octobre 2010

Le Netcode pour les ados

Action Innocence lance aujourd’hui le Netcode. Ce nouvel outil de prévention décline une dizaine de règles de bonne conduite sur le Net à destination des ados sous forme des saynètes dessinées divertissantes et parlantes :

Je m’oppose aux agressions, je ne les filme pas, je ne fais pas circuler d’images violentes ou humiliantes.

ou encore:

Si j’accepte un rendez-vous, j’y vais accompagné(e).

Pour télécharger la plaquette, rendez-vous sur le site de l’association.

Ne soyez pas des ânes !

Le chômage, les difficultés économiques que traverse notre pays sont autant d’opportunités que les groupes criminels tenteront d’exploiter. Ainsi, aujourd’hui en France, comme dans beaucoup d’autres pays, d’honnêtes citoyens sont recrutés à leur insu par des groupes criminels, avec l’espoir d’un revenu facile et attractif.

Non seulement ce n’est pas un emploi solide, mais le risque n’en vaut pas la chandelle.

Pourquoi les groupes criminels recrutent-ils des mules ?

Les mules sont des intermédiaires. Deux usages principaux sont rencontrés aujourd’hui: les transferts financiers et les transferts de biens matériels.

Un certain nombre de mécanismes sont en place pour limiter les fraudes. Ainsi, pour beaucoup d’établissements bancaires, un virement vers un compte bancaire étranger ne pourra être mis en place que dans le cadre d’une procédure particulière qui suppose une interaction entre le client et son conseiller en agence (courrier, fax, téléphone ou déplacement dans son agence bancaire). Les commerçants en ligne n’acceptent pas aveuglément tous les types de transaction et notamment les livraisons de produits coûteux tels que des télévisions ou des ordinateurs vers des pays étrangers.

Ainsi, je vous parlais en avril dernier du démantèlement d’une entreprise criminelle dont les activités consistaient à répondre au téléphone à la place des titulaires des comptes pour valider les transactions. Mais ce n’est qu’une étape dans le processus.

Aussi, lorsque les escrocs veulent utiliser un numéro de carte bancaire, les identifiants de connexion à un compte bancaire en ligne, pour se faire livrer des produits ou vider un compte, ils ont besoin d’intermédiaires dans le pays où se trouve la victime.

Comment ils les recrutent ?

On rencontre plusieurs typologies de recrutement et elles deviennent de plus en plus massives et complexes.

Le recrutement communautaire et par contacts.

C’est celui qu’on rencontrait les premières années. Ainsi, dans un certain nombre d’affaires du début des années 2000, les mules étaient recrutées dans des familles originaires des mêmes régions que les escrocs, tout simplement parce que la barrière de la langue était difficile à surmonter, ou parce qu’il fallait établir un lien de confiance avec ces futurs intermédiaires, ou peut-être pour avoir des moyens de pression supposés sur la famille restée au pays ?

Mais nous n’en sommes plus là.

Le recrutement par les offres d’emploi

Le système est maintenant bien rôdé. Les escrocs montent des entreprises fictives qui utilisent les moyens les plus variés et les plus efficaces pour recruter leurs mules : pourriels, réponse à des petites annonces de chercheurs d’emploi ou publication de petites annonces.

Ainsi, un courrier électronique que j’ai reçu cet été :

 

Cliquez pour agrandir

 

Mais parfois, on s’adressera à vous en français. Voilà quelques mois une victime de ce schéma témoignait par exemple sur le blog eBusiness. Les escrocs ici n’hésitaient pas à se faire passer pour une entreprise française légitimement enregistrée et à délivrer des faux contrats de travail.

Comment ça marche ?

Une fois “embauché”, selon un contrat de travail bidon, la tâche proposée est effectivement assez simple. On reçoit chez soi des colis postaux de dizaines de commerçants différents, et on est chargé de les réexpédier vers leur destinataire réel. Ou bien, on reçoit de l’argent sur son compte bancaire. A charge pour vous de retirer l’argent en liquide et de le réexpédier vers leur destinataire par Western Union ou Moneygram.

Dans un billet récent, Brian Krebs révélait l’interface de gestion qui permettait à la société fictive “Forte Group Inc.” (les activités de cette entreprise sont aussi évoquées ici) de donner des directives à ses employés fictifs. Ainsi, dans le cas décrit, l’employée était invitée à transmettre la somme reçue en trois portions, deux par Western Union et la troisième par Moneygram. L’interface de gestion permettant ensuite de fournir les références des transactions pour le retrait par leur destinataire.

 

Les instructions transmises par l'entreprise criminelle

 

Que risque-t-on ?

La législation française peut être particulièrement sévère contre les personnes qui se trouvent impliquées dans ce type d’activités illégales. Selon qu’on saura ou non convaincre la justice de sa bonne foi, la mise en cause peut aller jusqu’à des accusations de recel ou de complicité.

En janvier dernier, je relatais une opération de police judiciaire menée conjointement par la gendarmerie et la police judiciaire dans les Alpes Maritimes, impliquant plusieurs de ces mules. Bien évidemment leurs commanditaires sont aussi recherchés dans ce type d’enquêtes.

Que faire ?

Bien évidemment, méfiez-vous de toutes les offres d’emploi qui promettent un travail facile, à domicile, et qui suppose la réception et la retransmission de colis ou de sommes d’argent. N’hésitez pas à signaler de tels faits sur la plateforme de signalement du ministère de l’intérieur: https://www.internet-signalement.gouv.fr/.

Si vous êtes dans cette situation, arrêtez rapidement toute coopération, et rendez vous dans votre brigade de gendarmerie ou le commissariat de police le plus proche pour signaler votre employeur malhonnête. Cette situation est effectivement complexe, aussi n’hésitez pas à faire appel à un avocat. Tous les éléments qui prouvent votre bonne foi et notamment le fait que vous signaliez de vous-même la situation plaideront en votre faveur, ainsi que la restitution de toutes les sommes ou marchandises indûment perçues.

Enfin, si vous êtes commerçant ou particulier, à l’autre bout de la chaîne, c’est-à-dire si votre compte bancaire a été débité à votre insu, votre carte bancaire utilisée pour effectuer des achats frauduleux, votre site de commerce électronique victime de ces abus, déposez plainte le plus rapidement possible en apportant l’ensemble des éléments à votre disposition pour permettre l’identification rapide des suspects.

Et les enquêtes internationales finissent par aboutir. En témoigne l’opération “Trident BreACH/ACHing mules” menée récemment conjointement par les polices américaine, anglaise et ukrainienne.

Les dix ans des Assises de la sécurité et des systèmes d’information

Les Assises de la sécurité et des systèmes d’information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d’information.

Organisées assez classiquement autour d’un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j’étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j’ai pu assister :

  • Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d’aujourd’hui et demain et de leurs conséquences sur la sécurité ;
  • Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd’hui et de la réponse qu’il recommande: une police mondiale de l’Internet et l’identification sécurisée de toutes les personnes qui publient de l’information ou achètent sur Internet. J’en reparlerai sûrement.
  • “Dix ans de risque informatique… un regard vers le futur immédiat”. Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l’ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j’en retire principalement est qu’on n’est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd’hui; l’individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
  • Et en clôture la simulation du procès pénal des réseaux sociaux. Il s’agissait ici de réfléchir avec l’auditoire sur les risques d’un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l’exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux “Raizosocio”, mais aussi tous les instruments d’une réflexion à poursuivre, merci à tous les “acteurs” !

Parmi les présentations auxquelles j’ai assisté, je citerais :

  • Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d’Areva et d’Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
  • Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu’il y a parfois automatisation des processus d’empoisonnement des moteurs de recherche (j’en parlais en début d’année ici).
  • Une démonstration d’ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l’innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l’Epitech, Arxsys a pour ambition de développer une offre autour de l’investigation numérique, grâce au développement d’une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j’invite toute la communauté de l’investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J’espère que cette initiative fera naître d’autres projets innovants français (et pourquoi pas opensource) au service de l’investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j’ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !