Éric Freyssinet

Fermeture définitive de 3FN

Ce court billet pour saluer l’annonce au cours de la semaine passée de la fermeture définitive de l’hébergeur malhonnête 3FN suite à une démarche judiciaire de la Commission fédérale du commerce (FTC) américaine.

J’avais évoqué cette affaire voilà quelques mois sur ce blog.

La nouvelle est décrite sur différents blogs et journaux d’information en ligne: eWeek Security WatchGraham Cluley, Network World, SunBelt Blog.

Rapport semestriel de l’APWG 2S2009 – le groupe Avalanche

L’Anti-phishing working group (APWG) a publié le 10 mai 2010 son rapport portant sur le second semestre de l’année 2009 des activités de détection et de lutte contre le phishing. Le groupe surnommé Avalanche aurait été derrière 2/3 des attaques de phishing sur cette période, avant de pratiquement disparaître.

Résumé (page 3 du rapport) des informations principales de ce rapport :

  • Le groupe surnommé « Avalanche » aurait été responsable de 2/3 des opérations de phishing au cours du second semestre 2009 ;
  • Les actions menées contre Avalanche ont fait baisser la moyenne de la durée de vie des sites de phishing par rapport au premier trimestre, mais cela cache de plus mauvais résultats contre les activités extérieures à Avalanche ;
  • Le nombre d’adresses IP ou de noms de domaine utilisés pour le phishing est resté stable au cours des 2,5 années passées, alors que le nombre de noms de domaines enregistrés a progressé ;
  • 5 TLD concentrent l’essentiel des actions de phishing (.be, .com, .eu, .net et .uk) ;
  • Les noms de domaine internationaux (utilisant des caractères d’autres alphabets) ne sont pas encore exploités significativement par les phishers ;
  • Les phishers continuent d’utiliser massivement les services des sous-domaines (possibilité d’ouvrir gratuitement ou non des noms de domaines subalternes, comme chez t35(.)com qui a été le plus utilisé au cours de cette période).

Résumé des statistiques relevées par l’APWG :

  • 126.697 attaques de phishing, soit plus du double par rapport au premier semestre 2009 ;
  • 28.775 noms de domaines distincts ont hébergé ces attaques, soit une valeur en baisse constante par rapport aux périodes précédentes ;
  • 66% des domaines enregistrées de façon frauduleuse pour commettre ces attaques (4.141 sur 6.372) l’auraient été par le groupe Avalanche.

Avalanche

Avalanche est un groupe spécialisé dans les campagnes de phishing qui gère une véritable infrastructure. Ils seraient ainsi responsable, selon l’APWG de 84.250 des 126.697 attaques de phishing relevées au cours du second semestre 2009, qui ont ciblé une quarantaine de marques au cours de cette période. La fin de l’année a vu une chute de son activité.

Les domaines gérés par Avalanche sont hébergés sur des botnets composés essentiellement d’ordinateurs individuels de particuliers. Cela rend les mesures de réaction complexes, parce qu’aucun hébergeur ou fournisseur de services Internet n’est capable d’agir directement sur les pages de phishing.

Le fonctionnement du bot utilisé par Avalanche est assez simple : il se compose de deux fichiers (et d’une clé de registre Windows), il écoute sur le port 80 réservé aux connexions Web et relaie la demande vers le serveur qui héberge réellement la page de phishing.

En outre, Avalanche a été utilisé pour diffuser une forme du logiciel malveillant Zeus, qui sert à collecter des données personnelles en espionnant la machine infectée.

Les campagnes de phishing d’Avalanche sont assez semblables au cours du temps, avec l’enregistrement de noms de domaines dédiés, l’utilisation de sous-domaines sur les domaines qui restent actifs suffisamment longtemps et l’émission de campagnes de spam. Malgré les réactions coordonnées des différents acteurs concernés (dont les bureaux d’enregistrement), Avalanche semble avoir été très profitable.

Dancho Danchev relève sur son blog qu’il existerait une relation forte entre les opérations du groupe Avalanche et l’opérateur Troyak AS qui aurait été déconnecté de l’Internet au mois de Mars (voir encore le blog de Dancho Danchev).

Il semble que les activités d’Avalanche aient nettement ralenti, mais comme de nombreux indices permettent d’entrevoir un lien avec les activités d’un précédent groupe de phishing, Rock Phish, on peut légitiment supposer que les criminels derrière Avalanche ne tarderont pas à relancer leurs activités sous une nouvelle forme.

Conclusion

Outre, la renaissance attendue d’Avalanche, les spécialistes de l’APWG prédisent une progression de l’usage des services de raccourcissement de liens (comme le fameux bit(.)ly).

Service d’assistance téléphonique pour les fraudeurs du Net (suite)

Ce court article pour continuer de vous informer sur l’affaire CallService, au travers d’informations glanées dans un autre article publié aujourd’hui. (voir mon article précédent sur le sujet)

On y apprend que l’analyse de l’adresse IP derrière laquelle était hébergé callservice.biz diffusait aussi:

  • 1001russian-bride.com : un service permettant de se trouver une épouse russe ;
  • et AdmiralSlots.com un casino en ligne…

On y apprend surtout quelques réactions relevées sur des sites de l’underground russophone :

  • Des avertissements envoyés sur le forum xakepok pour inciter les utilisateurs de CallService que les détails de leurs connexions ou de leur compte d’abonné étaient entre les mains du FBI et qu’il ne fallait plus utiliser leur compte ICQ (ICQ est très utilisé dans cet univers cybercriminel) ou leur adresse de courrier électronique.
  • On s’inquiète dans un autre forum des conséquences judiciaires (eh oui… aux USA, le suspect principal risque 39 ans 1/2 d’emprisonnement).
  • Enfin, un message sur CarderNews.ru rappelle quelques règles de sécurité et appelle à ne pas trop s’inquiéter (eh oui… il faut rassurer ses clients ! on est dans un univers de services pour les petits criminels comme je vous le disais hier).

Service d’assistance téléphonique pour les fraudeurs du Net

Les autorités américaines ont annoncé hier avoir entamé les procédures de mise en accusation (voir le document de la cour du district sud de New York) du biélorusse Dmitry N. qui est soupçonné, avec son complice Sergey S., d’être le gérant du site callservice.biz.

Le service qu’ils offraient sur ce site consistait à procéder à des appels téléphoniques de confirmation en langue allemande ou anglaise, avec une voix d’homme ou de femme. Ces appels sont parfois réalisés par les banques pour vérifier des transactions d’un montant important ou changer des informations personnelles. Chaque appel réussi était facturé $10.

Aujourd’hui le site n’est plus opérationnel:

En effet, il a fait l’objet d’une prise de contrôle par le FBI américain, sur l’ordre de la justice de l’État de New York.

Dmitry N. a été interpellé jeudi 15 avril en République Tchèque, tandis que Sergey S. était interpellé en Biélorussie (ou il a été mis en accusation). Dans le même temps, les autorités lithuaniennes procédaient à la saisie des serveurs informatiques où était hébergé callservice.biz ainsi que cardingworld.cc.

Leurs activités duraient depuis juin 2007 (le domaine callservice.biz a été créé le 28 juin 2007). Il aurait permis à plus de 5400 occasions (donc pour un chiffre d’affaires de l’ordre de 54.000 dollars) à des délinquants (plus de 2000 « clients » satisfaits selon le site criminel lui-même), non anglophones ou non germanophones, ayant mis la main sur des données personnelles de conduire des transactions poussées avec des établissements bancaires. Il leur suffisait de fournir nom, adresse, date de naissance, numéro de sécurité sociale, et autres informations en leur possession.

Nous avons donc maintenant un acteur de plus à rajouter dans la liste des participants à la fraude organisée sur Internet, l’interprète ou peut-être l’acteur (proposez des noms, je n’ai pas de traduction satisfaisante pour beaucoup des autres acteurs comme les « pasteurs » – herders en anglais – de botnets). Les détails qui ont été fournis par les autorités américaines ne permettent pas de savoir s’il s’agissait de personnes recrutées par Internet ou dans l’entourage des auteurs principaux.

D’autres articles sur cette affaire:

Brian Krebs fait référence à d’autres services similaires dont peut voir les annonces sur Verified.ru (un forum similaire à CardingWorld): Atlanta Alliance et Aegis Team (géré par un certain CallsManager). Tous deux offrent aussi à la vente un certain nombre de produits (à acheter avec une carte bancaire volée et qui peuvent être ensuite revendus sur Ebay…) ou mettent en relation des mules et leurs clients. Un véritable boom donc dans les services aux criminels de l’Internet.

Atlanta Alliance (capture réalisée par B. Krebs)

Que dire des Infiltrés (France 2) ?

Site Web de l'émission Les Infiltrés (France 2)

L’émission diffusée par France 2 cette semaine (mardi 6 avril 2010 en deuxième partie de soirée) est visionnable sur le site Internet de l’émission. Tout un débat s’est développé, avant et depuis la diffusion pour critiquer l’action des journalistes qui ont signalé les faits découverts au cours du reportage à des services d’enquête. Ce débat – que je me garderai bien de trancher – ne doit pas occulter le fond du problème.

Cette émission montre d’abord, s’il était nécessaire, que le phénomène des rencontres entre des prédateurs et des enfants sur Internet est loin d’être une fiction et qu’il est nécessaire de développer une réponse adaptée. J’ai développé à plusieurs reprises l’action de nos enquêteurs dans le cadre des cyberpatrouilles, rendues possible depuis un an maintenant. Et cela confirme donc qu’il faut continuer de développer ces dispositifs et former de nouveaux cyberpatrouilleurs.

C’est aussi une sensibilisation intéressante pour les parents, qui doit les inciter – non pas à leur interdire d’aller sur Internet – mais à parler de ces sujets avec leurs adolescents, maintenir le dialogue, les prévenir de ces risques, s’intéresser à leurs activités en adaptant les contraintes à l’âge de son enfant (notamment ne pas laisser les plus jeunes seuls sur Internet). Plusieurs associations diffusent des conseils utiles (Action Innocence, e-Enfance) ou le site Internet Sans Crainte.

Enfin, un sujet est particulièrement préoccupant parmi ceux qui sont dénoncés dans le reportage : le sérieux des entreprises qui gèrent des chats et autres sites dédiés aux plus jeunes. Parmi les problématiques évoquées :

  • la publicité non adaptée au public, dès la page d’accueil ;
  • plus grave, l’absence de modération sérieuse.

Je me contenterais de citer la recommandation pour la création d’une marque de confiance des fournisseurs d’accès à Internet et de services en ligne, à laquelle nous avions contribué sous l’égide du Forum des droits sur l’Internet (extraits de la recommandation) :

1.3 Le prestataire ne diffuse pas, dans les pages qu’il édite sauf dans les espaces réservés aux adultes, des publicités faisant la promotion de contenus violents, pornographiques ou attentatoires à la dignité humaine.

1.4 Le prestataire ne diffuse pas, sur les services et les contenus manifestement destinés aux mineurs qu’il édite, de publicités faisant la promotion de certains biens ou services inappropriés (par exemple : contenus érotiques, services de rencontres pour adultes, loteries commerciales, jeux d’argent, alcool, tabac) ou contraires à la recommandation « enfant » du BVP.

1.5 Le prestataire s’engage à ne pas diffuser, sur les pages qu’il édite sauf dans les espaces réservés aux adultes (protégés par un dispositif empêchant les mineurs de consulter ces contenus), des contenus pornographiques, violents ou attentatoires à la dignité humaine. Il s’engage, en outre, à ne pas faire figurer des liens hypertextes vers de tels contenus depuis sa page d’accueil.

[…]
1.27 Lorsqu’il crée un espace interactif spécifiquement dédié aux mineurs, le prestataire s’engage à modérer les propos échangés conformément à la charte d’utilisation prévue au 1.19, tout le temps de leur accessibilité au public. Le modérateur répond aux sollicitations ; il est spécifiquement informé des procédures à mettre en oeuvre en cas de signalement de contenus ou de comportements illicites.

Même si une telle marque de confiance n’a pas encore été créée, ses recommandations sont parfaitement adaptées à ce type de services qui, s’ils ne les respectent pas, non seulement mettent en danger des enfants, mais risquent de tomber sous le coup de la loi (notamment au regard de l’article 227-24 du code pénal).

Faites-vous votre propre opinion, et informez-vous, en regardant ce reportage et les échanges qui ont suivi sur le plateau.

4ème Forum International sur la Cybercriminalité – Un bilan

Le 4ème Forum International sur la Cybercriminalité qui s’est déroulé les 31 mars et 1er avril 2010 a tenu ses promesses, avec plus de 2200 participants, des dizaines d’exposants, 30 ateliers et conférences pour répondre aux attentes de tous. La reprise assez importante par la presse de cet événement dénote l’intérêt du grand public pour une plus grande sensibilisation sur ces sujets. La présence nombreuse de nos interlocuteurs dans les entreprises, régionales ou nationales montre aussi une véritable préoccupation.

Un public nombreux à l'ouverture du FIC 2010

Le FIC est aussi devenu un véritable événement Européen et International avec la présence de nos partenaires de dizaines de pays. J’ai ainsi pu rencontrer les collègues que j’y côtoie habituellement (Belges, Anglais, Allemands, …), mais par exemple un camarade de la gendarmerie royale du Maroc ou écouter l’exposé de Mohamed Chawki (Conseil d’Etat, Egypte) nous exposer la situation dans son pays et ailleurs en Afrique en matière de législation contre la cybercriminalité.

Dans quelques jours, les photos et les compte-rendus des ateliers seront disponibles sur le site de la conférence.

Guides contre la cybercriminalité

Deux guides qui ont beaucoup contribué au succès du FIC ont été publiés dans une nouvelle édition, chacun à destination d’un public différent.

Le guide pratique du chef d’entreprise face au risque numérique (4° éd.)

Rédigé avec le soutien du Clusif et de l’association S@ntinel, ainsi que de nombreux partenaires publics et privés. Le guide est organisé en deux grands chapitres:

  • Douze études de cas (La divulgation de savoir-faire, Le vol d’ordinateur portable ou de PDA, La défiguration de site Web,…)
  • Les recommandations des institutions.

Il a été distribué au cours du salon et sera disponible en téléchargement très bientôt sur le site du FIC (mais on le trouve déjà en cherchant bien…). Indispensable !

Cybercrimin@lité, réflexes et bonnes pratiques (2° éd.)

Plus discret, car destiné au public des enquêteurs et des magistrats, ce guide en est déjà à sa deuxième édition. Il a été rédigé sous la houlette d’un comité rédactionnel régional trans-frontière: Eric Absil (RCCU Charleroi), David Cassel (NTECH à Arras), Serge Houtain (RCCU Tournai) et Laurent Frappart (NTECH à Arras) et le nombre de contributeurs est particulièrement nombreux.

Ce guide est organisé en cinq grandes parties:

  • Un chapitre d’introduction et de définitions
  • Vecteurs et supports de la cybercriminalité
  • Les constatations dans l’espace virtuel
  • Les cadres légaux belge et français
  • 11 fiches réflexes

Bilan des conférences et ateliers

Tout d’abord un coup de chapeau à mes camarades de la Région de gendarmerie Nord Pas de Calais et à tous leurs partenaires pour la réussite de cet événement ! Je n’ai malheureusement pas pu assister à beaucoup des conférences et ateliers, mais un sujet était très présent cette année, jusque dans les conclusions du Général d’armée Marc Watin-Auguouard, la cyberdéfense.

La France et l’Europe sont-elles prêtes dans la lutte contre les nouvelles formes de conflit sur les réseaux et les risques les plus graves contre nos infrastructures vitales ? Le bilan de la table ronde dédiée à ce sujet est positif, même s’il reste des efforts à faire, notamment en termes de connaissance du dispositif par l’ensemble des acteurs concernés (comme le portail officiel sur la sécurité informatique).

A titre personnel j’indiquerais qu’il faut peut-être encore plus décloisonner les interactions public-privé (les partenariats public-privé dans la cyberdéfense étaient le thème de cette table ronde). On sent en effet, malgré les ouvertures et les projets communs qu’il manque une fluidité dans la circulation de l’information. Les OzSSI (observatoires zonaux de la sécurité des systèmes d’information) sont un outil de ce décloisonnement, peut-être faut-il attendre maintenant des entreprises qu’elles partagent plus facilement l’information, notamment au sein d’un même secteur économique, pour être ensemble mieux préparées aux risques.

Rendez-vous en 2011 !

Ouverture de la conférence Octopus Interface du Conseil de l’Europe

Maud de Boer-Buquicchio, SG adj. du CoE

C’est Maud de Boer-Bouquiccho, secrétaire générale adjointe du Conseil de l’Europe qui nous a fait l’honneur d’ouvrir la conférence Octopus Interface 2010 qui se tient du 23 au 25 mars 2010 à Strasbourg.

Le point clé de son discours est la nécessité de trouver un équilibre entre la recherche d’une meilleure sécurité sur Internet et la protection des droits humains et de la vie privée. Ces intérêts sont d’ailleurs aussi des cibles pour les délinquants que les autorités policières et judiciaires sont chargées de protéger.

L’Azerbaijan et le Monténégro sont les deux derniers pays à avoir ratifié la Convention du Conseil de l’Europe sur la Cybercriminalité. L’Argentine, au travers des paroles exprimées par Eduardo Thill -secrétaire-adjoint à la gestion des technologies, cabinet des ministres, Argentine – a exprimé officiellement sa volonté de rejoindre les pays signataires de la convention. Le Portugal a déposé officiellement les instruments de sa ratification pendant la conférence et est donc devenu le 29ème pays partie à la convention.

La carte des pays signataires et ayant ratifié à ce jour la convention est représentée ci-dessous (cliquer pour agrandir, nota: le Portugal n’apparait pas encore comme ayant ratifié) :

Pour mémoire, la convention du Conseil de l’Europe vise à harmoniser les incriminations en matière d’atteintes contre les systèmes d’information, les droits d’auteur ou les mineurs sur Internet ainsi qu’à renforcer les outils de coopération policière et judiciaire entre les Etats parties à la convention, en particulier en matière d’accès aux éléments de preuve détenus par les opérateurs de communications électroniques.

6 ateliers vont se tenir au cours des trois jours de la conférence pour aborder les sujets suivants :

  • La formation des magistrats à la lutte contre la cybercriminalité ;
  • Les responsabilités croisées et la coopération entre les services répressifs et les organes consultatifs ou techniques (ICANN, RIPE, etc…) ;
  • Le développement de la convention du Conseil de l’Europe au niveau mondial ;
  • Une cartographie des réseaux et des initiatives ;
  • Le renforcement des capacités et l’assistance technique contre la cybercriminalité ;
  • Le développement de mesures efficaces contre l’exploitation et les abus sexuels commis à l’encontre des enfants sur Internet.

Conférence de presse d’Action Innocence

L’association Action Innocence ouvrait cette année, le lundi 22 mars 2010, par une conférence de presse et un déjeuner avec l’ensemble de ses partenaires. Ce fut l’occasion de faire le point sur l’ensemble des actions de l’association, notamment en partenariat – en France, mais aussi dans d’autres pays Européens – avec les services de police chargés de la protection de l’enfance sur Internet.

Ainsi, Action Innocence a repris le flambeau depuis quelques années du développement d’une application permettant l’identification des internautes qui sont suspectés de diffuser sur les réseaux pair à pair (P2P) des contenus à caractère pédopornographique, le logiciel Antipedofiles – P2P. Il est exploité en France par la division de lutte contre la cybercriminalité (DLCC) du service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale à Rosny-sous-Bois.

Enfin, cette journée fut l’occasion d’inaugurer officiellement la nouvelle plateforme de prévention à destination des jeunes de 9 à 12 ans: Netcity.org. Disponible en 3 langues – français, allemand et italien – il permet aux jeunes internautes de découvrir les risques de l’Internet qui les concernent et les moyens de s’en prémunir. Sous la forme d’un jeu interactif, il permet aussi aux parents d’entamer le dialogue avec leurs enfants et peut-être d’être sensibilisés à leur tour.

Programme détaillé du FIC 2010

Le programme détaillé du 4ème forum international sur la cybercriminalité 2010 est en ligne sur le site de la conférence. On y trouve notamment l’ensemble des intervenants qui ont accepté de participer aux différents ateliers ainsi que les horaires précis. Je rappelle que le FIC 2010 a lieu les 31 mars et 1er avril prochains à Lille, Grand Palais.

Vous pouvez aussi télécharger le planning à conserver dans sa poche pour aller facilement d’une conférence à une autre.

Trois pôles d’ateliers et de conférences:

  • Justice, sécurité, défense ;
  • Entreprises ;
  • Collectivités.

J’interviendrai pour ma part dans la table ronde de clôture « Droit à l’oubli sur le Web : ultime protection de l’identité numérique » aux côtés de Mes. Blandine Poidevin et Martine Ricouart-Maillet, MM. les sénateurs Yves Detraigne et Alex Türk.

Priceminister et la lutte contre la contrefaçon

Contrefaçons trouvées par PriceMinister

Lundi 15 mars 2010, Priceminister présentait pour la deuxième année consécutive son bilan en matière de lutte contre la contrefaçon. C’était aussi l’occasion pour la société de signer très formellement un protocole de travail avec la direction générale des douanes et des droits indirects.

Les plateformes de vente en ligne sont un vecteur privilégié des tentatives des ventes de contrefaçon. Aussi les efforts particuliers de ces entreprises sont-ils excessivement louables.

Après une brève introduction par Pierre Kosciusko-Morizet, se sont exprimés :

  • Benoît Tabaka, directeur des affaires juridiques chez PriceMinister a présenté les résultats de ses équipes ;
  • Laurent Masson, directeur chez Microsoft EMEA de la lutte contre la contrefaçon ;
  • Jérôme Fournel, directeur général des douanes et des droits indirects.

Les faits saillants

  • Une poussée des contrefaçons de consoles de jeux (notamment portatives, type PSP et Nintendo DS) ;
  • La confirmation de l’intérêt pour les téléphones mobiles notamment les smartphones (IPhone, mais aussi depuis cette année les BlackBerry et téléphones sous Android) ;
  • Des marques nouvelles apparaissent notamment dans la mode (le chinois Feiyue) et les jeux.

Quelques chiffres

  • 2661 comptes bloqués en 2009 (stable)
  • 242 marques contrefaites rencontrées (légère hausse)
  • Progression forte des contrefaçons de produits Adidas (+210%), Samsung (+205%), Nintendo (+131%), mais aussi toutes les marques de smartphones

Plus d’informations dans le communiqué de presse de PriceMinister.