Éric Freyssinet

La cybercriminalité en mouvement

Il y a quelques mois, j’appelais mes lecteurs à proposer leurs questionnements pour un livre en cours d’écriture. J’ai rendu mon manuscrit voilà deux semaines et il vient d’être validé. Le livre sortira d’ici le mois de septembre aux éditions Hermès Lavoisier, dans la collection Management et informatique, sous le titre « La cybercriminalité en mouvement » (titre que j’avais donné à un article dans la revue Réalités industrielles de novembre 2010).

Quelques titres de chapitres:

  • Nouvelles pratiques, nouvelles opportunités
  • Identité et cybercriminalité
  • La cybercriminalité est devenue un business
  • La maîtrise des textes juridiques
  • Le débat de la conservation des données
  • Le partage comme arme

 

Les rançongiciels sont toujours très actifs

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Au mois de décembre, nous faisions état du lancement de plusieurs campagnes de diffusions de virus se faisant passer pour des services de police dans toute l’Europe et au-delà, en France l’image de la gendarmerie étant particulièrement utilisée à cette fin. Une réunion de coordination s’est tenue au siège d’Europol à la Haye le 25 avril 2012.

Le développement de ces campagnes est évidemment très suivi par les services de police et des investigations sont en cours. Les chercheurs en sécurité et les sociétés spécialisées en sécurité publient de nombreuses analyses sur le comportement des virus impliqués, des infrastructures qui servent à les diffuser et des groupes qui semblent être derrière ces pratiques. La figure ci-dessous donne un résumé des variantes qui sont aujourd’hui observées – elles sont documentées aussi sur le wiki Botnets.fr dans la rubrique Police lock:

Variantes des rançongiciels policiers

Fonctionnement

Le principe rencontré est souvent très similaire:

  • La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
    • Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
    • Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
  • Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
  • Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
  • Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.
  • Le paiement de la rançon ne débloque évidemment pas l’ordinateur.
  • Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
  • Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Versions plus récentes

Les nouvelles versions continuent de se développer, notamment par leurs visuels, mais aussi par les infrastructures utilisées et donc vraisemblablement les équipes qui sont derrière:

Une nouvelle version du virus exploitant l’image de la gendarmerie française

Dans une autre variante, c’est l’image de la SACEM et de la police nationale française qui sont exploitées

Une autre version (repérée par Malekal.com) utilisant divers logos dont ceux de l’ANSSI et de l’OCLCTIC.

Que faire ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):

  • Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
  • Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
  • Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
  • Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
  • Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Quelques liens vers des outils gratuits de décontamination (non exhaustive, pardon d’avance si j’en oublie) :

2CENTRE – Colloque international sur la cybercriminalité

Les 4 et 5 avril, les partenaires du projet de centre d’excellence français de lutte contre la cybercriminalité (dans le cadre du projet européen 2CENTRE), vous invitent à un colloque à la faculté de droit de Montpellier, pour réfléchir ensemble sur les enjeux de la protection des droits des personnes et des entreprises contre la cybercriminalité.

Le programme et plus de détail sur le site de la conférence: http://www.cicm2012.fr/

Le DNS cible de toutes les attaques?

Le DNS (domain name system – voir l’article de Wikipédia) est ce service qui permet à votre ordinateur de faire le lien entre un nom de serveur et une adresse IP. Il permet aussi aujourd’hui de diffuser de plus en plus d’informations contribuant à la sécurité des domaines sur Internet. L’actualité de ce début d’année 2012 offre de nouvelles occasions d’en parler, abordons deux d’entre elles:

  • DNS Changer, un logiciel malveillant que l’on croyait maîtrisé, fait encore et toujours parler de lui et pourrait très bien empêcher certains d’entre nous de naviguer d’ici quelques jours ;
  • Une nouvelle vulnérabilité dite des « domaines fantômes » (Ghost domains) a été révélée récemment par des chercheurs, qui pourrait permettre à des domaines abandonnés ou fermés de continuer à survivre dans certaines portions de l’Internet et permettre des abus.

DNS Changer

Le 9 novembre 2011, le ministère de la justice américain annonce (voir l’histoire telle que la raconte le FBI) la réussite de son opération Ghost Click. Ainsi six résidents Estoniens ont été interpellés pour avoir géré une opération criminelle qui leur permettait d’escroquer des millions d’internautes et un certain nombre de sociétés gérant des campagnes publicitaires.

Une variante du cheval de Troie Zlob avait été créée, apparemment en 2006 ou un peu avant, pour modifier de façon massive la configuration DNS des victimes. La première version de ce cheval de Troie, appelé DNS Changer par la plupart des sociétés antivirus, modifiait la configuration des systèmes d’exploitation pour que la résolution des noms de domaine ne soit plus réalisée par les serveurs de noms de domaine du fournisseur d’accès de la victime, mais par une batterie de serveurs gérée par le groupe criminel. Une version ultérieure permettait même la modification de la configuration de certains routeurs locaux (les boîtiers que l’on installe chez soi pour permettre l’accès à plusieurs ordinateurs au travers de la même connexion Internet).

Les serveurs de noms de domaine contrôlés par le groupe criminel étaient sur les adresses IP suivantes:

  • 85.255.112.0 à 85.255.127.255
  • 67.210.0.0 à 67.210.15.255
  • 93.188.160.0 à 93.188.167.255
  • 77.67.83.0 à 77.67.83.255
  • 213.109.64.0 à 213.109.79.255
  • 64.28.176.0 à 64.28.191.255

Ainsi, le trafic légitime des utilisateurs était détourné vers des sites commerciaux associés à ces criminels, conduisant par exemple les victimes à effectuer des achats sur des sites illégitimes, ou bien l’ordinateur affichait des campagnes publicitaires non prévues. Cela leur permettait aussi d’empêcher les mises à jour de logiciels antivirus.

Le groupe criminel était à la tête d’une société qui avait pignon sur rue, Rove Digital (voir la synthèse réalisée par Trend Micro), elle-même ayant plusieurs filiales (Esthost, Estdomains, Cernel, UkrTelegroup,…) – j’ai déjà évoqué Estdomains dans un article précédent sur les hébergeurs malhonnêtes. Comme on peut le lire dans l’article de Trend Micro, leurs activités ne se limitaient pas aux DNS malveillants (commercialisation de faux antivirus notamment).

Des serveurs DNS remplacés par des serveurs sûrs, mais plus pour longtemps

Grâce à une décision judiciaire et l’assistance de sociétés spécialisées dans la sécurité informatique (regroupées dans le groupe de travail DCWG), l’ensemble de ces serveurs de noms de domaine ont été remplacés par des serveurs légitimes (gérés par ISC). L’avantage d’une telle solution est qu’elle n’a pas soudainement coupé des millions de personnes d’un accès normal à Internet. L’inconvénient est qu’elles ne se sont pas forcément rendues compte qu’elles étaient concernées.

Cette solution est à comparer à celle qu’ont employée les autorités néerlandaises lors du démantèlement du botnet Bredolab. Dans ce dernier cas, les victimes étaient redirigées, grâce à l’utilisation de fonctions intégrées dans le logiciel malveillant, vers une page Web les avertissant de la contamination:

Message de la police néerlandaise pour avertir les victimes du botnet Bredolab

Mais, dans les prochaines semaines, vraisemblablement le 8 mars, les serveurs gérés par le DCWG ne fonctionneront plus et les ordinateurs qui sont encore contaminés par ce logiciel malveillant ou qui ne sont pas complètement reconfigurés ne pourront plus accéder normalement à Internet, les serveurs DNS qu’ils utilisent n’étant plus accessibles. Il est donc important de vérifier qu’on n’est pas concerné.

Pour vous aider à faire cela, des serveurs Web ont été mis en place dans différentes parties du monde qui vous permettent de vérifier si vous pouvez être concerné. Ainsi le CERT-LEXSI a mis en place la semaine dernière un serveur http://www.dns-ok.fr/ qui doit vous afficher l’une des pages ci-dessous:

Tout va bien

Rien ne va plus

Si vous voulez aller plus loin et vérifier plus avant votre configuration, vous pouvez consulter ce document en anglais diffusé par le FBI (voir le PDF joint) et qui donne un peu plus de précisions sur les vérifications à effectuer. En pratique, il s’agit de vérifier que la configuration DNS de vos ordinateurs ou routeurs locaux ne pointe pas vers l’une des adresses IP listées plus haut dans l’article.

Vous trouverez d’autres ressources ici: http://www.dcwg.org/checkup.html et notamment une liste de serveurs de diagnostic par le Web ici: http://dns-ok.de/, http://dns-ok.be/, http://dns-ok.fi/, http://dns-ok.ax/, …

Que faire si vous pensez être concernés?

Les conseils sont ceux que l’on donne habituellement lors de la découverte d’une contamination virale informatique: sauvegardez vos données les plus sensibles, mettez à jour votre logiciel antivirus (après avoir réglé correctement votre configuration DNS) et lancez une procédure décontamination au démarrage si elle est disponible dans votre logiciel et n’oubliez pas de faire le ménage sur tous vos supports amovibles (clés USB) qui sont connus pour avoir été utilisés pour la diffusion de cette catégorie de logiciels malveillants. Vous trouverez d’autres conseils sur le blog Malekal.

Est-ce qu’il s’agissait d’un botnet ?

Oui. Il ne s’agit pas de la structure classique d’un botnet tel qu’on l’imagine habituellement (logiciel malveillant qui reçoit des commandes sur un serveur IRC ou en se connectant sur un serveur Web), mais il y a un bien une infrastructure de commande (les centaines de serveurs DNS de Rove Digital/Esthost), un langage de communication particulier au travers de ces serveurs DNS, et une prise de contrôle assez avancée du comportement de la machine des victimes. Cette organisation malveillante rentre donc bien dans la définition que nous donnons d’un botnet sur le wiki Botnets.fr.

C’est exactement ce que dit Trend Micro dans son article sur ce dossier. J’avais évoqué d’autres modes de commande originaux pour des botnets sur ce blog: des images ou des Google groups.

Les domaines fantômes

La vulnérabilité dite des ghost domains n’a aucun rapport avec l’opération Ghost Click que nous venons d’évoquer, mais elle concerne bien une faille dans les serveurs DNS, même si elle n’a pas d’impact immédiat pour la plupart des lecteurs de ce blog.

Des chercheurs chinois et américains (Jian Jiang, Jinjin Liang, Kang Li, Jun Li, Haixin Duan et Jianping Wu) ont ainsi mis en évidence, dans un article intitulé Ghost Domain Names: Revoked Yet Still Resolvable (voir le PDF), qu’il était possible de maintenir, dans la mémoire cache d’une grosse partie des serveurs DNS répartis sur la planète, la résolution d’un nom de domaine qui n’est normalement plus actif, longtemps après qu’il ait été révoqué.

En théorie, cela permet par exemple de maintenir en activité un système de commande et de contrôle d’un botnet longtemps après qu’il ait été mis hors service.

Principe de la vulnérabilité

Le principe décrit par les auteurs suppose d’interroger l’ensemble des serveurs DNS dans lesquels on cherche à maintenir l’information vivante, avec des requêtes qui provoquent une mise à jour. Pour ce faire:

  • si le nom de domaine que l’on cherche à protéger est fantome.com
  • que le serveur de nom de domaine principal de ce domaine est dns.fantome.com (pointant vers l’adresse IP x.y.z.t
  • on modifie le nom du serveur pour un autre, soit par exemple test.fantome.com (pointant toujours vers x.y.z.t)
  • et on interroge ensuite chacun des serveurs DNS attaqués pour qu’ils identifient test.fantome.com
  • comme ils ne connaissent pas test.fantome.com mais savent déjà résoudre les adresses du domaine fantome.com, ils se connectent sur x.y.z.t et se rendent alors compte qu’il a changé de nom et mettent à jour le serveur de nom de domaine pour fantome.com avec la valeur test.fantome.com et réinitialisent la valeur du TTL (time to live, voir Wikipédia), qui constitue en quelque sorte la date d’expiration de l’information dans le cache local du serveur DNS.

Ainsi, pour tous les serveurs qui sont vulnérables à cette attaque, si on les contacte au moins une fois par jour (ou juste un peu moins qu’un jour, si le TTL est configuré à 86400 secondes) pour provoquer une mise à jour, ils continueront de conserver l’information erronée, sans jamais vérifier auprès des registres de noms de domaine de plus haut niveau (voir Wikipédia).

Quel est le risque réel

Les chercheurs soulignent dans leur article qu’ils ont pu mesurer qu’une grande majorité des serveurs DNS sont concernés aujourd’hui par cette vulnérabilité. Et s’ils n’ont pas identifié une utilisation passée, ils ont pu montrer qu’elle fonctionnerait. L’un des scénarios qu’ils décrivent consisterait à cibler l’attaque contre des serveurs de noms de domaine d’un réseau donné. Des mises à jour sont en cours de déploiement dans différentes versions des serveurs DNS. Selon les spécialistes interrogés (voir l’article du Register), le risque n’est pas très grand étant donné que la vulnérabilité permet uniquement de maintenir en fonctionnement des domaines malicieux après leur disparition et non pas d’injecter des informations erronées sur des domaines légitimes existants (voilà quelques années, Dan Kaminsky mettait en lumière une faille beaucoup plus importante, en voir la synthèse chez Stéphane Bortzmeyer).

Conclusion

Internet fonctionne sur un ensemble de fonctions essentielles dont les serveurs DNS ou le protocole de routage BGP. Bien qu’ils soient relativement simples au départ, la complexité de l’Internet, la nécessité de diffuser et propager l’information rapidement les rend particulièrement vulnérables. Il est donc important de suivre leur sécurité du cœur de l’Internet jusque dans la mémoire de votre ordinateur.

Pour aller plus loin

J’ai déjà parlé du DNS dans plusieurs articles que vous pouvez retrouver ici:

D’autres articles sur les domaines fantômes:

La citadelle du crime

L’évolution du botnet Citadel est suivie depuis plusieurs mois par différents chercheurs. Il montre une tendance intéressante (si l’on peut dire) dans la pratique des groupes criminels numériques: une véritable gestion de la clientèle et l’utilisation des modèles modernes de développement d’applications en source ouverte. Cet exemple montre des développements importants dans le domaine du CaaS – crime as a service, ou le crime vendu comme un service.

Historique

En mai 2011, le code source du malware Zeus est révélé. Dans la foulée, des variantes sont développées dont IceIX et aujourd’hui Citadel.

Panneau de commande du botnet Citadel v.1.2.4 (source: Seculert)

Les services offerts par la citadelle

Une fois la licence de Citadel acquise (le prix public serait de $2.399 plus un abonnement de $125 mensuels), le ‘client’ est invité à rejoindre la communauté en ligne des acheteurs de Citadel: le « Citadel Store » (voir l’article de Brian Krebs). Ils ont ainsi accès :

  • à la possibilité de voter pour de nouvelles fonctionnalités et en discuter le détail ;
  • la progression des développements (dates de sortie des nouveaux modules) ;
  • au signalement des bugs au travers d’un classique système de gestion de tickets ;
  • à une documentation complète pour l’utilisateur, des notes de version et un document de licence (sic !).

Vous pouvez lire sur le Wiki Botnets une traduction en anglais (par @sherb1n) d’un message publicitaire du groupe qui anime Citadel sur un forum destiné à des acheteurs potentiels.

Très clairement, il s’agit de fidéliser la clientèle et donc de développer ses revenus (ils demandent même des avances aux clients qui souhaitent voir un développement particulier arriver plus rapidement), mais aussi de profiter des informations que les clients obtiennent pour améliorer le produit et le rendre plus efficace. Ils vont ainsi beaucoup plus loin que les contacts via ICQ ou Jabber classiquement utilisés par les développeurs de logiciels malveillants (voir l’article de Brian Krebs).

Le groupe qui se cache derrière le Citadel Store se comporte comme n’importe quelle entreprise. Ainsi, ils ont des horaires de bureau (de 10h00 à 00h30 tout de même, donc très geeks) et se reposent le week-end. Au mois de mars 2011, Seculert rapportait déjà (voir leur blog) l’importance des services de type commercial développé par les criminels dans le domaine des plateformes d’exploits (il s’agit de plateformes telles Blackhole ou Incognito qui regroupent en un seul outil intégré un ensemble d’outils permettant de contaminer une grande variété de machines victimes visitant par exemple un site Web).

J’avais déjà eu l’occasion de souligner le développement des groupes criminels comme de véritables entreprises:

Les fonctionnalités offertes par Citadel

Selon Seculert (voir sur leur blog), une nouvelle version de Citadel est publiée chaque semaine, soit un rythme beaucoup plus soutenu que ce qu’on a pu remarquer pour Zeus ou SpyEye.

A ce jour, le botnet Citadel offrirait les fonctionnalités suivantes (voir notamment l’article de Seculert):

  • toutes les fonctionnalités connues de Zeus, mais avec des améliorations comme la collecte d’identifiants de connexion sur le navigateur Chrome de Google ;
  • chiffrement RC4 et AES pour les communications ;
  • contre-mesures pour les plateformes de suivi des serveurs de commande des botnets (tel Zeus Tracker), grâce à l’utilisation de clés qui seules permettent de télécharger des mises à jour ou des fichiers de configuration ;
  • blocage de l’accès par les machines infectées aux serveurs de mise à jour des anti-virus ;
  • enregistrement de vidéos (au format MKV) de l’activité de l’utilisateur visitant un site Web particulier ou utilisant une application (il s’agit d’une option du botnet) ;
  • la mise à jour via le protocole Jabber de l’ensemble des bots pour éviter la détection par les antivirus (cette option serait facturée $395 et chaque mise à jour $15) ;
  • plus classique, il est possible d’empêcher le bot de fonctionner sur les machines dont le clavier est configuré pour le russe ou l’ukrainien.

Interface de création du bot - logiciel malveillant (Source: Brian Krebs)

Pour prolonger…

Cet article est l’occasion d’attirer l’attention sur un projet lancé voici quelques semaines: https://www.botnets.fr/ un Wiki sur les botnets que j’anime dans le cadre de la thèse que j’ai commencée sur le sujet de la lutte contre les botnets. Si vous voulez participer à ce Wiki n’hésitez pas à nous rejoindre sur IRC chat.freenode.net .fr et à vous inscrire sur le Wiki.

Safer Internet Day 2012

Le Safer Internet Day, ou Jour pour un Internet plus sûr, est organisé par INSAFE au mois de Février chaque année, pour promouvoir un usage plus sûr et plus responsable d’Internet et du téléphone mobile, notamment par les publics les plus jeunes. Il a lieu cette année le 7 février. En France, les activités du SID sont placées sous l’égide de la délégation aux usages de l’Internet.

Différentes activités seront organisées à travers la France et l’Europe. Vous trouverez plus d’information sur le détail de ces actions sur le site de l’opération en France. Vous aussi vous pouvez y participer, n’hésitez pas à vous inscrire.

A cette occasion, une vidéo de sensibilisation a été réalisée par la commission européenne:

[youtube=http://youtube.com/watch?v=bIQl_WaXbNM&w=560&h=315]

Dans le cadre du Safer Internet Day 2012, le point de contact de l’AFA lance un questionnaire à destination des jeunes de 13 ans et plus, qui sera accessible tout le mois de février, portant sur leur manière d’appréhender les contenus choquants sur Internet. Les résultats de cette enquête seront publiés en mars 2012, en clôture du Safer Internet Day.

L’Europe en lutte contre la cybercriminalité

Dans son rapport 2011 sur la Criminalité en France, l’ONDRP – Observatoire national de la délinquance et des réponses pénales, publié en novembre 2011, a consacré un dossier entier à la cybercriminalité.

La synthèse du rapport est disponible en téléchargement. Le rapport dans son intégralité est publié chez CNRS éditions.

Au sommaire de ce rapport, un article sur la lutte contre la cybercriminalité en Europe que j’ai rédigé au cours de l’été dernier. Je vous le propose aujourd’hui en téléchargement, avec l’aimable autorisation de l’ONDRP.

Son introduction:

Lutter contre la cybercriminalité à l’échelle européenne est à la fois une nécessité et une gageure. La cybercriminalité n’a pas de frontières – même si l’on verra qu’il en subsiste – et les systèmes judiciaires, les cultures, les frontières physiques créent autant de barrières à un contrôle efficace de ces formes de délinquance. Après un peu plus de vingt ans d’actions, d’initiatives et de réussites dispersées mais convaincantes, l’Europe de la lutte contre la cybercriminalité semble vouloir prendre un nouveau virage avec la création d’un véritable outil commun, un Centre Européen de lutte contre la Cybercriminalité – annoncé par le Conseil de l’Union Européenne le 29 avril 2010 et qui devrait voir le jour en 2013. Après avoir parcouru les enjeux et les différentes étapes de cette lutte, nous envisagerons quelques-unes des composantes qui paraissent essentielles pour ces nouveaux outils.

La suite dans le PDF joint.

Les réactions à l’affaire Megaupload – DDoS etc.

Tout le monde est évidemment au courant des suites de l’affaire Megaupload, sous la forme d’opérations revendiquées par différents groupes se revendiquant ou non de la bannière Anonymous.

Il n’est certainement pas question pour moi de questionner la légitimité d’un débat ou de l’expression publique, dans le respect des lois, y compris de façon particulièrement visible, pour réagir à un tel évènement ou s’opposer à des projets de lois. Toutefois, dans le cas présent, il me semble important de rappeler certaines réalités.

1. Le cas Megaupload

Sur le fond, je vous renvoie à mon article précédent sur le sujet, où vous retrouverez ce qui est reproché par les autorités américaines aux personnes mises ici en cause. Les accusations sont assez graves, tendent à montrer un système organisé visant à contourner la loi. Et bien entendu, encore une fois, les personnes ici mises en cause doivent être présumées innocentes jusqu’à ce qu’une décision judiciaire définitive ait été prise. Il est important que la justice puisse faire son travail sereinement et je ne suis pas certain que l’agitation actuelle y contribue.

Sur la forme, il existe un débat sur la proportionnalité des mesures. C’est celui exprimé souvent par des « Anonymous », repris dans certaines expressions publiques et par exemple dans l’article de Pierre Col. Soit. Nous n’avons ni vous ni moi en main l’ensemble des éléments qui ont conduit les autorités américaines à saisir l’intégralité des serveurs. Ils vont certainement s’en expliquer dans le détail, mais en tous cas le mandat qu’ils ont reçu par la mise en accusation du grand jury de Virgine les autorisait bien à saisir l’intégralité des biens et matériels de ces entreprises.

2. Sur les moyens d’expression utilisés

En l’état actuel du droit, l’essentiel des actions menées actuellement relèvent de différentes infractions pénales:

  • défacements: l’accès frauduleux dans des systèmes de traitement automatisé de données (article 323-1 du code pénal), puis la modification frauduleuse de données (article 323-3 du code pénal), sont punis en France de 2 à 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende;
  • DDoS: les attaques en déni de service sont punies, au titre de l’entrave au fonctionnement d’un système de traitement automatisé de données (article 323-2 du code pénal), de 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende ;
  • « publication » de catalogues entiers de maisons de disques: la diffusion de contrefaçons d’oeuvres de l’esprit peut être punie d’un maximum de 3 ans d’emprisonnement et 300.000 € d’amende.

Différentes analogies sont mises actuellement en avant. On compare ainsi beaucoup les attaques en déni de service à des « sit-in » ou autres « occupations » de l’espace public.

Sur le plan factuel, une attaque en déni de service distribué ne se contente pas d’empêcher les autres de se connecter sur un serveur, mais envoie par exemple sur le serveur un nombre de connexions supérieur à celui qu’il peut encaisser, ou que sa connexion puisse accepter. Parmi les conséquences éventuelles (très variables selon les cas):

  • simples difficultés d’accès, atteintes à l’image de l’organisation visée,
  • serveur arrêté totalement (vulnérabilités documentées ou non des serveurs),
  • dans de rares cas la compromission des données (par exemple, grâce à des requêtes spécialement destinées à s’en prendre aux bases de données sous-jacentes, ce n’est apparemment pas le cas dans l’usage fait aujourd’hui de l’outil LOIC),
  • investissements (au moins en termes d’heures ingénieur / technicien) pour remettre en fonctionnement,
  • coût de la sécurisation contre un type d’attaques non encore pris en compte (pas forcément à la portée financière de n’importe quelle entreprise ou organisation),
  • la perte de clients ou le fait que des clients n’aient pas accès à leurs services légitimes, dédommagement de ces clients ou de ces usagers (flagrant lors de l’attaque de certaines banques en ligne voilà un an),
  • éventuellement une perte de chance pour ces mêmes clients ou usagers (voir article Wikipédia sur les dommages au civil en droit français),
  • des atteintes à la liberté d’expression (cas flagrant de l’Express hier, mais les médias ne sont pas les seuls à disposer de la liberté d’expression),
  • selon la cible et si les services du serveur sont essentiels, mise en danger de la vie d’autrui, etc. (pas rencontré dans les attaques de cette semaine apparemment).

Sur le plan juridique, l’occupation illégale de l’espace public (attroupement), a généralement pour seule conséquence le risque d’un usage de la force pour disperser cet attroupement (article 431-3 du code pénal).

3. Tentative de conclusion

Sur le fond, chacun est évidemment et très heureusement libre d’avoir son avis et de l’exprimer suite à ce qui est advenu à la société Megaupload et ses dirigeants, et nous en apprendrons certainement plus dans les mois qui viennent.

Sur la forme des réactions, alors que nous habitons des pays démocratiques, où la liberté de s’exprimer, de manifester est particulièrement large et même facilitée, l’utilisation de tactiques certes efficaces sur le plan du bruit médiatique telles que des attaques informatiques me semblent à la fois contre-productives et dangereuses. Contre-productives parce que très clivantes et stigmatisantes (il y a forcément une portion non négligeable de la population qui n’adhérera pas), et dangereuses parce que le risque juridique est très mal évalué par ceux qui y participent.

Et comme on le dit très souvent, les conseilleurs ne sont pas les payeurs: expliquer aux jeunes et moins jeunes que participer à des DDoS et autres opérations du même type relèverait de la manifestation ou du sit-in est aujourd’hui factuellement et juridiquement faux.

Megaupload – Synthèse des faits présentés

Kim Schmitz devant un tribunal NZ

Le 19 janvier, le ministère de la justice américaine annonçait la mise en accusation et l’arrestation des dirigeants de la société Megaupload ainsi que l’arrêt complet de ses activités. Le principal accusé n’a pas facilité son arrestation (les accès étaient hermétiquement fermés) et était alors armé. L’opération menée par les autorités fédérales américaines, en coopération avec les autorités de Nouvelle-Zélande et d’autres pays, contre la nébuleuse Megaupload et sept de ses dirigeants a fait beaucoup de bruit cette semaine. Je vous propose d’examiner les faits présentés par les enquêteurs.

En préambule, j’avais déjà abordé le sujet du streaming et de sa légalité il y a quelques temps. Des sites légitimes de mise à disposition de contenus audiovisuels existent (Dailymotion, Youtube et les plateformes commerciales de diffusion vidéo telles celle d’Apple – Itunes, de la Fnac, etc.), qu’ils aient des accords (commerciaux ou non) avec les ayants-droits ou qu’ils suppriment systématiquement et de façon définitive les contenus contrefaisants. Une des particularités de Megaupload est qu’ils offrent aussi les fichiers au téléchargement direct ce qui peut changer l’interprétation au regard de la législation des différents pays, puisque dans ce cas-là il n’y a pas uniquement une « représentation » de l’oeuvre, mais bien une mise à disposition et la copie qui sont rendues possibles.

L’une des questions que l’on peut se poser est donc: est-ce que Megaupload et les autres sites de la galaxie Mega diffusaient majoritairement des contenus d’origine légale et respectaient la législation en vigueur dans les différentes régions du monde en matière de retrait de contenus signalés, ou bien est-ce qu’ils se comportaient comme un hébergeur bienveillant pour les contenus d’origine illégale ? En résumé, sont-ils de simples hébergeurs, respectueux de la législation, des hébergeurs pas très sérieux et à qui il faudrait demander de corriger le tir, des hébergeurs regardant d’abord leur intérêt commercial avant de respecter les lois et règlements ou bien pire, est-ce qu’ils incitent par leur fonctionnement à des activités illégales ?

Je vous propose de jeter un coup d’oeil au document de mise en accusation obtenu le 5 janvier dernier par les autorités fédérales devant le grand jury d’Alexandria en Virginie, USA (disponible par exemple sur scribd). Pour en savoir plus sur le rôle d’un grand jury dans le système américain, vous pouvez consulter l’article du Wikipédia anglais ici. Il s’agit de la forme de jury chargée d’examiner et de valider ou rejeter les mises en accusation.

Bien entendu, tant que les personnes n’ont pas été définitivement condamnées, elles doivent être considérées comme innocentes.

Infractions retenues

Cinq infractions principales ont été présentées dans ce dossier contre les personnes mises en cause (traduction personnelle):

  • conspiration en vue de commettre des actions de racket ;
  • conspiration en vue de commettre des atteintes à la propriété intellectuelle ;
  • conspiration en vue de commettre du blanchiment d’argent ;
  • l’infraction spécifique de diffusion de contenus protégés par un droit de propriété intellectuelle sur un réseau informatique et la complicité de tels actes ;
  • l’infraction spécifique d’atteintes à la propriété intellectuelle par des moyens électroniques et la complicité de tels actes.

La conspiration (conspiracy) correspond à l’infraction française d’association de malfaiteurs (article 450-1 du code pénal). Le document publié à cette occasion permet de comprendre les faits qui sous-tendent cette hypothèse.

Les faits présentés dans l’acte d’accusation

La liste de faits que nous allons faire ci-dessous correspond aux documents présentés par les autorités fédérales américaines. Bien entendu nous ne disposons pas ici de l’ensemble des éléments de preuve qui étayent ces déclarations, aussi ils sont à prendre avec toute la précaution nécessaire, ces éléments de preuve devront notamment être discutés devant le tribunal chargé d’examiner ce dossier. Toutefois, le premier tribunal qui a examiné les faits – le grand jury évoqué plus haut – les a tous retenus. Je ne retiendrai ici que les faits les plus saillants. Je mettrai entre [crochets] le numéro du paragraphe de l’acte d’accusation.

Audience des sites Mega

[3] Le site Megaupload était reconnu comme le 13e site Internet le plus visité au monde, avec plus d’un milliard de visiteurs sur toute son existence et 180 millions de comptes enregistrés, 50 millions de visites quotidiennes et 4% du trafic mondial sur Internet.

[16] Le site Megavideo quant à lui, qui était utilisé pour visualiser directement les films diffusés par les serveurs de Mega ou insérer un outil de visualisation sur un site tiers était classé 52e parmi les sites les plus populaires dans le monde.

Capacité de stockage

[38] La société Carpathia (Etats-Unis) louait plus de 25 péta-octets de capacité de stockage à la galaxie Mega, dans plus de 1000 serveurs. Leaseweb (Pays-Bas) de son côté louait plus de 630 serveurs aux mêmes clients.

[69.c] Plus de 65 millions de dollars ont été versés par Mega à ses hébergeurs.

Revenus

[4] Les abonnements permettant un accès illimité au site (sans aucune limite de téléchargement) étaient facturés de quelques dollars par jour à près de €200 pour un abonnement à vie (premium). Les revenus des abonnements sont évalués à 150 millions de dollars. Les revenus publicitaires des plateformes gérées par la société Mega sont évalués à 25 millions de dollars. Aucun reversement significatif ne serait réalisé vers les ayants droits des œuvres protégées.

[9] Les utilisateurs ne disposant pas d’un abonnement premium doivent attendre des temps souvent supérieurs à une heure avant de pouvoir télécharger le contenu souhaité et sont régulièrement incités à souscrire un abonnement.

Nota rajouté à 23:45 : différents trucs étaient échangés entre les utilisateurs pour contourner cette limite. En réalité la possibilité de contourner et donc la possibilité résultante d’échanger différents trucs faisait peut-être partie (je fais ici une hypothèse) du système mis en place pour favoriser le marché parallèle autour des sites de liens et de forums d’utilisateurs.

[17] La visualisation (sur megavideo.com) est limitée à 72 minutes pour tous les utilisateurs non-premium. Les films commerciaux ont une durée le plus souvent supérieure à cette limite ce qui semble indiquer qu’une partie des abonnés premium payait pour pouvoir accéder à ce type de contenus.

[18] Les revenus publicitaires, après avoir été obtenus auprès de prestataires classiques, étaient plus récemment issus exclusivement d’une filiale de la galaxie Mega, Megaclick.com, qui annonçait des tarifs pour les annonceurs nettement supérieurs à ceux couramment pratiqués. [69.y] Google Ad Sense signifie aux responsables de Mega en may 2007 que le nombre d’activités illégales présentes sur leurs plateformes ne leur permet plus de travailler avec eux.

[29] Les revenus personnels de l’accusé principal, Kim Dotcom (suite à un changement officiel de nom…) s’élevaient pour l’année 2010 à plus de 42 millions de dollars.

[41] Plus de 110 millions de dollars parmi les revenus ont transité par le compte Paypal de la galaxie Mega. [42] Plus de 5 millions de dollars par un compte Moneybookers.

[44] Parmi les annonceurs, la société PartyGaming PLC (Partypoker.com) est citée comme ayant dépensé près de 3 millions de dollars en publicités sur les plateformes de la galaxie Mega.

[69] De nombreux exemples dans ce paragraphe montrent que les employés de Mega sont conscients de la diffusion de contrefaçons sur la plateforme et qu’il s’agit de la motivation de l’abonnement par leurs clients.

Rémunération des diffuseurs

[4] Une partie des revenus aurait été utilisée pour rétribuer des personnes qui envoient vers la plateforme des contenus en quantité et de qualité au travers d’un programme appelé « Uploader rewards« .

[69] Ce système de récompense était mis en place dès septembre 2005 et permettait aux personnes qui généraient plus 50.000 téléchargements en trois mois de recevoir $1 pour chaque tranche de mille téléchargements. Dans la version la plus récente notée par les enquêteurs [69.g] le programme consistait à accumuler des points qui donnaient droit soit à des abonnements, soit au versement de sommes d’argent ($10,000 pour 5 millions de points, 1 point étant obtenu pour chaque téléchargement).

Nota: en soi, un système de récompense pour des diffuseurs efficaces n’est pas choquant. Ainsi Youtube a un programme Partenaire et rémunère ses producteurs qui ont la plus grande audience. Toutefois, il doit évidemment s’agir de contenu original sur lequel la personne qui les met à disposition dispose des droits afférents.

[69.r, u] Des copies de courriers électroniques saisis révèlent que des utilisateurs étaient spécifiquement récompensés pour avoir diffusé des contenus contrefaisants (copies de DVD, musiques, magazines).

[69.h…] On note dans ce passage (et dans d’autres [69.bbbb] que des contenus hébergés par Youtube étaient copiés par la galaxie Mega pour être mis à disposition sur leur plateforme (jusqu’à 30% des vidéos présentes sur Youtube).

Utilisation pour le stockage de documents personnels

[7] Les enquêteurs relèvent que seuls les abonnés premium avaient la garantie que leurs contenus seraient conservés sur les sites de la société Mega. Dans tous les autres cas (visiteurs anonymes ou usagers enregistrés gratuits ou non premium), les contenus sont supprimés s’ils ne sont pas téléchargés régulièrement (donc s’ils n’attirent pas un trafic suffisant, en effet toutes les pages de téléchargement affichent des publicités [8]).

[9] Les enquêteurs soulignent encore certaines fonctions qui ne correspondent pas à un usage pour stockage personnel mais plutôt un usage pour une diffusion large, par exemple lorsque les utilisateurs enregistrés sont invités à créer un lien spécifique dans leur compte personnel vers un contenu déjà existant et mis à disposition par un autre utilisateur.

La recherche de contenus

Contrairement à tous les sites populaires de visualisation de vidéos, le site Megavideo.com [10] ne propose pas de moteur de recherche. Au contraire, les utilisateurs sont incités à créer des liens et parfois rémunérés au travers du programme « Uploader rewards« , depuis des sites extérieurs. Ainsi on a vu se créer toute une galaxie de blogs, forums et autres sites de liens qui assuraient la publicité des téléchargements de la société Mega.

Certains des sites diffusant ces liens avaient déjà été saisis sur requête des autorités américaines. Ainsi ninjavideo.net amène aujourd’hui sur un message très clair:

La personne gérant le site de liens ninjavideo.net a été condamnée le 20 janvier 2012 à 14 mois d’emprisonnement, deux années de mise à l’épreuve, $172,387 d’amende et à la confiscation de ses comptes et matériels.

[14] Selon les enquêteurs, les associés de la société Mega se seraient servis de moteurs de recherches internes pour identifier plus facilement des contenus intéressants et contrefaisants [69.bb, dd, ee]. En outre, la liste des 100 téléchargements les plus populaires aurait été altérée [15] pour n’afficher que des contenus qui paraissent légitimes (extraits de films diffusés librement par exemple).

[19] Les recherches étaient possibles sur Megavideo.com mais semblaient filtrées. Ainsi la recherche de contenus protégés par des droits de propriété intellectuelle ne ramenait aucun résultat alors que les contenus étaient bien accessibles sur la plateforme grâce à des liens directs. D’ailleurs, dans [69.rrrr] on voit qu’ils envisagent en septembre 2011 de rajouter des vidéos complètes dans leurs résultats.

Retrait des contenus illégaux

[20..23] Lorsque des contenus contrefaisants leur étaient signalés par les ayants-droits, uniquement le lien faisant l’objet du signalement était supprimé. Or, la plateforme Mega ne stockait un fichier identique qu’une seule fois, apparemment grâce à de simples fonctions de hachage classiques (MD5). Et le fichier contrefaisant stocké une seule fois dans leurs systèmes et l’ensemble des autres liens de leur plateforme pointant vers le même fichier n’étaient pas supprimés en même temps que le lien objet du signalement, permettant à l’infraction de se poursuivre, alors qu’il aurait été facile de les supprimer automatiquement.

[24] D’ailleurs, lorsqu’il s’agissait de retirer des contenus plus problématiques pour eux (dont la pédopornographie), ils utilisaient bien cette méthode pour supprimer intégralement le contenu de leur plateforme.

[25] Des demandes officielles ont été adressées en juin 2010 à la société Mega au sujet de 39 films diffusés illégalement sur la plateforme. Au 18 novembre 2011, 36 de ces films étaient encore disponibles.

[69.q] En utilisant son compte personnel Kim Dotcom aurait personnellement mis à disposition en décembre 2006 une copie d’un morceau du chanteur 50 Cent, toujours accessible sur la plateforme en décembre 2011. Les enquêteurs relèvent d’autres exemples de diffusion par des personnels de Mega, ou de preuve qu’ils se servaient eux-mêmes de la plateforme pour visualiser des contrefaçons [69.ww].

[69.jj] Parmi les instructions données par Kim Dotcom à ses subordonnés, les signalements de contenus contrefaisants provenant de particuliers doivent être ignorés. De même, il invite ses collaborateurs à ne pas traiter les signalements massifs [69.zz, aaa]. Les ayants-droits sont d’ailleurs limités dans les demandes qu’ils peuvent faire chaque jour dans les interfaces qui leur sont dédiées [69.lll cite un problème avec un représentant de la société Warner].

[69.vv] Dans ces exemples d’échanges électroniques entre les responsables de Mega, on voit qu’un de leurs soucis est bien de faciliter une visualisation de qualité (problèmes de synchronisation audio) de contenus contrefaisants (séries télé).

[69.ffff] Il est explicitement reproché à Mega de ne pas avoir mis en place de procédures pour détecter et supprimer les comptes des utilisateurs commettant de multiples infractions à la législation sur la propriété intellectuelle.

Se protéger des poursuites

[69.qqq] Pour éviter tout souci avec les autorités locales à Hong Kong, les responsables de Mega s’interdisent de diffuser quelque contenu que ce soit sur ce territoire.

[69.uuu] Suite à la saisie de plusieurs noms de domaine (en .com, etc.) par les autorités américaines, les responsables de Mega envisagent de changer pour des noms de domaine échappant au pouvoir des autorités américaines.

[69.llll] Les responsables de Mega plaisantent parfois entre eux sur les risques à se rendre dans certains pays, ici l’Allemagne suite à une affaire mettant en cause le site de liens kino.to.

[69.tttt] Les contenus contrefaisants sont exclus des résultats des recherches justement pour éviter des poursuites indique un des responsables de Mega à un hébergeur inquiet.

La suite des opérations

La saisie de leurs biens, mais aussi de l’ensemble des serveurs situés pour l’essentiel aux Etats-Unis et aux Pays-Bas, a entraîné la cessation globale des activités de la galaxie Mega.

Les débats à venir porteront notamment sur la neutralité des hébergeurs, et la neutralité particulière de l’hébergeur Megaupload. Les autorités américaines vont certainement poursuivre leurs investigations et vouloir mettre en cause de façon encore plus précise les responsables de cette société. En particulier, pour l’instant, on ne trouve pas d’éléments chiffrés sur la proportion de contenus légaux par rapport aux contenus illégaux présents sur la plateforme. Le procès, qui devrait avoir lieu aux Etats-Unis étant donné les accords d’extradition existants avec la Nouvelle-Zélande ne manquera pas d’être des plus intéressants. A suivre donc.

Attention au détournement de l’affaire Megaupload

Faux site Megaupload

Avant de faire un billet plus approfondi sur le dossier Megaupload, un petit billet d’alerte sur une campagne de manipulation en cours sur les réseaux sociaux. Une adresse IP est diffusée depuis le soir même de la fermeture de Megaupload en promettant le retour du site, avec des messages du genre:

si on remonte quelques heures plus tôt dans la recherche sur Twitter on trouvait d’ailleurs le 18 janvier un autre usage de cet IP: la diffusion d’informations sur la façon de regarder gratuitement sur Internet le match Real Madrid – FC Barcelone:

Dès que cette IP a commencé à circulé j’ai senti qu’il y avait certainement un piège là-derrière, tout simplement parce qu’on ne relance pas un service comme Megaupload derrière une simple adresse IP, étant donnée l’infrastructure complexe qu’il faut pour accepter des millions de visiteurs par jour.

Mon tweet de vendredi matin ...

Cela s’est confirmé un peu plus tard avec différents blogs qui soulignent les incohérences (cf sur le blog reflets.info). Dès hier, PC Inpact a obtenu une confirmation « officielle » (sur cette brève).

Pourquoi une adresse IP ?

En fait ce site est aussi accessible par un nom de domaine trompeur: megavideo.bz (comme on peut le lire sur ce site en langue espagnole), mais il aurait été rapidement filtré par Twitter et d’autres formes de filtres. En effet, lorsque vous postez une URL dans Twitter, elle est automatiquement remplacée par un service de redirection de Twitter (http://t.co/) qui leur permet de repérer et de bloquer les URL dangereuses (j’en parlais au mois de juillet ici-même).

Et il semble donc que, malheureusement, le filtre mis en place par Twitter ne fonctionne pas encore pour les adresses IP.

Conclusion

La version accessible aujourd’hui est tristounette:

Et pour cause, la première version de la page se contentait d’être un copier-coller du site original avec dans le code des liens vers les images et les scripts CSS (qui régissent la présentation) hébergés sur www-static.megaupload.com … qui depuis a été débranché, vraisemblablement dans le cadre de l’enquête en cours. On note au passage les liens Facebook et Twitter qui incitent  rediffuser l’adresse et le message larmoyant qui avertit sur les risque de hameçonnage… (oui à quoi peut servir une telle audience ?).

La bonne résolution du jour que je vous recommande est donc: je ne retwitterai pas l’adresse IP du nouveau site de Megaupload (qui n’en est pas un).