Éric Freyssinet

Le hameçonnage ciblé (« spear phishing ») à la une d’un rapport d’Europol

Le centre Européen de lutte contre la cybercriminalité d’Europol (EC3) a mis en ligne cette semaine un rapport sur le hameçonnage ciblé (« spear phishing ») qui est issu des travaux de leur Joint advisory group lors de sa réunion du mois de mars dernier. La philosophie de ces travaux est de proposer une vision conjointe de l’industrie et des services d’enquête sur cette menace.

Le hameçonnage est l’utilisation du courrier électronique (ou une autre forme de contact et de messagerie parfois, mais le courrier électronique reste largement majoritaire) pour contacter une victime (ou l’un de ses employés) pour l’un des usages suivants:

collecter des identifiants de connexion,
obtenir d’autres informations confidentielles (documents financiers, données personnelles),
délivrer des logiciels malveillants (rançongiciel, troyen d’accès à distance, enregistreur de frappes au clavier, …),
convaincre une victime de réaliser une opération contraire à ses intérêts (comme un virement bancaire).

On dira que le hameçonnage est ciblé s’il est destiné à un public bien déterminé: des destinataires précis au sein d’une même entreprise, des participants à une liste de discussion traitant d’un sujet sensible ou intéressant quant aux objectifs des attaquants (par exemple une liste de discussion par courrier électronique entre spécialistes d’un même domaine industriel). Ce ciblage est évalué par opposition aux campagnes de hameçonnage envoyées vers des destinataires sans relation particulière par exemple dans le contexte de l’envoi de spams.

Un chiffre clé à retenir de ce rapport est que 65% des attaques ciblées constatées en Europe auraient utilisé en 2018 la technique du hameçonnage ciblé.

Le rapport décrit ensuite les techniques employées pour réaliser ce type d’attaques:

la reconnaissance, via la collecte d’informations (en sources ouvertes la plupart du temps, notamment par la présence de l’organisation cible et de ses employés sur les réseaux sociaux professionnels)
envoi de messages depuis l’extérieur ou l’intérieur (une fois un premier compte compromis), adjonction de pièces jointes piégées, ou de liens vers des pages web piégées (utilisation des logos ou de noms de domaines semblables à ceux de l’entreprise ou d’un partenaire de confiance, téléchargement de fichiers piégés)
et par la suite, il pourra s’agir soit d’installer par ce biais des outils malveillants pour parcourir le réseau de l’organisation, copier des données, ou de plus en plus souvent ces derniers mois chiffrer les données de l’entreprise et réclamer une rançon (utilisation de rançongiciels chiffrants ou cryptolockers).

Enfin, le rapport apporte un certain nombre de conseils sur la façon de prévenir et réagir face à de telles attaques, y compris sur la coopération avec les autorités. J’insisterai plus particulièrement sur ce dernier point: si vous êtes victimes d’une telle campagne, signalez-le aux autorités, gendarmerie ou police et s’il s’agit plus spécifiquement d’une extorsion suite à l’installation d’un rançongiciel chiffrant, ne payez pas la rançon ! Si nécessaire, faites-vous accompagner par un prestataire pour la restauration de vos données, et pendant le même temps faites confiance aux autorités d’enquête pour investiguer sur l’origine de la demande de rançon.

Pour compléter les conseils apportés dans ce rapport d’Europol, n’hésitez pas à consulter les didacticiels présentés par nos amis de CYBERMALVEILLANCE.GOUV.FR; en particulier les documents sur le hameçonnage, les fichiers chiffrés avec demande de rançon et la sauvegarde de ses données.

9 novembre 2019 by Éric Freyssinet Cybercriminalité 0

Essai transformé !

Le 1^er mai 2017, je prenais les rênes de la toute nouvelle Mission numérique de la gendarmerie (MNGN). Deux ans et demi plus tard, c’est l’occasion pour moi de faire le bilan et de passer très bientôt à de nouvelles aventures, tout en ayant le sentiment que nous avons pu réaliser de très belles choses avec cette équipe et nos partenaires.

L’ambition était forte pour la gendarmerie: prendre résolument le virage de la transformation numérique et passer le cap de 2020 avec une dynamique renouvelée. Nous avons la chance d’être dans une maison toujours tournée vers l’innovation, et ce depuis de nombreuses années (en témoignent notamment les Ateliers de la performance qui valorisent l’innovation participative en gendarmerie depuis 2006), le réseau CyberGend en matière de lutte contre la cybercriminalité ou les infrastructures de communication toujours renouvelées développées par le STSI², mais le défi pour nous était de changer de braquet, montrer qu’on pouvait faire encore mieux.

Les réalisations ont été nombreuses. Ainsi, nous avons pu mettre en place en six mois, dès le début de l’année 2018, la Brigade numérique de la gendarmerie qui répond aux sollicitations toujours plus nombreuses des internautes sur les questions de sécurité du quotidien, 24 heures sur 24. Parmi les facteurs de succès de ce projet, je tiens à citer évidemment l’implication des personnels de cette unité qui ont créé une mission totalement nouvelle en gendarmerie, mais aussi la capacité d’une région de gendarmerie (ici la Bretagne) et tous les acteurs intermédiaires (les services logistiques ou de doctrine en sécurité publique et police judiciaire au sein de la direction générale de la gendarmerie nationale) de se mobiliser, d’être particulièrement inventifs et réactifs.

Et là où les réalisations accompagnées par la MNGN ont été nombreuses c’est quand elles ont pu être portées directement par les services, et des expérimentations réalisées dans les régions. Par exemple, notre direction en charge des ressources humaines a su développer en quelques mois un chatbot pour accompagner les officiers de gendarmerie dans leurs carrière, première brique d’une modernisation profonde de la gestion de nos personnels, leur offrant notamment plus de transparence dans leurs parcours professionnels. Au passage, ces projets ne sont souvent possibles que parce que nous avons pu travailler avec des startups, des acteurs de proximité en France qui ont développé avec nous les solutions innovantes nécessaires.

Notre action s’est traduite par l’affinage d’une véritable stratégie de transformation numérique de la gendarmerie, qu’une partie de l’équipe présentait au mois de janvier dernier lors du FIC 2019 sur le plateau d’Acteurs publics TV.

La dernière clé du succès pour moi est évidemment dans l’humain, au travers des rencontres et du travail commun avec tous nos partenaires internes et externes (on peut citer l’équipe service-public.fr de la DILA qui nous accompagne dans plusieurs projets dont la prise de rendez-vous en ligne en cours d’expérimentation et le programme des entrepreneurs d’intérêt général – EIG) et surtout grâce à une équipe formidable qui m’a entouré au cours de ces deux ans et demi (merci à vous tous Michaël, Florence, Rémy, Marielle et à Dora et Jean-Baptiste nos EIG). La transformation numérique n’est possible que grâce à cette richesse du travail collectif.

L’humain (au service de la cybersécurité) est justement le thème du Forum international de la cybersécurité 2020, du 28 au 30 janvier prochain, rendez-vous à Lille !

30 octobre 2019 by Éric Freyssinet Transformation numérique 2

Ne tombez pas dans le panneau!

Le message est simple aujourd’hui:

Ne tombez pas dans le panneau!

Cette semaine, j’ai reçu un appel au bureau d’une personne qui pensait m’avoir déjà eu en ligne. Malheureusement pour lui, ce n’était pas la même personne, il venait de se faire escroquer par un usurpateur.

Les scénarios de ces escroqueries sont multiples, ils ont souvent plusieurs étapes et plusieurs intervenants. Les plus courants commencent de deux façons:

Un dialogue sur un site de rencontres
Un échange suite à une petite annonce

Sur les sites de rencontre, la conversation s’engage et la victime commence à faire confiance. Dans certains cas, une relation se noue et l’escroc (ou les escrocs, car il est possible qu’ils se relaient derrière le même pseudonyme) demande de l’argent pour payer des frais médicaux ou même le voyage ou les frais de visa pour rencontrer son nouvel amour.

Evidemment, le paiement est toujours par des moyens inhabituels pour beaucoup d’entre nous: cartes bancaires prépayées ou coupons de recharges pour ces cartes, virements Western Union. D’ailleurs, très souvent (et c’est une bonne chose!) les buralistes posent des questions aux personnes qui se présentent pour acheter les coupons de recharge, et lorsqu’ils ont un doute ils sensibilisent les clients sur les risques d’escroquerie.

Parfois, l’escroquerie est plus agressive et la victime se voit menacée de révéler ses échanges, accusée de pédophilie (la personne avec qui elle discutait disant être mineure), et dans certains cas des vidéos ont été enregistrées à son insu suite à des discussions qu’elle croyait intimes et l’escroc menace de révéler ces vidéos à tous ses amis et contacts professionnels (chantage dit à la webcam).

Souvent encore, il y a une dernière étape avec l’intervention d’un soi disant service de police spécialisé qui contacte la victime par courrier électronique pour lui réclamer le paiement d’une amende ou alors de risquer des poursuites. C’est là que mon nom se retrouve souvent utilisé, un soi disant « Commissaire Général Eric Freyssinet » d’un service spécialisé en cybercriminalité fantaisiste, et le courriel est envoyé depuis une adresse gratuite (gmail, yahoo, hotmail, etc.).

Au passage:

Police et gendarmerie utilisent des adresses de courrier électronique officielles en gendarmerie.interieur.gouv.fr ou interieur.gouv.fr.

Jamais un policier ou un gendarme ne vous demandera de payer une amende directement dans un courrier électronique.

C’est intéressant d’utiliser le nom d’un policier ou d’un gendarme connu, parce qu’on trouve des traces de celui-ci sur Internet et la victime peut tomber dans le panneau (malheureusement !).

Dernier conseil: quand vous avez un doute suite à une discussion ou une transaction sur Internet, n’hésitez pas à en parler à un ami ou un membre de votre famille ou appelez le numéro Info Escroqueries 0 805 805 817 (lundi-vendredi 9h-18h30, numéro vert). Je compte sur mes lecteurs pour faire passer le message !

Vague d’extorsions par courriels avec un de vos mots de passe!

Depuis quelques jours, j’ai reçu plusieurs signalements de personnes qui étaient victimes d’une tentative d’extorsion par courrier électronique. Le même sujet a été décrit voilà quelques jours par Brian Krebs sur son blog.

Le schéma est le suivant:

Expéditeur = adresse bizarre en outlook.com ou autre service gratuit
- Objet du message = « Re: prenom.nom – motdepasse »
Texte = un message en anglais rappelant le mot de passe, et indiquant que grâce à un virus implanté sur votre ordinateur l’escroc a pu vous observer visiter un site web pornographique et vous enregistrer à cette occasion grâce à votre webcam, menaçant ensuite de diffuser la vidéo à vos contacts. Le message réclame ensuite une rançon en bitcoins de $1900
Adresse Bitcoin = différente dans tous les exemples que j’ai pu voir

Le texte du message ressemble à celui-ci :

Let’s get straight to the point. I am aware [mot de passe] is your pass word. Moreover, I know about your secret and I’ve proof of it. You don’t know me and no one hired me to examine you.

It is just your misfortune that I discovered your bad deeds. Well, I installed a malware on the adult videos (adult porn) and you visited this website to have fun (you know what I mean). While you were watching video clips, your web browser started out working as a Rdp (Remote desktop) that has a keylogger which provided me accessibility to your display and also webcam. Right after that, my software program collected your complete contacts from facebook, as well as e-mail.

I then put in much more time than I probably should have into your life and made a two screen video. First part displays the recording you had been viewing and second part shows the video from your web cam (its you doing dirty things).

Honestly, I want to forget about you and let you get on with your life. And I am about to give you 2 options that will achieve that. The above choices to either ignore this letter, or perhaps pay me $1900. Let us examine those two options in more detail.

First Option is to ignore this e-mail. Let’s see what is going to happen if you pick this path. I will send out your video to your contacts including relatives, co-workers, and many others. It does not help you avoid the humiliation your family will face when friends discover your sordid videos from me.

Other Option is to make the payment of $1900. We’ll call it my “confidentiality charges”. Let me tell you what happens if you pick this option. Your secret remains your secret. I’ll destroy the recording immediately. You keep your lifetime as though nothing like this ever occurred.

At this point you may be thinking, “I should call the cops”. Let me tell you, I have covered my steps in order that this message can’t be tracked to me plus it will not stop the evidence from destroying your health. I am not planning to dig a hole in your pocket. I am just looking to get compensated for efforts and time I place into investigating you. Let’s assume you decide to generate pretty much everything disappear and pay me the confidentiality fee. You will make the payment via Bitcoins (if you don’t know how, type « how to buy bitcoins » in search engine)

Amount to be sent: $1900
Receiving Bitcoin Address: [adresse différente pour chaque escroquerie]
(It’s case sensitive, so you should copy and paste it carefully)

Tell nobody what you would use the bitcoin for or they might not offer it to you. The method to obtain bitcoins usually takes a few days so do not wait.
I have a specific pixel within this email message, and now I know that you have read through this e mail. You now have two days in order to make the payment. If I do not receive the BitCoins, I will certainly send out your video recording to all your contacts including members of your family, colleagues, and so on. You better come up with an excuse for friends and family before they find out. Nonetheless, if I receive the payment, I will erase the proof and all other proofs immediately. It is a non-negotiable one time offer, so don’t ruin my personal time & yours. Your time is running out.

Hypothèses

Les hypothèses évoquées par Brian Krebs sont qu’il s’agit vraisemblablement de messages envoyés au hasard à une liste de personnes sur la base d’une fuite de données massive telle qu’on a malheureusement pu en avoir beaucoup au cours des dernières années. Cela converge avec les témoignages que j’ai pu recevoir.

Recommandations

Les recommandations que je pourrais faire aux victimes de cette tentative d’extorsion sont simples:

Ne pas payer la rançon, ne pas contacter l’escroc, ne pas répondre
Comme il s’agit ici d’une tentative reposant sur une vraie base de données volée, il est probable que vous reconnaissiez le mot de passe. Si vous l’utilisez encore sur un de vos comptes (courrier électronique, réseau social, etc.), changez-le très rapidement. La CNIL propose de très bons conseils sur les mots de passe, notamment en vous incitant à utiliser un logiciel de gestion des mots de passe.
Vous pouvez vérifier si votre adresse ou vos pseudonymes sont présents dans des détournements connus en les vérifiant sur haveibeenpwned. Dans ce cas modifiez aussi vos mots de passe pour ces comptes.

21 juillet 2018 by Éric Freyssinet Cybercriminalité Prévention Sécurité 1

Percev@l – plateforme de signalement des fraudes aux cartes de paiement – est ouverte!

Depuis quelques jours, un nouveau téléservice est disponible sur service-public.fr. Il permet aux victimes de fraude à leur carte de paiement de se signaler auprès des autorités.

Un tel service était nécessaire et attendu depuis longtemps. En effet, la fraude aux cartes de paiement a lieu essentiellement sur Internet aujourd’hui (à plus de 70% selon les statistiques publiées par l’Observatoire de la sécurité des moyens de paiement). Cela veut dire que le lieu où se commet réellement l’infraction n’a en général aucun rapport avec l’endroit où se trouve la victime. De surcroît, c’est le cumul des informations provenant des nombreuses victimes qui permettra d’identifier les fraudeurs et leur mode opératoire et facilitera la coopération internationale (plus facile si on peut identifier un préjudice conséquent lié aux mêmes auteurs).

Lorsqu’on constate un paiement frauduleux avec son numéro de carte bancaire (en consultant son relevé de compte en ligne, ou encore en étant prévenu par sa banque ou son prestataire de paiement), les opérations suivantes peuvent maintenant être réalisées par les victimes:

Mettre sa carte en opposition en contact son organisme de paiement (en général par un simple appel téléphonique)
Réaliser son signalement sur le téléservice Percev@l (on le retrouve simplement sur le site service-public.fr en cherchant Percev@l ou « fraude carte bancaire »)
Transmettre le récépissé fourni par Percev@l à sa banque pour faciliter les opérations de remboursement (le récépissé est mis à disposition automatiquement dans votre porte-documents sur le site service-public.fr)

Pour se connecter à Percev@l, l’usager doit utiliser un identifiant FranceConnect. Celui-ci est accessible à tous les résidents français grâce à leurs comptes Ameli, des Impôts ou encore Laposte ou Mobileconnectetmoi. Très rapidement, la plateforme FranceConnect sera interopérable avec d’autres agrégateurs d’identité à travers l’ensemble de l’Union européenne dans le cadre du règlement européen eIDAS.

Ensuite, les informations fournies sont directement traitées par des analystes et des enquêteurs du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie et les rapprochements ainsi réalisés contribuent à l’ouverture d’enquêtes judiciaires qui peuvent être traités par des services spécialisés de gendarmerie ou de police partout en France.

Ce téléservice était attendu – j’en parlais dans mon livre La cybercriminalité en mouvement en 2012: il fait l’objet en particulier d’une recommandation dans le rapport de 2014 sur la lutte contre la cybercriminalité. Les banques et les commerçants en ligne sont aussi particulièrement mobilisés et ils ont été associés à la construction de ce projet; ils coopéreront évidemment aux enquêtes judiciaires.

Souhaitons que Percev@l soit utilisé par une partie importante des victimes de fraude à leur carte de paiement. Ils contribueront ainsi à la lutte contre cette forme malheureusement trop répandue de cybermenace. Percev@l contribue pleinement au volet numérique de la Police de sécurité du quotidien et s’intègre au programme Ma gendarmerie en ligne! de la gendarmerie nationale.

9 juin 2018 by Éric Freyssinet Cybercriminalité Transformation numérique 15

Campagne de hameçonnage ciblant les clients d’OVH

Depuis quelques jours une campagne de hameçonnage cible plus particulièrement les clients d’OVH, la gendarmerie du Doubs et du territoire de Belfort sur sa page Facebook.

En effet, j’ai moi-même reçu trois messages de hameçonnage successifs ciblant le même nom de domaine dont je suis le gestionnaire chez OVH (envoyés à l’adresse de contact du nom de domaine):

7 mars 2018 15:27, objet: « Fermeture du XXX » XXX étant le nom de domaine, provenant apparemment de « <support@ovh.com> »
8 mars 2018 05:24, objet: « [ֹOVֹH] : erreur ! », provenant apparemment de « [ֹOVֹH] » <support@ovh.net>
et de façon identique le 10 mars 2018 17:20

Jetons un œil à l’aspect du dernier message:

Si l’on passe la souris au dessus de l’URL qui devrait être celle du site d’OVH on obtient en réalité:

(la zone floutée correspond à l’adresse de contact du nom de domaine ciblé). Si l’on suit cette adresse, après deux redirections on se retrouve sur l’adresse (ATTENTION ne pas vous rendre sur cette adresse sans précautions !):

Le site Web est celui d’une société d’informatique allemande dont le site Web a été modifié pour afficher une page ressemblant à celle d’OVH:

Comment se protéger ?

Suivant les solutions de sécurité dont vous disposez sur votre ordinateur, vous serez éventuellement averti qu’il s’agit en réalité d’une page de hameçonnage connue. Ainsi, à l’heure où j’écris ces lignes, Windows Defender de Microsoft le signale correctement lorsqu’on visite cette page.

Si vous voulez participer à signaler ce type de messages et de pages de phishing c’est assez simple. L’association Signal Spam – dont j’ai parlé plusieurs fois ici – fournit un plugin pour votre navigateur Web qui permet de signaler les messages non sollicités et les pages Web de hameçonnage.

Les signalements sont non seulement traités par Signal Spam, mais font l’objet d’une transmission vers les éditeurs des différents navigateurs.

Une mise à jour récente des modules de signalement de Signal Spam autorise désormais le signalement des URL (adresses internet) de phishing. Concrètement, cela signifie qui si au cours de votre navigation sur internet vous tombez sur un site de phishing, il vous est possible d’utiliser le même bouton Signal Spam installé dans votre navigateur (chrome, safari, ou firefox) qui sert traditionnellement au signalement d’un courriel indésirable pour signaler le site de phishing. Le module Signal Spam reconnaîtra que vous naviguez sur une page de phishing, et signalera l’URL.

L’URL ainsi signalée sera placée dans une liste noire qui préviendra la navigation sur ce site par d’autres utilisateurs de Signal Spam. Il est bien sûr possible de signaler un « faux-positifs », c’est à dire un signalement que vous estimez erroné, ou de poursuivre malgré tout votre navigation sur le site de phishing en pleine connaissance de cause.

En outre, la mise à jour des modules intègre également une protection de votre messagerie contre les messages de phishing : une alerte s’affichera lorsque vous vous apprêtez à ouvrir un message contenant des liens identifiés comme dangereux.

Le fonctionnement de cette fonctionnalité STOP PHISHING – développée par Signal Spam en partenariat avec la société Verifrom vous est expliqué dans la vidéo ci-dessous:

Une vidéo proposée par la CNIL vous informe très précisément sur la façon d’installer le plugin dans votre navigateur:

Enfin, le service cybermalveillance.gouv.fr vous propose une fiche de prévention sur le sujet du hameçonnage:

Face à ce type d’escroquerie : ne répondez pas et signalez les faits. Tous nos conseils pour faire face au #phishing dans notre fiche réflexe : https://t.co/KWh4lwwznG

— Cybermalveillance_FR (@cybervictimes) 11 mars 2018

11 mars 2018 by Éric Freyssinet Cybercriminalité Prévention Sécurité 0

Ouverture de la Brigade numérique

Le 27 février 2018 à 14h30, le ministre de l’Intérieur Gérard Collomb a ouvert officiellement la Brigade numérique. Il s’agit du premier gros projet intégralement piloté par la mission numérique mise en place le 1^e mai 2017 pour piloter la stratégie numérique de la gendarmerie.

#Evénement La @Gendarmerie présente aujourd’hui sa #BrigadeNumérique.
Elle sera inaugurée cet après-midi par @gerardcollomb, ministre d’Etat, ministre de l’Intérieur. pic.twitter.com/o564ggnwvv

— GendarmerieNationale (@Gendarmerie) 27 février 2018

L’innovation est dans l’ADN de la @Gendarmerie. Elle est au coeur de la #PoliceSécuritéQuotidien.
📲💻 Je suis fier et heureux d’inaugurer aujourd’hui sa #BrigadeNumérique : un accès 24h/24 et 7 jours/7 aux forces de l’ordre pour les démarches du quotidien. pic.twitter.com/NYgTLkElks

— Gérard Collomb (@gerardcollomb) 27 février 2018

#Vidéo 🎥 Découvrez les premiers échanges entre @gerardcollomb et la #BrigadeNumérique pour son lancement officiel 💻 pic.twitter.com/8MlhDia239

— GendarmerieNationale (@Gendarmerie) 27 février 2018

Un message important d’abord: en situation d’urgence, le bon réflexe reste toujours de contacter le 17 ou le 112 (ou encore le 114 par fax ou SMS pour les personnes avec des difficultés à entendre ou à parler).

Rénover et renforcer le contact

Ce projet s’inscrit pleinement dans la Police de sécurité du quotidien souhaitée par le gouvernement. La mission fixée aux vingt gendarmes de la Brigade numérique installée à Rennes est d’assurer en ligne l’ensemble des fonctions d’accueil des brigades de gendarmerie, 24 heures sur 24 et ce où que se trouvent les usagers. Il s’agit donc de compléter l’offre de contact des brigades de gendarmerie par un service accessible en fonction des contraintes des usagers qui n’ont pas toujours le temps ou la possibilité de se déplacer.

Toutes les questions traitées dans les brigades de gendarmerie pourront ainsi recevoir une réponse rapide: une base de connaissance de plus de 800 questions et réponses a été constituée grâce à l’expérience des gendarmes de terrain. Elle sera enrichie des questions posées aux gendarmes de la Brigade numérique et mise à disposition de l’ensemble des personnels de terrain pour permettre un accueil de qualité sur l’ensemble du territoire, par les canaux numériques ou directement au contact des gendarmes.

Les gendarmes de la Brigade numérique parlent plusieurs langues et pourront être renforcés par des réservistes de la gendarmerie afin de gérer les pics d’affluence qui seront certainement rencontrés au moment des grands événements ou des périodes touristiques.

Enfin, suivant les situations, un message sera transmis à la brigade de gendarmerie dont dépend l’usager pour assurer un suivi personnalisé. La Brigade numérique c’est donc Ma gendarmerie en ligne!

Contacter la Brigade numérique

Dans un premier temps, la Brigade numérique sera joignable sur le site Web de la gendarmerie grâce à une fenêtre de chat, sur les comptes twitter et Facebook de la gendarmerie.

Une foire aux questions est aussi accessible en libre-service pour répondre aux problèmes les plus courants que peuvent se poser les usagers.

#Vidéo 🎥 Simplicité, #proximité et modernité : la nouvelle #BrigadeNumérique est désormais accessible 24h/24 et 7j/7.
Présentation par la CEN Marielle Chrisment, directrice de programme de la Brigade Numérique ⬇ pic.twitter.com/Iwr6nghKhz

— GendarmerieNationale (@Gendarmerie) 27 février 2018

Et demain?

Plusieurs évolutions des services offerts par la gendarmerie en ligne sont programmés. En particulier, la possibilité d’organiser des rendez-vous sur le terrain ou en brigade de gendarmerie. Pour faciliter ces développements, nous avons recherché le soutien du disposition des Entrepreneurs d’intérêt général (EIG) porté par Etalab. Le projet de la Brigade numérique a été retenu et deux EIG sont intégrés à la Mission numérique entre janvier et novembre 2018.

Bien entendu nous serons à l’écoute des attentes des usagers pour faire évoluer rapidement les services numérique offerts par la gendarmerie et améliorer le contact et la proximité avec nos usagers. N’hésitez pas à contacter la Brigade numérique, ils sont à votre service !

Revue de presse

27 février 2018 by Éric Freyssinet Transformation numérique 1

Transformation numérique de la gendarmerie

La transformation numérique est parfois décrite comme l’effet de la numérisation de notre société. L’enjeu pour la gendarmerie est bien évidemment de ne pas avoir une attitude passive face à ces évolutions, mais de les embrasser pleinement et d’en faire un atout. C’est pourquoi le général d’armée Richard Lizurey, directeur général de la gendarmerie nationale, a décidé en janvier dernier la création de la mission numérique de la gendarmerie nationale (MNGN):

[…] Je l’ai souhaité stratégique avec une mission numérique au sein de notre direction générale. La situation est très semblable au brouillard de guerre, nous devrons veiller à ce que la mobilisation profite à chaque gendarme.

C’est avec beaucoup d’honneur et sans hésitation que j’ai accepté cette nouvelle mission et depuis un mois maintenant rassemblé une nouvelle équipe chargée de proposer et piloter notre stratégie sur l’ensemble du champ numérique (et cela inclut non seulement les enjeux de la transformation numérique mais aussi ceux de la lutte contre les cybermenaces).

La gendarmerie, comme la plupart des services de police dans le monde, ne découvre pas le numérique et l’impact sur nos missions. Pour ne citer que quelques exemples, le réseau Rubis de radio-communication numérique de la gendarmerie a été pensé dès les années 1980 et les premières enquêtes de la gendarmerie dans le champ numérique datent au moins des années 1990.

Ce qui change aujourd’hui c’est à la fois la rapidité des évolutions liées aux technologies numériques, l’ampleur de leur impact sur les organisations et les attentes de plus en plus fortes des citoyens et des gendarmes.

Plusieurs projets majeurs sont déjà sur les rails avec notamment le déploiement cet automne de terminaux mobiles Néogend (smartphones et tablettes) auprès de l’ensemble des gendarmes de terrain, l’expérimentation menée depuis deux ans dans le Nord et en Bourgogne ayant démontré un fort impact sur leur efficacité, leur capacité à être plus mobiles et donc d’offrir un meilleur service au contact de la population.

Il s’agit pour la mission numérique de la gendarmerie nationale de contribuer à l’essor de ces projets et d’aller au-delà. Ainsi la MNGN traitera de façon transverse de l’ensemble des aspects de la vie de la gendarmerie: recrutement, formation, opérations, renseignement, enquête judiciaire, etc. Et donc en réalité nous nous intéresserons à tous les métiers de la gendarmerie et à tous ses personnels quel qu’en soient le statut (militaires, civils, opérationnels ou de soutien).

Je témoignerai sur mon blog de cette nouvelle aventure au sein de la gendarmerie, qui ne cesse de confirmer par sa modernité et son dynamisme les raisons de mon engagement voilà plus de 20 ans. Rendez-vous donc ici et sur mon fil social @ericfreyss.

4 juin 2017 by Éric Freyssinet Transformation numérique 0

Recrutement 2016 d’officiers commissionnés dans le domaine cyber en gendarmerie

Le journal officiel du 24 mars 2016 comporte deux annonces qui peuvent intéresser mes lecteurs, tous deux implantés à Pontoise (95):

Avis de vacance d’emploi d’un expert de haut niveau en technologies numériques chargé de projet et développement de techniques de déprotection logicielle à la division ingénierie numérique du départ de l’institut de recherche criminelle de la gendarmerie nationale au pôle judiciaire de la gendarmerie nationale NOR: INTJ1608188V
Avis de vacance d’un emploi d’expert de haut niveau en technologies numériques chargé de projet et développement de techniques de déprotection matérielle à la division ingénierie numérique du départ de l’institut de recherche criminelle de la gendarmerie nationale au pôle judiciaire de la gendarmerie nationale NOR: INTJ1608185V

Il s’agit de postes d’officiers de gendarmerie commissionnés, sous la forme d’un premier contrat de 5 ans pouvant être renouvelé jusqu’à 17 ans au maximum.

25 mars 2016 by Éric Freyssinet Cybercriminalité 0

Lutte contre les botnets

Préambule

Il est difficile de trouver les mots justes et de s’atteler à un sujet de discussion qui paraîtrait futile par rapport aux terribles attentats qui ont frappé la France, quelques heures avant Beyrouth, hier Bamako. Je tiens en préambule à rendre hommage à toutes les victimes et les familles atteintes par ce drame. Peut-être ai-je, comme beaucoup d’entre nous, croisé certains d’entre eux au cours des dernières années, lors d’une ballade dans Paris. Et il faut rendre hommage aussi aux secouristes, policiers, gendarmes, militaires et aux simples citoyens qui se sont mobilisés chacun à leur façon pour réagir efficacement et solidairement à la violence qui frappait Paris et Saint-Denis, Beyrouth et Bamako.

Au milieu de cette violence, on parle souvent des actions menées sur Internet, et notamment sur les réseaux sociaux. Cette semaine en France et dans le monde, les réactions habituelles d’intolérance, de rumeurs ou de trolling ont été observées, mais elles ont été à mes yeux submergées par une émotion juste et partagée, ainsi que par un usage positif d’Internet pour s’informer très vite sur ses proches ou la meilleure façon de rester en sécurité [n’hésitez pas à me signaler des articles de synthèse pertinents sur ce sujet].

Le travail des enquêteurs et des services de renseignement prend aussi une dimension numérique: découverte de liens sur Internet, analyse d’ordinateurs et de téléphones mobiles (avec des conditions particulières pour les perquisitions administratives de l’Etat d’urgence). On ressent ces jours-là tout le sens des efforts menés depuis de nombreuses années pour former et mobiliser des enquêteurs spécialisés à ces questions en gendarmerie et en police. Je peux aussi témoigner des nombreux messages de soutien reçus du monde entier de nos partenaires privés et publics pour venir immédiatement en aide aux enquêteurs français.

Il a beaucoup été dit au cours des derniers jours qu’il fallait reprendre rapidement le cours d’une vie normale, résister et ne pas se laisser gagner par la peur. Pour les personnes qui comme moi traitent de cybercriminalité, cela veut évidemment dire réévaluer notre action au regard des événements de ces derniers jours et apporter notre aide technique, mais cela veut aussi dire qu’il faut continuer de mener les actions qui permettent de lutter contre ces formes de délinquance, certes en apparence non violentes (même si certaines conséquences de la cybercriminalité sont parfois dramatiques), mais qui ont un coût toujours croissant sur l’économie de nos pays ou la vie privée de nos citoyens.

Quatre années de réflexion et d’échanges

Une aventure commencée voilà quatre ans s’est achevée la semaine dernière avec la soutenance d’une thèse de doctorat en informatique le jeudi 12 novembre 2015, ce qui me permet aujourd’hui de faire le point sur les leçons qu’il reste à tirer en matière de lutte contre les botnets. Il y a 4 ans donc, poussé par David Naccache, professeur à l’Ecole normale supérieure et officier de réserve en gendarmerie, je sautais le pas de l’engagement dans une thèse de doctorat en informatique. J’ai été accueilli par l’équipe Réseaux complexes du Laboratoire d’informatique de Paris 6, dirigée à l’époque par Matthieu Latapy, co-directeur de ma thèse avec David et aujourd’hui par Clémence Magnien.

Posée de façon simple, ma thèse de départ était la suivante:

Les botnets sont l’outil premier de la délinquance numérique. Pour mieux lutter contre eux, les botnets doivent être compris comme des systèmes, au-delà des simples programmes malveillants, en intégrant l’ensemble de leurs composantes.

La conclusion que j’ai pu en tirer après quatre années de réflexion et d’échanges était que cette thèse était juste et partagée, mais qu’elle n’était pas pleinement formulée et c’est ce que je me suis efforcé de faire.

Mon travail a donc commencé à l’hiver 2011 par le lancement d’un Wiki sémantique https://www.botnets.fr/ avec une double ambition: documenter les botnets et partager ce travail, donc rentrer en relation avec la communauté qui traite de ces questions en France sans forcément toujours se connaître. Et il s’est évidemment avéré que je ne connaissais alors pas encore toutes les personnes qui travaillent discrètement et parfois isolément sur ces questions, qu’il s’agisse de chercheurs ou d’acteurs de la sécurité des réseaux.

Un Wiki sémantique permet de donner un sens aux liens entre les différentes informations que l’on y publie. Ces informations sont des propriétés des notions que l’on documente et un grand nombre de ces propriétés peuvent être elles-même documentées. Ainsi, un botnet pourra utiliser un protocole de communication donné que l’on expliquera ou être diffusé par une plateforme d’exploits particulière.

Figure 1 – Extrait de la structure sémantique du Wiki botnets.fr

Un des intérêts concrets a été aussi pour moi de réaliser ma bibliographie au fur et à mesure des travaux et surtout de ne pas perdre la trace de la source de chacune des informations que je collectais. L’autre intérêt du Wiki est que l’on peut partager la saisie d’informations, ce qui fut par exemple le cas avec l’aide de Kafeine qui a beaucoup contribué à ma réflexion sur les rançongiciels (voir cette page reprenant les visuels des rançongiciels ciblant les victimes françaises).

L’observation des rançongiciels, qui ont largement ciblé l’Europe à partir de 2012, a par exemple permis d’observer les différents modes de monétisation des botnets, soit par des systèmes d’affiliation (les affiliés sont par exemple rémunérés à la commission selon le nombre de bots qu’ils ont permis de recruter), soit sous forme de kits (voir figure 2 ci-dessous).

Figure 2 – Différents scénarios de monétisation des botnets, de ceux qui sont implémentés de façon isolée, par l’équipe qui le développe à ceux qui existent sous forme de kits avec des options d’affiliation.

Il peut exister d’autres stratégies de compartimentation que l’affiliation, par exemple la location d’une partie d’un botnet à un client donné.

Ce travail de documentation et d’échanges s’est poursuivi tout au long de la thèse. Ainsi, plus de 400 classes de botnets ont été documentées réparties en 16 catégories. Il s’est concrétisé par de nombreuses présentations, des discussions avec de nombreux chercheurs et l’organisation depuis trois ans d’une conférence internationale sur le sujet de la lutte contre les botnets dont la prochaine édition se tient dans quelques jours – Botconf.

Définitions et concepts

Une fois ce long travail d’observation réalisé, j’ai pu remettre à plat l’ensemble des définitions utiles. Les plus importantes touchent évidemment aux botnets eux-mêmes:

Un logiciel malveillant ou malware est tout programme (directement exécutable ou en langage interprété), inséré dans un système d’information, en général de façon discrète, avec l’intention de compromettre la confidentialité, l’intégrité ou la disponibilité des données de la victime, de ses applications, du système d’exploitation, du matériel contenant le système d’information ou piloté par lui, ou encore de chercher à ennuyer ou perturber la victime.

Un botnet est un ensemble constitué par des systèmes compromis par un logiciel malveillant (appelés alors bots) qui communiquent avec un système de commande et de contrôle donné.

Un système de commande et de contrôle est l’ensemble des dispositions prises pour assurer la transmission de commandes (d’ordres) du maître du botnet vers les bots et/ou la réception en sens inverse d’informations d’état ou du résultat des commandes ou des fonctions automatisées du botnet. Le système de commande et de contrôle peut reposer sur un serveur unique, un ensemble d’infrastructures ou uniquement un protocole de communication entre les bots et le maître.

La synthèse s’est ensuite approfondie en proposant un modèle objet pour représenter les botnets et donc concrétiser la vision systémique recherchée. Ainsi, la menace APT1 telle que documentée dans de nombreux articles (par Mandiant, Malware.lu) peut être synthétisée selon le modèle objet représenté en Figure 3 ci-dessous:

Figure 3 – Modèle objet de la menace APT1 (codes malveillants, infrastructures et botnets mis en place par ce groupe)

L’architecture des systèmes de commande et de contrôle s’est complexifiée avec le temps, passant d’architectures centralisées à des architectures décentralisées (reposant essentiellement sur des technologies pair à pair):

architecture aléatoire (pour se connecter à ses bots, le maître du botnet doit les contacter lui-même)
architecture centralisée
architecture centralisée répartie
architecture décentralisée
architecture hybride (qui combine plusieurs architectures)

La définition de la notion d’architecture centralisée répartie est un exemple des contributions de la thèse. Elle recouvre les circonstances où un point individuel de défaillance subsiste, car en réalité centralisé sur un équipement (ou quelques équipements ou l’infrastructure d’un tiers), mais où l’accès à cet échelon central est camouflé et solidifié par un dispositif intermédiaire tels que des relais ou l’utilisation d’algorithmes de génération de noms de domaine (comme je l’évoquais ici avec Conficker).

Figure 4 – Exemples d’architectures centralisées réparties

Des modalités complémentaires permettent d’enrichir ces architectures:

le sens des communications (univoque montante ou descendante ou réciproque)
modalité persistante (connexion permanente des bots actifs au système de commande et contrôle) ou sporadique/périodique
l’abus d’une autre architecture (un réseau social par exemple ou des groupes de discussion)

Pour décrire de façon complète le fonctionnement des botnets, il est important de comprendre leurs modes de diffusion. C’est ce que j’ai fait régulièrement sur ce blog.

Figure 5 – Exemple de scénario de distribution d’un code malveillant. On y voit notamment les systèmes de distribution de trafic qui sont avec les plates-formes d’exploit (exploit kit) un des objets importants qui viennent compléter l’observation des botnets.

Et cette compréhension plus globale passe par une appréhension du cycle de vie des botnets. Celui que je propose intègre de façon intime le cycle de vie d’un botnet à celui de ses bots:

Figure 6 – Modèle proposé de cycle de vie des botnets

Méthodes de lutte

L’étude des méthodes de lutte contre les botnets constitue une partie importante des travaux que j’ai pu mener et des actions auxquelles j’ai pu concrètement participer ou observer.

Ces méthodes passent par la technique (détection, analyse des logiciels malveillants) mais aussi par des organisations (actions isolées ou coordonnées de démantèlement). La thèse propose en conclusion les enjeux importants à prendre en compte dans les stratégies de démantèlement des botnets:

une bonne détection et une bonne compréhension des cibles considérées – et j’insiste tout particulièrement sur la nécessité de prendre rapidement du recul et d’avoir une vision globale pour bien identifier les architectures, les modes de diffusion, les acteurs potentiellement impliqués et les faiblesses qui pourront être exploitées;
une coordination et une coopération efficaces, tant entre les acteurs techniques que les acteurs judiciaires, notamment au plan international;
la possibilité, voire l’obligation pour les fournisseurs d’accès et les hébergeurs de détecter (ou prendre en considération les données qui leur sont transmises) et de prévenir leurs abonnés. Ce point pourrait supposer des évolutions juridiques;
disposer d’une méthode et d’un plan d’action dont l’efficacité peut être mesurée scientifiquement avec par exemple le souci de limiter les efforts et l’impact collatéral.

Parmi les freins à ces actions, on note une trop faible prise en compte de la nécessité de mettre à jour les logiciels des parcs informatiques (nécessité que j’ai illustrée plusieurs fois ici, à laquelle contribuent en amont les éditeurs de logiciels). Ainsi grâce à une étude menée auprès de responsables informatiques et de la sécurité des systèmes d’information (je remercie ici tous les répondants), nous avons pu voir que:

les politiques de mise a jour existent dans 80% des cas environ, avec un logiciel de gestion de parc associé;
la mise a jour concerne assez largement le système d’exploitation (80 a 100% du parc pour 60% des répondants);
en revanche navigateurs et autres logiciels sont beaucoup moins largement mis a jour de facon automatique (50% des répondants citent un taux de 0 a 10% de leur parc pour les autres logiciels).

Au cours de la thèse enfin, j’ai pu contribuer à des actions de prévention, comme de nombreux articles écrits sur ce blog et les sites stopransomware.fr, Antibot.fr (développé dans le cadre du projet Européen Advanced cyberdefence centre avec le CECyF et Signal Spam). Mais la prévention est encore trop peu efficace, notamment en France, et ce sont de véritables campagnes de communication grand public qui doivent être menées.

Conclusion

Je joins à ce billet une copie de la thèse telle qu’elle sera diffusée d’ici quelques semaines sur le site de l’Université Pierre et Marie-Curie.

Il reste encore beaucoup à faire pour être efficace dans la lutte contre les botnets. Les exemples récents montrent qu’à la fois les délinquants renforcent sans cesse leurs techniques et leurs stratégies et que les actions isolées et n’intégrant pas l’ensemble des étapes de la compréhension au nettoyage des ordinateurs des victimes, en passant par l’arrestation des auteurs ne permettent pas de combattre efficacement ces menaces.

Je tiens à remercier l’ensemble des personnes dont la richesse des échanges et des points de vue m’ont permis d’avancer très rapidement. Vous en retrouverez le détail au début du mémoire de thèse, mais de nombreux autres n’ont pas pu être cités, français et étrangers. Je remercie tout particulièrement mes deux directeurs de thèse David Naccache et Matthieu Latapy qui m’ont soutenu pendant ces quatre années, et les rapporteurs de la soutenance Ludovic Mé et Jean-Yves Marion et enfin les examinateurs du jury Clémence Magnien, Solange Ghernaouti-Hélie et Vincent Nicomette.

21 novembre 2015 by Éric Freyssinet Cybercriminalité 0