17 février 2000 |
Les serveurs informatiques de l'Université Laval ne sont pas à l'abri des cyber-terroristes, pas plus que ne le sont tous les autres serveurs sur Internet, estime l'officier de sécurité informatique du campus, Lino Cerantola. "Les attaques par saturation de demandes comme celles qui ont été dirigées contre les grands sites commerciaux américains la semaine dernière sont difficilement contrôlables, dit-il, même si des outils de détection commencent à apparaître sur le marché. Ça peut se produire n'importe où. Il s'agit d'utiliser un logiciel pirate qui masque le numéro IP de l'ordinateur d'où part la requête. |
L'autre possibilité, poursuit-il, est qu'il y ait attaque coordonnée et concertée par un grand nombre d'usagers contre un serveur. "Ça pourrait survenir, par exemple, si des citoyens mécontents décidaient d'envoyer simultanément des tonnes de messages électroniques volumineux à un ministre qui a pris une décision impopulaire. Le serveur de courrier utilisé par ce ministre pourrait ne plus être en mesure de fonctionner correctement."
À l'Université, nous sommes dans un environnement informatique ouvert et il faut vivre avec cette réalité-là, estime Lino Cerantola. "Nous ne pouvons pas nous prémunir contre les attaques cyber-terroristes mais nous ne sommes pas plus à risque qu'ailleurs. Internet s'est développé en milieu universitaire dans un esprit d'ouverture et de partage d'information. Si on met des barrières pour accroître la sécurité, on va à l'encontre de cette philosophie."
Marc-André Pépin, analyste de l'informatique au Service de l'informatique et des télécommunications, confirme qu'il n'y a pas de véritables coupe-feu ou ponts-levis informatiques sur les serveurs Internet de l'Université. "Nous avons des filtres qui bloquent certains ports réputés pour commettre des méfaits. Les mesures de contrôle pourraient être plus sophistiquées et on pourrait se doter de vrais coupe-feu. Mais, jusqu'à présent, ce n'est pas l'approche qui a prévalu à l'Université. On a toujours opté pour des approches qui impliquaient le moins de contraintes possibles."
Faudrait-il accroître les mesures de sécurité? À cette question, Marc-André Pépin répond par une autre question en apparence toute simple mais en bout de ligne très complexe: "Jusqu'où sommes-nous prêts à aller dans l'équilibre entre la liberté et la sécurité? Il faudrait peut-être qu'il y ait un débat de fond autour de cette question sur le campus."
Hors-la-loi du cyber-espace
À l'Université, l'attaque d'un site Web par
saturation est explicitement interdite par le Code de conduite
sur l'utilisation et la gestion des technologies de l'information
et des télécommunications. L'article 5 prohibe "tout
comportement nocif ou malveillant tel que intrusion ou tentative
d'intrusion non autorisée dans un poste de travail, dans
un système ou dans un réseau interne ou externe".
"On a eu quelques cas où des personnes ont été
prises à enfreindre ce règlement", reconnaît
Lino Cerantola.
Au Canada, de telles attaques ne sont pas définies dans le code pénal, souligne Jean Goulet, professeur à la Faculté de droit. "Il n'y a aucun texte de droit là-dessus et je ne crois pas qu'il y ait eu de cas au pays, essentiellement parce que les grands sites commerciaux et les actes de cyber-terrorisme sont américains. Néanmoins, ces actes pourraient entraîner des poursuites devant les tribunaux canadiens. Il suffirait de présenter la cause devant un tribunal civil et démontrer que ces attaques ont causé un préjudice au propriétaire du site Web."
|