Cybercriminalité

Rapport 2008 de l’observatoire de la sécurité des cartes de paiement

oscpmenu Le 9 juillet dernier, M. Christian Noyer, gouverneur de la Banque de France et président en exercice de l’observatoire de sécurité des cartes de paiement (OSCP), présentait le rapport 2008 publié par cet organisme.

Conclusions du rapport 2008

Le rapport rendu public le 9 juillet dernier reprend la structure classique de ces documents, dont le premier a été publié en 2004 :

le chapitre 1 qui s’attarde sur le sujet des cartes émises immédiatement en magasin ou en agence ;
le chapitre 2 portant sur les statistiques de fraude ;
le chapitre 3 portant sur la veille technologique ;
le chapitre 4, enfin, qui revient sur les évolutions en matière de certification de la sécurité des cartes et des terminaux de paiement.

Le point saillant cette année est très certainement une reprise légère de la hausse des taux de fraude sur les paiements par carte bancaire, avec un accent tout particulier sur la fraude réalisée sur Internet, concomitante à une forte augmentation de ce secteur d’affaires.

C’est justement sur le secteur de la vente à distance que s’est penché le groupe de travail chargé de la veille technologique. On y constate qu’outre la nécessité d’augmenter les moyens de sécurisation de ces paiements il faut être attentif à leur acceptabilité par l’usager, au risque de voir ceux-ci se détourner vers des sites moins sécurisés, mais plus faciles d’accès. Un certain nombre d’internautes se diraient en effet rebutés par le dispositif « 3DSecure ». C’est bien là le défi qui est posé : inventer des solutions de sécurisation des paiement plus faciles d’usage.

On retrouve dans le même troisième chapitre une étude sur l’impact du co-marquage en matière de sécurité des paiements, ainsi que des travaux sur la sécurité des réseaux d’automates de paiement.

L’observatoire de la sécurité des cartes de paiement

L’OSCP a été créé par la loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (article 39), modifiant l’article L.141-4 du code monétaire et financier. Les missions de l’observatoire sont:

le suivi de la mise en œuvre des mesures adoptées par les émetteurs et les commerçants pour renforcer la sécurité des cartes de paiement ;
l’établissement de statistiques en matière de fraude ;
d’assurer une veille technologique.

La liste des membres de l’observatoire à ce jour est consultable sur le même site.

Ses membres se réunissent trois fois par an pour établir le programme de travail et discuter du rapport de l’année à venir. Ce sont ensuite différents groupes de travail qui sont constitués pour couvrir les différents aspects et en particulier un groupe de travail sur les statistiques (piloté actuellement par Christian Aghroum, chef de l’OCLCTIC) et un groupe de travail chargé de la veille technologique (piloté par Mireille Campana).

La Banque de France assure le secrétariat de l’observatoire.

Promulgation de la loi création et Internet

Ministère de la culture

La loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet a été publiée ce matin au journal officiel. Son texte, résultant des débats au Parlement et de la censure récente du Conseil constitutionnel est consultable sur le site Légifrance.

Résumé des dispositions

L’objet principal de cette loi est la création de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI), qui reprend les missions de l’Autorité de régulation des mesures techniques. Il s’agira d’une autorité administrative indépendante, disposant de la personnalité morale.

Son bras armé, la commission de protection des droits, sera saisie des signalements présentés par les agents assermentés désignés par :

les organismes de défense professionnelle régulièrement constitués,
les sociétés de perception et de répartition des droits,
le Centre national de la cinématographie.

Elle peut également agir sur la base d’informations transmises par les procureurs de la République et ne peut être saisie de faits remontant à plus de six mois. On notera au passage qu’elle ne pourra donc pas agir sur ses propres constatations, il revient donc bien aux ayants-droit d’exercer les opérations de détection des contrevenants.

Ces signalements porteront sur les manquements à l’obligation du nouvel article L336-3 du code de la propriété intellectuelle :

La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.
Le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé.

Il s’agit donc de repérer les connexions Internet qui servent à diffuser des contrefaçons d’œuvre de l’esprit.

Suite à ce signalement, les agents de la commission de protection des droits pourront demander aux fournisseurs d’accès à Internet les informations permettant d’identifier les titulaires des abonnements et leur adresser ensuite des messages de sensibilisation. La commission de protection des droits est autorisée à constituer un traitement de données personnelles (dont les détails doivent être définis par un décret en Conseil d’État pris après avis de la Commission nationale informatique et libertés) pour permettre un suivi de ces activités.

Suite à la décision du Conseil constitutionnel du 10 juin 2009, ce manquement n’est susceptible d’aucune sanction pénale ou administrative. Le gouvernement a annoncé des travaux à venir sur une loi permettant à des magistrats de l’ordre judiciaire de prononcer les sanctions envisagées, dont il semblerait qu’il pourrait s’agir de la suspension de l’accès à Internet.

Que risque-t-on en matière de contrefaçon d’œuvres de l’esprit ?

Il est important de rappeler que la contrefaçon est toujours une infraction pénale punie dans le code de la propriété intellectuelle de trois ans d’emprisonnement et de 300000 € d’amende (peine éventuellement aggravée en cas de bande organisée, jusqu’à cinq ans d’emprisonnement et 500000 € d’amende).

C’est cette peine que risquent les organisateurs du réseau Snowtigers qui ont été interpellés par la gendarmerie nationale au cours des derniers mois.

13 juin 2009 by Éric Freyssinet Actualité judiciaire Cybercriminalité Juridique 0

Hébergeurs malhonnêtes : nouvelle fermeture (3FN)

3FN

J’ai déjà pu évoquer plusieurs cas de fermetures d’hébergeurs malhonnêtes aux États-Unis cette année, notamment le cas de la société McColo. Cette semaine, un nouveau cas avec la société « Pricewert LLC » (société basée à Belize) et une évolution dans le processus qui a conduit à la fermeture de cet hébergeur : l’action résolue des services en charge de la protection des consommateurs et de la régulation du commerce aux USA (la FTC ou Federal trade commission).

On apprend donc jeudi, dans un communiqué de la FTC, qu’elle a obtenu en justice la fermeture de cet hébergeur qui exerce ses activités sous plusieurs dénominations (3FN et APS Telecom). L’investigation menée par la FTC aurait permis de démontrer que cette société aurait des liens avec des groupes criminels impliqués dans la distribution de logiciels malins, la distribution de pornographie enfantine ou des centres de commande de botnets.

La notion d’hébergeur malhonnête est ici définie par la FTC aussi par le fait que la société protégeait ses hôtes en ne répondant pas aux requêtes officielles ou en utilisant des techniques d’évasion numérique, c’est à dire ici l’hébergement sous des adresses IP différentes des mêmes services illicites.

La société 3FN (3fn.net) semblait être un hébergeur à la fois reconnu et critiqué. Cette société aurait été créée en 1999, est installée depuis cette époque en Californie. Ainsi, la société Triple Fiber Network a pu récemment annoncer la signature d’un contrat avec LEVEL3, l’un des plus gros fournisseurs de connectivité Internet. Selon les chiffres les plus récents, ce sont plus de 7600 domaines qui étaient hébergés chez 3FN. Des serveurs au contenu clairement malhonnête : Portland APS Telecom hébergeait ainsi ultimatepayment.com ou truebillingservices.com – des serveurs de paiement utilisés pour différentes escroqueries au faux antivirus (on note au passage des liens avec EstDomains dont l’accréditation ICANN a été interrompue en septembre 2008), IC Audit & Consulting – une escroquerie typique à l’emploi d’intermédiaires financiers, etc. Les exemeples sont innombrables.

Ainsi, le NCMEC aurait relevé plus de 700 rapports d’hébergements de contenus pédopornographiques, le premier remontant à 2004. Enfin, le botnet Cutwail aurait été affecté par cette nouvelle fermeture.

Pour mener ces investigations, la FTC a reçu le soutien de spécialistes de la NASA (qui dispose d’enquêteurs spécialisés, comme beaucoup de grandes agences américaines), l’université de Birmingham dans l’Alabama (l’équipe de Gary Warner), le National center for missing and exploited children (NCMEC), l’association Shadowserver, la société Symantec et le projet Spamhaus.

Les contraintes validées par le juge sont d’interdire à la société Pricewert LLC de poursuivre ses activités, de contraindre ses fournisseurs de connectivité à Internet et aux centres d’hébergement de cesser tout service à son profit. Les biens de la société ont aussi été gelés, en attente d’une première audience sur le fond qui devrait se tenir le 15 juin prochain.

Il sera intéressant de comprendre si cette société a été créée en 1999 pour commettre de tels méfaits, si c’est une dérive de ses gestionnaires attirés par l’appât du gain ou une prise de contrôle ultérieure. En tous cas des liens ont bien été établis avec des personnes originaires de l’Europe la plus orientale (y compris a priori le gestionnaire de la société 3FN). Enfin, il faut souligner ici l’implication des autorités américaines dans cette démarche, ce qui avait manqué dans les affaires McColo et Atrivo.

6 juin 2009 by Éric Freyssinet Actualité judiciaire Cybercriminalité Sécurité 3

Blocage des sites pédopornographiques

Bon… un sujet à polémique, que j’ai déjà évoqué dans le passé (lors de la publication du rapport du Forum des droits sur Internet). Le ministre de l’intérieur a donc confirmé cette semaine l’introduction dans le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure d’un article visant à permettre le blocage des sites web pédophiles.

Je vais essayer de partager avec mes lecteurs mon avis sur le sujet. Je me baserai notamment sur ma connaissance de ce que nous faisons en gendarmerie dans la lutte contre ces phénomènes.

Pratiques existantes

Tout d’abord essayons de décrire l’ensemble des pratiques d’échanges et de diffusion de contenus pornographiques représentant des mineurs :

L’échange privé entre deux personnes, par courrier électronique ou par échange de fichiers entre contacts dans un logiciel de messagerie instantanée ;
L’échange sur les réseaux pair à pair (libres d’accès ou privés, cryptés ou non) ;
La diffusion sur des « newsgroups » ;
L’échange dans des groupes de discussion / forums web (hébergés sur des plateformes ou grâce à des scripts installés sur un serveur Web) ;
L’échange sur des canaux IRC, notamment par la configuration de scripts de partage (type Panzer) ;
La diffusion sur des sites Web (gratuits ou payants).

De façon plus anecdotique on trouve aussi des serveurs FTP, plutôt confidentiels.

Qu’est-ce qui est fait contre ces différentes formes de diffusion ?

C’est une question parfaitement sensée, notamment lorsqu’on en vient à parler de blocage, de savoir si tout le nécessaire est bien fait pour lutter contre ces phénomènes ?

S’agissant de la première catégorie, il s’agit d’échanges privés. Il n’est pas question (moralement et légalement) de détecter ou de filtrer ce type d’échanges, sauf évidemment lorsque les délinquants se serviraient de leur messagerie professionnelle pour le faire. La plupart de ces situations sont détectées une fois que des amateurs d’images pédophiles supposés sont interpellés, par l’analyse de leur ordinateur. Il est aussi envisageable, pour une personne contre qui il existe des indices de telles pratiques illégales, qu’un juge d’instruction ordonne une interception de ses communications Internet (articles 100 à 100-7 du code de procédure pénale). Mais l’outil légal le plus intéressant pour détecter ce type de pratiques est très certainement la loi sur les cyberpatrouilles que j’ai déjà évoquée à plusieurs reprises sur ce blog.

Sur les réseaux pair à pair « ouverts », des équipes spécialisées d’enquêteurs disposent d’outils dédiés (par exemple AntiPedofiles-P2P de l’association ActionInnocence). Plusieurs dizaines de cibles sont ainsi identifiées chaque mois par les enquêteurs du STRJD à Rosny-sous-Bois. La loi sur les cyberpatrouilles autorise maintenant certains enquêteurs à s’infiltrer sous pseudonyme dans les réseaux P2P chiffrés réservés à des groupes fermés. C’est la même chose pour les forums Web.

Les échanges sur les canaux IRC sont une situation intermédiaire, puisqu’ils sont à la fois des lieux d’échanges publics et de conversations privées. Une fois de plus, les cyberpatrouilles permettent d’étendre les possibilités des enquêteurs dans ce domaine.

La surveillance des « newsgroups » est facilitée par la nature même de cet outil, pour lequel il existe de nombreux moteurs de recherche. En revanche, il reste assez préoccupant qu’aucune mesure ne soit prise par les hébergeurs de ces serveurs pour empêcher les groupes de discussion manifestement illicites (certains noms de « newsgroups » en alt. ne laissent pas la place à l’interprétation…). C’est un sujet sur lequel il reste encore à imaginer de nouveaux modes d’action adaptés.

Et contre les sites web ?

Venons-en maintenant aux sites web de diffusion de contenu (par opposition aux forums web couverts plus haut). On peut observer plusieurs catégories :

des sites web personnels ;
des sites web pornographiques professionnels qui jouent au mélange des genres ;
des sites web pédopornographiques professionnels et donc commerciaux ;
des sites web malicieux qui attirent les visiteurs avec toutes sortes de contenus pour leur voler des données personnelles, bancaires ou provoquer l’installation de logiciels malicieux (notamment grâce à des informations cachées dans certaines vidéos).

Leurs hébergements sont de différentes nature : sites web personnels, sites sur un hébergement professionnel (avec toutes les nuances imaginables), squat sur des sites légitimes, abus de la connectivité d’autrui notamment au travers des botnets.

La lutte contre l’ensemble de ces sites illicites est grandement facilitée depuis le début de l’année par la mise en place de la plateforme de signalement, où cinq gendarmes et cinq policiers recueillent les témoignages d’internautes. Une grande partie d’entre eux portent sur des contenus pédopornographiques. Si le site est en France, il est assez facile de le faire fermer et d’en identifier l’origine. Lorsqu’il est à l’étranger cela devient plus complexe, voire impossible chez certains hébergeurs malhonnêtes.

Si les législations internationales existent, elles ne sont pas toujours ratifiées par l’ensemble des pays (par exemple : Russie, Turquie, San Marin, Andorre et la Principauté de Monaco, n’ont ni signé ni a fortiori ratifié la convention du Conseil de l’Europe sur la cybercriminalité) ou appliquées. La coopération internationale existe (en octobre 2007, la gendarmerie avait ainsi mené l’opération Arc-En-Ciel, suite à un signalement reçu de l’étranger sur une diffusion illicite organisée depuis un site de téléchargement français). Mais elle se heurte à certaines frontières : la corruption dans certains pays ou plus souvent l’inaction ou l’impuissance des responsables officiels.

La coalition financière européenne est une autre réponse contre ces formes de commerce illicites. Ainsi, la commission européenne a-t-elle décidé de financer une initiative qui vise à rassembler les efforts des acteurs de l’Internet, des services d’enquête et des grands réseaux financiers, pour identifier et bloquer les flux financiers liés aux contenus pédopornographiques. La France doit rejoindre la coalition – initiée par nos collègues anglais et italiens – dès cette année.

Mais la volonté des groupes criminels est particulièrement tenace, ils profitent de toutes les failles du système et continuent de faire d’importants bénéfices financiers grâce à l’abus sexuel des mineurs et à sa représentation.

Et maintenant, le blocage ?

Pour compléter l’ensemble des actions que je viens de décrire, et devant le constat que de nombreux sites Web subsistent encore et continuent de faire des dégâts, un groupe de travail européen propose de mettre en place des solutions de blocage ciblées. Soutenue par Europol et Interpol, cette initiative vise à mettre en place dans l’ensemble des pays concernés des techniques empêchant l’accès à ces sites web.

Ainsi, le Royaume-Uni, la Norvège, le Danemark, la Suède ou les Pays-Bas ont-ils mis en place de façon concertée avec les grands fournisseurs d’accès des dispositifs empêchant l’accès à une liste de sites fournie par la police. D’un pays à l’autre, d’un opérateur à l’autre, les solutions techniques sont différentes, adaptées aux situations locales. La France quant à elle s’oriente donc vers une solution législative (comme l’Italie en 2006) plutôt que de gré à gré avec les opérateurs.

Que dit le projet de loi ?

Le texte du projet est accessible sur le site Web du ministère de l’intérieur.

L’article 4 propose ainsi d’insérer dans l’article 6 de la loi pour la confiance dans l’économie numérique un alinéa, après le quatrième alinéa du paragraphe 7 du I :

Lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l’article 227-23 du code pénal le justifient, l’autorité administrative notifie aux personnes mentionnées au 1 les adresses Internet des services de communication au public en ligne entrant dans les prévisions de cet article et auquel ces personnes doivent empêcher l’accès sans délai.

Un décret fixe les modalités d’application de l’alinéa précédent, notamment celles selon lesquelles sont compensées, s’il y a lieu, les surcoûts résultant des obligations mises à la charge des opérateurs.

(Cet article 4 prévoit aussi des sanctions pour les fournisseurs d’accès qui n’appliqueraient pas ces mesures.)

En langage clair, un service du ministère de l’intérieur transmettrait, dans des conditions qui doivent être précisées dans un décret, la liste des sites Web diffusant des contenus pédopornographiques dont il convient d’empêcher l’accès.

Quels sont les arguments de ceux qui s’opposent à ce projet ?

Il est important en démocratie d’écouter l’ensemble des avis sur un tel sujet, notamment lorsqu’il s’agit de restrictions potentielles aux libertés publiques (notamment en cas de surblocage).

Il s’agirait de créer en France une forme nouvelle de censure

C’est clairement faux, puisque la loi pour la confiance dans l’économie numérique permet déjà dans le 8° du I de ce même article 6 au juge civil d’ordonner que des mesures soient prises par les hébergeurs, puis si cela n’est pas suffisant, par les fournisseurs d’accès pour empêcher un dommage. Les mesures de blocage existent donc en droit.

Ces mesures sont d’ailleurs prévues au niveau européen par l’article 14, 3° de la directive 2000/31/CE sur le commerce électronique dont est issue la LCEN.

En revanche, les dispositions actuelles ne permettent pas à l’enquête pénale de conduire au dit blocage. D’où une disposition spéciale.

Il s’agirait d’une démarche visant à contrôler la liberté d’expression

Comme je viens de le dire, les mesures de blocage peuvent déjà être ordonnées, ce n’est pas une nouveauté en France. Ce qui est nouveau, c’est la possibilité d’avoir une action plus dynamique et plus efficace contre les sites Web pédopornographiques (puisque le projet de loi vise explicitement et uniquement cette infraction). Et il ne me semble pas que ce type de contenus relève de la liberté d’expression.

Le dispositif ferait fi du principe de subsidiarité de la LCEN

Oui, en pratique, le juge n’intervient pas dans le dispositif proposé. Mais en quoi consisterait en pratique le principe de subsidiarité appliqué à cette situation, avec le droit actuel ?

Cela supposerait de contacter d’abord l’éditeur du site pour lui intimer l’ordre de retirer ces contenus…

Ensuite, il faudrait s’adresser à l’hébergeur, dont j’ai expliqué tout à l’heure qu’évidemment ceux qui nous intéressent ici, sont justement ceux qui ne coopérent pas avec l’autorité policière ou judiciaire française.

Enfin, seulement il faudrait que le juge se prononce sur l’ensemble de ces actions, sur le contenu incriminé et cite l’ensemble des fournisseurs d’accès français, qui devraient présenter leurs arguments en réponse, pour ensuite ordonner le blocage du dit site. Et cela, pour chacun des sites Web concernés.

Ubuesque…

En revanche, rien n’interdit le contrôle de ces dispositions. S’agissant d’une mesure administrative, c’est le juge administratif qui pourra être saisi par quiconque estime être lésé par les mesures de blocage. Il y a donc bien contrôle par le juge de la mesure proposée. C’est d’ailleurs déjà le cas pour l’interdiction de vente aux mineurs de certaines revues, qui font aussi l’objet de mesures administratives.

Enfin, comme l’indiquait récemment Christian Aghroum, chef de l’OCLCTIC, dans une interview, il n’est pas question dans ce projet d’autres types de contenus. Et c’est particulièrement important pour l’équilibre du dispositif. En effet, estimer la nature illégale d’un contenu pédopornographique est assez simple et constitue le travail de spécialistes des services d’enquête – malheureusement – depuis de nombreuses années. En revanche, pour d’autres types de contenus (discrimination, diffamation, …) l’interprétation du juge serait cruciale.

Le projet présenterait de gros risques techniques

Oui, le blocage au niveau des opérateurs n’est pas une action sans conséquence. D’ailleurs, c’est bien ici la compétence des acteurs techniques qui est recherchée par le projet de loi. Ce sont les spécialistes des opérateurs qui la mettront en œuvre, en fonction de leurs infrastructures.

Et tous les jours, les fournisseurs d’accès prennent des mesures techniques pour protéger leurs infrastructures et leurs abonnés. Ne serait-ce que pour lutter contre le spam ou certaines attaques massives. Parfois, ils peuvent faire des erreurs, Internet ne s’est pas encore effondré (les exemples sont nombreux, par exemple avec des incidents dans l’accès à Google – forcément vite repérés, mais la situation est très vite rétablie).

Ainsi, Wikipedia avait souffert en décembre 2008 d’un surblocage au Royaume-Uni. Le mécanisme – assez complexe – était lié à la combinaison de l’action du dispositif de blocage utilisé dans ce pays (apparemment, le passage par un proxy pour certaines adresses IP de destination) et le dispositif anti-vandalisme de Wikipedia (qui a détecté ces proxys comme des sources probables de vandalisme). C’est assez bien expliqué dans l’article que j’ai mis en lien et on pourra aussi consulter l’information publiée par Wikipedia à ce sujet.

Cet incident milite d’abord pour une gestion transparente de ce projet – le débat public à venir en est une caractéristique. Et il veut surtout dire qu’il est important pour l’ensemble des acteurs du blocage (pouvoirs publics et opérateurs) de dialoguer efficacement pour anéantir les possibilités de surblocage ou de nuire à la qualité de l’accès Internet, selon les techniques choisies par les uns et par les autres.

Et le blocage ne serait pas la panacée…

Oui, aucune mesure de prévention ne réussit à 100%… Le tout est de savoir si elle aura une certaine efficacité.

Déjà pour l’internaute français lambda (adulte ou jeune), non intéressé par ce type de contenus, la mesure n’aura pas de conséquence (à conditions que les risques de surblocage soient bien gérés, comme je viens de l’évoquer) et le protégèra de certains contenus, y compris de sites diffusant des logiciels malveillants. Il est d’ailleurs indispensable à ce titre que la qualité de navigation de ces internautes ne soit pas diminuée.

Pour l’internaute qui chercherait ce genre de contenus, beaucoup seront bloqués et le marché commercial des promoteurs de ces sites en sera diminué d’autant. Et toutes les occasions de créer la peur du gendarme chez ces délinquants potentiels est une bonne mesure préventive. Les plus insistants trouveront peut-être des techniques pour contourner le blocage. Mais comme je l’ai déjà évoqué, ce sont loin d’être les seules mesures que nous prenons contre ces sites Web et ils pourront par exemple être retrouvés grâce à leurs transactions bancaires avec ces sites. Et rien ne nous interdit d’imaginer des techniques supplémentaires pour mieux identifier ces actions illicites, le travail est – nous le savons bien – loin d’être accompli.

Conclusion

Nous sommes donc face à un choix de société important. Il est important de ne pas sous-estimer la réalité de ces phénomènes et leur impact sur les enfants (je parle ici des victimes de ces actes sexuels), mais aussi les gains financiers permis par de telles abominations. Il est important aussi de ne pas déplacer le débat : le blocage n’est pas juridiquement une nouveauté, ce qui l’est c’est une action plus efficace contre les sites pédophiles et notamment les sites de nature commerciale et mafieuse.

30 mai 2009 by Éric Freyssinet Cybercriminalité Juridique 5

Des fantasmes sur le Nokia 1100

Nokia 1100

Une histoire assez délirante cette semaine… Des « chercheurs » appartenant à un réseau d’experts basé aux Pays-Bas auraient réussi à trouver la raison pour laquelle les prix des Nokia 1100 (plus particulièrement ceux fabriqués à Bochum en Allemagne) grimperaient dans les sommets sur le marché noir. L’explication qu’on lit dans cet article est intrigante : on y lit qu’il serait possible de reprogrammer les téléphones Nokia 1100 pour recevoir les SMS de la banque à la place de l’utilisateur légitime.

Notons au passage que les Nokia 1100 sont des téléphones GSM distribués en Europe, donc utilisant une carte SIM.

C’est dans les détails que l’annonce devient surnaturelle : il serait possible de reprogrammer l’IMEI et l’IMSI du téléphone (littéralement dans l’article: l’information qui permet de se connecter au réseau de l’opérateur). Le lecteur averti commence déjà à tiquer, étant donné que l’IMSI est le numéro qui identifie l’abonné sur le réseau, qu’il se trouve sur la carte SIM (et non particulièrement dans la mémoire du téléphone) et que de toutes façons c’est une clé confidentielle (la clé Ki) qui est utilisée pour authentifier la carte SIM.

Et ensuite au détour d’une phrase: « For the final step, the hacker must also clone a SIM (Subscriber Identity Module) card, which Becker said is technically trivial. » (page 2 de l’article). Oui, forcément… Si on est capable de copier la carte SIM, effectivement, on pourra recevoir les SMS de l’abonné. Mais là cela devient complètement indépendant du terminal GSM utilisé, Nokia 1100 ou dernier N95, ce sera la même chose.

Enfin, le fin mot de l’histoire serait une utilisation pour recevoir des codes « mTAN » uniques envoyés par SMS, utilisés par les banques en Allemagne pour renforcer l’authentification de leurs utilisateurs de services en ligne.

Dans ce qu’on lit des déclarations d’Ultrascan, dans cet article et dans bien d’autres (un article un peu plus fouillé sur PCWorld), rien donc qui ne justifierait la particularité des GSM Nokia 1100 fabriqués en Allemagne au début des années 2000… D’ailleurs on trouve de tels téléphones à moins de 30 euros sur des sites d’enchères !

23 mai 2009 by Éric Freyssinet Criminalistique numérique Cybercriminalité Sécurité 1

Torpig : visite du centre de commande d’un botnet

In English

Torcochon ?

Non, il ne s’agit pas ici du virus de la grippe porcine. Des chercheurs de l’université de Santa Barbara en Californie ont publié un rapport rendant compte des observations qu’ils ont pu faire lors d’une prise de contrôle temporaire d’un système de commande du botnet Torpig.

Il s’agit d’un botnet basé sur un logiciel malveillant (Torpig/Sinowal/Anserin/Mebroot) affectant les systèmes Microsoft Windows. Il aurait été d’abord repéré (selon RSA) en février 2006 ou en juillet 2005 selon d’autres spécialistes. Cela fait donc bientôt quatre ans que ce cheval de Troie sévit, et toujours aussi activement !

Les conclusions du rapport des chercheurs de Santa Barbara, reprises dans un article chez ZDNet, sont que cet outil malveillant permet de collecter actuellement des millions de mots de passe, des milliers de numéros de carte bancaire ou d’identifiants d’accès à des comptes bancaires. Ces chercheurs ont mis en ligne une page de suivi de ce projet.

C’est un nouvel exemple (j’en parlais déjà voici quelques semaines) des techniques qu’il est nécessaire aujourd’hui d’utiliser pour collecter efficacement de l’information sur ces botnets : il est nécessaire de les pénétrer. Aujourd’hui, de tels modes de collecte de preuve restent purement et simplement illégaux.

4 mai 2009 by Éric Freyssinet Cybercriminalité Prospective Sécurité 3

Botnet de 1,9 million de machines – nouvelles méthodes de lutte

In English

La société Finjan révèle aujourd’hui l’existence d’un botnet regroupant plus de 1,9 millions de machines infectées.

Le centre de commande de ce réseau de machines zombie serait situé en Ukraine et selon les informations collectées par les spécialistes de Finjan, grâce à la surveillance qu’ils ont pu faire en s’infiltrant dans ce serveur de commandes, il y aurait une équipe de six personnes à la tête de ce complot numérique.

Sur le blog de Finjan, on voit des exemples de l’interface web de contrôle de ce réseau. Les actions qui peuvent être ordonnées par ce centre de commandes incluent la possibilité d’installer des chevaux de Troie aux fonctions variées : lecture d’adresses mél, communications entre machines en utilisant le protocole HTTP des serveurs Web, le lancement de processus malins, l’injection de code exécutable dans d’autres processus déjà lancés, la visite de sites Web sans l’intervention de l’utilisateur de la machine, etc.

La répartition relevée par Finjan est la suivante : US / 45%, UK / 6%, Canada / 4%, Germany / 4%, France / 3%, autres / 38%. Cela représente donc environ 60.000 machines victimes sur l’ensemble de notre territoire national… Il semblerait que les machines infectées tournent sous Windows XP.

On voit ici, une fois de plus, que pour lutter contre ce type de cyberdélinquance, il est indispensable de pouvoir collecter des preuves en s’infiltrant dans les systèmes des suspects. Et les services d’enquête ne disposent pas de ce genre de pouvoirs en France. Il n’est même pas sûr qu’on puisse utiliser des preuves collectées de cette façon par des sociétés privées pour poursuivre ces suspects en justice. Ainsi que le relève cette semaine Joe Stewart à la conférence RSA – organisée à San Francisco – il est grand temps que les méthodes de lutte s’adaptent à ces nouveaux défis, et pas uniquement du côté de l’industrie mais en partenariat avec des services d’enquête et la justice pour mettre un terme à l’action de ces groupes criminels.
Technorati Profile

22 avril 2009 by Éric Freyssinet Cybercriminalité Prospective 2

Condamnation d’un cracker de 17 ans à 11 mois de prison aux USA

In English

Worcester

Âgé aujourd’hui de 17 ans, un jeune originaire de Worcester, dans la région de Boston (Massachusetts, USA) a été condamné à 11 mois de prison dans un centre de détention pour mineurs et un total de 2 ans avec sursis, lors d’un jugement prononcé la semaine passée.

Il était poursuivi pour avoir commis des faits d’atteintes à des systèmes de traitement automatisé de données (d’entreprises), passé des appels injustifiés au numéro d’urgence américain (911) et utilisé des numéros de cartes bancaires volés pour effectuer des achats. Tous ces faits ont été commis entre novembre 2005 et mai 2008.

Le suspect, connu sous le pseudonyme de DShocker, a reconnu les faits et risquait un maximum de 10 ans d’emprisonnement. En France, pour des faits similaires, à savoir des intrusions dans des systèmes de traitement automatisés de données, des attaques en déni de service, l’exploitation de botnets, ce jeune homme risquait jusqu’à cinq ans de prison et 75 000 € d’amende (articles 323-1 à 323-7 du code pénal). En réalité, s’agissant d’un mineur, il n’aurait peut-être pas été condamné en France à une peine d’emprisonnement pour de tels faits.

22 avril 2009 by Éric Freyssinet Actualité judiciaire Cybercriminalité Juridique 0

Cyberpatrouilles : premiers dossiers

In English

Messageries instantées: de nombreuses rencontres s'y poursuivent

La presse s’en est fait l’écho aujourd’hui, les cyberpatrouilles commencent d’ores et déjà à porter leurs fruits. Le procureur de la République de Bobigny a choisi de communiquer sur le dossier présenté par les gendarmes spécialement formés à la cyberpatrouille de la division de lutte contre la cybercriminalité du STRJD.

Vous pouvez lire par exemple cet article sur 01Net: La gendarmerie arrête un pédophile en s’infiltrant sur un forum.

Comme je le précisais pour mes lecteurs voici quelques jours, il ne s’agit pas à proprement parler d’infiltration, mais d’investigations sur Internet sous pseudonyme.

Certains se poseront certainement des questions sur la communication qui est faite autour de ce cas. Il s’agit ici non pas de révéler les méthodes utilisées par les enquêteurs, mais de signifier clairement aux prédateurs pédophiles qu’ils ne peuvent plus se considérer en terrain conquis sur les forums, chatrooms et autres espaces utilisés par les enfants et ainsi, réinstaurer la peur du gendarme.

17 avril 2009 by Éric Freyssinet Cybercriminalité Juridique 4

Pré-programme des journées francophones de l’investigation numérique 2009

L’AFSIN, association francophone des spécialistes de l’investigation numérique, vient de mettre en ligne sur son site le programme prévisionnel des 3^èmes journées francophones de l’investigation numérique 2009.

Ces journées sont organisées du 1^er au 3 septembre 2009, à Neuchâtel en Suisse, dans les locaux flambant neufs de l’Institut de lutte contre la criminalité économique (ILCE), Haute école Arc.

Cette conférence est ouverte aux membres de l’association, aux magistrats, experts judiciaires et enquêteurs spécialisés francophones, ainsi qu’à des personnes invitées par l’AFSIN, notamment issus du monde académique. La session 2008 avait permis de rassembler près de 150 spécialistes dans la région Nancéenne, le déplacement – pour cette année – vers la Suisse nous permettra d’accueillir de nouveaux participants.

15 avril 2009 by Éric Freyssinet Cybercriminalité Prospective 0