Bulletin d'inscription

Le bulletin d'inscription pour les troisièmes journées francophones de l'investigation numérique a été mis en ligne sur le site de l'AFSIN.

Ces journées, dont le programme prévisionnel est aussi consultable, sont ouvertes aux magistrats, enquêteurs des services de police et experts judiciaires.

5

Blocage sur le Web
Bon... un sujet à polémique, que j'ai déjà évoqué dans le passé (lors de la publication du rapport du Forum des droits sur Internet). Le ministre de l'intérieur a donc confirmé cette semaine l'introduction dans le projet de loi d'orientation et de programmation pour la performance de la sécurité intérieure d'un article visant à permettre le blocage des sites web pédophiles.

Je vais essayer de partager avec mes lecteurs mon avis sur le sujet. Je me baserai notamment sur ma connaissance de ce que nous faisons en gendarmerie dans la lutte contre ces phénomènes.

Pratiques existantes

Tout d'abord essayons de décrire l'ensemble des pratiques d'échanges et de diffusion de contenus pornographiques représentant des mineurs :

  • L'échange privé entre deux personnes, par courrier électronique ou par échange de fichiers entre contacts dans un logiciel de messagerie instantanée ;
  • L'échange sur les réseaux pair à pair (libres d'accès ou privés, cryptés ou non) ;
  • La diffusion sur des "newsgroups" ;
  • L'échange dans des groupes de discussion / forums web (hébergés sur des plateformes ou grâce à des scripts installés sur un serveur Web) ;
  • L'échange sur des canaux IRC, notamment par la configuration de scripts de partage (type Panzer) ;
  • La diffusion sur des sites Web (gratuits ou payants).

De façon plus anecdotique on trouve aussi des serveurs FTP, plutôt confidentiels.

Qu'est-ce qui est fait contre ces différentes formes de diffusion ?

C'est une question parfaitement sensée, notamment lorsqu'on en vient à parler de blocage, de savoir si tout le nécessaire est bien fait pour lutter contre ces phénomènes ?

S'agissant de la première catégorie, il s'agit d'échanges privés. Il n'est pas question (moralement et légalement) de détecter ou de filtrer ce type d'échanges, sauf évidemment lorsque les délinquants se serviraient de leur messagerie professionnelle pour le faire. La plupart de ces situations sont détectées une fois que des amateurs d'images pédophiles supposés sont interpellés, par l'analyse de leur ordinateur. Il est aussi envisageable, pour une personne contre qui il existe des indices de telles pratiques illégales, qu'un juge d'instruction ordonne une interception de ses communications Internet (articles 100 à 100-7 du code de procédure pénale). Mais l'outil légal le plus intéressant pour détecter ce type de pratiques est très certainement la loi sur les cyberpatrouilles que j'ai déjà évoquée à plusieurs reprises sur ce blog.

Sur les réseaux pair à pair "ouverts", des équipes spécialisées d'enquêteurs disposent d'outils dédiés (par exemple AntiPedofiles-P2P de l'association ActionInnocence). Plusieurs dizaines de cibles sont ainsi identifiées chaque mois par les enquêteurs du STRJD à Rosny-sous-Bois. La loi sur les cyberpatrouilles autorise maintenant certains enquêteurs à s'infiltrer sous pseudonyme dans les réseaux P2P chiffrés réservés à des groupes fermés. C'est la même chose pour les forums Web.

Les échanges sur les canaux IRC sont une situation intermédiaire, puisqu'ils sont à la fois des lieux d'échanges publics et de conversations privées. Une fois de plus, les cyberpatrouilles permettent d'étendre les possibilités des enquêteurs dans ce domaine.

La surveillance des "newsgroups" est facilitée par la nature même de cet outil, pour lequel il existe de nombreux moteurs de recherche. En revanche, il reste assez préoccupant qu'aucune mesure ne soit prise par les hébergeurs de ces serveurs pour empêcher les groupes de discussion manifestement illicites (certains noms de "newsgroups" en alt. ne laissent pas la place à l'interprétation...). C'est un sujet sur lequel il reste encore à imaginer de nouveaux modes d'action adaptés.

Et contre les sites web ?

Venons-en maintenant aux sites web de diffusion de contenu (par opposition aux forums web couverts plus haut). On peut observer plusieurs catégories :

  • des sites web personnels ;
  • des sites web pornographiques professionnels qui jouent au mélange des genres ;
  • des sites web pédopornographiques professionnels et donc commerciaux ;
  • des sites web malicieux qui attirent les visiteurs avec toutes sortes de contenus pour leur voler des données personnelles, bancaires ou provoquer l'installation de logiciels malicieux (notamment grâce à des informations cachées dans certaines vidéos).

Leurs hébergements sont de différentes nature : sites web personnels, sites sur un hébergement professionnel (avec toutes les nuances imaginables), squat sur des sites légitimes, abus de la connectivité d'autrui notamment au travers des botnets.

La lutte contre l'ensemble de ces sites illicites est grandement facilitée depuis le début de l'année par la mise en place de la plateforme de signalement, où cinq gendarmes et cinq policiers recueillent les témoignages d'internautes. Une grande partie d'entre eux portent sur des contenus pédopornographiques. Si le site est en France, il est assez facile de le faire fermer et d'en identifier l'origine. Lorsqu'il est à l'étranger cela devient plus complexe, voire impossible chez certains hébergeurs malhonnêtes.

Si les législations internationales existent, elles ne sont pas toujours ratifiées par l'ensemble des pays (par exemple : Russie, Turquie, San Marin, Andorre et la Principauté de Monaco, n'ont ni signé ni a fortiori ratifié la convention du Conseil de l'Europe sur la cybercriminalité) ou appliquées. La coopération internationale existe (en octobre 2007, la gendarmerie avait ainsi mené l'opération Arc-En-Ciel, suite à un signalement reçu de l'étranger sur une diffusion illicite organisée depuis un site de téléchargement français). Mais elle se heurte à certaines frontières : la corruption dans certains pays ou plus souvent l'inaction ou l'impuissance des responsables officiels.

La coalition financière européenne est une autre réponse contre ces formes de commerce illicites. Ainsi, la commission européenne a-t-elle décidé de financer une initiative qui vise à rassembler les efforts des acteurs de l'Internet, des services d'enquête et des grands réseaux financiers, pour identifier et bloquer les flux financiers liés aux contenus pédopornographiques. La France doit rejoindre la coalition - initiée par nos collègues anglais et italiens - dès cette année.

Mais la volonté des groupes criminels est particulièrement tenace, ils profitent de toutes les failles du système et continuent de faire d'importants bénéfices financiers grâce à l'abus sexuel des mineurs et à sa représentation.

Et maintenant, le blocage ?

Pour compléter l'ensemble des actions que je viens de décrire, et devant le constat que de nombreux sites Web subsistent encore et continuent de faire des dégâts, un groupe de travail européen propose de mettre en place des solutions de blocage ciblées. Soutenue par Europol et Interpol, cette initiative vise à mettre en place dans l'ensemble des pays concernés des techniques empêchant l'accès à ces sites web.

Ainsi, le Royaume-Uni, la Norvège, le Danemark, la Suède ou les Pays-Bas ont-ils mis en place de façon concertée avec les grands fournisseurs d'accès des dispositifs empêchant l'accès à une liste de sites fournie par la police. D'un pays à l'autre, d'un opérateur à l'autre, les solutions techniques sont différentes, adaptées aux situations locales. La France quant à elle s'oriente donc vers une solution législative (comme l'Italie en 2006) plutôt que de gré à gré avec les opérateurs.

Que dit le projet de loi ?

Le texte du projet est accessible sur le site Web du ministère de l'intérieur.

L'article 4 propose ainsi d'insérer dans l'article 6 de la loi pour la confiance dans l'économie numérique un alinéa, après le quatrième alinéa du paragraphe 7 du I :

Lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l'article 227-23 du code pénal le justifient, l'autorité administrative notifie aux personnes mentionnées au 1 les adresses Internet des services de communication au public en ligne entrant dans les prévisions de cet article et auquel ces personnes doivent empêcher l'accès sans délai.

Un décret fixe les modalités d'application de l'alinéa précédent, notamment celles selon lesquelles sont compensées, s'il y a lieu, les surcoûts résultant des obligations mises à la charge des opérateurs.

(Cet article 4 prévoit aussi des sanctions pour les fournisseurs d'accès qui n'appliqueraient pas ces mesures.)

En langage clair, un service du ministère de l'intérieur transmettrait, dans des conditions qui doivent être précisées dans un décret, la liste des sites Web diffusant des contenus pédopornographiques dont il convient d'empêcher l'accès.

Quels sont les arguments de ceux qui s'opposent à ce projet ?

Il est important en démocratie d'écouter l'ensemble des avis sur un tel sujet, notamment lorsqu'il s'agit de restrictions potentielles aux libertés publiques (notamment en cas de surblocage).

Il s'agirait de créer en France une forme nouvelle de censure

C'est clairement faux, puisque la loi pour la confiance dans l'économie numérique permet déjà dans le 8° du I de ce même article 6 au juge civil d'ordonner que des mesures soient prises par les hébergeurs, puis si cela n'est pas suffisant, par les fournisseurs d'accès pour empêcher un dommage. Les mesures de blocage existent donc en droit.

Ces mesures sont d'ailleurs prévues au niveau européen par l'article 14, 3° de la directive 2000/31/CE sur le commerce électronique dont est issue la LCEN.

En revanche, les dispositions actuelles ne permettent pas à l'enquête pénale de conduire au dit blocage. D'où une disposition spéciale.

Il s'agirait d'une démarche visant à contrôler la liberté d'expression

Comme je viens de le dire, les mesures de blocage peuvent déjà être ordonnées, ce n'est pas une nouveauté en France. Ce qui est nouveau, c'est la possibilité d'avoir une action plus dynamique et plus efficace contre les sites Web pédopornographiques (puisque le projet de loi vise explicitement et uniquement cette infraction). Et il ne me semble pas que ce type de contenus relève de la liberté d'expression.

Le dispositif ferait fi du principe de subsidiarité de la LCEN

Oui, en pratique, le juge n'intervient pas dans le dispositif proposé. Mais en quoi consisterait en pratique le principe de subsidiarité appliqué à cette situation, avec le droit actuel ?

Cela supposerait de contacter d'abord l'éditeur du site pour lui intimer l'ordre de retirer ces contenus...

Ensuite, il faudrait s'adresser à l'hébergeur, dont j'ai expliqué tout à l'heure qu'évidemment ceux qui nous intéressent ici, sont justement ceux qui ne coopérent pas avec l'autorité policière ou judiciaire française.

Enfin, seulement il faudrait que le juge se prononce sur l'ensemble de ces actions, sur le contenu incriminé et cite l'ensemble des fournisseurs d'accès français, qui devraient présenter leurs arguments en réponse, pour ensuite ordonner le blocage du dit site. Et cela, pour chacun des sites Web concernés.

Ubuesque...

En revanche, rien n'interdit le contrôle de ces dispositions. S'agissant d'une mesure administrative, c'est le juge administratif qui pourra être saisi par quiconque estime être lésé par les mesures de blocage. Il y a donc bien contrôle par le juge de la mesure proposée. C'est d'ailleurs déjà le cas pour l'interdiction de vente aux mineurs de certaines revues, qui font aussi l'objet de mesures administratives.

Enfin, comme l'indiquait récemment Christian Aghroum, chef de l'OCLCTIC, dans une interview, il n'est pas question dans ce projet d'autres types de contenus. Et c'est particulièrement important pour l'équilibre du dispositif. En effet, estimer la nature illégale d'un contenu pédopornographique est assez simple et constitue le travail de spécialistes des services d'enquête - malheureusement - depuis de nombreuses années. En revanche, pour d'autres types de contenus (discrimination, diffamation, ...) l'interprétation du juge serait cruciale.

Le projet présenterait de gros risques techniques

Oui, le blocage au niveau des opérateurs n'est pas une action sans conséquence. D'ailleurs, c'est bien ici la compétence des acteurs techniques qui est recherchée par le projet de loi. Ce sont les spécialistes des opérateurs qui la mettront en œuvre, en fonction de leurs infrastructures.

Et tous les jours, les fournisseurs d'accès prennent des mesures techniques pour protéger leurs infrastructures et leurs abonnés. Ne serait-ce que pour lutter contre le spam ou certaines attaques massives. Parfois, ils peuvent faire des erreurs, Internet ne s'est pas encore effondré (les exemples sont nombreux, par exemple avec des incidents dans l'accès à Google - forcément vite repérés, mais la situation est très vite rétablie).

Ainsi, Wikipedia avait souffert en décembre 2008 d'un surblocage au Royaume-Uni. Le mécanisme - assez complexe - était lié à la combinaison de l'action du dispositif de blocage utilisé dans ce pays (apparemment, le passage par un proxy pour certaines adresses IP de destination) et le dispositif anti-vandalisme de Wikipedia (qui a détecté ces proxys comme des sources probables de vandalisme). C'est assez bien expliqué dans l'article que j'ai mis en lien et on pourra aussi consulter l'information publiée par Wikipedia à ce sujet.

Cet incident milite d'abord pour une gestion transparente de ce projet - le débat public à venir en est une caractéristique. Et il veut surtout dire qu'il est important pour l'ensemble des acteurs du blocage (pouvoirs publics et opérateurs) de dialoguer efficacement pour anéantir les possibilités de surblocage ou de nuire à la qualité de l'accès Internet, selon les techniques choisies par les uns et par les autres.

Et le blocage ne serait pas la panacée...

Oui, aucune mesure de prévention ne réussit à 100%... Le tout est de savoir si elle aura une certaine efficacité.

Déjà pour l'internaute français lambda (adulte ou jeune), non intéressé par ce type de contenus, la mesure n'aura pas de conséquence (à conditions que les risques de surblocage soient bien gérés, comme je viens de l'évoquer) et le protégèra de certains contenus, y compris de sites diffusant des logiciels malveillants. Il est d'ailleurs indispensable à ce titre que la qualité de navigation de ces internautes ne soit pas diminuée.

Pour l'internaute qui chercherait ce genre de contenus, beaucoup seront bloqués et le marché commercial des promoteurs de ces sites en sera diminué d'autant. Et toutes les occasions de créer la peur du gendarme chez ces délinquants potentiels est une bonne mesure préventive. Les plus insistants trouveront peut-être des techniques pour contourner le blocage. Mais comme je l'ai déjà évoqué, ce sont loin d'être les seules mesures que nous prenons contre ces sites Web et ils pourront par exemple être retrouvés grâce à leurs transactions bancaires avec ces sites. Et rien ne nous interdit d'imaginer des techniques supplémentaires pour mieux identifier ces actions illicites, le travail est - nous le savons bien - loin d'être accompli.

Conclusion

Nous sommes donc face à un choix de société important. Il est important de ne pas sous-estimer la réalité de ces phénomènes et leur impact sur les enfants (je parle ici des victimes de ces actes sexuels), mais aussi les gains financiers permis par de telles abominations. Il est important aussi de ne pas déplacer le débat : le blocage n'est pas juridiquement une nouveauté, ce qui l'est c'est une action plus efficace contre les sites pédophiles et notamment les sites de nature commerciale et mafieuse.

1

Nokia 1100
Nokia 1100

Une histoire assez délirante cette semaine... Des "chercheurs" appartenant à un réseau d'experts basé aux Pays-Bas auraient réussi à trouver la raison pour laquelle les prix des Nokia 1100 (plus particulièrement ceux fabriqués à Bochum en Allemagne) grimperaient dans les sommets sur le marché noir. L'explication qu'on lit dans cet article est intrigante : on y lit qu'il serait possible de reprogrammer les téléphones Nokia 1100 pour recevoir les SMS de la banque à la place de l'utilisateur légitime.

Notons au passage que les Nokia 1100 sont des téléphones GSM distribués en Europe, donc utilisant une carte SIM.

C'est dans les détails que l'annonce devient surnaturelle : il serait possible de reprogrammer l'IMEI et l'IMSI du téléphone (littéralement dans l'article: l'information qui permet de se connecter au réseau de l'opérateur). Le lecteur averti commence déjà à tiquer, étant donné que l'IMSI est le numéro qui identifie l'abonné sur le réseau, qu'il se trouve sur la carte SIM (et non particulièrement dans la mémoire du téléphone) et que de toutes façons c'est une clé confidentielle (la clé Ki) qui est utilisée pour authentifier la carte SIM.

Et ensuite au détour d'une phrase: "For the final step, the hacker must also clone a SIM (Subscriber Identity Module) card, which Becker said is technically trivial." (page 2 de l'article). Oui, forcément... Si on est capable de copier la carte SIM, effectivement, on pourra recevoir les SMS de l'abonné. Mais là cela devient complètement indépendant du terminal GSM utilisé, Nokia 1100 ou dernier N95, ce sera la même chose.

Enfin, le fin mot de l'histoire serait une utilisation pour recevoir des codes "mTAN" uniques envoyés par SMS, utilisés par les banques en Allemagne pour renforcer l'authentification de leurs utilisateurs de services en ligne.

Dans ce qu'on lit des déclarations d'Ultrascan, dans cet article et dans bien d'autres (un article un peu plus fouillé sur PCWorld), rien donc qui ne justifierait la particularité des GSM Nokia 1100 fabriqués en Allemagne au début des années 2000... D'ailleurs on trouve de tels téléphones à moins de 30 euros sur des sites d'enchères !

Drapeau européen - Photo par Rock Cohen
Drapeau européen - Photo par Rock Cohen

Le 9 mai est traditionnellement la journée de l'Europe, dans toute l'Union Européenne, en souvenir de la déclaration de Robert Schuman pour une structuration de l'Europe, le 9 mai 1950.

C'est l'occasion de faire le point sur ce que fait l'Europe dans le domaine qui nous intéresse. Sur le plan institutionnel, nous avons aujourd'hui plusieurs instances intéressantes :

  • Au sein d'Europol, le HTCC ou high tech crime centre, est le point focal de l'activité d'Europol dans la lutte contre la cybercriminalité. En effet, depuis 2002, le mandat d'Europol a été étendu à toutes les formes graves de délinquance, y compris la cybercriminalité. 2009 devrait voir la création à Europol d'un système de centralisation de l'ensemble des signalements d'infractions (un des résultats de la présidence française de l'Union européenne) qui peuvent intéresser les Etats membres et ainsi en faciliter les investigations ;
  • L'ENISA, agence européenne de sécurité de l'information et des réseaux a été lancée en mars 2004. Elle manque encore de visibilité dans son action : elle est positionnée comme un centre d'expertise au service des états-membres, mais pas encore dans le concret. Peut-être cela sera-t-il amené à évoluer, par exemple dans la gestion de certaines crises liées à la sécurité des systèmes d'information ;
  • La commission européenne finance au travers de différents programmes la recherche et l'innovation, la formation ou le développement d'outils qui aident à la lutte contre la cybercriminalité. Ainsi le programme Safer Internet qui finance notamment le fonctionnement d'INHOPE - réseau européen des plateformes de signalement privées en matière de protection des mineurs sur Internet, mais aussi le programme ISEC de la direction générale justice liberté et sécurité qui comporte un volet important consacré à la lutte contre la cybercriminalité ou le septième programme cadre européen de financement de la recherche qui permet certaines initiatives (sous l'angle de la sécurité des systèmes).
  • Parmi les projets actuellement financés sur le programme ISEC, on peut citer :
    • La création d'une coalition financière européenne dans la lutte contre la diffusion de documents pédopornographiques sur Internet, dont j'ai parlé voilà deux mois ;
    • Les différentes activités du groupe de travail d'Europol sur l'harmonisation des formations des services de police dans la lutte contre la cybercriminalité.

Plusieurs textes législatifs de niveau européen sont intéressants à citer et certains devraient évoluer prochainement :

Parmi les déclarations officielles récentes on peut citer les conclusions du conseil justice et affaires intérieures sur la cybercriminalité portées par la présidence française de l'union européenne du 24 octobre 2008 et la déclaration de Prague pour un "Internet plus sur pour les enfants" du 20 avril 2009.

Les évolutions que l'on peut attendre seront certainement basées sur des évolutions des directives ou décisions-cadres évoquées plus haut, que ne manquera pas de proposer la commission européenne cet automne. Le suivi du "Paquet Télécoms" est aussi très important. Ainsi j'évoquais le 05 mars dernier le dispositif introduit dans ce texte qui prévoit la notification obligatoire des incidents de sécurité subis par les opérateurs lorsqu'ils concernent de façon significative les données de leurs clients. Mais, mardi 05 mai dernier, la commissaire européenne aux télécommunications, Viviane Reding, évoquait le projet de la commission d'étendre cette mesure à l'ensemble des domaines économiques, dans un texte qui verrait son application d'ici la fin de l'année 2012. A suivre donc...

3

In English anglais

120px-pig_dsc039781
Torcochon ?

Non, il ne s'agit pas ici du virus de la grippe porcine. Des chercheurs de l'université de Santa Barbara en Californie ont publié un rapport rendant compte des observations qu'ils ont pu faire lors d'une prise de contrôle temporaire d'un système de commande du botnet Torpig.

Il s'agit d'un botnet basé sur un logiciel malveillant (Torpig/Sinowal/Anserin/Mebroot) affectant les systèmes Microsoft Windows. Il aurait été d'abord repéré (selon RSA) en février 2006 ou en juillet 2005 selon d'autres spécialistes. Cela fait donc bientôt quatre ans que ce cheval de Troie sévit, et toujours aussi activement !

Les conclusions du rapport des chercheurs de Santa Barbara, reprises dans un article chez ZDNet, sont que cet outil malveillant permet de collecter actuellement des millions de mots de passe, des milliers de numéros de carte bancaire ou d'identifiants d'accès à des comptes bancaires. Ces chercheurs ont mis en ligne une page de suivi de ce projet.

C'est un nouvel exemple (j'en parlais déjà voici quelques semaines) des techniques qu'il est nécessaire aujourd'hui d'utiliser pour collecter efficacement de l'information sur ces botnets : il est nécessaire de les pénétrer. Aujourd'hui, de tels modes de collecte de preuve restent purement et simplement illégaux.

IMac
IMac

Je n'ai pas rédigé beaucoup d'articles dans la catégorie criminalistique de mon blog, et la lecture récente d'une petite publication très intéressante m'en donne l'occasion.

Dans son article, Dennis Browning du Champlain College (Burlington, VT), présente une approche intéressante des fichiers .plist du système MacOS X en pointant du doigt les similitudes avec l'analyse des bases de registres sous Windows.

Les "listes de propriétés" sont des fichiers de l'univers MacOS X, mais aussi NextStep et GNUStep, dont l'extension est ".plist" (fichier d'aide sur le site d'Apple) et qui sont utilisés le plus couramment pour stocker des données de configuration de l'utilisateur. Sous MacOS X, les fichiers plist ont adopté un format XML dont le fichier de description a été fixé par Apple, puis un format binaire, plus économe.

Apple fournit dans ses outils développement le "Property List Editor". Il existe un utilitaire gratuit pour Windows permettant d'éditer ces fichiers plist. Attention, comme tout outil externe, il convient de le valider. Il est d'ailleurs recommandé - en général - de disposer d'un Mac pour analyser des machines sous MacOS...

L'auteur de l'article couvre plusieurs aspects de l'examen des fichiers .plist:

  • démarrages automatiques
  • éléments récents
  • configuration des réseaux sans fil
  • périphériques montés
  • iPods
  • historiques Internet (Safari, Firefox)
  • applications

Par exemple, Dennis Browning fait référence au fichier /user/Library/Preferences/com.apple.finder.plist qui contient des informations sur l'ensemble des périphériques et médias montés sur le système.

Pour ce qui est du Wifi, il est intéressant de regarder les fichiers /hd/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist et /hd/Library/Preferences/SystemConfiguration/com.apple.network.identification.plist . L'examen conjoint de ces deux fichiers permet de déterminer les réseaux auxquels l'utilisateur s'est connecté, la date de dernière connexion et la configuration.

On voit donc que c'est aussi riche que l'examen des bases de registres de Windows... Peut-être cela a-t-il l'inconvénient d'être éparpillé et manquons-nous encore d'outils pour les exploiter rapidement. A vos souris !