Embed Size (px)
Citation preview
11
SSéécuritcuritéé & vie priv& vie privééeeàà ll’è’ère digitalere digitale
Source : [URL 1]
Nom: Zbigniew Rakowski Date: 15 mars, 2006CoursCours:: IFT6261IFT6261
22
ContenuContenu
Historique de la sHistorique de la séécuritcuritééActeurs Acteurs Vol dVol d’’identitidentitééPhishingPhishing ((hamehameççonnageonnage))ConclusionConclusionRRééfféérences & rechercherences & recherche
33
Historique de la sHistorique de la séécuritcuritéé
Algorithme de CAlgorithme de Céésar (sar (~55 B.C.)~55 B.C.)
Encrypter: E(x) = ( x + n ) Encrypter: E(x) = ( x + n ) modmod 2626DDéécrypter: D(x) = ( x crypter: D(x) = ( x –– n ) n ) modmod 2626
x: un caractx: un caractèèreren: le dn: le déécalagecalage
Exemple: Si n = 3 alors on a le chiffrement suivant:Exemple: Si n = 3 alors on a le chiffrement suivant:““zedzed”” => => ““chichi””
44
Historique de la sHistorique de la séécuritcuritéé
EnigmaEnigma (machine cryptographique) (machine cryptographique) -- UtilisUtiliséée entre 1918 et 1945e entre 1918 et 1945
surtout par la marine allemandesurtout par la marine allemande-- PremiPremièère version brisre version briséée en 1932e en 1932-- Version amVersion amééliorlioréée brise briséée 1943e 1943
Grâce Grâce àà cet exploit, plusieurs cet exploit, plusieurs vies allivies alliéées ont pu être sauves ont pu être sauvéées.es. Source : [URL 2]
55
DDééfinitionsfinitions
Data security:Data security: ““[The] protection of data from unauthorized [The] protection of data from unauthorized (accidental or intentional) modification, destruction, or (accidental or intentional) modification, destruction, or disclosure.disclosure.”” [URL 3][URL 3]
Privacy:Privacy: ““ability of an individual or group to stop information ability of an individual or group to stop information about themselves from becoming known to people other than about themselves from becoming known to people other than those whom they choose to give the information. Privacy can those whom they choose to give the information. Privacy can be seen as an aspect of security.be seen as an aspect of security.”” [URL 4] [URL 4]
66
ActeursActeurs
Qui veut connaQui veut connaîître nos donntre nos donnéées prives privéées ?es ?
4 grandes classes:4 grandes classes:-- Les compagnies,Les compagnies,-- LL’’entourage,entourage,-- Le gouvernement,Le gouvernement,-- Les criminels de mLes criminels de méétier.tier.
77
Acteurs : les compagniesActeurs : les compagnies
Qui ?Qui ?-- àà peu prpeu prèès ns n’’importe quelle compagnie qui offre un service aux clients.importe quelle compagnie qui offre un service aux clients.
Pourquoi ? Pourquoi ? -- prpréédire/connadire/connaîître mieux les prtre mieux les prééfféérences des clients.rences des clients.
Comment ?Comment ?-- cookies, formulaires, achats effectucookies, formulaires, achats effectuéées, recherches (moteur de recherche).es, recherches (moteur de recherche).
Se protSe protééger ?ger ?-- vvéérifier les politiques en matirifier les politiques en matièère de protection de la vie privre de protection de la vie privéée, fournir les e, fournir les
donndonnéées si cela est absolument nes si cela est absolument néécessaire, fournir les donncessaire, fournir les donnéées errones erronéées, es, effacer les cookies.effacer les cookies.
88
Acteurs : lActeurs : l’’entourageentourage
Qui ?Qui ?-- collcollèègues de travail, familles, amis.gues de travail, familles, amis.
Pourquoi ? Pourquoi ? -- curiositcuriositéé humaine, voler les idhumaine, voler les idéées pour un devoir/projet/travaille, jalousie.es pour un devoir/projet/travaille, jalousie.
Comment ?Comment ?-- deviner un mot de passe, installer un deviner un mot de passe, installer un «« keykey--loggerlogger »»..
Se protSe protééger ?ger ?-- choisir les mots de passes schoisir les mots de passes séécuritaires, ne pas utiliser ses comptes sur curitaires, ne pas utiliser ses comptes sur
nn’’importe quelle machine, effacer la mimporte quelle machine, effacer la méémoire cache.moire cache.
99
Acteurs : le gouvernementActeurs : le gouvernement
Qui ?Qui ?-- police, agences fpolice, agences fééddéérales.rales.
Pourquoi ?Pourquoi ?-- sséécuritcuritéé nationale et locale.nationale et locale.
Comment ?Comment ?-- interception des signaux interception des signaux éélectroniques.lectroniques.
Se protSe protééger ?ger ?-- rester du bon côtrester du bon côtéé de la loi!de la loi!
1010
Acteurs : les criminels de mActeurs : les criminels de méétiertier
Qui ?Qui ?-- individus ou groupes criminalisindividus ou groupes criminaliséés.s.
Pourquoi ?Pourquoi ?-- gains financiers. gains financiers.
Comment ?Comment ?-- hacking, extorsion, vol dhacking, extorsion, vol d’’identitidentitéé ((phishingphishing).).
Se protSe protééger ?ger ?-- ss’’assurer de faire les mises assurer de faire les mises àà jour de nos logiciels, compter sur un systjour de nos logiciels, compter sur un systèème de me de
sséécuritcuritéé efficaceefficace
1111
Vol dVol d’’identitidentitéé
«« Le Le vol dvol d’’identitidentitéé est caractest caractéérisriséé par la collecte non par la collecte non autorisautoriséée et le et l’’utilisation frauduleuse des renseignements utilisation frauduleuse des renseignements personnels dpersonnels d’’un individu. La victime dun individu. La victime d’’un vol dun vol d’’identitidentitéésubit des pertes financisubit des pertes financièères, un prres, un prééjudice judice àà sa sa rrééputation, souffre de trouble putation, souffre de trouble éémotionnel et doit motionnel et doit ss’’efforcer de clamer son innocence, tâche compliquefforcer de clamer son innocence, tâche compliquéée et e et souvent ardue.souvent ardue. »» [R[Rééf: f: LawsonLawson, , LawfordLawford 20032003]]
1212
Vol dVol d’’identitidentitéé
Aux Aux ÉÉtatstats--unis en 2004:unis en 2004:-- 9.3 millions de victimes.9.3 millions de victimes.-- Perte moyenne de plus de $ 5700 par victime.Perte moyenne de plus de $ 5700 par victime.
Source : [URL 5]
1313
Vol dVol d’’identitidentitéé
Source : [URL 6]
1414
PhishingPhishing
PhishingPhishing : : act of tricking someone into giving them act of tricking someone into giving them confidential information or tricking them into doing confidential information or tricking them into doing something that they normally wouldnsomething that they normally wouldn’’t do or t do or shouldnshouldn’’t do. t do. [URL 7][URL 7]
Source : [URL 8]
1515
PhishingPhishing : attaque: attaque
ÉÉtape 1: concevoir une page frauduleusetape 1: concevoir une page frauduleuse
Source : [URL 9]
1616
PhishingPhishing : attaque: attaque
ÉÉtape 2: concevoir un message frauduleuxtape 2: concevoir un message frauduleux
Les 3 parties du message sont:Les 3 parties du message sont:
--LL’’information dinformation déécrivant le problcrivant le problèèmeme--LL’é’échchééanceance--Le lien vers le site frauduleuxLe lien vers le site frauduleux--
Source : [URL 9]
1717
PhishingPhishing : attaque: attaque
DDééroulement droulement d’’une attaque:une attaque:
Victime Page web frauduleuse
Entrepôt des données saisies
Source ducourriel
1818
PhishingPhishing : attaque: attaque
Techniques dTechniques d’’attaque :attaque :SimilarSimilar--namename--attackattack ::
-- exemple : exemple : www.security.httpswww.security.https--paypal.compaypal.com vise vise àà être confondu avec être confondu avec www.paypal.comwww.paypal.com
IPIP--addressaddress attackattack ::-- exemple : exemple : http://62.132.45.66http://62.132.45.66/paypal/paypal--security.html vise security.html vise àà être confondu avec être confondu avec
www.paypal.com/paypalwww.paypal.com/paypal--security.htmlsecurity.html
1919
PhishingPhishing : d: dééfensefense
1.1. Sensibilisation aux indicateursSensibilisation aux indicateurs2.2. Barres dBarres d’’outils (outils (toolbarstoolbars) )
2020
PhishingPhishing : d: dééfense fense -- sensibilisationsensibilisation
-- MMéédiasdias-- Indicateurs visuel dans le fureteurIndicateurs visuel dans le fureteur
2121
PhishingPhishing : d: dééfense fense –– barres dbarres d’’outilsoutils
1. Barres sp1. Barres spéécifiques cifiques àà une compagnieune compagnieExemple :Exemple :
Fonctionnement :Fonctionnement :-- BasBaséée sur une liste des sites frauduleux/authentiques.e sur une liste des sites frauduleux/authentiques.-- Utilise les couleurs rouge, verte ou grise pour indiquer le degUtilise les couleurs rouge, verte ou grise pour indiquer le degrréé de menace.de menace.
ProblProblèèmes :mes :-- Les nouveaux sites risquent de passer inaperLes nouveaux sites risquent de passer inaperççus.us.-- Vise seulement une compagnie.Vise seulement une compagnie.
eBay toolbar, source : [URL 9]
2222
PhishingPhishing : d: dééfense fense –– barres dbarres d’’outilsoutils
2. Barres g2. Barres géénnéériquesriquesExemple :Exemple :
Fonctionnement :Fonctionnement :-- BasBaséée sur les caracte sur les caractééristiques des attaques connues pour dristiques des attaques connues pour dééterminer le degrterminer le degréé
de fiabilitde fiabilitéé..-- Lit la date de la crLit la date de la crééation du domaine (un site ration du domaine (un site réécent est potentiellement cent est potentiellement
dangereux)dangereux)-- Affiche le domaine sur la barre.Affiche le domaine sur la barre.
ProblProblèèmes :mes :-- Les nouvelles compagnies peuvent soulever des fauxLes nouvelles compagnies peuvent soulever des faux--positifs.positifs.-- Les nouvelles formes dLes nouvelles formes d’’attaques risquent de passer inaperattaques risquent de passer inaperççues.ues.
Spoof Guard, source : [URL 9]
2323
PhishingPhishing : d: dééfense fense –– barres dbarres d’’outilsoutils
ProblProblèèmes gmes géénnééraux:raux:-- Seul les usagers qui connaissent ces outils les utilisent.Seul les usagers qui connaissent ces outils les utilisent.-- LL’’interface des barres dinterface des barres d’’outils noutils n’’est pas assez alarmanteest pas assez alarmante
Proposition:Proposition:-- Rendre lRendre l’’interface plus adaptable selon les printerface plus adaptable selon les prééfféérences des utilisateurs.rences des utilisateurs.
2424
ConclusionConclusionPuisque les compagnies telles que eBay doivent Puisque les compagnies telles que eBay doivent produire des outils de protection pour protproduire des outils de protection pour protééger leurs ger leurs sites, il est sites, il est éévident quvident qu’’il nil n’’existe pas une seule existe pas une seule solution efficace pour lsolution efficace pour l’’ensemble des sites.ensemble des sites.
Selon moi, la technologie optimale devra minimiser Selon moi, la technologie optimale devra minimiser ll’’intervention de lintervention de l’’utilisateur dans la prise de dutilisateur dans la prise de déécision cision àà savoir si un site est lsavoir si un site est léégitime ou non. De plus, une gitime ou non. De plus, une telle technologie devrait obligatoirement être telle technologie devrait obligatoirement être incorporer dans les fureteurs incorporer dans les fureteurs àà partir du moment opartir du moment oùù le le fureteur est installfureteur est installéé. .
2525
RRééfféérencesrences
RRééfsfs::
[1] Lawson P., [1] Lawson P., LawfordLawford J., J., «« IdentityIdentity TheftTheft: The : The NeedNeed For For BetterBetter Consumer ProtectionConsumer Protection »», , Public Interest Public Interest Advocacy Centre,Advocacy Centre, page 6, novembre 2003page 6, novembre 2003
URLsURLs ::
[URL 1] http://people.ucsc.edu/~mscottso/cmpe3_www/computer_crim[URL 1] http://people.ucsc.edu/~mscottso/cmpe3_www/computer_crime_scene.pnge_scene.png[URL 2] http://en.wikipedia.org/wiki/Image:Nsa[URL 2] http://en.wikipedia.org/wiki/Image:Nsa--enigma.jpgenigma.jpg[URL 3] [URL 3] http://www.its.bldrdoc.gov/fshttp://www.its.bldrdoc.gov/fs--1037/dir1037/dir--010/_1443.htm010/_1443.htm[URL 4] [URL 4] http://www.answers.com/topic/privacyhttp://www.answers.com/topic/privacy--1?method=61?method=6[URL 5] [URL 5] http://www.myidfix.com/images/age_stats.gifhttp://www.myidfix.com/images/age_stats.gif[URL 6] [URL 6] http://www.fraudwatchinternational.com/identitytheft/types.shtmlhttp://www.fraudwatchinternational.com/identitytheft/types.shtml[URL 7] http://www.michigan.gov/cybersecurity/0,1607,7[URL 7] http://www.michigan.gov/cybersecurity/0,1607,7--217217--3441534415------,00.html,00.html[URL 8] [URL 8] http://www.antiphishing.org/http://www.antiphishing.org/[URL 9] http://www.justtext.com/credit[URL 9] http://www.justtext.com/credit--cardcard--fraud/payfraud/pay--palpal--scam/paypalscam.html scam/paypalscam.html [URL 10] http://e[URL 10] http://e--com.ic.gc.ca/epic/internet/ineciccom.ic.gc.ca/epic/internet/inecic--ceac.nsf/fr/h_gv00045f.htmlceac.nsf/fr/h_gv00045f.html[URL 11] [URL 11] http://www.oecd.org/document/2/0,2340,fr_2649_22555297_ 34411778http://www.oecd.org/document/2/0,2340,fr_2649_22555297_ 34411778_1_1_1_1,00.html_1_1_1_1,00.html[URL 12] [URL 12] http://www.crimeshttp://www.crimes--ofof--persuasion.com/Laws/Canada/criminal_laws.htmpersuasion.com/Laws/Canada/criminal_laws.htm[URL 13] [URL 13] http://www.computerworld.com/securitytopics/security/cybercrime/http://www.computerworld.com/securitytopics/security/cybercrime/ story/0,10801,105143,00.htmlstory/0,10801,105143,00.html[URL 14 [URL 14 http://fr.wikipedia.org/wiki/P3Phttp://fr.wikipedia.org/wiki/P3P[URL 15] [URL 15] http://www.w3c.it/talks/2005/eAcademy2005/images/p3p.jpghttp://www.w3c.it/talks/2005/eAcademy2005/images/p3p.jpg
2626
RechercheRecherche
ConfConféérences & workshops :rences & workshops :
--Voir la liste: Voir la liste: http://www.cl.cam.ac.uk/Research/Security/conferences/http://www.cl.cam.ac.uk/Research/Security/conferences/--Workshop Computer Workshop Computer PrivacyPrivacy in in ElectronicElectronic Commerce, 05 mai 2006Commerce, 05 mai 2006
PPéériodiques:riodiques:
--Voir la liste:Voir la liste: http://www.cl.cam.ac.uk/Research/Security/journals.htmlhttp://www.cl.cam.ac.uk/Research/Security/journals.html
2727
Annexe : LoisAnnexe : Lois
Protection des renseignements personnels dans lProtection des renseignements personnels dans l’é’économie numconomie numéérique :rique :
«« Par Par «« renseignements personnels renseignements personnels »», on entend tout renseignement factuel ou , on entend tout renseignement factuel ou subjectif, consignsubjectif, consignéé ou non, concernant un individu identifiable. Il peut s'agir de ou non, concernant un individu identifiable. Il peut s'agir de tout tout type de renseignements, notamment :type de renseignements, notamment :l'âge, le nom, les numl'âge, le nom, les numééros d'immatriculation, le revenu, l'origine ethnique ou le type ros d'immatriculation, le revenu, l'origine ethnique ou le type sanguin; sanguin; des opinions, des des opinions, des éévaluations, des commentaires, le statut social ou les mesures valuations, des commentaires, le statut social ou les mesures disciplinaires; disciplinaires; les dossiers d'employles dossiers d'employéé, les dossiers de cr, les dossiers de créédit, les dossiers relatifs dit, les dossiers relatifs àà des prêts, les des prêts, les dossiers mdossiers méédicaux, l'existence d'un diffdicaux, l'existence d'un difféérend entre un consommateur et un rend entre un consommateur et un marchand, des intentions (p. ex., d'acqumarchand, des intentions (p. ex., d'acquéérir des biens ou des services ou de changer rir des biens ou des services ou de changer d'emploi). d'emploi). Les renseignements personnels ne comprennent pas le nom, le titrLes renseignements personnels ne comprennent pas le nom, le titre ni l'adresse ou le e ni l'adresse ou le numnumééro de tro de tééllééphone au travail d'un employphone au travail d'un employéé d'une organisation. d'une organisation. »» [URL 10][URL 10]
2828
Annexe : pAnnexe : péénalitnalitééss
Canada :Canada :-- Aucune loi spAucune loi spéécifique pour contrer le spam. [URL 11]cifique pour contrer le spam. [URL 11]-- Le Le phishingphishing est considest considéérréé comme une fraude :comme une fraude :exemple : vol de carte de crexemple : vol de carte de créédit = > au maximum 10 ans de dit = > au maximum 10 ans de prison. [URL 12]prison. [URL 12]
Californie : loi antiCalifornie : loi anti--phishingphishing-- la victime peut demander le remboursement des dommages la victime peut demander le remboursement des dommages ou $500000 ou $500000 àà ll’’attaquant.attaquant.-- JusquJusqu’à’à $2500/attaque au gouvernement. [URL 13]$2500/attaque au gouvernement. [URL 13]
2929
Annexe : P3PAnnexe : P3P
«« P3PP3P ( ( PPlatform for latform for PPrivacyrivacy PPreferencesreferences) est un projet ) est un projet ààl'initiative du consortium l'initiative du consortium W3CW3C (qui (qui éénonce les standard du nonce les standard du WebWeb et d'et d'InternetInternet), datant de 2002. Il vise ), datant de 2002. Il vise àà standardiser le standardiser le moyen par lequel un site web peut informer l'internaute de sa moyen par lequel un site web peut informer l'internaute de sa politique en matipolitique en matièère de protection des donnre de protection des donnéées personnelles.es personnelles. »»[URL 14][URL 14]
3030
Annexe : P3PAnnexe : P3P
Source : [URL 15]Source : [URL 15]
