Du point de vue informatique, il faut distinguer trois classes d'acteurs dans la communauté universitaire :

- les utilisateurs : étudiants, enseignants, chercheurs, personnels utilisant les systèmes informatiques mis à leur disposition par les institutions partenaires,

- les administrateurs systèmes et/ou réseau, responsables techniquement du bon fonctionnement des outils informatiques,

- les responsables : les responsables hierarchiques, directeurs d'UFR, de laboratoire ou de service.

Chacun a des droits et des devoirs identiques dans l'esprit mais différents dans la pratique.

Chacun a droit à :

- une identification personnelle sur les systèmes informatiques auxquels un accès lui est accordé, si ces systèmes le permettent techniquement,

- l'accès aux ressources et aux services communs offerts par l'Observatoire Astronomique de Strasbourg, l'Université Louis Pasteur,

- l'information lui permettant d'utiliser au mieux les moyens mis à sa disposition,

- l'information sur la sécurité du système qu'il utilise et sur l'évolution des ressources et services communs offerts par l'Observatoire Astronomique de Strasbourg.

- Chacun doit respecter la propriété intellectuelle et commerciale.

- Chacun s'engage à ne pas prendre connaissance d'informations appartenant à autrui sans son accord, à ne pas communiquer à un tiers de telles informations, ou des informations non publiques auxquelles il peut accéder, mais dont il n'est pas propriétaire.

- Chacun doit s'identifier clairement, nul n'a le droit d'usurper l'identité d'autrui ou d'agir de façon anonyme. Nul ne peut céder ses droits à autrui.

- Chacun doit s'efforcer de parvenir à son but par le moyen le moins "couteux" en ressources communes (espace disque, impressions, occupation des postes de travail, transferts réseau, occupation de serveurs distants, ..).

- Chacun doit contribuer à l'amélioration du fonctionnement et de la sécurité des outils informatiques, en respectant les règles et conseils de sécurité, en signalant immédiatement aux responsables toute anomalie constatée, en sensibilisant ses collègues aux problèmes dont il a connaissance.

- Chacun a le devoir de respecter les règles de sécurité applicables au système qu'il utilise. Ces règles doivent lui être communiquées par l'administrateur système.

- Chacun doit respecter la fonction assignée à un équipement qui lui a été assignée (utilisation abusive à des fins personnelles, utilisation dans un but commercial, utilisation abusive d'un équipement de l'enseignement pour la recherche ou vice-versa, etc.). Nul ne peut modifier un équipement, tant du point de vue matériel que logiciel système, sans l'accord du responsable.

Sur de nombreux systèmes, l'administrateur a techniquement tous les pouvoirs, il a de ce fait des devoirs importants, en particulier celui de ne pas abuser de ses pouvoirs. D'après le code pénal, l'administrateur système est personnellement responsable de la sécurite de la machine dont il a la charge.

Tout administrateur système a le droit :

- d'être informé des implications légales de son travail, en particulier des risques qu'il court dans le cas où un utilisateur du système dont il a la charge commet une action répréhensible,

- d'accéder aux informations privées à des fins de diagnostic et d'administration du système, en respectant scrupuleusement la non-divulgation des informations accédées,

- d'établir des procédures de surveillance des utilisateurs soupçonnés de non-respect de la présente charte, sous couvert de son responsable administratif.

Tout administrateur système a le devoir :

- d'informer les utilisateurs sur l'étendue des pouvoirs dont lui-même dispose techniquement de par sa fonction,

- de respecter les règles de confidentialité, en limitant l'accès à l'information confidentielle au strict nécessaire et en respectant un "secret professionnel" sur ce point,

- de modifier le système dans le sens d'une meilleure sécurité, dans l'intérêt des utilisateurs,

- d'informer les utilisateurs et de les sensibiliser aux problèmes de sécurité informatique inhérents au système, de leur faire connaître les règles de sécurité à respecter,

- de respecter, s'il est lui-même utilisateur du système, les règles qu'il est amené à imposer aux autres utilisateurs,

- de respecter les règles générales d'accès au réseau définies par le Centre Réseau Communication,

- d'informer immédiatement son responsable administratif et le correspondant sécurité de l'Université ou du CNRS de toute tentative (fructueuse ou non) d'intrusion sur son système, ou de tout comportement dangereux d'un utilisateur, (procédure obligatoire : mail svp-osiris@crc; Subject : sécurité .....),

- de coopérer sans réserve avec le correspondant sécurité des établissements de l'Observatoire ou le correspondant sécurité du CNRS en cas d'attaque impliquant une machine qu'il administre.

Les responsables hierarchiques ont le droit :

- d'interdire l'accès aux outils informatiques à un utilisateur qui ne respecte pas la présente charte après en avoir pris connaissance, ou qui refuse d'en prendre connaissance,

- de porter devant la section disciplinaire de l'établissement des institutions partenaires toute affaire grave résultant du non respect de cette charte.

Les responsables hierarchiques ont le devoir :

- d'informer tous les acteurs, de diffuser la présente charte et de n'autoriser l'accès aux moyens informatiques qu'à ceux qui auront reconnu en avoir pris connaissance,

- de communiquer, au correspondant sécurité de l'établissement de l'Observatoire ou au correspondant sécurité du CNRS, le nom des responsables système de toutes les machines placées sous leur autorité et au Centre Réseau Communication le nom d'un responsable réseau,

- de soutenir les administrateurs système dans leur travail de mise en application de cette charte.

Le non respect des règles définies dans cette charte peut entraîner des sanctions à deux niveaux distincts :

- universitaire :

. les responsables hierarchiques ont pleine autorité pour prendre les mesures conservatoires nécessaires en cas de manquement à la présente charte et interdire aux utilisateurs fautifs l'accès aux moyens informatiques et au réseau,

. ces utilisateurs fautifs peuvent être déférés devant la commission de discipline compétente,

- Des actions en justice peuvent en outre être engagées à l'encontre des utilisateurs fautifs conformément à la loi française.

Conseils pratiques et règles de bonne conduite

Cette liste ne prétend pas être exhaustive, mais présenter les conseils de simple bon sens informatique.

Ce qu'il faut faire :

- respecter la propriété intellectuelle et commerciale : chacun doit s'assurer que son outil de travail ne comporte pas de copies illicites de logiciels, sa responsabilité étant engagée même s'il n'est pas l'auteur de la copie illicite.

- choisir un bon mot de passe et en changer régulièrement,

- utiliser les moyens techniques existants pour protéger ses données (droits d'accès s'ils existent),

- s'identifier clairement sur les serveurs "anonymes" qui le demandent (ftp anonyme),

- configurer sa messagerie pour que chaque message envoyé comporte une signature très claire,

- se souvenir que l'accès aux serveurs libres (ftp anonyme, gopher, WWW, ...) n'est pas un droit : c'est une courtoisie de l'organisme qui gère chaque serveur. Ne pas en abuser et rester courtois en cas d'échec...

- essayer de trouver l'information localement (ou à proximité) avant de la rechercher de l'autre côté de la planète : les serveurs importants sont souvent dupliqués (sites miroirs), et plusieurs sites en France sont miroirs de grandes archives (INRIA, Rennes, Lyon, etc.).

Ce qu'il vaut mieux ne pas faire :

- s'emporter ou mettre en cause injustement une personne ou un groupe dans un message électronique : nul ne sait jusqu'où peut aller un message, surtout s'il est envoyé à une conférence électronique...

- envoyer à une conférence électronique ou un groupe de News un message sans aucun rapport avec le sujet du groupe en question,

- répondre durement à une question "évidente" d'un débutant : on a toujours quelque chose à apprendre, ne serait-ce que la modestie.

Ce qu'il ne faut surtout pas faire :

- utiliser un mot de passe simpliste, l'écrire sous le clavier ou le communiquer à un tiers "pour rendre service",

- quitter son poste de travail sans terminer sa session,

- communiquer le contenu du fichier /etc/passwd à un tiers,

- envoyer un courrier électronique en usurpant la signature d'un tiers (délit très grave : les institutions partenaires n'hésiteront pas à porter l'affaire en justice),

- considérer que ce qui est techniquement possible est ipso-facto autorisé : par exemple, profiter de l'imprudence ou de l'inexpérience d'un autre utilisateur pour accéder à ses données (si votre voisin oublie de fermer sa porte en partant, cela ne vous confère pas le droit de rentrer chez lui),

- permettre à tous l'écriture dans un fichier personnel (surtout exécutable),

- inscrire en clair son mot de passe dans un fichier de configuration (.netrc),

- installer sur un système (surtout micro-ordinateurs) des logiciels non autorisés par l'administrateur (risque de virus, de modification du système), ou des copies illicites de logiciels commerciaux,

- modifier la configuration d'un système sans l'accord de l'administrateur (déplacer une imprimante, changer un écran, modifier le logiciel système, ...),

- essayer d'acquérir des droits supplémentaires "pour voir si c'est possible" (cracker une machine, un mot de passe, capturer l'information sur le réseau,...) délit très grave : les institutions partenaires n'hésiteront pas à porter l'affaire en justice,

- utiliser la messagerie dans des actions illicites : harcèlement, publicité ou diffamation, chaînes de messages, ...

- créer un serveur (ftp, gopher, WWW) personnel et le faire passer pour celui d'un institut ou laboratoire : c'est une forme d'usurpation d'identité,

- créer un serveur (ftp, gopher, WWW) contenant des informations relatives à des personnes : la loi Informatique et Libertés est très stricte...

- créer un serveur (ftp, gopher, WWW) contenant des logiciels protégés, ce qui en facilite la copie illicite par le réseau,

Les institutions partenaires (comme les éditeurs de logiciels) n'hésiteront pas à porter l'affaire en justice.

Ce qu'il faut faire absolument :

Profiter de ce formidable outil de travail et de ce merveilleux espace de culture, de liberté et de tolérance qu'est le réseau Internet...

La loi française

- La loi du 6 janvier 1978 sur l'informatique et les libertés.

Cette loi a pour objet de protéger les libertés individuelles susceptibles d'être menacées par l'utilisation de l'informatique. Elle définit les droits des personnes et les obligations des responsables de fichiers.

- Loi 92-684 du 22 juillet 1992.

(déclaration préalable à la création de tout fichier contenant des informations nominatives)

Article 226-24 du Nouveau Code Pénal (NCP) : responsabilité des personnes morales des infractions aux dispositions de la loi sur les atteintes à la personnalité.

- Convention Européenne du 28/01/1981

Protection des logiciels

- Les lois du 3 juillet 1985 et du 1er juillet 1992 sur la protection des logiciels

Ces lois protègent les droits d'auteur. Elles interdisent en particulier à l'utilisateur d'un logiciel toute reproduction autre que l'établissement d'une copie de sauvegarde.

- Loi du 10 mai 1994 modifiant la loi du 1er juillet 1992 relative au code de propriété intellectuelle.

- Directive Européenne du 21/12/1988

(harmonisation de la protection juridique des logiciels)

Protection des secrets par nature

- Art 410-1 et 411-6 : secrets économiques et industriels.

- Art 432-9 al et 226-15 al1 : secrets des correspondances (écrites, transmises par voie de télécommunications)

Accès ou maintien frauduleux dans un système informatique

- La loi du 5 janvier 1988 relative à la fraude informatique

C'est la loi la plus importante et la plus astreignante puisqu'elle définit les peines encourues par les personnes portant atteinte aux systèmes de données.

- Art 323-1 et suivant du NCP : 1 à 2 ans d'emprisonnement et 100 000 à 200 000 Fr.d'amende (max dans le cas de modification du système)

- Art 323-5 peines complémentaires

ENGAGEMENT PERSONNEL

---

 

Je soussigné, ..................................................... utilisateur des moyens informatiques de l'Observatoire Astronomique de Strasbourg et du réseau Osiris

-déclare avoir pris connaissance de la charte de bon usage de l'informatique à l'Observatoire Astronomique de Strasbourg et du réseau Osiris et

-m'engage à la respecter.

Lu et approuvé ..................... à .................. le ....................

 

---