pnale. Combien dentreprises refusent de dposer plainte de peur dune perte
dimage, combien de particuliers ont honte davoir t si nafs postriori ...
Il faut cependant admettre que les approches traditionnelles volent en clat face la
cybercriminalit : souverainet nationale, espace frontalier, asymtrie des lgislations sont
autant de frein une action efficace. Cela nempche pas, force de pugnacit, dobtenir des
succs rguliers grce une coopration policire et judiciaire forte et voulue par tous, ds
lors que les intrts individuels ne supplantent pas lintrt public.
Enfin, lapport des services de renseignement en amont de la commission de linfraction doit
demeurer discret, leur permettre dtre efficaces ; il nen est pas moins indispensable.

MYTHE N 3 :
EN FRANCE, POLICE ET JUSTICE NONT PAS LES COMPETENCES NECESSAIRES.
Encore un lieu commun sans fondement. Depuis la fin des annes 80, des units de police et
de gendarmerie se sont progressivement spcialises, pour permettre lheure actuelle la
prsence sur lensemble du territoire national de spcialistes dits NTECH pour la
gendarmerie nationale (enquteurs spcialiss en nouvelles technologies) et ICC
(investigateurs en cyber criminalit) pour la police nationale, nonobstant les cyber
correspondants des deux forces placs au plus prs des besoins dans les brigades de
gendarmerie et commissariat de police. Les douanes concourent la cyber protection de la
France dans la lutte contre les contrefaons et produits illgalement imports.
La justice forme ds lEcole Nationale de la Magistrature ses magistrats et complte leur mise
niveau par des formations spcialises.
La CNIL participe au dispositif en encadrant les activits de tous et limitant les abus vite
tentants en la matire.
La France est enfin dote dun arsenal juridique jour et rgulirement actualis (la LOPPSI
II devrait apporter une dernire touche dactualit). Cette ossature juridique existe depuis ...
1978 et la loi informatique et liberts plaant la France dans le peloton de tte des
prcurseurs en matire de lutte contre la cybercriminalit et de protection de ses concitoyens.

MYTHE N 4 :
LARGENT EST FACILE A GAGNER SUR INTERNET.
Quel argent ?
Largent propre : comme toute activit humaine, le cratif, innovateur, consciencieux, et
travailleur peut gagner sa vie au prix des efforts quil mettra la bonne avance de son
entreprise. Encore que sans ide novatrice, sans un entourage comptent, sans lappui dun
banquier, il est dur dimaginer que largent puisse miraculeusement couler par le biais de
connexions diverses vers un compte bancaire en ligne.
Largent sale : lui pourra plus facilement alimenter les caisses de votre organisation ds lors
que sans scrupules vous envisagez de voler, infiltrer, escroquer, trahir la confiance de votre
prochain. Bienvenue dans le monde des criminels peupl de trahisons, de dnonciations, de
surveillances par les services de police, dannes de prison, de saisie complte de vos biens
considrs juste titre comme des avoirs criminels. Au rsultat, loin des clichs
cyberromantiques vhiculant de modernes Robin des Bois, de richissimes magnats enrichis
rapidement par quelques magouilles sans risques physiques sortes de Spaggiari la mode
cyber, vieillissent le lot des criminels uss par les annes de prison, dsociabiliss et bannis.

Un livre collectif 197 / 296


Mythes et lgendes des TIC

MYTHE N 5 :
BLANCHIR ET CACHER SON ARGENT EST A LA PORTEE DE TOUS SUR INTERNET.
Ce nest dj pas la porte de tous les dlinquants, il est dur dimaginer que cela puisse tre
la porte des honntes gens ... qui de toutes faons deviendraient alors dlinquants ... Des
affaires rcentes ont galement dmontr que la fragilit de certains systmes dinformation
conduit aussi les pays rputs pour leur discrtion bancaire revoir leur position et permet
aux services de lEtat de rcuprer quelques listes de citoyens indlicats envers leur systme
fiscal, au moins ...

MYTHE N 6 :
INTERNET EST ENTIEREMENT SOUS LA SURVEILLANCE DES ETATS UNIS ET DE LA
PLUPART DES PAYS.

Bien sr quil est possible de surveiller internet, comme il lest des communications en
gnral. Cependant, la surveillance exerce par les services de renseignement ou par les
services judiciaires ne saurait tre exhaustive. Au del des contraintes lgales, de la
dontologie et de lthique des forces en charge de son exercice, cette surveillance totale ne
peut de toute faon ltre, faute de temps et de moyens tout simplement. On est encore loin
de Big Brother fort heureusement. La surveillance sexerce en destination de cibles
pralablement repres grce toutes les mthodes existantes dont les plus traditionnelles
sont les plus efficaces. La source, linformateur, laviseur, ou quelque soit le terme par lequel
on le dsigne, sera toujours le meilleur point de dpart dune enqute ds lors recoupe par
des surveillances physiques et techniques.
Le contrle daccs internet est par contre opr dans de nombreux pays dont la proximit
la dmocratie est aussi lointain que lge de pierre lest au cyber espace. Ce filtrage est la
forme moderne de la censure par ailleurs exerce sur tous les mdias au sein de ces dictatures
dclares ou non.
Big brother is watching you !. Laissons ce cauchemar Orwell mais gardons cet
avertissement loreille ; quil nous permette de nous prmunir de toute drive vers laquelle
nous conduirait une technique totalement dbride.

MYTHE N 7 :
ON PEUT TOUT DIRE ET TOUT FAIRE SUR INTERNET, CEST UN TOTAL ESPACE DE
LIBERTE.

Internet nappartient plus aux seuls internautes, Internet est devenu un espace public ! Ds
lors, il doit tre soumis aux mmes rgles que tout espace de communication. La loi encadre
pour le bien de tous lexpression publique : on peut penser ce que lon veut, sexprimer tant
que lon veut, ds lors que lon respecte son prochain. Ainsi, linjure, la diffamation, la
propagation de fausses nouvelles, lincitation la haine raciale, lexcitation la dbauche sont
autant de formes dexpressions dviantes, insupportables aux rgles dune vie courtoise et
paisible en socit et ne permettent ni la tolrance et ni au respect de lautre de sexprimer.
Il en est de mme pour internet, les mmes infractions sont tout aussi dtestables,
dtectables et poursuivables.
Une tape mriterait dtre franchie, celle de la cration dun droit international d'Internet au
mme titre quil existe un droit de lespace arien ou de lespace maritime. Nul doute quil
simplifierait la circulation, linstallation et lexpression de tous. A condition de trouver outre

Un livre collectif 198 / 296


Mythes et lgendes des TIC

lICANN et la convention de Budapest un nouveau leader et un outil lgal plus universel


encore ... auprs de lO.N.U. peut-tre ?

MYTHE N 8 :
IL NY A QUE LES NAFS QUI SE FONT AVOIR SUR INTERNET.
Faux ... si le caractre naf des victimes de phishing ou descroquerie la nigriane est
souvent mis en avant, cest mal connatre la malignit des cyberdlinquants et leurs capacits
mettre en place des dispositifs dingnierie sociale de plus en plus ingnieux. Mme les plus
attentifs peuvent si faire prendre par ngligence, fatigue ou du fait dune trop grande
confiance dans des dispositifs techniques qui mme mis jour temps sont parfois
dtourns par une technique nouvelle. Enfin, chacun a ses petites faiblesses, ses penchants,
ses passions qui le conduiront rpondre trop rapidement un mail allchant, une publicit
plus vraie que nature, un appel la charit bien cibl ; une seule parade : faire preuve de bon
sens, prendre le temps ncessaire la rflexion et linterrogation, les sites daide et de
prvention sont cet gard suffisamment nombreux.

MYTHE N 9 :
SIGNALER LES FAITS NE SERT A RIEN.
Bien sr que si, signaler des faits apparemment illgaux relevs sur internet procde du
civisme et de lesprit dentraide de son prochain. Il ne sagit en rien de dlation ! Si je suis
tmoin dun accident de la route et que le chauffard senfuit en laissant une victime
agonisante sur le bord de la chausse, je prviens police et services de secours. De la mme
manire, si je dtecte incidemment un site pdopornographe ou descroqueries sur internet,
je le signale auprs du service cr cet effet sur le site www.internetsignalement.fr,
mme anonymement. Linformation sera vrifie, qualifie pnalement et adresse en France
ou ltranger vers le service de police, de douanes, de rpression des fraudes comptent. En
quelques clics de souris, jaurais aid protger les enfants de mes voisins ou pargner
quelquun de se faire arnaquer par un escroc sans scrupules ...
De mme est-il vain de croire que de petites infractions, pour lesquelles on a dpos plainte
et qui ne sont pas poursuivies, demeurent lettres mortes. Cest travers le recoupement de
ces informations que les services de police dclent des organisations criminelles
transnationales et activent leurs homologues trangers. Une victime 100 euros ne motivera
pas un service ltranger, 10 000 victimes des mmes faits permettront de dclencher une
opration internationale. Alors consolons nous, si malheureusement notre cas nest pas
rsolu, la plainte ou le signalement du fait permettra certainement den prvenir de
nombreux autres.

MYTHE N 10 :
LE PARTENARIAT PUBLIC PRIVE EST UN SERPENT DE MER.
Le PPP est bien souvent cit, rarement dcrit, ce qui laisse penser la Belle Arlsienne.
Pourtant, dans le cadre de la lutte contre la cybercriminalit, le partenariat public priv est
une ralit quotidienne. Lenqute de police est de plus en plus une enqute de traabilit
dans laquelle sur la base de constatations, les services cherchent des traces physiques,
biologiques, techniques et technologiques. La plupart de ces traces numriques sont dtenues
par dautres que lEtat : banques, fournisseurs daccs, oprateurs de tlphonie, fournisseurs
daccs ... Les services de lEtat en qute de vrit sont dpendants de partenaires privs quil

Un livre collectif 199 / 296


Mythes et lgendes des TIC

faut alors requrir selon les formes lgales. Il devient donc incontournables pour les uns et
les autres de mieux se connatre : comment rechercher ce quon ne connat pas, comment
rpondre avec pertinence et clrit un interlocuteur inconnu ou envers lequel on a de la
dfiance, comment conjuguer impratifs de service public, continuit, horaires et contraintes
financires, reports de charges et impratifs lgaux de stockage de linformation ... Toutes ces
questions trouvent rponse dans une connaissance mutuelle base sur la dcouverte et la
confiance mutuelle encadre.
64
Le guide des bonnes pratiques vot et publi par le Conseil de lEurope suivi de celui de la
65
Commission Europenne sont des avances juridiques considrables. Signal-Spam est une
organisation publique-prive, dont la comptence et lefficacit dans la lutte contre le spam
ne sont plus dmontrer.
Un regret : labsence dun vritable dispositif interministriel calqu sur la mission
interministrielle de lutte contre la drogue et la toxicomanie qui permettrait dorganiser de
manire cohrente la synthse des actions des diffrentes entits publiques et prives dans un
effort commun et concert. Ce rle nest pas celui de lANSSI ne celui de la CNIL et na pu
tre tenu par le forum des droits de linternet. La MILC, mission interministrielle de lutte
contre la cybercriminalit, dote dun budget et dune autorit rglementaire, rpondant
directement au Premier Ministre, pourrait efficacement fonctionner sous la prsidence dun
Monsieur ou dune Madame Cyber charismatique et reconnu(e).

64
http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/documents/Reports-
Presentations/567%20prov-d-
%20guidelines%20provisional2%20_3%20April%202008_FRENCHrev.pdf

65
http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressdata/fr/jha/103548.pdf

Un livre collectif 200 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'INFORENSIQUE

Daniel Guinier, Expert judiciaire en cybercriminalit

L'inforensique fait partie intgrante du processus global d'investigation. Il s'agit d'une mthode de
prservation de l'intgrit et d'analyse des supports de donnes pour identifier et extraire des lments utiles,
avec pour but essentiel l'tablissement de la preuve.

MYTHE N 1 :
LE CHAMP DE L'INFORENSIQUE EST LIMITE AUX INVESTIGATIONS INFORMATIQUES :
D'abord rserv l'informatique judiciaire, -ou informatique lgale par analogie la mdecine lgale
("forensics")-, le terme "inforensique" englobe l'ensemble des technologies de l'information
numrique sous l'anglicisme "Digital forensics", o les investigations affrentes traitent
maintenant non seulement de l'informatique, sous le nom de "Computer forensics", mais aussi
des supports digitaux voisins, des rseaux et tlcoms. Une autre spcialit relve des
tlphones mobiles, sous la dnomination de "Phone forensics".
Les supports informatiques sont les ordinateurs de tous types, les assistants personnels ou
PDA pour Personal Digital Assistant, les disques de tous types : magntiques, SSD pour Solid-
State Drive, optolectroniques, disquettes, bandes et cassettes magntiques, mmoires flash : carte
ou cl USB, mmoire vive RAM pour un examen chaud seulement, sinon par le recours la
cryognie! Dj, les disques durs ne sont donc pas les seuls supports examiner. Les
supports voisins sont les appareils de prises de vue numrique : photographiques et vido, les
"boxes TV", consoles de jeux, baladeurs, lecteurs-enregistreurs et supports CD et DVD etc.,
les dispositifs d'encodage et de lecture et les cartes d'accs, d'identification et de paiement, les
tlphones cellulaires et les cartes SIM et USIM, les terminaux GPS, etc.
Le domaine inforensique rsultant est indispensable la preuve, notamment en
matire pnale. Il s'inscrit comme une vritable spcialit au tableau criminalistique, de faon
tre plus proche des besoins, d'une part, pour la lutte contre la cybercriminalit ou les
crimes et dlits classiques facilits par les TIC et, d'autre part, pour la dcouverte d'indices et
d'lments probants dans des affaires correctionnelles et criminelles, en complment des
autres moyens d'enqute. Ces lments peuvent se trouver dissimuls, y compris dans des
lieux insolites : rfrigrateur, porte-monnaie, etc., et mme entre les dents d'une personne, concernant une
carte mmoire micro SD, dont le contenu s'est avr irrcuprable!
Ainsi, l'inforensique ne se limite pas aux investigations sur des supports informatiques, mais intresse
l'ensemble des supports lectroniques, en menant des investigations tendues tous les moyens et supports
informatiques et voisins.

MYTHE N 2 :
L'INFORENSIQUE EST LE DOMAINE RESERVE AUX ENQUETEURS SPECIALISES :
Sur le territoire national des enquteurs de la police et de la gendarmerie sont spcialiss avec
des comptences techniques dans le domaine de l'inforensique. La formation de ces derniers
constitue une priorit du ministre de lIntrieur qui abrite les deux grandes directions que
sont la DGPN et la DGGN. Au niveau central, les uns appartiennent lOffice Central de
Lutte contre la Criminalit lie aux Technologies de lInformation et de la Communication

Un livre collectif 201 / 296


Mythes et lgendes des TIC

(OCLCTIC), ils sont pauls par la Brigade dEnqutes sur les Fraudes aux Technologies de
lInformation (BEFTI) dont la comptence territoriale est limite Paris et sa petite
couronne. A son tour, la Direction Centrale du Renseignement Intrieur (DCRI), dispose
d'un domaine de comptence qui concerne plus gnralement la scurit intrieure. Les
autres appartiennent la gendarmerie nationale et sont rattachs lInstitut de Recherches
Criminelles de la Gendarmerie Nationale (IRCGN), ou une division du service technique
de recherches judiciaires et de documentation (STRJD). En plus de ces centres de
comptences, des enquteurs spcialiss en criminalit informatique (ICC ou NTECH), sont
dissmins au sein de bon nombre de services sur lensemble du territoire.
Les enquteurs spcialiss et les spcialistes en inforensique de la police nationale ou
de la gendarmerie font partie de la chane d'enqute pour intervenir au cours d'enqutes
judiciaires, o ils agissent sur les instructions du parquet ou d'un juge d'instruction. Ces
derniers puisent aussi dans le savoir-faire de l'IRCGN et de l'OCLCTIC et les spcificits
propres certains laboratoires de l'Institut National de Police Scientifique (INPS). Une fois
les objets saisis mis sous scells, ceux-ci seront alors analyss dans le cadre d'une
expertise.
Certains experts judiciaires disposent de comptences techniques et de savoir-faire dans
le domaine de l'inforensique, o ils agissent sur rquisition d'un OPJ ou d'un ODJ, en
cours d'enqute de flagrance (Art. 60 du CPP) ou prliminaire (Art. 77-1 du CPP), ou sur
ordonnance d'un juge d'instruction (Arts.156 et suivants du CPP) dans le cadre d'une procdure
pnale, correctionnelle ou criminelle. Leur statut relve de la loi n 2004-130 du 11 fvrier
2004 et du dcret n 2004-1463 du 23 dcembre 2004. La dsignation de l'expert se rfre
une liste tablie chaque anne par une Cour d'Appel ou par la Cour de Cassation, ou sa
rputation s'il est non inscrit : honoraire ou spcialiste reconnu. Le juge d'instruction peut
galement faire appel un des organismes cits ou un spcialiste de la police ou de la
gendarmerie nationale de la chane criminalistique.
Les oprations d'expertise inforensique dbutent par la remise des scells jusqu'au dpt
du rapport qui fait suite aux investigations, conformment la mission donne l'expert.
Celle-ci sera centre sur les qualifications dont il faudra apporter la preuve, et oriente sur
des points dcoulant des interrogatoires, de l'environnement de faits similaires, ou vus
pralablement, en laissant une possibilit d'ouverture en faisant "toutes constatations et
remarques techniques utiles la manifestation de la vrit". Lors d'un procs l'expert appel devra
rpondre une citation comparatre (Arts. 437, 438 du CPP) remise par huissier de justice.
Il procdera sa dposition et rpondra au questionnement du Tribunal, en tant qu'expert-
tmoin, aprs avoir prt serment.
Les expertises inforensiques sont diverses en termes de qualifications :
pdopornographie et cyber-pdophilie, vols, fraudes, escroqueries, dtournements, piratage,
diffamation, atteintes la vie prive, menaces de mort, appels la haine et au racisme, faux
documents administratifs, fausse monnaie, trafics : tres humains, stupfiants, armes, vhicules, etc.,
concurrence dloyale, intrusions, vols de donnes, contrefaons et diffusion par l'Internet de
produits contrefaits, blanchiment, financement du terrorisme, vols avec violences, attaques
de banques en bande organise, et trs utiles dans des affaires de viols sur mineurs,
notamment moins de 15 ans, y compris sous drogue ou avec violence, meurtres et
homicides, etc.
L'inforensique n'est donc pas le domaine rserv aux enquteurs spcialiss, les experts judiciaires
interviennent diversement, notamment en complment et en aval de ces derniers.

Un livre collectif 202 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
LES MESURES ANTI-INFORENSIQUES SONT EFFICACES POUR FAIRE DISPARAITRE LES
PREUVES :

Le rgime probatoire franais est fonction du droit auquel il se rclame : droit du travail, civil,
commercial, administratif ou pnal. Dans ce dernier cas, la preuve est libre et sans hirarchie et le
juge a un rle actif dans la recherche de la preuve, et par consquent les dlinquants ou
criminels mettront tout en uvre pour dissimuler au mieux les traces d'actes illicites par des
mesures anti-inforensiques.
Les mesures antrieures aux actes illicites concernent la recherche d'informations, d'outils
et de sites d'anonymisation, pour raliser des intrusions, dposer des logiciels malveillants et
procder des tlchargements et des vols de donnes, par ex. Les mesures postrieures
seront de plusieurs types. Il s'agira de l'effacement des enregistrements et de traces diverses
(Formatage, suppression de partition, usage d'un utilitaire (ex. CCleaner), etc.), du camouflage de
partitions ou d'enregistrements, de la banalisation de la dnomination de dossiers, de fichiers,
pour leur donner une extension ou une apparence neutre (ex. sys, txt, au lieu de jpg), les cacher
ou les encapsuler dans d'autres d'apparence ordinaire (ex. images pdophiles dans des fichiers
Word), masquer leur contenu par un dispositif stganographique, ou le crypter pour le rendre
inintelligible. Il s'agira aussi de fausser l'horodatage ou le rendre incohrent pour la preuve, et
plus rarement, d'indiquer des rpertoires classifis de dfense pour tenter de qualifier leur
contenu "intouchable" en l'tat, etc.
Il existe des rponses inforensiques aux problmes poss par ces mesures anti-
inforensiques visant dtruire, camoufler, modifier des traces et en prvenir la cration. Tout
d'abord, il est possible de retrouver des partitions caches ou supprimes (ex. avec TestDisk ou
autre outil inforensique) et de rcuprer la table des partitions et le secteur de "boot" des systmes
de fichiers (ex. FAT3, NTFS), ainsi que les rpertoires et les fichiers supprims. Par ailleurs, il
est ais de reconnatre les fichiers non pas par leur extension mais par leurs enttes "header"
et "footer" et une mthode de "carving" permettra de retrouver des fichiers (ex. images)
encapsuls dans d'autres. Sans traces particulires de logs, avec les systmes usuels, les
horodatages fausss pourront parfois tre dtects par une incohrence, et quelquefois
retrouvs, par analogie avec des fichiers jumeaux disposant de mtadonnes non altres.
Des informations pourront tre extraites de zones non alloues, et d'autres relches en fin
de fichier.
La dtection de l'usage de la stganographie et l'extraction est dlicate mais reste possible.
Enfin, les fichiers crypts avec un algorithme fort (ex. AES), une cl de taille et d'entropie
suffisantes resteront difficiles dcrypter, sans disposer d'lments dans la mmoire RAM
par une analyse chaud, ou de points de fragilit d'implmentation ou de paramtrage du
dispositif, ou encore de traces rmanentes enregistres sur disque. Le temps ncessaire
pourrait toutefois tre rduit en ayant recours un acclrateur quip de nombreux
processeurs en parallle, ou une grappe de microordinateurs dont la carte graphique pourra
tre utilise avantageusement comme moyen de calcul. En dernier ressort, du fait de dlais
importants, le dcryptage pourrait tre confi au Centre Technique dAssistance (CTA), la
demande des autorits judiciaires selon la procdure de saisine, par lintermdiaire de
lOCLCTIC, et sur rquisition crite, avec maintien du secret des informations dtenues par
le CTA dont les moyens mis en uvre sont classifis au niveau "Secret Dfense".
Ainsi, les mesures anti-inforensiques peuvent tre efficaces, si on dispose des connaissances et parfois d'une
volont plus forte que le dsespoir pour retrouver des lments de preuves.

Un livre collectif 203 / 296


Mythes et lgendes des TIC

MYTHE N 4 :
DE SIMPLES OUTILS ET CONNAISSANCES INFORMATIQUES SONT SUFFISANTS :
En cas de suspicion, il parat lgitime pour un organisme de chercher pratiquer la collecte
et l'analyse des preuves numriques. La direction peut tre tente de s'en remettre
directement son responsable informatique ou un administrateur systme ou rseaux,
voire au responsable de la scurit des systmes d'information (RSSI). Bien que forms leur
mtier, et disposant de divers outils, ces professionnels sont rarement des spcialistes forms
l'inforensique et les oprations peuvent tre soumis des risques.
Du point de vue juridique, il est fortement recommand de disposer de l'appui d'un
conseil juridique interne ou d'un avocat avant toute action. Dans la plupart des cas il est
souhaitable de faire appel un huissier de justice qui pourra consigner la ralit des
oprations, assist d'un expert judiciaire, sur la base d'une ordonnance du tribunal comptent
pour dlimiter le champ d'action et respecter en tout cas le droit, pour ne pas remettre en
cause les oprations.
Du point de vue technique, la formation et la documentation techniques, mais aussi la
pratique, sont indispensables avant toute activit de type inforensique. Dans la phase de
saisie, une erreur de mthodologie, -en particulier pour la prservation de l'intgrit d'un contenu-, un
dispositif inadapt ou une erreur d'utilisation dans la copie ou la collecte risque de dtruire
ou de corrompre les seules donnes disponibles. Dans la phase d'analyse, une mthode ou
un outil inadapt peut tre trop restreint et ne pas prsenter d'lments dmonstratifs. C'est
pourquoi des outils comme : Encase, X-Ways Forensic, FTK, Coroner, Sleuth, etc., sont utiles.
Enfin, une mauvaise interprtation serait en mesure d'anantir tous les efforts et rendre le
rapport irrecevable ou contrecarr devant la juridiction comptente.
Ainsi, de simples outils et mme des connaissances informatiques de haut niveau ne sont pas suffisants,
quand il est ncessaire d'oprer avec des mthodes et des outils inforensiques, lesquels exigent des connaissances
technico-juridiques et de la pratique.

MYTHE N 5 :
L'ADRESSE IP EST UN IDENTIFIANT INDISCUTABLE :
Le statut lgal de ladresse IP pour Internet Protocol n'est pas clairement dtermin par la
loi en France ; tantt considre comme une donne caractre personnel, tantt non. La Cour de
cassation, dans son arrt du 13 janvier 2009, a jug quil ne sagissait pas dune donne
identifiable, et donc que ce ntait pas une donne caractre personnel, telle que dfinie par
la loi franaise. Du point de vue de la jurisprudence, ladresse IP matrialise
linfraction, mais nidentifie pas son auteur, au vu cet arrt de la Cour de cassation et de
la dcision du 1er fvrier 2010 de la cour de Paris. Mme si les renseignements obtenus par
les enquteurs auprs du fournisseur daccs Internet (FAI) conduisent une identification,
le responsable des actes a pu utiliser l'ordinateur de ce tiers titulaire de cette adresse, ou
encore usurper cette dernire.
Une proposition de loi tente d'noncer le statut de ladresse IP de faon rendre cette
dernire comme "un moyen indiscutable didentification, ft-elle indirecte, dun internaute, au mme titre
quune adresse postale ou un numro de tlphone". Il reste voir si cette proposition sera adopte,
et dj si elle est conforme la ralit technique en rapport avec l'usurpation d'identit
lectronique. Ce point est au centre du problme et mrite explication ; qu'il s'agisse de l'adresse
logique IP attribue ou de l'adresse physique MAC du matriel correspondant.

Un livre collectif 204 / 296


Mythes et lgendes des TIC

Concernant la mystification d'adresse logique IP : Le protocole IP ne vrifie pas


l'adresse source des paquets. Aussi, au travers l'envoi de paquets modifis, l'adresse IP de
l'expditeur peut tre substitue par une autre. Il ne s'agit pas d'un changement d'adresse IP
proprement-dit mais d'une mystification au niveau des paquets mis, en masquant l'adresse
du vritable metteur, lequel peut alors envoyer des paquets de faon "anonyme", en usurpant
l'identit IP de la machine d'un tiers, suspect mais pourtant sans rapport avec les faits.
Concernant la mystification d'adresse physique MAC : Au travers d'une connexion non
filaire (ex. WiFi aprs dcouverte de la cl WEP ou d'une cl WPA faible), la cl est introduite dans
les prfrences d'Ethereal (IEEE 802.11/cl WEP), pour lire les paquets et obtenir l'adresse
MAC de la victime. Il ne reste plus qu' l'intrus associer cette dernire sa propre carte
rseau, -indication dans les proprits avances du panneau de configuration, ou avec un programme
spcifique-, puis de redmarrer sa machine qui sera maintenant vue avec l'adresse MAC
substitue par celle de sa victime.
Des vrifications essentielles la preuve s'imposent sur le systme concern par l'une
ou l'autre adresse. Ceci implique de disposer de la machine suspecte et du bon support, -
disque dur ou autre sur systme mobile-, et de l'habilitation requise pour cette mission.
Ainsi, si l'adresse IP repre est considrer comme un premier indicateur. En aucun cas elle ne peut
prtendre tre un identifiant indiscutable.

Un livre collectif 205 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES ERREURS JUDICIAIRES

Fabrice Mattatia
Ingnieur en chef des mines,
Docteur en droit

UN DIFFICILE APPRENTISSAGE
Un tribunal doit dans une mme journe examiner des affaires trs diverses. Vols,
escroqueries, atteintes aux personnes, fraudes diverses, protection des mineurs Le juge
doit tre polyvalent et sadapter toutes les infractions possibles. Il lui arrive aussi davoir
appliquer les textes relatifs au monde numrique. Or sauf exceptions, les magistrats nont eu
dans leur formation aucune notion concernant le fonctionnement des TIC. Leur ignorance
nest pas blmable, quand lon songe la technicit de cette matire, et son rythme
dvolution qui fait que nous-mmes ne pouvons suivre tous les dveloppements rcents : on
ne peut demander un juge dtre expert en tout. Mais cela pose parfois des difficults
lorsquil doit se confronter des textes contenant des rfrences techniques trs pointues : le
risque existe alors que le juge ne comprenne pas correctement les concepts en cause, et
prononce une dcision errone ou mal fonde. Pensons par exemple la loi sur la signature
lectronique et ses dcrets dapplication, qui sans le dire explicitement supposent
lutilisation de la cryptographie asymtrique, si contraire au sens commun (voir : Mythes et
lgendes de la signature lectronique).
Les juges ne sont pas les seuls mconnatre les fondements techniques des TIC : les
utilisateurs aussi sont parfois pris au pige. Les dcisions de justice leur rappellent dans ce
cas que lusage des TIC peut avoir des consquences juridiques.
Les paragraphes suivants recensent quelques cas de mauvaise interprtation des textes, ou de
mythes dus lignorance. Ces exemples plaident pour une plus large diffusion des notions
techniques, aussi bien en direction de la population en gnral, quauprs des magistrats.

MYTHE N 1 :
UNE SIGNATURE SCANNEE EST UNE SIGNATURE ELECTRONIQUE
Saisie dun litige sur la validit dune signature scanne appose sur un courrier papier, la
Cour dappel de Besanon a jug le 20 octobre 2000 que la loi du 13 mars 2000 sur la
signature lectronique ne pouvait sy appliquer.
Cet arrt devrait donc rassurer le lecteur : tout le monde sait quune signature scanne nest
pas une signature lectronique !
Malheureusement, une lecture plus attentive de larrt jette le trouble. En effet, la Cour
prcise que les parties saccordent pour reconnatre que la signature appose [] en date
du 1er avril 1999 [] est la signature informatique de [lexpditeur]. La Cour le reconnat
galement, mais elle tient prciser les lois en vigueur la date des faits : lacte litigieux a
t tabli antrieurement la promulgation de la loi n 2000-230 du 13 mars 2000 portant
adaptation du droit de la preuve aux technologies de linformation et relative la signature
lectronique. En consquence, les dispositions de ce texte sont inapplicables en lespce .
Bref, selon cet arrt, une signature scanne appose en 1999 sur un document ne relve pas
de la loi sur la signature lectronique uniquement parce que cette loi ntait pas en vigueur lpoque.

Un livre collectif 206 / 296


Mythes et lgendes des TIC

La Cour de cassation a confirm cette interprtation le 30 avril 2003, en prcisant que dans
le rgime antrieur la loi du 13 mars 2000, la validit du recours cette signature ne pouvait
tre admise .
On pourrait donc craindre que la Cour admette comme signature lectronique une signature
scanne ralise aprs la promulgation de la loi de 2000. Toutefois, dans un arrt rcent (30
septembre 2010), la Cour de cassation a rappel quil tait indispensable de vrifier toutes les
conditions poses par la loi (et inscrites dans le Code civile, articles 1316-1 1316-4) avant
de conclure la validit dune signature lectronique.

MYTHE N 2 :
UNE USURPATION DADRESSE MAIL CONSTITUE UN ACCES FRAUDULEUX A UN SYSTEME
INFORMATIQUE

Le dlit daccs et de maintien frauduleux dans un systme de traitement automatis de


donnes est dfini de faon trs large dans larticle 323-1 du Code pnal, ce qui permet de
rprimer un spectre trs tendu de fraudes. Toutefois, il arrive que certains jugements y aient
recours de manire excessive, moins par commodit sans doute que par mconnaissance de
la signification technique dun accs un systme .
Le groupe mdical Smith and Nephew a port plainte contre un ancien employ qui, suite
un licenciement en 1998, envoyait aux clients de la socit des documents mensongers ou
falsifis mettant en cause la rputation de lentreprise. Afin de faire croire que les mails
calomnieux provenaient de lentreprise, le prvenu falsifiait dans leur en-tte ladresse
expditeur, opration techniquement trs simple. Comme lindique le jugement du tribunal
de grande instance du Mans du 7 novembre 2003, les mails falsifis comport[aient] la racine
@smith-nephew.com , laissant penser que leur auteur tait effectivement membre du
rseau interne du groupe Smith and Nephew . Le jugement prcise ensuite que lusage de
fausses adresses lectroniques dexpditeur dont certaines ont t usurpes leur dtenteur,
ainsi que lenvoi de tels messages sur les services de messageries lectroniques de lentreprise
constituent de faon incontestable un moyen frauduleux daccs dans le systme de
traitement automatis grant les services de messagerie lectronique du groupe Smith and
Nephew . Ces motifs ont conduit le tribunal reconnatre le prvenu coupable des dlits de
faux et usage de faux, et dentrave un systme de traitement automatis de donnes (pour
des faits de mail bombing qui ont accompagn lenvoi de mails falsifis). Il la condamn 10
mois demprisonnement avec sursis et mise lpreuve, ainsi qu des dommages et intrts
qui se montaient plus de 23.000 .
Qualifier lusage de fausses adresses mail de moyen frauduleux daccs, comme la fait le tribunal,
constitue pourtant une erreur. En effet, par dfinition, un accs suppose daccder au
fonctionnement dun systme ou ses donnes, ce qui nest pas le cas lorsquon envoie un
message. Lorsquon usurpe une adresse lectronique en modifiant frauduleusement len-tte
de ses mails, on naccde nullement au systme de traitement du titulaire lgitime de
ladresse. Le fait denvoyer de tels mails falsifis vers le service de messagerie dont on usurpe
ladresse ne permet pas non plus un accs. Linterprtation incontestable des faits tablie
par le tribunal est au contraire trs fortement contestable, mme si lquit du jugement ne
fait aucun doute.

Un livre collectif 207 / 296


Mythes et lgendes des TIC

MYTHE N 3 :
CELUI QUI SIGNALE UNE FAILLE DE SECURITE SERA RECOMPENSE
On peut sattendre ce quune entreprise ou une administration remercie chaleureusement
celui qui lui signale une faille de scurit dans son systme dinformation. Malheureusement,
de telles marques de reconnaissance sont trs rares. Le plus souvent, lorganisation concerne
rpond par le silence. Au pire, elle porte plainte contre celui qui la avertie.
Ainsi, en 1999, Antoine C., journaliste, sest aperu quen visitant au moyen dun navigateur
grand public le site de la socit Tati, il tait possible de suivre des liens jusqu des bases de
donnes clients. Il en avertit deux fois la socit Tati, sans rsultat, puis rvla cette faille
dans un article en novembre 2000. Tati porta alors plainte contre lui pour accs frauduleux
son systme dinformation. En premire instance, le journaliste fut condamn, le tribunal
estimant quun accs est effectivement frauduleux ds lors quil a lieu sans le consentement
du propritaire du systme. La Cour dappel de Paris, au contraire, considra le 30 octobre
2002 que les donnes en cause sur le site web de Tati ntant ni protges par un quelconque
dispositif technique, ni indiques comme confidentielles, on ne pouvait reprocher un
internaute dy accder en suivant simplement les liens affichs sur le site.
Un autre arrt de la Cour dappel de Paris, statuant en rfr le 9 septembre 2009, apporte un
point de vue diffrent. Dans une affaire a priori similaire la prcdente, un journaliste du
site spcialis Zataz avait, aprs avoir averti la socit FLP de lexistence dune faille dans son
systme, publi un article sur le sujet. FLP lavait alors attaqu en diffamation, procs que le
journaliste avait gagn. Mais la Cour dappel de Paris avait ensuite nonc que laccs non
autoris un systme constituait un trouble manifestement illicite . En consquence, elle
avait ordonn au journaliste de rendre inaccessible son article, et de dtruire les pices
copies sur le site de FLP, tout en tant condamn aux dpens. Cette procdure en rfr
(c'est--dire pour faire cesser un trouble en urgence) semblait en fait surtout destine faire
supporter des frais de justice au journaliste, le trouble constitu par laccs litigieux ayant
cess depuis longtemps, et larticle ayant dj t retir par le journaliste ds la premire
demande de la socit FLP.
Notons que la situation laquelle on aboutit ainsi est paradoxale : le Code pnal (article 226-
17) fait par ailleurs obligation aux responsables de traitements de donnes personnelles de
protger ces donnes, sous peine de 5 ans de prison et de 300.000 euros damende. Or dans
les affaires Tati et Zataz, les responsables des traitements en question, qui navaient pourtant
pas satisfait aux exigences de la loi, nont mme pas t poursuivis, et encore moins
sanctionns. Au contraire, ce sont ceux qui ont rvl leur ngligence qui ont t poursuivis !
Cette dernire jurisprudence de la Cour dappel de Paris risque dsormais de dissuader ceux
qui dcouvrent des failles de les signaler aux responsables informatiques, par peur de
poursuites judiciaires. Les sites mal conus resteront alors plus longtemps vulnrables face
des internautes mal intentionns. Il devient indispensable de mieux protger ceux qui
dcouvrent et signalent des failles de scurit. Aprs tout, le code pnal existant (article 221-
5-3) prvoit bien dexempter de peine toute personne qui a tent de commettre les crimes
d'assassinat ou d'empoisonnement [] si, ayant averti l'autorit administrative ou judiciaire,
elle a permis d'viter la mort de la victime et d'identifier, le cas chant, les autres auteurs ou
complices . Alors, pourquoi ne pas prvoir la mme protection pour les hackers blancs ?
Une modification lgislative en ce sens serait souhaitable.

Un livre collectif 208 / 296


Mythes et lgendes des TIC

MYTHE N 4 :
UNE ADRESSE IP EST UNE DONNEE PERSONNELLE
Sur internet, la trace la plus rpandue de lidentit de linternaute rside dans ladresse IP de
son ordinateur. La capacit de relier via une adresse IP un historique de navigation
lidentit dune personne, permet de dresser le profil de cette dernire et de retracer ses
activits, mettant ainsi en danger sa vie prive. Toutefois, ladresse IP est proprement parler
celle dune machine, pas dune personne. De nombreux dbats ont donc eu lieu pour
dterminer si ladresse IP est ou non une donne personnelle. Cette question reprsente
notamment un enjeu dans la lutte contre le tlchargement illgal et dans la protection des
droits dauteur. Elle conditionnait pour les socits propritaires de droits, avant ladoption
de la loi Hadopi, la possibilit de surveiller les tlchargements des internautes en les
identifiant par leur adresse IP. Si ladresse IP est une donne caractre personnel, alors elle
est protge par la loi Informatique et Liberts, et sa surveillance sans autorisation tait
illgale. La loi Hadopi promulgue en 2009, en autorisant spcifiquement la collecte dIP
pour lutter contre le tlchargement illgal, a rduit lenjeu de ce dbat, sans pour autant
avoir prcis le statut de ladresse IP.
En 2006-2007, plusieurs dcisions contradictoires ont t rendues ce sujet par les
tribunaux.
Dans le cadre de deux procdures visant des changes illgaux de fichiers musicaux, la Cour
dappel de Paris devait examiner la validit de procs-verbaux dresss laide de traitements
informatiss non dclars pralablement la CNIL par des agents asserments des socits
de gestion de droits dauteurs. Ces agents avaient relev les adresses IP des contrevenants et
avaient ensuite demand leurs noms aux fournisseurs daccs internet. Lenjeu de la
question pose la Cour tait le suivant : si ladresse IP est une donne personnelle, alors les
procdures en cause, dresses de manire vicie (sans dclaration la CNIL), taient
entaches de nullit. Si ladresse IP nest pas une donne personnelle, les procdures taient
bien valides. La Cour a estim (27 avril et 15 mai 2007) que ladresse IP ne constitue pas une
donne personnelle et quen consquence son traitement ne relve pas de la loi Informatique
et Liberts.
La CNIL sest inquite publiquement de ces deux arrts dans un communiqu du 2 aot
2007, rappelant que toutes ses homologues europennes considraient ladresse IP comme
une donne personnelle. Plusieurs juridictions ont suivi la position de la CNIL. Ainsi, pour le
tribunal de grande instance de Bobigny (14 dcembre 2006), comme pour celui de Saint-
Brieuc (6 septembre 2007), ainsi que pour la Cour dappel de Rennes (22 mai 2008, 23 juin
2008), ladresse IP constitue une donne personnelle.
La Cour de cassation na pas saisi loccasion, offerte par le pourvoi concernant un des arrts
de la Cour dappel de Rennes, pour trancher le dbat. Du coup, le lgislateur sest pench sur
la question. Celle-ci a t aborde en mars 2010 loccasion de la discussion en premire
lecture au Snat de la proposition de loi des snateurs Dtraigne et Escoffier visant mieux
garantir le droit la vie prive lheure du numrique . La rdaction initiale de la
proposition de loi disposait que constitue en particulier une donne caractre personnel
toute adresse ou tout numro identifiant lquipement terminal de connexion un rseau de
communication , ce qui tablissait clairement que ladresse IP est une donne personnelle.
Cette rdaction a t modifie lors des travaux en commission. La rdaction finalement
adopte prcise que tout numro identifiant le titulaire dun accs des services de
communication au public en ligne est vis par le prsent alina. Cette phrase peut toutefois
sembler tautologique, puisque la dfinition de la donne caractre personnel, nonce dans

Un livre collectif 209 / 296


Mythes et lgendes des TIC

lalina en question, se rfre dj au fait que la donne doit identifier une personne. La
question nest donc pas tranche de manire dfinitive. En outre, cette proposition de loi
doit encore, pour devenir dfinitive, tre examine par lAssemble nationale.
Le Contrleur europen de la protection des donnes a dailleurs indiqu (2 septembre 2008)
quune dcision dfinitive sur le statut de ladresse IP nest pas ncessairement souhaitable.
En effet, comme pour toute autre donne, le caractre personnel ou non de ladresse IP doit
selon lui tre valu au cas par cas.

MYTHE N 5 :
UNE CONVERSATION ENTRE AMIS SUR FACEBOOK EST PRIVEE
Des salaris de la socit Alten ont t licencis en 2010 pour avoir critiqu leur hirarchie
lors dchanges sur leur mur Facebook. Les propos en cause avaient t dnoncs leur
suprieur par un de leurs amis qui avait accs cette discussion.
Les salaris ont contest le licenciement aux prudhommes, invoquant une violation de leur
vie prive. Mais le conseil des prudhommes de Boulogne-Billancourt leur a donn tort le 19
novembre 2010. En effet, selon ce dernier, le mur sur lequel se tenait la discussion en cause
tait accessible non seulement leurs amis, mais aussi aux amis des amis, bref un nombre
indtermin de personnes. Or, pour tre considr comme priv, un change doit tre
restreint un cercle connu dinterlocuteurs.

Un livre collectif 210 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU DROIT DE LA


COMMUNICATION SUR L'INTERNET

Sadry Porlon
Avocat au Barreau de Paris
Docteur en droit

Le droit de la presse, dont la pierre angulaire reste la loi 29 juillet 1881, a t suivi par la
cration dun droit plus large dit de la communication aprs lapparition de la tlvision, de la
radio et plus rcemment dinternet.
Ce droit de la communication qui, de prime abord, semble abordable, est en ralit un droit
des plus techniques au sein duquel un formalisme des plus stricts doit tre respect pour
envisager intenter avec succs une action devant les tribunaux ou encore faire valoir ses
droits devant le responsable dun site internet.
Il convient, en effet, de savoir distinguer la diffamation, de linjure, du dnigrement ou
encore de la simple atteinte la vie prive pour tre certain de voir ses demandes accueillies
valablement par les juges.
Lapparition dinternet, sans pour autant avoir rvolutionn le droit de la communication, a
ncessit la mise en place des textes spcifiques contenus, pour la plupart, dans la loi du 24
juin 2004 dite Loi de Confiance dans lconomie Numrique.
De nombreuses ides reues sont diffuses autour du droit de la communication quand il
touche internet.
Gros plan sur certaines dentre elles

MYTHE N 1 :
UNE INJURE OU UNE DIFFAMATION DONT ON EST VICTIME SUR INTERNET EST
SUSCEPTIBLE DUNE ACTION DEVANT LES TRIBUNAUX TANT QUE LE MESSAGE EST
VISIBLE SUR LE SITE LITIGIEUX

A la fin des annes 1990, la doctrine sest penche sur la question de savoir si les infractions
de presse commises sur internet devaient ou non prsenter une spcificit dordre procdural
par rapport aux infractions propres la presse crite.
Elle sest demande si ces infractions devaient tre considres comme continues, lesquelles
subsistent tant que les messages sont accessibles et ne font courir le dlai de prescription qu'
compter de la date de leur suppression, ou comme instantanes , ce dlai dmarrant alors
ds la date de la mise en ligne, constitutive du fait de publication. La Cour de cassation a
pos, aprs quelques hsitations jurisprudentielles, que lorsque des poursuites pour l'une
des infractions prvues par la loi de 1881 sont engages raison de la diffusion, sur le rseau
internet, d'un message figurant sur un site, le point de dpart du dlai de prescription de
l'action publique prvu par l'article 65 de la loi du 29 juillet 1881 doit tre fix la date du
premier acte de publication ; que cette date est celle laquelle le message a t mis pour la
premire fois la disposition des utilisateurs . (Cass. crim., 27 nov. 2001, C. : Comm. com.
lectr. 2002, comm. 32, obs. A. Lepage ; Lgipresse 2002, n 189, III, p. 26 et 27).

Un livre collectif 211 / 296


Mythes et lgendes des TIC

Ds lors, il faut donc considrer que sur internet, comme en matire de presse crite, le dlai
de prescription commence courir compter du premier jour de la publication et que le fait
que le message demeure accessible ou disponible ny change rien.
Ce principe, qui peut paratre injuste bien des gards, oblige celui qui sinterroge sur le bien
fond dune action pour diffamation ou pour injure, suite la dcouverte sur internet de
propos litigieux, sassurer pralablement que le message a bien t publi moins de trois
mois avant.
Larticle 6-V de la loi de la Loi de Confiance dans lconomie numrique du 21 juin 2004
renvoie, en effet, aux dispositions de l'article 65 de la loi de 1881 qui prvoit que ce dlai de
prescription est de trois mois compter de la date de la publication.
Par ailleurs, depuis une loi n 2004-204 du 9 mars 2004, le dlai de prescription des
infractions caractre raciste (exemples : provocation la discrimination ou la haine
raciale, diffamation raciale, injure raciale) est d'un an. Ce dlai sapplique galement
Internet.

MYTHE N 2 :
IL FAUT AVOIR ETE INJURIE, DIFFAME OU DENIGRE POUR POUVOIR OBTENIR UN DROIT
DE REPONSE AUPRES DU SITE INTERNET A LORIGINE DE LINFRACTION

Le droit de rponse un caractre gnral et absolu. Cela implique donc quil nest pas
subordonn la preuve que les propos auxquels il rpond soient motivs par une intention
de nuire de la part de son auteur.
L'article 6, IV alina 1 de la loi du 21 juin 2004 dispose en effet que :
Toute personne nomme ou dsigne dans un service de communication au public en ligne
dispose d'un droit de rponse, sans prjudice des demandes de correction ou de suppression
du message qu'elle peut adresser au service () .
Il suffit donc davoir t nomme ou dsigne sur internet pour pouvoir prtendre un droit
de rponse auprs du directeur de publication du site.
Dans labsolu, mme un article flatteur et compltement exact est susceptible de provoquer
un droit de rponse des plus valables de la part de la personne nomme ou dsigne dans
larticle ou le message disponible sur internet. Une disposition des plus utiles pour une
personne physique ou morale qui, ne trouvant pas la matire suffisante une action pour
diffamation ou pour injure aurait, par cet intermdiaire, loccasion de donner son point de
vue et sa version des faits en rplique larticle ou au message litigieux.

MYTHE N 3 :
IL FAUT AVOIR ETE INJURIE, DIFFAME OU DENIGRE POUR POUVOIR OBTENIR UN DROIT
DE REPONSE AUPRES DE LA TELEVISION OU DE LA RADIO A LORIGINE DE
LINFRACTION

Tout dpendra en ralit du moyen de diffusion de cette tlvision ou de cette radio.


Il faut savoir que la rglementation du droit de rponse dans les services de communication
audiovisuelle (cest dire la tlvision ou la radio) est extrieure la loi du 29 juillet 1881.
Le droit de rponse spcifique la presse crite na donc pas t, contrairement internet,
directement transpos en matire audiovisuelle.
Le droit de rponse la radio ou la tlvision est subordonn la dmonstration
dimputations susceptibles de porter atteinte l'honneur ou la rputation d'une personne .

Un livre collectif 212 / 296


Mythes et lgendes des TIC

Larticle 6 de la loi du 29 juillet 1982 dispose que : Toute personne physique ou morale
dispose d'un droit de rponse dans le cas o des imputations susceptibles de porter atteinte
son honneur ou sa rputation auraient t diffuses dans le cadre d'une activit de
communication audiovisuelle ()
Il existe nanmoins une exception ce principe.
Dans le cas de ce quon appelle une web tl ou dune web radio (mdias diffuss
exclusivement sur internet), la rglementation relative au droit de rponse redevient celle
prvue larticle 6 IV de la loi du 21 juin 2004, ce qui implique que tout message dsignant
une personne peut tre lorigine dun droit de rponse ; quelle que soit sa teneur.

MYTHE N 4 :
DEMANDER UN DROIT DE REPONSE A LEDITEUR DUN SITE INTERNET ET LOBTENIR
EMPECHE TOUTE ACTION DEVANT LES TRIBUNAUX CONTRE LAUTEUR DES PROPOS.

Les actions pour diffamation ou pour injure sont indpendantes de l'exercice du droit de
rponse. Une personne peut donc lgitimement solliciter un droit de rponse en engageant
simultanment une action devant les tribunaux contre lauteur du message diffus sur
internet.

MYTHE N 5 :
LE FAIT QUE LAUTEUR DUN MESSAGE DIFFAMATOIRE OU INJURIEUX SE SOIT EXCUSE
PUBLIQUEMENT SUITE A LA DIFFUSION DU PROPOS LUI PERMETTRA DECHAPPER A UNE
SANCTION EN CAS DACTION DEVANT LES TRIBUNAUX.

Le repentir actif, cest--dire laction qui consiste pour lauteur dun message injurieux ou
diffamatoire prsenter ses excuses publiques ou publier un rectificatif, ne supprime pas
lintention coupable.
La personne directement vise par les propos litigieux pourra toujours agir et obtenir la
condamnation de son auteur.

MYTHE N 6 :
LE FAIT POUR LEDITEUR DUN SITE INTERNET DE NE PAS AVOIR MIS A DISPOSITION
DES INTERNAUTES UN CERTAIN NOMBRE DELEMENTS DIDENTIFICATION COMME,
POUR LES PERSONNES PHYSIQUES, (SON NOM, SON PRENOM, SON DOMICILE) OU POUR
LES PERSONNES MORALES (SA DENOMINATION, SA RAISON SOCIALE OU ENCORE SON
SIEGE SOCIAL) NE PEUT PAS LUI VALOIR UNE CONDAMNATION DEVANT LES
TRIBUNAUX.

Le non-respect des obligations prvues larticle 6-III-1 de la loi du 21 juin 2004 est puni
d'un an d'emprisonnement et de 75 000 euros d'amende . (Article 6-VI-2 de la loi du 21 juin
2004).
Les personnes morales peuvent se voir interdire d'exercer leur activit pour une dure de
cinq ans au plus . (L. 131-38 et L. 131-39 du Code pnal).
L'article 6-III-2 prvoit une exception notamment pour les blogueurs anonymes qui exercent
cette activit titre non professionnel. Cet article pose, en effet, que les personnes ditant
titre non professionnel un service de communication au public en ligne peuvent ne tenir la
disposition du public, pour prserver leur anonymat, que le nom, la dnomination ou la
raison sociale de leur fournisseur d'hbergement, sous rserve de lui avoir communiqu

Un livre collectif 213 / 296


Mythes et lgendes des TIC

les lments d'identification personnelle exigs des diteurs de services agissant titre
professionnel.
Cest dailleurs cette distinction entre les obligations didentification auxquelles sont tenus les
diteurs professionnels et les diteurs non professionnels de services en ligne qui a motiv la
fameuse proposition de loi en date du 3 mai 2010 du Snateur Jean-Louis Masson, laquelle
tendait faciliter l'identification des diteurs de sites de communication en ligne et en
particulier des blogueurs professionnels et non professionnels .

MYTHE N 7 :
IL EST POSSIBLE DE REPRODUIRE INTEGRALEMENT LARTICLE DUN AUTEUR SUR SON
SITE A CONDITION DE CITER SON NOM ET LA SOURCE DE LARTICLE.

Larticle L. 122-4 du Code de la proprit intellectuelle dispose que :


Toute reprsentation ou reproduction intgrale ou partielle faite sans le consentement de
lauteur ou de ses ayants droits est illicite. Il en est de mme pour la traduction, ladaptation
ou la transformation, larrangement ou la reproduction par un art ou un procd
quelconque.
Larticle L. 335-2 alina 3 du Code de la proprit intellectuelle ajoute que :
Toute dition dcrits, de composition musicale, de dessin, de peinture ou de toute autre
production imprime ou grave en entier ou en partie, au mpris des lois et rglements
relatifs la proprit des auteurs, est une contrefaon, et toute contrefaon est un dlit .
Il sagit dun dlit puni de trois ans demprisonnement et de 300.000 euros damende.
Larticle L. 122-5 du Code de la proprit intellectuelle prvoit nanmoins une exception
dans le cas o il sagit dune courte citation de larticle. La courte citation svaluera par
rapport aux dimensions de luvre cite, mais aussi de celle de luvre citante. Cette citation
devra tre justifie par certaines finalits (critique, polmique, pdagogique, scientifique ou
dinformation) de luvre dorigine. Elle devra galement tre intgre une uvre ayant une
autonomie propre en dehors des citations.

MYTHE N 8 :
LE FAIT DE REPRODUIRE UNE UVRE OU UN CONTENU SUR UN SITE INTERNET A
VOCATION NON COMMERCIALE PERMET DECHAPPER A UNE CONDAMNATION POUR
CONTREFAON.

Malgr une forte croyance chez linternaute lambda, la loi na jamais entendu faire de
distinction lditeur dun site qui reproduit luvre dun tiers sans autorisation et dans un but
commercial et celui qui le fait dans un but non commercial. Les deux sont, ds lors,
potentiellement condamnables pour contrefaon ce titre tant sur le plan pnal que sur le
plan civil.

CONCLUSION
Ces quelques exemples contribuent illustrer le foss qui existe entre la perception qu
linternaute lambda dun internet dans lequel rgnerait le vide juridique et la ralit dans
laquelle ce mdia na finalement eu que peu de mal se voir appliquer des rgles datant du
XIXme sicle. Les contentieux sans cesse croissants gnrs par quelques uns des millions
de messages diffuss quotidiennement sur les blogs, les forums de discussion ou encore
travers les rseaux sociaux comme Facebook ou Twitter, sont dailleurs l pour en tmoigner.

Un livre collectif 214 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DES TELECHARGEMENTS


ILLEGAUX

Sadry Porlon
Avocat au Barreau de Paris
Docteur en droit

La loi du 12 juin 2009 favorisant la diffusion et la protection de la cration (dite HADOPI 1),
puis celle du 28 octobre 2009 relative la protection pnale de la proprit littraire et
artistique sur internet (dite HADOPI 2) ont conduit dune part, la cration de la HADOPI,
Haute autorit pour la diffusion des uvres et la protection des uvres, celle de cration
dune obligation pour le titulaire de laccs linternet ne soit pas utilis des fins de
contrefaon, sorte dobligation de scurisation de laccs linternet la charge de labonn,
faute de quoi il sexposera notamment la contravention de ngligence caractrise, et
dautre part adapter le dispositif pnal applicable aux contrefaons commises sur internet.
Quelques ides reues existent encore sur le tlchargement illgal en gnral et sur
HADOPI en particulier

MYTHE N1 :
LEXCEPTION POUR COPIE PRIVEE PERMET A CELUI QUI TELECHARGE UNE UVRE SUR
INTERNET SANS AUTORISATION DE NE PAS ETRE CONDAMNE DEVANT LES TRIBUNAUX
SIL DEMONTRE QUE LADITE COPIE A FAIT LOBJET DUNE UTILISATION STRICTEMENT
PRIVEE

Larticle L. 122-5 du Code de la proprit intellectuelle prvoit quil est possible de copier
une uvre pour un usage priv.
Larticle L. 122-5 alina 2 refuse, en effet, la possibilit lauteur de luvre dinterdire les
copies ou reproductions strictement rserves lusage priv du copiste et non destines
une utilisation collective () .
Lexception affirme par le Code de proprit intellectuelle ne distingue pas selon les
supports.
Mieux, il nest nulle part exig que le copiste se doive de disposer de luvre originale pour
en faire la copie. Larticle L 122-5 du Code de la proprit intellectuelle qui accorde
lutilisateur un droit la copie prive ne distingue pas non plus selon que la copie soit lgale
ou pas ou encore que lutilisateur possde loriginal dont il fait la copie.
La question de savoir si lexception de copie prive trouve ou non sappliquer dans le cas
dune copie duvres tlcharges sur internet, notamment via logiciel peer to peer, a donc
longtemps t, de ce fait, lobjet dune vive controverse doctrinale et jurisprudentielle.
Des opinions dfavorables la prise en compte de lexception pour copie prive en cas de
tlchargement sans autorisation se sont dveloppes partir de lide selon laquelle la copie
ralise partir dun exemplaire contrefaisant est elle-mme contamine par ce caractre
illicite et ne peut donc pas tre couverte par lexception pour copie prive.
La jurisprudence est venue depuis clarifier quelque peu la situation.

Un livre collectif 215 / 296


Mythes et lgendes des TIC

Dans une affaire qui a fait beaucoup parler, un tudiant avait grav prs de 500 films sur
cdroms ; films qu'il avait, notamment, auparavant tlchargs sur Internet. Poursuivi
devant les tribunaux pour contrefaon de droit dauteur par la majeure partie de lindustrie
cinmatographique mondiale, il a tent de se prvaloir de lexception pour copie prive.
En premier instance, le Tribunal correctionnel de Rodez a conclu, le 13 octobre 2004,
labsence de contrefaon, ce qu confirm la Cour dAppel de Montpellier, dans un arrt en
date du 10 mars 2005, sans pour autant se prononcer sur le caractre licite ou illicite de la
source des copies.
La Cour de Cassation est venu casser larrt prcit en retenant notamment que :
Attendu que, pour confirmer le jugement entrepris, larrt retient quaux termes des articles
L 122-3, L 122-4 et L 122-5 du code de la proprit intellectuelle, lorsquune uvre a t
divulgue, lauteur ne peut interdire les copies ou reproductions strictement rserves
lusage priv du copiste et non destines une utilisation collective ; que les juges ajoutent
que le prvenu a dclar avoir effectu les copies uniquement pour un usage priv et quil
nest dmontr aucun usage titre collectif ;
Mais attendu quen se dterminant ainsi, sans sexpliquer sur les circonstances dans lesquelles
les uvres avaient t mises disposition du prvenu et sans rpondre aux conclusions des
parties civiles qui faisaient valoir que lexception de copie prive prvue par larticle L 122-5,
2, du code de la proprit intellectuelle, en ce quelle constitue une drogation au monopole
de lauteur sur son uvre, suppose, pour pouvoir tre retenue que sa source soit licite et
ncessairement exempte de toute atteinte aux prrogatives des titulaires de droits sur luvre
concerne, la cour dappel na pas justifi sa dcision ; .
Ds lors, il nest donc pas possible de prtexter valablement de lexception pour copie prive
pour tlcharger, sans autorisation, des uvres sur internet.

MYTHE N2 :
DEPUIS LES LOIS HADOPI, LE TELECHARGEMENT ILLEGAL DUNE UVRE SUR
INTERNET NE PEUT PLUS ETRE SANCTIONNE QUE PAR UNE SUSPENSION
DINTERNET PENDANT UN MOIS MAXIMUM ET DUNE AMENDE NE DEPASSANT PAS 1500
EUROS.

Un dcret du 25 juin 2010, pris en application de la loi HADOPI 2 est venu dfinir ce quest
la contravention de ngligence caractrise tout en prcisant la caractrisation de ce
manquement et les sanctions encourues par labonn.
Larticle R. 335-5 du Code de la proprit intellectuelle dispose dsormais que :
I.-Constitue une ngligence caractrise, punie de lamende prvue pour les contraventions
de la cinquime classe, le fait, sans motif lgitime, pour la personne titulaire dun accs des
services de communication au public en ligne, lorsque se trouvent runies les conditions
prvues au II :
1. Soit de ne pas avoir mis en place un moyen de scurisation de cet accs ;
2. Soit davoir manqu de diligence dans la mise en uvre de ce moyen.
II.-Les dispositions du I ne sont applicables que lorsque se trouvent runies les deux
conditions suivantes :
1. En application de larticle L. 331-25 et dans les formes prvues par cet article, le
titulaire de laccs sest vu recommander par la commission de protection des droits
de mettre en uvre un moyen de scurisation de son accs permettant de prvenir le

Un livre collectif 216 / 296


Mythes et lgendes des TIC

renouvellement dune utilisation de celui-ci des fins de reproduction, de


reprsentation ou de mise disposition ou de communication au public duvres ou
dobjets protgs par un droit dauteur ou par un droit voisin sans lautorisation des
titulaires des droits prvus aux livres Ier et II lorsquelle est requise ;
2. Dans lanne suivant la prsentation de cette recommandation, cet accs est
nouveau utilis aux fins mentionnes au 1 du prsent II.
III.-Les personnes coupables de la contravention dfinie au I peuvent, en outre, tre
condamnes la peine complmentaire de suspension de laccs un service de
communication au public en ligne pour une dure maximale dun mois, conformment aux
dispositions de larticle L. 335-7-1.
Labonn sexpose donc ce titre une contravention de 5me classe (amende de 1500 euros
maximum) ainsi qu une peine complmentaire de suspension de laccs internet qui ne
pourra excder un mois.
Cependant, le recours la procdure judiciaire simplifie de lordonnance pnale prvue par
la loi HADOPI 2 nest quune possibilit qui vient sajouter aux actions civiles et pnales lies
la contrefaon de droit dauteur et en aucun un pralable ncessaire lengagement de
poursuites.
Tout abonn dont laccs internet a t utilis des fins de reproduction, de reprsentation,
de mise disposition ou de communication au public duvres ou dobjets protgs par un
droit dauteur ou par un droit voisin sans lautorisation des titulaires des droits reste, en effet,
sous la menace dune action en contrefaon de droit dauteur et des sanctions encourues en
matire de contrefaon soit une peine maximum demprisonnement de 3 ans et une amende
de 300.000 euros (article L. 335-2 du Code de la proprit intellectuelle).
La loi HADOPI 2 a dailleurs apport des changements en matire de sanctions pnales en
prcisant quune nouvelle possibilit de sanction pnale est donne au juge lorsque le dlit de
contrefaon a t commis par le biais dun service de communication au public en ligne
savoir celle de prononcer une peine complmentaire de suspension de laccs internet
pendant une dure maximale dun an (Article L. 335-7 alina 1).

MYTHE N3 :
SI MON ACCES A INTERNET EST SUSPENDU SUITE A UNE DECISION DU JUGE, IL ME
SUFFIT DE SOUSCRIRE IMMEDIATEMENT UN NOUVEL ABONNEMENT

Il est interdit un abonn dont laccs internet aurait t suspendu suite une dcision du
juge de se rabonner par un autre moyen.
Larticle L. 335-7-1 du Code de la proprit intellectuelle prvoit dailleurs que le fait pour la
personne condamne la peine complmentaire de suspension dinternet de ne pas respecter
l'interdiction de souscrire un autre contrat d'abonnement un service de communication au
public en ligne pendant la dure de la suspension est puni d'une amende d'un montant
maximal de 3 750 euros.

MYTHE N4 :
SI LE JUGE DECIDE DUNE SUSPENSION DE MON ABONNEMENT, JE NE VAIS QUAND
MEME PAS ETRE CONTRAINT DE CONTINUER A PAYER CET ABONNEMENT PENDANT LA
DUREE DE CETTE SUSPENSION

Dans lhypothse dune suspension dinternet pendant un maximum dun an au motif quune
sanction pnale au titre dune contrefaon aurait t prononce par le juge cette suspension

Un livre collectif 217 / 296


Mythes et lgendes des TIC

de l'accs n'affecte pas, par elle-mme, le versement du prix de l'abonnement au fournisseur


du service.
L'article L. 121-84 du code de la consommation qui dispose : Tout projet de modification
des conditions contractuelles de fourniture d'un service de communications lectroniques est
communiqu par le prestataire au consommateur au moins un mois avant son entre en
vigueur, assorti de l'information selon laquelle ce dernier peut, tant qu'il n'a pas expressment
accept les nouvelles conditions, rsilier le contrat sans pnalit de rsiliation et sans droit
ddommagement, jusque dans un dlai de quatre mois aprs l'entre en vigueur de la
modification n'est pas applicable au cours de la priode de suspension.
Les frais d'une ventuelle rsiliation de l'abonnement au cours de la priode de suspension
sont supports par l'abonn.
Pour information, le fait pour une le fournisseur daccs internet de ne pas mettre en
uvre la peine de suspension qui lui a t notifie est galement puni d'une amende
maximale de 5 000 euros.

MYTHE N5 :
LABONNE QUI REOIT DES RECOMMANDATIONS DE LA PART DE LA HADOPI DEVRA
ATTENDRE DETRE POURSUIVI DEVANT LES TRIBUNAUX POUR FAIRE VALOIR SES DROITS

Labonn qui reoit un ou plusieurs avertissements peut directement prsenter ses


observations la Commission de protection de la HADOPI et demander des prcisions sur
le contenu des uvres et objets protgs concerns par le ou les manquements qui lui sont
reprochs.
Il pourra notamment tre convoqu ou demand tre entendu et pourra se faire assister du
conseil de son choix.
Si une ordonnance pnale venait tre rendue son encontre, labonn aura galement la
possibilit de contester la dcision rendue, dans un dlai de quarante cinq jours compter de
la notification en formant opposition lexcution de ladite ordonnance.
Cela a pour consquence de renvoyer laffaire devant le tribunal correctionnel pour un dbat
qui sera, cette fois, contradictoire.
Il reviendra alors labonn de monter, le cas chant avec laide de son conseil, un dossier
visant dmontrer, preuves lappui, quil nest en aucun cas le responsable des faits qui lui
sont directement reprochs et queu gard larticle 121-1 du Code pnal disposant que :
Nul nest responsable que de son propre fait , il ne peut tre valablement sanctionn.

MYTHE N6:
EN PRESENCE DUN TELECHARGEMENT ILLEGAL AVERE, LE JUGE A UNE MARGE DE
MANUVRE ASSEZ FAIBLE DANS LA FIXATION DE LA DUREE DE LA SUSPENSION DE
LACCES A INTERNET

Larticle L. 335-7-2 du Code de la proprit intellectuelle prvoit que pour prononcer la


peine de suspension (peine complmentaire lamende de contravention de 5me catgorie)
prvue aux articles L. 335-7 (un an maximum en cas de contrefaon) et L. 335-7-1 (un mois
maximum en cas de ngligence caractrise) et en dterminer la dure, la juridiction prend en
compte les circonstances et la gravit de l'infraction ainsi que la personnalit de son auteur,
et notamment l'activit professionnelle ou sociale de celui-ci, ainsi que sa situation socio-
conomique.

Un livre collectif 218 / 296


Mythes et lgendes des TIC

Ainsi, cet article permet notamment au juge de tenir compte de la personnalit de labonn
afin de dterminer la peine complmentaire de suspension dinternet.
On imagine que cela puisse tre le cas dune entreprise pour laquelle le maintien de la
connexion internet est la condition sine qua non du maintien de son activit ou encore
dun particulier qui justifierait que ce mdia est pour lui une ouverture indispensable sur le
monde.
Larticle 335-7-2 du Code de la proprit intellectuelle prcise dailleurs que la dure de la
peine prononce doit concilier la protection des droits de la proprit intellectuelle et le
respect du droit de s'exprimer et de communiquer librement, notamment depuis son
domicile.

MYTHE N7 :
CEST LA HAUTE AUTORITE POUR LA DIFFUSION DES UVRES ET LA PROTECTION DES
UVRES QUI COLLECTE, ELLE-MEME, LES ADRESSES IP DES ABONNES DONT LACCES A
SERVI A TELECHARGER DES UVRES

La HADOPI, saisie en cela par les ayants droits des uvres, peut constater et tablir des
procs verbaux de manquements lobligation de scurisation, adresser des avertissements
aux abonns ou encore transmettre au procureur de la Rpublique tout fait susceptible de
constituer une infraction.
Elle ne collecte pas directement les adresses IP. Ce sont les organismes asserments
reprsentant les titulaires des droits (pour lheure, la socit Trident Media Guard - TMG)
qui, ayant reu pralablement les autorisations ncessaires de la CNIL pour effectuer ces
dmarches, se chargent dobserver les uvres circulant sur les rseaux et de collecter ce type
informations.
La HADOPI se contente de recevoir les saisines des socits de perception et de rpartition
des droits et des organismes de dfense professionnelle ayant reu une autorisation de la
CNIL.
Elle peut par la suite obtenir des fournisseurs daccs linternet ou des prestataires
dhbergement, lidentit, ladresse postale, ladresse lectronique et les coordonnes
tlphoniques de labonn dont laccs linternet t utilis des fins de contrefaon et ce
sur la base des adresses IP collectes par les socits prives mandates par les ayants droit
pour surveiller les rseaux de tlchargement illgal. La rponse gradue dbutera ensuite par
lenvoi dune recommandation ou avertissement labonn par le biais dun courriel et
par lintermdiaire du fournisseur daccs auprs duquel il a souscrit un abonnement.
Celle-ci prvoit notamment un rappel de lobligation de scurisation, la mention de la date et
lheure auxquelles les faits susceptibles de constituer un manquement lobligation de
scurisation ont t constats ainsi que les coordonnes tlphoniques, postales et
lectroniques o labonn peut sadresser, sil le souhaite, pour formuler ses observations et
obtenir des prcisions sur ce qui lui est reproch.
Si dans les six mois suivant cette recommandation laccs internet devait nouveau tre
utilis pour des fins de reproduction, de reprsentation, de mise disposition ou de
communication au public duvres ou dobjets protgs par un droit dauteur ou par un
droit voisin sans lautorisation des titulaires des droits lorsquelle est requise , une seconde
recommandation pourra lui tre adresse par le biais dune lettre recommande avec avis de
rception ou encore par tout autre moyen permettant dtablir la preuve de la date de
prsentation de cette recommandation.

Un livre collectif 219 / 296


Mythes et lgendes des TIC

La loi HADOPI 1 a impos la personne titulaire de laccs des services de


communication au public en ligne lobligation de veiller ce que cet accs ne fasse pas lobjet
dune utilisation des fins de reproduction, de reprsentation, de mise disposition ou de
communication au public duvres ou dobjets protgs par un droit dauteur ou par un
droit voisin sans lautorisation des titulaires des droits lorsquelle est requise.
Si malgr un second avertissement laccs internet de labonn devait de nouveau servir des
fins de contrefaon de droit dauteur, la HADOPI pourra remettre son dossier un juge afin
que labonn soit, notamment, sanctionn dune amende et/ou dune suspension de son
accs internet ou encore transmettre au procureur de la rpublique tout fait susceptible de
constituer une infraction.

MYTHE N8 :
JE NE SUIS PLUS DANS LILLEGALITE A PARTIR DU MOMENT OU JUTILISE UN SERVICE
PAYANT POUR OBTENIR DE LA MUSIQUE OU DES FILMS SUR INTERNET

Les plates-formes lgales de tlchargements de musique, dont la plus connue est iTunes,
sont autorises par les ayant droits commercialiser sous format numrique des uvres,
notamment, musicales ou audiovisuelles.
A ct delles, on a vu clore ces derniers mois des sites internet, qui, profitant de
lpouvantail que constitue la loi HADOPI, proposent, pour une dizaine deuros par mois,
des tlchargements illimits duvres diverses et varies.
A loccasion du MIDEM 2011 de Cannes, la HADOPI a prsent une tude intitule :
Hadopi, biens culturels et usages d'Internet : pratiques et perceptions des internautes franais , qui laisse
apparatre une incomprhension et un manque de distinction chez linternaute lambda de ce quest
une offre lgale par rapport une offre illgale. Selon cette tude, pour 59% des internautes
dclarant des usages licites et pour 53% des internautes en moyenne, le caractre payant est
une garantie de la lgalit.
Les internautes dclarant des usages illicites sont plus nombreux savoir que le payant nest
pas forcment lgal, alors que presquun tiers des internautes ne sait pas .
Il convient donc de rappeler aux internautes que les plates-formes lgales de tlchargements
sont celles qui sont autorises expressment par les titulaires de droits (ayant droits)
commercialiser et distribuer les contenus et quil est, lheure actuelle, difficile denvisager
une offre lgale qui, pour 10 euros, donnerait lgalement accs un catalogue exhaustif
duvres musicales, audiovisuelles, de jeux vidos et de livres numriques franais et
trangers.
Le 10 novembre 2010, un dcret n 2010-1366 du 10 novembre 2010 relatif la labellisation
des offres des services de communication au public en ligne et la rgulation des mesures
techniques de protection et d'identification des uvres et des objets protgs par le droit
d'auteur a dailleurs mis en place la procdure visant obtenir un label de lgalit de la
part de la HADOPI.

CONCLUSION
Ces quelques exemples dmontrent une fois de plus le foss qui existe entre le grand public
qui associe assez souvent internet gratuit et le lgislateur qui na finalement qu de rares
exceptions accept que ce mdia puisse droger aux grands principes du droit de la proprit
intellectuelle.

Un livre collectif 220 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA CONTREFAON SUR


L'INTERNET

Sadry Porlon
Avocat au Barreau de Paris
Docteur en droit

Le flau mondial qu'est la contrefaon sur internet prend diffrentes formes.


L'une des plus connues, savoir le tlchargement illgal, ayant t aborde dans un chapitre
prcdent, nous allons cette fois nous intresser quelques unes des actions qu'il est possible
d'intenter devant les tribunaux pour faire cesser l'infraction qu'il s'agisse de contrefaon de
droit d'auteur, de marque ou encore de concurrence dloyale (cybersquatting).

MYTHE N1 :
DE SIMPLES IMPRESSIONS DECRAN SUFFISENT POUR PROUVER DEVANT LES
TRIBUNAUX LA MATERIALITE DUNE CONTREFAON SUR INTERNET

Larticle 1315 du Code civil fait peser la charge de la preuve sur le demandeur. En vertu de
ce principe fondamental, le juge attend que celui qui intente une action en justice lui apporte
la preuve de linfraction allgue.
Plusieurs dcisions rcentes sont venues rappeler que la preuve dune infraction sur internet,
quil sagisse dune contrefaon ou encore dun dlit de presse (injure ou diffamation), nest
pas une preuve comme les autres.
Mme si la preuve dun fait juridique (vnement susceptible de produire des effets
juridiques) peut se faire par tous moyens en vertu de larticle 1348 du Code civil, le juge
naccepte, en effet, pas tous les moyens de preuve qui lui sont prsents quand il sagit dune
infraction commise sur internet.
Ces moyens de preuve doivent respecter un certain nombre dexigences pour pouvoir
prtendre une valeur probante aux yeux des juges.
Depuis plusieurs annes, il est, en effet, tabli que faire constater une infraction sur internet
se doit de respecter un formalisme des plus stricts. Le juge impose lhuissier ou encore
66
lAgence de protection des programmes qui se charge du constat, de respecter un certain
nombre dtapes lors son tablissement.
Il devra notamment :
Dcrire le matriel grce auquel le constat est tabli (configuration technique)
Effacer lhistorique, les cookies, les rpertoires de la mmoire cache de lordinateur
avant de procder au cheminement lui permettant daccder la page internet
litigieuse.

66
Mme si lAgence de Protection des Programmes (APP) dispose dagents asserments qui ont
autorit pour constater la preuve de la matrialit de toute infraction relative un droit dauteur, un
droit sur un logiciel, sur la base de donnes, ou un droit relatif un artiste interprte, linfraction sur
internet est souvent constate par un procs verbal dress par un huissier de justice.

Un livre collectif 221 / 296


Mythes et lgendes des TIC

La Cour dAppel de Paris, dans un arrt du 17 novembre 2006, a refus dadmettre comme
preuve un constat dhuissier au motif que lhuissier navait pas vid les caches contenus dans
67
la mmoire du serveur proxy, service offert par le fournisseur daccs.
Inscrire le numro IP de la machine ayant servi dresser le constat sur son procs
verbal dans le but de permettre en cas de contestation de vrifier au moyen du journal de
68
connexion du serveur interrog les pages rellement consultes pendant les oprations de constat .
Dcrire le cheminement quil a lui-mme effectu pour accder la page internet
contenant linfraction. Le constat doit tablir lexistence de liens hypertextes dans le but
de sassurer que le cheminement doit pouvoir tre effectu par nimporte quel
69
internaute sans connaissance de lorganisation du site .
Matrialiser la page internet contenant linfraction en limprimant puis en lannexant au
procs-verbal.
70
Un jugement du Tribunal de Grande Instance de Mulhouse en date du 7 fvrier 2007 a
retenu que le fait de ne pas avoir cliqu sur le lien et imprim la page du site rend cette recherche sur
internet incomplte et ne permet pas dapprcier la ralit des griefs invoqus .
Toutes ces dcisions rappellent limportance pour le demandeur de disposer dune preuve
respectant des rgles strictes et non pas de simples copies dcran tablies par lui-mme dans
des conditions inconnues, faute de quoi il prendrait le risque de ne pas voir laction quil
engagera couronne de succs.

MYTHE N2 :
DANS LHYPOTHESE OU LES INFRACTIONS AURAIENT ETE SUPPRIMEES DU SITE PAR
SON EDITEUR, UN SITE DARCHIVAGES DE PAGES WEB PERMET DE PALLIER LABSENCE
DE PREUVE

Parce que les informations disponibles sur internet peuvent tre rapidement modifies et que
la preuve de leur prsence avant cette modification est souvent difficile tablir, de
nombreux contentieux ont vu apparatre des constats internet au sein desquels figuraient des
copies de pages de site darchivages, comme celui du site internet www.archive.org.
Ce type de site permettant davoir une reprsentation fidle de tout ou partie dun site
internet tel quil tait plusieurs mois, voire plusieurs annes auparavant, nombreux sont les
demandeurs qui ont tent de contourner la difficult de labsence de preuves actuelles , en
faisant constater par un huissier, la prsence de linfraction sur le site litigieux (par l'entremise
du site d'archivage) une date antrieure la suppose modification.
La question sest nanmoins trs vite pose de la valeur probante des pages internet
constates par le biais de ce site darchivage.
La Cour dAppel de Paris a rcemment eu loccasion de se prononcer sur ce point.

67
CA Paris, 4 ch., B. 17 nov. 2006, SARL Net Ultra c/AOL, RLDI 2006/22, n706, obs/ Auroux J.B.
68
Tribunal de Grande Instance de Paris, 3me chambre, 1re section, Jugement du 4 mars 2003.

69
Tribunal de Grande Instance de Paris, 3me chambre, 1re section, Jugement du 4 mars 2003.

70
TGI Mulhouse, 1re ch., 7 fvrier 2007, Ste Groupe Bosc c/St MMT

Un livre collectif 222 / 296


Mythes et lgendes des TIC

Dans un arrt en date du 2 juillet 2010, les juges ont retenu quaucune force probante ne
pouvait tre reconnue audit constat, quant au contenu, pendant la priode au cours de
laquelle les actes de contrefaon auraient t commis au motif que le constat a t effectu
partir dun site darchivage exploit par un tiers la procdure, qui est une personne prive sans autorit
lgale, dont les conditions de fonctionnement sont ignores avant dajouter que cet outil de recherches
nest pas conu pour une utilisation lgale et que labsence de toute interfrence dans le cheminement
donnant accs aux pages incrimines ntait donc pas garantie .

MYTHE N3 :
LE SEUL MOYEN DE LUTTER EFFICACEMENT CONTRE UN CYBERSQUATTEUR ET DE
RECUPERER SON NOM DE DOMAINE CONSISTE A ENGAGER CONTRE LUI UNE ACTION
DEVANT LES TRIBUNAUX

Le cybersquatting se dfinit comme le fait pour une personne dusurper le signe distinctif
dautrui en lenregistrant en tant que nom de domaine.
Cette pratique qui existe depuis plus dune dizaine dannes a volu au cours du temps.
Ce flau mondial est dsormais combattu en France tant par la voie judiciaire (rfr, action
71 72 73 74
au fond) que par la voie de larbitrage (procdure UDRP , ADR , CERDP DCDRP ,
75 76 77 78 79
STOP , IPDRCP , PARL , PREDEC et de la mdiation.
Les signes distinctifs auxquels il est frquemment port atteinte, par le biais dune rservation
de nom de domaine, sont notamment la marque, le nom commercial, la dnomination
sociale, lenseigne, le nom patronymique ou le nom dune collectivit territoriale.
En France, il est tabli que les procdures de rfr ne peuvent aboutir, eu gard aux
pouvoirs du juge des rfrs, un transfert du nom de domaine au bnfice du requrant.

71
Uniform Domain Name Dispute Resolution Policy pour les extensions en .com, .net et .org et
pour les litiges opposant des noms de domaine et des marques.

72
Alternative Dispute Resolution pour les extensions en .eu.

73
Charter Eligibility Dispute Resolution Policy pour les extensions en .aero, .coop et .museum.

74
DotCoop Dispute Resolution Policy pour lextension en .coop

75
Star-up Trademark Opposition Policy pour lextension en .biz.
76
pour lextension en .pro
77
Procdure alternative de rsolutions des litiges adapte aux extensions .fr et .re.

78
Procdure de Rglement de Rsolutions des cas de violations manifestes des dispositions du
Dcret du 6 fvrier 2007.

79
Pour ce qui concerne le .fr et le .re, lAFNIC (Association Franaise pour le nommage Internet en
Coopration) dlgue au Forum des Droits sur lInternet, par lintermdiaire du service
mediateurdunet.fr, le rglement extrajudiciaire de litiges entre deux particuliers ou entre un particulier
et une entreprise.

Un livre collectif 223 / 296


Mythes et lgendes des TIC

Un arrt dit Sunshine (Cass. com., 9 juin 2009, n08-12-904) est, en effet, venu prciser que
le transfert dun nom de domaine ordonn par ledit juge ne constituait ni une mesure
conservatoire, ni une mesure de remise en tat au sens de larticle 809, alina 1er du Code de
procdure civile. Il sera nanmoins possible dobtenir le gel ou le blocage du nom de
domaine dans le cadre dune action devant le juge des rfrs.
Il faudra donc, pour obtenir le transfert du nom de domaine, engager une action au fond
devant les tribunaux. Il est utile de rappeler que les procdures UDRP ou PARL aboutissent
ce mme transfert dans un dlai qui excde rarement les quatre mois suivant la saisine.
Linconvnient principal de ces procdures dites UDRP tient dans le fait quelles ne
possdent aucun caractre dissuasif. Mme si le transfert du nom de domaine litigieux est
ordonn, la dcision ne sera pas accompagne de dommages-intrts ni mme du
remboursement des frais de procdure engags par le demandeur la charge du dfendeur,
lesquels restent lapanage des dcisions de justice qui suivent les actions en rfr ou au fond
engags devant les tribunaux.
Il convient donc de bien peser le pour et le contre avant de dcider de la stratgie adopter
pour faire cesser dfinitivement un trouble li la reprise, par un individu lambda ou par un
concurrent, de son signe distinctif dans un nom de domaine.

MYTHE N4 :
QUAND IL EXISTE UN CONFLIT ENTRE UNE MARQUE ET UN NOM DE DOMAINE
ENREGISTRE POSTERIEUREMENT A CETTE MARQUE, IL SUFFIT QUE LE NOM DE
DOMAINE SOIT IDENTIQUE OU SIMILAIRE A LA MARQUE POUR QUE LA CONTREFAON
DE MARQUE SOIT ETABLIE

Quand il existe un conflit entre une marque et un nom de domaine enregistr


postrieurement cette marque, on estime dsormais que pour quil y ait contrefaon, il faut
un acte consistant utiliser un signe identique ou similaire pour dsigner des produits
identiques ou similaires.
La rgle de la spcialit, qui existe en matire de marques, a t transpose aux noms de
domaine.
Il faut savoir que les juges ont un temps retenu la contrefaon de marque selon une mthode
diffrente didentification de la spcialit du nom de domaine. Ils considraient, en effet, que
les noms de domaine avaient pour spcialit les services de communication par rseau
informatique (services de communication en ligne ou services assimils) prvus dans la classe
38 de la classification de Nice.
Ce raisonnement avait pour consquence de ne pas reconnatre la contrefaon alors mme
que les services proposs par le site taient de la mme spcialit que la marque contrefaite,
faute pour le titulaire de la marque davoir vis dans son dpt le service de
communication en ligne de la classe 38.
Inversement, quand la marque visait expressment le service de communication en ligne
de la classe prcite, les juges retenaient la contrefaon alors que le site internet utilisant le
nom de domaine exploitait des produits ou des services diffrents.
Un important arrt dit Locatour (Cass. Com. 13 dcembre 2005) est venu prciser clarifier la
situation en indiquant qu : Attendu quun nom de domaine ne peut contrefaire par reproduction ou par
imitation une marque antrieure, peu important que celle-ci soit dpose en classe 38, pour dsigner des
services de communication tlmatique, que si les produits et services offerts sur ce site sont soit identiques, soit

Un livre collectif 224 / 296


Mythes et lgendes des TIC

similaires ceux viss dans lenregistrement de la marque et de nature entraner un risque de confusion
dans lesprit du public .
Il convient dsormais se dterminer par rapport aux produits ou services proposs par le site
du nom de domaine, et non par rfrence automatique la classe 38 pour les noms de
domaines.
La spcialit du nom de domaine, en cas de conflit avec une marque, sera lie la spcialit
du site auquel il renvoie.

MYTHE N5 :
EN CAS DE CONFLIT ENTRE DEUX TITULAIRES DE NOMS DE DOMAINES IDENTIQUES OU
SIMILAIRES, LANTERIORITE SE DEDUIT DE LA DATE DENREGISTREMENT DU NOM DE
DOMAINE

Faux : en cas de conflit entre deux noms de domaines, cest la date de commencement
dexploitation des noms de domaines et non la date denregistrement de ces derniers qui
compte.
En pratique, cela signifie que le titulaire dun nom de domaine, qui ne laurait pas utilis pour
un site internet, ne pourra pas se prvaloir dune antriorit valable et dune action pertinente
en concurrence dloyale pour cybersquatting lgard dun rservataire postrieure qui aurait
exploit, avant lui, un nom de domaine identique ou similaire dans le cadre dun site internet.

MYTHE N6 :
UTILISER UNE PHOTO, UN DESSIN OU LUVRE DUN TIERS SANS SON AUTORISATION
POUR ILLUSTRER UN BLOG OU UN SITE PERSONNEL NEST PAS CONDAMNABLE

lheure du web 2.0, il devient toujours plus facile de crer un site internet, notamment via
lmergence de blogs tels que wordpress. La tentation est donc assez forte pour les
utilisateurs de ces plates-formes dutiliser des contenus quils ont piochs et l sur la toile
afin dillustrer leurs sites.
Ces choix ne sont cependant toujours pas sans consquence. En effet, un crateur de site
web ou un particulier peut tre tent dutiliser une uvre sans autorisation en minimisant
volontairement limportance que cet emprunt pourrait avoir sur la suite.
Rappelons ce propos que la mise en ligne dune cration littraire ou artistique, quelle
quelle soit, correspond un acte de reprsentation et que le droit commun de la proprit
littraire et artistique sapplique de manire classique internet.
Larticle L. 122-1 du Code de la proprit intellectuelle prvoit en effet que le droit
dexploitation appartenant lauteur comprend le droit de reprsentation et le droit de
reproduction . Ce sont ces droits lui permettent de tirer profit de lexploitation de son
uvre.
Larticle L. 122-4 du CPI prcise que toute reprsentation ou reproduction intgrale ou
partielle faite sans le consentement de lauteur ou de ses ayants droit ou ayants illicite tandis
que larticle L. 335-3 du CPI ajoute qu est () un dlit de contrefaon toute reproduction,
reprsentation ou diffusion, par quelque moyen que ce soit, dune uvre de lesprit en violation des droits de
lauteur .
En vertu de ces articles, un auteur peut donc agir contre un crateur de site web ou un
simple particulier pour avoir reproduit ou reprsent son uvre sur son site internet sans

Un livre collectif 225 / 296


Mythes et lgendes des TIC

autorisation et rclam des dommages-intrts pour contrefaon de droit dauteur au titre du


prjudice tant moral que patrimonial quil a subi.
Les tribunaux ont t amens sanctionner, plusieurs reprises, des personnes qui avaient,
sans autorisation, diffus des uvres artistiques sur leur site internet.
Mme si dans la pratique, les internautes ne sont pas systmatiquement poursuivis pour avoir
reproduit une uvre sans en avoir pralablement demand lautorisation son auteur, le
risque encouru mrite quil soit galement rappel que les conditions dutilisation de luvre,
en loccurrence pour un site but non-lucratif, nempchent en rien que latteinte soit
constitue.

MYTHE N7 :
EN CAS DE CONTREFAON DE PRODUITS SUR UN SITE E-COMMERCE QUI LES LIVRE A
SES CLIENTS A TRAVERS PLUSIEURS PAYS DU MONDE, LE DEMANDEUR PEUT OBTENIR LA
REPARATION DU PREJUDICE MONDIAL SUBI EN SAISISSANT LA JURIDICTION FRANAISE.

Malgr le fait que le site internet soit disponible depuis nimporte quel pays du monde, le
juge franais, notamment en matire de contrefaon, nest comptent que pour rparer les
prjudices subis sur le territoire franais.
En France, larticle 46 du Code de Procdure Civile prcise que le demandeur peut saisir
son choix, outre la juridiction du lieu o demeure le dfendeur (article 42 du Code de
Procdure civile) :
en matire contractuelle, la juridiction du lieu de la livraison effective de la chose ou du
lieu de l'excution de la prestation de service ;
en matire dlictuelle, la juridiction du lieu du fait dommageable ou celle dans le
ressort de laquelle le dommage a t subi ;
La contrefaon tant un dlit, le demandeur devra dmontrer que le produit a bien t vendu
en France pour que le juge franais puisse sestimer comptent.

CONCLUSION :
Ces quelques exemples illustrent l'importance pour le demandeur de bien cerner les enjeux
lgaux et procduraux avant d'intenter une action en justice dont l'objectif sera de voir
rparer le prjudice subi par la contrefaon commise sur Internet.

Un livre collectif 226 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA PUBLICITE SUR


INTERNET

Sadry Porlon, avocat au barreau de Paris


Docteur en droit

Mme si le droit de la publicit a vocation sappliquer sur internet, quelques nouveaux


outils de communication, commencer par le systme publicitaire Google AdWords,
quelques lois ou encore quelques dcisions de justice sont venues rappeler que le Web
prsente quelques spcificits dont il convenait de tenir compte.

MYTHE N 1 :
SUR INTERNET, IL EST PERMIS DE SE PRETENDRE LE N1 DUN SECTEUR SANS QUE
CELA SOIT EXACT

Eu gard au fait quelles ne sont pas aussi agressives et affirmes quaux Etats-Unis, on croit
souvent, tort, que la publicit comparative est interdite en France. La licit de la publicit
comparative a pourtant t affirme par la loi n 92-60 du 18 janvier 1992 et confirme par
l'ordonnance n 2001-741 du 23 aot 2001.
La publicit comparative doit cependant remplir certaines conditions parmi lesquelles ne pas
tre parasitaire. L'article L. 121-8, 1 du Code de la consommation affirme galement que la
publicit comparative ne doit pas tre trompeuse ou de nature induire en erreur.
Une pratique commerciale est trompeuse notamment lorsqu'elle repose sur des allgations,
indications ou prsentations fausses ou de nature induire en erreur et portant sur l'identit,
les qualits, les aptitudes et les droits du professionnel.
En loccurrence, prtendre tre le n1 dun secteur donn sans que cela corresponde la
ralit expose la socit qui le prtend un risque daction pour publicit comparative
trompeuse de la part de lun des concurrents viss dans la publicit.
Un jugement du 30 septembre 2009 de la 8me chambre du Tribunal de commerce de Paris en
est lillustration.
Il a notamment oblig, dans cette affaire qui opposait deux sites consacrs aux mdias dont
lun se prtendait leader du secteur, le dfendeur cesser la publication des annonces
litigieuses et publier sur son site internet pendant trente jours le rsum suivant du
jugement : Par jugement en date du... , le tribunal de commerce de Paris a condamn la socit T..
pour avoir diffus sur le site internet j...com deux annonces affirmant faussement que le site " j.com "
tait le premier blog mdia de France alors que sur la priode de rfrence il tait devanc de plus de 10 000
visiteurs par le site internet www.ocom dit par la socit L., en haut de la page daccueil, sur
toute la largeur de la page et un tiers de sa hauteur.
Mme si ce jugement a t frapp dappel, le fait quune action en justice ait t mene son
terme dans ce cas de figure rappelle la ncessit de bien verrouiller juridiquement les
lments qui serviront promouvoir votre entreprise sur internet.
Ds lors qu'une publicit sera juge contraire aux dispositions des articles L. 121-8 L. 121-
14 du Code de la consommation, le juge pourra, en effet, estimer que cette faute cause au
concurrent cit un prjudice qui mrite rparation.

Un livre collectif 227 / 296


Mythes et lgendes des TIC

Pour tre prcis, dans laffaire susvise, le concurrent lorigine de laction ntait pas cit, ce
qui rendait difficile les chances de succs de laction au titre de la publicit comparative
trompeuse.
Comme la retenu le jugement du Tribunal de Commerce : Les deux annonces ne mettent pas en
comparaison des biens et des services mais se limitent affirmer la suprmatie dun site. Les conditions de la
publicit comparative, poses par larticle L.121-8 du code de la consommation sur la publicit comparative
ne sont ds lors pas remplies .

MYTHE N 2 :
LA PUBLICITE PROMOUVANT LALCOOL EST INTERDITE SUR INTERNET
La publicit en faveur des boissons alcooliques est rgie par les dispositions de larticle L.
3323-2 du Code de la sant publique, texte, issu de la loi n 91-32 du 10 janvier 1991 relative
la lutte contre le tabagisme et lalcoolisme, dite loi vin , qui numre limitativement les
supports sur lesquels la propagande ou la publicit, directe ou indirecte, en faveur des boissons
alcooliques , est autorise.
La question sest rapidement pose de savoir si un industriel du secteur de lalcool pouvait
promouvoir son activit par le biais dinternet.
Le Conseil dtat y est all de son interprtation, dans un rapport publi en 1998 en
indiquant que lintention du lgislateur tait dinclure dans la liste des messages autoriss
ceux adresss par minitel et par tlphone et que dans le silence de la loi la publicit sur
Internet devait tre autorise. Il invitait le lgislateur a confirmer son interprtation.
Une srie de dcisions de justice a ensuite interprt strictement la loi vin et estim que le
rseau internet ne faisait pas partie des supports autoriss.
Dans une ordonnance de rfr du 2 avril 2007, le Tribunal de Grande Instance de Paris a
retenu que l'article L3323-2 dfinit les supports autoriss exclusivement diffuser la propagande ou la
publicit, en faveur des boissons alcooliques ; que leur numration, limitative, ne comprend pas le rseau
internet ; que la seule diffusion sur un site internet d'une publicit en faveur d'une boisson alcoolique constitue
un trouble manifestement illicite . Une vision reprise par leTribunal de Grande Instance de Paris
dans une seconde ordonnance de rfr du 8 janvier 2008, et confirme en appel, obligeant
le site incrimin de cesser la diffusion du message publicitaire.
Suite aux ractions provoques par ces dcisions, tant du ct des acteurs conomiques des
industriels de la filire vitivinicole que de celui des associations de sant publique, de
protection des mineurs et de dfense des consommateurs et des familles, Le Forum des
Droits sur lInternet a mis en place un groupe de travail runissant des professionnels
dinternet et de la publicit, des reprsentants des utilisateurs et des observateurs publics et
adopt le 15 dcembre 2008 une Recommandation dans laquelle il prconisait dautoriser la
publicit pour lalcool sur internet de manire raisonne en recommandant notamment
dinterdire la publicit pour lalcool sur les sites internet sportifs et sur ceux destins la
jeunesse.
Suivant en cela quelques unes des prconisations de feu le Forum des Droits sur lInternet, la
Loi n 2009-879 du 21 juillet 2009, portant rforme de l'hpital et relative aux patients, la
sant et aux territoires, dite Loi Bachelot ou Loi Hpital, patients, sant, territoires la
publicit en faveur de lalcool est dsormais autorise, lexception des sites principalement
destins la jeunesse et des sites sportifs, sous rserve quelle ne soit ni intrusive ni interstitielle
.

Un livre collectif 228 / 296


Mythes et lgendes des TIC

Larticle 97 de la loi portant rforme de lhpital et relative aux patients, la sant et aux
territoires a, en effet, introduit dans le Code de la sant publique un 9 larticle L. 3323-2
intgrant ainsi les services de communications en ligne la liste des supports autoriss pour
effectuer de la publicit en faveur des boissons alcooliques : Aprs le 8 de larticle L. 3323-2
du code de la sant publique, il est insr un 9 ainsi rdig : 9 Sur les services de communications en ligne
lexclusion de ceux qui, par leur caractre, leur prsentation ou leur objet, apparaissent comme
principalement destins la jeunesse, ainsi que ceux dits par des associations, socits et fdrations sportives
ou des ligues professionnelles au sens du code du sport, sous rserve que la propagande ou la publicit ne soit ni
intrusive ni interstitielle .

MYTHE N 3 :
LE FAIT DUTILISER LA MARQUE DE SON CONCURRENT DIRECT DANS LE CADRE DU
SERVICE GOOGLE ADWORDS ENGAGE LANNONCEUR ET GOOGLE SUR LE TERRAIN DE
LACTION EN CONTREFAON DE MARQUES AINSI QUE SUR CELUI DE LA PUBLICITE
TROMPEUSE.

Un nouveau type de contentieux est n suite la cration par Google dun systme
publicitaire permettant dafficher des bannires publicitaires cibles en fonction des mots-
cls que tapent les internautes tant sur son moteur de recherche que sur son service de
messagerie lectronique.
Dnomm AdWords, ce systme de publicit a parfois t dtourn de sa finalit par
certaines entreprises dans le but de promouvoir leurs produits et services.
Il est, en effet, frquent quune entreprise saperoive, en tapant le nom commercial de sa
socit dans le moteur de recherche de Google, quapparassent, ct des rsultats de
rfrencement naturel, des liens commerciaux invitant linternaute se connecter des sites
internet qui sont ceux de socits concurrentes.
Pour cette raison, les socits titulaires de droits sur les marques ont dcid dassigner
lannonceur indlicat, mais aussi Google pour contrefaon de marques et publicit
trompeuse et mensongre.
Les juges ont dabord, dans une jurisprudence pour le moins hsitante, condamn ces
socits ce titre.
La Cour de justice de lUnion Europenne a alors t saisie par Google dune srie de
questions prjudicielles de la part des socits Google de faon ce quelle se prononce sur
cette pineuse question mettant en jeu la responsabilit de Google sur ce systme sur lequel
repose une grande partie de son modle conomique.
Par un arrt en date du 23 mars 2010, la CJUE a notamment retenu que :
le prestataire dun service de rfrencement sur internet qui stocke en tant que mot cl un signe identique
une marque et organise laffichage dannonces partir de celui-ci, ne fait pas un usage de ce signe au sens de
larticle 5, paragraphes 1 et 2, de la directive 89/104 ou de larticle 9, paragraphe 1, du rglement n
40/94 .
Selon cette dernire, en proposant des annonceurs lusage comme mots-cls de signes
dposs en tant que marques, Google ne commet donc pas dactes de contrefaon de
marques et de publicit mensongre.

Un livre collectif 229 / 296


Mythes et lgendes des TIC

Par quatre arrts du 13 juillet 2010, la Cour de cassation a mis en uvre les solutions
dgages par la CJUE le 23 mars 201080.
Ds lors et contrairement ce qui tait antrieurement jug, Google ne sera plus tenue pour
responsable au titre de la contrefaon de marques et de la publicit mensongre dans le cadre
de lexploitation de son service AdWords.
La responsabilit de Google pourra cependant tre engage sur le fondement du droit
commun de la responsabilit civile sous certaines conditions.
Notons sur ce point que par un arrt du 19 novembre 2010 (Google c/Syndicat franais de
la Literie), la Cour dappel de Paris a qualifi Google dhbergeur sagissant de son activit de
rgie publicitaire AdWords en appliquant les principes poss par la CJUE dans son arrt du
23 mars 2010 avant dajouter que sa responsabilit ne saurait tre engage sur le fondement
du droit des marques mais sur uniquement sur celui du droit commun de la responsabilit
civile (article 1382 du Code civil) et de retenir enfin queleSyndicatFranaisdelaLiterie
ne rapportait pas la preuve du caractre actif de Google dans la rdaction des
annoncespublicitairesoudanslaslectiondesmotscls(), condition sine qua non
de lengagement de sa responsabilit ce titre.
Parce que Google est ds lors considre comme un hbergeur, dfaut davoir eu un rle
actif dans la rdaction de lannonce publicitaire ou dans ltablissement ou la slection des
mots cls, il faut en dduire quelle ne peut voir sa responsabilit engage que si elle ne
supprime pas promptement une annonce manifestement illicite qui lui a t notifie (article
6-I-5 de la LCEN).
Ces diffrentes dcisions ont le mrite de clarifier considrablement une activit qui a connu
de multiples rebondissements jurisprudentiels ces dernires annes et qui, au cur mme du
modle conomique de Google, lui a valu dtre pointe du doigt par lAutorit de la
concurrence qui a retenu quelleestenpositiondominantesurlemarchdelapublicit
lieauxmoteursderecherche81.
La Commission europenne a dailleurs confirm rcemment avoir envoy des
questionnaires diffrents acteurs d'Internet dans le cadre dune enqute qui, ouverte la fin
du mois de novembre pour abus de position dominante, vise plus gnralement les activits
de la socit Google dans le domaine de la recherche en ligne.

MYTHE N 4 :
SI LA PUBLICITE DE MON CONCURRENT SAFFICHE DANS LES LIENS COMMERCIAUX
ADWORDS LORSQUE JE TAPE LE NOM DE MA MARQUE DANS LE MOTEUR DE
RECHERCHE DE GOOGLE, CEST DONC QUIL A CHOISI MA MARQUE COMME MOT-CLEF
ET QUE JE PEUX DES LORS ENGAGER DIRECTEMENT SA RESPONSABILITE.

Les choses ne sont pas aussi simples que cela.

80
Cass. Com., 13 juillet 2010, , pourvoi n F 05-14.331, Google France c./ Viaticum, Luteciel ; Cass. Com., 13 juillet 2010,
pourvoi n B 06-1 5.136, Google France c./ CNRRH, Pierre-Alexis T., Bruno R. et M. Montravers, es qualit de mandataire
liquidateur de la socit Tiger ; Cass. Com., 13 juillet 2010, pourvoi n X 08-13.944, Google France, Google Inc, Google
Ireland Ltd c./GIFAM et autres ; Cass. Com., 13 juillet 2010, pourvoi n P 06-20.230, Google France, Google Inc, c./ Louis
Vuitton Malletier.
81
Avis du 14 dcembre 2010 sur le fonctionnement concurrentiel de la publicit en ligne.

Un livre collectif 230 / 296


Mythes et lgendes des TIC

Mme si lorigine du systme publicitaire de Google, la rponse cette question aurait pu


tre automatiquement positive, les rcents perfectionnements mis en place par la socit
prcite doivent pousser ceux qui sestimeraient victimes dactes de contrefaon de marques
un minimum de prudence avant dintenter une action devant les tribunaux.
Google a, en effet, mis en place un systme dit de requte large qui lui permet de diffuser
automatiquement des annonces pour des variantes pertinentes des mots-cls choisis par
lannonceur et ce, mme si ces termes ou expressions ne figurent pas dans ses listes de mots
cls.
Les variantes de mots cls englobent les synonymes, les formes au pluriel et au singulier, les
variantes pertinentes des mots cls et les expressions contenant ces derniers.
Cette prcision est importante puisquelle signifie que vous pourrez voir votre annonce
safficher quand un internaute tape le nom de votre concurrent alors qu aucun moment
vous navez choisi ce mot-cl dans votre campagne.
Conu par Google afin de gnrer davantage de trafic sur votre site web, ce systme a dores
et dj abouti ce que des socits attaquent devant les tribunaux leur concurrent direct pour
contrefaon de marques en raison de lutilisation de mots-cls quils nont, dans certains cas,
jamais utiliss.
Ce qui nest pas sans poser des difficults quant lissue de laction ainsi engage puisque le
dfendeur, sr de son droit, pourra tre tent de rclamer du demandeur la preuve de ce quil
allgue, savoir la contrefaon, conformment larticle 1315 du Code civil et ce, au del du
simple constat selon lequel la publicit du concurrent saffiche quand on tape le nom de la
marque litigieuse.
Ainsi, faute de stre assur de lutilisation effective de sa marque par le concurrent avant
dengager laction, il prendra le risque de ne pas voir ladite procdure couronne de succs si
des investigations menes en cours de procdure auprs de Google Ireland Limited (socit
responsable du programme AdWords) laissaient apparatre que le concurrent na en aucun
rserv le mot-cl correspondant la marque.

MYTHE N 5 :
POSTER DE FAUX AVIS DE CONSOMMATEURS SUR INTERNET AFIN DE PROMOUVOIR SES
PRODUITS OU SERVICES EST TOLERE ET NEST PAS CONDAMNABLE.

La gestion de tout ce quil se dit sur internet propos dune personne morale est, depuis
quelques annes, lobjet dun vritable business dnomm E-rputation .
Parce que les commentaires ngatifs sont nombreux tant sur les blogs, sur les sites internet
que sur les forums de discussion (les mcontents tant bien souvent plus prompts donner
leur avis que ceux qui sont satisfaits), certains acteurs du net ont parfois t tents de poster
eux-mmes de faux avis ou commentaires afin de contrebalancer ceux qui ne leur taient pas
favorables.
Dabord marginale, cette activit qui aurait tendance se dvelopper vient dtre pointe du
doigt par le Gouvernement82.
Le 21 janvier 2011, Frdric Lefebvre, secrtaire dEtat charg du Commerce, l'occasion
dune visite au Centre de surveillance du commerce lectronique, lantenne de la DGCCRF

82
http://www.01net.com/editorial/527226/le-gouvernement-veut-faire-le-tri-dans-les-avis-de-consommateurs/

Un livre collectif 231 / 296


Mythes et lgendes des TIC

ddie au commerce lectronique base Morlaix, a dcid de se pencher sur ses pratiques
dans le cadre dun plan daction consacr l'e-commerce.
Il a confi ces cyber-enquteurs le soin de faire le point sur le secteur des avis de
consommateurs, quil sagisse de publications sur des sites marchands, des forums ou des
rseaux sociaux. Ils ont ds lors un an pour mener bien leur mission.
Si des preuves suffisantes venaient tre collectes par ces agents de la Direction gnrale de
la concurrence, de la consommation et de la rpression des fraudes (DGCCRF), des dossiers
seront constitus afin d'tre envoys devant les tribunaux pour pratiques commerciales
trompeuses.
Larticle 121-1 du Code de la consommation dfinit, notamment, une pratique commerciale
trompeuse comme tant celle qui repose sur des allgations, indications ou prsentations
fausses ou de nature induire en erreur et portant sur () lidentit, les qualits, les aptitudes
et les droits du professionnel.
Les articles 121-2 121-7 du Code de la consommation prvoient, quant eux, que la
pratique commerciale trompeuse est punie dun emprisonnement de deux ans au plus et
dune amende de 37 500 euros au plus, cette amende pouvant tre porte 50 % des
dpenses de la publicit ou de la pratique constituant le dlit.
Afin de tenter de rgler la question de la fiabilit des commentaires sur internet, certains sites
internet proposent dores et dj, grce lintervention active de professionnels, de
certifier que le commentaire ou lavis a bien t post par une personne qui na aucun
intrt direct favoriser une entreprise ou dtriment dune autre83.

CONCLUSION
Une fois de plus, ces quelques exemples dmontrent quel point les implications juridiques
dune campagne orchestre pour tre diffuse sur internet mritent dtre cernes tant que
par lannonceur que par les socits qui sestimeraient victimes de ladite campagne.
LInternet nest ni une jungle ni une zone de non droit dans lesquelles on pourrait tout dire
et tout faire. Bien au contraire

83
Voir en http://www.tooteclair.com/

Un livre collectif 232 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LE-COMMERCE

Sadry Porlon, avocat au barreau de Paris


Docteur en droit

Le commerce lectronique, galement appel e-commerce, dsigne l'change de biens et de


services entre deux entits sur les rseaux informatiques. Il est lobjet de nombreux mythes.
Nous allons revenir sur quelques uns dentre eux.

MYTHE N 1 :
ON EST LIBRE DE TOUT ACHETER SUR INTERNET
La liste des biens que lon peut se procurer sur internet est longue.
Certains achats sont nanmoins formellement interdits par la loi au motif quil sagit de
produits dont la vente est prohibe en France. On citera par exemple le commerce dorganes
humains, celui dobjets vols (recel), danimaux protgs ou encore de produits contrefaits.
Dautres commercialisations sont interdites en raison du fait quelles ncessitent une
autorisation pralable. Cest le cas des armes, des munitions de guerre, de certains vgtaux,
de mdicaments, des parfums. En cas de manquement ces rgles, le vendeur comme
lacheteur, lui-mme, sont susceptibles dtre exposs des sanctions pnales.

MYTHE N 2 :
UN MINEUR NA PAS LE DROIT DACHETER DES PRODUITS SUR INTERNET
Les choses ne sont pas si simples que cela. En effet, mme si larticle 1124 du Code civil
dispose que : Sont incapables de contracter, dans la mesure dfinie par la loi (notamment) les mineurs
non mancips , la jurisprudence est venue progressivement assouplir cette rgle en indiquant
quun contrat conclu par un mineur non mancip, ds lors quil est en ge de raison, sera
considr comme valable sil a t ralis des conditions normales et quil constitue un acte
de la vie courante.
Il sagira dune apprciation in concreto. Le juge saisi devra alors tenir compte de lge du
mineur ou encore des ressources dont il dispose.
Acheter un appartement ne sera pas considr comme un acte de la vie courante pour un
mineur non mancip, l o lachat dune application sur un iPhone pourrait ltre.
Quoi quil en soit, les actes considrs comme non courants ncessiteront le consentement
pralable des personnes exerant lautorit parentale.
Si le juge retient que lacte nest pas de la vie courante, il pourra ds lors dcider dannuler le
contrat ou encore de modifier le prix.

MYTHE N 3 :
LE DROIT DE RETRACTATION PERMET A QUICONQUE A ACHETE UN PRODUIT SUR
INTERNET DE SE RETRACTER DANS UN DELAI DE SEPT JOURS

Le droit de rtractation a t institu au profit des consommateurs par la loi 6 janvier 1988
relative au tl-achat . Codifi aux articles L. 121-20 et suivants du Code de la
consommation, ce droit nest en ralit applicable qu la condition que le vendeur ou le

Un livre collectif 233 / 296


Mythes et lgendes des TIC

prestataire soit un professionnel. Si vous achetez, sur eBay par exemple, un bien a un
particulier, vous ne bnficierez pas de ce droit de rtractation.
Ce droit est, par ailleurs, opposable uniquement aux sites internet dont le sige social est
situ en France ou dans une autre tat membre de lUnion europenne grce la directive
communautaire sur la vente distance.
Parce quil est dordre public, il sapplique galement aux produits doccasion ou solds.

MYTHE N 4 :
LE DROIT DE RETRACTATION SAPPLIQUE AUSSI AUX ACHATS DE PLACES DE CONCERTS,
AUX RESERVATIONS DHOTELS OU ENCORE DE BILLETS DAVION SUR INTERNET.

Le droit de rtractation permet au consommateur ayant conclu un contrat distance avec un


professionnel dobtenir, sans motif, le remboursement de sa commande passe distance,
condition dagir dans un dlai de sept jours compter de la rception du bien ou de la
conclusion du contrat pour les services. Ce droit nest cependant pas valable pour tous les
achats effectus en ligne.
Il connat plusieurs exceptions, prvues aux articles L. 121-20-2 et L. 121-20-4 du Code de la
consommation.
En vertu de ces textes, sont notamment exclus du droit de rtractation, les contrats de
prestation de services dhbergement, de transport, de restauration, de loisirs qui doivent tre
fournis une date ou selon une priodicit dtermine, et notamment les voyages ou encore
ceux de fourniture de biens susceptibles de se dtriorer ou de se primer rapidement ;
Un arrt rcent, Cour de cassation 1re chambre civile du 25 novembre 2010 (Mme X et
M. Y / Go Voyages) est dailleurs venu rappeler cette rgle une juridiction de proximit en
indiquant ceci : Alors quil rsulte des dispositions larticle L. 121-20-4 du code de la consommation
que le droit de rtractation de sept jours prvu larticle L. 121-20 du mme code, nest pas applicable aux
prestations dhbergement, quel que soit le mode de conclusion du contrat dont celles-ci sont lobjet, et
notamment en cas de conclusion par la voie lectronique ; quen jugeant nanmoins, pour condamner la socit
Go Voyages rparer le prjudice rsultant pour mademoiselle X... et monsieur Y... du fait quils avaient t
privs de leur droit de rtractation, que ces derniers qui avaient rserv plusieurs nuits dhtel par
lintermdiaire du site internet de cette socit devaient bnficier, nonobstant les stipulations contractuelles,
dun droit de rtractation conformment aux dispositions des articles L. 121-18 et L.121-19 du code de la
consommation, la juridiction de proximit a viol par fausse interprtation ces dispositions ainsi que celles des
articles L. 121-20 et L. 121-20-4 du mme code .

MYTHE N 5 :
LORSQUE LON VEND DES BIENS SUR INTERNET SANS ETRE UN VENDEUR
PROFESSIONNEL OU UN COMMERANT, IL EST IMPOSSIBLE DETRE CONSIDERE COMME
TEL

Lindividu qui vend des produits sur des sites comme eBay, PriceMinister ou encore
Leboncoin peut tre qualifi de vendeur professionnel si certaines conditions sont runies.
Larticle L. 121-1 du Code de commerce dispose que sont commerants ceux qui exercent des actes
de commerce et en font leur profession habituelle . Les actes dachat de biens meubles effectus en
vue de leur revente sont considrs comme des actes de commerce.
Ds lors, quand vous effectuez des actes de commerce titre habituel, vous pouvez tre
considr comme un commerant.

Un livre collectif 234 / 296


Mythes et lgendes des TIC

La jurisprudence ajoute souvent comme condition pour tre commerant que votre activit
soit susceptible de vous procurer lindividu des revenus suffisants pour vivre.
A titre dexemple, dans une affaire du Tribunal de grande instance de Mulhouse, jugement
correctionnel du 12 janvier 2006 (Ministre public c/ Marc W,) une procdure pnale avait
t ouverte pour travail dissimul par dissimulation dactivit, laquelle avait men une
perquisition au domicile dun certain Marc W., le 2 mai 2005.
Les enquteurs y ont dcouvert de nombreux objets dont certains taient mis en vente sur
internet. Il a t tabli quil avait vendu sur un site internet plus de 470 objets en deux ans.
Lhistorique des trois derniers mois de ventes indique un montant de 6917,05 .
Marc W. soutenait nanmoins quil tait un particulier et non un professionnel. A laudience,
il a maintenu les mmes arguments de dfense et a plaid la relaxe.
Le tribunal a, quant lui, retenu que : Le caractre intentionnel de linfraction rsulte de la volont de
lintress de se soustraire la fois aux limites imposes aux non professionnels et aux rgles encadrant
lactivit des professionnels, et rsultant notamment du code du travail. Marc W. reconnat que le recours ce
site internet tait un moyen de vendre mieux et davantage puisquil savait quun non professionnel ne pouvait
effectuer ces oprations quune fois par an sur un march aux puces. Il avait en outre, la conscience de
pratiquer la mme activit que des antiquaires. Il nignorait pas, pour connatre leurs usages, lobligation
dimmatriculation incombant ces professionnels. Au surplus, le fait que le prvenu ait un emploi en Suisse
et le caractre secondaire des revenus tirs de ces actes de commerce, sont sans effet sur la qualification pnale.
Les lments constitutifs de linfraction nexigent pas que lactivit but lucratif soit exerce exclusivement ou
principalement par le prvenu.
Il nexiste aucune raison dexclure le site internet de la rglementation qui est gnrale et ne comporte en ltat
aucune exception en la matire .
Par ailleurs, depuis une loi adopte en 2008, Loi de modernisation de lconomie (dite LME),
le fait de se prsenter faussement comme un consommateur constitue une infraction
sanctionne dune peine de deux ans demprisonnement au plus et dune amende de 37 500
euros au plus ou de lune de ces deux peines (article L. 121-1-1 21 du Code de la
consommation).
La qualification de professionnel ne dpend pas dun seuil de valeur ou dun nombre dobjets
vendus, mais plutt dun comportement. Il revient au vendeur de sassurer quil nest pas
professionnel compte tenu, notamment, du caractre habituel de son activit.

MYTHE N 6 :
QUAND JE CONSTATE UN DEBIT FRAUDULEUX EFFECTUE GRACE A MON NUMERO DE
CARTE BANCAIRE, JE NE PEUX RIEN FAIRE A MOINS DAVOIR SOUSCRIT UNE ASSURANCE
SPECIFIQUE AUPRES DE MA BANQUE

Des personnes peuvent stre procurs votre insu votre numro de carte bancaire, sa date
de validit et son pictogramme. Si elles sen servent pour rgler des achats et que vous vous
en apercevez, lordre de payer ne vous sera pas opposable si vous navez pas sign une
facture ou compos votre code confidentiel quatre chiffres sur le terminal du commerant.
Ds lors, si vous constatez des prlvements frauduleux sur votre relev bancaire, il vous
suffit de les contester par crit auprs de votre banque et ce, avant lexpiration du dlai lgal
de soixante-dix jours compter de la date de lopration conteste comme lexige larticle L.
132-6 du Code montaire et financier.
Dans ces conditions et dfaut de pouvoir produire votre signature, votre banque sera dans
lobligation de crditer votre compte, sans frais, des montants indment prlevs dans le

Un livre collectif 235 / 296


Mythes et lgendes des TIC

dlai dun mois compter de la rception de la contestation conformment larticle L. 132-


4 du Code montaire et financier.

CONCLUSION :
Voici quelques uns des mythes et lgendes qui existent sur le-commerce. Des ides reues
qui, rgulirement combattues par les organismes et entreprises prsents sur ce march,
contribuent aujourdhui faire de le-commerce un secteur qui a connu, sur lanne 2010,
une progression de 25 % du nombre des transactions en ligne en un anmalgr la crise.

Un livre collectif 236 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'IMPUISSANCE DU JUGE


FACE AUX RESEAUX

Jean-Claude Patin, JURITEL

A la question parlez-vous le globish , je rponds toujours invariablement oui, je suis sur


Internet .
Si la formule est quelque peu provocante, elle a pourtant le mrite dtre claire : lorsque lon
est sur linternet, on est partout, on comprend tout, on voit tout. Cette observation est
rgulirement conteste par de nombreux internautes ds lors quil sagit du rapport quils
entretiennent avec le monde du droit et de la loi. Assymtrie du raisonnement,
mconnaissance, rumeurs, contresens, quelque en soient les motifs, linternaute est souvent
convaincu de son immunit relative ou absolue. Le postulat peut tonner mais il prend sa
source dans lun des nombreux mythes de linternet : le juge et la justice sont dpasss par les
nouvelles technologies des rseaux informatiques et tlcom, prisonniers de leurs archasmes
et de leurs frontires. Ce mythe sexprime assez largement de quatre manires : la
contrefaon, la diffamation, leffraction, lordre public.

MYTHE N 1 :
LE DROIT EST INSUFFISANT POUR LUTTER CONTRE LA CONTREFAON SUR INTERNET
La contrefaon trouve sa dfinition dans la combinaison des dispositions des articles L121-1
et suivants du code de la proprit intellectuelle et de la jurisprudence. Les premires affaires
de contrefaon sur internet en France remontent lanne 1996 o il fallut trancher daussi
tranges questions que le droit de reproduire des paroles de chanson (affaire J.Brel) sur son
site web ou duser du nom de socit pour son nom de domaine (Affaires Atlantel ou
Framatome).
A lpoque et en coulisse, les jeunes techniciens changeaient les bonnes informations pour
user de cette libert nouvelle quoffrait le net, sr que le juge ne comprendrait rien leurs
prouesses techniques tandis que les diffrentes lois entre les Etats les mettraient labri des
poursuites et quen tout tat de cause ce juge pataud et maladroit irait trop lentement pour
parvenir finalement les faire condamner.
Ces raisonnements, largement construits sur une mconnaissance des mcanismes juridiques,
ont contribu llaboration dune jurisprudence devenue au fil des ans plus abondante et
plus riche, couronne par des arrts de principe rendus par la Cour de Cassation franaise
(affaire Aurlien D notamment). La comptence du juge na pas connu de dfaillance et
lorsque les affaires taient trop techniques, des forces de polices et des experts ont combl
les manques.
Les dernires affaires retentissantes de contrefaon ont t tranches en Juillet 2010 (Louis
Vuitton c/ eBay) et les mcanismes de responsabilit du droit franais ont jou leur rle
protecteur.
La lutte contre la contrefaon dpend pour une part assez large de lefficacit des systmes
juridiques. Au-del des prouesses adulescentes de copie de fichiers vido ou musicaux, il faut
avoir conscience des risques plus srieux lorsquon aborde les contrefaons de mdicaments

Un livre collectif 237 / 296


Mythes et lgendes des TIC

ou de pices dtaches. Il faut souhaiter que nos systmes juridiques et judiciaires


samliorent afin de remplir convenablement leur office.
La limite actuelle des systmes juridiques anti-contrefaon se trouve essentiellement
aujourdhui dans les nouveaux dispositifs lgaux (LCEN notamment), trop imprcis par
certaines de leurs dispositions et ouvrant lgalement la voie une certaine impunit. Le rgne
des pirates en culotte courte sachve, il faut dsormais faire un peu de droit pour pirater en
toute quitude.

MYTHE N 2 :
LA LIBERTE DE PAROLE EST SANS LIMITE SUR INTERNET, ON PEUT TOUT DIRE
La diffamation est un fait pnal relativement mal connu dans son mcanisme bien que
pourtant souvent cit tout propos par ceux qui se trouvent pris dans les rets du dbat
public. Prvue par larticle 29 de la loi de 1881 sur la presse, linfraction de diffamation
repose essentiellement sur lintention de son auteur dattenter lhonneur ou la
considration de la personne vise. Elle se rencontre communment dans toutes les
conversations, quel quen soit le sujet, quels quen soient les participants. Si le lgislateur sest
pourtant empar de la question au sujet de la presse, cest quun propos mal calibr livr au
cours dune conversation anime ne recle pas le mme danger lorsquil est imprim donc
fix et par voie de consquence accessible un plus grand nombre et sur une plus longue
priode. La ruine dune rputation, la destruction potentielle dune vie, dune famille, dune
institution apporte un dsordre social que le lgislateur doit corriger en apportant une
restriction la libert dexpression.
Cette libert dexpression, si chre aux constituants de 1789, semble ltre encore plus tous
les adeptes pratiquants de linternet. Suivant un raisonnement que naurait pas reni Karl
Marx, la combinaison de la technologie numrique et la libre accession linformation et
la culture permettrait enfin de pouvoir exercer pleinement cette libert reste formelle
avant lavnement des rseaux internet. Ce double pari sappuyant toujours invariablement
sur la technique (rapidit de la diffusion, de la duplication, de la reproduction) pour soit
chapper au juge soit le placer devant le fait accompli.
La diffamation sur internet se rencontre essentiellement dans les forums, les newsgroups, les
sites communautaires 2.0 .
En France, on peut parler de matrice diffamatoire avec laffaire dite Altern ou encore
Estelle Halliday en 1998. Bien que traitant de la protection de la vie prive (article 9 du
code civil franais), cette affaire mis en lumire ce que la libert de publication puis de parole
(cf. les propos tenus pour justifier la mise en ligne puis pour critiquer lordonnance rendue
par le TGI de Paris) pouvaient avoir de destructeur. La prsentation dun mannequin clbre
dans son plus simple appareil assorti de commentaires vocation masturbatoire plantait le
dcor dune controverse qui dborda bientt le cadre de la diffamation pour atteindre celui
du statut de lhbergeur (encore mal rsolu ce jour).
Le web2.0 se dveloppe assez largement sur le mythe de limpuissance du juge sur internet,
incapable de censurer la libert dexpression ou seulement dappliquer une loi plutt
quune autre.
Ce mythe se fracassa notamment en 2002 avec lemblmatique affaire Pre-Nol.fr et le
forum dfense-consommateur.org qui vit les propos outranciers tenus censurs par le
juge et son auteur svrement condamn. La technique du constat dhuissier avait facilement
permis de surmonter la prtendue difficult du numrique.

Un livre collectif 238 / 296


Mythes et lgendes des TIC

Reste que la diffamation a encore de beaux jours devant elle sur internet. La ncessit de
supprimer toute contrainte dans lexpression de la parole rencontrant la ncessit de trouver
des financements pour les sites 2.0 (par la publicit notamment et donc par laffichage de
pages vues) fait peser une nouvelle menace sur lapplication de ce rgime injustement accus
dtre censeur alors quil nest quun prolongement de larticle 11 de la Dclaration
Universelle des Droits de lHomme et du Citoyen de 1789.

MYTHE N 3 :
LA LIBERTE DE FAIRE CE QUON VEUT ET DALLER OU ON VEUT EST TOTALE SUR
INTERNET

Dcrire internet et ses usages, cest souvent sexposer filer la mtaphore. On surfe , on
navigue , on visite . Mais on se transforme galement en pirate , en bomber , en
renifleur , en arnaqueur ou en cambrioleur. Rien de bien neuf pour le juriste qui croise
rgulirement ce type de comportement dans la vie courante. Mais ce qui caractrise les
agressions par intrusion sur internet reste avant tout labsence de contact matriel avec la
victime voire mme avec lobjet du dlit. Cette quasi-totale dmatrialisation de laction et
son caractre technique entranent assez vite un sentiment dimpunit pour celui qui la
commet. Derrire son pseudonyme voire son firewall ou son proxy, linternaute se pense
labri du juge et de la police. Ce sentiment est dautant plus fort que linternaute sera familier
des quelques astuces changes sur des newsgroups ou forum et quil sera jeune et imprgn
de la contre culture cyberntique toute entire constitue de rebellitude .
Car leffraction sur le net est avant tout une preuve que lon existe face un systme norm.
Il se caractrise par la volont de marquer de son empreinte ou de saccaparer la chose ou la
libert dautrui. Cette forme de violence peut tre classe sous quatre catgories :
Le dni de service (dos) : il sagit de saturer les accs dun site ou dun service en
multipliant les requtes. On peut galement parler de bombing , pratique largement
usite pour bloquer les services de messagerie. Les systmes informatiques sont
sollicits par des requtes simultanes trs nombreuses et trs rapproches,
monopolisant puis saturant les capacits de traitement des machines. Cette pratique est
assez peu frquente parce quelle ncessite des capacits dorganisation et de
planification trs importantes qui ne sont pas la porte de tout le monde. Les
premires affaires de mail bombing en France ont t signales au dbut des annes
2000 pour des motifs souvent futiles. Cette pratique est dsormais parfaitement
connue des services de la justice qui peuvent lapprhender sous langle pnal (article
323-2 du code pnal franais) et sous langle civil (articles 1382 ou 1134 du code civil
franais).
Le hacking ou lintrusion dans des systmes informatiss qui permettent de violer
laccs dun espace rserv. Par comparaison, le hacker est un cambrioleur ayant
crochet la serrure de la porte de lappartement quil visite ensuite. On rencontre des
techniques aussi varies que linfection par virus, linstallation de mini-programmes
permettant ensuite de prendre le contrle distance de la machine infecte (Trojan),
Certains ne sembarrassent mme pas du crochetage et dfoncent la porte (attaque
brutale en utilisant la force brute de calcul ou en utilisant des mthodes comme celle
du dictionnaire). Le hacking couvre un large ventail de pratiques et de profils, du
simple visiteur en qute dexploit au voyou cherchant drober des informations en
passant par le militant cherchant censurer ou dfigurer un site. L encore la justice
est loin dtre dmunie, les articles 323-1 ou 232-3 du code pnal, coupls une

Un livre collectif 239 / 296


Mythes et lgendes des TIC

enqute judiciaire conduite dsormais par des praticiens reconnus de la police


(OCLCTIC, BEFTI) ou de la gendarmerie (SR dpartementaux ou Direction gnrale)
permettent le plus souvent dapprhender dans de bonnes conditions techniques puis
de condamner efficacement les auteurs des infractions.
La contrefaon est une forme deffraction assez rpandue sur le net. Elle consiste
sapproprier un contenu original produit par un tiers sans lui en demander
lautorisation au pralable. Ce contenu, forcment numrique puisque sur des rseaux
informatiques, est facilement duplicable. La copie est rglemente en France dans le
cadre du droit dauteur et des droits voisins (articles L111-1 et suivants du code de la
proprit intellectuelle). Lapproche morale du lgislateur reposait sur trois postulats :
o La ncessit de prendre en considration leffort de cration intellectuelle afin
de pouvoir permettre une rmunration de ce travail
o La difficult matrielle relative de copier un contenu. Rappelons qu
lorigine au 19me sicle, le dispositif concernait essentiellement des
partitions de musiques puis des romans.
o Ladhsion de la population au concept transcendantal de lautorit de la loi.
Les rseaux informatiques ont affaibli deux de ces trois piliers, peut-tre de faon
irrmdiable. La difficult matrielle de copier un contenu (livre, musique, film) a
quasiment disparu tandis que la rebellitude jadis facteur de revenus pour lindustrie
de lentertainment conduisait se rebeller non plus contre lautorit des parents
mais contre celle dun Etat forcment moloch puisquinterdisant la libre copie. La
contrefaon, dabord acte dlictueux devenant acte de contestation pour devenir acte
de consommation. De faon symtrique, le droit devient un chemin de tmoignage
comme le dmontre la construction de la Hadopi en France qui nen finit plus de
dmontrer sa relative inefficacit ou sa relative efficacit selon le point de vue que lon
souhaite dfendre. De fait, lheure ou ces lignes sont crites, la contrefaon
numrique sest mue en acte dappropriation lgitime dfaut dtre lgale.
Le Phishing est la vie cyberntique ce que lescroquerie ou labus de confiance sont
la vie de tous les jours. Il sagit l-encore de sapproprier des informations, des
donnes, des usages sans le consentement clair du propritaire par lusage de fausses
promesses ou de fausses informations. Ce type darnaque est connu sur internet sous
diffrentes appellations : Scamming pour les gains hypothtiques une loterie ou
un sauvetage - gnralement off-shore - dconomies dun ex fonctionnaire martyris
dans un pays sous dictature, Phishing pour les fausses demandes de confirmation
didentifiant et mot de passe permettant ensuite de semparer de laccs des comptes
bancaires, des comptes de fournisseurs, Cette tromperie prospre galement dans
le dtournement des noms de domaine. Le registrant reoit un courrier postal
linformant du prochain terme de son droit dusage sur le nom de domaine quil a
rserv. A laide dune prsentation habile, le registrant peut croire quen signant les
papiers il reconduit chez son prestataire habituel alors quil sengage en ralit
accorder le transfert vers un nouveau prestataire (registre) et mme parfois
abandonner son droit dusage (changement de registrant) tout en conservant le
privilge de rester le contact de facturation. Une fois la manuvre finalise, le nom
de domaine appartient un nouveau titulaire qui peut alors faire chanter la victime en
la menaant de ne plus faire pointer le nom sur le site web. Les dgts commerciaux
peuvent tre considrables.

Un livre collectif 240 / 296


Mythes et lgendes des TIC

Ces manuvres constituent des escroqueries et sont rprimes aux articles 313-1 et
suivants du code pnal. Elles constituent pour certaines dentres elles des cas dcole
(Phishing de comptes bancaires, de messageries, Scamming nigrian ) et sont
facilement identifiables et rprhensibles pourvue que les victimes portent plainte.
Heureusement en cas de fraude lachat sur internet (dbit sur le compte bancaire
pour des paiements dachats raliss sur un site internet), les dispositions lgales en
France (LCEN du 21 juin 2004, code montaire et financier) protgent le titulaire du
compte en obligeant ltablissement bancaire contrepasser lcriture de dbit sans
dlais en cas de contestation.
Pour les affaires de dtournement de nom de domaine, les choses sont plus
compliques puisquil sagit souvent daffaires entre professionnels (au sens juridique
du terme), la victime ayant t peu attentive la lecture de tous les termes du courrier
qui lui est adress. Mlant des questions touchant la fois la libert de la concurrence
et la vigilance de la victime, il est difficile de rtablir cette dernire dans tous ses
droits.
L encore, le cybersquatting brutal qui prvalait il y a quelques annes et qui ne
ncessitait que quelques connaissances techniques pour rserver un nom de domaine
de marque connue puis tenter de se le faire racheter par ladite marque est dsormais
totalement dpass. Les marques attaquent, gagnent pratiquement toujours et le
cybersquatter sen retourne au mieux avec une condamnation une petite amende. Les
nouveaux types de dtournement sont plus difficiles contrer et donc plus efficaces.
L encore, le rgne des petits malins a dfinitivement laiss place celui des
organisations plus structures et mieux averties des subtilits juridiques.

Un livre collectif 241 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE LA POLITIQUE DE


SECURITE ET DE LA CHARTE

Laurent Treillard, AuditSecu.info

Une Politique de Scurit des Systmes dInformation (PSSI) spcifie l'ensemble des lois,
rglements et pratiques (tat de lart, norme) qui rgissent la faon de grer, diffuser et
protger les informations et ressources sensibles (actifs ou biens) au sein d'un systme, d'une
organisation.
Une politique de scurit identifie les objectifs de scurit, les risques (impacts x menaces x
vulnrabilits), les moyens (physique ou logique) relatifs aux utilisateurs (personnel, stagiaire,
prestataire) et lentreprise prises en charge par une combinaison de mesures (dtection,
dissuasion, palliation, prvention, protection) de scurit.
La charte dusage sur les ressources du Systme dInformation (SI), associe au rglement
intrieur ou au contrat de travail, est avant tout un code de bonne conduite. Elle a pour objet
de prciser la responsabilit des utilisateurs en accord avec la lgislation afin dinstaurer un
usage correct des ressources informatiques et des services associs (lInternet, la messagerie),
incluant des rgles minimales de courtoisie (net tiquette) et de respect dautrui (thique et
dontologie).

MYTHE N 1 :
JE DOIS REDIGER MA POLITIQUE DE SECURITE TOUT SEUL
En aucun cas !
La scurit dans lentreprise, cest laffaire de tous !
Comme tout projet transverse, vous devez susciter ladhsion du plus grand nombre. Il faut
mobiliser, ds le lancement de la PSSI, la Direction Gnrale, seule garante de limplication
de ces rgles dans lentreprise.
En complment, vous aurez aussi les documents suivants dfinir et impulser :
Stratgie gnrale de scurit : Document de synthse de quelques pages dfinissant
la stratgie gnrale de scurit de lentreprise
Politique de scurit du SI : Document dune quarantaine de pages prsentant les
rgles de scurit applicables par domaine et se rapprochant de la norme ISO/IEC
27002
Charte utilisateur : Document dune dizaine de pages qui dfinit les modalits et
conditions gnrales d'utilisation des ressources du systme dinformation mise
disposition de lutilisateur
Guides de scurit : Liste de directives, procdures de scurit complmentaire la
PSSI qui font office de mode opratoire et de points de contrles

MYTHE N 2 :
JE VAIS REPRENDRE UNE CHARTE TROUVEE SUR INTERNET
Surtout pas !

Un livre collectif 242 / 296


Mythes et lgendes des TIC

Mise part sinspirer de quelques chapitres (prambule, sanction,), la charte que vous
trouverez sur lInternet ne sera pas adapte votre contexte. De plus il y a de forte chance
que cette dernire ne soit pas actualise (avec tous les articles de lois modifis).
Il faut tout dabord dfinir les besoins de vos directions mtier et associer les fonctions
support, dont le service informatique, Ressources Humaines (RH), juridique et
communication. Il sagit de distinguer de manire synthtique les droits et devoirs pour
lensemble des utilisateurs du systme dinformation. Ensuite il faudra faire le point avec les
Instances Reprsentatives du Personnel (IRP) et la Comit dEntreprise ou dEtablissement
(CE).

MYTHE N 3 :
LA POLITIQUE DE SECURITE N'EST PAS UTILE, EN PLUS ELLE COUTE CHER
Encore une fausse ide !
La PSSI constitue une rfrence par rapport laquelle toute volution du Systme
d'Information devra tre justifie, que ce soit pour l'intgration d'un lment nouveau du
systme ou pour la modification d'un lment existant.
Son champ dapplication :
Emane de la politique gnrale de l'entreprise
Est en accord avec le schma directeur stratgique du Systme d'Information.
Ne doit pas tre remis en cause par les seules volutions technologiques ou celles
rsultant d'une modification de l'architecture du systme d'information
Doit tre prise en compte au niveau de responsabilit le plus lev.
La politique de scurit est la reconnaissance officielle de l'importance accorde par la
Direction Gnrale (DG) de l'entreprise la Scurit de son Systme d'Information (SSI).
Au niveau du cot, rdiger et diffuser des mmos, organiser une formation, tre sollicit dans
les projets demandent plus de disponibilit et de charge de travail que de budget.
Le caractre prenne de la politique de scurit n'exclut pas l'adaptation permanente des
mesures de scurit qui dcoulent de sa mise en uvre. Cest bien dans lintgration de la
scurit dans les projets que lon pourra optimiser le cot et anticiper les charges.

MYTHE N 4 :
ON NE PARLE QUE DE MOTS DE PASSE DANS LA CHARTE
Rvler son mot de passe peut tre considr comme une faute grave !
La charte appuiera sur le mode de mcanisme didentification et dauthentification dun
systme et la fonctionnalit du mot de passe sera voque. Il est toujours bon de prciser
quun compte utilisateur est personnel et incessible, cela vitera le risque de vol ou
dusurpation didentit.
Toutefois, dautres sujets de scurit seront bien sr abords, ils sont multiples, entre autres :
la lutte anti virale, le droit d'auteur, l'usage d'Internet et de la messagerie, la protection de
l'information, les obligations de dclaration la Commission Nationale de lInformatique et
des Liberts (CNIL),
Les utilisateurs de moyens informatiques ont tendance prendre des liberts avec ce qui est
lgal et ce qui ne lest pas, particulirement sur le lieu de travail. Il convient que
ladministrateur systme ou rseau et le service juridique sassocient lors de charte

Un livre collectif 243 / 296


Mythes et lgendes des TIC

informatique. Dans ce document, un bref rappel de la lgislation en matire de P2P, daccs


frauduleux et de corruption de donnes, pourra ctoyer des rgles de bonnes conduites et
informer des sanctions lgales applicables.

MYTHE N 5 :
UNE CHARTE NE STIPULE QUE DES INTERDICTIONS
Pas seulement !
Dans les faits, imposer une rgle de scurit de faon autoritaire va engendrer un
contournement de la part de lutilisateur. Le Responsable Scurit SI (RSSI) doit tre force
de proposition et procder des compromis. Par exemple, interdire l'usage des supports
amovibles (cls USB, disques externes, ) ou le droit administrateur sur un poste de travail
sans autre explication serait inefficace mme si cela prvalait dans le pass. Il convient
d'expliquer les raisons (risque de virus, de vol ou fuite d'informations, etc.) et surtout de
proposer dautres solutions. Au final, seuls quelques collaborateurs habilits pourront obtenir
une drogation moyennant des actions renforces.

MYTHE N 6 :
LA PSSI EST DEDIEE UNIQUEMENT AUX GRANDS COMPTES
Grave erreur !
Mme une PME est concerne par une politique de scurit, notamment pour rpondre un
appel doffre, justifier dune conformit de son process ou du respect dune clause
contractuelle.
En corolaire, la loi est applicable tous, et nous pouvons citer la rglementation externe
(non exhaustive) :
articles 1383 et 1384 du code civil, article 121-2 du code pnal pour les responsabilits
de personnes ;
articles 323-1 323-7 du code pnal relatifs l'intrusion des systmes informatiques et
aux atteintes au Systme de Traitement Automatis de Donnes (STAD) ;
loi n78-17 du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux
liberts, couple la loi du 6 aot 2004 : transposition de la directive du 24 octobre
1995 relative la protection des personnes physiques l'gard du traitement des
donnes caractre personnel et la circulation des donnes incluant les articles 225-
16 226-22 du code pnal relatifs aux infractions de la CNIL ;
loi n85-660 du 3 juillet 1985 relative la protection des logiciels ;
loi n88-19 du 5 janvier 1988 relative la fraude informatique (loi Godfrain) ;
loi n92-597 du 1er juillet 1992 relative au code de la proprit intellectuelle et la
proprit littraire et artistique inclut les articles L. 335-1 335-4 ;
loi n2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique
(LCEN) ;
ainsi que la loi sur la Scurit Quotidienne (LSQ), la loi sur la Scurit Intrieure (LSI), la
LOPSSI 2, Hadopi 3 (art. L. 336-3) et les autres venir
et aussi selon le contexte ou le secteur de l'organisation :
loi du 29 juillet 1881 modifie sur la libert de la presse ;
loi n78-753 du 17 juillet 1978 sur l'accs aux documents administratifs ;

Un livre collectif 244 / 296


Mythes et lgendes des TIC

article 413-9 413-12 du code pnal relatif aux atteintes au secret de la dfense
nationale ;
loi sur la communication audiovisuelle du 29 juillet 1982 modifie en 1986 ;
loi d'orientation sur l'ducation du 10 juillet 1989 ;
la lgislation applicable en matire de cryptologie ;
le CRBF 97-02 de la Banque de France ;
le PCI-DSS (Payment Card Industry Data Security Standard) ;
le Rfrentiel Gnral de Scurit (RGS) ;
les dcisions cadres et rglementaires (2005/222/JAI, 92/242/CEE, 460/2004) ;
les spcificits sectorielles (SOX, Bale II, Solvency II, ) ;
les directives ou dlibrations des autorits de tutelle ou organisme de contrle
(ACAM, AMF, ARJEL, IGAS, CNIL, Commission Europenne, Cour des Comptes,
) ;
la jurisprudence ;
avec en complment la rglementation interne lorganisation :
standard et mthodologie du contrle interne, de laudit interne, de linspection
gnrale ;
des rgles thiques et dontologiques ;
des mesures du contrle permanent ;
des actions de lutte contre la fraude, le blanchiment, le terrorisme, la dclaration de
soupon ;
les formulaires du Correspondant Informatique et Liberts (CIL, art. 34) ;

MYTHE N 7 :
QUAND LA PSSI ET LA CHARTE SONT FORMALISEES : LE TRAVAIL EST TERMINE
Malheureusement non, il ne fait que se poursuivre :
Vous devez assurer la diffusion et la promotion de ces documents. Des sances de
communication et de sensibilisation (quiz, sessions e-learning, dmonstrations dattaques),
des sminaires dintgration sont ncessaires pour expliquer les enjeux et faire voluer les
comportements des utilisateurs. De plus, il sera utile dlaborer des indicateurs (de
performance et de suivi) en vue des prochains axes damlioration et de renforcement.

CONCLUSION
Les finalits de la politique de scurit dcoulent de celles dcrites dans les lignes directrices
de l'OCDE (lettre n106 SGDN/DISSI/26007 du 11 mars 1992), savoir :
sensibiliser aux risques menaant les Systmes d'Information et aux moyens
disponibles pour s'en prmunir,
crer un cadre gnral pour aider les personnes charges, dans les secteurs public et
priv, d'laborer et de mettre en uvre des mesures, des consignes et des procdures
cohrentes en vue d'assurer la Scurit des Systmes d'Information,
promouvoir la coopration entre les diffrents dpartements, services ou units de
l'entreprise pour l'laboration et la mise en uvre de telles mesures, consignes et
procdures,

Un livre collectif 245 / 296


Mythes et lgendes des TIC

susciter la confiance dans le Systme d'Information,


faciliter la mise au point et l'usage du Systme d'Information pour tous les utilisateurs
autoriss.
Au final, on retiendra que tous les utilisateurs, sans exception, doivent tre sensibiliss la
scurit et quun minimum de formalisme structur est ncessaire.

Pour en savoir plus :


http://www.ssi.gouv.fr/site_article46.html
http://www.cases.public.lu/fr/publications/politique/index.html
http://www.ocde.org
http://www.legifrance.gouv.fr

Un livre collectif 246 / 296


Mythes et lgendes des TIC

6 PARTIE : ASPECTS METIERS

Un livre collectif 247 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES SUR LES HACKERS

Mauro Israel, Expert scurit BIOOS

Eh oui, il faut bien ladmettre : je suis un hacker ! Mais quest ce que a veut dire au juste ?
Est-ce mal ? Est-ce illgal ?

MYTHE N 1 :
LES HACKERS SONT DES DELINQUANTS

Non, les hackers sont en fait des esprits curieux


Revenons la source : Dans les annes 60, un groupe dingnieurs du MIT (Massachusetts
Institute of Technology) de Boston dsigne ainsi les personnes qui essaient de hacker
c'est--dire danalyser (ce qui vient du grec dcouper en plus petites parties ) un
systme complexe. Lide du hacker est de comprendre le fonctionnement dun systme
dans ce cas informatique-afin den reprer les failles et autres dysfonctionnements.
La Request for Comments RFC 1392 (les RFC sont les rgles crites dInternet) dcrit mme le
hacker comme [une] personne qui se plat avoir une connaissance intime du fonctionnement interne d'un
systme, les ordinateurs et les rseaux informatiques en particulier.
Aujourd'hui, l'usage courant du mot hacker se rfre principalement des cyber-
dlinquants d une dformation de ce terme de la part des mdias. Pour faire de laudience
ou du tirage, les exploits des hackers ainsi nomms parce que les failles du systme
cible sont divulgues-sont relats dans la presse, voire la tlvision.
Il y a galement diffrents types de hackers, par exemple les script kiddies, qui sont en
gnral des adolescents utilisant des programmes de hacking trouvs sur Internet, avec en
fait trs peu de connaissances sur le sujet. Un peu comme des apprentis sorciers qui
utiliseraient une formule magique sans la comprendre
Il y a galement des variantes lies au positionnement thique du hacker suivant quil
respecte la loi ou pas: Le Black Hat est un hacker du ct obscur de la Force c'est--
dire quil effectue des intrusions dans un systme sans laccord de lintress. Le White Hat
est au contraire un hacker thique cest dire quil intervient la demande explicite
de lintress notamment sous forme de tests dintrusion qui consistent vrifier la
rsistance dun systme vis--vis des meilleures techniques de hacking du moment. Cette
approche volontariste et pragmatique permet de colmater les brches de scurit sans perdre
de temps dans des analyses de risque, puisque la menace est avre et formalise : que peut
faire un hacker depuis internet de dommageable mon systme et comment y remdier ? . Une variante de
ces tests dintrusion permet galement de vrifier la rsistance du systme depuis lintrieur,
par exemple par la tentative dintrusion dun informaticien, mais ceci est une autre histoire
On raconte que les termes Black Hat et White Hat proviennent du feuilleton en noir et
blanc Eliott Ness o les gentils avaient des chapeaux blancs et les mchants des
chapeaux noirs, afin que le tlspectateur puisse les distinguer notamment dans les scnes de
fusillade ! Il existe galement une population de hackers intermdiaire dite Grey Hat , qui
tantt effectue des actions dintrusion illgales, tantt des actions commandites.
Ne me demandez pas dans quelle catgorie je me situe ! En fait si on reprend le jargon naval,
les pirates des uns taient les corsaires des autres et inversement Tout est donc une

Un livre collectif 248 / 296


Mythes et lgendes des TIC

question de point de vue et de respect de la Loi. Mais est-ce thique ou non de contourner
les filtres dun systme dinformation dun dictateur afin de montrer au monde ses exactions
? De Gaulle tait considr comme un terroriste par le rgime de Vichy Pour moi un
hacker doit agir avant tout dans lintrt de la vrit et contre lhypocrisie dune
fausse scurit taye par des affirmations gratuites et non dmontres.
Mon premier hacking a t relat dans beaucoup de medias y compris la tlvision. Je
mtais rendu compte alors que les 3614, 3615, 3616 du Minitel taient des PAD accessibles
directement par leur numro. Comme jhabitais dans le 92 , jai essay 192000001 Et
je tombe sur la page daccueil dune base de donnes EDF. Le systme tait sous GCOS 6
que javais appris lArme quelques mois auparavant-et me demandait tout simplement un
login-mot de passe. Avec le Minitel inutile de vous dire que ctait un peu lent dessayer des
millions de mots de passe, donc je commence avec une lettre, et je tape A puisque ctait
le dbut de lalphabet Ctait le bon mot de passe !!! Jai vu dfiler tous les little links de
la base de donnes, en fait les comptes de tous les clients EDF !
Jen ai alors parl quelques ingnieurs du Solex Crack Band , dnomm ainsi puisque nous
travaillions pour les carburateurs Solex essayer de mettre au point le carburateur idal
avec les premiers micro-ordinateurs A lpoque le terme de hacker nexistait pas, alors
nous tions plutt des crackers (des casseurs) ou des phreakers , le ph dbut de phone
tant li au craquage des systmes tlphoniques et notamment des cabines (essentiellement
pour ne pas payer laccs linternational). Notre vocation provenait du film Wargames
o un adolescent compose tous les numros de tlphone pour finir par pntrer par hasard
dans lordinateur du Pentagone qui simule une guerre nuclaire
Visiblement lun dentre nous en a parl quelquun, qui connaissait quelquun, qui
connaissait un journaliste, puisquau final Paris-Match a fait un article, puis la tlvision (le
France Tlvisions de lpoque) est venue tourner un double reportage : Dun ct on
voyait un Minitel qui dfilait tous les comptes EDF des clients (flouts), et de lautre la
raction de lhbergeur Telesystemes-qui dans un premier temps prend cela la rigolade et dit
que cest impossible , puis blmit et finalement demande larrestation des ces dlinquants
pubres ! Un grand moment de tlvision ;) Heureusement que nos visages taient flouts et
que les journalistes nont pas divulgu nos adresses
Encore faudrait-il quil y ait eu dlit : en effet la Loi Godfrain qui institue le crime
informatique intrusion ou tentative dintrusion dans un systme de traitement de donnes ne date que
de 1985 Avant cette date les hackers ntaient pas juridiquement des dlinquants.
Est-ce que thiquement cest mal de dnoncer une faille patente dun systme dinformation
? Si on en crot la Loi et les jugements issus des affaires de hacking en France, jen dduis
quau contraire cest faire preuve de civisme. Par exemple dans laffaire KITETOA contre
TATI, le hacker a t relax parce que TATI et son hbergeur navaient pas suffisamment
protg leur systme et notamment les donnes de leurs clients. Il suffisait dutiliser un
simple navigateur pour le prouver, en ajoutant la fin de lURL laccs une mtadonne
comme :$DATA ; Par exemple : http://www.tati.fr:$data
Cette simple commande tait accessible nimporte qui sans outil spcialis de piratage, ce
qui permettait de visualiser lintgralit de la base de donnes clients Cette faille tait bien
connue lpoque et cet exploit tait la porte de nimporte quel curieux du
fonctionnement dInternet. Le problme cest que KITETOA la publi sur son site (en
masquant les coordonnes des clients) et sest ainsi attir les foudres de TATI et de la justice.

Un livre collectif 249 / 296


Mythes et lgendes des TIC

Cet exemple montre bien la problmatique du full disclosure autrement dit : doit-on exposer
les failles de scurit sur internet ou dans les medias ? Serge Humpich en sait quelque chose
lorsquil a voulu dnoncer les failles de lalgorithme B0 de la carte bancaire Garde vue,
saisie de ses ordinateurs, prison avec sursis a ne donne pas envie de sexposer ! Et
pourtant les hackers ne peuvent pas sen empcher, a fait partie du personnage : il sagit
dune envie irrpressible de montrer quon a trouv une faille. Plus la faille est grosse et
plus elle touche une entit respectable , plus la jouissance est forte !

MYTHE N 2 :
LES HACKERS SONT BIEN DES DELINQUANTS

La ralit est que les mises en garde des hackers ne sont pas coutes
Voici un exemple qui illustre bien ce phnomne et aussi les ractions incroyables des
institutions concernes : Deux hackers Italiens Andrea Barisani et Daniele Bianco . ont
montr en 2007 comment avec quelques euros de matriel radio on pouvait injecter du trafic
TMC-RDS dans les GPS des voitures, et crer ainsi potentiellement un dsordre total en
annonant des fausses nouvelles et ventuellement en dtournant le trafic ou bien en
crant la panique en indiquant un attentat ou un crash arien
La dmonstration tait ponctue de clips vido, o lon voyait, en vrai, nos deux acolytes lun
au volant de sa voiture, et lautre en train de lui envoyer de faux messages travers le
rcepteur RDS. A un moment, il y avait une annonce de combat de taureaux , pour bien
montrer que cette annonce tait compltement farfelue et errone !
Ce qui pose problme, est que nimporte qui capable dmettre un signal radio, est
capable dinjecter ces informations sur les GPS embarqus des voitures, et que lon
peut galement imaginer injecter dautres informations dans cette mme voiture puisque le
bus est commun plusieurs fonctions dont le GPS.
Croyez-vous que les autorits comptentes ( Genve) ont rectifi ou crypt ou protg les
communications TMC ? Pas du tout ! Andra ma montr la lettre de rponse de TMC suite
leur missive qui leur exposait le problme avant mme que celui-ci ne soit divulgu Ils
ont balay leurs arguments de dangerosit en estimant que personne ne le fera puisque cest
illgal !!!
On imagine alors des terroristes en train de polluer les informations du trafic TMC
pour amplifier les effets dun attentat en dsorganisant les secours par des
embouteillages monstres Vous pensez quil sagit dun dlire paranoaque ? Au moment o
jcris ces lignes, plus de trois ans aprs la divulgation de la faille, rien na t modifi :
Pourquoi prendre ce risque insens ? Pourquoi ne pas en parler dans les medias pour faire
ragir les autorits ?
Richard Clarke ex conseiller spcial la scurit la Maison Blanche des prsidents Clinton
et Bush complte bien cela. Les menaces pesant sur le cyberespace ne sont pas values
correctement par les gouvernements actuels : they did not get it -Ils nont pas pig
En fait, ni les gouvernements, ni les entreprises nvaluent correctement les risques
informatiques et comptent sur la chance de ntre pas viss par une attaque : on n'a rien de
confidentiel chez nous , ou bien cherchent touffer ou dcrdibiliser linformation de la faille
avre.
Un exemple patent est celui de HSBC Genve. Un informaticien dnomm Herv
FALCIANI, par une simple commande SQL SELECT, en tant quadministrateur systme,
pompe le fichier des clients de la banque. Ce qui se passe ensuite est confus (tentative de

Un livre collectif 250 / 296


Mythes et lgendes des TIC

revente du fichier, saisie par le fisc Franais ? ) mais il est clair que le fichier des clients dune
banque o le secret est la base mme du mtier sest fait pirater en quelques minutes ! Il y a
visiblement un dfaut majeur de protection ! Est-ce que les autres banques se sont
intresses au problme ? Est-ce possible chez nous ?, Comment se protger de ce type de consultation
par les administrateurs informatiques qui ont tous les droits sur les fichiers ?. En vrit, la plupart des
entreprises et administrations jouent les autruches ou bien affirment de manire
premptoire que ce nest pas ralisable chez nous parce que nos moyens de scurisation sont bien
meilleurs

MYTHE N 3 :
LES HACKERS SONT TOUJOURS DES DELINQUANTS

La ralit est que les entreprises en particulier les banques- cherchent minimiser et
relativiser toute information sur la facilit avec laquelle on peut les pirater
Un autre exemple, qui nous touche tous, est celui, rcent, de la faille de scurit sur les cartes
bancaires puce. Pas les anciennes B zro, les nouvelles ! Cela fait plusieurs mois que des
chercheurs de lUniversit de Cambridge ont dmontr que lon pouvait avec un matriel
basique un PC portable, un lecteur de cartes, un terminal de paiement, un peu
dlectronique-fabriquer un systme Man in the middle qui permet de taper nimporte quel
code et obtenir une transaction valide de type YES CARD (pourvu que la transaction ne
dclenche pas dappel au central) :
Voici le matriel utilis et la squence modifie par linsertion dun PIN code forc :

Et la preuve de la transaction sous forme de ticket de caisse valide :

En exposant ces faits la confrence CARDS 2010 Rome je me suis attir les remarques
acides suivantes : Il ne faut pas parler de choses mauvaises sur les cartes puce au moment mme o les
banques Italiennes envisagent de passer la carte puce , ou bien En vrai, ce nest pas ralisable car les
hackers se feraient reprer dans une boutique avec ce matriel ou alors Les cartes de notre banque ne
sont pas affectes par cette faille . Toutes ces affirmations sont fausses : Primo, une banque ne va
pas adopter un nouveau systme sans un minimum de vrifications, donc les banques
Italiennes vont corrler ces informations avant de prendre une dcision. Ce rapport se trouve

Un livre collectif 251 / 296


Mythes et lgendes des TIC

sur Internet depuis mai 2010, donc quelquun aurait de toute manire fini par le remonter.
Aujourdhui on peut difficilement dissimuler une information il y aura un jour ou lautre une
fuite, un leak , pardon un wikileaks !
Deuxio, si le commerant est complice passif et fournit le terminal de paiement le
fraudeur aura tout loisir de le faire Ah bon, vous affirmez contrler et tracer les terminaux
de millions de commerants dans le monde, notamment en Amrique du Sud, en Asie et en
Afrique ?!
Tertio, lexploit a t ralis avec une carte puce dune banque Franaise et un terminal
Franais, les deux totalement jour au niveau du firmware. Pour des raisons de
standardisation il est peu probable que certaines cartes soient affectes et dautres pas, en
tous les cas cela doit tre vrifi.
Le vritable problme soulev par le hacker nest donc pas lexploit proprement dit, voire
mme sa lgalit, mais le fait de le divulguer sur Internet et les medias: le full disclosure .

MYTHE N 4 :
LES SYSTEMES ACTUELS SONT PARFAITEMENT SECURISES, MEME SI CERTAINS HACKERS
DELINQUANTS (ET MYTHOMANES) CHERCHENT A NOUS FAIRE CROIRE LE
CONTRAIRE

Les failles de scurit sont bantes et les


dirigeants sen fichent : business first
!
Lhistoire de Hacker-Croll est une
illustration de la sous-estimation des
problmes de scurit par nos
dirigeants.
Un pirate informatique franais de 25 ans,
qui tait en mesure de contrler le rseau social
Twitter, a t interpell mardi dans le Puy-de-
Dme au terme d'une enqute franco-
amricaine de plusieurs mois. "Hacker-croll",
selon son surnom, tait parvenu obtenir les
"codes administrateurs" de Twitter et pouvait y
naviguer l'aise, en crant et supprimant des
comptes. Il avait notamment pirat un compte
Twitter au nom de Barack Obama. Il a t
libr mercredi soir l'issue de sa garde vue.
Ce pirate svissait aussi sur le rseau social
Facebook ou des messageries lectroniques telles
que G-mail.
Ce pirate informatique sans profession avait cr son propre blog pour faire partager ses trouvailles. Il tait
dj connu pour des faits d'escroqueries sur internet, de petites escroqueries qui lui avaient rapport 15.000
euros . En revanche, il n'a "jamais tent de monnayer ni tirer un profit quelconque" du piratage de Twitter.
source La redaction du POST.
On se demande lequel des deux piratages tait le plus grave celui du Prsident des Etats-
Unis ou celui de la chanteuse - pour motiver lintervention muscle et combine de la

Un livre collectif 252 / 296


Mythes et lgendes des TIC

gendarmerie et du FBI au petit matin dans la chambre que ce jeune homme occupe chez sa
maman dans les environs de Clermont-Ferrand
Qua-t-il donc fait de si mal ? Comment quelquun en plein cur de la France avec un simple
ordinateur connect internet peut-il sintroduire dans la base de donnes dun des sites les
plus connus au monde et certainement des plus scuriss ? Je vais vous le rvler dans les
lignes qui suivent : en fait cest la porte de nimporte qui et il suffisait juste dy penser.
Au moment o jcris ces lignes la faille nest bien entendu toujours pas t corrige Il ny
a pas besoin de comptences informatiques particulires, juste du bon sens. On
appelle cette technique le Google hacking, c'est--dire saider de Google pour aider
analyser les failles dun systme.
Tapez par exemple :

On obtient la liste de tous les dputs qui ont une boite email la poste.net
Ensuite on va sur le site de lAssemble Nationale pour obtenir toutes sortes dinfos sur
notre cible , par exemple sa date de naissance ou sa ville de naissance.
On se rend ensuite sur le site de la poste.net . Vous noterez au passage que le site est en
http , c'est--dire que le mot de passe circule en clair. Vous noterez aussi quen aucun cas il
y a piratage, puisque ces infos sont disponibles de nimporte o avec Google. De plus, si
vous vous connectez dans un lieu public, par exemple en wifi, votre login et mot de passe
sont interceptables par nimporte qui. Gardez ceci en mmoire pour comprendre un autre
hacking expos plus bas.

La cl de voute de ce hacking est la comprhension du systme des mots de passe


oublis . Que se passe-t-il si notre dput oubli son mot de passe ? Il clique sur la boite
de dialogue mot de passe oubli :
Dans de nombreux cas, y compris Twitter, ce mot de passe est expdi une boite aux
lettres lectronique. Hacker-Croll a donc pirat la boite mail dun des administrateurs de
Twitter ce qui lui a permis de rinitialiser le mot de passe et donc daccder tous les
messages de ladministrateur en question et donc de lui drober tous les mots de passe de
tous les sites qui vous envoient un email pour renouveler votre mot de passe oubli , c'est-
-dire la quasi-totalit des sites, y compris certaines banques.

Un livre collectif 253 / 296


Mythes et lgendes des TIC

La clef de voute du
systme est donc
laccs la boite
mail de la cible .
Mais alors comment
rinitialiser un mot de
passe dune boite mail
puisque lon y a plus
accs ? Cest alors que
rentre en compte une
autre mthode, celle de
la challenge phrase .
On vous pose une ou
plusieurs questions personnelles auxquelles vous avez pralablement donn la rponse lors
de votre enrlement. Et savez-vous quelle tait la challenge phrase choisie par ladministrateur
de Twitter ? Quelle est la ville de naissance de votre mre ? . Do lintrt de votre ami Google
ci-dessus ! De nombreuses personnes choisissent des questions triviales (date de naissance)
ou mettent des rponses que lon peut trouver dans Google, sur les rseaux sociaux etc
Cela a t le cas pour deux dputs Franais qui utilisent des messageries publiques en
plus de la messagerie de lAssemble Nationale. Ils nutilisent pas de pseudo ce qui fait que
leur nom indique leur email Leur boite aux lettres a t pirate et leur mot de passe
rinitialis. Des ractions dans les medias ? Aucune ou presque. Des amliorations de la
scurit ? Pas que je sache.
Est-ce une intrusion dans un systme de donnes ? Est-ce un dlit ? Lutilisation dun simple
navigateur et lutilisation du moteur de recherche le plus rpandu sur la plante indique
plutt quon a russi un hold-up avec un pistolet eau Et encore, on n'a mme pas la
forme dun pistolet, disons, avec juste un tlphone portable Il vaudrait mieux scuriser
laccs la messagerie de la Poste laquelle font confiance des millions de Franais, plutt
que de tuer le messager de la mauvaise nouvelle . Cest toute la problmatique du hacker.
Lorsquil se vante de son exploit, la seule rponse des autorits cest de lui envoyer la police
et de lembastiller.

MYTHE N 5 :
LES HACKERS SONT DEFINITIVEMENT DES DELINQUANTS
Les hackers sont en fait des messagers de mauvaises nouvelles
Un autre exemple vient de ma propre exprience la Black Hat 2008. Tous les ans aux USA
depuis prs de 25 ans, les hackers du monde entier se runissent, comparent leurs exploits et
apprennent de ceux des autres. Les plus grandes agences amricaines comme la CIA, le FBI
ou la NSA participent et cherchent mme recruter les meilleurs hackers. Les medias
couvrent lvnement qui a lieu notamment Las Vegas. En 2008 donc je participe au
challenge du wall of sheep qui consiste pingler sur un mur lectronique, visible des
congressistes, les pseudos et mots de passe des participants qui utilisent des mots de passe en
clair dans leurs connexions. Dans une confrence sur les meilleures pratiques dattaque et de
scurit, cest la moindre des choses que de se comporter en donnant lexemple
Les journalistes, dont je faisais partie pour un magazine de scurit bien connu, avaient t
dment prvenus par un email quelques jours avant, du challenge et clairement instruits de
ne pas se connecter en clair. (donc utiliser https au lieu de http). Mon esprit curieux de

Un livre collectif 254 / 296


Mythes et lgendes des TIC

hacker ma pouss vrifier cela dans la salle de presse Et l je maperois que de


nombreux journalistes se connectent au back office de leur journal en mode administrateur
qui plus est-sans aucune prcaution de chiffrement. Je rcupre en quelques minutes des
dizaines de mots de passe qui me permettraient de me connecter aux bases darticles des plus
grands medias amricains Jen vrifie au hasard deux, notamment celui de CNET. Je me
connecte avec un simple navigateur et je vois dfiler tous les articles du magazine ainsi que
les archives, la possibilit de modifier ou deffacer des articles

Pour cela jai utilis la technique du man in the middle qui permet dintercepter les flux wifi
ou rseau et de lire le contenu des paquets qui circulent sur un rseau. Il faut bien
comprendre quil ny aucun gnie l-dedans. Il suffit davoir un logiciel en tlchargement
libre sur Internet et une carte wifi ou rseau. Autrement dit, dans nimporte quel lieu public,
aroport, gare, restaurant, caf etc quelquun peut renifler vos flux wifi pourvu que
ceux-ci soient en clair (http), comme on couterait la conversation de quelquun qui parlerait
fort.
Muni de ces lments je me prsente au wall of sheep -le mur des moutons- pour leur faire
part de ma dcouverte et pour quils publient les pseudos (avec les mots de passe
partiellement cachs pour montrer quon les a, mais pour empcher quon les utilise). Il y
avait des centaines de noms dj affichs (le hacker Dan Kaminski le clbre dcouvreur de
la faille DNS en faisait partie). Les organisateurs du challenge vrifient sur mon
ordinateur, sont amuss, mais mexpliquent gentiment quon ne publiera pas ces pseudos
l car la presse est sponsor de lvnement !
Un photographe prend une photo de mon cran mon insu ce moment l et publie les
pseudos et mots de passe sur internet !!!
La journaliste de CNET est prvenue ensuite comme victime de ce piratage et demande
immdiatement lorganisation de la Black Hat de nous exclure. Ceci dit elle utilisait le login
dun homme, qui plus est le directeur de la rdaction, qui plus est administrateur de la base
complte du journal Ce qui est une fois de plus dmontre le fait de tuer le messager au
lieu de reconnatre son propre comportement laxiste et dangereux. Ce qui est incroyable cest
que les media amricains puis mondiaux se sont empars de laffaire, et nos noms, qui
avaient t divulgus par lorganisation avec nos badges, dfilaient en boucle sur CNN :
three french journalists have been expelled from Black Hat conference . Des dizaines dagences de
presse ou des media appelaient sur nos tlphones portables (dont le numro priori priv et

Un livre collectif 255 / 296


Mythes et lgendes des TIC

confidentiel avait t galement dment divulgu par lorganisation). Tout dun coup
notre sjour sest transform en enfer. Quand je dis nous cest parce que par amalgame
mes deux collgues ont t inquits, alors quils ne savaient mme pas de quoi il en
retournait !
Aprs une pression norme de la part des organisateurs qui nous sommaient de tenir une
confrence de presse pour nous expliquer (oh le joli coup de pub sans dpenser un centime
!), ainsi que des dlires de journalistes qui nous ont traits despions sans aucune rfrence,
ni vrification des faits, nous avons finalement quitt les USA deux semaines de vacances
plus tard, sans tre inquits le moins du monde. Pourquoi cela ? Parce que dautres media
alternatifs comme Wired ont commenc soutenir les hackers (c'est--dire nous) en
expliquant que ctait une honte quune journaliste qui couvre un vnement de scurit, qui
plus est qui runit prs de 5000 hackers, ne prenne aucune prcaution pour se connecter
son journal Donc que son comportement irresponsable exposait la scurit de ses
sources et permettrait des intrus de rentrer dans le systme dinformation dun des
plus grands media amricain De mme lautre journaliste qui avait t pirat
publi un article faisant son mea culpa en expliquant quil se connectait avant en https
mais quil avait laiss tomber pour des questions de compatibilit sur certains points daccs
(le certificat tait obsolte).
Au final, part en France-o nous avons t lamins par des journaleux jaloux et donneurs
de leons, lexprience a t positive et mon esprit hacker en a t renforc. Oui, hacker
est un tat desprit voire un mode de vie.

MYTHE N 6 :
LES HACKERS SONT DES DELINQUANTS QUI NONT AUCUN CONTACT AVEC LA VIE
REELLE (DES NO LIFE )

Non, les hackers sont bien intgrs dans la vie relle et organiss en tribus du monde
libre
Les hackers sont organiss en tribus , comme un mouvement alternatif. Dailleurs le
monde du logiciel libre est directement li aux hackers, et des personnages comme Steve
Jobs, Steve Wozniak Woz , et mme Bill Gates ont commenc comme hackers avant de
crer lindustrie des ordinateurs personnels.

Philip Zimmermann Steve Wozniak et Steve Jobs Bill Gates


Dautres se sont directement opposs au systme du logiciel payant comme mon ami Phil
Zimmermann, qui a publi un logiciel de chiffrement PGP Pretty Good Privacy qui
enfreignait la limite de taille de clef fixe par le gouvernement Amricain et qui surtout le

Un livre collectif 256 / 296


Mythes et lgendes des TIC

diffusait gratuitement aux internautes. Presque tous de ma gnration-sont rentrs dans le


rang en vendant leur logiciel de grands diteurs, ou en faisant fortune comme pour Apple
ou Microsoft.

MYTHE N 7 :
LES HACKERS SONT TOUS DES GENIES DE LINFORMATIQUE
En fait le maillon faible de tous les systmes de scurit est ltre
humain, qui ne ncessite aucun gnie pour le duper
Le plus clbre des hackers Kevin Mitnick non pas uniquement
par ses exploits, mais surtout par les 170 annes de prison
auxquelles il a t condamn, les peines aux USA tant
cumulables-est aujourdhui consultant en scurit libr sous
caution-et a
commis deux livres qui expliquent le
social engineering . Comme il explique
dans The art of deception (lart de la
manipulation) Il sagit dutiliser la ruse
pour persuader un utilisateur de lui
donner son mot de passe.
Tout commence avec un repas au
restaurant Washington, o, par hasard,
il est assis ct de la belle Alice,
secrtaire du patron du FBI qui lui fait
face. Il entend juste Alice je vais aller aux
iles Grenadines lhotel habituel la semaine
prochaine La semaine suivante, il
demande parler au directeur du FBI au
tlphone et aprs moult barrages
franchis (dans son livre il explique
comment) il parvient non pas au
Directeur puisquil nest pas l-mais
sa secrtaire, ce qui tait en fait son
vritable but. En utilisant un truqueur de voix, il dit Alice : Cest Bob, je suis aux Grenadines
et je narrive pas me connecter mon f e-mail . Le mot de passe chang ou quoi ?!! . Et l Alice
qui ferait tout pour que son patron Bob ne snerve pas plus, lui redonne le mot de
passe En fait lui donne , puisque cest Kevin Mitnick et non le patron du FBI lautre
bout du tlphone !
Mitnick se connecte alors la messagerie du FBI, lit tous les emails et commence une
incroyable farce qui va durer plusieurs annes o il imite le style et les textes de diffrents
contacts de cette personne et o il obtient au final laccs la plupart des sites et messageries
sensibles amricains, comme la CIA, la NSA ou le Pentagone au total 17 sites. (Ce qui
explique les 170 ans de prison requis: 17 x 10 ans, peine maximum pour le piratage aux
USA). En utilisant des systmes de proxy anonymes il masque sa vritable adresse IP en la
changeant toutes les 10 secondes (voir le rseau TOR pour cela). Alors quil nhabite pas trs
loin de la Maison Blanche, la CIA le recherche partout dans le monde Cest finalement un
autre hacker un japonais-moustill par la prime de plusieurs millions de dollars, ou par
dsir de vengeance personnelle, qui finira par lattirer dans un faux site un honey pot, site

Un livre collectif 257 / 296


Mythes et lgendes des TIC

pot de miel -et remontera son adresse IP dorigine La suite est comme dans les
feuilletons la tl : des dizaines de policiers arms jusquaux dents dfoncent la porte et
dans une dbauche de gaz lacrymognes et daboiements dordres brutaux arrtent le sieur
Kevin
Cest ce moment que lon comprend mieux la notion de tribu de hackers . Aprs son
arrestation, la caution a t fixe 1 million de dollars, une somme videmment impossible
payer pour un quidam. Sur internet avec Paypal-des milliers de hackers on donn 10 ou 20
dollars, et la caution a t runie et paye en quelques mois, et Kevin libr !
Le mme cas sest produit rcemment en France avec le hacker Guillermito qui avait
dmontr des failles patentes dans le logiciel anti-virus V-Guard de TEGAM, mais qui
avait t condamn plusieurs milliers deuros damende pour contrefaon et avait
entran indirectement la disparition de cet diteur en publiant ses rsultats sur internet.
Comme aux USA des centaines de hackers solidaires se sont cotiss, car cet enseignant en
biologie Harvard navait videmment pas les moyens de payer une telle somme

MYTHE N 8 :
LES HACKERS NONT QUUN PAUVRE PC POUR EFFECTUER LEURS EXPLOITS DEPUIS
LEUR CHAMBRE.

En fait, les hackers disposent de lordinateur le plus


puissant au monde
Une nouvelle gnration de hackers remplac lancienne
: cette gnration l, est trs technique et dispose de
moyens informatiques sans prcdent : Quel est
lordinateur le plus puissant du monde ? Celui du
Pentagone ? Celui des Russes ? Des Chinois ? Non, celui
des hackers !!!
1 Tianhe-1A (Chine) 2 Jaguar -Cray 3 Nebulae -
Dawning TC3600 4 TSUBAME 2.0 5 Hopper -Cray XE6
6 Tera-100 -Bull 7 Roadrunner -BladeCenter 8 Kraken
XT5 -Cray 9 JUGENE -Blue Gene/P Solution 10 Cielo -
Cray XE6 8 (10 ordinateurs les plus puissants au monde source
top500.org janvier 2011)
Tous ces ordinateurs ont un point commun : ils sont
bass sur des microprocesseurs du commerce (Xeon Intel
ou Cray) mais monts de manire massivement parallle.
Un systme de refroidissement liquide permet dempiler
les processeurs et de dissiper la gigantesque chaleur
gnre. La vitesse est mesure en Teraflops (mille
milliards dinstructions par seconde) voire en PetaFlops
(1000 Tflops). Ces calculateurs servent surtout aux
simulations et aux cassage dalgorithmes de chiffrement
de manire ce quun pays dispose dun outil pour voir
en clair ce qui transite comme information chez lui.
Lide des hackers est la mme : casser les algorithmes de
chiffrement afin de lire les flux crypts.

Un livre collectif 258 / 296


Mythes et lgendes des TIC

Grce Internet on peut regrouper des centaines de milliers, voire des millions
dordinateurs travers le rseau en leur faisant effectuer chacun une part minuscule
du travail en tche de fond, sans mme que lutilisateur de lordinateur en soit affect. En
effet, le CPU dun ordinateur est utilis quelques % de ses possibilits, un peu comme
notre cerveau
De l est n le projet BOINC (Berkeley Open Infrastructure for
Network Computing), luniversit de Berkeley. Il sagit dinstaller
un programme en tche de fond sur son ordinateur et celui-ci va
procder des calculs de dcodage scientifique ou autres Ce
programme est largement utilis par la communaut scientifique
pour, par exemple, le dcodage du gnome humain ou bien la tentative de dcodage des
bruits radio ventuellement extra-terrestres (ex programme SETI)
Mais les hackers lutilisent pour un tout autre but : la plupart des
accs aux ordinateurs tant protgs par un mot de passe, celui-ci
est craquable en brute force en essayant toutes les
combinaisons possibles, comme pour ouvrir la serrure dun
coffre. Plus le mot de passe est long et compliqu, plus lattaque
est longue proportionnellement. Une approche mathmatique
consiste prendre toutes les combinaisons de caractres
(lettres+chiffres+caractres spciaux) et fabriquer une table qui donne la rsultante code
pour chacune des combinaisons. Ensuite il suffit de regarder dans cette table si la
combinaison chiffre correspond et de remonter ainsi au mot de passe qui la gnre.
Plus le mot de passe est long, plus le nombre dentres de la table est grand et ceci de
manire exponentielle. Cette table qui rsout tout est appele rainbow table ou table
arc-en-ciel . Plus dun demi-million de hackers se sont donc fdrs autour de ce logiciel
et ce rseau rainbowcrack.net de manire constituer des tables de plus en plus puissantes,
en se partageant la tche immense de calcul.
Aujourdhui grce ces tables en tlchargement sur Internet, nimporte quel mot de passe
de moins de 2x7 caractres est cass instantanment (ce qui correspond la totalit des
ordinateurs sous Windows XP). Ce net-ordinateur virtuel, compos de plus de 500.000
ordinateurs personnels est infiniment plus puissant que nimporte lequel du top 10 des
ordinateurs nationaux . Les millions dordinateurs qui composent le rseau BOINC ont
plus de puissance de calcul quaucun Etat na jamais os rver et le tout en mode gratuit !

MYTHE N 9 :
LES HACKERS SONT DESINTERESSES.
Non, la nouvelle gnration en a
fait un business
Cette nouvelle gnration
comporte dj ses vedettes
comme Alex Tereshki, Rafal
Wojtczuk et Joanna Rutkowska
de Invisible Things Lab (qui a
dmont et fractur le systme
daccs Vista avec sa fameuse
Blue Pill ), les Italiens Andrea

Un livre collectif 259 / 296


Mythes et lgendes des TIC

Barisani et Daniele Bianco dont jai parl plus haut.


Ces hackers sont plutt
dEurope de lEst ou
dInde comme mon ami
Ankit Fadia -se dcrivent
comme des chercheurs
en scurit et ont
souvent une entit
commerciale pour
rentabiliser leurs
travaux. Ils participent
largement des confrences ou interviennent sur des missions de forensics pour aider les
entreprises, les diteurs de logiciel ou les gouvernements comprendre ce qui sest pass en
cas dintrusion ou de faille de scurit. Lexemple de DAN Kaminsky illustre bien ce
phnomne : au lieu de divulguer sur Internet lnorme faille de scurit quil avait
dcouverte sur les serveurs DNS du monde entier, il a contact en secret les diteurs y
compris les dveloppeurs du libre, premiers concerns par cette faille, les serveurs DNS
BIND tant essentiellement sous Linux-et a ainsi permis de corriger la faille 11 jours avant
que les hackers de METASPLOIT ne publient le programme dattaque et que les script kiddies
se jettent dessus pour lessayer.
Puisqu'on parle de
METASPLOIT, voici
lexemple typique de la facilit
pour porter une attaque
aujourdhui vers un site ou
vers un ordinateur connect
Internet. METASPLOIT
analyse la faille publie, crit
un code dattaque et le publie
aussitt sur son site :
Mais H.D. Moore le
fondateur de METASPLOIT
vient de vendre sa socit, et
lui avec, un diteur de
scurit Amricain. Tout le travail collaboratif du libre a donc t rcupr par une
socit prive

MYTHE N 10 :
LES HACKERS SONT DES PROGRAMMEURS CHEVRONNES
En fait tous les programmes de hacking sont disponibles sur Internet
A part quelques exceptions, la plupart des hackers reprennent les sources de programmes
existants ou utilisent des programmes tout faits.
Il existe plein de sites alternatifs comme Goolag.org, Backtrack, secuser.org, etc qui
permettent lapprenti hacker de faire son march . Voici la page daccueil de goolag.org.
Vous avez bien entendu saisi le clin dil Google :

Un livre collectif 260 / 296


Mythes et lgendes des TIC

Ou rfidiot.org qui indique tous les lments pour pirater les badges RFID des autoroutes,
transports en commun ou stations de ski :

MYTHE N 11 :
IL EXISTE DES HACKERS DETAT .
La nouvelle gnration chinoise est indpendante, impatiente et nationaliste
Il existe galement un mythe de hackers dEtat, dsignant notamment la Chine. Ces hackers
seraient rmunrs par le gouvernement Chinois afin de rcuprer les secrets industriels dans
nos sites travers des piratages par Internet. Alors que lattaque de lintrieur par un
stagiaire par exemple-me parait plausible et simple, autant lattaque concerte depuis internet
est un mythe : De par leur nature les hackers mme les Chinois-sont anti-establishement
, et pour avoir t plusieurs fois en Chine, jai vu que les jeunes ingnieurs informaticiens
aspirent essentiellement aux mme valeurs matrielles qui nous ont port depuis la fin de la
2eme guerre mondiale : avoir une (belle) voiture, un appartement, un frigo plein, une tl
avec 300 chaines, et
bien entendu un
smartphone et une
connexion internet
haut dbit
La seule diffrence
notable avec nos
hackers est quils
ont un sens
nationaliste hyper-
aig gnr par les
humiliations que les
occidentaux leur ont fait subir pendant des centaines dannes quand ils ntaient que
lombre de lancien Empire du Milieu .
Alors quand Jin Jing, athlte Chinoise paralympique,
portant la flamme olympique Paris se fait asperger
par des imbciles fanatiques (pour dnoncer les
atteintes aux droits de lhomme au Tibet) avec des
extincteurs, pour teindre la flamme et se fait renverser
son fauteuil, les hackers Chinois le prennent pour une
grave offense et se vengent en attaquant les sites
Franais en dni de service, comme dailleurs ils ont
boycott les magasins Carrefour sur place
Il est clair que la Chine forme actuellement la plupart
des ingnieurs dans le monde et que qualitativement ils
nont rien envier aux ntres : Par exemple, deux
jeunes femmes de lUniversit de Shanghai ont
partiellement cass lalgorithme MD5 en aot 2004, et comme tous les chercheurs ont publi
leurs travaux sur Internet. Cet algorithme tant constitutif du protocole https qui chiffre nos
flux web sur Internet il y a de quoi sinquiter
Peu de temps aprs, malgr les dngations des experts , les Chaos Computer Club
allemand et galement EPFL de Lausanne confirmaient les collisions dans certains cas

Un livre collectif 261 / 296


Mythes et lgendes des TIC

permettant la rversibilit du hash : autrement dit on peut retrouver le steak initial avec la
viande hache , ou bien on peut retrouver par cryptanalyse le mot de passe Plus besoin
de rainbow table ou de puissants supercalculateurs
On dirait que les hackers sont pratiquement le R&D de la scurit !

MYTHE N 12 :
LES HACKERS ADORENT SE VANTER DE LEURS EXPLOITS
Ils ont mme un site web qui les recense sans les encenser !
A propos de R&D est-ce que les sites web sont scuriss ? A entendre les banques et autres
sites de e-commerce : tout est sous contrle . Mais est-ce vrai ? En vrit il y a des failles
la fois dans les systmes et dans le code applicatif. Certains hackers les trouvent mais
comment le prouver et surtout sen vanter ? Le site zone-h.org a t cr comme un
Guiness des records des hackers. Ceux-ci peuvent faire une copie dcran de la page pirate et
la poster sur le site pour preuve avec le lien pour aller sur le site.

On appelle ce phnomne le defacing . Il sagit de montrer que lon a pris le contrle du


site en changeant sa page daccueil ce qui prouve que lon est capable dcrire ce quon veut
sur lordinateur cible qui hberge le site. La tribu des hackers nationalistes ou idologues
en istes , qui attaquent les sites dun pays inamical en profitent pour mettre un
message politique. Par exemple ci-dessous le dfacement (le mot nexiste pas, mais vous avez
compris) de la page daccueil de Baidu qui est le Google chinois !

Un livre collectif 262 / 296


Mythes et lgendes des TIC

Un autre exemple de dni de service distribu est celui rcent de la tribu des anonymous qui
en utilisant le programme LOIC (Low Orbit Ion Cannon) attaquent les sites des banques en
les inondant, donc en empchant les transactions normales avec leurs clients, parce que ces
banques refusent dencaisser les dons vers Wikileaks, tentant ainsi dasphyxier ces derniers et
les contraindre fermer leur site.
Les polices du monde entier, y compris en France, traquent les anonymous et viennent par
exemple darrter un adolescent de 15 ans qui na pas trouv plus malin que dutiliser le
programme LOIC depuis chez ses parents avec ladresse IP de sa Freebox Les vrais
anonymous utilisent bien entendu des proxy avec des rebonds comme dans le rseau TOR
dont jai dj parl :

MYTHE N 13 :
LES HACKERS SONT DECIDEMENT DES DELINQUANTS ET DOIVENT ETRE TRAITES
COMME TELS (LES MYTHES ONT LA VIE DURE)

Les hackers sont les messagers de la vrit mme si elle nest pas bonne
entendre !
Mais revenons au commencement de laffaire Wikileaks : Le site par lui-mme
ne fait que collecter des informations que nimporte quel internaute peut
poster et ceci depuis plusieurs annes. Des dons -comme pour Wikipedia-lui
permettent de payer les hbergements dans les diffrents pays. Tout le monde
sen fiche jusquau jour un informaticien gay de lArme Amricaine (le fait
quil soit homosexuel est dterminant dans lhistoire), dcide de pomper tous
les messages changs par les ambassades US dans le monde et de les poster
sur Wikileaks Il est en Irak, et naturellement larme Amricaine concentre
l-bas toutes les informations ncessaires au droulement des oprations. Donc cet
informaticien entre dans la salle informatique, copie toutes les donnes de la base en
quelques minutes et en ressort sans tre inquit !!!
Il les publie sur Wikileaks et l cest un dchainement mdiatico-politique contre, une fois
encore, le messager Julian Assange. On dterre mme une affaire de viol en Sude, alors
quil est Australien et il est incarcr au Royaume Uni. Les banques amricaines, VISA,
Mastercard, Paypal, Bank of America sont pries de lui bloquer ses comptes et les hbergeurs
de rsilier leur contrat ; Idem en Europe
Au lieu de se demander comment un simple soldat-informaticien avait pu drober 250.000
cbles classs secrets en quelques minutes en plein territoire de guerre qui plus est (donc que
des ennemis pourraient raliser aussi) et comment y remdier pour que cela ne se reproduise
plus, on sattaque celui qui ose en parler
Comment cet informaticien
a-t-il procd et pourquoi ?
Il a utilis un disque DVD-
RW (rinscriptible) qui
contient 4Go de donnes -
ce qui est norme pour
stocker du texte-et lors de la fouille en sortie prtendu quil sagissait dune copie de
chansons de Lady Gaga ! Le garde responsable de la fouille qui cherchait des clefs USB ou
des disques durs en suivant scrupuleusement sa procdure-ny a vu que du feu

Un livre collectif 263 / 296


Mythes et lgendes des TIC

Le soldat fait cela et surtout publi ces informations par vengeance. Il en avait assez dtre
maltrait comme homosexuel dans larme US. Dont ask, dont tell suivant la doctrine. Ne
posez pas la question et ne le dites pas . Du coup, cest le facteur humain qui a caus la trahison,
comme souvent en scurit
Au final, les hackers sont linformatique ce que les cologistes sont lconomie de
march : un contrepoids dides et de pouvoir. En ce sens ils ont toute leur place pour
contrer des diteurs de logiciels qui nont pas forcement lobjectif unique damliorer la
scurit de leurs clients, mais probablement surtout lobjectif de senrichir massivement sur
un march colossal. Les hackers aident les entreprises boucher leurs trous de scurit en
leur faisant subir le challenge de la ralit des attaques. Les hackers dfient les tats
totalitaires en les empchant de censurer linformation.

Sil ny avait pas les hackers, Big Brother aurait dj gagn !

Un livre collectif 264 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DU CORRESPONDANT


INFORMATIQUE ET LIBERTES

Bruno Rasle
Dlgu gnral de l'AFCDP

Le 6 aot 2004, loccasion de la transposition de la directive europenne 95/46/CE relative


la protection des personnes physiques lgard du traitement des donnes caractre
personnel, la France sest dote dun dispositif qui dispense de lobligation de dclaration
auprs de la CNIL les responsables de traitements qui ont procd la dsignation dun
dtach la protection des donnes caractre personnel .
Cette personne plus connue sous le nom de CIL (pour Correspondant Informatique &
Liberts) est charge dassurer, dune manire indpendante, lapplication interne des dispositions
nationales et de tenir un registre des traitements [] garantissant de la sorte que les traitements ne sont
pas susceptibles de porter atteinte aux droits et liberts des personnes concernes . La fonction a t
dfinie par le dcret n2005-1309 du 20 octobre 2005. Toutes les entits procdant au
traitement automatis de donnes caractre personnel sont concernes quelque soit leur
secteur, leur statut ou leur taille.
Issue largement dune pratique allemande, cette mesure a t introduite dans la Loi dite
Informatique et Liberts sur linitiative dAlex Trk, snateur du Nord et Prsident de la
CNIL. Cette fonction de dlgu la protection des donnes caractre personnel a t
transpose chez plusieurs de nos voisins : Allemagne, Estonie, Luxembourg, Hongrie, Pays-
Bas, Slovaquie et Sude.
Le Correspondant Informatique et Liberts a vocation tre un interlocuteur spcialis en
matire de protection de donnes caractre personnel, tant pour le responsable des
traitements, que dans les rapports de ce dernier avec la CNIL. Le CIL occupe ainsi une place
centrale dans le dveloppement matris des nouvelles technologies de linformation et de la
communication.
Au-del du simple allgement de formalits, le Correspondant un rle primordial jouer
pour sassurer que linformatique se dveloppera sans danger pour les droits des usagers, des
clients et des salaris. Cest aussi pour les responsables des fichiers le moyen de se garantir de
nombreux risques vis--vis de lapplication du droit en vigueur.
Au sens strict de la nouvelle loi et de son dcret dapplication relatif au correspondant, les
missions de ce dernier sont de tenir la liste des traitements et de veiller lapplication de la
loi. Mais dautres missions peuvent tre confies au Correspondant, comme la prparation
des demandes dautorisation, llaboration dune politique de protection des donnes
caractre personnel, la sensibilisation du personnel aux dispositions de la loi, lextension de la
tenue de la liste aux traitements non dispenss ou encore le contrle de lapplication des
rgles prdfinies.

Un livre collectif 265 / 296


Mythes et lgendes des TIC

MYTHE N1 :
LE CORRESPONDANT INFORMATIQUE ET LIBERTES (OU CIL) EST LE REPRESENTANT
DE LA CNIL AU SEIN DE LORGANISATION QUI L'A DESIGNE.

Le CIL est le plus souvent un collaborateur de lentit (entreprise, association, collectivit,


etc.), recrut spcialement ou dsign parmi le personnel. Bien quil soit effectivement
linterlocuteur privilgi de la Commission Nationale Informatique et des Liberts, il nest en
rien son reprsentant. Il est financirement la charge de lentit qui la dsign et conseille
dans ses choix le responsable de traitement au regard de la conformit la loi Informatique
et Liberts et du droit des personnes concernant leurs donnes caractre personnel.
Le CIL doit particulirement veiller ne pas apparatre comme un Mister No, voquant la
moindre drive les risques juridiques qui psent sur le responsable de traitement. Il doit
simprgner des objectifs oprationnels poursuivis par les directions mtier et dans la limite
de ce que permet le cadre lgal porter conseil pour trouver les quilibres adquats.

MYTHE N2 :
LE CORRESPONDANT INFORMATIQUE ET LIBERTES EST NECESSAIREMENT UN
EMPLOYE DE LORGANISATION.

Dans une limite prcise par le dcret dapplication n2005-1309 du 20 octobre 2005 (dans
son article 44), certaines entits peuvent dsigner une personne trangre leur personnel.
Lorsque moins de cinquante personnes participent la mise en uvre du traitement ou y ont
directement accs, lorganisme est libre de dsigner un CIL externe. Il peut sagir dun
consultant spcialis, dun avocat, dun expert comptable, dune socit de conseil en
informatique pour autant que la personne dispose des comptences ncessaires. Sont
comptabilises pour pouvoir procder ainsi toutes les personnes charges dexploiter, de
dvelopper et dassurer la maintenance de lapplication, tous les utilisateurs chargs
notamment de saisir les donnes ou de les consulter ainsi que toutes les personnes qui, en
raison de leurs fonctions ou pour les besoins du service, accdent aux donnes enregistres.
Lorsque le seuil des cinquante personnes est dpass, le recours une personne externe est
strictement encadr : le CIL peut tre un salari dune des entits du groupe de socits
auquel appartient lorganisme, un salari du groupement dintrt conomique dont est
membre lorganisme, une personne mandate cet effet par un organisme professionnel, une
personne mandate cet effet par un organisme regroupant des responsables de traitement
dun mme secteur dactivit. On parle alors de CIL externe et de CIL mutualis (comme au
sein du Notariat, ou chez les huissiers).
A noter que, parmi les tats membres qui ont opt pour la formule du Dlgu la
protection des donnes personnelles, seule la France restreint le champ des possibles. Aucun
de nos voisins nimpose un seuil, laissant le responsable de traitement prendre ses
responsabilits en choisissant ce qui lui semble correspondre le mieux aux objectifs
poursuivis.

MYTHE N3 :
LE CIL ENDOSSE LES RESPONSABILITES PENALES QUI PESAIENT, AVANT SA
DESIGNATION, SUR LE RESPONSABLE DE TRAITEMENT.

Le CIL nest pas un paratonnerre. Son rle est de conseiller le responsable de traitement sur
les mesures prendre pour respecter le droit et il n'y a pas de transfert de la responsabilit

Un livre collectif 266 / 296


Mythes et lgendes des TIC

vers le CIL. Le responsable de traitement conserve la pleine et entire responsabilit vis--vis


des traitements mis en uvre et de leur conformit la loi.
Pour autant on peut imaginer que la responsabilit propre du CIL pourrait tre recherche
en cas de complicit dinfraction (par exemple sil a connaissance dune non-conformit
grave au regard de la loi Informatique et Liberts, commise sciemment par le responsable de
traitement ou ses commettants, mais quil ne la traite pas), voire de ngligence patente.
Si le CIL ne peut tre tenu pnalement responsable des manquements de son responsable de
traitement, seuls ses propres manquements peuvent lui tre imputables. En conclusion, le
risque de mise en cause de la responsabilit du CIL semble trs faible, sans tre pour autant
inexistant.

MYTHE N4 :
LE CORRESPONDANT INFORMATIQUE ET LIBERTES EST UN SALARIE PROTEGE.
Cest le cas en Allemagne mais pas en France, au sens o on l'entend pour des reprsentants
du personnel ou des dlgus syndicaux. Mme si la loi Informatique et Liberts prcise que
le CIL ne peut faire l'objet de sanctions de l'employeur du fait de l'exercice de ses missions, il
peut tre dcharg en cas de manquements graves dment constats et qui lui sont
directement imputables au titre de ses fonctions de CIL. Pour assurer leffectivit de cette
protection, la CNIL doit tre avertie de toute modification affectant sa fonction.
La dcharge du CIL peut tre initie par la CNIL, lorsquun manquement grave aux devoirs
de ses missions est directement imputable au Correspondant. Aprs avoir recueilli les
observations de ce dernier, la Commission Nationale Informatique et des Liberts peut
demander au responsable des traitements de relever le CIL de ses fonctions.
La dcharge du CIL la demande du responsable de traitement ne peut tre envisage quen
raison de manquements lexcution de sa mission par le CIL : Le responsable des
traitements doit saisir la CNIL pour avis et informer son Correspondant en mme temps,
afin que celui-ci puisse prsenter ses observations. Les manquements invoqus doivent tre
directement imputables au Correspondant et relever directement de lexercice de ses
missions telles que dfinies dans la dsignation notifie la CNIL.
La CNIL fait alors connatre son avis dans le dlai dun mois.
Ce nest quune fois le CIL mis en mesure dexposer son point de vue et lexpiration du
dlai que la dcision de le dcharger peut tre prise par le responsable des traitements. Pour
continuer bnficier de la dispense de dclaration, le responsable de traitement doit notifier
la CNIL les coordonnes et fonctions de son nouveau Correspondant. A dfaut, le
responsable de traitement devra dclarer lensemble des traitements exonrs.

MYTHE N5 :
LE CIL A UNE OBLIGATION DE DENONCER SON EMPLOYEUR OU CLIENT A LA CNIL SIL
CONSTATE DES IRREGULARITES.

Dans son article 49, le dcret n2005-1309 du 20 octobre 2005 dispose que le CIL informe le
responsable des traitements des manquements constats avant toute saisine de la Commission nationale de
linformatique et des liberts . Larticle 51 prcise que La Commission nationale de linformatique et des
liberts peut tre saisie tout moment par le correspondant la protection des donnes caractre personnel
ou le responsable des traitements de toute difficult rencontre loccasion de lexercice des missions du
correspondant. Lauteur de la saisine doit justifier quil en a pralablement inform, selon le cas, le
correspondant ou le responsable des traitements .

Un livre collectif 267 / 296


Mythes et lgendes des TIC

Ce pouvoir de saisine doit donc tre utilis en dernier recours (une fois seulement que toutes
les autres voies ont t exploites, aprs que le Correspondant a effectu les dmarches
ncessaires auprs du responsable de traitements et que celles-ci sont demeures
infructueuses) et lorsque cela se justifie rellement, quand le CIL rencontre de notables
difficults dans lexercice de ses missions, par exemple en labsence systmatique de
consultation avant la mise en uvre de traitements sensibles, ou devant limpossibilit
dexercer ses fonctions du fait de linsuffisance des moyens allous.
Avant dutiliser ce pouvoir, le CIL et le Responsable de traitement peuvent sentretenir avec
la CNIL, notamment devant certaines difficults dapplication des dispositions lgislatives et
rglementaires.
Si le Correspondant doit utiliser son pouvoir de saisine dans les cas extrmes, il doit veiller
galement ses propres intrts, car nous avons vu que sa responsabilit propre pourrait tre
recherche en cas de complicit dinfraction.

MYTHE N6 :
SI LE RESPONSABLE DE TRAITEMENT DESIGNE UN CIL, IL EVITE LES CONTROLES SUR
PLACE DE LA CNIL ET ECHAPPE A TOUTE SANCTION.

Des entits ayant dsign un CIL ont dores et dj fait lobjet de contrles sur place. Dans
son rapport annuel pour lanne 2009, la CNIL indique mme quelle compte profiter des
prochains contrles sur place quelle va effectuer pour valuer lefficacit des CIL . La
dsignation dun Correspondant nest donc pas un facteur direct permettant dchapper aux
contrles et aux ventuelles sanctions. Par contre cest indubitablement un facteur de
rduction de lexposition ces risques.
De plus le CIL est mme de prparer son entit faire lobjet dune mission de contrle de
la CNIL. LAFCDP, association qui reprsente les CIL, a publi un livre blanc qui permet de
grer une telle situation.

MYTHE N7 :
SI LE RESPONSABLE DE TRAITEMENT DESIGNE UN CIL, IL NA PLUS AUCUNE
FORMALITE A EFFECTUER VIS-A-VIS DE LA CNIL.

Seuls les traitements de donnes caractre personnels soumis au rgime de la dclaration


sont exonrs de formalit en cas de dsignation dun Correspondant Informatique et
Liberts. Les traitements soumis demande dautorisation ne le sont pas.
Lors de la dsignation de son CIL, le responsable de traitement doit indiquer sil attend
galement de son Correspondant quil apporte son aide dans la prparation des demandes
dautorisation.
Enfin, mme si le dcret n2005-1309 du 20 octobre 2005 noblige le CIL qu mettre dans
son registre les traitements exonrs de dclaration, il est recommand de garder sous son
radar les traitements bnficiant de dispense, ne serait-ce que pour vrifier quils restent
bien sous ce primtre.

MYTHE N8 :
LE CIL EST FORCEMENT UN JURISTE.
Clarifions immdiatement un point : il nexiste pas de profil idal du candidat CIL. Les
correspondants actuels viennent dhorizons trs divers : informatique, juridique, qualit,
contrle interne, audit, record management, etc.

Un livre collectif 268 / 296


Mythes et lgendes des TIC

Actuellement, aucun agrment nest demand, aucune exigence de diplme nest fixe, la loi
prvoit que le Correspondant est une personne bnficiant des qualifications requises pour exercer ses
missions : lune des priorits dun nouveau CIL est donc de complter ses connaissances.
Les comptences et qualifications du CIL doivent porter tant sur la lgislation relative la
protection des donnes caractre personnel (Informatique & Liberts, LCEN, Code du
travail, etc.) que sur linformatique et les standards technologiques (cybersurveillance,
golocalisation, biomtrie, chiffrement, cookie, etc.), sans oublier le domaine dactivit
propre du responsable des traitements.
Le Correspondant doit galement avoir connaissance des lgislations particulires au secteur
dactivit concern (commerce lectronique, marketing direct, assurances, collectivits
territoriales ...) et des rgles spcifiques au traitement de certaines donnes (donnes
couvertes par exemple par le secret mdical ou le secret bancaire). Le CIL doit aussi avoir ou
acqurir des comptences en conseil et management pour pouvoir assurer pleinement son
rle dinformation et daudit.
Une qualit est souvent oublie, celle de communiquant, car il faut garder lesprit le facteur
organisationnel et humain. Afin de diffuser une culture de protection des donnes, le CIL
doit savoir couter, sensibiliser, et favoriser les remontes d'informations : Il sera aussi
amen dans lexercice de ses fonctions permettre un dialogue entre le responsable du
traitement, les personnes faisant lobjet du traitement, et la CNIL.

MYTHE N9 :
LE CIL EST FORCEMENT UN INFORMATICIEN.
Daprs les sondages effectus par lAFCDP auprs de ses membres et les informations
divulgues par la CNIL, les informaticiens viennent en premire position : plus du tiers des
CIL sont de profil informatique (principalement Chefs de projet, RSSI et DBA). La plus
forte reprsentation sobserve au sein des collectivits territoriales et au sein des Universits,
dont les CIL sont plus de 95% des informaticiens.
Mais une nouvelle fois, il nexiste pas de profil idal pour cette fonction.
Le nom de la loi (Informatique et Liberts) a peut-tre assimil un peut vite, aux yeux des
responsables de traitement, la fonction la seule sphre du systme dinformation ? Il
convient de ne pas oublier que les fichiers sur support papier sont galement concerns
(comme ceux du primtre Ressources humaines, par exemple), du moment quil existe un
ordre permettant un tri ou une entre slective.

MYTHE N10 :
NOUS N'AVONS PAS BESOIN D'UN CIL, NOUS AVONS DEJA UN RSSI.
Si le Responsable de la Scurit des Systmes dInformation est charg de la protection des
actifs immatriels de lentreprise, la mission du CIL est centre sur la conformit la loi
Informatique et Liberts. Outre le fait que son primtre daction est focalis sur les donnes
caractre personnel, sa tche ne se limite pas sassurer de leur bonne scurit, mais
stend bien dautres aspects : information des personnes, tenue du registre des traitements
et publicit de celui-ci, organisation des processus de rception et de gestion des demandes
de droits daccs, vrification de ladquation des donnes collectes et de leur dure de
conservation au regard de la finalit, etc. En ce qui concerne les donnes caractre
personnel, le Privacy By Design englobe le Security by Design.

Un livre collectif 269 / 296


Mythes et lgendes des TIC

Mais dautres missions peuvent tre confies au Correspondant, comme la prparation des
demandes dautorisation de certains traitements auprs de la CNIL (notamment lors de flux
transfrontires), llaboration dune politique de protection des donnes caractre
personnel, la sensibilisation du personnel aux dispositions de la loi, lextension de la tenue de
la liste aux traitements non dispenss ou encore le contrle de lapplication des rgles
prdfinies.

MYTHE N11 :
IL EST IMPOSSIBLE D'ETRE CIL ET RSSI SIMULTANEMENT.
Observons pour commencer que de nombreux RSSI ont t dsigns CIL.
Cette simultanit de pose pas de problmes particuliers, deux rserves prs. La premire
provient de larticle 46 du dcret n2005-1309 du 20 octobre 2005 qui prcise que Le
correspondant ne reoit aucune instruction pour lexercice de sa mission et que Les fonctions ou activits
exerces concurremment par le correspondant ne doivent pas tre susceptibles de provoquer un conflit dintrts
avec lexercice de sa mission . Concernant spcifiquement les mesures de protection des donnes
personnelles, il faut donc sassurer quil ny a pas un tel conflit : la mme personne peut-elle
bien, simultanment, tre en charge de cette scurisation et du contrle de cette bonne
scurisation ?
La seconde rserve porte sur la dlicate gestion des relations hirarchiques. Le CIL exerce ses
missions de manire indpendante, dispose dune autonomie daction reconnue par tous et
est directement rattach au responsable de traitement qui il peut apporter conseils,
recommandations et alertes si ncessaires. Ces particularits ne sont pas le fait de la plupart
des RSSI qui, dans cette mission, rapporte un suprieur hirarchique qui nest pas le
responsable de traitement.
Si la fonction est dvolue un autre professionnel que le RSSI, le CIL contribue amliorer
la politique de scurit informatique de lorganisation : en cela CIL et RSSI sont des allis
objectifs et ont de nombreux points communs. Outre le fait quils sont parfois perus tort
comme des improductifs et des empcheurs de tourner en rond , ils prouvent les
mmes difficults pour tre impliqus en amont (et non pas la veille de la mise en uvre
dune nouvelle application), pour faire passer lide que mieux vaut prvenir que gurir ,
pour sensibiliser utilisateurs et direction, pour faire appliquer les dcisions, politiques, charte,
et pour valoriser leurs actions (en labsence dincident, avions nous rellement besoin de faire
des efforts ?).
Cette coopration (qui doit tre largie au Risk Manager, aux spcialistes de lIntelligence
conomique et ceux de la Conformit, de lAudit et de la Dontologie) va se renforcer dans
lventualit dune future obligation de notifier les violations aux traitements de donnes
caractre personnel, envisag dans le cadre de la rvision de la Directive europenne 95/46
CE et laquelle les Oprateurs et FAI sont tenus dans le cadre de la transposition du Paquet
Telecom.

MYTHE N12 :
IL N'Y A FINALEMENT PAS GRAND AVANTAGE A DESIGNER UN CIL
En matire de protection de donnes caractre personnel, la loi, elle seule, ne suffit pas.
La fonction de Correspondant Informatique et Liberts, cre par le dcret n2005-1309 du
20 octobre 2005, est un lment cl de rgulation, par la pratique.

Un livre collectif 270 / 296


Mythes et lgendes des TIC

Au-del du simple allgement de formalits, le Correspondant un rle primordial jouer


pour sassurer que linformatique se dveloppe sans danger pour les droits des usagers, des
clients, des patients, des salaris, des citoyens. Cest aussi pour les responsables des
traitements le moyen de se garantir de nombreux risques vis--vis de lapplication du droit en
vigueur.
Au sens le plus strict, la fonction de Correspondant exonre de lobligation de dclaration
pralable des traitements les plus courants. Une lecture superficielle de la loi pourrait laisser
croire que lunique porte de la dsignation dun correspondant serait de bnficier de cet
allgement des formalits dclaratives ce qui reprsente une conomie de quelques
timbres.
Ce serait sous-estimer laide prcieuse que le CIL apporte au responsable du traitement.
C'est, pour ce dernier, le moyen de se garantir de nombreux risques vis--vis de l'application
du droit en vigueur, dautant que de lourdes sanctions sont encourues en cas de non-respect
de ces obligations. Le Correspondant a donc un rle de conseil et de suivi dans la lgalit de
dploiement des projets informatiques et, plus largement, de la gestion de donnes
caractre personnel. Il propose les solutions permettant de concilier protection des liberts
individuelles et intrt lgitime des professionnels. En labsence de CIL, ces tches sont
souvent ngliges alors quelles sont essentielles au regard de la protection des droits des
personnes.
La dsignation dun Correspondant Informatique et Liberts contribue rduire les cots de
gestion client (exercice du droit daccs, gestion des litiges, rationalisation des traitements,
suppression des donnes obsoltes) et permet de dvelopper la collaboration et les synergies
entre services (juridique, informatique, marketing, etc.). Enfin, pour les entreprises globales,
la dsignation dun CIL simpose face au Chief Privacy Officer des groupes multinationaux. En
outre, la dsignation dun Correspondant Informatique et Liberts permet une organisation
de bnficier dune relation privilgie avec la CNIL, qui a mis en place un service qui leur
est entirement consacr.
Le Correspondant, sil est dores et dj un personnage-cl dans le paysage de la protection
des donnes personnelles, est amen prendre de limportance. De plus, que la fonction
reste facultative ou qu'elle devienne obligatoire, comme c'est le cas en Allemagne, la
dsignation dun CIL va immanquablement tre perue comme un label de qualit et de
bonnes pratiques en ce quelle rassure le consommateur, lusager, le collaborateur ou le
citoyen : un lment ne pas ngliger quant il sagit dinstaurer la confiance. Il ne faudrait pas
paratre en retard par rapport ses homologues, confrres et comptiteurs.

MYTHE N13 :
NOUS SOMMES FORCEMENT EN CONFORMITE CAR NOUS AVONS DESIGNE UN CIL
De la mme faon quune entit qui na pas fait le choix de dsigner un CIL peut
parfaitement tre en conformit avec la loi Informatique et Liberts, rien nassure quun
organisme qui a dsign un Correspondant Informatique et Liberts est en complte
conformit. Encore faut-il que le CIL ait les qualits et connaissances ncessaires, encore
faut-il lui donner les moyens de mener bien ses missions.
Parmi les facteurs defficience, on peut citer : une dsignation prpare en mode projet, un
rattachement au Responsable du traitement ou a minima une personne faisant partie de
lquipe de direction, une certaine mise en scne de la dsignation pour bien montrer

Un livre collectif 271 / 296


Mythes et lgendes des TIC

quune telle dcision est un geste fort, une relle affectation de moyens (temps allou la
mission, budget, soutien, formation initiale, veille).
Dune faon gnrale il faut mieux considrer la conformit comme une dmarche que
comme un tat : la dsignation dun CIL par le responsable de traitement nest pas un
aboutissement, mais bien le dbut de cette dmarche.

CONCLUSION
En quelques annes, le CIL sest impos comme un personnage-cl dans le paysage de la
protection des donnes personnelles. Son absence ne veut pas dire que lentit na pas
dploy tous les efforts ncessaires pour tre en conformit, mais la dsignation dun
Correspondant rassure le consommateur, lusager, le collaborateur, le patient ou le citoyen :
un lment ne pas ngliger quant il sagit dinstaurer la confiance.
De plus, que la fonction reste facultative ou qu'elle devienne obligatoire comme c'est dj le
cas en Allemagne et comme la proposition de loi Dtraigne-Escoffier (vote au Snat le 23
mars 2010) le prvoit, la dsignation dun CIL peut tre perue comme un label de qualit et
de bonnes pratiques. Dans lattente, le volontariat donne loccasion certaines entits de se
dmarquer.
La rvision de la Directive europenne de 1995, qui a donn naissance notre loi
Informatique et Liberts actuelle et au CIL, est en marche, pour adapter le cadre lgal aux
rcents dveloppements technologiques comme le Cloud Computing, les rseaux sociaux, les
applications mobiles et la golocalisation, le marketing comportemental, les puces RFID, la
vidoprotection, la biomtrie ou les nanotechnologies. Dans sa communication du 4
novembre 2010 la Commission europenne introduit de nouvelles contraintes, comme
lAccountability (lobligation, pour le Responsable de traitement de prouver quil a pris des
mesures pour assurer la conformit), lanalyse dimpact et de risques en amont de tout projet
manipulant des donnes personnelles, la notification des violations aux traitements de
donnes caractre personnelles, la mise en uvre du concept de Privacy By Design et la
dsignation dun dlgu la protection de ces mmes donnes.
Pour sy prparer, les professionnels concerns se sont regroups au sein dune association
qui les reprsente, lAFCDP (Association Franaise des Correspondants la protection des
Donnes caractre Personnel), qui a dj eu loccasion de faire connatre ses positions et
dinfluer sur certaines orientations.
La fonction de correspondant doit tre tire vers le haut. Certains voient le CIL du futur
comme un vritable Commissaire aux donnes , ou Commissaire Informatique et
Liberts , par analogie avec les commissaires aux comptes. De toute faon, il faut avoir de
lambition pour ce nouveau mtier, passionnant, qui se fonde sur la primaut de la personne
comme le dit larticle premier de la Loi Informatique et Liberts : Linformatique doit tre au
service de chaque citoyen [] Elle ne doit porter atteinte ni lidentit humaine, ni aux droits de lhomme,
ni la vie prive, ni aux liberts individuelles ou publiques .

Un livre collectif 272 / 296


Mythes et lgendes des TIC

MYTHES ET LEGENDES DE L'AUDIT DE SECURITE

Victor Le Manchec, Solucom

Les audits de scurit sinscrivent dans une logique damlioration continue (PDCA) du
niveau de scurit, dont ils reprsentent un volet essentiel des activits check / contrle .

Par la nature des vrifications effectues et la diversit des personnes rencontres en


entretien, les audits adressent les problmatiques de scurit de faon trs transverse.
Les 5 mythes et lgendes ci-aprs ont pour objectif dapporter quelques clairages sur le
droulement et la finalit des audits de scurit SI, tels que raliss dans les grandes
entreprises et instituions publiques.

MYTHE N 1 :
UN AUDIT DE SECURITE DU SI NEST QUE TECHNIQUE
Une part importante des audits est effectivement technique. Deux mthodes principales
dinvestigation le prouvent : les revues de configuration et les tests dintrusion. Dun ct, les
revues de configuration, qui sont ralises sur des systmes d'exploitation, des middlewares,
des composants rseau ; de lautre les tests dintrusion qui valuent le niveau de scurit
atteint par le primtre cibl : depuis un serveur isol, jusqu une chane de liaison complte
(routeur, firewall, serveur dapplication et de base de donnes pour une application, par
exemple).
Pourtant, un autre volet tout aussi important de laudit concerne des aspects non techniques.
Sur ce volet, deux mthodes dinvestigation sont mises en uvre : les revues documentaires
et les entretiens. Les revues documentaires permettent dapprcier le niveau de formalisation
atteint par lentit concerne (procdures, dossiers darchitecture, traces des revues et
contrles internes effectus, descriptions des postes et des responsabilits lies la scurit,

Un livre collectif 273 / 296


Mythes et lgendes des TIC

etc.). Les entretiens permettent quant eux un change direct et concret avec les personnes
responsables du primtre audit : ingnieur systme et rseau, RSSI, directeur de la
production informatique, responsable de site, responsable dune branche mtier, etc.
En pratique, des audits non techniques sont frquemment mens sur les thmes suivants :
Contrles des procdures : existence, niveau dexhaustivit, mises jour,
applicabilit)
Revue des habilitations sur des applications, sur les droits dun partage rseau, etc.
Audit de la gestion des habilitations : mouvements du personnel (arrive, dpart,
changement de poste) et tude de la corrlation entre les rfrentiels RH et les
rfrentiels informatiques.
En conclusion, les audits ne sont donc pas forcment techniques : un bon niveau de scurit
nest atteint et conserv que si de solides lments techniques sont mis en uvre et sont
soutenus par des procdures et process scrupuleusement respects. Un quipement de
scurit, aussi robuste soit-il ne le reste pas trs longtemps sans processus de gestion des
correctifs de scurit (patch management).

MYTHE N 2 :
LAUDIT NE DONNE QUUNE VISION LIMITEE DANS LE TEMPS
Rappelons tout dabord les deux lments caractristiques (dun systme ou composant) dont
la prsence simultane permet doffrir un bon niveau de scurit :
Les fonctionnalits offertes. Il sagit des qualits intrinsques de robustesse et des
fonctionnalits proposs par le systme (par exemple, une trs bonne dtection des
malwares pour un antivirus).
Lassurance de fonctionnement. Il sagit de la confiance quil est raisonnable davoir
dans le systme : est-ce que je suis certain que le niveau atteint (tel que dfinit
prcdemment) le sera dans lensemble des situations, et reste vrai dans le temps ?
Pour prendre un exemple volontairement exagr : si mon antivirus dtecte les virus,
mme avec excellence, mais uniquement les jours pairs, alors mon systme ne me
permet pas davoir un bon niveau de scurit.
Puisquun audit accorde une grande importance lassurance de fonctionnement, nous
pouvons rpondre que non, un audit ne se limite pas une vision limite dans le temps. En
effet, les entretiens, lanalyse documentaire, le contrle des procdures, sont autant
dinvestigations permettant dapprcier lvolution temporelle.
Il est en revanche utopique de garantir un -bon- niveau de scurit dans le temps, car sil est
possible danalyser lassurance de fonctionnement sur un primtre, rien ne garantit que les
lments qui le composent (moyens humains, briques techniques, procdures,
environnement) resteront inchangs. En extrapolant le raisonnement, il serait mme prudent
de partir du principe que le niveau de scurit sur un primtre se dgradera dans le temps,
faute de procdures (par exemple). Do la ncessit de raliser rgulirement audits et tests
dintrusion, y compris sur un mme primtre.

MYTHE N 3 :
UN AUDITEUR EST MAL ACCUEILLI, IL DOIT AFFRONTER LA MEFIANCE
La ralisation dun audit peut amener :
La dcouverte de vulnrabilits critiques

Un livre collectif 274 / 296


Mythes et lgendes des TIC

La mise en lumire de manquements importants dans une organisation


Laccs des donnes confidentielles
Pour ces raisons, il est lgitime de penser quun auditeur doit affronter la mfiance, et une
propension des interlocuteurs cacher une vrit peu glorieuse. Bien sr, ce genre de
situation arrive, le plus souvent sur une crainte injustifie. En effet, dans les grandes
organisations, les responsabilits sont trs souvent dilues, et une unique personne ne
constitue jamais la seule et unique cible dun audit.
En pratique, les rticences fortes sont rares, et ce, dautant plus que les audits sont parfois
fortement attendus au sein dune organisation :
Un audit peut tre demand par une entit ou filiale qui va se faire auditer par le
groupe/holding. Lobjectif est alors de dtecter et corriger les vulnrabilits les plus
critiques, tout en disposant dun plan dactions pour les chantiers les plus significatifs,
avant la ralisation de laudit groupe.
Un audit peut tre demand par une entit pour obtenir des ressources auprs de son
entit de rattachement. Quil sagisse dun rattachement fonctionnel (une filiale par
rapport la holding) ou dun rattachement hirarchique (un RSSI vis--vis de la DSI
ou de la Direction Gnrale). Dans cette configuration, les audits, commanditaires de
laudit, vont alors chercher remonter le maximum de problmes et
dysfonctionnements, dans loptique dobtenir un budget plus important.
Il peut galement sagir, tout simplement, dune dmarche volontaire, initie dans le
cadre dune dmarche damlioration continue PDCA (Plan-Do-Check-Act).

MYTHE N 4 :
UN AUDIT NE SERT A RIEN EN LABSENCE DINCIDENT DE SECURITE
Faux ! Cette assertion est pourtant couramment entendue lors des interviews raliss
loccasion dun audit. Cest souvent la parole dun ancien de la socit qui affirme navoir
jamais connu de problme de scurit significatif.
En ralit, cette phrase rvle un faux sentiment de scurit gnr par un quotidien sans
incident.
Lors de la ralisation dun audit, il est frquent de rencontrer un grand scepticisme face aux
risques prsents. Ainsi, si un auditeur indique quil est possible de voler par coute rseau
des mots de passe critiques, ou dcouter une conversation tlphonique ToIP, cest tout
dabord lincrdulit qui sexprime. Mais lissue dune dmonstration russie, cest la
surprise et ltonnement qui se manifestent, en dcouvrant que ces risques sont rels, mme
sil ny a pas eu dincident rcent sur ce sujet.
Pour sensibiliser les quipes et le management, les auditeurs peuvent accompagner les
runions de restitution dillustrations concrtes, vidos ou dmonstrations, de scnarios
dattaques exploitant les failles identifies : vol et usurpation didentit, ralisation dactions
linsu dun utilisateur, etc. Ces dmonstrations ont pour objectif de vulgariser la dmarche,
en faisant abstraction des dtails techniques, en mettant laccent sur les consquences, afin de
sensibiliser le management et les responsables dapplications sur le caractre rel de la
menace et sur la ncessit de mettre en uvre les plans dactions.
En ralit, lensemble des systmes d'information quils soient bureautiques ou industriels,
sont exposs. Une occurrence de risque faible (faible probabilit dapparition), ne veut pas
dire que limpact de ce mme risque (gravit de la situation si le risque se ralise) soit faible.

Un livre collectif 275 / 296


Mythes et lgendes des TIC

Cest pourtant lamalgame qui est frquemment commis, ce qui gnre ce faux sentiment de
scurit.

MYTHE N 5 :
REALISER UN AUDIT NE ME PERMET PAS DAUGMENTER MON NIVEAU DE SECURITE
On peut tre amen penser que la ralisation dun audit ne permet pas daugmenter le
niveau de scurit car son sens commun est la recherche des dfaillances et lidentification
des risques. Cette dfinition est trop restrictive, puisquun audit comporte quatre tapes,
dont la formulation de recommandations qui vise augmenter le niveau de scurit :
Une runion de lancement, permettant aux auditeurs de rencontrer les responsables
de laudit et daffiner le primtre, les mthodes de contrle, le rfrentiel daudit, les
moyens de communication, les coordonnes des interlocuteurs. Ces informations sont
consignes dans un protocole daudit.
Lanalyse de lexistant, visant identifier lensemble des vulnrabilits sur le
primtre de laudit. Cette tape est trs factuelle, base sur des constats, sans jugement
ni interprtation.
Lanalyse de risques, tablissant des scnarios de risque sur la base des vulnrabilits
rencontres. Lobjectif est dexpliciter le plus simplement quels sont les risques
auxquels sexpose lorganisation. Lorsque suffisamment de contexte a t transmis aux
auditeurs, des risques mtiers sont formuls, ce sont les plus explicites.
Recommandations et restitution : Dernire tape de laudit, elle permet de rtorquer
faux ! lassertion propose. Les recommandations ont pour objectif de traiter les
risques identifis, essentiellement sous une forme de rduction des risques, et donc
damliorer le niveau de scurit. Les recommandations peuvent tre techniques
(application des correctifs de scurit, amlioration de la configuration, refonte de
larchitecture, etc.) ou organisationnelles (rdaction de procdures, redfinition des
responsabilits, cration dun poste scurit SI au sein dune entit, etc.). Ces
recommandations sont prsentes lors dune runion de restitution afin de permettre
leur bonne comprhension par le commanditaire et les quipes concernes. Une fois
laudit termin, il est de la responsabilit de lentreprise de choisir quelles
recommandations appliquer et de suivre leur mise en place effective via le suivi du plan
dactions. Ce dernier point constitue trs exactement lobjectif des audits de contrle
(audits de suivi) quil est tout aussi important de faire raliser.

Un livre collectif 276 / 296


Mythes et lgendes des TIC

ACRONYMES
MYTHES ET LEGENDES D'INTERNET
ATM : Asynchronous Transfer Mode
ETSI : European Telecommunications Standards Institute
ICANN : Internet Corporation for Assigned Names and Numbers
IETF : Internet Engineering Task Force
IPsec : Internet Protocol Security
IPv6 : Internet Protocol version 6
ISO : International Organization for Standardization
NAT : Network Address Translation
P2P : Peer-to-Peer
RINA : Recursive Inter-Network Architecture
ToIP : Telephony over IP
UIT : Union Internationale des Tlcommunications (ITU)

MYTHES ET LEGENDES DE LA SECURITE DE L'INFORMATION


CERT : Computer Emergency Response Team

MYTHES ET LEGENDES DU CHIFFREMENT


3DES : Triple Data Encryption Standard
AES : Advanced Encryption Standard
RSA : Rivest Shamir Adleman, algorithme de cryptographie asymtrique du nom de ses
inventeurs

MYTHES ET LEENDES DE LA SIGNATURE ELECTRONIQUE


MD5 : Message Digest 5, fonction de hachage
PIN : Personal Identification Number
SHA1,2,3 : Secure Hash Algorithm

MYTHES ET LEGENDES DE LA CERTIFICATION CRITERES COMMUNS


ANSSI : Agence nationale de la scurit des systmes d'information
EALn : Evaluation Assurance Level n
ITSEC : Information Technology Security Evaluation Criteria
VPN : Virtual Private Network

MYTHES ET LEGENDES DU PAIEMENT MOBILE


NFC : Near Field Communication

MYTHES ET LEGENDES DE LA POLITIQUE DE SECURITE ET DE LA CHARTE


ACAM : Autorit de Contrle des Assurances et des Mutuelles
AMF : Autorit des Marchs Financiers

Un livre collectif 277 / 296


Mythes et lgendes des TIC

CE : Comit dEntreprise ou dEtablissement


CIL : Correspondant Informatique et Liberts
CNIL : Commission Nationale de lInformatique et des Liberts
DG : Direction Gnrale
DISSI : Dlgation Interministrielle pour la Scurit des Systmes d'Information
IEC : International Electrotechnical Commission
IGAS : Inspection Gnrale des Affaires Sociales
IRP : Instances Reprsentatives du Personnel
ISO : International Organisation for Standardisation
LCEN : Loi pour la Confiance dans lEconomie Numrique
LOPSI : Loi dOrientation et de Programmation pour la performance de la Scurit
Intrieure
LSI : Loi sur la Scurit Intrieure
LSQ : Loi sur la Scurit Quotidienne
MIF : Marchs dInstruments Financiers
MiFID, Markets in Financial Instruments Directive
NTIC : Nouvelle Technologie de lInformation et de la Communication
OCDE : Organisation de Coopration et de Dveloppement Economiques
P2P : Peer To Peer
PCI-DSS : Payment Card Industry - Data Security Standard
PME : Petite et Moyenne Entreprise
PSSI : Politique de Scurit des Systmes d'Information
RSSI : Responsable de la Scurit des Systmes d'Information
SGDN : Secrtariat Gnral de la Dfense Nationale
SI : Systme d'Information
SSI : Scurit des Systmes d'Information
STAD : Systme de Traitement Automatis de Donnes
USB : Universal Serial Bus

Un livre collectif 278 / 296


Mythes et lgendes des TIC

GLOSSAIRE
Audioconfrence
Une tlconfrence dans laquelle les participants sont en communication tlphonique chacun
avec tous les autres. Elle permet la transmission de phonie et ventuellement de tlcopie.
Communications unifies
Un ensemble de services destins aux entreprises qui permet d'unifier les moyens de
communications interpersonnelles temps rel (tlphonie fixe et mobile, visiophonie, etc.),
les outils de travail collaboratif, ainsi que l'environnement informatique et les applications
bureautiques de l'entreprise.
CTI Computer Telephony Integration
Un ensemble de techniques, de matriels et de logiciels qui ralisent des applications
informatiques couples avec des services tlphoniques. Il est utilis notamment pour le
tlmarketing et dans les centres d'appels.
Interoprabilit
La possibilit donne des services ou des quipements de technologies diffrentes
fonctionner ensemble.
NFC
Communication en champ proche (Near Field Communication), technologie
de communication sans-fil courte porte et haute frquence, permettant l'change
d'informations entre des priphriques jusqu' une distance d'environ 10 cm.
Extension des mcanismes RFID (Radio Frequency IDentification), permettant notamment
d'interagir avec un tlphone mobile dans le cadre du paiement lectronique.
Prsence
Une fonctionnalit utilise dans les solutions de collaboration pour connatre l'tat de
prsence (tlphonique, calendrier, PC) des collaborateurs. Les utilisateurs peuvent ainsi
communiquer de manire efficace selon la situation du moment et le mdia le plus appropri.
SI Systme d'Information
Un ensemble organis de ressources (personnel, donnes, procdures, matriel, logiciel)
dont le but est d'acqurir, stocker, structurer et communiquer des donnes (texte, images,
phonie, sons, donnes informatiques, vido).
Softphone
Un logiciel qui mule un poste tlphonique sur un ordinateur. L'ordinateur, quip
d'interfaces audio (microphone + haut-parleur ou micro casque) est utilis pour recevoir ou
mettre des communications tlphoniques avec les services associs.
Tlconfrence
Une confrence durant laquelle les participants sont rpartis dans plusieurs lieux relis entre
eux par des moyens de tlcommunications.
Vidoconfrence
Une tlconfrence dans laquelle les participants sont relis par des circuits qui permettent la
transmission d'images animes et de phonie.
Web Social

Un livre collectif 279 / 296


Mythes et lgendes des TIC

Une optique dans laquelle lInternet est considr comme un espace de socialisation, un lieu
dont une des fonctions principales est linteraction entre les personnes.
Web2.0
Un ensemble de technologies et d'usages qui ont suivi la forme initiale du Web, en particulier
les interfaces permettant aux internautes dinteragir de faon simple la fois avec le contenu
et la structure des pages mais aussi entre eux. Le Web2.0 a donn naissance au Web Social.

Un livre collectif 280 / 296


Mythes et lgendes des TIC

POUR ALLER PLUS LOIN DANS LA CONNAISSANCE


DES TIC

Les contributeurs de cet ouvrage collectif ont galement crit, ou particip l'criture de
livres dans leurs domaines d'expertises. Voici, sans tre objectif, loin s'en faut, quelques uns
de ces livres qui peuvent vous permettre d'aller plus loin dans la connaissance des TIC.
.
Christian Aghroum :
Auteur de :
Les mots pour comprendre la cyberscurit et profiter sereinement d'Internet ,
collection Dico Dkode, 2010, ditions Lignes de Repres.
Contributeur de :
Identification et surveillance des individus . Editions de la Bibliothque publique
d'information (Centre Pompidou) Juin 2010
Cybercriminalit, une guerre perdue ? Editions Choiseul Scurit Globale
Dossier numro 6 - Hiver 2008
La criminalit numrique .Editions INHES : Les cahiers de la scurit Cahier
numro 6 Octobre 2008
Cybercriminalit et cyberscurit en Europe . Les Dossiers Europens n14 April
2008
La lutte contre la contrefaon, enjeux, nouveaux moyens d'action, guide pratique .
Editions du Ministre de l'Economie, Ministre du Budget 1995

Jean-Pierre Archambault
Auteur de :
De la tlmatique Internet aux ditions du CNDP

Michel Elie
Auteur de divers articles sur lhistoire et la prospective de linternet.
Il a coordonn le dossier le foss numrique linternet facteur de nouvelles ingalits ?
publi par La Documentation Franaise en aot 2001

Franck Franchin
Co-auteur de :
Le business de la cybercriminalit . Collection Management et informatique.
Editions Hermes Science.

Jean-Denis Garo
Auteur de :
Mon papa travaille dans lInformatique et les Tlcoms - 2007
Anita&BatrixLesenscachduvocabulairedesIT2010

Un livre collectif 281 / 296


Mythes et lgendes des TIC

Co-Auteur des livres collectifs :


Scurit des Systmes dInformation Les Guides ECOTER, Edition Mission
Ecoter 2002
Guide TIC des petites et moyennes collectivits , Edition Ficome 2004
La scurit lusage des dcideurs . Edition etna France- 2005
La scurit l'usage des PME et des TPE , Edition Tnor 2006
La Scurit l'usage des collectivits locales et territoriales , Edition Forum
ATENA- 2009
Lexique des TIC , Edition Forum ATENA 2010
LInternet lusage ....de lcosystme numrique de demain , Edition Forum
ATENA - 2011
Responsable ditorial de :
LOff-Shore et les centres de contacts Cap sur lle Maurice , Edition 1Angle2Vues -
2007

Thierry Gaudin,
Voir l'imposante quantit d'oeuvres crites en
http://www.2100.org/gaudin/1/publications/

Daniel Guinier,
Auteur de :
Scurit et qualit des systmes d'information Approche systmique -"La part de
l'homme" . Editions Masson, 1992.
Catastrophe et management - Plans d'urgence et continuit des systmes
d'information . Editions Masson, 1995.
Le courrier lectronique et l'archivage lgal . Livre blanc, dit par IBM France,
2005.
Contributeur de :
o Systmes d'information - Art et pratiques ; Ch. 5 : Scurit et
cybercriminalit . Editions d'Organisation (Eyrolles), 2002.
Tableaux de bord pour diriger dans un contexte incertain ; Ch. 13 : La scurit des
tableaux de bord . Editions d'Organisation (Eyrolles), 2004.
Encyclopdie de l'informatique et des systmes d'information ; Section II/4 : La
politique de scurit . Editions Vuibert, 2006.
Le guide pratique du chef d'entreprise face au risque numrique . Guide dit par la
gendarmerie nationale, prface du ministre de l'intrieur, 2009, 2010.

Mauro Israel
Auteur de :
Aide mmoire Netware de NOVELL DUNOD TECH
Guide PSI Netware de NOVELL DUNOD TECH

Un livre collectif 282 / 296


Mythes et lgendes des TIC

Contributeur de :
La scurit lusage de PME-TPE collection TENOR

Sophie de Lastours
Auteur de :
La France gagne la guerre des codes secrets, 1918 chez Tallandier, et de nombreux
articles sur lhistoire du chiffre dont les plus rcents :
La section du chiffre pendant la Premire Guerre Mondiale
A travers les travaux du colonel Henry Olivari et du capitaine Georges-Jean
Painvin, Universit de Saint Denis Paris VIII. Journe dEtudes sur les enjeux de la
cryptologie. 2008.
La cryptologie est elle misogyne ? Bulletin de lARCSI 2009.
Diplomatie, renseignement et codes secrets au cours de la longue vie du gnral
Charles-Franois Dumouriez (1739-1823) Actes du colloque de Cambrai. Journe
Dumouriez sous le patronage du Snateur Jacques Legendre et Bulletin de lARCSI
2011
Elle a pris en charge avec Gilbert Eudes sous le titre Mission dun cryptologue en Russie
(1916) et publi dans la collection quelle dirige, le manuscrit du colonel Henry Olivari qui
lui avait t confi par son petit-fils.

Fabrice Mattatia,
Auteur de :
An Overview of Some Electronic Identification Use Cases in Europe, in Practical
studies in e-government, S. Assar, I. Boughzala et I. Boydens (dir), Springer, 2011.

Grard Peliks
Auteur de :
"Le World Wide Web: Cration de serveurs sur Internet". ditions. Addison-Wesley
France 1995
Contributeur et synchroniseur des les livres collectifs :
La scurit lusage des dcideurs . Edition etna France 2005
La scurit l'usage des PME et des TPE , collection Tnor 2006
La Scurit l'usage des Collectivits locales et territoriales , Forum ATENA 2009

Bruno Rasle
Co-auteur de :
Halte au spam . Editions Eyrolles 2003
La Scurit l'usage des Collectivits locales et territoriales , Forum ATENA 2009
La physique selon Albert Ducrocq Edition Vuibert - 2006

Yvon Rastetter

Un livre collectif 283 / 296


Mythes et lgendes des TIC

Auteur de :
Le logiciel libre dans les entreprises . Editions Hermes 2002
La fusion de la tlphonie dans l'internet . Editions Hermes 2005
Le logiciel libre dans la mondialisation . Editions Hermes 2006
Le logiciel libre dans les PME . Editions 2008

Laurent Treillard
Contributeur dans les livres collectifs :
La scurit l'usage des PME et des TPE , collection Tnor 2006
La scurit l'usage des collectivits locales et territoriales , Forum ATENA 2009

Philippe Vacheyrout
Maitre duvre pour :
Mediam le site intranet de la branche maladie de la Scurit Sociale
www.mediam.ext.cnamts.fr/cgi-ameli/aurweb/ACI RCC/MULTI
Ameli le site extranet de la branche maladie de la Scurit Sociale
www.ameli.fr/
Pionnier de la carte Ssam Vitale
www.sesam-vitale.fr/index.asp
Auteur de :
Contribution de C@pucine.net au Sommet Tunis 12/2005
www.capucine.net/article.php?id_article=8
Contribution au Forum sur la Gouvernance d'Internet Genve 02/2006
www.capucine.net/article.php?id_article=10
Charte du Rseau de Confiance Numrique Capucine.net *6
www.capucine.net/article.php?id_article=15

Un livre collectif 284 / 296


Mythes et lgendes des TIC

A PROPOS DES AUTEURS


Par ordre alphabtique :

Christian AGHROUM est diplm de lEcole Nationale Suprieure de la Police


et titulaire dun DESS en "politique et gestion de la scurit". Responsable central
de la scurit des systmes dinformation de la Direction Centrale de la Police
Judiciaire, il a dirig durant quatre annes lOCLCTIC, loffice de lutte contre la
cybercriminalit, jusquen juin 2010. Il a reprsent la France dans des instances
internationales et enseign lENSP, l'ISEP et donn des confrences lENA,
lENM, lIHEDN et lINHES. Il vit dornavant en Suisse o il exerce les fonctions
de Chief Security Officer dans une grande entreprise internationale. chrisagh (at) hotmail.fr

Jean-Pierre ARCHAMBAULT, professeur agrg de mathmatiques, est charg


de mission veille technologique au CNDP-CRDP de Paris, o il assure notamment
la responsabilit du dossier des logiciels libres, coordonnant le ple de
comptences logiciels libres du SCEREN. Il a particip au pilotage du
dveloppement des TICE dans lacadmie de Crteil. Il est lauteur de nombreux
articles sur les usages pdagogiques et les enjeux des TIC. Il est prsident de
lassociation EPI (Enseignement Public et Informatique) et administrateur de la
Socit europenne de lInternet. jp.archambault (at) laposte.net

Christophe dARCY, est fondateur et directeur associ de MIRCA SARL. Il est en


charge du ple Services et Conseil. Avant de fonder MIRCA, Christophe a t
Ingnieur conseil pendant 5 ans chez ARCHE Communications. Il a ensuite pass
plus de 12 ans chez Rohm and Haas, grand groupe international de lindustrie
chimique, en tant que Responsable Europen Tlcom et Systmes, puis
Responsable Europen des Achats Informatiques et enfin Responsable Scurit
Informatique. Il est diplm de lInstitut National des Tlcommunication (INT
Ingnieur 1992) et certifi CISA (Certified Information Systems Auditor) de lISACA et ITIL v3
(OSA, RCV). cdarcy (at) mirca.fr

Thierry AUTRET, Responsable de la Scurit du Systme d'Information (RSSI),


Groupement des Cartes Bancaires CB. Avec une exprience de plus de 20 ans dans
le domaine de la scurit des SI, Thierry Autret intervient en tant quexpert et
auditeur interne, animateur de formations et confrencier. Il coordonne pour le
GIE CB la dmarche de protection des donnes cartes bancaires autour du
programme PCI DSS. Il a une grande exprience des secteurs bancaires et de
ladministration lectronique et est reconnu dans le domaine des infrastructures de
gestion de cl. Thierry Autret est certifi Lead Auditor ISO 27001 par LSTI, il est
galement auteur de louvrage Scuriser ses changes lectroniques avec une PKI,
solutions techniques et aspects juridiques paru aux ditions Eyrolles en 2000. Il est diplm de
l'institut national des hautes tudes de scurit et de justice en 2010 (INHESJ).
thierry-autret@cartes-bancaires.com

Luc BARANGER a trente ans dexprience dans le domaine de la sret. Il a


cr et dirig sa socit dinstallation en sret et communication dans le secteur
industriel, tertiaire et le monde de la grande distribution, avant de devenir
responsable des ples techniques sret et communication la F.F.I.E. (Fdration

Un livre collectif 285 / 296


Mythes et lgendes des TIC

Franaise des Installateurs lectriciens ) o il est responsable des Affaires Techniques et Expertise.
l.baranger (at) ffie.fr

Jacques BAUDRON, spcialiste en architecture de rseau de transmission, dirige


la socit iXTEL quil a cre en 1998. Auparavant au sein des quipes
darchitecture dAlcatel il a travaill sur la dfinition des rseaux et a contribu et
anim des groupes de travail au sein de lITU-T et de lETSI pour la dfinition des
architectures de protection dans les rseaux. Il est lorigine de la gamme doutils
dingnierie de trafic et daudit de rseau RetiTools tant sur les aspects routage,
protection ou synchronisation. Jacques Baudron est galement charg de cours
dans des coles dingnieurs et universits et anime des sminaires auprs de
professionnels : oprateurs, quipementiers, institutions. : jacques.baudron (at) ixtel.fr

Eric BOURRE est ingnieur IAM au sein du Cyber Security Customer Solutions
Centre de EADS o il travaille sur des sujets tels que la PKI, la fdration des
identits ou encore le contrle d'accs. Diplm de l'cole nationale suprieure
d'informatique et de mathmatiques appliques de Grenoble (ENSIMAG), il est
galement titulaire d'un master en cryptologie et scurit des systmes
d'information. eric.bourre (at) cassidian.com

Thomas BOUSSON est diplm de lUniversit de Dauphine et est certifi


Lead Auditor ISO 27001. Il a pass six annes la Direction Centrale de la
Scurit des Systmes dInformation (actuellement ANSSI), avant de
rejoindre le monde du conseil. Il a enseign la scurit informatique
lUniversit. Actuellement, chez Sogeti (groupe Cap Gemini), il dveloppe
lactivit dvaluation de la scurit des technologies de linformation
(CESTI) ainsi quun cycle de formation scurit ; il pilote galement des
projets de scurit principalement pour le ministre de la Dfense.
thomas.bousson (at) sogeti.com

Stphan BRUNESSAUX est responsable du dpartement Traitement de


l'information, contrle et connaissance au sein des Etudes Amonts de
Cassidian, la filiale d'EADS spcialise dans la dfense et la scurit. Il a rejoint le
groupe EADS en 1990 aprs avoir dmarr sa carrire comme ingnieur de
recherche au sein de lINRIA Lorraine. Spcialiste des nouvelles technologies, il
dirige une quipe compose d'ingnieurs de recherche et de doctorants spcialiss
dans la recherche d'information, le Web smantique et la fusion de donnes. Il est
co-auteur de plusieurs livres et articles scientifiques ainsi que le dtenteur de trois brevets.
sbrunessaux (at) gmail.com

Jean Pierre CABANEL est Professeur l'Institut National Polytechnique (INP /


ENSEEIHT) de Toulouse et membre du laboratoire IRIT (Institut de Recherche
en Informatique de Toulouse), quipe Universit. Il anime un groupe de recherche
sur le futur des tlcommunications. Ses travaux rcents traitent de lautonomie
des vecteurs ariens et spatiaux. Docteur dtat de lUniversit Paul Sabatier
Toulouse,. il anime avec le Professeur Guy Pujolle le Working Group 6.4 de
lIFIP sur les LAN et PABX et organise plusieurs congrs au sein de Sup Telecom.
Paris. Il travaille sur la problmatique de la scurit des systmes de
communication : PKI :, et Tiers de Confiance. jeanpierre.cabanel (at) free.fr

Un livre collectif 286 / 296


Mythes et lgendes des TIC

Dominique DECAVELE est consultant indpendant.


Il a travaill pour le Groupement des Cartes Bancaires de 1990 2010. Il sy est
occup principalement de scurit et de gestion des risques. Il y a uvr
lmergence de systmes de paiement paneuropens.
Prcdemment, au service de lindustrie informatique, il a dvelopp des rseaux
locaux et dirig une ligne de terminaux bancaires libre-service.
Il est ingnieur Suplec et Ph.D. de U.C. Berkeley. dominique (at) tyrianpurples.com

Louis DERATHE prsente une exprience de plus de 15 ans en SSI,


successivement informaticien, responsable de lorganisation dune Cie dAssurance,
consultant en Systme dInformation , officier en charge de SSI et maintenant
expert SSI THALES. Il est ce sujet l'auteur dun roman sur la guerre de
linformation Opration ACCAPARE Ed lHarmattan (et bientt dun autre sur
la Mtacommunication)." Louis.DERATHE@fr.thalesgroup.com

Ladji DIAKITE est diplm de lINSA de Lyon et de Tlcom Paris Tech il a fait
partie des projets de lINRIA qui ont introduit UNIX en France (projets SOL et
CHORUS sous les directions respectives de Michel GIEN et Hubert
ZIMMERMAN). Il a ensuite mis son expertise UNIX et systmes ouverts au
service tour tour de la banque, du gnie logiciel, de limagerie mdicale puis des
tlcommunications en dirigeant des projets ou dpartements R & D ou encore des
services dassistance aux oprateurs de rseaux. Il est actuellement responsable des
secteurs data et tlcom du syndicat professionnel des fabricants de fils et cbles
nergie et tlcom : ladji.diakite (at) sycabel.com

Michel ELIE, ingnieur ESE, charg de projets de tlmatique la CII partir de


1965, a particip en 1969-70 comme assistant de recherche au groupe rseau NWG
de lUniversit de Californie Los Angles (UCLA), charg de la conception du
rseau Arpanet devenu par la suite Internet.. Il a ensuite t responsable de
larchitecture de rseau de CII et de Bull jusquen 1988 puis associ la direction de
la recherche et du dveloppement avanc de Bull.. A partir de 1995, il sintresse
la prospective de linternet, particulirement concernant ses usages fort potentiel
social et socital. En 1997 il participe la cration Montpellier d une association
but non lucratif , lObservatoire des Usages de lInternet (OUI) et aide plusieurs associations de
terrain utiliser linternet comme vecteur de communication et de dveloppement..
michel.elie (at) wanadoo.fr

Jean Christophe ELINEAU est responsable informatique dans une mutuelle.


Prsident du ple Aquinetic (ple Aquitain de comptences en Logiciels Libres) et
des Rencontres Mondiales du Logiciel Libre 2008 (Mont de Marsan). Il a fond en
2005, Landinux, le Groupe d'Utilisateurs de Logiciels Libres (G.U.L.L.) pour le
dpartement des Landes.
jc.elineau (at) aquinetic.org

Un livre collectif 287 / 296


Franck FRANCHIN, travaille la Direction de la Scurit Groupe de France
Telecom. Spcialiste depuis 20 ans en architectures scurises de systmes civils ou
militaires et en cybercriminalit, il est ingnieur diplm de Suplec et de
l'ENSEEIHT et titulaire d'un MBA de l'ESCP. Il mne aussi des recherches sur la
rsilience des infrastructures vitales dans l'quipe de la Professeure Solange
Ghernanouti-Hlie de la Facult des Hautes Etudes Commerciales de l'Universit
de Lausanne : franck.franchin (at) bbox.fr

Laura GARCIA VITORIA a t enseignante lEcole Nationale


dAdministration, Paris IV -Sorbonne et l'Institut National des
Tlcommunications. Elle dirige aujourdhui, la Fondation des Territoires de
Demain - dont elle assure par ailleurs la direction scientifique -. Elle dirige la Revue
en ligne ARENOTECH et intervient rgulirement dans des rencontres
internationales et livre ses chroniques des portails internationaux.. Auteur de
nombreux libres, articles et confrences, elle est rgulirement consulte par divers
organismes internationaux sur le dveloppement de stratgies bases sur
linnovation, la recherche et la crativit. laura.garcia (at) arenotech.org

Jean-Denis GARO, Directeur Communication et Marketing Support dAastra, est


Titulaire dun DEA Science et Technologie du CSTS, compltant un DUE la
Facult de droit de Bordeaux et une cole de Commerce dans la mme ville.
Il a effectu sa carrire dans les IT, Matra Communication, Nortel Networks,
EADS Telecom et Aastra. Administrateur du Forum ATENA, il est auteur de
plusieurs ouvrages spcialiss. Il intervient dans les domaines touchant
lvolution des usages dans les centres de contacts, les communications unifies et
collaboratives, la tlphonie IP, les solutions de vidoconfrence et les rseaux
sociaux dentreprises. jgaro( at) aastra.com

Grard GAUDIN est Consultant indpendant en Scurit des Systmes


dInformation, initiateur du Club R2GS (Recherche et Rflexion en Gestion
oprationnelle de la Scurit) cr au dbut de lanne 2009. Cette association, dont
lobjectif premier est de mettre au point et de diffuser des pratiques de rfrence en
matire de dmarches SIEM et LID, regroupe au dbut 2011 une trentaine
dorganisations et dentreprises de diffrents secteurs dactivits parmi les plus
avances en France dans le domaine SIEM et LID. Diplm de lcole Suprieure
dlectricit, Il a une longue exprience du marketing stratgique et du management
de centres de profits importants au sein de grandes entreprises. : gerard.gaudin2 (at) wanadoo.fr

Thierry GAUDIN est Ingnieur Gnral des Mines, prsident de Prospective


2100 (http://2100.org). Polytechnique (promotion 1959), Ecole des Mines de
Paris, Docteur en Sciences de linformation et de la communication, Universit de
Paris X Nanterre (2008) : Thse sur travaux : Innovation et prospective : la pense
anticipatrice . Fondateur et directeur du Centre de Prospective et dEvaluation du
Ministre de la Recherche et de la Technologie. Prospective 2100 est une
association internationale ayant pour objectif de prparer des programmes
plantaires pour le 21 sicle. Thierry Gaudin est vice-prsident de la Socit
europenne d'Internet : gaudin (at) 2100.org
Patrick GIROUX est architecte/expert en technologies de linformation et du
Web Smantique au sein du dpartement Traitement de l'information, contrle et
connaissance de Cassidian. Il a rejoint le groupe EADS en 1990 et a particip de
nombreux grands projets industriels en tant quarchitecte et en tant que chef de
projet. Aujourdhui, lessentiel de son activit est consacr la conception, au
dveloppement et la promotion de la plate-forme oriente service WebLab qui
propose une architecture de rfrence pour les systmes ddis la fouille de
documents multi-mdia et au traitement des informations issues de source
ouvertes. Il enseigne galement le gnie logiciel lUniversit de Rouen. patrick.giroux11 (at) gmail.com

Jean-Marc GREMY, aprs une formation militaire dans la Marine Nationale


dbute sa carrire civile au sein de la R&D dAlcatel Business Systems puis se
tourne vers les TIC au sein dAlcatel puis du Groupe Synthlabo. Entrepreneur, il
participe en 1997 lclosion de Cyber Networks et fonde en 2002 Ipelium. Fort
de cette exprience russie de 18 annes dans la technologie, le management et
lentreprenariat, il cr en 2007 un cabinet de conseil indpendant CABESTAN
CONSULTANTS.rsolument tourn vers le conseil et la formation. Il est
instructeur europen pour le cursus CISSP et confrencier pour le Centre de
Formation de lANSSI. jmgremy (at) cabestan-consultants.com

Jean-Yves GRESSER, X62, ENST 67, MSEE MIT (68) a un pass de chercheur
puis de directeur de recherches au CNET, de responsable informatique dans les
tlcom. et la finance (banque, banque centrale, assurance) puis de dircom et de
mercatique sur la toile du premier groupe mondial dassurance crdit (1998-2002).
Depuis, il continue de parrainer des jeunes innovateurs en Europe et aux Etats-
Unis, dans le numrique et le cinma, et dinventer. Il est vice prsident du Black
Forest Group Inc. (NY), membre fondateur de la Socit franaise de
terminologie, membre de plusieurs commissions spcialises de terminologie et de
nologie du dispositif denrichissement de la langue franaise et dautres associations dont le Stro-
Club de France, fond en 1903. jgresser (at) noos.fr

David GROUT est responsable avant vente chez McAfee. Titulaire dun master
en Informatique eBusiness, il est galement titulaire de plusieurs certifications
comme CISSP, Comptia Security +. Il est aujourdhui la tte dune quipe de 5
personnes et gre lensemble du march entreprise en France. Prsent dans le
domaine de la scurit depuis plus de 7 ans il intervient aussi lors de sminaires ou
de parutions dans la presse informatique : David_Grout (at) McAfee.com

Daniel GUINIER est expert en cybercriminalit prs la Cour Pnale


Internationale de La Haye. Docteur s sciences, certifi CISSP, -ISSMP, -ISSAP,
MBCI, expert judiciaire honoraire prs de la Cour d'Appel de Colmar, Lieutenant-
colonel (RC) de la gendarmerie nationale. Il est charg de cours dans plusieurs
universits. Il est l'auteur de plusieurs livres et de nombreuses publications. Il est
Senior member de l'IEEE et de l'ACM, Emeritus member de la New York
Academy of Sciences, membre du BCI et de l'AFSIN. guinier (at) acm.org
Daniel HAGIMONT est Professeur l'Institut National Polytechnique de
Toulouse et membre du laboratoire IRIT (Institut de Recherche en Informatique
de Toulouse), o il anime un groupe de recherche autour des systmes
d'exploitation, des systmes rpartis et des intergiciels. Ses travaux plus rcents
concernent les systmes d'administration autonomes. Il a obtenu un doctorat de
l'Institut National Polytechnique de Grenoble. Aprs une anne postdoctorale
l'Universit de Colombie Britannique (Vancouver), il a rejoint l'INRIA en 1995
comme Charg de Recherche. Il est Professeur depuis 2005. daniel.hagimont (at) enseeiht.fr

Bruno HAMON est fondateur et grant de la socit MIRCA, cabinet de conseil


en scurit du patrimoine informationnel. Avant de crer sa premire entreprise
EXEDIS, qui a rejoint le Groupe LEXSI, il a travaill dans de grands groupes
(SAGEM, SIEMENS, ZIFF DAVIS). Il a particip au lancement du site
RueduCommerce.com. Il prside au sein de lAFNOR le groupe de travail
uvrant sur les Plans de Continuit dActivit. Il est charg de cours lISEP dans
diffrents mastres. Avec 30 annes dexpriences dans les NTIC, il participe de
nombreuses confrences. bhamon (at) mirca.fr

Laurent HESLAULT en tant que Chief Security Strategist, il prsente et


reprsente la stratgie et les solutions Symantec auprs des professionnels et des
entreprises, sensibilise les diffrents publics aux enjeux de la scurit et de la
disponibilit des donnes, et explique notamment la ncessaire protection des
informations confidentielles. Il collabore diffrents groupes de travail prospectif
et technologique sur la scurit, et intervient sur de nombreux vnements
nationaux et internationaux, ainsi quauprs des publics internes de lentreprise,
entre autres, les ingnieurs daffaires Symantec Il a galement pour mission de supporter la
promotion des rapports dits par Symantec tels que lInternet Security Threat Report.Il est un des porte-
paroles officiels auprs des medias sur toutes les problmatiques lies la scurit des entreprises et
des particuliers. laurent_heslault (at) Symantec.Com

Mauro ISRAEL, en chinois , en leet, le langage des hackers


13^/37\/\/1, est expert en scurit des systmes dinformation depuis plus de
25 ans. Il enseigne la sensibilisation la scurit, et effectue du hacking thique et
de nombreux audits de scurit. Diplm de l'Institut Suprieur du Commerce de
Paris, Il a t programmeur de l'Arme Franaise, Master CNE Novell, Microsoft
Certified Professional, ProCSSI de l'INSECA Ple Universitaire Lonard de Vinci
ainsi que ISO27001 Certified Lead Auditor. Il se concentre maintenant sur les
aspects pratiques de la scurit des systmes d'information, les processus d'audit et
de certification, et les plans de continuit dactivit. Auteur de livres et articles
dans des revues spcialises sur la scurit, il est un expert international reconnu
de la scurit, blogueur et confrencier. lenetwizz (at) gmail.com

Dominique LACROIX a une formation initiale de lettres classiques (latin, grec,


sanscrit) et de pdagogie. Aprs avoir travaill dans l'dition, le cinma et le
journalisme, elle a t happe depuis plus de 15 ans par la micro-informatique,
d'abord comme dveloppeur de bases de donnes, puis de sites Internet et de
rseaux sociaux. Elle se dfinit comme scribe. Elle se consacre aussi l'animation
de communauts Internet et l'analyse des enjeux socitaux internationaux de la
gnralisation de l'usage du web. Elle prside depuis 2010 la Socit europenne
d'Internet (http://ies-france.eu) qui a pour objet la pdagogie des questions
souleves par la gouvernance d'Internet. : dl (at) panamo.eu
Mythes et lgendes des TIC

Jean-Michel de LAMEZAN, journaliste en nouvelles technologies, en fait


partager l'actualit et son contexte, dans une approche perspicace mais
enthousiaste. Il commet ses contributions en presse imprime, contenu en ligne et
vnementiel. Ce domaine d'expertise lui vient de sa passion pour les
technologies, qui ne le quitte plus depuis ses loisirs d'enfance, en passant par une
cole d'ingnieurs et un bureau d'tudes en applications lectroniques. En outre, il
participe l'laboration de diffrents projets innovants. journaliste (at) lamezan.info

Michel LANASPEZE est Directeur Marketing et Communication de Sophos


pour lEurope de lOuest. Diplm de Tlcom Paris (ENST) et du MBA de
lINSEAD, il contribue depuis 1996 llaboration et la diffusion de solutions de
scurit pour le Web et les rseaux au sein de Bull, Evidian, UBIqube puis Sophos,
aprs avoir particip la conception de solutions dadministration pour
SITA/Equant et Atos Origin. michel.lanaspeze (at) sophos.fr

SOPHIE de LASTOURS est docteur en Histoire militaire de la Sorbonne,


possde un DESS de droit de la Dfense et est ancienne auditrice du Chear, de
lIHEDN et de lINHES. Elle dirige la collection Histoire de la Dfense aux
Editions lHarmattan et crit des scnarios sur lHistoire du renseignement pour
plusieurs socits de production. Elle a t dsigne en juin 2010 comme expert de
lhistoire du chiffre au sein du Conseil Suprieur de la Formation et de la
Recherche Stratgique. Elle est membre de lARCSI : sophiedelastours (at) hotmail.com

Antonin LE FAUCHEUX est consultant en scurit informatique pour la socit


NBS System. Il ralise des missions de test dintrusion, daudit de scurit et de
conseil. Il participe galement au sein du laboratoire R&D au dveloppement
doutils lis la scurit informatique
antonin.lefaucheux (at) nbs-system.com

Franois LETELLIER, ingnieur, est spcialis dans l'innovation et


l'entrepreneuriat dans les nouvelles technologies de l'information et de la
communication. Il a rejoint l'INRIA pendant quatre ans pour assurer le
dveloppement du consortium international ObjectWeb et la fondation de
l'association OW2, tous deux ddis au middleware open-source. Il intervient
comme expert technico-conomique auprs d'institutions de support l'innovation
au niveau franais et europen, conseille les socits sur leurs dmarches
d'innovation ouverte et leurs politiques logiciel libre / open source, dispense des
cours sur l'conomie du logiciel dans l'enseignement suprieur. Au cours de ses vingt annes
d'exprience, Franois Letellier a cr et dit des progiciels mdicaux et t associ fondateur d'une
socit de service et d'ingnierie informatique.. fl (at) flet.fr

Un livre collectif 2 / 296


Victor LE MANCHEC est diplm de Tlcom Lille 1 et de lINT. Il est
consultant au sein lactivit Scurit et Risk Management du cabinet Solucom,
cabinet de conseil en Systme d'Information et Management. Son cur de mtier
consiste principalement en la ralisation daudits et tests dintrusion (audits
organisationnels, audits techniques : LAN, ToIP, quipements de scurit, sites
Web, virtualisation). En parallle, il a la coresponsabilit de loffre et de la
structure Audits du cabinet Solucom (pilotage des auditeurs, dfinition des
orientations et volutions, rdaction des rponses appels doffre, etc).
victor.lemanchec (at) solucom.fr

Fabrice MATTATIA est ancien lve de lEcole polytechnique, ingnieur de


Tlcom Paris, ingnieur en chef des mines, ainsi que docteur en droit, spcialis
dans le droit du numrique. Il a particip au projet franais de carte didentit
lectronique de 2004 2008, avant de devenir conseiller de la secrtaire dEtat
lconomie numrique en 2009-2010. Il intervient dans plusieurs tablissements
denseignement suprieur et est lauteur de plusieurs articles et contributions dans
des publications aussi bien techniques que juridiques.
Fabrice.Mattatia (at) m4x.org

Lionel MOURER a 23 ans dexprience professionnelle dans les Systmes


dInformation. Aprs Control Data, puis Thomson (Division CSF) Lionel passe
par CF6, avant de crer sa socit (TNT Corp / Linkware). Il rejoint Cap Gemini
Ernst & Young, puis Bull pour crer et dvelopper lactivit Conseil & Audit en
Scurit et Rseau du Systme dInformation. En mai 2009, il prend la direction de
lactivit Conseil dESR, qui devient ESR Consulting en septembre 2009. Outre
son activit de cration / dveloppement de loffre et de direction de lquipe,
Lionel participe de nombreuses avant-ventes et intervient galement en
production sur des missions dexpertise et/ou de conduite de projets complexes. Il intervient en tant
que formateur sur des sujets lis lorganisation de la SSI et la continuit dactivit, au sein de
plusieurs coles dingnieur (TL1, TMSP, Suplec, etc.) ainsi que pour Learning Tree International o
il a adapt pour la France et dispense la formation Plan de reprise aprs sinistre : Assurer la
continuit des services . lionel.mourer (at) esr-consulting.fr

Jean PAPADOPOULO, Ingnieur en automatismes de l'Institut Suprieur de


Mcanique et d'Electricit Sofia (Bulgarie) est titulaire d'un doctorat de la Facult
de Paris. Il a dvelopp chez Bull, une expertise en architecture et dveloppement
de systmes informatiques de gestion ou scientifiques, microprocesseurs et de
systmes dexploitation. Il a t Vice-Prsident du SIEPS (Syndicat des Industries
Exportatrices de Produits Stratgiques) et architecte du projet qui a abouti
Tera10, le systme le plus puissant dEurope en son temps. Il a t conseiller
relations industrielles au laboratoire PriSM, Universit de Versailles et
coordonnateur du projet ANR PARA (Paralllisme et Amlioration du Rendement des Applications).
Actuellement il gre la SARL JP Etudes & Conseil. jean.papadopoulo (at) gmail.com

Jean-Claude PATIN dirige la socit Juritel qu'il a fonde avec ses associs
en 1995. Il est en charge du recouvrement et des nouvelles technologies.
Il a accompagn son premier client internet en 1995 dans le domaine de
l'hbergement (hosting, housing, infogrance, cloud). Il intervient aujourd'hui
essentiellement dans le cadre de mission de coordination et d'expertise pour de
nombreux clients internet (publicit, data-center, applications, jeux en ligne, ...)
Mythes et lgendes des TIC

Grard PELIKS est expert scurit dans le Cyber Security Customer Solutions
Centre de Cassidian, filiale d'EADS. Il prside l'atelier scurit de l'association
Forum ATENA, participe la commission scurit des systmes d'Information de
l'AFNOR et anime un atelier scurit dans le cadre du Cercle d'Intelligence
conomique du Medef de l'Ouest Parisien. Il est membre de l'ARCSI et du Club
R2GS. Grard Peliks est charg de cours dans des coles d'Ingnieurs, sur
diffrentes facettes de la scurit. gerard.peliks (at) cassidian.com

Guy PERROT est responsable normalisation corporate de la socit Nexans


pour les produits tlcoms. Il participe aux travaux de normalisations sur les
produits fibres optiques et haute frquence et sur les protections
lectromagntiques. Responsable normalisation pour les produits tlcoms de
Alcatel Cble, puis de la normalisation du secteur cble tlcom, pour la socit
NEXANS, poste largi aux cbles nergie. Il est prsident de plusieurs comits
CEI, Cenelec et CEF. Guy.Perrot (at) nexans.com

Sadry PORLON est avocat au barreau de Paris


Docteur en droit, il est galement charg denseignements, au sein dune cole de
commerce, notamment, en droit des mdias et de la communication, en droit du
commerce lectronique et du multimdia ainsi quen droit des marques.
avocat (at) porlon.net

Philipe POUX est directeur au sein du cabinet Ellipsa


Spcialiste des nouvelles technologies et de la relation client, prsident de latelier
Solutions Vocales de Forum Atena, fondateur des salons VocalExpo et
MobilePaymentExpo, charg de cours lEcole Centrale dElectronique.
philippe (at) vocalnews.info

Bruno RASLE est dlgu gnral de lAFCDP (Association Franaise des


Correspondants la protection des Donnes caractre Personnel). Il a particip
la cration de la premire entit franaise ddie loptimisation des rseaux et la
gestion des performances en environnement IP et sest consacr ensuite la
protection des donnes stratgiques. Membre du groupe de contact anti-spam mis
en place par la DDM (Direction du Dveloppement des Mdias, services du
Premier ministre). Il intervient dans le cadre du Mastre Spcialis Management et
Protection des Donnes caractre personnel de lISEP. bruno.rasle (at) halte-au-spam.com

Yvon RASTTETER est fondateur et grant de la socit Arts.Soft, start-up qui


conduit des projets trans-disciplinaires dans lesquels cooprent des artistes, des
architectes, des spcialistes des TIC, des enseignants, des formateurs. Il a fait
carrire dans de grandes entreprises en France et aux USA. Depuis 2009, il exerce
une veille technologique sur le logiciel libre dans l'association Forum Atena.
rasteter (at) free.fr

Un livre collectif 2 / 296


Mythes et lgendes des TIC

Paul RICHY est Ingnieur civil des Tlcommunications. Il est en poste la


Direction de la Scurit de France Tlcom - Orange o il travaille plus
particulirement dans le domaine des rfrentiels de scurit. Il enseigne la
scurit de linformation comme vacataire Tlcom ParisTech et
lUniversit de Limoges. Il participe aux travaux de lAFNOR,
particulirement en tant que vice-prsident de la CN 27 SSI (Commission
Nationale 27 sur la scurit des Systmes dInformation). Paul.richy (at) orange-
ftgroup.com

Guillaume REMBERT est ingnieur de Tlcom Lille 1. Il a effectu des stages


puis des emplois : dans l'industrie mtallurgique, la restauration, la communication,
les tlcommunications spatiales et terrestres. Il travaille actuellement mi-temps
au CNRS et ralise une formation entreprenariale l'IAE. Il crera prochainement
une entreprise de tlcommunications (Systmes d'Information et Systmes de
Communications Spatiales).
grembert (at) gmail.com

Guillaume RIBORDY dirige la socit ID Quantique, qu'il a cofonde Genve


en 2001. Il a particip en 2007 au premier dploiement pratique d'une solution de
cryptographie quantique pour le compte du gouvernement genevois. Avant de se
lancer dans cette aventure commerciale, il a tudi la physique l'Ecole
Polytechnique Fdrale de Lausanne et obtenu son doctorat de l'Universit de
Genve. Ses travaux de recherche ont port sur les applications pratiques des
technologies quantiques de l'information, comme la cryptographie quantique et les
gnrateurs quantiques d'alas. Grgoire Ribordy a tudi et travaill en Allemagne,
au Canada, aux Etats-Unis et au Japon.

Nicolas RUFF est chercheur au sein de la socit EADS.


Il est l'auteur de nombreuses publications sur la scurit des technologies
Microsoft dans des revues spcialises telles que MISC. Il dispense rgulirement
des formations sur le sujet et participe des confrences telles que SSTIC, les
Microsoft TechDays ou la JSSI de l'OSSIR.
nicolas.ruff (at) eads.net

Yanis TAIEB est spcialiste des mdia et rseaux sociaux. Diplom de lESG,
puis chef dentreprises, il forme les dirigeants et les cadres dirigeants la mise en
uvre stratgique des mdia sociaux et accompagne les entreprises dans leur
dploiement sur ces nouveaux mdia. Il anime des confrences et des tables
rondes ainsi que des ateliers sur le sujet. Il est lauteur du Blog :
www.mediasociaux.net, source danalyses sur ce phnomne qui connat un
dveloppement spectaculaire. yanis.taieb (at) winesight.fr

Un livre collectif 3 / 296


Mythes et lgendes des TIC

Laurent TREILLARD est diplm d'un master Scurit des Systmes


d'Information et de la certification Lead Auditor ISO/CEI 27001. Ces activits
principales sont la gestion globale des risques, le Plan de Continuit d'Activits
(PCA) et la Scurit des Systmes d'Information (SSI). Il exerce en tant que
consultant organisationnel et auditeur scurit dans la gouvernance des risques
principalement dans le secteur tertiaire et les administrations. Il est charg
denseignement en cole dingnieurs et universits et il est aussi co-auteurs dans les
livres collectifs du forum Atena. contact (at) auditsecu.info

Philippe VACHEROUT est prsident de Capucine.net


Entr la Cnamts en 1975, il est l'initiative de la cration des Centres de
traitements lectronique inter-caisses et des Centres de traitement informatique de
Saint-Etienne, Troyes et Rouen. La carte puce citoyenne Capucine est une carte
sans contacts, acoustique. Le son mis est diffrent chaque fois, donc impossible
dcrypter.
phvacheyrout (at) capucine.net

Franois ZAMORA Ingnieur de l'ENST Bretagne et de l'institut Eurecom, aprs


deux ans aux Etats Unis chez Spot Image Corporation dans le dveloppement des
ventes de cartographie numrique issue des images satellites SPOT pour le secteur
dfense et tlcom amricain, il est recrut par Sofrcom, Groupe France Telecom,
puis par la maison-mre, en division grands comptes, secteur industrie, pour le
dveloppement du chiffre d'affaire partir d'offres innovantes, puis comme
responsable veille oprationnelle la Direction de la Scurit du Groupe. Certifi
CISSP, Lead Implementer 27001, Lead Auditor 27001, il enseigne dans plusieurs coles d'Ingnieurs.
francois.zamora (at) orange-ftgroup.com

Un livre collectif 4 / 296


Mythes et lgendes des TIC

Les ides mises dans ce livre nengagent que la responsabilit de leurs auteurs et pas celle de Forum ATENA.
La reproduction et/ou la reprsentation sur tous supports de cet ouvrage, intgralement ou partiellement est autorise la
condition d'en citer la source comme suit :
Forum ATENA 2011 Mythes et lgendes des TIC
Licence Creative Commons
- Paternit
- Pas dutilisation commerciale
- Pas de modifications
L'utilisation but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites sans
la permission crite de Forum ATENA.

Un livre collectif 5 / 296

Anda mungkin juga menyukai