Actualité judiciaire

Décision de la CJUE du 06/10/2020 sur les données de connexion

Dans une décision du 06 octobre 2020, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur plusieurs affaires tendant à questionner le régime français de conservation des données de connexion par les opérateurs, à des fins de renseignement ou de police judiciaire.

Plusieurs articles reviennent dans le détail sur cette décision (voir Nextinpact par exemple). Je vous propose pour ma part un avis personnel sur les différents points avancés dans cette décision et ce en quoi ils ne répondent pas forcément totalement aux nécessités objectives des enquêtes judiciaires.

J’avais déjà développé sur ce blog le dispositif de la loi pour la confiance dans l’économie numérique (LCEN) prévoyant les modalités de conservation des données par les fournisseurs d’accès à Internet et les hébergeurs, ainsi que celui qui concerne de façon parallèle les opérateurs de communications électroniques. Ce sont ces dispositions qui sont discutées (dans l’affaire numéro C‑512/18 de la CJUE)  et le cas échéant remises en cause par les parties demanderesses dans l’affaire jugée par la CJUE. La demande portait aussi sur certaines techniques spéciales de renseignement et sur la législation belge que je ne discuterai pas ici.

Vous noterez dans la décision ou dans les articles qui la commentent que cette affaire est issue d’une série de questions préjudicielles posées par le Conseil d’Etat français dans le dossier. Cette juridiction sera donc appelée à fonder sa décision sur la réponse apportée par la CJUE.

Le Conseil d’Etat posait ainsi les questions suivantes:

« 1)       L’obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l’article 15, paragraphe 1, de la directive [2002/58], ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l’utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la [Charte] et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 [TUE] ?

2)      Les dispositions de la directive [2000/31], lues à la lumière des articles 6, 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la [Charte], doivent-elles être interprétées en ce sens qu’elles permettent à un État d’instaurer une réglementation nationale imposant aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne et aux personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services, de conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires, afin que l’autorité judiciaire puisse, le cas échéant, en requérir communication en vue de faire respecter les règles relatives à la responsabilité civile ou pénale ? »

Enfin, il faut se rappeler qu’un cadre juridique européen de la conservation des données par les opérateurs (directive 2006/24/CE) existait jusqu’à sa remise en cause en 2014 par une décision de la même CJUE du 08 avril 2014.

Plusieurs points de l’arrêt méritent donc qu’on s’y attarde:

Conservation ciblée et uniquement en matière de criminalité grave

Les points 147 à 151 de la décision précisent qu’il serait possible, dans le cadre du droit européen, de prévoir la conservation ciblée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, tout comme aux fins de la sauvegarde de la sécurité nationale.

Ce ciblage recouvrirait les « catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue ».

Ce qui est décrit relève donc d’un acte d’investigation ou de surveillance, mais a fortiori pas de mesures « préventives » comme l’indique la Cour, puisque cela suppose d’avoir – au moment où la mesure est ordonnée – des éléments sur les personnes visées et les moyens de communication utilisés.

En outre, cette reprise d’une distinction entre criminalité grave et d’autres formes de délinquance, présente dans des décisions précédentes de la Cour, se heurte notamment au fait que toutes les infractions commises, qui nécessitent des investigations sur les moyens de communication, ne relèvent pas de la criminalité dite grave. C’est le cas en particulier des infractions intégralement commises sur un moyen de communication électronique: que penser des infractions de l’article 24 de la loi sur la liberté de la presse punies d’un an de prison (provocation à la haine ou à la discrimination) ou le harcèlement par un moyen de communication électronique de l’article 222-16 du code pénal puni lui aussi d’un an d’emprisonnement ? On pourrait aussi citer parmi les nombreux exemples le délit de diffusion de fausse information (article 322-14 du code pénal) dans le but de faire croire qu’une destruction, une dégradation ou une détérioration dangereuse pour les personnes va être ou a été commise, puni de deux ans d’emprisonnement.

On notera enfin, qu’il n’existe à ce jour, aucune définition officielle, aucune liste de critères permettant de définir ce qui relèverait de la criminalité grave telle que l’entend la CJUE dans ses décisions, renvoyant à la sagesse des législateurs. On peut toutefois par exemple citer la Convention de Palerme, convention des Nations unies de lutte contre le crime transnational organisé, qui précise en son article 2 b) « L’expression “infraction grave” désigne un acte constituant une infraction passible d’une peine privative de liberté dont le maximum ne doit pas être inférieur à quatre ans ou d’une peine plus lourde; ». Cela recouvre un plan très large des délits définis dans notre code pénal. En tout état de cause, si on applique immédiatement cette décision de la CJUE plus aucune enquête pour ces criminalités « non graves » sur Internet ne pourrait avoir lieu, or comme nous le rappelait avant-hier Mathieu Audibert, « la recherche des auteurs d’infractions est nécessaire à la sauvegarde de principes et droits de valeur constitutionnelle ».

Conservation de l’adresse IP et des identités civiles

Dans la section suivante, aux points 152 à 160, la Cour distingue de façon bizarre la question de la conservation des adresses IP de connexion et celle des identités des utilisateurs des services. Elle conclut en effet que les adresses IP ne pourraient être conservées que pour les besoins liées à la criminalité grave, tandis que les identités civiles pourraient être conservées (aux fins d’identifier l’utilisateur d’un terminal) y compris pour des enquêtes sur des faits de moindre gravité.

Or, si aucun lien n’est fait entre l’équipement terminal (et donc l’usager) et l’adresse IP utilisée à un instant t, la conservation des données sur l’identité civile n’apporte rien à l’enquête judiciaire sur Internet.

En pratique, il convient d’attendre la décision que prendra le Conseil d’Etat pour ces affaires. Il se pourrait en outre que l’arrêt de la CJUE soit le support de recours devant les juridictions quant aux moyens de preuve utilisés actuellement dans de nombreuses affaires judiciaires. Pour moi, et encore une fois je m’exprime ici à titre personnel, il n’y a qu’une conclusion possible à ce débat qui date de l’abrogation de la directive 2006/24/CE en 2014: il est nécessaire, comme nous y appelait déjà François Molins, procureur général près la Cour de cassation en avril 2019, de clarifier urgemment la rédaction des directives 2000/31/CE et 2002/58/CE, et parvenir à un texte européen harmonisant le cadre de la conservation des données indispensables aux enquêtes judiciaires, y compris en rentrant dans le détail des critères minimum permettant de protéger les droits fondamentaux. 

Megaupload – Synthèse des faits présentés

Kim Schmitz devant un tribunal NZ

Le 19 janvier, le ministère de la justice américaine annonçait la mise en accusation et l’arrestation des dirigeants de la société Megaupload ainsi que l’arrêt complet de ses activités. Le principal accusé n’a pas facilité son arrestation (les accès étaient hermétiquement fermés) et était alors armé. L’opération menée par les autorités fédérales américaines, en coopération avec les autorités de Nouvelle-Zélande et d’autres pays, contre la nébuleuse Megaupload et sept de ses dirigeants a fait beaucoup de bruit cette semaine. Je vous propose d’examiner les faits présentés par les enquêteurs.

En préambule, j’avais déjà abordé le sujet du streaming et de sa légalité il y a quelques temps. Des sites légitimes de mise à disposition de contenus audiovisuels existent (Dailymotion, Youtube et les plateformes commerciales de diffusion vidéo telles celle d’Apple – Itunes, de la Fnac, etc.), qu’ils aient des accords (commerciaux ou non) avec les ayants-droits ou qu’ils suppriment systématiquement et de façon définitive les contenus contrefaisants. Une des particularités de Megaupload est qu’ils offrent aussi les fichiers au téléchargement direct ce qui peut changer l’interprétation au regard de la législation des différents pays, puisque dans ce cas-là il n’y a pas uniquement une « représentation » de l’oeuvre, mais bien une mise à disposition et la copie qui sont rendues possibles.

L’une des questions que l’on peut se poser est donc: est-ce que Megaupload et les autres sites de la galaxie Mega diffusaient majoritairement des contenus d’origine légale et respectaient la législation en vigueur dans les différentes régions du monde en matière de retrait de contenus signalés, ou bien est-ce qu’ils se comportaient comme un hébergeur bienveillant pour les contenus d’origine illégale ? En résumé, sont-ils de simples hébergeurs, respectueux de la législation, des hébergeurs pas très sérieux et à qui il faudrait demander de corriger le tir, des hébergeurs regardant d’abord leur intérêt commercial avant de respecter les lois et règlements ou bien pire, est-ce qu’ils incitent par leur fonctionnement à des activités illégales ?

Je vous propose de jeter un coup d’oeil au document de mise en accusation obtenu le 5 janvier dernier par les autorités fédérales devant le grand jury d’Alexandria en Virginie, USA (disponible par exemple sur scribd). Pour en savoir plus sur le rôle d’un grand jury dans le système américain, vous pouvez consulter l’article du Wikipédia anglais ici. Il s’agit de la forme de jury chargée d’examiner et de valider ou rejeter les mises en accusation.

Bien entendu, tant que les personnes n’ont pas été définitivement condamnées, elles doivent être considérées comme innocentes.

Infractions retenues

Cinq infractions principales ont été présentées dans ce dossier contre les personnes mises en cause (traduction personnelle):

  • conspiration en vue de commettre des actions de racket ;
  • conspiration en vue de commettre des atteintes à la propriété intellectuelle ;
  • conspiration en vue de commettre du blanchiment d’argent ;
  • l’infraction spécifique de diffusion de contenus protégés par un droit de propriété intellectuelle sur un réseau informatique et la complicité de tels actes ;
  • l’infraction spécifique d’atteintes à la propriété intellectuelle par des moyens électroniques et la complicité de tels actes.

La conspiration (conspiracy) correspond à l’infraction française d’association de malfaiteurs (article 450-1 du code pénal). Le document publié à cette occasion permet de comprendre les faits qui sous-tendent cette hypothèse.

Les faits présentés dans l’acte d’accusation

La liste de faits que nous allons faire ci-dessous correspond aux documents présentés par les autorités fédérales américaines. Bien entendu nous ne disposons pas ici de l’ensemble des éléments de preuve qui étayent ces déclarations, aussi ils sont à prendre avec toute la précaution nécessaire, ces éléments de preuve devront notamment être discutés devant le tribunal chargé d’examiner ce dossier. Toutefois, le premier tribunal qui a examiné les faits – le grand jury évoqué plus haut – les a tous retenus. Je ne retiendrai ici que les faits les plus saillants. Je mettrai entre [crochets] le numéro du paragraphe de l’acte d’accusation.

Audience des sites Mega

[3] Le site Megaupload était reconnu comme le 13e site Internet le plus visité au monde, avec plus d’un milliard de visiteurs sur toute son existence et 180 millions de comptes enregistrés, 50 millions de visites quotidiennes et 4% du trafic mondial sur Internet.

[16] Le site Megavideo quant à lui, qui était utilisé pour visualiser directement les films diffusés par les serveurs de Mega ou insérer un outil de visualisation sur un site tiers était classé 52e parmi les sites les plus populaires dans le monde.

Capacité de stockage

[38] La société Carpathia (Etats-Unis) louait plus de 25 péta-octets de capacité de stockage à la galaxie Mega, dans plus de 1000 serveurs. Leaseweb (Pays-Bas) de son côté louait plus de 630 serveurs aux mêmes clients.

[69.c] Plus de 65 millions de dollars ont été versés par Mega à ses hébergeurs.

Revenus

[4] Les abonnements permettant un accès illimité au site (sans aucune limite de téléchargement) étaient facturés de quelques dollars par jour à près de €200 pour un abonnement à vie (premium). Les revenus des abonnements sont évalués à 150 millions de dollars. Les revenus publicitaires des plateformes gérées par la société Mega sont évalués à 25 millions de dollars. Aucun reversement significatif ne serait réalisé vers les ayants droits des œuvres protégées.

[9] Les utilisateurs ne disposant pas d’un abonnement premium doivent attendre des temps souvent supérieurs à une heure avant de pouvoir télécharger le contenu souhaité et sont régulièrement incités à souscrire un abonnement.

Nota rajouté à 23:45 : différents trucs étaient échangés entre les utilisateurs pour contourner cette limite. En réalité la possibilité de contourner et donc la possibilité résultante d’échanger différents trucs faisait peut-être partie (je fais ici une hypothèse) du système mis en place pour favoriser le marché parallèle autour des sites de liens et de forums d’utilisateurs.

[17] La visualisation (sur megavideo.com) est limitée à 72 minutes pour tous les utilisateurs non-premium. Les films commerciaux ont une durée le plus souvent supérieure à cette limite ce qui semble indiquer qu’une partie des abonnés premium payait pour pouvoir accéder à ce type de contenus.

[18] Les revenus publicitaires, après avoir été obtenus auprès de prestataires classiques, étaient plus récemment issus exclusivement d’une filiale de la galaxie Mega, Megaclick.com, qui annonçait des tarifs pour les annonceurs nettement supérieurs à ceux couramment pratiqués. [69.y] Google Ad Sense signifie aux responsables de Mega en may 2007 que le nombre d’activités illégales présentes sur leurs plateformes ne leur permet plus de travailler avec eux.

[29] Les revenus personnels de l’accusé principal, Kim Dotcom (suite à un changement officiel de nom…) s’élevaient pour l’année 2010 à plus de 42 millions de dollars.

[41] Plus de 110 millions de dollars parmi les revenus ont transité par le compte Paypal de la galaxie Mega. [42] Plus de 5 millions de dollars par un compte Moneybookers.

[44] Parmi les annonceurs, la société PartyGaming PLC (Partypoker.com) est citée comme ayant dépensé près de 3 millions de dollars en publicités sur les plateformes de la galaxie Mega.

[69] De nombreux exemples dans ce paragraphe montrent que les employés de Mega sont conscients de la diffusion de contrefaçons sur la plateforme et qu’il s’agit de la motivation de l’abonnement par leurs clients.

Rémunération des diffuseurs

[4] Une partie des revenus aurait été utilisée pour rétribuer des personnes qui envoient vers la plateforme des contenus en quantité et de qualité au travers d’un programme appelé « Uploader rewards« .

[69] Ce système de récompense était mis en place dès septembre 2005 et permettait aux personnes qui généraient plus 50.000 téléchargements en trois mois de recevoir $1 pour chaque tranche de mille téléchargements. Dans la version la plus récente notée par les enquêteurs [69.g] le programme consistait à accumuler des points qui donnaient droit soit à des abonnements, soit au versement de sommes d’argent ($10,000 pour 5 millions de points, 1 point étant obtenu pour chaque téléchargement).

Nota: en soi, un système de récompense pour des diffuseurs efficaces n’est pas choquant. Ainsi Youtube a un programme Partenaire et rémunère ses producteurs qui ont la plus grande audience. Toutefois, il doit évidemment s’agir de contenu original sur lequel la personne qui les met à disposition dispose des droits afférents.

[69.r, u] Des copies de courriers électroniques saisis révèlent que des utilisateurs étaient spécifiquement récompensés pour avoir diffusé des contenus contrefaisants (copies de DVD, musiques, magazines).

[69.h…] On note dans ce passage (et dans d’autres [69.bbbb] que des contenus hébergés par Youtube étaient copiés par la galaxie Mega pour être mis à disposition sur leur plateforme (jusqu’à 30% des vidéos présentes sur Youtube).

Utilisation pour le stockage de documents personnels

[7] Les enquêteurs relèvent que seuls les abonnés premium avaient la garantie que leurs contenus seraient conservés sur les sites de la société Mega. Dans tous les autres cas (visiteurs anonymes ou usagers enregistrés gratuits ou non premium), les contenus sont supprimés s’ils ne sont pas téléchargés régulièrement (donc s’ils n’attirent pas un trafic suffisant, en effet toutes les pages de téléchargement affichent des publicités [8]).

[9] Les enquêteurs soulignent encore certaines fonctions qui ne correspondent pas à un usage pour stockage personnel mais plutôt un usage pour une diffusion large, par exemple lorsque les utilisateurs enregistrés sont invités à créer un lien spécifique dans leur compte personnel vers un contenu déjà existant et mis à disposition par un autre utilisateur.

La recherche de contenus

Contrairement à tous les sites populaires de visualisation de vidéos, le site Megavideo.com [10] ne propose pas de moteur de recherche. Au contraire, les utilisateurs sont incités à créer des liens et parfois rémunérés au travers du programme « Uploader rewards« , depuis des sites extérieurs. Ainsi on a vu se créer toute une galaxie de blogs, forums et autres sites de liens qui assuraient la publicité des téléchargements de la société Mega.

Certains des sites diffusant ces liens avaient déjà été saisis sur requête des autorités américaines. Ainsi ninjavideo.net amène aujourd’hui sur un message très clair:

La personne gérant le site de liens ninjavideo.net a été condamnée le 20 janvier 2012 à 14 mois d’emprisonnement, deux années de mise à l’épreuve, $172,387 d’amende et à la confiscation de ses comptes et matériels.

[14] Selon les enquêteurs, les associés de la société Mega se seraient servis de moteurs de recherches internes pour identifier plus facilement des contenus intéressants et contrefaisants [69.bb, dd, ee]. En outre, la liste des 100 téléchargements les plus populaires aurait été altérée [15] pour n’afficher que des contenus qui paraissent légitimes (extraits de films diffusés librement par exemple).

[19] Les recherches étaient possibles sur Megavideo.com mais semblaient filtrées. Ainsi la recherche de contenus protégés par des droits de propriété intellectuelle ne ramenait aucun résultat alors que les contenus étaient bien accessibles sur la plateforme grâce à des liens directs. D’ailleurs, dans [69.rrrr] on voit qu’ils envisagent en septembre 2011 de rajouter des vidéos complètes dans leurs résultats.

Retrait des contenus illégaux

[20..23] Lorsque des contenus contrefaisants leur étaient signalés par les ayants-droits, uniquement le lien faisant l’objet du signalement était supprimé. Or, la plateforme Mega ne stockait un fichier identique qu’une seule fois, apparemment grâce à de simples fonctions de hachage classiques (MD5). Et le fichier contrefaisant stocké une seule fois dans leurs systèmes et l’ensemble des autres liens de leur plateforme pointant vers le même fichier n’étaient pas supprimés en même temps que le lien objet du signalement, permettant à l’infraction de se poursuivre, alors qu’il aurait été facile de les supprimer automatiquement.

[24] D’ailleurs, lorsqu’il s’agissait de retirer des contenus plus problématiques pour eux (dont la pédopornographie), ils utilisaient bien cette méthode pour supprimer intégralement le contenu de leur plateforme.

[25] Des demandes officielles ont été adressées en juin 2010 à la société Mega au sujet de 39 films diffusés illégalement sur la plateforme. Au 18 novembre 2011, 36 de ces films étaient encore disponibles.

[69.q] En utilisant son compte personnel Kim Dotcom aurait personnellement mis à disposition en décembre 2006 une copie d’un morceau du chanteur 50 Cent, toujours accessible sur la plateforme en décembre 2011. Les enquêteurs relèvent d’autres exemples de diffusion par des personnels de Mega, ou de preuve qu’ils se servaient eux-mêmes de la plateforme pour visualiser des contrefaçons [69.ww].

[69.jj] Parmi les instructions données par Kim Dotcom à ses subordonnés, les signalements de contenus contrefaisants provenant de particuliers doivent être ignorés. De même, il invite ses collaborateurs à ne pas traiter les signalements massifs [69.zz, aaa]. Les ayants-droits sont d’ailleurs limités dans les demandes qu’ils peuvent faire chaque jour dans les interfaces qui leur sont dédiées [69.lll cite un problème avec un représentant de la société Warner].

[69.vv] Dans ces exemples d’échanges électroniques entre les responsables de Mega, on voit qu’un de leurs soucis est bien de faciliter une visualisation de qualité (problèmes de synchronisation audio) de contenus contrefaisants (séries télé).

[69.ffff] Il est explicitement reproché à Mega de ne pas avoir mis en place de procédures pour détecter et supprimer les comptes des utilisateurs commettant de multiples infractions à la législation sur la propriété intellectuelle.

Se protéger des poursuites

[69.qqq] Pour éviter tout souci avec les autorités locales à Hong Kong, les responsables de Mega s’interdisent de diffuser quelque contenu que ce soit sur ce territoire.

[69.uuu] Suite à la saisie de plusieurs noms de domaine (en .com, etc.) par les autorités américaines, les responsables de Mega envisagent de changer pour des noms de domaine échappant au pouvoir des autorités américaines.

[69.llll] Les responsables de Mega plaisantent parfois entre eux sur les risques à se rendre dans certains pays, ici l’Allemagne suite à une affaire mettant en cause le site de liens kino.to.

[69.tttt] Les contenus contrefaisants sont exclus des résultats des recherches justement pour éviter des poursuites indique un des responsables de Mega à un hébergeur inquiet.

La suite des opérations

La saisie de leurs biens, mais aussi de l’ensemble des serveurs situés pour l’essentiel aux Etats-Unis et aux Pays-Bas, a entraîné la cessation globale des activités de la galaxie Mega.

Les débats à venir porteront notamment sur la neutralité des hébergeurs, et la neutralité particulière de l’hébergeur Megaupload. Les autorités américaines vont certainement poursuivre leurs investigations et vouloir mettre en cause de façon encore plus précise les responsables de cette société. En particulier, pour l’instant, on ne trouve pas d’éléments chiffrés sur la proportion de contenus légaux par rapport aux contenus illégaux présents sur la plateforme. Le procès, qui devrait avoir lieu aux Etats-Unis étant donné les accords d’extradition existants avec la Nouvelle-Zélande ne manquera pas d’être des plus intéressants. A suivre donc.

Attention au détournement de l’affaire Megaupload

Faux site Megaupload

Avant de faire un billet plus approfondi sur le dossier Megaupload, un petit billet d’alerte sur une campagne de manipulation en cours sur les réseaux sociaux. Une adresse IP est diffusée depuis le soir même de la fermeture de Megaupload en promettant le retour du site, avec des messages du genre:

si on remonte quelques heures plus tôt dans la recherche sur Twitter on trouvait d’ailleurs le 18 janvier un autre usage de cet IP: la diffusion d’informations sur la façon de regarder gratuitement sur Internet le match Real Madrid – FC Barcelone:

Dès que cette IP a commencé à circulé j’ai senti qu’il y avait certainement un piège là-derrière, tout simplement parce qu’on ne relance pas un service comme Megaupload derrière une simple adresse IP, étant donnée l’infrastructure complexe qu’il faut pour accepter des millions de visiteurs par jour.

Mon tweet de vendredi matin ...

Cela s’est confirmé un peu plus tard avec différents blogs qui soulignent les incohérences (cf sur le blog reflets.info). Dès hier, PC Inpact a obtenu une confirmation « officielle » (sur cette brève).

Pourquoi une adresse IP ?

En fait ce site est aussi accessible par un nom de domaine trompeur: megavideo.bz (comme on peut le lire sur ce site en langue espagnole), mais il aurait été rapidement filtré par Twitter et d’autres formes de filtres. En effet, lorsque vous postez une URL dans Twitter, elle est automatiquement remplacée par un service de redirection de Twitter (http://t.co/) qui leur permet de repérer et de bloquer les URL dangereuses (j’en parlais au mois de juillet ici-même).

Et il semble donc que, malheureusement, le filtre mis en place par Twitter ne fonctionne pas encore pour les adresses IP.

Conclusion

La version accessible aujourd’hui est tristounette:

Et pour cause, la première version de la page se contentait d’être un copier-coller du site original avec dans le code des liens vers les images et les scripts CSS (qui régissent la présentation) hébergés sur www-static.megaupload.com … qui depuis a été débranché, vraisemblablement dans le cadre de l’enquête en cours. On note au passage les liens Facebook et Twitter qui incitent  rediffuser l’adresse et le message larmoyant qui avertit sur les risque de hameçonnage… (oui à quoi peut servir une telle audience ?).

La bonne résolution du jour que je vous recommande est donc: je ne retwitterai pas l’adresse IP du nouveau site de Megaupload (qui n’en est pas un).

Le virus « Gendarmerie » – Bilan de la semaine

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Mise à jour du 15 janvier 2012: Attention, ce virus se propage toujours, par exemple avec des variantes réclamant 100 euros et utilisant ce genre de pages d’avertissement, comme le signale le forum Malekal (voir ici):

Drôle de semaine pour pas mal d’usagers de l’Internet et pour la communauté NTECH de la gendarmerie. En effet, dès samedi 10 décembre nous avons commencé à recevoir des sollicitations au sujet de tentatives d’escroquerie utilisant l’image de la gendarmerie. La spécificité de cette campagne par rapport aux escroqueries par courrier électronique dont nous sommes familiers, c’est qu’elles exploitaient un virus informatique.

Le processus vécu par les victimes est le suivant: en visitant un site à fort trafic (notamment des sites diffusant des vidéos en streaming), une publicité affichée sur le site déclenche l’exécution d’un programme qui exploite une vulnérabilité présente sur leur ordinateur (notamment dans des versions de Java sous Windows XP et Windows Vista). Celle-ci installe ensuite le cheval de Troie (souvent après des messages d’avertissement mal interprétés par les victimes) qui vient bloquer l’ordinateur et affiche un message réclamant le paiement d’une amende.

Les escroqueries sur Internet adoptent de nombreux ressorts pour parvenir à leurs fins. Celle-ci en cumule plusieurs qu’il est intéressant de décomposer:

  • l’utilisation de l’image d’une institution ou d’une entreprise;
  • la faute que l’on peut réparer;
  • l’obstruction.

Utilisation de l’image d’une institution

Les campagnes de phishing, les escroqueries à la lotterie et beaucoup d’autres formes de scams utilisent l’image d’une institution. Récemment ont été évoquées les campagnes de phishing liées aux impôts, mais ce sont aussi les plus grandes marques – et en particulier les établissements bancaires et les sociétés de l’Internet – qui voient leur image utilisée. Très souvent c’est uniquement le logo et la marque, mais parfois cela va plus loin et c’est toute la mise en page classique d’un document ou d’un site Web qui sont utilisés pour tromper la victime.

Dans le cas présent, c’est le logo de la gendarmerie qui est exploité, associé à celui de la République française. Ils sont naturellement associés au respect de la loi:

Le symbole de la République utilisé est une de ses représentations historiques: le faisceau de licteur, mais dans la version que l’on retrouve sur Wikipédia. Il est aujourd’hui utilisé par la Présidence de la République et on le retrouve par exemple sur nos passeports.

C’est donc très clairement le public français qui est visé. D’ailleurs, la version du virus qui est diffusée en France est effectivement liée à l’implantation géographique de la victime. En effet, comme ont pu le noter certains analystes (voir article sur Malekal), le mode de diffusion de ce virus utilise la possibilité pour des bannières publicitaires de s’adapter au pays d’où provient la connexion (c’est une fonctionnalité offerte par les sociétés qui offrent ce type de services). Derrière ce sont de véritables kits qui sont exploités (comme Blackhole) et donc vont permettre de déclencher des vulnérabilités en fonction de la configuration de la machine visée.

Dans les cas précédents qui ont été rapportés récemment, ce sont d’autres services de police qui ont été utilisés, en particulier la police allemande, mais aussi suisse, espagnole, hollandaise ou argentine.

La faute que l’on peut réparer

Le message d’alerte affiche ensuite une liste de fautes que l’on aurait commises: pédopornographie et atteintes aux droits d’auteurs. Ce mécanisme fait appel à l’inconscient collectif fortement marqué par ces sujets. Ainsi, une personne qui va sur des sites pornographiques en se cachant de son entourage pourra penser qu’il a pu visiter des sites illégaux sans y faire attention. Une autre qui télécharge des séries ou des films, sans toujours vérifier si leur origine est légale se sentira concernée. La victime est alors placée dans l’incertitude (qu’est-ce qu’on me reproche exactement ?), dans le qu’en dira-t-on (qu’est-ce que vont en penser ma femme, mes collègues ?) et dans la crainte d’une action policière (je n’ai jamais rencontré les gendarmes… est-ce qu’ils vont être durs avec moi ?).

Mais tout de suite, est offerte la possibilité de s’en sortir, par le paiement d’une amende. Le montant a l’air suffisamment sérieux (100 ou 200€ dans les cas rapportés), même si la méthode de paiement paraît un peu moins officielle (tickets et cartes prépayés).

Dans les autres formes de rançons réclamées par des escrocs, souvent le ressort de la sexualité est utilisé (et les interdits qui y sont associés), et l’accusation très forte et exagérée pour faire peur (« la femme avec qui tu discutais était ma petite sœur mineure… »). Il s’agit ici d’isoler les victimes, de les placer dans un angle dont elles ne pensent pas pouvoir se sortir, où elles auront même peur d’appeler à l’aide. L’escroc est devenu le seul ami de la victime, celui qui peut l’aider.

L’obstruction

C’est la même logique et d’autres ressorts qui sont utilisés dans les virus de rançonnement et exploités ici de façon complémentaire. L’ordinateur ne fonctionne plus et on en a besoin (ou bien on a peur d’expliquer à son propriétaire qui nous l’a prêté qu’on a fait une bêtise). Un obstacle de plus donc entre la victime et la solution de son problème. Dans certaines formes simplifiées de ces virus, c’est un simple blocage de l’ordinateur (fenêtre d’avertissement empêchant l’utilisation et parfois chiffrement des données rendant l’ordinateur inutilisable) ou du téléphone qui est réalisé:

Voir l'article d'origine ici

Bilan de la semaine

Dès le week-end dernier, la communauté des enquêteurs NTECH s’est mobilisée pour échanger de l’information sur ces affaires, d’abord pour avertir les collègues de ces cas, puis donner les bons conseils aux enquêteurs et aux victimes. Des fiches d’information ont par exemple été diffusées par les NTECH dans chaque département. Des échanges ont aussi lieu avec la police nationale, localement et nationalement (avec l’OCLCTIC et la plateforme de signalement Pharos, avec la BEFTI à Paris), qui reçoivent aussi de nombreuses sollicitations.

Pour faciliter la coordination, la permanence de la division de lutte contre la cybercriminalité, a ainsi reçu et traité plusieurs dizaines d’appels par jour sur ce dossier, recoupé et relayé les informations.

Le service de presse (SIRPA) de la gendarmerie a diffusé l’information auprès de l’AFP dès mardi (dépêche AFP reprise ici sur Tahiti infos) pour informer les médias et les pousser à reprendre les informations utiles diffusées sur un certain nombre de forums d’entraide.

L’information est reprise:

Plusieurs centaines de personnes ont dû voir leur machine contaminée au cours de la semaine en France par cette variante du logiciel malveillant. Tout le territoire français était concerné, d’où l’intérêt d’un dispositif dense d’enquêteurs formés ou sensibilisés à ces questions. Moins d’une dizaine de personnes ont effectivement payé la somme, des plaintes ont alors été prises et des enquêtes ouvertes.

Les conseils

D’abord de bon sens: la gendarmerie, la police ou les services publics en général, n’iront pas bloquer votre ordinateur et vous menacer de devoir payer une amende, encore moins pour des faits totalement vagues et par un moyen de paiement plutôt réservé à des applications ludiques. Donc, dans ces cas-là se renseigner sur Internet (comme l’ont fait de nombreuses victimes sur des forums d’échanges) ou appeler l’administration concernée et ne jamais payer de sommes d’argent dans un tel contexte.

Sur le plan technique ensuite: tenir à jour son système d’exploitation, les différents logiciels et ajouts (plugins) installés (Java, Flash, Adobe reader pour ne citer que quelques-uns), ainsi que les solutions de sécurité (tels les antivirus). Pour les personnes dont l’ordinateur a été contaminé, plusieurs guides d’aide à la désinfection existent (Melani– agence Suisse de sécurité informatique – signalé par @xylit0lMalekal).

Sur le plan judiciaire enfin. Evidemment, l’installation malveillante d’un virus sur un ordinateur constitue une atteinte à un système de traitement automatisé de données, puni notamment en France par les articles 323-1 et suivants du code pénal. Toutefois, il n’est pas forcément judicieux de porter plainte pour toutes les occurrences de tels faits, même si vous en avez parfaitement le droit. Nous sommes parfaitement au courant que chaque jour des centaines de personnes sont concernées en France et les enquêteurs de la communauté NTECH sont d’ailleurs mobilisés pour répondre à vos questions et vous assister, en particulier sur ce cas comme je vous l’expliquais plus haut.

Dans ce cas, le conseil que l’on peut donner, est de ne déposer formellement plainte que si vous avez malheureusement payé la rançon réclamée. Cela nous permettra d’envisager, avec l’accord des juridictions locales concernées (votre Procureur de la République), de remonter sur les moyens de paiement utilisés.

Autres images

Version OCLCTIC

Fermeture définitive de 3FN

Ce court billet pour saluer l’annonce au cours de la semaine passée de la fermeture définitive de l’hébergeur malhonnête 3FN suite à une démarche judiciaire de la Commission fédérale du commerce (FTC) américaine.

J’avais évoqué cette affaire voilà quelques mois sur ce blog.

La nouvelle est décrite sur différents blogs et journaux d’information en ligne: eWeek Security WatchGraham Cluley, Network World, SunBelt Blog.

Service d’assistance téléphonique pour les fraudeurs du Net (suite)

Ce court article pour continuer de vous informer sur l’affaire CallService, au travers d’informations glanées dans un autre article publié aujourd’hui. (voir mon article précédent sur le sujet)

On y apprend que l’analyse de l’adresse IP derrière laquelle était hébergé callservice.biz diffusait aussi:

  • 1001russian-bride.com : un service permettant de se trouver une épouse russe ;
  • et AdmiralSlots.com un casino en ligne…

On y apprend surtout quelques réactions relevées sur des sites de l’underground russophone :

  • Des avertissements envoyés sur le forum xakepok pour inciter les utilisateurs de CallService que les détails de leurs connexions ou de leur compte d’abonné étaient entre les mains du FBI et qu’il ne fallait plus utiliser leur compte ICQ (ICQ est très utilisé dans cet univers cybercriminel) ou leur adresse de courrier électronique.
  • On s’inquiète dans un autre forum des conséquences judiciaires (eh oui… aux USA, le suspect principal risque 39 ans 1/2 d’emprisonnement).
  • Enfin, un message sur CarderNews.ru rappelle quelques règles de sécurité et appelle à ne pas trop s’inquiéter (eh oui… il faut rassurer ses clients ! on est dans un univers de services pour les petits criminels comme je vous le disais hier).

Service d’assistance téléphonique pour les fraudeurs du Net

Les autorités américaines ont annoncé hier avoir entamé les procédures de mise en accusation (voir le document de la cour du district sud de New York) du biélorusse Dmitry N. qui est soupçonné, avec son complice Sergey S., d’être le gérant du site callservice.biz.

Le service qu’ils offraient sur ce site consistait à procéder à des appels téléphoniques de confirmation en langue allemande ou anglaise, avec une voix d’homme ou de femme. Ces appels sont parfois réalisés par les banques pour vérifier des transactions d’un montant important ou changer des informations personnelles. Chaque appel réussi était facturé $10.

Aujourd’hui le site n’est plus opérationnel:

En effet, il a fait l’objet d’une prise de contrôle par le FBI américain, sur l’ordre de la justice de l’État de New York.

Dmitry N. a été interpellé jeudi 15 avril en République Tchèque, tandis que Sergey S. était interpellé en Biélorussie (ou il a été mis en accusation). Dans le même temps, les autorités lithuaniennes procédaient à la saisie des serveurs informatiques où était hébergé callservice.biz ainsi que cardingworld.cc.

Leurs activités duraient depuis juin 2007 (le domaine callservice.biz a été créé le 28 juin 2007). Il aurait permis à plus de 5400 occasions (donc pour un chiffre d’affaires de l’ordre de 54.000 dollars) à des délinquants (plus de 2000 « clients » satisfaits selon le site criminel lui-même), non anglophones ou non germanophones, ayant mis la main sur des données personnelles de conduire des transactions poussées avec des établissements bancaires. Il leur suffisait de fournir nom, adresse, date de naissance, numéro de sécurité sociale, et autres informations en leur possession.

Nous avons donc maintenant un acteur de plus à rajouter dans la liste des participants à la fraude organisée sur Internet, l’interprète ou peut-être l’acteur (proposez des noms, je n’ai pas de traduction satisfaisante pour beaucoup des autres acteurs comme les « pasteurs » – herders en anglais – de botnets). Les détails qui ont été fournis par les autorités américaines ne permettent pas de savoir s’il s’agissait de personnes recrutées par Internet ou dans l’entourage des auteurs principaux.

D’autres articles sur cette affaire:

Brian Krebs fait référence à d’autres services similaires dont peut voir les annonces sur Verified.ru (un forum similaire à CardingWorld): Atlanta Alliance et Aegis Team (géré par un certain CallsManager). Tous deux offrent aussi à la vente un certain nombre de produits (à acheter avec une carte bancaire volée et qui peuvent être ensuite revendus sur Ebay…) ou mettent en relation des mules et leurs clients. Un véritable boom donc dans les services aux criminels de l’Internet.

Atlanta Alliance (capture réalisée par B. Krebs)

900.000 € de marchandises frauduleusement acquises transitaient par les Alpes-Maritimes

La gendarmerie nationale publie sur son site Web une brève relatant les résultats d’une investigation menée conjointement par les gendarmes de Grasse et la police judiciaire de Nice.

Ainsi, 3 personnes ont été interpellées mardi 05 janvier 2010 à Pégomas (06). Elles sont soupçonnées d’avoir été exploitées comme mules pour renvoyer les colis illégalement acquis grâce à des numéros de cartes bancaires volés, qu’elles reconditionnaient pour les renvoyer vers la Côte d’Ivoire ou le Mali.

Ces personnes avaient été recrutées par Internet pour exercer une forme de « travail à domicile » qui devient malheureusement de plus en plus courante et qui constitue des actes de complicité et de recel de vol et d’escroquerie. Elles risquent 10 ans de prison et 750.000 € d’amende, en fonction des infractions qui seraient éventuellement retenues contre elles.

Ne tombez pas dans le panneau : il n’existe pas de métier légal et facile consistant à renvoyer de l’argent ou des biens reçus dans son compte bancaire ou sa boîte aux lettres au profit d’une soi disant entreprise d’importation ou d’un nouvel ami qui vous aura recruté sur Internet. Il s’agira toujours d’une escroquerie.

Jeux en ligne – Dirigeants de BetOnSports bientôt fixés sur leur sort

I Bari, Le Caravage (c. 1594)

I Bari, Le Caravage (c. 1594)

La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.

Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.

Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.

Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.

Où en est la situation en France ?

La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.

Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.

La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.