juin 2010

Lendemain de SSTIC

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

  • DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
  • Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
  • E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
  • Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
  • Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
  • F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
  • H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
  • J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
  • C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
  • Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA 🙂 !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

  • Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
  • Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
  • Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

Quelles infractions peuvent commettre les participants à des board “warez”

Etant donné que certains ont des doutes sur l’illégalité des actions commises sur les forums dits “warez”, je me suis dit qu’il pourrait être utile de faire une liste des infractions que l’on peut envisager relever dans ces circonstances. Attention, je ne parle pas d’une affaire en particulier, mais uniquement des différents aspects que l’on peut considérer face à une telle situation.

Les forums “warez” ou autres communautés “warez” sont des regroupements plus ou moins importants de personnes sur Internet, dans le but d’accéder à des copies d’œuvres de l’esprit, échanger sur la manière d’accéder à ces copies ou d’en contourner les protections (échanges de cracks, mots de passe, licences, etc.).

En général, les outils utilisés par ces communautés sont aujourd’hui des forums de discussion hébergés sur un site Web, mais ils peuvent aussi utiliser des serveurs FTP, des espaces de discussion IRC ou des portails Web de toute nature. Les œuvres de l’esprit habituellement concernées sont historiquement des logiciels informatiques et en particulier des logiciels de jeux, de la musique ou des films.

Infractions auxquelles penser

Outre les infractions de contrefaçon d’œuvres de l’esprit (code de la propriété intellectuelle) que l’on peut légitimement supposer commises par la plupart de ceux qui diffusent des copies d’œuvres contrefaites, où ceux qui cherchent activement à en obtenir, les infractions suivantes peuvent aussi être envisagées pour un ou plusieurs des acteurs :

  • parfois, on va relever des actes d’atteintes à des systèmes de traitement automatisé de données (article 323-1 et suivants du code pénal), lorsque sont utilisés, pour stocker les œuvres contrefaites, des machines ou serveurs connectées à Internet, à l’insu de leur propriétaire légitime ;
  • la diffusion, lorsqu’elle est susceptible d’être vue ou perçue par un mineur d’un contenu à caractère violent, pornographique ou portant atteinte à la dignité humaine (article 227-24 du code pénal) – en effet certains espaces des communautés warez diffusent très librement, à tous leurs membres dont l’âge n’est pas contrôlé, des films notamment à caractère pornographique ;
  • la provocation à commettre un délit (article 23 de la loi sur la liberté de la presse) – en effet, tout est fait, organisé, expliqué, voire exigé pour pouvoir rester sur le forum, afin que les utilisateurs participent aux activités de contrefaçon.
  • le corollaire de cette infraction de provocation est qu’on pourra parfois envisager la circonstance aggravante de la bande organisée (soit une peine maximale de cinq ans d’emprisonnement et 500.000 € d’amende pour la contrefaçon commise en bande organisée) ;
  • enfin, lorsque des revenus financiers sont tirés de cette activité, on pourra relever différentes infractions de travail dissimulé ou relatives aux impôts et cotisations sociales non versés.

Bien entendu ces infractions sont à adapter aux actions commises par les différents participants. Toutefois, sans être l’auteur principal de telle ou telle infraction, toute personne qui aura aidé pourra être poursuivie pour complicité. Cette aide peut intervenir de multiples façons, y compris par fourniture de moyens (prêt d’un espace de stockage sur un serveur Web par exemple, conseils techniques, etc.).

Juridiction et territorialité

Sur le plan de la compétence territoriale, toute infraction dont un élément au moins se déroule en France est punissable en France, et un enquêteur puis un magistrat pourront bien évidemment s’en saisir. En particulier si l’auteur de l’infraction se trouve en France, même s’il agit uniquement sur Internet, il pourra être évidemment poursuivi, où que se trouve par exemple le serveur de mise à disposition des contrefaçons ou le forum de la communauté warez.

Conclusion

Les armes juridiques sont donc multiples qui permettent de lutter contre ces formes de contrefaçon réalisées de façon concertée sur Internet, les formes les plus graves à mes yeux étant réalisées par ceux qui en tirent des revenus.