expose les dangers de l'informatique

« Sommaire   1/ Mesure des risques o Risques humains o Risques techniques o Risques juridiques 2/ Liste des risques o Programmes malveillants o Techniques d'attaque par messagerie o Attaques sur le réseau o Attaques sur les mots de passe 1 EXPOSE Thème : LES DANGERS LIES A L’INFORMATIQUE I) Définition de l’Informatique L'informatique est le domaine d'activité scientifique, technique et industriel concernant le traitement automatique de l'information via l’exécution de programmes informatiques par des machines : des systèmes embarqués, des ordinateurs, des robots, des automates, etc.

... Elle est aussi définit comme une science du traitement rationnel, notamment par machines automatiques, de l'information considérée comme le support des connaissances humaines et des communications dans les domaines technique, économique et social`` Mesure des risques Il importe de mesurer ces risques, non seulement en fonction de la probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant leurs effets possibles.

Ces effets, selon les circonstances et le moment où ils se manifestent, peuvent avoir des conséquences négligeables ou catastrophiques.

Parfois, le traitement informatique en cours échoue, il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ; parfois l’incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris.

Mais ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :  données irrémédiablement perdues ou altérées, ce qui les rend inexploitables ;  données ou traitements durablement indisponibles, pouvant entraîner l’arrêt d’une production ou d’un service ; 2 divulgation d’informations confidentielles ou erronées pouvant profiter  à des sociétés concurrentes ou nuire à l’image de l’entreprise ; déclenchement d’actions pouvant provoquer des accidents physiques  ou induire des drames humains. À l’ère de la généralisation des traitements et des échanges en masse, on imagine assez bien l’impact que pourraient avoir des événements majeurs comme une panne électrique de grande ampleur ou la saturation du réseau Internet pendant plusieurs heures. Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés et il existe des parades pour la plupart d’entre eux.

On peut citer en exemple les précautions prises peu avant l’an 2000 qui, même si la réalité du risque a parfois été (et reste aujourd’hui) controversée, ont peut-être évité de graves désagréments. Chaque organisation, mais aussi chaque utilisateur, a tout intérêt à évaluer, même grossièrement, les risques qu’ils courent et les protections raisonnables qu’ils peuvent mettre en œuvre.

Dans le monde professionnel, les risques et les moyens de prévention sont essentiellement évalués en raison de leurs coûts.

Il est par exemple évident qu’une panne qui aurait pour conséquence l’arrêt de la production d’une usine pendant une journée mérite qu’on consacre pour la prévenir une somme égale à une fraction de la valeur de sa production quotidienne ; cette fraction sera d’autant plus importante que la probabilité et la fréquence d’une telle panne sont élevées. o 1.1Risques humains 3 Les risques humains sont les plus importants, même s’ils sont le plus souvent ignorés ou minimisés.

Ils concernent les utilisateurs mais également les informaticiens eux-mêmes.  La maladresse : comme en toute activité, les humains commettent des erreurs ; il leur arrive donc plus ou moins fréquemment d’exécuter un traitement non souhaité, d’effacer involontairement des données ou des programmes, etc.  L’inconscience et l'ignorance : de nombreux utilisateurs d’outils informatiques sont encore inconscients ou ignorants des risques qu’ils encourent aux systèmes qu’ils utilisent, et introduisent souvent des programmes malveillants sans le savoir.

Des manipulations inconsidérées (autant avec des logiciels que physiques) sont aussi courantes.  La malveillance : aujourd’hui, il serait quasiment inconcevable de prétexter l’ignorance des risques sus-cités, tant les médias ont pu parler des différents problèmes de virus et de vers ces dernières années (même s’ils ont tendance, en vulgarisant, à se tromper sur les causes et les problèmes).

Ainsi, certains utilisateurs, pour des raisons très diverses, peuvent volontairement mettre en péril le système d’information, en y introduisant en connaissance de cause des virus (en connectant par exemple un ordinateur portable sur un réseau d’entreprise), ou en introduisant volontairement de mauvaises informations dans une base de données.

De même il est relativement aisé pour un informaticien d’ajouter délibérément des fonctions cachées lui permettant, directement ou avec l’aide de complices, de détourner à son profit de l’information ou de l’argent.  L’ingénierie sociale : l’ingénierie sociale (social engineering en anglais) est une méthode pour obtenir d’une personne des informations confidentielles, que l’on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d’autres fins (publicitaires par exemple).

Elle consiste à se faire passer pour quelqu’un que l’on n'est 4 pas (en général un administrateur) et de demander des informations personnelles (nom de connexion, mot de passe, données confidentielles, etc.) en inventant un quelconque prétexte (problème dans le réseau, modification de celui-ci, heure tardive, etc.).

Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par courriel, soit en se déplaçant directement sur place.  L’espionnage : l’espionnage, notamment industriel, emploie les mêmes moyens, ainsi que bien d’autres (influence), pour obtenir des informations sur des activités concurrentes, procédés de fabrication, projets en cours, futurs produits, politique de prix, clients et prospects, etc.  Le détournement de mot de passe : un administrateur système ou réseau peut modifier les mots de passe d’administration lui permettant de prendre le contrôle d'un système ou d’un réseau.

(voir le cas de Terry Childs).  Le sabotage : il vise la mise hors service d’un SI ou de l'une de ses composantes en portant atteinte à l'intégrité des données et surtout à la disponibilité des services.  L’écoute : elle consiste à se placer sur un réseau informatique ou de télécommunication pour collecter et analyser les informations ou les trames qui y circulent.  La fraude physique : elle consiste à accéder à l'information par copie illégale des supports physiques ( bandes magnétiques, disquettes, disques classiques ou optiques, listings rangés ou abandonnés imprudemment dans les bureaux, armoires, tiroirs...).  L’interception : c’est un accès avec modification des informations transmises sur les voies de communication avec l’intention de détruire les messages, de les modifier, d’insérer des nouveaux messages, de provoquer un décalage dans le temps ou la rupture dans la diffusion des messages. 5  Le vol de matériels : concerne les ordinateurs et en particulier les ordinateurs portables.  L’analyse de supports recyclés ou mis au rebut : "fouille" des poubelles ou des archives d’une organisation ou détournement des processus de maintenance.  Le chantage : menace exercée vis-à-vis d'une personne privée ou d'une organisation en vue d’extorquer une information « sensible ».  L’abus de droit : caractérise le comportement d’un utilisateur bénéficiaire de privilèges systèmes et/ou applicatifs qui les utilise pour des usages excessifs, pouvant conduire à la malveillance.  L’accès illégitime : lorsqu’une personne se fait passer occasionnellement pour une autre en usurpant son identité.  Le déguisement : désigne le fait qu’une personne se fait passer pour une autre de façon durable et répétée en usurpant son identité, ses privilèges ou les droits d'une personne visée.  Le rejeu : variante du déguisement qui permet à un attaquant de pénétrer un SI en envoyant une séquence de connexion d'un utilisateur légitime et enregistrée à son insu.  La substitution : sur des réseaux comportant des terminaux distants, l’interception des messages de connexion-déconnexion peut permettre à un attaquant de continuer une session régulièrement ouverte sans que le système ne remarque le changement d’utilisateur.  Le faufilement : cas particulier où une personne non autorisée franchit un contrôle d’accès en même temps qu'une personne autorisée.  Le reniement (ou répudiation) : consiste pour une partie prenante à une transaction électronique à nier sa participation à tout ou partie de l'échange d'informations, ou à prétendre avoir reçu des informations différentes (message ou document) de ceux réputés avoir été réalisés dans le cadre du SI. 6 Dans les approches de type ingénierie des connaissances, le capital humain est considéré comme l’une des trois composantes du capital immatériel de l’entreprise Risques techniques Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels.

Ces incidents sont évidemment plus ou moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et les programmes.... »