vendredi 4 octobre 2013

Ces lois qui régissent l'industrie de la sécurité de l'information

Par: Marc Séguin, GCFA, GWAPT, CCNA
  

Mise en contexte

Des gens me demandent régulièrement de leur expliquer les lois qui régissent mes actions dans le cadre de mon emploi en tant que spécialiste en enquêtes informatiques. Je tenterai de faire un survol de ce thème par le biais de ce document. Je jetterai aussi un regard sur les actions qui peuvent être prises (ex. poursuites) contre les les pirates informatiques et autres cybercriminels.

Afin d'avoir une définition commune de la cybercriminalité, nous allons utiliser la définition suivante :
« La cybercriminalité est généralement définie comme une infraction criminelle ayant l’ordinateur pour objet (piratage informatique, hameçonnage, pollupostage) ou pour instrument de perpétration principal (pornographie juvénile, crime haineux, fraude informatique). Des criminels peuvent également utiliser des ordinateurs à des fins de communication et de stockage de documents ou de données. »



Les lois canadiennes

Dans les lois canadiennes actuelles, le Code criminel contient plusieurs articles sur des crimes de nature purement informatique. Certains délits sont mêmes considérés comme étant assistés par la technologie et dans ce cas, là où les lois sanctionnant l'activité illégale d'origine s'appliqueront, l'élément technologique deviendra une preuve importante. De plus, l'expertise de ces preuves servira à démontrer la commission de l'acte ou l'intention du délinquant. Plusieurs articles du Code criminel canadiens concernant les crimes purement informatiques ont été écrits en 1985.

Dans le cas des crimes de nature purement informatique dans le Code criminel canadien, les articles de loi suivants peuvent s'appliquer:
  • Article 342.1 - Utilisation non-autorisée d’ordinateur
  • Article 342.2 - Possession de moyens permettant d’utiliser un ordinateur
  • Article 430 (1.1) - Méfait concernant des données
  • Article 327 - Possession de moyens permettant d’utiliser des installations ou d’obtenir un service en matière de télécommunication
  • Article 184 - Interception des communications
  • Article 191 - Possession
N.B. Pour une lecture approfondie de ces articles de loi, veuillez vous référer à l'annexe de ce document.

Afin de mieux comprendre la différence entre ce que sont des crimes purement informatiques et des crimes assistés par la technologie, voici quelques exemples de chaque catégorie:

Crimes purement informatiques :
  • Défiguration de sites Web
  • Piratage ou utilisation illicite de systèmes informatiques
  • Infractions propres aux réseaux électroniques (attaques visant les systèmes d'information, le déni de service, etc.)
  • Création et propagation malveillante de virus informatiques

Crimes assistés par la technologie (avec les articles de lois ou règlements applicables):
  • Pornographie juvénile (article 163.1 du Code criminel canadien)
  • Fraude (article 380 du Code criminel canadien)
    - Télémarketing frauduleux via Internet
    - Vol d’identité
    - Infractions économiques
  • Incitation publique à la haine (article 319(1) du Code criminel canadien)
    - Diffusion de contenus illicites par voie électronique
  • Harcèlement criminel (article 264 du Code criminel canadien)
    - Appels indécents
  • Trafic de drogue (Loi réglementant certaines drogues et autres substances)
    - Vente de substances ou de produits illicites via Internet
  • Falsifications informatiques – Faux documents (article 366 du Code criminel canadien)
    - Escroqueries
    - Fausses cartes de paiement
  • Atteintes à la vie privée (article 183 du Code criminel canadien)
    - La collecte, le stockage, la modification, la divulgation et la diffusion illicites de données à caractère personnel
    - Espionnage informatique
  • Sabotage (article 52 du Code criminel canadien)
    - Piratage informatique
    - Diffusion de virus
  • Atteintes à la propriété intellectuelle (Loi sur le droit d’auteur)
    - Atteinte à la protection juridique des programmes d'ordinateur et des bases de données, du droit d'auteur et des droits voisins
Sachez que la liste ci-dessus s'applique au niveau canadien, mais qu'au niveau provincial, il y a plusieurs infractions aux règlements et lois de la province du Québec qui peuvent s'ajouter et ne s'appliquent qu'à cette dernière. Par exemple, pour le code civil du Québec, plusieurs articles peuvent être enfreins tels que le respect de la réputation et de la vie privé (article 35). Dans les cas où ces articles s'appliquent, le plaignant doit avoir recours aux tribunaux civil. Ces lois ou règlements supplémentaires qui s'applique uniquement au niveau de la province ne sont pas purement informatique. Tous les articles des lois et règlements provincial peuvent s'appliquer à l'infraction et ces infractions sont considérées comme étant assistées par la technologie. Elles n'ont donc pas d'article de loi précis qui s'applique, car selon le type d'acte, c'est l'article d'origine qui va s'appliquer .


Cas vécus

En janvier 2001, Michael Demon Calce, connu sous son alias Mafiaboy, a plaidé coupable à 56 chefs d'accusations pour avoir lancé des attaques de déni de service contre des sites Web d'importance comme CNN, Ebay Yahoo et d'autres. Ces cibles ont souffert d'interruption de leurs services et leurs utilisateurs légitimes, qui se comptent dans les millions, n'ont pas pu avoir accès à leur contenu. Pour mener ses attaques, Mafiaboy a eu accès à 75 ordinateurs sur 52 réseaux différents dans 4 pays. Un fait intéressant à noter est que 48 des 52 réseaux appartenaient à des universités.Une fois l'accès au réseau acquis, il implantait un outil de déni de service dans leurs systèmes. Ensuite, il pouvait exécuter des commandes sur ces systèmes a partir de son ordinateur afin de lancer l’attaque sur les sites Web cible. La majorité des chefs d'accusation contre Mafiaboy étaient liés à l'utilisation non-autorisée d'un ordinateur et en moindre proportion, pour méfait contre des sites Web. Finalement, Mafiaboy a reçu une sentence de huit mois en centre de détention jeunesse, un an de probation après sa sortie ainsi qu'une amende de 250.00$ à une œuvre de charité. Durant sa détention, il a été autorisé à aller à l'école et à avoir un emploi à temps partiel.

En 2012, Janvier Doyon-Tremblay, alors âgé de 28 ans, a été arrêté pour avoir commis une suite d'attaques sur le site Web principal du gouvernement du Québec le 27 avril 2012 lors de la grève étudiante. Pendant qu’il travaillait à la Chambre des communes, M. Doyon-Tremblay aurait infiltré le réseau, obtenu des privilèges administratifs, puis il aurait téléchargé un programme malveillant qui aurait ciblé le site Web en question. Ces actes auraient fait en sorte que le site Web aura été inaccessible au public pendant plus de deux jours. Doyon-Tremblay a été accusé de deux chefs d'utilisation non-autorisée d'ordinateur (article 342.1) et d'un chef de méfait concernant des données en vertu de l'article 430(1.1) du Code criminel. Il a plaidé coupable et a reçu une sentence conditionnelle de huit mois de détention, dont la moitié à domicile. De plus, l'accusé ne peut pas utiliser d'ordinateur sauf dans le cadre de son emploi.

Tout récemment, un cas de poursuite au civil a été conclu au Québec. En janvier 2012, la Cour d'appel du Québec a reconnu le site Canoë coupable de propos diffamatoires contre Me Susan Corriveau. En 2007, un article a été publié sur le site Canoë par le journaliste Richard Martineau. Malgré que cet article contenait des propos jugés diffamatoires, il a tout de même été publié sans aucune modération de la part des propriétaires du site Web. À la suite de ces événements, Me Corriveau a fait parvenir une mise en demeure à Canoë et Richard Martineau et a déposé une poursuite pour dommages-intérêts. Richard Martineau fut écarté de la procédure, car dans son contrat avec le site internet, il n'était pas tenu personnellement de modérer les commentaires faits sur son blogue. Suite aux procédures, la Cour a accordé la somme de 107 000$ à Me Corriveau. Donc, la plus haute Cour de la province a confirmé que le site Web peut être tenu responsable du contenu diffamatoire même ci ce dernier n'en est pas l'auteur !


Conclusion

Dans le Code criminel du Canada, plusieurs articles s'appliquent à des crimes purement informatiques, mais plusieurs cybercrimes sont considérés comme assisté par la technologie et ainsi, les articles originaux du crime sont appliqués. Ces lois sont écrites d'une façon générique qui englobe plusieurs actions et ne sont pas spécifiques à une action unique.

Ensuite, selon la région où l'acte a été commis, d'autres lois et règlements peuvent s'appliquer comme dans le cas de la province du Québec où le Code civil du Québec et la Charte des droits et libertés de la personne s'appliquent uniquement dans cette Province.

De plus, l'informatique est sans frontières. Cela veut donc dire qu'un acte peut avoir été commis dans un autre pays ou province ce qui ne facilite pas la tâche pour les enquêteurs. Pis encore, d'autres lois que celle présentée dans ce document pourraient être impliquées.

Le domaine légale en est un qui est très complexe, truffé de nuances. Vous comprendrez que cet article n'est qu'un aperçu des lois et règlement qui peuvent s'appliquer. Pour plus d'informations ou dans le doute, veuillez consulter votre avocat.

Références :

Crimes technologiques - Les instruments légaux au Canada “
Hacker gets house arrest for crippling Quebec website” http://www.sunnewsnetwork.ca/sunnews/canada/archives/2013/06/20130612-185850.html
« Un cyberpirate ayant travaillé aux Communes arrêté »
« Hacker Charged by RCMP »
« Laws of Canada as they Pertain to Computer Crime »
« 'Mafiaboy' Sentenced to 8 Months »
« Diffamation dans les commentaires de blogue : confirmation de la Cour d’Appel »
« Canoë inc. c. Corriveau 2012 QCCA 109»
« Code criminel (L.R.C. (1985), ch. C-46) »

Annexe

Article 184

Interception des communications
  • 184. (1) Est coupable d’un acte criminel et passible d’un emprisonnement maximal de cinq ans quiconque, au moyen d’un dispositif électromagnétique, acoustique, mécanique ou autre, intercepte volontairement une communication privée.
    (2) Le paragraphe (1) ne s’applique pas aux personnes suivantes :
    • a) une personne qui a obtenu, de l’auteur de la communication privée ou de la personne à laquelle son auteur la destine, son consentement exprès ou tacite à l’interception;
    • b) une personne qui intercepte une communication privée en conformité avec une autorisation ou en vertu de l’article .4, ou une personne qui, de bonne foi, aide de quelque façon une autre personne qu’elle croit, en se fondant sur des motifs raisonnables, agir en conformité avec une telle autorisation ou en vertu de cet article;
    • c) une personne qui fournit au public un service de communications téléphoniques, télégraphiques ou autres et qui intercepte une communication privée dans l’un ou l’autre des cas suivants :
      • (i) cette interception est nécessaire pour la fourniture de ce service,
      • (ii) à l’occasion de la surveillance du service ou d’un contrôle au hasard nécessaire pour les vérifications mécaniques ou la vérification de la qualité du service,
      • (iii) cette interception est nécessaire pour protéger ses droits ou biens directement liés à la fourniture d’un service de communications téléphoniques, télégraphiques ou autres;
    • d) un fonctionnaire ou un préposé de Sa Majesté du chef du Canada chargé de la régulation du spectre des fréquences de radiocommunication, pour une communication privée qu’il a interceptée en vue d’identifier, d’isoler ou d’empêcher l’utilisation non autorisée ou importune d’une fréquence ou d’une transmission;
    • e) une personne - ou toute personne agissant pour son compte - qui, étant en possession ou responsable d’un ordinateur - au sens du paragraphe 342.1(2) -, intercepte des communications privées qui sont destinées à celui-ci, en proviennent ou passent par lui, si l’interception est raisonnablement nécessaire :
      • (i) soit pour la gestion de la qualité du service de l’ordinateur en ce qui concerne les facteurs de qualité tels que la réactivité et la capacité de l’ordinateur ainsi que l’intégrité et la disponibilité de celui-ci et des données,
      • (ii) soit pour la protection de l’ordinateur contre tout acte qui constituerait une infraction aux paragraphes 342.1(1) ou 430(1.1).
            • Note marginale :Utilisation ou conservation
    (3) La communication privée interceptée par la personne visée à l’alinéa (2) e) ne peut être utilisée ou conservée que si, selon le cas :
    • a) elle est essentielle pour détecter, isoler ou empêcher des activités dommageables pour l’ordinateur;
    • b) elle sera divulguée dans un cas visé au paragraphe 193(2).
  • L.R. (1985), ch. C-46, art. ;
  • 1993, ch. 40, art. 3;
  • 2004, ch. 12, art. 4.

Article 191

Possesion, etc.
  • 191. (1) Est coupable d’un acte criminel et passible d’un emprisonnement maximal de deux ans quiconque possède, vend ou achète un dispositif électromagnétique, acoustique, mécanique ou autre ou un élément ou une pièce de celui-ci, sachant que leur conception les rend principalement utiles à l’interception clandestine de communications privées.
    (2) Le paragraphe (1) ne s’applique pas aux personnes suivantes :
    • a) un policier en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) dans l’exercice de ses fonctions;
    • b) une personne en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) qu’elle a l’intention d’utiliser lors d’une interception qui est faite ou doit être faite en conformité avec une autorisation;
    • b.1) une personne en possession d’un dispositif, d’un élément ou d’une pièce d’un dispositif, sous la direction d’un policier, afin de l’aider dans l’exercice de ses fonctions;
    • c) un fonctionnaire ou préposé de Sa Majesté du chef du Canada ou un membre des Forces canadiennes en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) dans l’exercice de ses fonctions en tant que fonctionnaire, préposé ou membre, selon le cas;
    • d) toute autre personne en possession d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) en vertu d’un permis délivré par le ministre de la Sécurité publique et de la Protection civile.
    (3) Un permis délivré pour l’application de l’alinéa (2)d) peut énoncer les modalités relatives à la possession, la vente ou l’achat d’un dispositif, d’un élément ou d’une pièce visés au paragraphe (1) que le ministre de la Sécurité publique et de la Protection civile peut prescrire.
  • L.R. (1985), ch. C-46, art. ;
  • L.R. (1985), ch. 27 (1er suppl.), art. 26;
  • 2005, ch. 10, art. 34;
  • 2013, ch. 8, art. 4.


Article 327

Possession de moyens permettant d’utiliser des installations ou d’obtenir un service en matière de télécommunication
  • 327. (1) Quiconque, sans excuse légitime, dont la preuve lui incombe, fabrique, possède, vend ou offre en vente ou écoule des instruments ou des pièces particulièrement utiles pour utiliser des installations ou obtenir un service en matière de télécommunication, dans des circonstances qui permettent raisonnablement de conclure qu’ils ont été utilisés, sont destinés ou ont été destinés à l’être à cette fin, sans acquittement des droits exigibles, est coupable d’un acte criminel et passible d’un emprisonnement maximal de deux ans.
    (2) Lorsqu’une personne est déclarée coupable d’une infraction prévue au paragraphe (1) ou à l’alinéa 326(1)b), tout instrument au moyen duquel l’infraction a été commise ou dont la possession a constitué l’infraction peut, après cette déclaration de culpabilité et en plus de toute peine qui est imposée, être par ordonnance confisqué au profit de Sa Majesté, après quoi il peut en être disposé conformément aux instructions du procureur général.
    (3) Aucune ordonnance de confiscation ne peut être rendue en vertu du paragraphe (2) relativement à des installations ou du matériel de communications téléphoniques, télégraphiques ou autres qui sont la propriété d’une personne fournissant au public un service de communications téléphoniques, télégraphiques ou autres ou qui font partie du service ou réseau de communications téléphoniques, télégraphiques ou autres d’une telle personne et au moyen desquels une infraction prévue au paragraphe (1) a été commise, si cette personne n’a pas participé à l’infraction.
  • 1974-75-76, ch. 93, art. 24.

Article 342.1

Utilisation non autorisée d’ordinateur
  • 342.1 (1) Quiconque, frauduleusement et sans apparence de droit :
    • a) directement ou indirectement, obtient des services d’ordinateur;
    • b) au moyen d’un dispositif électromagnétique, acoustique, mécanique ou autre, directement ou indirectement, intercepte ou fait intercepter toute fonction d’un ordinateur;
    • c) directement ou indirectement, utilise ou fait utiliser un ordinateur dans l’intention de commettre une infraction prévue à l’alinéa a) ou b) ou une infraction prévue à l’article 430 concernant des données ou un ordinateur;
    • d) a en sa possession ou utilise un mot de passe d’ordinateur qui permettrait la perpétration des infractions prévues aux alinéas a), b) ou c), ou en fait le trafic ou permet à une autre personne de l’utiliser,
    est coupable d’un acte criminel et passible d’un emprisonnement maximal de dix ans ou d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.
    (2) Les définitions qui suivent s’appliquent au présent article.
    « dispositif électromagnétique, acoustique, mécanique ou autre »
    « dispositif électromagnétique, acoustique, mécanique ou autre » Tout dispositif ou appareil utilisé ou pouvant être utilisé pour intercepter une fonction d’un ordinateur, à l’exclusion d’un appareil de correction auditive utilisé pour améliorer, sans dépasser la normale, l’audition de l’utilisateur lorsqu’elle est inférieure à la normale.
    « données »
    « données » Représentations d’informations ou de concepts qui sont préparés ou l’ont été de façon à pouvoir être utilisés dans un ordinateur.
    « fonction »
    « fonction » S’entend notamment des fonctions logiques, arithmétiques, des fonctions de commande et de suppression, des fonctions de mémorisation et de recouvrement ou de relevé des données de même que des fonctions de communication ou de télécommunication de données à destination, à partir d’un ordinateur ou à l’intérieur de celui-ci.
    « intercepter »
    « intercepter » S’entend notamment du fait d’écouter ou d’enregistrer une fonction d’un ordinateur ou de prendre connaissance de sa substance, de son sens ou de son objet.
    « mot de passe »
    « mot de passe » Donnée permettant d’utiliser un ordinateur ou d’obtenir des services d’ordinateur.
    « ordinateur »
    « ordinateur » Dispositif ou ensemble de dispositifs connectés ou reliés les uns aux autres, dont l’un ou plusieurs d’entre eux :
    • a) contiennent des programmes d’ordinateur ou d’autres données;
    • b) conformément à des programmes d’ordinateur :
      • (i) soit exécutent des fonctions logiques et de commande,
      • (ii) soit peuvent exécuter toute autre fonction.
    « programme d’ordinateur »
    « programme d’ordinateur » Ensemble de données qui représentent des instructions ou des relevés et qui, lorsque traités par l’ordinateur, lui font remplir une fonction.
    « service d’ordinateur »
    « service d’ordinateur » S’entend notamment du traitement des données de même que de la mémorisation et du recouvrement ou du relevé des données.
    « trafic »
    « trafic » Le fait de vendre, d’exporter du Canada, d’importer au Canada ou de distribuer un mot de passe, ou d’en disposer de quelque autre façon.
  • L.R. (1985), ch. 27 (1er suppl.), art. 45;
  • 1997, ch. 18, art. 18.

Article 342.2

Possession de moyens permettant d’utiliser un service d’ordinateur
  • 342.2 (1) Quiconque, sans justification ou excuse légitime, fabrique, possède, vend, offre en vente ou écoule des instruments, ou des pièces de ceux-ci, particulièrement utiles à la commission d’une infraction prévue à l’article 342.1, dans des circonstances qui permettent de conclure raisonnablement qu’ils ont été utilisés, sont destinés ou étaient destinés à la commission d’une telle infraction, est coupable :
    • a) soit d’un acte criminel et passible d’un emprisonnement maximal de deux ans;
    • b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.
    (2) Lorsqu’une personne est déclarée coupable d’une infraction prévue au paragraphe (1), tout instrument au moyen duquel l’infraction a été commise ou dont la possession a constitué l’infraction peut, en plus de toute peine applicable en l’espèce, être par ordonnance confisqué au profit de Sa Majesté, après quoi il peut en être disposé conformément aux instructions du procureur général.
  • (3) Aucune ordonnance de confiscation ne peut être rendue en vertu du paragraphe (2) relativement à une chose qui est la propriété d’une personne qui n’a pas participé à l’infraction.
  • 1997, ch. 18, art. 19.

Article 430


  • 430. (1) Commet un méfait quiconque volontairement, selon le cas :
    • a) détruit ou détériore un bien;
    • b) rend un bien dangereux, inutile, inopérant ou inefficace;
    • c) empêche, interrompt ou gêne l’emploi, la jouissance ou l’exploitation légitime d’un bien;
    • d) empêche, interrompt ou gêne une personne dans l’emploi, la jouissance ou l’exploitation légitime d’un bien.
    (1.1) Commet un méfait quiconque volontairement, selon le cas :
    • a) détruit ou modifie des données;
    • b) dépouille des données de leur sens, les rend inutiles ou inopérantes;
    • c) empêche, interrompt ou gêne l’emploi légitime des données;
    • d) empêche, interrompt ou gêne une personne dans l’emploi légitime des données ou refuse l’accès aux données à une personne qui y a droit.
    (2) Est coupable d’un acte criminel et passible de l’emprisonnement à perpétuité quiconque commet un méfait qui cause un danger réel pour la vie des gens.
    (3) Quiconque commet un méfait à l’égard d’un bien qui constitue un titre testamentaire ou dont la valeur dépasse cinq mille dollars est coupable :
    • a) soit d’un acte criminel et passible d’un emprisonnement maximal de dix ans;
    • b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.
    (4) Quiconque commet un méfait à l’égard d’un bien, autre qu’un bien visé au paragraphe (3), est coupable :
    • a) soit d’un acte criminel et passible d’un emprisonnement maximal de deux ans;
    • b) soit d’une infraction punissable sur déclaration de culpabilité par procédure sommaire.

mercredi 26 juin 2013

ENQUÊTES INFORMATIQUES : QUOI FAIRE ET NE PAS FAIRE

Par: Marc Séguin, GCFA, CCNA

Un des aspects important à retenir lors de la cueillette d'informations lors d'une enquête informatique est l'aspect de l'intégrité des données. Il y a en effet des étapes pointues que l'enquêteur doit exécuter afin de ne pas compromettre les preuves informatiques recueillies et que celles-ci soient recevables lors d'un éventuel procès.  Voici donc un TOP 10 des actions à prendre en considération lors d'une enquête informatique :

    À FAIRE :
1. Sécuriser l'appareil afin que seulement le personnel autorisée y accède.
2. Si l'appareil est fermé, laissez le fermé.
3. Si l'appareil est allumé, laissez le allumé.
4. Si l'appareil est allumé, débrancher les câbles réseaux et désactiver les connexions sans-fils et/ou Bluetooth.
5. Si l'étape 4 est impossible, débranchez l'appareil ou retirez la pile. Si c'est un serveur physique, procédez à une fermeture du système de façon régulière.
6. Informez seulement le personnel qui a besoin d'être au courant du fait qu'une enquête est en cours.
7. Documentez! Prenez des notes sur le personnel impliqué, les allégations, les preuves, les dates/ heures, etc.
8. Dans la mesure de ce qui est autorisé par la loi, prenez le plus d'objets possible qui pourraient contenir des preuves. Exemples, disque dur USB externe, CD, camera, documents papier, etc.
9. Si possible, ne pas informer le sujet visé qu'il est sous enquête.
10. Demander l'aide des spécialistes en enquête informatique afin d'analyser les données et d'effectuer l'enquête selon les normes juridiques. Gardien Virtuel peut effectuer ce travail.

Une enquête informatique peut être compromise lorsque certaines actions sont effectuées sur l'équipement à investiguer puisque les preuves peuvent être effacées/modifiées. Voici un autre TOP 10 des actions à éviter pour ne pas nuire à une enquête informatique :

    À NE PAS FAIRE :
1. Tenter de "jeter un coup d’œil" et de travailler sur l’appareil soupçonné.
2. Utiliser des ressources qui ne sont pas familières avec la manipulation de preuve électronique.
3. Utiliser des ressources qui ne sont pas familières avec les normes d'admissibilité juridique.
4. Attendre. Plus vous répondrez rapidement à l'incident, plus vous aurez de chance que les preuves soient conservées.
5. Éveiller les soupçons; ne parler pas aux parties prenantes de l'enquête, sauf si nécessaire.
6. Ignorer votre département des ressources humaines dans cette procédure. Les gens de ce département ne peuvent vous conseiller sur des questions juridiques.
7. Ne pas hésiter à contacter la police si vous pensez qu'une action illégale a été commise.
8. Ne soyez pas tenté de détruire toutes les données; ceci peut généralement être tracé et il peut y avoir de graves conséquences juridiques
9. Ne pas exécuter une application ou utilitaire sur l'ordinateur ou faire quelque chose qui pourrait le modifier de quelconque façon.
10. Tenter de deviner les meilleures actions à prendre; en cas de doute, contactez une firme d'enquêtes informatiques comme Gardien Virtuel.


Dans tous les cas, il est toujours recommandé de consulter une firme spécialisée qui peut vous assister dans les procédures, l'analyse et le recouvrement de preuves. Pour vos besoin d'enquêtes juridico-informatique, Gardien Virtuel peut vous assister.

mardi 31 janvier 2012

Questions sur le nuage...

Excellent articles sur l'informatique en "infonuagique". 
---------------------------------------------------------------------------------------------------------------------

Qui est responsable 
de la confidentialité 
des renseignements 
personnels? Est-il acceptable de limiter 
sa responsabilité 
en blâmant son fournisseur 
si l'on n'a pas posé 
suffisamment 
de questions ?
Bonne année! Il arrive en début d'année 
que l'on prenne du temps pour réfléchir. 
Il arrive aussi qu'en droit des technologies de l'information, alors que les technologies 
progressent rapidement, qu'il n'existe pas de réponses parfaitement claires à des questions pourtant bien actuelles. Or, la réflexion aide 
à trouver des réponses, et ce, depuis bien avant l'arrivée d'Internet…

Vous savez maintenant, du moins en bonne partie, ce qu'est l'informatique en nuage, cette utilisation de logiciels et d'ordinateurs éloignés et partagés, ainsi que cet entreposage de données sur des serveurs éloignés et partagés. 
Vous savez aussi que certains d'entre vous avez des obligations de protection de renseignements confidentiels, qu'ils soient personnels ou non.

Vous avez certainement au moins déjà imaginé qu'on pouvait trouver, dans d'autres juridictions que celles du Québec ou du Canada, des règles passablement différentes des nôtres quant à la confidentialité des données. 
Vous savez même peut-être que chez nos voisins du Sud, pour des motifs de sécurité nationale, en vertu du Patriot Act, des autorités peuvent accéder à des données qui autrement seraient confidentielles. Vous avez peut-être même entendu parler du Electronic Communications Privacy Act et du Stored Communications Act de nos voisins du Sud qui permettent, semble-t-il, aux autorités policières d'accéder au moyen d'un simple subpoena à tout ensemble de données qui n'a pas changé depuis plus de 180 jours et ce, même sans risque pour la nation.
La question, qui ne tue pas nécessairement, mais en a le potentiel, est : Qui est responsable de la confidentialité des données déposées sur le nuage ?

Ou encore, ultimement, à qui la faute si les données confidentielles sont divulguées?
Si une entreprise, ayant en sa possession des informations confidentielles de ses clients, a choisi pour entreposer ces données un « bon » fournisseur d'informatique en nuage, et que ce dernier place les données dans une juridiction où elles sont moins protégées qu'ici, est-ce la faute de l'entreprise ou du fournisseur?

Si le fournisseur qui a toujours annoncé dans sa publicité qu'il utilisait des serveurs situés physiquement sur le sol canadien change sa politique à un moment donné, utilisant des serveurs situés à l'étranger, et si les données sont révélées, est-ce la faute de l'entreprise-cliente ou du fournisseur?

L'entreprise-cliente avait-elle la responsabilité d'exiger par contrat (plutôt qu'en se basant sur un message publicitaire) que les données ne quittent pas le Canada, ou le fournisseur avait-il l'obligation d'aviser ses clients qu'il avait changé de politique et d'obtenir leur consentement pour une « exportation » des données ?

Si le fournisseur d'informatique en nuage, désirant être un « bon citoyen corporatif », 
permet l'accès aux données aux autorités d'un pays, même sans mandat de perquisition (1), est-il à blâmer ? L'entreprise-cliente qui a confié les données confidentielles à ce bon citoyen corporatif est-elle pour sa part à blâmer ?

Il n'en tient souvent qu'à soi


Il faut commencer en se regardant dans le miroir… Par exemple, en matière de renseignements personnels, ne constitue pas un moyen de défense, en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, à ma connaissance, le fait qu'un gouvernement étranger ait décidé de prendre copie des renseignements personnels et de les examiner.

À titre d'avocat, je sais aussi que je serais très mal venu de justifier, devant mon ordre professionnel, la publication de mes dossiers-clients confidentiels par un changement de politique de mon hébergeur ou par sa volonté d'être un bon citoyen corporatif devant un membre des forces de l'ordre qui « cherche quelque chose »

Quelle est votre responsabilité envers vos clients, vos partenaires ou autres quant à la protection de leurs informations confidentielles, qu'il s'agisse de renseignements personnels ou autres ? Répondre à cette question vous aidera à répondre aux autres questions lues précédemment…

Et oui, en droit, il y a parfois des exceptions, les « toujours » et les « jamais » sont rares… mais tout de même.

(1) Wired Cloudline : www.wired.com/cloudline/2011/12/us-cloud/
Michel A. Solis est avocat, arbitre et médiateur. Il oeuvre dans le secteur des TI depuis plus de 20 ans.

Source de l'article :

mardi 25 octobre 2011

Dix conseils pour PME

De nos jours, les technologies de l'information sont considérées comme des facteurs de succès importants pour les PME dans l'atteinte de leurs objectifs de productivité et de rentabilité. Cependant, seuls, ces outils sont susceptibles à des failles de sécurité. Il faut donc que les PME jumellent ces outils à des tactiques et des stratégies de sécurité afin de se protéger, ainsi que leurs clients, face aux menaces qui existent. Voici donc dix conseils-clé afin d'améliorer votre sécurité de l'information et arriver à ces fins:

1. Formez vos employés aux principes de base
Établissez des politiques de sécurité de base, visant à protéger l'information qui transige dans votre organisation et communiquez celles-ci à vos employés régulièrement. Dans ces politiques, assurez-vous de décrire les comportements acceptables face à la sécurité ainsi que les pénalités pour la violation des règles établies.

2. Protégez l'information, les ordinateurs, le réseau contre les virus, les logiciels espions et malveillants
Installez, utilisez et mettez à jours régulièrement un antivirus sur tous les postes de travail et serveurs de votre organisation. Ce type de logiciel est facilement accessible à travers divers vendeurs. Assurez-vous de configurer l'antivirus pour qu'il se mette à jour automatiquement à un moment de la journée où l'usage du réseau est bas (ex. pendant la nuit). Encore mieux,
faites en sorte que le logiciel balaye le réseau immédiatement après sa mise à jour.

3. Protégez votre connexion internet avec un coupe-feu
Un coupe-feu est un équipement (ou un logiciel) qui empêche l'accès à votre réseau informatique des intrusions non-autorisées provenant d'internet. Placez votre coupe-feu entre votre réseau local et l'internet. Si vous avez des employés qui travaillent de la maison, assurez-vous qu'ils soient également protégés par un coupe-feu.

4. Mettez à jour votre système d'exploitation et applications
Tous les vendeurs de systèmes d'exploitation régulièrement rendent disponibles des correctifs (patch) pour leur produit afin de corriger ses lacunes de sécurité et améliorer sa fonctionnalité. Configurez votre système d'exploitation et vos applications pour qu'ils intègrent automatiquement ces correctifs.

5. Faites des copies de sauvegarde de vos données d'affaires importantes
Il est très important de faire ces copies de sauvegarde régulièrement et ce, pour tous les postes de travail de votre organisation. Il est recommandé d'exécuter cette tâche hebdomadairement.

6. Ayez un contrôle d'accès physique à votre réseau
Empêchez une personne non-autorisée d'accéder à un ordinateur et à votre réseau informatique. Les ordinateurs portables sont des cibles de prédilection pour les voleurs. Assurez-vous que ceux-ci soient entreposés en lieu sûr lorsque que nonutilisés.

7. Sécurisez votre réseau sans-fil
Si vous utilisez ce type de réseau, assurez-vous qu'il soit caché et sécurisé. Pour cacher un réseau sans-fil, configurez votre router pour que celui-ci ne divulgue pas le nom du réseau, connu sous le nom de SSID (Service Set Identifier). De plus, activez l'option de chiffrement qui fera en sorte que le réseau sera protégé par un mot de passe. Finalement, il est important de changer le mot de passe original (du manufacturier) du routeur.

8. Exigez un compte utilisateur individuel pour chaque employé
Assurez-vous que ceux-ci soient protégés par un mot de passe robuste et ne donnez les privilèges administratifs qu'aux responsables TI de confiance.

9. Limitez les permissions et l'autorisation à faire des installations
Ne donnez jamais l'accès complet au réseau à une personne unique. Les employés devraient avoir accès seulement aux ordinateurs qui leur permettent de faire leur travail. De plus, ces derniers ne devraient pas pouvoir installer de nouveaux logiciels sans autorisation.

10. Changez vos mots de passe régulièrement
Il est fortement recommandé de changer de mot de passe tous les trois mois. Tous les employés devraient faire de même.

Pour plus de conseils et de renseignements sur comment sécuriser votre PME, consultez le www.gardienvirtuel.ca

mardi 27 septembre 2011

Piratage du Devoir

Le 16 août dernier, vers 1h du matin, le site Web du journal Le Devoir a été piraté. Le malfaiteur, ayant réussi à pénétrer dans la portion administrative du site, a modifié la page principale du site web en y ajoutant un article qui annonçait la mort du Premier Ministre Jean Charest.

Une certaine confusion eut lieu, mais rapidement les attachés de presse du Premier Ministre ont déclaré que la nouvelle était fausse, mais pas avant que celle-ci n'ait été reprise par plusieurs journaux à travers le monde et répandue comme une trainée de poudre dans les médias sociaux.

Ce que nous savons aujourd'hui est que les techniciens responsables du site Web ont pris plusieurs heures afin de reprendre le contrôle du site et le Devoir n'a pas encore d'idée à ce jour de qui a pu faire une telle modification.

Le Devoir n'est pas le premier organe de presse à être piraté. Par contre, il semble être le premier à le vivre en direct à la télévision et dans les médias sociaux et il en subit plusieurs conséquences. Outre le fait de devoir investir rapidement temps et argent pour corriger le problème d'un point de vue technique, il lui faut aussi faire une gestion de crise notamment en effectuant de nombreuses entrevues pour démentir la nouvelle. En plus, et peut-être le pire, le journal doit se démener pour protéger sa réputation de quotidien fiable, car à partir de maintenant, chaque fois que le devoir annonceras la mort d'une personnalité connue, politique ou autre, les gens douteront.

Cet incident prouve que la sécurité, c'est l'affaire de tous, et qu'il faut être vigilants 24 heures sur 24, sept jours semaine.