Après les tragiques événements des 7 et 9 janvier, une formidable mobilisation pour la liberté d’expression a vu le jour sur internet, symbolisée par le désormais emblématique #JeSuisCharlie apparu sur twitter. Près de 7 millions de tweets ont été publiés sous ce slogan ce qui constitue un record historique.
Cet élan de solidarité né sur les réseaux sociaux, n’a hélas pas écarté la circulation d’un lot de messages haineux, appelant parfois au terrorisme. Et vous en avez peut-être été les témoins directs ou indirects ces derniers jours.
Sachez que ces propos sont considérés comme illicites et peuvent être punis par la loi. Un site est dédié aux signalements de ce type de contenu et est accessible à l’adresse : internet-signalement.gouv.fr. Tout internaute peut y déposer des propos litigieux constatés grâce à un formulaire en ligne à remplir en cinq étapes. L’équipe qui gère cette plateforme appelée PHAROS (Plateforme d’Harmonisation, de recoupement et d’Orientation des Signalements) a été renforcée ces derniers jours pour faire face à l’afflux massif de signalements. Depuis une semaine, 3300 messages en moyenne sont recensés chaque jour et 54 procédures judiciaires ont été ouvertes pour « apologie du terrorisme » durant cette même période.
Et à circonstances exceptionnelles, mesures exceptionnelles, dans une circulaire en date du 12 janvier 2015, la Garde des Sceaux Christine Taubira demande aux procureurs de faire « preuve d’une grande réactivité dans la conduite de l’action publique envers les auteurs de ce type d’infractions ». Plusieurs personnes ont déjà été condamnées à des peines de prison ferme. En effet, sur les réseaux sociaux (circonstance aggravante) toute personne tenant des propos appelant à « la provocation et à l’apologie du terrorisme » peut encourir jusqu’à 7 ans de prison et 100 000 euros d’amende. L’humoriste décrié Dieudonné M’Bala M’Bala devra comparaître au tribunal correctionnel début février pour apologie du terrorisme après avoir publié un statut où il disait se sentir « Charlie Coulibaly » sur Facebook, en référence à Amedy Coulibaly, l’homme qui a pris en otage et tué des clients dans le supermarché casher Porte de Vincennes.
Faut-il renforcer la surveillance du réseau internet ?
Dimanche dernier, le ministre de l’Intérieur, lors d’une réunion exceptionnelle avec 10 de ses homologues européens, a déclaré vouloir lutter contre « l’usage dévoyé que font d’internet toutes les organisations terroristes » et le « besoin d’une plus grande coopération avec les entreprises de l’internet, pour garantir le signalement et le retrait des contenus illicites et faisant l’apologie du terrorisme ». La question du renforcement de la surveillance d’internet au nom de la lutte contre le terrorisme se pose désormais dans notre pays.
Depuis les révélations d’Edward Snowden sur la NSA et le programme de lutte contre les cyberattaques capable d’accéder aux communications privées de tout citoyen sans entamer de procédures judiciaires, les atteintes aux libertés doivent nous préoccuper. On se souvient que peu après le 11 septembre 2001, les États-Unis avaient voté le célèbre Patriot Act dont il reste encore aujourd’hui à prouver les effets positifs.
Il est d’autant plus important de se soucier de ce renforcement accru de la surveillance dans un contexte de guerre… économique. Si un service de renseignement étranger venait à intercepter les contenus d’une entreprise « innovante » (sous-entendu qui dispose de secrets industriels), cette dernière pourrait voir ses informations sensibles pillées sans se douter que c’est la transmission d’informations sans chiffrement qui est à l’origine de la fuite dont les conséquences économiques, technologiques et humaines peuvent être lourdes.
Le premier Ministre britannique David Cameron, et quelques voix en France comme le député Urvoas, réclament pourtant pour le premier l’interdiction pure et simple du chiffrement ou pour le second, l’autorisation légale d’accéder à nos ordinateurs lorsqu’il y a besoin afin de s’assurer que le citoyen visé n’est pas en train de préparer un acte illégal.
On le comprend, le juste milieu entre protection de nos territoires face au terrorisme et protection de nos libertés est particulièrement complexe à trouver. À noter au passage que ce n’est pas sur Internet que les terroristes des attaques perpétrées les 7 et 9 janvier se sont radicalisés, mais en prison.
Si vous avez un site web, ceci vous concerne…
Si la sécurité de vos données privées ou de vos sites web est un sujet de préoccupation quotidien – il devrait l’être – alors, ces quelques conseils de bon sens pourraient vous être utiles. Ils rejoignent ceux prodigués par l’Agence nationale de la Sécurité des Systèmes d’information (ANSSI) dont nous vous recommandons de télécharger gratuitement les fiches pratiques.
- Mettez à jour vos CMS (Outils de gestion de contenus)
La plupart des sites web actuels se fondent sur différentes applications de gestion de contenu : Worpdress, Joomla, Drupal, etc.
Ces applications étant très largement distribuées sur le réseau, elles constituent une cible de choix pour les attaquants. Une faille exploitable sur un site peut l’être sur des dizaines de milliers d’autres.
Les développeurs de ces applications font d’importants efforts pour corriger les failles découvertes c’est pourquoi vous devez absolument maintenir vos CMS à jour.
Effectuez très régulièrement les mises à jours, selon les protocoles prévus. La plupart des CMS actuels proposent des fonctionnalités très simples pour ces mises à niveau, profitez-en. - Évitez tous plugins inutiles, non maintenus, ou obsolètes.
La plupart des failles de sécurité permettant aux attaquants de défacer votre site sont situées dans les modules additionnels, parfois développés avec peu de prudence.
Là encore, un plugin faiblement sécurisé mais largement diffusé, permet d’attaquer des milliers de sites. Désinstallez tous les plugins « non essentiels », et vérifiez que ceux que vous conservez soient bien à jour, et encore maintenus par leurs développeurs. - Vérifiez vos thèmes
Les thèmes (WordPress notamment) permettent parfois des intrusions, via l’utilisation de fonction d’upload ou d’appel d’URL. Veillez à utiliser des thèmes fiables et développés par des codeurs consciencieux. Effectuez les mises à jour des thèmes disponibles - Utilisez des mots de passe forts
Protégez vos comptes administrateurs par des couples d’identifiants et mots de passes complexes. N’utilisez pas de mots du dictionnaire. Ajoutez des chiffres, des signes de ponctuations, utilisez un grand nombre de caractères. Changez régulièrement vos mots de passe. Préférez les systèmes à double authentification lorsqu’ils sont disponibles. - Utilisez des mots de passe différents pour chaque service
La règle est simple : un mot de passe unique pour chaque identifiant. N’utilisez jamais deux fois le même code d’accès sur deux services différents. Si l’un de vos comptes est compromis, vos autres comptes seraient compromis également. - Préférez les connexions chiffrées.
Veillez à utiliser au maximum les protocoles sécurisés (https, TLS, sftp, ssh). Évitez autant que possible de faire circuler vos codes d’accès sur des protocoles « en clair ». - Faites des sauvegardes et constituez un historique.
Vérifiez que votre site est sauvegardé, et que vous pouvez restaurer cette sauvegarde. Veillez à conserver un historique des sauvegardes, vous pourrez avoir besoin de reconstruire votre site tel qu’il était il y a quelques jours, quelques semaines… - Ne laissez pas des serveurs sans maintenance
Si vous disposez de serveurs dédiés ou virtuels, vous devez impérativement effectuer les mises à jour de sécurité. Ne laissez jamais un serveur à l’abandon, c’est une cible facile, et votre machine courre le risque de devenir un relais puissant pour d’autres attaques ce qui pourrait engager votre responsabilité. - Surveillez et réagissez
Vérifiez régulièrement vos sites. Si votre site est infecté, défacé ou corrompu, agissez sans attendre. Ne faites surtout pas l’autruche : coupez le service, supprimez les contenus, empêchez par tous moyens la diffusion des malwares. - Mettez à jour vos postes de travail
Ne laissez pas en activité des postes de travail avec des systèmes obsolètes. On ne doit plus voir de Windows 2000, Me ou encore XP actifs, par exemple.
Utilisez des systèmes d’exploitation « officiels », préférez au besoin des OS libres à des OS propriétaires piratés !
Utilisez les fonctions de mises à jour automatiques de vos systèmes. Veillez à utiliser des antivirus et pare-feu efficaces (et à jour). - Organisez-vous !
Désignez dans votre entreprise un référent sur les questions de sécurité informatique. Formez-le. Donnez lui le temps et les moyens nécessaires pour améliorer vos systèmes d’informations.
Formez les personnels, faites évoluer vos infrastructures, vos applications et vos procédures de sécurité. - Faites-vous aider
Si votre entreprise ne dispose pas de compétences suffisantes en informatique, prenez attache avec un professionnel qualifié, qui saura vous conseiller et vous aider à mettre en place les bonnes pratiques.
Auteurs :
Lucie Thiery, journaliste
Membre de Silicon Comté
@luciethiery
Sébastien Galliot, fondateur de Déménageur de sites
Membre du CA de Silicon Comté
@demenageursite
Crédit illustration : Ivan David Gomez Arce