Aller au contenu

2

Beemotion fermé
Beemotion fermé

Contrefaçon ? Oui, s'il n'y a pas d'autorisation des ayants droit.

Beaucoup de débats courent ces jours-ci suite aux déclarations du célèbre cinéaste Luc Besson sur la responsabilité des hébergeurs, des publicitaires et des éditeurs de sites de diffusion par Internet de musique ou de films qui n'utilisent pas la mise à disposition par téléchargement mais par émission d'un flux de données.

Il est rare qu'une technologie soit déclarée illégale. En l'espèce, les exemples de diffusion légale par ces technologies sont légion : Youtube, Deezer, Dailymotion, ... du moment que les ayants droit sont proprement rétribués.

En revanche, la copie en vue d'une diffusion sur des sites de streaming (tels que Beemotion.fr - qui a depuis été fermé) sont des actes de contrefaçon et réprimés par le code de la propriété intellectuelle, si aucune autorisation n'a été obtenue de la part des auteurs, interprètes ou des producteurs, autorisation souvent associée au paiement d'une redevance.

On peut notamment faire référence à l'article L335-3 du code de la propriété intellectuelle qui précise dans son premier alinéa que :

"Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une œuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi."

(Rappelons que la contrefaçon est punie d'une peine maximale de 3 ans d'emprisonnement de 300.000 euros d'amende).

Responsabilité des hébergeurs ? Non, sauf s'ils ont été dûment informés.

La responsabilité pénale ou civile des hébergeurs de contenus illicites ne saurait être engagée s'ils n'ont pas eu connaissance du caractère illégitime des contenus en question, et ils n'ont pas d'obligation de surveillance de ce type de contenus. C'est ce que précise  - en ce qui concerne le droit français - la loi pour la confiance dans l'économie numérique dans son article 6.

poison
Poison

L'actualité autour de Google a été particulièrement chargée ce week-end et l'erreur de manipulation qui a conduit tous les utilisateurs du moteur de recherche à ne plus savoir où cliquer pendant près d'une heure samedi 31 janvier 2009 a été largement reprise par la presse grand public.

Mais j'ai relevé une autre actualité très intéressante - ou inquiétante. Le blog de la société TrendLabs nous signale la diffusion particulièrement offensive d'un ver dénom "AQPLAY-A" ces temps-ci. Sa particularité ? Son mode de diffusion par l'empoisonnement massif des résultats du moteur de recherche Google (ou SEO poisoning - search engine optimisation). Il s'agit de l'utilisation abusive de mots-clés et de techniques de référencement permettant de se retrouver en tête des résultats du moteur de recherche.

Ainsi, TrendLabs relève plus de 400.000 requêtes parfaitement légitimes sur la partie "Vidéo" du moteur de recherches conduisant systématiquement à un site web invitant à télécharger un plug-in se faisant passer pour une mise à jour du moteur d'affichage Flash de la société Adobe et sensé permettre d'afficher la vidéo recherchée.

Et ce n'est pas la première fois qu'une telle technique est utilisée. Les exemples sont nombreux : ainsi, le 28 mars dernier, le chercheur en sécurité Dancho Danchev expliquait de façon détaillée les techniques utilisées combinant l'empoisonnement SEO et l'injection dans le cache Google de fenêtres IFRAME insérées par la méthode du cross-site scripting (XSS) (quelques explicationsen suivant ce lien), favorisant la contamination des visiteurs. De même, en décembre 2007, Redtape chez MSNBC.com publiait un article assez complet sur les différentes techniques mises en œuvre.

C'est effectivement le rôle d'une société comme Google d'être attentive à ces phénomènes et à faire rapidement le ménage dès qu'un abus est repéré. Et elle le fait régulièrement, comme noté dans les articles cités. Mais l'utilisateur doit aussi être attentif : ne pas cliquer sur des résultats de recherche au contenu bizarre, ne pas installer des logiciels conseillés par des sites web auxquels on n'a pas de raison de faire confiance et se méfier des fenêtres pop-up intempestives et autres méthodes agaçantes d'incitation au clic dont abusent systématiquement ces sites de diffusion de logiciels malicieux.

Comme on pouvait s'y attendre, les niveaux de pourriels continuent de progresser et on devrait atteindre assez rapidement les niveaux d'avant la fermeture de l'hébergeur McColo.

Cet article du site CRN détaille les évolutions prévisibles dans ce domaine. Ainsi que cet article sur SecurityFocus. De même, les craintes autour d'un futur botnet basé sur le ver Downadup/Conficker laissent présager les pires évolutions dans ce domaine pour les mois à venir.

Affaire à suivre...

3

Michèle Alliot-Marie, ministre de l'Intérieur a annoncé ce matin, lors d'une conférence de presse, le lancement d'un plan de lutte contre les escroqueries dont sont victimes des centaines de milliers de français chaque année. C'était aussi l'occasion d'annoncer l'ouverture effective du site de signalement mis à disposition des internautes par le ministère de l'Intérieur : https://www.internet-signalement.gouv.fr/

Il permet à tout un chacun de signaler à l'équipe formée par cinq policiers et cinq gendarmes, constituée au sein de l'OCLCTIC (office central de lutte contre la criminalité liée aux technologies de l'information et de la communication), toute infraction dont ils pensent être les témoins et qui se déroule sur Internet, dans les catégories suivantes :

  • Pédophilie ou corruption de mineur sur Internet
  • Incitation à la haine raciale ou provocation à la discrimination de personnes en raison de leurs origines, de leur sexe, de leur orientation sexuelle ou de leur handicap
  • Menaces ou incitation à la violence
  • Trafic illicite
  • Mise en danger des personnes
  • Incitation à commettre des infractions
  • Injure ou diffamation
  • Escroquerie

Il y est rappelé que les pourriels sont l'objet du site Signal-Spam.

Une fois la qualification juridique des faits établis, les preuves sont préservées par des enquêteurs de la plateforme et transmises à des enquêteurs compétents dans le domaine concerné (police, gendarmerie, douane, répression des fraudes...). La dénonciation calomnieuse est évidemment un délit, et il ne s'agit pas du tout d'inciter à la délation, mais d'aider les services d'investigation à identifier rapidement les faits délictuels ou criminels commis sur Internet.

Cet espace vient s'ajouter à la liste de sites similaires existant ailleurs en Europe : Royaume-Uni, Pays-Bas, Roumanie, Italie,... et qui vont faire l'objet d'ici l'année prochaine d'une coordination européenne par Europol. Il faut noter que si la plateforme de signalement française se veut généraliste, dans d'autres pays elles ont souvent une vocation spécialisée (limitées aux atteintes aux mineurs par exemple).

Enfin, ce dispositif est parfaitement complémentaire de l'action menée par les opérateurs et les hébergeurs dans le cadre de leurs obligations issues de l'article 6 de la loi pour la confiance dans l'économie numérique, et les internautes peuvent aussi signaler les faits de pédophilie ou d'incitation à la haine raciale sur ces sites privés (par exemple http://www.pointdecontact.net/ géré par l'association de fournisseurs d'accès et de services Internet français, l'AFA).

3

lock-iconDes spécialistes venant des USA, des Pays-Bas et de Suisse (Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger) ont annoncé avoir mis en défaut les certificats de sécurité SSL de sites Web émis par des sociétés de sécurité reconnues, lors du 25C3, la conférence Chaos Communication Congress 2008 organisée par le Chaos Computer Club allemand, qui s'est tenue à Berlin du 27 au 30 décembre 2008.

Tout d'abord, à quoi cela sert-il ? Différents algorithmes sont utilisés pour produire des "hachages" sensés représenter de façon unique tout document numérique. Les fonctions de hachage à usage cryptographique doivent posséder différentes caractéristiques :

  • la très grande difficulté de retrouver ou de recalculer le document numérique initial ;
  • à partir d'un premier document et de sa valeur de hachage, il est très difficile de retrouver un document numérique ayant la même valeur de hachage (en particulier, toute modification, même mineure, du document initial, entraîne une modification très importante de la signature calculée) ;
  • il est très difficile de tomber au hasard sur deux documents ayant la même valeur de hachage.

Par document numérique, on entend une suite d'octets de longueur non nulle (un fichier informatique, un flux d'informations numériques, ...) Mais, on comprend donc très bien que ces fonctions qui à tout document numérique associent un nombre dont la longueur est donnée, ont forcément un risque de collision non nul. En effet, puisque la variété des documents numériques de toutes tailles est infinie et que l'on cherche à la représenter par une valeur finie, il y a pour chaque valeur de hachage un grand nombre de documents numériques théoriquement possible.

Il existe différentes fonctions de hachage utilisées classiquement: MD5, SHA-1, Tiger,... La longueur des signatures MD5 est de 32 octets ou 128 bits. Dans un certificat utilisé pour identifier un serveur web, cette fonction de hachage est utilisée sur l'ensemble des informations contenues dans le certificat (le nom du serveur, ses dates de validité, etc.) et c'est cette valeur qui est ensuite signée numériquement par une fonction cryptographique. Sur l'image ci-dessous vous pouvez-lire ces différentes informations pour le certificat SSL du site web www.verisign.com :

Certificat www.verisign.com

Plus précisément, ces certificats sont signés par une autorité de certification qui est elle-même reconnue par une autorité de certification "racine". Ce sont - normalement - les certificats de ces autorités de certification "racines" qui sont pré-installés dans nos navigateurs (il est possible d'en installer volontairement d'autres, en fonction de besoins internes à son entreprise par exemple).

Dès 2004, des chercheurs ont démontré qu'il était possible de fabriquer des documents différents possédant la même signature MD5.  Ce qui a été rapidement très inquiétant c'est qu'il était possible de fabriquer des documents très ressemblants (des PDF par exemple) ayant la même signature, mais dont un élément important était différent (dans l'exemple présent sur ce site : http://www.win.tue.nl/hashclash/Nostradamus/, 12 documents prédisant le résultat de l'élection présidentielle avec des noms différents).

Ce qui est inquiétant aujourd'hui c'est que d'importants prestataires en matière de fourniture de certificats permettant d'identifier des sites web (et d'autres fonctions de signature électronique en fait), autorités de certification reconnues par tous les navigateurs Internet, autorisent encore la fabrication de certificats basés sur des hachages MD5.

De façon assez amusante, mais pas surprenante étant donnée la puissance de calcul des consoles de jeux, les chercheurs qui ont présenté leurs résultats au 25C3 ont utilisé des batteries de consoles Sony Playstation 3. Ils ont ainsi démontré qu'il était possible de fabriquer, pour un coût assez raisonnable un certificat pour une autorité de certification "pourrie". Cette autorité de certification leur permet de fabriquer des certificats reconnus par la plupart des navigateurs Internet.

Quelle réponse apporter ?

Les auteurs de cette démonstration donnent un certain nombre de recommandations :

  • ils confirment tout d'abord que les autorités de certification identifiées comme utilisant encore des fonctions MD5 ont été prévenues et sont en train de prendre des mesures immédiates (voir par exemple l'annonce de Verisign) ;
  • ne plus utiliser MD5 dans des fonctions de signature, et éviter sur de nouveaux projets d'utiliser SHA-1 (en effet, il existe différents indices montrant que SHA-1 devrait rencontrer le même sort assez rapidement...).

On peut aussi souhaiter que la profession d'autorité de certification soit un peu mieux réglementée. En effet, différentes publications ont montré récemment qu'il était possible, dans certaines conditions, d'obtenir un certificat pour un nom de domaine dont on n'est pas propriétaire...

Pourquoi est-ce que tout cela est important ? Ce n'est pas tant le risque que votre communication soit interceptée, mais surtout que vous ayez confiance dans l'identité du serveur auquel vous vous connectez.

Mais que peut faire l'utilisateur individuel en pratique ? Peut-être faire confiance aux sociétés émettrices de certificats, qui grâce au système des listes de révocation vont rapidement débarrasser l'Internet de ces certificats malhonnêtes (note du 06 janvier 22:20, encore qu'il semble qu'ils ne soient pas décidés à utiliser la révocation, pour éviter de léser leurs clients). Mais pour les applications les plus importantes (votre banque par exemple), vous pouvez jeter un coup d'œil à l'algorithme utilisé pour la signature. Voici la marche à suivre :

Sous Mozilla, par exemple, une fois connecté sur le site de ma banque, je double clique sur le cadenas de sécurité ce qui me permet d'afficher le certificat utilisé (semblable à l'image d'illustration utilisée plus haut) et je demande ensuite à afficher les détails de ce certificat. Dans la liste des caractéristiques, je retrouve un champ intitulé : "Algorithme de signature des certificats" (sous Internet Explorer, on retrouve "Algorithme de signature"). Dans mon cas cela affiche : "PKCS #1 SHA-1 avec chiffrement RSA". Pas de MD5 ici !

Des événements à venir :

2

Campagne prévention
Campagne de prévention

Un post intéressant lu sur un blog récemment, m'amène à réagir sur ce sujet qui semble de plus en plus du domaine du débat public : la réalité du danger sur Internet pour les enfants. De plus en plus de voix s'élèvent pour dire que finalement, il n'y a pas de prédateurs d'enfants sur Internet, ou pas tant que ça et que l'on en parle trop. Malheureusement, ces voix se trompent.

Un peu de perspective pour commencer

Tout d'abord, effectivement, le monde n'a pas changé avec Internet, les dangers qui attendent les enfants qui grandissent dans notre société moderne, ne sont pas tout à fait nouveaux. Ce qui change pour les enfants aujourd'hui, c'est que les dangers ne sont pas uniquement dans la rue et sur le chemin de l'École, mais potentiellement à la maison et à l'école, si l'accès Internet de ces enfants n'est pas correctement accompagné. La campagne à venir, comme d'autres avant, parle avant tout de cela, et pour avoir participé à de nombreuses occasions à la sensibilisation des parents et des enseignants sur ces sujets, et le retour que je peux avoir de mes collègues qui font cela, la conscience de ces risques n'existe pas toujours chez les adultes.

Dans un deuxième temps, est-ce qu'Internet a entraîné une augmentation des risques ? Je me risquerai à dire que oui, malheureusement. Du côté des amateurs d'images pédophiles, nombre d'entre eux, pendant leurs interrogatoires, admettent qu'ils n'auraient pas été tentés si l'accès à ces contenus n'avait pas été aussi facile. Certains nous affirment même ne pas ressentir d'interdit. Ils sont en quelque sorte désinhibés, par le relatif anonymat de la connexion à Internet, seul depuis leur nid douillet.

Du côté des enfants, il ne faut pas se faire d'illusion sur leur capacité à prendre en compte les risques. Ce n'est pas parce que nos enfants sont plus à l'aise que beaucoup d'adultes devant un micro-ordinateur qu'ils sont conscients des dangers, qu'ils en maîtrisent tous les risques et toutes les chausse-trapes. Ils sont même très souvent rassurés dans cet univers qui leur semble familier, où ils parlent en même temps à leurs camarades de classe et à un ami à l'autre bout du monde.

Maintenant, faites l'expérience de vous connecter sur certains sites de discussion existant sur Internet et soi-disant réservés aux "moins de 18 ans" (la plupart des professionnels français sont très sérieux dans la prévention dans ce domaine, mais Internet est aussi un univers de libre-entreprise et n'a pas de frontières, y compris pour nos enfants). Prenez l'identité d'un adolescent anonyme. Et comptez le nombre de minutes qui passeront avant de vous faire aborder avec des propositions souvent peu appropriées à un tel public. C'est d'ailleurs ce phénomène qui a amené au vote d'une infraction nouvelle au début de l'année 2007 dans le cadre de la loi sur la protection de l'enfance (nouvel article 227-22-1 du code pénal sur les sollicitations sexuelles à un mineur de 15 ans).

Quel est l'état de la menace ?

Enfin, sur la réalité de la "menace" pédophile aujourd'hui en France... Nos enquêteurs spécialisés (les enquêteurs NTECH de la gendarmerie) sont aujourd'hui au nombre de 170 en poste. De leurs statistiques d'activité il nous remonte que 25% des dossiers qu'ils traitent sont relatifs à des atteintes aux mineurs. Et pour certains de ces enquêteurs, cela peut représenter jusqu'à 80% de leur activité. La division de lutte contre la cybercriminalité (DLCC) du service technique de recherches judiciaires et de documentation (STRJD) à Rosny-sous-Bois est chargée de la surveillance proactive d'Internet. A cette occasion, ils identifient chaque mois une soixantaine de diffuseurs de contenus pédophiles sur des réseaux pair à pair (P2P).

Dans les opérations, souvent médiatisées, où plusieurs dizaines de personnes suspectées d'être amateurs d'images pédophiles sont interpellés, trop d'entre eux malheureusement sont déjà passés à l'acte, sur le point de le faire selon leurs propres déclarations, et certains sont eux-mêmes producteurs de ces contenus. Et toutes les telles opérations ne sont pas médiatisées. Cette semaine encore, nos enquêteurs de Bretagne ont interpellé un suspect chez qui plus de 500.000 images et 1.800 vidéos pédophiles ont été retrouvées.

Mais ceux-là sont effectivement faciles à identifier, et bien évidemment nous n'en sommes pas dupes. Ainsi, à l'occasion d'interpellations effectuées ces dernières années, nous avons remarqué une hausse de l'utilisation de techniques de chiffrement pour camoufler aux yeux des enquêteurs des images et autres traces préjudiciables. De même, la pratique de réseaux d'échanges fermés et mieux sécurisés se développe. Mais nous sommes aussi présents progressivement sur ces créneaux. La loi sur la prévention de la délinquance de mars 2007 (loi n°2007-297 du 05 mars 2007) nous permet d'ailleurs de développer depuis peu les investigations sous pseudonyme sur Internet pour ce type d'infractions.

Que faut-il faire ?

Donc, oui il est important que des associations, les pouvoirs publics, informent les parents et les enfants de ces risques. Il est tout aussi important de développer de nouvelles mesures. Bien évidemment ce n'est pas le problème numéro un sur Internet, celui qui concerne le plus de victimes en quantité (ce serait plutôt du côté des escroqueries et autres copies de cartes bancaires  qu'il faut chercher le suspect principal). Mais la gravité de ce type d'infractions est tout de même tout autre et le nombre de personnes mises en cause et d'enfants victimes est loin d'être négligeable.

[youtube=http://fr.youtube.com/watch?v=cE6fQwWggVM]

La prévention doit-elle être alarmiste ? Eh bien, si cela peut frapper certains esprits, oui ! Seuls les messages les plus directs ont été réellement efficaces en matière de prévention de la sécurité routière. La prévention passe aussi par une présence accrue d'enquêteurs formés à ces problématiques, et correctement équipés. Il faut qu'ils puissent être présents partout où le risque existe. La peur du gendarme doit exister...

Le message est le même pour la plupart des risques de l'Internet : contre le phishing par exemple, ces courriers électroniques qui vous font croire que votre banque (ou tout autre service en ligne) a besoin de confirmer vos informations confidentielles et vous renvoient vers un site Web ressemblant au site de votre banque, rien ne vaut une prévention matraquée à destination des victimes potentielles, parce qu'il est tellement facile pour les escrocs de monter une telle arnaque en quelques heures.

En conclusion, oui l'Internet est un outil formidable, mais il est à l'image de notre société, parfois de façon plus exacerbée, il ne connaît pas les frontières et il ne s'arrête évidemment pas à la porte des maisons, donc il faut être attentif à qui l'on laisse rentrer chez soi, enfants et adultes tout autant.

2

Cyberlex
Cyberlex

L'association Cyberlex organisait lundi 01 décembre 2008 après-midi, dans la salle Médicis du Sénat à Paris. Le thème retenu cette année s'intitulait : "Internet et l’Individu : des limites à poser, une harmonie à construire".

Après l'ouverture par la présidente de l'association Corinne Thiérache, le programme s'est déroulé selon quatre tables rondes :

  1. Données personnelles : des données personnelles à l’Identité Numérique
  2. E-Commerce : Le consommateur au cœur de l’Economie Numérique
  3. Propriété Intellectuelle : Création et Internet, une confiance virtuelle ?
  4. Responsabilité : Une (r)évolution annoncée ?

Parmi les points intéressants, j'ai noté les idées suivantes :

  • Gérard Haas (table ronde n°1) qui posait la question de l'applicabilité des articles 434-23 et 313-1 du code pénal à l'usurpation d'identité sur Internet et a montré l'intérêt de la création d'une nouvelle infraction ;
  • Isabelle Daviaud (table ronde n°1) en se basant sur l'exemple d'une société qui a intégré les fonctionnalités des réseaux sociaux dans son système d'information a souligné l'importance de réguler aujourd'hui les réseaux sociaux ; elle a plus tard évoqué la proposition de loi en cours de discussion au Parlement sur l'allongement de la prescription pour les infractions de presse sur Internet ;
  • En réponse, Gwendal Le Grand (table ronde n°1) a rappelé que le groupe de travail international sur la protection des données dans les télécommunications a publié en mars 2008 une recommandation sur les réseaux sociaux ;
  • Cyril Chabert (table ronde n°2) a mis en avant deux jurisprudences de la cour de cassation sur la vente liée et la vente avec prime, respectivement de mai 2008 et juillet 2008 ;
  • Les débats de la table ronde n°3 ont porté effectivement sur le projet de loi Création & Internet, au cours desquels j'ai noté une présentation très pédagogique de ce texte en cours de débat par Christophe Caron et l'intervention de Lionel Thoumyre sur l'action de sa société (Myspace) dans la lutte contre les atteintes à la propriété intellectuelle commises par ses utilisateurs, et notamment le principe du "Take down stay down" ;
  • Enfin, sur la dernière table ronde, Benoît Tabaka remplaçait au pied levé Alexandre Menais ;
  • Myriam Quéméner a discuté de l'application de la LCEN depuis son vote en 2004, notamment autour du rapport récent de l'assemblée nationale sur ce sujet ;
  • Yoram Elkaïm a fait une présentation exhaustive de la jurisprudence portant sur la distinction éditeur / hébergeur et montre surtout que cette distinction doit se faire au cas par cas, y compris au sein d'un même site Web ;
  • Enfin, Jean-Christophe Le Toquin a évoqué un certain nombre de projets passés et à venir, intéressants à suivre, nouvelle façon de travailler en commun et pour lesquels la France s'est montrée motrice :

Au total une après-midi fort intéressante.

NTECH

Les enquêteurs spécialisés de la gendarmerie nationale (les NTECH, enquêteurs technologies numériques) et de la police nationale (les ESCI, enquêteurs spécialisés en criminalité informatique) étaient réunis du 24 au 26 novembre 2008 à l'École nationale de police de Périgueux.

Les rencontres, organisées cette année par l'OCLCTIC, ont rassemblé plus de 120 personnes pour aborder des sujets techniques divers, parmi lesquels on peut citer la sécurité du Wifi, les réseaux sociaux ou l'association Signal-Spam.

Le prochain rendez-vous du même genre sera organisé par la gendarmerie nationale en 2009. Elles sont une occasion chaque année, pour une partie de ces enquêteurs spécialisés (plus de 150 d'entre eux ont été formés dans chacune des deux forces et la ministre de l'Intérieur a confirmé en janvier 2008 son intention de voir leur chiffre doubler d'ici 2012) de se rencontrer et d'échanger.

1

Un petit post pour vous aider à utiliser correctement ce blog :

  • A gauche, vous retrouvez : les catégories, les derniers articles du net que j'ai pu lire (mes bookmarks), les archives et les étiquettes ;
  • A droite : mes différents liens, dont certains blogs que je consulte régulièrement et des liens pour vous abonner à mes articles dans votre lecteur RSS (c'est génial ce truc... vous retrouvez tous les sites d'actualité que vous lisez habituellement sous la même interface, plutôt que d'avoir à aller sur 36 sites différents).

Usez et abusez 🙂 Et n'hésitez pas à poster un commentaire sur mes articles, c'est fait pour ça !