{"id":485,"date":"2010-12-18T23:55:06","date_gmt":"2010-12-18T22:55:06","guid":{"rendered":"http:\/\/www.auditsi.eu\/?p=485"},"modified":"2011-09-25T18:44:44","modified_gmt":"2011-09-25T16:44:44","slug":"systemes-informatiques-portes-derobees-la-menace-fantome%e2%80%a6","status":"publish","type":"post","link":"https:\/\/www.auditsi.eu\/?p=485","title":{"rendered":"Syst\u00e8mes informatiques &#8211; Portes d\u00e9rob\u00e9es : la menace fant\u00f4me\u2026"},"content":{"rendered":"<p style=\"text-align: justify;\">Le d\u00e9but de scandale qui \u00e9clabousse le FBI suite aux r\u00e9v\u00e9lations (cf lien en fin d&#8217;article) de Gregory Perry, ancien directeur technique de NetSec (devenu Verizon Business Security) soul\u00e8ve un point crucial que chacun (DSI ou citoyen lambda) doit garder en permanence \u00e0 l\u2019esprit\u00a0: quelle confiance accorder aux logiciels et applications\u00a0locaux et web ? En effet, nous confions de plus en plus de donn\u00e9es personnelles et professionnelles \u00e0 des syst\u00e8mes informatiques dont nous ne ma\u00eetrisons ni le fonctionnement interne ni m\u00eame l\u2019origine. Et pourtant, les portes d\u00e9rob\u00e9es sont une v\u00e9ritable menace pour l\u2019int\u00e9grit\u00e9 et la pr\u00e9servation de la confidentialit\u00e9 de nos donn\u00e9es.<\/p>\n<p style=\"text-align: justify;\">Une porte d\u00e9rob\u00e9e (<em>back door<\/em> pour les initi\u00e9s) \u00e9quivaut \u00e0 la porte de derri\u00e8re, celle dont la clef est dans le pot de fleur ou sous le paillasson. Une porte d\u00e9rob\u00e9e \u00e9chappe (par d\u00e9finition) aux r\u00e8gles de contr\u00f4le interne. De ce point de vue, les portes d\u00e9rob\u00e9es forment une menace fant\u00f4me pour reprendre le titre d\u2019un film bien connu\u00a0: malgr\u00e9 les r\u00e8gles de contr\u00f4le interne, la politique d\u2019habilitation et le param\u00e9trage des pare-feux, le syst\u00e8me (et ses donn\u00e9es) est \u00e0 la merci de tiers plus ou moins malveillants qui pourront consulter, modifier voire supprimer les donn\u00e9es les plus strat\u00e9giques d\u2019une entreprise ou d\u2019une organisation, et ce,\u00a0\u00e0 son insu.<\/p>\n<p style=\"text-align: justify;\">Pour d\u00e9tecter ces portes d\u00e9rob\u00e9es, il n\u2019y a pas beaucoup de solutions\u00a0:<\/p>\n<p style=\"text-align: justify;\">&#8211;\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Soit analyser (avec un sniffeur IP) les flux r\u00e9seaux g\u00e9n\u00e9r\u00e9s par l\u2019application vers l\u2019ext\u00e9rieur (internet), ce qui au demeurant ne sera efficace que si le tiers acc\u00e8de au syst\u00e8me pendant les op\u00e9rations de surveillance r\u00e9seau.<\/p>\n<p style=\"text-align: justify;\">&#8211;\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Soit analyser le fonctionnement interne des logiciels. Pour ce faire, il est n\u00e9cessaire de lire le code source ce qui requiert des connaissances pointues en programmation informatique. En r\u00e9alit\u00e9 le code source n\u2019est rendu public que pour les logiciels libres (<em>open source<\/em>)\u00a0; pour les autres logiciels, dits \u00ab\u00a0propri\u00e9taires\u00a0\u00bb, l\u2019analyse sera pr\u00e9c\u00e9d\u00e9e d\u2019une phase de r\u00e9tro-ing\u00e9nierie (<em>reverse engineering<\/em>), c\u2019est-\u00e0-dire de la d\u00e9compilation permettant d\u2019obtenir un code source reconstitu\u00e9, cette pratique est non seulement complexe (le code obtenu \u00e9tant non document\u00e9) mais de plus contrevient aux dispositions contractuelles des licences utilisateurs (CLUF).<\/p>\n<p style=\"text-align: justify;\">Vous noterez que pour les applications en mode web, Saas, ASP (messageries en webmail, suites bureautiques Google ou Microsoft, r\u00e9seaux sociaux, partage de fichiers et donn\u00e9es\u2026), aucune de ces op\u00e9rations de contr\u00f4le n\u2019est possible. Par ailleurs, ces logiciels et les donn\u00e9es confi\u00e9es sont la plupart du temps h\u00e9berg\u00e9s sur des serveurs situ\u00e9s \u00e0 l\u2019\u00e9tranger (aux Etats-Unis entre autres), pays n\u2019offrant pas les m\u00eames garanties de protection. L\u2019externalisation de la fonction informatique et de ses applicatifs\u00a0a un prix, celui de la d\u00e9pendance.<\/p>\n<p style=\"text-align: justify;\">\u00a0Il serait exag\u00e9r\u00e9 de s&#8217;inqui\u00e9ter outre mesure mais la prudence dans le choix de ses applications est de mise.<\/p>\n<p style=\"text-align: justify;\">\u00a0<\/p>\n<p style=\"text-align: justify;\">Lien externe : <a href=\"http:\/\/www.zdnet.fr\/actualites\/le-fbi-soupconne-d-avoir-integre-des-backdoors-dans-openbsd-39756913.htm\">http:\/\/www.zdnet.fr\/actualites\/le-fbi-soupconne-d-avoir-integre-des-backdoors-dans-openbsd-39756913.htm<\/a><\/p>\n<div style=\"padding-bottom:20px; padding-top:10px;\" class=\"hupso-share-buttons\"><!-- Hupso Share Buttons - https:\/\/www.hupso.com\/share\/ --><a class=\"hupso_counters\" href=\"https:\/\/www.hupso.com\/share\/\"><img decoding=\"async\" src=\"https:\/\/static.hupso.com\/share\/buttons\/lang\/fr\/share-small.png\" style=\"border:0px; padding-top:2px; float:left;\" alt=\"Share Button\"\/><\/a><script type=\"text\/javascript\">var hupso_services_c=new Array(\"twitter\",\"facebook_like\",\"facebook_send\",\"email\",\"print\",\"linkedin\");var hupso_counters_lang = \"fr_FR\";var hupso_image_folder_url = \"\";var hupso_twitter_via=\"BenoitRiviere14\";var hupso_url_c=\"\";var hupso_title_c=\"Syst%C3%A8mes%20informatiques%20-%20Portes%20d%C3%A9rob%C3%A9es%20%3A%20la%20menace%20fant%C3%B4me%E2%80%A6\";<\/script><script type=\"text\/javascript\" src=\"https:\/\/static.hupso.com\/share\/js\/counters.js\"><\/script><!-- Hupso Share Buttons --><\/div>","protected":false},"excerpt":{"rendered":"<p>Le d\u00e9but de scandale qui \u00e9clabousse le FBI suite aux r\u00e9v\u00e9lations (cf lien en fin d&#8217;article) de Gregory Perry, ancien directeur technique de NetSec (devenu Verizon Business Security) soul\u00e8ve un point crucial que chacun (DSI ou citoyen lambda) doit garder en permanence \u00e0 l\u2019esprit\u00a0: quelle confiance accorder aux logiciels et applications\u00a0locaux et web ? En &#8230;<\/p>\n<p><a href=\"https:\/\/www.auditsi.eu\/?p=485\" class=\"more-link\">Continue reading &lsquo;Syst\u00e8mes informatiques &#8211; Portes d\u00e9rob\u00e9es : la menace fant\u00f4me\u2026&rsquo; &raquo;<\/a><\/p>\n<div style=\"padding-bottom:20px; padding-top:10px;\" class=\"hupso-share-buttons\"><!-- Hupso Share Buttons - https:\/\/www.hupso.com\/share\/ --><a class=\"hupso_counters\" href=\"https:\/\/www.hupso.com\/share\/\"><img src=\"https:\/\/static.hupso.com\/share\/buttons\/lang\/fr\/share-small.png\" style=\"border:0px; padding-top:2px; float:left;\" alt=\"Share Button\"\/><\/a><script type=\"text\/javascript\">var hupso_services_c=new Array(\"twitter\",\"facebook_like\",\"facebook_send\",\"email\",\"print\",\"linkedin\");var hupso_counters_lang = \"fr_FR\";var hupso_image_folder_url = \"\";var hupso_twitter_via=\"BenoitRiviere14\";var hupso_url_c=\"\";var hupso_title_c=\"Syst%C3%A8mes%20informatiques%20-%20Portes%20d%C3%A9rob%C3%A9es%20%3A%20la%20menace%20fant%C3%B4me%E2%80%A6\";<\/script><script type=\"text\/javascript\" src=\"https:\/\/static.hupso.com\/share\/js\/counters.js\"><\/script><!-- Hupso Share Buttons --><\/div>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"advanced_seo_description":"","jetpack_seo_html_title":"","jetpack_seo_noindex":false,"ngg_post_thumbnail":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","_links_to":"","_links_to_target":""},"categories":[7,46,36,35,24,33],"tags":[51,94,213,98,14,123,211,203,318,214,99,201,1621,43,212,208,93,205,204,137,95,209,210,1628,206,207,1627],"class_list":["post-485","post","type-post","status-publish","format-standard","hentry","category-breves","category-integrite-des-donnees-systeme-informatique","category-protection-des-donnees","category-securite-informatique","category-systeme-dinformation","category-systeme-informatique","tag-audit-informatique","tag-backdoor","tag-cluf","tag-code-source","tag-confiance","tag-confidentialite","tag-decompilation","tag-donnees-personnelles","tag-dsi","tag-externalisation-de-la-fonction-informatique","tag-faille-de-securite","tag-fbi","tag-fraude","tag-integrite-des-donnees","tag-licence-utilisateur","tag-logiciels-libres","tag-open-source","tag-pare-feu","tag-politique-dhabilitation","tag-politique-de-securite","tag-porte-derobee","tag-retro-ingenierie","tag-reverse-ingeneering","tag-securite-informatique","tag-sniffeur-ip","tag-surveillance-reseau","tag-systeme-informatique"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_likes_enabled":false,"_links":{"self":[{"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=\/wp\/v2\/posts\/485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=485"}],"version-history":[{"count":0,"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=\/wp\/v2\/posts\/485\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.auditsi.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}