novembre 2008

Périgueux – Séminaire commun des enquêteurs spécialisés

NTECH

Les enquêteurs spécialisés de la gendarmerie nationale (les NTECH, enquêteurs technologies numériques) et de la police nationale (les ESCI, enquêteurs spécialisés en criminalité informatique) étaient réunis du 24 au 26 novembre 2008 à l’École nationale de police de Périgueux.

Les rencontres, organisées cette année par l’OCLCTIC, ont rassemblé plus de 120 personnes pour aborder des sujets techniques divers, parmi lesquels on peut citer la sécurité du Wifi, les réseaux sociaux ou l’association Signal-Spam.

Le prochain rendez-vous du même genre sera organisé par la gendarmerie nationale en 2009. Elles sont une occasion chaque année, pour une partie de ces enquêteurs spécialisés (plus de 150 d’entre eux ont été formés dans chacune des deux forces et la ministre de l’Intérieur a confirmé en janvier 2008 son intention de voir leur chiffre doubler d’ici 2012) de se rencontrer et d’échanger.

Comment utiliser mon blog

Un petit post pour vous aider à utiliser correctement ce blog :

  • A gauche, vous retrouvez : les catégories, les derniers articles du net que j’ai pu lire (mes bookmarks), les archives et les étiquettes ;
  • A droite : mes différents liens, dont certains blogs que je consulte régulièrement et des liens pour vous abonner à mes articles dans votre lecteur RSS (c’est génial ce truc… vous retrouvez tous les sites d’actualité que vous lisez habituellement sous la même interface, plutôt que d’avoir à aller sur 36 sites différents).

Usez et abusez 🙂 Et n’hésitez pas à poster un commentaire sur mes articles, c’est fait pour ça !

Interpellations par la gendarmerie dans le “warez”

Warez

Warez

Une quinzaine de personnes suspectées d’avoir participé à un forum organisant la diffusion de contrefaçons de films sur Internet ont été interpellés mardi dans le cadre d’une opération nationale initiée par la brigade de recherches de la gendarmerie nationale de Paris-Exelmans.

La Voix du Nord signale l’interpellation dans cette affaire de trois jeunes de la région d’Arras. 01net détaille le mode opératoire : l’intrusion frauduleuse dans les systèmes d’entreprises pour disposer d’espace de stockage et la diffusion sur le forum du groupe (de la “team”) des adresses de ces serveur pour mettre à disposition les contenus contrefaits fournis par les différents membres.

Ce n’est pas la première telle opération de la gendarmerie, qui s’attaque à la source des échanges organisés de contrefaçon de musique ou de vidéo :

En juillet de cette année, le SRPJ de Montpellier avait procédé à l’interpellation des auteurs présumés (affaire Carnage) de la création d’une contrefaçon du film Bienvenue chez les Chtis (et d’autres infos ici affaire Cinefox).

Au-delà des personnes qui téléchargent ces contenus d’origine illégale, il s’agit dans ces affaires des maillons essentiels de la contrefaçon d’œuvres de l’esprit. Ils sont soupçonnes de commettre de façon concertée :

  • des actes de contrefaçon (copie des supports originaux, copie du film en salle, copie des films avant leur sortie grâce à des complicités dans les circuits de production ou de distribution…). Une telle infraction constitue un acte de contrefaçon, réprimé par le code de la propriété intellectuelle et puni d’un maximum de trois ans d’emprisonnement et de 300.000 euros d’amende et jusqu’à cinq ans et 500.000 euros d’amende pour des faits commis en bande organisée ;
  • l’intrusion dans des serveurs et la copie sur ces serveurs ainsi contrôlés des contrefaçons pour les partager avec les membres des forums de partage. De tels faits sont punis par les articles 323-1 à 323-7 du code pénal, de cinq ans d’emprisonnement et 75.000 euros d’amende.

Évidemment, les peines maximum ne devraient pas être prononcées, toutefois, il ne faut pas négliger cet aspect particulier de la contrefaçon qui présente un risque pour les entreprises. En effet, il ne s’agit plus ici d’échanges entre “personnes consentantes” via des réseaux pair à pair, mais de l’abus des ressources de personnes innocentes – et souvent des entreprises – dont effectivement les machines étaient mal sécurisées, mais qui au mieux n’auront qu’une visite courtoise des autorités et au pire vont mettre plusieurs semaines à rétablir un fonctionnement correct de leurs systèmes.

Et il existe encore des dizaines de forums (ou “boards”) qui revendiquent de tels actes de contrefaçon. Souvent et historiquement, il s’agit de la scène “warez” de contrefaçon ou de contournement des protections des logiciels, mais de plus en plus souvent orientés exclusivement vers la musique et surtout les films commerciaux.

En conclusion, cette affaire et d’autres à venir sont une incitation supplémentaire de mieux sécuriser et surveiller correctement l’utilisation de vos machines et serveurs connectés à Internet !

Vers une sécurité renforcée des réseaux et de l’information en Europe

ec-consultationDu 07 novembre 2008 au 09 janvier 2009, la commission Européenne mène une consultation en ligne , à destination du public le plus large, sur la politique à mener au niveau de l’Union Européenne pour la sécurité des réseaux et de l’information.

Les questions portent sur trois thèmes :

  • défis : “quels sont les défis principaux pour la sécurité des réseaux et de l’information à considérer aux niveaux national, de l’UE et international, notamment en ce qui concerne la résilience des réseaux de télécommunications et des infrastructures électroniques d’information ?”,
  • priorités : “quelles seraient les trois priorités-clés qu’une politique devrait aborder pour relever les défis dus à l’évolution de la sécurité des réseaux et de l’information aux niveaux de l’UE et international ?”
  • et moyens : “Quels instruments sont nécessaires au niveau de l’UE pour aborder les défis et pour soutenir les priorités politiques dans le domaine de la sécurité des réseaux et de l’information? En particulier, quels instruments ou mécanismes sont-ils nécessaires pour améliorer la préparation pour traiter les cyber-disruptions à grande échelle et pour assurer des niveaux élevés de sécurité et de résilience des réseaux et infrastructures électroniques ?”.

Personnellement, parmi les défis, je citerais : le manque d’information sur les phénomènes, le temps de réaction disponible qui se restreint (attaques 0-day, haut débit…), les paradis numériques, la compétence des utilisateurs, l’avènement de l’identité numérique partout et de la démocratie électronique.

Mes trois priorités seraient : l’amélioration de la circulation de l’information par la confiance, la formation et le développement de capacités de réaction coordonnées (au plan national, européen ou international).

L’exemple de l’affaire McColo récente est exemplaire à ce sujet, qui a montré que finalement les acteurs techniques pouvaient agir efficacement pour lutter contre les sources de problèmes (et donc ne sont pas toujours neutres sur le réseau) et la suite nous montrera que l’absence d’action policière et judiciaire coordonnée (supposée) risque de voir rebondir les mêmes acteurs avec les mêmes compétences ailleurs… Dans d’autre cas, les services d’enquête ou les organismes officiels chargés de la sécurité informatique dans les Etats ont dû agir par leurs seuls moyens judiciaires ou administratifs, sans aucun soutien des opérateurs.

Enfin, en termes de moyens : ils doivent être juridiques (la création d’un Espace Schengen du numérique), un rôle peut-être plus opérationnel de l’agence européenne ENISA (ou une coordination ENISA/Eurojust/Europol/OLAF sur ces sujets), et une implication préventive des acteurs techniques.

A vos clavier pour contribuer vous aussi !

Royaume-Uni: Nouvelle loi contre les attaques DDoS et les outils de piratage

ministry-of-justice-ukUn article du Register nous apprend qu’une nouvelle loi a été promulguée au Royaume-Uni (voir l’acte de promulgation ici) criminalisant les attaques en déni de service et la diffusion d’outils de piratage. Cette loi est valable pour le Pays de Galles et l’Angleterre, un texte semblable ayant déjà été promulgué en Écosse.

La nouvelle infraction du Computer misuse act interdit le fait d’entraver le fonctionnement d’un système d’information. Elle est punie d’une peine maximale de 10 ans d’emprisonnement et d’une amende.

L’accès illicite à un système d’information est maintenant puni d’une peine maximum de 2 ans d’emprisonnement contre six mois auparavant.

La deuxième infraction créée interdit la fabrication, l’adaptation, la fourniture ou l’offre d’un dispositif avec l’intention qu’il soit utilisé pour commettre, aider à commettre les infractions de piratage. Ce qui est intéressant à noter, il est aussi interdit de fournir un dispositif dont on pense qu’il peut servir à commettre ces infractions. Elle est punie d’une peine d’emprisonnement maximale de 2 ans.

Le texte de cette nouvelle loi provient des sections 35 à 38 de la loi sur la Police et la justice de 2006.

Cette promulgation vient compléter le dispositif de ratification par le Royaume-Uni de la convention du Conseil de l’Europe sur la cybercriminalité et notamment son article 6 qui criminalise la diffusion d’outils de piratage.

En France, cette infraction est punie par l’article 323-3-1 du code pénal:

“Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.”

La mention d’un “motif légitime” permet de couvrir la recherche et le travail des spécialistes sur la sécurité des systèmes d’information. C’est une vision un peu différente de ce texte anglais qui évoque l’intention malhonnête, le texte français est donc plus large dans son périmètre, puisqu’il interdit aussi la diffusion par des non professionnels ou hors d’un contexte “légitime”. Il reste à la jurisprudence d’établir progressivement ce qui sera en France considéré comme un motif légitime et à la justice anglaise de prouver l’intention malhonnête de l’une ou l’autre des parties.

Enfin, il faut noter que le texte anglais limite les dispositifs concernés à un programme ou des données stockées sous forme numérique, alors que la convention du conseil de l’Europe parle de tout dispositif, y compris un programme informatique et que la loi française est beaucoup plus large puisque visant aussi bien les matériels.

HCFDC – De la sécurité informatique à la cyberdéfense

img_colloque_131108

Colloque HCFDC

Le Haut comité français pour la défense civile (HCFDC) organisait le 14 novembre 2008, dans les locaux de l’INHES à la Plaine Saint Denis (93), un colloque sur la “Cyberdéfense”. Il était conclu par une intervention du sénateur Roger ROMANI qui a été le rapporteur du rapport d’information de la commission des affaires étrangères, de la défense et des forces armées sur la Cyberdéfense.

Ce colloque était organisé en partenariat avec le Secrétariat général de la défense nationale (SGDN) et sa Direction centrale de la sécurité des systèmes d’information (DCSSI) et sponsorisé par Agilent et Thalès.

Le programme de la conférence était organisé autour de 4 tables rondes :

  • Typologie des menaces ;
  • Cartographie, enjeux et complexités ;
  • Cibles et impacts ;
  • Réponses et solutions.

Des différentes présentations on retiendra que :

  • il est encore difficile aujourd’hui d’évaluer l’impact des différentes attaques contre les systèmes d’information en France et dans le Monde ;
  • la future agence nationale de la sécurité des systèmes d’information est en bonne voie, avec un futur périmètre bien plus large que celui de la DCSSI actuelle et donc notamment avec un impact plus important sur la sécurité de l’information des entreprises et des citoyens (certification de logiciels et de solutions de sécurité) et certainement un pouvoir de contrainte plus fort sur la sécurité existant dans les administrations ;
  • des progrès sont reconnus dans la mise en place de politiques de sécurité des SI dans les grandes entreprises, les démarches semblent beaucoup plus mûres ;
  • le constat est maintenant tangible d’une évolution vers des cyberconflits, parallèles aux conflits physiques, comme l’ont montré les incidents des derniers mois (Estonie, Géorgie, attaques imputées à des chinois, etc.) et la France, l’Europe, doivent s’y préparer ;
  • les représentants des services dits répressifs (dont moi-même) ont beaucoup insisté sur l’intérêt d’associer mieux la sphère judiciaire dans la lutte contre les abus criminels contre les systèmes d’information et notamment sur la nécessité selon les cas de porter plainte ou de signaler les faits intéressants.

J’en retire aussi qu’il subsiste un grand flou autour des évolutions à venir de l’Internet et de la démarche de cyberdéfense :

  • quel avenir pour la gouvernance de l’Internet (rôle de l’ICANN, rôle que veut se donner l’Union Européenne, rôle des nouvelles puissances extrême-orientales,…) ?
  • quel va être l’impact d’IP v6 sur la sécurité des systèmes d’information et la cybercriminalité en général ?
  • quelle direction concrète doivent prendre des pays comme la France en matière de lutte informatique offensive (le Livre blanc sur la défense et la sécurité nationale donne quelques pistes, page 207) ?

Chute du spam suite à la coupure de l’Internet d’un hébergeur peu sécurisé

Un hébergeur de la région de San Francisco a été déconnecté de l’Internet par ses différents fournisseurs de connectivité suite à des signalements qui soulignaient son implication dans une majeure partie des pourriels circulant ces dernières semaines sur Internet.

Dans sa suite d’articles, un journaliste, auteur d’un blog (Security Fix) du Washington Post, Brian Krebs, déclare avoir collecté de nombreuses informations démontrant l’implication des machines hébergées par la société McColo Corp. de San Jose, Californie. Après quatre mois d’observations il a décidé de contacter les fournisseurs de connectivité à Internet de cette société qui semblent avoir réagi très rapidement et ont coupé très rapidement tous les liens de cette société. Il semble que la société Kaspersky, ainsi qu’un rapport publié par HostExploit.com (ici la dernière version de ce rapport) soient la source des informations qui ont mené ce journaliste à s’activer sur ce dossier.

Selon les différents chiffres cités par le journaliste, obtenus auprès de différentes sources en Europe et aux Etats-Unis, près de 60 à 70% des spams circulant actuellement ont ainsi pu être éliminés d’un seul coup. Selon SANS, le réseau de cet hébergeur servait aussi à la diffusion d’images de mineurs à caractère sexuel.

Évidemment, une telle chute du spam sera de courte durée, et les émetteurs de ces messages non sollicités se reporteront sur d’autres ressources de l’Internet qui sont vulnérables. Le même journaliste cite en effet le cas d’un autre hébergeur californien qui avait subi le même sort au mois de Septembre 2008 et il n’avait fallu que quelques jours pour que les spammeurs trouvent de nouveaux hôtes.

A la lecture des différentes études publiées, il semblerait que les réseaux les plus utilisés par les cybercriminels ne sont pas tous situés dans les pays habituellement cités, mais ils peuvent se trouver aussi bien aux Etats-Unis et très certainement au coeur de l’Europe. C’est assez logique, puisque cela permet de disposer d’une excellente connectivité avec les futures victimes…

Un anti-virus reconnaît comme troyen une DLL de Windows

Virus

Virus

Ce n’est pas la première fois qu’un logiciel anti-virus cause de telles difficultés avec des faux-positifs. C’est toutefois moins courant que l’anti-virus en question (AVG) s’en prenne à un composant du système d’exploitation. The Register évoque l’affaire dans cet article.

La conséquence pour l’utilisateur qui supprime le fichier DLL en question : un système qui ne démarre plus.

Cela pose tout de même la question de savoir comment un particulier peut réagir efficacement face aux messages parfois incompréhensibles des logiciels anti-virus et autres firewalls. Et il en est de même pour l’usager lambda dans une entreprise.

Cela veut dire pour moi, que d’une part, même pour un logiciel aussi simple qu’un anti-virus, il ne faut pas oublier de former les utilisateurs aux actions basiques qu’il sera amené à accomplir (où est-ce que je clique ?) et prévoir des procédures adaptées en cas d’infection supposée (est-ce qu’on laisse l’utilisateur se débrouiller seul ou bien faut-il faire systématiquement intervenir quelqu’un du support informatique ?)

Mise à jour du 15/11/2008: A noter (source) qu’AVG offre à tous les abonnés à ses mises à jour payantes une année de licence gratuite.

Mise à jour du 17/11/2008: Un nouvel incident noté avec AVG qui a reconnu par erreur un composant du logiciel Adobe Flash comme malveillant. L’erreur a été corrigée en mois de trois heures.

AccessData offre de racheter Guidance Software

Guidance Software

Guidance Software

AccessData et Guidance Software sont deux sociétés concurrentes sur le marché des logiciels d’analyse de supports de données numériques. La première conçoit le produit “FTK” ou “Forensic Toolkit”, la seconde “Encase”.

L’offre porte sur un rachat des actions de Guidance Software au prix de $ 4.50, alors que le cours actuel de l’action est de $ 3.73. Un communiqué de presse du 31 octobre annonçait que les dirigeants de Guidance Software avaient refusé cette offre amicale. Dans le même document, AccessData déclare qu’ils envisageront toutes les options possibles pour permettre cette transaction.

Le marché des solutions logicielles d’analyse forensique de supports numériques est assez varié en apparence :

mais des craintes fortes existent dans la communauté des utilisateurs de ces produits que cela nuise à la concurrence ou à la qualité des produits.