octobre 2009

De l’affaire Zataz et des sites d’information sur la sécurité en général

Grandville_-_Descente_dans_les_ateliers_de_la_libert%C3%A9_de_la_presse[1]

Cet article pour appeler mes lecteurs à lire un article qui donne un point de vue intéressant sur l’affaire Zataz, sur le blog de Sid, et en discuter quelques aspects complémentaires.

Pour mémoire : il s’agit dans cette affaire de plaintes successives (au civil puis pour diffamation) dont a été l’objet le gestionnaire du site Zataz suite à la publication d’un article révélant un incident de sécurité qu’aurait vécu une société de commerce en ligne. Comme beaucoup de sites d’information de sécurité, Zataz publie régulièrement des alertes sur de tels incidents, non sans avoir auparavant prévenu les gestionnaires concernés.

Cette mise en cause publique n’a apparemment pas été appréciée et Sid estime que c’est peut-être parce que la sécurisation des données personnelles des clients n’était – à un instant donné dans le passé – pas complètement assurée. La société plaignante aurait finalement déclaré qu’elle ne souhaitait pas faire appliquer les sanctions prononcées contre le journaliste.

La démonstration de Sid est détaillée et je vous invite donc à la lire. Par ailleurs vous pouvez aussi consulter:

  • L’arrêt de la Cour d’appel de Paris 2ème chambre Arrêt du 09 septembre 2009 (sur Legalis.net), où l’on découvre un débat d’experts, mais où manifestement ne transparaissent pas tous les éléments d’appréciation,
  • La présentation des faits sur le site Zataz.

Le débat sur les sites d’information de sécurité informatique

En préambule, je tiens à souligner que ce n’est pas la bonne foi d’un journaliste que je questionne – d’ailleurs le plaignant dans cette affaire semble finalement le reconnaître, mais bien de la situation juridique dont je cherche à débattre. On est en effet dans une situation d’insécurité juridique aussi bien pour les personnes qui cherchent à protéger leurs données, que celles qui souhaitent informer librement le public.

Sur la discussion juridique donc, le droit français ne prévoit pas (article 323-1 du code pénal) que des données doivent être protégées par un dispositif spécifique pour qu’il y ait accès frauduleux à un système de traitement automatisé de données (de la même façon, même si comparaison n’est pas raison, qu’il n’est nul besoin d’effraction pour que le vol soit reconnu, même si l’assurance ne couvre pas ces cas-là).

Toutefois, il faut que l’intention (comme pour toute infraction, son élément moral) soit prouvée, à savoir la conscience de pénétrer dans un serveur privé (comme lorsqu’on pousse la porte d’un appartement). Donc, soit en contournant une sécurité – même faible, soit en s’apercevant – par exemple – de la nature confidentielle des données. Et c’est justement ici que l’on trouve les limites de l’exercice des sites d’information sur la sécurité, puisque ce qui est cherché ce sont justement les failles et l’existence de données confidentielles non protégées: on peut légitimement supposer l’intention d’accéder à des secrets. Même si la motivation est honnête, l’intention d’un accès frauduleux (non autorisé ou non voulu par son propriétaire) sera donc le cas le plus courant.

Il revient ensuite évidemment à l’expert d’évaluer si le service qui a permis l’accès à ces données était :

  • librement offert à tout visiteur (notamment depuis le site Web de l’entreprise),
  • accessible uniquement en effectuant des recherches poussées (et dans ce cas-là si la personne mise en cause à volontairement ou involontairement trouvé ces données),
  • accessible uniquement en contournant un dispositif de sécurité.

Contrairement à la situation d’entreprises chargées par leurs clients de tester la sécurité de leurs serveurs, un journaliste ne peut se prévaloir dans ces circonstances d’une relation préalable avec l’entreprise testée et donc d’une présomption d’autorisation à accéder aux systèmes et à leurs données – souvent formalisée dans le contrat conclu entre les deux parties.

La loi n’a pas non plus prévu d’exemption générale pour les professionnels, comme ce serait le cas dans l’article 323-3-1 du code pénal en matière de possession d’outils de piratage par des spécialistes en sécurité informatique. Et le droit d’informer ne justifie pas de commettre des infractions.

Et pourtant, il paraît socialement utile, comme le souligne Sid, que le public soit informé de l’existence de défauts (de façon générale) dans la sécurisation des données personnelles qu’ils confient à des tiers.

Cette affaire donc, comme en son temps l’aventure très semblable vécue par un autre journaliste en ligne (Affaire kitetoa.com), démontre clairement la nécessité d’un débat sur les règles juridiques et déontologiques à appliquer aux sites d’information sur la sécurité informatique. Cela renvoie aussi au débat sur une obligation qui devrait bientôt peser sur les opérateurs de communications électronique de signaler les atteintes importantes aux données personnelles qu’ils administrent et que va introduire le Paquet télécom: faut-il généraliser ce principe à tous les professionnels ? Un événement tel que celui vécu par un grand intermédiaire financier américain en début d’année serait-il rendu public en Europe ou en tous cas ses clients informés ?

Des noms de domaines enregistrés via proxy ou un service d’anonymisation

tldL’ICANN publiait le 1er octobre dernier un projet de rapport sur les noms de domaines enregistrés au travers d’un service d’intermédiation ou d’anonymisation. C’est un des sujets qui préoccupe souvent les enquêteurs et que j’ai d’ailleurs évoqué dans l’ouvrage que j’ai écrit avec Guillaume Desgens-Pasanau [1].

Dans l’étude présentée par l’ICANN – avec l’aide du NORC (National opinion research centre de l’Université de Chicago), un échantillon de 2400 noms de domaines a été sélectionné parmi les 5 plus grands TLDs (.com, .net, .org, .biz, .info). Il en ressort que 15 à 25 % des noms de domaine observés ont été enregistrés grâce un service permettant d’anonymiser les informations.

Selon les règles de l’ICANN, les bureaux d’enregistrement doivent recueillir et publier sur les serveurs Whois:

  • le nom de domaine,
  • les serveurs DNS associés,
  • les dates de création et d’expiration,
  • les informations de contact du propriétaire, techniques et administratives.

Deux types de services sont offerts:

  • un service de garantie de la vie privée (ou d’anonymisation, privacy en anglais) en masquant certaines informations de contact et en permettant l’utilisation d’une adresse de courrier électronique créée spécialement par le bureau d’enregistrement (il s’agit souvent d’une option payante offerte par le bureau d’enregistrement),
  • un service d’intermédiation (acquisition par proxy), où c’est un intermédiaire qui acquière le nom de domaine et en revend l’usage à l’utilisateur final. Ce sont alors les informations de contact de cet intermédiaire qui apparaissent sur les serveurs proxy.

Les résultats

Les résultats préliminaires sont intéressants. Ainsi, sur la base d’une échelle de 0 (improbable) à 3 (certain), l’utilisation d’un service d’anomyisation ou d’intermédiation est évaluée de la façon suivante:

  • (3) + (2) + (1) = 24,6 % de l’échantillon
  • (3) + (2) = 22,4 % de l’échantillon
  • (3) = 14,6% de l’échantillon

Dans ces cas-là, 85% semblent utiliser un service d’intermédiation et 15% un service d’anonymisation.

Des vérifications supplémentaires sont programmées par l’ICANN pour affiner ces résultats.

Conséquences

Il est particulièrement frustrant pour un enquêteur de consulter le whois d’un nom de domaine en cours d’investigation et de découvrir qu’aucune information n’est réellement utilisable. Il y a deux types de démarches qui sont rencontrées: la souci légitime de préserver sa vie privée et celui, plus questionnable mais finalement compréhensible, d’empêcher l’identification lorsqu’on commet des infractions grâce à l’utilisation du nom de domaine.

Si l’on cumule cela avec le fait que ces informations sont le plus souvent déclaratives et fausses ou que de toutes façons il sera impossible pour l’enquêteur d’obtenir une quelconque information complémentaire auprès du bureau d’enregistrement (parce qu’il ne répondra pas à la  requête de l’enquêteur ou bien que les autorités du pays concerné ne coopéreront pas), on comprend la difficulté du problème.

En France, la loi pour la confiance dans l’économie numérique et les règles mises en place par l’AFNIC pour les domaines qu’elle gère permettent d’avoir de biens meilleurs retours, tout en préservant si nécessaire la vie privée, mais ce n’est pas le cas dans l’ensemble des régions du monde. Il serait d’ailleurs intéressant de faire une étude semblable montrant le taux d’utilisation des services de proxy ou d’anonymisation dans les domaines rencontrés dans les enquêtes judiciaires… Une étude similaire parmi les domaines de premier niveau européens et en particulier le “.eu” serait tout aussi intéressante.

En tous cas, c’est déjà une bonne chose que l’ICANN commence à étudier ce phénomène, il sera plus intéressant de savoir si des solutions seront proposées pour permettre aux enquêtes judiciaires de se dérouler.

[1] L’identité à l’ère numérique, G. Desgens-Pasanau & E. Freyssinet, Dalloz, collection Présaje, ISBN 978-2247080618

Des images utilisées pour commander des botnets

monkif-secureworksIl y a quelques jours, j’évoquais l’utilisation des groupes de discussion de Google pour diffuser les commandes d’un botnet. Les chercheurs de SecureWorks (CTU Counter Threat Unit) ont ainsi mis au jour un nouveau mode de distribution de ces ordres : l’utilisation d’images diffusées par des serveurs Web. C’est en observant le fonctionnement du botnet DIKhora/Monkif qu’ils ont pu faire ces observations. Il s’agit d’un cheval de Troie apparu apparemment assez récemment (08/2009) et encore peu documenté.

Cette méthode est particulièrement astucieuse, dans la mesure où elle sera le plus souvent indétectable pour les outils de filtrage des entreprises. En effet, quoi de plus banal sur un réseau que la visualisation d’images via une connexion HTTP. Ce type de canal caché n’est pas complétement nouveau dans sa conception, au sens où des images mouchards sont souvent utilisées pour permettre le décompte de visites sur des sites Web.

Mais ici, le procédé est encore plus astucieux : l’image téléchargée présente non seulement un nom de fichier caractéristique d’un JPEG, avec une extension en “.jpg”, mais possède un en-tête  identique à ces images. L’en-tête d’un fichier est constitué – le plus souvent – par les premiers octets d’un fichier et constituent une sorte de signature  qui va indiquer au système d’exploitation ou au logiciel d’affichage à quel type de fichier il a affaire, et parfois quelle version du format de fichier est utilisée.

La technique (décrite aussi ici) est la juxtaposition de 32 octets typiques du début d’un fichier JPEG, suivis d’une commande pour les machines zombies embrouillées par un codage spécial (un XOR avec la valeur 4). Dans l’exemple cité, les concepteurs n’ont même pas pris la peine de rendre le fichier affichable. Mais sachant qu’une image JPEG peut contenir des commentaires (par exemple en utilisant le codage EXIF qui permet d’ajouter à une image des informations collectées pendant la prise de vue telle que la position GPS ou la marque de l’appareil photo), il est parfaitement imaginable de camoufler ces commandes de façon beaucoup plus difficile à détecter.

A suivre donc, et cela milite peut-être pour une évolution des pare-feux installés sur les réseaux des entreprises.