Investigation & transformation numériques

Éric Freyssinet

Création et Internet : reprise des débats

Les débats relatifs à la loi Création sur Internet reprennent lundi 30 mars à partir de 16 heures, vraisemblablement jusqu’au 2 avril et peut-être jusqu’à lundi 6 avril. L’Assemblée Nationale va ainsi examiner les dispositions essentielles de ce texte qui sera voté définitivement après une commission mixte paritaire, l’urgence ayant été déclarée sur ce texte.

Le dossier est accessible sur le site de la chambre des députés et les débats y seront diffusés en direct. Il reste environ 400 amendements à examiner, dont une large partie porte sur l’article 2, qui détaille le fonctionnement de la future Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet.

29 mars 2009 by Juridique 0

Conficker ou la chronique d’une pandémie informatique (de plus)

diagram

Diagramme Microsoft sur Conficker

Chaque année donne lieu à l’annonce d’une nouvelle pandémie numérique et on pouvait croire que les oracles s’étaient calmés. Mais non: à l’automne dernier on nous annonçait le lundi noir des attaques informatiques… Et maintenant voilà la saga Conficker.

En préambule je tiens à souligner qu’il est indispensable d’avoir une bonne hygiène informatique et donc de ne pas laisser sortir son ordinateur sans un bon antivirus, de ne pas cliquer sur n’importe quoi reçu via Internet d’un inconnu.

L’histoire de Conficker

La chronologie des événements publics est la suivante :

  • Le 23 octobre 2008, Microsoft publie une vulnérabilité (bulletin de sécurité MS08-067) touchant ses systèmes d’exploitation et souligne la nécessité d’appliquer rapidement un correctif ;
  • Quelques jours après, de premières tentatives d’exploitations de cette vulnérabilité sont révélées ;
  • Le ver Conficker apparaît selon les éditeurs entre le 21 et le 24 novembre 2008. Il prend différents noms selon les éditeurs d’antivirus (Downadup, Conficker, Kido,…)
  • La version Conficker.B apparaît une semaine plus tard environ ;
  • La version Conficker.C apparaît la première semaine de janvier 2009, il se propage aussi par ouverture de fichiers par l’utilisateur, partage de fichiers sur le réseau, il exploite des vulnérabilités dans les mots de passe pour modifier la politique de sécurité ;
  • Ces vers se mettent à jour en se connectant à différents serveurs de commande ;
  • Le 12 février 2009, Microsoft annonce la création d’une coalition industrielle pour lutter contre la propagation de ce ver ;
  • Le 13 février 2009, Microsoft annonce une récompense de $250.000 à qui fournira des informations sur le commanditaire de ce ver.

Le buzz

Il nous est souvent annoncé qu’il s’agit de l’une des infections virales les plus importantes, avec entre 9 et 15 ou 20 millions d’ordinateurs infectés dans le monde. Cet incident viral est typique de la surcommunication à laquelle nous avons droit régulièrement autour des infections virales. La chronologie type colle : surenchère d’annonces par les éditeurs d’antivirus, annonce d’une action décisive des grandes sociétés de l’Internet et d’une rançon. On nous fait même la liste chaque semaine des infections de tel site supposé sensible, le blocage au sol d’avions de combat (c’est bizarre qu’on ne nous parle pas de blocage au sol d’avions de ligne ?).

On nous annonce même, qu’après étude, le ver Conficker serait né au Japon – il est bien connu que l’empire du soleil levant est un repaire de nouveaux cybercriminels… C’est surtout, de par sa position géographique, un des premiers pays industrialisés qui se réveille chaque matin.

Que va-t-il se passer le 1er avril 2009 ?

Étudions plus précisément ce qu’on nous annonce : le mode de contrôle de Conficker va changer et tous les petits vers vont se connecter selon ce nouveau mode. Une étude détaillée de la version C du ver Conficker nous indique que le 1er avril 2009, l’algorithme de génération de domaines de téléchargement nouvelle version sera activé, et démultiplier le nombre de domaines Internet vers lesquels chaque ver va tenter de se connecter. Il s’agit apparemment d’une stratégie de ses développeurs pour contourner les blocages mis en place par les opérateurs.

Conclusion : on continuera d’observer un nouveau mode de commande de ce ver, mais rien n’indique qu’une infection nouvelle va se déployer grâce à cela. Donc il ne se passera pas grand chose, je pense qu’on peut tenir ce pari.

Ce qui est vrai jusqu’à présent c’est que l’infection par Conficker est assez efficace, qu’il est parfois difficile pour la supprimer, mais que c’est loin d’être impossible, rien donc de très nouveau de ce côté-là. Le constat le plus frappant est qu’il existe encore des machines aujourd’hui, parmi les centaines de millions installées dans le monde, qui n’ont pas fait de mise à jour pour la vulnérabilité annoncée par la société Microsoft en octobre dernier. La leçon à tirer de tout cela est donc qu’il est indispensable de penser à de meilleures stratégies de déploiement des mises à jour de sécurité.

P.S.: Un article en anglais que je viens de lire, dans la même tonalité.

28 mars 2009 by Cybercriminalité Sécurité 6

Bilan du FIC 2009

FIC 2009

FIC 2009

Le forum international sur la cybercriminalité 2009 s’est tenu le 24 mars 2009, au Grand Palais à Lille.

1500 participants , des dizaines d’exposants et de conférences.

Le ministre de l’intérieur, Michèle Alliot-Marie, s’est exprimée sur la politique de l’Etat en matière de lutte contre la cybercriminalité, dont les efforts se poursuivent (Discours Michèle Alliot-Marie).

Parmi les thématiques abordées :

  • Comment déclencher et conduire une cyberattaque,
  • La biométrie,
  • Signature électronique : utilité, limites, conséquences,
  • Psychologies de l’utilisateur et du délinquant des technologies numériques,
  • Divulgation de données, mise en place du chiffrement au sein des PME, …

J’étais orateur sur la table ronde relative à la formation et la création du 2Centre, centre d’excellence français sur la cybercriminalité, partenariat entre services d’enquête, universités et industriels pour la recherche et la formation dans ce domaine, dont le noyau est le partenariat existant en matière de formation entre la gendarmerie nationale et l’université de technologie de Troyes. Des annonces nouvelles auront bientôt lieu sur ce sujet.

A noter, parmi les événements, l’annonce de la publication d’un ouvrage rédigé en commun par les policiers belges et les gendarmes français des régions frontalières, à destination des enquêteurs et des entreprises.

Petite revue de presse :

25 mars 2009 by Cybercriminalité Prospective 0

Condamnation d’un gestionnaire de site Web pour complicité de contrefaçon

Emule (GPL)

Emule (GPL)

Un jeune internaute de la région lyonnaise a été condamné le 05 mars 2009 (article sur Zataz.com) à près de 130.000 euros de dommages et intérêts, 1 an de prison avec sursis et 3.000 euros d’amende. Il avait été interpellé le 19 juin 2007.

Les faits allégués: la diffusion sur plusieurs sites Web de références facilitant le téléchargement de films grand public (pour son premier site Web « Station DivX ») et pornographiques (pour les autres). Cette activité lui permettait grâce à des accords publicitaires de gagner un peu d’argent. Il a d’ailleurs été poursuivi pour fraude aux allocations chômage.

Il ne s’agissait pas ici de liens directs permettant de télécharger sur Emule ou autres logiciels pair à pair (le protocole Edonkey introduit des liens rapides qui commencent par ed2k://), mais d’indications techniques permettant de faciliter les recherches. Juridiquement, il n’y a effectivement pas de raison de faire de différence entre une URL ou le titre précis du fichier à rechercher. C’est en effet parfois la difficulté rencontrée par les amateurs de téléchargements (légaux ou illégaux) sur ce type de réseaux que de trouver facilement la référence du document que l’on cherche.

En visitant le site Web objet de ce jugement (dont des traces existent encore sur Internet), on s’aperçoit qu’il ne s’agissait pas uniquement de simples informations techniques, mais qu’en plus on y trouvait des conseils sur la bonne façon de télécharger, la qualité des films, etc. D’ailleurs un lien trouvé en page d’accueil de ce site indiquait clairement « comment télécharger sur station divx ? ». Il s’agit donc bien d’aider les internautes visiteurs de ce site à télécharger des contenus sur des réseaux pair à pair.

Cette page contenait même un avertissement « il suffit tout d’abord pour être en règle de posséder l’original ». Ce genre d’avertissement ne permet d’éviter aucune sorte de responsabilité, bien évidemment, ce que confirme d’ailleurs le jugement. Un forum permettait aux utilisateurs d’échanger sur leurs expériences de téléchargement.

D’autres mentions sur le site Web étaient tout aussi inquiétantes: CAM ou TS indiquaient que ces films avaient été enregistrés illégalement dans des salles de cinéma. Il y a donc un aveu ici de la connaissance de l’origine illicite de ces contenus.

Les enseignements: ce jugement confirme d’abord, s’il en était besoin, que le téléchargement de musique ou de vidéos sur des réseaux pair à pair, sans rémunération ou accord des ayants droit constitue un acte de contrefaçon. Il confirme surtout que tout site Web aidant manifestement à ce type de téléchargements constitue une complicité de cette infraction. La sévérité de la peine prononcée en première instance montre clairement les risques qui pèsent sur ceux qui se risqueraient à ce type d’activités. Il est possible que cette affaire alimente les débats de la fin du mois sur la loi création et Internet.

22 mars 2009 by Actualité judiciaire Juridique 1

FIC 2009 J-5

FIC 2009

FIC 2009

Dans 5 jours, le mardi 24 mars 2009 se tiendra le troisième forum international sur la cybercriminalité, le FIC 2009 à Lille au Grand Palais. Le site web du Forum permet d’en savoir plus sur le programme.

1200 participants sont inscrits cette année pour assister à cet événement organisé par la Région de Gendarmerie du Nord Pas de Calais, avec le soutien de la Commission Européenne et de nombreux partenaires.

Au programme, citons les ateliers et conférences suivants :

  • La protection des systèmes d’information : véritable enjeu de sécurité nationale ;
  • Comment déclencher et conduire une cyberattaque ;
  • Le téléphone portable : risque, opportunité et gestion de la flotte au sein de l’entreprise,
  • etc.

Personnellement, je participerai à la table ronde sur les 2CENTRE, centres d’excellence sur le cybercrime.

La suite du programme ici.

19 mars 2009 by Cybercriminalité Prospective 0

Loi création sur Internet (1ère étape)

Assemblée nationale (Photo: GPL)

Assemblée nationale (Photo: GPL)

La loi création sur Internet est en cours de discussion à l’Assemblée nationale depuis cette semaine. Il n’y a pas grand chose à commenter sur le texte voté jusqu’à présent, étant donné que seuls quelques articles ont pu être discutés et aucun portant sur les dispositions centrales de ce texte, créant la haute autorité (HADOPI) ou décrivant ses missions.

La suite donc à la fin du mois (du 31 mars au 02 avril 2009 normalement) lors de la reprise de la discussion sur ce texte.

Un événement à noter toutefois : l’hébergeur du site « jaimelesartistes.fr » a baissé les bras. En effet, le site web financé par le ministère de la culture pour promouvoir la création et défendre le projet de loi a apparemment été l’objet d’une attaque en déni de service. C’est le moyen le plus simple d’empêcher un site web de fonctionner et cela reste d’ailleurs illégal comme moyen d’action si c’est réalisé volontairement (article 323-2 du code pénal).

15 mars 2009 by Juridique 0

Conférence Octopus / Conclusion 2/2

Enfin, les présentations de la dernière session :

Greg Day, McAfee UK, sur le futur des menaces telles que les entrevoient les spécialistes de sa société: moteur économique de la délinquance numérique, la nécessité de prévenir les danger des réseaux sociaux, se servir de l’informatique en nuages pour contrer les délits numériques, les enjeux de la convergence.

Petrus Golose, de la police nationale d’Indonésie sur les activités des terroristes sur Internet.

Marc Goodman, IMPACT, a souligné la prise en compte nécessaire de la délinquance sur les mondes virtuels ludiques ou moins ludiques (Second Life, World of Warcraft, etc…). Les crimes virtuels qui y sont commis doivent-ils être poursuivis, comme le vol de propriété virtuelle, la pornographie enfantine virtuelle (en France ce serait le cas) ou le « viol » virtuel. Une évolution inquiétante, Entropia Universe qui attribue une carte de retrait réelle permettant de retirer de l’argent acquis sur son compte virtuel.

Zahid Jamil, avocat au Pakistan, a conclu ces deux jours de conférence sur les exemples vécus par un pays comme le sien, encore peu développé en termes de législation adaptée, alors que les crimes numériquesy ont quand même lieu.

Bilan de cette conférence

Des rencontres très denses, des échanges réellement internationaux, mais toujours les mêmes problèmes exprimés : les législations adaptées sont encore trop peu implémentées, les formations à destination de l’ensemble des professionnels concernés – magistrats, enquêteurs mais aussi partenaires industriels – ne sont pas partout disponibles. Encore beaucoup de travail en perspective pour l’ensemble de la communauté internationale chargée de ces problèmes et la situation économique difficile ne devrait pas faciliter les choses.

11 mars 2009 by Cybercriminalité Prospective 0

Conférence Octopus / Conclusion 1/2

Le temps de la conclusion est venu, avec le retour sur les tables rondes et deux séries de présentations sur :

  • les défis des juridictions face aux évolutions de l’Internet (cloud computing, etc.) ;
  • les enjeux de demain.

Intervenant en premier, Francesco Cajani, magistrat spécialisé Italien, a tenu à examiner les difficultés que posent les principes de territorialité sur l’application de mesures qui sont nécessaires aux investigations judiciaires. Il souhaite ainsi que soient harmonisées les durées de conservation des traces qui peuvent être requises par l’autorité judiciaire auprès des opérateurs ou faciliter les mesures d’interception de communications y compris lorsqu’elles ont lieu à l’étranger.

Henrik Kaspersen qui avait présidé aux négociations de la convention du Conseil de l’Europe sur la cybercriminalité a présenté les conclusions de l’article qu’il a préparé sur le sujet des juridictions et des investigations sur Internet.

Gareth Samson, du ministère de la justice fédéral canadien, nous a détaillé – en partant des aspects techniques de l’informatique en nuage (« cloud computing« ) – les conséquences de ces nouveaux modèles d’offres de services sur Internet quant aux activités criminelles et les difficultés que l’on pourrait rencontrer dans les investigations.

11 mars 2009 by Cybercriminalité Prospective 0

Conférence Octopus / Mercredi 11 mars matin

gpen

GPEN

Cette deuxième demi-journée d’ateliers parallèles était consacrée à deux sujets :

  • la formation des enquêteurs, des magistrats dans la lutte contre la cybercriminalité ;
  • la coopération internationale.

Beaucoup d’initiatives existent en Europe et dans le monde en matière de formation, même si beaucoup reste à faire. Les pays africains et sud-américains présents ont exprimé le souhait de bénéficier encore plus des opportunités qui existent en Europe, et on sent un intérêt tout particulier chez les magistrats. A noter donc la création récente du GPEN, réseau mondial des procureurs sur le crime électronique.

Nigel Jones a présenté les résultats d’une étude qui devrait conduire au projet 2CENTRE visant à la création de centres d’excellence sur les délinquances numériques autour d’universités, et en partenariat avec des services de police et des industriels. Deux de ces centres devraient voir le jour dans un premier temps (University College of Dublin et Université de technologie de Troyes). Cette dernière est l’université qui participe à la formation des enquêteurs spécialisés de la gendarmerie (NTECH).

11 mars 2009 by Cybercriminalité Prospective 0

Conférence Octopus / Mardi 10 mars après-midi

Coalition financière européenne

Coalition financière européenne

L’après-midi était consacré à deux tables rondes sur :

  • la traçabilité de l’argent du crime sur Internet ;
  • la criminalisation de la pédopornographie et des abus sexuels sur les mineurs par Internet.

En ce qui concerne les flux financiers du crime sur Internet, c’est réellement un sujet qui se développe ces deux dernières années. Par exemple, avec la création d’une coalition financière européenne destinée à la lutte contre les flux liés aux atteintes aux mineurs sur Internet, avec notamment l’intention d’identifier et de bloquer les transactions d’achat de contenus pédopornographiques, et ainsi tarir les fonds de ces commerçants bien particuliers, et certainement mieux les identifier en suivant l’argent.

Cette coalition a été présentée lors d’une conférence qui s’est tenue la semaine dernière à Londres. Kathy Free en a fait une présentation pendant la table ronde. La France devrait certainement rejoindre cette coalition.

Je rappelle que beaucoup des présentations de la présente conférence sont accessibles ici.

11 mars 2009 by Cybercriminalité Prospective 2