La sécurité

Transcription

La sécurité

La sécurité à l’usage des collectivités locales et territoriales
La sécurité
à l’usage des collectivités
locales et territoriales
27 août 2007
Collection ATENA
Ouvrage collectif sous la direction de Gérard Péliks
Ont contribué à la rédaction de ce livre :
Luc Baranger, Jacques Baudron, Jean-Denis Garo, Michèle Germain, Gerald Kembellec, Gérard
Peliks, Bruno Rasle, Raphaël Rocher, Laurent Treillard …..
Août 07
copyright forum ATENA – Voir en dernière page pour les droits de reproduction
1/84
Août 07
2/84
LA SECURITE
1
...............................................................................................1
MISE EN PLACE D'UNE INFRASTRUCTURE SECURISEE ............................................................................7
1.1
LA SECURISATION DES FLUX INTERNET .................................................................................................................7
1.1.1 Les menaces aujourd’hui .................................................................................................................................7
1.1.2 L'état de l'art en matière de protection ............................................................................................................7
1.1.3 Aspects juridiques et responsabilité.................................................................................................................7
1.2
DEPLOIEMENT D’UNE INFRASTRUCTURE A CLES PUBLIQUES .................................................................................7
1.3
ANONYMISATION DES DONNEES A CARACTERE PERSONNEL ..................................................................................7
1.3.1 Pourquoi anonymiser des données ? ...............................................................................................................7
1.3.2 Quels sont les risques et sur qui pèsent-ils ? ...................................................................................................8
1.3.3 Des sanctions pécuniaires infligées par la CNIL ?..........................................................................................9
1.3.4 Dans les collectivités, quelles sont les pratiques « à risque » ? ......................................................................9
1.3.5 L’anonymisation réduit le risque ...................................................................................................................10
1.3.6 Quelles données faut-il « anonymiser » ?......................................................................................................10
1.3.7 Quelles sont les techniques d’anonymisation des données ? .........................................................................10
1.3.8 Où sont les difficultés ?..................................................................................................................................11
1.3.9 Un résultat assuré ?.......................................................................................................................................13
1.3.10
Anonymisation de données personnelles : les bonnes résolutions.............................................................13
1.3.11
Le maître mot : Confiance .........................................................................................................................14
1.4
LA DISPONIBILITE DES RESEAUX .........................................................................................................................14
1.4.1 Les contraintes de disponibilité du réseau.....................................................................................................15
1.4.2 Les calculs de disponibilité............................................................................................................................15
1.4.3 Les méthodes de protection............................................................................................................................17
1.4.4 Les protections des réseaux « TDM »............................................................................................................18
1.4.5 Les protections dans les réseaux IP...............................................................................................................19
1.5
LE CONTROLE INFORMATISE DES DOCUMENTS D’IDENTITE .................................................................................20
1.5.1 Les documents d’identité................................................................................................................................21
1.5.2 Les bases légales du contrôle d’identité ........................................................................................................22
1.5.3 La fraude documentaire.................................................................................................................................22
1.5.4 Le contrôle des documents d’identité assisté par ordinateur ........................................................................23
1.5.5 Conclusion .....................................................................................................................................................25
2
LES RESEAUX SANS FILS....................................................................................................................................26
2.1
IMPLEMENTATION D’UNE ARCHITECTURE WI-FI SECURISEE ...............................................................................26
2.1.1 Quid Wi-Fi ? ..................................................................................................................................................26
2.1.2 La stratégie de mise en œuvre........................................................................................................................29
2.1.3 Étude de cas : Authentification par portail et LDAP .....................................................................................32
2.1.4 Conclusion .....................................................................................................................................................35
2.2
LES RESEAUX RADIO PMR POUR LA SECURITE DES PERSONNES ..........................................................................35
2.2.1 Introduction ...................................................................................................................................................35
2.2.2 Définition d’un réseau radio PMR.................................................................................................................36
2.2.3 Besoins des utilisateurs..................................................................................................................................41
2.2.4 Mise en oeuvre ...............................................................................................................................................43
3
LA DEMATERIALISATION DES PROCEDURES.............................................................................................45
Août 07
3/84
3.1
3.2
L’INTEGRITE DOCUMENTAIRE .............................................................................................................................45
LA CLASSIFICATION DU PATRIMOINE INFORMATIONNEL .....................................................................................45
4
LA PREMIERE ETAPE DANS LA SECURISATION DE VOIP .......................................................................51
5
LA VIDEO-SURVEILLANCE................................................................................................................................52
5.1
INTRODUCTION ...................................................................................................................................................52
5.2
UN SYSTEME DE SURVEILLANCE VIDEO ? POUR QUOI FAIRE ?.......................................................52
5.3
LES COMPOSANTS D’UN SYSTEME..........................................................................................................54
5.3.1 Les bases d’un système ..................................................................................................................................54
5.3.2 Les composants d’extrémité...........................................................................................................................54
5.3.3 Les composants système.................................................................................................................................55
5.3.4 Les différents types de supports de réseaux pour les applications vidéo. ......................................................56
5.4
EN PRATIQUE..................................................................................................................................................58
5.4.1 Dossier administratif préalable .....................................................................................................................58
5.4.2 L’installation d’un système dans l’Entreprise ...............................................................................................59
5.4.3 Les pièges de certains choix : ........................................................................................................................59
5.5
ANNEXES : ..........................................................................................................................................................60
5.5.1 cadre législatif ...............................................................................................................................................60
5.5.2 Le fonctionnement des matrices CCD............................................................................................................60
6
LA GESTION DES CRISES....................................................................................................................................62
6.1
CENTRE D’APPELS ET GESTION DE CRISE .............................................................................................................62
6.1.1 La mission d’un centre de contacts dédié à la gestion de crise. ....................................................................62
6.1.2 Des spécificités de l’outil « centre d’appels » propres à répondre aux événements exceptionnels. ..............62
6.1.3 Exemple concret d’application. .....................................................................................................................63
6.1.4 Plusieurs technologies sont nécessaires à la mise en place d’une telle infrastructure..................................63
6.1.5 Les besoins sont similaires avec le monde de l’entreprise.............................................................................63
6.2
LES GRANDS PROJETS EUROPEENS POUR LA SECURITE DES CITOYENS .................................................................63
6.2.1 EMTEL...........................................................................................................................................................64
6.2.2 EGERIS..........................................................................................................................................................65
7
LE VOTE ELECTRONIQUE .................................................................................................................................67
7.1
LES NOUVELLES FORMES DE VOTE ......................................................................................................................67
7.1.1 Vote traditionnel et vote électronique............................................................................................................67
7.1.2 Les nouvelles formes de vote..........................................................................................................................68
7.1.3 Que réclame t’on au vote électronique ? .......................................................................................................68
7.1.4 L’utilisation du chiffrement dans le vote électronique...................................................................................71
7.1.5 Quel chiffrement pour quelles architectures ?...............................................................................................74
7.1.6 La règle des trois unités.................................................................................................................................74
ANNEXE 1
8
BIBLIOGRAPHIE ET REFERENCES..................................................................................................................81
8.1
8.2
8.3
9
PARTIE : LE CONTROLE INFORMATISE DES DOCUMENTS D’IDENTITE ..........................76
GENERAL ............................................................................................................................................................81
LE VOTE ELECTRONIQUE .....................................................................................................................................81
L’IMPLEMENTATION D’UNE ARCHITECTURE WI-FI .............................................................................................81
GLOSSAIRE .............................................................................................................................................................82
9.1
9.2
Août 07
ACRONYMES .......................................................................................................................................................82
DÉFINITIONS .......................................................................................................................................................82
4/84
10
CONTRIBUTIONS A L’ECRITURE DE CE LIVRE ..........................................................................................83
Août 07
5/84
Août 07
6/84
1 MISE EN PLACE D'UNE INFRASTRUCTURE SECURISEE
1.1
LA SECURISATION DES FLUX INTERNET
Auteur : Gabriel Gross (Dolphian) [email protected]
1.1.1 Les menaces aujourd’hui
1.1.2 L'état de l'art en matière de protection
1.1.3 Aspects juridiques et responsabilité
1.2
DEPLOIEMENT D’UNE INFRASTRUCTURE A CLES PUBLIQUES
Auteur : Marie-Christine Léger (Conseil en stratégie NTIC) [email protected]
1.3
ANONYMISATION DES DONNEES A CARACTERE PERSONNEL
Auteur : Bruno Rasle (Cortina) [email protected]
Anonymisation des CV, des jurisprudences, des données de connexions, des données de santé, des
signatures de soutien à la candidature à la Présidence… la notion d’anonymisation s’est imposée
récemment à nous à plusieurs occasions. De quoi s’agit-il ? Quels sont les objectifs poursuivis ?
Quels sont les méthodes, processus, techniques et outils mis en œuvre ? Où sont les difficultés ?
Cette approche peut-elle être utilisée dans le cadre de la sécurisation de données confidentielles ?
Autant de points abordés dans ce document, qui se focalise sur l’anonymisation des jeux de test.
1.3.1
Pourquoi anonymiser des données ?
Deux motivations peuvent inciter les entreprises, administrations et collectivités à anonymiser
certaines de leurs données ; le besoin de respecter les lois (mise en conformité) et celui de protéger
leur patrimoine informationnel (sécurité – confidentialité). Dans certains domaines, la pénurie de
développeurs oblige les entreprises à faire appel à des prestataires qui ont travaillé – ou travaillent
encore – pour leurs concurrents directs. Les laisser accéder aux données réelles constitue donc un
risque au titre de l’intelligence économique.
Concernant la mise en conformité, le cadre de référence est la loi Informatique & Libertés. Ầ son
titre, dès qu’une entité détient ou traite des données à caractère personnel1, des contraintes
s’imposent à elle. Chaque traitement portant sur de telles données doit faire l’objet d’une déclaration
auprès de la CNIL. Cette déclaration comporte un chapitre dans lequel doivent être indiquées les
personnes habilitées à avoir accès aux informations. Permettre l’accès aux données à des tiers
constitue une faute.
Parmi les règles à
traitement est tenu
risques présentés
empêcher qu’elles
accès2 ».
respecter, figure également la sécurisation des données : « Le responsable du
de prendre toutes précautions utiles, au regard de la nature des données et des
par le traitement, pour préserver la sécurité des données et, notamment,
soient déformées, endommagées, ou que des tiers non autorisés y aient
1 Une donnée peut être personnelle directement ou indirectement, notamment par recoupement.
2 Chapitre V Section 1 Article 34 de la Loi Informatique & Libertés 78-17 du 6 janvier 1978
Août 07
7/84
Ainsi, un fichier cadastral ne peut être utilisé a priori que par les services de l’urbanisme, du cadastre
et de la voirie et ne peuvent être communiquées qu’à des destinataires et des personnes autorisées
à en connaître, en application de dispositions législatives particulières.
Il appartient au responsable du traitement3 d’adapter les mesures de sécurité au degré de sensibilité
des données personnelles hébergées. Nombreuses sont les collectivités locales qui manipulent des
données de santé, des données relatives au opinions religieuses (exemple : liste des élèves
mangeant kasher à la cantine scolaire) ou des données relatives aux ressources des personnes
(données sociales, aides aux Rmistes). Les premières expériences de vote électroniques (par
exemple pour les élections aux conseils de quartier) peuvent également entrer dans cette catégorie
de traitements qui nécessite de redoubler de vigilance.
Ainsi, dans son rapport annuel de 2005, la CNIL liste les points sur lesquels elle s’est penchée lors
de son étude du projet de « carte de vie quotidienne » présenté par le Conseil Général du Val
d’Oise : Par exemple, là où le conseil général avait créé une rubrique «carnet de santé», la CNIL a
demandé qu’elle soit remplacée par les seules informations effectivement recueillies, à savoir les
vaccinations et les allergies.
L’appel à des sous-traitants n’exonère en rien le responsable du traitement de ses obligations : « Le
sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures
de sécurité et de confidentialité. Cette exigence ne décharge pas le responsable du traitement de
son obligation de veiller au respect de ces mesures. »
1.3.2
Quels sont les risques et sur qui pèsent-ils ?
Plusieurs articles du Code pénal (226-16 à 226-24) précisent les peines. Ainsi, le fait de procéder à
un traitement de données à caractère personnel sans mettre en oeuvre les mesures de sécurisation
prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 est passible de cinq ans
d'emprisonnement et de 300 000 Euros d'amende. De même, toute personne qui a recueilli des
données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la
considération de l'intéressé ou à l'intimité de sa vie privée, qui porte, sans autorisation de l'intéressé,
ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir, encourt le risque de
subir une peine équivalente. Lorsqu'elle a été commise par imprudence ou négligence, cette
divulgation est punie de trois ans d'emprisonnement et de 100 000 Euros d'amende.
Ainsi, la Cour de cassation de Paris a confirmé en 2001 les amendes de 50 et 30.000 francs,
infligées par la Cour d’appel d’Aix en Provence respectivement au président et au directeur d’un
syndicat interprofessionnel de médecins du travail, au motif que « le système informatique mis en
place n’assurait pas une protection suffisante de la confidentialité des données enregistrées » et que
« toutes les précautions utiles en vue d’empêcher la communication des informations médicales aux
membres du personnel administratif, tiers non autorisés, n’avaient été prises4 ».
À ces risques s’ajoutent les risques « CNIL ». Depuis la refonte de la loi Informatique & Libertés en
2004, la CNIL dispose de prérogatives renforcées, avec la possibilité de procéder à un arrêt brutal
du système contrevenant. La Commission peut prononcer un avertissement à l’égard du
responsable d’un traitement qui ne respecte pas ses obligations. Elle peut également le mettre en
demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable d’un
traitement ne se conforme pas à la mise en demeure qui lui est adressée, la commission peut
3 Bien que le mot « traitement » fasse penser au Responsable du Service Informatique, le Responsable du traitement au
sens de la loi Informatique et Libertés est le représentant légal de l’entité. Le responsable du traitement est la personne qui
décide de la mise en œuvre du traitement et qui en détermine la finalité et les moyens. C’est sur lui que pèse le risque : maire,
président de conseil général ou régional, président d’université, directeur d’hôpital public, etc.
4 Négligences et accès à des données protégées
http://lexinter.net/JPTXT2/negligence_et_acces_a_des_donnees_protegees.htm
Août 07
8/84
prononcer à son encontre, après une procédure contradictoire, une sanction pécuniaire et/ou une
injonction de cesser le traitement. La CNIL peut aussi décider le verrouillage de certaines des
données à caractère personnel traitées, pour une durée maximale de trois mois.
1.3.3
Des sanctions pécuniaires infligées par la CNIL ?
Depuis août 2004, la CNIL a gagné de nouveaux pouvoirs ; outre la possibilité de procéder à des
visites inopinées sur place (au total, la Commission a mené environ 150 missions de contrôle en
2006, soit une augmentation de plus de 150%), elle peut prononcer des sanctions pécuniaires
proportionnées à la gravité des manquements commis et aux avantages tirés de ce manquement5.
Ces sanctions peuvent aller jusqu’à 150 000 €, et 300 000 € en cas de récidive. De plus, la
commission peut rendre publics les avertissements qu’elle prononce.
La Commission a inauguré ses nouveaux pouvoirs en juin 2006 en infligeant à une grande banque
une amende de 45.000 euros (avec publicité dans la presse aux frais de la banque). Sans que son
identité soit dévoilée, le site de la CNIL fait également état de la condamnation d’une étude
d’huissier, suite à un contrôle sur place.
1.3.4
Dans les collectivités, quelles sont les pratiques « à risque » ?
Dans le cadre d’une analyse de risques, on se focalise assez naturellement sur les envois de
données à l’extérieur (l’exportation hors de l’union européenne des données à caractère personnel
est soumise à un cadre très strict), pratiques peu fréquentes en ce qui concerne les collectivités. Le
véritable danger est ailleurs, et reste malheureusement le plus souvent insoupçonné.
Les données en zone de production sont habituellement correctement protégées, dans la plupart
des cas par une défense périmétrique (pare-feu, contrôle d’accès physique, identifiant et mot de
passe6), plus rarement par des moyens spécifiquement conçus pour la protection des données
sensibles (chiffrement sélectif des bases de données et traçabilité des accès des Administrateurs
techniques).
Par contre, en dehors de ce périmètre maîtrisé, on relève fréquemment des pratiques pour le moins
« perfectibles ». Tous les jours, des données à caractère personnel sont portées à la connaissance
de tiers non autorisés, en infraction totale avec les règles de sécurité évoquées précédemment, et
ceci à quatre occasions ;
Trop souvent les développeurs travaillent sur des données réelles (y compris les prestataires) ;
Trop souvent, les sessions de formation comportent des travaux pratiques mettant en œuvre
des données de production ;
Trop souvent, les tests, maquettes et évaluations d’outils logiciels s’effectuent avec des
données réelles ;
Trop souvent, lors d’opérations de recette, de support et de maintenance, des données de
production sont utilisées pour s'assurer du bon fonctionnement d’une application.
Dans ces situations, des données réelles sont extraites du périmètre protégé, que ce soit sous
forme de jeux de test ou de copies complètes de données de production. Ces dernières contiennent
5 Chapitre VII Article 47 de la Loi Informatique & Libertés 78-17 du 6 janvier 1978
6 « Le maire, en tant que responsable du traitement, est astreint à une obligation de sécurité : il doit faire
prendre les mesures nécessaires pour garantir la confidentialité des données et éviter leur divulgation. Il
convient, par exemple, de veiller à ce que chaque agent ait un mot de passe individuel régulièrement changé et
que les droits d’accès soient précisément définis en fonction des besoins réels ». source site Web de la CNIL
Août 07
9/84
donc, au même titre que leurs bases dont elles sont issues, des données personnelles ou
confidentielles.
Une autre pratique à risque consiste à conserver les données après la date indiquée dans la
déclaration : lors de leur contrôle, les agents habilités de la CNIL vérifient quasi-systématiquement
ce point ainsi que l’existence d’une procédure formalisée de purge des données.
1.3.5
L’anonymisation réduit le risque
L’une des solutions consiste à traiter le problème à sa racine en éliminant le critère « personnel »
aux données manipulées. Comment ? En les « anonymisant ». Ce processus vise à éviter qu’une
personne, un individu, soit identifiable au travers des données collectées7.
Cette notion n’est pas normalisée, et dans la littérature, on parle aussi bien d’anonymisation des
jurisprudences que d’anonymisation des CV, de surf anonyme ou d’anonymisation des données de
santé. Ces vocables ne recouvrent pas forcément les mêmes notions. Le présent document se
focalise sur l’anonymisation des jeux de test.
Ces dernières années, la CNIL s’est penchée sur l’anonymisation à trois reprises : les données
INSEE, le DMP (Dossier Médical Personnel) et l’anonymisation des jurisprudences. Concernant les
données de connexions que les FAI doivent conserver un an, le décret d’application fait mention de
l’obligation de les « anonymiser » passé ce délai (mais sans d’avantage donner de précisions).
1.3.6
Quelles données faut-il « anonymiser » ?
Selon les contextes tout peut potentiellement concourir à l’identification d’une personne. Les
éléments concernés par l’anonymisation ne constituent donc pas une liste fermée :
nom, prénom, surnom, sigle d’entreprise...,
données personnelles (adresse, numéros de téléphone ou de passeport, âge, lieu de
naissance...),
profession, statut, titres, activités sociales,
parenté, réseaux, relations,
référence à des lieux (toponymes, institutions, services….),
référence à des caractéristiques physiques, culturelles, médicales… uniques ou rares dans son
milieu,
caractéristiques physiques : voix, visage, caractéristiques corporelles, etc.
La première étape d’une démarche d’anonymisation consiste donc à identifier les champs qui
doivent l’être.
1.3.7
Quelles sont les techniques d’anonymisation des données ?
La seconde étape d’une démarche d’anonymisation consiste à retenir la technique d'anonymisation
la plus pertinente. Voici une taxinomie possible des techniques disponibles ;
7 L’anonymisation peut ne pas se limiter à des données « texte » mais concerner également des images, des vidéo, voire des
représentations de la voix.
Août 07
10/84
Par suppression (ou remplacement par un unique caractère) : c’est la forme la plus simple et la
plus radicale, mais souvent la moins souhaitable pour des objectifs de recherche et d’études
statistiques.
•
Suppression de données (totale ou partielle) : Certains traitements ne requièrent des
données nominatives que pour une durée déterminée. Il importe de procéder à la
suppression de données identifiantes dès lors que celles-ci ne sont plus indispensables.
•
Masquage : dissimulation d'une partie des champs (par exemple par des X ou par des
zéro)
Par remplacement ou modification
•
Chiffrement : remplacement des valeurs sensibles avec des algorithmes fournis ou
propriétaires (un tiers de confiance pouvant détenir la clé). Attention à la conservation du
format !
•
Translation : remplacement des valeurs sensibles à partir d'une valeur ou d’une table de
translation – le bon vieux code de César !
•
Vieillissement : remplacement des dates sensibles tout en maintenant le format initial
•
Génération de données : génération de données fictives, aléatoires ou à partir d'une table
externe (librairie) – par exemple des libraires de prénoms, noms, type de voie, adresses
email, noms de ville, n° de Sécurité Sociale, n° de cartes bleues, etc.
•
Remplacement par des données aléatoires
•
Variance : les données numériques sont remplacées par des valeurs figurant dans une
plage de variation donnée
•
Hachage : remplacement de la valeur par une empreinte (technique utilisée dans le cadre
des expérimentations DMP)
•
Concaténation : remplacement par une valeur issue de la combinaison de plusieurs
champs figurant dans la source
•
Mélange : les données sont « brassées » sans être modifiées
Par ajout
•
Obfuscation : ajout d’éléments pour « noyer le poisson » (créer des personnes
inexistantes, par exemple)
Certaines de ces techniques sont réversibles (comme le chiffrement) – et dans ce cas on pourra
plutôt parler de pseudonymisation, car l’anonymat peut être levé a posteriori. Cette levée peut faire
intervenir un tiers, dans le cadre d’une procédure formalisée et tracée (c’est l’approche retenue dans
le cadre des expérimentations DMP).
D’autres sont irréversibles (comme la suppression ou la prise d’empreinte). Lors de l’anonymisation
d’un jeu de test, on peut faire appel à plusieurs de ces techniques. On peut même utiliser, pour un
même champ de données, deux techniques différentes (exemple : une technique A pour les
hommes et une technique B pour les femmes). La véritable difficulté est de sélectionner celle qui
convient aux objectifs (obtenir un jeu de test pleinement fonctionnel) et aux contraintes (qu’il soit
impossible à un tiers non autorisé d’identifier un individu à partir ces données).
Concernant ces choix technologiques, la CNIL est ouverte aux différentes possibilités, seul le
résultat compte.
1.3.8
Où sont les difficultés ?
Certains processus d’anonymisation peuvent s’avérer complexes, la priorité étant d’obtenir la pleine
fonctionnalité du jeu de test, en commençant par maintenir les relations entre les champs et
Août 07
11/84
respecter les formats. De plus, il faut pouvoir identifier les incidents, les éventuels doublons et de ne
pas en créer (deux individus portant les mêmes références après anonymisation). Il faut également
pouvoir gérer les homonymies (deux individus différents, mais portant le même nom) et conserver
les cohérences instantanées (par exemple entre les membres d’une même famille) et
éventuellement dans le temps (une même personne étant « anonymisée » de la même façon à
plusieurs mois d’intervalle). Dans certains cas, les répartitions statistiques devront être respectées
(exemple : ratio hommes-femmes et distribution des ages maintenus). Signalons aussi les champs
numériques avec CRC ou checksum, dont la valeur de remplacement devra respecter la même
vérification8.
Exemple : Une application évalue le montant d’une assurance véhicule en prenant en compte le
département de résidence du propriétaire du véhicule. Il conviendra alors de veiller à remplacer les
codes postaux par d’autres correspondant à des départements générant des primes d’un montant
équivalent. De même, si le code postal est modifié, l’indicatif téléphonique devra peut-être être
cohérent…
Dans certains cas, il convient
de
pouvoir
archiver
la
procédure
d’anonymisation,
pour pouvoir l’appliquer à
l’identique
sur
d’autres
informations,
mener
des
comparaisons ou des études
statistiques, mais également
la présenter lors d’un éventuel
contrôle de la CNIL.
Schéma de principe d’un processus d’anonymisation (quelques fois dénommé « tunnel
d’anonymisation »)
Pour aider les entreprises et les collectivités à anonymiser leurs données les plus sensibles,
quelques outils sont récemment apparus sur le marché, accessibles à partir de quelques milliers
d’euros. Ils permettent l’extraction de données sources (à partir d’une ou de plusieurs bases et
tables), la sélection des champs qui doivent être anonymisés, le choix des techniques
d’anonymisation adéquates et enfin la création du jeu de test proprement dit.
Mais quelque soit la qualité de l’outil d’anonymisation retenu, il est indispensable qu’il soit mis en
œuvre par du personnel qui possède la logique de l’application et qui maîtrise la manipulation des
données (DBA). Lui seul pourra sélectionner les bonnes approches et concevoir une stratégie
d’anonymisation adéquate. Il peut utilement se faire aider du RSSI quand à la formalisation de la
procédure (qui anonymise ? quand ? dans quelles conditions ? selon quelle procédure ? etc.) et par
son Correspondant Informatique & Libertés, si l’entité à pris la décision d’en désigner un.
8 Sur ce sujet, consulter le livre blanc Data Scrambling Issues, www.net2000ltd.com
Août 07
12/84
1.3.9
Un résultat assuré ?
Comme dans bien d’autres domaines, l’utilisation d’un bon outil d’anonymisation n’est pas en soi un
gage de réussite. En août 2006, un FAI américain a mis en ligne pendant quelques heures un
document contenant des millions de données sur les recherches effectuées par ses utilisateurs
américains. Ce fichier avait été rendu anonyme, mais de façon insuffisante : Exploité par de
nombreux chercheurs, il a rapidement livré des résultats assez intéressants et permis de retrouver la
trace d’internautes, d’identifier leurs numéros de sécurité sociale, leurs adresses parfois, jusqu’à leur
nom pour certains. Les journalistes du New York Times sont par exemple parvenus à identifier un
internaute par la simple analyse de ses requêtes (“chien qui fait pipi partout”, “taxe foncière de
Harrisburg, Virginie”, “solitude”, “Paranoïa”, “Thé pour une bonne santé”, etc.). C’est un exemple
d’identification par recoupement.
On voit donc que la taille du corpus a son importance : en France, les équipes de la CNIL ont
recours à une doctrine informelle selon laquelle on doit trouver dans le fichier au point 15 (ou 20)
représentants d’une valeur spécifique, pour minimiser les risques d’identifier un individu9.
Très récemment, le moteur de recherche américain Google a annoncé son intention, avant la fin de
l’année, d’anonymiser les données qu’il détient sur ses utilisateurs. Ses ingénieurs, basés aux ÉtatsUnis et en Suisse, vont rendre anonymes les milliards d’informations stockées à chaque fois qu'un
internaute effectue une recherche depuis 1996 (en supprimant les derniers digits des adresses IP ?).
Jusqu’alors, ces données étaient conservées intégralement et indéfiniment. Une fois anonymisés,
les éléments seront conservés pour nourrir les statistiques. Google prend cette décision sous la
pression des associations américaines de défense de la vie privée.
1.3.10 Anonymisation de données personnelles : les bonnes résolutions
Moins on collecte d’information à caractère personnel, moins on court de risques : à chaque
fois, il convient de se poser la question « Avons-nous réellement besoin de disposer de cette
information spécifique, au regard de la finalité du traitement ? » ;
La meilleure anonymisation possible, c’est encore la suppression des données à caractère
personnel si elles ne sont plus indispensables et, dans tous les cas, de ne les garder que pour
la durée minimum
Chaque fois que c'est possible, remplacer une donnée identifiante par un numéro d'ordre (avec
ségrégation et traçabilité des accès) ;
Chaque fois que c'est possible, ne transmettre un fichier à d'autres entités qu'après en avoir
supprimé les données identifiantes ;
Sensibilisez les personnels concernés : développeurs, DBA (Data Base Administrator),
administrateurs techniques, formateurs, etc. ;
Au moindre doute, ne pas hésiter à prendre contact avec la CNIL (ou à prendre conseil auprès
de son Correspondant Informatique & Libertés).
Afin d’aider ses membres – dont de nombreux Correspondants Informatique & Libertés –
l’Association Française des Correspondants à La Protection des Données à caractère Personnel
(www.afcdp.org) a d’ailleurs créé début 2007 un groupe de travail, intitulé Référentiels et Labels, qui
s’est donné pour objectif de produire un référentiel des outils d’anonymisation et un livre blanc sur
les bonnes pratiques en ce domaine.
9 En anglais, cela correspond au Isolated Case Phenomena (exemple ; repérer les dirigeants d’une entreprise en se
focalisant sur les salaires les plus élevés)
Août 07
13/84
1.3.11
Le maître mot : Confiance
Les collectivités locales disposent aujourd’hui de moyens informatiques importants pour gérer l’état
civil, les listes électorales, les inscriptions scolaires, l’action sociale, etc. Des renseignements à
caractère personnel concernant les administrés font ainsi l’objet d’exploitation informatique. Ces
informations, parce qu’elles relèvent de la vie privée et que leur divulgation est susceptible de porter
atteinte aux droits et libertés des personnes concernées, doivent être protégées.
Les Rectorats d’Amiens et de Rennes, le Centre Hospitalier de Blois, le Centre Hospitalier Régional
d’Orléans, le CHU de Brest, la Chambre de Commerce et d’Industrie de la ville de Paris, la
Communauté urbaine de Dunkerque, les Conseils généraux d’Ile et Vilaine, du Lot, du Val d’Oise, du
Var, le Conseil régional Languedoc-Roussillon, la DRASS de Champagne, l’Ecole centrale de Lyon,
les villes de Paris, Chartres et Saint-Lô, l’Office Public d’HLM de Seine Maritime, les Préfectures du
Calvados et de la Marne, de nombreuses Caisses d’Assurance Primaire Maladie… de nombreuses
collectivités ont d’ores et déjà montré, par un geste fort, leur souci de la protection des données à
caractère personnel dont elles ont la charge, en désignant auprès de la CNIL un Correspondant
Informatique & Libertés.
Le respect, par les collectivités locales, des règles de protection des données à caractère personnel
est un gage de sécurité juridique pour les élus, qui sont responsables des fichiers mis en œuvre.
Mais c’est également un facteur de transparence et de confiance à l’égard des usagers et des
citoyens. Sans cette confiance, les projets d’administration électronique connaîtront-ils le succès
attendu ?
1.4
LA DISPONIBILITE DES RESEAUX
Auteur : Jacques Baudron (Ixtel) [email protected]
La fourniture d'infrastructures de télécommunications pourrait à moyen terme acquérir une
importance analogue à celle des réseaux de distribution d'eau ou d'électricité.
Sur un plan industriel, la puissance nécessaire aux extranets reliant les grands groupes à leurs
fournisseurs est décuplée à chaque mise à jour des systèmes d'information. Ces mêmes
fournisseurs ont besoin par ailleurs de garder le contact avec leur base lorsqu'ils sont en
prospection.
Les abonnés particuliers ont quant à eux
vite pris l'habitude de s'adresser à un moteur de recherche plutôt qu'à une
encyclopédie sur papier dès qu'un sujet
demande à être approfondi. La téléphonie et
la télévision s'ajoutent de plus en plus
fréquemment aux services proposés par les
fournisseurs d'accès.
Le
besoin
pour
un
réseau
de
télécommunications au service de la
collectivité est ainsi avéré. C’est dans ce
contexte que les autorités d'aménagement ont donner l’impulsion pour doter le territoire
d'infrastructures de collecte susceptible d'attirer les opérateurs de services a permis l'avènement de
réseaux de transmission.
Août 07
14/84
1.4.1
Les contraintes de disponibilité du réseau
Les services transportés par le réseau ont chacun leurs propres contraintes de qualité. Par exemple,
les services synchrones10 et/ou interactifs11 tels que la téléphonie ou la télévision ont de fortes
exigences sur le temps de transit et les variations de ce temps. D'une manière générale, tout service
a des contraintes d'intégrité : la perte d'information doit être la plus faible possible. Nous allons ici
essentiellement nous concentrer sur un autre volet de la qualité de service : la disponibilité.
La référence dans le domaine reste le réseau téléphonique commuté et ses « cinq neuf ».
Cette valeur indique qu'un système a été disponible pendant 99,999 % du temps. L'année
comprenant environs 31 millions de secondes, le système a donc été indisponible pendant à peine
plus de 5 minutes par an au maximum. Sachant qu'une coupure peut durer 50 ms en cas de
protection automatique ou 4 heures avec certains contrats d'intervention, on mesure combien il peut
être délicat de déterminer le nombre de défauts par an !
Quant aux défauts, ils sont fortement liés au contexte et à la technologie. En effet les probabilités de
pannes électroniques sont dépendantes des lois quantiques de la micro physique et sont
récapitulées dans des tables grâce auxquelles des évaluations précises sont établies. Par contre, les
défauts créés par des accidents tels qu'une coupure de fibre sont corrélés aux fréquences de
travaux dans l'environnement. Enfin les défaillances de routeurs peuvent découler de la
configuration du routeur ou de son logiciel d'exploitation.
Que peut-on en conclure ?
Le besoin en disponibilité est lié
au type de services transportés
au type de défauts pris en compte,
au type de technologie,
au type de topologie
Au-delà de ces critères, le point structurant reste que la téléphonie nous a depuis toujours
accoutumé à une disponibilité sans concession. Les utilisateurs en attendent autant des services
proposés par ces nouveaux opérateurs.
1.4.2
Les calculs de disponibilité
Nous évaluons ici la disponibilité d’un conduit qui traverse un réseau.
Trois risques sont pris en compte :
défaillance d’un composant électronique
défaillance d’un module interface vers le réseau (NNI) ou
vers l’utilisateur (UNI)
coupure d’une fibre
A chaque cas est associé un temps moyen de bon
fonctionnement (MTBF) et un temps moyen de réparation (MTTR), ces éléments permettant
d’évaluer le taux de disponibilité élémentaire : a = MTBF / (MTBF + MTTR) et l’indisponibilité en est
l’inverse : u = 1 / a
10 Les services synchrones nécessitent que le rythme en entrée du réseau soit conservé en sortie.
11 Les services interactifs nécessitent que la réponse à une requête arrive dans un laps de temps fini.
Août 07
15/84
La valeur de MTTR varie de 50 ms à quelques heures suivant les redondances internes.
Une liaison sera disponible si aucun élément n’est indisponible. La disponibilité d’une liaison est le
produit des indisponibilités élémentaires.
Lorsqu’une liaison est protégée, le raisonnement consiste à considérer que la liaison fonctionne si
une au moins des voies normales OU secours fonctionne ET le mécanisme de commutation
fonctionne.
Intéressons-nous plus en détails au tronçon protégé.
La probabilité pour qu’au moins une des deux voies fonctionne (Arésultant ) est 1 moins le produit des
probabilités pour que ni l’une (1 – Anormal) ni l’autre (1 – Asecours) ne fonctionne.
Arésultant = 1 - (1 – Anormal) x (1 – Asecours)
Au niveau numérique, on peut considérer que l’ordre de grandeur de la disponibilité d’un tronçon non
sécurisé comportant peu de sites est de 99,7 %. Celui de Arésultant est donc proche de 99,999 %. On
gagne globalement 2 chiffres significatifs (élévation au carré) dès que l’on protège.
Mais le calcul n’est pas complet. Il faut maintenant prendre en compte la probabilité de bon
fonctionnement du mécanisme de basculement de la voie normale vers la voie de secours. Au
niveau numérique, ce mécanisme étant en série est souvent prépondérant devant le système voie
normal / voie secours.
Août 07
16/84
Détaillons en effet les éléments qui entrent en ligne.
Le premier point est de détecter le défaut, sachant que
cette détection doit éviter les fausses alarmes.
Le deuxième point est la commande du commutateur,
ce point englobant également les éventuels échanges
de messages.
Le dernier point est le commutateur lui-même.
La disponibilité du système secouru est donc
intimement liée à la disponibilité du système de
commutation. On aura donc tout intérêt à porter notre
choix sur un système le plus simple possible et limitant
les dialogues entre sites.
Une autre remarque peut être effectuée sur la quantité de
protections à appliquer au réseau. Lorsqu’un conduit
traverse plusieurs mailles, est-il intéressant de proposer
une protection par maille ou à l’inverse de ne faire qu’une
protection globale ?
Là encore, les calculs de disponibilités nous montrent
que l’on peut gagner encore 1 à 2 chiffres après la
virgule.
Néanmoins, Ce gain justifie-t-il une complexité accrue et
une occupation de bande passante sur le tronçon commun aux mailles ? Autrement dit, quelle est la
probabilité d’avoir un accident sur une maille pendant les quelques heures que dure la réparation
d’un premier accident sur une autre maille ?
1.4.3
Les méthodes de protection
Pour obtenir une bonne disponibilité les mécanismes de cicatrisation permettent de rétablir
automatiquement de nouvelles routes après un accident sur les infrastructures de réseau.
Dans le cadre général des méthodes de cicatrisation, on opère une distinction entre protection et
restauration.
La protection consiste à disposer en permanence d'une route de secours pour pallier une défaillance
de la route normale. Cette deuxième route est configurée en même temps que la route nominale.
Elle occupe donc de la bande passante et est surveillée en permanence pour être prête à entrer en
service dès que nécessaire.
La restauration agit après le défaut. Le système se reconfigure après constatation du défaut en
tenant compte des défaillances. Seule la route nominale est installée. La route de secours n'est mise
en service qu'a posteriori.
Août 07
17/84
L’avantage majeur de la protection est le temps de cicatrisation très faible. Les organismes de
normalisation (ITU-T) recommandent un délai inférieur à 50 millisecondes. Le prix est
l'immobilisation de ressources de secours en attente (« Hot Stand-By »).
Le délai de 50 millisecondes trouve son origine dans les réseaux commutés. Une liaison
téléphonique entre deux abonnés n'est maintenue dans un commutateur que tant qu'il n'y a pas de
coupure qui excède ce seuil. Pour qu’une défaillance soit transparente pour les commutateurs, il faut
donc que le processus de protection soit terminé en moins de 50 millisecondes.
A l'inverse, l'atout majeur de la
restauration est de ne pas réserver des
ressources pour la protection en
acceptant un temps de cicatrisation
beaucoup plus long : de quelques
secondes
à
plusieurs
minutes.
Remarquons toutefois que le gain en
bande passante n'est pas tangible, car
quelle que soit la solution de
cicatrisation, l'hypothèse de base
suppose que le réseau est capable de
supporter le trafic de protection.
Autrement dit, de la bande passante
doit être libre (ou libérée) pour
acheminer le trafic affecté par le défaut.
Les deux grandes familles de technologies sont le « TDM », auquel on peut associer également les
réseaux à multiplexage en longueurs d'onde et les réseaux par paquets.
Les réseaux « TDM » (« Time Division
Multiplexing ») établissent des liens
entre deux extrémités en permanence.
La bande passante est réservée qu'il y
ait ou pas du trafic à transporter.
Les réseaux par paquets n'envoient
des paquets que lorsqu'il y a
effectivement du trafic à transporter. La
bande passante peut donc être
partagée entre différents utilisateurs.
Les réseaux « TDM » et les réseaux
par paquets n'abordent pas de la
même manière la protection.
1.4.4
Les protections des réseaux « TDM »
Version la plus récente des technologies TDM, la technologie SDH a dès l'origine intégré la
nécessité de proposer une méthode de protection.
Dans ces mécanismes, une route de protection est établie en même temps que la route normale. Le
basculement de l'une vers l'autre se fait sur détection d'alarme. Ces mécanismes sont construits sur
une surveillance continue (toutes les 125 µs) de bout en bout permettant de détecter
instantanément la moindre dégradation. La « signature » liée à chaque trame est calculée en
entrée. Le résultat est envoyé avec les données et le calcul est vérifié en sortie.
Août 07
18/84
un canal de messagerie couvrant le besoin éventuel de synchroniser les protections des deux
directions.
un commutateur permettant de basculer depuis la ressource défaillante vers la ressource
prévue pour le secours. Ce commutateur est actionné par la détection d'alarme complétée
éventuellement par les messages de synchronisation.
Deux familles de mécanismes existent suivant que les alarmes utilisées pour déclencher le
mécanisme de protection sont issues de la surveillance des médias de transport (fibres, faisceaux
hertziens ...) ou de la surveillance des services transportés. Aucun de ces deux mécanismes n'a de
difficulté pour être en accord avec la consigne des 50 millisecondes. La détection d'alarme est
réalisée en quelques centaines de microsecondes, et la commutation dans la matrice est du même
ordre de grandeur.
1.4.5
Les protections dans les réseaux IP
Par construction, les réseaux IP ont une totale autonomie pour se reconfigurer après un défaut. Les
routeurs redécouvrent les chemins permettant d'accéder aux autres sites du réseau et les paquets
peuvent être alors de nouveau acheminés correctement. Mais le temps de cicatrisation est celui de
la restauration.
Pour atteindre des seuils comparables aux réseaux TDM, les
réseaux par paquets ont défini des mécanismes de protection tels
que le Fast ReRoute (FRR) et le Resilient Packet Ring (RPR).
Le Fast Reroute fait partie des règles d'ingénierie (Traffic
Engineering) des réseaux de la famille MPLS (MultiProtocol Label
Switching). Ces réseaux définissent des routes (Label Switched
Path, ou LSP) que suivront les paquets IP avec entre autres
comme bénéfice l'optimisation des routes. La protection Fast
Reroute permet de définir un chemin de secours pour ces LSP.
En pratique, il n’y a pas un mais des chemins de secours.
En effet, le basculement de la voie normale vers la voie de secours suppose que les extrémités du
conduit aient la connaissance du défaut. Pour cela, il faudrait un système de messagerie de bout en
bout qui ne peut se faire que par l’envoi de paquets de signalisation. Le problème est que l’on ne
maîtrise pas le temps que le paquet prendra pour rejoindre les extrémités du conduit. Pire, dans des
situations de coupures, on ne peut même pas assurer que l’information parviendra à bon port.
C’est pour cela que la notion de « Local Repair » a été introduite.
Le trafic est ré-acheminé depuis les extrémités qui constatent le défaut. Il n’y a donc de messagerie
qu’entre sites connexes.
Par contre, pour que la protection soit effectivement rapide, la bande passante doit être réservée en
permanence comme dans le cas des protections TDM. Le principe du « Local Repair » impose donc
de réserver cette bande passante sur l’ensemble des tronçons intermédiaires qui permettent de
former les boucles autour des sites qui constatent le défaut. Le coût en bande passante s’en trouve
accru.
Notons enfin que la détection du défaut se fait par échange de messages réguliers entre les nœuds
(« Keep Alive »). Pour atteindre la protection en 50 millisecondes, une période de 5 millisecondes
est préconisée par l’IETF pour ces messages. Néanmoins l’application de ce chiffre génère tant de
fausses alarmes que les opérateurs effectuent cette surveillance toutes les 3 secondes. En effet, il
est en effet difficile d’éviter des engorgements dans les routeurs qui durent plusieurs centaines de
millisecondes.
Août 07
19/84
1.5
LE CONTROLE INFORMATISE DES DOCUMENTS D’IDENTITE
Auteur : Raphaël Rocher (SECALLIANCE) [email protected]
La fraude à l’identité est connue habituellement sous le nom de fraude documentaire. Si tout le
monde s’accorde sur son existence et son augmentation croissante, en revanche, il n’en existe
aucune évaluation publique. Tout au plus dispose–t-on de statistiques sur certaines constatations et
amendes infligées par les services répressifs qui prouvent un quasi doublement de la fraude entre
2003 et 2004.
Si la fraude porte principalement sur les documents d’identité, il est apparu qu’elle touche aussi les
livrets de famille et qu’elle peut s’appuyer sur des justificatifs peu sécurisés et aisément imitables
comme les quittances de loyer, de gaz et d’électricité, de téléphone, les fiches de paie.
Les raisons de l’augmentation de la fraude à l’identité peuvent résider dans le fait que les
populations pauvres des pays du Sud (Afrique), ou de l’Est mais aussi de Chine sont en recherche
d’un mieux vivre qu’ils espèrent trouver en Europe Occidentale, alors que dans le même temps, ces
mêmes pays « riches » restreignent l’immigration. De fait, selon le Ministère de l’Intérieur, il
résiderait en France entre 200000 et 400 000 immigrés en situation irrégulière (extrapolation faite en
2005 à partir des 150000 bénéficiaires de l’aide médicale d’Etat). Par ailleurs, les risques de
contrôles par des fonctionnaires de police spécialisés demeurent relativement faibles (La PAF
compte 8 400 fonctionnaires sur les 130 000 policiers).
Les conséquences de la fraude peuvent être multiples comme :
l’obtention indue d’un avantage social, l’acquisition frauduleuse d’un diplôme ou d’un résultat de
concours,
l’atteinte à la vie d’autrui dans le cas de la conduite d’un véhicule avec un faux permis de
conduire,
l’insolvabilité organisée (téléphonie mobile), le non-paiement des amendes (chemins de fer,
transports urbains12)
le vol (secteur de la location de voitures),
la volonté d’échapper à un contrôle ou à un refus de contracter comme ceux résultant de
l’inscription dans une base de données comme PREVENTEL13 ou le FNCI14.
la criminalité,
l’escroquerie : aux termes de l’Article 313-1 du Code Pénal, le fait de se servir d’un faux nom
peut être constitutif du délit d’escroquerie.
L’article 313-1 du Code Pénal stipule : « L'escroquerie est le fait, soit par l'usage d'un faux nom ou
d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres
frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son
préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à
fournir un service ou à consentir un acte opérant obligation ou décharge ». L'escroquerie est punie
de cinq ans d'emprisonnement et de 375 000 euros d'amende.
Dans un autre ordre d’idée, la protection de l’accès aux informations de l’entreprise ou d’un service
public passe d’abord par le contrôle des personnes qui entrent physiquement dans l’entreprise ou
12 Les agents préposés à ces contrôles sont plus chargés de relever l’identité que de la contrôler (ce qui reste
une compétence « Police »).
13 Fichier des débiteurs des opérateurs de téléphonie.
14 Fichier National des Chèques Impayés
Août 07
20/84
dans l’enceinte administrative. Si la base juridique de ce contrôle d’accès n’est pas toujours codifiée,
il n’en demeure pas moins que le bon sens et le minimum dans le domaine de la sécurité (y compris
la sécurité informatique) s’appuie sur le filtrage et le contrôle d’accès physique des personnes
extérieures aux locaux privatifs de l’entreprise ou dudit service administratif. On conçoit alors
l’importance de la maîtrise du contrôle des documents d’identité déposés par les visiteurs au
moment où ils accèdent aux locaux.
1.5.1
Les documents d’identité
Une étude particulièrement intéressante existe : il s’agit du Rapport n°439 du Sénat (Mr Jean-René
LECERF).Il date du 29 Juin 2005.
La première donnée importante de ce rapport d’information est l’affirmation qu’ « il n’existe aucun
texte législatif ou réglementaire énumérant les documents valant pièces justificatives d’identité ». Il
en résulte que chaque autorité administrative ou chaque chef d’entreprise fixe de sa propre initiative
les documents qu’il considère comme probants au regard du contrôle d’identité.
Par ailleurs, la justification d’identité lors d’un contrôle de police, conformément à la circulaire
d’application15 de l’article 78-2 du Code de Procédure Pénale, s’effectue par la présentation d’un
document officiel comportant une photographie, ou toutes autres pièces probantes ou par
témoignages de tiers.
La carte nationale d’identité
Elle a été créée par le Décret 55-1397 du 22 octobre 1955. C’est le seul document officiel qui
permet de certifier l’identité de son porteur. Elle est strictement personnelle mais reste propriété
de l’Etat. Elle a une durée de validité de 10 ans. Elle vaut également acte de naissance et
certificat de nationalité française (décret n°2000-1277 du 26 décembre 2000).
Le passeport
C’est un document international de voyage. Il permet de faire la preuve de son identité et de sa
nationalité. Il est également valable 10 ans. Il est aussi propriété de l’Etat. On se réfère aux
normes édictées par l’Organisation de l’Aviation Civile Internationale et particulièrement à la
norme ICAO 9303. Cette norme définit pour les Etats Membres de cette institution spécialisée
de l’ONU la forme et le contenu du document de voyage notamment la zone lisible par une
machine (piste MRZ) et dans le cadre des nouveaux documents biométriques, le contenu de la
puce.
Les autres documents
Le permis de conduire est un document qui autorise son titulaire à conduire un type de véhicule
terrestre. Il a une durée de validité illimitée. Pour le contrôle d’identité, nous préconisons le
refus de ce document eu égard à la faiblesse de ses sécurités internes (en particulier pour les
permis de conduire anciens) et au nombre présumé de faux en circulation dans notre pays (2,7
Millions sur 42 Millions selon la presse). Le nombre de faux est d’ailleurs en progression
certaine en raison de plusieurs facteurs :
•
faible taux de réussite à l’examen : 45 % seulement des candidats,
•
coût de l’examen : estimé à 1000 euros ,
•
perte des 6 ou 12 points,
•
coût d’une contrefaçon : entre 300 et 3000 euros.
20 000 personnes ont été condamnées par les tribunaux pour défaut de permis en 2002. 57 000
procès verbaux pour défaut de permis ont été dressés en 2002. Selon le ministère des Transports, le
15 11 décembre 1995
Août 07
21/84
nombre de conducteurs verbalisés pour conduite sans permis ou avec un faux document aurait fait
un bond de 60 % en 2003 par rapport à 2002
(source : http://www.france5.fr/cdanslair/006721/75/120303.cfm).
Le fait de posséder un faux permis de conduire est depuis Mars 2004 un délit passible de 15000
euros d’amende 16.
Pour les autres documents existants, on peut se référer à l’article R. 60 du Code Electoral et à
l’arrêté du 16 octobre 2006, aux termes desquels, les électeurs peuvent présenter, outre la CNI et le
passeport :
la carte du combattant de couleur chamois ou tricolore,
la carte d’invalidité civile ou militaire, avec photographie,
la carte d’identité de fonctionnaire avec photographie,délivrée par le directeur du personnel
d’une administration centrale, par les préfets ou par les maires au nom d’une administration de
l’Etat,
la carte d'identité ou carte de circulation avec photographie délivrée par les autorités militaires,
le permis de conduire,
le permis de chasser avec photographie.
Eu égard à l’absence de base de données permettant de s’assurer de la conformité du document
présenté quant à sa forme et quant à ses sécurités internes, l’acceptation de ces documents doit se
faire avec beaucoup de prudence.
Pour la poursuite de cette note, nous nous restreignons donc volontairement aux documents
suivants :
les cartes nationales d’identité auxquelles nous ajoutons les titres français de séjour et de
résidence,
les passeports (ainsi que les visas Schengen collés sur ces passeports).
1.5.2
Les bases légales du contrôle d’identité
Les bases juridiques sont différentes selon que celui qui met en œuvre ce contrôle appartient au
secteur public ou au secteur privé.
Ces bases, pour le secteur public et pour le secteur privé, sont décrites dans l’annexe 1.
1.5.3
La fraude documentaire
On distingue généralement 5 cas :
La contrefaçon d’un document
La falsification d’un document
L’usurpation de documents
Reproduction d’un document authentique. Il s’agit donc
d’un faux. Il peut être obtenu à partir d’un document volé
vierge et dans ce cas, seul le support est authentique.
Modification d’un document authentique : changement de
photographie, altération d’un nom, d’une date de
validité….
Utilisation du document d’une autre personne sans
16 Loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité, dite « loi Perben
II ».
Août 07
22/84
Obtention indue d’un document
Le document de fantaisie
modification ou avec simplement le changement de la
photo
Vrai document obtenu avec des justificatifs inapplicables
Document qui n’existe pas. Voir le WEB pour « World
Service Authority « ou « International Exit Visa »17.
Le contrôle assisté par ordinateur est impuissant devant l’obtention indue d’un document car celui
qui est à analyser est réellement un document authentique exempt d’irrégularités. A ce titre, la
biométrie qui est introduite dans la puce des nouveaux passeports n’est probante que si la personne
à qui on remet un nouveau document de voyage est réellement la personne reprise sur le document
et non un tiers. La vérification approfondie de l’identité doit précéder la prise de la photographie du
visage ou la prise d’empreintes digitales.
1.5.4
Le contrôle des documents d’identité assisté par ordinateur
La vérification d’un document d’identité procède à notre sens d’un système construit sur les bases
suivantes :
un équipement approprié,
un logiciel spécifique,
des bases de données de référence,
une formation,
une procédure interne de remontée des alertes,
une mise en conformité des traitements envisagés vis-à-vis des règles de la CNIL.
1.5.4.1 L’équipement
L’équipement de lecture des documents d’identité est un scanner (ou numériseur) à capture CCD
capable de lire en moins de 5 secondes le document à plat, dans n’importe quelle position (endroit,
envers, de travers) et disposant de base de 3 éclairages : visible, infra-rouge et ultra-violet.
Lumière visible : capture de l’image du document (page de données personnelles),
Lumière infra-rouge : contrôle de conformité des encres utilisées,
Lumière ultra-violette : contrôle de la nature fiduciaire du papier support du document analysé,
contrôle de présence et de conformité des caractéristiques de sécurité.
Il peut en option disposer d’un éclairage rasant pour la recherche des grattages et coupures dans le
film de protection des données personnelles.
Il devra aussi être doté d’un lecteur de puces RFID pour la lecture des nouveaux documents de
voyage18 afin de s’assurer de la conformité entre les informations « en clair » sur le document et
celles contenues dans la puce.
On peut attacher à cet équipement un microscope – caméra pour le contrôle à l’écran de la
présence et de la conformité des micro-impressions19, la nature des procédés d’impression (jet
17 Ne faites surtout pas l’erreur de les commander même pour la curiosité. Vous ne recevrez jamais rien.
18 L’équipement peut ne servir qu’à informer le citoyen du contenu de la puce incluse dans un nouveau
passeport biométrique au moment de sa délivrance. On n’a pas à ce moment à douter de sa conformité
formelle.
Août 07
23/84
d’encre, laser, offset, transfert thermique), la nature de la police de caractères, les zones à risques
(photo, les mentions du cachet humide).
1.5.4.2 Le logiciel spécifique
Il doit pouvoir lire20 les documents (OCR21), ce qui nécessite parfois l’ajout de « patchs
spécifiques » à certains pays : par exemple, le chiffre zéro peut, suivant les pays d’émission se
rapprocher de la lettre « O ».
Il doit pouvoir lire les codes barres 2 dimensions (PDF 417), certains Etats recourant à cette
technologie au lieu et place des puces.
Il doit décoder la piste MRZ (ligne du bas de la CNI, du passeport, des titres du séjour, des visas
Schengen) et effectuer les calculs de sécurité apropriés.
Il doit indiquer des incohérences : dates périmées, incompatibilité entre les chiffres et les lettres,
entre le verso et le recto …
Il doit permettre en cas de doute l’envoi des images à un niveau de décision supérieur.
1.5.4.3 Les bases de données de référence
Il existe une base de données des documents de voyage de référence. Elle permet de s’assurer de
la réalité du document présenté et d’en connaître certaines sécurités.
Mais, en fonction de la nature de l’exploitant, et sous couvert des autorisations réglementaires, il
peut être adjoint une base de données des procédés de fraude et une liste des numéros des
documents volés vierges. L’exploitant se tient ainsi informé de la pertinence d’une sécurité afférente
à un document.
1.5.4.4 La formation
L’équipement apporte une aide à la décision. L’œil humain a aussi son rôle à jouer et le contrôleur
documentaire devra aussi prêter attention à :
la présence des images latentes,
la réalité des impressions en OVI (Optical Variability Ink22),
la fluorescence du document sous UV (un filigrane ne doit jamais fluorescer. Mais, certains
pays ont des documents authentiques qui sont fluorescents sous UV : la CNI de Grèce),
la présence d’incohérences (exemple : Mention : « République de Belgique »).
1.5.4.5 Une procédure interne
L’équipement travaille vite. Cependant, en cas de doute, il faut pouvoir réagir aussi rapidement en
remontant le dossier à un niveau interne supérieur qui pourra actionner par exemple les
fonctionnaires locaux de la PAF (une centaine sur le territoire français) ou de la Gendarmerie.
19 La signature du graveur de la carte d’identité sur le verso de la CNI, la ligne « République Française » sur le
verso de la CNI, tous les « traits » droits du passeport français, le carré de la Carte VISA, les lignes droites d’un
chèque bancaire français…
20 La police de caractère est spécifique. Si le scanner ne peut la lire, il y a un risque de se trouver face à un
document suspect.
21 Optical Character Recognition
22 Encre à variation optique. Elle change de couleur en fonction de la position du document.
Août 07
24/84
1.5.4.6 L’avis de la CNIL sur ce type d’équipement
La CNIL ne s’oppose pas à la mise en œuvre d’un tel équipement tant qu’il n’est utilisé que pour
améliorer le contrôle du document d’identité. Cependant, elle écrit le 27 mars 2007 dans la réponse
à la demande de conseil d’un concepteur de ce type d’équipement en France :
« Les éléments collectés à partir des documents d’identité, à savoir nom, prénom, sexe, adresse,
date et lieu de naissance, conduisent à la constitution d’un traitement de données à caractère
personnel au sens de l’article 2 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004. La mise
en œuvre d’un tel traitement devra être précédée de l’accomplissement des formalités préalables
définies par les articles 22 à 31 de la loi susvisée.
La CNIL examinera ces traitements, en fonction de leurs caractéristiques, et le cas échéant, au
regard des dispositions législatives et réglementaires en vigueur ».
Donc, s’il y a collecte et intégration des données numérisées dans un programme de gestion
d’abonnements, de gestion des entrées-sorties…, la CNIL devra être saisie.
1.5.5
Conclusion
L’insertion dans un dispositif physique de contrôle d’accès de la pièce d’identité peut permettre de
s’affranchir de la création de titres divers supplémentaires que l’on invente pour des besoins
particuliers (carte de fidélité, cartes professionnelles….).
Il peut ainsi être conçu des bornes ou des « e-gates » parachevant 2 contrôles parallèles :
le contrôle de la pièce d’identité (fichier des ayant droits à l’accès au site)
le contrôle de conformité du visage du détenteur avec le visage préalablement enrôlé dans une
base de données centralisée, cette technologie sans contact étant plus susceptible d’être
acceptée par la CNIL, la règle des règles étant que la mesure adoptée doit être proportionnée
au but sécuritaire recherché.
Additionnant ce que l’on détient (le document) et ce que l’on est (le visage), l’authentification forte
est réalisée. Elle pourrait être parachevée par la frappe d’un code pour obtenir l’authentification
parfaite (ce que l’on sait).
Il reste qu’il n’y a pas de sécurité à 100% et qu’il existera toujours des faux et des faussaires.
Souhaitons simplement que leur talent ne serve pas la criminalité.
Août 07
25/84
2
LES RESEAUX SANS FILS
2.1
IMPLEMENTATION D’UNE ARCHITECTURE WI-FI SECURISEE
Auteur : Gerald Kembellec (Université PARIS 8) [email protected]
2.1.1
Quid Wi-Fi ?
Ces quelques pages n’ambitionnent pas de faire un exposé théorique sur le Wi-Fi, hors propos dans
cet ouvrage. Il s’agit plutôt ici de donner un aperçu de ce que le Wi-Fi peut apporter aux collectivités
et de la manière de l’implanter. L’autre but de ces quelques pages est de démontrer que la sécurité
informatique n’est pas à prendre à la légère, surtout dans le cadre d’une technologie émergente.
Parfois par besoin, parfois par curiosité, snobisme ou par phénomène de mode, les DSI choisissent
de « passer au Wi-Fi », de franchir le cap technologique du « sans fil ». Cette décision
s’accompagne d’une multitude de questions posées par les choix techniques pour les DSSI.
Espérons que cet essai permettra aux DSI ou aux chargés de mission TICE de choisir une méthode
d’implémentation sécurisée du Wi-Fi, plutôt que de générer une faille de sécurité.
2.1.1.1 Brève Introduction au Wi-Fi
Un peu de technique
Ce paragraphe se propose d’être une toute petite introduction technique à ce que l’on appelle le
« Wi-Fi », cela peut intéresser les techniciens et ingénieurs, les DSSI des collectivités mais risque
d’être un peu rébarbatif (voire hermétique) aux non initiés.
La norme IEEE 802.11 (ISO/IEC 8802-11) est un standard international décrivant les
caractéristiques d'un réseau local sans fil (WLAN). Le nom Wi-Fi (contraction de Wireless Fidelity,
parfois notée à tort WiFi) correspond initialement au nom donnée à la certification délivrée par la WiFi Alliance, anciennement WECA (Wireless Ethernet Compatibility Alliance), l'organisme chargé de
maintenir l'interopérabilité entre les matériels répondant à la norme 802.11. Par abus de langage, le
nom de la norme se confond aujourd'hui avec le nom de la certification, et par extension également
avec la technologie employée. Ainsi un réseau Wi-Fi est en réalité un réseau répondant à la norme
802.11. Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fils pour une zone définie.
Dans la pratique, le Wi-Fi permet de relier des ordinateurs portables nomades, des ordinateurs de
bureau dotés d’interfaces de communication sans fil23, des assistants personnels ou tous types de
périphériques à une liaison haut débit (11 Mbps ou supérieur) sur un rayon de plusieurs dizaines de
mètres en intérieur. Cette marge est généralement définie entre une vingtaine et une cinquantaine
de mètres en intérieur selon les interférences, l’épaisseur des murs et l’armature du béton. En
environnement ouvert, ou en extérieur, la zone de couverture s’étend théoriquement sur un rayon
d’une centaine de mètres à quelques kilomètres selon la norme utilisée.
La norme 802.11 dans le cadre du Wi-Fi, couches physique et liaison de données, dans la figure qui
suit s'attache à définir les couches basses du modèle OSI pour une liaison sans fil utilisant des
ondes électromagnétiques [Michel Terré] :
23 Nous entendons ici par « interface de communication sans fil » les adaptateurs Wi-Fi USB, les cartes
PCMCIA ou PCI. Ces périphériques permettent à un ordinateur qui ne possède pas nativement une interface
réseau sans fil de se connecter à une borne.
Août 07
26/84
La couche application
La couche présentation
La couche session
La couche transport
La couche réseau
la couche liaison de données
le contrôle de la liaison logique (Logical Link Control, ou LLC)
le contrôle d'accès au support (Media Access Control, ou MAC)
la couche physique.
FHSS,
DSSS (Direct-Sequence Spread Spectrum)
HR/DSSS (High Rate DSSS) ou IEEE.802.11b
Wi-Fi 5 ou IEEE 802.11a et le quasi identique IEEE 802.11g
IR
Implémentation du Wi-Fi dans le modèle OSI
2.1.1.2 Pourquoi utiliser le Wi-Fi ?
L’avantage majeur d’une architecture Wi-Fi est qu’une fois installée, l’ajout d’utilisateurs et de postes
clients ne nécessite aucune modification de l’infrastructure, contrairement à un réseau Ethernet
câblé. Un réseau classique, s’il doit être modifié coûte cher. Le câblage d’une salle en courant fort /
faible, la pose de goulottes, nécessitent du temps et l’intervention d’une entreprise extérieure. Cette
intervention, ajoutée au prix déjà élevé du matériel, engendre des coûts qui peuvent se révéler
prohibitifs pour un budget serré.
L’autre avantage pour les utilisateurs nomades est que l’accès à l’intranet (et à Internet) de la
collectivité ne sera plus soumis à la connexion par une passerelle via un commutateur, au travers
d’un câble. Imaginons le cas d’un cadre qui doit consulter une base de données pour répondre à une
question lors d’une réunion. Les salles de réunions intègrent généralement un vidéoprojecteur, mais
sont rarement câblées. Si la salle est à proximité d’un AP (point d’accès Wi-Fi) connectée à
l’intranet, la requête passera sans problème, à condition que les règles de sécurité le permettent. Le
cadre peut également synchroniser son compte utilisateur avec le serveur de stockage à tout
moment pour éviter les pertes de données dues aux vols ou à la destruction de son ordinateur ou
Smartphone. Dans le cadre d’un réseau urbain, un ingénieur pourra avoir accès de manière nomade
à toutes sortes d’informations utiles, tels des plans ou des relevés topographiques, des études de
sols via son ordinateur portable ou son PDA lors d’un rendez-vous de chantier.
Notons qu’il existe quelques fournisseurs d’accès Internet sans fil, mais uniquement sous contrainte
d’abonnement et dans les grandes villes. Ces solutions qui ne nécessitent pas d’infrastructure (du
point de vue du client) vont certainement se démocratiser et se généraliser dans les années à venir.
Cependant, à l’heure actuelle ce type de liaison reste marginal.
2.1.1.3 Les solutions alternatives
Dans le cadre d’un intranet
Les architectures câblées classiques permettent un minimum de nomadisme. En effet, si toutes les
salles de travail de l’infrastructure sont équipées d’une armoire de brassage, de goulottes courant
Août 07
27/84
faible et de sockets RJ45, un utilisateur doté d’un ordinateur portable peut se connecter à l’intranet
sur tout le site. Dans ce cas, rien n’empêche un élément extérieur de se connecter physiquement et
perturber le trafic, voire de tenter de subtiliser des informations. Outre le problème de sécurité posé
par ce modèle, le coût en est prohibitif.
Dans un cadre d’utilisation mobile
Les solutions de téléphonie mobile « tout en un » permettent un accès internet via le WAP. Ces
téléphones utilisent les opérateurs pour accéder aux services internet, et aux courriels. En plus de la
lenteur de ce système, il faut garder à l’esprit que l’on confie la sécurité des opérations à une
entreprise extérieure et que cela a un coût...
Les Smartphones comme le Blackberry de RIM, sont une solution intéressante pour l’échange de
données de faible volume, typiquement les synchronisations et les messages flash. Selon Daniel
Jouan, Directeur commercial RIM France, lors du forum de sécurité Atena du 26 juin 2007 sur la
sécurité des smartphones : « Si l’on pose que le centre de données est sécurisé, alors l’échange
sera sécurisé. Tout échange de données effectué entre le Blackberry Enterprise Server, situé au
sein du réseau local de l’entreprise, et le terminal Blackberry, s’effectue au travers d’un chiffrement
symétrique de bout en bout. Blackberry Enterprise Server utilise un chiffrement standard en AES
256 bits pour la transmission sans fil et la protection des données stockées sur le terminal. AES est
une technologie de chiffrement mondialement reconnue pour sa robustesse et fournit la protection la
plus forte pour les données et les connexions SSL standard utilisées pour le commerce électronique
et la banque en ligne ».
Depuis 2004, le Ministère de l'Economie, des Finances et de l'Industrie a pris la décision d'équiper
ses collaborateurs de terminaux mobiles de messagerie électronique. Souvent en déplacement en
dehors du Ministère, ces derniers doivent en effet pouvoir être joints en permanence. Des avis
contradictoires ont circulé dans la presse sur la fiabilité du système de sécurité du Blackberry depuis
l’article du Monde du 20 juin 2007.
Depuis 2005, l’utilisation des Blackberry était interdite par la DCSSI (Direction centrale de la sécurité
des systèmes d’information). Cette interdiction a été réaffirmée en juin 2007... Le problème n’est pas
le terminal, ni la sécurisation des données lors de la transmission entre le terminal et les serveurs
disposant d’un chiffrement de haut niveau. La complication vient de l’obligation de passer par des
serveurs de la société RIM se trouvant hors du territoire français. Ces serveurs pouvant faire l’objet
d’une surveillance par des services de renseignements sans que nous puissions en avoir
connaissance [Monville].
Permettant d'accéder de partout au système d'information en vue de garder un œil sur ses mails et
être alerté en cas de problèmes, les terminaux mobiles connectés constituent une aide précieuse,
notamment pour les DSI "nomades", amenés à se déplacer souvent entre plusieurs sites distants.
Les appareils mobiles de type smartphone, intégrant la téléphonie, constituent un bon complément à
l'ordinateur portable, plus volumineux, mais qui se révèlera indispensable pour accéder à distance
aux applications de pilotage. [Debise]
2.1.1.4 Quels sont les risques inhérents au Wi-Fi ?
Le risque majeur lors de l’utilisation d’un réseau sans fil est le piratage informatique. Dans une
moindre mesure, l’occupation du réseau par des « cyber squatters » pose des problèmes de bande
passante. Rappelons aussi que le titulaire de la ligne connectée au FAI (fournisseur d’accès
Internet) est responsable des actions effectuées qui se font à partir de son réseau. Il est de notoriété
publique que le piratage d’un réseau sans fil est d’une difficulté moindre pour un « hacker » de
base ; qu’en est-il réellement ?
Août 07
28/84
Dans un réseau sans fil « non sécurisé » le pirate n’a qu’à scanner24 le réseau sans fil pour
découvrir l’étendue du terrain de jeu qui s’offre à lui, particulièrement dans le cadre des portables
ayant le système d’exploitation Microsoft installé avec des options de partages de dossiers ou de
bureau virtuel. Dans ce cas, une fois le réseau scanné par une suite logicielle « d’audit de sécurité »
comme le live-cd25 Backtrack, le pirate peut à loisir consulter, voire modifier des bases de données.
Cet utilisateur indélicat pourra interagir avec les machines clientes, copier voire effacer des données,
introduire des logiciels malveillants et ainsi provoquer des pannes système ou réseau.
Même dans le cadre d’une infrastructure Wi-Fi dite sécurisée, il faut impérativement garder en
mémoire que ce qui est sécurisé aujourd’hui ne le sera nécessairement plus demain. Il faut choisir
du matériel évolutif ou en changer régulièrement, de même que le facteur humain compliquant
inévitablement le travail de l’administrateur réseau, les clés WEP ou WPA seront à modifier
régulièrement si l’on veut éviter que notre point d’accès haut débit sécurisé ne devienne un « hot
spot » lent et encombré, plate-forme de téléchargement peer to peer26 ou de piratage.
Après un entretien avec la chargée de mission TICE de la mairie de la ville de Saint Denis (93), il est
apparu qu’il y ait eu de fortes réticences de la part d’associations relativement à la santé publique
quant à l’installation du Wi-Fi en milieu scolaire. Cela peut prêter à sourire, mais il faut cependant
tenir compte de la suspicion planant sur les nouvelles technologies en général, plus particulièrement
celles ayant trait aux ondes. La polémique sur le téléphone portable, rappelons le, n’est pas encore
close. L’amalgame entre les technologies est rapidement fait, donc à moins de pouvoir fournir aux
interlocuteurs sociaux des études prouvant le moindre impact du Wi-Fi sur la santé, peut être vaut-il
mieux communiquer avec les partenaires associatifs avant de lancer un projet qui risque de vider
une école ou une bibliothèque.
2.1.2
La stratégie de mise en œuvre
2.1.2.1 L’étude du terrain, des besoins
Selon la taille de la collectivité, l’infrastructure existante, les besoins ne seront pas les mêmes. La
première étape consiste à recenser les besoins et la sensibilité des données consultées. Il est
évident que l’accès à l’Internet d’une bibliothèque municipale au sein d’une commune de 10000
habitants ne va pas poser les mêmes problèmes que l’accès aux comptes utilisateurs des cadres
d’une administration dans une grande ville. Une fois les besoins établis en termes de volume et de
sensibilités de données, il convient de définir la ou les zones de couverture du réseau. Il existe en
effet plusieurs types de réseau selon la superficie traitée.
Les WPAN (Wireless Personal Area Network) s’étendent de 1 à 30 mètres. Ils seront à privilégier
dans les écoles, les bibliothèques et les mairies de petites tailles. Le coût est modique en terme
d’infrastructure puisque une simple borne / routeur est nécessaire. La sécurité est sommaire, le seul
risque étant l’utilisation inappropriée de la bande passante.
Les WLAN (Wireless local Area Network) s’étendent de 20 mètres à 2 kilomètres. Ce sont des
réseaux locaux. Les différentes bornes sont connectées à un concentrateur, ou un commutateur, et
relaient les requêtes vers Internet ou l’Intranet du service, le plus souvent des serveurs de bases de
données. On commence réellement à parler de sécurité informatique et d’infrastructure coûteuse
pour un WAN. Il faut un minimum d’ingénierie pour choisir la topologie du réseau, le mode
24 Scanner un réseau consiste à recenser l’ensemble des éléments matériel et des services qui composent
ledit réseau.
25 Un live cd est un système d’exploitation, souvent linux, qui ne nécessite pas d’être installé. L’ordinateur
démarre automatiquement à partir du cd, et s’auto-configure.
26 Le peer to peer, ou p2p est un mode de partage de fichiers entre deux machines, le plus souvent de la
musique et des vidéos piratées. Les logiciels les plus connus sont kazaa et emule.
Août 07
29/84
d’authentification, et le câblage servant à interconnecter les éléments actifs du réseau. Précisons
que le « sans fil » ne s’applique qu’aux postes clients et pas à l’infrastructure de matériel actif. Il faut
également un local fermé (au minimum une armoire de brassage) pour stocker les coûteux éléments
et éviter le vol ou le piratage. Le WLAN trouve donc son utilisation dans le cadre d’une mairie d’une
ville de taille moyenne avec des bâtiments délocalisés ou répartis. Il faut commencer à définir des
règles de sécurité et des profils utilisateurs.
Les WMAN (Wireless Metropolitan Area Network) s’étendent sur une agglomération, même de
grande taille, c'est-à-dire plusieurs kilomètres. Ils sont destinés à couvrir des villes entières. Un
exemple de WMAN implanté dans une grande ville française est le réseau ouvert de Nantes qui
couvre une bonne partie de la ville. Il s’agit ici d’un maillage de hot spots organisé par une
association dont la vocation est l’accès à l’Internet gratuit pour tous. Les WMAN peuvent être utilisés
pour connecter des utilisateurs nomades à un serveur central, ce qui est déconseillé pour des
raisons de sécurité. Les données cryptées portées par ondes peuvent être captées et stockées pour
un décryptage et une interprétation ultérieure.
Nous ne traiterons pas ici du Wimax, complémentaire du Wi-Fi dans les zones rurales, car il ne s’agit
pas de la même norme sans fil (802.16 pour le Wimax). [Thaureaux]
2.1.2.2 Etude de champ et choix du matériel
L’étude de champ consiste à effectuer des mesures avec du matériel adapté dans la zone que nous
désirons couvrir avec du Wi-Fi pour connaître le nombre de bornes nécessaires, le type d’antenne,
et surtout leur emplacement optimal. Ce travail est le plus souvent traité en externe par une société
spécialisée.
AP / Routeur
Antenne
directionnelle
Antenne
plafond
AP
classique
Serveur de
stockage Wi-Fi
Interconnecte un
WPAN avec un
autre réseau ou
directement à
internet
Se connecte à
une AP et
concentre la
puissance dans
une direction
Se connecte à
une AP et
diffuse le signal
dans toute une
pièce
Le point d’accès
classique, se
connecte à un
matériel actif
comme un routeur
Peut permettre de
partager des
fichiers dans les
WLAN et WPAN
Exemples de matériels sans fils
Exemple de couverture d’une zone de bureaux réalisée pour ne laisser aucune zone sans
couverture, mais également ne pas « inonder » les zones avoisinantes.
Août 07
30/84
Positionnement des Points d’accès
2.1.2.3 Mise en place d’une politique de sécurité
Un système informatique, si perfectionnée que soit sa sécurité, n’est jamais à l’abri d’une
« bourde ». La négligence de l’administrateur et la nonchalance des utilisateurs ont des effets
dévastateurs en matière de sécurité. Sans sombrer dans la paranoïa, un administrateur doit garder
la loi de Murphy à l’esprit.
La sécurité physique des éléments
Les éléments actifs et les serveurs d’un réseau informatique doivent impérativement être sous clés
soit dans une pièce, soit dans une armoire conçue à cet effet. Cela tombe sous le sens, mais il est
courant de voir un commutateur sur une table sans aucune protection. Ces éléments servant à
orienter les flux de données et à les filtrer, rien n’empêche alors un « hacker potentiel » de modifier
lesdites règles, ou encore de voler des informations.
La charte des utilisateurs
Les utilisateurs de moyens informatiques ont tendance à prendre des libertés avec ce qui est légal et
ce qui ne l’est pas, particulièrement sur le lieu de travail. Il convient que l’administrateur système,
l’équipe de direction, et le service juridique rédigent une « charte d’utilisation des moyens
informatiques ». Dans cette charte informatique, un bref rappel de la législation en matière de P2P,
d’accès frauduleux et de modification de données, pourra côtoyer des règles de bonnes conduites et
informer des sanctions légales applicables. Il est également toujours bon de préciser qu’un compte
utilisateur personnel est incessible.
Modifier les valeurs par défaut des équipements
Lors de la première installation d'un point d'accès, celui-ci est configuré avec des valeurs par défaut,
notamment en ce qui concerne le mot de passe de l'administrateur. Il est donc impératif de se
connecter à l'interface d'administration. Celle-ci peut être en ligne de commande via Telnet ou SSH,
voire graphique via un serveur web intégré. Une fois connecté, il convient de désactiver les fonctions
inutiles et de définir un mot de passe d'administration. Le filtrage MAC, par exemple, ralentira un
pirate équipé d’un ordinateur qui ne permet pas la modification de l’adresse physique. Si possible, il
est plus sécurisé de confier le service de DHCP à un serveur autre que la borne elle-même.
Correctement configuré un serveur DHCP peut attribuer une adresse IP en fonction de l'adresse
MAC.
Août 07
31/84
Activer les fonctions WEP ou WPA
La protection offerte par une clé WEP ou WPA est suffisante pour sécuriser un réseau informatique
qui ne contient pas de données vitales et confidentielles, c'est-à-dire une connexion internet
domestique. Pour une solution réseau professionnelle, c’est nécessaire mais plus suffisant, et ne
pas activer le niveau maximum de sécurité serait un manquement impardonnable. Une clé WEP ou
WPA peut être un obstacle long à contourner avant d’arriver à une sécurité plus avancée. Et en
matière de piratage informatique le facteur de temps est déterminant.
Cependant dans le cas d’une école à relier à l’Internet, une clé WPA associée à une borne
convenablement configurée devrait suffire. A défaut, sur un point d’accès plus ancien qui ne gère
pas le WPA une clé WEP de 256 bits, ou à défaut de 128 bits, devrait éprouver la motivation d’un
cyber squatter.
2.1.3
Étude de cas : Authentification par portail et LDAP
2.1.3.1 Qu’est ce que LDAP ?
LDAP est un mot à la mode, que cache t-il exactement derrière cet acronyme? LDAP est un
annuaire qui permet de stocker des informations sur des personnes. Un serveur d’annuaire fournira
au mécanisme d’authentification les informations requises sur l’utilisateur, comme ses droits, son
mot de passe. Techniquement cette technologie s’appuie sur un système de hiérarchie et d’héritage.
Schéma LDAP classique
2.1.3.2 Modélisation par l’exemple d’un schéma LDAP adapté
Définition des classes et attributs
Il appartient aux collectivités de définir leur propre classe, en s’inspirant des modèles existants. Dans
le cas suivant, cinq classes préexistantes ont été utilisées pour créer le modèle. L’exemple fait état
d’un travail réalisé dans une université : Les classes en gras sont des classes génériques, et les
autres sont spécifiquement adaptées à l’éducation secondaire. Les établissements de
l’enseignement supérieurs possédent une norme LDAP : la classe SUPANN.
objectClass:
objectClass:
objectClass:
objectClass:
objectClass:
Août 07
Person
inetOrgPerson
supannPerson
eduPerson
posixAccount
32/84
Ces classes sont décrites dans des fichiers schéma éponymes consultables sur le site du groupe de
travail
sur
les
annuaires
dans
l'enseignement
supérieur
à
l’adresse
suivante
http://www.cru.fr/ldap/supann/. Un objet est une collection d’attributs. La structure d’un fichier
objet .schema est relativement simple au niveau conceptuel ; il s’agit de faire un inventaire des
attributs de l’utilisateur LDAP. Ces attributs peuvent être des droits d’utilisation, un nom, un login ou
encore un mot de passe.
Visualisation d'un utilisateur LDAP de la norme SUPANN
2.1.3.3 Authentification et sécurité
Portail VS canal crypté
La principale difficulté réside dans l'authentification... Pour remédier à ce problème sont apparus les
portails captifs. Avec ce type de système un utilisateur qui se connecte au réseau pour la première
fois est dirigé (capté) vers une page d'authentification. Une fois authentifié le système autorise
l'accès au réseau. Il existe des solutions logicielles basées sur des mécanismes de sécurité
éprouvés, notamment le protocole SSL employé sur internet pour les paiements bancaires. Les
transmissions entre le client et la passerelle sont chiffrées. L'identité d'un utilisateur ne peut être
usurpée.
Il existe également des matériels actifs dédiés à cette tâche, mais dont le coût est encore élevé. La
figure ci-après illustre la configuration d’un de ces portails pour le coupler à une base
d’authentification LDAP. Une fois authentifié, l’utilisateur à accès aux applications disponibles sur le
réseau.
Août 07
33/84
Interface de configuration d'un portail captif
Une autre méthode consiste à créer un réseau privé virtuel entre le client et un serveur. Après une
authentification PPP, le serveur créera un canal privé crypté à travers duquel toutes les applications
transiteront. Le problème de cette méthode est que le canal n’est sécurisé qu’une fois
l’authentification effectuée, sauf si le cryptage a lieu sur le client.
2.1.3.4 La sécurisation de l’authentification
Passons à la sécurisation de la liaison entre le serveur LDAP et le portail captif. Nous utilisons
EAP/TLS entre le serveur LDAP et le portail. L’idéal serait d’utiliser un serveur LDAP secondaire en
DMZ, ce qui augmenterait la sécurité et la robustesse du système mais augmenterait les coûts. La
page d’accueil du portail, celle proposant l’authentification est protégée par SSL, certifiée par un
organisme indépendant de signature. Ca-cert par exemple propose ce service gratuitement sur
http://www.cacert.org.
Quelques définitions 27 :
TLS:[protocole] Transport Layer Security.
Protocole de sécurisation de la couche transport, défini par la RFC 2246.
La version 1.0 de TLS est en fait SSL v3
EAP: [protocole] Extensible Authentication Protocol.
Extension de PPP définie par la RFC 2284 et permettant l'authentification
des utilisateurs du lien selon de nombreuses méthodes possibles
(Kerberos, mot de passe jetable, PKA, etc.).
SSL: Secure Socket Layer. Sockets sécurisées utilisées principalement par le couple serveur web /
navigateurs pour garantir la confidentialité des données.
27
Août 07
Définitions tirées de l’OpenGroupware-Debian-French-HOWTO de Christophe Nowicki
34/84
2.1.3.5 Schéma global du réseau sans fil proposé
Couplage du serveur LDAP et du portail d’authentification
Plan d'un réseau Wi-Fi sécurisé
Lors de la connexion d’un client Wi-Fi à un point d’accès, l’utilisateur est dirigé par la borne vers le
portail captif. Le portail captif demande alors une authentification avec login et mot de passe via une
interface sécurisée HTTPS. Une requête sécurisée EAP/TLS est alors émise vers le serveur LDAP
depuis le portail. Une fois l’utilisateur authentifié avec succès, ses droits seront connus, alors les
règles de filtrage et de routage seront établies dynamiquement par le portail captif. Ainsi certains
utilisateurs auront le droit de se diriger vers internet en HTTP, d’autres auront accès à l’intranet via
SSH par exemple.
2.1.4
Conclusion
Ces quelques pages ont peut être aidé les décideurs des collectivités à cerner le type
d’infrastructure Wi-Fi qui leur convient en fonction de leurs besoins. Il existe bien sûr des alternatives
pour accéder à son intranet lors des déplacements, mais en utilisation locale il serait dommage de
se passer des avantages proposés par le Wi-Fi en termes de débit et de souplesse.
Il existe un panel de méthodes pour sécuriser un réseau Wi-Fi. Garder à l’esprit que la sécurité d’un
réseau passe par chaque étape de sa réalisation, de sa conception à son paramétrage, en passant
par son implémentation. La solution proposée ici a été implémentée, mais ce n’est pas un Template
à plaquer dans toutes les situations. Il ne faut pas sortir un canon pour tuer un moustique, mais un
minimum de protection permet de prévenir des fuites ou des pertes de données. Si les utilisateurs
sont correctement informés et éduqués, alors les risques de sécurité seront considérablement
réduits.
2.2
LES RESEAUX RADIO PMR POUR LA SECURITE DES PERSONNES
Auteur : Michèle Germain (ComXper) [email protected]
2.2.1
Août 07
Introduction
35/84
La Collectivité peut se définir comme un ensemble de
citoyens et d’employés au service de ceux-ci. Un de ses
rôles est d’assurer la sécurité des uns et des autres :
sécurité du citoyen au travers d’une police municipale,
sécurité des employés municipaux dans leur travail,
sécurité des employés et des usagers des transports
publics.
La sécurité, en l’occurrence, c’est la possibilité de pouvoir
communiquer en toutes circonstances pour demander de
l’assistance, pour diffuser des ordres et des consignes et
de manière plus générale, pour rester en contact avec ses
collègues et ses responsables.
Nombre de Collectivités ont d’ores et déjà opté pour
l’installation d’un réseau radio PMR (Professional Mobile
Radiocommunication) à l’usage de leurs services.
2.2.2
Définition d’un réseau radio PMR
2.2.2.1 Différenciation par rapport aux réseaux publics
Tout le monde a déjà essayé de passer un appel GSM un jour où « tout va mal », par exemple
lorsqu‘une d’une importante chute de neige bloque les routes… et tout le monde s’est déjà trouvé
dans l’incapacité de téléphoner à cause de la saturation du réseau radio.
Ceci est évidemment inacceptable lorsqu’il s’agit de sécurité, et c’est en cela qu’un réseau PMR se
différencie d’un réseau public.
En premier lieu, un réseau PMR est la propriété de son utilisateur, la Collectivité, qui le conçoit en
fonction de ses propres besoins, tant en termes de dimensionnement qu’en termes de services.
Notamment, le réseau PMR est dimensionné pour un trafic de crise et pour assurer une couverture
radioélectrique parfaite du territoire de la collectivité.
De son côté, le réseau public appartient et est exploité par un opérateur qui vend des services à des
utilisateurs. Il propose un niveau de service standard avec une couverture nationale où persistent
néanmoins des zones d’ombre non ou mal couvertes. Enfin, à l’instar du réseau téléphonique, il est
dimensionné pour un trafic moyen avec le risque de rejeter une partie des appels en cas de crise.
Puisque le réseau PMR appartient à son utilisateur, c’est à celui-ci de faire l’investissement
nécessaire (études d’ingénierie, achat du matériel, déploiement, formation) et d’en assurer les coûts
récurrents (redevances sur les fréquences, personnel d’exploitation et de maintenance.
Évidemment, ces coûts n’existent pas pour un réseau public, puisqu’ils sont pris en charge par
l’opérateur. En revanche, l’utilisateur doit payer les abonnements et les communications, ce qui finit
par représenter un budget très lourd et pas toujours prévisible.
Pour mémoire, citons les réseaux PAMR (ou RPN) qui sont des réseaux opérés proposant des
services PMR à des utilisateurs. Chaque entité dispose de services personnalisés (configuration
d’usagers, plan de numérotation…) tout en utilisant une infrastructure mutualisée. La redevance se
fait en général au nombre d’usagers et au niveau de service. De tels réseaux sont courants en
Amérique du Nord, mais en France, il n’existe plus de réseau PAMR depuis la fermeture du réseau
Dolphin en 2003.
Août 07
36/84
2.2.2.2 Conception d’un réseau PMR
Un réseau PMR se présente sous la forme d’un ou plusieurs relais radio associés à un commutateur
de voies radio, qui ouvrent un service de radiotéléphonie à un ensemble de terminaux radio ou
filaires.
La plupart des terminaux PMR ont également la faculté de fonctionner en mode direct, appelé
également « mode talkie-walkie », qui n’utilise que les fonctions intrinsèques de communication des
terminaux, c'est-à-dire sans relais. Le mode direct permet à des usagers de communiquer dans un
rayon de quelques kilomètres dans un mode « canal ouvert ».
Les relais et commutateurs qui constituent un réseau PMR sont reliés par des liaisons filaires ou par
des faisceaux hertzien. Les installations sont fixes, mais il existe néanmoins des solutions réseau
PMR transportables en shelter ou sous forme de répéteur indépendant pour couvrir des événements
ponctuels.
2.2.2.3 Technologies
Analogique
Les réseaux PMR sont apparus dès les années 1940. Il s’agissait de réseaux analogiques dits
« 2RP » qui offraient un service de canal ouvert dans la zone de couverture d’un relais. Le canal
ouvert consiste à mettre en communication tous les usagers qui ont sélectionné un même canal
radio. Les 2RP se sont progressivement perfectionnés, notamment avec l’introduction de
signalisations dans la bande (signalisation 5 tons utilisant 5 fréquences vocales) pour établir des
appels sélectifs vers un groupe ou un usager donné.
Dans un réseau 2RP, les usagers communiquent sur
des canaux radio prédéterminés, avec le risque qu’à un
moment donné certains canaux soient saturés tandis
que d’autres sont inutilisés.
Un grand nombre de réseaux 2RP sont encore en
service, mais l’offre commerciale est peu abandonnée
au profit des réseaux 3RP.
Le réseau 3RP est lui aussi analogique, mais introduit
trois grandes nouveautés : la voie balise, le trunking et
le cellulaire. La voie balise est un canal dédié au
transport de la signalisation qui permet d’utiliser des
signalisations codées beaucoup plus riches que les signalisations 5 tons des 2RP. Le trunking est la
fonction qui permet d’allouer un canal radio lorsqu’une communication s’établit et pour la durée de
celle-ci et, de ce fait, optimise l’utilisation des canaux. Contrairement au 2RP où les terminaux
restent sur le canal choisi par l’usager, les terminaux 3RP sont à l’écoute de la voie balise qui leur
indique sur quel canal ils doivent basculer pour communiquer. Le cellulaire, qui couvre un territoire
avec plusieurs relais, permet à la fois d’étendre la couverture du réseau et d’augmenter sa capacité
de trafic.
Des réseaux analogiques 3RP sont toujours vendus et installés. Face au numérique, ils constituent
une solution fiable et économique.
Néanmoins, tous les réseaux analogiques ont deux inconvénients majeurs qui sont le manque de
confidentialité et la qualité moyenne de la phonie. Des scanners bon marché permettent à tout un
chacun de se mettre à l’écoute d’un 3RP (une recherche de scanners sur l’Internet est édifiante). De
son côté, la transmission radio est sensible aux perturbations qui affectent la qualité de la phonie
laquelle, de toutes façons décroît régulièrement lorsque la distance au relais augmente.
Août 07
37/84
Numérique
La fin des années 1980 a vu l’apparition des premiers standards de PMR numérique, en particulier
TETRAPOL, standard français de Matra Communication, et TETRA, standard européen de l’ETSI,
en même temps que se développait le GSM.
Le numérique pallie les inconvénients de l’analogique mentionnés ci-dessus. Le codage numérique
de la parole la met nativement à l’abri des écoutes malveillantes, celles-ci nécessitant un
appareillage cher et sophistiqué et une forte compétence technique. Pour les utilisations sensibles,
le signal numérique de base, est facilement chiffrable. Concernant la qualité de la phonie, le codage
numérique du canal introduit des redondances et des codes de cohérence qui permettent de
reconstituer le signal reçu même s’il a été altéré ou partiellement détruit par des perturbations en
cours de transmission. Enfin, la qualité de la phonie est constante sur toute la surface de la zone
couverte, contrairement à l’analogique où, on l’a vu, elle se dégrade progressivement.
Si le 3RP proposait déjà des services rudimentaires de transmission de données et de mini
messagerie, les réseaux numériques proposent des services de transmission de bas débit
particulièrement performants.
Sur de gros réseaux cellulaires, le numérique permet une meilleure réutilisation des fréquences que
l’analogique, grâce à une meilleure atténuation sur les canaux adjacents.
Toutefois, l’inconvénient majeur des réseaux numériques est leur coût. Le choix du numérique ou de
l’analogique doit faire l’objet d’une étude précise mettant en jeu le niveau de service demandé et la
dimension du réseau, en regard de l’investissement. Concrètement, un réseau numérique peut
s’envisager pour une Collectivité d’une certaine importance, et plus particulièrement si elle dispose
d’un réseau de transports publics.
Bien évidemment, l’utilisation du réseau va au-delà des aspects sécuritaires mentionnés plus hauts,
en améliorant les conditions de travail et l’efficacité des employés, en proposant des services à
destination du public, etc.
2.2.2.4 Fonctions
Les acteurs
Les usagers piétons sont équipés de terminaux portatifs, tenus à la main ou accrochés à la ceinture.
Un équipement micro poire, fixé au revers, supporte les équipements de phonie mains libres ainsi
que les commandes essentielles (appel et prise d’alternat). Le terminal peut se connecter à des
équipements informatiques (PC ou PDA).
Les usagers en voiture utilisent un terminal mobile installé de manière fixe dans le véhicule. Par
rapport au portatif, le mobile dispose d’une plus grande
puissance, puisqu’il bénéficie de l’alimentation électrique du
véhicule qui lui confère une autonomie quasi illimitée. Cette
puissance lui confère une meilleure sensibilité et un champ
d’action accru par rapport au portatif.
Les dispatchers ont un rôle central de coordination et de
répartition des tâches. Ils utilisent un terminal radio fixe ou un
terminal filaire de fonctions identiques, associé en général à un
équipement informatique qui supporte des applications de
dispatching et certaines fonctions d’exploitation du réseau. Le
poste de dispatcher peut également être associé à un poste téléphonique par lequel sont reçus les
appels du public et par lequel le dispatcher peut entrer en relation avec d’autres Services ou
Administrations.
Août 07
38/84
Communications
Communications de groupe
Dans le monde de la PMR, les communications s’adressent majoritairement à des groupes
d’usagers, organisés en « groupes fermés ». Les communications se déroulent à l’alternat (un parle,
les autres écoutent), ceci étant d’autant plus justifié par le nombre d’usagers impliqué qui peut être
très grand.
Les réseaux 2RP fonctionnent dans un mode « canal ouvert », qui fait que tous les usagers ayant
sélectionné un même canal radio se trouvent implicitement dans la même communication.
Communications individuelles
Outre les communications de groupe, les réseaux PMR supportent des services de communication
individuelle entre deux usagers, comme en GSM, en full duplex (les deux peuvent parler en même
temps) ou à l’alternat. Le hand-over qui permet de conserver la communication au changement de
cellule, est supporté par certains réseaux numériques. Ces communications bénéficient
généralement des fonctions dites téléphoniques de renvoi, transfert, rappel automatique, d’appel
dans un groupement, etc.
Services supplémentaires
Les communications ci-dessus sont complétées par des services typiquement PMR, dont nous ne
citerons que deux des principaux : priorité/préemption et écoute d’ambiance.
Au contraire des réseaux publics et des réseaux PAMR, les communications PMR utilisent des
mécanismes de priorité et de préemption. En cas d’occupation de tous les canaux radio, une
communication prioritaire peut tout d’abord court-circuiter une file d’attente et, en final, libérer une
communication moins prioritaire en cours pour récupérer ses ressources.
L’écoute d’ambiance permet à distance de mettre discrètement un terminal en transmission. La
fonction est généralement activée par un dispatcher et est notamment utile pour s’assurer que les
usagers qui travaillent dans des zones sensibles et n’ayant pas communiqué depuis un certain
temps, ne sont pas en danger.
Communications de détresse
Les communications de détresse sont des communications de groupe ou individuelles déclenchées
à l’initiative d’un usager qui se trouve dans une situation critique. Pour cela, il appuie sur une touche
dédiée, aisément accessible, de son terminal. Ce sont des communications de très haute priorité et
préemptives.
Applications
Les réseaux PMR supportent également des applications orientées sur la sécurité. Elles font
largement appel aux fonctions de transmission de données et sont basées de préférence sur un
réseau numérique.
Suivi des véhicules et applications géographiques
Cette application permet de transmettre la localisation GPS d’une flotte de véhicules. Chaque
véhicule est équipé d’un récepteur GPS et les coordonnées reçues des satellites sont
périodiquement transmises via le réseau radio à un serveur AVL
(Automatic Vehicle Location) qui les traite et les affiche sur une
représentation cartographique.
L’AVL se combine à des systèmes d’information géographiques
qui positionnent le véhicule dans son contexte opérationnel
(position de points remarquables) et qui, couplé au système
Août 07
39/84
radio, permet par un simple clic sur l’icône d’un véhicule, d’entrer en relation de phonie ou
messagerie avec lui.
La fonction de suivi des véhicules s’étend également aux piétons, en dotant les terminaux portatifs
d’un récepteur GPS.
Protection du travailleur isolé
La fonction de protection du travailleur isolé va au-delà de l’appel de détresse, dans le sens où elle
assure une supervision automatique du comportement de l’individu. La supervision se fait depuis un
poste de contrôle.
Le portatif est associé à un équipement spécifique qui comporte une touche d’appel manuel pour
déclencher l’alarme sur initiative de l’usager. Mais surtout, l’équipement contient des capteurs pour
détecter un comportement anormal de la personne et déclencher automatiquement une alarme.
Selon les besoins, ces capteurs pourront réagir sur la perte de verticalité, l’absence de mouvement
(homme mort), l’accélération (fuite), l’arrachage de l’équipement, voire même sur des critères
physiologiques (rythme cardiaque) ou externes (température, radio activité). Le message envoyé
peut également comporter la localisation GPS de l’appelant.
L’application est basée sur un système de mini messagerie, et non sur des communications de
phonie. Les mini messages sont routés vers un serveur applicatif du centre de contrôle, qui collecte
les alarmes et déclenche les actions nécessaires : alerte visuelle et sonore locale ou appel
téléphonique vers un centre de supervision distant.
Rondier
L’application rondier s’adresse plus particulièrement au personnel de surveillance. Comme cidessus, la supervision se fait depuis un centre de contrôle.
La ronde est organisée selon une succession de points de contrôle équipés d’un transpondeur. Les
points de contrôle doivent être visités dans un ordre pré-établi en respectant un délai maximal entre
deux points consécutifs.
Le portatif est équipé d’un équipement spécifique qui, approché du transpondeur, en lit l’identité.
L’identité du terminal et l’identité du transpondeur sont envoyées à un serveur du centre de contrôle
via le système radio, dans un message horodaté.
Le serveur vérifie la cohérence de la ronde et, en cas d’anomalie, génère une alarme, comme décrit
ci-dessus.
Localisation automatique
La localisation automatique permet de superviser le passage des personnes en certains lieux
critiques, de manière moins globale que par GPS (et donc plus conforme au respect de la vie privée)
et, au contraire du GPS, est utilisable tant à l’intérieur qu’à l’extérieur des bâtiments.
Cette fonction peut venir en complément de la fonction de protection du travailleur isolé pour guider
l’acheminement des secours.
Les points de passages (couloirs, escaliers, entrées, allées…) sont équipés d’émetteurs. Le
terminal, équipé d’un récepteur adéquat, capte l’identité d’un émetteur lorsqu’il passe à proximité et
la renvoie à un serveur, accompagnée de sa propre identité, comme décrit ci-dessus pour le rondier.
Selon les besoins, la portée des émetteurs est ajustable entre 1 et 100 mètres.
Le serveur reconstitue l’itinéraire de chaque personne suivie et est en mesure de générer une
alarme si elle ne repasse pas devant un autre point dans un délai donné.
Août 07
40/84
2.2.2.5 Autres technologies radio
GSM
Malgré ce qui a été dit précédemment, le GSM peut être une solution pour couvrir des besoins
minimaux. Dans ce cadre, les opérateurs GSM proposent des fonctions d’appel de groupe et de
communication à l’alternat.
La radio haut débit
Comme il a été dit, les réseaux PMR n’offrent que des transmissions de données bas débit qui ne
permettent pas de satisfaire les besoins grandissants en applications gourmandes en bande
passante, telles que le transfert de fichiers, l’imagerie haute définition et la vidéo surveillance.
Les technologies PMR évoluent vers des transmissions de débits de quelques centaines de kbits/s
avec une couverture identique à celle du réseau bas débit. Le réseau radio bas débit est doublé
d’émetteurs/récepteurs utilisant une interface air spécifique avec une grande largeur de canal. On
peut citer TETRA TEDS et les travaux de la TIA aux États Unis sur le projet P25/34.
Une autre forme de réseau haut débit est la « bulle » de crise sur laquelle se déploie un réseau radio
sans infrastructure, dit « ad-hoc », basé sur des technologies Wi-Fi ou WiMAX. Des gateways
raccordent le réseau ad-hoc aux réseaux voix et données d’infrastructures via des liaisons
adéquates, satellite ou autre. Ce concept est développé au sein du projet MESA, mené
conjointement par l’ETSI et la TIA, qui définit des réseaux PMR basés sur des technologies
existantes et aptes à répondre aux nouvelles exigences des utilisateurs.
2.2.3
Besoins des utilisateurs
2.2.3.1 Police municipale
Les opérations de la police municipale sont coordonnées à partir d’un centre de dispatching qui
établit des communications de groupe dans lesquelles vont
se retrouver les policiers municipaux impliqués dans une
même opération.
Via une liaison téléphonique, le centre de dispatching peut
joindre d’autres entités (Service des Eaux, EDF,
Gendarmerie Nationale…) pour coordonner des opérations
terrain.
Le centre de dispatching est associé à un poste de réception
d’appels téléphoniques par lequel arrivent les demandes
d’assistance des citoyens.
Les fonctions d’appel de détresse et d’écoute d’ambiance assurent la protection des policiers
municipaux sur le terrain.
2.2.3.2 Employés municipaux
Nous considérons ici les employés municipaux qui travaillent en dehors des bâtiments municipaux,
comme les employés de voirie et les jardiniers.
Le besoin de communication est relativement faible, du fait qu’ils prennent leurs instructions avant
de partir. Néanmoins, il peut être nécessaire d’avoir à les appeler si un évènement nécessite une
modification de la mission initiale. Inversement, l’employé peut avoir besoin d’appeler les services
centraux pour signaler une situation anormale ou demander un complément d’information. Le besoin
essentiel est la communication individuelle, la communication de groupe étant de moindre utilité.
Août 07
41/84
L’intérêt essentiel du réseau radio est d’assurer la sécurité physique de l’employé sur le terrain.
Dans ce but, le réseau radio supporte un service de protection du travailleur isolé avec émission
manuelle ou automatique d’alarmes. Le critère de détection est adapté au travail de l’employé, par
exemple l’immobilisme pour un employé de voierie.
Les alarmes sont transmises au centre technique où un opérateur peut d’abord essayer d’entrer en
communication avec l’employé, s’il est conscient, pour connaître la nature du problème avant
d’envoyer une équipe de secours.
2.2.3.3 Gardiennage
Les gardiens opèrent sur des sites municipaux en dehors des heures ouvrables. Ils sont effectuent
des rondes de surveillance à l’intérieur des bâtiments mais également en extérieur (centres sportifs).
Il est nécessaire que des gardiens opérant sur un même site puissent communiquer entre eux, et
pour tous, qu’ils puissent appeler à l’extérieur en cas de problème.
Le réseau radio assure les communications de phonie et supporte un système rondier. Un même
centre de contrôle est capable de superviser plusieurs rondes dans un même lieu ou en des lieux
séparés. Il est intéressant de noter que le numérique met les communications à l’abri d’écoutes de la
part de personnes malveillantes qui voudraient suivraient les communications des gardiens pour
savoir où ils sont et pénétrer plus facilement sur le site.
Le rondier assure en même temps la sécurité des gardiens. En cas de malaise d’un gardien, sa
ronde est interrompue avec envoi d’une alarme. La position du dernier point de contrôle transmis par
le gardien, ainsi que la position du suivant sur la ronde, et qu’il n’a pas atteint, donnent sa
localisation.
2.2.3.4 Transports publics
Un réseau de bus publics justifie à lui seul l’utilisation d’un réseau PMR.
Sa vocation première est d’assurer la coordination et l’efficacité du trafic des bus en suivant les
véhicules par GPS, en synchronisant les feux tricolores avec le passage des bus, indication au
conducteur d’incident sur l’itinéraire, etc. Le terminal radio placé dans le véhicule supporte
essentiellement un trafic de transmission de données et les instructions sont données au conducteur
sous forme de messages qui s’affichent près du tableau de bord.
Les communications de phonie avec les conducteurs sont exceptionnelles et utilisent un équipement
mains libres. Le réseau radio intègre également des terminaux placés aux stations pour recevoir des
informations affichées à destination des passagers, comme la durée d’attente du prochain bus.
Outre ces aspects, le réseau radio est un élément de sécurité pour les conducteurs et usagers. En
cas d’agression, l’appui sur un bouton en général placé sous le tableau de bord, déclenche un appel
d’urgence vers le centre de dispatching. Les communications de détresse sont en général des
communications individuelles de haute priorité car la communication de groupe n’est pas opportune
dans ce cas.
Le long des voies de métro, un réseau radio assure la couverture des stations et des tunnels pour
les communications et la sécurité des employés d’entretien et d’exploitation. Il est recommandé de le
coupler à un dispositif de protection du travailleur isolé pour le personnel travaillant le long des voies.
Il assure également la sécurité des usagers dans les stations, en transmettant des appels d’alarme
déclenchés par un dispositif « coup de poing ».
2.2.3.5 Couverture d’événements
Un réseau radio de large couverture se révèle utile lorsqu’il s’agit d’organiser un évènement sur le
territoire municipal, voire même un peu au-delà, par exemple un marathon ou une course cycliste.
Août 07
42/84
Les organisateurs et le service d’ordre peuvent aisément communiquer par ce moyen et, le cas
échéant, appeler des secours (SAMU).
Si la couverture du réseau n’est pas suffisante, les usagers peuvent communiquer en mode direct
sur les zones non couvertes. Des gateways permettent d’abouter des communications mode direct
aux communications du réseau afin que tous les participants puissent communiquer ensemble.
2.2.4
Mise en oeuvre
2.2.4.1 Choisir son réseau radio
Analogique ou numérique ? 2RP ou 3RP ? TETRA ou TETRAPOL ?
Avant de se prononcer, il faut soigneusement établir un cahier des charges :
Quelle est la superficie à couvrir et avec quelle qualité (en extérieur seulement ou à l’intérieur des
bâtiments) ?
Quels seront les utilisateurs ? Si le réseau est partagé par différentes entités, chacune doit pouvoir
l’exploiter indépendamment des autres. En effet il n’y aucune raison à faire cohabiter dans
une même communication un policier municipal, un jardinier et un chauffeur de bus.
Quels types de communications seront nécessaires ? Un fort trafic de données orientera vers un
réseau numérique.
Le choix devra également faire intervenir la disponibilité d’applications comme la protection du
travailleur isolé, mais ceci joue davantage sur le choix du fournisseur que sur celui de la technologie.
Toutefois, une application de localisation d’une flotte de bus par GPS, fortement consommatrice de
messages de données orientera également vers le numérique.
Il est également nécessaire de prendre en compte les possibilités d’évolution du réseau, tant en
capacité qu’en fonctionnalités, sachant qu’un réseau PMR est in investissement sur une dizaine
d’années.
Le prix sera finalement un facteur déterminant…
2.2.4.2 Déployer son réseau radio
Le déploiement du réseau est assuré par un installateur qualifié, depuis l’étude d’ingénierie jusqu’à
la recette finale.
L’étude initiale d’ingénierie radio donne le nombre de relais
nécessaires et une liste de sites qui permettent d’obtenir une
couverture optimale. Le choix définitif des sites relève d’un processus
itératif. On recherchera en priorité des points hauts existants
(châteaux d’eau, immeubles, pylônes…) dans les secteurs désignés
par l’étude radio. Il y a de fortes chances que ces sites supportent
déjà d’autres antennes et il faut s’assurer qu’il est matériellement
possible d’installer l’antenne du réseau PMR et que celle-ci ne
perturbera pas les autres utilisateurs. Si aucun site n’est trouvé, il
faut en créer un, c'est-à-dire acheter un terrain ou un emplacement et entreprendre des travaux de
génie civil (construction, énergie..). Avant choix définitif, il est indispensable de faire un relevé de
couverture radio à partir d’un émetteur de test placé sur le site, afin d’en valider la position.
Le nombre de relais et le trafic à écouler vont également donner les besoins en nombre de canaux
radio, traduits en largeur de spectre pour laquelle il faudra demander à l’ARCEP une autorisation
d’émettre. Les bandes de fréquence PMR sont en effet soumises à licence – et redevance – et
Août 07
43/84
attribuées pour une durée limitée, renouvelable. Les tarifs varient selon la bande de fréquence, la
portée des relais et bien sûr le nombre de canaux radio.
2.2.4.3 Exploiter son réseau radio
Un réseau PMR est exploité par son utilisateur, ce qui suppose de disposer de personnel formé à
cet effet. Pour un petit réseau, et à fortiori pour un réseau simple, cette tâche est aisément réalisable
au sein de la Collectivité, avec un contrat d’assistance et de maintenance souscrit auprès du
fournisseur.
Pour de plus gros réseaux, l’exploitation et la maintenance du réseau sont beaucoup plus
complexes. Si la Collectivité ne souhaite pas s’en charger elle-même, elles peuvent être soustraitées auprès d’une société tierce.
Août 07
44/84
3
LA DEMATERIALISATION DES PROCEDURES
3.1
L’INTEGRITE DOCUMENTAIRE
Auteur : Rozenn Sjotun (Workshare) [email protected]
3.2
LA CLASSIFICATION DU PATRIMOINE INFORMATIONNEL
Auteur : laurent treillard (Groupe Macif') [email protected]
La classification du patrimoine informationnel est la pierre angulaire à tout projet sécurité. Les
collectivités locales et territoriales doivent prendre en compte cette phase d’approche afin de définir
quels sont leurs besoins en terme d’exigence de sécurité.
L’analyse des enjeux métiers et l’analyse des risques fournissent ainsi le schéma de classification de
l’information.
Proposition d’un schéma de classification
Le schéma ci-dessous indique l’organisation de la classification du patrimoine informationnel.
Légende :
D : disponibilité ; I : intégrité ; C : confidentialité ; P : preuve (au sens archivage)
Août 07
45/84
A travers un certain nombre de scénarios, il convient d’en ressortir la potentialité de survenance
(probabilité) et l’étendue du dysfonctionnement engendré (l’impact) par ces menaces.
Cette étude sera menée sur plusieurs fronts :
Une 1e partie selon l’historique des incidents (déterminer la fréquence et l’impact financier en
jour/homme)
Une 2e partie sur l’analyse d’impact afin d’identifier les risques potentiels selon la probabilité
Une 3e partie sur l’ensemble des départements de l’établissement afin de déterminer les
besoins de sécurité
Des exigences de sécurité sont ensuite déterminées et celles-ci sont comparées au niveau de
protection des infrastructures techniques (comme l’informatique, les ressources et autres biens
immatériels). Ensuite les flux d’information sont étudiés notamment au niveau du traitement, du
transfert et du stockage des données et des documents. Par l’intermédiaire d’une matrice croisée
entre probabilité et potentialité d’une part et risques potentiels et résiduels d’autre part, il en ressort
un niveau d’exigence global de sécurité.
Ce schéma doit être adapté à chaque type d’établissement et au niveau de sécurité qu’il désire
mettre en place.
Il est conseillé ensuite de constituer un groupe de travail abordant ces points plus précisément et ce
au niveau de chaque département. Les référents métiers ou informatique, vont ainsi vérifier la nature
des documents et le degré de sensibilisation (critères de sécurité D,I,C,P) des documents.
Ces pistes de réflexion serviront par la suite aux actions suivantes :
La validation du circuit des flux d’informations
L’amélioration de la composition d’un site intranet
La Gestion Electronique des Documents (GED) au sein de l’établissement
La constitution d’une charte d’usage sur les ressources du système d’information
La sensibilisation des utilisateurs à la sécurité
Il est important de coter la valeur des informations que l'on souhaite protéger. Après en avoir estimé
la valeur, il faut veiller à ne pas mélanger les différentes catégories de données, ni pendant leur
traitement, ni lors de leur stockage. En effet, les mesures de sécurité appliquées à ces types de
données ne seront pas les mêmes.
On peut par exemple définir quatre niveaux d'information :
1. Public
Ces informations sont accessibles au grand public, en externe. Par exemple, les activités de
l’établissement, l’effectif, …
2. Interne
Les informations sont publiques mais publiées en interne avec quelques restrictions vers l’extérieur.
Par exemple, les rapports de réunions générales, une note de service.
Aucune protection spécifique n’est nécessaire pour les informations de type « Public » et « Interne »,
l’information est laissée sous contrôle de l’établissement.
3. Critique
Août 07
46/84
Il s’agit d’informations propres à l’établissement, sans diffusion large en interne, mais plutôt destiné
en cercle restreint ou à un groupe minoritaire. Par exemple, un rapport de conseil de directions,
certaines négociations en cours, le code source d’une application.
Au niveau des recommandations, il est conseillé que ces informations ne sortent pas de
l’établissement. Par ailleurs, il doit être prévu en cas de sortie vers l’extérieur un contrat et des
garanties notamment s’il y a un partage avec un éventuel partenaire.
Le chiffrement n’est pas forcement nécessaire, mais une protection par mot de passe doit cependant
être employée quant au mode de diffusion électronique.
4. Stratégique
Ce sont des informations réservées habituellement à la Direction Générale et aux responsables des
départements.
Par exemple, la restructuration d’une antenne, certains dossiers concernant les administrés, le
personnel.
L’impression devrait être limitée et sous contrôle de diffusion. Ce type d’information ne devrait pas
se retrouver en partage sur un serveur. Il est recommandé que ces documents soient toujours
chiffrés ou stockés directement en coffre fort.
La maintenance du serveur contenant ce type de données est uniquement réalisée par une ou deux
personnes de confiance du service informatique. Le nombre d’utilisateurs est limité au strict
minimum et l’authentification forte et la traçabilité est requise. L’ajout d’un nouvel utilisateur doit être
validé par la Direction Générale et faire l’objet de la signature d’un accord de confidentialité. Les
sauvegardes sont chiffrées et la clé est connue uniquement de la Direction Générale.
Les mesures de protection doivent s’adapter selon les modes suivants (il s’agit d’exemple de
préconisations qui restent à définir dans une démarche de politique de sécurité du système
d’information) :
Le contrôle du traitement
Il s'agit de traiter l'information en respectant la classification qui a été attribuée au préalable. Par
exemple, on n’évitera d’associer des données d’identification avec des données privées.
Le cloisonnement
Le cloisonnement consiste à ne pas mélanger des informations de différents types, par exemple des
informations publiques et des informations confidentielles.
La réception
La réception d’un document stratégique doit être adressé à un destinataire spécifique, placé dans
deux enveloppes dont la première est vierge, mais sur l’enveloppe intérieure, la classification est
indiquée.
Le stockage
Le document est protégé par un mot de passe ou accompagné d’un certificat électronique.
Un droit d’accès strict et un chiffrement sur le document est recommandé.
L’émission
La permission du propriétaire est recommandée dans certain cas de figure.
L’archivage
Août 07
47/84
Le document peut être chiffré et accompagné d’un scellement électronique. Une fonction
d’horodatage pourra s’appliquer sur certains documents.
La destruction
Le déchiquetage ou la mise au rebut dans un endroit sécurisé est à envisager.
La notation du document et l’apposition d’un disclaimer (exemple pour un pied de page)
Auteur
Diffusion
Approuvé
Pôle
DSI
L. TREILLARD (N° 9634)
Autorisée
G. PELIKS
S/Pôle
Modèle
document
Sécurité
PV
Identification document
Destinataires
Classification
Version
Date
création
1.0
ATENA_Classification.doc
Groupe
Interne
21/03/06
Archivage
Codification
Catégorie
2 ans
D2P3
CSSI
Date
révision
Date
impression
Date
application
Pages
09/05/06
23/03/06
02/06/06
2/5
© Copyright 2006 Etablissement - Diffusion ou copie de ce document, utilisation ou divulgation de son contenu interdite sans l'accord écrit de l’établissement
Un accord de non-divulgation ou un engagement de confidentialité (avec les articles suivants
relatifs à un partenariat) doit être formalisé :
•
Parties
•
Préambule
•
Objet du contrat - définition – langue
•
Modalités de la communication des informations confidentielles
•
Utilisation des informations confidentielles
•
Modalité de la confidentialité
•
Restitution et destruction des informations confidentielles
•
Propriétés des informations confidentielles
•
Non divulgation
•
Effet et durée de l’accord
•
Non cession
•
Exclusions – diligences
•
Litiges et attribution de juridiction
•
Loi et droit applicable
•
Signature des parties
Les axes d’amélioration qui peuvent être pris en considération sont :
L’amélioration de l’archivage (selon la classification, une codification permet le classement plus
facile de ces documents)
Le renforcement des process et l’organisation du système d’information optimisé (les sources
d’informations, les émetteurs et destinataires des documents sont indiquées)
Les risques qui peuvent être diminués sont (l’utilisateur étant averti du type de données qu’il traite ou
a en sa possession) :
La fuite d’information de données confidentielles
La dégradation de l’image de marque
Les pertes financières suite au non respect des clauses juridiques signées au préalable.
Août 07
48/84
La classification du patrimoine informationnel doit prendre en compte :
Le traitement humain (consolidation de données, reporting, …)
Le traitement informatique (exportation de fichiers, extraction, …)
Le stockage sur des ressources informatiques (bandes de sauvegardes, serveur…)
Ainsi, il en découle également la classification des ressources suivantes :
Les ressources applicatives :
Il est possible de classifier les applications, logiciels ou progiciels avec la réalisation par exemple
d’une fiche FEROS issue de la méthode EBIOS de la DCSSI. Par application, il faut entendre
également les bases de données parallèles de type bureautique qui sont souvent utilisées sur les
postes de travail et sans forcement de mesures spécifique de protection.
Les ressources matérielles :
Dans un premier temps, il convient d’effectuer un inventaire des actifs. La liste se constitue des
biens qui sont d’un point de vue comptable en amortissement, puis ensuite de la liste d’acquisition
des ressources et de prestation de maintenance d’appareils sur une période déterminée. Dans un
second temps, il sera utile d’effectuer le recensement de tous les biens de l’établissement.
A titre d’exemple, on peut indiquer quelques éléments d’un tableau de classification pour le
document « rapport du conseil d’administration » d’une collectivité publique :
Service :
Documents :
Données :
Disponibilité :
Intégrité :
Confidentialité :
Preuve :
‘avant/après
diffusion
externe’
« niveau 3 »/ « niveau 3 »
« niveau 3 »/« niveau 4 »
Niveau d’impact :
Perte financière :
Perte de productivité :
Perte de notoriété :
Mesure de sécurité :
Le traitement
Le stockage
L’archivage
Protection utile :
Bureau de la secrétaire
Poste de travail
« niveau 2 »
« niveau 2 »
Critères de sécurité :
Août 07
Secrétariat général (synthèse «
niveau 3 »)
Rapport du conseil d’administration
liste des administrés, politiques et
stratégiques, sociales et fiscales
(moyenne « niveau 3 »)
publique
49/84
La classification de l’information passe obligatoirement par la caractérisation de l'environnement
(humain et technique) dans lequel évolue l’information. Des éléments (comme la culture d’entreprise,
une restructuration, la volonté de la Direction Générale, …) peuvent influer sur la pondération des
résultats de la classification.
Août 07
50/84
4
LA PREMIERE ETAPE DANS LA SECURISATION DE VOIP
Auteur : Etienne Coulon (TEMPOLINE) [email protected]
Priorité absolue à la disponibilité du service
Août 07
51/84
5
LA VIDEO-SURVEILLANCE
Auteur : Luc Baranger (FFIE) [email protected]
5.1
INTRODUCTION
Entre l’élu municipal, le particulier ou le responsable d’atelier, chacun peut penser avoir besoin, pour
telle ou telle application des images animées.
Fin 2006, 205 villes disposaient d’un système de surveillance vidéo, mais seulement 45
commissariats de police étaient raccordés. La ville de Paris gérait 98 caméras urbaines depuis la
Préfecture, alors que le magasin Louis Vuitton situé sur les Champs Elysées en compte 400 !
On estime à 1 million le parc actuel des caméras de surveillance installées en France.
Dans le domaine industriel et commercial, précurseur dans ces domaines, on peut livrer quelques
exemples variés :
Chez Carrefour, le système qui gère les caméras installées au-dessus des caisses et aux
entrées est muni d’un logiciel qui sert à évaluer le nombre de caisses à ouvrir en fonction du
nombre de clients et du temps moyen de « ballade » dans les rayons.
La SLPM, entreprise du groupe ex-Usinor, utilise des systèmes vidéo pour assister les
Opérateurs des chaînes de déroulage des bobines d’acier dans leur tâche. Ceux-ci, seuls aux
commandes d’une machine pouvant atteindre 100 m. de long, ont sous les yeux, sur un
système de quadravision, les images en temps réel des points critiques de ces opérations
mécaniques ; ceci a pour effet de réduire considérablement les coûts d’immobilisation et de
réparation des machines.
Telle autre entreprise agro-alimentaire utilise un système de vidéosurveillance pour faire du
comptage de produits et de la détection de défauts d’apparence sur une chaîne de production.
Rappelons enfin que la vidéosurveillance constitue l’un des meilleurs instruments légaux
pour permettre le lever de doute en cas de détection d’intrusion dans des locaux ; il permet
de vérifier immédiatement la véracité d’une alarme, sans mettre en danger la vie du
vérificateur.
Certains pensent qu’il suffit de poser des caméras (vrais ou fausses) pour régler par magie certains
problèmes récurrents de la Société.
Toutefois, entre d’une part le système à image cyclique posé sur le guichet, qui montre au « client »
les emplacements surveillés et ceux qui ne le sont pas, et qui donne une probabilité maximale de ¼
de visualiser l’acte de malveillance, et d’autre part la régie de surveillance qui dispose d’un mur de
dizaines d’images fixes ou animées, devant lequel l’observateur est hypnotisé au bout de 20 minutes
de veille environ, l’art du concepteur et de l’installateur est indispensable pour valoriser
l’investissement réalisé en dehors de tout excès.
5.2
UN SYSTEME DE SURVEILLANCE VIDEO ? POUR QUOI FAIRE ?
Surveiller des accès ou des passages.
Aide à la gestion des flux : marchandises, automobiles, files d’entrée.
Permettre un vrai lever de doute après déclenchement d’une alarme automatique.
Dans le domaine urbain :
Août 07
52/84
créer un sentiment de sécurité aux habitants,
créer un sentiment d’insécurité pour les voyous,
permettre de détecter des situations anormales,
anticiper des situations de crise,
gagner un temps précieux pour apporter des secours éventuels en cas d’accident.
Définition : Un système de surveillance vidéo est un ensemble destiné à détecter et informer un opérateur ou
un système, des changements physiques intervenus dans un espace limité. Ces changements peuvent être
des mouvements, des variations d’éclairage ou de couleur intervenant dans l’espace surveillé.
Corollaires
:
- Le système doit être évolutif (temps moyen : 18 mois).
- Il doit être entretenu et maintenu via un contrat de maintenance comprenant des modifications possibles,
établi avec un professionnel compétent et réactif.
Août 07
53/84
5.3
LES COMPOSANTS D’UN SYSTEME
5.3.1
Les bases d’un système
Le système le plus basique sera constitué d’une caméra et d’un moniteur reliés par des câbles ou
même en liaison hertzienne. C’est simple, mais c’est peu performant. Il est donc préférable de
constituer une solution plus élaborée, et de choisir les composants comme les briques d’un jeu de
construction. Cela permet au client de faire évoluer son système en fonction de ses besoins, et à
l’installateur de fidéliser son client en réalisant maintenance et améliorations du système.
Un système efficace ne peut en aucun cas être choisi dans la rubrique « prêt à porter » d’un fabricant. Il sera
construit avec des éléments standards et modulaires, permettant des modifications aisées.
Pour la pérennité du système il faut toujours éviter d’acquérir un système muni de protocoles propriétaires. La
règle première est l’interopérabilité.
L’implantation doit prendre en compte des paramètres essentiels qui sont la luminosité, ou plutôt ses
variations. Attention par exemple aux caméras situées en extérieur. Il faut absolument tenir compte
des orientations cardinales ; en effet, une caméra orientée vers l’Est pourra être totalement aveuglée
par le soleil levant durant une heure près de six mois par an.
De la même façon, en intérieur, pour une visualisation permanente, prendre en compte les variations
jour-nuit. Si l’emplacement surveillé ne dispose pas d’un éclairage permanent, la caméra risque t’elle
d’être aveuglée brutalement par un projecteur ?
Bien entendu, la technologie peut s’adapter à toutes ces contraintes, à condition de les anticiper.
5.3.2
Les composants d’extrémité
La caméra
L’élément de base est constitué d’un capteur. A l’origine il s’agissait d’un tube électronique
fragile et coûteux, dont la durée de vie était d’un an en moyenne. Et puis les semi-conducteurs
sont venus à la ressource avec les matrices CCD (voir encadré). Le circuit de traitement
transforme ces pixels intégrés par rapport au temps en signaux électroniques. Ceux-ci sont
envoyés sur la prise terminale sous forme asymétrique avec une impédance moyenne de 75
Ohms.
La caméra doit être munie d’un objectif, dont les paramètres principaux que nous devons définir
sont constitués par l’ouverture de l’iris et la distance focale.
Pour simplifier l’installation et le choix de l’objectif, les constructeurs ont créé des objectifs varifocales et à iris asservi. Le vari-focale manuel permet de régler sur site l’angle d’ouverture de
l’objectif exactement en fonction de la position réelle de la caméra et de la « cible » à visualiser.
L’iris peut être asservi sur le circuit interne de la caméra. Ceci offre l’avantage d’optimiser
l’éclairage et le contraste de l’image quelles que soient les conditions d’éclairage réel.
En cas d’utilisation en extérieur, ou dans des locaux dont la température peut être inférieure à
10°C, il convient de monter la caméra dans un caisson étanche et thermostaté. Il procurera une
protection de l’équipement contre les chocs et les intempéries, alors que par ailleurs, la caméra
refusera de fonctionner correctement dans les basses températures.
Le moniteur
Août 07
54/84
Constitué à l’origine d’un écran à tube cathodique, celui-ci tend à disparaître au profit de l’écran
plat et froid. En effet, le moniteur à tube cathodique a bien des handicaps. Citons en particulier :
•
consommation électrique importante (100W en moyenne),
•
effets thermiques,
•
perturbations magnétiques et électromagnétiques de l’environnement,
•
fatigue de la vue de l’observateur régulier.
Les écrans à cristaux liquides, ainsi que ceux produits avec les nouvelles technologies,
s’intègrent mieux dans l’environnement de l’opérateur.
Un bon système n’affichera une image que lorsque cette image est utile. Un écran noir est
préférable le reste du temps. L’irruption de l’image générée par une information attire l’œil de
l’opérateur d’une manière efficace.
La taille de l’écran doit être choisie en fonction de l’utilisation qui lui sera dédiée : un écran de
22 à 32 cm de diagonale est suffisant pour visualiser une seule image. Pour une mosaïque
d’images, il faut utiliser un écran de diagonale supérieure à 50 cm pour pouvoir afficher des
images plus grandes que des timbres-poste !
5.3.3
Les composants système
Acquisition
L’installation d’une matrice vidéo permet de résoudre le problème de la distribution d’un nombre
x de caméras sources, sur un nombre y de moniteurs ou de destinations. Plus les nombres x et
y sont élevés, plus la nécessité d’une matrice s’impose. Celle-ci intègre les fonctions
d’acquisition de l’image (adaptation des impédances qui dépendent en particulier de la longueur
et de la qualité des câbles et prises), et la fonction de commutation pour aiguiller les images
vers les bonnes destinations.
Centralisation
Le système centralisateur est généralement constitué par un ordinateur, dont il convient de
dédier un usage exclusif au système de sécurité ou de contrôle. Celui-ci gère l’acquisition et la
distribution des images, assure leur datation, contrôle les accès au stockage et à la
transmission.
Dans le cas du système LARISS de SERVTEL, ces fonctions sont réunies au poste central,
ajoutant ainsi de la pertinence à l’information provenant des capteurs d’alarme intrusion, ainsi
qu’aux systèmes d’identification ou d’authentification provenant du contrôle d’accès. Le logiciel
est équipé de fonctions de tri permettant de retrouver en quelques secondes la bonne image
parmi des millions.
Stockage
Le problème du stockage est qu’il doit prendre en compte des millions d’images (à raison de
25/s et par caméra). Le stockage massif était réalisé à l’origine en codage analogique, sur
bande magnétique de magnétoscope, avec les défauts de qualité et de vieillissement inhérents
à ce mode d’enregistrement. Cela reste toujours une solution particulièrement économique.
Progressivement, le coût du stockage numérique de masse diminue, et la compression des
fichiers numériques s’améliore. Certains algorithmes de codage réduisent maintenant une
image couleur exploitable en plein écran à un fichier d’une trentaine de kilo-octets.
Quoiqu’il en soit, la loi limite la durée de stockage des fichiers à un mois.
Beaucoup de systèmes peuvent être paramétrés pour « écraser » les fichiers passés un certain
délai, une périodicité de 15 jours semble être un bon compromis pour calculer la capacité de
stockage nécessaire au bon fonctionnement du système.
Août 07
55/84
Le multiplexeur a pour fonction de réunir, en temps partagé, sur un seul canal, les images
provenant de plusieurs sources. Le simplex oblige à débrancher l’acquisition pour visualiser les
images multiplexées, alors que le duplex permet de procéder simultanément aux 2 opérations.
Des multiplexeurs ont une cadence de 300 images par seconde, permettant un stockage en
« temps réel » provenant de 12 caméras distinctes.
Dans le cas d’un système dont la visualisation est éteinte en fonctionnement normal, chaque
caméra doit être munie d’une mémoire cyclique (physique ou virtuelle) d’une durée de 30s ;
celle-ci a pour objet de figer en mémoire les 20 secondes qui précèdent l’événement, et les 10
secondes qui le suivent. Cela permet ainsi de « remonter le temps » d’un événement.
VERBATIM : arrêté portant normes techniques du 26 septembre 2006
Le logiciel permet:
1- la lecture des flux vidéo sans dégradation de la qualité de l’image;
2- la lecture des flux vidéo en accéléré, en arrière, au ralenti;
3- la lecture image par image des flux vidéo, l’arrêt sur une image, la sauvegarde d’une
image et d’une séquence, dans un format standard sans perte d’information;
4- l’affichage sur l’écran de l’identifiant de la caméra, de la date et de l’heure de
l’enregistrement;
5- la recherche par caméra, date et heure.
Transmission
Il peut être pratique de visualiser de chez soi, où de l’endroit où l’on se trouve, sa maison, son
entreprise. Pour cela deux possibilités sont faciles à mettre en œuvre :
•
la transmission privée et sécurisée : le système est relié au téléphone par un modem RNIS
ou analogique. Celui qui interroge le système doit alors disposer d’un modem de même
nature. La liaison peut être sécurisée en définissant et en figeant dans le système le seul
numéro d’appel autorisé à accéder au système ; un code d’identification vient compléter le
tout.
•
La transmission sur le réseau Internet, sécurisée par le seul code d’identification de
l’appelant. Cette solution d’une flexibilité maximale ne garantit aucune confidentialité. Par
contre elle permet d’interroger son propre système à partir du monde entier.
Détection de mouvement
Cette fonction peut être réalisée soit directement sur la carte de traitement matricielle de la
caméra, soit par un boîtier électronique intercalé sur le circuit de la caméra, soit au moyen d’un
logiciel situé au cœur du système. Elle est souvent définie comme une fonction sensorielle, et
analyse un gradient de température28 d’image. Cette fonction, appelée senseur, permet de
commander des actions : mise en route d’éclairage, fermeture de porte coupe-feu,
déclenchement d’alarme, transmission automatique d’images, par exemple.
5.3.4
Les différents types de supports de réseaux pour les applications vidéo.
Câblage cuivre de type coaxial
Ce type de câblage est actuellement prééminent dans ce domaine. Il est réalisé le plus souvent
en câble genre KX 6 mm pour les liaisons de quelques dizaines de mètres, et en KX 8mm pour
28 Un gradient tel évoqué ci-dessus est la différence de deux états de même nature (couleur, contraste,
température…) sur un intervalle de temps donné. Le gradient est nul lorsqu’il n’y a aucune variation du
paramètre.
Août 07
56/84
les liaisons de quelques centaines de mètres. Les coaxiaux sont souvent accompagnés des
câbles d’alimentation des équipements en 24V ou en 230V, l’alimentation centralisée des
éléments du système réduit les problèmes de terre, et permet l’alimentation en source unique
par un onduleur.
Certains constructeurs proposent des équipements télé alimentés par le coaxial. L’avantage
réside dans l’économie réalisée dans le câble d’alimentation. Mais il existe 2 inconvénients :
•
Le premier est le passage par interférences de certains parasites de l’alimentation sur
l’image.
•
Le deuxième est le choix de ce matériel incompatible avec les autres matériels du
commerce, dans une solution de type propriétaire.
Câblage cuivre de type paire torsadée
Un câblage Ethernet réalisé en câble de 4 paires en cuivre écrantées, de catégorie supérieure
ou égale à 5 E fait l’affaire, pour un réseau dont les tronçons font moins de 100 m. Les
équipements terminaux étant généralement en sortie asymétrique 75 Ohms, il convient
d’installer des interfaces genre baluns pour permettre aux équipements de dialoguer sur un
réseau symétrique de 100 ou 120 Ohms d’impédance.
Ce mode de câblage semble être celui qui prendra progressivement la prééminence par rapport
au mode précédent, en raison de sa simplicité de mise en œuvre.
Câblage fibre optique
Il est obligatoire pour réaliser des liaisons fiables de plus de 500 m. ; il reste onéreux pour les
liaisons plus courtes, ce qui en limite son développement commercial.
Il est déconseillé à l’intérieur des bâtiments, sa résistance au feu étant le plus souvent
incompatible avec les réglementations en vigueur.
Les installations peuvent être préfabriquées en usine, évitant ainsi les difficultés de
raccordement sur le terrain. Plusieurs constructeurs peuvent fournir des liaisons préconnectorisées, en spécifiant la longueur exacte et le type de la connectique désirée lors de la
commande.
Liaisons hertziennes (liaisons radio, WiFi)
Le fonctionnement sans fil est, intellectuellement, le plus séduisant. Malheureusement,
techniquement, il ne fonctionne bien qu’avec une ou deux liaisons. En effet, pour chaque
émission radio, il faut considérer ses émissions sur des fréquences harmoniques. De
plus, l’interférence de 2 ondes radio de fréquences voisines crée des fréquences parasites sur
les fréquences sommes et différences des signaux principaux. Multipliez le nombre des sources
d’émission hertzienne dans un même lieu, et vous obtenez une multitude de fréquences
parasites rendant généralement l’exploitation du système vidéo aléatoire ! Est-ce bien le but
recherché par un système de sécurité ?
Pour un passage au-dessus d’une route ou d’un site dans des conditions de sécurité
raisonnables, il est possible utiliser un faisceau hertzien ou un système de transmission optique
à laser.
Liaisons par courants porteurs en ligne
Ce qui a été écrit ci-dessus pour les liaisons radio peut aussi s’appliquer pour le CPL. De plus,
un autre problème technique spécifique vient encore compliquer le problème : la transmission
par CPL s’effectue sur un réseau d’impédance variable de façon aléatoire. Or, le bon
fonctionnement d’une liaison vidéo implique la transmission sans pertes de données du signal
de trame. Celui-ci constitue la base de temps de la liaison. Une perte du signal de trame et
l’image reçue « décroche ».
Août 07
57/84
De plus, et comme dans le cas précédent, nous sommes dans le cadre d’une bande partagée ;
pour illustrer ces propos, on peut dire que plus il y a d’utilisateurs autour de la table, et plus les
parts du « gâteau » seront petites.
VERBATIM : De tout temps, les solutions sans fil ont eu une capacité maximale de 10 %
seulement des solutions câblées.
Conclusions :
•
Entre des solutions de transmission sans fil incertaines mais souples et des solutions
filaires sûres mais plus pérennes, votre besoin se situe t’il dans le court ou dans le moyen
terme ?
•
Pour des déploiements sur des distances importantes, pourquoi ne pas envisager des
liaisons sur réseau Télécom DSL existant, en alternative aux installations complètes de
nouveaux réseaux optiques ?
5.4
EN PRATIQUE
5.4.1
Dossier administratif préalable
L'installation d'un système de vidéosurveillance est subordonnée à une autorisation préfectorale
(sauf en matière de défense nationale).
La loi s'applique à tous les systèmes de vidéosurveillance installés sur la voie publique ou dans les
lieux et établissements ouverts au public :
La demande d'autorisation préalable à l'installation est à déposer en Préfecture du lieu
d'implantation, accompagnée d'un dossier administratif et technique comprenant :
Un rapport de présentation dans lequel sont exposées les finalités du projet,
Un plan de masse des lieux montrant vos bâtiments et, le cas échéant, ceux appartenant à des
tiers qui se trouveraient dans le champ de vision des caméras,
Un plan de détail à une échelle suffisante détaillant le nombre et l'implantation des caméras
ainsi que les zones couvertes par celles-ci,
La description du dispositif prévu pour la transmission, l'enregistrement et le traitement des
images,
La description des mesures de sécurité prises pour la sauvegarde et la protection des images
Les modalités de l'information du public concernant cette installation,
Le délai de conservation des images,
La désignation de la personne ou du service responsable du système.
Les consignes générales données aux personnels d'exploitation du système pour le
fonctionnement de celui-ci et le traitement des images,
Les modalités du droit d'accès des personnes intéressées.
Le dépôt d'un dossier formellement complet donne lieu à la délivrance d'un récépissé qui fixe le point
de départ du délai d'instruction de 4 mois.
Le document CERFA pour cette demande préalable est téléchargeable sur www.ffie.fr.
Août 07
58/84
5.4.2
L’installation d’un système dans l’Entreprise
Avant la mise en place d’un système de surveillance vidéo, il incombe à l’employeur de :
déclarer le traitement à la CNIL229 si le système alimente un fichier informatique,
informer et consulter le comité d’entreprise en cas de contrôle des salariés,
informer les salariés et leurs représentants.
Il semble qu’en cas d’installation suite à un vol, et pour en prévenir d’autres, le règlement intérieur
soit un moyen suffisant pour informer les salariés. Une information préalable et individuelle répond
mieux à l’esprit des lois.
L’opposition majeure de la CNIL porte toujours sur la constitution de fichiers individuels nominatifs
des personnes.
5.4.3
Les pièges de certains choix :
La difficulté de réglage présentée par certains senseurs vidéo
Les senseurs vidéo sont d’un usage particulièrement délicat lorsqu’ils sont associés à une
caméra extérieure. Les pièges les plus fréquents étant constitués par les flaques d’eau qui se
forment lorsqu’il pleut, les petits animaux (oiseaux, chats, lapins…) les arbres qui bougent avec
le vent. Les réglages risquent de demander à l’installateur d’y consacrer de nombreuses
heures…
L’incompatibilité des solutions « propriétaires » et l’impossibilité de les faire évoluer.
Certains fournisseurs proposent des matériels avec télé alimentation des caméras, ou utilisent
des protocoles de communication dédiés. De tels matériels bloquent le choix de l’Installateur et
ne permettent généralement pas de faire évoluer les configurations dans le temps de manière
satisfaisante.
Le chauffage des caméras à prévoir en extérieur et dans les locaux froids
Comme indiqué précédemment, les caméras électroniques ne fonctionnent pas correctement
en dessous de 10°C, si elles ne sont pas munies d’un système de chauffage. Dans ce cas, il
convient de les installer dans un caisson thermostaté muni d’une résistance électrique
chauffante.
Le problème des commandes d’iris.
Lors de la commande d’un objectif à iris asservi, il convient de vérifier si sa commande
d’asservissement est compatible avec celle qui est fournie par la caméra. Plusieurs modes de
commandes sont possibles (Courant Continu, signaux analogiques).
Caméra fixe ou caméra mobile ?
C’est une question essentielle. La réponse est fournie en fonction du mode d’exploitation des
images.
S’il s’agit d’une exploitation automatique, sans opérateur pendant plus de 50% du temps, il vaut
mieux préférer un plus grand nombre de caméras fixes et bien positionnées à un système
mobile au résultat aléatoire.
Si un Opérateur visualise les images en temps réel, alors le système peut être muni d’un ou
deux dômes par opérateur, ou de caméras mobiles pilotées avec un joystick. Cet aspect ludique
peut aussi constituer un argument commercial de vente d’un système plus onéreux, mais il
29 Commission Nationale Informatique et Liberté. C’est une commission consultative.
Août 07
59/84
vaut mieux prévenir le Client que le dôme ne sera peut-être pas dans le bon sens au bon
moment en son absence !
En conclusion, il faut rappeler que la réalisation d’un système de surveillance vidéo demande
une véritable étude préalable nécessitée par le dossier administratif, et surtout par les
conditions réelles sur le terrain, qui correspondent rarement aux modèles des fabricants.
Un contrat de maintenance est indispensable pour permettre au système d’évoluer en
fonction des variations comportementales.
5.5
ANNEXES :
5.5.1
cadre législatif
Le rapport Melchior
La loi du 23 janvier 2006La 2006
Le décret du 17 octobre 1996 modifié par celui du 28 juillet 2006
L’arrêté portant normes techniques du 26 septembre 2006
La circulaire du 26 octobre 2006.
L’objectif du législateur :
Une préoccupation majeure : rechercher l’efficience des dispositifs de vidéosurveillance dans la
lutte contre la criminalité la délinquance et le terrorisme, vers une extension raisonnée.
Fixer le cadre d’un développement et d’une exploitation intégrée des dispositifs de
vidéosurveillance entre les opérateurs et les forces de sécurité intérieure.
Utiliser le cadre des C.L.S.P.D.
Encadrer les évolutions technologiques
Organiser les compétences
Autoriser la coopération intercommunale
Favoriser le contrôle démocratique local.
5.5.2
Le fonctionnement des matrices CCD
La surface du capteur CCD est constituée de cellules réagissant à la lumière, ou photosites. Chaque
photosite générera un point (ou pixel) sur l’image finale. Lorsqu’ils reçoivent un rayon lumineux, ils
produisent une impulsion électrique, proportionnelle à l’intensité lumineuse reçue. Ce signal est
digitalisé en octets (8 bits, soient 256 valeurs possibles). Cela nous donne une belle image noir et
blanc.
Pour restituer les couleurs, chaque photosite est recouvert d’un filtre coloré, ne laissant passer
qu’une seule température de couleur. Souvent, les filtres sont disposés sur les capteurs CCD en
lignes : bleu-vert-bleu-vert… sur une ligne, rouge-vert-rouge-vert sur la ligne suivante. Le processeur
réalise une interpolation mathématique, pour récupérer les couleurs manquantes : il calcule les
informations complémentaires en analysant les différences mesurées entre les pixels adjacents.
Cette méthode donne d’excellents résultats en général, mais peut générer des distorsions dans le
cas de valeurs extrêmes (forts contrastes notamment). Afin de diminuer ce risque, le capteur
couleur est protégé par une vitre qui constitue un filtre contre une partie des rayonnements
infrarouges, ce qui limite ainsi les performances de la caméra couleur en vision nocturne.
Août 07
60/84
Août 07
61/84
6
LA GESTION DES CRISES
6.1
CENTRE D’APPELS ET GESTION DE CRISE
Auteur : Jean-Denis Garo (AASTRA MATRA Telecom) [email protected]
Les derniers événements survenus en Asie du sud-est l’an dernier, nous ont, malheureusement,
rappelé l’importance de la présence de centres d’appels performants pour la gestion de crise. Les
collectivités sont de plus en plus amenées à gérer des situations de crise et à disposer des outils
adéquats pour prévenir les populations et les professionnels de la sécurité (pompiers, force de
l’ordre…)
Les besoins sont de deux natures :
Améliorer la sécurité citoyenne & la coordination des forces de protection civile
Prévenir, gérer et informer dans des situations de crise: menace d’une épidémie (Virus H5N1),
risque de catastrophes naturelles pour mieux organiser les secours (incendie, inondation…) ou
mise en place du Plan Particulier de Mise en Sûreté (PPMS)
6.1.1
La mission d’un centre de contacts dédié à la gestion de crise.
Dans le domaine de la sécurité civile, le centre d’appels est un maillon fort. Le vocabulaire utilisé
diffère quelque peu (opérateur, régulateur pour agent) cependant les fonctionnalités utilisées sont
bien les mêmes. Nommé centre opérationnel de commandement et de gestion de crise (Control
Room), le centre d’appels est donc intégré au processus de traitement de la communication de crise.
L’élément principal est l'outil d'aide à la décision (CAD) souvent couplé à une cartographie (GIS) ou
un applicatif de géopositionnement des véhicules sur le terrain (AVL) en plus d'un gestionnaire de
voies radio et au centre d'appels.
Avec cette organisation, le centre peut alors aussi bien servir pour la gestion des crises que de
moyens de commandement et de contrôle des forces de sécurité intérieure (police, gendarmerie), de
secours (sapeurs-pompiers, aide médicale urgente) et de santé publique.
Toutefois, l’enjeu reste identique : assurer une qualification, efficace, rapide et complète de la
demande de secours !
6.1.2
Des spécificités de l’outil « centre d’appels » propres à répondre aux
événements exceptionnels.
La technologie doit savoir répondre à des pics d’appels exceptionnels, en toute sécurité et en
proposant aux exploitants (régulateurs) une ergonomie efficace et cohérente. La qualification comme
le traitement des dossiers doivent alors bénéficier d’une infrastructure distribuée, homogène et
sécurisée : l’utilisation de la téléphonie sur IP est d’ailleurs de plus en plus conseillée.
La solution doit s’intégrer avec les outils existants de la chaîne d’alerte. Pour exemple, le dispatcher
(régulateur en français) de CIC Police et celui des Pompiers sont en communication avec les
équipes d'intervention à travers leurs systèmes ACROPOL et ANTARES.
L’outil centre d’appels est alors au centre de la communication entre les équipes d’interventions,
d’experts et le lieu d’intervention ou de sinistre. L’interopérabilité du réseau de la collectivité, d’un
ministère peut être mutualisé entre différentes organisations pour répondre à des besoins ou
événements exceptionnels tout en garantissant l’intégrité, la confidentialité, l’autonomie des
systèmes.
Août 07
62/84
6.1.3
Exemple concret d’application.
Prenons un cas d’école mettant en œuvre les outils disponibles : un accident nécessite l’intervention
de secours. Des témoins appellent un numéro de secours. La reconnaissance du numéro d’appel
(ou l’interrogation d’un annuaire inversé) permet une qualification de l’appel ; un couplage avec une
solution de géolocalisation enrichit la connaissance du besoin et des contraintes logistiques et
topographiques (voies d’accès) permettant le traitement ou le transfert de l’appel à un agent ou une
équipe portant les compétences requises (proximité du lieu, équipements particuliers…)
Ce cas d’école peut aussi être transposé dans un contexte de protection des frontières,
d’intervention de forces de Police…
6.1.4
Plusieurs technologies sont nécessaires à la mise en place d’une telle
infrastructure.
La conception d’un centre de commandement ou d’opérations est lié aux enjeux auxquels veut
répondre l’utilisateur. Une gendarmerie, les forces armées, un centre de secours, les pompiers une
collectivité ont de nombreux objectifs communs (la sécurité des biens et des personnes entre autres)
mais de modes de fonctionnements et des moyens distincts. Une brique initiale sera
l’autocommutateur ou IPBX assurant la sécurité de réception des communications. Le centre
d’appels ou centre de contacts - dès lors qu’ils intègrent la gestion des flux multimédias (fax, mail,
vidéos) ou assure l’interaction avec le web (chat, co-browsing…) - complète cette brique initiale.
L’intégration de ce centre à la téléphonie sur IP, la radiocommunication ou les infrastructures GSM
et satellites offrent par ailleurs un large éventail de solutions.
Le centre d’appels peut être également complété d’outils propres à répondre à des problématiques
d’information via un SVI (Serveur vocal interactif) qui offrira des fonctionnalités de borne
d’Information. Associé à une application d’automatisation des appels sortants, ce dernier peut traiter
des campagnes d’alertes vers les populations ou des listes de destinataires définis en cas
d’évènements exceptionnels.
6.1.5
Les besoins sont similaires avec le monde de l’entreprise.
Les fonctionnalités requises pour un centre d’appels de crise sont proches de celles présentes dans
le monde de l’entreprise, les priorités sont peut être différentes. Ainsi dans le domaine du centre de
secours ce qui importe c’est la rapidité de réponse après une qualification efficace et dans la
sécurité (intégrité) de l’échange téléphonique.
Des briques technologiques communes sont utilisées à des fins distinctes : Que ce soit un logiciel
d’aide à l’accueil comme un script d’assistance à l’entretien sous forme de QCM
dynamique, permettant de remplir la fiche d'intervention pour les données concernant l'incident
(Couplage Téléphonie Informatique) ou l’utilisation de modules d’appels sortants pour gérer des
campagnes de prévention ou d’alerte.
La réponse à ce type de projets spécifiques demande une expertise dans la compréhension des
besoins et enjeux de ces clients très particuliers comme une maîtrise des différents composants de
la chaîne d’alerte.
6.2
LES GRANDS PROJETS EUROPEENS POUR LA SECURITE DES CITOYENS
Auteur : Michèle Germain (ComXper) [email protected]
La coordination des forces de secours en cas de crise revêt une importance capitale et
l’interopérabilité est une exigence tant nationale qu’internationale. Soucieux d’améliorer l’efficacité
Août 07
63/84
sur le terrain, les organismes de standardisation et l’union européenne ont lancé de grands projets et
des expérimentations à l’échelle internationale.
6.2.1
EMTEL
Le projet EMTEL est le fruit d’une collaboration entre l’ITU et l’ETSI. Le rôle de l’ITU est centré sur
l’harmonisation des fréquences radio utilisées par les différents acteurs. De son côté l’ETSI travaille
sur les aspects opérationnels (www.emtel.etsi.org).
EMTEL définit l’urgence aussi bien dans la vie de tous les jours, comme les accidents de la
circulation, mais également lors de catastrophes telles que des accidents d’avions, des
tremblements de terre ou des attaques terroristes.
EMTEL définit les spécifications de besoins pour les différents flux de communication d’urgence :
les Citoyens vers les Administrations (appels d’urgence)
les Administrations entre elles (appels de coordination)
les Administrations vers les Citoyens (appels d’alertes)
les Citoyens entre eux (appels IAA)
Ces spécifications devront être prises en compte dans le développement des nouveaux standards.
Le projet EMTEL présente différents volets couvrant les appels d’urgence, la télé médecine,
l’industrie automobile et les systèmes de communications. Nous n’aborderons que deux aspects.
L’appel « 112 »
Dès 1972, la CEPT recommande l’utilisation du « 112 » comme numéro unique d’appel d’urgence au
niveau européen, afin de mettre fin à la jungle des 18, 15, 911, 110 et autres.
EMTEL fixe les bases de traitement du « 112 ». Les appels sont émis par les particuliers depuis un
poste filaire ou radio, une cabine, une borne d’alarme ou autre. Ils sont transmis, via les réseaux
publics filaires ou radio, vers un centre d’appel dont l’adresse est déduite proche de la position de
l’appelant. Ceci est aisé lorsqu’il s’agit d’une borne ou d’un poste téléphonique filaire puisque la
position, l’adresse, est associée au numéro d’annuaire. Pour un téléphone mobile, la position est
trouvée grâce aux bases de données d’inscription de l’opérateur mobile. La localisation est plus
délicate quand il s’agit d’un téléphone IP. En premier lieu, elle est donnée par l’Administrateur du
réseau et associée au port IP, mais elle pourra être fausse si le réseau utilise un VPN. Concernant
les réseaux Wi-Fi, seule peut être connue la localisation de la borne d’accès, ce qui, compte tenu de
la faible portée de ces réseaux, est en général suffisant.
Un centre d’appel régional unique reçoit les appels 112 ainsi que le numéro d’annuaire de l’appelant
et, dans certains cas, la position GPS de l’appelant si son poste est équipé. Il est en relation avec un
certain nombre de bases de données : les localisations des mobiles comme nous l’avons vu, les
annuaires inverses des opérateurs filaires, des bases de données géographiques, etc. Le régulateur
du centre d’appel prend auprès de l’appelant les informations nécessaires et, en fonction de la
nature du problème oriente vers le service adéquat : Police, Pompiers, aide médicale.
En France, le regroupement des appels Pompiers et SAMU sous le « 112 » est en cours et déjà
opérationnel dans certains départements.
L’harmonisation des procédures et des moyens en cas de crise
Dans ce but, EMTEL définit cinq situations caractéristiques, réparties en deux groupes.
Dans le premier groupe, tous les moyens de communication sont opérationnels.
Août 07
64/84
Routine : Les communications se font au sein du groupe d’intervention par ses propres moyens de
communication ou, plus rarement, via les réseaux publics.
Accident sur un site (hot spot) : Aux communications ci-dessus, s’ajoutent les appels d’urgence
du public (112).
Prévention de catastrophe : Aux communications de routine et aux appels 112, s’ajoutent les
diffusions d’alertes au public et les communications de coordination entre les différentes forces
intervenantes. Les Citoyens reçoivent les alertes nécessaires (état cyclonique, évacuation,
confinement…) par voie de radiodiffusion et télévision, parfois par SMS. Les communications entre
les Forces intervenantes (Police, s, SAMU…) concernent la coordination des actions terrain et
s’établissent entre les centres de contrôle de chacune par voie téléphonique ou plus rarement radio.
Ces communications peuvent faire intervenir des services publics tels que la Météorologie Nationale,
la Compagnie des Eaux, l’EDF et les hôpitaux.
Dans le second groupe, les moyens de communications sont partiellement ou totalement détruits
(rupture de lignes, chute de pylônes…)
Catastrophe en cours : Il y a les mêmes besoins en communication que ci-dessus, avec en plus
une composante de réactivité immédiate. Les appels d’urgence du public sont particulièrement
critiques quand les réseaux ne sont plus opérationnels ; ainsi, des rescapés ont pu être retrouvés
grâce aux tentatives d’inscription de leur téléphone portable. Les communications d’alerte vers les
Citoyens se font par des moyens autonomes comme des talkies-walkies et des mégaphones. Les
communications de coordination sont en général maintenues dans la mesure où les centres de
contrôle sont suffisamment éloignés du lieu de la catastrophe, mais les liaisons avec le terrain sont
perdues, seul un minimum peut être assuré par téléphones satellite (Inmarsat).
Après la catastrophe : Des réseaux de communication de substitution temporaires sont installés
dès que possible, tels des autocommutateurs et relais radio en shelters. Aux communications cidessus, s’ajoutent les communications des Citoyens qui s’inquiètent de leurs proches et celles des
rescapés qui veulent rassurer leurs proches. Pour éviter que ces appels n’encombrent un réseau
déjà fragilisé, des centres distants IAA (I Am Alive) concentrent les messages reçus par GSM ou par
Internet qui constituent une base de données où chacun peut donner de ses nouvelles ou s’informer.
6.2.2
EGERIS
L’expérimentation EGERIS a été lancée à l’initiative de l’Union Européenne et s’est déroulée entre
août 2001 et décembre 2003 (www.egeris.org).
Le but d’EGERIS était d’étudier sur des cas réels les moyens mis en œuvre par les forces de
Sécurité et les Administrations :
la planification et l’allocation des tâches
le suivi de la situation
aide à la décision
L’expérimentation s’est déroulée sur trois cas réels : les incendies de forêt dans le Var, les
inondations en République tchèque et le tremblement de terre à Assise en Italie. Elle a permis de
dégager des exigences pour améliorer l’efficacité des secours et épargner des vies humaines, dans
le but de définir :
Un modèle générique qui pourra recevoir de nouveaux services et de nouvelles applications
Un système générique indépendant du type d’événement
Août 07
65/84
Des contraintes d’interopérabilité, en particulier en matière de messagerie et d’applications
géographiques.
EGERIS a mis en évidence un modèle sur trois niveaux :
Les équipes sur le terrain avec des moyens de communication portatifs voix et données
(terminaux radio associés à un PDA et un récepteur GPS)
Les postes de commandement mobiles situés en limite de la zone d’intervention chargés de la
coordination terrain et équipés de moyens de communication mobiles plus puissants (terminaux
radio associés à un PC portable ou, tablet PC) capables de gérer des applications
cartographiques
Les salles de contrôle, physiquement installés dans les locaux de chacune des forces en
présence, qui sont en relation voix et données avec les postes de commandement mobiles ainsi
qu’avec les Administrations et Services concernés. C’est au niveau des salles de contrôle que
s’effectue la coordination entre différentes Forces intervenantes.
Le projet OASIS (http://www.oasis-fp6.org) a été lancé à la suite d’EGERIS pour définir et
développer une technologie de l’Information basée sur une architecture ouverte et adaptative qui
sera utilisée pour faciliter coopération entre les salles de contrôle des différentes Forces, tant au
niveau national qu’international.
Août 07
66/84
7 LE VOTE ELECTRONIQUE
7.1
LES NOUVELLES FORMES DE VOTE
Auteur : Gérard Péliks (EADS) [email protected]
7.1.1 Vote traditionnel et vote électronique
Dans une élection traditionnelle avec isoloir, bulletins et enveloppes
papier, urne en plexiglas, quand on laisse tomber l’enveloppe contenant
son bulletin de vote dans l’urne, on est sûr que sa voix va compter
puisqu’on repère physiquement un court moment, dans l’urne
transparente, son enveloppe anonyme, au-dessus des autres
enveloppes déjà présentes. Et comme l’environnement le laisse
supposer, nul ne peut ouvrir l’urne sans se faire remarquer par les
autres personnes présentes.
On est assuré de la confidentialité de son choix puisqu’on est passé par
l’isoloir où l’on a inséré son bulletin dans une enveloppe anonyme, et
de plus on a pris la précaution élémentaire en bon citoyen respectueux des lois de son pays de
prendre, à l’entrée du bureau de vote, plusieurs bulletins différents avant d’entrer dans l’isoloir. On a
pris la précaution tout aussi élémentaire de ne pas laisser traîner sur la tablette de l’isoloir les
bulletins non utilisés, mais de les déchirer et les fourrer dans sa poche pour les jeter ensuite dans
une poubelle située loin du bureau de vote. Tout ceci dans un cas idéal, bien sûr.
Dans un vote politique, l’électeur est authentifié par sa carte d’électeur et par sa carte d’identité
qu’on lui demande de présenter avant que lui soit donnée la possibilité d’exercer sa voix. Sa photo
peut être comparée à son visage, de plus on lui demande une signature qui peut être comparée
avec celle figurant sur sa carte d’identité. Avant chaque vote, le président ou ses assesseurs
vérifient sur une liste d’émargement que l’électeur n’a pas déjà voté. L’électeur signe la liste
d’émargement certifiant ainsi qu’il a voté puis utilise son bulletin pour exprimer son choix.
Tout semble se passer dans le meilleur des mondes, avec un côté humain et convivial indéniable,
sauf que l’on constate aujourd’hui, dans certains scrutins, un désintérêt des électeurs pour se
déplacer vers leur bureau de vote. Le taux d’abstention est même parfois alarmant. Il favorise,
suivant les modes de calcul des résultats, l’élection de candidats ou de listes qui ne correspondent
pas vraiment aux souhaits de la majorité des citoyens qui n’exerce pas son droit de vote. Si seules
les minorités motivées votent en masse, la démocratie peut redouter des lendemains qui
déchantent. Le vote de la grande masse des citoyens, qui ne se situe en général ni dans un
extrême, ni dans l’autre, a du bon, par son effet d’inertie, pour la démocratie. Rapprocher l’urne des
citoyens quand ceux-ci ne vont pas vers l’urne est un devoir démocratique et c’est là que les
nouvelles formes de vote interviennent.
Les technologies de l’information et de la communication menées de concert avec le développement
de solutions de sécurité et d’identification fiables et efficaces, peuvent apporter aux nouvelles formes
de vote une bonne réponse au problème de l’abstention. Ces technologies permettent de simplifier
l’acte de vote et de dépouillement par des machines à voter ou par un vote à travers le réseau, avec
un simple poste de travail (PC, MAC, PDA …) connecté. De plus, si le vote électronique est le seul
moyen mis à disposition des électeurs, comme cela peut se faire aujourd’hui dans le cas du vote
pour les représentants du personnel (délégués du personnel et comités d’établissement) les
économies réalisées par l’organisateur du scrutin sont substantielles. Dans les élections politiques,
le vote traditionnel perdurera sans doute longtemps, le vote électronique restant un complément au
Août 07
67/84
vote direct dans un bureau de vote ou par procuration, mais au niveau du dépouillement au moins,
les frais seront diminués.
Enfin la phase de dépouillement à l’issue du scrutin est très simplifiée et les résultats sont très
rapidement connus et diffusables. Si le cérémonial accompagnant la clôture du scrutin, l’exploitation
des bulletins et la publication des résultats est un moment privilégié, le vote électronique permet
aussi de recréer et même d’amplifier la solennité de cette cérémonie si chère à notre démocratie.
7.1.2 Les nouvelles formes de vote
Le vocable « vote électronique » recouvre plusieurs technologies. Il est donc important, au niveau
du vocabulaire, de bien préciser de quoi on parle. On peut distinguer essentiellement le « vote par
des machines à voter » et le « vote à distance par le réseau ».
Les machines à voter
Les machines à voter sont des terminaux spécialisés destinés au vote en local ou par le réseau.
Certaines proposent comme moyen d’authentification, un lecteur de carte à puce (quelque
chose que l’électeur « a ») et la saisie de paramètres de biométrie telles les empreintes
digitales (quelque chose que l’électeur « est »). Des écrans de saisie permettent à l’électeur de
faire son choix. Des dispositifs spéciaux peuvent mettre la saisie du vote à la portée des malvoyants et des porteurs d’autres handicaps. Placées dans l’isoloir d’un bureau de vote, les
machines à voter apportent plus de facilité pour exprimer un choix et plus de rapidité pour
dépouiller le résultat mais ne changent pas fondamentalement ce qui se pratique dans le cas du
vote traditionnel. Les bulletins de votes sont centralisés dans la machine à voter et devront être
consolidés avec ceux des autres machines à voter à l’issu du scrutin.
Une étape supplémentaire consiste à connecter les machines à voter sur un réseau. Dès lors,
l’électeur n’est plus contraint de se rendre dans son propre bureau de vote, de plus les
machines à voter peuvent alors être placées dans d’autres lieux publics tels que les gares et les
bureaux de poste. Le réseau peut être un réseau dédié ou l’Internet. Le réseau permet de plus
de récolter et centraliser les bulletins de vote dans un seul serveur.
Le vote à distance par le réseau
Le vote à distance par le réseau ne nécessite, côté électeur, qu’un poste de travail banalisé qui
peut être son poste de travail familial ou celui de son entreprise. Le réseau peut tout
simplement être l’Internet. Si le chiffrement des bulletins de vote doit se faire de bout en bout
entre le terminal et l’urne où le bulletin demeure chiffré, il y a alors nécessité qu’un logiciel soit
présent ou téléchargé sur le terminal avant la phase du vote.
7.1.3 Que réclame t’on au vote électronique ?
S’il apporte plus de facilité et de rapidité, le vote électronique ne doit pas pour autant diminuer la
sincérité et la sécurité du scrutin. Voyons quels sont les facteurs indispensables sans lesquels il ne
pourrait être question de voter autrement que par vote papier traditionnel, dans un pays
démocratique, pour les élections où la confidentialité est requise.
Seule une personne autorisée peut voter
L’identification qui établit que telle personne se trouve bien dans la liste des électeurs et
l’authentification, qui établit que la personne qui vote est bien celle qui correspond à un nom de
la liste, sont indispensables avant d’accepter un bulletin de vote dans l’urne.
Diverses solutions peuvent être mises en œuvre pour l’authentification. L’électeur reçoit, par
exemple, par un canal différent de celui par lequel il va voter, donc pas par messagerie
électronique si le vote à distance se fait via l’Internet, un ou plusieurs identifiants. L’idée est de
partager un secret qui n’est connu que du seul électeur et du serveur de vote. En général ce
Août 07
68/84
sera un ou plusieurs mots de passe de longueur suffisante, au moins 8 caractères conseillés et
mêlant des chiffres et des lettres, reçus par la poste sous enveloppe banalisée. Les codes
secrets d’authentification peuvent être contenus dans une carte à gratter ou à révélation
thermique qui garantit leur intégrité et leur confidentialité.
Comme outil d’authentification, la carte à puce semble avoir un bel avenir devant elle. L’électeur
peut s’authentifier par une de ses caractéristiques biométriques, par exemple par ses
empreintes digitales qui seront lues par le poste de travail par lequel il vote et comparées à ses
empreintes digitales numérisées contenues dans la puce de sa carte. Ce cas semble être idéal
pour les machines à voter. Pour le vote par l’Internet, citons aussi l’authentification par un
certificat électronique reçu d’une autorité de confiance, contenant l’identité de l’électeur, les
dates de validité et qu’il va activer grâce à un secret connu de lui-seul.
L’identification est faite au niveau de la liste des électeurs qui est importée dans le serveur de
vote avant le début du scrutin.
Un électeur ne peut voter qu'une seule fois
L’acte de vote se concrétise par deux transactions qui partent chacune, par le réseau, vers un
serveur différent. Ceci est une exigence de la CNIL. L’identité de l’électeur va renseigner une
liste d’émargement d’un côté; le bulletin de vote chiffré part d’un autre côté dans l’urne
électronique située physiquement sur un autre serveur que celui contenant la liste des électeurs
et la liste d’émargement. Quand l’électeur vote, il y a d’abord contrôle, au niveau de la liste
d’émargement qu’il n’a pas déjà voté, sinon son vote est bien entendu refusé. Cette liste
d’émargement sera également utilisée à la fin du scrutin pour s’assurer que le nombre de
bulletins de vote est égal au nombre d’électeurs qui ont voté.
Un vote émis ne peut pas être modifié
Durant son dialogue avec les écrans de saisie proposés, l’électeur peut toujours revenir en
arrière pour modifier ses choix. Mais une fois qu’il a validé son vote, le bulletin de vote virtuel
est chiffré et part, via un canal sécurisé, du poste de travail du votant directement dans l’urne
électronique qui peut être située bien entendu à plusieurs milliers de kilomètres du poste de
travail par lequel l’électeur a voté. L’électeur reçoit, par le réseau, un accusé de réception
horodaté qui peut lui servir d’attestation de vote. Il ne lui est plus possible de rattraper son
bulletin pour le modifier. D’ailleurs plus rien ne rattache le bulletin chiffré dans l’urne à l’identité
de celui qui l’a émis.
Un vote doit rester secret
S’il faut s’assurer que c’est bien la personne identifiée qui émet le vote, il faut aussi lui garantir
que son vote sera anonyme.
Le réseau, surtout si c’est un réseau public comme l’Internet, est soumis à de multiples
menaces et à des attaques fréquentes, parfois automatisées. Il est indispensable de garantir,
outre l’authentification mutuelle entre l’électeur et son urne électronique, la confidentialité et
l’intégrité du bulletin de vote quand il chemine sur le réseau et quand il est stocké dans l’urne.
La confidentialité peut être obtenue par une fonction de chiffrement. Le plus souvent le
chiffrement asymétrique, dit encore « chiffrement à clé publique », est la solution choisie. Pour
expliquer en quelques mots l’essentiel du principe de ce chiffrement, une bi-clé est créée : une
clé privée et une clé publique correspondante.
Août 07
69/84
La clé publique, qui n’est pas un secret, est largement diffusée. La clé privée doit rester, comme
son nom l’indique, la propriété de son possesseur et être un secret qu’il ne partage avec
personne. La même clé publique, distribuée à chaque électeur, est utilisée pour chiffrer le
bulletin de vote. Cette clé publique est insérée dans un certificat électronique par lequel une
autorité de confiance, qui l’a signé électroniquement, atteste que cette clé correspond bien à la
clé privée qui servira au président du bureau de vote et aux assesseurs pour le dépouillement à
l’issue du scrutin.
L’intégrité du contenu du bulletin de vote est garantie par une fonction de hachage (chiffrement
à sens unique) qui produit une empreinte à taille fixe accompagnant le bulletin de vote et qui
caractérise ce bulletin. Toute modification du bulletin, par exemple lors de son cheminement par
l’Internet, va produire, par re-calcul de l’empreinte par la fonction de hachage, une empreinte
différente traduisant ainsi une altération du bulletin de vote.
Il n'est pas possible de produire des résultats partiels
Qui pense vote électronique peut penser qu’il est peut-être facile de disposer en permanence
des résultats des bulletins déjà dans l’urne, même avant la fin du scrutin. Il ne peut évidemment
en être question car la publication des résultats partiels pourrait influencer la suite du scrutin.
Ceci n’est pas possible avec une urne physique et ne doit pas être possible avec une urne
électronique. Si les bulletins sont chiffrés par une clé publique, seul celui qui possède la clé
privée correspondante peut dépouiller le contenu de l’urne. Les supports qui contiennent la clé
privée (cartes à puces, clés USB) sont mis physiquement sous scellé dans un coffre fort tout
aussi réel. Ce coffre n’est ouvert qu’après la fin du scrutin pour remettre les éléments qui vont
permettre de reconstituer la clé privée au président et aux assesseurs.
Un électeur ne peut prouver à un tiers le contenu de son bulletin
Pour éviter l’irrégularité, pour ne pas dire le délit, de vente de sa voix, l’électeur ne doit pas être
en mesure de prouver à son commanditaire qu’il a bien voté ce pour quoi on l’aurait payé. Bien
sûr, on pourrait se demander ce qui prouve que l’électeur, face à son écran n’a pas voté sous la
contrainte. Dès que l’électeur a validé son vote, nous avons vu qu’il ne lui est plus possible de
le récupérer pour le modifier. Si l’électeur n’attend pas d’être précisément sous contrainte pour
voter, il pourra toujours expliquer qu’il a déjà voté et un nouvel essai, cette fois sous la
contrainte, se traduira naturellement par un refus du vote par le système, donc rien ne
permettra au votant sincère de s‘exprimer librement, pourvu qu’il le fasse avant qu’il ne soit
menacé. Une fois le vote exprimé, le contenu du vote part vers le serveur contenant l’urne et
l’identité de celui qui a voté part vers un serveur différent contenant la liste d’émargement. Il n’y
a aucun moyen dès lors de lier l’identité d’un électeur avec ce qu’il a voté.
Août 07
70/84
Il faut aussi éviter un alarmisme facile et sans trop de fondement. Sur un million d’électeurs,
combien seront obligés de voter sous la contrainte ? D’ailleurs, plus il y aura de votants, moins
grande sera sans aucun doute la proportion d’électeurs s’exprimant sous la contrainte et le vote
électronique est justement une bonne façon d’augmenter le nombre de votants.
Le déroulement du vote ne doit subir aucune interruption
Les serveurs de vote, ceux contenant les listes d’électeurs et de candidats, ceux contenant la
liste d’émargement et ceux qui contiennent l’urne électronique, comme tout élément connecté
sur l’Internet, sont l’objet de menaces qui n’ont rien de virtuelles et peuvent être la cible
d’attaques indiscrètes ou malveillantes. Il conviendra de placer les serveurs dans un centre
d’hébergement où la sécurité est en rapport avec l’enjeu de l’élection.
Les serveurs doivent être dupliqués pour que si l’un tombe, l’autre prenne automatiquement le
relais, sans perdre les transactions en cours. Pour une élection politique, l’enjeu est essentiel et
l’hébergement des serveurs de vote ne peut être confié qu’à des spécialistes, dans un centre
très sécurisé avec coupe-feux, anti-malwares, sondes de détection et de prévention d’intrusion,
serveurs redondés, sans oublier le niveau de qualité de services que requiert le confort des
électeurs.
Au moins deux personnes doivent dépouiller le scrutin
Inutile de prendre les précautions que l’on a évoquées si un individu, qui pourrait être
malveillant, était le seul à pouvoir dépouiller les résultats. Dans un scrutin traditionnel, en
général un président et au moins un assesseur assurent le dépouillement et la publication des
résultats qui se font de plus en présence des citoyens qui le désirent. Il en est de même pour le
vote électronique. Le cérémonial qui accompagne la fermeture du scrutin et l’ouverture de l’urne
peut être reconstitué.
Nous avons vu que les votes sont chiffrés avec une clé publique. La clé privée correspondante
est détenue par le président. Pour reconstituer le cérémonial du dépouillement du vote, la clé
privée est partagée en plusieurs morceaux qui sont enfermés dans un coffre. Après la fermeture
du scrutin, un des morceaux est remis au président, les autres aux assesseurs. Donc le
dépouillement réclame la présence du président et des assesseurs. Chacun s’authentifie pour
accéder à leur partie de clé, pour reconstituer ensemble la clé privée complète qui va permettre
au président de déceler l’urne et de calculer et publier le résultat du scrutin.
Le résultat du scrutin peut être vérifié
Il est toujours possible à partir des bulletins dans l’urne, de recalculer le résultat de la somme
des votes. A l’issue du scrutin, le contenu de l’urne est archivé et stocké dans un endroit sûr
pour que le résultat puisse être reconstitué en cas de contestation, et ce avec une disponibilité
des informations pour une durée conforme à ce que la loi impose.
7.1.4 L’utilisation du chiffrement dans le vote électronique
Dans ce document trois méthodes de traitement des bulletins de votes qui sont utilisées dans le
cadre du vote électronique sont décrites. Le « mix-net », la « signature aveugle » et le chiffrement
homomorphique.
Le mix-net
Le mix-net vient de la combinaison mix qui fait allusion à un mixeur (ou mélangeur) et net qui
fait allusion au réseau. C’est une méthode qui assure à un électeur que son vote va demeurer
confidentiel et sa transaction anonyme même si un hacker, à l’écoute sur le réseau, essaie de
connaître qui vote … et pour qui. Un serveur, le « mélangeur » est placé entre le poste de
travail (ou la machine à voter) de l’électeur et l’urne. Le chiffrement asymétrique est utilisé entre
le votant et l’urne et aussi entre le votant et le mélangeur. Le vote est chiffré, sur le poste de
Août 07
71/84
travail de l’électeur, par la clé publique de l’urne électronique, qui est la clé publique
correspondant à la clé privée du président. Le tout est ensuite re-chiffré par la clé publique du
mélangeur. Le bulletin de vote, découpé en petits paquets de taille fixe, quitte le poste de
l’électeur pour aller vers le mélangeur.
Le double chiffrement protège, en amont du mélangeur, le bulletin de vote de sa lecture par un
hacker qui se place sur le réseau entre le poste du votant et le mélangeur. Le hacker peut
remarquer que des paquets qui correspondent peut-être à un bulletin de vote transitent vers le
mélangeur et il peut se douter qu’ensuite, ces paquets iront vers le serveur de vote. Comme le
mélangeur n’est qu’un serveur intermédiaire, le hacker se placera alors aussi à la sortie du
mélangeur, donc entre le mélangeur et l’urne électronique, pour savoir où va le message, qui
était entré dans le mélangeur et qui provient de l’électeur, et si possible en cassant le
chiffrement, il essaiera de connaître le contenu du vote et peut-être il pourrait même réussir à le
modifier.
C’est là que réside l’astuce des mix-nets.
Le mélangeur renvoie chaque paquet reçu vers le serveur de vote, mais avec un délai aléatoire
pour chaque paquet, donc dans le désordre. Il n’est dès lors pas possible au hacker d’établir
une correspondance entre les paquets qui entrent et les paquets qui sortent du mélangeur. Bien
entendu, les paquets qui sortent du mélangeur qui ont été déchiffrés par la clé privée de ce
mélangeur restent chiffrés par la clé publique du serveur de vote et seul, in fine, ceux qui
possèdent la clé privée de l’urne, c’est à dire le président et les assesseurs, peuvent les
déchiffrer.
Si on ne craint pas d’augmenter la taille des paquets et leurs temps de chiffrement /
déchiffrement entre les mélangeurs, on peut placer plusieurs mélangeurs en série entre le poste
de l’électeur et l’urne électronique pour une plus grande anonymisation des messages. On peut
encore faire mieux : mettre un réseau de mélangeurs avec certains en série et d’autres en
parallèle. Le chemin emprunté par les paquets qui constituent les bulletins de vote sera alors
totalement imprévisible pour des hackers.
On peut se demander pourquoi entrer dans de telles complications et dans de tels coûts car
est-il envisageable de placer des mélangeurs entre les postes de travail personnels des
électeurs et l’urne électronique ? Non bien entendu, et c’est pourquoi cette technique ne
s’explique que si le nombre de postes par lesquels les électeurs votent est limité, et ne peut
Août 07
72/84
s’implémenter que si les postes sont situés dans des endroits du réseau parfaitement identifiés.
C’est bien le cas avec les machines à voter en réseau. Elles peuvent être mises à la disposition
des électeurs dans les bureaux de votes et d’autres endroits publics tels que les bureaux de
poste, les gares ou les centres de sécurité sociale.
La signature aveugle
La signature aveugle (blind signature) permet de dissocier l’identité du votant du contenu de
son vote tout en faisant valider son vote par une autorité compétente, qui n’en connaîtra pas le
contenu. Le but est, pour l’électeur, d’obtenir, de la part d’une autorité, la signature de son vote
sans révéler pour qui, ou pour quoi, il a voté. Ceci se fait grâce encore aux technologies du
chiffrement asymétrique. Pour simplifier nous prendrons, dans la vie courante, un exemple
équivalent à ce qui se passe sur le réseau. L’électeur recouvre son bulletin de vote d’une feuille
de papier carbone et place le tout dans une enveloppe (dans le cas réel et numérique qui nous
occupe, il chiffre son vote) qu’il envoie à l’autorité du bureau de vote. L’autorité appose sa
signature sur l’enveloppe, sans l’ouvrir, et grâce au papier carbone, la signature s’inscrit à la foi
sur l’enveloppe et aussi sur le bulletin de vote qu’elle contient. L’autorité, qui gère la liste
d’émargement, marque l’électeur comme ayant voté et lui renvoie l’enveloppe. L’électeur l’ouvre
et récupère son vote signé par cette autorité sans que celle-ci ait pu prendre connaissance du
contenu du bulletin. Le vote repart ensuite chiffré, par exemple en combinant la technologie du
« mix-net » vers l’urne électronique.
Le chiffrement homomorphique
Le chiffrement homomorphique repose sur la propriété suivante : la multiplication des bulletins
de vote chiffrés qui se trouvent dans l’urne électronique donne comme résultat la somme
chiffrée des bulletins de vote. Cette somme est précisément le résultat du scrutin. Les bulletins
sont chiffrés par la clé publique de l’urne, le déchiffrement de la somme des bulletins par la clé
privée de l’urne, reconstituée entre le président et les assesseurs, fournit donc le résultat
attendu.
Août 07
73/84
Ek (m1 ) × Ek (m2 ) × ... × Ek (mn ) = Ek (m1 + m2 + ... + mn )
Ek (mn ) : bulletin de vote mn chiffré avec la clé k.
Cette méthode est élégante dans sa simplicité. Les bulletins dans l’urne ne sont jamais
déchiffrés pourtant on connaît le résultat de la somme des votes qui est d’ailleurs le seul
renseignement qui est intéressant et non confidentiel après la fermeture du scrutin.
7.1.5 Quel chiffrement pour quelles architectures ?
Comme le nombre de points d’accès pour les solutions de vote électronique basées sur les
machines à voter en réseau est forcément limité, il est possible de placer, entre les machines à
voter en réseau et l’urne électronique, un réseau de mélangeurs. Ces solutions utilisent comme
méthode de chiffrement les mix-net et la signature aveugle.
Les solutions de vote à distance par l’Internet qui utilisent comme points d’accès, des postes de
travail banalisés, qui peuvent être ceux des électeurs, utilisent le chiffrement homomorphique,
souvent celui dit de El-Gamal.
7.1.6 La règle des trois unités
Comme dans le théâtre classique, le vote obéit à la règle des trois unités mise en vers par Boileau :
Qu’en un temps, qu’en un lieu un seul fait accompli
tienne jusqu’à la fin le théâtre rempli
Dans le théâtre moderne, le vote électronique obéit également à la règle de ces trois unités. Mais
l’unité de temps n’est plus les six ou huit heures d’ouverture des bureaux de vote, le jour du scrutin.
Le temps peut s’étaler sur plusieurs jours, laissant aux électeurs toute latitude pour voter au moment
qui leur convient. Et quand la période d’expression des choix par vote électronique se termine, le
vote classique peut commencer où seuls pourront s’exprimer ceux qui n’auront pas choisi la facilité
du vote à distance et dont on sait qu’ils n’ont pas déjà voté, en consultant les listes d’émargements
sur lesquelles les électeurs qui ont choisi de voter par voie électronique sont cochés. Ces listes
d’émargements sont disponibles dès le début du vote dans les bureaux.
L’unité de lieu est bien sûr l’endroit où l’électeur exprime son choix. Mais ce n’est plus le bureau de
vote où l’électeur est inscrit et où il doit se rendre bien que ce lieu puisse être très éloigné de son
domicile. C’est par exemple le cas pour les Français qui résident hors de France, ou pour ceux qui,
en métropole, sont simplement en déplacement ou en congés. Le lieu s’étend au village planétaire
créé par l’Internet, c’est à dire, partout où il est possible de se connecter. Les serveurs de vote
hébergeant les listes d’électeurs et de candidats et l’urne électronique doivent par contre, c’est une
des exigences de la CNIL, être situés sur le territoire national.
L’unité d’action est le bulletin de vote qui tombe dans l’urne, et, tout comme pour le vote classique, le
vote électronique ne permet de voter qu’une seule fois. Quand l’électeur valide son vote, son identité
part, par un canal sécurisé, vers un serveur qui contient la liste d’émargement. Si l’électeur n’a pas
déjà voté dans ce scrutin, son nom est coché dans la liste, et son vote quitte chiffré le point d’accès,
pour arriver dans l’urne électronique.
Tout comme dans le vote classique, l’urne électronique qui récolte l’ensemble des bulletins reste
remplie jusqu’à la fin car pour connaître le résultat, il est nécessaire de déverrouiller l’urne pour
déchiffrer les résultats au moyen d’une clé de déchiffrement, mais les supports matériels de celle-ci
sont gardés dans un coffre fort qui n’est ouvert qu’à l’issue du scrutin, en présence du président et
Août 07
74/84
des assesseurs. Le déverrouillage de l’urne et l’exploitation des résultats sont ainsi entourés de la
solennité qui s’impose.
Bien sûr la querelle des anciens et des modernes peut s’exprimer et la législation pour permettre le
vote électronique et en particulier le vote à distance par l’Internet pour l’ensemble des élections
politiques doit se mettre en place. Mais rien ne peut entraver la marche du temps, surtout que le
citoyen en profitera avec toutes les garanties de convivialité, de discrétion et de sécurité pour son
vote et toutes les garanties de sincérité pour l’ensemble du scrutin. La e-Démocratie vient au
secours de la démocratie, et c’est bien là un apport très intéressant pour faciliter l’expression des
citoyens sollicités par un scrutin.
Août 07
75/84
ANNEXE 1
PARTIE : LE CONTROLE INFORMATISE DES DOCUMENTS D’IDENTITE
Les bases légales du contrôle d’identité
Les bases juridiques sont différentes selon que celui qui met en œuvre ce contrôle appartient au
secteur public ou au secteur privé.
Secteur public (exemples)
Administration
Sécurité Sociale
Observations
Article L162-21 du Code de la Sécurité Sociale : L'assuré ne peut être
couvert de ses frais de traitement dans les établissements de santé de
toute nature que si ces établissements sont autorisés à dispenser des
soins aux assurés sociaux. Dans ces établissements de santé, il peut
être demandé à l'assuré d'attester auprès des services administratifs de
son identité, à l'occasion des soins qui lui sont dispensés, par la
production d'un titre d'identité comportant sa photographie.
Article L 315-1 IV. bis du Code de la Sécurité Sociale : Le service du
contrôle médical s'assure de l'identité du patient à l'occasion des
examens individuels qu'il réalise, en demandant à la personne
concernée de présenter sa carte nationale d'identité ou tout autre
document officiel comportant sa photographie.
Intérieur
Loi du 23 Janvier 2006 dite anti-terrorisme – article 7 (extraits) : Afin
d'améliorer le contrôle aux frontières et de lutter contre l'immigration
clandestine, le ministre de l'intérieur est autorisé à procéder à la mise en
oeuvre de traitements automatisés de données à caractère personnel,
recueillies à l'occasion de déplacements internationaux en provenance
ou à destination d'Etats n'appartenant pas à l'Union européenne :
1° Figurant sur les cartes de débarquement et d'embarquement des
passagers de transporteurs aériens ;
2° Collectées à partir de la bande de lecture optique des documents de
voyage, de la carte nationale d'identité et des visas des passagers de
transporteurs aériens, maritimes ou ferroviaires ;
Précité : Article 78-2 du Code de Procédure Pénale : La justification
d’identité lors d’un contrôle d’identité s’effectue par la présentation d’un
document officiel comportant une photographie, toutes autres pièces
probantes ou témoignages de tiers.
Douanes
Article 67 CD : Les agents des douanes peuvent contrôler l'identité des
personnes qui entrent dans le territoire douanier ou qui en sortent, ou
qui circulent dans le rayon des douanes.
Inspection du Travail
Articles L 611-8 et L 611-12 du Code du Travail : Les inspecteurs et
contrôleurs du travail peuvent demander aux employeurs et salariés
occupés dans les établissements assujettis au Code du Travail de
justifier de leur identité et de leur adresse
Août 07
76/84
Mairies
Loi électorale : Article 227-4 :
Outre les justifications exigibles des ressortissants français, le
ressortissant d'un Etat de l'Union Européenne autre que la France
produit, à l'appui de sa demande d'inscription sur une liste électorale
complémentaire, un document d'identité en cours de validité et une
déclaration écrite précisant :
a) Sa nationalité;
b) Son adresse sur le territoire de la République;
c) qu’il n'est pas déchu du droit de vote dans l'Etat dont il est ressortissant
Secteur privé (exemples)
Les secteurs économiques disposant d’une base légale spéciale.
Compagnies aériennes et
armateurs
CODE DE L’ENTREE ET DU SEJOUR DES ETRANGERS ET DU
DROIT D’ASILE :
Article L. 625-1 - Est punie d'une amende d'un montant maximum de 5
000 € l'entreprise de transport aérien ou
maritime qui débarque sur le territoire français, en provenance d'un
autre Etat, un étranger non ressortissant d'un Etat de l’Union
européenne et démuni du document de voyage et, le cas échéant, du
visa requis par la loi ou l'accord international qui lui est applicable à
raison de sa nationalité (….).30
Article L. 625-3 : L'amende prévue à l'article L. 625-1 est réduite à 3
000 EUR par passager lorsque l'entreprise a mis en place et utilise, sur
le lieu d'embarquement des passagers, un dispositif agréé de
numérisation et de transmission, aux autorités françaises chargées du
contrôle aux frontières, des documents de voyage et des visas.
Article L. 625-5 : Les amendes prévues aux articles L. 625-1, L. 625-3
et L. 625-4 ne sont pas infligées :
2°Lorsque l'entreprise de transport établit que les documents requis lui
ont été présentés au moment de l'embarquement et qu'ils ne
comportaient pas d'élément d'irrégularité manifeste.
Transporteurs routiers
internationaux de
voyageurs
Article L. 625-6 du même code :
Les dispositions du présent chapitre sont applicables à l'entreprise de
transport routier exploitant des liaisons internationales en provenance
d'un État non partie à la convention signée à Schengen31 le 19 juin 1990
30 C’est une réglementation internationale. Cf Incident survenu en Mai 2007 lors du déplacement au Brésil du
Pape Benoît XVI. Il voyageait sans passeport. . Les autorités Brésiliennes auraient prononcé une amende
contre le transporteur aérien ALITALIA.
31 En 2007 , 15 Etats: Suède, Portugal, Pays-Bas, Norvège (Etat hors UE), Luxembourg, Italie, Islande (Etat
hors UE), Grèce, France, Finlande, Espagne, Danemark, Belgique, Autriche, Allemagne. La France, en
Août 07
77/84
sous la forme de lignes régulières, de services occasionnels ou de
navette, à l'exclusion des trafics frontaliers. Le taux de l'amende est fixé
dans ce cas à un montant maximal de 5 000 € par passager concerné.
Si une telle entreprise n'a pu procéder à la vérification du document de
voyage et, le cas échéant, du visa des passagers empruntant ses
services, elle est exonérée de l'amende prévue au précédent alinéa, à
condition d'avoir justifié d'un contrôle à l'entrée sur le territoire d'une des
parties contractantes à la convention signée à Schengen le 19 juin 1990
ou, à défaut d'un tel contrôle, à condition d'y avoir fait procéder à l'entrée
en France par les services compétents
Autres secteurs
Secteurs d’activités d’importance
vitale
Décret 2006-212 du 23 février 2006 et Arrêté du 2 Juin 2006 :
L’atteinte à ces secteurs peut entraîner un préjudice pour toute
la Nation (exemple : les centrales nucléaires). D’où l’importance
dans le plan de protection contre les menaces potentielles de
mettre en place un contrôle d’accès physique approprié pouvant
incorporer un contrôle approfondi des pièces d’identité.
Employeurs, Entreprises de Travail
temporaire
Article L 341-6 du Code du Travail :
Nul ne peut, directement ou par personne interposée, engager,
conserver à son service ou employer pour quelque durée que ce
soit un étranger non muni du titre l’autorisant à exercer une
activité salariée en France». Sanctions : L 364-3 et L 364-8.
L’arrêt BRACA rendu par la Cour de Cassation Chambre
Criminelle le 29 mars 1994 rappelle que « les dispositions de
l’article 341-6 du Code du travail impliquent nécessairement que
l’employeur s’informe de la nationalité de celui qu’il embauche et
vérifie, dans le cas où il s’agit d’un étranger, s’il est titulaire du
titre précité ; …., que commet sciemment l’infraction audit article
celui qui omet volontairement de remplir ces obligations ».
Cette vérification passe nécessairement par le contrôle de
toutes les pièces d’identité à l’embauche quelle que soit leur
origine de façon à déterminer quel document est exigible : CNI
ou le Passeport pour les résidents de l’espace économique
européen (15 premiers Etats de l’Union Européenne +
Liechtenstein, Islande, Norvège), Carte de résident ou titre de
séjour pour tous les autres.
Les sanctions prévues vont de l’amende pénale, aux sanctions
administratives comme l’interdiction de concourir à un appel
d’offres public, en passant par des sanctions financières comme
le refus d’aides publiques et l’obligation de se séparer du salarié
irrégulièrement engagé.
application de la clause de sauvegarde, maintient le dispositif de surveillance de ses frontières terrestres avec
le Bénélux. L'Irlande et la Grande-Bretagne n'ont pas signé les accords.
Août 07
78/84
Employeurs
Articles L312-1, R312-4, R312-5, R312-6 du Code de la
Sécurité Sociale.
Formulaire CERFA 50560 # 02. Assurance maladie. Demande
d’immatriculation d’un travailleur.
Demandeurs d’emploi
Extrait du document CERFA: Les renseignements concernant
l’état civil du travailleur doivent être rigoureusement conformes à
un DOCUMENT OFFICIEL D’IDENTITE, par exemple :
- …
- Carte nationale d’identité ou passeport en cours de
validité,
- Titre de séjour.
Article R311-3-1 du Code du travail :
Pour demander leur inscription sur la liste des demandeurs
d'emploi, les travailleurs recherchant un emploi doivent se
présenter personnellement auprès des services de l'Agence
nationale pour l'emploi ou auprès des services des organismes
chargés de recevoir et d'instruire les demandes d'inscription en
vertu des conventions prévues à l'article L.311-8. Dans les
localités où les services susmentionnés n'existent pas, ils
doivent se présenter personnellement auprès des services de la
mairie de leur domicile. Ils sont tenus de justifier de leur identité
et déclarent leur domiciliation auprès des services
susmentionnés. Les travailleurs étrangers doivent en outre
justifier de la régularité de leur situation au regard des
dispositions
qui
réglementent
l’exercice
d’activités
professionnelles par les étrangers.
Banques
Article 33 du décret 92-456 du 22 mai 1992 :
Le banquier doit, préalablement à l'ouverture d'un compte,
vérifier le domicile et l'identité du postulant qui est tenu de
présenter un document officiel portant sa photographie. Les
caractéristiques et les références de ce document sont
enregistrées par le banquier.
Article L. 563-1 du Code Monétaire et Financier: (lutte
contre le blanchiment) :
Assurances
Les organismes financiers mentionnés à l’article L. 562-1
doivent… s’assurer de l’identité de leur cocontractant par la
présentation de tout document écrit probant.
Article A. 310-5 du Code des Assurances :
Les entreprises mentionnées à l'article L. 310-1 et les courtiers
d'assurances et de réassurance effectuent la vérification
d'identité prévue par l'article 12 de la loi nº 90-614 du 12 juillet
1990 et par l'article 3 du décret nº 91-160 du 13 février 1991
avant la conclusion de tout contrat d'assurance ou de
Août 07
79/84
capitalisation dès lors que celui-ci donne lieu à la constitution
d'une provision mathématique.
Les personnes mentionnées au premier alinéa doivent
également vérifier l'identité du bénéficiaire d'un contrat
d'assurance vie lors du paiement de la prestation ainsi que
l'identité de la personne qui demande le remboursement d'un
bon de capitalisation
Distribution
L'article L 131-5 du code monétaire et financier :
Toute personne qui remet un chèque en paiement doit justifier
de son identité au moyen d'un document officiel portant sa
photographie" (Cf art. 12-2 du décret-loi du 30 Octobre 1935).
A condition de l’afficher clairement à l’attention de ses clients, le
commerçant peut exiger la production de 2 documents
d’identité. (Réponse M. Allouche, J.O. déb. Sénat 19 mars
1992).
Août 07
80/84
8
BIBLIOGRAPHIE ET REFERENCES
8.1
GENERAL
(Réf. 1) La Sécurité à l’Usage des Décideurs (Collection ATENA) ISBN 2-84928-042-9
8.2
LE VOTE ELECTRONIQUE
(Réf. 2) Advances in cryptology applied to polling systems de Jacques Traoré, David Arditti et Marc
Girault
(Réf. 3) Le projet Cybervote : www.eucybervote.org
(Réf. 4) Le projet e-Poll : www.e-poll-project.net
(Réf. 5) www.election-europe.com/
8.3
L’IMPLEMENTATION D’UNE ARCHITECTURE WI-FI
(Réf. 6) [Michel Terré] Le Standard 802.11 Couche physique et couche MAC, Michel Terré, mars
2007 au CNAM.
(Réf. 7) [Thaureaux] Informatique Nomade, Thierry Thaureaux de Levare, octobre 2005 Micro
Application p257 sq.
(Réf. 8) [Monville] Pas de Blackberry ! Mais alors quelle solution ? Alexis Monville, juin 2007
http://synergies.modernisation.gouv.fr/article.php?id_article=605
(Réf. 9) [Debise] L'assistant personnel, pour se connecter de partout, Cécile Debise, aout 2007
http://www.journaldunet.com/solutions/dsi/dossier/07/0823-outils-dsi/2.shtml
Août 07
81/84
9
GLOSSAIRE
9.1
ACRONYMES
9.2
AVL
Automatic Vehicle Location
CEPT
European Conference of Postal and Telecommunication Administrations
EGERIS
European Generic Emergency Response Information System
EMTEL
ETSI
GPS
GSM
ITU
MESA
PAMR
PMR
RPN
TEDS
TETRA
TIA
EMergency TELecommunications
European Telecommunication Standard Institute
Global Positioning System
Global System for Mobile communications
International Telecommunication Union
Mobility for Emergency and Safety Applications
Public Access Mobile Radio
Professional Mobile Radiocommunications
Réseaux Privés Numériques
TETRA Enhanced Data Services
TErrestrial Trunked RAdio
Telecommunication Industry Association
DÉFINITIONS
ARCEP
Certificat
CNIL
Août 07
L’ Autorité de Régulation des Communications Électroniques et de la Poste
(anciennement ART) est l’organisme qui régule la concurrence dans le secteur
des télécommunications et en particulier accorde les licences aux opérateurs
télécoms.
Fichier contenant divers renseignements qui permettent d’authentifier un
utilisateur, avec en particulier son nom, sa société, l’autorité de confiance qui a
signé ce certificat, les dates de validité du certificat, la clé publique qui va
permettre de chiffrer / déchiffrer lors d’un chiffrement asymétrique et une partie
chiffrée qui permet d’en contrôler l’origine.
La Commission Nationale de l’Informatique et des Libertés est une autorité
administrative indépendante à qui toute action de constitution de liste nominative
doit être communiquée. Voir www.cnil.fr
82/84
10
CONTRIBUTIONS A L’ECRITURE DE CE LIVRE
Classés par ordre alphabétique des noms des auteurs
Prénom, Nom mél
Luc Baranger
[email protected]
Jacques Baudron
[email protected]
Jean-Denis Garo
[email protected]
Michèle Germain
[email protected]
Gerald Kembellec
[email protected]
Gérard Peliks
[email protected]
Bruno Rasle
[email protected]
Raphaël Rocher
[email protected]
Laurent Treillard
[email protected]
Août 07
Fonction, Société, Web
Responsable des Affaires
Techniques et Expertise
Fédération Française des
Installateurs Electriciens
Administrateur Forum
ATENA
www.ixtel.fr
Chef de Département
Marketing Support
AASTRA MATRA Telecom
www.aastra-matra.com
Consultante
ComXper
comxper.free.fr
Administrateur Système
Université PARIS 8
https://geka.ec-10.eu
Président de l’atelier sécurité
du forum ATENA
EADS
www.eads.com
Responsable des Offres
Cortina
www.cortina.fr
Gérant
SECALLIANCE
www.ispace.fr/prt_secalliance.htm
Auditeur Sécurité SI
Groupe MACIF
www.macif.fr
Contributions
La video surveillance
La disponibilité des réseaux
Centre d’appels et gestion de crise
Les réseaux radio pour la sécurité des
personnes
Les grands projets européens pour la
sécurité des citoyens
Implémentation d’une architecture Wi-Fi
sécurisée
Les nouvelles formes de vote
Anonymisation des données à caractère
personnel
Le contrôle informatisé des documents
d’identité
La classification du patrimoine
informationnel
83/84
Copyright ATENA 2006 – Collection ATENA
Les idées émises dans ce livre n’engagent que la responsabilité de leurs auteurs, et pas celle de forum
ATENA.
La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en
citer la source comme suit
Cppyright forum ATENA 2007 – La sécurité à l’usage des collectivités locales et territoriales.
L'utilisation à but lucratif ou commercial, la traduction et l'adaptation de ce document sous quelque support
que ce soit sont interdites sans la permission écrite de Forum ATENA.
Août 07
84/84

La sécurité

Transcription

Documents pareils

Blind test ou quiz

à tous les membres cols blancs du parc six flags sec (la ronde)

À TOUS LES MEMBRES COLS BLANCS DU PARC SIX FLAGS

HyperMaster, vote interactif avec Mobilescan

concours photos ailes beaujolaises

Télécharger - Math Seguy Fr M Seguy Professeur De

Ordre du Jour de l`AG

Boitier de VOTE Interactif Turning Point

Oeuvres complètes

ADLPartner Société anonyme à directoire et conseil de surveillance