III. Les solutions
Les solutions s’appliquent à diminuer ou à supprimer le passage entre les causes et le déclenchement des faits, et entre les faits et leurs conséquences.
Figure 14 : Un modèle de gestion du risque informatique
Il faut tenir compte, lors de la recherche de solutions des causes formulées dans le chapitre I paragraphe C Les causes, c’est-à-dire l’ignorance, le besoin de reconnaissance, le besoin d’identité, le manque d’occupation, et sur le maintien de l’ordre.
L’ignorance et le maintien de l’ordre sont pris en compte par les mesures nommées ci- dessous. Pour les autres j’ajouterai deux nouvelles mesures, qui sont la canalisation et l’orientation.
.
On peut regrouper les mesures en trois grandes classes :
La prévention : dissimulation, information, dissuasion, canalisation, orientation.
La protection : palliation, surveillance, protection.
La récupération : sauvegarde, récupération, compensation.
A. La prévention
1. Dissimulation
D’un point de vue un peu simpliste, la menace ne peut peser sur le bien que si l’on connaît l’existence du bien (security through obscurity). Malheureusement, il faut compter avec le hasard, et le fait que certaines sociétés sont connues et médiatisées. Toutefois, il vaut mieux éviter de faire de la publicité sur un bien ou un actif si cela n’est pas strictement nécessaire.
Il existe quelques solutions qui conduisent à dissimuler les données ou les processus d’un système.
La stéganographie
Le principe est de dissimuler les données importantes, dans un fichier tel qu’un fichier image ou un fichier de musique. La présence des données n’est pas détectable facilement. Encore faut-il soupçonner la présence des données pour les y chercher.
Le masquage de disque ou de processus
Un ensemble d’utilitaires permet de masquer la présence, de manière réversible, des partitions du disque ou des processus du système.
Le formatage non standard
Autrefois, utilisé comme protection des jeux et programmes sur disquette, le formatage de disque dans des formats non standards permet de dissimuler, mais aussi d’interdire l’accès aux données. Si le programme d’accès n’est pas disponible, il sera très difficile de les atteindre.
La cryptographie n’est pas énoncée comme mesure de dissimulation, bien qu’elle rende illisible les données, car elle ne permet pas d’en dissimuler l’existence.
2. Information
La formation est un des points clé de la sécurisation des réseaux. En effet, pour en améliorer la sécurité, tout le monde a un rôle à jouer. Toute personne faisant partie d’un réseau est potentiellement un maillon faible. Il suffit qu’une personne ne connaisse pas les règles de sécurité, pour mettre en péril le réseau tout entier. Par personne j’entends les utilisateurs, les informaticiens et les administrateurs réseaux.
L’Etat français
L’information aux entreprises.
L’Etat possède un ensemble de services chargés de la sécurité informatique.
Figure 15 : Services de sécurité informatique de l’Etat
©DCSSI
Ces services sont bien connus des grandes entreprises qui n’hésitent pas à se servir de leurs ressources, et notamment de faire appel à eux pour sensibiliser leurs employés. Toutefois ces interventions sont chères pour une petite structure, et les PME ne sont pas assez informées de leur existence.
L’Internet
On trouve de nombreux documents traitant de la sécurité informatique sur l’internet. La plupart des documents, de bon niveau, sont en anglais et beaucoup sont payants et chers.
On a aussi la possibilité de s’inscrire sur l’une des nombreuses mailings listes, qui vous fournissent les dernières nouvelles en matière de sécurité informatique (voir annexe A).
Normes et méthodes d’analyse de risques et de gestion de risque
Il convient de distinguer ici les normes, les méthodes et les guides. En effet, les normes se cantonnent le plus souvent, à des préconisations. Les méthodes quant à elles vont de l’identification des besoins de l’entreprise en matière de sécurité, à la mise en place de moyens de protection et de maintenance, en passant par l’audit de sécurité. Et les guides eux n’ont rien de normalisé, du moins pas encore.
Etant donné le nombre de méthodes, de normes disponibles je n’en citerai que les principales.
Figure 16 : Les méthodes par origine.
©DCSSI
Les méthodes :
Les méthodes de gestion du risque
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) créée en 1995 et utilisée par l’administration française. Elle est gratuite et diffusée par le SCSSI. Elle a l’avantage d’être facile d’accès et son déroulement est rapide.
MARION (Méthodologie d’Analyse des Risques Informatiques et d’Optimisation par Niveau) créée en 1990. Elle a été abandonnée au profit de MEHARI.
MEHARI (Méthode Harmonisée d’Analyse de Risques Informatiques) créée en 1996. Elle est préconisée par le Clusif et le Cigref. Cette méthode devient une référence, mais elle est longue à dérouler.
MÉLISA fut mise au point par la Direction Générale des Armements DGA en 1984. Elle a été reprise par la société CF6. Elle est maintenant remplacée par MV3.
CRAMM Version 4 (CCTA Risk Analysis and Management Method) créée en 1987 par l’Agence centrale de l’Informatique et des Télécommunications (CCTA) du gouvernement du Royaume-Uni. Elle est basée sur la norme BS 7799-1 (voir pages suivante).
OCTAVE (Operationally Critical Treat and Vulnerability Evaluation) est produite par l’Institut d’ingénierie logiciel de l’université Carnegie Mellon de Pittsburgh aux USA. Cette méthode est soutenue par le CERT.
Les méthodes d’audit ou contrôle interne
IPAK (Information Protection Assessment Kit) a été réalisée par le Computer Security Institute (CSI). C’est un questionnaire aidant à faire l’état des lieux de son système de sécurité.
Les méthodes globales
COBIT 3ème édition (Control Objectives for information and related technologies) a été créée par l’Information System Audit and Control Foundation.
Les normes :
SSE-CMM (System Security Engineering Capability Maturity Model) permet l’évaluation du niveau de sécurité atteint par l’entreprise, créée par International Systems Security Engineering Association (ISSEA).
Les GMITS (ISO/IEC TR 13335) (Guidelines for the management of IT Security) constituée de lignes directrices aidant à la constitution de sa propre méthode.
La norme ISO/IEC 17799 (Code of practice for information security management) c’est un ensemble de bonnes pratiques à connaître en matière de sécurité, issue de la norme britannique BS 7799 Part 1 – 1999.
BS 7799-1 (Code of practice for information security management) et la norme BS 7799-2 (Specification for information security management systems) créée par le BSI. La première est le « quoi faire » et la deuxième le « comment faire ». Ce sont des normes qui font office de référence en la matière. La plupart des autres normes en découle.
Common Criteria for IT Security Evaluations ou ISO 15408. Cette méthode permet de certifier les niveaux de défense procurés par les composantes de sécurité des systèmes d’informations.
Les guides
IT Baseline Protection Manual (BSI allemand).
Risk Management Guide for Information Technology Systems, publié par le National Institute of Standards and Technology (NIST)
Special Publication 800-26 et 800-30 du NIST, qui sont respectivement des guides pour l’évaluation de la sécurité et le management du risque.
MG-1 à MG-4 ce sont des guides d’évaluation des risques créés par le gouvernement canadien.
L’information aux employés.
Politique de sécurité
Il s’agit ici de décrire clairement les règles afin de savoir : qui définit les procédures, qui les met en place, et qui les contrôle. On emploie le terme de « gouvernance ». Il est judicieux de porter une attention particulière, lors de l’établissement de ces règles. Par exemple, de ne pas désigner de personne à la fois juge et partie. Ces règles doivent faire partie intégrante de la politique de l’entreprise, et tenir compte de la stratégie de la DSI et de l’entreprise.
Figure 17 : Matrice des risques.
©Computer Associates
La politique de sécurité doit également définir les règles d’utilisation des outils informatiques, aussi bien pour les utilisateurs que pour les administrateurs. Les règles doivent formaliser l’ensemble des tâches telles que : installation et utilisation des logiciels, démarche de demande de service, droit d’accès aux informations, politique de sauvegarde de données…
Elles doivent aussi définir, l’organisation et les responsabilités de chacun dans la politique de sécurité : qui prévenir en cas de problème ? Quel service est compétent pour tel ou tel intervention ?
De par l’ensemble des personnes touchées par la politique de sécurité et les contraintes qui en découlent, il est important d’avoir un soutien de la direction. Pour finir, une sensibilisation et une adhésion, de tout le monde à la politique de sécurité est nécessaire. Si une personne faillit à sa tâche, c’est l’ensemble de la sécurité qui peut être mis en péril.
3. Canalisation
En France les actes illégaux perpétués par les hackers et les scripts kiddies sont sévèrement punis et c’est normal. Toutefois dans le contexte mondial actuel, il serait bon de ne pas réfréner, mais plutôt d’encourager l’engouement des jeunes pour la sécurité réseau.
Cela pourrait se faire à travers :
Des Meeting
Je pense qu’il faudrait non seulement permettre les réunions de hackers telles qu’il en existe aux Etats Unis (voir defcon : Orientation
Les meeting et les site Web cités plus haut, peuvent être un moyen d’identifier de nouveaux talents, de les orienter ailleurs qu’en prison et de leur éviter ainsi de se retrouver en marge de la société.
La formation
Les personnes compétentes dans le domaine de la sécurité informatique sont rares. En effet, il n’existe que peu d’écoles en France formant aux métiers de la sécurité informatique :
5. Dissuasion
Identification
L’identification est un moyen de dissuasion très fort. La plupart des actes de violation de la sécurité informatique sont perpétués sous couvert de l’anonymat. Il est évident que si les hackers et les scripts kiddies étaient identifiés, ils réfléchiraient davantage aux conséquences de leurs actes.
Seulement, il y a les problèmes liés au droit à la vie privée. Une fois identifiée, des informations sur vos centres d’intérêt, vos habitudes, vos fréquentations, voire même votre religion, votre sexualité, vos avis politiques peuvent être récoltés, analysés et exploités.
L’identification est en cours de déploiement, grâce à la rétention de données au niveau des Fournisseurs d’Accès Internet (FAI). Pour l’instant les cybercafés peuvent encore permettre un surf anonyme, mais pour combien de temps ? De nombreux pays comme la Chine y ont déjà déployé l’identification des surfeurs ou les ont fait fermer.
Le gros problème, est que les personnes ayant un niveau suffisant de compétences peuvent continuer à se connecter anonymement.
Au niveau de l’entreprise on trouve :
Les passwords ou mots de passe : ils doivent être longs de plus de huit caractères, ne pas être dans le dictionnaire et contenir des chiffres et des caractères spéciaux. Il est préférable de ne pas en avoir trop à fournir pour avoir accès à ses ressources informatiques, et éviter de les écrire. Sinon, le mieux est de les stocker sur support physique ou sur serveur, et non sur le poste client, et de les coupler à un annuaire (voir page suivante).
SSO ou Single Sign -On ce sont des systèmes qui évite de saisir trop de mots de passe. Il suffit de les coupler avec un support physique, on ne saisi alors qu’un code pin, et l’on peut ainsi avoir accès à de la cryptographie et les apparenter à des systèmes d’authentification forts.
La signature électronique : c’est un système basé sur la cryptographie qui permet d’identifier une personne de manière numérique. L’identification peut se faire par échange de
clé dans le cadre d’un système de chiffrement à clé publique ou asymétrique. On peut également utiliser la certification par un tiers de confiance. Il permet dans ce dernier cas, de bénéficier de la non répudiation et d’un contrôle d’intégrité. Toutefois ces systèmes peuvent être sensibles, à une attaque de type passeur de sceaux.
Les annuaires : comme Lightweight Directory Access Protocol (LDAP), ils permettent de définir qui et comment on accède à l’information de l’entreprise.
Les moyens physiques :
La biométrie : elle est basée sur des caractéristiques physiques propres à chaque individu telles que la rétine ou les empreintes des digitales. C’est une solution fiable, à condition qu’elle soit correctement implémentée.
Les Cartes à puces, les dongles ou clés : ils servent en tant que support des informations d’identification. Ils ont l’avantage de supprimer les problèmes d’oubli de mots de passe et prennent toute leur dimension quand il y en a plusieurs. Ils permettent l’utilisation de mots plus longs et plus complexes. Ils peuvent être couplés aux badges d’accès et se servir de moyens cryptographiques. Toutefois, ils ne sont pas à l’abri d’être volés ou perdus. Il faut prévoir la désactivation de leurs droits si un de ces deux cas survient.
Les lois ou la régulation par le haut
T.Jefferson : « si un homme est prêt à sacrifier un peu de liberté pour un peu de sécurité, alors il ne mérite ni l’une ni l’autre. »
La sécurité doit protéger les personnes, les systèmes et les données. Les personnes dans le sens de l’utilisation non autorisée des fichiers nominatifs, de la violation de la vie privée ou des atteintes portées à l’image de la personne. Les systèmes matériels doivent être protégés du vol, de l’écoute, de l’intrusion, et du sabotage. Les systèmes immatériels doivent conserver leurs confidentialités et leurs intégrités (les données, bases de données, et les logiciels). Le droit d’auteur, le secret défense national, le secret professionnel et le secret des correspondances doivent être préservé. Pour finir, les responsabilités doivent être clairement définies.
Les lois existantes englobent tous les aspects cités ci-dessous. Je vous encourage à vous reporter à l’annexe E, si vous n’en êtes pas encore persuadés.
a) Les projets de loi
Un ensemble de projet de loi ont vu le jour ces dernières années, surtout depuis le 11 septembre, afin de renforcer la sécurité de tous les jours et bien sûr celle des réseaux informatiques.
Mai 2002 approbation du document « Recommandations sur le dépistage des télécommunications transfrontalières dans le cadre des enquêtes sur les activités criminelles et terroristes ».
La convention du conseil de l’Europe
La convention du conseil de l’Europe du 23/11/01 sur la cyber criminalité, marque une avancée en matière de coopération judiciaire et de poursuite pénale au niveau international.
Protection des données à caractère personnel
La directive européenne du 24/10/95, le projet de loi 30/01/02 vise à rénover la loi informatique et liberté de 1978.
Projet de loi sur la société de l’information (PLSI) , n° 3143, déposé le 14 juin 2001. Renvoyé à la commission des affaires culturelles, le projet de loi est devenu caduc à la fin de la onzième législature.
Loi n° 2001-1062 du 15 novembre 2001
Loi relative à la sécurité quotidienne (LSQ)
Entraîne l’obligation aux opérateurs de télécommunication et aux Fournisseurs d’Accès Internet (FAI) de conserver des données de connexion à des fins policières. Les données doivent être stockées pendant un an.
Imaginons un Réseau Internet Solidaire (IRIS) dépose une plainte contre la France , devant la commission européenne.
Cette plainte concerne la loi n°2001-1062 du 15 novembre 2001 sur la sécurité quotidienne (LSQ), visant particulièrement son article 29 (conservation des données techniques relatives à une communication, pendant une période pouvant s’étendre jusqu’à un an). Déposée par IRIS le 21 décembre 2001, la plainte a été jugée recevable par la Commission européenne en janvier 2002. Elle est actuellement examinée par la Commission, qui jugera de l’opportunité de saisir ultérieurement la Cour de justice la Communauté Européenne.
Loi 2002-1094 29 août 2002
Loi d’orientation et de programmation pour la sécurité intérieure (LOPSI).
Le ministre de l’intérieur Monsieur Nicolas SARKOZY a présenté le 10 juillet 2002, le projet de Loi d’Orientation et de Programmation de la Sécurité Intérieure (Lopsi). Page 24 de ce document se trouvent les paragraphes suivants :
«Le rapprochement des grands fichiers de police criminelle de la police et de la gendarmerie nationale (STIC, JUDEX) sera favorisé … Le système de traitement uniformisé des produits stupéfiants (fichier STUP) fera l’objet d’un rapprochement entre les bases de données de la police, de la gendarmerie et des douanes sous la forme d’une mise en réseaux des informations détenues par ces trois services… A terme, tous les agents nationale habilités devront avoir accès à toutes les bases documentaires de recherches criminelles liées à la sécurité intérieure .»
© lopsi assemblée nationale 11 juillet 2002.
« Il sera élaboré un texte permettant aux officiers de police judiciaire, agissant dans le cadre d’une enquête judiciaire, sur autorisation d’un magistrat, d’accéder directement à des fichiers informatiques et de saisir à distance par la voie télématique ou informatique, les renseignements qui paraîtraient nécessaires à la manifestation de la vérité. »
© lopsi assemblée nationale 11 juillet 2002.
Projet de Loi pour la Sécurité Intérieure (PLSI) de Nicolas Sarkozy
Il prolonge les mesures prévues au chapitre V de la LSQ, votées en novembre dernier :
Le fichier national des empreintes génétiques (FNAEG), jusqu’ici réservé aux seules personnes condamnées pour des crimes particulièrement graves, est étendu aux simples suspects.
Le fichage devient sans limitation d’âge.
L’interconnexion des fichiers de police et de gendarmerie est prévue.
L’accès à ces fichiers policiers est étendu aux forces de l’ordre étrangères, aux personnes travaillant dans les secteurs de la sécurité et investies de mission de police administrative.
Il est prévu de ne pas restituer les objets saisis lors d’une procédure pénale. Il n’est pas prévu de remettre les données informatiques que ces objets contiennent.
Le droit de copie privée reconnu par la loi française est remis en cause, par l’élargissement de la notion de contrefaçon aux identifiants électroniques, sous couvert de lutte contre le vol de téléphones portables.
Il est prévu l’installation de systèmes de vidéosurveillance «intelligents».
L’accès est facilité aux fichiers des immatriculations et des permis de conduire.
Pour finir, la LSQ prévoyait d’abroger les mesures d’exception adoptées au 31 décembre 2003, et le PLSI précise que leur abrogation ne pourra avoir lieu avant le 31 décembre 2005.
Le 25 octobre 2002, la CNIL s’est autosaisie et a fait connaître sa position sur les dispositions du projet de loi pour la sécurité intérieure, relatives aux fichiers de police judiciaire et au fichier national automatisé des empreintes génétiques.
Elle demande que soit respectées, les prérogatives de la loi 78-17 du 06 janvier 1978 relatives aux fichiers nominatifs, et demande qu’une référence explicite y soit faite dans l’article 9 du projet de loi.
La CNIL souligne que les conditions d’accès élargis, depuis les besoins d’enquêtes, à des tâches de vérification administratives, sur l’ensemble du territoire risque de faire jouer aux fichiers de police le rôle de casier judiciaire, moins contrôlé.
Concernant le fichier d’empreintes génétiques, la CNIL souligne le fait qu’une personne peut se retrouver fichée juste par suspicion d’infraction (visée dans l’article 706-55), et non plus après condamnation.
Source : Commission Nationale de l’Informatique et des Libertés (CNIL)
http://www.cnil.fr
La Commission Nationale Consultative des Droits de l’homme (CNCDH) a procédé d’office à un examen du projet de loi pour la sécurité intérieure et regrette de n’avoir pas été en mesure, faute de saisine officielle, d’émettre un avis avant l’ouverture des travaux parlementaires.
La CNCDH rappelle que la sécurité ne s’oppose pas aux libertés, notamment le respect de la dignité humaine, la liberté d’aller et venir, les droits de la défense, sans lesquelles il n’est pas de véritable sécurité.
La « raison plausible » est une notion floue susceptible d’entraîner, au-delà même du contrôle d’identité (article 78-2 du CCP) ou de la visite des véhicules (article 78-2-3 du CCP), la conservation sur un fichier, des empreintes génétiques enregistrées concernant des personnes ayant fait l’objet d’investigations judiciaires par les officiers de police (article 15 706-54 du CCP). La CNCDH avait déjà rejeté cette modification lors de l’examen de la loi du 4 mars 2002.
La CNCDH s’interroge sur la portée des dispositions concernant le traitement automatisé d’informations, les personnes auxquelles il s’applique, et généralement la constitution et les conditions de sorties des fichiers. S’ajoutent des préoccupations sur les personnes qui y ont accès.
La CNCDH s’étonne que n’ait été retenus, comme cause d’effacement du fichier que les cas de relaxe ou d’acquittement.
S’agissant de l’accès au fichier, la CNIL a précisé que le système de traitement des infractions constatées est à la disposition des Officiers de Police Judiciaire habilités, ce qui concernerait environ 40.000 personnes. Si le projet de loi est adopté en l’état, environ 400.000 personnes seraient aptes à solliciter l’accès à cette base de données.
La CNIL a rappelé, tout comme la CNCDH, les graves dangers d’atteinte aux libertés individuelles et au respect des droits des personnes résultant de l’utilisation des fichiers de police judiciaire pour les enquêtes et autres tâches administratives. A cet égard, l’utilisation notamment à l’occasion d’embauche est très préoccupante, sous réserve toutefois des embauches dans des emplois liés à la défense et à la sécurité.
Il y a donc lieu de limiter les catégories de personnes dépositaires du pouvoir de consultation des fichiers aux seules autorités de police et de justice.
Source : Commission Nationale Consultative des Droits de l’homme (CNCDH)
http://www.commission-droits-homme.fr
Projet de loi pour la confiance dans l’économie numérique (LEN)
Art. 43-8 : protection des hébergeurs.
Les hébergeurs ne sont mis en cause, que si en ayant pris connaissance du caractère illicite d’informations ou d’activités, ils n’ont pas agit promptement pour en interdire l’accès.
Art. 43-11 : pas d’obligation de surveillance, ni de recherche de contenu illicite.
Art. 43-13 : obligation de détenir et de conserver les données de nature à identifier, toute personne ayant participé à la création du contenu illicite.
Art. L. 32-3-3 : protection des fournisseurs d’accès.
Art. 10 et 11 : indentification claire et non équivoque des publicités publiées ou envoyées par voies électroniques. Identification de l’émetteur obligatoire.
Art. L. 33-4-1 : interdiction de la prospection directe par moyens automatisés, sans consentement préalable du destinataire. Sauf, s’il y a eu vente ou prestation de service au préalable et si le destinataire a le moyen de s’y opposer. Identification de l’émetteur obligatoire.
Article 18-1 : utilisation libre de moyens cryptographiques.
Article 18-2 : la fourniture et le transfert dans la Communauté Européenne de moyens de cryptographie, dans un but d’authentification ou de contrôle d’intégrité sont libres.
Article 18-3 : la fourniture, le transfert dans la Communauté Européenne, ou l’importation dans un but autre que, l’authentification ou le contrôle d’intégrité est soumis à l’autorisation du premier ministre.
Article 19 : la fourniture de prestations en matière de cryptographie, est soumise à déclaration. Article 20 et 21 : responsabilité des prestataires de cryptographie.
Ils sont responsables des préjudices causés aux personnes utilisant leurs services, tant qu’ils n’ont pas démontré qu’aucune faute ou négligence n’ont été commises.
Art. 323-3-1 :
Le fait de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée, conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.
« Les dispositions du présent article ne sont pas applicables lorsque la détention, l’offre, la cession et la mise à disposition sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d’information. »
Les codes de conduite ou la régulation par le bas
De nombreux exemples de propositions et de règles conseillant le comportement à avoir sur l’Internet peuvent être trouvées à travers le WEB. Beaucoup de personnes y consacrent du temps et montrent leur implication dans le devenir de la société de l’information et de l’Internet. Ces exemples contiennent des idées vraiment intéressantes et il est regrettable, qu’il n’y ai pas plus de personnes qui participent à cette avancée.
Quand l’on parle de régulation par le bas pour l’Internet, on pense Netiquette ou Requests for Comments (RFC) 1855.
Cette RFC peut être trouvée à cette adresse (en anglais) : http://www.dtcc.edu/cs/rfc1855.html
Une traduction est consultable ici : http://web.ccr.jussieu.fr/ccr/Netiquette.html
Ce document fixe un ensemble de règles qu’il convient de respecter, si l’on désire que l’ordre règne sur l’internet.
Vous trouverez ci-dessous un ensemble de sites d’Associations militantes pour la régulation par le bas :
Association Francophone des Utilisateurs de Linux et des Logiciels Libres (AFUL) : association ayant pour but la promotion des logiciels libres ( http://www.aful.org/).
Droits et libertés face à l’informatisation de la société (DELIS) : intercollectif veillant au respect de la vie privée et de la confidentialité sur Internet ( http://www.delis.sgdg.org/).
Global Internet Liberty Campaign (GILC) : coalition militante pour l’application sur l’Internet des libertés publiques et individuelles ( http://www.gilc.org/).
Globenet : association dont les membres travaillent et militent dans les domaines de la citoyenneté active et de la solidarité internationale ( http://www.globenet.org/).
Et ci-dessous des associations de défense des libertés :
Association Iris
http://www.iris.sgdg.org/actions/loi-sec/
Site de défense des libertés
http://www.lsijolie.net/lsq/
Libertés immuables
http://www.enduring-freedoms.org/rubrique.php3?id_rubrique=4
Fédération Informatique et Liberté
http://www.vie-privee.org/
forum des droits sur l’Internet FDI
http://www.foruminternet.org/
Reporters sans frontières RSF
http://www.rsf.org/
Remarques : Ce site contient un rapport sur les ennemis d’Internet.
Ces listes sont loin d’être exhaustives, et l’on peut encore en trouver beaucoup d’autre.
