Formation C2i - A 2

Table des matires
Prsentation du module. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Chapitre I. Introduction au module. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Partie A. Les droits fondamentaux de l'Homme et Internet. . . . . . . . . . . . . . . . . . 9
9 Partie B. Le droit et l'informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Pour aller plus loin.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1. Quels rapports entre les droits fondamentaux et Internet?. . . . . . . . . . . . . . . . .
Chapitre II. La matrise de son identit numrique. . . . . . . . . . . . . . . . . . . 15

Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Partie A. L'identit sur Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
16 2. Les solutions pour se protger. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Partie B. Les traces sur Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1. Les cookies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2. Les espiogiciels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3. Autres catgories de malwares (ou codes malveillants). . . . . . . . . . . . . . . . . . . . 27 4. Autres techniques d'espionnage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Partie C. Les traces sur logiciels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 1. Prsentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 2. Comment supprimer quelques traces ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3. Un mouchard dans les fichiers Word et Excel. . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1. La notion d'identit sur Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intgrer la dimension thique et le respect de la dontologie
Chapitre III. La scurisation des informations sensibles. . . . . . . . . . . . 35

Partie A. Les dangers d'Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
35 2. Les vers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3. Les canulars (hoax). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 4. Les chevaux de Troie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5. "Les portes drobes". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 6. Le phishing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Partie B. Le piratage informatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 1. Les hackers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 2. Illustration : les dangers du mail-bombing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Partie C. Notions de scurit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 1. Contrle d'accs, bon usage des mot de passe et login. . . . . . . . . . . . . . . . . . . . 45 2. Les outils de protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3. Scurisation du rseau : les pare-feux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Partie D. Sauvegarder ses donnes importantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 1. Pourquoi faut-il sauvegarder ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 2. Mthodologie des sauvegardes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 3. Logiciels de sauvegarde. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
1. Les virus et macro-virus informatiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre IV. La protection des donnes confidentielles. . . . . . . . . . . . . 57

Partie A. La loi "Informatique et liberts". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
58 2. Le texte de la loi du 6 janvier 1978. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Partie B. La LCEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 1. Principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 2. Le texte de la LCEN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Partie C. La cryptologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 1. Prsentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 2. Pourquoi utiliser la cryptologie ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 3. Pourquoi crypter ses courriers lectroniques ?. . . . . . . . . . . . . . . . . . . . . . . . . . . 76 4. Mthodes de cryptage de ses courriers lectroniques. . . . . . . . . . . . . . . . . . . . . 78 5. Le cryptage des fichiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
1. Contexte et problmatique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Table des matires
Partie D. La signature lectronique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
79 1. Modifications lgislatives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 2. La certification numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 3. La signature numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Partie E. Le SPAM et la loi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 1. L'adresse lectronique.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 2. Les aspects juridiques du spamming. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 3. Conseils pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 4. Organismes de rgulation et de lutte contre le spamming. . . . . . . . . . . . . . . . . . 92 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Prambule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre V. La loi sur la cration et la protection des oeuvres. . . . . 95

Les bases lgislatives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Partie A. La proprit intellectuelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
95 2. Que sont les "oeuvres de l'esprit" ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Partie B. Le droit d'auteur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 1. Principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 2. Droit d'auteur, copie prive et P2P. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Ressources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
1. Principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Chapitre VI. Les chartes d'utilisation et de bon comportement. . . . 103

Internet, un autre monde ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Partie A. Les chartes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
104 2. Les tablissements universitaires et les chartes. . . . . . . . . . . . . . . . . . . . . . . . . . 104 Partie B. La charte RENATER. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 1. Prsentation et principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 2. Liste des infractions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Partie C. La netiquette. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 1. Prsentation et principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 2. Respecter la loi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 3. Extraits de la netiquette. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Partie D. Illustrations et exemples de chartes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 1. Chartes d'tablissement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 2. Rgles de conduite dans un forum de discussion. . . . . . . . . . . . . . . . . . . . . . . . . 109
1. Dfinition et principes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
110 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Pour aller plus loin.... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bibliographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Annexes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Prambule
Prsentation du module
Objectifs pdagogiques de ce module Dans la mesure o nul n'est cens ignorer la loi, toute personne utilisant un ordinateur se doit de connatre les grands principes du droit de l'informatique, de la mme manire que tout usager de la route (qu'il soit piton, conducteur de deux roues ou automobiliste) a l'obligation de connatre le code de la route. Le droit de l'informatique n'est donc pas une science rserver aux juristes, mais il doit tre compris et assimil par tous les utilisateurs de l'outil informatique. A noter galement que connatre et appliquer le droit de l'informatique ne suffit pas pour autant : il faut galement apprendre les rgles de bon usage qui sont en vigueur sur Internet. L'objectif de ce module de formation est donc de : vous transmettre les grands principes du droit de l'informatique ; vous sensibiliser aux problmatiques juridiques relatives l'usage des nouvelles technologies ; vous permettre de prendre connaissance des rgles rgissant les relations et les changes sur Internet. En tant qu'internaute et usager des technologies de l'information et de la communication, il est important que vous ayez connaissance de vos droits afin de les faire valoir et de ceux d'autrui afin de les respecter. Plan Comment atteindre cet objectif ?
Au travers de 6 chapitres, ce module vous propose d'aborder les thmatiques et problmatiques suivantes, vous permettant d'acqurir les connaissances juridiques relatives l'usage des TICs : Chapitre 1 Introduction au module qui prsente les bases de votre rflexion sur les droit fondamentaux de l'Homme et l'informatique ; Chapitre 2 La marise de son identit numrique sur le Web ; Chapitre 3 La scurisation des donnes sensibles ; Chapitre 4 La protection des donnes confidentielles ; Chapitre 5 La loi sur la cration et la protection des oeuvres ; Chapitre 6 Les chartes d'utilisation de bon comportement. Infos sur le module Temps d'apprentissage estim Environ 3 heures. Niveau de difficult De dbutant intermdiaire. Navigation et mode de lecture Ce module transversal traitant de problmatiques en relation directe avec l'ensemble des autres modules du dispositif (du B0 au B7), vous pouvez prendre connaissance de cette ressource dans l'ordre dans lequel vous tes amens dcouvrir les autres composants du dispositif, soit au fur et mesure de votre progression dans votre formation au C2i. Vous pouvez ainsi consulter les chapitres de ce module dans l'ordre que vous dsirez. Pris individuellement, nous vous recommandons de suivre ce module en respect du scnario pdagogique mis en oeuvre.
Chapitre
I
Introduction au module
Partie A. Les droits fondamentaux de l'Homme et Internet
1. Quels rapports entre les droits fondamentaux et Internet?
L'informatique a toujours eu des rapports conflictuels avec le droit et il y a plusieurs raisons ce phnomne. 1. La premire difficult est que la technologie volue beaucoup plus vite que le droit, si bien que ce dernier a du mal s'adapter aux mutations informatiques. Pour ne prendre qu'un seul exemple, l'mergence des rseaux d'changes peer-to-peer (P2P) qui permettent des internautes de partager des fichiers (notamment de la musique et des films) a pris de court la justice qui a mis un certain temps ragir. Pourtant, les premires lois rglementant l'informatique sont relativement anciennes et la France a compris assez tt qu'il fallait lgifrer sur le sujet. cet gard, la loi Informatique et liberts du 6 janvier 1978 constitue un lment fondamental du dispositif lgislatif qui encadre le droit de l'informatique. 2. Le deuxime cueil est que le droit de l'informatique est par nature complexe si bien que les utilisateurs d'ordinateurs ne font pas toujours la diffrence entre ce qui est permis et ce qui est interdit. Si les internautes qui tlchargent illgalement de la musique ont la plupart du temps bien conscience de commettre un dlit, en revanche ceux qui collectent des adresses lectroniques sans le consentement de leur propritaire n'ont en gnral absolument pas le sentiment de commettre une infraction.
10
On en arrive donc un double constat d'chec : le droit de l'informatique est mconnu et finalement peu appliqu au regard des nombreuses infractions qui sont commises quotidiennement. Cette relative impunit a d'ailleurs accrdit la thse qu'Internet constituait une zone de non droit et qu'aucune lgislation ne pouvait s'appliquer au rseau des rseaux en raison notamment de son caractre transfrontalier. Bien videmment, cette thse est errone mme s'il faut bien reconnatre que l'application de certaines lois sur Internet pose problme. Attention Pourtant, dans la mesure o nul n'est cens ignorer la loi, toute personne utilisant un ordinateur se doit de connatre les grands principes du droit de l'informatique, de la mme manire que tout usager de la route (qu'il soit piton, conducteur de deux roues ou automobiliste) a l'obligation de connatre le code de la route. Le droit de l'informatique n'est donc pas une science rserver aux juristes, mais il doit tre compris et assimil par tous les utilisateurs de l'outil informatique. Remarque Connatre et appliquer le droit de l'informatique ne suffit pas pour autant : il faut galement apprendre les rgles de bon usage qui sont en vigueur sur Internet. La toile tant par essence un lieu de partage d'ides, il s'y cre de nombreuses communauts virtuelles qui possdent des rgles de savoir-vivre qu'il convient de ne pas ignorer. La lecture et le respect des chartes d'utilisation en vigueur sur Internet sont le minimum que l'on doit attendre de tout internaute. Internet est aussi un vritable paradoxe en matire de droits car il se rvle bnfique pour l'exercice des droits de l'homme et bafoue la fois certains droits de la personne prive. Exemple Par exemple, Internet est un fantastique outil de communication et d'information qui permet certains citoyens de pays peu dmocratiques de djouer la censure. Dans ce cas-l, c'est la libert d'expression qui triomphe et l'article 19 de la Dclaration universelle des droits de l'homme qui stipule que "tout individu a droit la libert d'opinion et d'expression, ce qui implique le droit de ne pas tre inquit pour ses opinions et celui de chercher, de recevoir et de rpandre, sans considrations de frontires, les informations et les ides par quelque moyen d'expression que ce soit" ( Article 19 de la Dclaration universelle des droits de l'Homme.) est finalement respect grce Internet. En revanche, cette libert d'expression peut galement tre dvoye et servir la transmission de propos injurieux, racistes, xnophobes ou haineux. De la mme manire, le respect de vie prive ou du droit d'auteur sont trs souvent mis mal sur Internet. Complment Sur la thmatique des droits fondamentaux des droits de l'Homme et Internet, nous vous conseillons de consulter la section juridique d'Educnet.
11
Partie B. Le droit et l'informatique

Prambule
Nous ne le rpterons jamais assez : Internet n'est pas une zone de non droit et il existe dsormais de nombreuses lois franaises, europennes et internationales qui encadrent la pratique de l'outil informatique. Il y a par consquent un risque juridique rel utiliser un ordinateur en mconnaissant les lois traitant de l'informatique dont l'exprience montre qu'elles sont trs mal connues ; cette mconnaissance de la loi pose de nombreux problmes et nous allons donc tenter de faire un survol rapide de toutes les lois qu'il faut absolument connatre, si ce n'est par coeur, du moins dans les grands principes, afin d'amliorer votre scurit juridique quand vous utilisez un ordinateur. Si le droit de l'informatique a pu paratre balbutiant au dbut des annes 1980, l'arsenal juridique s'est toff au fil des ans, les avocats et les juristes se sont forms et on commence aujourd'hui avoir une jurisprudence consquente. Dans la pratique, connatre la loi permet : de vous empcher de commettre une infraction ; de demander rparation en justice si vous tes victime d'une infraction. Le code pnal est divis en livres. Dans le troisime livre qui est consacr aux crimes et dlits contre les biens, le chapitre III du Titre II traite des atteintes aux systmes de traitement automatis de donnes. Voici le texte intgral des 7 articles qui composent ce chapitre : Article 323-1 Le fait d'accder ou de se maintenir, frauduleusement, dans tout ou partie d'un systme de traitement automatis de donnes est puni de deux ans d'emprisonnement et de 30000 euros d'amende. Lorsqu'il en est rsult soit la suppression ou la modification de donnes contenues dans le systme, soit une altration du fonctionnement de ce systme, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende. Article 323-2 Le fait d'entraver ou de fausser le fonctionnement d'un systme de traitement automatis de donnes est puni de cinq ans d'emprisonnement et de 75000 euros d'amende. Article 323-3 Le fait d'introduire frauduleusement des donnes dans un systme de traitement automatis ou de supprimer ou de modifier frauduleusement les donnes qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
12
Article 323-3-1 Le fait, sans motif lgitime, d'importer, de dtenir, d'offrir, de cder ou de mettre disposition un quipement, un instrument, un programme informatique ou toute donne conus ou spcialement adapts pour commettre une ou plusieurs des infractions prvues par les articles 323-1 323-3 est puni des peines prvues respectivement pour l'infraction elle-mme ou pour l'infraction la plus svrement rprime. Article 323-4 La participation un groupement form ou une entente tablie en vue de la prparation, caractrise par un ou plusieurs faits matriels, d'une ou de plusieurs des infractions prvues par les articles 323-1 323-3-1 est punie des peines prvues pour l'infraction elle-mme ou pour l'infraction la plus svrement rprime. Article 323-5 Les personnes physiques coupables des dlits prvus au prsent chapitre encourent galement les peines complmentaires suivantes : 1. L'interdiction, pour une dure de cinq ans au plus, des droits civiques, civils et de famille, suivant les modalits de l'article 131-26 ; 2. L'interdiction, pour une dure de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activit professionnelle ou sociale dans l'exercice de laquelle ou l'occasion de laquelle l'infraction a t commise ; 3. La confiscation de la chose qui a servi ou tait destine commettre l'infraction ou de la chose qui en est le produit, l'exception des objets susceptibles de restitution ; 4. La fermeture, pour une dure de cinq ans au plus, des tablissements ou de l'un ou de plusieurs des tablissements de l'entreprise ayant servi commettre les faits incrimins ; 5. L'exclusion, pour une dure de cinq ans au plus, des marchs publics ; 6. L'interdiction, pour une dure de cinq ans au plus, d'mettre des chques autres que ceux qui permettent le retrait de fonds par le tireur auprs du tir ou ceux qui sont certifis ; 7. L'affichage ou la diffusion de la dcision prononce dans les conditions prvues par l'article 131-35. Article 323-6 Les personnes morales peuvent tre dclares responsables pnalement, dans les conditions prvues par l'article 121-2, des infractions dfinies au prsent chapitre. Les peines encourues par les personnes morales sont : 1. L'amende, suivant les modalits prvues par l'article 131-38 ; 2. Les peines mentionnes l'article 131-39. L'interdiction mentionne au 2 de l'article 131-39 porte sur l'activit dans l'exercice ou l'occasion de l'exercice de laquelle l'infraction a t commise.
13
Article 323-7 La tentative des dlits prvus par les articles 323-1 323-3-1est punie des mmes peines. Remarque Il faut d'abord prciser que tous ces articles ont t modifis par la loi du 21 juin 2004 pour la confiance dans l'conomie numrique, baptise LCEN. Ces articles existaient pratiquement tous avant le vote de la LCEN, mais toutes les peines (dure et montant) ont pratiquement t doubles, signe manifeste de la volont du lgislateur. Le dernier article, 323-7, est lui-mme assez dissuasif car la tentative de commettre un dlit est punie exactement des mmes peines. En clair, si vous tentez de pirater une machine, mais que vous tes un mauvais hacker, vous coperez de la mme peine que si vous y russissez. En conclusion... En conclusion, on peut dire que la lgislation a t terriblement durcie et qu'il vaut mieux viter de jouer avec le feu. Nous pensons notamment tous ceux que les hackers appellent des script-kiddies qui sont des gamins qui trouvent des logiciels malveillants prts l'emploi sur Internet et s'amusent avec. Si un adolescent rcupre sur Internet un kit de construction de virus (il en existe plusieurs) et cre en quelques minutes une variante d'un virus, il risque trs gros diffuser sa cration. Le risque est d'autant plus grand que les script-kiddies ne sont pas en gnral de grands informaticiens et ont donc toutes les chances de se faire prendre car ils ne sauront pas maquiller leurs traces.
Pour aller plus loin...

Site prsentant une slection de textes officiels franais, europens et internationaux relatifs au domaine gnral de la communication et certaines activits proposes sur l'internet : cliquez ici. L'ensemble des dispositions contenues au sein de ces textes n'ont pas ncessairement vocation s'appliquer l'internet. Textes internationaux (traits et conventions). Textes europens (directives, rglements, communications). Textes nationaux (codes, lois, rglements, rapports et avis).
Chapitre
II
La matrise de son identit numrique
Prambule
L'imagination des dveloppeurs de logiciels malveillants semble sans limite et leurs auteurs exploitent la moindre faille du systme qu'ils peuvent trouver. Internet, en passant du statut d'outil destin la communaut universitaire celui de mdia grand public, a attis la convoitise de tous les escrocs qui cherchent profiter de la manne que reprsentent les millions d'utilisateurs qui surfent sur le rseau des rseaux. Les motivations des crateurs de ces logiciels sont bien videmment identiques celles des auteurs de virus, ceci prs qu'il existe gnralement en plus une volont criminelle et non pas simplement destructrice. Un crateur de virus recherche souvent une certaine forme de reconnaissance en montrant au monde (en tous cas, ceux qui utilisent un ordinateur) qu'il est le plus intelligent et qu'il a su djouer les mesures de scurit. Il y a en revanche presque toujours une motivation criminelle derrire un logiciel malveillant : l'auteur du malware veut prendre le contrle de la machine de l'utilisateur pour lui voler des informations ou bien lui extorquer de l'argent. L o le virus se montrait voyant du fait de sa prolifration exponentielle, le malware cherche se faire discret et reste furtif. Remarque Il y a toujours un ct dsesprant, quand on a got aux joies de l'informatique, constater que des individus peuvent mettre leur intelligence au service de la cration de logiciels malveillants. Cela tant, on ne voit pas trs bien pourquoi l'informatique serait pargne par cette loi qui gouverne le monde et qui veut que l'tre humain est capable du meilleur comme du pire.
16
Il faut toujours garder l'esprit que les ordinateurs et les logiciels sont faits par des humains. On a parfois la trs nette impression que, face la puissance de certaines applications, l'utilisateur a tendance oublier cette vrit premire et considrer que l'informatique est une science surnaturelle. On pourrait peut-tre mme aller jusqu' dire que les problmes de scurit viennent en grande partie de cette absence de prise de conscience de la ralit. La plupart des utilisateurs d'ordinateurs ne voient pas le danger qu'il y a excuter un programme dont l'origine est douteuse alors qu'il ne leur viendrait absolument pas l'esprit de garer leur voiture dans un parking public en laissant les cls sur le tableau de bord.
Partie A. L'identit sur Internet

1. La notion d'identit sur Internet
Protg derrire son ordinateur, l'internaute croit souvent qu'#il est totalement anonyme quand il surfe sur Internet. En fait, il n#'en est rien et toutes les activits lies l#'usage d#'Internet gnrent toute une srie de traces qui permettent d'#identifier assez facilement l#'utilisateurd#'un ordinateur. L#'anonymat sur Internet relve donc plus du mythe que de la ralit. D#'autre part, il est parfois important d#'arriver prouver son identit sur Internet, que ce soit pour acheter un livre en ligne, consulter son compte en banque ou bien encore tldclarer ses impts. Au final,chaque fois qu#'il faut prouver son identit, on aura recours, par un moyen ou un autre, la cryptographie. Petit petit, l#'usage d#'Internet se renforant, se dveloppe le concept d'#identit numrique. Explication Par identit numrique, on entend tous les moyens (logiciels ou matriels) qui permettent d#'identifier de manire fiable et unique une personne. La plupart du temps, l'#identit numrique prend la forme du couple de donnes que sont l'#identifiant et le mot de passe. Ces deux informations permettent d'#accder, par exemple, un service de Webmail, un espace de travail collaboratif ou bien encore son dossier de scolarit en ligne.
2. Les solutions pour se protger

Les conseils relatifs l'usage de l'adresse lectronique Utiliser une adresse diffrente pour chaque activit ; Utiliser des adresses gratuites lorsque l'on veut tre anonyme.
17
Les conseils quant la navigation Web Utiliser des navigateurs scuriss qui permettent de limiter les informations diffuses votre sujet...par consquent, il est fortement conseill d'viter l'usage d'Internet Explorer.
Partie B. Les traces sur Internet

Prambule
Quelle que soit votre activit sur Internet (messagerie, navigation, chat,etc.), vous laissez des traces de votre passage. D'un point de vue technique, ds que vous tes connect au rseau Internet, votre fournisseur d'accs vous attribue un identifiant unique appel adresse IP. Cette information est une suite de quatre nombres spars par des points, par exemple, 80.10.246.157. Chaque internaute possde donc une adresse IP unique et cette adresse est systmatiquement enregistre ds que vous vous livrez une quelconque activit sur Internet. Exemple Par exemple, l'adresse IP de votre ordinateur figure dans chaque courrier lectronique que vous envoyez. Remarque : Un texte lgislatif rcent oblige les fournisseurs d'accs stocker pendant un an toutes les donnes relatives vos connexions Internet. Complment Pour vous donner un aperu de toutes les informations que vous diffusez sans vous en rendre compte quand vous naviguez sur le Web, nous vous conseillons de vous rendre sur le site de la CNIL o un programme liste vos traces : http://www.cnil.fr/index.php?id=19
1. Les cookies
1.1. Que sont les cookies et quoi servent-ils ?
Qu'est-ce qu'un cookie ? En informatique, les cookies ne sont pas des petits gteaux secs, mais des fichiers qu'un serveur Internet peut vouloir stocker sur votre machine afin de mmoriser vos prfrences de consultation et, ainsi, vous reconnatre la prochaine fois que vous vous connecterez ce site. Un cookie se prsente sur votre disque dur sous la forme suivante :
18
IMG. 1 : EXEMPLE DE COOKIE
Son contenu est constitu de diverses informations, incomprhensibles pour l'utilisateur, qui se prsentent par exemple ainsi : Exemple FindLawTP TOMPA-www-3-62.23.165.210-28061-1019201344-798759-112-APMOT findlaw.com/ 0 1520984064 29558341 3040740160 29484915 *
1.2. A quoi servent les cookies ?

Pour un serveur Web, rares sont les lments qui vous distinguent des autres visiteurs. Les cookies permettent justement de "reconnatre" le visiteur en recueillant un certain nombre d'lments d'identification : l'adresse IP ; le systme d'exploitation et le navigateur utiliss ; surtout des informations statistiques comme les pages consultes, le nombre de visites, les actions effectues sur le site, bref les habitudes de consultations. Exemple 1 Les cookies permettent au serveur sur lequel on effectue des achats de "retenir" les produits que l'on a placs dans son cadi virtuel et de nous les prsenter sur la facture finale. Exemple 2 Certains forums de discussion sur le Web peuvent reconnatre un utilisateur, grce au cookie, et lui permettre de poster immdiatement une contribution sans qu'il ait besoin de rinscrire son identifiant, son adresse de courrier lectronique et son mot de passe [dans les cas o ce dernier est requis].
19
Attention Le cookie est galement utile pour le commerant et le publicitaire qui l'utilisent des fins de marketing et peuvent ainsi adapter leurs annonces commerciales ou publicitaires nos habitudes de navigations recueillies par le cookie. Par exemple, si nous avons visits plusieurs fois la page d'un site de vacances consacre aux sjours en montagne, le mme site nous prsentera automatiquement, lors d'un prochain passage sur d'autres pages, des promotions sur des randonnes dans les Pyrnes. Dans la mesure o les cookies peuvent recler des donnes caractre personnel, certaines personnes pensent qu'ils peuvent tre dangereux pour le respect de la vie prive. Les versions rcentes des navigateurs intgrent donc une gestion des cookies et permettent notamment de refuser les cookies qu'un site Web voudrait dposer sur votre machine. Si l'on fait une application stricte de la loi, un serveur Web dsirant dposer sur votre machine un cookie doit au pralable vous en avertir afin que vous puissiez donner votre accord. Si l'on prend la peine de regarder les cookies qui sont dposs sur sa propre machine [il suffit pour cela de trouver le dossier intitul Cookies qui est en gnral un sous-dossier du rpertoire au nom de l'utilisateur], on ne peut que constater qu'il y en a beaucoup et que pratiquement aucun des sites ayant inscrit un cookie n'a demand l'autorisation. La CNIL, prenant sans doute acte de cette situation, rappelle dans son communiqu du 7 dcembre 2001 ainsi que sur son site web que "la plupart des cookies jouent le rle de simples tmoins de connexion destins faciliter la navigation sur un site web ou scuriser l'accs ( sa messagerie lectronique par exemple) sans avoir ressaisir des informations identifiantes." .
** *
Le cookie personnalise donc et facilite la navigation de l'internaute en rappelant les prfrences qu'il a pu dclarer lors d'une prcdente visite sur un site (langue, identifiant, mot de passe, slection d'objets, ...).
1.3. Comment grr les cookies dans Internet Explorer ?

La plupart des navigateurs modernes offrent la possibilit aux internautes de bloquer l'inscription des cookies sur leur ordinateur. Nous vous conseillons donc d'adopter cette attitude et ventuellement d'accorder votre confiance quelques sites qui la mritent et ncessitent l'utilisation d'un cookie. Quant aux sites qui ncessitent un cookie, mais qui ne le prcisent pas, nous pensons qu'il est lgitime de les rayer de vos favoris.
20
1.4. Les cookies sont-ils lgaux ?

Grce l'utilisation des cookies, les socits de marketing tablissent des profils de consommation qu'elles revendent des socits en qute de nouveaux clients. Certains juristes s'interrogent sur la lgalit d'un tel dispositif au regard de la lgislation sur la protection des donnes caractre personnel. Nous mentionnons ci-dessous quelques points de vue sur le sujet qui, s'ils ne font pas partie de la jurisprudence, n'en demeurent pas moins intressants. L'installation de cookies sur la machine de l'internaute son insu peut tre assimil au fait d'accder ou de se maintenir, frauduleusement, dans tout ou partie d'un systme de traitement automatis de donnes, activit qui est rprime par le code pnal. Extrait de texte lgal La loi du 6 janvier 1978 interdit la collecte de donnes opre par tout moyen dloyal ou illicite (article 6). L'utilisation de cookies pour collecter des donnes sur la navigation d'un internaute son insu doit donc tre considre comme ne rpondant pas aux critres de loyaut et de lgalit. La CNIL, sur son site Web, recommande d'ailleurs aux webmestres d'informer les internautes de la finalit des cookies, de leur dure de validit s'ils ne sont pas effacs l'issue de la session et des consquences de la dsactivation de ces procds. La CNIL publie en outre des modles de mise en garde insrer par les gestionnaires de sites web dans une page documentant la charte relative au respect de la vie prive. Complment Il existe un modle pour les cookies incluant des informations concernant la navigation du visiteur et un autre modle pour les cookies incluant des informations fournies par le visiteur. Ces modles peuvent tre consults en cliquant ici. Ces deux modles conseillent de faire figurer la mention Nous vous informons que vous pouvez vous opposer l'enregistrement de cookies en configurant votre navigateur. . Force est de constater que trs peu de sites Web utilisant des cookies prennent ces prcautions oratoires... En fait, les principales difficults souleves par l'usage Internet en ce qui concerne la protection des donnes personnelles sont lies l'absence de confidentialit, la libert totale de circulation de l'information, et la difficult d'appliquer les juridictions nationales sur un rseau par essence mondial. Illustration Pour illustrer, s'il en tait encore besoin, le manque total de confidentialit du rseau Internet, songez au fait que la commande Ping suivie d'un numro d'adresse IP permet de savoir si une machine est connecte Internet sans que son propritaire soit averti de cette requte (la plupart des pare-feu permettent cependant de bloquer ce type de requte, mais trs peu d'utilisateurs activent cette fonctionnalit).
21
2. Les espiogiciels
2.1. Que sont les espiogiciels ?
Espiogiciel est la traduction franaise du terme anglais spyware, spy en anglais signifiant espion , que l'on peut donc traduire par logiciel espion . Les espiogiciels sont un phnomne d'apparition rcente qui est en train de prendre une ampleur considrable. Un espiogiciel est un programme qui rassemble des informations l'insu de son utilisateur et les transmet une organisation qui cherche en tirer parti. En fait, on dsigne sous le terme d'espiogiciel des programmes qui recueillent des informations telles que les sites web visits, les applications installes sur l'ordinateur, la version du navigateur et du systme d'exploitation. Ces donnes permettent de dresser un profil commercial de l'utilisateur qui est surtout considr comme un consommateur en puissance. Remarque On range habituellement sous le terme spyware une autre catgorie de logiciels appels adwares [ad, en anglais, est l'abrviation de advertisement et signifie publicit ] qui sont des programmes qui affichent de manire intempestive des informations de nature publicitaire. Alors qu'un spyware est toujours furtif et agit sans le consentement de l'utilisateur, un adware peut, dans le meilleur des cas, demander l'autorisation de l'utilisateur et, bien souvent, avertir l'utilisateur de ses intentions en noyant cette information dans les clauses d'utilisation d'un logiciel freeware que personne ne lit jamais. Bien que le principe de ces deux types de logiciels ne soit pas identique, tous ces programmes consacrent l'ide qu'Internet est aujourd'hui devenu un gigantesque espace marchand. Si le fait qu'un logiciel rcupre la version de votre navigateur et de votre systme d'exploitation peut paratre assez bnin, le problme est que la majorit des espiogiciels ne se contentent pas de ce genre d'informations. En outre, il convient d'tre intraitable sur les principes et de considrer qu'aucune donne ne doit sortir de votre ordinateur sans votre consentement. Les espiogiciels menacent donc la scurit de votre systme d'information et il convient dans ces conditions de les combattre par tous les moyens.
22
Remarque : Les espiogiciels sont frquemment associs des logiciels proposs en tlchargement gratuit sur l'internet, comme par exemple les logiciels d'changes de fichiers peer-to-peer, mais galement dans des produits phares de grands diteurs. On peut galement compter au nombre de ces techniques les web bugs qui, le plus souvent des fins de mesure d'audience, prennent la forme d'une image invisible et indtectable constitue d'un unique pixel insr dans des pages ou courriers lectroniques au format html. Ces derniers toutefois ne font pas l'objet d'une installation permanente sur les machines des utilisateurs concerns. Ampleur du phnomne Un fournisseur d'accs Internet amricain (Earthlink) et une socit spcialise dans la scurit informatique (Webroot) ont uni leurs efforts au dbut de l'anne 2004 pour tenter de mesurer l'ampleur du phnomne des espiogiciels en offrant aux internautes la possibilit de tester leur systme grce un programme baptis Spy Audit. La particularit de ce logiciel est qu'il s'installe et scanne votre ordinateur extrmement rapidement. Les rsultats de l'tude de ces deux socits sont assez difiants et mritent que l'on s'y arrte. Vous trouverez ci-dessous un tableau rsumant les rsultats de l'audit ralis au cours des quatre premiers mois de l'anne 2004 :
Rsultats globaux Nombre d'ordinateurs analyss Nombre de spywares trouvs Moyenne des spywares trouvs par ordinateur analys Nombres adwares trouvs Nombres de chevaux de troie trouvs
TAB. 1 : RSULTATS D'AUDIT
Priode du 1er Janvier au 30 Avril 2004 1 483 517 40 846 089 27,5 7 642 556 257 761
Complment Vous pouvez consulter l'ensemble de l'tude en cliquant ici. Vous pouvez tester votre ordinateur en tlchargeant cet utilitaire en cliquant ici. Une autre tude indique qu'en octobre 2004, 80 % des ordinateurs taient infects par des spywares. Pour la consulter, cliquer ici.
2.2. A quoi servent les espiogiciels ?

Vritables mouchards lectroniques au mme titre que les cookies mais aux fonctionnalits beaucoup plus tendues, ils peuvent envoyer ds le dmarrage de l'ordinateur vers les serveurs d'un organisme "matre" toutes les donnes qu'ils ont collectes, comme les habitudes de navigation et les adresses de tous les sites visits, mais aussi la configuration exacte de l'ordinateur et le contenu de son disque dur permettant ainsi parfois de dnicher des adresses lectroniques ou, plus gnant, des mots de passe !
23
L'objectif affich par les diteurs de ces logiciels est d'assurer une meilleure maintenance des programmes dans lesquels ils sont intgrs. La transmission de donnes comme la version utilise, les programmes associs ou les erreurs rencontres, permet en effet parfois d'envoyer automatiquement l'utilisateur les mises jour et correctifs indispensables au bon fonctionnement du programme principal. Une autre pratique consiste galement en la revente des donnes ainsi collectes des rgies publicitaires, des centrales d'achats ou des socits de marketing. Ces donnes constituent une ressource apprciable pour ces entreprises, la valeur de leurs fichiers et de leurs bases de donnes tant dtermine par la qualification et le profilage les plus prcis possible des internautes lists. L'espiogiciel est cet effet la rponse la plus avance la culture de l'anonymat et du pseudonymat qui demeure encore aujourd'hui un des traits fondamentaux de l'identit sur internet. Les fonctions d'espionnage sont mme parfois la ranon de la gratuit d'un logiciel : son concepteur l'offre librement en tlchargement mais se rmunre en contrepartie par la revente des informations recueillies. Remarque L'espiogiciel est cet effet la rponse la plus avance la culture de l'anonymat et du pseudonymat qui demeure encore aujourd'hui un des traits fondamentaux de l'identit sur internet. Les fonctions d'espionnage sont mme parfois la ranon de la gratuit d'un logiciel : son concepteur l'offre librement en tlchargement mais se rmunre en contrepartie par la revente des informations recueillies. Exemple Par exemple, une disposition de la licence de tlchargement du logiciel d'change de fichiers (peer-to-peer) KaZaA, qui a fait l'objet d'un procs aux Pays-Bas, signalait bien la prsence d'un logiciel espion parmi les fichiers installs. Mais la taille des caractres et la formulation employe pour prvenir l'utilisateur ne dlivraient pas une information vritablement claire. Ce manque de transparence est bien entendu de nature entacher la validit du consentement de l'utilisateur la collecte de ses donnes personnelles. Remarque En marge des questions lie la protection de la vie prive, il faut enfin remarquer que les espiogiciels mobilisent des ressources de l'ordinateur lorsqu'ils sont actifs en tche de fond [mmoire disque, mmoire vive et bande passante pour les transmissions de donnes].
2.3. Mode diffusion et dtection des espiogiciels

La plupart des espiogiciels sont intgrs des logiciels freeware ou shareware[le paiement de la contribution est bas sur le volontariat]. Si l'espionnage est clairement avou, on peut considrer qu'il s'agit d'une contrepartie la gratuit puisqu'en notre bas monde, rien n'est vraiment gratuit. Les programmes d'change de fichiers (P2P), comme Kazaa, iMesh ou Go!Zilla, sont
24
de grands pourvoyeurs de spywares. D'autres logiciels comme Babylon Translator, GetRight, Download Accelerator ou Cute FTP en contiennent galement. Il est bien difficile de trouver sur Internet une liste exhaustive des logiciels hbergeant un spyware, qu'il soit externalis ou interne. On considre cependant que plus d'un millier de programmes contiendrait un espiogiciel. Certains spywares s'installent parce que vous avez donn votre accord, mais certains programmes particulirement insidieux, comme Comet Cursor ou Gator, se retrouvent sur votre ordinateur sans que vous n'ayez rien demand. Attention Les spywares sont souvent difficiles supprimer manuellement et ce n'est pas parce que vous supprimez le logiciel hte que l'espiogiciel disparatra. Ainsi, la suppression de Kazaa de votre disque dur n'entrane pas la suppression du logiciel Cydoor. En revanche, la suppression d'un spyware peut entraner des dysfonctionnements dans le logiciel auquel il est li. En clair, si vous dsinstallez Cydoor, rien n'indique que Kazaa continuera fonctionner normalement. Remarque Si vous avez donn votre consentement l'installation d'un espiogiciel de type adware, il est normal de voir apparatre de temps en temps des bannires publicitaires. En revanche, si vous n'avez pas donn votre accord et que vous constatiez des comportements surprenants aprs l'installation d'un logiciel gratuit, vous devez souponner la prsence d'espiogiciels sur votre ordinateur. Voici une liste de symptmes qui sont rvlateurs de la prsence de spyware : La page d'accueil de votre navigateur a t modifie. Des fentres publicitaires s'affichent que vous soyez ou non sur Internet. Une barre d'outils a t installe dans votre navigateur et vous n'arrivez pas la supprimer. Votre ordinateur ralentit de manire inexplique. Conseil Si vous constatez de tels symptmes, vous devez vous procurer un outil qui permet de scanner votre disque dur afin de rechercher la prsence de spywares. Dans la mesure o les espiogiciels ne sont pas des virus ni des chevaux de Troie, les antivirus classiques ne les dtectent pas et il faut alors faire appel une autre catgorie de programmes : les scanners de spywares.
2.4. Comment matriser les espiogiciels ?

En pratique, vous pouvez suivre plusieurs mesures pour vous prmunir des effets non dsirs des espiogiciels.
25
2.4.1. "Prudence est mre de sret"

Conseil Il convient tout d'abord de prendre garde ce que vous installez sur votre ordinateur. La plus grande vigilance est notamment recommande dans le cas de nombreux logiciels distribus gratuitement : Tlcharger uniquement les logiciels dont vous tes parfaitement sr! Remarque Une des caractristiques majeure des espiogiciels est qu'ils sont souvent installs l'insu de l'utilisateur. Les botes de dialogue d'installation offrent ainsi rarement la possibilit de refuser ces fonctionnalits. Lorsqu'une installation personnalise d'un logiciel est propose, on dsactivera les modules additionnels qui ne sont pas absolument ncessaires au fonctionnement du logiciel. Un certain discernement quant aux actions effectuer, propre aux utilisateurs avertis, est cependant ncessaire.
2.4.2. Lire attentivement entre les lignes

Conseil Une seconde prcaution lmentaire consiste lire attentivement le Contrat de Licence d'Utilisateur Final[CLUF ou EULA pour End-User License Agreement]qui contient gnralement en toutes lettres la mention de l'intgration de fonctionnalits de spyware dans le logiciel que l'utilisateur s'apprte installer. Remarque La difficult vient du fait que ces contrats sont peu lisibles et souvent ambigus, ce qui n'incite pas leur lecture. Il est toujours possible de refuser ce contrat de licence et de ne pas procder l'installation du programme. Le choix d'un logiciel concurrent disposant de fonctionnalits quivalentes mais dpourvu d'espiogiciel pourra alors constituer une bonne alternative.
2.4.3. Effectuer des diagnostics rguliers et surveiller les activits de sa machine

L'usage d'un logiciel anti-virus et d'un pare feu (firewall) personnel peut se rvler utile. En effet, pour transmettre les donnes collectes, l'espiogiciel utilise obligatoirement une connexion internet. Certains pares feu permettront par exemple l'utilisateur d'tre alert des tentatives de connexion des serveurs distants. Remarque L'efficacit des pares feu est relative puisque l'essentiel des vrifications concerne les donnes entrantes et non les donnes sortantes. Celle des anti-virus l'est tout autant car les espiogiciels ne sont pas considrs ni rpertoris comme des virus et passent souvent au travers de ces filtres.
26
2.4.4. Procder des nettoyages rguliers

Le moyen le plus efficace de se prmunir contre les espiogiciels est d'avoir recours des programmes permettant de les identifier et de les mettre hors d'usage ou de les dtruire. Remarque Certains sites listent ainsi les espiogiciels connus, leur limite rsidant dans l'absence d'exhaustivit et dans l'obsolescence rapide de ces listes. Il existe encore plusieurs programmes anti-spyware, disponibles gratuitement sur l'internet, dont l'efficacit parat satisfaisante. Ces logiciels identifient et permettent la dsinstallation des espiogiciels indsirables. La dsinstallation d'un spyware pourra parfois s'avrer difficile lorsque les fonctionnalits de ce dernier conditionnent le bon fonctionnement du programme principal. Attention L'usage de ces techniques de protection est toutefois rserv des utilisateurs confirms, une mauvaise manipulation des logiciels ou des effacements malencontreux de fichiers pouvant tre prjudiciables au bon fonctionnement de la machine. En cas de doute, n'hsitez pas vous entourer des conseils de personnes qualifies en informatique.
2.5. Un exemple de spyware

Quand vous installez le logiciel de partage de fichiers musicaux Kazaa sur votre ordinateur, vous installez, outre le programme de P2P (peer to peer), d'autres logiciels dont le but est d'ailleurs explicitement indiqu. La traduction est certes calamiteuse et sent le traducteur automatique plein nez, mais on comprend quand mme qu'en change de la gratuit de Kazaa, on va devoir supporter des publicits. Les choses ont au moins le mrite d'une apparente clart. Plus adware que spyware, le logiciel Kazaa est quand mme peru par la majorit des socits spcialises dans la scurit informatique comme le plus gros pourvoyeur de spywares en raison de son nombre d'utilisateurs (plus de 200 millions). L'diteur Computer Associates le classe d'ailleurs toujours en tte de son top 5 des espiogiciels (http://www3.ca.com/securityadvisor/pest/). Remarque Le logiciel Cydoor, qui est associ Kazaa[on parle alors de spyware externalis], explique clairement sur son site son fonctionnement ; en fonction des informations donnes par l'utilisateur, des bannires publicitaires sont tlcharges sur le disque dur et affiches rgulirement quand le programme Kazaa est excut [c'est--dire en permanence dans la plupart des cas]. Cydoor prtend ne recueillir aucune donne nominative, mais collecte cependant les informations suivantes : sexe, ge, centres d'intrt, statut marital, salaire, zone d'habitation, pays et niveau d'tudes. Il n'y a effectivement rien de nominatif l dedans, mais on apprend un peu plus loin que l'installation de Cydoor ncessite de fournir une adresse lectronique.
27
En France, la CNIL considre depuis longtemps qu'une adresse lectronique est une donne caractre nominatif et il y a donc une contradiction entre les principes noncs par Cydoor et la ralit. D'autre part, Cydoor dcline toute responsabilit en ce qui concerne les traitements de donnes nominatives qu'effectuent les socits pour lesquelles elle ralise de la publicit. On voit donc bien qu'il y a l un grand flou juridique et que le consommateur ne sait finalement pas grand-chose des traitements de donnes qui sont raliss sur son ordinateur.
2.6. Quelques adresses utiles

Site dtaillant les moyens pratiques d'liminer les espiogiciels Moteur de recherche sur les programmes intgrant des espiogiciels Liste de programmes contenant des espiogiciels connus[date de mise jour non disponible ] Site d'information sur la scurit internet ayant ralis un dossier complet sur les spyware Le logiciel Ad-Aware, de l'diteur amricain Lavasoft, connat un grand succs
3. Autres catgories de malwares (ou codes malveillants)

Les autres catgories de programmes malveillants sont encore trs nombreuses. L'diteur d'antivirus Trend Micro propose une base de donnes des virus que l'on peut interroger en ligne. Cette base de donnes comporte un champ type de malware qui ne compte pas moins de 26 lments dans la liste. Elle recense, par exemple, plus de 500 programmes de backdoor.
28
Terme anglais Backdoor Boot Trojan Clicker DDoS Program Downloader Dropper Exploit File infector Flooder Keylogger Macro Trojan Notifier Nuker Password Stealer Registry Modifier Script Trojan Sniffer Spammer Trojan Porte drobe
Equivalent franais Cheval de Troie de dmarrage Programme rorientant le navigateur vers un site spcifique Programme de dni de service distribu Tlchargeur Programme extrayant dautres malwares sur lordinateur Exploitation dune faille de scurit Infecteur de fichier Programme inondant une connexion pour la surcharger Programme dinterception des touches saisies au clavier Cheval de Troie macro Programme de notification dinformations au hacker Programme permettant de planter une machine distance Voleur de mots de passe Modificateur du registre Cheval de Troie de script Programme dcoute du trafic rseau Programme denvoi de courriers non sollicits Cheval de Troie
TAB. 2 : DIFFRENTES CATGORIES DE LOGICIELS MALVEILLANTS
Cette base de donnes est galement intressante car elle permet d'effectuer une recherche en prenant comme critre l'effet du malware[ Effet tel que : mise en danger de la scurit rseau, corruption de disque dur, cration de fichiers, suppression de fichiers, affichage d'images ou de messages, formatage du disque dur, plantage du systme, redmarrage de l'ordinateur, vol de mots de passe, etc.]. Remarque Bien videmment, cette classification est sujette caution et on trouve sur Internet, dans les forums spcialiss sur la scurit informatique, de nombreuses joutes oratoires o les experts se querellent sur la pertinence de telle ou telle catgorie. Frquenter ce genre de base de donnes est cependant trs formateur car cela permet de mieux apprhender l'ampleur du phnomne et sa ralit. Complment Vous trouverez une liste de malwares encore plus complte (71 lments) l'adresse suivante : http://www3.ca.com/securityadvisor/pest/search.aspx
29
4. Autres techniques d'espionnage

4.1. Quelles sont les autres techniques d'observation et quoi servent-elles ?
Javascript : il sagit de lignes de code crites en langage Java, dvelopp par la socit Sun. Intgr dans le code source de la page HTML, le javascript est excut directement par le navigateur et non par le serveur dorigine. Applet java : appele aussi appliquette , c'est une petite application autonome crite en langage Java qui effectue quelques tches spcifiques dans le site web sur lequel elle est intgre. ActiveX: c'est une technologie proprit de Microsoft, qui fait partie d'un ensemble dsign sous l'appellation Component Object Model (COM). Les contrles ActiveX s'apparentent aux applets java. Ils peuvent tre tlchargs et excuts directement par le navigateur. Quelques lignes de VBScript pour espionner Un informaticien amricain, Richard Smith, qui travaille pour le compte de la Privacy Foundation, a tir la sonnette d'alarme en exposant les risques que reprsentent les courriers lectroniques au format HTML qui permettent un enrichissement typographique accroissant la lisibilit des messages. Les courriers HTLM, outre le fait qu'ils sont plus beaux, peuvent galement contenir du code VBScript ou JavaScript et Richard Smith prtend qu'en rajoutant quelques lignes de programme VBScript dans un courriel au format HTML, il est facile de savoir ce que le destinataire en fait. On peut notamment apprendre qui il le rexpdie et prendre connaissance des ventuelles remarques qu'il a faites en le transfrant. Dans la mesure o Richard Smith s'est dj illustr par le pass en mettant jour les cookies de DoubleCick et en rvlant l'existence des webbugs (mouchards capables de pister les internautes), il n'y a pas vraiment de raison de mettre sa parole en doute, mme s'il ne fait pas une dmonstration du code incrimin. Certaines socits exploitent d'ailleurs dj cette faille en proposant une traabilit des messages que vous envoyez. Faut-il pour autant examiner le code source de tous les messages que l'on reoit ? Cela serait trs fastidieux. En revanche, il est conseill de dsactiver la fonctionnalit JavaScript d'Outlook Express.
4.2. A quoi servent ces techniques ?

Ils permettent des applications interactives lors de l'affichage et de la lecture de pages, comme la vrification des entres dans des champs de formulaires ou la mise en forme du texte. Mais ils peuvent galement servir excuter des tches plus avances en relation avec des bases de donnes ou avec le systme informatique de l'utilisateur. Parmi les applications rencontres dans la navigation courante, les scripts permettent
30
notamment de dclencher l'ouverture de fentres publicitaires dites "pop up" ou encore l'inscription d'un site en page de dmarrage. Ils peuvent aussi servir collecter des donnes personnelles. La CNIL les classe d'ailleurs dans la catgorie des procds de collecte automatise de donnes. A l'instar des cookies et des spywares, les donnes collectes peuvent aller de la configuration technique de la machine l'historique des sites visits ou d'autres donnes plus sensibles comme des adresses e-mail. Remarque Contrairement aux scripts java, les contrles ActiveX sont programmables sans restrictions et sont cet gard potentiellement plus dangereux que les java scripts. En effet, ces contrles peuvent permettre leur programmeur, une fois excuts, de raliser distance un trs grand nombre de tches et d'actions sur la machine de l'utilisateur en disposant des mmes privilges sur les fichiers et les programmes que ce dernier : lier, crire, effacer, transfrer, excuter. Ainsi, certains contrles ActiveX permettent de modifier la base de registre de l'utilisateur. Cette base contient les informations de configuration et de scurit des programmes et des fichiers, toute modification ayant des consquences non ngligeables sur la scurit. Les contrles ActiveX ne fonctionnent toutefois que sous un environnement Windows qui constitue la majorit de systmes d'exploitation des ordinateurs personnels. Attention Ce ne sont pas pour autant des virus, car ils ne se propagent pas et n'infectent pas les documents de l'utilisateur.
4.3. Comment matriser ces techniques d'observation ?
Partie C. Les traces sur logiciels

Prambule
Il y a prs de dix ans (en 1996), la CNIL crivait dans son 17e rapport que "finalement, la prsentation souvent faite d'Internet consistant assimiler le rseau une immense bibliothque, consultable au moyen d'un navigateur, dans une relation client/serveur, qui donne penser que l'information serait passive, transparente et matrise par l'utilisateur parat bien nave" . Cette vision des choses a-t-elle fondamentalement chang aujourd'hui ? Nous avons toutes les raisons de nous montrer pessimistes et ce rapide tour d'horizon montre avec acuit que la ncessit de protger les donnes personnelles sur Internet doit devenir une vraie proccupation.
31
1. Prsentation
Il est de plus en plus frquent de constater la mise en oeuvre de mouchards pour les applications informatiques sensibles. C'est devenu le cas de la majorit des applications utilises dans les entreprises, les banques, les assurances, et ceci sous la pression de plus en plus forte des audits de scurit. Cette surveillance qui, dans sa forme la plus simple, consiste inscrire dans un fichier le nom et les heures de connexion/dconnexion d'un utilisateur une application informatique, permet alors de tracer plus ou moins prcisment l'activit d'un salari. Il parait en effet normal qu'une socit tente de scuriser au maximum son systme informatique vu les enjeux, mais force est de constater, d'une part, que la mise en place de ces traces est rarement connue des utilisateurs et, d'autre part, que leur consultation ou leur exploitation est souvent possible pour d'autres personnes[les informaticiens internes l'entreprise, voire les prestataires de service qui interviennent sur le systme, par exemple] que celles qui y ont lgitimement accs[le service de contrle gnral ou la cellule scurit de l'entreprise]. Exemple 1 Quand vous utilisez Outlook Express, vous laissez, par dfaut, des traces de tous les courriers que vous recevez et envoyez. Si cela vous pose des problmes de confidentialit, vous devez apprendre supprimer tous les courriers compromettants. Pour que les courriers envoys ne soient pas systmatiquement stocks dans le dossier lments envoys, dsactivez la case cocher Copier les messages envoys dans 'lments envoys' dans l'onglet Envois de la commande Outils > Options. Exemple 2 Pour prendre un autre exemple, les logiciels de la suite Office stockent au sein des documents des renseignements dont la plupart des utilisateurs ignorent l'existence. Qui connat dans Word l'existence de l'option de confidentialit dans Word? On y accde par la commande Enregistrer sous en slectionnant le menu Outils > Options de scurit. L'option Supprimer les informations personnelles des proprits du fichier lors de l'enregistrement permet de ne pas diffuser involontairement des informations masques, comme le nom de l'auteur du document ou les noms associs aux commentaires ou aux marques de rvision. Conseil D'une manire gnrale, vous devez prendre conscience du fait que toutes les tches que vous effectuez sur un ordinateur laissent des traces : ce n'est pas parce que vous venez d'effacer un courrier compromettant qu'une copie de sauvegarde n'en a pas t fate sur le serveur. Mfiez-vous de toutes les fonctions logicielles qui permettent de sauvegarder automatiquement des informations. Par exemple, la fonction de saisie semi-automatique de Windows peut rvler des renseignements confidentiels un intrus qui utiliserait votre ordinateur. Et nous ne parlons mme pas des logiciels d'espionnage qui enregistrent votre insu tout ce que vous saisissez sur votre clavier...
32
2. Comment supprimer quelques traces ?

Si vous n'aimez pas laisser de traces derrire vous quand vous utilisez un ordinateur, vous apprcierez l'utilitaire Tweak UI, cr par Microsoft, que vous pouvez tlcharger en cliquant ici. Attention Il existe une version plus rcente de Tweak UI (2.0) pour Windows XP, mais cette version ne comporte plus malheureusement la fonction qui nous intresse. Vous pouvez donc tlcharger cette version qui fonctionne trs bien sous Windows XP. Dmarche Pour installer ce petit utilitaire, dcompactez les fichiers de l'archive dans un dossier, puis faites un clic droit sur le fichier Tweakui.inf et choisissez Installer dans le menu contextuel. Une nouvelle icne, intitule Tweak UI, apparat dans le Panneau de configuration. En cliquant sur cette icne, vous ferez apparatre une bote de dialogue comportant de nombreux onglets. Tweak UI permet de configurer simplement de nombreux paramtres de Windows qui sont inaccessibles dans l'interface du systme d'exploitation et qui ncessitent habituellement des modifications du registre. Conseil Cliquez sur l'onglet Paranoia pour accder de nombreuses options qui permettent d'effacer vos traces au dmarrage de l'ordinateur.
3. Un mouchard dans les fichiers Word et Excel

L'histoire que nous allons vous raconter est un peu ancienne l'chelle du temps informatique car elle date de 1999, mais elle a le mrite d'tre assez exemplaire nos yeux. Tout a commenc le 1er mars 1999 sur le forum alt.comp.virus o Richard Smith, PDG de la socit Phar Lap Software, bien connue des dveloppeurs, a post un message intitul Fingerprinting of Excel and Word files [des empreintes dans les fichiers Word et Excel]. Richard Smith indique dans sa contribution qu'il a fait une dcouverte trs intressante : " Apparemment, Microsoft cre une empreinte dans les fichiers Excel et Word l'aide de l'adresse de la carte Ethernet des utilisateurs. L'adresse de la carte Ethernet (ou adresse MAC) est un numro sur 48 bits qui est conu pour tre unique tout comme le numro de srie du Pentium III. Pour faire vous-mme un test, ouvrez simplement un document Word l'aide de Notepad et cherchez la chane "GUID" ; vous constaterez que l'adresse de votre carte rseau suit peu aprs. Personnellement, je trouve trs trange que des numros de srie matriels soient enregistrs dans des fichiers Word et Excel." Deux jours plus tard, un article publi dans le New York Times rvlait que les
33
fichiers crs par Word ou Excel contenaient un numro d'identification unique. Le lendemain, la socit Junkbusters publia un communiqu de presse o elle dnonait l'attitude de Microsoft face au respect de la vie prive. Par la voix de son prsident, Jason Catlett, cette socit dont le but est d'aider les consommateurs protger leur vie prive contre les agressions du marketing dclarait que "les socits devaient rvler ce qu'elles faisaient avec les informations permettant d'identifier les personnes. En raison du fait que le processus d'enregistrement de Windows relie des gens des numros d'identification, Microsoft se doit d'informer le public sur la destination de ces numros. Le New York Times n'est pas le lieu adquat o vous devez dcouvrir que chaque document cr avec Microsoft Word a t tatou secrtement avec un numro d'identification." Nous avons personnellement longtemps cru que l'acronyme GUI signifiait Graphic User Interface[Interface utilisateur graphique], mais il a fallu se rendre l'vidence : cela voulait dire galement Globally Unique Identifier[on trouve aussi dans la littrature technique l'acronyme GUID qui signifie la mme chose]. Les bonnes mes s'taient mues lors de la sortie de Windows 98 de la procdure d'installation qui proposait l'utilisateur de s'inscrire en ligne car, outre les informations ncessaires tout enregistrement de licence[nom de l'utilisateur, adresse, etc.], l'assistant proposait d'examiner l'environnement matriel dans lequel l'utilisateur voluait et pouvait ainsi rcolter des informations qui taient transmises Microsoft. Or, dans l'dition du 7 mars du New-York Times, on a appris que Richard Smith avait dcouvert qu'un numro d'identification unique tait transmis Microsoft lors de l'enregistrement en ligne de Windows 98 mme si l'utilisateur ne souhaitait pas communiquer le profil matriel de son ordinateur. Le PDG de Phar Lap montrait comment l'Assistant d'enregistrement de Windows 98 (RegWiz) pouvait divulguer les numros de l'ordinateur et du client. Le premier des deux numros est appel Hardware ID ou HWID [Il s'agit d'un numro unique assign par Microsoft qui identifie votre ordinateur. Il contient galement l'adresse de votre carte rseau si vous en possdez une. L'adresse est contenue dans les douze derniers chiffres du HWID.] Le deuxime numro est appel Microsoft ID ou MSID. Un magazine allemand, CT Magazine, a pu prouver que ce numro est plac dans un cookie afin de pister les dplacements de l'utilisateur sur le site web de Microsoft. Il s'agit d'un numro de srie unique qui identifie la personne qui a enregistr Windows 98 sur son ordinateur. Comme le dmontre Richard Smith, en raison d'un bug dans le contrle ActiveX RegWiz, ces deux numros peuvent tre lus par d'autres sites web et stocks dans leurs propres bases de donnes alors que, normalement, ils ne devaient tre disponibles que pour Microsoft. la suite de cette histoire, Microsoft proposa en tlchargement un outil pour supprimer cet identificateur unique[Office 97 Unique Identifier Removal Tool] et jura ses grands dieux que la version suivante d'Office ne contiendrait plus cette fonctionnalit. Malheureusement, Microsoft ne tint pas promesse : les documents d'Office 2000 taient encore tatous. Il a fallu attendre la version d'Office XP (2002) pour que cet identificateur disparaisse, en tous les cas sous la forme que nous connaissons.
34
Remarque Si vous avez encore des documents Office 2000 sur votre disque dur, vous pouvez faire le test l'aide d'un petit utilitaire que l'on peut tlcharger sur le Web l'adresse suivante : http://www.vecdev.com/guideon.html Complment Guideon permet non seulement de supprimer l'identificateur unique, mais galement de le sauvegarder au pralable dans un fichier journal. Cela permet de constater que, dans l'adresse MAC de sa carte rseau [lisible grce la commande IPCONFIG/ALL], se trouve bien le mouchard. quelque chose, malheur est bon : c'est grce au GUID que l'on a pu arrter l'auteur du virus macro Melissa. Application Amusez-vous lancer REGEDIT, l'utilitaire de modification du registre, et recherchez l'adresse MAC de votre carte rseau en saisissant tous les chiffres sans espace. Vous serez tonn du nombre d'occurrences que vous rencontrerez...
Ressources
http://www.tactika.com/cookie/
Article "Les cookies dmystifis" de Clment Gagnon.
Coockiecentral.com : Site en anglais qui prsente toute l'actualit sur les cookies et autres "tmoins" informatiques, une importante FAQ explicative et un forum de discussion. En anglais.
Chapitre
III
La scurisation des informations sensibles
Partie A. Les dangers d'Internet
1. Les virus et macro-virus informatiques
Qu'est-ce qu'un virus informatique ? Un virus informatique est un programme[des instructions crites dans un langage de programmation] qui effectue certaines actions et, en gnral, cherche se reproduire. Il peut aussi avoir comme effet, recherch ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'oridnateur infect. Les actions effectues dpendent du virus et sont diffrentes d'un virus l'autre : cela peut aller du simple affichage d'images ou de messages l'cran l'effacement complet du disque dur (dans ce cas, on parle de bombe logique ou de charge utile ), en passant par la suppression de certains fichiers. Les virus informatiques peuvent se rpandre travers tout moyen d'change de donnes numriques comme l'Internet, mais aussi les disquettes, les cdroms,... Son appellation provient d'une analogie avec le virus biologique puisqu'il prsente des similitudes dans sa manire de se propager et de se reproduire.
36
Remarque : Sachez que le nombre de virus en circulation sur PC s'lve plusieurs dizaines de milliers. Le danger est donc bien rel et cela n'arrive pas qu'aux autres. Il faut donc apprendre bien identifier les risques pour ne pas se faire contaminer ni, par voie de consquence, contaminer les autres ; en effet, quand vous tes victime d'un virus, outre le dsagrment de la situation, la plupart du temps vous le transmettez vos correspondants chaque fois que vous envoyez un e-mail. Raison de plus pour vous protger ! Attention Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'enre elles, jouant sur l'ignorance informatique des utilisateurs, leur font parfois dtruire des lments de systme d'exploitation totalement sains. Les macro-virus Les macro-virus s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel,...) grce au VBA de Microsoft. Exemple Par exemple, en s'intgrant dans le modle normal.dot de Word, un virus peut tre activ chaque fois que l'utilisateur lance ce programme.
2. Les vers
Les vers se rpandent dans le courrier lectronique en profitant des failles des diffrents logiciels de messagerie (notamment Microsoft Outlook). Ds qu'ils ont infect un ordinateur, ils s'envoient eux-mmes dans tout le carnet d'adresses, ce qui fait que l'on reoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante ( I Love You ). Les experts n'arrivent pas se mettre d'accord sur l'appartenance ou non des vers la classe des virus informatiques.
3. Les canulars (hoax)

Hoax Terme anglais qu'on peut traduire par canular, le hoax peut tre dfini comme une fausse information ou une rumeur. C'est une forme particulire de spam puisqu'il se base sur le courrier lectronique. Il utilise la crdulit des utilisateurs pour se propager. En faisant circuler des informations qui apparaissent l'utilisateur comme essentielles il compte sur celui-ci pour relayer (forwarder) l'information tous ses contacts.
37
En gnral, le hoax n'est pas rellement dangereux puisqu'il ne met pas en dfaut la scurit des donnes de l'utilisateur et n'essaie pas de lui extorquer de l'argent. Cependant, le hoax possde quelques cts pervers : Il sert la dsinformation en faisant circuler de fausses informations ou des rumeurs non fondes et dcrdibilise le moyen de diffusion que reprsente Internet. Il engorge les rseaux et les botes aux lettres en se servant des utilisateurs crdules pour tre propag. Le site web www.hoaxbuster.com est une ressource en ligne recensant tous les hoax qui circulent sur Internet. Pour lutter contre la dsinformation, pensez toujours vrifier une information avant de l'envoyer vos amis. Conseil Une alerte de virus par email : mettez votre anti-virus jour et laissez-le faire son boulot ! Une chane de solidarit : vrifiez sur www.hoaxbuster.com ! Votre souhait se ralisera ... arrtez de lire l'horoscope, vous allez finir par y croire !
4. Les chevaux de Troie

Explication Le terme cheval de Troie (en anglais, trojan horse ou simplement trojan) tire bien entendu son origine d'un clbre pisode de la mythologie grecque o un cheval en bois contenant des guerriers avait t introduit, grce une ruse, dans la ville de Troie assige. Un cheval de Troie est donc un programme qui effectue une tche spcifique l'insu de l'utilisateur. la diffrence d'un virus, un cheval de Troie ne se reproduit pas, mais de nombreux virus diffusent galement un cheval de Troie sur l'ordinateur qu'ils infectent. Un cheval de Troie peut tre excut de manire furtive chaque dmarrage de l'ordinateur si un virus a programm son excution automatique en ajoutant des cls dans le registre. Un cheval de Troie peut aussi se cacher dans un logiciel qui lui servira d'hte.
38
Exemple Quand un utilisateur croit excuter un programme de jeu de dames qu'il a tlcharg sur Internet, il va galement lancer un petit logiciel furtif qui va enregistrer toutes les touches qu'il saisit au clavier et, par consquent, dvoiler tous ses mots de passe, son numro de carte bancaire s'il ralise des achats sur Internet, etc. C'est ensuite un jeu d'enfant pour le cheval de Troie de stocker toutes ces informations dans un fichier qui sera ensuite transmis par protocole FTP, ds l'activation de la connexion Internet, sur un serveur situ dans un pays o la lgislation n'est pas trop regardante... Attention Internet reprsente une vritable mine car on y trouve de trs nombreuses informations gratuites et de qualit. Cela est galement vrai pour les logiciels et vous pouvez trouver sur la Toile de trs nombreux programmes freeware (gratuits) d'excellente facture. Il convient cependant d'tre particulirement mfiant et de faire attention o l'on met les pieds. Il ne s'agit absolument pas de jeter ici l'anathme et de semer le doute sur tout ce qui est gratuit car certains programmes freeware sont bien meilleurs que d'autres qui sont commercialiss. Pour autant, il faut reconnatre que de nombreux chevaux de Troie sont diffuss par le biais de programmes freeware en tlchargement sur Internet. Dans ces conditions, vitez de tlcharger tout et n'importe quoi car vous risquez d'affaiblir considrablement la scurit de votre ordinateur. Si vous apprciez les logiciels freeware, adoptez les rgles suivantes : Prfrez les programmes qui sont livrs sur les CD-ROM des revues (en principe, ils ont dj t tests et sont garantis sans virus). Optez pour les programmes freeware crits par des individus ou des socits dont la rputation est irrprochable (faites-vous votre opinion en lisant les commentaires des autres utilisateurs). Mfiez-vous des programmes qui viennent de sortir et qui sont inconnus. Proscrivez les logiciels dont le but est clairement illgal et que l'on trouve sur certains sites underground. Rcuprer un programme qui permet de craquer les mots de passe ou de gnrer de vrais faux numros de cartes bancaires peut vous donner l'impression (fausse) d'tre un gourou de l'informatique et vous procurer des frissons insondables en vous persuadant que vous tes en train de passer du ct de la force obscure, mais vous risquez surtout d'introduire un cheval de Troie sur votre ordinateur. Privilgiez les logiciels dont les dveloppeurs publient le code source (vous ne serez peut-tre pas capables de l'analyser, mais des professionnels de la scurit pourront le faire votre place et mettre un avis). En cas de doute, abstenez-vous et optez pour un autre logiciel, mme s'il s'agit d'un programme payant. N'oubliez pas qu'avec un logiciel commercial, vous pouvez avoir un recours en cas de problme.
39
Complment D'aprs tous les diteurs d'antivirus, le nombre de chevaux de Troie est en trs nette augmentation depuis quelques annes ; dans la liste des virus recenss par la base de donnes de Symantec, le terme trojan apparat plus d'un millier de fois. Si les premiers chevaux de Troie taient assez primitifs et ne faisaient pas dans la dentelle[En formatant, par exemple, votre disque dur comme le programme Mungabunga], on a affaire aujourd'hui des programmes de plus en plus sophistiqus. En janvier 2005, les policiers espagnols ont ainsi arrt un programmeur de 37 ans qui avait crit un cheval de Troie permettant de rcuprer des informations sur les comptes bancaires des utilisateurs. De plus, disponible sur les rseaux d'changes de fichiers (P2P), ce logiciel espionnait les utilisateurs munis d'une Webcam... Les programmeurs de chevaux de Troie rivalisent aussi d'imagination pour diffuser leurs oeuvres. Certains n'hsitent pas se faire passer pour Microsoft et envoient ainsi des courriels qui ressemblent s'y mprendre aux messages que Microsoft diffuse. La seule diffrence est que Microsoft ne diffuse jamais de programme par courrier lectronique. Ses correctifs logiciels se tlchargent soit par Windows Update, soit directement sur le site web de Microsoft.
5. "Les portes drobes"

Une porte drobe (en anglais backdoor) est un programme qui permet d'accder distance un ordinateur. Il s'agit en fait d'un type particulier de cheval de Troie que l'on appelle parfois aussi cheval de Troie distant. Certains programmes lgitimes offrent cette fonctionnalit : il s'agit notamment de tous les logiciels de prise de contrle distance qui sont utiliss dans le cadre de la maintenance. Dans le cas d'une porte drobe, l'accs distant se ralise videmment sans le consentement de son propritaire et son insu. Les portes drobes se composent habituellement de deux parties : le client et le serveur. Le composant serveur est install sur la machine de la victime grce un virus ou un cheval de Troie. En gnral, la premire action que ralise la porte drobe est de modifier certaines valeurs du registre afin de s'assurer d'tre charge en mmoire chaque dmarrage de la machine. Une fois cela mis en place, le composant serveur ouvre un port rseau de telle sorte que l'utilisateur malveillant puisse se connecter la machine en tout tranquillit et sans veiller les soupons de la victime. Quand l'attaquant a pris le contrle de la machine, il peut raliser toute une srie d'actions qui dpendent du degr de sophistication de la porte drobe.
40
Exemples d'actions ralises par les portes drobes Parmi ces actions, on peut citer : Le transfert de fichiers (dans un sens ou dans l'autre) ; La suppression et la modification de fichiers ; Le vol d'informations ; L'enregistrement de la saisie au clavier ; L'arrt de certaines application[L'antivirus, par exemple.] ; Le dmarrage d'un serveur FTP qui permettra ainsi d'autres attaquants de se connecter la machine. Illustration Afin de mieux comprendre le fonctionnement de ce genre de programme, nous allons illustrer notre propos l'aide d'un exemple et tudier le comportement de la porte drobe Berbew qui est justement recherche par l'outil de suppression de logiciels malveillants de Microsoft. Tout commence par la rception d'un courrier lectronique en provenance d'une banque. L'adresse lectronique a t falsifie, mais le courriel semble provenir d'un service nomm Citibank Accouting. Le sujet du message, Re : Your credit application , semble indiquer que la banque rpond l'un de vos courriers. Dans le corps du mail, il est indiqu que le prt en ligne que vous avez demand a t refus et que les informations concernant le profil bancaire que vous avez fourni la banque sont incluses en pice jointe. Le courriel vous incite les vrifier en ouvrant la pice jointe. La pice jointe dont le poids est de 5 664 octets a pour nom web.da.us.citi.heloc.pif. Cette pice jointe est un cheval de Troie de type downloader (tlchargeur), qui a pour mission de tlcharger sur Internet la porte drobe nomme Berbew, de l'enregistrer dans le rpertoire systme de Windows sous le nom de Rtdx32.exe, puis de l'excuter. La porte drobe : copie le programme dans le rpertoire systme de Windows sous un nom alatoire ; cre une cl dans le registre de manire que la porte drobe s'excute au dmarrage de Windows ; cre un fichier de configuration afin de stocker diffrentes informations ncessaires au bon droulement du programme[Par exemple, numros des ports rseau utiliss par la porte drobe, URL o envoyer les informations voles, etc.] ; tente d'accder aux diffrents mots de passe l'ordinateur[Connexion Internet, partages rseau, etc.] ; stocks sur
rcupre les informations saisies au clavier ainsi que le contenu du Presse-papiers. Elle tente aussi de rcuprer des informations bancaires. Pour rcuprer les informations, le programme modifie certaines options de Windows, comme la saisie semi-automatique.
41
ouvre des ports rseau et cherche des connexions entrantes.
6. Le phishing
6.1. Qu'est-ce que le phishing et en quoi consiste t-il ?
Le phishing (qui vient du mot anglais fishing qui signifie la pche) est une technique d'ingnierie sociale qui consiste envoyer un courriel en se faisant passer pour une organisation avec laquelle vous tes en relation (une banque, une administration, un diteur de logiciel, un fournisseur d'accs Internet, etc.). Dans ce courriel, il vous est demand de fournir des renseignements personnels qu'une personne malveillante pourra exploiter ultrieurement pour, par exemple, pirater votre compte bancaire. Le courriel peut aussi vous rediriger vers un site Web qui affichera un formulaire de saisie imitant parfaitement le formulaire rel de l'entreprise dont le pirate cherche usurper l'identit. Tout est mis en oeuvre pour mettre l'internaute en confiance : l'adresse du site Web pirate ressemble une lettre prs l'adresse du site Web de l'entreprise et l'identit visuelle (logo, polices de caractres, mise en page, etc.) est reprise l'identique. Vous avez ainsi l'impression de communiquer avec une entreprise que vous connaissez et avec laquelle vous entretenez des relations commerciales. En ralit, vous fournissez des renseignements un pirate.
IMG. 2
IMG. 3
6.2. Pour en savoir plus sur le phishing et l'ingnierie sociale...

Pour aller plus loin Plus d'informations sur le phishing peuvent tre trouves dans le polycope B3 Sauvegarder scuriser, archiver ses donnes en local et en rseau filaire ou sans fil de CIIMES Partie III, Chapitre A Pour en savoir plus sur le phishing et l'ingnierie sociale, visitez les liens suivants:
42
http://www.foruminternet.org/cyberconso/ http://fr.wikipedia.org/wiki/Ingnierie_sociale http://fr.wikipedia.org/wiki/Phishing
Partie B. Le piratage informatique

1. Les hackers
Derrire le terme hacker, le grand public a souvent la vision d'adolescents en train de pirater les ordinateurs du FBI. La ralit est cependant un peu diffrente. Nous allons commencer par tudier l'origine de ce mot et voir qu'il existe diffrents types de hackers. l'origine, le mot hacker dsigne celui qui se sert d'une hache, mais dans le contexte informatique, il semble que ce mot ait t employ pour la premire fois au MIT, la clbre universit amricaine. Un hacker est avant tout quelqu'un qui cherche comprendre ce qui se passe sous le capot et qui tudie au plus prs le fonctionnement interne d'un ordinateur, tant du point de vue matriel que logiciel. En fait, un hacker dsigne un passionn qui s'investit fond dans son domaine de prdilection qui n'est pas forcment l'informatique. Bien videmment, force de chercher dans les entrailles du systme le hacker informaticien va dcouvrir des choses et fatalement quelques failles de scurit. Mais ce n'est pas parce que le hacker met jour une faille du systme qu'il va l'exploiter ; pour dsigner cette attitude, les hackers ont cr le terme cracker. Un cracker est une personne qui cherche par tous les moyens percer les systmes de scurit d'un logiciel ou d'un rseau. Remarque Il existe diffrentes catgories de hackers : les chapeaux blancs, les chapeaux noirs et les chapeaux gris. Un chapeau blanc est un hacker qui ne commet jamais aucune infraction la loi alors qu'un chapeau noir est un hacker qui utilise ses connaissances des systmes informatiques pour commettre des indlicatesses. Entre les deux, il y a les chapeaux gris qui n'enfreignent pas la loi, mais sont prts publier des informations qui permettront d'exploiter une faille de scurit. Certains hackers prtendent dvelopper une thique que l'on appelle hacktivisme ; il s'agit l de justifier les dlits informatiques en invoquant des raisons politiques. Certains groupes de hackers vont ainsi changer la page d'accueil d'un site web, mettre genoux les serveurs d'un site de commerce en ligne ou bien encore attaquer le systme d'information d'un tat ou d'une organisation dont ils ne partagent pas les vues.
43
Il est bien vident qu'en tant que particulier, vous ne risquez pas grand-chose de ce genre d'individus. Il est tout de mme possible que votre machine soit la cible d'un cheval de Troie qui l'oblige servir de relais, par exemple, pour une attaque de dni de service[Dni de service : Attaque d'un systme informatique qui a pour but de rduire ses performances et, au final, de le bloquer totalement. Ainsi, un serveur web qui subira une attaque de dni de service ne sera plus en mesure de rpondre aux requtes des utilisateurs. Les attaques de dni de service distribu sont labores partir de plusieurs ordinateurs (parfois plusieurs centaines) qui unissent leurs efforts pour attaquer leur cible. En gnral, les machines qui participent une attaque de dni de service distribu ont t contamines par un cheval de Troie.]. En revanche, de nombreux hackers n'ont aucune motivation politique : l'appt du gain est la seule raison qui les pousse hacker une machine, c'est--dire en prendre le contrle. Votre machine sera attaque soit parce qu'elle renferme des informations qui sont susceptibles d'tre monnayes, soit tout simplement parce qu'elle est mal verrouille et qu'elle pourra servir de base arrire un pirate qui brouillera ainsi les pistes en n'utilisant pas sa propre machine pour commettre son forfait.
** *
Une fois introduit sur le rseau priv, l'objectif du hacker peut tre multiple : Obtention d'informations confidentielles ; Utilisation des machines pour compromettre d'autres actes illicites ; Destruction ou altration d'informations (comme des comptes en banque).
44
2. Illustration : les dangers du mail-bombing

Les dangers du mail-bombing Le mail-bombing, que nos amis du Qubec traduisent par bombarderie, est l'envoi, dans un but malveillant, d'une quantit considrable de courriers lectroniques une mme adresse. Cette pratique, si facile mettre en oeuvre quand on souhaite se venger de quelqu'un, est pourtant rprhensible par la loi, comme l'a appris ses dpens un jeune homme un peu insouciant. Ce dernier, voulant mettre en difficult son ancien employeur, s'est mis le bombarder de courriers lectroniques afin de mettre en droute son serveur de messagerie. Mais le Tribunal de grande instance de Lyon, dans un jugement en date du 20 fvrier 2001, a rappel qu' "attendu que Patrice C. est prvenu d'avoir Lyon, entre le 22 avril 2000 et le 3 mai 2000, altr le fonctionnement des systmes de traitement automatis de donnes de la socit Claranet par suite d'un accs frauduleux ralis au moyen du logiciel Aenima permettant l'envoi de grande quantit de courriers lectroniques vides ainsi que l'envoi de gros fichiers au moyen d'un compte anonyme souscrit chez le fournisseur internet Prontomail, visant encombrer la bande passante de la victime et ralentir son systme, condamne Patrice C. 8 mois d'emprisonnement avec sursis et une amende dlictuelle de 20.000 F pour l'infraction d'altration du fonctionnement d'un systme de traitement automatis, suite accs frauduleux." Et je ne vous parle mme pas de la somme de 300 000 F dbourser titre de dommages et intrts pour le prjudice subi par la socit Claranet ! Alors, avant de vous venger, rflchissez un peu...
Partie C. Notions de scurit

Prambule
Le piratage des systmes d'information est un danger dont toute personne doit tre consciente. La confidentialit est un aspects de la scurit informatique consistant assurer que seules les personnes autorises aient accs aux ressources et informations. Pour mettre en oeuvre cette confidentialit, on utilise des techniques et outils de scurisation des rseaux : Protection via l'authentification : identifiants et mots de passe ; Protection via la scurisation du rseau : l'exemple du pare-feu.
45
1. Contrle d'accs, bon usage des mot de passe et login

Jusqu' maintenant, nous avons toujours suppos que le hacker tait distant et qu'il cherchait atteindre votre machine en utilisant un rseau. Il ne faut pas pour autant ngliger l'hypothse o votre assaillant s'est subrepticement introduit dans votre bureau ou a tout simplement vol votre ordinateur, et se trouve maintenant bien tranquillement assis devant votre machine. Le premier rempart contre les intrus consiste tout simplement utiliser des mots de passe. Un peu de la mme manire qu'un cambrioleur sera dissuad de fracturer une porte qui possde de nombreux verrous, un hacker rechignera pntrer une machine dont les verrous logiciels auront t multiplis. Conseil Dans ces conditions, vous devez multiplier l'utilisation des mots de passe tous les niveaux : Le premier niveau est bien sr celui du setup de l'ordinateur. Vous devez choisir un mot de passe de manire que personne d'autre que vous ne puisse modifier la configuration matrielle de votre ordinateur. La plupart des BIOS modernes offrent galement la possibilit de saisir un mot de passe au dmarrage de la machine (avant le mot de passe de Windows). Ensuite, vous devez choisir un mot de passe pour le compte de Windows, mme si vous tes le seul utilisateur de votre ordinateur. La multiplication des mots de passe peut vite devenir un vritable casse-tte car il faut bien reconnatre que les applications qui requirent un mot de passe sont nombreuses, notamment sur le Web. Attention Microsoft, pour remdier ce problme, propose dans Internet Explorer une fonction intitule saisie semi-automatique ; cette dernire permet de mmoriser les saisies prcdentes ralises pour les adresses, les formulaires et les mots de passe web. Cette fonctionnalit peut de prime abord paratre trs pratique car elle permet de retenir les mots de passe notre place. Si cela part d'un bon sentiment, il faut tout prix viter de sauvegarder un mot de passe de cette manire car quiconque serait physiquement devant notre machine pourrait dans ces conditions excuter l'application ncessitant un contrle d'accs sans connatre le mot de passe. On peut penser que, dans un avenir relativement proche, la baisse du cot des appareils de contrle biomtrique[Scanner d'empreintes digitales, par exemple]simplifiera grandement les procdures et permettra ainsi d'viter d'avoir grer de nombreux mots de passe dont la multiplication est une source d'erreurs et d'inscurit. Du bon usage des mots de passe Le dernier rempart de la scurit informatique, qu'il s'agisse de l'accs votre ordinateur, votre compte de courrier lectronique ou votre cl prive, c'est bien videmment le mot de passe.
46
Vous pouvez bnficier des dispositifs matriels et logiciels les plus sophistiqus, au bout du compte, il y aura toujours un mot de passe dont vous serez responsable. Dans cette optique, le choix du mot de passe et sa conservation deviennent primordiaux. Voici quelques conseils pour bien grer vos mots de passe : Un mot de passe doit tre long (au minimum 8 caractres). Un mot de passe ne doit pas avoir de signification. Un mot de passe ne doit pas faire rfrence votre vie prive : ne choisissez pas le nom de votre chien, votre date de naissance, etc. Un mot de passe doit contenir tous les caractres possibles (minuscules, majuscules, chiffres, symboles, etc.). Un mot de passe doit tre chang rgulirement. Un mot de passe ne doit jamais tre crit nulle part, hormis dans un coffre-fort dont la combinaison ne sera jamais crite. Ne faites pas mmoriser vos mots de passe par vos logiciels. Ne rvlez jamais votre mot de passe qui que ce soit. Utilisez un cran de veille muni d'un mot de passe.
2. Les outils de protection

Pour viter toute contamination virale, vous devez utiliser un logiciel antivirus. Comme son nom l'indique, l'antivirus combat les virus. L'anti-virus a plusieurs actions : Il protge en scrutant tous les fichiers qui pntrent sur votre ordinateur ; Il analyse priodiquement le contenu de votre disque dur ; Il dsinfecte en cas de contamination. Conseil Vous devez possder un logiciel antivirus qui s'interface avec votre logiciel de messagerie et examine tout le courrier entrant et sortant. La plupart des antivirus fonctionnent en intgrant une base de donnes qui contient les caractristiques des virus connus ce jour. Dans la mesure o des virus sont dcouverts tous les jours, ou presque, votre logiciel antivirus doit prvoir un mcanisme de mise jour par Internet de sa base de donnes quand de nouveaux virus apparaissent. Une mise jour quotidienne ne parat pas, en ce sens, superflue, compte tenu de la vitesse de propagation de certains virus.
47
Conseil Il existe de multiples faons de se protger des diverses nuisances prsentes, mais la premire et la plus efficace est de changer ses comportement. Notamment, n'ouvrez pas les courriels de personnes qui vous sont inconnues ou dont les sujets vous semblent suspects: Hi ! My picture ! ...
3. Scurisation du rseau : les pare-feux

Un pare-feu (en anglais, firewall) est un dispositif matriel ou logiciel qui contrle les connexions rseau de votre ordinateur, aussi bien en entre qu'en sortie. Dans le cadre d'une utilisation domestique, le pare-feu est la plupart du temps un logiciel qui est install sur l'ordinateur ; il peut cependant galement faire partie d'un quipement rseau tel qu'un routeur ou une passerelle rsidentielle comme la Freebox ou la Livebox. Les informations sur Internet, ainsi que sur un rseau local, transitent sous la forme de paquets IP. Le rle du pare-feu est de filtrer ces paquets ; il peut, dans certains cas, autoriser la communication et, dans d'autres, la bloquer. Outre cette fonction de rempart contre les ventuels assaillants, certains pare-feu peuvent, entre autres, masquer les informations permettant de donner des renseignements aux hackers qui coutent les ports ouverts de votre connexion TCP/IP. Ainsi, votre ordinateur passe en mode furtif et ne rpond pas aux sollicitations des connexions extrieures qui n'ont mme pas la confirmation de l'inexistence de votre ordinateur. Votre machine est invisible sur Internet et ne rpond qu'aux programmes qui sont dment autoriss et qu'aux ordinateurs que vous avez approuvs.
IMG. 4 : SCHMA
48
Remarque Certains pare-feu permettent galement de tenir un journal (en anglais, log) de toutes les tentatives d'intrusion sur votre ordinateur. Ces statistiques peuvent par la suite tre tudies par des spcialistes ou la police. Fondamentaux A l'aide du firewall l'utilisateur peut dfinir sa politique de scurit : Soit il autorise uniquement les communications ayant t explicitement autorises donc tout ce qui n'est pas explicitement autoris est interdit. Soit il empche les changes qui ont t explicitement interdits donc tout le reste est autoris. La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et contraignante des besoins en communication. En effet, chaque fois que le firewall dtecte un change jamais rencontr jusqu'ici, il demande l'utilisateur d'autoriser ou d'interdire cet change. Attention Ce n'est pas parce que vous avez install un pare-feu qu'il faut vous sentir invulnrable. Un pare-feu n'arrte pas les virus ni les chevaux de Troie. Sachez qu'en matire de scurit informatique, il vaut mieux rester prudent et humble. La protection 100 % n'existe pas et mme si votre systme est jour, quip d'un antivirus et d'un pare-feu, il existe toujours un risque potentiel. Si vous pensez tre l'abri des hackers parce que vous ne possdez aucune information de valeur sur votre ordinateur et ne dtenez aucun secret qui pourrait se monnayer, ne croyez pas pour autant que vous ne courez aucun risque. Gardez l'esprit que, comme les sportifs, les hackers doivent s'entraner pour rester performants et essayer de trouver de nouvelles failles de scurit. Et croyez-moi, quand ils s'entranent, les hackers frappent n'importe o, sans distinction aucune. Complment
49
Partie D. Sauvegarder ses donnes importantes

1. Pourquoi faut-il sauvegarder ?
Il existe quelques axiomes de base en informatique et notamment le fait que l'on doit toujours effectuer une copie de sauvegarde de ses informations importantes. Cette copie de sauvegarde doit bien videmment s'effectuer sur un support physique indpendant de l'emplacement o le fichier original se situe ; en effet, il serait totalement inutile d'effectuer une copie de sauvegarde sur le mme disque qui renferme le fichier original car, en cas de dfaillance du disque, l'original et sa copie seraient perdus. Pratiquement, cela signifie que si l'on stocke ses fichiers sur son disque dur, ce qui est le cas le plus frquent, il faut crer la copie de sauvegarde sur une disquette, un CD-R, une cl USB, un DVD-R, un disque amovible, un bureau virtuel, etc. Le matriel informatique est somme toute fragile et par voie de consquence les donnes qui y sont stockes sont par nature sujettes effacement. Il existe de trs nombreuses raisons pour qu'une information stocke sur un support informatique devienne illisible ; dresser un inventaire complet de tous les types d'accidents qui peuvent survenir serait fastidieux, mais nous pensons qu'il n'est pas inutile de rappeler que les coupures de courant, les virus, l'inattention, la malveillance, l'incendie, les dgts des eaux et le vol existent et n'arrivent pas qu'aux autres. Il existe galement un autre facteur auquel on ne pense pas souvent, mais qui se rvle cruel en informatique : le temps. Remarque Le temps joue contre nous doublement car : d'une part rien n'indique vraiment que les technologies de stockage actuelles vieillissent bien ; d'autre part, tant donn la rapide obsolescence des logiciels, il n'est pas rare de constater que moins d'une dizaine d'annes aprs, un format de fichier est devenu illisible. Nous vivons donc dans un contexte numrique qui est incertain et il convient de bien rflchir une politique de sauvegarde des donnes que l'on juge importantes. Le premier cueil vient du fait que la majorit des particuliers ne voit pas du tout l'intrt de raliser des sauvegardes. Pour l'utilisateur d'un ordinateur domestique, la sauvegarde des donnes est fastidieuse, cote cher en temps et en argent et reste rserve au monde des entreprises. Sur ce dernier point, il se trompe car bon nombre de PME et PMI n'ont pas de politique de sauvegarde digne de ce nom... Quand on discute avec des possesseurs de micro-ordinateurs de l'intrt des sauvegardes, le discours est rcurrent : " Nous n'avons aucune information qui mrite d'tre sauvegarde ; en cas de problme, nous repartirons de zro" . Ceux qui ont eu des problmes tiennent un autre discours et les msaventures qu'ils ont subies valent en gnral tous les argumentaires.
50
Remarque Il y a principalement deux raisons qui peuvent nous pousser faire des sauvegardes : Nous vivons aujourd'hui dans un monde hautement numris et nous manipulons de plus en plus d'informations numriques. Certaines informations sont importantes pour nous, mais nous ne nous en rendons pas compte. Rappel C'est une vidence de rappeler qu'aujourd'hui le numrique a envahi notre maison, l'ordinateur tant le grand chef d'orchestre de cette nouvelle organisation de l'information. Nous coutons de la musique numrique, prenons des photos numriques et changeons des courriers lectroniques. Nous faisons nos achats en ligne, grons nos comptes bancaires en ligne et recevons nos chanes de tlvision par ADSL. Pour bien vous pntrer de cette ralit, il existe un test simple qui consiste imaginer ce dont nous nous priverions aujourd'hui si notre ordinateur tombait en panne. Posez-vous la question et vous mesurerez ainsi votre dpendance l'gard de cette petite machine. Une fois ce constat ralis, il faut faire l'inventaire de toutes les informations qui feraient gravement dfaut si l'on n'en disposait plus. Cette ralit recouvre en gnral deux catgories bien diffrentes : les informations auxquelles nous sommes attachs sentimentalement et les informations qui ont une valeur parce qu'elles nous sont utiles et dont le remplacement coterait cher ou prendrait du temps. Il existe aussi des informations dont nous nous servons tous les jours et dont la perte se rvlerait gnante. Bien videmment, ces informations n'ont pas de caractre vital, mais leur indisponibilit vous ferait perdre beaucoup de temps. Le seul argument qui puisse faire rflchir la ncessit de raliser des sauvegardes est d'estimer le temps qu'il faudrait pour recrer compltement toutes ces donnes: Si ce temps excde de beaucoup le temps ncessaire la ralisation des sauvegardes, c'est peut-tre le moment de modifier vos habitudes de travail.
2. Mthodologie des sauvegardes

Si vous avez dcid de faire des sauvegardes, autant faire les choses comme il faut. Vous devez donc rpondre aux questions suivantes : Quels sont les fichiers sauvegarder ? Sur quel support faut-il faire les sauvegardes ? quelle frquence doit-on raliser les sauvegardes ?
51
2.1. Comment choisir les fichiers sauvegarder ?

Cette question est finalement assez facile trancher. Il faut sauvegarder les donnes importantes dont vous ne possdez pas de double. Cela implique que vous n'avez pas sauvegarder vos logiciels puisqu'en thorie vous les avez acquis et possdez donc les CD-ROM d'installation. En dfinitive, vous devez principalement raliser des copies de sauvegarde des documents que vous crez. Il faut prendre ici le terme document dans un sens trs large et nous incluons dans cet ensemble : les documents bureautiques (fichiers Word, Excel, Access, etc.) ; les documents de gestion (fichier de comptabilit, fichier de gestion d'une association, etc.) ; les documents artistiques (dessins, photos numriques, partitions, etc.). Ces documents sont assez faciles sauvegarder car chaque cration correspondent en gnral un ou plusieurs fichiers qui sont facilement identifiables. En revanche, cela n'est pas toujours aussi simple! Par exemple, si vous voulez sauvegarder vos courriers lectroniques ou bien vos favoris, vous verrez que cela n'est pas toujours aussi simple. Il existe donc toute une srie d'informations qui sont importantes sauvegarder, mais qui demandent des oprations plus spcifiques que la simple copie d'un fichier de donnes, mme si au final les informations sont toujours stockes dans des fichiers.
2.1.1. Sauvegarde du corrier lectronique

Si le courrier lectronique est souvent utilis pour des changes informels, il est devenu un instrument de travail indispensable pour tous les gens qui ont changer des informations importantes. En ce sens, il a intgr la panoplie des outils professionnels dont les entreprises ne peuvent plus faire l'conomie aujourd'hui. Des socits s'envoient des contrats par e-mail, des formules, des plans, etc. La valeur des informations changes, ainsi que l'accroissement du volume des courriers lectroniques reus et envoys, posent toute une srie de problmes nouveaux, aussi bien pour les entreprises que pour les particuliers car ces derniers envoient galement de plus en plus de courriels. Attention Face ces enjeux naissants, il faut dfinir des stratgies et acqurir de nouvelles habitudes. La premire des priorits est l'archivage car si les informations changes par courrier lectronique ont de la valeur, elles doivent tre protges. De la mme manire, si un document lectronique a la mme valeur qu'un document papier, il faut alors lui appliquer les mmes rgles de conservation dans le temps, ceci prs qu'un document lectronique doit toujours bnficier d'une copie de sauvegarde, tant donn sa fragilit. Vous devez donc prendre autant de soin conserver un courrier lectronique que vous le feriez avec un document imprim sur une feuille.
52
2.1.2. Sauvegarde du carnet d'adresse

Au fil du temps, votre carnet d'adresses va se remplir et il deviendra vitre un outil indispensable, surtout si vous dcidez d'y saisir galement les adresses et les numros de tlphone de vos contacts. Si ce fichier vous est vraiment trs utile, sa perte vous crerait d'normes problmes. Conseil Dans ces conditions, vous devez envisager d'en faire des sauvegardes rgulires : une fois par mois au moins, plus souvent si l'ajout et la modification des informations sont plus frquents.
2.2. Comment choisir son support de sauvegarde ?

Le problme du choix du support de sauvegarde ; pour vous guider dans votre choix, il faut prendre en compte les lments suivants : Cot ; Facilit de sauvegarde ; Facilit de restauration ; Estimation de la longvit des sauvegardes.
2.2.1. Cot
En gnral, on estime le cot d'une sauvegarde en calculant le prix de revient au Mo ou au Go. Si, par exemple, un CD-R de 700 Mo cote 0,50 Euro, le cot au Go sera donc de 0,71 Euro (0,5 / 0,7). Il est toujours intressant de faire ce genre de calcul car cela permet de comparer facilement les supports physiques. On s'aperoit ainsi que certains supports qui paraissent plus onreux de prime abord sont en fait meilleur march. La sauvegarde en ligne Gnralisation de l'ADSL oblige, les possibilits de sauvegarde en ligne se multiplient. Si l'on n'a pas un gros volume de donnes sauvegarder et que l'on dispose d'une connexion ADSL, cette solution est facile mettre en oeuvre et trs peu onreuse. Les clients des fournisseurs d'accs Internet oublient souvent que leur FAI met galement leur disposition un espace pour crer des pages personnelles Web. Ce n'est pas parce que vous ne crez pas de pages perso qu'il faut laisser cet espace inutilis. Il suffit d'apprendre se servir d'un logiciel de FTP pour bnficier ainsi d'un espace de stockage en ligne dont le volume est en gnral proche de 100 Mo. On commence aussi voir apparatre sur le march plusieurs offres commerciales de stockage en ligne dont le cot abordable les destine aux particuliers. Beaucoup de personnes pratiquaient dj la sauvegarde en ligne sans le savoir en s'envoyant sur leur compte de courrier lectronique les fichiers importants qu'ils dsiraient conserver sous la main. Avec l'inflation du volume mis la disposition des utilisateurs de Webmail, les possibilits de ce systme sont encore renforces, surtout si l'on utilise en plus un logiciel de compression.
53
2.2.2. Facilit de sauvegarde

Si vous avez pris la dcision d'effectuer des sauvegardes de vos donnes, vous avez tout intrt privilgier un systme facile mettre en oeuvre. En effet, si votre systme de sauvegarde ncessite l'arrt total de vos activits, prend trois heures de votre temps et vous oblige rester prsent devant l'ordinateur, vous allez trs vite renoncer vos bonnes rsolutions. Vous devez donc choisir une solution de sauvegarde qui soit la plus simple mettre en place. Le choix que vous allez faire dpend en grande partie du volume d'informations que vous avez sauvegarder : Si ce dernier est faible, de l'ordre de quelques centaines de Mo, vous pouvez tout fait vous contenter d'une ou de plusieurs cls USB. En revanche, si vous avez de gros volumes archiver (plusieurs Go de donnes), il vaut mieux penser une solution de type disque dur externe. Conseil Lors du choix de votre systme de sauvegarde, privilgiez toujours la simplicit et la rapidit la sophistication. N'oubliez jamais qu'on n'utilise pas un systme quand il est trop complexe.
2.2.3. Facilit de restauration

Ce n'est pas le tout de faire des sauvegardes, mais il faut aussi penser la restauration qui est le mcanisme qui consiste rcuprer les informations partir de la sauvegarde. Si vous vous contentez de rcuprer quelques fichiers sur une cl USB, cela sera simple, mais si vous avez ralis votre sauvegarde sur une bande ou une cartouche, la restauration d'un seul fichier du jeu de sauvegarde peut prendre plusieurs minutes. Cet lment est donc prendre en compte et il faut l galement privilgier la simplicit. Conseil Lors du choix de votre systme de sauvegarde, valuez le temps qu'il vous faudra pour retrouver vos informations en cas de sinistre.
2.2.4. Estimation de la longvit des sauvegardes

Il s'agit l du problme le plus pineux car aujourd'hui aucun fabricant ne sait prdire de manire fiable la longvit de son matriel, mme si certains prtendent le contraire. Au moment o le support CD-R est apparu, certains industriels ont entrepris des recherches en laboratoire pour tenter de dterminer la dure de vie de leur mdia. Bien videmment, toutes ces tudes reposent sur des simulations de vieillissement et rien n'indique qu'elles soient exactes. Conseil Il convient donc d'tre trs prudent en la matire et de ne pas accorder une foi excessive dans les dclarations des fabricants de support de sauvegarde. Par exemple, seul le temps nous permettra de connatre la dure de vie d'un CD-Rom.
54
Attention Tout systme de secours doit tre rgulirement test et c'est la raison pour laquelle on fait des exercices d'alerte au feu. Vos sauvegardes ne font pas exception cette rgle de base en matire de scurit et vous devez donc rgulirement vrifier la qualit de vos sauvegardes.
2.3. La frquence
Idalement, ds que vous avez modifi une information, il faudrait en crer une copie de sauvegarde. Les systmes professionnels fonctionnent d'ailleurs de la sorte grce des dispositifs de disque miroir, chaque information crite sur un disque dur tant duplique instantanment sur un deuxime disque dur. Dans le cadre d'une utilisation domestique, il est bien videmment impensable de procder de la sorte. Conseil Nous vous conseillons de raliser sur cl USB une sauvegarde des fichiers sur lesquels vous travaillez rgulirement ds que vous les avez modifis ; nous prconisons d'autre part une sauvegarde hebdomadaire de votre systme. Attention Si vous avez des documents vraiment importants, il est prfrable de raliser deux copies de sauvegarde et de les stocker dans deux endroits diffrents. En effet, si un incendie dtruit votre habitation, il y a de grands risques pour que votre ordinateur et vos sauvegardes partent en fume. Un utilisateur prudent conserve un deuxime jeu de sauvegarde dans un autre lieu.
3. Logiciels de sauvegarde
Bien videmment, votre premier logiciel de sauvegarde sera l'Explorateur Windows dans la mesure o il permet de faire une copie de fichiers de votre disque dur sur une autre unit. Vous noterez galement l'intrt des logiciels de compression qui permettent : d'une part de gagner de la place en rduisant la taille des fichiers ; d'autre part, de sauvegarder toute une srie de fichiers et de dossiers sous un seul nom de fichier archiv. Remarque La notion de dossier compress tant prsent intgre dans les versions actuelles de Windows, les logiciels spcifiques de compression tels que WinZip, WinRAR ou bien encore PowerArchiver ont moins la cote, mais il peut toujours s'avrer utile d'avoir ce genre de logiciels dans sa bote outils car il n'est pas rare de tomber sur un format d'archive un peu sotrique qui n'est pas pris en compte par Windows.
55
Conseil Si vous ne possdez pas d'utilitaire de compression de fichiers, pointez votre navigateur sur le site http://www.telecharger.com et vous dcouvrirez une centaine de programmes dans la rubrique Utilitaire > Compression et dcompression, dont certains sont gratuits. Utilitaire de sauvegarde Windows Absent des premires versions de Windows, le systme d'exploitation offre depuis Windows 98 un utilitaire de sauvegarde. Ce dernier est bien cach et pour l'excuter, vous devez cliquer sur la squence Dmarrer > Tous les programmes > Accessoires > Outils systme > Utilitaire de sauvegarde. Conseil Lors de l'excution de cet utilitaire, l'cran de dmarrage vous propose d'utiliser un assistant ; si c'est la premire fois que vous utilisez ce programme, nous vous conseillons d'employer l'assistant qui vous guidera pas pas. Attention Mme si l'Utilitaire de sauvegarde possde de nombreux assistants qui vous guideront lors des oprations de restauration, vous devez premirement vous familiariser avec le fonctionnement de la restauration, ce qui signifie que vous devez vous entraner restaurer des donnes sauvegardes. En cas de plantage de votre systme, vous serez ainsi habitu cette opration et risquerez moins de commettre des erreurs dans cette situation d'urgence. Deuximement, vous devez tester le bon fonctionnement de votre sauvegarde (bons fichiers sauvegards, qualit du support, etc.).
Ressources
Introduction la scurit informatique
Site "Comment a marche?".
Virus et codes cachs
Attaques et arnaques
56
Authentification
Protection
Contenus et comportements illicites
Site "Droit du Net".
Chapitre
IV
La protection des donnes confidentielles
Cliquez sur le lien ci-dessous afin de dcouvrir les menaces qui psent sur les infrastructures de signature numrique. Quelles sont les menaces ?
58
Partie A. La loi "Informatique et liberts"

1. Contexte et problmatique
"La vie prive doit tre mure, il n'est pas permis de chercher et de faire connatre ce qui se passe dans la maison d'un particulier." (Talleyrand) Depuis son avnement, l'informatique a libr l'tre humain d'un nombre considrable de tches pnibles et peu intressantes. En devenant communicante, la micro-informatique a galement permis d'autres librations comme le tltravail. Mais cette mise en rseau des PC, qu'elle se fasse au sein de l'entreprise ou bien par l'intermdiaire d'Internet, a galement des cts ngatifs que l'actualit vient nous rappeler rgulirement. Depuis quelques annes, un certain nombre de faits ports la connaissance du public montrent que le syndrome orwellien de 1984 devient un peu plus rel chaque jour. Dressons une liste rapide de quelques-uns de ces vnements : autorisation d'utiliser le numro INSEE pour l'administration fiscale, fichier de la police (STIC) dj en service avant d'avoir t autoris par la CNIL, numro de srie du Pentium III, procdure d'enregistrement de Windows XP, tatouage des documents Office. . C'est une vidence de rappeler que chacun d'entre nous est fich plusieurs centaines de fois et nous semblons avoir accept cette situation avec la plus grande fatalit. Les belles mes ont toujours d'excellentes justifications : il faut lutter contre la fraude fiscale, contre le piratage ou bien encore le terrorisme. Si l'on peut tre parfaitement d'accord avec le principe de la lutte contre le piratage ou bien l'change illgal de fichiers musicaux, encore faut-il que ces combats soient mens de manire licite. Dans les faits que nous avons mentionns, le plus rprhensible est bien videmment le ct sournois et cach de ces procdures car si la loi Informatique et Liberts nous permet d'exercer un droit de regard sur les donnes nominatives qui ont t collectes, encore faut-il que nous soyons avertis que lesdites donnes ont t recueillies. Nous pensons donc qu'il ne s'agit pas l d'un fantasme de vieux barbon ayant du mal intgrer la ralit des nouvelles technologies : il y a bien un rel danger pour la dmocratie, d'autant plus important que les autoroutes de l'information font dsormais partie du quotidien des Franais. Comme nous allons le voir, il y a tout lieu de s'inquiter du manque de respect de la vie prive sur Internet. Notre propos n'est pas donc celui d'un moraliste, mais vise essentiellement rappeler la loi (qu'en France nul n'est cens ignorer) et faire rflchir au pouvoir de l'informatique, ce qui implique la ncessaire laboration d'un contre-pouvoir.
1.1. Contexte historique

Avant de rentrer dans le vif du sujet, il est ncessaire de rappeler brivement le contexte historique dans lequel la lgislation traitant de l'informatique et des liberts a t labore.
59
Dans le courant des annes 1970, avec la monte en puissance de la mini-informatique et des mainframes, on a vu se dvelopper toute une srie de projets de grande envergure visant ficher les individus sur des supports magntiques. Les grandes administrations ont eu concevoir des fichiers informatiques regroupant peu ou prou la totalit de la population franaise (fichier des services fiscaux, de la scurit sociale, etc.). Puis le projet SAFARI est n : il prvoyait l'interconnexion des fichiers manant de services publics sur la base d'un identifiant unique, le numro INSEE. Certains esprits se sont alors mus des dangers d'un tel projet et un groupe de travail, sous la prsidence du conseiller d'tat Tricot, a t cr. Les travaux de cette commission sont l'origine de la loi du 6 janvier 1978 sur les rapports entre l'informatique et les liberts, et de la Commission nationale de l'informatique et des liberts (CNIL) qui est charge de veiller au respect de la loi. Conseil Tous ceux qui s'intressent la problmatique des rapports entre l'informatique et les liberts peuvent consulter le site web de la CNIL qui est une vritable rfrence en la matire. Sont notamment accessibles en ligne les rapports annuels publis par la CNIL, qui sont une mine d'informations. Toujours passionnants, ils pinglent les pratiques dlictueuses et dressent un inventaire des problmes actuels relatifs aux traitements de donnes caractre personnel.
1.2. Problmatique
Avant de dcrire la loi et le rle de la CNIL, il nous faut poser la problmatique de l'informatique et des liberts. Si nous sommes tous convaincus de l'utilit et du progrs de l'informatisation, il faut bien tre conscient des dangers que peut comporter le fait que des informations nominatives soient stockes dans des ordinateurs et puissent tre facilement exploites, recoupes et analyses. En effet, l'article 9 du code civil qui reconnat le droit au respect de la vie prive est souvent mis mal par la constitution de fichiers nominatifs. Auparavant, il faut bien reconnatre que de tels fichiers manuels existaient, mais leur exploitation tait trop lourde pour tre vraiment menaante. Aujourd'hui, avec la puissance de l'informatique, les fichiers nominatifs deviennent des enjeux de toute nature. Pour tre plus prcis, nous citerons trois exemples concrets de cas o la mauvaise utilisation de fichiers peut tre prjudiciable aux liberts individuelles.
60
Exemple Le premier grand risque est l'interconnexion des fichiers : seule la personne qui a recueilli l'information est en droit de l'exploiter. Le principe du secret professionnel ne doit pas tre bafou. Si les fichiers sont interconnects, rien n'empche par exemple votre banquier de savoir que vous tes atteint d'une maladie virale ou bien votre mdecin d'apprendre que vous tes interdit de chquier. Se pose aussi le problme du dtournement des fichiers de leur usage primitif. Les journaux se font assez rgulirement l'cho de piratages de fichiers publics ou privs des fins commerciales ou politiques : ainsi, un syndicat d'une entreprise publique produisant de l'nergie s'est vu pingler par la CNIL pour avoir dtourn le fichier du personnel. Enfin, il peut arriver que les informations stockes soient inexactes. De telles erreurs peuvent entraner des injustices sans que l'intress en soit mme averti. Se pose alors la question du droit d'accs aux informations et de la modification des informations faussement saisies.
** *
Les missions de la CNIL - Commission Nationale Informatique et Liberts - consistent : recenser et contrler les fichiers ; rglementer ; garantir le droit d'accs ; instruire les plaintes ; informer.
2. Le texte de la loi du 6 janvier 1978

2.1. Article 1
La loi du 6 janvier 1978 tche de rpondre ces questions et ses principes sont rsums dans le premier article : Extrait de texte lgal " L'informatique doit tre au service de chaque citoyen, son dveloppement doit s'oprer dans le cadre de la coopration internationale, elle ne doit porter atteinte ni l'identit humaine, ni aux droits de l'homme, ni la vie prive, ni aux liberts individuelles ou publiques." (Article 1 de la loi du 6 janvier 1978.) Pour garantir le respect des rgles qu'elle dicte, la loi cre une institution de contrle : la Commission Nationale de l'Informatique et des Liberts. Pour assurer la transparence des fichiers informatiss, la loi instaure un systme de formalits
61
pralables la mise en oeuvre des traitements automatiss. Remarque La loi du 6 janvier 1978 fut une des premires lois au monde encadrer l'usage des fichiers informatiques. En 1995, l'Union europenne accoucha d'une directive (n 95/46 CE du 24 octobre) sur la protection des personnes physiques l'gard du traitement des donnes caractre personnel et la libre circulation des donnes. La France avait trois ans pour transcrire cette directive europenne et dans la mesure o nos gouvernements successifs ont quelque peu tard dans la transposition, la directive europenne est entre automatiquement en vigueur le 25 octobre 1998. En effet, peu de gens le savent, mais il faut ici rappeler que tout individu qui subit des dommages suite au manquement d'un tat membre de transposer une directive, est autoris obtenir des rparations devant les tribunaux nationaux, aux termes d'une jurisprudence de la Cour de Justice (affaire Francovich). La France s'est enfin dcide transposer la directive europenne, presque dix ans aprs sa publication, avec la loi du 6 aot 2004 relative la protection des personnes physiques l'gard des traitements de donnes caractre personnel. Pour autant, on a gard la rfrence originale la loi du 6 janvier 1978. La loi de 1978 comportait 48 articles et la loi de 2004 en compte 72. Pour rsumer, on peut dire que la nouvelle a renforc les pouvoirs de la CNIL, largi son champ d'application, augment les droits des personnes tout en simplifiant les procdures administratives. Vous trouverez une analyse dtaille des diffrences entre les deux lois sur le site de la CNIL l'adresse suivante : http://www.cnil.fr/index.php?id=1744 Vous trouverez une version du texte consolid (c'est--dire prenant en compte toutes les modifications lgislatives) de la loi du 6 janvier 1978 l'adresse suivante : http://www.cnil.fr/index.php?id=301 La loi rglemente la collecte l'enregistrement et la conservation des informations nominatives; elle reconnat des droits aux individus et met des obligations la charge des dtenteurs de fichiers informatiques ou manuels. Attention Beaucoup de gens pensent que la loi ne concerne que les fichiers automatiss, c'est--dire informatiques. En fait, la loi s'applique tous les fichiers nominatifs, mme ceux qui figurent sur de bonnes vieilles fiches bristol.
2.2. Article 2
Le grand mrite de la loi (dans son article 2) est de dfinir prcisment ce qu'est une donne personnelle ainsi que les traitements qui s'y appliquent.
62
Extrait de texte lgal " Constitue une donne caractre personnel toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro d'identification ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne. Constitue un traitement de donnes caractre personnel toute opration ou tout ensemble d'oprations portant sur de telles donnes, quel que soit le procd utilis, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction." (Article 2 de la loi du 6 Janvier 1978.) Remarque Que les possesseurs d'agenda lectronique se rassurent : le champ d'application de la loi carte les traitements mis en oeuvre pour l'exercice d'activits exclusivement personnelles, ce qui signifie que les contacts de votre carnet d'adresses ne sont pas pris en compte par cette loi. Rappel Bien que l'on parle en gnral de donnes nominatives, il convient de bien comprendre que toute information qui permet d'identifier une personne est une donne nominative. Cela signifie qu'une adresse lectronique, l'adresse IP que vous attribue votre fournisseur d'accs Internet ou bien encore votre numro de tlphone sont des donnes caractre personnel dont l'utilisation est encadre par la loi.
2.3. Article 6
L'article 6 de la loi dfinit la manire dont les donnes caractre personnel peuvent tre traites ; il dfinit notamment les points suivants : Les donnes sont collectes et traites de manire loyale et licite ; Elles sont collectes pour des finalits dtermines, explicites et lgitimes et ne sont pas traites ultrieurement de manire incompatible avec ces finalits ; Elles sont adquates, pertinentes et non excessives au regard des finalits pour lesquelles elles sont collectes et de leurs traitements ultrieurs ; Elles sont exactes, compltes et, si ncessaire, mises jour ; les mesures appropries doivent tre prises pour que les donnes inexactes ou incompltes au regard des finalits pour lesquelles elles sont collectes ou traites soient effaces ou rectifies ; Elles sont conserves sous une forme permettant l'identification des personnes concernes pendant une dure qui n'excde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes et traites.
63
2.4. Article 7
L'article 7 de la loi prcise qu'un traitement de donnes caractre personnel doit avoir reu le consentement de la personne concerne. Remarque Il existe bien videmment des cas o l'on ne vous demande pas votre avis, mais ces exceptions sont bien dfinies et encadres par la loi (obligation lgale, excution d'une mission de service public, intrt lgitime poursuivi par le responsable du traitement, etc.)
2.5. Article 8
L'article 8 prcise qu'il est interdit de collecter ou de traiter des donnes caractre personnel qui font apparatre, directement ou indirectement : les origines raciales ou ethniques les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes les informations qui sont relatives la sant ou la vie sexuelle des personnes. Remarque Bien videmment, la loi prvoit des exceptions et l'on comprend bien qu'un chercheur en mdecine puisse raliser une enqute comportant des questions relatives la sant.
2.6. Article 9
L'article 9 de la loi est intressant plus d'un titre et nous le reproduisons ci-dessous intgralement : Extrait de texte lgal Les traitements de donnes caractre personnel relatives aux infractions, condamnations et mesures de sret ne peuvent tre mis en oeuvre que par : 1. Les juridictions, les autorits publiques et les personnes morales grant un service public, agissant dans le cadre de leurs attributions lgales ; 2. Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confies par la loi ; 3. [Dispositions dclares non conformes la Constitution par dcision du Conseil constitutionnel n 2004-499 DC du 29 juillet 2004 ;] 4. Les personnes morales mentionnes aux articles L. 321-1 et L. 331-1 du code de la proprit intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prvus aux livres Ier, II et III du mme code aux fins d'assurer la dfense de ces droits.
64
Remarque Cet article encadre donc les fichiers de la police et de la justice. Il est intressant de noter que l'article 3 a t censur par le Conseil constitutionnel. Cela prouve, s'il en tait encore besoin, que le problme de l'informatique et des liberts est un sujet sensible et qu'un certain nombre de dputs ont cru bon d'interpeller le Conseil constitutionnel qui leur a donn en partie raison. Complment La dcision motive du Conseil constitutionnel peut tre consulte en cliquant sur ce lien Attention La lecture de l'alina 4 pour les personnes qui ne sont pas habitues aux textes juridiques peut sembler compltement absconse. En fait, ces quelques phrases sont ce que l'on appelle un texte de circonstance car c'est sur sa base que les industriels du disque vont pouvoir poursuivre les internautes adeptes des changes de fichiers grce aux rseaux peer to peer (P2P). En clair, les maisons de disques vont pouvoir collecter les adresses IP de ceux qui s'adonnent aux joies du P2P et demander un juge d'ordonner un FAI de fournir l'identit du titulaire de l'abonnement Internet.
2.7. Articles 11 31
Les articles 11 21 de la loi dfinissent la composition et le rle de la CNIL. Remarque Il faut noter que la CNIL n'est pas un tribunal, mais une autorit administrative indpendante. Son rle est de regrouper et de contrler l'ensemble des dclarations des traitements automatiss d'informations nominatives. Les articles 22 31 dcrivent les formalits de ces dclarations.
2.8. Articles 32 37
Les articles 32 37 de la loi dcrivent les obligations incombant aux responsables des traitements. Conseil Nous vous encourageons vivement lire la totalit de ces articles, ce qui permettra de vous rendre compte que la majeure partie des questionnaires que vous remplissez en ligne ne respecte pas ces obligations.
2.9. Articles 38 43
Les articles 38 43 de la loi prcisent les droits des personnes qui sont l'objet d'un traitement de donnes caractre personnel. Nous vous conseillons d'apprendre par coeur l'article 38 de cette loi et d'en user autant
65
que vous le voulez : Extrait de texte lgal " Toute personne physique a le droit de s'opposer, pour des motifs lgitimes, ce que des donnes caractre personnel la concernant fassent l'objet d'un traitement. " (Article 38 de la loi du 6 janvier 1978.) "Elle a le droit de s'opposer, sans frais, ce que les donnes la concernant soient utilises des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultrieur." (Article 38 de la loi du 6 janvier 1978.) Remarque C'est grce au deuxime alina de cet article que l'on peut dsormais faire figurer son numro de tlphone en liste rouge sans avoir besoin de payer quoi que ce soit.
** *
Pour rsumer, une personne peut exercer les droits suivants face un traitement de donnes caractre personnel : Droit d'tre inform sur la nature du traitement ; Droit de s'opposer au traitement ; Droit d'accs aux donnes collectes ; Droit de rectification des donnes.
2.10. Articles 45 52
Les articles 45 49 de la loi dfinissent les sanctions que peut prendre la CNIL lorsqu'un responsable d'un traitement de donnes ne respecte pas ses obligations. Les articles 50 52 prcisent les sanctions pnales prvues par la loi en cas d'infraction. Ces infractions ont d'ailleurs t reprises dans le code pnal (articles 226-16 226-24). Exemple titre indicatif, le fait, y compris par ngligence, de procder ou de faire procder des traitements de donnes caractre personnel sans qu'aient t respectes les formalits pralables leur mise en oeuvre prvues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.
** *
Voir annexe A en fin de fascicule
66
Partie B. La LCEN
1. Principes
La loi du 21 juin 2004 pour la confiance dans l'conomie numrique (ou LCEN) est un texte qui a mis du temps aboutir. En effet, la LCEN est quelque part l'hritire du projet baptis Loi sur la socit de l'information (LSI) que le gouvernement de Lionel Jospin avait mis en chantier, mais qui n'a jamais vu le jour. Pourtant, ds le mois d'aot 1997, le gouvernement avait fait de l'entre de la France dans la socit de l'information une de ses priorits. Malgr cette volont affiche, les dputs ont mis 5 ans (juin 2001) pour accoucher d'un projet de 32 pages qui n'a jamais pu passer devant l'Assemble nationale. Arriv au pouvoir, Jean-Pierre Raffarin a choisi d'abandonner ce projet pour en remettre un autre en route, la LCEN. Il aura galement fallu 2 ans pour que ce texte de loi voit le jour et soit publi au Journal Officiel. Certes, d'autres textes importants ont quand mme t adopts pendant cette priode, comme celui sur la signature lectronique, mais on a quand mme d attendre une anne entre le vote de cette loi et la publication de son dcret d'application. La LCEN tait attendue car il commenait y avoir urgence sur plusieurs fronts. En effet, plusieurs problmes relatifs la responsabilit des hbergeurs, la lutte contre le spam ou bien encore la libralisation totale de la cryptographie n'taient pas rgls et les professionnels de l'Internet rclamaient grands cris le vote d'une loi. Remarque La LCEN, qui compte 58 articles, est une loi vraiment importante pour Internet. Dans le cadre de cette formation, il nous est impossible de citer tous les articles qui la composent, mais nous vous conseillons de consulter le document en tlchargement ci-dessous et mme d'aller sur le site de Legifrance pour la lire intgralement.
2. Le texte de la LCEN
2.1. Article 1
Dans son premier article, la LCEN affirme un principe de libert : Extrait de texte lgal " La communication au public par voie lectronique est libre. " (Article 1 de la LCEN.) "L'exercice de cette libert ne peut tre limit que dans la mesure requise, d'une part, par le respect de la dignit de la personne humaine, de la libert et de la proprit d'autrui, du caractre pluraliste de l'expression des courants de pense et d'opinion et, d'autre part, par la sauvegarde de l'ordre public, par les besoins de la dfense nationale, par les exigences de service public, par les
67
contraintes techniques inhrentes aux moyens de communication, ainsi que par la ncessit, pour les services audiovisuels, de dvelopper la production audiovisuelle." (Article 1 de la LCEN.)
2.2. Article 2
L'article 2 de la LCEN prcise des dfinitions qui n'avaient jamais t donnes auparavant : Extrait de texte lgal " On entend par communications lectroniques les missions, transmissions ou rceptions de signes, de signaux, d'crits, d'images ou de sons, par voie lectromagntique." (Article 2 de la LCEN.) "On entend par communication au public par voie lectronique toute mise disposition du public ou de catgories de public, par un procd de communication lectronique, de signes, de signaux, d'crits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractre d'une correspondance prive." (Article 2 de la LCEN.) Remarque C'est dsormais le Conseil suprieur de l'audiovisuel (CSA) qui a la mission de garantir l'exercice de la libert de communication audiovisuelle en matire de radio et de tlvision par tout procd de communication lectronique
2.3. Chapitre II - Article 6

Le Titre II de la LCEN traite du commerce lectronique qu'il dfinit comme l'activit conomique par laquelle une personne propose ou assure distance et par voie lectronique la fourniture de biens ou de services. Le commerce lectronique couvre aussi les services tels que ceux consistant fournir des informations en ligne, des communications commerciales et des outils de recherche, d'accs et de rcupration de donnes, d'accs un rseau de communication ou d'hbergement d'informations, y compris lorsqu'ils ne sont pas rmunrs par ceux qui les reoivent. Le Chapitre II de la LCEN rglemente la publicit par voie lectronique mais il s'agit l plus d'une tentative de rgler les problmes poss par l'inflation croissance du spam. Le Chapitre II de la LCEN traite galement des fournisseurs d'accs Internet (FAI) appels dans la loi prestataires techniques. L'article 6 rgle le dlicat problme de la responsabilit des hbergeurs. Rappel Il faut ici rappeler qu'en cas de contenu illicite publi sur un site Web, l'hbergeur pouvait tre dclar complice. Les hbergeurs prtendaient juste titre qu'ils ne pouvaient pas surveiller tous leurs clients tant donn leur grand nombre et que la mission de contrle du contenu de ce qui passait dans leurs tuyaux ne pouvait pas leur incomber.
68
Extrait de texte lgal Le lgislateur leur a donn satisfaction et prcise que "les personnes physiques ou morales qui assurent, mme titre gratuit, pour mise disposition du public par des services de communication au public en ligne, le stockage de signaux, d'crits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilit civile engage du fait des activits ou des informations stockes la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractre illicite ou de faits et circonstances faisant apparatre ce caractre ou si, ds le moment o elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces donnes ou en rendre l'accs impossible" (Article 6 de la LCEN.) . Remarque Un autre alina prcise que la responsabilit pnale de l'hbergeur n'est pas non plus engage. Ce texte rgle donc le problme de la responsabilit a priori de l'hbergeur. La loi prcise clairement que les FAI ne sont pas soumis une obligation gnrale de surveiller les informations qu'ils transmettent ou stockent, ni une obligation gnrale de rechercher des faits ou des circonstances rvlant des activits illicites. Attention En revanche, si un FAI est avis d'un contenu illicite mis en ligne sur la page personnelle d'un de ses clients, il doit immdiatement faire cesser le trouble. Le lgislateur a quand mme pris une mesure pour limiter les recours des personnes qui voudraient faire cesser la publication d'une information sur un site Web. Ainsi toute personne qui prsenterait un hbergeur un contenu ou une activit comme tant illicite dans le but d'en obtenir le retrait ou d'en faire cesser la diffusion, alors qu'elle sait cette information inexacte, serait punie d'une peine d'un an d'emprisonnement et de 15 000 euros d'amende. Les FAI doivent conserver pendant un an les donnes de nature permettre l'identification de quiconque a contribu la cration du contenu ou de l'un des contenus des services dont elles sont prestataires.
** *
La LCEN tente de responsabiliser les FAI en matire de droit d'auteur. Ainsi lorsqu'un FAI voque dans une publicit la possibilit de tlcharger des fichiers dont il n'est pas le fournisseur, il doit faire figurer dans cette publicit une mention facilement identifiable et lisible rappelant que le piratage nuit la cration artistique. Le FAI a galement l'obligation de suspendre, par tout moyen, le contenu d'un site Web portant atteinte l'un des droits de l'auteur, y compris en ordonnant de cesser de stocker ce contenu ou, dfaut, de cesser d'en permettre l'accs.
69
2.4. Article 20
Extrait de texte lgal L'article 20 stipule que "toute publicit, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir tre clairement identifie comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est ralise" (Article 20 de la LCEN.) . La loi enfonce le clou en prcisant que "dans tous les cas, il est interdit d'mettre, des fins de prospection directe, des messages au moyen d'automates d'appel, tlcopieurs et courriers lectroniques, sans indiquer de coordonnes valables auxquelles le destinataire puisse utilement transmettre une demande tendant obtenir que ces communications cessent sans frais autres que ceux lis la transmission de celle-ci. Il est galement interdit de dissimuler l'identit de la personne pour le compte de laquelle la communication est mise et de mentionner un objet sans rapport avec la prestation ou le service propos" . Attention Signalons un systme pernicieux mis en place par certaines socits peu scrupuleuses : Vous recevez un courriel publicitaire au bas duquel figure un lien permettant de vous dsabonner et de ne plus recevoir ainsi de publicit. Vous cliquez sur ce lien qui affiche une page Web vous demandant de saisir votre adresse lectronique. Si vous possdez plusieurs adresses lectroniques grce des systmes de redirection et que le champ "Destinataire" a t masqu par le spam, vous tes alors incapable de savoir quelle adresse lectronique il faut inscrire dans le formulaire de dsabonnement. D'autre part, on peut lgitimement se demander si une telle pratique n'est pas une mthode pour vrifier si votre adresse est bien valide. En gnral, quand on crit quelqu'un, on connat son adresse lectronique et si on souhaite lui donner la possibilit de ne plus lui envoyer de courrier, on n'a pas besoin de la lui demander.
2.5. Chapitre III

Le Chapitre III de la LCEN consacre l'usage de l'crit sous forme lectronique grce la signature lectronique. Ainsi, lorsqu'un crit est exig pour la validit d'un acte juridique, il peut tre tabli et conserv sous forme lectronique. De la mme manire, lorsqu'est exige une mention crite de la main mme de celui qui s'oblige, ce dernier peut l'apposer sous forme lectronique si les conditions de cette apposition sont de nature garantir qu'elle ne peut tre effectue que par lui-mme. La LCEN dfinit galement la manire dont les contrats sous forme lectronique peuvent tre conclus.
70
2.6. Article 29
Le Titre III de la LCEN, intitul "De la scurit dans l'conomie numrique" traite des moyens et prestations de cryptologie. Extrait de texte lgal L'article 29 propose les dfinitions suivantes : " On entend par moyen de cryptologie tout matriel ou logiciel conu ou modifi pour transformer des donnes, qu'il s'agisse d'informations ou de signaux, l'aide de conventions secrtes ou pour raliser l'opration inverse avec ou sans convention secrte. Ces moyens de cryptologie ont principalement pour objet de garantir la scurit du stockage ou de la transmission de donnes, en permettant d'assurer leur confidentialit, leur authentification ou le contrle de leur intgrit. " (Article 29 de la LCEN.) " On entend par prestation de cryptologie toute opration visant la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie." (Article 29 de la LCEN.)
2.7. Article 30
Extrait de texte lgal L'article 30 est une vritable rvolution car "il nonce que l'utilisation des moyens de cryptologie est libre" . Les professionnels de la scurit attendaient cette disposition rglementaire depuis des annes et ils ont donc toutes les raisons de s'en satisfaire. Cela tant, l'alina suivant prcise que "la fourniture, le transfert depuis ou vers un Etat membre de la Communaut europenne, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrle d'intgrit sont libres" (Article 30 de la LCEN.) . Remarque On ne comprend pas bien la lecture de ce texte pourquoi le lgislateur a tenu prciser son propos dans la mesure o il indiqu plus que la cryptologie tait libre. En y regardant de plus prs, on s'aperoit que sont libres l'utilisation de la cryptologie pour authentifier et contrler l'intgrit. Quelle est donc l'autre fonction de la cryptologie qui manque dans cette nonciation ? Si vous avez suivi, vous savez que la cryptologie sert bien videmment aussi masquer, cacher, chiffrer des informations. Bizarrement, cette fonctionnalit de la cryptologie n'est pas indique dans cet alina. On comprend mieux pourquoi quand on lit le suivant : "La fourniture, le transfert depuis un Etat membre de la Communaut europenne ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrle d'intgrit sont soumis une dclaration pralable auprs du Premier ministre, sauf dans les cas prvus au b du prsent III." On reste dubitatif quand on considre un pareil nonc : pourquoi ne pas appeler
71
un chat un chat ? La cryptologie qui chiffre est donc dsigne par la priphrase "moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrle d'intgrit" . Complment Au cas o le lecteur n'aurait pas compris, le lgislateur indique que les outils qui ne sont pas soumis dclaration sont "les catgories de moyens dont les caractristiques techniques ou les conditions d'utilisation sont telles que, au regard des intrts de la dfense nationale et de la scurit intrieure ou extrieure de l'Etat, leur fourniture, leur transfert depuis un Etat membre de la Communaut europenne ou leur importation peuvent tre dispenss de toute formalit pralable" (LCEN) . Bref, ce texte signifie que l'on peut chiffrer ses fichiers tant que cela ne nuit pas aux intrts de l'arme et de la police. Dans ces conditions, la cryptologie est-elle vraiment libre ? Pour tous ceux qui n'auraient encore pas compris, le lgislateur prcise que le fait de fournir des prestations de cryptologie visant assurer des fonctions de confidentialit sans avoir satisfait l'obligation de dclaration prvue l'article 31 est puni de deux ans d'emprisonnement et de 30 000 euros d'amende. Attention La LCEN modifie galement le code pnalen indiquant que lorsqu'un moyen de cryptologie a t utilis pour prparer ou commettre un crime ou un dlit, ou pour en faciliter la prparation ou la commission, cela constitue une circonstance aggravante qui accrot le nombre d'annes de prison de la peine prvue.
2.8. Article 39
L'article 39 de la LCEN parat tellement tonnant que nous ne rsistons pas au plaisir de vous le soumettre : " Les dispositions du prsent chapitre ne font pas obstacle l'application du dcret du 18 avril 1939 fixant le rgime des matriels de guerre, armes et munitions, ceux des moyens de cryptologie qui sont spcialement conus ou modifis pour porter, utiliser ou mettre en oeuvre les armes, soutenir ou mettre en oeuvre les forces armes, ainsi qu' ceux spcialement conus ou modifis pour le compte du ministre de la dfense en vue de protger les secrets de la dfense nationale. " (Article 39 de la LCEN.)
** *
La LCEN se termine sur des dispositions sur les systmes satellitaires et la couverture du territoire par les services numriques.
72
Au final, la LCEN est un texte juridique complexe et incomplet dans la mesure o il manque de nombreux dcrets d'application importants, ce qui semble tre une vritable spcialit franaise. En effet, on ne compte plus le nombre de textes vots, mais inappliqus en raison de la non publication des dcrets d'application. Encore rcent, ce texte a galement besoin que la jurisprudence en prcise certaines orientations. Il n'en reste pas moins qu'il s'agit du texte principal qui rgit le droit de l'Internet. En tant que tel, il parat difficile de l'ignorer si l'on est internaute. Voir annexe B en fin de fascicule
Partie C. La cryptologie
Prambule
Parler de cryptologie est un exercice trs dlicat. Dans l'esprit du grand public, la cryptographie voque souvent l'image des casseurs de code mythiques comme Alan Turing qui russit dchiffrer le code de l'Enigma, ce qui permit aux allis de dbarquer un an plus tt en Normandie pendant la Deuxime Guerre mondiale. Pour les spcialistes, la cryptologie n'est qu'une affaire de factorisation et de nombres premiers ; ne dit-on pas d'ailleurs que le premier employeur de mathmaticiens au monde est la NSA (National Security Agency), le service de renseignements amricain qui pilote le programme d'coute Echelon ? L'usage de la cryptographie a longtemps t rserv en France aux gens qui sont chargs de prparer la guerre, savoir les militaires. Les politiques ayant finalement compris que ces restrictions lgislatives taient un frein norme au dveloppement du commerce lectronique, la loi a t modifie et les moyens cryptographiques ne sont plus dsormais considrs comme des armes de guerre. Quand on conseille un utilisateur d'employer un outil de cryptographie, son premier rflexe est de prtendre qu'il n'a rien cacher. Quand bien mme cela serait vrai (ce qui reste encore prouver...), nous allons voir que les enjeux de la cryptographie sont tout autres et que la cryptologie est aujourdhui au centre de toute dmarche scuritaire en informatique.
73
1. Prsentation
La cryptographie La cryptographie est la science qui tudie les moyens de chiffrer (c'est dire de rendre secrets) et de dchiffrer des messages. Un message est chiffr (ou cod) l'aide d'une cl (ou chiffre). La cl peut tre aussi simple qu'un dcalage ou une permutation de lettres. Le passage du texte cod au texte en clair, en utilisant la cl de chiffrement, est appel dchiffrement. Le dcryptement est l'opration qui consiste obtenir le texte en clair partir du texte cod, sans connaissance de la cl de chiffrement. La cryptographie est trs ancienne puisque Jules Csar l'utilisait dj ; pendant deux mille ans, les techniques cryptographiques se sont affines, allant jusqu' donner naissance des machines sophistiques comme l'Enigma. La cryptographie cl symtrique Si le chiffre est devenu au fil du temps de plus en plus complexe, le principe reste identique : c'est la mme cl qui sert la fois chiffrer et dchiffrer les messages. Ce systme, appel cryptographie cl symtrique, comporte cependant une grosse lacune : si l'on veut que son correspondant puisse dchiffrer les messages cods qu'on lui envoie, il faut bien lui faire parvenir la cl. Cette opration est le maillon faible de la cryptographie symtrique car, ce moment-l, la cl peut tre intercepte. Dans les annes 1970, plusieurs chercheurs ont explor d'autres pistes afin de trouver un autre systme qui permette de faire l'conomie de l'change des cls. Ainsi naquit le concept de cryptographie cl publique (ou asymtrique) qui allait s'imposer comme le pivot central de toute la cryptographie moderne. La cryptographie publique Dans un systme cryptographique symtrique, on utilise la mme cl pour chiffrer et dchiffrer Avec la cryptographie cl publique, on emploie deux cls: la cl publique pour chiffrer et la cl prive pour dchiffrer. Les deux cls sont lies par une fonction mathmatique trs complexe qui a la particularit de ne pas tre rversible. Cela signifie en clair que la cl publique est calcule partir de la cl prive, mais que l'on ne peut pas dduire la cl prive si l'on connat la cl publique. Avec ce systme, le problme de l'change des cls est rsolu car les correspondants n'ont besoin de s'changer que leur cl publique qui ne sert qu' chiffrer un message. Cela fonctionne un peu comme un cadenas : on peut le fermer, mais si l'on ne connat pas la combinaison, on ne peut pas l'ouvrir.
74
Illustration des principes de fonctionnement de la cryptographie publique Quand Bernard veut envoyer Alice un message crypt, il procde de la manire suivante : Bernard demande Alice sa cl publique. Alice la lui envoie par courrier lectronique. Bernard chiffre son message l'aide de la cl publique d'Alice. Bernard envoie son message chiffr Alice. Alice utilise la cl prive pour dchiffrer le message de Bernard. Avec ce systme, ni l'un ni l'autre n'a d envoyer une cl prive.
2. Pourquoi utiliser la cryptologie ?

En France, l'usage de la cryptographie a t trs longtemps encadr et sa libralisation partielle est somme toute relativement rcente puisqu'elle ne date que de 1998. Avant cette date, la France tait la seule dmocratie occidentale bnficier d'une lgislation aussi restrictive, preuve s'il en est de la puissance du lobby militaire. Aujourd'hui, les choses ont heureusement chang, mais le combat lgislatif a laiss des traces et les diffrentes lois votes montrent bien que les parties en prsence, savoir les marchands, les citoyens et la puissance publique n'ont pas vraiment les mmes proccupations. On se retrouve donc dans un conflit d'intrt assez classique dont les enjeux dmocratiques sont pourtant fondamentaux. Les marchands veulent commercer en toute scurit et donc fiabiliser toutes les transactions comme c'est dj le cas avec les cartes bancaires. Internet n'tant pas spcialement scuris, les protocoles cryptographiques restent normaliser si l'on souhaite dvelopper le commerce lectronique. La puissance publique, quant elle, voit d'un trs mauvais oeil le dveloppement d'Internet conjointement aux progrs considrables de la cryptologie ; en effet, si intercepter une communication tlphonique est toujours possible et assez simple[Mme avec le systme GSM qui est pourtant crypt ; mais les autorits ont les cls...], la lecture dun courrier lectronique encod grce au logiciel PGP peut donner beaucoup plus de fil retordre nimporte quel service du chiffre pourtant richement dot en machines multiprocesseurs. L'tat, qui veut donc se rserver le droit de pouvoir lire livre ouvert les correspondances de ses sujets, doit normalement, dans cette optique, interdire ou contrler svrement la mise en oeuvre de moyens cryptologiques. L'argument invoqu est d'ailleurs toujours le mme : il faut pouvoir lutter efficacement contre le crime organis et les mouvements terroristes. Face cette menace, diffrentes associations dans le monde n'en demandent pas moins la leve immdiate de toutes les entraves la libert de crypter et revendiquent ainsi un droit absolu la confidentialit des correspondances, de quelque nature qu'elle soit.
75
Remarque On voit donc bien que parler de cryptologie n'est pas une chose aise car cette activit scientifique a de multiples implications dans des domaines aussi varies que le commerce, la communication et les liberts publiques. Si l'on essaye de confronter les diffrents points de vue en prsence, il faut d'abord parler des commerants qui veulent pouvoir offrir leurs clients des moyens de paiement scuriss. Si l'on se focalise aujourd'hui sur le commerce lectronique et notamment par Internet, il faut rappeler que les banques ont t les premires grosses consommatrices de cryptologie et que la carte puce que chacun possde fait bien videmment usage de procds cryptographiques. Il est donc clair que le dveloppement du commerce sur Internet ne pouvait pas faire l'conomie d'un assouplissement de la lgislation en la matire. La cryptologie est la science du secret et ceux qui prtendent ne rien avoir cacher ne voient pas l'intrt de passer du temps comprendre l'utilisation d'une telle technologie. Outre le fait qu'il n'est pas certain que vous n'ayez rien cacher puisque, pour reprendre la clbre formule de Florian, "pour vivre heureux, vivons cachs " , il faut bien comprendre que la cryptologie est le seul moyen efficace que l'on possde aujourd'hui pour scuriser certaines oprations en ligne. En effet, la cryptologie, aussi bizarre que cela puisse paratre, ne sert pas qu' crypter, mais on l'utilise galement pour la signature lectronique qui est promise un bel avenir. Si l'on veut dvelopper toute une srie de services en ligne, comme la dmatrialisation de certaines dmarches administratives, il est obligatoire d'utiliser des moyens cryptographiques. Exemple Par exemple, si vous faites partie de ces Franais qui ont fait leur dclaration d'impt par Internet, vous avez utilis une des multiples applications de la cryptographie.
** *
La cryptologie est donc trs utile dans notre monde virtuel et il faut donc apprendre l'apprivoiser. L'autre raison est qu'il s'agit d'un domaine sensible pour les liberts publiques, ce qui signifie qu'il vaut mieux en avoir une vision claire si l'on veut exercer son pouvoir de citoyen. Enfin, la cryptologie est un sujet qui touche de nombreuses disciplines intellectuelles et son tude se rvle passionnante.
76
3. Pourquoi crypter ses courriers lectroniques ?

Si le courrier lectronique est un instrument formidable, il faut cependant admettre qu'il est peu prs aussi confidentiel qu'une carte postale que l'on expdie sans prendre la prcaution de la glisser dans une enveloppe. Cela est loin de constituer toujours un problme, car de nombreux courriers lectroniques ne revtent pas un caractre confidentiel ; en effet, quand nous envoyons un proche un message de prompt rtablissement parce ce que ce dernier est valtudinaire, nous nous moquons bien de savoir que notre mot puisse tre intercept et tomber entre les mains d'une puissance trangre. Il existe cependant des courriers qui doivent rester secrets ; les entreprises notamment s'changent couramment des informations confidentielles, qu'il s'agisse de contrats, d'analyses ou de secrets de fabrique. On est d'ailleurs en mesure d'affirmer que bien peu d'entre elles ont pris la mesure du problme ; dans l'esprit de nombreuses personnes, il semble que la rapidit d'expdition du courrier lectronique soit un facteur de scurit : comme un courriel est achemin en quelques secondes, beaucoup de gens pensent qu'il est impossible intercepter. Ce en quoi ils ont tort. Outre le problme de l'interception, il faut prendre garde au fait que l'envoi ou la rception d'un courrier lectronique laissent de multiples traces, notamment sur l'ordinateur qui sert le rceptionner. Il faut savoir parfaitement identifier toutes ces faiblesses qui menacent la confidentialit du courrier lectronique de manire pouvoir les surmonter si besoin est.
3.1. On nous coute !

Au dpart, ce ne furent que quelques papiers dans la presse spcialise. Puis le nom d'Echelon revint de plus en plus souvent dans les conversations. Il y eut enfin le rapport parlementaire d'Arthur Paecht et l'enqute de l'Union europenne : il faut donc bien aujourd'hui se rendre l'vidence, Echelon existe et les tats-Unis, au dbut de la guerre froide, ont bien mis en place un immense rseau d'coute qui s'est perfectionn au fil du temps. Capable aujourd'hui d'intercepter les communications tlphoniques, les tlcopies et les courriers lectroniques, Echelon reste l'objet de multiples interrogations dans la mesure o l'on possde trs peu de renseignements son sujet. On est cependant certain qu'une partie de son activit est consacre l'espionnage conomique, les socits Airbus et Thomson ayant notamment t prives d'importants contrats internationaux grce son utilisation. Les rvlations sur le logiciel Carnivore du FBI charg de surveiller les Amricains ne sont pas tellement plus rassurantes. Mais l'Union europenne n'est pas totalement en reste puisqu'elle a dcid, dans le cadre de son projet de convention sur le cybercrime, le stockage systmatique, pendant 90 jours, des donnes du trafic de chaque internaute. Quand on vous dit que tout ce que vous crivez pourra tre retenu contre vous, vous commencez maintenant y croire ?
3.2. Internet et la confidentialit

Il est clair qu'Internet n'a pas t conu l'origine pour empcher l'espionnage des conversations qui s'y droulent.
77
Rappel Il faut ici rappeler que la structure mme du rseau a t labore par le ministre de la Dfense amricain pour pouvoir rsister une attaque nuclaire : si une partie du rseau tait endommage, les communications devaient pouvoir continuer fonctionner sur l'autre partie. De mme, le rseau n'tait pas conu pour le grand public. Le protocole IP prend donc en compte, grce notamment au concept de routage, l'acheminement des paquets par des voies de communication diffrentes, mais il n'est pas prvu la base pour garantir la confidentialit des informations qui circulent sur le rseau. Il est donc trs facile d'installer un logiciel (qu'on appelle sniffer) qui intercepte les paquets transitant par le rseau. Bien videmment, au fur et mesure de l'ampleur que prenait Internet, les spcialistes de la scurit ont pris la mesure du problme et de nouveaux protocoles de communication scurise ont vu le jour. Il est donc dsormais possible de crypter les paquets IP, ce qui rend, en cas d'interception, leur dcodage plus complexe. Mais il faut cependant reconnatre que le mode de transmission des courriers lectroniques n'est pas un modle de confidentialit : le fait qu'un courriel passe par de multiples bureaux de poste virtuels, o il peut facilement tre copi, n'est pas de nature rassurer ceux qui veulent conserver le secret de leur correspondance lectronique. Pour ceux-l, la seule solution demeure le cryptage.
3.3. Identifier les menaces

Tous les grands stratges le savent bien : pour combattre l'ennemi, il faut tout d'abord l'identifier. En ce qui concerne la confidentialit du courrier lectronique, nous allons malheureusement voir que les menaces viennent de toutes parts. Le premier danger, c'est bien videmment l'autre, celui qui l'on crit ; l'change que l'on croyait priv peut faire le tour de la plante en quelques minutes si votre correspondant dcide de rendre public le contenu de votre message. Sans tomber dans la paranoa aigu (qui, en matire de scurit informatique, doit tre une seconde nature), cette ventualit n'est pas ngliger. Si vous crivez vos courriels partir de votre lieu de travail, sachez que votre employeur a la capacit technique d'espionner tout le courrier que vous crivez et recevez. Une tude rcente montre que 74 % des entreprises amricaines surveillent les communications lectroniques de leurs employs. On commence voir apparatre en France quelques affaires de licenciements la suite de courriers lectroniques qui n'ont pas plu la direction d'une entreprise. La situation est cependant un peu plus complexe aujourd'hui car une jurisprudence rcente a attribu le caractre de correspondance prive un courrier lectronique personnel envoy depuis l'ordinateur d'un salari d'une entreprise. Mais cette jurisprudence pose plus de problmes qu'elle n'en rsout.
78
Remarque Votre fournisseur d'accs Internet (FAI), s'il gre votre compte de courrier lectronique, a aussi fatalement la capacit de lire tous les courriels que vous recevez et envoyez. Enfin, et il ne s'agit malheureusement pas de science-fiction, vous pouvez tre victime d'un hacker qui pirate votre ordinateur ou le serveur de messagerie de votre FAI.
3.4. Confidentialit et fournisseur d'accs

Avant de vous abonner chez un fournisseur d'accs Internet (FAI), nous vous recommandons de bien lire les clauses du contrat qui concernent la confidentialit des courriers lectroniques que vous crivez ou que vous recevez. En thorie, la loi protge la vie prive (article 9 du code civil), ainsi que le secret des correspondances (loi n 91- 646 du 10 juillet 1991). Toute clause restreignant ces droits fondamentaux serait donc considre comme nulle ; mais comme il vaut mieux tre prudent, si le contrat est flou en la matire, demandez des prcisions par crit avant de signer quoi que ce soit. Le problme se pose notamment pour les messageries gratuites, comme Hotmail. Mme s'il n'y a pas de contrepartie financire, l'utilisateur signe tout de mme en ligne un contrat qui le lie au prestataire de services. Or, dans la majorit des cas, ce contrat est trs dsavantageux pour l'internaute. Si l'on prend la peine de lire l'intgralit du contrat de la messagerie Hotmail, on peut y dcouvrir la clause suivante : "Microsoft n'est pas tenue de surveiller les Services de communication. Toutefois, Microsoft se rserve le droit de prendre connaissance des documents posts sur un Service de communication et de supprimer tout lment, sa seule convenance. Microsoft se rserve le droit de vous retirer tout moment l'accs l'une ou l'ensemble de ces Services de communication, sans notification, et pour quelque motif que ce soit. Microsoft se rserve le droit de divulguer toute information pour se conformer toute loi ou rglementation en vigueur, ou pour obir une injonction judiciaire ou administrative, ou d'diter, de refuser de poster, ou de supprimer tout ou partie de documents ou d'informations, la seule convenance de Microsoft. " Qui a dit que le gratuit tait encore trop cher ?
4. Mthodes de cryptage de ses courriers lectroniques

La seule solution pour assurer le secret de vos correspondances est de crypter vos messages. Et, pour ce faire, vous devez adopter un systme bas sur le principe de la cryptographie cl publique. Deux mthodes s'offrent vous : acqurir un logiciel de cryptographie qui s'interface avec votre logiciel de messagerie (par exemple, Outlook Express) ; acqurir un certificat numrique (ou identit numrique) qui vous servira recevoir des messages crypts.
79
Remarque Dans la seconde mthode, votre cl publique fait partie de votre identit numrique qui est garantie par une autorit de certification.
5. Le cryptage des fichiers

Si vous avez des fichiers confidentiels, vous pouvez les crypter, ce qui interdira leur accs aux personnes non autorises qui ne possdent pas le mot de passe. Nous allons tudier quelques-unes des multiples possibilits de cryptage de fichiers qui existent. Signalons que la libralisation de la cryptographie en France a dynamis ce march ; il existe aujourd'hui plusieurs logiciels gratuits qui proposent des fonctionnalits de cryptage fort. Exemple Le logiciel Security Box permet de chiffrer vos fichiers en triple-DES avec une cl de 128 bits. Bien videmment, le logiciel PGP permet galement de crypter des fichiers. Comment crypter les fichiers Office ? Les logiciels de la suite Office de Microsoft offrent aussi la possibilit de protger par un mot de passe les documents pour en interdire la lecture ou la modification. Il est ainsi trs facile de protger ses fichiers Word ou Excel des regards indiscrets. Dans les versions anciennes d'Office, le cryptage des fichiers tait vraiment sommaire et on trouvait de nombreux outils sur Internet qui permettaient de craquer les mots de passe des logiciels d'Office. Utiliser le cryptage de Windows Si vous utilisez Windows 2000 ou bien Windows XP et avez un disque dur format avec le systme de fichiers NTFS, vous avez la possibilit d'utiliser le cryptage EFS (Encrypting File System) intgr Windows.
Partie D. La signature lectronique

Prambule
Il y a encore peu de temps, la signature lectronique n'tait qu'un concept que la plupart des gens apprhendaient mal ; or, aujourd'hui, il s'agit d'une ralit qui va rvolutionner la vie quotidienne des particuliers et des entreprises. Attention Commenons tout d'abord par lever une ambigut : de nombreuses personnes (et mme certains auteurs) pensent tort qu'une signature lectronique est le fichier de signature qui est rajout automatiquement la fin d'un courrier lectronique ou bien un fichier graphique cr par la numrisation ( l'aide d'un scanner) d'une signature manuscrite. Or, la signature lectronique (ou numrique) est un concept totalement diffrent.
80
La signature lectronique est un dispositif cryptographique qui permet de s'assurer de l'identit de la personne qui signe le courrier. En fait, signer un courrier lectroniquement, c'est fournir un code secret qui authentifie l'auteur du message, de la mme manire que le code secret de votre carte bancaire permet au distributeur de billets de savoir que c'est bien vous qui retirez de l'argent. Ce nouveau concept est rendu possible grce l'volution des moyens cryptographiques, ainsi qu' l'adaptation de la lgislation. L'application la plus immdiate de la signature lectronique est que l'on peut signer un document numriquement et l'envoyer par courrier lectronique, l o il fallait auparavant prendre un stylo, signer au bas de la feuille et envoyer le document papier par la Poste.
1. Modifications lgislatives
Pour que le concept de signature lectronique devienne une ralit, il a fallu modifier plusieurs lois. Il a tout d'abord t ncessaire d'autoriser la cryptographie. Se rendant compte que cette absence de libralisation demeurait le frein principal l'essor du commerce lectronique, le gouvernement de Lionel Jospin dcida alors d'autoriser l'usage de la cryptographie avec des cls de 40 bits[La longueur de la cl d'un systme cryptographique se mesure en bits, bit tant l'acronyme de binary digit, ou chiffre binaire, c'est--dire zro ou un ; plus la cl est longue, plus le dcryptement est long et difficile]. Face aux dolances des professionnels d'Internet qui s'insurgeaient contre ces mesures juges trop timides, le gouvernement publia le 17 mars 1999, au Journal officiel, deux dcrets (99 199 et 99 200) qui lgalisaient l'utilisation de la cryptographie avec des cls de 128 bits. Les dbuts de la signature lectronique ont commenc au mois de mars 2000 lorsque la loi n 2000-230, portant adaptation du droit de la preuve aux technologies de l'information et relative la signature lectronique, a t publie au Journal officiel. Pour tous les nostalgiques du papier, ce fut un jour noir car cette loi stipule que "l'crit sous forme lectronique est admis en preuve au mme titre que l'crit sur support papier, sous rserve que puisse tre dment identifie la personne dont il mane et qu'il soit tabli et conserv dans des conditions de nature en garantir l'intgrit " . Un peu plus loin, le texte assne : "l'crit sur support lectronique a la mme force probante que l'crit sur support papier. " Il a encore fallu attendre un an pour que le dcret d'application de cette loi soit publi (un an pour rdiger quatre pages, quelle productivit !) mais, depuis le 31 mars 2001, c'est chose faite. Remarque : Vous pouvez donc dsormais envoyer un courrier lectronique sign numriquement chaque fois que l'on exige de vous une signature manuscrite. Mais attention, armez-vous de patience et de persuasion car les ractionnaires de tout poil et les ignorants courent les rues et il faut encore pas mal ferrailler pour qu'une administration accepte un courriel sign numriquement la place d'un courrier papier. Que cela ne vous empche pas de persvrer car il arrivera bien un jour o le bon sens informatique triomphera de la bureaucratie.
81
2. La certification numrique
2.1. Les autorits de certification
Comment fait-on en pratique pour signer numriquement un courrier lectronique ? Pour ce faire, il faut se procurer au pralable un certificat numrique que la loi dfinit comme "un document sous forme lectronique attestant du lien entre les donnes de vrification de signature lectronique et un signataire" . On trouve ce genre d'ustensile auprs d'une autorit de certification (ou AC), ou d'un prestataire de services de certification lectronique, soit " toute personne qui dlivre des certificats lectroniques ou fournit d'autres services en matire de signature lectronique" () . Remarque Dans Outlook Express, vous pouvez obtenir l'adresse d'autorits de certification grce au bouton Obtenir un identificateur de la commande Outils > Options > Scurit. Malheureusement, toutes les autorits de certification proposes par Microsoft sont des autorits trangres qui offrent leurs services en anglais. Complment Cliquez sur le lien ci-dessous afin de visualiser l'animation correspondante. De quoi avons-nous besoin ?
2.2. Comment obtenir en pratique un certificat numrique

Le certificat numrique est donc le ssame de la signature lectronique ; sans lui, impossible de signer un courrier numriquement. Pour l'obtenir, vous devez faire appel une autorit de certification ; nous vous conseillons de choisir une autorit franaise car, en cas de problme, le dialogue sera plus facile. Exemple La socit Certinomis propose pour une vingtaine d'euros le certificat baptis Personae. Vous pouvez juger du professionnalisme de l'autorit de certification au vu de la procdure d'obtention du certificat numrique. La procdure doit tre crite et exiger des preuves de votre identit ; n'oubliez pas que cette lourdeur est un gage de srieux et que, l'issue de cette preuve, tous vos changes pourront tre dmatrialiss. Pour obtenir votre certificat numrique, connectez-vous au site web d'une autorit de certification et remplissez un formulaire d'inscription en ligne.
82
Exemple Sur le site de Certinomis, vous devez fournir des renseignements personnels, puis envoyer, par la Poste : une photocopie de votre pice d'identit ; une facture de tlphone ou une quittance de loyer, ; un chque et un contrat rgissant les rapports entre l'utilisateur et l'AC. Aprs avoir vrifi votre dossier, l'AC valide votre certificat numrique, que vous devez tlcharger sur votre ordinateur. Son utilisation est subordonne une cl prive qui vous est envoye par la Poste.
2.3. Sauvegarder votre certificat numrique

La premire des choses faire, quand vous avez saisi la cl prive qui sert activer votre certificat numrique, n'est pas d'essayer d'envoyer immdiatement un message sign numriquement, mais d'effectuer une copie de sauvegarde de votre certificat. Cette copie vous servira restaurer votre systme de courrier lectronique en cas de panne, ou bien exporter votre certificat numrique, si vous changez d'ordinateur, par exemple. Pour copier votre certificat, cliquez sur le bouton Identificateurs numriques dans la commande Outils > Options > Scurit. La bote de dialogue Certificats apparat : cliquez sur l'onglet Personnel et slectionnez le certificat que vous voulez sauvegarder. Cliquez ensuite sur le bouton Exporter. L'Assistant Exportation de certificat apparat : Cliquez sur le bouton Suivant ; Choisissez sur la deuxime page l'option Oui, exporter la cl prive ; Sur la troisime page, validez les options slectionnes par dfaut en cliquant sur le bouton Suivant. Conseil Choisissez soigneusement un mot de passe et ne l'oubliez pas ! Ce mot de passe protge votre cl prive d'une utilisation frauduleuse. Si vous tes dans un environnement protg, ce mot de passe est superflu. Ensuite, indiquez un emplacement et un nom de fichier, et validez l'exportation de votre cl en cliquant sur le bouton Terminer de la dernire page de l'assistant. Remarque : Cl publique et cl prive Vous devez bien faire la diffrence entre votre cl prive et votre cl publique. La cl publique, comme son nom l'indique, n'est pas secrte, et vous devez la distribuer tous les correspondants qui souhaitent vous envoyer des courriers crypts. La cl prive, quant elle, ne doit jamais sortir de votre coffre-fort. Les internautes mlangent encore trop souvent leurs deux cls et diffusent leur cl prive au lieu de leur cl publique, ce qui est particulirement fcheux. Dans ce cas-l, on peut, par exemple, lire les courriers crypts que l'on vous envoie et
83
usurper votre identit. La cl prive est vraiment le garant de votre identit numrique et vous devez la protger. Pour ce faire, vous pouvez choisir un mot de passe ; cela est une prcaution indispensable si votre ordinateur est accessible d'autres personnes. L'authenticit des certificats numriques Si votre certificat numrique est bien protg et au-dessus de tout soupon, en est-il de mme de celui de tous vos correspondants ? Dans tout systme scuris, il existe un maillon faible, notamment quand l'tre humain intervient. Il convient donc de rester vigilant et de ne pas accorder sa confiance systmatiquement tous les certificats numriques. Dans la mesure o certaines autorits de certification (AC) accordent un certificat numrique sans vrifier srieusement l'identit du demandeur, on peut mettre en doute certaines identits numriques. De la mme manire, la cl prive qui protge le certificat numrique peut tre vole ou bien devine si le mot de passe qui la verrouille est mal choisi. Si cette msaventure vous arrive, vous devez avertir immdiatement votre AC qui placera votre certificat sur une liste de rvocation. Chaque fois que vous utilisez un certificat numrique, Outlook Express vrifie, auprs de l'AC qui l'a mis, qu'il est valide et ne figure pas sur sa liste de rvocation. Vos correspondants seront alors aviss de l'invalidation de votre certificat numrique.
2.4. Animations
Cliquez sur les liens ci-dessous afin de visualiser les animations correspondantes. Pourquoi un certificat ? Pourquoi un certificat ? A qui faire confiance ? A quoi tout cela ressemble-t-il ? Serez-vous assez prudent ?
3. La signature numrique
3.1. Signer numriquement un courriel
Quand vous avez votre certificat numrique en poche, vous pouvez alors signer lectroniquement les courriers que vous envoyez. Attention Faites cependant bien attention au fait qu'un certificat numrique (ou identit numrique) est associ une seule adresse lectronique. Cela signifie que si vous possdez plusieurs comptes de courrier lectronique, vous devez possder plusieurs certificats numriques. Si vous ne possdez qu'un seul certificat, vous ne pouvez envoyer des courriers signs numriquement qu' partir du compte auquel est associ votre certificat. Dans le mme ordre d'ides, l'adresse de rponse de votre compte de courrier
84
lectronique (spcifie dans Outils > Comptes > Courrier > Proprits) doit tre identique l'adresse spcifie dans votre certificat numrique. Pour signer numriquement un courriel, vous devez composer un nouveau message, puis choisir la commande Signer numriquement partir du menu Outils de la fentre de composition du message. Vous pouvez galement cliquer sur le bouton Sign Mes. de la barre d'outils. Un ruban rouge apparat alors dans la partie droite de la fentre de message. En cliquant sur le bouton Envoyer, vous signez numriquement votre message et envoyez en mme temps votre correspondant une copie de votre identit numrique (votre cl publique). Vous pouvez configurer Outlook Express pour que tous vos messages soient par dfaut signs numriquement. Pour ce faire, choisissez la commande Outils > Options > Scurit et cochez la case Signer numriquement tous les messages sortants.
3.2. Recevoir un message sign numriquement

Quand vous recevez un message sign numriquement dans Outlook Express, un ruban rouge apparat dans la liste des messages de la bote de rception, ainsi que dans la fentre de message. La premire fois que l'on ouvre un message sign numriquement, Outlook Express affiche un message d'aide de scurit qui explique la nature du courrier. Si vous cochez la case Ne plus afficher cet cran d'aide, Outlook Express n'affichera plus cet avertissement lors de la rception des prochains messages signs numriquement. Pour pouvoir prendre connaissance du courrier, vous devez faire dfiler le message d'aide et cliquer sur le bouton Continuer ; le message sign numriquement apparat ensuite. moins que vous n'ayez dsactiv la case Ajouter le certificat des expditeurs au Carnet d'adresses de la commande Outils > Options > Scurit > Options avances, Outlook Express ajoute automatiquement le certificat numrique de votre correspondant quand vous recevez un courrier sign numriquement. Ce dernier se voit alors affubl d'un ruban rouge dans le Carnet d'adresses. Si l'option est dsactive, vous pouvez ajouter manuellement au Carnet d'adresses le certificat numrique en ouvrant le message, puis en choisissant la commande Fichier > Proprits. La bote de dialogue Message sign numriquement apparat. Cliquez sur le bouton Afficher les certificats de l'onglet Scurit, puis sur Ajouter au Carnet d'adresses. Le certificat numrique est ajout tous les contacts dont l'adresse lectronique correspond.
3.3. Autres fonctions de la signature lectronique

La signature lectronique est ainsi devenue possible grce l'invention de la cryptographie cl publique. Avec cette technologie, une personne qui envoie un courrier sign numriquement peut tre authentifie de manire fiable, et on est donc vraiment certain qu'elle est bien celle qu'elle prtend tre. Dans la mesure o il est trs facile de falsifier son identit quand on envoie un courrier lectronique, un courrier sign numriquement authentifie de manire absolue son expditeur. L'usage de la signature lectronique permet galement trois autres fonctionnalits :
85
L'intgrit. Si un message sign numriquement a t modifi, que ce soit la suite d'une erreur de transmission, ou bien intentionnellement par un pirate qui a intercept le courrier, Outlook Express le dtectera et en avertira le destinataire. La non-rpudiation. Quand on a sign un courrier lectronique numriquement, on ne peut pas prtendre par la suite que l'on ne l'a pas envoy. Cette fonctionnalit est importante dans le cadre d'un contrat, et notamment pour le commerce lectronique. La confidentialit. Le certificat numrique sert de cl publique, ce qui signifie que si vous possdez une signature lectronique, on est susceptible de vous envoyer des messages crypts que vous pourrez dchiffrer l'aide de votre cl prive. La section suivante expose en dtail le cryptage des courriers lectroniques. Quelle est la valeur juridique de la signature lectronique? Juridiquement, la signature lectronique a la mme valeur que la signature manuscrite, ds lors qu'elle permet de garantir : l'identit du signataire : la signature d'une personne exprimant son consentement, il est essentiel de pouvoir affirmer avec certitude que la signature lectronique a bien t appose par cette personne (et non par une autre) ; l'intgrit du document sur lequel a t appos la signature : une personne ne signe un document que parce qu'elle est d'accord avec ce qu'il contient. Il est donc impratif de garantir que le contenu ne pourra pas tre modifi aprs signature ; l'indissociabilit de la signature et du document sign : il ne doit pas tre possible d'extraire la signature lectronique appose par une personne sur un document pour l'intgrer un autre document.
3.4. Animations
Cliquez sur les liens ci-dessous afin de visualiser les animations correspondantes. Principes de la signature numrique Comment signer un document numrique ? Qu'est-ce que le chiffrement asymtrique ? Sauriez-vous signer un mel, un contrat sur disquette, un achat par carte bancaire ? Quels avantages attendre de la signature numrique ? A vous de jouer !
86
Partie E. Le SPAM et la loi

1. L'adresse lectronique...
1.1. ... une donne caractre personnel
La loi du 6 janvier 1978 protge les citoyens contre les abus de l'informatisation outrance et encadre notamment la collecte des informations nominatives et leur utilisation. Si l'on reprend la dfinition que fait l'article 2 du caractre personnel d'une donne, il apparat clairement que cette dfinition englobe l'adresse lectronique. Cette dernire est directement nominative quand elle se prsente sous la forme prnom.nom et indirectement nominative dans le cas contraire puisqu'une adresse lectronique est toujours relie une personne physique. Remarque Cette distinction ne vaut pas pour les messageries gratuites comme Hotmail o aucune vrification du nom et de l'adresse du titulaire de l'abonnement n'est effectue. Rappel Il faut galement noter qu'une adresse lectronique fournit souvent d'autres renseignements comme l'origine gographique, le nom du FAI ou le nom de l'entreprise.
** *
Le fait que l'adresse lectronique soit perue comme une information caractre personnel a donc des consquences juridiques puisque sa collecte et son utilisation sont rglementes.
1.2. ... une donne marchande

Comme envoyer un courrier lectronique une personne ou cent mille cote le mme prix, c'est--dire presque rien, il est bien vident que faire du publipostage lectronique devient on ne peut plus tentant pour toutes les entreprises qui ont vendre quelque chose (que ce soit un bien de consommation, un service ou une religion). L'adresse lectronique d'un individu est alors considre comme un moyen d'atteindre vil prix un client potentiel. De la mme manire que certaines socits se sont fait une spcialit de vendre ou louer des fichiers d'adresses postales, on voit apparatre des entreprises qui recueillent et revendent des adresses lectroniques. Ces nouveaux chercheurs d'or font flche de tout bois : cartes de visite, annuaires d'entreprises, annuaires de FAI, contributions dans les forums publics de discussion (newsgroups) ; tout est bon pour rcuprer des
87
adresses lectroniques. Si, de surcrot, l'adresse est qualifie, parce que vous avez, par exemple, post une contribution sur un forum consacr aux sous-vtements en latex, elle prend tout de suite de la valeur. Conseil 1 Il convient donc de veiller ne pas laisser traner son adresse lectronique n'importe o. La premire des prcautions est de ne pas la confier n'importe qui. De la mme manire, quand vous diffusez un courriel en nombre, rien ne vous oblige diffuser l'adresse lectronique de vos correspondants tous les destinataires de l'envoi. Aprs tout, le champ Cci a t invent pour cela, mais il assez tonnant de voir que trs peu de personnes l'utilisent et encore moins se rendent compte qu'elles commettent un traitement automatis de donnes caractre personnel quand elles mettent tout leur carnet d'adresses dans le champ Vers d'un courriel... La moindre des courtoisies, si vous ne voulez pas que l'on diffuse tout va votre adresses lectronique, est donc bien de commencer par ne pas rpandre l'adresse lectronique de vos correspondants. Conseil 2 Il est galement prudent de ne jamais poster de message sur un forum en utilisant sa vritable adresse. Les marchands d'adresses lectroniques scrutent les forums et ont conu des logiciels qui rcuprent automatiquement toutes les adresses lectroniques qui s'y trouvent. Le plus simple, quand cela est possible, est de dclarer une adresse inexistante ou bien de crer une adresse sur un serveur de Webmail gratuit qui ne servira qu' cet effet. Au final, moins vous diffusez votre adresse lectronique, moins vous recevrez de spam.
2. Les aspects juridiques du spamming

2.1. L'ampleur du spamming
De la mme manire que votre bote aux lettres est envahie de publicits en tous genres, votre BAL lectronique peut regorger de messages que vous n'avez pas vraiment demand recevoir. Il s'agit le plus souvent de courriers vous incitant acheter des produits. Marginal aux dbuts d'Internet, ce phnomne a pris aujourd'hui une ampleur considrable. Ds le mois d'octobre 1999, la CNIL avait tabli un rapport, Le publipostage lectronique et la protection des donnes personnelles , qui est disponible l'adresse suivante : www.cnil.fr/fileadmin/documents/approfondir/rapports/publpost.pdf Dans l'tude NetValue/Datatrader ralise en mai 2001, 56 % des hommes et 48 % des femmes interrogs peroivent un e-mail sur deux comme tant promotionnel ou commercial. la fin de l'anne 2004, diffrentes tudes estimaient que trois courriels sur
88
quatre taient du spam. Le phnomne n'arrte pas de progresser et on pourra s'en persuader en lisant toute une srie de chiffres disponibles l'adresse suivante : http://www.journaldunet.com/cc/03_internetmonde/spam.shtml Les entreprises commencent prendre cette ralit trs au srieux, car le trafic gnr par ces courriers non sollicits cre un engorgement des serveurs de messagerie.
2.2. Le droit applicable en France

La loi du 6 janvier 1978 encadre la collecte des adresses lectroniques qui est une condition sine qua non du spam. Conscients du problme grandissant du spam, les hommes politiques ont cependant voulu ragir et la nouvelle loi du 21 juin 2004, baptise LEN[Loi pour la confiance dans l'conomie numrique], vient renforcer l'arsenal lgislatif. En effet, l'article 22 de cette nouvelle loi modifie le code des postes et tlcommunications et prcise les lments suivants. Extrait de texte lgal Est interdite la prospection directe au moyen d'un automate d'appel, d'un tlcopieur ou d'un courrier lectronique utilisant, sous quelque forme que ce soit, les coordonnes d'une personne physique qui n'a pas exprim son consentement pralable recevoir des prospections directes par ce moyen. Pour l'application du prsent article, on entend par consentement toute manifestation de volont libre, spcifique et informe par laquelle une personne accepte que des donnes caractre personnel la concernant soient utilises fin de prospection directe. Constitue une prospection directe l'envoi de tout message destin promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Toutefois, la prospection directe par courrier lectronique est autorise si les coordonnes du destinataire ont t recueillies directement auprs de lui, dans le respect des dispositions de la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts, l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la mme personne physique ou morale, et si le destinataire se voit offrir, de manire expresse et dnue d'ambigut, la possibilit de s'opposer, sans frais, hormis ceux lis la transmission du refus, et de manire simple, l'utilisation de ses coordonnes lorsque celles-ci sont recueillies et chaque fois qu'un courrier lectronique de prospection lui est adress. Dans tous les cas, il est interdit d'mettre, des fins de prospection directe, des messages au moyen d'automates d'appel, tlcopieurs et courriers lectroniques, sans indiquer de coordonnes valables auxquelles le destinataire puisse utilement transmettre une demande tendant obtenir que ces communications cessent sans frais autres que ceux lis la transmission de celle-ci. Il est galement interdit de dissimuler l'identit de la personne pour le compte de laquelle la communication est mise et de mentionner un objet sans rapport avec la prestation ou le service propos.
89
Remarque : Cet article de loi durcit considrablement les textes en vigueur et supprime en thorie la possibilit du spam puisqu'il faut obtenir le consentement pralable du destinataire avant de pouvoir lui envoyer un courrier qui sera donc, par dfinition, considr comme sollicit. Les entreprises avaient d'ailleurs six mois pour se mettre en conformit avec la loi et obtenir le consentement de leurs clients. Certaines ont jou le jeu, mais elles ne sont pas majoritaires. On continue donc malgr tout recevoir de nombreux courriers non sollicits en provenance d'entreprises franaises qui sont, par consquent, en infraction manifeste avec la nouvelle loi. Conseil Quand cela vous arrive, nous vous conseillons, si cela est possible, de leur rappeler systmatiquement la loi l'aide d'un modle tout prt l'emploi. Si tous les spamms s'unissent pour protester, on peut esprer que cela fera bouger les choses, au moins en France. Il faut malheureusement avoir l'honntet de reconnatre que, pour le spam en provenance de l'tranger, nous n'avons pratiquement aucun moyen d'action. Remarque Signalons enfin que les tribunaux commencent condamner le spam, et parfois trs lourdement. Ainsi, au mois de mai 2004, un entrepreneur du sud de la France a t condamn par le tribunal de commerce de Paris verser 22 000 euros de dommages et intrts Microsoft et AOL qui avaient poursuivi le spammeur, ce dernier ayant quand mme envoy plus d'un million de courriers non sollicits.
2.3. L'OPT-IN et l'OPT-OUT

La rglementation du spamming est traditionnellement envisage travers deux approches : l' opt-in et l' opt-out . Par ces deux termes anglais, on dsigne la politique de diffusion des informations adopte par les services Internet avec lesquels on est en contact. Exemple Par exemple, quand vous commandez un produit sur Internet, il n'est pas rare que le cyber-commerant souhaite vous abonner une lettre commerciale qu'il diffuse chaque semaine ses clients. Dans ce cas de figure, il existe deux solutions : soit vous tes abonn par dfaut cette lettre, soit vous devez donner votre accord. Dans le premier cas, c'est le systme du opt-out (qui signifie en anglais "refuser") car c#est vous de signifier que vous ne voulez pas recevoir d'informations. Dans lapratique,il faudra en gnral dslectionner une case cocher ou bien envoyer un courriel pour se dsabonner.
90
Dans le deuxime cas, c#est le systme du opt-in (qui signifie en anglais "accepter") et c'#est vous de donner explicitement votre accord pour recevoir des informations.Pratiquement,c'est vous de cocher une case qui ne l'est pas a priori ou bien vous devez envoyer un courriel pour vous abonner. On comprendra que le systme du opt-out est plus avantageux pour le commerant alors que le systme du opt-in est plus respectueux des liberts du consommateur. Remarque Comme nous l'avons vu prcdemment, la loi sur la confiance dans l'conomie numrique (LCEN) a prcis les choses sur le plan juridique et c'#est clairement le systme du opt-in qui a t adopt en France, mais vous devez noter que dans d#'autres pays c'#est le systme du opt-out qui prime. Complment Nous vous invitons consulter le site suivant, prsentant des lment sintressants sur ce sujet : http://www.journaldunet.com/dossiers/mailing/
3. Conseils pratiques
Malgr les protections juridiques, de nombreux internautes demeurent victimes d'envois abusifs. Des solutions pratiques et techniques existent pour vous prmunir de la rception des courriers lectroniques indsirables. Voici 5 conseils frquemment dispenss.
3.1. Evitez de rpondre aux spams dont le contenu vous semble rellement abusif
Les expditeurs cherchent savoir si votre adresse lectronique est bien valide. Leur rpondre, c'est leur donner l'occasion de vrifier sa validit. Ils pourront alors les revendre d'autres spammeurs.
3.2. Evitez de mettre votre adresse lectronique habituelle sur des sites web ou dans les groupes de discussion
Les adresses lectroniques affiches dans les espaces publics d'internet sont susceptibles d'tre collectes votre insu par les logiciels dont se servent les spammeurs pour vous inscrire sur leurs fichiers. Vous pouvez utiliser une adresse auxiliaire ou encore cryptez votre adresse habituelle. Complment Pour encrypter vos adresses, voir : http://www.caspam.org/cas_cryptemail.html
91
3.3. Eviter de dlivrer votre adresse ml sans connatre la finalit pour laquelle elle est collecte
Lorsqu'un site vous demande votre adresse de courrier lectronique, c'est bien entendu pour communiquer avec vous. Avant de la dlivrer, assurez-vous que le site en question respecte les principes relatifs la protection des donnes personnelles. Plusieurs indices pourront vous orienter : apposition d'un label ; appartenance un organisme professionnel respectueux des donnes personnelles ; rfrences aux lois en vigueur (loi de 1978 en France, directive de 1995...) ; indications prcises sur l'utilisation qui sera faite de votre adresse de courrier lectronique. Conseil Observer bien galement les ventuelles cases cocher ou dcocher pour viter, par exemple, que l'on vous envoie des informations caractre promotionnel.
3.4. Filtrez les spams

Certains logiciels de courrier lectronique et certains webmails[services de courrier lectronique disponibles sur le web] vous permettent d'organiser la rception de vos courriels en fonction de mots cls ou de l'adresse de l'expditeur. Vous pouvez donc prdfinir vous-mme les courriers qui vous paraissent indsirables et faire en sorte qu'ils tombent directement dans votre corbeille. Conseil Des logiciels dits anti-spam peuvent vous faciliter la tche. Vous trouverez un liste de logiciels anti-spam l'adresse suivante : http://www.caspam.org/outils_anti_spam.html
3.5. Dnoncer les courriels abusifs

Il n'est pas toujours possible d'identifier le vritable expditeur d'un courriel abusif. Un mme expditeur peut d'ailleurs djouer les techniques de filtrage en changeant systmatiquement d'adresse d'envoi. Vous pouvez dnoncer la CNIL[En crivant l'adresse lectronique spam@cnil.fr] les courriels publicitaires qui ne respectent pas les dpositions lgales. Vous pouvez galement transfrer les spams des organismes tels que Spamcop ou Spamrecycle (en anglais uniquement), qui se chargent de les dnoncer auprs des fournisseurs d'accs. Remarque CASPAM vous offre des explications en franais sur la procdure suivre pour recourir aux services de Spamcop.
92
Conseil Il est recommand de signaler les messages abusifs auprs de votre fournisseur d'accs, ce qui lui permettra d'oprer un filtrage gnralis pour l'ensemble de ses abonns. Pour cela, il est ncessaire de leur envoyer copie de l'en-tte du courrier abusif. Pour retrouver l'entte sur Outlook Express, appuyez en mme temps sur les deux touches "Alt" + "Entre" puis ciquez sur "dtails". Sur Outlook, cliquez sur "affichage" puis "options".
4. Organismes de rgulation et de lutte contre le spamming

4.1. Organismes professionnels de rgulation
Plusieurs organismes professionnels s'intressent de prs la rgulation de l' e-mailing , parmi lesquels : Le BVP Le Bureau de vrification de la publicit (BVP) a effectu des recommandations dontologiques l'attention des annonceurs visant le respect de la vie prive des internautes et de l'utilisation des donnes. La FEVAD La Fdration des entreprises de vente distance (FEVAD) a adopt un Code Professionnel et une Charte de qualit respectueux de la protection des donnes caractre personnel. La FEVAD propose par ailleurs le service e-Robinson, un registre sur lequel vous pouvez inscrire votre adresse de courrier lectronique afin de recevoir moins de propositions commerciales dans votre bote aux lettres lectronique : http://www.e-robinson.com/ Le SNCD Le Syndicat national de la communication directe (SNCD) a labor un Code de dontologie relatif de l'e-mailing. L@belsite L@belsite a t cr et dvelopp par la FCD (Fdration des Entreprises du Commerce et de la Distribution) et la FEVAD (Fdration des Entreprises de Vente Distance) qui en assurent l'ingnirie technique, le financement et la communication. 27 rgles applicables sont contenues dans les rgles d'habilitation L@belsite. Elles s'articulent autour de 3 concepts : 1. Ralit et identit du commerant derrire le site ; 2. Conformit la rglementation et la dontologie de la vente distance adapte au mdia internet ; 3. Transparence et protection des donnes caractre personnel.
93
4.2. Organismes de lutte contre le spamming

Il existe un certain nombre de mouvements en France, en Europe et ailleurs visant protester contre le spam notamment travers des campagnes de sensibilisation et la signatures de ptitions. Les organismes suivants figurent parmi les plus connus. En France CNIL (Commission nationale de l'informatique et des liberts) CASPAM (Collectif anti spam) Campagne franaise anti-spam sur le serveur Cypango A noter galement, l'existence d'une liste de discussion destine combattre le spam par l'change d'information sur le sujet, Spamcombat . En Europe EuroCAUCE (The European Coalition Against Unsolicited Commercial Email) Aux Etats-Unis CAUCE (The Coalition Against Unsolicited Commercial Email) SpamCon Foundation Law Center Boycott Internet Spam Emailabuse.org Junkbusters
Ressources
Cryptographie
Vie prive
94
Collecte des donnes personnelles
Secret des correspondances
Droit l'image
Chapitre
V
La loi sur la cration et la protection des oeuvres
Les bases lgislatives
La lgislation sur l'information est lie la protection d'une oeuvre de cration de l'esprit, elle se rattache alors la notion de proprit intellectuelle (issue d'une traduction de intellectual property). Cependant, les mises en applications de cette proprit intellectuelle diffrent selon les tats. Dans la pays anglo-saxons, les Etats-Unis notamment, les lgislation est celle du copyright. En France, et dans la plus grande partie de l'Europe, c'est le droit d'auteur qui rgit les droits lis aux TICs, quelles que soient le type d'oeuvre. Les diffrences entre ces diffrents concepts peuvent tre subtiles mais existent. Et les volutions de la lgislation rendues obligatoires par les volutions des TICs, ainsi que les enjeux conomiques qu'elles reprsentent, peuvent tre dterminantes.
Partie A. La proprit intellectuelle

1. Principes
S'il y a un domaine qui souffre le plus du succs d'Internet, c'est bien celui la proprit intellectuelle, et notamment la proprit littraire et artistique. Nous n'allons pas faire ici un plaidoyer pro domo en faveur du respect du droit d'auteur, mais tenter de rappeler quelques rgles juridiques simples comprendre et montrer, grce quelques exemples de jurisprudence, que continuer bafouer la lgislation peut s'avrer risqu.
96
La proprit intellectuelle Le code la proprit intellectuelle est celui qui encadre le droit d'auteur dans la lgislation franaise, il se dcompose en deux parties distinctes : la proprit littraire et artistique (droit d'auteur, ...) ; la proprit industrielle (brevet, ...). Remarque Quand on parle ici d'auteur et de droit d'auteur, il faut prendre ce terme au sens large et lui attribuer plutt la notion de crateur. Au sens de la proprit intellectuelle, un auteur est celui qui cre des oeuvres de l'esprit.
2. Que sont les "oeuvres de l'esprit" ?

Plutt que de donner une dfinition des oeuvres de l'esprit, le code de la proprit intellectuelle prfre en donner une liste : Exemple les livres, brochures et autres crits littraires, artistiques et scientifiques ; les confrences, allocutions, sermons, plaidoiries et autres oeuvres de mme nature ; les oeuvres dramatiques ou dramatico-musicales ; les oeuvres chorgraphiques, les numros et tours de cirque, les pantomimes, dont la mise en oeuvre est fixe par crit ou autrement ; les compositions musicales avec ou sans paroles ; les oeuvres cinmatographiques et autres oeuvres consistant dans des squences animes d'images, sonorises ou non, dnommes ensemble oeuvres audiovisuelles ; les oeuvres de dessin, de peinture, d'architecture, de sculpture, de gravure, de lithographie ; les oeuvres graphiques et typographiques ; les oeuvres photographiques et celles ralises l'aide de techniques analogues la photographie ; les oeuvres des arts appliqus ; les illustrations, les cartes gographiques ; les plans, croquis et ouvrages plastiques relatifs la gographie, la topographie, l'architecture et aux sciences ; les logiciels, y compris le matriel de conception prparatoire ;
97
les crations des industries saisonnires de l'habillement et de la parure. Ce catalogue est assez htroclite et l'on y trouve aussi bien des oeuvres de l'esprit communment admises en tant que telles, mais galement des choses plus surprenantes comme les logiciels. Remarque Ds qu'un auteur cre une oeuvre, celle-ci est protge par le droit de la proprit intellectuelle, qu'elle ait t publie ou non.
Partie B. Le droit d'auteur

1. Principes
En matire de droit d'auteur, on distingue traditionnellement deux types de droits : le droit moral et le droit patrimonial. Le droit moral Le droit moral permet notamment l'auteur d'une oeuvre d'en revendiquer la paternit et aussi d'en faire respecter l'intgrit. Exemple Par exemple, le ralisateur d'un film en noir et blanc pourra s'opposer au distributeur du film qui souhaite en projeter une version colorise. Le droit patrimonial Les droits patrimoniaux sont les droits qui permettent un auteur de retirer un bnfice de son oeuvre. Ils portent donc principalement sur l'exploitation et la diffusion des oeuvres. Les droits patrimoniaux protgent les intrts de l'auteur et du diffuseur de ses oeuvres. Si l'on prend la peine de lire les articles L122-1 L122-12 qui dfinissent les droits patrimoniaux de l'auteur dans le Code de la proprit intellectuelle, on s'aperoit que l'exploitation d'une oeuvre est extrmement encadre. En fait, toute utilisation d'une oeuvre qui n'est pas prvue par l'auteur doit faire l'objet d'un accord direct avec l'auteur ou bien avec la personne qui est charge par l'auteur d'exploiter ses oeuvres. Exemple Prenons un exemple concret : si vous souhaitez afficher sur votre page personnelle un pome d'un auteur que vous apprciez particulirement, vous devez demander l'autorisation de le faire l'auteur de ce pome ou bien son diteur qui l'auteur a accord les droits de diffusion de cette oeuvre. Cette dmarche peut sembler contraignante, mais c'est la seule qui soit juridiquement valable.
98
Attention Bien videmment, ce raisonnement vaut pour tous les types d'oeuvres, qu'il s'agit d'un texte, d'une image, d'une chanson, d'un logiciel ou bien encore d'un film. En cas de non respect de ces dispositions lgales, vous risquez de vous faire condamner. Ainsi, la mise disposition sur un site Web de paroles de chansons, sans le consentement de l'auteur ou de son diteur, a t plusieurs fois condamne par les tribunaux. http://www.juriscom.net/jpc/visu.php?ID=155 http://www.juriscom.net/jpc/visu.php?ID=250 Ce principe peut paratre rducteur et accorder trop d'importance au pouvoir de l'auteur sur son oeuvre, mais c'est la loi. Vous imaginerez bien que si le fait de recopier des paroles constitue une infraction, il en va de mme pour la musique elle-mme... Remarque Il existe cependant des exceptions prvues par la loi qui limitent le droit d'auteur (article L122-5), notamment le droit la copie prive et le droit de citation. En matire de citation, la loi stipule que les citations doivent tre courtes et le nom de l'auteur et la source doivent tre indiqus clairement. A la fin de l'anne 2005, une loi importante sur le droit d'auteur et les droits voisins dans la socit de l'information (DADVSI) doit tre vote. On peut lgitimement s'attendre un durcissement des textes dj en vigueur afin de lutter plus efficacement contre le piratage des oeuvres sur les rseaux d'change P2P. http://www.culture.gouv.fr/culture/cspla/conseil.htm
2. Droit d'auteur, copie prive et P2P

Il existe un principe fort simple en matire de droit d'auteur : on n'a pas le droit d'utiliser une oeuvre sans l'autorisation de l'auteur en dehors des cas prvus par l'auteur. Il faut bien comprendre que l'auteur est propritaire de son oeuvre et qu'il en fait ce qu'il en veut. Exemple Quand un chanteur crit des chansons et fait un disque, il accorde aux acheteurs de son disque uniquement le droit d'couter la musique qu'il a cre dans le cadre qu'il a prvu, c'est--dire en coutant son disque. Le simple fait d'acheter un disque n'accorde aucun autre droit. La matrialit du disque est notre proprit, mais cela ne confre absolument aucun droit sur l'oeuvre, si ce n'est le droit de l'couter sur l'appareil de son choix. Pour l'instant, la seule tolrance qu'accorde la loi, c'est de faire une copie prive des oeuvres que l'on a acquises. Beaucoup d'internautes ignorants ou de mauvaise foi
99
justifient le piratage de la musique au nom de l'exception de copie prive. Les choses sont pourtant extrmement claires : on a le droit de faire une copie d'un disque que l'on a achet, uniquement pour son usage personnel. Cela signifie que, lorsque vous achetez un disque, vous pouvez sans problme graver un CD-Rom pour l'couter dans votre voiture ou votre maison de campagne. En revanche, cela ne vous autorise pas en faire une copie pour votre voisin, votre cousin ou votre collgue de bureau. Nous savons tous que peu de gens respectent cette loi la lettre et il nous est tous arriv de faire des copies qui dpassaient le cadre de la copie prive. Le problme actuel qui a fait ragir les professionnels de l'industrie du disque est que la gnralisation d'Internet couple la monte en puissance des dbits et l'mergence des logiciels de peer to peer (P2P) qui autorisent le partage de fichiers entre milliers d'internautes a mis en place un systme de copie pirate gnralis et chelle industrielle. En effet, dans le cadre d'un systme d'change P2P, l'quation est assez simple : la mdiathque accessible tous est forme de l'ensemble des contributions de chacun. Si 100 internautes mettent chacun la disposition de chaque membre du rseau un millier de chansons diffrentes, cela signifie que chaque internaute possde une bibliothque virtuelle constitue de 100 000 chansons. Sur le papier, ce systme parat gnial tellement il offre des possibilits vertigineuses, mais il a deux inconvnients majeurs : premirement, il contrevient aux dispositions du code de la proprit intellectuelle ; deuximement, les industriels du disque sont persuads qu'ils vendent moins de CD cause du P2P. Remarque Bien videmment, le raisonnement que nous venons de tenir pour la musique vaut galement pour les logiciels et les films. Face l'importance prise par le phnomne du P2P, il tait somme toute assez logique que les industries phonographiques ragissent, ce qu'elles ont fini par faire. Elles ont d'abord commenc par rappeler le volet pnal du code de la proprit intellectuelle dont nous reproduisons ci-dessous quelques articles : Article L335-2 - Toute dition d'crits, de composition musicale, de dessin, de peinture ou de toute autre production, imprime ou grave en entier ou en partie, au mpris des lois et rglements relatifs la proprit des auteurs, est une contrefaon et toute contrefaon est un dlit. - La contrefaon en France d'ouvrages publis en France ou l'tranger est punie de trois ans d'emprisonnement et de 300 000 euros d'amende. - Seront punis des mmes peines le dbit, l'exportation et l'importation des ouvrages contrefaits. - Lorsque les dlits prvus par le prsent article ont t commis en bande organise, les peines sont portes cinq ans d'emprisonnement et 500 000 euros d'amende.
100
Article L335-3 - Est galement un dlit de contrefaon toute reproduction, reprsentation ou diffusion, par quelque moyen que ce soit, d'une oeuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont dfinis et rglements par la loi. - Est galement un dlit de contrefaon la violation de l'un des droits de l'auteur d'un logiciel dfinis l'article L. 122-6. Article L335-4 - Est punie de trois ans d'emprisonnement et de 300 000 euros d'amende toute fixation, reproduction, communication ou mise disposition du public, titre onreux ou gratuit, ou toute tldiffusion d'une prestation, d'un phonogramme, d'un vidogramme ou d'un programme, ralise sans l'autorisation, lorsqu'elle est exige, de l'artiste-interprte, du producteur de phonogrammes ou de vidogrammes ou de l'entreprise de communication audiovisuelle. - Est punie des mmes peines toute importation ou exportation de phonogrammes ou de vidogrammes ralise sans l'autorisation du producteur ou de l'artiste-interprte, lorsqu'elle est exige. Dans la mesure o les campagnes de sensibilisation n'ont pas vraiment bien march, les diteurs sont passs la vitesse suprieure et ont dcid de porter plainte. Au dbut du mois de fvrier 2005 a eu lieu la premire condamnation d'un internaute ayant tlcharg massivement de la musique grce un logiciel de P2P. Cliquez sur le lien ci-dessous afin d'accder aux extraits de la dcision du tribunal de Pontoise. Voir annexe C en fin de fascicule Complment Pour en savoir plus, nou svous invitons consulter le site suivant : http://www.juriscom.net/int/visu.php?ID=173
Ressources
Tout sur les droits et les obligations des crateurs de sites, de la page personnelle au portail. Site "Droit du Net".
La proprit intellectuelle
101
Chapitre
VI
Les chartes d'utilisation et de bon comportement
Internet, un autre monde ?
Internet, tout comme tout nouveau mdium de communication, nous offre un nouveau moyen d'changer des informations. Il ne faut cependant pas perdre de vue que la majeur partie des outils de communication sur Internet restent des outils de communication de personne personne (courrier lectronique, chat, IRC, forums, ...). Il est trs dommageable de voir la dpersonnalisation l'emporter dans les changes entre personnes sur Internet, cela est en partie de la distance entre les individus que cre ce mdium. Il n'est pas rare de voir des comportements qui seraient considrs comme inadmissibles s'ils taient tenus en personne . Si Internet est un nouveau mdium de communication, les interlocuteurs restent des personnes humaines ! Pour ce faire, les chartes d'utilisation et de comportement ont pour objectif de fixer les rgles lies l'usage des TICs qu'aucun autre texte national ne peut dfinir et qu'il incombe chaque tablissement ou cole de prciser compte tenu de la grande varit d'utilisation des ressources lies aux TICs. Complments indispensables de la rglementation, les chartes ont l'avantage de s'adresser directement aux usagers et d'encadrer une libert d'usage du rseau, au plus prs des pratiques.
104
Partie A. Les chartes

1. Dfinition et principes
Le terme charte est un trs vieux mot franais (XIme sicle) qui au Moyen-ge dsignait un document juridique (titre de proprit, de vente, etc.). Dans sons sens moderne, une charte est un texte qui fixe le rglement d'une organisation (par exemple, la charte des Nations unies). Une charte n'est donc pas proprement parler un texte de loi, mais un guide du bon usage, un rglement intrieur, un recueil des bonnes pratiques, bref un mode d'emploi qui indique ce qu'il faut faire et ne pas faire quand on appartient une communaut d'utilisateurs. On trouve des chartes qui rglementent la vie de multiples organisations, qu'il s'agisse d'un syndicat, d'une association sportive ou bien encore d'un tablissement scolaire. Internet regroupant de multiples communauts d'utilisateurs, il est par consquent normal que l'on y rencontre aussi des chartes d'utilisation. En matire d'Internet, les chartes constituent plus un accord moral entre deux parties (l'organisation et ses membres, par exemple, une universit avec ses tudiants) qu'une loi ; nanmoins, le rle des chartes est de rappeler l'existence de la loi et d'ventuellement l'expliquer et la commenter. Le but d'une charte est galement de responsabiliser les usagers d'Internet en attirant leur attention sur tous les dangers qu'il y a utiliser un service en ligne de manire incorrecte.
2. Les tablissements universitaires et les chartes

Aujourd'hui, la plupart des universits font signer une charte d'utilisation toutes les personnes (tudiants, personnel administratif et enseignant) qui elles offrent un accs leur rseau informatique. Application Si une telle charte existe dans votre universit, nous vous encourageons la rechercher afin de la lire attentivement et de la respecter. Remarque De toutes les manires, mme si votre universit ne possde pas de charte, il faut savoir que l'ensemble des universits franaises utilise les services de communication d'un rseau baptis RENATER (Rseau National de tlcommunications pour la Technologie l'Enseignement et la Recherche), tablissement qui s'est dot d'une charte dontologique. Par consquent, si vous utilisez le rseau informatique de votre universit pour accder Internet, vous tes donc soumis la charte Renater.
105
Tlchargement et lecture de la charte RENATER Cette charte est disponible en tlchargement sur le site Web de Renater et nous vous conseillons de la lire.
Partie B. La charte RENATER

1. Prsentation et principes
La charte Renater a pour but de fixer les rgles d'usage qui s'imposent tous les utilisateurs du Rseau Renater. En exposant clairement les risques inhrents l'utilisation d'un rseau informatique, cette charte a pour objectif de sensibiliser et de responsabiliser chaque utilisateur du rseau. La charte rappelle les grandes orientations de l'utilisation du rseau Internet dans les universits : Utilisation des fins d'enseignement, de recherche, de dveloppements techniques, de transfert de technologies, de diffusion d'informations scientifiques, techniques et culturelles . Utilisation rationnelle des ressources du rseau ; Utilisation loyale des ressources du rseau ; Mise la disposition sur le rseau de donnes licites ; Pas d'accs au rseau Renater des tiers non autoriss titre commercial ou non, rmunr ou non. Attention Renater procde rgulirement des contrles de la bonne utilisation de son rseau et en cas de violation des rgles de la charte, l'accs au rseau peut tre suspendu.
2. Liste des infractions

Dans son annexe 4, la charte Renater rappelle la liste de toutes les infractions qui peuvent tre commises lors de la mauvaise utilisation d'un rseau informatique. 1. Infractions prvues par le Nouveau Code pnal 1. Crimes et dlits contre les personnes - Atteintes la personnalit (Respect de la vie prive art. 9 du code civil) : - Atteintes la vie prive (art. 226-1 al. 2 ; 226-2 al. 2, art.432-9 modifi par la loi n2004-669 du 9 juillet 2004) ; - Atteintes la reprsentation de la personne (art. 226-8) - Dnonciation calomnieuse (art. 226-10) - Atteinte au secret professionnel (art. 226-13) - Atteintes aux droits de la personne rsultant des fichiers ou des traitements
106
informatiques (art. 226-16 226-24, issus de la loi n 2004-801 du 6 aot 2004 relative la protection des personnes physiques l'gard des traitements de donnes caractre personnel et modifiant la loi n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts) - - Atteintes aux mineurs : art. 227-23 ; 227-24 et 227-28 et Loi 2004-575 du 21 juin 2004 (LCEN). 2. Crimes et dlits contre les biens - Escroquerie (art. 313-1 et suite) ; - Atteintes aux systmes de traitement automatis de donnes (art. 323- 1 323-7 modifis par la loi n 2004-575 du 21 juin 2004). 3. Cryptologie - Art. 132-79(insr par loi n 2004-575 du 21 juin 2004 art. 37). 2. Infractions de presse (loi 29 juillet 1881, modifie) Provocation aux crimes et dlits (art.23 et 24) ; Apologie des crimes contre l'humanit (art. 24) ; Apologie et provocation au terrorisme (art. 24) ; Provocation la haine raciale (art. 24) ; Ngationnisme : contestation des crimes contre l'humanit (art.24 bis) ; Diffamation (art. 30.31 et 32) ; Injure (art. 33).
3. Infraction au Code de la proprit intellectuelle - Contrefaon d'une oeuvre de l'esprit (y compris d'un logiciel) (art. 335-2 modifi par la loi n 2004-204 du 9 mars 2004, art. 34 - et art. 335-3) ; - Contrefaon d'un dessin ou d'un modle (art. L521-4 modifie par la loi n 2004-204 du 9 mars 2004, art. 34) ; - Contrefaon de marque (art. L716-9 - modifi par la loi n 2004-204 du 9 mars 2004, art.34 -et suivants). 4. Participation la tenue d'une maison de jeux de hasard ( cyber-casino ) - Art.1 de la loi du 12 juillet 1983, modifi par la loi du 16 dcembre 1992.
Partie C. La netiquette
1. Prsentation et principes
Netiquette signifie plus simplement l'Etiquette des Rseaux. Il s'agit d'une charte de bon comportement tablie en 1996 par l'ETF (Internet Engineering TaskForce). Elle est propose comme base pour toutes les chartes futures que celles-ci vous engagent vis--vis d'un fournisseur d'accs priv.
107
La netiquette rappelle les rgles de comportement et de courtoisie lmentaires avoir dans le cadre de communications : entre 2 individus : courrier lectronique, chat,... entre plusieurs individus : IRC, forums, chat, courrier lectronique,... Remarque Pour plus d'informations, nous vous invitons consulter la dfinition fournie par Wikipdia en cliquant sur ce lien.
2. Respecter la loi
Si la ntiquette dcrit le bon usage et le savoir-vivre sur Internet, il ne faut pas non plus oublier qu'il existe des lois qui encadrent la libert d'expression sur Internet. La Toile tant considr comme un outil de communication au mme titre que les grands mdias d'information, c'est principalement la loi sur la presse qui s'appliquera (loi du 29 juillet1881). Mme si cela peut paratre superflu, nous prfrons rappeler quelques vidences que la loi interdit : Contenus faisant l'apologie des crimes contre l'humanit ; Informations incitant la haine raciale ou la discrimination ; Photo ou film pornographiques reprsentant un mineur. Attention De la mme manire la diffamation (porter atteinte l'honneur d'une personne) et l'injure publique sont prohibes sur Internet. Attention Si vous tenez un blog sur Internet et donnez la possibilit vos lecteurs de dposer des commentaires, vous devenez en quelque sorte directeur de cette publication et vous tes donc tenu pour responsable des propos qui s'affichent sur votre blog. Si certains commentaires vous paraissent contraires la loi, vous avez tout intrt les supprimer sans dlai.
108
3. Extraits de la netiquette
La RFC, portant le numro 1855, fournit un guide d'usage de la netiquette. Comme son nom le laisse supposer, la ntiquette est l'tiquette du Net, c'est--dire les rgles du bon usage en vigueur sur les rseaux lectroniques. Tout utilisateur d'Internet devrait avoir lu ce texte avant de se lancer dans l'exploration des multiples facettes de ce rseau. En voici quelques extraits, mais nous vous conseillons d'aller directement consulter vous-mme l'original de ce texte ou l'une de ses nombreuses traductions en franais qui sont publies sur Internet. Quelques extraits de la RFC 1855
3.1. Extrait 1
moins d'avoir votre propre accs Internet grce un fournisseur d'accs, veillez demander votre employeur, qui est propritaire du courrier lectronique, les rgles concernant la proprit du courrier lectronique diffrent d'un endroit l'autre. moins d'utiliser un outil de cryptage (matriel ou logiciel), vous supposerez que le courrier lectronique n'est pas sr. Ne mettez jamais dans un message lectronique quelque chose que vous ne mettriez pas sur une carte postale.
3.2. Extrait 2
Respectez les droits d'auteur de ce que vous reproduisez. Presque tous les pays ont des lois sur les droits d'auteur. Pensez aux Cc lorsque vous rpondez. Ne continuez pas inclure des gens si les messages deviennent une conversation bilatrale.
3.3. Extrait 3
Souvenez-vous que les gens avec lesquels vous communiquez sont situs partout dans le monde. Si vous envoyez un message auquel vous dsirez une rponse immdiate, il se peut que la personne qui le reoit soit chez elle, en train de dormir. Laissez-lui une chance de se rveiller, d'aller au travail et de se connecter, avant de supposer que le courrier n'est pas arriv ou qu'il a t nglig.
3.4. Extrait 4
Vrifiez toutes les adresses avant de commencer des discours longs ou personnels. Il est de bonne pratique aussi de mettre le mot Long dans la ligne d'entte Objet, pour permettre au destinataire de savoir que le message va demander un temps certain de lecture et de rponse. partir d'une centaine de lignes, un message est considr comme long.
3.5. Extrait 5
Souvenez-vous que le destinataire est un humain dont la culture, la langue et l'humour ont d'autres rfrences que les vtres. Rappelez-vous que les formats de date, les units de mesure et les idiomes peuvent mal s'exporter. Soyez particulirement prudent avec les sarcasmes.
109
3.6. Extrait 6
Sachez utiliser les minuscules et les majuscules. LES MAJUSCULES DONNENT L'IMPRESSION QUE VOUS CRIEZ.
3.7. Extrait 7
Soyez concis, sans tre excessivement bref. Lorsque vous rpondez un message, citez suffisamment du texte original pour tre compris, mais pas plus. Il est de trs mauvais got de rpondre simplement un message en reprenant tout le message reu : supprimez tout ce qui est hors propos. Si vous estimez que l'importance d'un message le justifie, rpondez brivement immdiatement pour signaler l'expditeur que vous l'avez reu, mme si vous allez rpondre plus longuement ultrieurement.
Partie D. Illustrations et exemples de chartes

1. Chartes d'tablissement
Aujourd'hui, la plupart des universits font signer une charte d'utilisation toutes les personnes (tudiants, personnel administratif et enseignant) qui elles offrent un accs leur rseau informatique. Application Si une telle charte existe dans votre universit, nous vous encourageons la rechercher afin de la lire attentivement et de la respecter. Complment Si votre tablissement n'en dispose pas, n'hsitez pas rechercher la charte RENATER et la consulter. http://www.cru.fr/droit-deonto/deontologie/chartes/index.html N'hsitez pas consulter le lien suivant qui offre une liste de chartes de diffrentes universits : http://www.cru.fr/droit-deonto/deontologie/chartes/index.html
2. Rgles de conduite dans un forum de discussion

Charte de comportement Avant de poster un message sur un newsgroup, il est prfrable de lire la charte du forum. La charte du forum est un document qui fixe les rgles du bon usage sur le forum ; c'est un peu la ntiquette du forum dont souvent elle reprend des lments. Si le forum ne possde de charte, il existe en gnral une FAQ (Foire Aux Questions) qui rpond aux principales questions que se posent les utilisateurs qui frquentent le forum pour la premire fois. En l'absence d'un tel document, vous pouvez adopter les principes suivants sur un forum de discussion :
110
Exprimez-vous dans un langage correct et clair ; Avant de poser une question, cherchez sur le forum si la rponse ne s'y trouve pas dj ; Ne prenez pas part aux polmiques et ne rpondez pas aux provocations ; Quand vous rdigez un message, ne mentionnez pas votre adresse lectronique car vous pourriez aprs tre victime de spam. Forum modr Certains forums de discussion sont modrs ; cela signifie qu'il existe des modrateurs qui surveillent le contenu des messages. En pratique, tous les messages sont lus par une ou plusieurs personnes qui contrlent si les messages sont bien conformes aux rgles du forum. Les messages qui ne respectent pas la ligne ditoriale du forum sont censurs et ne sont donc pas publis. Les messages censurs sont ceux qui sont hors sujet, publicitaires, incorrects ou bien diffamatoires. Sur les forums qui ne sont pas modrs, il n'y a donc aucun contrle a priori des messages qui sont posts. Attention Ce n'est pas parce qu'il n'y a pas de censure sur un forum non modr que vous tes autoris crire n'importe quoi. N'oubliez pas que les forums de discussion sont des forums publics ; la loi les considre comme des organes de presse et c'est par consquent la loi sur la presse qui s'y applique. Cela signifie que les propos discriminatoires, diffamatoires ou menaants constituent un dlit pnal qui est svrement rprim.
Pour aller plus loin...

Site prsentant une slection de chartes, codes, labels, clauses contractuelles et autres usages relatifs l'internet labors par des organismes privs ou publics. L'ensemble des textes et des usages non formaliss rpertoris ici illustre une mme dynamique : la rgulation des diffrents secteurs de l'internet par les acteurs des rseaux. Cliquez ici pour accder ce site. Chartes, codes et labels. Clauses et contrats. Autres usages.
111
Conclusion
Les chartes d'utilisation organisent les rgles de savoir-vivre sur le rseau Internet et ventuellement dans les salles d'accs libre informatique ; il est important de les lire, de les comprendre et de les respecter. Remarque Dans certaines universits, vous ne pourrez pas utiliser les services du rseau informatique tant que vous n'aurez pas sign une charte d'utilisation. Remarque Il peut coexister plusieurs chartes diffrentes (Renater, charte de votre universit, etc.), mais toutes ces chartes ont le mme objectif : favoriser la vie dans les communauts lectroniques et optimiser l'usage du rseau tout en respectant les lois. La ntiquette est galement une charte du bon usage du rseau Internet.
Bibliographie
Annexes
AnnexeA. Cliquez ici pour avoir le texte de loi intgralement AnnexeB. Cliquez ici pour avoir le texte de loi intgralement AnnexeC. Cliquez ici pour avoir les extraits de la dcision du tribunal de Pontoise
ANNEXE A Cliquez ici pour avoir le texte de loi intgralement
Loi du 6 janvier 1978

La loi du 6 janvier 1978 tche de rpondre ces questions et ses principes sont rsums dans le premier article : L'informatique doit tre au service de chaque citoyen, son dveloppement doit s'oprer dans le cadre de la coopration internationale, elle ne doit porter atteinte ni l'identit humaine, ni aux droits de l'homme, ni la vie prive, ni aux liberts individuelles ou publiques. Pour garantir le respect des rgles qu'elle dicte, la loi cre une institution de contrle : la Commission Nationale de l'Informatique et des Liberts. Pour assurer la transparence des fichiers informatiss, la loi instaure un systme de formalits pralables la mise en oeuvre des traitements automatiss. Note La loi du 6 janvier 1978 fut une des premires lois au monde encadrer lusage des fichiers informatiques. En 1995, lUnion europenne accoucha dune directive (n 95/46 CE du 24 octobre) sur la protection des personnes physiques lgard du traitement des donnes caractre personnel et la libre circulation des donnes. La France avait trois ans pour transcrire cette directive europenne et dans la mesure o nos gouvernements successifs ont quelque peu tard dans la transposition, la directive europenne est entre automatiquement en vigueur le 25 octobre 1998. En effet, peu de gens le savent, mais il faut ici rappeler que tout individu qui subit des dommages suite au manquement d'un tat membre de transposer une directive, est autoris obtenir des rparations devant les tribunaux nationaux, aux termes dune jurisprudence de la Cour de Justice (affaire Francovich). La France sest enfin dcide transposer la directive europenne, presque dix ans aprs sa publication, avec la loi du 6 aot 2004 relative la protection des personnes physiques lgard des traitements de donnes caractre personnel. Pour autant, on a gard la rfrence originale la loi du 6 janvier 1978. La loi de 1978 comportait 48 articles et la loi de 2004 en compte 72. Pour rsumer, on peut dire que la nouvelle a renforc les pouvoirs de la CNIL, largi son champ dapplication, augment les droits des personnes tout en simplifiant les procdures administratives. Vous trouverez une analyse dtaille des diffrences entre les deux lois sur le site de la CNIL ladresse suivante : http://www.cnil.fr/index.php?id=1744 Vous trouverez une version du texte consolid (cest--dire prenant en compte toutes les modifications lgislatives) de la loi du 6 janvier 1978 ladresse suivante : http://www.cnil.fr/index.php?id=301 La loi rglemente la collecte l'enregistrement et la conservation des informations nominatives; elle reconnat des droits aux individus et met des obligations la charge des dtenteurs de fichiers informatiques ou manuels. Attention Beaucoup de gens pensent que la loi ne concerne que les fichiers automatiss, cest--dire
1/4
informatiques. En fait, la loi sapplique tous les fichiers nominatifs, mme ceux qui figurent sur de bonnes vieilles fiches bristol. Le grand mrite de la loi (dans son article 2) est de dfinir prcisment ce quest une donne personnelle ainsi que les traitements qui sy appliquent. Constitue une donne caractre personnel toute information relative une personne physique identifie ou qui peut tre identifie, directement ou indirectement, par rfrence un numro didentification ou un ou plusieurs lments qui lui sont propres. Pour dterminer si une personne est identifiable, il convient de considrer lensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accs le responsable du traitement ou toute autre personne. Constitue un traitement de donnes caractre personnel toute opration ou tout ensemble doprations portant sur de telles donnes, quel que soit le procd utilis, et notamment la collecte, lenregistrement, lorganisation, la conservation, ladaptation ou la modification, lextraction, la consultation, lutilisation, la communication par transmission, diffusion ou toute autre forme de mise disposition, le rapprochement ou linterconnexion, ainsi que le verrouillage, leffacement ou la destruction. Note Que les possesseurs dagenda lectronique se rassurent : le champ dapplication de la loi carte les traitements mis en oeuvre pour lexercice dactivits exclusivement personnelles, ce qui signifie que les contacts de votre carnet dadresses ne sont pas pris en compte par cette loi. Bien que lon parle en gnral de donnes nominatives, il convient de bien comprendre que toute information qui permet didentifier une personne est une donne nominative. Cela signifie quune adresse lectronique, ladresse IP que vous attribue votre fournisseur daccs Internet ou bien encore votre numro de tlphone sont des donnes caractre personnel dont lutilisation est encadre par la loi. Larticle 6 de la loi dfinit la manire dont les donnes caractre personnel peuvent tre traites ; il dfinit notamment les points suivants : - Les donnes sont collectes et traites de manire loyale et licite ; - Elles sont collectes pour des finalits dtermines, explicites et lgitimes et ne sont pas traites ultrieurement de manire incompatible avec ces finalits ; - Elles sont adquates, pertinentes et non excessives au regard des finalits pour lesquelles elles sont collectes et de leurs traitements ultrieurs ; - Elles sont exactes, compltes et, si ncessaire, mises jour ; les mesures appropries doivent tre prises pour que les donnes inexactes ou incompltes au regard des finalits pour lesquelles elles sont collectes ou traites soient effaces ou rectifies ; - Elles sont conserves sous une forme permettant lidentification des personnes concernes pendant une dure qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes et traites. Larticle 7 de la loi prcise quun traitement de donnes caractre personnel doit avoir reu le consentement de la personne concerne. Il existe bien videmment des cas o lon ne vous demande pas votre avis, mais ces exceptions sont bien dfinies et encadres par la loi (obligation lgale, excution dune mission de service public, intrt lgitime poursuivi par le responsable du traitement, etc.) Larticle 8 prcise quil est interdit de collecter ou de traiter des donnes caractre personnel qui font apparatre, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou lappartenance syndicale des personnes,
2/4
ou qui sont relatives la sant ou la vie sexuelle de celles-ci. Bien videmment, la loi prvoit des exceptions et lon comprend bien quun chercheur en mdecine puisse raliser une enqute comportant des questions relatives la sant. Larticle 9 de la loi est intressant plus dun titre et nous le reproduisons ci-dessous intgralement: Les traitements de donnes caractre personnel relatives aux infractions, condamnations et mesures de sret ne peuvent tre mis en uvre que par: 1 Les juridictions, les autorits publiques et les personnes morales grant un service public, agissant dans le cadre de leurs attributions lgales ; 2 Les auxiliaires de justice, pour les stricts besoins de lexercice des missions qui leur sont confies par la loi ; 3 [Dispositions dclares non conformes la Constitution par dcision du Conseil constitutionnel n 2004-499 DC du 29 juillet 2004 ;] 4 Les personnes morales mentionnes aux articles L. 321-1 et L. 331-1 du code de la proprit intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes datteintes aux droits prvus aux livres Ier, II et III du mme code aux fins dassurer la dfense de ces droits. Cet article encadre donc les fichiers de la police et de la justice. Il est intressant de noter que larticle 3 a t censur par le Conseil constitutionnel. Cela prouve, sil en tait encore besoin, que le problme de linformatique et des liberts est un sujet sensible et quun certain nombre de dputs ont cru bon dinterpeller le Conseil constitutionnel qui leur a donn en partie raison. Note La dcision motive du Conseil constitutionnel peut tre consulte ladresse suivante: http://www.conseil-constitutionnel.fr/decision/2004/2004499/2004499dc.htm La lecture de lalina 4 pour les personnes qui ne sont pas habitues aux textes juridiques peut sembler compltement absconse. En fait, ces quelques phrases sont ce que lon appelle un texte de circonstance car cest sur sa base que les industriels du disque vont pouvoir poursuivre les internautes adeptes des changes de fichiers grce aux rseaux peer to peer (P2P). En clair, les maisons de disques vont pouvoir collecter les adresses IP de ceux qui sadonnent aux joies du P2P et demander un juge dordonner un FAI de fournir lidentit du titulaire de labonnement Internet. Les articles 11 21 de la loi dfinissent la composition et le rle de la CNIL. Il faut noter que la CNIL n'est pas un tribunal, mais une autorit administrative indpendante. Son rle est de regrouper et de contrler l'ensemble des dclarations des traitements automatiss d'informations nominatives. Les articles 22 31 dcrivent les formalits de ces dclarations. Les articles 32 37 de la loi dcrivent les obligations incombant aux responsables des traitements. Nous vous encourageons vivement lire la totalit de ces articles, ce qui permettra de vous rendre compte que la majeure partie des questionnaires que vous remplissez en ligne ne respecte pas ces obligations. Les articles 38 43 de la loi prcisent les droits des personnes qui sont lobjet dun traitement de donnes caractre personnel. Nous vous conseillons dapprendre par cur larticle 38 de cette loi et den user autant que vous le voulez : Toute personne physique a le droit de sopposer, pour des motifs lgitimes, ce que des donnes caractre personnel la concernant fassent lobjet dun traitement. Elle a le droit de sopposer, sans frais, ce que les donnes la concernant soient utilises des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui dun traitement ultrieur.
3/4
Cest grce au deuxime alina de cet article que lon peut dsormais faire figurer son numro de tlphone en liste rouge sans avoir besoin de payer quoi que ce soit. Pour rsumer, une personne peut exercer les droits suivants face un traitement de donnes caractre personnel :

Droit Droit Droit Droit
dtre inform sur la nature du traitement de sopposer au traitement daccs aux donnes collectes de rectification des donnes
Les articles 45 49 de la loi dfinissent les sanctions que peut prendre la CNIL lorsquun responsable dun traitement de donnes ne respecte pas ses obligations. Les articles 50 52 prcisent les sanctions pnales prvues par la loi en cas dinfraction. Ces infractions ont dailleurs t reprises dans le code pnal (articles 226-16 226-24). titre indicatif, le fait, y compris par ngligence, de procder ou de faire procder des traitements de donnes caractre personnel sans qu'aient t respectes les formalits pralables leur mise en oeuvre prvues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.
4/4
ANNEXE B Cliquez ici pour avoir le texte de loi intgralement
La LCEN
La loi du 21 juin 2004 pour la confiance dans lconomie numrique (ou LCEN) est un texte qui a mis du temps aboutir. En effet, la LCEN est quelque part lhritire du projet baptis LSI (Loi sur la Socit de lInformation) que le gouvernement de Lionel Jospin avait mis en chantier, mais qui na jamais vu le jour. Pourtant, ds le mois daot 1997, le gouvernement avait fait de lentre de la France dans la socit de linformation une de ses priorits. Malgr cette volont affiche, les dputs ont mis cinq ans (juin 2001) pour accoucher dun projet de 32 pages qui na jamais pu passer devant lAssemble nationale. Arriv au pouvoir, Jean-Pierre Raffarin a choisi dabandonner ce projet pour en remettre un autre en route, la LCEN. Il aura galement fallu deux ans pour que ce texte de loi voie le jour et soit publi au Journal Officiel... La LCEN tait attendue car il commenait y avoir urgence sur plusieurs fronts. En effet, plusieurs problmes comme celui de la responsabilit des hbergeurs, de la lutte contre le spam ou bien encore la question de la libralisation totale de la cryptographie ntaient pas rgls et les professionnels de lInternet rclamaient grands cris le vote dune loi. La LCEN est une loi qui compte 58 articles et qui est vraiment importante pour Internet. Il nous est impossible de citer tous les articles, mais nous vous conseillons daller sur le site de Legifrance pour la lire intgralement. Nous allons nous contenter ici dindiquer les articles importants. Dans son premier article, la LCEN affirme un principe de libert : La communication au public par voie lectronique est libre. Lexercice de cette libert ne peut tre limit que dans la mesure requise, dune part, par le respect de la dignit de la personne humaine, de la libert et de la proprit dautrui, du caractre pluraliste de lexpression des courants de pense et dopinion et, dautre part, par la sauvegarde de lordre public, par les besoins de la dfense nationale, par les exigences de service public, par les contraintes techniques inhrentes aux moyens de communication, ainsi que par la ncessit, pour les services audiovisuels, de dvelopper la production audiovisuelle. Larticle 2 de la LCEN prcise des dfinitions qui navaient jamais t donnes auparavant : On entend par communications lectroniques les missions, transmissions ou rceptions de signes, de signaux, dcrits, dimages ou de sons, par voie lectromagntique. On entend par communication au public par voie lectronique toute mise disposition du public ou de catgories de public, par un procd de communication lectronique, de signes, de signaux, dcrits, dimages, de sons ou de messages de toute nature qui nont pas le caractre dune correspondance prive. Cest dsormais le Conseil suprieur de laudiovisuel (CSA) qui a la mission de garantir lexercice de la libert de communication audiovisuelle en matire de radio et de tlvision par tout procd de communication lectronique. Le Chapitre II de la LCEN traite des fournisseurs daccs Internet (FAI) appels dans la loi prestataires techniques. Larticle 6 rgle le dlicat problme de la responsabilit des hbergeurs. Il faut ici rappeler quen cas de contenu illicite publi sur un site Web, lhbergeur pouvait tre dclar complice. Les hbergeurs prtendaient juste titre quils ne pouvaient pas
1/4
surveiller tous leurs clients tant donn leur grand nombre et que la mission de contrle du contenu de ce qui passait dans leurs tuyaux ne pouvait pas leur incomber. Le lgislateur leur a donn satisfaction et prcise que les personnes physiques ou morales qui assurent, mme titre gratuit, pour mise disposition du public par des services de communication au public en ligne, le stockage de signaux, dcrits, dimages, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilit civile engage du fait des activits ou des informations stockes la demande dun destinataire de ces services si elles navaient pas effectivement connaissance de leur caractre illicite ou de faits et circonstances faisant apparatre ce caractre ou si, ds le moment o elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces donnes ou en rendre laccs impossible. Un autre alina prcise que la responsabilit pnale de lhbergeur nest pas non plus engage. Ce texte rgle donc le problme de la responsabilit a priori de lhbergeur. La loi prcise clairement que les FAI ne sont pas soumis une obligation gnrale de surveiller les informations quils transmettent ou stockent, ni une obligation gnrale de rechercher des faits ou des circonstances rvlant des activits illicites. En revanche, si un FAI est avis dun contenu illicite mis en ligne sur la page perso dun de ces clients, il doit immdiatement faire cesser le trouble. Le lgislateur a quand mme pris une mesure pour limiter les recours des personnes qui voudraient faire cesser la publication dune information sur un site Web. Ainsi toute personne qui prsenterait un hbergeur un contenu ou une activit comme tant illicite dans le but den obtenir le retrait ou den faire cesser la diffusion, alors quelle sait cette information inexacte, serait punie dune peine dun an demprisonnement et de 15 000 euros damende. Les FAI doivent conserver pendant un an les donnes de nature permettre lidentification de quiconque a contribu la cration du contenu ou de lun des contenus des services dont elles sont prestataires. La LCEN tente de responsabiliser les FAI en matire de droit dauteur. Ainsi lorsquun FAI voque dans une publicit la possibilit de tlcharger des fichiers dont il nest pas le fournisseur, il doit faire figurer dans cette publicit une mention facilement identifiable et lisible rappelant que le piratage nuit la cration artistique. Le FAI a galement lobligation de suspendre, par tout moyen, le contenu dun site Web portant atteinte lun des droits de lauteur, y compris en ordonnant de cesser de stocker ce contenu ou, dfaut, de cesser den permettre laccs. Le Titre II de la LCEN traite du commerce lectronique quil dfinit comme lactivit conomique par laquelle une personne propose ou assure distance et par voie lectronique la fourniture de biens ou de services. Le commerce lectronique couvre aussi les services tels que ceux consistant fournir des informations en ligne, des communications commerciales et des outils de recherche, daccs et de rcupration de donnes, daccs un rseau de communication ou dhbergement dinformations, y compris lorsquils ne sont pas rmunrs par ceux qui les reoivent. Le Chapitre II de la LCEN rglemente la publicit par voie lectronique mais il sagit l dune tentative de rgler les problmes poss par linflation croissance du spam. Larticle 20 stipule que toute publicit, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir tre clairement identifie comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est ralise. La loi enfonce le clou en prcisant que dans tous les cas, il est interdit dmettre, des fins de prospection directe, des messages au moyen dautomates dappel, tlcopieurs et courriers lectroniques, sans indiquer de coordonnes valables auxquelles le destinataire puisse utilement transmettre une demande tendant obtenir que ces communications cessent sans frais autres que ceux lis la transmission de celle-ci. Il est galement interdit de dissimuler lidentit de la personne pour le compte de laquelle la communication est mise et de mentionner un objet sans rapport avec la prestation ou le service propos.
2/4
Signalons un systme pernicieux mis en place par certaines socits peu scrupuleuses : vous recevez un courriel publicitaire au bas duquel figure un lien permettant de vous dsabonner et de ne plus recevoir ainsi de publicit. Vous cliquez sur ce lien qui affiche une page Web vous demandant de saisir votre adresse lectronique. Si vous possdez plusieurs adresses lectroniques grce des systmes de redirection et que le champ Destinataire a t masqu par le spam, vous tes alors incapable de savoir quelle adresse lectronique il faut inscrire dans le formulaire de dsabonnement. Dautre part, on peut lgitimement se demander si une telle pratique nest pas une mthode pour vrifier si votre adresse est bien valide. En gnral, quand on crit quelquun, on connat son adresse lectronique et si on souhaite lui donner la possibilit de ne plus lui envoyer de courrier, on na pas besoin de la lui demander. Le Chapitre III de la LCEN consacre lusage de lcrit sous forme lectronique grce la signature lectronique. Ainsi, lorsquun crit est exig pour la validit dun acte juridique, il peut tre tabli et conserv sous forme lectronique. De la mme manire, lorsquest exige une mention crite de la main mme de celui qui soblige, ce dernier peut lapposer sous forme lectronique si les conditions de cette apposition sont de nature garantir quelle ne peut tre effectue que par lui-mme. La LCEN dfinit galement la manire dont les contrats sous forme lectronique peuvent tre conclus. Le Titre III de la LCEN, intitul De la scurit dans lconomie numrique traite des moyens et prestations de cryptologie. Larticle 29 propose les dfinitions suivantes : On entend par moyen de cryptologie tout matriel ou logiciel conu ou modifi pour transformer des donnes, quil sagisse dinformations ou de signaux, laide de conventions secrtes ou pour raliser lopration inverse avec ou sans convention secrte. Ces moyens de cryptologie ont principalement pour objet de garantir la scurit du stockage ou de la transmission de donnes, en permettant dassurer leur confidentialit, leur authentification ou le contrle de leur intgrit. On entend par prestation de cryptologie toute opration visant la mise en oeuvre, pour le compte dautrui, de moyens de cryptologie. Larticle 30 est une vritable rvolution car il nonce que lutilisation des moyens de cryptologie est libre. Les professionnels de la scurit attendaient cette disposition rglementaire depuis des annes et ils ont donc toutes les raisons de sen satisfaire. Cela tant, lalina suivant prcise que la fourniture, le transfert depuis ou vers un Etat membre de la Communaut europenne, limportation et lexportation des moyens de cryptologie assurant exclusivement des fonctions dauthentification ou de contrle dintgrit sont libres. On ne comprend pas bien la lecture de ce texte pourquoi le lgislateur a tenu prciser son propos dans la mesure o il indiqu plus que la cryptologie tait libre. En y regardant de plus prs, on saperoit que sont libres lutilisation de la cryptologie pour authentifier et contrler lintgrit. Quelle est donc lautre fonction de la cryptologie qui manque dans cette nonciation ? Si vous avez suivi, vous savez que la cryptologie sert bien videmment aussi masquer, cacher, chiffrer des informations. Bizarrement, cette fonctionnalit de la cryptologie nest pas indique dans cet alina. On comprend mieux pourquoi quand on lit le suivant : La fourniture, le transfert depuis un Etat membre de la Communaut europenne ou limportation dun moyen de cryptologie nassurant pas exclusivement des fonctions dauthentification ou de contrle dintgrit sont soumis une dclaration pralable auprs du Premier ministre, sauf dans les cas prvus au b du prsent III. On reste dubitatif quand on considre un pareil nonc : pourquoi ne pas appeler un chat un chat ? La cryptologie qui chiffre est donc dsigne par la priphrase moyen de cryptologie nassurant pas exclusivement des fonctions dauthentification ou de contrle dintgrit . Au cas o le lecteur naurait pas compris, le lgislateur indique que les outils qui ne sont pas soumis dclaration sont les catgories de moyens dont les caractristiques techniques ou les conditions dutilisation sont telles que, au regard des intrts de la dfense nationale et de
3/4
la scurit intrieure ou extrieure de lEtat, leur fourniture, leur transfert depuis un Etat membre de la Communaut europenne ou leur importation peuvent tre dispenss de toute formalit pralable. Bref, ce texte signifie que lon peut chiffrer ses fichiers tant que cela ne nuit pas aux intrts de larme et de la police. Dans ces conditions, la cryptologie est-elle vraiment libre ? Pour tous ceux qui nauraient encore pas compris, le lgislateur prcise que le fait de fournir des prestations de cryptologie visant assurer des fonctions de confidentialit sans avoir satisfait lobligation de dclaration prvue larticle 31 est puni de deux ans demprisonnement et de 30 000 euros damende. La LCEN modifie galement le code pnal en indiquant que lorsquun moyen de cryptologie a t utilis pour prparer ou commettre un crime ou un dlit, ou pour en faciliter la prparation ou la commission, cela constitue une circonstance aggravante qui accrot le nombre dannes de prison de la peine prvue. Larticle 39 de la LCEN parat tellement tonnant que nous ne rsistons pas au plaisir de vous le soumettre : Les dispositions du prsent chapitre ne font pas obstacle lapplication du dcret du 18 avril 1939 fixant le rgime des matriels de guerre, armes et munitions, ceux des moyens de cryptologie qui sont spcialement conus ou modifis pour porter, utiliser ou mettre en uvre les armes, soutenir ou mettre en uvre les forces armes, ainsi qu ceux spcialement conus ou modifis pour le compte du ministre de la dfense en vue de protger les secrets de la dfense nationale. La LCEN se termine sur des dispositions sur les systmes satellitaires et la couverture du territoire par les services numriques. Au final, la LCEN est un texte juridique complexe et incomplet dans la mesure o il manque de nombreux dcrets dapplication importants, ce qui semble tre une vritable spcialit franaise. En effet, on ne compte plus le nombre de textes vots, mais inappliqus en raison de la non publication des dcrets dapplication. Encore rcent, ce texte a galement besoin que la jurisprudence en prcise certaines orientations. Il nen reste pas moins quil sagit du texte principal qui rgit le droit de lInternet. En tant que tel, il parat difficile de lignorer si lon est internaute.
4/4
ANNEXE C Cliquez ici pour avoir les extraits de la dcision du tribunal de Pontoise
Extraits de la dcision du tribunal de Pontoise Nous reproduisons ci-dessous des extraits de la dcision du tribunal de Pontoise. Alain O. est prvenu : Avoir Pontoise, du 1er aot 2003 au 31 aot 2004, en tout cas sur le territoire national et depuis temps nemportant pas prescription, grav et tlcharg en entier ou en partie, 614 albums de musique sans respecter les droits dauteur et notamment la Sacem, la Sdrm et la Sppf, commettant ainsi des contrefaons.
DISCUSSION
Sur laction publique : Le 18 fvrier 2004, les gendarmes du Services Technique de Recherches Judiciaires et de Documentation de Rosny sous Bois, dans le cadre de la surveillance du rseau internet, dcouvraient un serveur gr par un particulier et ddi lchange de supports informatiques; Selon le rapport, un internaute sous le pseudonyme d"Altapunkz" se livrait la contrefaon et la distribution de musique hors les circuits commerciaux lgaux; Le propritaire du Hub devenant ladministrateur dun rseau autorise ou refuse laccs son ordinateur; Les militaires avaient plus particulirement ax leurs investigations sur les transactions via des Hub, permettant la connexion en toile dautre PC; Pour y accder, il suffit dinstaller un logiciel gratuit de type DC++ sur son propre ordinateur ; En lespce, le Hub identifi appartenait la socit Pegase Computer Ltd base en Angleterre mais avec des numros de tlphone et de tlcopie franais et plus particulirement dans la zone sud-est, commenant par 04; Les enquteurs constataient que 302 internautes taient connects en toile. Ils sintressaient plus particulirement linternaute utilisant le pseudonyme "Altapunkz" en raison de lespace partag de son disque dur, 30 000 giga de donnes. Ils pouvaient visualiser le contenue de son PC, notamment de nombreux fichiers musicaux au format MP3; Sur rquisition judiciaire, linternaute concern tait identifi comme tant Elodie B. avec comme adresse email "alain.o @free.fr"; Les gendarmes de la brigade territoriale de Cergy opraient une perquisition le 18 aot 2004 au domicile dElodie B. Ils taient reus par son concubin Alain O. Immdiatement, celui-ci dclarait tre lunique utilisateur de cette ligne internet et donnait son assentiment express pour une perquisition en la forme prliminaire. 185 CD gravs taient dcouverts. La tour dordinateur tait saisie; Entendu, Alain O. reconnaissait sur le champ les faits. Il avait tlcharg en 2003 le logiciel DC++ lui permettant de se connecter des Hub. Il prcisait textuellement "jai pu durant environ un an tlcharger et mettre disposition des autres participants, des musiques et des films... En outre jai pratiqu la gravure de certaines de ces musiques des fins personnelles".
1/3
En conclusion, il avouait "Je savais que cela tait interdit mais je ne me rendais pas compte de la gravit de ce que je faisais"; A laudience, le prvenu tentait, fort maladroitement au demeurant, de contester les faits ; Sil reconnaissait le tlchargement de musique il niait avoir mis disposition ses fichiers sur internet ayant toujours dsactiv le partage, contrairement ce quil avait dclar aux gendarmes. Sil avait diffus la liste des uvres musicales, ctait uniquement pour accder aux ordinateurs des autres internautes; Son conseil produisait un constat dhuissier de plus de 500 CD compacts originaux. Il nest pas exclu que ces disques lui appartenaient mme si aucune mention na t faite au procs verbal de perquisition des gendarmes; En revanche, il ressort trs clairement du mme procs verbal que les originaux des 185 CD gravs ne se trouvaient pas au domicile dAlain O., ce qui en soit permet dtablir la prvention; Lensemble des lments constitutifs de contrefaon est runi; Llment matriel ressort du tlchargement denviron 10 000 uvres musicales provenant dautres ordinateurs connects pour la plupart de ce Hub et la mise disposition des internautes; Llment lgal consiste en le transfert de programmes ou de donnes dun ordinateur vers un autre. La jurisprudence a prcis les contours de cette notion; Il sagit dun acte de reproduction, chaque fichier dune uvre numrise tant copi pour tre stock sur le disque dur de linternaute qui le rceptionne et dun acte de reprsentation consistant dans la communication de luvre au public des internautes par tldiffusion; Ainsi dans le rseau de "peer-to-peer" utilis par Alain O., celui-ci accompli les deux oprations. Il convient de prciser que le logiciel DC++, contrairement ce que la dfense a soutenu laudience, impose aux utilisateurs douvrir leurs disques durs aux autres internautes raccords au Hub; Enfin, llment intentionnel rsulte de la simple matrialit de cet agissement telle que la jurisprudence la dfini et confirm plusieurs reprises; Il conviendra toutefois de faire une application trs modre de la loi pnale. En effet ce remarquable outil de communication et dchanges quest internet sest dvelopp sur une incomprhension lourde de consquences; Nombre dinternautes ont considr ou cru quil sagissait dun univers, lieu de libert o les rgles juridiques lmentaires ne sappliqueraient pas. Or, les utilisateurs de ce systme doivent prendre conscience notamment de la ncessaire protection des droits des auteurs, compositeurs ou producteurs des uvres de lesprit; Il rsulte des lments du dossier et des dbats quil convient de dclarer Alain O. coupable pour les faits qualifis de: Contrefaon par dition ou reproduction dune uvre de lesprit au mpris des droits de lauteur, faits commis du 1er aot 2003 au 31 aot 2004 Pontoise, et quil y a lieu dentrer en voie de condamnation.
DECISION
Le tribunal statuant publiquement, en matire correctionnelle, en premier ressort et par jugement contradictoire lencontre de Alain O., prvenu, lgard de la Sacem, la Sppf, la Scpp, la Sdrm, parties civiles; Sur laction publique: . Dclare Alain O. coupable pour les faits qualifis de : Contrefaon par dition ou reproduction dune uvre de lesprit au mpris des droits de lauteur, faits commis du 1er aot 2003 au 31 aot 2004, Pontoise.
2/3
Vu les articles susviss : . Condamne Alain O. une amende dlictuelle de 3000 . Vu les articles 132-29 132-34 du code pnal : . Dit quil sera sursis totalement lexcution de cette peine dans les conditions prvues par ces articles. Si le tribunal sest montr relativement clment sur le volet pnal en condamnant le prvenu une peine avec sursis et en ninscrivant pas cette condamnation au casier judiciaire de lintress (ce qui lui permet entre autres de poursuivre sa carrire denseignant), en revanche les dommages et intrts accords aux parties civiles sont dun montant trs levs pour cette premire condamnation car ils avoisinent les 15000 euros. Cette affaire est intressante car elle constitue une premire en France, mais une bonne cinquantaine dautres affaires sont en attente de jugement. En conclusion, si vous vous adonnez aux joies du P2P, vous vivez dsormais dangereusement.
3/3

Formation C2i - A 2

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Formation C2i - A 2

Încărcat de

Drepturi de autor:

Formate disponibile

Table des matires

Prsentation du module. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Chapitre I. Introduction au module. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Chapitre II. La matrise de son identit numrique. . . . . . . . . . . . . . . . . . . 15

Intgrer la dimension thique et le respect de la dontologie

Chapitre III. La scurisation des informations sensibles. . . . . . . . . . . . 35

Chapitre IV. La protection des donnes confidentielles. . . . . . . . . . . . . 57

Table des matires

Partie D. La signature lectronique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Chapitre V. La loi sur la cration et la protection des oeuvres. . . . . 95

Chapitre VI. Les chartes d'utilisation et de bon comportement. . . . 103

Intgrer la dimension thique et le respect de la dontologie

110 Conclusion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

Bibliographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Annexes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Intgrer la dimension thique et le respect de la dontologie

Intgrer la dimension thique et le respect de la dontologie

Partie B. Le droit et l'informatique

Intgrer la dimension thique et le respect de la dontologie

Pour aller plus loin...

Intgrer la dimension thique et le respect de la dontologie

Partie A. L'identit sur Internet

2. Les solutions pour se protger

La matrise de son identit numrique

Partie B. Les traces sur Internet

Intgrer la dimension thique et le respect de la dontologie

IMG. 1 : EXEMPLE DE COOKIE

1.2. A quoi servent les cookies ?

La matrise de son identit numrique

1.3. Comment grr les cookies dans Internet Explorer ?

Intgrer la dimension thique et le respect de la dontologie

1.4. Les cookies sont-ils lgaux ?

La matrise de son identit numrique

Intgrer la dimension thique et le respect de la dontologie

2.2. A quoi servent les espiogiciels ?

La matrise de son identit numrique

2.3. Mode diffusion et dtection des espiogiciels

Intgrer la dimension thique et le respect de la dontologie

2.4. Comment matriser les espiogiciels ?

La matrise de son identit numrique

2.4.1. "Prudence est mre de sret"

2.4.2. Lire attentivement entre les lignes

2.4.3. Effectuer des diagnostics rguliers et surveiller les activits de sa machine

Intgrer la dimension thique et le respect de la dontologie

2.4.4. Procder des nettoyages rguliers

2.5. Un exemple de spyware

La matrise de son identit numrique

2.6. Quelques adresses utiles

3. Autres catgories de malwares (ou codes malveillants)

Intgrer la dimension thique et le respect de la dontologie

TAB. 2 : DIFFRENTES CATGORIES DE LOGICIELS MALVEILLANTS

La matrise de son identit numrique

4. Autres techniques d'espionnage

4.2. A quoi servent ces techniques ?

Intgrer la dimension thique et le respect de la dontologie

4.3. Comment matriser ces techniques d'observation ?

Partie C. Les traces sur logiciels

La matrise de son identit numrique

Intgrer la dimension thique et le respect de la dontologie

2. Comment supprimer quelques traces ?

3. Un mouchard dans les fichiers Word et Excel

La matrise de son identit numrique

Intgrer la dimension thique et le respect de la dontologie

Article "Les cookies dmystifis" de Clment Gagnon.

Intgrer la dimension thique et le respect de la dontologie