Essonne : des mesures d’urgence pour le passeport biométrique
Passeports biométriques : deux mesures d’urgence pour le département de l’Essonne.
sécurité des SI
Informatique, Informatique, Sécurité des SI
tarification des interceptions de communications électroniques
Sécurité des systèmes d’information Ecoutes téléphoniques Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006)
Pénal numérique
Sécurité des SI Cyber-attaque de sites gouvernementaux US
Le jour de la fête nationale américaine, le 4 juillet dernier, un botnet est parvenu à encombrer la bande passante (ex : attaque DdoS) et à neutraliser certains sites gouvernemantaux américains pendant plus de trois jours. Un botnet est un réseau (« net ») de robot (« bot »). Il s’agit d’un ensemble d’ordinateurs sur lesquels ont été installés des « logiciels virus ». Une fois ces logiciels installés, l’ordinateur a pu être placé en mode « zombie » et rejoindre un ensemble d’ordinateurs également infectés par ces logiciels, au moyen de techniques virales de propagation. Le 4 juillet dernier un botnet de plus 50 000 ordinateurs zombies a pu affecter le fonctionnement de sites internet de plusieurs grandes administrations. Ont ainsi notamment été touché le site du ministère du commerce (FTC), le site du département des transports (DOT), le site des départements américains de la sécurité intérieur, de la défense, des sites bancaires en Corée, le site du New York Stock Exchange, le Nasdaq et le Washington Post. Ces attaques semblent menacer la cybersécurité des réseaux américains, en rendant indisponibles certains sites pendant plus de trois jours. Online attack hits US government Web sites, Computerworld, July 7, 2009 (Mise en ligne Juillet 2009) Autres brèves Parution du décret passeport électronique (Mise en ligne Janvier 2006)
Informatique, Informatique, Sécurité des SI
Cryptologie:contenu des dossiers de déclaration et autorisation
Constructeurs ITE – Règlementation Cryptologie : contenu des dossiers de déclaration et d’autorisation L’arrêté du 25 mai 2007 pris en application du décret du 2 mai 2007 vient préciser les caractéristiques techniques qui peuvent être demandées par la Direction centrale de la sécurité des systèmes d’information (DCSSI), dans le cas d’une déclaration ou d’une demande d’autorisation d’opérations relatives à des moyens et des prestations de cryptologie. Les six arrêtés issus du régime antérieur sont abrogés. Les formulaires de déclaration préalable (DM et DP) et de demande d’autorisation (AM) dont les modèles sont annexés à l’arrêté, sont à adresser en trois exemplaires au secrétariat général de la défense nationale, direction centrale de la sécurité des systèmes d’information. Arrêté du 25 mai 2007 (Mise en ligne Mai 2007)
Informatique, Informatique, Sécurité des SI
Rémunération des opérateurs sur les interceptions
Constructeurs ITE – Libertés publiques Interceptions judiciaires Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Données de connexion : l’arrêté sur la tarification des réquisitions entaché d’illégalité (Mise en ligne Août 2007)
Informatique, Informatique, Sécurité des SI
e-administration législation comparée vote électronique
Vote électronique Législation comparée du Sénat sur le vote électronique Le service des études juridiques du Sénat vient de publier une étude de législation comparée sur le vote électronique. L’étude porte sur l’analyse des textes et de la pratique dans neuf pays européens : l’Allemagne, l’Angleterre et le pays de Galles, la Belgique , l’Espagne, l’Irlande, l’Italie, les Pays-Bas, le Portugal et la Suisse. L’étude révèle que : une partie plus ou moins importante du corps électoral vote à l’aide de dispositifs électroniques aux Pays-Bas, en Belgique et en Allemagne ; le vote électronique est instauré de façon très progressive en Suisse depuis 2003 ; l’Irlande a commencé à introduire le vote électronique en 2002, mais a suspendu son expérience ; en Angleterre et au pays de Galles, le vote électronique est expérimenté depuis 2000 à l’occasion d’élections locales dans plusieurs collectivités, mais sa généralisation n’est plus envisagée ; en Espagne, en Italie et au Portugal, le vote électronique ne donne pour l’instant lieu qu’à des tests sans valeur juridique.L’étude montre de façon générale, que le vote électronique ne paraît pas répondre aux espoirs qu’il a nourris. La Suisse, où l’instauration du vote par Internet s’effectue de façon très pragmatique et répond a priori à un réel besoin puisque les citoyens sont appelés à se rendre aux urnes plusieurs fois par an, semble cependant constituer une exception. Rapport d’information du Sénat sur le vote électronique (Mise en ligne Septembre 2007)
Informatique, Informatique, Sécurité des SI
Interceptions : rémunération des opérateurs
Internet contentieux Interception judiciaire Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006) Commercialisation de matériels d’interception de communications électroniques (Mise en ligne Septembre 2006)
Informatique, Informatique, Sécurité des SI
Les 10 conseils de la Cnil pour sécuriser son système d’information
Les 10 conseils de la Cnil pour sécuriser son système d’information La Cnil a publié sur son site web « 10 conseils pour sécuriser votre système d’information », le 12 octobre dernier. Ces 10 conseils s’inscrivent naturellement dans le cadre de la loi Informatique et libertés. Pour mémoire, cette loi organise la gestion des données personnelles autour de quatre axes : les formalités préalables (déclarations normales, simplifiées, autorisations,…) ; le droit des personnes (droit à l’information, droit d’accès, droit de modification,…) ; les flux transfrontières de données ; la sécurité des traitements et de leurs données. Ce dernier axe relatif à la sécurité, bien trop souvent ignoré, repose essentiellement sur les articles 34 et 35 de la loi Informatique et libertés. L’article 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] ». Pour sa part, l’article 35 vise les cas où le responsable du traitement sous-traite tout ou partie de ses traitements automatisés de données auprès d’un tiers et définit les relations entre le sous-traitant et le responsable du traitement, pour ce qui concerne la sécurité. Ces 10 conseils s’intègrent donc dans le cadre des conditions d’application des articles 34 et 35 de la loi. Si la Commission s’est déjà prononcée de très nombreuses fois sur les questions de sécurité, lorsqu’un dossier ou un projet lui est soumis, c’est en revanche la première fois ou l’une des premières fois que la Commission se penche sur cette question en l’abordant selon une approche générale. S’agissant du statut du document lui-même, il s’agit de « conseils » et non d’une « délibération ». Ces « conseils » ne sont pas liants au plan juridique, mais leur portée ne sauraient être pour autant sous-estimée. A tout le moins, ces conseils s’intègrent dans ce qu’on pourrait qualifier de référentiel de « bonnes pratiques ». Ainsi, les entreprises, sans y être contraintes sont vivement invitées à suivre ces conseils de la Cnil, gardienne de la loi Informatique et libertés. Sans entrer dans le détail de ces dix conseils, il convient de relever que le conseil n°2 « Concevoir une procédure de création et de suppression des comptes utilisateurs » doit être mis en place au sein des entreprise, mais également intégré dans la charte de l’utilisation des systèmes d’information. S’agissant des conseils n°9 et 10, respectivement « Anticiper et formaliser une politique de sécurité du système d’information » et « Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés », ils imposent à l’entreprise de dépasser le stade de la simple charte et de passer à celui d’une véritable gouvernance de la sécurité au sein de laquelle on retrouvera la charte des personnels pour l’utilisation des systèmes d’information mais aussi la charte « administrateur», la charte « accès », ou encore la charte « Informatique et libertés ». De même que le conseil n°10 impose également le passage d’une gouvernance statique à une gouvernance dynamique à travers des plans de formations ou de sensibilisation encore bien peu nombreux dans les entreprises. Les 10 conseils de la Cnil. (Mise en ligne Novembre 2009)
Informatique, Informatique, Sécurité des SI
le vote électronique lors d’élections des Français de l’Étranger
Internet conseil Vote électronique Le vote électronique pour les élections des Français de l’Étranger Le décret du 11 mai 2009, relatif au vote par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, vient d’être publié au Journal Officiel. Il est complété par un arrêté du même jour. Ces textes précisent, notamment, les conditions dans lesquelles se déroulent les opérations de vote électronique, la constitution et la mission du bureau de vote par voie électronique, et les règles attachées à la création de traitements automatisés de données à caractère personnel. Ce dispositif réglementaire vient compléter la loi du 28 mars 2003 autorisant le vote à distance, incluant le vote par correspondance, mais également le vote électronique, dans le cadre du développement de l’e-administration. Le 7 juin 2009 sont renouvelés les conseillers de l’Assemblée des Français de l’Étranger (AFE) ( Zone Afrique et Amérique), composée de 150 représentants qui sont élus au suffrage universel direct par les Français établis hors de France. L’option de vote électronique ainsi proposée aux Français établis à l’Étranger dans le cadre de cette élection est confiée à un prestataire technique. La gestion, notamment, de la sécurisation et la diffusion des codes personnels d’authentification des électeurs tient compte des recommandations de la Cnil, validées dans un contexte national, pour une élection à valeur légale, depuis les ordonnances de juillet 2003 et la délibération n°2006-042 du 23 février 2006. Le décret du 11 mai 2009 précise que le vote des Français à l’Étranger peut s’exercer selon trois modes de scrutin : personnellement, dans les bureaux de vote ; par correspondance ; par Internet.Deux traitements automatisés de données à caractère personnel, distincts, dédiés et isolés, dénommés « fichier des électeurs » et « urne électronique », ont été créés puis validés par la Cnil pour le vote électronique. Il est indiqué également que les Français inscrits sur les listes électorales consulaires pourront voter par voie électronique pour l’élection des membres de l’Assemblée des Français de l’Étranger, à moins que leur pays de résidence ne soit inscrit sur la liste de ceux depuis lesquels la transmission de flux informatiques chiffrés est impossible ou interdite. L’électeur ayant opté pour le vote électronique ne sera, en revanche, plus admis à voter, ni par correspondance sous pli fermé, ni à se présenter dans l’un des bureaux de vote ouverts le jour du scrutin. Préalablement à sa mise en oeuvre, le système de vote par voie électronique devra faire l’objet d’une expertise indépendante portant sur les garanties apportées à la confidentialité, la sécurité, la sincérité et au contrôle du scrutin. L’expert indépendant aura seul accès au code source du système de vote. Il remettra son rapport au Ministre des Affaires Étrangères, au bureau du vote par voie électronique, et à la Cnil. Également, un bureau du vote électronique a été mis en place afin de contrôler l’ensemble des opérations de vote par voie électronique et du dépouillement du scrutin. Décret n°2009-525 du 14 mai 2009 Arrêté du 13 mai 2009 Arrêté du 11 mai 2009 Délibération 2009-210 du 30 avril 2009 (Mise en ligne Juin 2009) Autres brèves Le vote électronique et la modernisation du processus électoral : les machines à voter (Mise en ligne Septembre 2008)