Un simple bug et le chaos ?

Vendredi matin 19 juillet 2024, beaucoup de responsables de système d’information importants se sont réveillés avec des alertes sur l’apparition d’écrans bleus, le fameux BSOD (ou Blue Screen of Death) de Microsoft Windows, revenant en boucle à chaque démarrage. Est-ce une attaque, est-ce un bug suite à une mise à jour ? Très vite le responsable est pointé du doigt, le logiciel Falcon de la société CrowdStrike. [Mise à jour 24/07/2024] Une société d’assurance estime les pertes cumulées des grandes entreprises américaine à 5,4 milliards de dollars.

Le BSOD apparaît sur les écrans de millions d’appareils dans le monde, y compris comme ici aux Etats-Unis des caisses enregistreuses de grande surface (source: https://x.com/ErrataRob/status/1814306615161450631)

Chronologie des premières heures

Les premiers rapports d’incident nous viennent de l’Océanie, avec des rapports de nombreux sites Web, chaînes de télévision ou radio dans l’impossibilité d’émettre leurs programmes normaux en Australie notamment (ici l’alerte du journal en ligne australien CyberDaily). Ici c’est déjà l’après-midi de ce vendredi de juillet. Peu à peu la même histoire émerge: des écrans bleus sur des machines Windows qui empêchent les systèmes de produire des contenus et peu à peu semblent mettre une partie de l’activité informatique humaine à l’arrêt.

Les aéroports et les gares sont aussi rapidement touchés, non pas les trains ou les avions eux-mêmes mais le fonctionnement des systèmes d’affichage ou d’embarquement. Et la même expérience se reproduit dans le monde entier, en Asie, en Afrique et en Europe, puis en Amérique, suivant les débuts d’activité de chacun dans son fuseau horaire. Tous décrivent le même chaos, dans l’impossibilité de réparer rapidement les systèmes touchés, soit l’activité est bloquée, soit elle est réorganisée manuellement quand c’est possible, dans les hôpitaux et les aéroports notamment.

Mon activité professionnelle en gendarmerie n’était pas directement impactée (nous fonctionnons sous Linux, système non concerné par ce bug précis), mais très vite les premiers témoignages nous sont remontés de RSSI et de CERTs français, vendredi matin.

La chronologie plus précise des événements clés est la suivante, selon les informations fournies par la société CrowdStrike (et que personne ne conteste) :

  • 04:09 UTC (soit 06:09 du matin pour Paris, et déjà 14:09 à Sydney en Australie, encore jeudi 21:09 à Los Angeles ou 00:09 à New York): CrowdStrike diffuse une mise à jour de « contenu » pour les systèmes Windows utilisant leur logiciel Falcon
  • 05:27 UTC (soit 07:27 du matin à Paris, 22:27 à Los Angeles), arrêt de la diffusion de cette mise à jour particulière

Ainsi, toutes les machines qui étaient actives et connectées à Internet dans ce créneau horaire ont été mises à jour avec la mauvaise version, beaucoup des machines concernées sont de toutes façons allumées en permanence et en tous cas pendant ces horaires dans les aéroports, hôpitaux, grandes surfaces, etc. On peut supposer que l’Europe a été moins touchée pour l’informatique des postes de travail qui ont été allumés après 7:30 vendredi matin.

Qu’est-ce que le logiciel Falcon de Crowdstrike ?

Falcon est un système dit d’EDR ou « Endpoint Detection and Response », c’est-à-dire un logiciel travaillant au plus près des systèmes d’exploitation pour tracer les activités suspectes dans les systèmes (la détection), remonter les alertes et aussi dans certains cas arrêter des actions malveillantes (la réponse). Ils vont donc plus loin que les antivirus classiques, car il ne s’agit pas uniquement de détections de signatures connues ou de comportements pouvant être suspects (comme l’écriture ou la suppression de certains types de fichiers), mais de véritables vigies au cœur des ordinateurs. Ces informations sont traitées en temps réel sur l’ordinateur, mais aussi remontées vers des plateformes dans les entreprises où ils sont déployés et chez les éditeurs, pour être analysées et éventuellement déployer des contre-mesures. Ces nouveaux types d’antivirus apparaissent au début des années 2010; on parle aussi parfois de XDR ou d’autres variantes décrivant une combinaison de fonctionnalités.

Pour citer d’autres noms, Microsoft intègre sa propre solution d’EDR aux systèmes Windows, appelée Defender, et des éditeurs européens, notamment français proposent des solutions concurrentes reconnues comme les sociétés TEHTRIS et HarfangLab.

Que s’est-il passé techniquement ?

La société CrowdStrike explique de façon détaillée les composants qui sont responsables de ce bug. Ce paragraphe sera un peu technique pour certains lecteurs, mais vous donnera quelques pistes de compréhension à la fois sur la complexité de la situation et les raisons de l’incident.

  • Le composant de Falcon concerné est ce que CrowdStrike dénomme le « Rapid Response Content » destiné à s’adapter rapidement à l’évolution de la menace
  • Ce composant est mis à jour très régulièrement, sous forme de mises à jour dites de « contenu » qui contiennent des fichiers binaires (dénommés par CrowdStrike « Template Instances ») qui viennent se brancher sur un type de motif devant être analysé (qu’ils dénomment « Template Types »). Selon CrowdStrike, ces fichiers binaires ne contiennent pas de code exécutable.
  • Le 28 février 2024, une mise à jour du capteur est déployée (version 7.11 dans leur nomenclature), ciblant de nouvelles stratégies d’abus des « Named Pipes » sous Windows. Il s’agit d’une fonctionnalité des systèmes d’exploitation (Windows notamment) qui permet des communications entre process au travers d’un canal (« pipe ») à qui un nom particulier est attribué, référence unique.
  • CrowdStrike indique que des tests de « stress » ont été réalisés comme à l’accoutumée avant le déploiement et que les phases de production de cette nouvelle fonctionnalité n’ont pas permis d’identifier de problèmes dans les mois qui ont suivi. Un validateur de contenu (Content Validator) s’assure que chaque mise à jour de contenu qui suivra soit conforme aux contraintes de ce nouveau module de détection.
  • Le contenu déployé le 19 juillet passe les tests de cohérence du validateur de contenu. Or, le contenu fourni (les paramètres intégrés au format binaire dans cette mise à jour) entraîne une erreur de type lecture mémoire hors limite (« out-of-bounds memory read« ) déclenchant une exception dans l’exécution du programme.
  • Celui-ci étant intimement lié à un pilote proche du système d’exploitation, il en arrête le fonctionnement brutalement, générant les messages d’erreur de type BSOD (littéralement écran bleu de mort du système), et malheureusement dans ce cas un redémarrage en boucle sans possibilité de récupération.

Comment qualifier cet incident ?

Il y a de nombreuses façons d’évaluer un incident dans l’exploitation d’un système d’information. Dans le cas qui nous occupe, voici les paramètres:

  • Atteinte à la disponibilité des systèmes et des données (confidentialité, intégrité et disponibilité sont les trois champs classiques de la sécurité des systèmes d’information)
    • Au passage, il faut noter que s’agissant des données à caractère personnel éventuellement concernées, une évaluation de l’impact sur la disponibilité doit être mis en œuvre dans le cadre du RGPD pour envisager ou non la déclaration de l’incident auprès des autorités concernées (la CNIL en France). On peut supposer que dans beaucoup de cas, la disponibilité n’aura pas entraîné d’impact majeur empêchant le respect des droits des personnes, toutefois cela dépendra de la durée de remise en service des systèmes.
  • Impact: suivant le type de victime et l’heure de survenance de l’incident il a pu entraîner un arrêt total ou freiner de façon importante l’activité d’acteurs essentiels tels que des hôpitaux ou des opérateurs de transport notamment. Microsoft déclare que seules 8,5 millions de machines ont été touchées, toutefois ce chiffre est à rapporter au nombre de clients de CrowdStrike et les secteurs professionnels concernés (les particuliers ne sont pas clients de ce logiciel particulier).
  • Durée importante de remédiation: dans beaucoup de cas il a fallu intervenir sur chaque machine individuellement pour supprimer le fichier fautif avant qu’il puisse redémarrer, avec le frein particulier du chiffrement Bitlocker intégré à la plupart des systèmes Windows modernes qui nécessite de saisir une clé de récupération spécifique à chaque ordinateur. Ces clés sont normalement stockées de façon centralisée dans l’entreprise, ou auprès de Microsoft.
  • Le bug concerne un logiciel de sécurité.
  • Depuis les premières heures de l’incident on sait, grâce à la réaction de CrowdStrike notamment, que l’incident n’est pas d’origine malveillante mais accidentelle.

Pour beaucoup d’acteurs, il s’agit avant tout d’un incident de production. Toutefois, il faut bien à mon sens le prendre en compte en tant qu’incident de sécurité des systèmes d’information au vu de l’ensemble des paramètres évoqués. Le seul caractère accidentel ne suffit pas à l’en exclure.

En outre, la situation n’a pas manqué d’être aussi exploitée par les cybercriminels, comme le rappelle le bulletin d’actualité du CERT-FR:

Le CERT-FR a connaissance de tentatives d’exploitation malveillantes de la situation (phishing, fausses pages d’information, incitation à l’installation de logiciels malveillants). Le CERT-FR vous invite à la plus grande prudence et vous recommande de télécharger les outils de remédiation et d’appliquer les recommandations uniquement à partir des sites officiels des éditeurs.

Campagnes de hameçonnage, diffusion de logiciels malveillants ont accompagné les heures et les jours qui ont suivi l’incident CrowdStrike Falcon du 19 juillet 2024 (https://www.it-connect.fr/phishing-faux-correctifs-crowdstrike-utilises-pour-cibler-les-entreprises-malwares/)

Comment le prévenir ?

Plusieurs niveaux de responsabilité sont impliqués:

  • Évidemment la société CrowdStrike elle-même devra réviser ses procédures d’assurance qualité (et elle s’y est déjà engagée dans ses différentes publications), pour diminuer les chances qu’un tel incident puisse se reproduire. Le patron de Crowdstrike est bientôt convoqué devant le parlement américain pour s’en expliquer.
  • Microsoft accuse la réglementation européenne d’être pour partie responsable de cet incident, parce qu’elle l’oblige à ouvrir ses systèmes à des logiciels de sécurité concurrents. Or les obligations européennes imposées depuis 2009 prévoient que ces logiciels aient accès aux mêmes fonctionnalités que les logiciels de sécurité de Windows – qui ne sont pas plus à l’abri de bugs que les solutions concurrentes. Certains critiquent en réalité l’architecture choisie par Microsoft qui autorise ces actions de sécurité avec un accès direct au cœur du système d’exploitation, plutôt que par des interfaces qui pourraient être elles-mêmes sécurisées (comme le permet par exemple MacOS).
  • Enfin, une partie de la réponse est certainement dans les plans de continuité d’activité mis en place dans les organisations dont ce type de scénario démontre qu’il faut peut-être dans certains cas déployer des solutions de sécurité différentes sur certaines parties du parc informatique ou encore disposer de machines de secours non connectées qui peuvent être déployées rapidement en cas de mise à jour fautive, ou disposer de solutions de réinstallation rapide de sauvegardes pour certains postes de travail critiques. Ces choix ne sont pas simples, parfois coûteux et doivent être adaptés à chaque situation.

Mises à jour

Plusieurs informations nouvelles sont progressivement publiées par les acteurs et commentateurs:

Prospection commerciale B2B inattendue ou le « cold-emailing »

Qui n’a pas reçu sur sa boîte de courrier électronique professionnelle un contact d’un agent commercial vous proposant un rendez-vous, parfois en vous invitant à cliquer sur son calendrier pour fixer le rendez-vous directement dans son calendrier très chargé ? Puis quelques semaines après que vous ayez supprimé ce message, une relance reprenant le message initial, et souvent au moins une troisième fois ensuite, vous reprochant presque de ne pas avoir fait attention au message précédent. C’est ainsi que se pratique aujourd’hui le « cold-emailing », ou comme ils le définissent eux-mêmes dans leurs documents de formation des « courriers électroniques envoyés à des prospects n’ayant pas particulièrement montré d’intérêt pour l’entreprise ou son offre commerciale.»

C’est une publicité vue sur twitter (pardon X) ce matin qui a fini de m’aiguillonner sur ce sujet et à écrire ce post dominical:

La publicité elle-même a été vue plus de 20 millions de fois depuis le 23 janvier 2024 et propose un lien vers ce fameux guide du cold-email, dans un document hébergé chez Google. On notera qu’il est publié par le compte d’un certain « Reio » travaillant pour la société instantly[.]ai, nous y reviendrons plus tard.

Le principe de la prospection à froid

L’idée générale derrière la prospection à froid est de susciter de nouveaux prospects par un contact direct envoyé à des adresses de courrier électronique professionnelles avec lesquelles l’agent commercial n’a jamais été en relations.

Sur le principe, la législation européenne en matière de prospection commerciale entre professionnels est assez permissive. Ainsi la CNIL rappelle sur son site Web (il faut cliquer sur l’onglet « Pour les professionnels B to B »:

  • Principe général: information des personnes, opposition simple et gratuite
  • Information au moment de la collecte, et être en mesure de s’opposer à ce moment-là (c’est souvent présenté comme une condition pour participer à des événements). La revente de ces données dans le contexte de la prospection de professionnels est légale et suppose de conserver la traçabilité de cette information et de la possibilité d’opposition.
  • L’objet de la sollicitation doit être en rapport avec la profession de la personne démarchée
  • Chaque message doit préciser l’identité de l’annonceur et proposer un moyen simple de s’opposer.

Le contenu du guide

Le contenu du guide nous plonge dans une autre réalité qui entoure ces démarches. L’objectif affiché du rédacteur de ce guide est de s’assurer que les messages arrivent bien dans la boîte de courrier électronique du destinataire (son « Inbox ») et non pas le répertoire des spams détectés de façon automatique.

La liste des recommandations qu’il apporte est la suivante:

  • une étape technique consistant à créer de multiples noms de domaine et adresses de courrier électronique d’émission
  • la configuration des mesures de sécurité du mail (SPF, DKIM et DMARC, protocoles qui empêchent d’usurper un domaine émetteur, mais qui n’empêche pas d’émettre du spam depuis un domaine créé pour cela)
  • un domaine de traçage et la redirection vers le domaine propre du prospecteur.

En effet, la démarche qu’ils proposent est de découper le volume de messages à envoyer par autant de domaines et d’adresses pour ne pas être détecté par les seuils automatiques de classement en spam des récepteurs! Dans le cadre des envois massifs de spams classiques (messages publicitaires par opposition à la prospection directe évoquée ici), on utilise souvent le terme de « snowshoeing » pour décrire cette méthode.

Le guide recommande ensuite de « préchauffer » les adresses de courrier électronique. Il s’agit ici d’envoyer des messages anodins entre les adresses d’émission préparées pour qu’il y ait un trafic légitime aux yeux des grandes plateformes de messagerie. La société en question offre d’ailleurs un service (payant évidemment) automatisé pour simuler ces messages. Ils recommandent de maintenir l’activité fictive de « préchauffage » tout au long des opérations.

En résumé, ces pratiques et les services de ce type d’entreprises visent ouvertement à tromper et contourner les mesures de protection contre le spam.

Ensuite, pour le contenu même des messages envoyés aux prospects, l’auteur recommande de personnaliser les messages évidemment et de varier le vocabulaire utilisé d’un message à un autre, grâce à des modèles de textes alternatifs (et une fonctionnalité incluse dans son produit évidemment pour automatiser tout cela). Ils expliquent très bien eux-mêmes pourquoi c’est nécessaire: encore pour tromper la détection de spams.

On retrouve le même genre de conseils sur les sites de « conseil » pour la publication automatique sur les comptes de réseaux sociaux (pour ceux qui sont sur X récemment, on aura noté que la technique n’est pas tellement utilisée par les campagnes de spam pornographiques qui répètent des milliers de fois le même message « mes nus dans mon profil » sans apparemment être détectés par X).

La suite des recommandations est dans la même veine pour tromper le destinataire cette fois-ci. Ainsi, il recommande de fabriquer l’objet (le sujet) des messages de nature à inciter le destinataire à ouvrir le message, par exemple en combinant prénom et un mot simple comme « question » ou « pouvez-vous aider? ».

Pour finir de se convaincre du peu de sérieux de cette entreprise américaine, une visite sur son site Web confirme assez rapidement la première impression: les liens présents en bas de page et intitulés « Don’t sell my info » (ne vendez pas mes informations) et « Privacy Center » renvoient toutes deux vers des pages d’erreur.

Résumé et conseils

Comme je l’évoquais plus haut, la législation européenne n’interdit pas de contacter des prospects professionnels pour des produits ou services qui sont susceptibles de les intéresser. Mais utiliser des méthodes déceptives vis-à-vis des acteurs techniques et des destinataires des messages pour les inciter à transmettre, ouvrir et répondre aux messages est à l’opposé de toute éthique professionnelle. En outre, comme les destinataires ont vite fait de comprendre  ces manœuvres après un ou deux messages insistants du même type, ils finissent systématiquement dans la corbeille, c’est totalement contre-productif. Et je note que malheureusement de nombreux acteurs recommandent ces méthodes: on retrouve toujours de nombreuses publications sur LinkedIn en français qui décrivent ces méthodes et proposent des formations à ces outils.

Mes conseils:

  • comme d’habitude, informez-vous et discutez de ces méthodes abusives autour de vous;
  • réfléchissez avant d’ouvrir un message ou de cliquer sur un lien, en particulier si vous ne connaissez pas l’émetteur;
  • contribuez à lutter contre ces abus et signalez les messages que vous estimez inappropriés: n’hésitez pas à installer le module de signalement de Signal-Spam (c’est totalement gratuit), il vous permet non seulement de signaler un message abusif en un clic mais vous protège aussi des URLs malveillantes connues dans votre navigateur Web ou votre logiciel de courrier électronique.

 

Recall – Une fausse bonne idée et des risques trop forts pour notre sécurité

Il y a quelques jours, la société Microsoft (le 20 mai 2024 sur son blog) annonçait une toute nouvelle fonctionnalité disponible pour les systèmes disposant des fonctionnalités d’intelligence artificielle appelés « Copilot+PC », à savoir les ordinateurs disposant de composants dédiés à l’intelligence artificielle (NPU ou « neural processing unit ») pour lesquels des options supplémentaires de Windows sont développées.

En effet, cette nouveauté est révélée au moment de mettre en avant cette nouvelle gamme de fonctionnalités et il s’agit manifestement de créer un effet « waouh » démonstratif des capacités et des ambitions de Microsoft dans le domaine.

Présentation de la fonctionnalité Recall

Le principe qui nous est expliqué et que des captures de l’écran sont réalisées régulièrement, traitées par les fonctionnalités d’intelligence artificielle de Windows permettant ensuite à l’utilisateur de faire des recherches en langue naturelle jusqu’à trois mois en arrière, puis d’afficher les résultats correspondants sous forme graphique.

Copie d'écran d'un résultat de recherche Recall avec 8 vignettes d'images 4 correspondant aux résultats de la recherche textuelle et 4 autres à la recherche dans le contenu de l'image. L'interface propose de filtrer les résultats par application.

Copie d’écran de la présentation des résultats de recherche « Recall » publiée sur le site de Microsoft

Traduit automatiquement (certainement par une IA), la fonction s’appellerait en français « Rappel » et est décrite sur le site de l’éditeur. Il semblerait que Recall aille plus loin que l’interprétation des images, mais se cale aussi par rapport aux différentes applications utilisées (et y capture peut-être des informations directement), puisqu’il est possible de filtrer les résultats par application.

Réactions de la communauté

Les réactions ne se sont pas faites attendre dans les communautés attentives à la sécurité numérique et à la vie privée.

Dans la communauté de la sécurité numérique, c’est Kevin Beaumont (alias GossiTheDog) qui est le plus souvent cité, car ayant réalisé lui-même un certain nombre d’essais pour en avoir le cœur net et publié ses résultats sur ses comptes de réseaux sociaux.

Citation post sur le fédivers par Kevin Beaumont au-dessus d'une vidéo du PDG de Miscrosoft Satya Nadella "For those who aren’t aware, Microsoft have decided to bake essentially an infostealer into base Windows OS and enable by default. From the Microsoft FAQ: “Note that Recall does not perform content moderation. It will not hide information such as passwords or financial account numbers." Info is stored locally - but rather than something like Redline stealing your local browser password vault, now they can just steal the last 3 months of everything you’ve typed and viewed in one database."

Post sur le fedivers de Kevin Beaumont du 21/05/2024 https://cyberplace.social/@GossiTheDog/112479974357074203

L’inquiétude de Kevin Beaumont est expliquée très clairement dès le départ: Microsoft ne proposerait ni plus ni moins que d’intégrer par défaut dans son système d’exploitation une fonctionnalité qui est typique des logiciels malveillants de type « infostealer » (voir par exemple le blog de Sekoia qui décrit régulièrement ces logiciels malveillants), documentée d’ailleurs comme la technique T1113 dans le référentiel MITRE ATT&CK. En fait, même si T1113 référence la notion de capture d’écran telle qu’on peut la faire soi-même sur son ordinateur ou téléphone mobile, elle est ici implémentée par Recall de façon systématique par défaut, permanente (toutes les x secondes) sauf quand on la mettrait en pause, requêtable et accolée à une base de données.

Dans son article de blog écrit quelques heures plus tard, Kevin Beaumont démontre comment un attaquant va pouvoir facilement exploiter Recall et récupérer les informations ainsi stockées. En particulier, les informations ne sont pas stockées de façon plus sécurisée que les données habituelles d’utilisation du système d’exploitation et une partie au moins de l’indexation est réalisé dans une simple base SQLite, c’est-à-dire un fichier texte, stocké dans un des répertoires du système (accessible avec les droits d’administrateur, mais aussi requêtable par l’utilisateur lui-même via son interface Recall donc peut-être ultérieurement via une interface de programmation avec les droits de l’utilisateur).

Dans la communauté de la défense de la vie privée, on peut citer Eva Galperin, experte de l’Electronic frontier foundation et intervenant notamment dans le cadre de la Coalition contre les stalkerwares (logiciels espions qui peuvent être utilisés notamment par des proches abusifs):

Citant un article du site Web de la BBC (https://www.bbc.com/news/articles/cpwwqp6nx14o) qui dit (reprenant la défense de Microsoft), "...a would-be hacker would need to gain physical access to your device, unlock it and sign in before they could access saved screenshots."Celle-ci répond: I've got some news for Microsoft about how domestic abuse works.

Post sur le fedivers d’Eva Galperin du 22/05/2024 https://hachyderm.io/@evacide/112481894385686328

En effet encore, la défense consistant à dire qu’il n’est possible d’accéder que physiquement aux données ne tient pas la route, puisque dans une grande partie des abus constatés par la Coalition, c’est justement un proche qui installe et consulte l’historique de sa victime et qui aura ici d’autant plus de facilité à l’imposer de façon toxique que ce serait une fonction du système dont la désactivation lui paraîtra suspecte et qui de toutes façons fait tout pour connaître ou contrôler les mots de passe utilisés par sa victime.

L’autorité britannique en charge de la protection des données personnelles ICO a quant à elle déclaré ouvrir une enquête, dans un premier temps en interrogeant l’éditeur.

Scénarios problématiques

Derrière le risque même que pose cette fonctionnalité, il convient de décrire concrètement les situations problématiques qu’elle rend possibles, exploitables par les acteurs malveillants ou des logiciels malveillants totalement automatisés :

  • capture de conversations confidentielles (à l’insu des correspondants) – pourra-t-on faire confiance à un utilisateur de Microsoft Windows lors d’une visio-conférence pour ne pas prendre de copies d’écran ?
  • capture de données qui s’affichent dans les logiciels de gestion de mots de passe
  • capture et interprétation de messages malveillants (spams) affichés sur l’écran, y compris de liens suspects qui pourraient se retrouver dans l’historique Recall alors même qu’on aurait déjà supprimé le message suspect ?
  • et bien sûr, atteintes à la propriété intellectuelle (contrefaçon d’images et de vidéos)
  • comme évoqué plus haut, espionnage forcé par un proche abusif (plus besoin de « stalkerware » imposé, il est ici installé par défaut dans les systèmes Windows avec cette fonction Recall)
  • copies de documents confidentiels et échappement aux procédures de lutte contre les fuites de données implémentées dans les organisations (le DLP ou data loss prevention, comme documenté ici sur le site de Microsoft)

En plus de ces enjeux de sécurité, cette fonctionnalité pourrait poser des grosses questions de perte de temps et d’espace disque:

  • est-ce qu’il est bien utile de conserver une mémoire des informations qu’on a volontairement supprimées (les spams qu’on a supprimés de sa boîte de courrier électronique qui réapparaîtraient dans les recherches) ?
  • les nombreuses publicités qui s’affichent sur l’écran ne vont-elles pas encombrer inutilement le disque dur ?
  • ou bien encore, est-il bien utile de conserver plusieurs fois au format image la copie d’un texte et les mots indexés à l’intérieur du texte, d’un document qu’on est en train d’éditer ?

Réponses apportées par Microsoft

Les réponses de Microsoft sont de deux niveaux (documentés sur page Web décrivant la fonctionnalité) :

  • les données sont protégées par le système d’exploitation et ne sont accessibles que grâce à un accès physique;
  • il est possible de désactiver totalement, temporairement ou par application la fonctionnalité Recall, et celle-ci est désactivée par défaut lors de la navigation Web dite « privée ».

Sur le premier point, Kevin Beaumont (voir plus haut) et d’autres ont clairement démontré que ce n’était pas une véritable protection contre les accès malveillants. Les systèmes d’exploitation de Microsoft ont beaucoup progressé en sécurité au cours des dix dernières années, Recall y crée une brèche non raisonnable.

Analyse personnelle

Sur le plan sécuritaire, je rejoins l’analyse de l’ensemble des experts résumée ci-dessus, la fonctionnalité Recall telle qu’elle est implémentée ne devrait pas être activée par défaut et je déconseille à tout responsable de la sécurité des systèmes d’information de l’autoriser dans son organisation.

Est-ce qu’une telle fonctionnalité de mémoire est souhaitable ? Oui pourquoi pas, on peut imaginer une fonction (intégrée au système, mais aussi pourquoi pas offerte par un éditeur tiers), permettant d’enregistrer de façon ciblée des sessions de travail et pas uniquement par des copies d’écran, mais aussi par des collectes de données utiles spécifiques à chaque application. Ainsi, on pourrait imaginer un collecteur de ces métadonnées d’activité – et éventuellement de copies d’écran prises aux moments appropriés – adapté à tous les types de logiciels, exploitant dans un format ouvert les étapes de travail dans son logiciel de création graphique, de bureautique ou de travail en groupe.

Premiers pas sur le #fédiverse pour la communauté cyber / RI&IN

Dans un article précédent, je faisais un premier point sur les enjeux du fédiverse pour les enquêteurs. Aujourd’hui, je vous propose quelques éclairages sur le fonctionnement de ces plateformes pour l’utilisateur qui cherche à faire de la veille sur ces « nouveaux » réseaux sociaux ou en comprendre le fonctionnement.

Choix du serveur (ou instance)

La question pour laquelle beaucoup d’utilisateurs semblent achopper est celle du choix du serveur, qui en réalité est une richesse: quel que soit le serveur qu’on choisit parmi ceux qui sont intégrés dans le fédiverse (et donc qui utilisent le protocole ActivityPub), ils sont interconnectés et permettent d’interagir avec tous les autres. Dans le même esprit, vous choisissiez votre prestataire de courrier électronique soit chez votre fournisseur d’accès ou parmi des milliers de fournisseurs disponibles en ligne et vous pouvez échanger des courriels avec tout le monde.

Ensuite ces différents serveurs ont des spécificités: le logiciel utilisé et la communauté qu’ils regroupent.

Type de serveur

Le fédiverse regroupe différents types de serveurs qui ont chacun des spécificités, tous reposant sur le concept de micro-blogging:

Si on veut commencer, le plus simple est indéniablement de choisir un serveur mastodon, mais n’ayez pas peur de vous lancer sur l’un des autres.

Communauté

Ensuite, en fonction du type de logiciel, on peut souhaiter rejoindre une communauté dont on se sent proche. Dans le champ de la cybersécurité, les services suivants sont disponibles [n’hésitez pas à m’en signaler d’autres] :

Parmi mes lecteurs, certains pourront être intéressés par la communauté scientifique francophone avec le serveur sciences.re, administré par Rémy Gumblatt.

En pratique, outre le fait de savoir qui administre son serveur, donc une démarche de proximité ou de confiance, être sur le serveur d’une communauté permet de bénéficier de façon naturelle d’un effet de groupe, au travers de la visibilité sur l’ensemble des comptes auxquels sont abonnés les utilisateurs de votre serveur. Vous pouvez retrouver un exemple sur le serveur réponse à incidents riin.fr en suivant ce lien (quand on est sur le site, menu Fil public global).

Enfin, tous les logiciels évoqués ci-dessus étant disponibles sous forme de logiciel libre, donc il vous est possible d’installer votre propre instance, pour héberger votre propre communauté au sein du fédiverse.

Mais BlueSky et Threads ce n’est pas la même chose ?

Non, pas en l’état. Quelques éléments rapides sur les alternatives privées émergentes: Threads de Meta (Facebook) qui promet d’être relié au fédiverse « bientôt » n’est actuellement pas disponible en Europe (pour des questions juridiques) et Bluesky est uniquement disponible sur invitation et surtout n’est pas compatible avec ActivityPub et donc le fédiverse, mais utilise un autre protocole (ATProtocol). Tumblr avait annoncé il y a quelques mois vouloir rejoindre le fédiverse et le protocole ActivityPub, ce n’est pas encore le cas non plus.

Identité sur le fédivers

Son identité sur le fédivers ressemble à celle que vous connaissez pour le courrier électronique, ou lorsque vous donnez l’URL vers un profil sur un réseau social traditionnel. Il est donc représenté de deux façons: @pseudo@serveur.social ou https://serveur.social/@pseudo. Le choix de son pseudonyme est important parce qu’il doit être unique sur chaque instance (mais plusieurs comptes peuvent utiliser le même pseudonyme sur des instances différentes), mais ce qui est important à comprendre c’est que cette version courte sera souvent la seule affichée dans les messages publiés quand vous êtes cité (avec un lien vers le profil complet).

L’autre partie de son identité est tout aussi classique: le nom public, que l’on peut changer autant de fois qu’on le souhaite, contrairement au pseudonyme, ainsi que sa biographie ou son avatar. Il est recommandé de modifier très vite ces différentes informations pour améliorer votre visibilité et vos interactions.

Transférer un compte

Le protocole ActivityPub, notamment tel qu’il est implémenté avec mastodon, permet de transférer très facilement son compte vers une autre instance.

Pour ce faire, une fois le compte créé sur la nouvelle instance, on configure en alias le premier compte (pour autoriser les données qui vont arriver en entrée), puis on initie le transfert depuis son premier compte. Le premier compte ne sera alors plus actif pour publier, conservera les anciens messages que vous avez publiés, et comportera un lien automatique vers votre nouveau compte.

Les utilisateurs qui vous suivent (vos « followers »), sont alors automatiquement transférés vers la nouvelle instance. Les utilisateurs que vous suivez en revanche doivent être exportés depuis l’ancien compte et réimportés dans le nouveau compte.

[Edit 17/11/2023 20:22] Petite spécificité du fédiverse, il n’est pas possible de changer son pseudonyme. Aussi, la seule solution serait alors de transférer son compte vers le nouveau pseudonyme.

Utiliser plusieurs comptes

Il y a différentes raisons d’utiliser plusieurs comptes dans le fédiverse :

  • tester simplement différentes plateformes ;
  • séparer ses usages personnels et professionnels ;
  • avoir une visibilité plus fine sur différentes communautés, notamment pour faire de la veille.

Les logiciels clients (sur votre téléphone mobile ou sur votre ordinateur) permettent en général de gérer une multiplicité de comptes, y compris plusieurs comptes sur le même serveur. Si vous voulez faire de la veille avec une vision par colonnes, plusieurs logiciels existent dont Sengi et Fedistar.

Construire sa liste de lecture

Au fur et à mesure de votre exploration, vous allez vouloir suivre des personnes. Si le compte est inconnu de votre instance (parce qu’il se trouve sur une instance externe), vous pouvez toujours copier-coller l’identifiant complet du compte ou son URL dans la barre de recherches et une fois qu’il s’affiche, cliquer sur le bouton de suivi.

Récupérer les comptes sur le fédiverse de vos contacts Twitter

Si vous le souhaitez, vous pouvez rajouter votre adresse fédiverse (soit sous forme d’URL, soit sous forme d’adresse @pseudo@serveur.social), afin de permettre à vos anciens contacts de vous retrouver facilement, qu’il s’agisse d’un test, d’une diversification de vos réseaux sociaux ou d’une migration définitive.

Plusieurs services permettent de récupérer les comptes du fédiverse qui sont publiés sur les profils twitter de vos contacts. Ils sont ensuite disponibles sous forme de fichier CSV que vous pouvez facilement importer dans votre compte (rubrique Import/Export des paramètres).

  • Fedifinder (seul ce site fonctionne aujourd’hui)
  • Movetodon (bloqué par X/Twitter, donc ne fonctionne plus)

Enrichir sa liste d’abonnements

Comme expliqué plus haut, si vous êtes connecté sur l’instance d’une communauté particulière, vous pouvez facilement accéder au fil de tous les messages publics vus par votre communauté. En réalité, même si vous n’êtes pas abonnés de cette instance, vous pouvez toujours visiter ce fil public (comme ici pour le serveur RI&IN).

De même, vous pouvez utiliser la fonction d’exploration (#Explorer) qui vous propose les messages, les comptes, les mots clés ou les sujets d’actualité populaires sur une instance.

S’abonner à un mot clé

Une des spécificités du protocole ActivityPub est qu’il vous permet d’être abonné à un mot clé (commençant par un caractère croisillon comme ). Ainsi, pour suivre l’actualité d’une conférence , , vous pouvez être directement abonné au mot-clé correspondant. Les messages que « voit passer » votre instance (parce qu’un des utilisateurs de l’instance est abonné à la personne qui publie ou rediffuse un message) et qui contiennent ce mot-clé s’afficheront alors dans votre fil d’activités principal, sans que vous ayez besoin de suivre tous les utilisateurs susceptibles de publier ces messages.

Suivre une communauté sur un serveur Lemmy [Edit 18/11/2023 10:00]

Lemmy implémente une fonction de groupe du protocole ActivityPub qui permet de suivre toutes les publications d’un groupe de personnes. Pour s’y abonner, c’est le même principe que pour suivre un compte. Ainsi sur le serveur Lemmy infosec.pub, on retrouve la communauté https://infosec.pub/c/cybersecurity. On peut la suivre directement depuis son compte Mastodon, en la cherchant dans la barre de recherche sur l’interface Mastodon.

Comment se passe la modération ?

Pour finir cet exposé rapide, vous vous posez peut-être des questions sur la modération des réseaux sociaux du fédiverse. L’un des intérêts d’une multitude d’instances est que la modération sur chacune d’entre elles est beaucoup plus légère pour leurs administrateurs qu’un grand réseau social monolithique. L’autre spécificité, est qu’outre le respect de la législation, chaque serveur décide de ses propres règles spécifiques. Par exemple, ils peuvent souhaiter mettre l’accent sur la protection des personnes vulnérables ou des minorités (un engagement à être intraitable sur les signalements reçus pour harcèlement), ou encore interdire certains types de contenus – notamment ceux qui ne correspondent pas à la thématique de l’instance pour en conserver la cohérence.

Ainsi, chaque serveur affiche ses règles sur une page dédiée accessible à tous et notifiée au moment de l’inscription. Le processus de signalement est classique, avec un formulaire accessible depuis chaque message ou profil. Pour l’administrateur ou les personnes à qui la modération est déléguée, outre des avertissements aux comptes concernés, il est possible de bloquer l’intégralité d’une instance, c’est-à-dire d’empêcher la reprise en local des messages de cette instance. Cela permet de gérer la question des instances qui seraient mal modérées par leurs propriétaires. Les règles peuvent être plus fines, par exemple en forçant l’affichage systématique de tous les médias de l’instance ciblée avec un avertissement de contenu (utile si on ne souhaite pas simplement relayer des contenus potentiellement violents ou pornographiques).

Dans Mastodon, il est aussi possible d’appliquer cette modération au niveau de l’utilisateur individuel, y compris le blocage d’un serveur, en plus des règles imposées par son serveur. Marcus Hutchins a publié un article intéressant (en anglais) sur le sujet de la modération et de son passage à l’échelle.

Il existe encore de nombreuses questions sur l’amélioration des outils de modération et pour les grosses ou petites communautés, il sera intéressant que se développent des bases documentaires et des outils dédiés pour leur permettre de se conformer aux lois locales et en Europe s’aligner avec le DSA (digital services act), même si les petites instances n’y sont pas soumises.

*

J’espère que cet article aidera un bon nombre d’entre vous à sauter le pas et à tester ces nouveaux réseaux sociaux, où vous pouvez me suivre sur @ericfreyss@mastodon.social.

Cybermoi/s et Charte Cyber – Les référents cybersécurité

Le 02 octobre après-midi se tenait l’événement de lancement du Cybermoi/s, déclinaison française du Mois européen de la cybersécurité. Il est rediffusé en vidéo. Ce mois de la cybersécurité est destiné à mobiliser l’ensemble de la communauté sur des actions de sensibilisation et de prévention sur les risques numériques. Piloté par l’ENISA au niveau européen, pour la première fois à l’occasion de la 11e édition, c’est l’équipe de cybermalveillance.gouv.fr qui en est chargée au niveau français. Un site Internet spécial y est consacré.

Au niveau européen, le thème choisi pour cette année est: #BeSmarterThanAHacker (soyez plus malin qu’un hacker).

En France, il a été décidé de mettre l’accent plus précisément sur la fraude par ingénierie sociale sous le mot clé . En pratique, « tout au long du mois d’octobre 2023, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : action citoyenne, conférences, campagnes vidéos, articles… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune. ». Le site Web du Cybermoi/s propose un agenda des événements, un kit de communication et aussi vous proposer de participer en relayant les messages #CyberResponsables sur vos réseaux sociaux.

La Charte Cyber

Une des initiatives de ce Cybemoi/s me tient particulièrement à cœur: il s’agit de la diffusion d’une Charte Cyber par laquelle 83 organisations appellent tous les acteurs à se mobiliser au travers de 8 engagements simples et concrets pour promouvoir un cadre de cybersécurité vertueux et responsable.

Le second engagement est peut-être l’un des plus à même de transformer l’approche de la cybersécurité:

2. Nommer un « référent cybersécurité » en charge de porter et d’animer le sujet en interne.

En effet, de la même façon que les référents informatique et libertés, devenus avec le RGPD des délégués à la protection des données, ont permis d’abord par une démarche volontaire, puis avec un caractère obligatoire de porter au sein de toutes les organisations le sujet de la protection des données à caractère personnel, il me paraît essentiel d’emprunter aujourd’hui le même chemin pour la sécurité numérique. Bien entendu, toutes les organisations, notamment les plus petites, ne peuvent pas avoir un responsable de la sécurité des systèmes d’information de plein exercice, mais à tout le moins quelqu’un chargé de suivre ces sujets, sensibiliser et conseiller sa hiérarchie. Peut-être dans une prochaine loi prévoira-t-on un cadre incitatif et protecteur pour le développement des référents cybersécurité dans les associations, entreprises et collectivités locales de petite taille et bien entendu des RSSI dans toutes les organisations dont la taille ou la complexité le nécessitent.

Mobilisation de la gendarmerie

Enfin, au cours de ce Cybermoi/s la gendarmerie se mobilise en intervenant dans différents événements organisés au niveau national et dans les territoires. Cette année le Commandement de la gendarmerie dans la cyberespace (COMCYBERGEND) proposera plusieurs vidéos de sensibilisation à certains risques numériques. La première a été publiée le 02 octobre:

Mastodon, le fédiverse et quelques premiers enjeux pour l’investigation numérique

3D visualization of the proposed Fediverse logo. (Eukombos, https://tinyurl.com/4swry4kn; CC BY-SA 4.0, https://creativecommons.org/licenses/by-sa/4.0/deed.en)

Ce court billet vise à explorer les premiers enjeux que l’on peut évoquer pour les réseaux sociaux émergents (même s’ils existent depuis quelques années en réalité) qui constituent le fédiverse en matière d’investigation numérique. Beaucoup se sont déjà exprimés sur les questions de régulation des contenus, je n’y reviendrai pas, même si les ressorts sont similaires.

Quelques rappels sur le fédiverse.

Le fédiverse est une fédération d’espaces de publication (ou réseaux sociaux) reposant généralement sur des logiciels libres (exclusivement pour l’instant) et utilisant un protocole permettant l’interopérabilité par le rediffusion des activités entre les différentes plateformes. Le protocole majoritairement utilisé aujourd’hui est ActivityPub, officiellement publié comme recommandation du W3C le 23 janvier 2018.

Mastodon est le logiciel le plus couramment utilisé, mais il en existe d’autres du même type comme Pleroma. Ce protocole ActivityPub permet aussi de faire la passerelle vers d’autres modèles de publication d’informations que les microblogs comme la publication d’images (Pixelfed), de vidéos (Peertube qui repose sur une distribution pair à pair des contenus) ou d’événements (Mobilizon).

Applications et protocoles du Fédiverse

En pratique, on peut donc publier sur une plateforme des contenus qui seront accessibles dans les autres types d’applications (le rendu s’adaptera à l’application utilisée et bien entendu le client utilisé pour accéder au serveur et visualiser l’information), mais aussi suivre des comptes sur l’ensemble du Fédiverse. Par exemple, le présent blog WordPress est configuré avec une extension ActivityPub qui permet de le suivre sur l’adresse @ericfreyss.

Au-delà de ce premier niveau de fédération, chaque logiciel ne tourne pas sur un seul serveur, mais potentiellement sur autant de serveurs que d’initiatives individuelles qui le souhaitent. Ainsi utilisant Mastodon, on retrouve:

Plusieurs annuaires de serveurs sont disponibles: https://joinmastodon.org/fr/servers et https://instances.social/.

Enfin, dernier aspect qui me parait intéressant que j’évoquerai dans cette introduction: la multiplicité des clients. Même si sur Twitter on a pu connaître plusieurs clients, sur Mastodon en particulier c’est la règle. Le mode d’accès classique reste d’abord le site Web – qui peut être installé comme application Chrome/Chromium par exemple sur son PC ou son téléphone/tablette. Mais il existe aussi de nombreux clients, avec souvent la possibilité de se connecter à plusieurs comptes en même temps. J’utilise pour ma part Tusky sur Android et Sengi sur mon PC.

Enfin, plusieurs services suivent l’évolution des statistiques d’utilisation de ces plateformes. On peut citer https://fediverse.observer/stats, https://fediverse.party/, et le compte @mastodonusercount@bitcoinhackers.org qui publie toutes les heures une mise à jour:

Statistiques Mastodon (utilisateurs, serveurs)

Premiers points d’intérêt pour l’investigation numérique.

Bien entendu, il est probable que nous soyons amenés à conduire de plus en plus d’investigation numérique sur le fediverse, il y en a sûrement déjà un certain nombre malgré le relatif faible nombre d’utilisateurs actuels.

Tout d’abord, un petit détail technique. On a compris qu’il peut y avoir de nombreux serveurs et donc parler de Mastodon ou de Fédiverse n’amènera pas les enquêteurs (ou les spécialistes en collecte d’informations en source ouverte), vers une seule société, mais bien vers une multitude d’acteurs. Mais c’est évidemment la même chose pour tous les services classiques du Web décentralisé que l’on connaît. Le détail technique que je souhaitais évoquer est que l’adresse d’un compte du type @nomutilisateur@serveur.tld ne donne pas forcément le nom complet du serveur sur lequel le compte est hébergé. Ainsi pour le serveur académique francophone https://social.sciences.re/, les adresses sont de la forme @utilisateur@sciences.re. Astuce: pour accéder au serveur facilement, on peut utiliser le client Web Mastodon classique et d’un clic droit sur le menu contextuel on choisira l’option « Ouvrir la page d’origine »:

Dans la plupart des cas, on retrouvera une page d’information sur le serveur (« A propos » …/about/) qui décrit les règles de fonctionnement du serveur, donne des informations sur le/les gestionnaires, le nombre d’utilisateurs. On ne trouve pas encore à ce stade d’information de contact pour les services d’enquête. Parfois, ce pourra être uniquement le serveur de publication d’une entreprise ou d’une famille.

Il est aussi important de comprendre que dans la très grande majorité des cas, les serveurs sont gérés par des bénévoles, y compris leur modération. En tout état de cause, de la même façon que les services d’enquête et la justice sont au côté des utilisateurs des grandes plateformes, nous devrons relever le défi des réseaux sociaux décentralisés et nous adapter à cette réalité, qu’elle devienne la norme ou ne reste qu’une niche. A suivre et au plaisir d’échanger avec vous sur @ericfreyss@mastodon.social !

Fausses informations et réseaux sociaux

La diffusion de fausses informations n’est pas en soi un phénomène nouveau, mais l’émergence des réseaux sociaux – et leurs mécanismes de viralité – en a permis un développement particulièrement préoccupant au cours des derniers années. Quelles mesures prennent-ils et quels progrès doivent-ils encore réaliser?

Prévenir ou lutter contre les fausses informations est complexe pour deux raisons principales:

  • On est dans le domaine de la liberté d’expression, avec un champ particulièrement large de motivations à la création ou à la rediffusion de fausses informations. En particulier, un certain nombre des informations qui sont qualifiées de fausses peuvent dans certains cas relever du débat autour d’une question (on peut se tromper, on peut émettre des hypothèses qui se révèlent fausses). C’est le cas typiquement dans le cadre du débat scientifique.
  • Et donc, la diffusion de fausses informations n’est en général pas constitutif d’une infraction pénale, sauf dans certains cas particuliers liés à l’ordre public (art. 27 de la loi sur la liberté de la presse et art. 322-14 du code pénal), au processus électoral (art. L97 du code électoral et LOI n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information) ou à la mise en danger d’autrui (mauvais conseils médicaux, abus de faiblesse commis par certaines sectes réprimés par l’article 223-15-2 du code pénal). Dans certains cas, ce pourra aussi être lié à des escroqueries et plus spécifiquement la diffusion d’informations fausses ou trompeuses liées aux activités des marchés financiers (art. L465-3-2 et L465-3-3 du code monétaire et financier). Enfin, dans certains cas, la diffamation repose sur des informations fausses, mais ce n’est pas obligatoire pour que l’infraction soit retenue.

En outre, la motivation des diffuseurs de fausses informations, quelles qu’en soient les conséquences est variée: trolling et humour, inquiétudes réelles, mais aussi dans certains cas, la volonté de nuire à des personnes physiques ou morales, ou réellement de troubler le débat public.

On observe différents rôles dans ces diffusions de fausses informations:

  • Le créateur initial du message
  • Les personnes qui rediffusent le même message (simplement ou en le commentant de façon positive)
  • Les personnes qui créent un nouveau message contenant la même fausse information ou plusieurs fausses informations rassemblées
  • Et dans une certaine mesure, les personnes qui commentent les fausses informations, y compris pour les critiquer

Quel rôle pour les réseaux sociaux et autres plateformes interactives ?

Particulièrement impliqués dans la diffusion des fausses informations, les réseaux sociaux et les autres plateformes qui facilitent la diffusion d’informations (donc y compris les messageries instantanées, forums, etc.) se doivent de protéger leurs utilisateurs contre de telles diffusions si elles sont de nature à causer un préjudice. Bien entendu, la réponse devra être adaptée à la nature du service.

Si on se concentre sur les réseaux sociaux publics, la plupart d’entre eux ont pris des mesures qu’ils explicitent sous des formes diverses:

Parmi les pratiques courantes:

  • Engagement à supprimer les fausses informations sur certaines thématiques (notamment dans le cadre de l’épidémie de COVID-19 actuelle, mais aussi au regard des élections)
  • Dans certains cas (notamment sur le COVID-19), insérer sur la base du contenu des liens automatiques vers des sites officiels ou des sites de confiance
  • Travail avec des organismes de vérification de l’information indépendants, souvent associés à des médias
  • Avertissement au moment de la rediffusion d’un lien ou d’une vidéo

Dans certains rares cas, les utilisateurs peuvent signaler ce qu’ils estiment être une fausse information (Facebook uniquement dans ce que j’ai pu observer). Il semble assez surprenant de ne reposer que sur des méthodes algorithmiques pour détecter des fausses informations.

Face à cette disparité de dispositifs qui, bien entendu, doivent être adaptés à la réalité du fonctionnement de chaque réseau social et à sa volonté de développer une expérience utilisateur spécifique, il me semble que trois éléments clés devraient être absolument mis en oeuvre par tout réseau social:

  1. Transparence: afficher une politique claire, complète et détaillée de lutte contre les fausses informations;
  2. Faire confiance à l’usager: lui donner la possibilité simple et rapide de signaler une fausse information, critère parmi d’autres permettant de détecter la diffusion d’une fausse information;
  3. Supprimer toute fausse information illégale ou dangereuse pour les personnes.

Pour finir, ci-dessous quelques conseils que nous diffusions avec Europol il y a quelques mois dans le cadre de l’épidémie de COVID-19:

Décision de la CJUE du 06/10/2020 sur les données de connexion

Dans une décision du 06 octobre 2020, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur plusieurs affaires tendant à questionner le régime français de conservation des données de connexion par les opérateurs, à des fins de renseignement ou de police judiciaire.

Plusieurs articles reviennent dans le détail sur cette décision (voir Nextinpact par exemple). Je vous propose pour ma part un avis personnel sur les différents points avancés dans cette décision et ce en quoi ils ne répondent pas forcément totalement aux nécessités objectives des enquêtes judiciaires.

J’avais déjà développé sur ce blog le dispositif de la loi pour la confiance dans l’économie numérique (LCEN) prévoyant les modalités de conservation des données par les fournisseurs d’accès à Internet et les hébergeurs, ainsi que celui qui concerne de façon parallèle les opérateurs de communications électroniques. Ce sont ces dispositions qui sont discutées (dans l’affaire numéro C‑512/18 de la CJUE)  et le cas échéant remises en cause par les parties demanderesses dans l’affaire jugée par la CJUE. La demande portait aussi sur certaines techniques spéciales de renseignement et sur la législation belge que je ne discuterai pas ici.

Vous noterez dans la décision ou dans les articles qui la commentent que cette affaire est issue d’une série de questions préjudicielles posées par le Conseil d’Etat français dans le dossier. Cette juridiction sera donc appelée à fonder sa décision sur la réponse apportée par la CJUE.

Le Conseil d’Etat posait ainsi les questions suivantes:

« 1)       L’obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l’article 15, paragraphe 1, de la directive [2002/58], ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l’utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la [Charte] et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 [TUE] ?

2)      Les dispositions de la directive [2000/31], lues à la lumière des articles 6, 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la [Charte], doivent-elles être interprétées en ce sens qu’elles permettent à un État d’instaurer une réglementation nationale imposant aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne et aux personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services, de conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires, afin que l’autorité judiciaire puisse, le cas échéant, en requérir communication en vue de faire respecter les règles relatives à la responsabilité civile ou pénale ? »

Enfin, il faut se rappeler qu’un cadre juridique européen de la conservation des données par les opérateurs (directive 2006/24/CE) existait jusqu’à sa remise en cause en 2014 par une décision de la même CJUE du 08 avril 2014.

Plusieurs points de l’arrêt méritent donc qu’on s’y attarde:

Conservation ciblée et uniquement en matière de criminalité grave

Les points 147 à 151 de la décision précisent qu’il serait possible, dans le cadre du droit européen, de prévoir la conservation ciblée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, tout comme aux fins de la sauvegarde de la sécurité nationale.

Ce ciblage recouvrirait les « catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue ».

Ce qui est décrit relève donc d’un acte d’investigation ou de surveillance, mais a fortiori pas de mesures « préventives » comme l’indique la Cour, puisque cela suppose d’avoir – au moment où la mesure est ordonnée – des éléments sur les personnes visées et les moyens de communication utilisés.

En outre, cette reprise d’une distinction entre criminalité grave et d’autres formes de délinquance, présente dans des décisions précédentes de la Cour, se heurte notamment au fait que toutes les infractions commises, qui nécessitent des investigations sur les moyens de communication, ne relèvent pas de la criminalité dite grave. C’est le cas en particulier des infractions intégralement commises sur un moyen de communication électronique: que penser des infractions de l’article 24 de la loi sur la liberté de la presse punies d’un an de prison (provocation à la haine ou à la discrimination) ou le harcèlement par un moyen de communication électronique de l’article 222-16 du code pénal puni lui aussi d’un an d’emprisonnement ? On pourrait aussi citer parmi les nombreux exemples le délit de diffusion de fausse information (article 322-14 du code pénal) dans le but de faire croire qu’une destruction, une dégradation ou une détérioration dangereuse pour les personnes va être ou a été commise, puni de deux ans d’emprisonnement.

On notera enfin, qu’il n’existe à ce jour, aucune définition officielle, aucune liste de critères permettant de définir ce qui relèverait de la criminalité grave telle que l’entend la CJUE dans ses décisions, renvoyant à la sagesse des législateurs. On peut toutefois par exemple citer la Convention de Palerme, convention des Nations unies de lutte contre le crime transnational organisé, qui précise en son article 2 b) « L’expression “infraction grave” désigne un acte constituant une infraction passible d’une peine privative de liberté dont le maximum ne doit pas être inférieur à quatre ans ou d’une peine plus lourde; ». Cela recouvre un plan très large des délits définis dans notre code pénal. En tout état de cause, si on applique immédiatement cette décision de la CJUE plus aucune enquête pour ces criminalités « non graves » sur Internet ne pourrait avoir lieu, or comme nous le rappelait avant-hier Mathieu Audibert, « la recherche des auteurs d’infractions est nécessaire à la sauvegarde de principes et droits de valeur constitutionnelle ».

Conservation de l’adresse IP et des identités civiles

Dans la section suivante, aux points 152 à 160, la Cour distingue de façon bizarre la question de la conservation des adresses IP de connexion et celle des identités des utilisateurs des services. Elle conclut en effet que les adresses IP ne pourraient être conservées que pour les besoins liées à la criminalité grave, tandis que les identités civiles pourraient être conservées (aux fins d’identifier l’utilisateur d’un terminal) y compris pour des enquêtes sur des faits de moindre gravité.

Or, si aucun lien n’est fait entre l’équipement terminal (et donc l’usager) et l’adresse IP utilisée à un instant t, la conservation des données sur l’identité civile n’apporte rien à l’enquête judiciaire sur Internet.

En pratique, il convient d’attendre la décision que prendra le Conseil d’Etat pour ces affaires. Il se pourrait en outre que l’arrêt de la CJUE soit le support de recours devant les juridictions quant aux moyens de preuve utilisés actuellement dans de nombreuses affaires judiciaires. Pour moi, et encore une fois je m’exprime ici à titre personnel, il n’y a qu’une conclusion possible à ce débat qui date de l’abrogation de la directive 2006/24/CE en 2014: il est nécessaire, comme nous y appelait déjà François Molins, procureur général près la Cour de cassation en avril 2019, de clarifier urgemment la rédaction des directives 2000/31/CE et 2002/58/CE, et parvenir à un texte européen harmonisant le cadre de la conservation des données indispensables aux enquêtes judiciaires, y compris en rentrant dans le détail des critères minimum permettant de protéger les droits fondamentaux. 

COVID-19 – Les vulnérabilités liées au télétravail et à la connexion au bureau Windows à distance (RDP)

Comme je l’évoquais dans mon billet précédent, la gendarmerie nationale et son réseau CyberGend sont particulièrement mobilisés pour protéger les usagers (entreprises, collectivités, particuliers,…) contre les menaces cybercriminelles qui ne relâchent pas leur pression pendant cette crise épidémique.

L’un des points focaux de notre action est la question du télétravail qui a entraîné des aménagements, voire des changements importants dans les organisations et remet en cause aussi bien les process (comme la vérification des factures, des paiements), que les outils numériques (accès à la messagerie, aux documents partagés, etc.). Aussi, nous diffusons depuis quelques semaines un certain nombre de conseils pour sensibiliser aux risques nouveaux ou exacerbés pendant cette crise. Ils sont synthétisés ci-dessous dans l’infographie que vous pouvez télécharger au format PDF:

Exploitation des accès RDP faiblement protégés

Au cours de nos opérations de prévention, et des échanges avec les acteurs de la cybersécurité, nous avons identifié qu’un grand nombre d’organisations – y compris des professions médicales – avaient déployé des solutions de télétravail reposant sur le partage de l’accès au bureau Windows par le protocole RDP (pour « Remote desktop protocol« ).

Dans beaucoup de cas que nous rencontrons, celui-ci n’est pas suffisamment protégé, soit parce que les contrôles d’accès ne sont pas suffisamment renforcés (en particulier nous relevons l’utilisation de mots de passe trop simples), et les vulnérabilités connues des services RDP ne sont pas corrigées par des mises à jour.

Un des modes de connexion d’accès à distance

Et l’utilisation par les cybercriminels de ces failles pendant la crise du Coronavirus est en pleine effervescence:

  • Connexion pour détourner des données personnelles ou confidentielles des serveurs ou des postes de travail
  • Installation de rançongiciels
  • Utilisation des machines attaquées pour réaliser d’autres attaques par rebond.
  • Revente de listes d’adresses de serveurs dont les protections sont trop faibles.

Si vous avez un tel service d’accès à distance configuré sur un serveur Windows ou même un simple poste de travail accessible depuis l’extérieur, d’abord assurez-vous qu’un tel partage est indispensable et ensuite nous vous recommandons les précautions suivantes (à mettre en oeuvre par votre responsable informatique ou votre prestataire):

  • Assurez vous de respecter les recommandations de l’ANSSI en matière de solidité et de renouvellement des mots de passe (beaucoup de mots de passe sont trop faibles) et celles touchant à la sécurité des services de bureau à distance – faites les mises à jour! (Bulletin d’alerte 2019-006)
  • Si vous n’utilisez pas votre serveur RDP, désactivez-le et vérifiez les règles de votre pare feu
  • Assurez-vous de n’autoriser des accès distants que pour des utilisateurs ne disposant pas de droits d’administration
  • Fermez les accès distants des utilisateurs qui n’ont pas ou plus besoin de l’utiliser (anciens employés, stagiaires)
  • Activez le protocole d’authentification Network Level Authentication (NLA) dans ce cas attention à ne pas activer la fonction qui force le renouvellement du mot de passe à la prochaine connexion
  • Mettez en place des règles de filtrage géographique ou par adresse IP
  • Mettez en place des règles permettant d’identifier une utilisation suspecte (essais répétés, adresse IP inhabituelle, etc)

N’hésitez pas à rediffuser ces conseils auprès de vos contacts professionnels. N’oubliez pas qu’en cas d’incident vous pouvez toujours obtenir de l’assistance et des conseils auprès de Cybermalveillance.gouv.fr, partenaire de la gendarmerie.

Crise du COVID-19 et cybermenaces #RépondrePrésent

Pour la gendarmerie nationale, la crise sanitaire du Coronavirus est un enjeu à trois égards: répondre aux nouvelles missions rendues nécessaires par l’accompagnement des mesures sanitaires et continuer à offrir un service de sécurité au public à la hauteur de ses attentes, tout en prenant en compte les contraintes pesant sur nos propres personnels évidemment.

Evidemment, il en est de même dans le champ des cybermenaces et le réseau CyberGend répond présent!

La première étape pour nous fut d’analyser rapidement l’évolution de la menace, en observant les premières remontées du terrain et ce qui se passait dans les autres pays. D’emblée, les escroqueries liées à la thématique du Coronavirus (commercialisation de produits de santé) et les hameçonnages sur le même thème (notamment sur les dispositifs d’accompagnement ou les appels aux dons), puis les changements liés au télétravail (organisation dégradée des entreprises, collectivités et administrations, perte des réflexes, risques supplémentaires sur des réseaux plus ouverts, etc.) ont été identifiés comme premières tendances. En outre, les publics à prioritairement protéger étaient selon notre analyse: les professions médicales, la logistique et l’alimentation.

Immédiatement, la seconde étape a consisté à mettre en oeuvre une stratégie de veille ciblée sur Internet à la recherche des infractions, d’ouvrir des enquêtes et de prendre des mesures préventives (saisie de noms de domaine). Le réseau CyberGend, plus spécifiquement le C3N et sous sa coordination les antennes du C3N dans les 9 principales régions qui ont été ainsi mobilisés. L’un des enjeux est aussi de pouvoir toujours prendre en compte les victimes de cybercriminalité et de recevoir les plaintes, partout sur le territoire, y compris dans une situation sanitaire complexe. C’est en particulier le cas pour les attaques par rançongiciel qui ont touché plusieurs entreprises et associations depuis le début de la crise et sur lequel les enquêteurs NTECH et les C3N se mobilisent.

En outre, nous avons observé le développement de nombreux phénomènes de diffusion de fausses informations ou de théories complotistes. Ils sont souvent repris et corrigés par les grands médias, mais il ne faut pas s’interdire de douter face à une information surprenante et réfléchir avant de la rediffuser.

Quasiment dans le même temps, les actions de prévention ont été multipliées, au contact des secteurs les plus directement concernés. Par exemple, dès le début de la crise, les pharmacies ont été sensibilisées à des tentatives d’escroqueries les ciblant pour la fourniture en gros de produits sanitaires. Depuis, les actions de sensibilisation se multiplient sur le terrain, les gendarmes des sections opérationnelles de lutte contre les cybermenaces, les référents sûreté dans les départements, contactant progressivement l’ensemble des secteurs économiques clé et les collectivités locales, avec des messages de sensibilisation et proposant un diagnostic de la situation de sécurité numérique dans le contexte de la crise.

Cet article de Nice Matin montre l’action des enquêteurs NTECH au contact des victimes, pour prévenir, détecter et enquêter.

 

Prévention: La gendarmerie relaie aussi les messages de ces partenaires, ici le centre Européen de lutte contre la cybercriminalité d’Europol EC3, ou encore www.cybermalveillance.gouv.fr

Enfin, c’est évidemment la sécurité de nos propres systèmes d’information à laquelle nous veillons tout particulièrement.

Une coopération exceptionnelle

Beaucoup d’entre nous vivent très certainement cette période comme une occasion formidable d’échanger énormément avec ses différents contacts par des moyens électroniques. Force est de constater que dans le secteur de la sécurité numérique, les échanges sont nombreux. Je vais en citer quelques-uns.

En France, les différentes associations sont mobilisées et Signal Spam ou le CESIN dont je vous ai parlé plusieurs fois sont actifs pour échanger et réagir aux incidents qui ont pu émailler les dernières semaines et surtout s’entraider. Le groupement d’intérêt public ACYMA, gestionnaire du portail www.cybermalveillance.gouv.fr est particulièrement à l’oeuvre pour prodiguer des conseils et continuer à assister les victimes d’actes de Cybermalveillance.

Deux collectifs internationaux de la cybersécurité ont vu le jour et sont particulièrement actifs, échangeant des indicateurs de compromission (ces détails qui permettent à d’autres de détecter des attaques ou des comportements illégaux que les partenaires ont déjà documenté) et se coordonnant pour mener les actions permettant de faire cesser les activités cybercriminelles: la Cyber Threat Coalition, et la COVID CTI League. Bien entendu, comme d’autres services d’enquête spécialisés dans le monde, nous y sommes présents.

Pour en apprendre un peu plus sur les coulisses de l’action de la gendarmerie dans la dimension cyber de cette crise sanitaire, vous pouvez écouter le podcast que Nolimitsecu y a consacré cette semaine.

… #RépondrePrésent

Plus que jamais, pendant cette crise sanitaire du Coronavirus, la gendarmerie se devait de #RépondrePrésent, et je puis témoigner que tous les jours, l’ensemble des personnels du réseau CyberGend sont mobilisés pour anticiper, détecter, investiguer et accompagner nos concitoyens plus que jamais concernés par les menaces dans l’espace numérique qu’ils utilisent quotidiennement.