1、 Union internationale des tlcommunicationsUIT-T X.1207SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (04/2008) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Scurit du cyberespace Cyberscurit Lignes directrices lintention des fournisseurs de services de tlcommunica
2、tion pour lutter contre les risques dinstallation de logiciels espions ou de tout logiciel potentiellement indsirable Recommandation UIT-T X.1207 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES X.1X.199 INTERCONNEXION DES SY
3、STMES OUVERTS X.200X.299 INTERFONCTIONNEMENT DES RSEAUX X.300X.399 SYSTMES DE MESSAGERIE X.400X.499 ANNUAIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES X.600X.699 GESTION OSI X.700X.799 SCURIT X.800X.849 APPLICATIONS OSI X.850X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DE LINFORMATION ET DES R
4、SEAUX Aspects gnraux de la scurit X.1000X.1029 Scurit des rseaux X.1030X.1049 Gestion de la scurit X.1050X.1069 Tlbiomtrie X.1080X.1099 APPLICATIONS ET SERVICES SCURISS Scurit en multidiffusion X.1100X.1109 Scurit des rseaux domestiques X.1110X.1119 Scurit des tlcommunications mobiles X.1120X.1139 S
5、curit de la toile X.1140X.1149 Protocoles de scurit X.1150X.1159 Scurit dhomologue homologue X.1160X.1169 Scurit des identificateurs en rseau X.1170X.1179 Scurit de la tlvision par rseau IP X.1180X.1199 SCURIT DU CYBERESPACE Cyberscurit X.1200X.1229 Lutte contre le pollupostage X.1230X.1249 Gestion
6、des identits X.1250X.1279 APPLICATIONS ET SERVICES SCURISS Communications durgence X.1300X.1309 Scurit des rseaux de capteurs ubiquitaires X.1310X.1339 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1207 (04/2008) i Recommandation UIT-T X.1207 Lignes directrices linte
7、ntion des fournisseurs de services de tlcommunication pour lutter contre les risques dinstallation de logiciels espions ou de tout logiciel potentiellement indsirable Rsum La Recommandation UIT-T X.1207 contient des lignes directrices lintention des fournisseurs de services de tlcommunication (TSP,
8、telecommunication service provider) pour lutter contre les risques dinstallation de logiciels espions ou de tout logiciel potentiellement indsirable. Elle vise promouvoir, dans le cadre des services dhbergement de pages web des fournisseurs TSP, les meilleures pratiques fondes sur les principes suiv
9、ants: obligation dinformer clairement les utilisateurs, ncessit dobtenir leur consentement et possibilit pour eux dexercer un contrle. Elle vise galement laborer et promouvoir les meilleures pratiques lintention des utilisateurs sur la scurit des ordinateurs personnels (PC), notamment sur linstallat
10、ion danti-espiogiciels, dantivirus, de pare-feu personnels et de mises jour de scurit sur les systmes des clients. Source La Recommandation UIT-T X.1207 a t approuve le 18 avril 2008 par la Commission dtudes 17 (2005-2008) de lUIT-T selon la procdure dfinie dans la Rsolution 1 de lAMNT. Mots cls Log
11、iciel espion (espiogiciel), logiciel potentiellement indsirable, logiciel trompeur, scurit sur lInternet. ii Rec. UIT-T X.1207 (04/2008) AVANT-PROPOS LUnion internationale des tlcommunications (UIT) est une institution spcialise des Nations Unies dans le domaine des tlcommunications et des technolog
12、ies de linformation et de la communication (ICT). Le Secteur de la normalisation des tlcommunications (UIT-T) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommun
13、ications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles laborent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par l
14、es Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessaires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation
15、, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire. Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires
16、(pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des
17、prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mise en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de propr
18、it intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce partie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prse
19、nte Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de renseignements les plus rcents, il est vivement recommand aux dveloppeurs de consulter la b
20、ase de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2009 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit pralable de lUIT. Rec. UIT-T X.1207 (04/2008) iii TABLE DES MATIRES Page 1 Domaine dapplication
21、 1 2 Rfrences. 1 3 Dfinitions 1 4 Abrviations et acronymes . 2 5 Conventions 2 6 Aperu gnral 2 7 Objectifs 3 8 Logiciel trompeur et logiciel espion. 3 9 En quoi les logiciels trompeurs et les logiciels espions sont-ils un problme? 4 10 Recommandations 4 11 Conseils lintention des fournisseurs de ser
22、vices de tlcommunication (TSP) 4 11.1 Gestion des risques lis la scurit de linformation au sein de lentreprise 5 11.2 Prescriptions de sret et scurit pour les services dhbergement de sites web . 7 11.3 Conseils lintention des utilisateurs finals en matire de sret et de scurit 9 Appendice I Ressource
23、s supplmentaires. 11 I.1 Rfrences relatives la scurit en ligne et aux anti-espiogiciels 11 I.2 Liste type de contacts auxquels la multiplication des incidents informatiques peut tre signale. 12 Bibliographie 14 Rec. UIT-T X.1207 (04/2008) 1 Recommandation UIT-T X.1207 Lignes directrices lintention d
24、es fournisseurs de services de tlcommunication pour lutter contre les risques dinstallation de logiciels espions ou de tout logiciel potentiellement indsirable 1 Domaine dapplication La prsente Recommandation fait partie de lensemble des orientations mises au point par lUIT-T pour amliorer la situat
25、ion actuelle en matire de cyberscurit. Elle porte sur les pratiques de base que doivent appliquer les fournisseurs de services de tlcommunication (TSP, telecommunication service providers) et les utilisateurs finals en matire de sret et de scurit, en mettant laccent sur le problme des logiciels espi
26、ons (espiogiciels) ou autres logiciels potentiellement indsirables, qui peuvent tre malveillants et/ou trompeurs. Dans le contexte de la prsente Recommandation, le terme “fournisseurs de services de tlcommunication (TSP)“ dsigne les fournisseurs TSP qui fournissent des services Internet, notamment d
27、es services dhbergement de pages web des organisations commerciales, ou laccs Internet aux utilisateurs finals. 2 Rfrences Aucune. 3 Dfinitions Le terme “logiciel espion (espiogiciel)“ est utilis improprement pour dsigner de nombreuses formes de logiciels qui prsentent certains comportements portant
28、 atteinte lintimit de la vie prive, non sollicits par les utilisateurs finals. Pour assurer lutilisation cohrente et une comprhension commune de ce terme, une dfinition de travail du terme “logiciel espion (espiogiciel)“ et du terme connexe “logiciel trompeur“ est prsente ici. 3.1 logiciel trompeur:
29、 logiciel qui effectue des oprations sur lordinateur dun utilisateur sans: 1) informer pralablement cet utilisateur de la nature exacte des oprations que le logiciel va effectuer sur son ordinateur ou 2) demander lutilisateur sil consent ce que le logiciel procde ces oprations. Comme exemple de logi
30、ciels trompeurs, citons les programmes de piratage de configurations dutilisateur ou les programmes qui dclenchent laffichage ininterrompu de fentres publicitaires intempestives dont lutilisateur a du mal se dbarrasser. 3.2 logiciel potentiellement indsirable: le terme “logiciel potentiellement inds
31、irable“ dsigne diverses formes de logiciel trompeur, dont les logiciels malveillants (maliciels) tels que virus, vers informatiques et chevaux de Troie, ainsi que les logiciels non malveillants qui prsentent les caractristiques dun logiciel trompeur ou dun espiogiciel. 3.3 logiciel espion (espiogici
32、el): dans la prsente Recommandation, on entend par “logiciel espion (espiogiciel)“ un type particulier de logiciel trompeur qui collecte des informations personnelles auprs dun internaute. Ces informations personnelles peuvent porter sur les sites web les plus souvent visits, par exemple, ou sur des
33、 informations plus sensibles telles que les mots de passe. 2 Rec. UIT-T X.1207 (04/2008) 4 Abrviations et acronymes La prsente Recommandation utilise les abrviations et acronymes suivants: CERT quipe dintervention en cas durgence informatique (computer emergency response team) CIRT quipe dinterventi
34、on en cas dincident informatique (computer incident response team) ISMS systme de gestion de la scurit de linformation (information security management system) ISMS-T systme de gestion de la scurit de linformation prescriptions pour les tlcommunications (information security management system requir
35、ements for telecommunications) ISV fournisseur de logiciels indpendant (independent software vendor) SQL langage de requtes structur (structured query language) TIC technologies de linformation et de la communication TSP fournisseur de services de tlcommunication (telecommunication service provider)
36、 URI identificateur universel de ressource (uniform resource identifier) 5 Conventions Aucune. 6 Aperu gnral Lessor de lInternet a favoris la cration de nouvelles entreprises et apport de nombreux avantages aux consommateurs chez eux et sur leur lieu de travail. De par laccessibilit universelle qui
37、le caractrise, ainsi que linterconnectivit et la vitesse daccs quil offre, lInternet sest en outre mu en une plate-forme de communication dune grande efficacit pour les entreprises et les consommateurs, ainsi qu des fins de promotion commerciale de produits destins au grand public. Depuis quelques a
38、nnes, laccessibilit universelle de lInternet et la facilit dutilisation de ses modes de communication et de connectivit sont de plus en plus mises profit par des cybercriminels et des entreprises sans scrupules, par le biais de diverses formes de logiciels malveillants, pour soutirer de largent et d
39、autres fins criminelles. Lun des problmes qui se pose avec de plus en plus dacuit en matire de sret et de scurit, est celui des logiciels espions et des logiciels trompeurs, qui sont capables de porter atteinte la confidentialit des informations personnelles, engendrant ainsi dimportantes baisses de
40、 productivit et jetant le discrdit, en sapant la confiance des utilisateurs finals, dans des entreprises aux activits parfaitement licites sur lInternet. Les fournisseurs de services de tlcommunication (TSP) sont souvent perus par les diverses parties prenantes, notamment les rgulateurs et les clien
41、ts des entreprises, comme faisant autorit en matire de fourniture de services Internet srs et scuriss aux utilisateurs finals (y compris aux consommateurs et aux utilisateurs dentreprise). Lorsquil apparat que des sites web hbergs dans le rseau dun fournisseur TSP hbergent des contenus malveillants,
42、 notamment des logiciels espions ou des logiciels trompeurs, qui affectent la sret et la scurit des systmes informatiques des utilisateurs finals, on demande ce fournisseur TSP de prter son assistance pour remdier aux problmes et toute manifestation prolonge ou rcurrente de tels incidents entamera l
43、a confiance des clients dans la capacit du fournisseur TSP fournir des services srs et scuriss, ce qui incitera les clients, terme, sadresser dautres fournisseurs TSP. Rec. UIT-T X.1207 (04/2008) 3 Dun point de vue rglementaire, les rgulateurs de nombreux pays rclament de plus en plus aux fournisseu
44、rs TSP de leur fournir des garanties quant aux mesures de scurit et de sret quils ont prises, et leur demandent daccrotre lassistance quils fournissent aux consommateurs et aux utilisateurs finals en vue dassurer la sret et la scurit des systmes informatiques sur lInternet. Compte tenu de cette volu
45、tion du paysage Internet en matire de sret et de scurit, il importe que les fournisseurs TSP adoptent une srie de rgles en matire de meilleures pratiques qui pourraient tre reconnues par lensemble de la profession comme rgles de base minimales1qui permettraient non seulement dassurer de manire sre e
46、t scurise la fourniture de services Internet hbergs par les fournisseurs TSP, mais aussi de promouvoir les meilleures pratiques auprs des utilisateurs finals qui sabonnent aux rseaux de ces fournisseurs TSP. La mise en uvre de ces rgles de base permettra en outre aux fournisseurs TSP de dmontrer aux
47、 rgulateurs et aux utilisateurs finals quelles sont conformes aux meilleures pratiques de la profession, et de renforcer, ou du moins de conserver, la confiance des rgulateurs et des utilisateurs finals dans la sret et la scurit des rseaux et des services des fournisseurs TSP. 7 Objectifs La prsente Recommandation poursuit les objectifs suivants: 1) Promouvoir, dans le cadre des services dhbergement de pages web, les meilleures pratiques fondes sur les principes suivants: obligation dinformer clairement les utilisateurs, ncessit dobte
