avril 2009

Botnet de 1,9 million de machines – nouvelles méthodes de lutte

In English anglais

La société Finjan révèle aujourd’hui l’existence d’un botnet regroupant plus de 1,9 millions de machines infectées.

Le centre de commande de ce réseau de machines zombie serait situé en Ukraine et selon les informations collectées par les spécialistes de Finjan, grâce à la surveillance qu’ils ont pu faire en s’infiltrant dans ce serveur de commandes, il y aurait une équipe de six personnes à la tête de ce complot numérique.

Sur le blog de Finjan, on voit des exemples de l’interface web de contrôle de ce réseau. Les actions qui peuvent être ordonnées par ce centre de commandes incluent la possibilité d’installer des chevaux de Troie aux fonctions variées : lecture d’adresses mél, communications entre machines en utilisant le protocole HTTP des serveurs Web, le lancement de processus malins, l’injection de code exécutable dans d’autres processus déjà lancés, la visite de sites Web sans l’intervention de l’utilisateur de la machine, etc.

La répartition relevée par Finjan est la suivante : US / 45%, UK / 6%, Canada / 4%, Germany / 4%, France / 3%, autres / 38%. Cela représente donc environ 60.000 machines victimes sur l’ensemble de notre territoire national… Il semblerait que les machines infectées tournent sous Windows XP.

On voit ici, une fois de plus, que pour lutter contre ce type de cyberdélinquance, il est indispensable de pouvoir collecter des preuves en s’infiltrant dans les systèmes des suspects. Et les services d’enquête ne disposent pas de ce genre de pouvoirs en France. Il n’est même pas sûr qu’on puisse utiliser des preuves collectées de cette façon par des sociétés privées pour poursuivre ces suspects en justice. Ainsi que le relève cette semaine Joe Stewart à la conférence RSA – organisée à San Francisco – il est grand temps que les méthodes de lutte s’adaptent à ces nouveaux défis, et pas uniquement du côté de l’industrie mais en partenariat avec des services d’enquête et la justice pour mettre un terme à l’action de ces groupes criminels.
Technorati Profile

Condamnation d’un cracker de 17 ans à 11 mois de prison aux USA

In English anglais

Worcester

Worcester

Âgé aujourd’hui de 17 ans, un jeune originaire de Worcester, dans la région de Boston (Massachusetts, USA) a été condamné à 11 mois de prison dans un centre de détention pour mineurs et un total de 2 ans avec sursis, lors d’un jugement prononcé la semaine passée.

Il était poursuivi pour avoir commis des faits d’atteintes à des systèmes de traitement automatisé de données (d’entreprises), passé des appels injustifiés au numéro d’urgence américain (911) et utilisé des numéros de cartes bancaires volés pour effectuer des achats. Tous ces faits ont été commis entre novembre 2005 et mai 2008.

Le suspect, connu sous le pseudonyme de DShocker, a reconnu les faits et risquait un maximum de 10 ans d’emprisonnement. En France, pour des faits similaires, à savoir des intrusions dans des systèmes de traitement automatisés de données, des attaques en déni de service, l’exploitation de botnets, ce jeune homme risquait jusqu’à cinq ans de prison et 75 000 € d’amende (articles 323-1 à 323-7 du code pénal). En réalité, s’agissant d’un mineur, il n’aurait peut-être pas été condamné en France à une peine d’emprisonnement pour de tels faits.

Cyberpatrouilles : premiers dossiers

In English anglais

Messageries instantées: de nombreuses rencontres s'y poursuivent

Messageries instantées: de nombreuses rencontres s'y poursuivent

La presse s’en est fait l’écho aujourd’hui, les cyberpatrouilles commencent d’ores et déjà à porter leurs fruits. Le procureur de la République de Bobigny a choisi de communiquer sur le dossier présenté par les gendarmes spécialement formés à la cyberpatrouille de la division de lutte contre la cybercriminalité du STRJD.

Vous pouvez lire par exemple cet article sur 01Net: La gendarmerie arrête un pédophile en s’infiltrant sur un forum.

Comme je le précisais pour mes lecteurs voici quelques jours, il ne s’agit pas à proprement parler d’infiltration, mais d’investigations sur Internet sous pseudonyme.

Certains se poseront certainement des questions sur la communication qui est faite autour de ce cas. Il s’agit ici non pas de révéler les méthodes utilisées par les enquêteurs, mais de signifier clairement aux prédateurs pédophiles qu’ils ne peuvent plus se considérer en terrain conquis sur les forums, chatrooms et autres espaces utilisés par les enfants et ainsi, réinstaurer la peur du gendarme.

Pré-programme des journées francophones de l’investigation numérique 2009

http://www.afsin.org/wp/jfin-2009/

L’AFSIN, association francophone des spécialistes de l’investigation numérique, vient de mettre en ligne sur son site le programme prévisionnel des 3èmes journées francophones de l’investigation numérique 2009.

Ces journées sont organisées du 1er au 3 septembre 2009, à Neuchâtel en Suisse, dans les locaux flambant neufs de l’Institut de lutte contre la criminalité économique (ILCE), Haute école Arc.

Cette conférence est ouverte aux membres de l’association, aux magistrats, experts judiciaires et enquêteurs spécialisés francophones, ainsi qu’à des personnes invitées par l’AFSIN, notamment issus du monde académique. La session 2008 avait permis de rassembler près de 150 spécialistes dans la région Nancéenne, le déplacement – pour cette année – vers la Suisse nous permettra d’accueillir de nouveaux participants.

Rapport Symantec sur les menaces Internet d’avril 2009…

In English anglais

XSS chez Symantec ?

XSS chez Symantec ?

La société Symantec publie ces jours-ci son rapport sur les menaces à la sécurité sur Internet en 2008. Le document est intégralement téléchargeable depuis le site de la société.

Il s’agit d’informations collectées par Symantec, notamment par la collecte de données auprès de ses clients et par ses propres équipes. Même si on ne doit pas prendre de telles études pour une vision parfaite de la situation, elles sont toujours très intéressantes à parcourir. Qu’en retenir ?

  • Les sites Web sont en tête des modes de compromission pour l’année 2008 ; ainsi, des sites particulièrement visités ont été compromis pour diffuser des logiciels malveillants ; la mise en place de ces vecteurs est facilitée par l’utilisation des mêmes plate-formes et la présence des mêmes vulnérabilités sur un nombre important de sites, qui sont parcourus automatiquement pour y déposer le vecteur ; les vulnérabilités concernées pour pénétrer ces sites sont souvent classées comme moyennes et donc ont moins de chance d’avoir été comblées ;
  • A contrario, le rapport souligne que c’est une vulnérabilité importante qui a été exploitée pour diffuser le ver le plus actif du moment – Conficker. A ce sujet, vous pouvez lire un intéressant point de vue sur le blog de Sid.
  • Les motivations des délinquants du Net sont toujours majoritairement financières – ce n’est pas près de changer. En effet, les charges actives des logiciels malveillants tout comme les attaques de hameçonnage ciblent tout particulièrement les données personnelles et les données liées aux instruments bancaires (cartes, comptes,…).
  • Le rapport confirme le marché noir dont font l’objet ces données et en particulier les numéros de cartes bancaires : 32% de l’offre sur les marchés noirs observés par Symantec pour des montants allant de quelques cents à 30 dollars, devant les informations sur l’accès aux comptes bancaires ou aux comptes de courrier électronique. Les données liées aux cartes bancaires sont manifestement les plus faciles à intercepter et à réutiliser.
  • Des kits clés en main de fabrication de virus et autres vers se sont répandus de façon accrue en 2008, entraînant une hausse spectaculaire des codes malicieux distincts observés (+165%).
  • Enfin, ils soulignent les résultats d’actions concertées pour lutter contre la diffusion des menaces les plus vivaces (comme la diffusion de Conficker depuis la fin 2008 et la création du groupe de travail contre Conficker). Comme je l’ai déjà écrit, on peut en tous cas regretter que les pouvoirs publics n’y soient pas officiellement associés pour permettre des suites judiciaires à ces mesures techniques et à cette collecte de preuves.

Ce rapport, comme d’autres sources d’informations, confirment chiffres et exemples concrets à l’appui, la présence de plus en plus prégnante de groupes criminels organisés derrière les menaces qui pèsent aujourd’hui sur Internet.

Enfin, il est amusant de noter que la menace la plus significative pour 2008, à savoir l’exploitation de vulnérabilités sur des sites Web – notamment de type cross-site scripting aurait aussi frappé Symantec, comme le souligne une alerte publiée aujourd’hui. Cela démontre une fois de plus que nul n’est à l’abri de ces failles – comme de nombreux autres cas cités dans l’article – et l’important est d’être à l’affût et de corriger rapidement ses défaillances

Lancement des cyber-patrouilles

In English anglais

Cadre juridique

La loi sur la prévention de la délinquance de mars 2007 a introduit dans la législation française la possibilité pour des enquêteurs spécialement formés à cet effet de rentrer en contact avec des personnes soupçonnées de commettre des infractions de traite des êtres humains, de proxénétisme ou d’atteintes aux mineurs sur Internet et ainsi de collecter les preuves de ces infractions, sans que les actions des enquêteurs ne puissent constituer de la provocation.

Il s’agit des articles 706-35-1 et 706-47-3 du code de procédure pénale.

Un décret de mai 2007 est venu préciser les conditions d’application de ce texte et a introduit les articles D47-8, D47-9 et D47-11 du code de procédure pénale encadrant strictement la façon dont les cyber-patrouilleurs sont autorisés à échanger des contenus illicites sur Internet.

L’arrêté du 30 mars 2009, publié la semaine dernière, fixe les conditions de désignation des cyber-patrouilleurs. Il détermine aussi les missions du centre national d’analyse des images de pédopornographie, chargé de recueillir les contenus illicites collectés lors d’investigations judiciaires, en vue de faciliter l’identification des auteurs et des victimes de ces méfaits.

Que vont faire les cyber-patrouilleurs ?

Il s’agit dans un premier temps d’enquêteurs de la gendarmerie nationale et de la police nationale affectés dans des unités centrales (service technique de recherches judiciaires et de documentation – division de lutte contre la cybercriminalité pour la gendarmerie), afin d’éprouver les conditions d’action, avant de fournir cette formation à d’autres enquêteurs dans les régions.

Ils vont se rendre sur les mêmes forums, groupes d’échanges et de discussion que les pédophiles présumés et dialoguer avec eux. Il était en effet invraisemblable que des pédophiles puissent échanger impunément dans des forums dédiés à leurs pratiques (notamment en ce qui concerne l’échange d’images et de vidéos pornographiques mettant en scène des mineurs) et surtout comme c’est le cas de plus en plus souvent aller à la rencontre des mineurs sur les espaces où ces jeunes échangent en toute confiance.

Ces gendarmes et ces policiers, agissant sous pseudonyme, pourront ainsi collecter les preuves de ces infractions, notamment celles de sollicitations sexuelles à des mineurs de 15 ans, mais aussi toutes celles visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale, et ainsi permettre l’interpellation de ces supposés pédophiles avant qu’ils n’aient pu rencontrer des enfants ou alors qu’ils échangent quotidiennement des contenus illicites.

Ces dangers pour les enfants sont réels, comme le rappelle la campagne actuellement menée par Action Innocence, dont vous pouvez voir un extrait ci-dessous :

[vodpod id=Groupvideo.2322791&w=425&h=350&fv=file%3D%7B279f0fa4-0b07-472f-b2a8-a1b1138ee451%7D%2F%7B6921b485-a19c-4db2-9b40-75bb070b33a0%7D%2Fmessageries_VP6_1Mbps_Strea.flv%26amp%3Btype%3Dvideo%26amp%3Bvolume%3D100%26amp%3Bstreamer%3Drtmp%3A%2F%2Ffl.interoute.com%2Fstreamrt%26amp%3Bimage%3Dhttp%3A%2F%2Fwww.actioninnocence.org%2Fimg%2Fwebcast%2Fmessageries.jpg]

Actions de sensibilisation des parents aux risques de l’Internet

Introduction de la présentation

Introduction de la présentation

Des gendarmes, enquêteurs en technologies numériques (NTECH), de la région Nord Pas de Calais, ont développé un module de sensibilisation aux risques de l’Internet à destination des parents. Il a été présenté dans sa version aboutie le 31 mars 2009 à Tilloy-les-Mofflaines (62).

Différents articles et reportages s’en sont fait l’écho :