Éric Freyssinet

Forum du Rhin Supérieur sur les Cybermenaces 2012

Le Forum du Rhin Supérieur sur les Cybermenaces se tient l’après-midi du 6 novembre 2012 à Strasbourg, dans les locaux de l’Ecole nationale d’administration. Il est organisé par la région de gendarmerie d’Alsace et les officiers de la réserve citoyenne de la gendarmerie. Le thème cette année: «Assurer la confiance malgré les menaces». En 2011, le FRC présentait les résultats d’une étude prospective sur la cybercriminalité de 2011 à 2020 (en pièce jointe, la version anglaise de cette étude ainsi que la version originale en français). Le programme est disponible ici en téléchargement.

Le général d’armée (2S) Marc Watin-Augouard introduit la conférence sur les enjeux de la confiance et de la cybercriminalité.

Trois tables rondes au programme, précédées de deux discours introductifs. Parmi les points clés soulignés par le Général d’armée (2S) Marc Watin-Augouard: la création d’une juridiction spécialisée au niveau national, formation des policiers et gendarmes dès leur formation initiale à la prise en compte du numérique dans leurs missions. Daniel Guinier, quant à lui, développe les enjeux de la dématérialisation: ses différentes composantes (et notamment son application dans les marchés publics qui est de plus en plus souvent obligatoire), sa sécurisation (il fait référence au référentiel général de sécurité).

Les menaces de vol et de détournement d’informations

Dominique Schoenher (Ecole des officiers de la gendarmerie nationale) introduit cette table ronde en soulignant la sensibilité et la vulnérabilité de l’information des entreprises.

Jean-Marc Kolb (CCI Alsace, directeur pour l’économie numérique) revient sur la dématérialisation des procédures: reste à franchir le pas de la délivrance de certificats à des personnes morales et de passer à l’échelle européenne, la faible visibilité sur la pérennité des technologies, la durée de conservation, les risques dans le cycle de vie du document et dans sa transmission; il évoque la tendance forte qui consiste à faire appel à des tiers d’archivage.

Dominique Schoenher revient sur le hameçonnage, notamment quand il cible les entreprises (par atteinte de la marque, ou en la ciblant plus particulièrement par l’abus de l’image de ses partenaires de confiance) et ses formes les plus nouvelles (vishing, smishing, whaling) – rappel: pour faire un signalement de sites de hameçonnage, vous pouvez vous connecter sur http://www.phishing-initiative.com.

Enfin, l’intervention de Maître Cécile Doutriaux porte sur l’exfiltration d’informations de l’entreprise, en particulier par une source interne, et commence par une vidéo démontrant l’utilisation de la stéganographie utilisée par un employé malveillant. L’ordinateur a pour elle peut-être rendu encore plus simple le partage frauduleux d’informations confidentielles; elle revient sur la réglementation et la jurisprudence encadrant les actions que peut réaliser l’employeur pour contrôler l’action de ses salariés (voir l’article de PC Inpact à ce sujet, les recommandations de la CNIL et encore). Pour prévenir ces risques, elle recommande les outils classiques: charte informatique (signée par l’employé ou rendue publique de façon convenable – voir à ce sujet l’arrêt de la chambre sociale de la Cour de Cassation du 15 décembre 2010) et mesures contractuelles (clauses de confidentialité et de non-concurrence, ces dernières devant être limitées dans le temps et dans l’espace). La surveillance technique des flux entrants et sortants doit être déclarée auprès de la CNIL. Judiciairement, le vol peut rarement être retenu, en revanche l’abus de confiance ou la violation du secret de fabrique sont des solutions opérationnelles, ainsi que bien entendu l’obtention de réparations au civil. Me Doutriaux rappelle l’existence d’une proposition de loi sur la violation du secret des affaires.

Les menaces au vu de l’organisation du travail

Daniel Guinier est chargé de l’introduction de cette seconde table ronde et cite quelques chiffres : en 2012, 70% des utilisateurs reconnaissent enfreindre la sécurité au motif de faciliter leurs tâches; en 2013 25% des téléphones mobiles seront des smartphones; en 2015 nous aurons 15 milliards de terminaux mobiles dans le monde… Et un tour des risques: les systèmes d’information de l’entreprise sont utilisés dans l’entreprise, à domicile, en nomadisme ou en télétravail; toutes sortes de supports sont utilisés pour traiter ou stocker l’information (de l’ordinateur personnel au cloud computing en passant par les terminaux mobiles); les outils bureautiques sont autant de sources de problèmes (du papier à la photocopieuse).

Jean-Luc Lang (DSI Wolfberger, Président du Club informatique de l’Est), revient sur les enjeux du fameux « BYOD » (sécuritaires et juridiques).

Bruno Barge (RSI Lohr Industrie, Clusir Est) intervient sur les menaces liées au nomadisme. Il partage quelques questions et constats: comment conserver la sécurité des informations dans un contexte où les activités personnelles et professionnelles se mélangent? le comportement des usagers est au cœur de la sécurité; les digital natives mettent au service de l’entreprise leurs réseaux, une nouvelle richesse. Dans l’installation de l’entreprise à l’étranger leur expérience est la suivante: les coûts de l’itinérance par les réseaux de téléphonie mobile ne sont pas négligeables; l’accès Internet est nécessaire et peut conditionner aujourd’hui une implantation à l’étranger; les différences culturelles doivent être prises en compte, mais il faut savoir imposer ses standards de sécurisation: il faut formaliser les règles, former les gens, ne pas hésiter à déplacer un familier de l’entreprise, conserver certains pouvoirs à l’échelon central, cloisonner les réseaux et garder la maîtrise de la mise à disposition des données. Il préconise le chiffrement des disques durs et des supports amovibles.

Laurent Schmerber (Président Schmerber et 3MA Group) Dresse un panorama des risques liés aux imprimantes et aux photocopieurs. Sa présentation est introduite par une vidéo de sensibilisation sur les risques des copieurs, qui contiennent effectivement des disques durs et sont souvent connectés au réseau.

Les sources de menaces à l’encontre des organismes

Après une introduction par Gilbert Gozlan (Directeur territorial sûreté Nord-Est la Poste), cette table ronde avait trois invités:

Votre serviteurje suis intervenu sur les botnets et les risques qu’ils peuvent présenter aujourd’hui pour les entreprises, notamment par leur variété (voir le Wiki Botnets.fr que j’anime pour ma thèse) et par les modes de contamination (voir l’article que je publiais voilà quelques semaines et notamment les contaminations via des plateformes d’exploit ou par la réception de courriers électroniques piégés) et de communication (souvent par le le protocole HTTP utilisé par le Web et donc souvent accessible depuis le réseau des entreprises) qui rendent leur présence dans les réseaux des entreprises plus facile. En outre, par beaucoup d’aspects, ils peuvent cibler plus sévèrement encore les entreprises, par exemple pour y dérober des informations confidentielles, des connexions vers des banques en ligne, etc.

Philippe Rosa (Directeur associé Eurostratèges) ensuite est intervenu sur le sujet des réseaux sociaux et des risques qu’ils peuvent présenter pour les entreprises s’ils ne sont pas maîtrisés, qu’il s’agisse de messages publiés involontairement ou non par les employés et qui peuvent nuire à l’image de l’entreprise ou révéler des informations confidentielles, par des concurrents qui souhaiteraient nuire à votre image ou encore la publication de faux avis sur des produits ou des services (un sujet particulièrement veillé par les services de la répression des fraudes). Pour prendre en compte ces sujets dans les organisations, il est indispensable de fixer des règles, d’informer ses collaborateurs, par exemple en publiant un guide (le ministère de la défense a diffusé récemment un guide très réussi sur ce sujet), en réalisant des formations. Enfin, il souligne l’importance d’une veille sur ces médias, qui ne demande pas forcément énormément de ressources (commencez par cet article sur Presse-Citron) et la nécessité de disposer de gestionnaires de communauté en ligne qui soient bien formés et en même temps qui ne soient pas livrés à eux-mêmes lorsqu’il faut répondre au public sur des sujets précis voire techniques.

La dernière intervenante était Maître Denise Gross, avocate au barreau de la Plata (Argentine) et doctorante à l’université de Strasbourg. Son intervention établissait un portrait de l’ingénierie sociale, des techniques qu’elle met en œuvre et des parades qui peuvent être employées, la plus importante selon elle étant de former ses personnels à détecter et réagir aux tentatives d’ingénierie sociale (notamment grâce à des jeux de rôle) et d’intégrer dans les équipes d’analyse et de réaction aux incidents la mission de prendre en compte ce type d’alertes, tout en admettant la possibilité que des employés se trompent et en les incitant à rapidement informer la hiérarchie lorsqu’ils surviennent.

Au final donc une après-midi très intéressante avec près de 150 participants de toute l’Alsace, en espérant qu’elle aura apporté aux entreprises et administrations présentes de nombreuses informations utiles pour prévenir de futurs risques cybersécuritaires et cybercriminels.

 

Signaler le spam

Il n’est pas besoin de préciser ce qu’est le spam, en général tout internaute même débutant y a déjà été confronté, c’est une des plaies principales de la vie sur Internet.

Plusieurs sources permettent d’avoir une idée de l’ampleur du problème. Ainsi, Trustwave publie une page de statistiques tenue automatiquement à jour, avec des informations intéressantes sur le volume de spam (73% des courriers traités par leurs plateformes) ou encore leur source (essentiellement des botnets, comme Lethic, Cutwail, Grum, Kelihos,…) ou leur sujet (médicaments, propagation de virus informatiques, contrefaçons, etc…). Un autre prestataire de solutions antispam, Cisco Ironport, annonce des taux identifiés autour de 85%; Barracuda Networks relève près de 80% dans ses mesures. Le M3AAWG enfin relève un taux assez constant de l’ordre de 88 à 90% de messages jugés « abusifs ».

Les catégories de spam selon le rapport de Kaspersky Lab en août 2012 (cliquer sur l’image)

Pour beaucoup d’internautes, une solution antispam est mise en place par leur opérateur, qu’il s’agisse de solutions commerciales comme celles que nous venons d’évoquer ou de solutions basées sur des logiciels opensource comme SpamAssassin, ASSP ou DSPAM. Ainsi, l’essentiel des spams ne parviennent jamais dans votre boîte aux lettres. Certains dont la destinée est incertaine parviennent automatiquement dans une boîte intitulée « Spam » par votre prestataire de messagerie, vous permettant d’y récupérer éventuellement des faux positifs. Enfin, quelques-uns parviennent tout de même à passer les barrières et arrivent jusque dans votre boîte aux lettres principale.

Finalement, en plus des messages légitimes de ses correspondants, on reçoit dans sa boîte aux lettres quelques messages malveillants, qui ont réussi à passer les solutions de sécurité existantes, ainsi que des messages à caractère commercial dont certains nous intéressent mais pour d’autres on ne sait pas toujours pourquoi on en est rendus destinataires ou s’il est possible de ne plus les recevoir.

Nous avons ainsi plusieurs catégories de messages dans les boîtes des usagers:

  • des courriers légitimes de la part des contacts des internautes;
  • des courriers à caractère commercial que l’usager souhaite recevoir (factures et états de commande, information commerciale souhaitée comme des promotions) – la prospection commerciale n’est pas en soi illégale, c’est contre les abus, les mauvaises pratiques, voire les pratiques illégales qu’il faut lutter;
  • des courriers totalement illégaux (hameçonnage, vente de produits illégaux, diffusion de virus informatiques);
  • des courriers à caractère commercial que l’usager ne souhaite pas recevoir (prospection commerciale non souhaitée ou plus souhaitée); dans cette catégorie, on retrouve plusieurs cas, selon que la prospection est réalisée à partir d’informations personnelles collectées:
    • directement auprès du destinataire avec son consentement (et il a le droit de s’y opposer ultérieurement);
    • par des tiers auprès du destinataire et fournies à l’annonceur de façon transparente et légale (même commentaire);
    • par des tiers auprès du destinataire et fournies à l’annonceur sans l’autorisation de la personne (et il s’agit au moins d’un dysfonctionnement, voire d’une action illégale);
    • illégalement (sans le consentement éclairé et librement exprimé par la personne), par exemple en collectant les adresses publiées sur des forums.

Pour les messages qui arrivent finalement dans sa boîte de courrier électronique et qu’il ne souhaiterait pas recevoir, il n’y a que l’internaute qui puisse agir. C’est pour traiter le problème de ces messages non filtrés par les plateformes automatisées qu’est né le projet Signal-Spam en 2003, sous l’impulsion de la direction du développement des médias. D’abord il s’agissait d’un groupe de contact contre le spam, qui est devenu une association loi 1901 en 2005. En 2007 l’association lançait son outil de signalement, une extension pour les logiciels de messagerie Thunderbird et Outlook. Enfin, il était possible d’avoir accès aux messages qui sont réellement problématiques pour les internautes.

Très concrètement, les messages qui sont signalés par les internautes font tous l’objet d’une intégration dans la base de données et sont triés en fonction de leur origine. Ainsi, des messages d’alerte peuvent être adressés sous forme de boucle de rétroaction, vers les personnes qui ont émis ces messages, soit qu’il s’agisse de membres de l’association, soit qu’ils fassent l’objet d’une convention spécifique. Chaque destinataire d’une boucle de rétroaction ne reçoit que les données strictement nécessaires pour lui permettre d’identifier les messages problématiques et ce uniquement pour des messages qu’il a pu émettre ou faire transiter.

Suivant l’association de loin en loin, parce que le sujet du spam fait partie de nos préoccupations professionnelles, j’ai accepté en juin 2011 de prendre à titre personnel une participation plus active dans cette association en étant élu vice-président (conformément aux statuts de l’association cette tâche m’est confiée à titre personnel et non en tant que personnel de la gendarmerie et les membres du bureau ne reçoivent aucune rémunération pour leurs fonctions). En effet, nous partagions tous le constat que le fait que l’association existe était positif, mais qu’il y avait de gros progrès à faire sur ses moyens d’action, c’était donc logique de m’investir un peu plus. Mon engagement a donc comporté deux volets: le développement de l’association – et notamment accompagner ses progrès dans la prise de conscience collective de la nécessité de combattre contre le spam, et la construction d’une démarche déontologique, garante des moyens d’action de l’association.

Mettre tous les acteurs autour de la table

Dans La cybercriminalité en mouvement (Ed. Hermès-Science Lavoisier, 09/2012), j’ai consacré tout le chapitre 11 (Le partage comme arme) à la conviction que j’ai construite avec les années qu’il est indispensable d’échanger et d’agir collectivement avec toutes les parties prenantes pour traiter les problèmes liés à la cybercriminalité. Ça semble évident, mais encore faut-il le réaliser concrètement.

Ainsi, la France s’est dotée par la loi en 2001 d’un Observatoire de la sécurité des cartes de paiement, plaçant autour de la table, dans un cadre institutionnel, des élus, les administrations, les banques, les consommateurs, les commerçants, les schémas de paiement par carte bancaire et des experts choisis pour leurs compétences. Autre expérience intéressante, le Forum des droits de l’Internet a permis pendant presque dix ans de faire vivre le débat sur de nombreux sujets touchant aussi à la cybercriminalité, par exemple en matière de protection des enfants sur Internet. A l’étranger, on voit des initiatives du même ordre, tels des forums sur la fraude bancaire (Electronic crimes task force des Pays-Bas lancée en 2011), le projet Infragard du FBI aux Etats-Unis, ou l’association e-crime Wales au Pays de Galles. Toutes ces structures ont des formats et des objectifs différents, mais participent du même objectif de partage et de l’action collective.

Pour Signal-Spam, il était important d’avoir autour de la table non seulement ceux qui peuvent agir contre le spam reçu par leurs clients, mais aussi ceux dont le métier est l’envoi de courriers électroniques, qu’il s’agisse des annonceurs ou encore des professionnels auxquels ils font appel pour fabriquer leurs messages, identifier éventuellement les destinataires intéressés ou encore les relayer. D’abord pour bien comprendre comment tout cela fonctionne, établir le dialogue entre tous les professionnels, ensuite pour être en mesure de transmettre efficacement à ces acteurs l’information sur les plaintes qui remontent des usagers.

Ainsi, les fournisseurs d’accès reçoivent à destination de leurs usagers des messages illégitimes ou abusifs, mais ils peuvent aussi émettre à leur insu de tels courriers électroniques, par exemple lorsque certains de leurs clients sont contaminés par un virus informatique lié à un botnet émettant du spam. Les annonceurs et les professionnels de la messagerie ont aussi leur place. C’est une critique qui est souvent faite à Signal Spam que d’avoir parmi ses membres des entreprises qui sont parfois négativement perçues par le public, et c’est pourtant ce qui fait son point fort, car elle est en mesure ainsi d’agir directement sur leurs pratiques et de leur faire parvenir efficacement les plaintes des internautes. Pour ceux dont le métier est de faire de la prospection commerciale, ils ont tout intérêt à ce que leur message soit bien perçu par leurs destinataires. Enfin, on retrouve des sociétés spécialisées dans la sécurisation du courrier électronique et les organismes publics concernés par ces questions. La CNIL est concernée très directement par le travail de l’association dont les informations contribuent à orienter ses contrôles (ces contrôles peuvent d’ailleurs porter indifféremment sur des entreprises sans rapport avec Signal Spam ou si c’était nécessaire membres de l’association, voir le site de la CNIL). Les internautes participent directement par leurs signalements, on peut imaginer que dans un avenir proche des associations qui les représentent viennent compléter le tour de table.

Charte de déontologie

C’était un point clé de mon engagement l’an dernier, et nous avons mené ce projet collectif en quelques mois, en dotant l’association d’une charte de déontologie; elle a été adoptée par l’assemblée générale de juin dernier. Son contenu tient en quelques idées maîtresses:

  • afficher clairement les engagements concrets de ses membres dans la lutte contre les courriers non sollicités, chacun selon son rôle;
  • disposer d’un outil concret pour dialoguer avec les futurs membres sur les mesures qu’ils doivent implémenter avant de rejoindre l’association et avec les membres actuels pour mesurer avec eux leur action;
  • de spécifier les engagements des destinataires de boucles de rétroaction qui ne sont pas membres de l’association;
  • et garantir l’indépendance de l’association et des organismes publics associés par rapport à ses membres pour leur permettre de jouer un rôle de médiateur.

Ainsi, il s’agit tout autant de permettre aux internautes, dans le respect des règlements en place, de pouvoir facilement faire cesser tout message qu’ils considéreraient comme abusifs de la part d’un membre, directement auprès de ceux-ci parce qu’ils ont des fonctions transparentes et claires d’information et de désinscription ou encore de gestion des abus, que de permettre aux membres entre eux d’établir un dialogue pour la bonne circulation des courriers électroniques légitimes. Enfin, il s’agit évidemment de permettre à ce que l’action collective de Signal Spam soit réalisée sous les meilleurs auspices en traitant le plus efficacement possible les signalements reçus des internautes.

Dans les mois qui viennent, tous les membres de l’association auront ainsi informé leurs usagers de la façon dont ils ont implémenté la charte, le règlement intérieur va être adapté pour inclure très rapidement (dès ce mois d’octobre 2012 en pratique) la charte dans les procédures d’acceptation de nouveaux membres ou de destinataires de boucles de rétroaction. Enfin, il s’agit d’un document évolutif et des améliorations sont attendues sur le texte d’ici l’année prochaine sur la base des débats qui ont repris.

Pour l’avenir

La charte déontologique fait donc clairement partie des actions pour l’avenir, car il faudra faire le bilan de son application, mais d’autres chantiers sont entrepris. Le premier a été celui de la communication et un nouveau site Web a pu être enfin lancé au début de l’année 2012. Beaucoup plus dynamique, il va permettre de publier plus régulièrement de l’information et par exemple des efforts seront entrepris dès 2013 pour diffuser plus d’informations vers les internautes sur l’action concrète de l’association, notamment des informations statistiques.

De nouvelles extensions pour des logiciels de messagerie devraient voir le jour et d’autres modes de signalements proposés aux internautes, mais je laisse le soin à l’association de faire les annonces le moment venu, mon petit doigt me disant que les quelques semaines qui viennent devraient avoir leur lot de bonnes nouvelles.

Ensuite, une refonte complète du moteur qui traite l’ensemble des signalements au cœur de Signal Spam est en cours de réalisation et une plateforme de traitement plus performante devrait voir le jour en 2013.

Enfin, de nouveaux membres rejoindront nous l’espérons l’aventure et des partenariats seront développés avec des structures similaires dans d’autres pays pour échanger des informations qui nous concernent réciproquement, par exemple lorsque des adresses IP d’un autre pays sont à l’origine des messages signalés (ainsi, Signal Spam et son alter ego OPTA aux Pays-Bas ont déjà signé un partenariat).

Pour envisager d’autres pistes de notre travail, il faut se rappeler que le spam n’est pas présent que sur le courrier électronique, mais aussi sur des messageries instantanées, les réseaux sociaux – et on a déjà parlé ici de l’action du 33700 en matière de lutte contre le spam par téléphone. Ces autres plateformes sur Internet sont certainement un des axes de travail pour le futur de l’association.

Signalez, participez

Pour que cela fonctionne, il est indispensable que les internautes participent, par leurs signalements à cette lutte contre les messages non sollicités.

La mise en place du nouveau site Web a entraîné des difficultés concrètes pour la réalisation des signalements et de nombreux internautes nous ont patiemment aidé à résoudre ces problèmes en contactant l’association. Aujourd’hui, des difficultés beaucoup moins nombreuses, mais réelles sont parfois rencontrées au moment des pics de trafic. C’est une des raisons pour lesquelles nous allons faire évoluer l’infrastructure. Toutefois, en attendant cette migration majeure, des évolutions plus discrètes sont régulièrement réalisées pour améliorer nos capacités dans l’architecture actuelle. Le chargé de mission de l’association s’efforce d’apporter des réponses à chaque internaute qui fait part de difficultés, mais des efforts seront encore entrepris en 2013 pour mieux informer les utilisateurs sur les incidents techniques.

Aussi n’hésitez pas à participer en vous inscrivant, en signalant les courriers électroniques qui vous posent problème, et si nécessaire en nous faisant part des difficultés techniques quand vous en rencontrez.

Je suis bien conscient qu’il y a encore énormément de chemin à parcourir et que le problème du spam est loin d’être réglé en France. Il est possible donc qu’il y ait des commentaires négatifs suite à ce billet sur la qualité des résultats de Signal Spam. Je m’efforcerai de répondre à tous les messages du moment qu’ils sont, comme c’est la règle sur ce blog, écrits de façon conforme à la netiquette et constructifs.

La cybercriminalité en mouvement – qu’y trouve-t-on ?

Certains d’entre vous ont peut être déjà parcouru le sommaire ou le résumé du livre dont je vous ai fait l’annonce récemment, mais je vous propose une petite histoire du parcours qui m’a amené jusqu’au résultat final.

Voilà quelques temps, j’avais écrit un article pour la revue Réalités industrielles de novembre 2010, qui portait le même titre « La cybercriminalité en mouvement« . L’enjeu était pour moi de montrer qu’il fallait constamment adapter son analyse de la situation cybercriminelle aux évolutions des technologies et des usages et bien évidemment aux pratiques des délinquants, mais aussi de montrer que les évolutions sont en perpétuelle accélération. Un éditeur m’a proposé de poursuivre la réflexion sur un plus grand nombre de pages et c’est ainsi qu’est né ce livre.

D’abord il s’agit de faire le point sur l’impact des nouveaux usages et des nouvelles technologies sur la cybercriminalité, par des exemples concrets, y compris d’envisager les futures fraudes que nous rencontrerons sûrement. Toujours dans cette première partie j’ai essayé de montrer combien les formes organisées de délinquance ont réellement pris pied dans la cybercriminalité aujourd’hui, alors que ce n’était pas évident il y une dizaine d’années.

Dans la seconde partie du livre j’explore la façon dont la réponse s’est organisée, les textes se sont adaptés et l’Europe s’est mise en ordre de bataille. J’y consacre notamment un chapitre (Le partage comme arme) sur la nécessité de développer les formes de coopération qui reposent sur l’échange et la mise en commun tant des réflexions que des moyens d’action, qu’il s’agisse de partenariats public privé, de forums où les partenaires d’un secteur victime de fraude échangent ou de plateformes qui permettent l’échange d’informations. Wout de Natris, que j’ai interviewé dans le livre sur le sujet de la gouvernance de l’Internet, a publié récemment un rapport sur la question des plateformes nationales de collecte d’information sur les incidents et leur nécessaire coopération au niveau international.

Dans chacun des chapitres de cette partie du livre j’avance des propositions d’évolutions qui me semblent devoir être considérées.

En conclusion j’y insiste sur la nécessité de s’informer pour mieux se protéger et d’échanger, notamment entre les différents angles d’attaque sur ces questions (cyberdéfense, cybersécurité, lutte contre la cybercriminalité). Enfin, il faudra sûrement apporter très vite une suite à ce livre, même si c’est un peu ce que je fais sur ce blog.

Plus d’informations sur le blog du livre.

Assises de la sécurité – Jour 3

Nota: de nombreux ateliers ont lieu en parallèle, il n’est pas possible d’assister à tous, ce compte-rendu de ces trois jours ne représente que ma sélection personnelle, n’hésitez pas à en lire d’autres: Le Monde informatique a déjà publié quelques articles (ainsi que sur l’intervention de l’ANSSI) et certainement d’autres articles publiés dans les jours qui viennent.

Vendredi est donc le dernier jour de ces Assises 2012 pour moi, certains ne repartant que demain matin.

Une journée marquée pour moi par encore de nouvelles rencontres et échanges. J’ai pu assister à la présentation par Renaud Lifchitz de BT France sur ses recherches, précédemment exposées aux GS Days ou à la conference Hackito Ergo Sum de Paris cette année, sur la sécurité des interfaces sans contact NFC des cartes bancaires, une démonstration de Picviz Labs (l’entreprise qui a remporté le Prix de l’innovation 2012) sur sa technologie et enfin à une conférence de clôture avec les discours du Sénateur Jean-Marie Bockel (auteur du rapport parlementaire sur la cyberdéfense) et du directeur général de Cassidian Cybersecurity, Hervé Guillou.

Le message principal de ces deux orateurs est qu’il est impératif de mobiliser les décideurs politiques et les dirigeants des entreprises sur les questions de cybersécurité, qu’elles ne doivent plus être uniquement le sujet des informaticiens. J’ajouterais pour ma part qu’il faut aussi mobiliser les citoyens, les individus qui doivent tous s’accaparer les aspects éthiques, politiques, sociaux ou encore de vie privée liés à la cybersécurité.

Rendez-vous donc l’an prochain pour une autre édition qui sera sûrement tout aussie réussie.

Autres compte-rendus:

Assises de la sécurité – Jour 2

Cette deuxième journée des Assises est traditionnellement la plus active, avec pour tous plusieurs ateliers, tables rondes et rendez-vous à honorer, plus de nombreuses discussions impromptues. Pour quelqu’un qui a mon profil il s’agit à la fois de rencontrer des entreprises qui offrent des solutions qui peuvent être utile directement pour mon métier, mais aussi qui peuvent être utiles pour les victimes auxquelles nous avons affaire ou dont elles utilisent les produits et ainsi mieux adapter notre action d’investigation judiciaire aux environnements professionnels.

Quelques moments de ma journée (et il y a énormément d’autres choses intéressantes aux mêmes moments, il ne s’agit pas pour moi de vous recommander ici telle ou telle solution présentée mais bien de partager ces quelques échanges):

  • une présentation de la société Sourcefire qui a une approche intéressante sur le traitement dynamique des attaques en profondeur (note: Sourcefire soutient et utilise deux projets opensource, Snort et Clamav);
  • Zscaler nous a offert un panorama des menaces liées aux sites Web (certaines dont je parlais dans un article récent sur les contaminations virales informatiques) – le site de la recherche chez Zscaler est ici;
  • et Cassidian sur les attaques en profondeur encore et la façon dont ils proposent de s’y préparer et de réagir.
  • l’un des stands sur lesquels j’ai fait un passage m’a convaincu qu’il existe des solutions pour lutter contre les attaques en déni de service (Corero). D’autres prestataires proposent des solutions aux mêmes objectifs (comme Arbor Networks), leurs approches sont certainement complémentaires.

En fin de journée, deux présentations et la remise du prix de l’innovation. David DeWalt (dirigeant dans plusieurs entreprises du domaine de la sécurité comme FireEye ou Mandiant) nous a présenté sa vision des enjeux technologiques et des menaces d’aujourd’hui. Je ne peux pas m’empêcher de constater que son observation de la situation rejoint beaucoup l’analyse que je propose dans le livre La cybercriminalité en mouvement (http://www.lcem.fr/), d’un environnement qui bouge très rapidement sur le plan technologique mais aussi sur le plan de ceux qui cherchent à en abuser.

Ensuite Jean-Christophe Rufin a partagé avec cette salle de spécialistes en sécurité des systèmes d’information sa vision des instabilités et des conflits dans le Monde, vision nécessairement complémentaire du regard habituel sur la « menace » telle qu’elle est perçue par les RSSI.

Enfin, le prix de l’innovation revient cette année à Picviz Labs, société créée il y a quelques années seulement par un fondu de mathématique (Philippe Saadé) et un passionné de sécurité informatique (Sébastien Tricaud). La solution qu’ils ont construit avec leur équipe permet de visualiser des masses de données importantes (des semaines entières de journaux informatiques par exemple) sur un grand nombre de dimensions (dix ou même beaucoup plus de paramètres), avec une interface graphique rapide et de naviguer rapidement dans ces données et identifier la petite bête (une version opensource de leur produit permet d’en tester les capacités).

 

La suite demain !

Assises de la sécurité 2012 – Jour 1

Les Assises de la sécurité sont un des événements importants qui jalonnent l’année des professionnels de la sécurité des systèmes d’information en France où se rencontrent la communauté des RSSI (responsables en sécurité des systèmes d’information) et ceux qui leur apportent des solutions. Elles se déroulent sur trois jours alternant conférences invitées, ateliers de partage d’expérience et salon professionnel.

L’allocution d’ouverture donne cette année la tonalité avec une présentation remarquée de Patrick Pailloux, directeur général de l’ANSSI (agence nationale de la sécurité des systèmes d’information). Il propose trois points clés pour l’action des mois à venir:

  • Poursuivre les efforts en matière d’hygiène élémentaire de sécurité, sujet qu’il avait promu lors de son intervention en fin des Assises l’an dernier. L’ANSSI publie ainsi aujourd’hui une première version d’un document contenant 40 règles permettant de concrétiser cette hygiène élémentaire dans les entreprises. Il est plutôt destiné aux organisations de taille moyenne à grande, même si l’essentiel des règles sont transposables dans les petites structures. L’ANSSI souhaite recevoir rapidement les premières réactions et propositions constructives pour améliorer ce document.
  • Savoir dire non. De la même façon qu’il existe des règles contraignantes pour emprunter les routes, il est important que les règles édictées pour la sécurité des systèmes d’information soient prises en compte sérieusement et contrôlées au sein des organisations. Elles sont nécessaires pour protéger les données et applications sensibles de l’entreprise. Il faut que les responsables et leurs hiérarchies soient en mesure de ne pas céder à toutes les modes, tout en apportant des solutions aux besoins premiers des organisations dans l’environnement concurrentiel ou en tous cas moderne dans lequel elles évoluent. Patrick Pailloux citait ainsi tout autant l’exemple des règles élémentaires autour de l’utilisation des contrôles d’accès aux applications (fermer l’accès quand on quitte son bureau) que la sécurité des accès nomades ou l’arrivée des objets communicants personnels dans les organisations.
  • Enfin, le directeur général de l’ANSSI a mis en avant la préoccupation principale de l’agence aujourd’hui: la sécurité des systèmes industriels et il a réaffirmé avec conviction la nécessité de déconnecter ce type de systèmes de l’Internet et d’explorer d’autres modes d’interaction entre les systèmes de production et les systèmes de communication classiques.

Ces Assises commencent donc avec un message placé sous le signe de l’ambition et de l’appel à l’action.

Comment on attrape un virus informatique ?

… aujourd’hui. En effet, la réponse à cette question est très mouvante et évolue avec le temps. Il y a quelques années encore, beaucoup de virus informatiques se diffusaient sur Internet sous forme de vers, se propageant d’une machine à une autre, mais vraisemblablement parce que de plus en plus d’ordinateurs ne sont plus connectés directement à Internet, ce n’est plus le mode de diffusion privilégié. En effet, derrière des box ADSL, même si vos ordinateurs, tablettes et autres télévisions connectées ne sont pas totalement protégés, ils ne sont pas directement et totalement accessibles depuis l’extérieur comme on pouvait l’être quand on se connectait avec un modem directement connecté à l’ordinateur.

Rançongiciel sous forme de fausse solution antivirs – Source: botnets.fr

Je vous propose de parcourir quelques modes de propagation qui, vous allez le voir, parfois s’entrecroisent. En effet, de la même façon qu’il est parfois difficile de classifier les logiciels malveillants, il est parfois tout aussi difficile de tracer une frontière entre ces différents modes de contamination.

L’installation par l’utilisateur

Ce mode de propagation permet notamment des attaques ciblées, par exemple en envoyant un lien spécifique ou une pièce jointe à une victime donnée. Il repose sur la confiance qu’a la victime dans le contenu qui lui est présenté, soit parce qu’il semble provenir d’une personne de confiance, soit parce que le sujet l’intéresse. Il peut s’agir directement d’un programme informatique qu’on est invité à installer ou qu’on souhaite soi-même installer, ou alors d’un document qui va exploiter une faille du logiciel permettant de l’afficher (PDF, document Word ou même encore une simple image qu’on ouvre dans le logiciel par défaut de son ordinateur, comme ce fut le cas avec le Kodak Image Viewer livré avec certaines versions de Windows). Dans tous les cas, c’est la victime qui clique sur le fichier pour l’ouvrir volontairement. Dans certains cas, il se peut que cette transmission soit réalisée par un ver (voir paragraphe plus bas) qui a contaminé l’ordinateur ou pris le contrôle du compte de réseau social ou de courrier électronique d’un ami. Bien évidement une personne malintentionnée peut aussi profiter d’un mot de passe défaillant ou d’un moment d’inadvertance pour installer un virus sur l’ordinateur de sa victime, soit en accédant physiquement à l’ordinateur, soit en y accédant à distance.

Les supports amovibles

Ici encore, c’est la victime qui est invitée à agir, en connectant un support amovible (souvent une clé USB, comme dans le cas du célèbre Stuxnet) sur son ordinateur. Ces clés vous arrivent de personnes en qui vous faites confiance (collègues de travail, amis, contacts professionnels) ou bien encore sont parfois trouvées dans la rue (cet été la société néerlandaise DSM semble avoir été victime d’une tentative d’attaque réalisée de cette manière). Ici, différentes techniques sont utilisées pour rendre invisible la contamination, celle-ci se réalisant automatiquement, par exemple avec les fonctions de démarrage automatique des systèmes d’exploitation.

… et les partages réseaux

Dans un environnement familial (disque dur partagé sur le réseau local pour mettre en commun documents, musique, films…) et surtout professionnel, ce type de contamination est particulièrement courant. Dans certains cas, on a vu qu’il pouvait être beaucoup plus efficace que les supports amovibles puisqu’on fait un peu plus confiance par défaut à un partage interne ou encore parce que certains environnements professionnels imposent d’exécuter au moment de leur connexion des fichiers de configuration se trouvant dans ces répertoires partagés.

Les vers

Les différents modes de contamination décrits ci-dessus sont parfois comparés aux vers, notamment lorsqu’on parle des espaces partagés, mais ils ont tous la particularité de passer par des étapes intermédiaires avant de contaminer l’ordinateur cible. En effet, on parlera plus facilement de vers pour les propagations qui se font directement d’une machine à une autre, exploitant une faille dans tel ou tel protocole réseau ouvert sur une machine. La plupart des vers exploitent une faille ou un type de protocole spécifique, même si certains ont plusieurs modes de diffusion. Ainsi, le ver Conficker, encore très présent aujourd’hui sur Internet, utilise trois modes de propagation (voir cet article de synthèse par P. Porras et al.): une vulnérabilité d’un des protocoles de communication réseau sous Windows (MS08-067), mais aussi le partage de répertoires sur les réseaux locaux ou encore le partage de supports amovibles. Dans certains cas, ces vers vont exploiter des trous laissés ouverts par d’autres virus informatiques. Enfin, les vers peuvent aussi profiter des plateformes de communication par courrier électronique ou sur les réseaux sociaux (comme le ver Koobface) pour atteindre leurs victimes.

Les plateformes d’exploits

Il s’agit ici d’exploiter des failles dans les différents composants qui servent à afficher des contenus provenant d’Internet, le plus souvent dans les navigateurs (Internet Explorer, Chrome, Firefox, etc.), mais aussi dans les clients de messagerie (Thunderbird, Outlook, etc.) qui affichent le même type de contenus riches. Et il y a plusieurs niveaux d’attaque: directement dans les fonctions du navigateurs, mais aussi dans les extensions les plus courantes qui permettent d’afficher des contenus enrichis (Flash et Java en particulier). Dans certains cas, l’interaction de l’utilisateur est recherchée, pour valider l’installation d’un module complémentaire.

Ces plateformes sont hébergées sur des serveurs Web et sont particulièrement recherchées aujourd’hui par les délinquants qui veulent diffuser des logiciels malveillants, parce qu’elles permettent d’atteindre directement le poste de l’utilisateur et se montrent très efficaces avec selon les pays des taux de contamination oscillant autour de 10% des visiteurs.

Elles ont des noms guerriers ou en tous cas très commerciaux (Blackhole, Sakura, Sweet orange,… voir la catégorie Plateforme d’exploits sur botnets.fr – @botnets_fr) ; elles sont ainsi un des indicateurs les plus forts de l’évolution de la cybercriminalité vers une véritable activité de services, avec des bannières publicitaires sur les forums où se discutent les marchés illégaux, de véritables services après vente allant jusqu’à rembourser des clients mécontents, et une gestion très avancée des besoins des utilisateurs. Leur démarche est très agressive, comme lorsque le créateur de Blackhole, surnommé Paunch, s’est empressé à la fin du mois d’août d’intégrer la toute dernière vulnérabilité Java ou encore cette semaine avec la sortie d’une version 2 avec toutes sortes de nouvelles fonctionnalités (dont beaucoup ont pour objet de protéger celui qui l’exploite des enquêtes judiciaires ou de la surveillance des chercheurs en sécurité informatique – voir cet article par @Kafeine ou une autre synthèse chez Sophos).

Création de trafic

Exemple de courrier électronique redirigeant vers une plateforme d’exploit en se faisant passer pour une application Facebook (source: Sophos)

Le délinquant qui veut diffuser un logiciel malveillant va donc installer une telle plateforme d’exploit, ou plus vraisemblablement louer les services de groupes qui se sont spécialisés dans leur administration, car en effet il vaut mieux disposer d’un grand nombre de serveurs différents, savoir administrer de façon sécurisée un serveur Web, gérer les mises à jour, etc. Il va ensuite devoir attirer des visiteurs vers la plateforme, sous formes de campagne de spam ou encore en insérant un code particulier dans des pages Web: des bannières publicitaires ou encore des sites Web légitimes, comme nous l’évoquions au début de l’année pour la diffusion des rançongiciels. Encore ici, ce sont des services criminels qui se sont développés autour de la création de trafic et ils vont louer leurs services à ceux qui veulent créer un botnet. On les appelle parfois traffers.

Techniquement, le chargement du code malveillant depuis la plateforme d’exploit est réalisé par l’inclusion d’une fenêtre invisible au sein de la page Web, par des balises de type « iframe » qui ressemblent à ce code:

Directement dans le serveur Web

Et les traffers innovent eux aussi récemment: on a ainsi découvert récemment un module qui s’ajoute dans les serveurs Web de type Apache et injecte dans tout ou partie des pages Web diffusées les balises permettant d’insérer des contenus cachés provenant des plateformes d’exploit. C’est une évolution importante par rapport aux modes de diffusion classique suite à un piratage de serveur Web qui supposent de modifier de nombreux fichiers pour obtenir le même résultat. Ainsi, on pourrait imaginer qu’un serveur mutualisé, utilisé par des centaines de webmestres, intègre automatiquement ces vecteurs d’attaque sans qu’ils ne puissent eux-mêmes voir de modifications dans le code des pages Web ou des scripts PHP ou Javascript qu’ils ont chargé sur le serveur. On pourra lire les articles sur ce module Darkleech d’Unmask parasites, Webmasterworld ou encore Day by day par @it4sec.

Et même directement dans la chaîne de fabrication

L’action récente de l’équipe de lutte contre la cybercriminalité de Microsoft contre le botnet Nitol a permis de mettre en évidence que les logiciels malveillants pourraient parfois être insérés au moment de la fabrication de certains ordinateurs, ici au travers de l’installation de version contrefaites du système d’exploitation Windows. Ce problème n’est pas totalement nouveau, car des erreurs ont parfois été mises en évidence lors du recyclage de disques durs partis en maintenance, ou encore lors du téléchargement de versions contrefaites de systèmes d’exploitation, mais c’est – il me semble – la première fois qu’une diffusion massive de logiciels malveillants est identifiée dans une chaîne de distribution de matériels informatiques.

Comment se protéger ?

Je le répète souvent, mais il est important de se tenir informé et d’informer sa famille, ses amis, ses collègues sur les risques. La connaissance de ceux-ci aide à éviter les actions qui favorisent les infections virales. Des forums peuvent vous aider à vous sortir de ces situations (Malekal, CommentCaMarche,…) .

Il faut se méfier à tout prix des sources alternatives de diffusion des systèmes d’exploitation ou des logiciels, qu’il s’agisse de contrefaçons ou de plateformes de téléchargement. Bien entendu, ce conseil vaut pour les logiciels commerciaux ou ceux qui sont diffusés sous des licences libres (dans ce dernier cas on recherchera par exemple des miroirs officiels ou de confiance).

Tenir à jour son système d’exploitation et tous les logiciels ou modules complémentaires qu’on a installés, particulièrement ceux qui sont les plus ciblés à savoir les outils de navigation Internet ou encore les clients de discussion en ligne. On pourra compléter son navigateur d’extensions de sécurité, comme je le décrivais dans un article précédent.

Quoi qu’en disent certains enfin, l’installation d’un antivirus est indispensable sur les systèmes d’exploitation grand public. Cet antivirus, gratuit ou payant, doit absolument être maintenu à jour et sera systématiquement utilisé pour vérifier la sécurité d’une clé USB de source extérieure. Enfin, désactivez les fonctions de démarrage automatique (USB ou réseau) si elles ne sont pas indispensables dans votre environnement (voir cet article pour Windows XP, 2000, 2003).

Compléments

  • Un article intéressant par Brett Stone-Gross (Dell SecureWorks) sur la façon dont se diffuse le botnet Gameover (une variante de ZeuS)

Vulnérabilité Java CVE-2012-4681 – Et si on devenait enfin responsables !

In English anglais

Mise à jour : 30/08/2012 20h10

Oracle vient de publier une mise à jour au moteur Java standard (versions 6 et 7). Il vous est recommandé de le mettre à jour si vous avez Java installé sur votre machine.

Une mise à jour de l’information sur cette vulnérabilité est publiée sur le site d’Oracle. Une analyse de la mise à jour est publiée ici.

Le tweet où tout commence

Vous en avez peut-être entendu (ou lu) parler ici (Korben), ici (eh oui ça touche les Mac aussi!), au Monde Informatique ou même ici (l’ANSSI vous en parle)… Assez peu toutefois dans la presse grand public (en tous cas je n’ai rien trouvé ?), même si des blogs destinés à un public assez large l’évoquent en détail (Numérama ou Malekal).

Il s’agit d’une faille (apparemment un cumul de deux failles), dites 0-day, parce que non révélées auparavant et encore exploitables parce que le produit qui est ciblé n’a pas encore été corrigé. Cette vulnérabilité, référencée sous le nom de code « CVE-2012-4681 » dans la base de référence américaine du MITRE, touche le moteur Java de la société Oracle dans sa version 1.7, soit la plus récente. Le CERT US détaille la vulnérabilité.

Chronologie

On vit cette fois-ci un enchaînement et une combinaison de phénomènes particulièrement défavorable (Eric Romang analyse aussi une partie de cette chronologie):

  • 04/2012… (j’en parle un peu plus bas)
  • 26/08/2012, FireEye publie sur son blog l’annonce de cette vulnérabilité jusque là inconnue. Elle leur est révélée grâce à l’étude de ce qu’ils décrivent comme une attaque ciblée d’un de leurs clients (d’autres spécialistes comme Eric Romang ou la société Trend Micro ne croient pas à cette analyse, mais plutôt à une vulnérabilité circulant déjà peut-être depuis quelques mois, Symantec de son côté effectue un rapprochementavec les attaques ciblée d’une équipe surnommée Nitro)
    • FireEye a eu quelques jours auparavant des soucis avec une découverte qui n’en était pas une, alors qu’ils annonçaient avoir découvert un serveur de commande du botnet Gauss, commun avec celui d’un autre botnet semblable, Flame. En réalité c’est la société antivirus Kaspersky Lab qui avait mis en place un serveur pour reprendre le contrôle de ces deux botnets. Cela a peut être précipité leur publication expresse de l’information sur cette vulnérabilité.
  • L’annonce est reprise de nombreuses fois dans beaucoup de blogs sur la sécurité informatique, y compris avec des codes de démonstration (PoC). S’agissant d’une vulnérabilité indépendante des systèmes d’exploitation, elle est potentiellement exploitable sur tous, de Linux à Microsoft Windows en passant par MacOSX.
  • 27/08/2012, il semblerait que les développeurs de différentes plateformes d’exploit annoncent à leurs ‘clients’ qu’ils vont pouvoir profiter eux aussi de cette vulnérabilité très rapidement (Brian Krebs en parlait lundi au sujet de BlackHole et très vite des chercheurs en sécurité repèrent des serveurs malveillants qui l’exploitent) et selon Kafeine (et ici), l’exploit kit Sakura et Sweet orange semblent être sur les rangs. Je vous ai parlé des plateformes d’exploit dans mon article de décembre 2011 sur le rançongiciel gendarmerie ou dans l’article de février dernier sur le botnet Citadel.
  • 27/08/2012, toujours, Rapid7 annonce que sa plateforme de tests d’intrusion et d’évaluation sécuritaire Metasploit intègre cette nouvelle vulnérabilité dans sa batterie de tests;
  • 28/08/2012, en fin de journée, l’équipe du Kaspersky Lab pousse un petit coup de gueule. On ne sait trop si c’est contre FireEye (encore, la guerre de communication entre les sociétés de sécurité ?) ou bien contre ceux qui ont publié très rapidement des « PoC » (proof of concept, démonstrateurs de l’exploitation de la vulnérabilité).

  • 29/08/2012, on apprend qu’Oracle aurait été avisé de ces vulnérabilités dès le mois d’avril (ComputerWorld) par la société polonaise Security Explorations. Notons qu’il est normal que des vulnérabilités ne soient pas corrigées immédiatement par les développeurs d’un logiciel, le développement d’une correction demandant parfois de nombreux tests pour éviter que de nouvelles failles ou dysfonctionnements soient créés par ces changements.
  • 30/08/2012, à ce jour, Oracle ne reprend toujours pas l’alerte sur cette vulnérabilité et ne semble pas vouloir publier de mise à jour avant celle qui est programmée pour le mois d’Octobre 2012:

Quelque chose ne va pas dans le monde de la sécurité

Je suis assez d’accord avec certains qui ne sont pas satisfaits de cette chronologie, même si elle permet de démontrer un enchaînement particulièrement prévisible, mais qui est ici exacerbé, en moins de trois jours on aura eu:

  • Une société de sécurité qui publie brutalement des informations sibyllines, mais assez faciles à déchiffrer, relatives à une vulnérabilité;
  • Quelques heures après, des chercheurs s’empressent de publier presque en se faisant la course au premier qui le fera, grâce aux éléments diffusés par la dite société, des détails sur la vulnérabilité et la façon de l’exploiter;
  • Un éditeur qui ne communique pas vers son public sur les mesures qu’il envisage de prendre tout de suite ou prochainement;
  • Quelques heures après, les démonstrateurs publiés sont directement intégrés dans les plateformes d’exploits utilisées par les groupes criminels;
  • Très rapidement, des victimes se font exploiter de façon massive, notamment pour diffuser les virus bancaires et autres rançongiciels particulièrement actifs actuellement.

Il est grand temps que les professionnels de la sécurité informatique se mettent enfin d’accord sur des procédures responsables de divulgation des vulnérabilités et ce de façon coordonnée (développeurs, comme chercheurs en sécurité de tous bords). Au vu des conséquences des exploitations aujourd’hui possibles grâce au type de botnets qui sont en activité, il est fort probable que plus de 100.000 euros aient été déjà détournées de victimes à travers le monde (les montants sont difficiles à évaluer, mais c’est l’ordre de grandeur de ce qu’on constate comme gains sur certains botnets en un ou deux jours et comme beaucoup agissent en même temps et que cette vulnérabilité n’est pas forcément celle qui est utilisée pour toutes les attaques il est encore trop tôt pour être plus précis), et vraisemblablement le compteur va finir de tourner tant qu’une mise à jour de Java n’est pas massivement diffusée. Par ailleurs, depuis lundi, des milliers de responsables informatiques se grattent la tête à travers la planète pour savoir comment sécuriser leurs réseaux et s’échangent des scripts pour rapidement désactiver Java 1.7 chez leurs utilisateurs.

Que puis-je faire chez moi ?

Sur un ordinateur personnel, il est vraisemblable que vous n’ayez pas besoin très souvent de Java, même s’il est parfois nécessaire pour certaines applications disponibles en ligne. Il est donc raisonnable d’envisager de désactiver Java dans son ordinateur, au moins pour la version 1.7.

Plusieurs sites expliquent les procédures: le blog Malekal, ou encore ici en anglais. Vous pouvez vous prémunir de ce type d’attaques et bien d’autre en installant des extensions de sécurité telles que NoScript (http://noscript.net/ pour Firefox ou Notscripts ou Scriptno sous Chrome) qui vous permettent d’avoir un contrôle site par site du lancement grâce à des programmes intégrés (scripts) de ce type de modules depuis une page Web.

Dans une entreprise, beaucoup seront peut-être encore à la version précédente qui certes a d’autres vulnérabilités mais permet de faire tourner certaines applications. Si Java n’est pas nécessaire dans votre entreprise, il semble aujourd’hui urgent de le désactiver pour éviter tout incident. Si Java 1.7 est indispensable dans votre contexte, il existe des correctifs non officiels qui pourraient vous aider.

Faites circuler l’information et continuez de vous tenir informés des bonnes pratiques.

Mise à jour : 30/08/2012 20h10

Oracle vient de publier une mise à jour au moteur Java standard (versions 6 et 7). Il vous est recommandé de le mettre à jour si vous avez Java installé sur votre machine.

Une mise à jour de l’information sur cette vulnérabilité est publiée sur le site d’Oracle.

Ne rappelez pas les inconnus qui vous appellent depuis un 0899…

Complément du 26/08/2012 13:32

Autre type de manœuvre assez « subtile » que l’on peut rencontrer pour vous inciter à appeler ces numéros en 0899XXXX, l’envoi de SMS comme dans l’exemple ci-contre que je viens de recevoir. Vous noterez que le SMS provient d’un numéro GSM banal (en 07, la nouvelle tranche de numérotation des mobiles) et non pas d’un numéro court ou d’un numéro en 089X. Ici, l’astuce consiste à vous dire que vous avez gagné un chèque et vous laisser supposer qu’il pourrait avoir un montant de 5000 euros (notez le point d’interrogation). Toutes les personnes qui témoignent n’ont gagné que quelques centimes d’euros, même pas payés par le prix de la communication. Encore une fois, il ne faut pas rappeler les numéros de ce type-là dans ces conditions, pour la bonne et simple raison qu’on ne doit pas en France payer pour participer à un jeu concours et les sommes liées à un tel numéro surtaxé vont bien au-delà du partage du coût de la communication.

Le message de cet article est assez simple: il ne faut jamais rappeler un appel depuis un numéro inconnu en 0899… même si on vous laisse un message vocal !

Le principe est lui aussi assez simple: des services fictifs sont montés, un numéro surtaxé obtenu auprès d’un opérateur avec un contrat en bonne et due forme et les victimes reçoivent ensuite des appels depuis le numéro. Parfois il n’y a personne au bout du fil, parfois une bande enregistrée. Sur les quelques milliers d’appels (dont le coût est ridicule pour celui qui les a émis), certaines victimes rappellent avec autant de fois 1,34€ et 0,34€/min sur la facture, d’où le nom d’appels à rebond ou ping call qui est donné à ce type de spam vocal. Je fais ici référence à ce qui se pratique en France, d’autres tranches de numéros surtaxés existent dans les autres pays: voir cet article de Wikipédia Premium-rate telephone number.

Les numéros surtaxés ont des usages parfaitement légitimes et permettent – depuis des dizaines d’années maintenant – de payer pour un service auquel on accède par téléphone. C’est simple, ça évite de donner son numéro de carte bancaire ou son nom, que l’on appelle un service de renseignement, un numéro de téléphone « coquin » ou une « voyante », un service d’assistance technique parfaitement légitime… La seule obligation est d’avertir le consommateur du prix de la communication (petit message au début) et d’offrir évidemment le service qu’il attend.

Dans les cas que j’évoque ici, il n’y a aucun service au bout du fil, parfois il est simulé et on vous incite par une manœuvre qui pourrait être qualifiée de frauduleuse à contacter ce service. On doit avoir une raison objective d’appeler un numéro surtaxé et le simple fait de recevoir un appel depuis ce genre de numéro ne sera jamais une bonne raison. Il est possible que votre numéro ait été collecté à cette fin pour que vous soyez prospecté, mais il est tellement plus simple de fabriquer automatiquement des listes de numéros, le nombre de combinaisons étant limité.

Note: la même technique existe avec l’envoi de SMS faisant la publicité de ce même type de services (ou des numéros SMS Premium), et suit le même principe.

Si vous recevez un appel depuis un tel numéro, comme pour les spams par SMS, il est possible de les signaler au 33700. Il ne vous en coûtera rien depuis Orange, SFR ou Bouygues Télécom qui sont partenaires dans la gestion de ce service de signalement, et le coût est celui d’un SMS normal depuis les autres opérateurs français. Suite aux signalements, des vérifications sont effectuées sur les services offerts et s’ils sont identifiés comme frauduleux, le contrat peut être rompu.

Enfin, plusieurs sites vous donnent des informations sur les méthodes pour bloquer certains appels, par exemple cet article de commentcamarche.net.

Le sujet que j’évoque ici n’est pas nouveau, j’en suis bien conscient, mais il continue de proliférer et il est important de faire circuler l’information.

Que fait le régulateur ?

Alex Archambault me signale sur Twitter (@AlexArchambault) que l’ARCEP a pris très récemment une décision importante. Elle est téléchargeable sur le site de l’ARCEP et date du 17 juillet 2012. En particulier, avec effet immédiatement, il est interdit d’utiliser un numéro en 089X comme identifiant d’appel, justement pour éviter ce type de pratiques. A suivre donc !

Dénoncer les atteintes aux mineurs sur Internet

Un des points de départ de la réflexion sur cet article, est la question de savoir s’il faut réagir aux actions de certaines personnes se réclamant des Anonymous et qui montent différentes opérations contre des sites pédophiles, propédophiles, diffusant des images ou des discussions en rapport avec ces sujets (voir l’article du Monde.fr).

Que se passe-t-il? Des personnes publient des listes de noms, d’adresses électroniques, voire d’adresses postales qui auraient été retrouvées sur différents espaces de discussion, ou d’échanges en rapport avec les atteintes aux mineurs. Par ailleurs, ils s’en prennent à certains de ces sites pour en empêcher le fonctionnement, voire à certains hébergeurs. Enfin, l’information est relayée dans la presse est l’une des questions qui se pose est de savoir s’il peut y avoir des suites judiciaires. Les personnes qui critiquent ces actions se voient parfois reprocher d’être favorables aux pédophiles.

Pour l’instant, il semblerait que sont essentiellement concernés des personnes résidant en Belgique ou aux Pays-Bas.

Beaucoup de problèmes sont soulevés par ces actions:

  • ceux qui les réalisent commettent différentes infractions et ils pourraient être mis en cause ;
  • de façon générale, il n’est pas du rôle du public de mener des enquêtes, mais celui des autorités judiciaires, dans le cadre prévu par la loi qui préserve les droits des individus et la présomption d’innocence ;
  • au passage, des personnes totalement innocentes peuvent voir leur identité mise en relation avec des infractions qu’ils n’ont pas commises, qu’il s’agisse d’erreurs d’appréciation, d’absence de preuves, de pseudonymes ou d’homonymes ;
  • il n’est pas certain que cela puisse permettre des enquêtes judiciaires, selon les circonstances et selon les pays ;
  • des enquêtes judiciaires en cours pourraient être compromises, notamment s’agissant d’opérations visant à infiltrer ce type de plateformes.

Sur Twitter aussi

Ce qu’il ne faut pas faire sur Twiter

Une autre série de débats est née de multiples « retweets » ces derniers jours appelant à signaler des comptes Twitter soupçonnés soit très clairement de diffuser des images à caractère pédopornographique, soit d’être favorables à la pédophilie. On pourra notamment lire l’article du Figaro à ce sujet et un article de blog cité par cet article (blog de Paul da Silva).

Que font les services d’enquête et la justice ?

L’action dans ce domaine est quotidienne et résolue, en Europe et plus particulièrement en France. La législation française est particulièrement claire, réprimant tout aussi bien la pédopornographie que les propositions sexuelles à des mineurs de moins de quinze ans. La pédopornographie est toute représentation pornographique mettant en scène des mineurs (c’est-à-dire des personnes de moins de 18 ans). Sont interdites la fabrication de ces documents (images ou vidéos notamment), leur diffusion ou encore leur détention ou leur consultation habituelle. Plusieurs dizaines d’enquêteurs de la police et de la gendarmerie ont été formés en France depuis le vote de la loi sur la prévention de la délinquance en 2007 aux investigations sous pseudonyme qui permettent notamment de mener des enquêtes dans des espaces de discussion destinés à préparer ou réaliser de telles infractions contre des mineurs.

L’action judiciaire se déroule la plupart du temps avec une certaine discrétion pour préserver les droits de l’ensemble des parties, qu’il s’agisse des victimes ou des mis en cause. Certaines affaires sont médiatisées pour sensibiliser le public sur cette action et contribuer à la prévention de tels faits, ou parce qu’elles se sont déroulées sous le regard du public. Au passage, contrairement à ce qui a pu être écrit dans la presse récemment, ce n’est certainement pas la semaine dernière « la première fois » qu’un compte Twitter a été fermé pour diffusion de contenus pédopornographiques.

Que peut faire le public contre les atteintes aux mineurs sur Internet ?

Il est important de se tenir informé sur les risques, notamment si l’on est parent ou que l’on s’occupe d’enfants. Il est important dans ce contexte de maintenir un dialogue avec les enfants sur leur pratique de l’Internet et selon leur âge de contrôler éventuellement cet usage (par exemple avec l’aide d’un logiciel de contrôle parental, mais ce ne sera jamais suffisant).

Si on découvre des faits qui semblent relever d’infractions de cette nature, la seule bonne solution est de les signaler aux services chargés d’enquêter sur ces faits. En France, la plateforme de signalement conjointe à la police et à la gendarmerie est hébergée par l’OCLCTIC et joignable à l’adresse: https://www.internet-signalement.gouv.fr/. En Belgique, l’adresse est https://www.ecops.be/. Une vérification systématique est réalisée sur les signalements transmis à cette équipe et si une enquête est justifiée elle sera rapidement confiée à un service spécialisé. D’autres canaux existent pour la dénonciation de contenus illicites de ce type, notamment le Point de contact de l’AFA en France (et le lien présent obligatoirement depuis la page d’accueil de tout FAI ou hébergeur en France), ou encore le réseau INHOPE.

Il ne faut surtout pas rediffuser l’adresse de ces contenus (qu’il s’agisse de l’adresse d’un site Web ou le pseudonyme d’un compte Twitter) à d’autres en appelant à les « dénoncer en masse ». D’abord c’est contre-productif, parce que l’objectif est justement que ce type de contenu ne puisse être visible et qu’une seule dénonciation suffit à ce qu’un contenu soit évalué, notamment sur les plateformes de signalement officielles. Ensuite, on risque de soi-même commettre une infraction : pour diffamation si la situation a été mal évaluée (on retweete souvent ce type de message sans vérifier, ce qui semble normal) ou bien a contrario si l’on facilite la diffusion du contenu illégal (ne pas oublier que Twitter est un média mondial et qu’on est en principe lu et lisible par tout le monde).

Rajoutons que sur Twitter en particulier (voir la page d’information), comme sur Facebook (pages d’aide), on peut directement signaler un contenu préjudiciable par différentes fonctions (Lien « Signaler ce contenu » à côté d’une vidéo ou d’une image sur Twitter, ou lien « Signaler » dans le menu déroulant de chaque contenu sur Facebook).

Si un enfant est manifestement en danger immédiat, il faut prévenir rapidement des services capables de traiter urgemment la situation, par exemple en composant le 17 ou le 112 en France ou encore le 119 Allo Enfance en Danger (le 119 est joignable 24h/24 et 7 jours sur 7). Voir sur Wikipédia la liste des numéros d’urgence selon votre pays.

Enfin, si l’on souhaite s’investir durablement, différentes associations contribuent en France et ailleurs à la lutte contre les atteintes aux mineurs sur Internet. On peut citer sans ordre de préférence la Fondation pour l’EnfanceAction Innocence ou encore e-Enfance, et il y en a d’autres abordant ces questions sous différents angles.