Internet et Entreprise : Mirages et opportunitÃ©s - Base de ...

More documents

Recommendations

Info

Internet et PMI JM Yolin lundi 29 octobre 2001 C:\WINDOWS\TEMP\&1028MIRAGE2001.DOC 55Notons également qu'il faut se poser la question de savoir ce que l'on signe effectivement (ce sur quoi on s'engage):n'oublions pas qu'un document issu d'un traitement de texte comme word par exemple contient un nombre considérabled'informations cachées sur le document (comme par exemple l'historique des modifications).Dans ces conditions il est plus prudent de limiter sa signature àce que l'on peut lire et donc de recourir àdes formats quireprésentent seulement l'image du document (comme le formar ".pdf" par exemple)1.4.2.4.4 Vers une valeur juridique aussi forte que le papier, aux niveaux mondial, européen et nationalA coté du travail technique et organisationnel une intense activité a été déployée au niveau international pour conféreràla signature électronique une valeur probante juridique équivalente àla signature manuscrite1996 au niveau mondial la Commission des Nations Unies pour le Droit Commercial International (CNUDCI) acommencé àélaborer une loi de référence : ce projet devrait être prochainement définitivement adopté1999 au niveau européen : c'est la directive du 12 décembre 1999 qui définit les règles àrespecter par la signatureélectronique pour qu'elle bénéficie d'une reconnaissance juridique. Elle précise la notion de "signature électroniqueavancée", plus exigeante en terme de "contrôle d'identité" et de sécurité des processus de cryptage employéshttp://europa.eu.int/comm/internal_market/en/media/sign2000 au niveau national : c'est le 13 mars 2000 que la loi a modifié notre Code Civil redéfinit la notion même de signature(www.internet-juridique.net/cryptographie/preuve.html):"la signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste leconsentement des parties aux obligations qui découlent de cet acte"Elle renvoie àdeux Décrets qui formalisent les exigences d'un procédé de signature électronique afin que celui-ci puisseêtre considéré conforme àce principe. Un premier décret a été pris le 30 mars 2001, il précise en particulier les notions designature "avancée" et "sécurisée" et de logiciel "certifié", de certificat "qualifié", de prestataire "accrédité," tout en s'efforçantde rester au niveau des principes pour ne pas figer la technologie (ainsi pourront être ultérieurement intégrés des paramètresbiométriques (photo, iris, fond de rétine, signature manuscrite dynamique, empreinte digitale, ADN,…)Ce décret renvoie lui-même àdes arrêtés devant préciser les modalités techniques et organisationnelles, notammentla mise en place d'un comité de certification voir www.internet.gouv.fr/francais/textesref/pagsi2/signelectNe doutons pas que ces textes seront complétés par une abondante jurisprudence (homonymes, responsabilité civileet pénale des prestataires, …)1.4.2.5 Les méthodes basées sur le cryptage sont elles sures?Bien entendu la clef secrète peut être en principe calculée àpartir de la clef publique par essai de toute les combinaisonspossibles. Il en va de même pour les clés symétriquesLes clés de 40 bits jusque récemment seule autorisée en France (pour les algorithmes symétriques, ce qui correspondapproximativement à512 bit pour les algorithmes asymétriques comme RSA), ne résistaient que quelques secondes àunordinateur puissant. Mais il faut, avec les puissances de calcul actuelles, un temps quasi infini pour des clefs à128 bitsutilisées en Allemagne ou aux Etats-Unis et maintenant en France depuis la décision du Premier Ministre le 19 janvier 1999et le décret du 17 mars 1999Bruce Schneier (counterpane.com/mime.html ) a développé un économiseur d'écran qui vient àbout en quelques heuresdes clefs RC-2 de 40 bits utilisées par Netscape ou Microsoft, en profitant tout simplement des périodes d'inactivité desmicro-ordinateurs d'un petit réseau tel qu'on peut le trouver dans une entreprise de taille moyenne (une centaine demachines).Les clefs de 56 bits ont nécessité la mise au point par John Gilmore, pour 250 M $ d'un ordinateur spécialisé "deep crack"et seuls les USA, ànotre connaissance, sont aujourd'hui capables, dans des délais raisonnables, de casser de telles clefs:en 22h15 deep crack, associé à100.000 ordinateur organisés en réseau a réussi le 18 janvier 1999 àcasser le code entestant 250 milliards de clés par secondeUne clef de 128 bits nécessite théoriquement 40 milliards de milliards de fois plus d'essai qu'une de 40bits : « enmobilisant dans un gigantesque réseau tous les ordinateurs de la planète il faudrait plusieurs siècles pour la casser » (Jean-Noël Tronc, Cabinet du Premier Ministre). Même si les capacités de calcul doublent chaque année il semble que pourquelque temps encore ce niveau de cryptage permet une bonne sécuritéMême si le progrès technique va vite on peut penser que ce type de clé apporte une vraie sécurité pour encore denombreuses années (àcondition bien entendu de s'assurer que le logiciel utilisé ne comporte pas de "trous" de sécurité,ce qui serait probable pour une fourniture provenant d'un des pays participant au système Echelon voir page 254Jusqu'àaujourd'hui, en France, pour des considérations de sécurité extérieure et intérieure de l'Etat le cryptage desdonnées était réglementé de façon très restrictive.Enfin n'oublions pas que la protection des données ne doit pas concerner que les flux (les messages) mais aussi lesstocks (la mémoire de l'entreprise). Se faire voler un micro ordinateur dont le disque dur non crypté serait lisible pourrait serévéler catastrophique. Même chose en cas d'intrusion sur le système informatique central: l'expérience montre que lepirate vise les archives plus que les échangesVoir www.aui.fr , www.crypto.com1.4.2.6 Enjeux pour les entreprise et pour le pays de la réglementation de la cryptographie'Depuis toujours la cryptographie, considérée comme une arme de guerre susceptible d'être utilisée par des gangsterdes mafias ou des terroristes, a fait l'objet dans notre pays jusqu'àune période très récente d'une réglementation très strictedans ses principesCette situation était d'autant plus paradoxale que sous le noble dessein de protéger l'Etat, paradoxalement oncréait une vulnérabilité systémique pour notre économie en interdisant ànos entreprises de se protéger et eninhibant le développement de produits de cryptage (qui ne pouvaient espérer trouver une rentabilité sur unmarché aussi étroit, et ce d'autant plus que l'absence de consensus sur les règles ne pouvait que rendredubitatif sur leur pérennité)
Internet et PMI JM Yolin lundi 29 octobre 2001 C:\WINDOWS\TEMP\&1028MIRAGE2001.DOC 56Il était en outre difficile d'imaginer, dans la mesure où le commerce électronique se développe, que ces règlesne soient pas harmonisées au sein du grand marché unique européen, et donc libéralisées.La loi encore actuellement en vigueur, même si le récent décret en a neutralisé les éléments les plus pénalisants(longueur des clefs) devra être modifiée prochainement comme l'a annoncé le Premier Ministre.D'autant plus que certains pensent que ces règlent ne gênent guère que les entreprises honnêtes : ils doutent en effetque les organisations maffieuses se soumettent aux formalités légales et des logiciels comme Visual Encryptionwww.fitin.com, S-Tool, White-Noise, Storm ou Steghide incluent les messages cryptés au sein d'anodines photos defamille permettant difficilement de détecter qu'un morceau de ciel gris contient un message codé….D'après plusieurs analystes cités par la presse anglosaxonne cette technique, la Stéganographie, a été utilisée par leréseau terroriste àl'origine de l'attaque du 11 septembre sur Manhattan dans le réseau JOL (Jihad On Line), notammentdans les "flous artistiques" des photos de sites "pour adulte":pour pouvoir décrypter un message encore faut-il détecter qu'il y en a un: www.bugbrother.com/security.tao.ca/stego.htmlpour voir une démo : www.neobytesolutions.com/invsecr/index.htmIl n'y a aucune restriction chez la plupart de nos partenaires :Aux Etats Unis le gouvernement fédéral a été contraint par la cour suprême àautoriser les logiciels de cryptage les pluspuissants. , début 1999 un juge Fédéral, Marilyn Hall Patel, déclarait inconstitutionnelles les restrictions àl'exportation deslogiciels de cryptage dans un jugement qui pourrait faire date et une décision analogue a été prise le 6 mai 1999 par untribunal Californien.Les Anglais qui étudiaient l'éventualité d'instaurer une réglementation du cryptage ont annoncé en 2000 qu'ils enabandonnaient le projet.Notons d'ailleurs que d'ores et déjà cette interdiction ne porte que sur la version électronique : pour des raisonsconstitutionnelles l'exportation de l'algorithme sous forme papier est libre, et un norvégien l'a renumérisé avec un scannerpour le mettre àla disposition de chacun de façon tout àfait légale (plus simplement d'ailleurs, on peut se la procurer dansn'importe quel pays du monde en respectant les règles édictées par l'administration américaine, si on choisit un providerfiliale d'une compagnie ayant son siège aux USA...)Comment imaginer par exemple des appels d'offre européens sur Internet avec des réponses nécessairementcryptées équivalent de l'enveloppe cachetée, auxquels des entreprises françaises ne pourraient pas soumissionnerlégalement.1.4.2.7 Des solutions pour sécuriser les transactions financières, problème des vol de numéros de carte de créditSi personne ne rapporte le cas de vols, pendant leur transmission, de numéros de cartes protégées par le cryptagestandard (SSL), on ne compte plus le nombre de magasins ou de banques "dévalisées" de leurs précieux fichiers de cartesde crédit, que les achats aient été fait dans un magasin, par téléphone, par fax ou par Internet: le problème de sécuritéest beaucoup plus lié àla carte bancaire qu'àInternet mais il n'en reste pas moins que ce sentiment d'insécurité, mêmeinjustifié handicape le paiement en ligne (d'autant plus que les responsables des cartes bancaires sont souvent tentésd'imputer àInternet leurs propres insuffisances)Un pirate a été jugé aux USA fin 1997 pour le vol de pas moins de 100.000 numéros de cartes de crédit... mais, il faut lesouligner, ce vol avait eu lieu dans les fichiers du marchand et non sur Internet,En janvier 2000 c'est 25 000 numéros de cartes toutes les coordonnées qui sont volées par un pirate Russe de 18 ansdans une firme de CDle 8 septembre 2000 c'est la Banque Western Union qui se fait voler les coordonnées de 15 700 cartes de crédit, demême que dans le conflit du Kosovo, selon les média, la CIA avait projeté de s'attaquer aux banques dans lesquelles sontles avoirs du dirigeant Serbe et non àses virements.Comme le soulignent la plupart des spécialistes, il s'agit bien davantage d'un problème psychologique que d'uneappréciation réaliste des risques (Voir aussi page 93), certaines personnes, réticentes àutiliser leur carte de crédit surInternet n'hésitant pas àdonner leur numéro de carte par fax ou téléphone ce qui est infiniment plus risqué!Il est en effet aujourd'hui beaucoup plus dangereux de communiquer un numéro de carte bancaire par fax, téléphoneou minitel que par Internet, même avec un simple cryptage SET ou SSL (Secure Socket Layer) à40 bits, …sans parler durisque d'indiscrétion lors de paiements dans les magasins ou restaurants (Netsurf de février 99 signale en particulier le risquede vol de numéros de cartes dans les hôtels des pays de l'Est qui est sans commune mesure avec un vol sur Internet).On ne peut néanmoins que constater les blocages que cette question entraîne et il est impératif de mettre en place desmoyens qui permettent de ramener la confiance1.4.2.7.1 La carte àpuce et e-card (carte virtuelle dynamique ou CVD)Aujourd'hui le protocole le plus utilisé pour payer en transmettant le N° de sa carte de crédit est SSL (Secure SocketLayer, créé par Netscape) il est installé en standard dans la plupart des navigateurswww.commentcamarche.net/crypto/ssl.php3Les banques essayent en réponse au niveau international de faire accepter, sans grand succès jusqu'àle protocole SETwww.setco.org (qui permet une reconnaissance mutuelle de l'accréditation des acteurs du paiement) mais dont le rapportsécurité/contraintes d'emploi/prix n'a pas convaincu ni les marchands ni les consommateurs:"SET is close to dead, today it creates no value for merchant and no value for client" avons nous entendu de la bouche deBill Finkelstein de la Wells Fargo, analyse partagée par Nicole Vanderbilt de Jupiter communication: "SET won'thappen" séminaire Aftel NY nov 98En 97 a démarré en France un projet de système de paiements sécurisés qui vise àrenforcer encore la sécurité encouplant au cryptage par logiciel, celui de la carte àpuce (Notons que dans ce domaine notre pays ne semble pas en retardpuisque d'après Marc Lassus, PDG de Gemplus, la part de l' industrie française dans l'industrie mondiale de la carte àpuceest de... 90 %.),Les projets Cybercard et e-comm lancés en 1997 conformes àla norme C-set regroupant notamment le Crédit Agricole,le Crédit Mutuel, les Banques Populaires, le CIC, la Poste et les Caisses d'Épargne. En 1998 tous les acteurs de l'univers
Page 1 and 2:
INTERNET ET ENTREPRISEMirages et op
Page 4 and 5:
1 L'Internet en deux mots 161.1 Le
Page 6: Internet et PMI JM Yolin lundi 29 o
Page 10 and 11: Internet et PMI JM Yolin lundi 29 o
Page 14: Internet et PMI JM Yolin lundi 29 o
Page 80 and 81: avecInternet et PMI JM Yolin lundi
Page 106 and 107:
Internet et PMI JM Yolin lundi 29 o
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
sousInternet et PMI JM Yolin lundi
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128 and 129:
Page 130 and 131:
Page 132 and 133:
Page 134 and 135:
Page 136 and 137:
(uneouInternet et PMI JM Yolin lund
Page 138 and 139:
Page 140 and 141:
jeuneInternet et PMI JM Yolin lundi
Page 142 and 143:
parInternet et PMI JM Yolin lundi 2
Page 144 and 145:
Page 146 and 147:
Page 148 and 149:
ontInternet et PMI JM Yolin lundi 2
Page 150 and 151:
Page 152 and 153:
Page 154 and 155:
Page 156 and 157:
Page 158 and 159:
Page 160 and 161:
Page 162 and 163:
Page 164 and 165:
Page 166 and 167:
Page 168 and 169:
Page 170 and 171:
Page 172 and 173:
qui,Internet et PMI JM Yolin lundi
Page 174 and 175:
Page 176 and 177:
Page 178 and 179:
Page 180 and 181:
Page 182 and 183:
Page 184 and 185:
Page 186 and 187:
Page 188 and 189:
Page 190 and 191:
Page 192 and 193:
Page 194 and 195:
Page 196 and 197:
Page 198 and 199:
quiInternet et PMI JM Yolin lundi 2
Page 200 and 201:
Page 202 and 203:
enInternet et PMI JM Yolin lundi 29
Page 204 and 205:
Page 206 and 207:
Page 208 and 209:
Page 210 and 211:
Page 212 and 213:
Page 214 and 215:
Page 216 and 217:
Page 218 and 219:
Page 220 and 221:
Page 222 and 223:
n'aquiInternet et PMI JM Yolin lund
Page 224 and 225:
Page 226 and 227:
Page 228 and 229:
Page 230 and 231:
Page 232 and 233:
Page 234 and 235:
(730M$Internet et PMI JM Yolin lund
Page 236 and 237:
Page 238 and 239:
egroupeInternet et PMI JM Yolin lun
Page 240 and 241:
Page 242 and 243:
Page 244 and 245:
Page 246 and 247:
Page 248 and 249:
Page 250 and 251:
Page 252 and 253:
Page 254 and 255:
Page 256 and 257:
citéInternet et PMI JM Yolin lundi
Page 258 and 259:
Page 260 and 261:
Page 262 and 263:
Page 264 and 265:
Page 266 and 267:
Page 268 and 269:
Page 270 and 271:
Page 272 and 273:
Page 274 and 275:
Page 276 and 277:
Page 278 and 279:
Page 280 and 281:
Page 282 and 283:
Page 284 and 285:
Page 286 and 287:
Page 288 and 289:
Page 290 and 291:
Page 292 and 293:
Page 294 and 295:
Page 296 and 297:
Page 298 and 299:
Page 300 and 301:
Page 302 and 303:
Page 304 and 305:
Page 306 and 307:
apport de mission GP&&bInternet et
Page 308 and 309:
Page 310 and 311:
show all

Internet et Entreprise : Mirages et opportunitÃ©s - Base de ...

Create successful ePaper yourself

Delete template?

Save as template?