Investigation & transformation numériques

Prospective

Un chapitre collaboratif ?

Photo de Rahego

Un article un peu inhabituel et court pour lancer un appel à commentaires auprès de mes lecteurs sur leurs sujets de préoccupation du moment en matière de cybercriminalité.

J’ai commencé depuis quelques mois la rédaction d’un livre sur la cybercriminalité et la cybersécurité et l’idée ici est d’en consacrer une partie, soit dans les chapitres déjà prévus, soit dans un chapitre à part, aux questions, aux préoccupations du moment, de mes lecteurs.

A vos claviers ! Toutes les questions et tous les commentaires sont les bienvenus.

14 juillet 2011 by Cybercriminalité Juridique Livre Prospective Sécurité 15

Lancement du projet 2CENTRE

Mardi 31 mai, se tenait le lancement du projet 2CENTRE visant à la création d’un réseau de centres d’excellence pour la formation et la recherche contre la cybercriminalité. L’événement s’est déroulé en duplex entre Paris et Dublin où avait lieu une conférence organisée par nos partenaires irlandais de l’UCD.

La naissance du projet

Le projet a germé voilà trois ans déjà, et sa première étape fut un rapport rédigé par Nigel Jones et Cormac Callanan à partir des contributions des différentes partenaires potentiels (télécharger le PDF ici). Il s’agissait de donner une dimension opérationnelle aux travaux menés par le groupe de travail européen sur la formation en cybercriminalité (ECTEG), c’est-à-dire des espaces où pourraient effectivement se développer et être délivrées les formations pensées à l’ECTEG, dans un esprit de partage et aussi avec le souci de ne pas former uniquement les services de police mais aussi l’ensemble de nos partenaires. Le projet qui comporte bien évidemment une dimension de recherche scientifique pour soutenir la formation a pour ambition d’associer à chaque fois l’ensemble des parties intéressées autour d’un partenariat fort: universités/établissements d’enseignement, services de police, industriels concernés.

La première étape

La première étape a consisté, avec le support de la Commission Européenne, à identifier les premiers pays où la création de tels centres était possible rapidement et d’initier une structure permettant de les mettre en réseau.

En France, nous avons rassemblé au cours de deux réunions, l’ensemble des partenaires potentiels, auxquels le projet a été expliqué et une première équipe a été constituée pour présenter un dossier en vue d’un financement européen.

Ainsi, dans un premier temps, la France et l’Irlande se sont associées pour profiter de la dynamique qui y préexiste. C’est le projet que nous lancions mardi et qui comporte trois composantes principales:

Dès le mois de janvier 2010 nous recevions le feu vert du programme ISEC (Prévention du crime et lutte contre la criminalité) de la Commission Européenne.
Dans un temps très proche, la Belgique a initié un projet frère le B-CCENTRE dont le lancement s’est tenu la semaine dernière et l’Estonie ne devrait pas tarder à suivre, comme de nombreux autres projets qui commencent à émerger en Europe et peut-être dans d’autres régions du Monde.

Le contenu du projet de centre français

Le projet de centre français rassemble déjà de nombreux partenaires: l’université de technologie de Troyes, l’université de Montpellier, la gendarmerie et la police nationales, les sociétés Thalès et Microsoft France. Orange France soutient financièrement l’initiative.

La première activité consistera, autour de ce premier noyau, à créer concrètement le centre français. Sa particularité est qu’il s’agira de mettre en réseau l’ensemble des parties prenantes qui partagent avec nous le même objectif de contribuer à la lutte contre la cybercriminalité par la recherche et la formation. Donc seront amenés à nous rejoindre, au cours des prochains mois d’autres partenaires académiques, industriels et services d’enquête spécialisés.

Deux séries d’activités concrètes couvrent ensuite les aspects de formation et de recherche:

  • une formation en ligne pour les premiers intervenants: il s’agit d’offrir un module d’initiation à la cybercriminalité aux policiers et gendarmes, notamment ceux qui accueillent le public et donc reçoivent les premières plaintes et mènent les premiers actes d’investigation;
  • un module de formation en ligne sur l’analyse des systèmes Windows 7 pour les enquêteurs: au-delà de ce premier projet il s’agit de tester en grandeur réelle ce type d’outil de formation permettant la mise à jour des compétences des enquêteurs spécialisés;
  • l’amélioration et la formalisation des enseignements existant pour les enquêteurs spécialisés: l’objectif est de consolider les formations existantes et éventuellement de partager certains de ces modules clés en mains avec des pays partenaires;
  • un projet de recherche sur la détection distribuée d’intrusions sur les réseaux;
  • une étude sur les besoins en formation, notamment pour identifier les besoins des entreprises (petites et grandes) et en particulier les acteurs qui sont en premier en contact avec les services d’enquête spécialisés (prestataires Internet, fournisseurs d’accès, opérateurs), qu’il s’agisse de proposer des cahiers des charges pour la formation continue ou d’inciter les formations existantes (notamment d’ingénieurs en informatique ou en sécurité des systèmes d’information) à inclure des modules sur l’investigation numérique et le lien avec l’enquête judiciaire;
  • l’animation d’une communauté francophone pour le développement d’outils d’analyse forensique (au départ autour des systèmes de fichiers), avec la volonté de contribuer activement à l’opensource dans ce domaine;
  • la création d’outils de sensibilisation pour les petites entreprises;
  • l’évaluation de modules de formation européens préexistants (certains modules déjà développés, notamment dans le cadre d’ECTEG, doivent être évalués selon des standards académiques).
Bien entendu, ce n’est qu’une première étape et d’autres projets verront le jour. Ils recevront l’appui du centre français, et seront initiés par ses membres actuels ou par de futurs partenaires.
***
Rendez-vous donc dans les mois qui viennent pour les premiers résultats de ce projet et un grand merci à l’ensemble de ceux qui y contribuent déjà ou par avance à ceux qui nous soutiendront dans le futur.
[twitter-follow screen_name=’ericfreyss’ show_count=’yes’]
2 juin 2011 by Cybercriminalité Formation Prévention Prospective 1

Atelier de l’AFNIC sur les noms de domaines internationalisés

Le 10 février 2011 à Paris, l’AFNIC – Association française pour le nommage Internet en coopération, organisait un atelier d’étude sur les noms de domaines internationalisés. Ce fut l’occasion de faire le point sur les projets de l’AFNIC dans ce domaine et les différents enjeux que cela ne manquera pas de soulever pour l’ensemble des acteurs.

L’atelier a duré près de 4 heures et s’est déroulé en trois parties: d’abord une introduction sur le sujet par Stéphane Bortzmeyer, suivie de deux tables rondes. La première table ronde a permis d’évaluer les attentes de la communauté des utilisateurs, tandis que la seconde portait sur les aspects opérationnels du lancement de cette nouvelle capacité des noms de domaine en .fr.

Les noms de domaine internationalisés

Stéphane Bortzmeyer (@bortzmeyer, blog) a publié le diaporama de son introduction. Ce qu’il faut retenir selon moi est qu’on est en train de déployer progressivement (depuis la première moitié des années 2000), dans les infrastructures de gestion des noms de domaines, la possibilité d’utiliser des caractères autres que les lettres de l’alphabet latin de a à z et les chiffres de 0 à 9. Ainsi, on voit apparaître des sinogrammes, des caractères cyrilliques ou du sanscrit dans les URL:

  • http://президент.рф/ (site du président russe, on notera au passage le domaine de tête internationalisé aussi « рф » pour « fédération de russie » et en complément du « .ru » classique)
  • http://müller.de/ (93 caractères supplémentaires ont été rajoutés pour le domaine de tête .de de l’Allemagne, y compris le « ß »)
  • ou bien en arabe http://وزارة-الأتصالات.مصر/ ou encore en coréen http://휴대폰.com/

Le domaine de tête européen « .eu » a ouvert la création de noms de domaines internationalisés dans les langues des 27 pays membres de l’Union Européenne en décembre 2009. Ainsi http://www.crimenumérique.eu/ redirige-t-il vers le présent blog 🙂

Sur le plan technique, et normalement de façon transparente pour l’utilisateur, les différentes chaînes de caractères ne sont pas directement implémentées dans le protocole DNS mais sont transformées à nouveau en chaînes de caractères ASCII. Ainsi, le RFC 3490 prévoit un encodage « compatible ASCII » ou ACE des chaînes de caractères Unicode (voir l’article de Wikipédia sur le punycode et le RFC 3492). Un préfixe a été choisi en 2003 pour identifier ces noms de domaines internationalisés, il s’agit de « xn--« . Ainsi www.crimenumérique.eu est-il représenté par www.xn--crimenumrique-ihb.eu.

Résumé de l’atelier

Voici quelques points clés que j’ai retenus de cet atelier:

  • L’AFNIC envisage de lancer les noms de domaines internationalisés pour le domaine de tête « .fr » d’ici la fin de l’année 2011;
  • La décision n’est pas encore prise sur les chaînes de caractères qui seront autorisées. Le débat a permis d’entendre plusieurs arguments pour ou contre la prise en charge – en plus des caractères diacritiques essentiels de la langue françaises, ceux des langues régionales, des langues parlées dans les pays européens voisins ou ceux des langues parlées en France de façon plus générale (comme l’arabe dialectal ou le chinois par exemple). Mon analyse personnelle est qu’il est vraisemblable que dans un premier temps l’ouverture se fera d’abord sur les caractères accentués classiques du français.
  • Il semble se dégager un consensus – en tous cas au cours de cet atelier – pour un lancement le plus simple possible, donc éventuellement sans période de « lever de soleil » et en tous cas de prendre au moins en compte les titulaires préalables des domaines « non accentués » pour l’attribution des nouveaux « avec accents ». Mais la question n’est pas aussi simple qu’il y paraît, les accents apportant des nuances de sens parfois importantes (voir les exemples dans la présentation de Stéphane Bortzmeyer).
  • Les préoccupations des détenteurs de marques sont importantes, et si évidemment cette ouverture crée de nouvelles opportunités en termes de communication, il leur paraîtrait judicieux de ne pas faire débuter toutes les réformes en même temps (l’AFNIC confirmait aussi l’ouverture à venir, au profit des entreprises européennes et des personnes demeurant en Europe, du domaine de tête « .fr »).
  • Deux notes techniques au passage: il restera des subtilités de la langue française qui ne pourront pas être prises en compte telles que certains caractères spéciaux comme les apostrophes ou les majuscules qui donnent parfois un sens différents aux mots en français (différence entre État et état), et si les noms de domaines prennent en compte les polices de caractères avancées, il n’existe pas encore de standard stabilisé pour la gestion de ces caractères dans la partie locale (avant l' »@ ») des adresses de courrier électronique.
  • Enfin, Cédric Manara (@cedricmanara, blog) met à disposition des internautes la présentation qu’il a faite et qui comporte une étude des litiges traités par l’UDRP sur des noms de domaines internationalisés.

Enjeux pour les enquêteurs

Les enjeux pour les enquêteurs (mais aussi évidemment, les experts judiciaires, les magistrats ou toutes les personnes qui réalisent des investigations numériques) sont multiples:

  • Bien entendu, il s’agit d’abord de se tenir informé de ces évolutions qui seront de plus en plus rencontrées (on peut aussi citer l’arrivée des adresses IP v6).
  • Ensuite, comme tout un chacun, ils seront confrontés à la non-adaptation des outils du quotidien (navigateurs Internet, logiciels de messagerie) ou des outils spécialisés (de nombreuses interfaces Web de whois ne sont pas encore correctement paramétrées).
  • Enfin, et surtout, cette évolution multiplie les possibilités d’erreurs, notamment lors de la retranscription des adresses. Ainsi, les témoignages des victimes, les copies d’écran, les fax etc. ne permettront pas toujours de distinguer plusieurs adresses semblables. En effet, même si les adeptes du phishing n’exploitent pas réellement les attaques par homographie (mots qui se ressemblent), le risque de confusions est réel. Même si cela est possible aujourd’hui lorsqu’on retranscrit la lettre « l » minuscule plutôt que le chiffre « 1 », les variations explosent. Et bien évidemment ce sera plus complexe pour un enquêteur français de recopier des idéogrammes chinois que pour un enquêteur chinois. La recommandation principale sera de favoriser soit les échanges électroniques (que ce soit avec les victimes ou avec les opérateurs auxquels on adresse questions ou réquisitions) et l’utilisation de la conversion en caractères ASCII (les chaînes commençant par « xn--« ).

En conclusion, je tiens à remercier l’AFNIC et les participants aux tables rondes pour cet atelier particulièrement instructif, qui m’a permis, même si je connaissais ce problème, d’avoir l’occasion d’y consacrer plusieurs heures de réflexion et d’échanges. Enfin, je ne peux que conseiller à mes lecteurs de continuer de se tenir informés de ces différentes évolutions qu’ils soient de simples utilisateurs et titulaires de noms de domaines ou des personnes chargées de missions d’investigation numérique. L’AFNIC devrait continuer la démarche de dialogue et d’information entreprise dans les mois à venir, avant le lancement effectif de cette nouvelle offre, mais n’oublions pas que c’est déjà aujourd’hui une réalité dans de nombreux domaines de tête et en particulier en Europe…

11 février 2011 by Conférences Prospective 3

Audition à l’Assemblée Nationale

Patrice VERCHERE, député.

J’ai été auditionné pendant un peu plus d’une heure à l’Assemblée Nationale, le 14 décembre 2010, devant la mission d’information commune sur la protection des droits de l’individu dans la révolution numérique.

Vous pouvez retrouver l’enregistrement de cette audition sur le site de l’Assemblée. J’étais interrogé par M. Patrice VERCHERE, co-rapporteur de cette mission.

J’ai d’abord été invité à exposer pendant une quinzaine de minutes un certain nombre de propos liminaires pour expliquer l’action de la gendarmerie nationale, mais aussi les actions que nous menons en partenariat avec la police nationale. Je suis ensuite revenu sur quelques points discutés récemment dans les débats de cette mission dont le statut juridique de l’adresse IP et l’obligation de notification des incidents de sécurité. Enfin j’ai fait un certain nombre de propositions concrètes et notamment sur des points de droit:

  • la nécessité de simplifier notre cadre juridique, notamment lorsqu’il s’agit de définir les obligations des acteurs de l’Internet;
  • le besoin d’étendre les cyberpatrouilles (ou investigations sous pseudonymes) à toutes les infractions où cet outil permettra d’être plus efficace dans leur résolution (et notamment les atteintes aux systèmes de traitement automatisé de données, la contrefaçon, la haine raciale et les infractions économiques et financières facilitées par Internet)
  • le souhait que nous avons de voir étendre les réquisitions à personnes qualifiées pour les actes techniques simples (à savoir les constations sur les supports de preuve numérique) aux enquêtes sur commission rogatoire.

Enfin, j’ai répondu à un grand nombre de questions qui portaient sur des sujets tout aussi variés que les réseaux sociaux, la régulation de l’Internet, la coopération internationale, l’identité numérique et la carte d’identité numérique ou les dispositifs de captations de données prévus par la LOPPSI.

16 décembre 2010 by Cybercriminalité Juridique Prospective 1

Le Netcode pour les ados

Action Innocence lance aujourd’hui le Netcode. Ce nouvel outil de prévention décline une dizaine de règles de bonne conduite sur le Net à destination des ados sous forme des saynètes dessinées divertissantes et parlantes :

Je m’oppose aux agressions, je ne les filme pas, je ne fais pas circuler d’images violentes ou humiliantes.

ou encore:

Si j’accepte un rendez-vous, j’y vais accompagné(e).

Pour télécharger la plaquette, rendez-vous sur le site de l’association.

18 octobre 2010 by Atteintes aux mineurs Prévention Prospective 0

Les dix ans des Assises de la sécurité et des systèmes d’information

Les Assises de la sécurité et des systèmes d’information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d’information.

Organisées assez classiquement autour d’un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j’étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j’ai pu assister :

  • Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d’aujourd’hui et demain et de leurs conséquences sur la sécurité ;
  • Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd’hui et de la réponse qu’il recommande: une police mondiale de l’Internet et l’identification sécurisée de toutes les personnes qui publient de l’information ou achètent sur Internet. J’en reparlerai sûrement.
  • « Dix ans de risque informatique… un regard vers le futur immédiat ». Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l’ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j’en retire principalement est qu’on n’est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd’hui; l’individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
  • Et en clôture la simulation du procès pénal des réseaux sociaux. Il s’agissait ici de réfléchir avec l’auditoire sur les risques d’un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l’exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux « Raizosocio », mais aussi tous les instruments d’une réflexion à poursuivre, merci à tous les « acteurs » !

Parmi les présentations auxquelles j’ai assisté, je citerais :

  • Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d’Areva et d’Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
  • Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu’il y a parfois automatisation des processus d’empoisonnement des moteurs de recherche (j’en parlais en début d’année ici).
  • Une démonstration d’ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l’innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l’Epitech, Arxsys a pour ambition de développer une offre autour de l’investigation numérique, grâce au développement d’une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j’invite toute la communauté de l’investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J’espère que cette initiative fera naître d’autres projets innovants français (et pourquoi pas opensource) au service de l’investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j’ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !

9 octobre 2010 by Criminalistique numérique Cybercriminalité Prospective Sécurité 2

Rentrée à Rosny-sous-Bois

(image sur le site de la gendarmerie nationale)

J’évite de trop personnaliser les témoignages que j’apporte sur ce blog, mais la rentrée m’a contraint à rester silencieux pendant plusieurs semaines, non pas par manque d’inspiration, mais emporté que j’étais par mes nouvelles tâches.

En effet, depuis le 16 août, j’ai eu l’honneur de rejoindre la tête de la Division de lutte contre la cybercriminalité (DLCC) du Service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale à Rosny-sous-Bois. J’ai donc été très occupé par ces nouvelles responsabilités et me suis presqu’entièrement consacré à celles-ci.

Je ne révélerai évidemment pas les détails des affaires que nous traitons au quotidien, mais je profite de ma petite tribune pour vous présenter mon unité. L’histoire de la DLCC remonte à 1998. A l’époque, je travaillais à proximité dans le Fort de Rosny-sous-Bois, ayant rejoint depuis peu l’équipe du département informatique et électronique de l’institut de recherche criminelle de la gendarmerie nationale (IRCGN).

Le STRJD est le service chargé, pour la gendarmerie, d’administrer l’information judiciaire, de faire circuler et traiter les messages de demande de rapprochement et de gérer les bases de données qui permettent ces rapprochements (en particulier Judex ou le fichier automatisé des empreintes digitales pour la gendarmerie). Son relais sur le terrain est constitué par les brigades départementales de renseignement et d’investigation judiciaire (BDRIJ).

Au sein du STRJD donc a été constituée en 1998 une équipe chargée de débusquer les infractions sur les réseaux ouverts au public. Depuis, cette équipe a crû progressivement pour atteindre l’organisation actuelle:

  • le département de répression des atteintes aux mineurs sur Internet (RAMI),
  • le département des investigations sur Internet (D2I), à vocation plus généraliste,
  • le département soutien et appui.

Au sein du RAMI, on retrouve le centre national d’analyse des images de pédopornographie (CNAIP), dont les missions ont été fixées par un arrêté du 30 mars 2009.

Enfin, au sein du département soutien et appui, a été placé le guichet unique téléphonie et Internet (GUTI) chargé de faciliter au quotidien les relations entre les enquêteurs de la gendarmerie nationale et les opérateurs de communications électroniques.

Les relais de l’action de la DLCC sur le terrain sont des enquêteurs en technologies numériques (NTECH) de toute la France qui, chacun dans leur région, mènent les investigations sur Internet qui toujours trouvent un prolongement hors de l’Internet.

J’espère passer quelques années passionnantes à ce poste !

19 septembre 2010 by Cybercriminalité Prospective 6

Lendemain de SSTIC

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

  • DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
  • Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
  • E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
  • Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
  • Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
  • F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
  • H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
  • J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
  • C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
  • Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA 🙂 !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

  • Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
  • Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
  • Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

12 juin 2010 by Cybercriminalité Prospective Sécurité 7

Que dire des Infiltrés (France 2) ?

Site Web de l'émission Les Infiltrés (France 2)

L’émission diffusée par France 2 cette semaine (mardi 6 avril 2010 en deuxième partie de soirée) est visionnable sur le site Internet de l’émission. Tout un débat s’est développé, avant et depuis la diffusion pour critiquer l’action des journalistes qui ont signalé les faits découverts au cours du reportage à des services d’enquête. Ce débat – que je me garderai bien de trancher – ne doit pas occulter le fond du problème.

Cette émission montre d’abord, s’il était nécessaire, que le phénomène des rencontres entre des prédateurs et des enfants sur Internet est loin d’être une fiction et qu’il est nécessaire de développer une réponse adaptée. J’ai développé à plusieurs reprises l’action de nos enquêteurs dans le cadre des cyberpatrouilles, rendues possible depuis un an maintenant. Et cela confirme donc qu’il faut continuer de développer ces dispositifs et former de nouveaux cyberpatrouilleurs.

C’est aussi une sensibilisation intéressante pour les parents, qui doit les inciter – non pas à leur interdire d’aller sur Internet – mais à parler de ces sujets avec leurs adolescents, maintenir le dialogue, les prévenir de ces risques, s’intéresser à leurs activités en adaptant les contraintes à l’âge de son enfant (notamment ne pas laisser les plus jeunes seuls sur Internet). Plusieurs associations diffusent des conseils utiles (Action Innocence, e-Enfance) ou le site Internet Sans Crainte.

Enfin, un sujet est particulièrement préoccupant parmi ceux qui sont dénoncés dans le reportage : le sérieux des entreprises qui gèrent des chats et autres sites dédiés aux plus jeunes. Parmi les problématiques évoquées :

  • la publicité non adaptée au public, dès la page d’accueil ;
  • plus grave, l’absence de modération sérieuse.

Je me contenterais de citer la recommandation pour la création d’une marque de confiance des fournisseurs d’accès à Internet et de services en ligne, à laquelle nous avions contribué sous l’égide du Forum des droits sur l’Internet (extraits de la recommandation) :

1.3 Le prestataire ne diffuse pas, dans les pages qu’il édite sauf dans les espaces réservés aux adultes, des publicités faisant la promotion de contenus violents, pornographiques ou attentatoires à la dignité humaine.

1.4 Le prestataire ne diffuse pas, sur les services et les contenus manifestement destinés aux mineurs qu’il édite, de publicités faisant la promotion de certains biens ou services inappropriés (par exemple : contenus érotiques, services de rencontres pour adultes, loteries commerciales, jeux d’argent, alcool, tabac) ou contraires à la recommandation « enfant » du BVP.

1.5 Le prestataire s’engage à ne pas diffuser, sur les pages qu’il édite sauf dans les espaces réservés aux adultes (protégés par un dispositif empêchant les mineurs de consulter ces contenus), des contenus pornographiques, violents ou attentatoires à la dignité humaine. Il s’engage, en outre, à ne pas faire figurer des liens hypertextes vers de tels contenus depuis sa page d’accueil.

[…]
1.27 Lorsqu’il crée un espace interactif spécifiquement dédié aux mineurs, le prestataire s’engage à modérer les propos échangés conformément à la charte d’utilisation prévue au 1.19, tout le temps de leur accessibilité au public. Le modérateur répond aux sollicitations ; il est spécifiquement informé des procédures à mettre en oeuvre en cas de signalement de contenus ou de comportements illicites.

Même si une telle marque de confiance n’a pas encore été créée, ses recommandations sont parfaitement adaptées à ce type de services qui, s’ils ne les respectent pas, non seulement mettent en danger des enfants, mais risquent de tomber sous le coup de la loi (notamment au regard de l’article 227-24 du code pénal).

Faites-vous votre propre opinion, et informez-vous, en regardant ce reportage et les échanges qui ont suivi sur le plateau.

11 avril 2010 by Cybercriminalité Prospective 2