Éric Freyssinet

Audition à l’Assemblée Nationale

Patrice VERCHERE, député.

J’ai été auditionné pendant un peu plus d’une heure à l’Assemblée Nationale, le 14 décembre 2010, devant la mission d’information commune sur la protection des droits de l’individu dans la révolution numérique.

Vous pouvez retrouver l’enregistrement de cette audition sur le site de l’Assemblée. J’étais interrogé par M. Patrice VERCHERE, co-rapporteur de cette mission.

J’ai d’abord été invité à exposer pendant une quinzaine de minutes un certain nombre de propos liminaires pour expliquer l’action de la gendarmerie nationale, mais aussi les actions que nous menons en partenariat avec la police nationale. Je suis ensuite revenu sur quelques points discutés récemment dans les débats de cette mission dont le statut juridique de l’adresse IP et l’obligation de notification des incidents de sécurité. Enfin j’ai fait un certain nombre de propositions concrètes et notamment sur des points de droit:

  • la nécessité de simplifier notre cadre juridique, notamment lorsqu’il s’agit de définir les obligations des acteurs de l’Internet;
  • le besoin d’étendre les cyberpatrouilles (ou investigations sous pseudonymes) à toutes les infractions où cet outil permettra d’être plus efficace dans leur résolution (et notamment les atteintes aux systèmes de traitement automatisé de données, la contrefaçon, la haine raciale et les infractions économiques et financières facilitées par Internet)
  • le souhait que nous avons de voir étendre les réquisitions à personnes qualifiées pour les actes techniques simples (à savoir les constations sur les supports de preuve numérique) aux enquêtes sur commission rogatoire.

Enfin, j’ai répondu à un grand nombre de questions qui portaient sur des sujets tout aussi variés que les réseaux sociaux, la régulation de l’Internet, la coopération internationale, l’identité numérique et la carte d’identité numérique ou les dispositifs de captations de données prévus par la LOPPSI.

Le Netcode pour les ados

Action Innocence lance aujourd’hui le Netcode. Ce nouvel outil de prévention décline une dizaine de règles de bonne conduite sur le Net à destination des ados sous forme des saynètes dessinées divertissantes et parlantes :

Je m’oppose aux agressions, je ne les filme pas, je ne fais pas circuler d’images violentes ou humiliantes.

ou encore:

Si j’accepte un rendez-vous, j’y vais accompagné(e).

Pour télécharger la plaquette, rendez-vous sur le site de l’association.

Ne soyez pas des ânes !

Le chômage, les difficultés économiques que traverse notre pays sont autant d’opportunités que les groupes criminels tenteront d’exploiter. Ainsi, aujourd’hui en France, comme dans beaucoup d’autres pays, d’honnêtes citoyens sont recrutés à leur insu par des groupes criminels, avec l’espoir d’un revenu facile et attractif.

Non seulement ce n’est pas un emploi solide, mais le risque n’en vaut pas la chandelle.

Pourquoi les groupes criminels recrutent-ils des mules ?

Les mules sont des intermédiaires. Deux usages principaux sont rencontrés aujourd’hui: les transferts financiers et les transferts de biens matériels.

Un certain nombre de mécanismes sont en place pour limiter les fraudes. Ainsi, pour beaucoup d’établissements bancaires, un virement vers un compte bancaire étranger ne pourra être mis en place que dans le cadre d’une procédure particulière qui suppose une interaction entre le client et son conseiller en agence (courrier, fax, téléphone ou déplacement dans son agence bancaire). Les commerçants en ligne n’acceptent pas aveuglément tous les types de transaction et notamment les livraisons de produits coûteux tels que des télévisions ou des ordinateurs vers des pays étrangers.

Ainsi, je vous parlais en avril dernier du démantèlement d’une entreprise criminelle dont les activités consistaient à répondre au téléphone à la place des titulaires des comptes pour valider les transactions. Mais ce n’est qu’une étape dans le processus.

Aussi, lorsque les escrocs veulent utiliser un numéro de carte bancaire, les identifiants de connexion à un compte bancaire en ligne, pour se faire livrer des produits ou vider un compte, ils ont besoin d’intermédiaires dans le pays où se trouve la victime.

Comment ils les recrutent ?

On rencontre plusieurs typologies de recrutement et elles deviennent de plus en plus massives et complexes.

Le recrutement communautaire et par contacts.

C’est celui qu’on rencontrait les premières années. Ainsi, dans un certain nombre d’affaires du début des années 2000, les mules étaient recrutées dans des familles originaires des mêmes régions que les escrocs, tout simplement parce que la barrière de la langue était difficile à surmonter, ou parce qu’il fallait établir un lien de confiance avec ces futurs intermédiaires, ou peut-être pour avoir des moyens de pression supposés sur la famille restée au pays ?

Mais nous n’en sommes plus là.

Le recrutement par les offres d’emploi

Le système est maintenant bien rôdé. Les escrocs montent des entreprises fictives qui utilisent les moyens les plus variés et les plus efficaces pour recruter leurs mules : pourriels, réponse à des petites annonces de chercheurs d’emploi ou publication de petites annonces.

Ainsi, un courrier électronique que j’ai reçu cet été :

 

Cliquez pour agrandir

 

Mais parfois, on s’adressera à vous en français. Voilà quelques mois une victime de ce schéma témoignait par exemple sur le blog eBusiness. Les escrocs ici n’hésitaient pas à se faire passer pour une entreprise française légitimement enregistrée et à délivrer des faux contrats de travail.

Comment ça marche ?

Une fois « embauché », selon un contrat de travail bidon, la tâche proposée est effectivement assez simple. On reçoit chez soi des colis postaux de dizaines de commerçants différents, et on est chargé de les réexpédier vers leur destinataire réel. Ou bien, on reçoit de l’argent sur son compte bancaire. A charge pour vous de retirer l’argent en liquide et de le réexpédier vers leur destinataire par Western Union ou Moneygram.

Dans un billet récent, Brian Krebs révélait l’interface de gestion qui permettait à la société fictive « Forte Group Inc. » (les activités de cette entreprise sont aussi évoquées ici) de donner des directives à ses employés fictifs. Ainsi, dans le cas décrit, l’employée était invitée à transmettre la somme reçue en trois portions, deux par Western Union et la troisième par Moneygram. L’interface de gestion permettant ensuite de fournir les références des transactions pour le retrait par leur destinataire.

 

Les instructions transmises par l'entreprise criminelle

 

Que risque-t-on ?

La législation française peut être particulièrement sévère contre les personnes qui se trouvent impliquées dans ce type d’activités illégales. Selon qu’on saura ou non convaincre la justice de sa bonne foi, la mise en cause peut aller jusqu’à des accusations de recel ou de complicité.

En janvier dernier, je relatais une opération de police judiciaire menée conjointement par la gendarmerie et la police judiciaire dans les Alpes Maritimes, impliquant plusieurs de ces mules. Bien évidemment leurs commanditaires sont aussi recherchés dans ce type d’enquêtes.

Que faire ?

Bien évidemment, méfiez-vous de toutes les offres d’emploi qui promettent un travail facile, à domicile, et qui suppose la réception et la retransmission de colis ou de sommes d’argent. N’hésitez pas à signaler de tels faits sur la plateforme de signalement du ministère de l’intérieur: https://www.internet-signalement.gouv.fr/.

Si vous êtes dans cette situation, arrêtez rapidement toute coopération, et rendez vous dans votre brigade de gendarmerie ou le commissariat de police le plus proche pour signaler votre employeur malhonnête. Cette situation est effectivement complexe, aussi n’hésitez pas à faire appel à un avocat. Tous les éléments qui prouvent votre bonne foi et notamment le fait que vous signaliez de vous-même la situation plaideront en votre faveur, ainsi que la restitution de toutes les sommes ou marchandises indûment perçues.

Enfin, si vous êtes commerçant ou particulier, à l’autre bout de la chaîne, c’est-à-dire si votre compte bancaire a été débité à votre insu, votre carte bancaire utilisée pour effectuer des achats frauduleux, votre site de commerce électronique victime de ces abus, déposez plainte le plus rapidement possible en apportant l’ensemble des éléments à votre disposition pour permettre l’identification rapide des suspects.

Et les enquêtes internationales finissent par aboutir. En témoigne l’opération « Trident BreACH/ACHing mules » menée récemment conjointement par les polices américaine, anglaise et ukrainienne.

Les dix ans des Assises de la sécurité et des systèmes d’information

Les Assises de la sécurité et des systèmes d’information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d’information.

Organisées assez classiquement autour d’un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j’étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j’ai pu assister :

  • Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d’aujourd’hui et demain et de leurs conséquences sur la sécurité ;
  • Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd’hui et de la réponse qu’il recommande: une police mondiale de l’Internet et l’identification sécurisée de toutes les personnes qui publient de l’information ou achètent sur Internet. J’en reparlerai sûrement.
  • « Dix ans de risque informatique… un regard vers le futur immédiat ». Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l’ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j’en retire principalement est qu’on n’est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd’hui; l’individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
  • Et en clôture la simulation du procès pénal des réseaux sociaux. Il s’agissait ici de réfléchir avec l’auditoire sur les risques d’un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l’exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux « Raizosocio », mais aussi tous les instruments d’une réflexion à poursuivre, merci à tous les « acteurs » !

Parmi les présentations auxquelles j’ai assisté, je citerais :

  • Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d’Areva et d’Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
  • Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu’il y a parfois automatisation des processus d’empoisonnement des moteurs de recherche (j’en parlais en début d’année ici).
  • Une démonstration d’ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l’innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l’Epitech, Arxsys a pour ambition de développer une offre autour de l’investigation numérique, grâce au développement d’une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j’invite toute la communauté de l’investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J’espère que cette initiative fera naître d’autres projets innovants français (et pourquoi pas opensource) au service de l’investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j’ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !

Rentrée à Rosny-sous-Bois

(image sur le site de la gendarmerie nationale)

J’évite de trop personnaliser les témoignages que j’apporte sur ce blog, mais la rentrée m’a contraint à rester silencieux pendant plusieurs semaines, non pas par manque d’inspiration, mais emporté que j’étais par mes nouvelles tâches.

En effet, depuis le 16 août, j’ai eu l’honneur de rejoindre la tête de la Division de lutte contre la cybercriminalité (DLCC) du Service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale à Rosny-sous-Bois. J’ai donc été très occupé par ces nouvelles responsabilités et me suis presqu’entièrement consacré à celles-ci.

Je ne révélerai évidemment pas les détails des affaires que nous traitons au quotidien, mais je profite de ma petite tribune pour vous présenter mon unité. L’histoire de la DLCC remonte à 1998. A l’époque, je travaillais à proximité dans le Fort de Rosny-sous-Bois, ayant rejoint depuis peu l’équipe du département informatique et électronique de l’institut de recherche criminelle de la gendarmerie nationale (IRCGN).

Le STRJD est le service chargé, pour la gendarmerie, d’administrer l’information judiciaire, de faire circuler et traiter les messages de demande de rapprochement et de gérer les bases de données qui permettent ces rapprochements (en particulier Judex ou le fichier automatisé des empreintes digitales pour la gendarmerie). Son relais sur le terrain est constitué par les brigades départementales de renseignement et d’investigation judiciaire (BDRIJ).

Au sein du STRJD donc a été constituée en 1998 une équipe chargée de débusquer les infractions sur les réseaux ouverts au public. Depuis, cette équipe a crû progressivement pour atteindre l’organisation actuelle:

  • le département de répression des atteintes aux mineurs sur Internet (RAMI),
  • le département des investigations sur Internet (D2I), à vocation plus généraliste,
  • le département soutien et appui.

Au sein du RAMI, on retrouve le centre national d’analyse des images de pédopornographie (CNAIP), dont les missions ont été fixées par un arrêté du 30 mars 2009.

Enfin, au sein du département soutien et appui, a été placé le guichet unique téléphonie et Internet (GUTI) chargé de faciliter au quotidien les relations entre les enquêteurs de la gendarmerie nationale et les opérateurs de communications électroniques.

Les relais de l’action de la DLCC sur le terrain sont des enquêteurs en technologies numériques (NTECH) de toute la France qui, chacun dans leur région, mènent les investigations sur Internet qui toujours trouvent un prolongement hors de l’Internet.

J’espère passer quelques années passionnantes à ce poste !

Stuxnet / CPLink la situation ne s’arrange pas

Mise à jour 03/08/2010: Microsoft diffuse un modificatif de sécurité répondant à l’alerte. Plus d’information dans leur bulletin de sécurité MS10-046.

Aujourd’hui, Graham Cluley (Sophos) attire notre attention depuis son blog sur les mises à jour récentes de la page d’incident mise en place par Microsoft sur cette vulnérabilité:

Ainsi, il serait possible pour l’attaquant de mettre en place un site Web présentant ces raccourcis problématiques ou bien les insérer dans un document (notamment de la suite Microsoft Office).

Les vers Stuxnet

Les plus curieux d’entre vous liront l’article que Symantec a consacré au fonctionnement du ver Stuxnet lui-même.

Se protéger ?

A ce jour, les mesures de protection conseillées par Microsoft, si elles fonctionnent, ne sont pas forcément les plus pratiques car elles empêchent de distinguer les icônes auxquelles les usagers sont familiers. Rappelons que deux autres solutions sont proposées (sur le blog de Didier Stevens):

Par ailleurs, pour Windows 7 et Windows 2008 R2, Cert-Lexsi propose l’utilisation d’Applocker.

Enfin, assurez-vous de disposer d’un antivirus à jour, ceux-ci doivent pour la plupart aujourd’hui être en mesure de détecter aussi bien des raccourcis qui exploiteraient cette vulnérabilité que les différents vers qui ont été identifiés dans la famille Stuxnet.

Articles de référence:

Faille de sécurité des raccourcis sous Windows (suite)

VirusBlokAda - Découvreur du ver

L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.

Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.

Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:

20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.

A suivre toujours !

Comment se protéger (suite)

20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.

20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.

Articles en rapport :

Faille de sécurité des raccourcis sous Windows

Une faille de sécurité qui toucherait l’ensemble des systèmes Windows de la société Microsoft a été révélée de façon assez brutale cette semaine. En effet, une exploitation particulièrement virulente de cette faille est dans la nature et elle semblerait avoir pour première cible des systèmes de contrôle industriels (SCADA).

Le 17 juin dernier, des experts en sécurité de la société biélorusse VirusBlokAda signalent à la communauté des experts de la lutte antivirale avoir détecté la propagation d’un logiciel malveillant aux caractéristiques inquiétantes:

  • propagation par clés USB ou partages réseau (ce qui est un mode de propagation classique, mais dont on espère toujours être protégé);
  • contournement des protections contre le démarrage automatique (autorun de Windows) ou la restriction des droits de l’utilisateur UAC introduite dans Windows Vista et 7;
  • signature de l’exécutable avec la clé de la société Realtek;
  • installation d’un rootkit.

Une étude détaillée de ces codes malveillants a été publiée par VirusBlokAda (voir la pièce jointe). On peut voir le virus à l’œuvre dans une démonstration réalisée par SophosLabs:

[youtube=http://www.youtube.com/watch?v=1UxN7WJFTVg]

Le fonctionnement de la vulnérabilité est en effet assez bluffant, il suffit d’afficher l’icône du raccourci (un fichier à l’extension .LNK présent sur la clé USB attaquante) dans un navigateur pour que soit déclenchée l’exécution du logiciel malveillant, sans qu’aucun des dispositifs de sécurité actuels de Windows ne l’empêchent.

Microsoft confirme dans un avis de sécurité (2286198) que toutes les versions de Windows sont impactées. Chet Wisniewski de Sophos ajoute d’ailleurs que même les versions de Windows dont la sécurité n’est plus suivie par Microsoft sont impactés, à savoir Windows XP SP2 et Windows 2000.

Le logiciel malveillant détecté par les experts de VirusBlokAda aurait la particularité, selon Frank Boldewin, de chercher à se connecter sur des bases de données de systèmes de commande industriels (SCADA) de la société Siemens et on émet l’hypothèse d’un développement spécifique pour l’espionnage industriel. 19/07/2010: le CERTA détaille dans sa fiche CERTA-2010-ALE-009-002 un certain nombre d’autres comportements (création de fichiers et clés de registre) du rootkit dont des tentatives de connexions vers les sites www.mypremierfutbol.com et www.todaysfutbol.com.

Il n’en reste pas moins que tous les utilisateurs de systèmes Windows sont concernés actuellement et que de nouvelles variantes de cette attaque ne manqueront pas de se propager dans les jours qui viennent.

19/07/2010: En 2005, déjà, Microsoft avait dû corriger certains défauts des fichiers .LNK qui rendaient possible l’exécution de code malveillant (MS05-049). La différence cette fois-ci est que l’exploit est dans la nature avant qu’un correctif n’ait pu être développé. On peut aussi faire un rapprochement avec une faille signalée en 2003 par I2S-Lab (merci @MalwareScene).

Que faire pour se protéger ?

Outre les rappels courants en matière de sécurité et de manipulation de clés USB d’origine douteuse, Microsoft donne un certain nombre de premiers conseils pour empêcher la propagation de cette menace sur votre ordinateur:

  • la désactivation de l’affichage des icônes pour les raccourcis;
  • la désactivation du service WebClient.

Les deux sont expliquées sur le site de Microsoft (paragraphe Workarounds, en anglais), en attendant la publication d’une protection contre cette faille.

Dider Stevens explique sur son blog comment l’outil qu’il a développé (Ariad) permet aussi de se protéger contre cette attaque.

Articles qui évoquent ce dossier:

Lendemain de SSTIC

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

  • DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
  • Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
  • E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
  • Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
  • Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
  • F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
  • H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
  • J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
  • C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
  • Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA 🙂 !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

  • Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
  • Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
  • Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

Quelles infractions peuvent commettre les participants à des board « warez »

Etant donné que certains ont des doutes sur l’illégalité des actions commises sur les forums dits « warez », je me suis dit qu’il pourrait être utile de faire une liste des infractions que l’on peut envisager relever dans ces circonstances. Attention, je ne parle pas d’une affaire en particulier, mais uniquement des différents aspects que l’on peut considérer face à une telle situation.

Les forums « warez » ou autres communautés « warez » sont des regroupements plus ou moins importants de personnes sur Internet, dans le but d’accéder à des copies d’œuvres de l’esprit, échanger sur la manière d’accéder à ces copies ou d’en contourner les protections (échanges de cracks, mots de passe, licences, etc.).

En général, les outils utilisés par ces communautés sont aujourd’hui des forums de discussion hébergés sur un site Web, mais ils peuvent aussi utiliser des serveurs FTP, des espaces de discussion IRC ou des portails Web de toute nature. Les œuvres de l’esprit habituellement concernées sont historiquement des logiciels informatiques et en particulier des logiciels de jeux, de la musique ou des films.

Infractions auxquelles penser

Outre les infractions de contrefaçon d’œuvres de l’esprit (code de la propriété intellectuelle) que l’on peut légitimement supposer commises par la plupart de ceux qui diffusent des copies d’œuvres contrefaites, où ceux qui cherchent activement à en obtenir, les infractions suivantes peuvent aussi être envisagées pour un ou plusieurs des acteurs :

  • parfois, on va relever des actes d’atteintes à des systèmes de traitement automatisé de données (article 323-1 et suivants du code pénal), lorsque sont utilisés, pour stocker les œuvres contrefaites, des machines ou serveurs connectées à Internet, à l’insu de leur propriétaire légitime ;
  • la diffusion, lorsqu’elle est susceptible d’être vue ou perçue par un mineur d’un contenu à caractère violent, pornographique ou portant atteinte à la dignité humaine (article 227-24 du code pénal) – en effet certains espaces des communautés warez diffusent très librement, à tous leurs membres dont l’âge n’est pas contrôlé, des films notamment à caractère pornographique ;
  • la provocation à commettre un délit (article 23 de la loi sur la liberté de la presse) – en effet, tout est fait, organisé, expliqué, voire exigé pour pouvoir rester sur le forum, afin que les utilisateurs participent aux activités de contrefaçon.
  • le corollaire de cette infraction de provocation est qu’on pourra parfois envisager la circonstance aggravante de la bande organisée (soit une peine maximale de cinq ans d’emprisonnement et 500.000 € d’amende pour la contrefaçon commise en bande organisée) ;
  • enfin, lorsque des revenus financiers sont tirés de cette activité, on pourra relever différentes infractions de travail dissimulé ou relatives aux impôts et cotisations sociales non versés.

Bien entendu ces infractions sont à adapter aux actions commises par les différents participants. Toutefois, sans être l’auteur principal de telle ou telle infraction, toute personne qui aura aidé pourra être poursuivie pour complicité. Cette aide peut intervenir de multiples façons, y compris par fourniture de moyens (prêt d’un espace de stockage sur un serveur Web par exemple, conseils techniques, etc.).

Juridiction et territorialité

Sur le plan de la compétence territoriale, toute infraction dont un élément au moins se déroule en France est punissable en France, et un enquêteur puis un magistrat pourront bien évidemment s’en saisir. En particulier si l’auteur de l’infraction se trouve en France, même s’il agit uniquement sur Internet, il pourra être évidemment poursuivi, où que se trouve par exemple le serveur de mise à disposition des contrefaçons ou le forum de la communauté warez.

Conclusion

Les armes juridiques sont donc multiples qui permettent de lutter contre ces formes de contrefaçon réalisées de façon concertée sur Internet, les formes les plus graves à mes yeux étant réalisées par ceux qui en tirent des revenus.