Éric Freyssinet

Transformation numérique de la gendarmerie

La transformation numérique est parfois décrite comme l’effet de la numérisation de notre société. L’enjeu pour la gendarmerie est bien évidemment de ne pas avoir une attitude passive face à ces évolutions, mais de les embrasser pleinement et d’en faire un atout. C’est pourquoi le général d’armée Richard Lizurey, directeur général de la gendarmerie nationale, a décidé en janvier dernier la création de la mission numérique de la gendarmerie nationale (MNGN):

[…] Je l’ai souhaité stratégique avec une mission numérique au sein de notre direction générale. La situation est très semblable au brouillard de guerre, nous devrons veiller à ce que la mobilisation profite à chaque gendarme.

C’est avec beaucoup d’honneur et sans hésitation que j’ai accepté cette nouvelle mission et depuis un mois maintenant rassemblé une nouvelle équipe chargée de proposer et piloter notre stratégie sur l’ensemble du champ numérique (et cela inclut non seulement les enjeux de la transformation numérique mais aussi ceux de la lutte contre les cybermenaces).

La gendarmerie, comme la plupart des services de police dans le monde, ne découvre pas le numérique et l’impact sur nos missions. Pour ne citer que quelques exemples, le réseau Rubis de radio-communication numérique de la gendarmerie a été pensé dès les années 1980 et les premières enquêtes de la gendarmerie dans le champ numérique datent au moins des années 1990.

Ce qui change aujourd’hui c’est à la fois la rapidité des évolutions liées aux technologies numériques, l’ampleur de leur impact sur les organisations et les attentes de plus en plus fortes des citoyens et des gendarmes.

Plusieurs projets majeurs sont déjà sur les rails avec notamment le déploiement cet automne de terminaux mobiles Néogend (smartphones et tablettes) auprès de l’ensemble des gendarmes de terrain, l’expérimentation menée depuis deux ans dans le Nord et en Bourgogne ayant démontré un fort impact sur leur efficacité, leur capacité à être plus mobiles et donc d’offrir un meilleur service au contact de la population.

Il s’agit pour la mission numérique de la gendarmerie nationale de contribuer à l’essor de ces projets et d’aller au-delà. Ainsi la MNGN traitera de façon transverse de l’ensemble des aspects de la vie de la gendarmerie: recrutement, formation, opérations, renseignement, enquête judiciaire, etc. Et donc en réalité nous nous intéresserons à tous les métiers de la gendarmerie et à tous ses personnels quel qu’en soient le statut (militaires, civils, opérationnels ou de soutien).

Je témoignerai sur mon blog de cette nouvelle aventure au sein de la gendarmerie, qui ne cesse de confirmer par sa modernité et son dynamisme les raisons de mon engagement voilà plus de 20 ans. Rendez-vous donc ici et sur mon fil social @ericfreyss.

Recrutement 2016 d’officiers commissionnés dans le domaine cyber en gendarmerie

Le journal officiel du 24 mars 2016 comporte deux annonces qui peuvent intéresser mes lecteurs, tous deux implantés à Pontoise (95):

  • Avis de vacance d’emploi d’un expert de haut niveau en technologies numériques chargé de projet et développement de techniques de déprotection logicielle à la division ingénierie numérique du départ de l’institut de recherche criminelle de la gendarmerie nationale au pôle judiciaire de la gendarmerie nationale NOR: INTJ1608188V
  • Avis de vacance d’un emploi d’expert de haut niveau en technologies numériques chargé de projet et développement de techniques de déprotection matérielle à la division ingénierie numérique du départ de l’institut de recherche criminelle de la gendarmerie nationale au pôle judiciaire de la gendarmerie nationale NOR: INTJ1608185V

Il s’agit de postes d’officiers de gendarmerie commissionnés, sous la forme d’un premier contrat de 5 ans pouvant être renouvelé jusqu’à 17 ans au maximum.

Lutte contre les botnets

Préambule

Il est difficile de trouver les mots justes et de s’atteler à un sujet de discussion qui paraîtrait futile par rapport aux terribles attentats qui ont frappé la France, quelques heures avant Beyrouth, hier Bamako. Je tiens en préambule à rendre hommage à toutes les victimes et les familles atteintes par ce drame. Peut-être ai-je, comme beaucoup d’entre nous, croisé certains d’entre eux au cours des dernières années, lors d’une ballade dans Paris. Et il faut rendre hommage aussi aux secouristes, policiers, gendarmes, militaires et aux simples citoyens qui se sont mobilisés chacun à leur façon pour réagir efficacement et solidairement à la violence qui frappait Paris et Saint-Denis, Beyrouth et Bamako.

Au milieu de cette violence, on parle souvent des actions menées sur Internet, et notamment sur les réseaux sociaux. Cette semaine en France et dans le monde, les réactions habituelles d’intolérance, de rumeurs ou de trolling ont été observées, mais elles ont été à mes yeux submergées par une émotion juste et partagée, ainsi que par un usage positif d’Internet pour s’informer très vite sur ses proches ou la meilleure façon de rester en sécurité [n’hésitez pas à me signaler des articles de synthèse pertinents sur ce sujet].

Le travail des enquêteurs et des services de renseignement prend aussi une dimension numérique: découverte de liens sur Internet, analyse d’ordinateurs et de téléphones mobiles (avec des conditions particulières pour les perquisitions administratives de l’Etat d’urgence). On ressent ces jours-là tout le sens des efforts menés depuis de nombreuses années pour former et mobiliser des enquêteurs spécialisés à ces questions en gendarmerie et en police. Je peux aussi témoigner des nombreux messages de soutien reçus du monde entier de nos partenaires privés et publics pour venir immédiatement en aide aux enquêteurs français.

Il a beaucoup été dit au cours des derniers jours qu’il fallait reprendre rapidement le cours d’une vie normale, résister et ne pas se laisser gagner par la peur. Pour les personnes qui comme moi traitent de cybercriminalité, cela veut évidemment dire réévaluer notre action au regard des événements de ces derniers jours et apporter notre aide technique, mais cela veut aussi dire qu’il faut continuer de mener les actions qui permettent de lutter contre ces formes de délinquance, certes en apparence non violentes (même si certaines conséquences de la cybercriminalité sont parfois dramatiques), mais qui ont un coût toujours croissant sur l’économie de nos pays ou la vie privée de nos citoyens.

Quatre années de réflexion et d’échanges

Une aventure commencée voilà quatre ans s’est achevée la semaine dernière avec la soutenance d’une thèse de doctorat en informatique le jeudi 12 novembre 2015, ce qui me permet aujourd’hui de faire le point sur les leçons qu’il reste à tirer en matière de lutte contre les botnets. Il y a 4 ans donc, poussé par David Naccache, professeur à l’Ecole normale supérieure et officier de réserve en gendarmerie, je sautais le pas de l’engagement dans une thèse de doctorat en informatique. J’ai été accueilli par l’équipe Réseaux complexes du Laboratoire d’informatique de Paris 6, dirigée à l’époque par Matthieu Latapy, co-directeur de ma thèse avec David et aujourd’hui par Clémence Magnien.

Posée de façon simple, ma thèse de départ était la suivante:

Les botnets sont l’outil premier de la délinquance numérique. Pour mieux lutter contre eux, les botnets doivent être compris comme des systèmes, au-delà des simples programmes malveillants, en intégrant l’ensemble de leurs composantes.

La conclusion que j’ai pu en tirer après quatre années de réflexion et d’échanges était que cette thèse était juste et partagée, mais qu’elle n’était pas pleinement formulée et c’est ce que je me suis efforcé de faire.

Mon travail a donc commencé à l’hiver 2011 par le lancement d’un Wiki sémantique https://www.botnets.fr/ avec une double ambition: documenter les botnets et partager ce travail, donc rentrer en relation avec la communauté qui traite de ces questions en France sans forcément toujours se connaître. Et il s’est évidemment avéré que je ne connaissais alors pas encore toutes les personnes qui travaillent discrètement et parfois isolément sur ces questions, qu’il s’agisse de chercheurs ou d’acteurs de la sécurité des réseaux.

Un Wiki sémantique permet de donner un sens aux liens entre les différentes informations que l’on y publie. Ces informations sont des propriétés des notions que l’on documente et un grand nombre de ces propriétés peuvent être elles-même documentées. Ainsi, un botnet pourra utiliser un protocole de communication donné que l’on expliquera ou être diffusé par une plateforme d’exploits particulière.

wiki-semantique

Figure 1 – Extrait de la structure sémantique du Wiki botnets.fr

Un des intérêts concrets a été aussi pour moi de réaliser ma bibliographie au fur et à mesure des travaux et surtout de ne pas perdre la trace de la source de chacune des informations que je collectais. L’autre intérêt du Wiki est que l’on peut partager la saisie d’informations, ce qui fut par exemple le cas avec l’aide de Kafeine qui a beaucoup contribué à ma réflexion sur les rançongiciels (voir cette page reprenant les visuels des rançongiciels ciblant les victimes françaises).

L’observation des rançongiciels, qui ont largement ciblé l’Europe à partir de 2012, a par exemple permis d’observer les différents modes de monétisation des botnets, soit par des systèmes d’affiliation (les affiliés sont par exemple rémunérés à la commission selon le nombre de bots qu’ils ont permis de recruter), soit sous forme de kits (voir figure 2 ci-dessous).

scenarios-botnets.png

Figure 2 – Différents scénarios de monétisation des botnets, de ceux qui sont implémentés de façon isolée, par l’équipe qui le développe à ceux qui existent sous forme de kits avec des options d’affiliation.

Il peut exister d’autres stratégies de compartimentation que l’affiliation, par exemple la location d’une partie d’un botnet à un client donné.

Ce travail de documentation et d’échanges s’est poursuivi tout au long de la thèse. Ainsi, plus de 400 classes de botnets ont été documentées réparties en 16 catégories. Il s’est concrétisé par de nombreuses présentations, des discussions avec de nombreux chercheurs et l’organisation depuis trois ans d’une conférence internationale sur le sujet de la lutte contre les botnets dont la prochaine édition se tient dans quelques jours – Botconf.

Définitions et concepts

Une fois ce long travail d’observation réalisé, j’ai pu remettre à plat l’ensemble des définitions utiles. Les plus importantes touchent évidemment aux botnets eux-mêmes:

Un logiciel malveillant ou malware est tout programme (directement exécutable ou en langage interprété), inséré dans un système d’information, en général de façon discrète, avec l’intention de compromettre la confidentialité, l’intégrité ou la disponibilité des données de la victime, de ses applications, du système d’exploitation, du matériel contenant le système d’information ou piloté par lui, ou encore de chercher à ennuyer ou perturber la victime.

Un botnet est un ensemble constitué par des systèmes compromis par un logiciel malveillant (appelés alors bots) qui communiquent avec un système de commande et de contrôle donné.

Un système de commande et de contrôle est l’ensemble des dispositions prises pour assurer la transmission de commandes (d’ordres) du maître du botnet vers les bots et/ou la réception en sens inverse d’informations d’état ou du résultat des commandes ou des fonctions automatisées du botnet. Le système de commande et de contrôle peut reposer sur un serveur unique, un ensemble d’infrastructures ou uniquement un protocole de communication entre les bots et le maître.

La synthèse s’est ensuite approfondie en proposant un modèle objet pour représenter les botnets et donc concrétiser la vision systémique recherchée. Ainsi, la menace APT1 telle que documentée dans de nombreux articles (par Mandiant, Malware.lu)  peut être synthétisée selon le modèle objet représenté en Figure 3 ci-dessous:

APT1-uml

Figure 3 – Modèle objet de la menace APT1 (codes malveillants, infrastructures et botnets mis en place par ce groupe)

L’architecture des systèmes de commande et de contrôle s’est complexifiée avec le temps, passant d’architectures centralisées à des architectures décentralisées (reposant essentiellement sur des technologies pair à pair):

  • architecture aléatoire (pour se connecter à ses bots, le maître du botnet doit les contacter lui-même)
  • architecture centralisée
  • architecture centralisée répartie
  • architecture décentralisée
  • architecture hybride (qui combine plusieurs architectures)

La définition de la notion d’architecture centralisée répartie est un exemple des contributions de la thèse. Elle recouvre les circonstances où un point individuel de défaillance subsiste, car en réalité centralisé sur un équipement (ou quelques équipements ou l’infrastructure d’un tiers), mais où l’accès à cet échelon central est camouflé et solidifié par un dispositif intermédiaire tels que des relais ou l’utilisation d’algorithmes de génération de noms de domaine (comme je l’évoquais ici avec Conficker).

architecture-centralisee-repartie.png

Figure 4 – Exemples d’architectures centralisées réparties

Des modalités complémentaires permettent d’enrichir ces architectures:

  • le sens des communications (univoque montante ou descendante ou réciproque)
  • modalité persistante (connexion permanente des bots actifs au système de commande et contrôle) ou sporadique/périodique
  • l’abus d’une autre architecture (un réseau social par exemple ou des groupes de discussion)

Pour décrire de façon complète le fonctionnement des botnets, il est important de comprendre leurs modes de diffusion. C’est ce que j’ai fait régulièrement sur ce blog.

malware-distribution.png

Figure 5 – Exemple de scénario de distribution d’un code malveillant. On y voit notamment les systèmes de distribution de trafic qui sont avec les plates-formes d’exploit (exploit kit) un des objets importants qui viennent compléter l’observation des botnets.

Et cette compréhension plus globale passe par une appréhension du cycle de vie des botnets. Celui que je propose intègre de façon intime le cycle de vie d’un botnet à celui de ses bots:

botnets-cycle-vie

Figure 6 – Modèle proposé de cycle de vie des botnets

Méthodes de lutte

L’étude des méthodes de lutte contre les botnets constitue une partie importante des travaux que j’ai pu mener et des actions auxquelles j’ai pu concrètement participer ou observer.

Ces méthodes passent par la technique (détection, analyse des logiciels malveillants) mais aussi par des organisations (actions isolées ou coordonnées de démantèlement). La thèse propose en conclusion les enjeux importants à prendre en compte dans les stratégies de démantèlement des botnets:

  • une bonne détection et une bonne compréhension des cibles considérées – et j’insiste tout particulièrement sur la nécessité de prendre rapidement du recul et d’avoir une vision globale pour bien identifier les architectures, les modes de diffusion, les acteurs potentiellement impliqués et les faiblesses qui pourront être exploitées;
  • une coordination et une coopération efficaces, tant entre les acteurs techniques que les acteurs judiciaires, notamment au plan international;
  • la possibilité, voire l’obligation pour les fournisseurs d’accès et les hébergeurs de détecter (ou prendre en considération les données qui leur sont transmises) et de prévenir leurs abonnés. Ce point pourrait supposer des évolutions juridiques;
  • disposer d’une méthode et d’un plan d’action dont l’efficacité peut être mesurée scientifiquement avec par exemple le souci de limiter les efforts et l’impact collatéral.

Parmi les freins à ces actions, on note une trop faible prise en compte de la nécessité de mettre à jour les logiciels des parcs informatiques (nécessité que j’ai illustrée plusieurs fois ici, à laquelle contribuent en amont les éditeurs de logiciels). Ainsi grâce à une étude menée auprès de responsables informatiques et de la sécurité des systèmes d’information (je remercie ici tous les répondants), nous avons pu voir que:

  • les politiques de mise a jour existent dans 80% des cas environ, avec un logiciel de gestion de parc associé;
  • la mise a jour concerne assez largement le système d’exploitation (80 a 100% du parc pour 60% des répondants);
  • en revanche navigateurs et autres logiciels sont beaucoup moins largement mis a jour de facon automatique (50% des répondants citent un taux de 0 a 10% de leur parc pour les autres logiciels).

Au cours de la thèse enfin, j’ai pu contribuer à des actions de prévention, comme de nombreux articles écrits sur ce blog et les sites stopransomware.fr, Antibot.fr (développé dans le cadre du projet Européen Advanced cyberdefence centre avec le CECyF et Signal Spam). Mais la prévention est encore trop peu efficace, notamment en France, et ce sont de véritables campagnes de communication grand public qui doivent être menées.

Conclusion

Je joins à ce billet une copie de la thèse telle qu’elle sera diffusée d’ici quelques semaines sur le site de l’Université Pierre et Marie-Curie.

PDF

Il reste encore beaucoup à faire pour être efficace dans la lutte contre les botnets. Les exemples récents montrent qu’à la fois les délinquants renforcent sans cesse leurs techniques et leurs stratégies et que les actions isolées et n’intégrant pas l’ensemble des étapes de la compréhension au nettoyage des ordinateurs des victimes, en passant par l’arrestation des auteurs ne permettent pas de combattre efficacement ces menaces.

Je tiens à remercier l’ensemble des personnes dont la richesse des échanges et des points de vue m’ont permis d’avancer très rapidement. Vous en retrouverez le détail au début du mémoire de thèse, mais de nombreux autres n’ont pas pu être cités, français et étrangers. Je remercie tout particulièrement mes deux directeurs de thèse David Naccache et Matthieu Latapy qui m’ont soutenu pendant ces quatre années, et les rapporteurs de la soutenance Ludovic Mé et Jean-Yves Marion et enfin les examinateurs du jury Clémence Magnien, Solange Ghernaouti-Hélie et Vincent Nicomette.

Recrutement d’officiers commissionnés dans le domaine cyber en gendarmerie

Au journal officiel de ce matin, un certain nombre de postes d’officiers de gendarmerie commissionnés ont été publiés. Ils pourraient notamment intéresser des étudiants en fin de master 2, écoles d’ingénieurs ou en fin de doctorat selon les cas. Evidemment des profils avec plus d’expérience sont aussi les bienvenus. Le troisième poste n’est pas spécifiquement dans la cybersécurité ou la cybercriminalité, mais peut intéresser des profils similaires.

JORF n°0073 du 27 mars 2015 MINISTERE DE L’INTERIEUR

  • Avis de vacance d’un emploi d’expert de haut niveau en technologies numériques assistant au département informatique électronique du pôle judiciaire de la gendarmerie nationale à Pontoise (95) (Nota: pour ce poste vous pouvez écrire sur l’adresse pascal(point)cheylan(at)gendarmerie(point)interieur(point)gouv(point)fr)
    http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030401957&dateTexte=&categorieLien=id
  • Avis de vacance d’emplois de chargé de projet et de développement, expert en investigations numériques et en sciences des données, de la division de lutte contre la cybercriminalité, du pôle judiciaire de la gendarmerie nationale à Pontoise (95)
    http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030401963&dateTexte=&categorieLien=id
  • Avis de vacance d’emplois de chargé de projet et de développement, expert en investigations numériques et en sciences des données à la division analyse et investigation criminelles du pôle judiciaire de la gendarmerie nationale à Pontoise (95)
    http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030401969&dateTexte=&categorieLien=id
  • Avis de vacance d’un emploi d’expert en investigation numérique et en sciences des données au sein du Service des technologies et des systèmes d’information de la sécurité intérieure à la direction générale de la gendarmerie nationale à Issy-les-Moulineaux (92)
    http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030401975&dateTexte=&categorieLien=id

Cybermenaces

Aujourd’hui, une nouvelle page se tourne pour moi. Je quitte une équipe que j’ai aimé commander pour endosser un nouveau rôle. J’ai en effet été nommé comme Conseiller dans l’équipe qui entoure le Préfet en charge de la lutte contre les cybermenaces au Ministère de l’intérieur. Ce billet aura certainement une tonalité un peu personnelle, car j’éprouve une certaine émotion à tourner cette page.

Ce fut un grand honneur pour moi de partager pendant quatre ans et demie la vie des femmes et hommes de la division de lutte contre la cybercriminalité du service technique de recherches judiciaires et de documentation de la gendarmerie nationale. Ensemble nous l’avons transformée en un Centre de lutte contre les criminalités numériques (C3N) avec le développement de nouveaux volets essentiels : la lutte contre les botnets et la diffusion des virus informatiques qui les forment, ainsi que la prospective et l’animation territoriale.

Il s’agissait d’être en mesure de prendre l’initiative sur une forme de plus en plus prégnante de l’expression de la cybercriminalité: ne pas se contenter d’attendre les plaintes des individus, des entreprises victimes de virus informatiques, mais aller au devant des phénomènes au moment où ils se mettent en place (j’ai parlé ici plusieurs fois de la façon dont se mettent en place les botnets, se propagent les virus). En réalité, il s’agit de transposer dans le monde numérique ce qu’on fait tous les jours en matière de prévention de la délinquance: collecte de renseignement, patrouilles, actions en flagrance et évidemment enquêtes judiciaires, coopération internationale, etc. Il y a encore beaucoup de travail et de progrès à faire dans ce domaine, mais nous avons fait de premiers grands pas. Cela s’est concrétisé par plusieurs enquêtes réussies, des actions de sensibilisation que nous avons nourri et soutenues (Stopransomware contre les rançongiciels, puis Antibot lancé récemment par le CECyF et nos partenaires). Parmi ces enquêtes certaines ont eu des résultats concrets y compris en France, dans le cadre d’une opération que nous coordonnions dans le cadre d’Europol. Il nous manque encore dans ce domaine la possibilité de réaliser des enquêtes sous pseudonyme, j’espère que ce sera rapidement le cas: beaucoup de ces infractions se préparent et s’organisent en ligne dans des espaces où les enquêtes doivent pouvoir se poursuivre.

Traiter de la prospective et de l’animation territoriale au sein du C3N c’est accompagner encore plus efficacement les unités de la gendarmerie qui partout en France œuvrent dans le domaine de l’investigation numérique: les enquêteurs de la gendarmerie épaulés par un réseau de 270 enquêteurs spécialisés (les enquêteurs NTECH) et 1600 correspondants en technologies numériques (les C-NTECH). Depuis le mois d’août 2014, nous analysons chaque mois de 2500 à 3000 dossiers traités par les unités de gendarmerie: pour comprendre ce qui est réellement traité par ces unités, ce que rapportent les victimes ou que détectent des enquêteurs, mais aussi pour réaliser des rapprochements et développer les outils pour faciliter le travail de nos enquêteurs. Et ce dispositif va continuer de s’adapter, notamment suite aux recommandations développées dans le Rapport sur la cybercriminalité remis en juin dernier aux ministres.

Bien entendu, l’activité du C3N se poursuit dans les autres champs d’activités illicites sur Internet dont les atteintes aux mineurs sur Internet ou encore – au travers du département informatique-électronique de l’IRCGN qui est associé au travail du C3N – dans l’innovation pour l’investigation technique numérique. Dans quelques semaines, l’ensemble du C3N sera installé dans les nouveaux locaux du Pôle judiciaire de la gendarmerie nationale (PJGN) à Pontoise.

Demain matin – mais évidemment la prise de contact s’est faite voilà plusieurs semaines déjà – je rejoindrai donc un nouveau lieu de travail dans Paris et une nouvelle équipe en cours de construction. Le ministre de l’intérieur annonçait la nomination de ce Préfet en charge de la lutte contre les cybermenaces au mois de juin dernier, plus précisément chargé de coordonner la mise en œuvre d’un plan stratégique de lutte contre les cybermenaces.

Nommé en décembre 2014, le Préfet Jean-Yves Latournerie était interviewé voilà quelques jours par AEF et il expliquait qu’effectivement le moment était venu de créer au sein du ministère de l’intérieur un échelon stratégique sur la question des cybermenaces. Il s’agit de piloter la stratégie de l’ensemble des composantes du ministère de l’intérieur, non seulement dans la lutte contre la cybercriminalité, mais aussi pour la protection des intérêts vitaux de la Nation et la protection des systèmes de traitement automatisé de données du Ministère ou placés sous sa responsabilité. Ce travail doit se faire en lien avec l’ensemble des ministères et des partenaires externes de toute nature (industriels, académiques ou encore associatifs) qui contribuent à cette cybersécurité.

J’appréhende cette nouvelle mission avec une motivation indéfectible, et surtout une très forte reconnaissance pour toutes celles et ceux avec qui j’ai pu travailler, échanger, apprendre, dialoguer, inventer depuis 17 ans en France et à l’étranger contre la cybercriminalité et en particulier l’équipe qui m’accompagne depuis presque cinq ans. Je me réjouis de continuer à travailler au service d’une thématique majeure et qui me passionne, de rencontrer de nouveaux acteurs et de faire progresser le dialogue et la coopération dans ces domaines.

Développeurs, ne partagez pas vos clés avec n’importe qui

OctocatLe phénomène n’est pas nouveau, mais il semble toujours faire des ravages: des utilisateurs de github – une plateforme utilisée notamment pour partager du code logiciel – y publient malencontreusement des données confidentielles (mots de passe, clés d’authentification) en partageant leurs développements. Et certaines de ces données sont particulièrement recherchées, notamment les clés d’authentification sur les plateformes de services telles Amazon EC2 (ou Microsoft Azure).

Amazon EC2 est un service (proposé par Amazon Web Services – ce qui nous rappelle qu’Amazon n’est pas qu’une société de commerce électronique) qui permet notamment de disposer très rapidement de multiples instances de serveurs notamment pour disposer d’une puissance de calcul flexible au moment où l’utilisateur en a besoin.

Le dernier exemple en date – qui a été publié par sa victime pour aider à sensibiliser contre ce risque – s’est déroulé de cette façon:

  • Pendant les vacances de Noël, la victime a voulu tester Ruby on Rails, une plateforme de développement d’applications pour le Web, en l’occurrence pour essayer de développer rapidement un site sur le même modèle que Yelp (un réseau social de recommandation de restaurants et autres commerces) – et il utilise pour ses tests différents services d’informatique en nuage auxquels il semble habitué ;
  • Il se sert notamment de heroku pour stocker son application (elle est en ligne ici d’ailleurs), mais a besoin d’espace pour stocker ses images, il rajoute donc dans sa configuration un espace de stockage sur un compte Amazon à l’essai (en l’occurrence la branche Amazon S3) ;
  • En même temps, il pousse son code sur son compte github, mais se rend compte très rapidement que les clés de l’API d’Amazon, qui servent à identifier de façon unique son compte auprès de leurs services, ont aussi été poussées sur les serveurs de github. Il procède à un nettoyage rapide, s’estimant protégé par le fait qu’il n’avait pas spécialement diffusé l’adresse de son dépôt github pour cette application… (normalement ces fichiers de configuration auraient dû se trouver listés dans le fichier .gitignore pour empêcher une telle bévue)
  • Au réveil le lendemain matin, 4 courriers électroniques d’Amazon l’attendent sur sa boîte mail et un appel en absence. Au bilan, ce sont près de 2400$ qui ont été dépensés à son insu !

Il semblerait en effet que des individus fassent tourner des routines qui cherchent automatiquement et en permanence les mots de passe et clés d’API Amazon ou autres informations confidentielles. Github dispose en effet d’un moteur de recherche qui facilite ce type de découvertes (article d’ITNews qui expliquant ceci au mois de mars 2014). Ces ressources sont ensuite apparemment utilisées pour miner des crypto-monnaies (des Litecoin ou des YaCoin apparemment, d’autant plus profitables si on ne paie pas les ressources utilisées pour les calculs cryptographiques, mais les plus chevronnés chercheront sûrement les crypto-monnaies les plus rentables du moment).

Notre victime de Noël 2014 n’est pas la seule à avoir rendu publique sa mésaventure (on note qu’Amazon est conscient du problème et rembourse les victimes qui se font avoir une première fois) :

Amazon donne ici des conseils utiles pour se protéger et des bonnes pratiques ici. Et de façon générale, si vous êtes un développeur et souhaitez faire profiter les autres de vos développements (sur Github ou d’autres plateformes de partage), faites attention à ne pas publier de données confidentielles dans ces espaces de partage (par exemple, regroupez toute la configuration dans un seul fichier que vous ferez systématiquement attention de ne pas partager et avant de partager, faites une recherche dans votre code). Si vous avez d’autres conseils ou d’autres ressources, n’hésitez pas à les partager en commentaires.

Le fait que deux ans après l’alerte sur ce type de risque ait été lancée, on ait toujours autant de cas montre qu’il faut faire circuler l’information, donc n’hésitez pas à partager l’article !

Petit complément: en mai 2014, un autre événement intéressant a été signalé: des données confidentielles de NBC ont été accidentellement partagées avec un autre utilisateur de Github parce que son pseudonyme ressemblait certainement à celui de la personne normalement concernée. Cela peut vous arriver dans n’importe quelle plateforme de partage (par exemple sur le Drive de Google ou Office.com de Microsoft).

Les détournements de données et leur notification

Big_DataAprès un long silence, ce billet sur la notification des incidents de sécurité, et en particulier ceux qui relèvent de détournements de données à caractère personnel. L’actualité nous en apporte effectivement l’exemple avec le cas de la société Orange qui avertit depuis quelques heures ses clients sur un détournement de certaines catégories de données depuis les systèmes d’information qu’elle gère. La France est en retard, mais c’est le cas dans beaucoup de pays, sur la culture de la notification, et plus généralement sur le choix ou non de rendre public une atteinte à son système d’informations: ce n’est pas une tâche facile pour les responsables de la sécurité des systèmes d’information.

Un nécessaire partage d’informations

En préambule, il est important de se rappeler que tout système d’information est susceptible d’être un jour victime d’une tentative d’intrusion ou d’une intrusion réussie. Cela ne relève pas du marketing de la peur en matière de sécurité numérique, mais d’une réalité bien tangible (voir cet article des Echos qui évoque le marché des données) pour toute personne responsable d’un système d’information et pour ses responsables de la sécurité, administrateurs systèmes et autres acteurs de la chaîne de confiance. Les données, quelles qu’elles soient, ont une valeur, souvent marchande, qui attise d’autant plus l’intérêt des délinquants.

A cela, il faut rajouter les situations où des vulnérabilités sont découvertes et signalées à son responsable par un chercheur, un utilisateur du système ou encore un auditeur. Il revient alors à l’organisation de corriger rapidement la faille, y compris en prenant des mesures conservatoires (indisponibilité du service comme lorsque voilà quelques semaines le fisc canadien rendait indisponible son système de déclaration d’impôts dans la phase de correction de la faille Heartbleed).

Dans tous les cas, il est important de partager l’information avec des cercles plus ou moins larges en fonction des circonstances. Les motivations sont multiples:

  1. informer les organisations exerçant le même métier, les professionnels de la SSI sur des risques particuliers ;
  2. informer les développeurs des solutions logicielles et matérielles concernées, ainsi que potentiellement leurs utilisateurs ;
  3. informer les personnes concernées – lorsque leurs données personnelles sont potentiellement compromises.

Dans le premier cas, ce partage pourra être réalisé publiquement (blogs de certains CERT, de certaines équipes de sécurité qui publient des retours d’expérience, lors de conférences, dans des articles) ou bien dans des cercles plus restreints parce que la confiance y est plus forte et le partage peut rentrer dans des détails plus poussés pour permettre aux autres acteurs du secteur, les utilisateurs d’un même outil, de mettre en œuvre les mesures correctrices avant qu’elles ne puissent être exploitées.

J’ai évoqué la seconde situation à de multiples reprises dans des articles de ce blog (dernier exemple l’an dernier sur les mises à jour de Java), il y a encore de gros progrès à faire dans la façon dont la communauté de la sécurité gère ces questions, mais la prise de conscience est globale.

Enfin, lorsque des données personnelles sont compromises, il peut être nécessaire, après évaluation des données concernées et de leur impact, de prévenir très rapidement les personnes concernées, par exemple pour éviter que leurs numéros de cartes bancaires ne soient utilisés à des fins malveillantes.

A cela, il faut rajouter l’action des autorités de contrôle: en matière de protection des infrastructures vitales (rôle de l’ANSSI en France) ou des données à caractère personnel (CNIL).

Certaines de ces situations sont couvertes par des obligations légales et réglementaires que je vous propose de parcourir rapidement.

Le cadre juridique

En effet, il existe aujourd’hui un cadre juridique (article précédent sur ce même blog appelant à son émergence) qui renforce les obligations de certains acteurs (dont celles introduites par une ordonnance du 24 août 2011, que j’évoquais dans le livre La cybercriminalité en mouvement au paragraphe 6.2.3) et la récente Loi de programmation militaire :

  • l’article L33-1 du code des postes et communications électroniques (CPCE) précise que l’établissement et l’exploitation de réseaux ouverts au public et la fourniture au public de services de communications électroniques est soumise au respect de règles portant sur « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services » ;
  • l’article R20-44-39 (anciennement R20-44-35) du CPCE prévoit que l’office gérant les noms de domaine de premier niveau correspondant au pays (l’organisme chargé par l’Etat de gérer les noms de domaines en .fr notamment) reçoit un cahier des charges qui prévoit des « exigences relatives à la notification aux services de l’Etat des atteintes ou tentatives d’atteintes à la sécurité du service » ;
  • l’article D98-5 du CPCE prévoit des dispositions complémentaires relatives à l’intégrité ou à la sécurité en ce qui concerne les opérateurs: information des abonnés « lorsqu’il existe un risque particulier de violation de la sécurité du réseau » et du ministère de l’intérieur en cas « d’atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services » ;
  • un article L34bis récent inséré dans la loi informatique et libertés, qui vient compléter l’article L34 qui oblige toute personne opérant un traitement de données à caractère personnel à « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (le non respect de cette disposition constitue l’infraction prévue à l’article 226-17 du code pénal), en prévoyant une obligation de notification à la CNIL [EDIT du 08/05/2014] portant spécifiquement sur tout « traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification » [/EDIT] de tout incident important et si nécessaire la communication aux personnes concernées ;
  • enfin, l’article 22 de la Loi de programmation militaire du 18 décembre 2013 (articles L1332-6-1 et suivants du code de la défense) rend obligatoire la déclaration des incidents constatés par les opérateurs d’importance vitale sur leurs systèmes d’information.

Nota: les opérateurs d’importance vitale sont définis par les articles L1332-1 et L1332-2 du code de la défense comme étant d’une part « les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation » et d’autre part « des établissements mentionnés à l’article L. 511-1 du code de l’environnement [installations dites classées pour la protection de l’environnement] ou comprenant une installation nucléaire de base visée à l’article L593-1 du code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population ».

Nota 2: la notification sur le site de la CNIL concernant les fournisseurs de services de communications électroniques (les opérateurs de façon très large) est accessible ici.

A ce jour, le cadre juridique porte donc sur: les opérateurs d’importance vitale, les opérateurs de communications électroniques (dont certains sont aussi des OIV) – ainsi qu’en pratique l’AFNIC – et les personnes qui traitent des données à caractère personnel [EDIT du 08/05/2014](obligation de sécurité pour tous et de notification pour les fournisseurs de services de communications électroniques)[/EDIT].

[Au passage, j’ai noté plusieurs débats sur la question juridique du « vol de données ». Effectivement, il n’est pas constamment accepté en droit français qu’on puisse voler des données (à caractère personnel ou uniquement confidentiel), parce que le vol suppose la soustraction. Toutefois, cette notion de copie frauduleuse de données mériterait vraisemblablement de recevoir un cadre juridique plus protecteur. Lorsqu’il s’agit de données nominatives on pourra évidemment viser la collecte frauduleuse prévue par la loi informatique et libertés. En revanche, pour des données uniquement confidentielles, il n’y a pas à ce jour d’infraction spécifique, ni de terminologie reconnue – il existe par exemple une proposition de loi sur le secret des affaires qui adresse partiellement cette question.]

Conclusion

Le cadre juridique ne fait pas tout, mais pour les secteurs qu’il couvre (données personnelles [EDIT du 08/05/2014] et notamment celles traitées par les opérateurs [/EDIT] et OIV) il permet une plus grande clarté dans la responsabilité des acteurs. Toutefois, on ne peut qu’appeler à de plus amples échanges sur ces questions, qu’il s’agisse d’échanges directs entre professionnels concernés, avec les éditeurs et utilisateurs de solutions ou vers les publics directement concernés à chaque fois qu’il y a des risques ou des incidents avérés.

Enfin, il est essentiel pour toute organisation de se préparer à devoir gérer un tel incident (et donc à l’évaluation de la situation qui en découle, les mesures nécessaires et la communication à réaliser). Les entreprises ou les administrations qui vivent récemment ce type d’événements essuient un peu les plâtres en matière de communication autour de ces sujets parce que la culture ou la législation ne les y poussait pas, mais montrent aussi qu’il est possible de gérer une telle situation.

Et pour conclure, j’ajouterai qu‘il est important que l’on devienne tous plus objectifs et constructifs face à ces situations: il peut arriver à toute organisation des circonstances où les mesures de sécurité prises n’ont pas été suffisantes, toutefois être en mesure de détecter rapidement l’incident (grâce à des mesures internes ou grâce à des signalements externes rapidement pris en compte) est aussi une phase importante de la gestion de ces incidents, puis apporter des informations précises aux personnes concernées en est une autre. Ainsi, sans banaliser ce type d’incidents parce qu’on va en parler de plus en plus quand ils seront rendus publics, il faut surtout apprendre à mieux les gérer ensemble: par exemple, beaucoup d’articles se contentent de relayer l’information sur les incidents (jouant parfois sur le sensationnel) sans apporter aucun conseil exploitable aux lecteurs.

J’en profite donc pour rajouter quelques conseils:

  • si vos données personnelles ont été compromises, il est important d’obtenir et de comprendre de la personne qui les gérait les détails des données concernées ;
  • si votre adresse de courrier électronique a été compromise, il faut renforcer sa vigilance quant aux messages que l’on reçoit – mais ce conseil vaut de façon générale, les adresses de courrier électronique circulant quand même aujourd’hui énormément et ne pas hésiter à signaler les messages problématiques ou suspects ;
  • si votre mot de passe a été compromis (certains sites ne le protègent pas correctement), évidemment il faudra le modifier sur le site concerné, mais aussi pensez à le changer sur d’autres sites où vous auriez placé un mot de passe identique (ce qui en soi est une mauvaise idée, pensez à utiliser des mots de passe variés) – il en va de même pour les questions secrètes de récupération de mots de passe, essayez de les varier quand c’est possible. La CNIL donne un certain nombre de conseils sur la sécurité des mots de passe ;
  • si votre numéro de carte bancaire est concerné (ce qui ne devrait pas arriver chez des commerçants en ligne en France à cause de la règlementation en vigueur mais pourrait survenir sur des sites étrangers), il faut rapidement contacter son agence bancaire pour leur en faire part et vérifier les transactions depuis l’incident, à la recherche de potentielles transactions frauduleuses.

Rendez-vous au FIC 2014

fic 2014Bien installé dans le paysage des événements liés à la cybersécurité, le 6ème Forum International sur la Cybersécurité aura lieu les 21 et 22 janvier prochains à Lille Grand Palais.

Pour vous inscrire: http://www.forum-fic.com/

La thématique générale de cette année est « Identité numérique et confiance », mais vous trouverez dans le programme de nombreux thèmes qui vous intéresseront, notamment ceux qui sont au cœur de la lutte contre la cybercriminalité. Cet événement se veut ouvert et tourné vers les entreprises, les collectivités locales, les administrations et le citoyen. C’est pour cela que cette année encore l’entrée est gratuite. En y participant, vous pourrez échanger dans les couloirs et au moment des pauses, poser des questions lors des débats, des ateliers et des conférences.

Cette année plusieurs nouveautés importantes:

  • l’organisation d’un challenge forensique à destination des étudiants et des débutants dans l’investigation numérique (les inscriptions sont closes depuis le 31 décembre);
  • de nombreux ateliers seront en anglais ou traduits en anglais pour une meilleure ouverture vers nos visiteurs étrangers;
  • l’attribution d’un prix de la PME innovante.

Pour ma part je participerai à deux occasions:

  • Une conférence de 45 minutes sur la lutte contre la cybercriminalité
  • Un atelier que j’animerai avec Guillaume Arcas (Sekoia) sur la réponse aux incidents dans les entreprises. La réponse aux incidents comporte notamment les techniques qui sont mises en oeuvre pour comprendre l’origine et l’importance d’un incident de sécurité informatique, collecter éventuellement des preuves (en vue d’un dépôt de plainte) et aider aux processus de reprise d’activité. Cet atelier se déroulera en trois temps, avec une introduction concrète sur ce qu’est la réponse aux incidents, une démonstration des méthodes utilisées puis une table ronde pour discuter avec la salle des enjeux et difficultés de la réponse aux incidents avec plusieurs intervenants.

Rendez-vous à Lille !

Article 6 de la LCEN

L’article 6 de la loi pour la confiance dans l’économie numérique est l’objet de beaucoup d’attentions et de débats. C’est lui qui fixe en France les règles juridiques principales en matière de régulation des contenus sur Internet et le rôle des différents acteurs impliqués. Il reste – il faut être honnête – complexe à déchiffrer, aussi je vous en propose une lecture commentée.

Le texte complet est disponible, comme d’habitude, sur Legifrance, vous pouvez vous y rapporter.

Parcours de l’article 6

Première partie (I)

1. Définit les fournisseurs d’accès. Ceux-ci ont pour obligation d’informer leurs abonnés sur l’existence de moyens de filtrage individuels (notamment les logiciels de contrôle parental) et d’en proposer au moins un. Ils doivent aussi informer leurs utilisateurs de la liste des moyens permettant d’éviter que sa connexion soit utilisée pour réaliser des contrefaçons d’œuvres de l’esprit (ces moyens n’ont à ce jour pas été décrits).

2. Définit les hébergeurs (personnes physiques ou morales). Ils ne peuvent pas voir leur responsabilité civile engagée à cause d’un contenu illicite qu’elles hébergeraient si elles n’en ont pas eu connaissance préalablement ou si elles n’ont pas pris de mesures pour rendre le contenu inaccessible ou le retirer quand elles en ont eu connaissance.

3. Évoque les mêmes circonstances quant à la responsabilité pénale des hébergeurs.

4. Présenter un contenu comme étant illicite à un hébergeur, alors qu’on est conscient que le contenu n’est pas illégal est puni d’un de prison et 15.000 € d’amende.

5. Cette section définit la façon dont un contenu illicite doit être notifié à un hébergeur. Toute personne peut procéder à une telle notification. La notification (dont la loi ne prévoit pas qu’elle doive être réalisée par courrier recommandé avec accusé de réception):

  • Il convient de saisir d’abord l’auteur ou l’éditeur du contenu litigieux (si son adresse de contact est fournie par exemple), ou à défaut l’hébergeur à qui il faut indiquer les éléments suivants:
  • La date de notification, ses coordonnées (personnelles ou celles de sa société si on agit à titre professionnel)
  • Le nom et l’adresse de la personne à qui on s’adresse (siège social pour une entreprise)
  • La nature des faits litigieux et leur localisation sur Internet (une URL, un numéro ou autre identifiant d’article ou de commentaire, selon le contexte et la plateforme d’hébergement)
  • La description des bases juridiques et factuelles qui font que le contenu identifié est illégal (citation des articles de loi correspondants et en général des mots qui ou de l’élément précis qui revêt un caractère illégal)
  • Copie de l’échange avec l’auteur ou l’éditeur du contenu, ou à défaut justification de la raison pour laquelle on n’a pas pu le contacter.

6. Cette section précise que FAI ou hébergeurs ne relèvent pas de la législation sur les producteurs de contenu de la loi de 1982 sur la communication audiovisuelle.

7. Cette section vient préciser les missions préventives des hébergeurs et fournisseurs d’accès:

  • Ils n’ont pas d’obligation générale de surveillance des contenus qu’ils transportent ou stockent
  • L’autorité judiciaire peut prescrire des mesures de surveillance ciblée et temporaire
  • Ils concourent à la lutte contre les contenus constitutifs d’apologie des crimes contre l’humanité, d’incitation à la haine raciale, de pédopornographie, d’incitation à la violence – notamment les violences faites aux femmes, ou portant atteinte à la dignité humaine, ainsi que la pornographie lorsqu’elle est susceptible d’être vue ou perçue par un mineur
  • Ils mettent en place un dispositif de signalement de ce type de contenus, facilement accessible et visible (on notera que ce dispositif de signalement de contenus illicites particuliers est totalement distinct de la procédure de notification de contenus illégaux, décrite dans la section 5 au dessus, qui demande a priori plus de formalisme)
  • Ils doivent informer promptement les autorités publiques des contenus illégaux de cette nature qui leur sont signalés.
  • Ils doivent informer publiquement sur les moyens qu’ils mettent en place pour lutter contre ces contenus illicites en particulier (ces moyens ne se limitent donc pas a priori à mettre en place un dispositif de signalement) .
  • Ils informent leurs usagers des sites de jeux en ligne tenus pour répréhensibles (renvoie au rôle de l’autorité de régulation des jeux en ligne)

Cette section prévoit enfin que l’autorité administrative peut prescrire aux fournisseurs d’accès des mesures de blocage de contenus pédopornographiques.

8. Cette dernière section prévoit qu’un juge (saisi en référé ou sur requête) peut prescrire toutes mesures propres à prévenir ou faire cesser un dommage.

Deuxième partie (II)

Cette partie est relative aux données d’identification que doivent détenir et conserver les FAI et hébergeurs. J’évoquais le décret d’application de cette mesure dans un billet précédent.

Dans la partie IIbis qui suit, on retrouve les dispositions quant à l’accès à ces données par les services en charge de la prévention des actes de terrorisme. Cette partie est supprimée par l’article 20 de la loi de programmation militaire votée récemment et remplacée par de nouvelles dispositions du code de la sécurité intérieure, à partir du 1er janvier 2015.

Troisième partie (III)

Cette partie inclut les obligations des éditeurs de sites Web personnels ou professionnels. J’en détaillais les dispositions dans un billet précédent.

Quatrième partie (IV)

Cette partie vient préciser les conditions d’exercice du droit de réponse suite à une publication sur Internet:

  • la demande est adressée par la personne nommée ou désignée dans la publication à l’éditeur du contenu ou, si elle est anonyme, à l’hébergeur
  • elle doit être présentée dans un délai de trois mois suivant la publication
  • la personne contactée a trois jours pour publier le droit de réponse (à défaut il pourrait être condamné à une amende correctionnelle de 3750 €).

Cinquième partie (V)

Cette partie rappelle, pour éviter tout doute, que les dispositions de la loi sur la liberté de la presse s’appliquent quant à la nature des publications illégales (de l’incitation à la haine en passant par l’apologie des crimes de guerre, etc.) ainsi que la durée de la prescription.

Sixième partie (VI)

Cette dernière partie vient préciser les peines encourues par les hébergeurs, FAI ou éditeurs de services de communication au public en ligne qui ne respecteraient pas les dispositions prévues dans cet article (un an d’emprisonnement et 75000 € d’amende, ainsi que des peines spécifiques possibles pour les personnes morales).

Modifications envisagées

Le projet de loi pour l’égalité entre les femmes et les hommes actuellement en débat au Parlement (1ère lecture en cours à l’Assemblée nationale, après le Sénat cet été) propose une modification:

Article 17

Le troisième alinéa du 7 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :

  • 1° Après les mots : « haine raciale », sont insérés les mots : « , à la haine à l’égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap, » ;
  • 2° Les mots : « et huitième » sont remplacés par les mots : « , huitième et neuvième » ;
  • 3° La référence : « articles 227-23 » est remplacée par les références : « articles 222-33-3, 227-23 ».

Il s’agit donc de renforcer les obligations des FAI et des hébergeurs dans la prévention des infractions de presse relatives à la haine à l’égard de personnes à raison de leur sexe, de leur orientation, identité sexuelle ou de leur handicap, ainsi qu’en matière de prise ou de diffusion d’images de violence de l’article 222-33-3 du code pénal (ou « happy slapping »). Ainsi, un hébergeur ou un fournisseur d’accès devront prendre des mesures préventives adaptées contre ces infractions (gestion de la modération par exemple, ou sensibilisation du public) et notamment inclure ces infractions dans leur dispositif de signalement facilement accessible et visible (pour beaucoup il s’agira de rajouter une ou deux cases à cocher, et ils se verraient soumettre un nombre de signalements manifestement plus important) et lorsque les agissements sont effectivement illégaux d’en informer les autorités publiques compétentes (très souvent c’est la plateforme interministérielle https://www.internet-signalement.gouv.fr/, déjà compétente pour tout contenu ou activité illicite signalée sur Internet, qui est saisie).

On notera que nonobstant ces dispositions spécifiques, il est déjà possible de recourir à la procédure de notification plus complexe du I – 5 de l’article 6 de la LCEN pour ce type d’infractions (comme pour toute infraction). Il ne s’agit donc pas d’une évolution dans le type d’infractions qui peuvent être notifiées aux FAI et hébergeurs, mais bien d’une extension du dispositif de signalement d’accès facilité, pour permettre à tout internaute de facilement signaler un contenu relatif à ce type de propos discriminatoires, ou au happy slapping, mais aussi d’attirer plus particulièrement l’attention de ces acteurs sur ce type de contenus.

Botconf – Première conférence sur la lutte contre les botnets – Bilan

Botconf-Poster-WebQuelques mois déjà que je n’ai pas publié sur ce blog, plein de boulot comme beaucoup, mais surtout un événement important à organiser: la première conférence sur la lutte contre les botnets, Botconf. Nous étions ainsi plus de 160 personnes du monde entier rassemblés les 5 et 6 décembre derniers à Nantes (Loire-Atlantique, France).

Les origines

Depuis un peu plus de deux ans je suis engagé dans une thèse de doctorat sur la lutte contre les botnets. Pendant ces travaux je suis amené à rencontrer et échanger avec des spécialistes de toutes origines (chercheurs du monde académique et industriel, mais aussi des chercheurs indépendants et évidemment des spécialistes d’autres services officiels en France et à l’étranger), lire des papiers scientifiques, des articles de blog et assister à des conférences. Une confirmation d’abord: les botnets préoccupent aujourd’hui beaucoup d’acteurs, de nombreuses réflexions, expérimentations et actions sont menées pour lutter conte eux.

Note pour les lecteurs moins assidus de mon blog: les botnets sont des réseaux constitués par des ordinateurs sous le contrôle d’un virus informatique – une fois infectés par ce virus ils se connectent à un système de commande et de contrôle (souvent un site Web, mais ça peut être aussi un système de communication pair à pair ou encore en abusant d’un réseau social tel que twitter comme canal de communication). L’utilisation de ces réseaux de machines est varié: diffusion de spams ou encore d’autres virus, collecte d’informations confidentielles sur les ordinateurs infectés, conduite d’attaques en déni de service coordonnées, etc. Il s’agit de l’infrastructure cybercriminelle la plus utilisée aujourd’hui sur Internet.

Mais pour ce qui est des conférences ouvertes sur la sécurité, beaucoup traitent d’aspects intéressants et en rapport avec les botnets, mais les sujets sont parfois isolés et dans la salle peu sont les participants qui en général travaillent spécifiquement sur cette question – même si elle touche beaucoup d’univers de la sécurité numérique – et donc il y a rarement de vrais débats ou retours. Il existe évidemment des conférences qui touchent aux virus informatiques (on peut citer ECIW 2012 qui était organisé chez nos amis de l’ESIEA à Laval, la conférence de Virus Bulletin qui aura lieu du 24 au 26 septembre 2014 à Seattle ou encore Malcon). Il existe des conférences plus confidentielles où ces questions sont évoquées (à Interpol et Europol évidemment ou encore le Digital crimes consortium organisé chaque année par Microsoft). Il m’a donc semblé, avec un groupe de participants actifs de la communauté Botnets.fr qu’il y avait de la place pour une conférence ouverte traitant spécifiquement de la lutte contre les botnets.

L’organisation

C’est un travail d’équipe avant tout. Ainsi, même si tous n’ont pas pu venir à Nantes, nous avons été une bonne dizaine à participer activement de près ou de loin au succès de cette conférence. Je vais citer leurs pseudonymes sur twitter et par ordre alphabétique: @ackrst@fabien_duchene@FredLB@g4l4drim, @gcouprie@Jipe_@penpyt@_Reza__@r00tbsd@sanguinarius_Bt@Sebdraven, @udgover ainsi que @vloquet pour les relations presse. Plus généralement, c’est la communauté Botnets.fr dans son entier qui s’est beaucoup mobilisée pour nous soutenir – au moins moralement – et bien entendu des sponsors qui nous ont progressivement rejoints pour permettre à l’événement de se réaliser.

En pratique, nous avons déposé les statuts d’une association dès le mois de novembre 2012 pour offrir un cadre juridique clair à l’organisation, monté une évaluation du budget et commencé à rechercher les meilleurs endroits pour organiser cette conférence. Une partie de l’équipe étant basée à Nantes, c’est dans cette ville que nous avons choisi de commencer l’aventure. La Chambre de commerce et d’industrie de Nantes dispose de locaux très adaptés à ce type d’événements, à des coûts particulièrement raisonnables et nous nous sommes donc tournés vers eux (et l’accueil sur place fut excellent). Le comité scientifique a été construit en même temps pour garantir une construction du programme incontestable, je tiens à tous les remercier: Hendrik Adrian (Japon), José Araujo (France), Domagoj Babic (USA), Gilles Berger-Sabbatel (France), Guillaume Bonfante (France), Nicolas Brulez (France), Alexandre Dulaunoy (Luxembourg), Barry Irwin (Afrique du Sud), Denis Laskov (Israël), Corrado Leita (France), Jean-Yves Marion (France), David Naccache (France), Fred Raynal (France).

botconf-header-logo-300x97

Bien entendu, nous avons créé un site Web (sous WordPress pour cette année) et lancé l’appel à papiers : la gestion de la soumission des papiers s’est faite sur Easychair, qui s’est révélé très efficace (et c’est gratuit). Beaucoup de détails ensuite, mais qui ont toute l’importance: conception graphique, impression d’affiches et des t shirts, kakémonos, trouver des restaurants, un traiteur et des chambres d’hôtel pour les conférenciers… Une partie importante du calage du budget portait évidemment sur les frais d’inscription: nous avions prévu un tarif réduit pour les étudiants (que nous avons aussi proposé aux personnes sans emploi) et aux services de police. La gestion de la vente des tickets elle-même s’est fait avec un module additionnel de WordPress (WP Event Ticketing) et les tickets eux-mêmes ont été envoyés par courrier électronique aux participants pour impression, une fois pliés en 4 ils formaient un badge lisible inséré dans une pochette A6.

Le déroulement

BotConf13-30Le déroulement de la conférence fut sans encombre: messages préalables aux conférenciers et participants pour les informer sur la façon d’accéder à Nantes par avion, par train et jusqu’à la salle de la conférence, dîner avec les conférenciers le 4 décembre au soir, l’accueil et la validation des badges au moment de l’arrivée (juste trois cas particuliers à régler sur 168… ouf !) puis respecter le timing tout au long du programme des exposés, gérer les pauses et le repas convivial qui nous attendait dans un restaurant installé sur la Loire, puis faire repartir en sécurité tous nos participants ! Pendant une grosse partie de la conférence, les présentations étaient diffusées en direct par webcast.

Le bilan

Le programme de la conférence était équilibré, vous pouvez le consulter ici avec les présentations et d’ici quelques jours avec les vidéos des conférences. Ainsi, étaient couverts des sujets sur le fonctionnement des botnets, leur détection dans les réseaux, la mitigation et les méthodes de lutte (techniques, mais aussi plus opérationnelles, y compris au travers d’une présentation d’Europol).

Plusieurs blogs ont déjà fait le bilan de la conférence:

et une petite recherche sur twitter vous ramènera quelques retours très sympathiques.

Et après ?

Le succès de la conférence et les nombreux retours positifs nous poussent à renouveler l’aventure en 2014. Après avoir fait le bilan au travers d’un questionnaire de satisfaction diffusé ce week-end aux participants, nous entamerons les travaux de préparation de Botconf 2014. Je peux d’ores et déjà vous annoncer qu’elle devrait se dérouler à Nancy, avec le soutien de l’équipe du Laboratoire de haute sécurité du LORIA, la première semaine de décembre 2014 et que la première étape sera l’ouverture de l’appel à papiers et propositions de conférences dès le début de l’année. Cette année, nous souhaitons voir plus de présentations dans des domaines connexes mais importants dans le champ de la lutte contre les botnets: le droit, l’étude des groupes criminels qui gèrent ces botnets (comment ils se rencontrent, se coordonnent, qui les composent). Merci encore aux participants, aux conférenciers, à nos sponsors et à la super équipe d’organisation ! Si vous souhaitez en suivre l’actualité, connectez-vous à @Botconf et rendez-vous l’année prochaine!