You are on page 1of 4

-

G,rarid n sofag < dc yrintcfizys


Un f chier d'adresses s'use invitablement au fil
du temps. et le Tichier des abonns Scurit
inf1rnatique ne laiT
pas
exception. C'est
pourquoi
nous vous demandons de bien vouloir conirmer
votre abonnernent par
courrier lectronique
"robert.l0nge0n@cnrs-dir.fr"
en
prcisant
les
coordonnes exactes oir vous souhaitez recevoir
votre
publicati0n.
Cette ann0nce sera renouvele
da'rs le
prochain
nurnero. apres
quoi
ceux
qur
n'auront pas
rpondu ne recevront plus
Scurll
infornatique.
Le "piratage informatique" e$ une "inf.action aux
lois rgissant les droits de la proprit intel-
lectuelle
(droit
d'auteur) et la protectionju.i-
dique des programmes
d'o.dinateur". La loi
interdit de copier ou de dist.ibuer, sans licence,
un logiciel ou sa doc{mentatlon, ainsi qu'exploiter
un programme
sur un nombre d'ordinateurs sup eur celui
prvu pa. le contrat de licence- Les textes relatifs ce sujet sont
principalement
la loi du ro mai 1994
(transposition
au d.oit fran-
ais
de la directive europenne du 14 mai r99r concernant la pro-
tection
juridique
des programmes
d'ordinateur) et la loi du
5
fwier rgg4relative la rpression de la contrefaon. Cette nou-
velle rglementation prcise et renforce un ce.tain nombre de
points concernantla dfinition et les droits d'utilisation des logi-
ciels. Pour la fonction publique, la circulaire Rocatd du rTjuillet
I990 prcise
expressment quelles
sont les responsabilits :
"Un fonctionnaire auteu. ou responsable de reproduction illi-
cite deyra seul supporter les condamnations pnales encourues,
mme s'tl n'a pas
aE dans son intrt personnel". Par ailleu.s et
sans prjudice des peines encourues (udiciaires
et civiles) peu-
vent s'ajouter, s'ii 5'avre que des fautes personnelles ont t
commises, des sanctions administ.atives ainsi que le rappelle la
circulaire du Directeur du CNRS
(Bu.l1efih
Offcre.l du CNRS n" 88,
dcembre r99o). Le piratage informatique est donc une faute grave
dont ilne faut pas sous-estimer l'importance.
Le
piratage
des logiciels
i
suite p.ase
I
;
#currrffiefftr*
tirrf,otry
an ce nouuedu numro, nou6 continuon\ notre vtite de
grandt
tqblidtementt de recherche et d,'enteignement par
I'?RST9M
(lnati-
tut
iranai
de recherche cientiilque pour
Ie d,ueLoppement en coop-
ration). Patrick Sehet - Charg de mi66Lon
pour
la rcurit det tymet d'infor-
mation auprt du Directeur -
nout
praente
6on tabliement et les aettons
mi6e en uure pour prendre
en compte let problmet
de 6curtt.
La rf.chh,f.
arc l'sffs d.u Eud.
L'lnslitut Fanais de recherche scientifique
pour le dveloppement en coopration,
appellation conlorme aux missions redfi-
nies pour cet organisme dan5les annes 80,
a consery son ancien sigle d'orstom, bien
connu dans son champ traditionnel d'inter-
vention, et notamment en Afrique. Cet ta-
blissement public carac!re scientilique
et technologique, de taille moyenne, est
plac
sous la double tutelle des minislaes
chrgs de la Recherche etde la Coopration.
Ii mne, depuis plus de cinquante ans, de5
recherches dont la
pluridisciplinarit
rh-
matique et mthodologique est une vo
je
pri'
vilgie. Ces recherches sul les milieux tro-
picaux, leurs ressources et les socits qui
y vivent, sont conduifes en fonction de choix
'scientifiques et techniques ssociant par-
teniaes faanais et trangers. Elles vjsent
essentiellement contribuer au dvelop-
penent durable des pays du Sud, tout en
favorisait le renforcement des comptences
scientifiques dans les pays concerns-
l-'orstom est dot d'un budget annuel d'en-
viaon r,r milliard de francs. Ilcompte 2
5oo
agenls, dont 600 sont originaires des pys du
Sud. Parmi les chercheurs, ingnieurs el tech-
niciens sur poste statutaire, prs d'un sur
deux
(ce quitotaljse environT5o agents) est
en aJfectation de longue dure en Alrique, en
Amrique latine, en Asie ou dans le Pacifique.
En termes d'rnfraslructure, son dispositiI est
constitu de plus d'une cinquntaine d'im-
plantations ou reprsentations, en France
(Bondy,
Brest, Montpellier er Orlns), dans
les dpartements et terriioires d'outre,mea
et dans de nombreux pays de la ceinture
inte.tropicale.
}
i/orrheti gu. e I'orctorir
L'informatique, l'orstom comme illeurs,
est omnrprsente dans les activits, qu'elles
soient d'ordre scientifique, technique ou
adminisirative. Le parc de ses micao-ordi-
nateurs, presque exclusivement compos
de compatibles PC ou de Maclntosh dans
la
proportion
de 2/l pour r/3, est mis en
rseau sur chaque site l'aide de serveurs
sous Unix.
Compte tenu de l'enjeu particulier q!e
reprsente la conmunication lectronique
pour lutte( contre l'isolemenf des commu
nauls scientifiques du Sud
(et
donc fi /ine
poul
le dveloppement), l'lnstitut a ds le
dbut des annes gojou le rle de promo
teur de I'lntemet en frique. Ainsi, tandis
que
ses machines sont connectes I'lnter,
net par l'intermdiaire de Renater en
France, celles de I'Orstom et de ses parte-
naires situes dansles Dom-Tom etlespays
trngers ccdent progressivement
au
"full-internet',
qui remplace les liaisons
internationales par aseau commutation
de paquets (X25)
utilises
julqu' prsent.
L'lnstitut dispose d'une quarantaine d'in-
formatjciens, dont prs de la moili sont
dans les dpartements scientifiques, o ils
exercent le plus souvent des aciivits de
dveloppement. Les autres sont rattachs
une mission technique quia la charge des
moyens collectifs et notamment la respon-
sabilit du rseau.
Chaque responsable d'ielier inlorma-
tique concourt donc la bonnemarche de
I'ensenble en grant les inf.astructures
locales, en appoatant consei I et assistance
aux utilisateurs et en administrant Ies
fonctions de la messagerie. L'initiative de
dveloppement des seavices Web par-
tir de Ia plupart des implantations de
l'0rstom est aussi largement metfre
leur clif
I-t e,elufifr' ,Bs
sltst. m. s d'if ij@rrilti@f i
Toute technologie nouvelle entrane dans son
sillage des risques nouveaux : pas plus I'in-
formatique que les tlcommlmications n'onf
chapp cette rgle. C'estpou.yfaire face,
dans le contexte qui vient d'tre dcrit et
aussi pour
suiwe la recornmandation nB
9or
du SCSSI du02 mars 1994, qu'un .esponsable
de la scurit des syslmes d'information,
RSSI, a 1 nonm l'orstom en ma$ 1996,
avec I'aval du HauFfoncfionnaire de dfense
de la rue Descar_tes.
Une
polilique
Bien qu'exerant cette activit temps
partiel, celui-ci a cherch adopter une
dmarche cohrente, en s'appuyant lar-
gement sur l'exp.ience acquise dans
d'autres organismes de recherche
(CNRS,
INRA et INSERM, surtout). Une politique
gnrale de scurit des systmes d'infor-
mation 1'ors1om a donc t propose et
commence tre mise en ceuvrc. Soumise
une instance paritaire (le
comit cen-
._,
"* lral hygine et scurir de l'tablissement)
pour entretenir un premier
courant
d'information envers les personnels de
l'orstom, elle prvoit quatre grandes
orientlions
0n s'organise...
La scurit dans ce domine comme dans
d'autres est avani tout une question d'or'
ganisation. Il faut donc identifier des per-
sonnes responsables (correspondants,
administrateu$), dfinir Ieurs comptences
et faire ventuellement appel des forma-
tions complmentaires.
Ainsi, au niveau cenfial, une commission
informelle de la scurit des sysrmes d'in-
formation, CISSI, a t constitue avec les
responsables des principaux seNices
concerns, pour examiner coilectivement
les actions considres comme prioritaires.
la cration en novembre 1996 d'un aseau
d'une quinzaine de conespondnts de securit
jnformafique
daii les implantations les plus
sensibles constitue l'pine dorsale de cefte
organisation. Ils'agii le plus souvent des res
ponsables d'ateliea inlomatique. 0n veille
ce qu'ils disposent d'une informaUon adquate
(messages
du CERT, abonnement au prsent
bollelin Scutit informafiqe du CNRS, par
exemple) et une formation approprie les
runira une semaine Pads en
juin
1997.
D'ores et dj, le rseau des coespondants
s'est montr un relais efficace dans la dis-
tribution gnralise
des ntivirus et des
logiciels de messagerie dont I'Orstom a
rcemment fit I'acquisition.
On dresse un tat des lieux...
tant donn le contexte particulier dans
lequel s'exercent l recherche en gnrI, et
la recherche pour ie
dveloppement e,l par-
ticulier, Ies contraintes scuritaiaes seront
d'autant moins acceptes qu'elles seront
perues
conne une enrrve la convivja-
lrle d urrlsation des syslmes tnfornaltques
Il faut donc veiller ce que les mesures de
scurit ne soient pas disproportionnes
vis--vis des biens informationnels mis
enjeu.
Aussi apparair-.1 indisperuablp dp confi en-
cer par raliser un tat des lleux de la ques-
lion. C'esl d ajileurs une des recommanda-
lions faites toute administration que de
faire effectuer priodiquement
inspections
et conffles de scurit.
En guise de prpration
d'une opration
d audit croise entre les drfferenls orga
nrsmps de recherche, un canevas d evarua-
tion spcifique a t rabli I'initiarive dl.l
Haut fonctionnaire de dfense de ia tutelle.
Ce documenten cinq points (description
de
l'lablissemenl, description du risque,
mesures techniques, conlrle de la poljlique
de scudt, mesures d'accompagnement) a
servi de guide
des visiles pralables ponc-
tuelles effectues sur plusieurs
siles, sus
ceptibles de donner "l'tat zro" de la ques-
tion SSI dans l'organisme.
la suite decelles ci, il est apparu opportun
IaCISSI de promouvoir des tests de " scree-
ning" permettant d'valuer la vulnrabili!
des systmes. 0n espre de cette faon pou-
voir mesurer la pertinence de I'installation
ventuelle d'un systme de "gardes-bar-
dres'.
On rdige une chaate...
S il parat totalement irraliste, et proba-
blement peu souhitable par ailleurs, de
retourner l'tat d'esprit qui rgne gnra-
lement dans l'organjsme quant la relation
avec l'informatique et les donnes, ilsenble
cependant ncessaire dentrepaendre
quelques actions qui permeftraient de sen-
sibiliser les personnels de I'lnstitut lascu
.it des systmes d'information.
Dans un premier temps, il convient d'jns
taurer une sorte de code de bonne conduite
des agents de l'orstorn comme rtilisteurs
de moyens informatiques, qu'ils
soient
locauxou disfants
(viarseaux).
Ceci setra-
duit par Ia rdaction en collrs d'une charte
de I'utilisateur informatique, applicable
tous les personnels statutires, et d'un eng-
gement confactuel coespondant pollt les
personnels non permanents
et les parte-
naires-
Plusies actions ponctuelles ontprcd et
prpar ce trvil. Des recommandations
ont pr exemple t donnes pour
un usage
appropri de la messagerie, et notammeni
des listes de distribution gn.iques.
L'op-
ration la plus importnte reste la crtion
d'un comit de coordination du serveurWeb
de i'organisme
(conu
comme une structure
arborescente), chaag d'mettre des recom-
mandation5 1'aftention de tout crateur de
ce type de service I'orstom.
Ce comit a lanc six chantiers de rflexion,
dont certains ont dj produit quelques
rsuhts : laborer une paocdure
de cra-
tion de seftice Web, proposer une charte
graphique,
dfinir une politique pour les
bases de donnes, crer les conditions d'un
Intranet l'0rstom, favoriser I'exploitation
scientifique du Web, dresser un lat des
lieux et crer un tableau de bord duserveur.
0n prend des rnesures concrtes
Une liBne budgtaire spcjfique, gre en
commun par le fonctjonnaire de scurit-
dfense
(FSD)
et le RSSI, a t obtenue ds
1996. Ce crdit, certes insuflisnt mais nan-
moins consquent, a permis de linncer
quelques actions ponctuelles,
I'exemple
desquelles on peut
citer l'acquisition d'un
matriel de production
de CD-Roms pour
sauvegarder une base d'images menace du
faii de I'obsolescence du support-
Il a aussi t possible de lancer des opra-
tions plus gnrales,
cornme celle quj
consiste en I'acquisition centralise de cer-
taini logiciels pour tout l'lnstitut.
lP.Frs/.ctiy,e
D'un ct, Ieffort consenti par l'organisme
pour rpondre la proccupation de l scu-
rit des systmes d inlormation, que l'on
peut rsumer en un homme, unbudget ef un
rseau de co.respondants, peut paraitre
consquent, eu gard l taille de I'orga-
nisme. D'un utre, il est largement dispro-
pordonn face I'ampleur, la complexir
t l volution rapide du phnomne auquel
ce dispositif est conlront. Il est d ailleurs
caaindre que
I'on reffouve ce mme
constat dans des organismes comparables,
par leurs effectils et la diversit des mis-
sions, l'orstom. Sans doute faut-il s'en
accommodef.
C'est donc pltitl sur une prise de conscience
progressivei par lren5emble des quipes de
l'organisne, qu'il faut compter pour conser-
ver aux systmes d'information leurs trois
qualits essentielles que
sont la disponib!
lit, I'intgrit et la confidentialit. Parmi les
actions de sensibilisation en1f eprises, celles
qui touchent aux aspects rglementaires et
juridiques
sont faciles mett.e en @uvre.
Des noles circulaires sur l lgislation
"lnformatique et liberts', la polirique en
matjre de donnes scientifiques
(vis,
vis
du droit d'auteur), ont par exernple t dif-
fuses. Des inforrnations sur les rgimes de
communication audioviselle
(loi
du
10109186)
ou dusecret des coespondances
(loidu
ro/o7l9t, applicabtes auWeb et la
communication lectaonique sont gale-
ment fournies.
En tout tt de cause, le comportemental est
trs impoftant pour la scuair : il faut de la
rigueur et du formalisme. Pour faire vo-
luer les mentalits, rien de tel que de pr-
senter la scuril comme un facteu. de qua-
lit des systmes informatiques.
Palrick Schel
adel : rssi@orstom.Tr
:'''
LepiratagedesloUitith
i
,"i.-.'.
'"
p.-s- 1
Il est wai que la situation s'est notoi-
rement amliore depuis l'poque ou
"dplomber un logiciel
protg"
constituait 'une rponse un dfi", un
vritable sport acadmique
que ce.-
tains tentaient de
justifier par des dis-
cours sur "un monde libr des
en aves mercantiles ". Aujourd'hui, le
piratage des logciels dans nos labora-
toires est en nelte rgression. cela il
existe deux raisons essentielles :
. La baisse importante des prix des
logiciels pour l'ducation et la
recherche, notamment grce aux
accords conclus dans le cadre du
plan
" select".
. Une
prise de conscience incontes-
table des principaux acteurs des labo-
ratoires, et particulirement des .es-
ponsables informatiques auxquels il
conyient de rendre hommage
pour leur
esprit de responsabilit.
Cet effort doit se
poursuiwe jusqu'
l'radication complte du ptratage de
logiciels dan5 nos laboraloires, car
cette
pratique est foncirement
contrahe I'idal de la recherche et
nofe inirt bien compris.
o Conflaire l'idal de la recherche,
car c'est d'abord un vol de
"
bien intel-
lectuelo. Or, n'est-ce
pas principale-
ment ce type de " biens
o
que nous
pro-
duisons dans la recherche ? L'adage :
"Ne
faites pas
autrui ce que
yous
ne
voulez
pas qu'on
vous fasse....n s'ap-
plique ici merveille.
. Contrafe notre inlrt bien com-
pris, car les crateus de logciels thent
du.evenu de leur travail les moyens de
poursuiwe leurs activtts et le dve-
loppement de leurs produits. Or, n'est-
il pas dans notre intrt qu'ils puis-
sent continuer rendre ces produits
toujours
plus perfomants ?
Ouels
progrs fantastiques ont t
accomplis depuis vingt ans dans le
domaine de la communication et des
systmes d'information ! Ce serait une
we trs court terme
que de saboter
cefie dynamique du progrs laquelle
nous appartenons.
aaaaaaaaaaaaaaoaaaaaaaaaaaaaaaaaoaa
9v' all*lle-t-ofi
C,ooS'rc e
Ler " cookies" sont des
peti6 programmes lancs par vot.e navigateur Web la demande du serveur que vous visi-
tez. Il dclenche l'critue sur vot.e disque duf d'un fichier texte
(cookies.txt)
contenant
'normalement' des infor-
mations concernant votre visite :
.
Ouelles sont les pages que vous
yenez
de visiter ?
.
Combien de temps
y
tes-vous rest ? Un
' Ouelles rponses avez-vous dj faites Ia question
I
de ce questionnaire ?
macfO-
.
Etc.
Normalement, les cookies ne peuvent en.egister
que les rponses que
Virus
ftelt-il
vous avez explicilement donnes - en
particulie., il ne doit pas tre
8,. tT8nsmtf,
Tf \
possible d enregistrer votre identite votre insu et ils ne peuvenltr"
Un fichi.f Rf f
g \
lus quepar lesserveurs quiles ont genrs. Maisdes techniquesexis
lent
pol.lr contourner cette limilation. Non un macro'vLrus ne se transfiet pas par
Les deux navigateursles
plus connues
-
Netscape et Inte.net Explo-
un fichter au formai RTF
(Rjch
Text Format)
I
rer
-
si vous les configurez correctement
(Option +
Prfrence
car ces ftchiers ne peuvent pas contenir de
rseau), permeftent de aefuser les "cookies ". Dans ce ca5, certains
macros c esr .lonc un moyen de communiquer
serveuas n'autorisent
qu'un accs limit.
des fichicrs Word sans .sque cle propager un
PouIplus d'informations, on peut aller Yisiter les liens hype.texte:
nacro-virus. Nlars commenl e sr clu'ur1
http://wvrw.grolier.frlcyberlexnet/sEcu/cookies.htm
(en
franais)
fichier que vous venez de recevorr avec une
et httpr//wwweminet/-mal/cookiesinfo.html
exiension.RTF esr eflecrLver.enr au lormar
RTF
?
Si c est le cas les tradufieurs de Word
s actrveroft auiomatiquemenl I ouvcrlre
du Iichier. lviais si c'est une.use. la ralit
apparaira clans toule sa
qravit une IoiS
le vrus acrive c est -dire bien lard
Il faut le rpter , la mejlleure
pro'
tection resre la vrilicarion du
[ichler par
avant de
ua a n tlv irus
chercher
servir
tilt Sroufiru lErci*l d4
y*lifcriolt
d{r rh@s d#It6*
*rt alisroifibl*
Une nouvelle ve.sion du logiciel) de vrr
fication de l solidit des mots de pa55e de
" Scooter corporation'est disponible pour
les plates-formes suivantes I Linux, BsDl
BSD/05 2.o, Free BSD
4.2,
ULTRIX
4.1o
VAX, sun4m sparc
(Solaris
2.). Il est possible
de le rcupre. soit par ftp anonyme :
ftp://ftp.inlo.bistrkek.su/UNIx/crack-2a/
crack-2a.tgz
soit par wl :
httpr//iukr.bishkek.su/crack/index.html
Ia documentation est galement disponible
en ligne.
(
Unix password uackeL version 2.o
(alpha).
Ptoduction of scooter cotp.
@ All tights rcsened Copyight Bishkek Ktr-
gtzstan, 1996-1997.
Y rb-il un b@ii Tir@Yr,l!I@ur
F
@ b,(9.e.1 8@f I izic.r@-@rdiiial,,.
r'r
c@fitr lKs fnacr@-Yirus I
Les racro virus tirent leur nom du macro langage qlle Word
ou Excel peut associer un documenl. lJne ide srmple pour
neplLrsavoircraindre!esmacro virus serajl de clisposer d une
oprion sous Word ou Excel quj dsaclive
SlobalemenI
leur
lancementautomatique
j
ouverture cl'un docrrnent. C est une
optron souvent rclarne Ilicrosoft Elle n esl pas impl
menle, or] ne
peul mme pas dsacliver les documents
macro i ltllcroSoll
propose, comme substitut une macro
lance avant toutes les aulfes
- quidsactive la fonctron de lan
cement automatjque Par exeffple sous WiNW0RD,
Microsoft propose :
r ) Crer une nouvelle macro NoMacros
qui conlient les
commandes suivantes :
Sub Main
DisableAuroMa$os
End
2 ) Modifier la liqne de commande de Word par ,
''path
WINW0RD.EXE,'mNoMacros
Bjen que beaucoup de !racro virus
_
cltons Concepl, DNlV ou
Nucleaa utilisent le lancement automalique de maclo L'ou
verture d un documenl pour attaquer le sysime, ce ne peur pas
tre une protection consldre comme sure Ioo 7 : des
mihodes existcnt
qui permetlentde 1a contourner. De pluselle
ne lofciionne pas sl vous lrlilisez le l
jle
l'1anager" ou Windows
Explorer pour ouvrir volre document.
tnfin, ll cst regrettable de devoir dsacliver des fonclionn11_
ts d un lrajrement de rexle pour se dfendre d actions mal-
veillantes. I1 paraii plus rarsonllable de se fier un bon anli'
virus rqulirement mise
jour.