Cybercriminalité

Conférence Octopus / Mercredi 11 mars matin

gpen

GPEN

Cette deuxième demi-journée d’ateliers parallèles était consacrée à deux sujets :

  • la formation des enquêteurs, des magistrats dans la lutte contre la cybercriminalité ;
  • la coopération internationale.

Beaucoup d’initiatives existent en Europe et dans le monde en matière de formation, même si beaucoup reste à faire. Les pays africains et sud-américains présents ont exprimé le souhait de bénéficier encore plus des opportunités qui existent en Europe, et on sent un intérêt tout particulier chez les magistrats. A noter donc la création récente du GPEN, réseau mondial des procureurs sur le crime électronique.

Nigel Jones a présenté les résultats d’une étude qui devrait conduire au projet 2CENTRE visant à la création de centres d’excellence sur les délinquances numériques autour d’universités, et en partenariat avec des services de police et des industriels. Deux de ces centres devraient voir le jour dans un premier temps (University College of Dublin et Université de technologie de Troyes). Cette dernière est l’université qui participe à la formation des enquêteurs spécialisés de la gendarmerie (NTECH).

Conférence Octopus / Mardi 10 mars après-midi

Coalition financière européenne

Coalition financière européenne

L’après-midi était consacré à deux tables rondes sur :

  • la traçabilité de l’argent du crime sur Internet ;
  • la criminalisation de la pédopornographie et des abus sexuels sur les mineurs par Internet.

En ce qui concerne les flux financiers du crime sur Internet, c’est réellement un sujet qui se développe ces deux dernières années. Par exemple, avec la création d’une coalition financière européenne destinée à la lutte contre les flux liés aux atteintes aux mineurs sur Internet, avec notamment l’intention d’identifier et de bloquer les transactions d’achat de contenus pédopornographiques, et ainsi tarir les fonds de ces commerçants bien particuliers, et certainement mieux les identifier en suivant l’argent.

Cette coalition a été présentée lors d’une conférence qui s’est tenue la semaine dernière à Londres. Kathy Free en a fait une présentation pendant la table ronde. La France devrait certainement rejoindre cette coalition.

Je rappelle que beaucoup des présentations de la présente conférence sont accessibles ici.

Conférence Octopus / Mardi 10 mars matin

Le début de cette conférence était évidemment consacré aux présentations introductives et à un tour du monde de l’état d’avancement de l’implémentation de législations spécifiques à la lutte contre la cybercriminalité. Rappelons que vous pouvez télécharger une bonne partie des présentations sur le site de la conférence et la liste des ratifications et signatures de la convention du Conseil de l’Europe sur la cybercriminalité est accessible ici.

Une première présentation a attiré mon attention, celle d’Eugène Kaspersky, directeur de la société éponyme. Il s’agissait pour lui d’introduire la conférence en montrant l’état de la menace et des réponses que l’on peut apporter. Son constat se base essentiellement sur la réalité d’un Internet non gouverné et de systèmes ouverts, par essence difficiles à sécuriser. Son message : il faut créer un gouvernement de l’Internet, une police de l’Internet et identifier tous ceux qui s’y connectent ou délivrer des certificats à tous les logiciels. Pour ma part, j’espère que l’on trouvera – grâce à des technologies adaptées et ouvertes – une voie intermédiaire permettant de faciliter les identifications lorsque c’est nécessaire, sans que tout le monde ne puisse identifier toutes les personnes connectées ou n’ait l’impression d’être en permanence épié, tout en restant en sécurité.

Les présentations de conclusion de la matinée étaient dédiées à la coopération public / privé, illustrée par les lignes directrices adoptées par le conseil de l’Europe en 2008, reprises partiellement par l’Union Européenne en fin d’année 2008 et qui font par exemple l’objet d’un projet Français qui devrait être bientôt signé.  Mike Haley nous a conduits au déjeuner sur une présentation intéressante du plan d’action de Londres de lutte contre le spam (London Action Plan), réseau d’échanges international dédié à la lutte contre ce fléau.

Conférence Octopus au Conseil de l’Europe

Affiche Octopus 2009

Pendant deux jours, les 10 et 11 mars 2009, le Conseil de l’Europe accueille la conférence annuelle « Interface Octopus » sur la cybercriminalité. Organisée dans l’enceinte qui a voté la Convention sur la cybercriminalité, seul instrument juridique de portée internationale dans ce domaine, elle sera suivi de la conférence consacrée au suivi de l’application de la convention, le comité « T-CY », les 12 et 13 mars 2009.

Parmi les sujets abordés mardi et mercredi :

  • la traçabilité de l’argent sale sur Internet ;
  • la pénalisation de la pornographie enfantine sur Internet ;
  • la formation sur la lutte contre la cybercriminalité ;
  • la coopération policière et judiciaire internationale.

Doit-on évincer les délinquants sexuels des sites communautaires ?

Bienvenue au Connecticut

Bienvenue au Connecticut

Une information publiée ce week-end pointait l’attention des lecteurs attentifs sur une actualité provenant des Etats-Unis : 5500 utilisateurs de Facebook, délinquants sexuels, ont vu leur compte supprimé. Cette actualité pose la question plus générale du moyen de prévenir l’action de prédateurs sexuels potentiels sur Internet.

Que s’est-il passé exactement ?

Selon les différents articles publiés à ce sujet, assez largement répétitifs, car provenant certainement de la même dépêche d’agence de presse, 5585 comptes d’utilisateurs de Facebook ont été supprimés (sur les 175 millions de comptes existants) entre le 1er mai 2008 et le 31 janvier 2009, suite à des investigations menées notamment par le procureur général de l’État américain du Connecticut, mais aussi sur la base de recoupements opérés par Facebook pour repérer des pratiques suspectes. Et la déclaration du représentant de la société est à ce titre très intéressante : « Notre optique est d’effacer les délinquants sexuels quand ils sont signalés ou identifiés, par tous les moyens ».

Dans le cadre de la même commission d’enquête à laquelle participe le procureur général du Connecticut, 90.000 prédateurs sexuels auraient été identifiés parmi les utilisateurs de la communauté en ligne Myspace. La même société avait annoncé en Juillet 2007 la suppression de 29.000 comptes sur la base de Sentinel Safe, une base de données privée recensant les données personnelles de centaines de milliers de prédateurs sexuels américains.

Qu’en conclure et quelles questions cela soulève-t-il ?

Facebook a agi sous l’impulsion et vraisemblablement selon les directives d’un magistrat. D’autre part, Facebook est une société de droit privé qui affiche très clairement la volonté de ne pas voir dévoyé son système au profit de prédateurs sexuels. Peut-on donc leur en vouloir ?

L’autre face de la médaille est la privatisation de l’action répressive. En effet, mener une telle enquête sur des réseaux, collecter des données personnelles et se servir pour cela des services d’une société privée constitue un pas de plus dans cette direction. Avant de continuer, il faut se rappeler qu’aux Etats-Unis, les coordonnées des personnes condamnées pour des délits de nature sexuelle sont librement accessibles, par exemple sur le site national « Dru Sjodin National Sex Offender Public Website« , suite au vote de la loi Megan en 1996, du nom d’une victime d’un prédateur sexuel. En France, de telles informations ne sont pas publiées, mais effectivement collectées, dans le FIJAIS – fichier judiciaire des auteurs d’infractions sexuelles.

Les questions sont donc multiples :

  • les prédateurs sexuels condamnés doivent-ils pouvoir avoir une activité sur Internet ?
  • qui peut contrôler leurs faits et gestes ? est-ce qu’on peut laisser à une société privée le soin de faire le ménage sur les réseaux ?
  • est-ce que la prévention auprès des victimes potentielles est suffisante ? (se méfier des inconnus, …)

Premières pistes de réflexion

Je propose les pistes suivantes pour tenter de réfléchir à ces questions :

  1. La législation française permet depuis 1998 la mise en place de mesures de suivi socio-judiciaires, parmi lesquelles l’interdiction de rentrer en contact avec les personnes susceptibles d’être les victimes de ces méfaits
  2. Seules les personnes chargées de ce suivi socio-judiciaire et les policiers ou gendarmes qui ont accès au FIJAIS peuvent vérifier si quelqu’un est soumis à ces contraintes
  3. Parallèlement, il est important qu’après avoir purgé leur peine les personnes condamnées soient en mesure de se réintégrer, donc il n’est pas raisonnable aujourd’hui de leur interdire à tous l’usage d’une connexion Internet (même si c’est imaginable pour certains cas graves)
  4. En revanche, les gestionnaires de sites reçoivent les plaintes de leurs utilisateurs et peuvent imaginer des modèles de comportements à risques (un homme de plus de 18 ans qui ne chercherait que des profils de jeunes filles de moins de 18 ans, etc…). Qui peuvent-ils contacter pour valider leurs découvertes ? Quelles mesures peuvent-ils prendre de leur propre chef ?

En conclusion, et s’agissant de mesures préventives, prenant en compte les constats effectués lors de ces initiatives américaines – à savoir la réalité de la présence active de prédateurs sexuels sur les réseaux sociaux, il nous revient de trouver une solution adaptée et proportionnelle et cela suppose de faire travailler ensemble des personnes et des services qui ne se croisent généralement qu’une fois qu’un problème est survenu.

Techniques fines d’attaque SSL

Lors de la récente conférence Black Hat DC 2009, un certain Moxie Marlinspike a fait une présentation intéressante montrant les différentes techniques qu’il a explorées permettant de contourner de façon efficace et aussi discrète que possible vis à vis de l’utilisateur la sécurisation SSL des sites Web.

Vous pouvez visualiser sa présentation ici.

Technique présentée

Il y a quelques années, l’auteur a présenté l’outil « SSLSniff » permettant de gérer une attaque de type « man in the middle » sur une connexion SSL entre un client et un serveur Web. C’est un des outils utilisés dans l’attaque des certificats SSL basés sur des MD5 dont j’ai parlé ici-même voici quelques semaines. Il s’agit ici d’améliorations de ce programme d’attaque.

Une des premières particularités des sites web sécurisés que Marlinspike met en avant est l’habitude très courante des banques et autres services en ligne de mettre en place des boîtes de dialogue de connexion qui sont effectivement sécurisées (l’identifiant et le mot de passe sont envoyés par une connextion HTTPS) mais sont lancées à partir d’une page web elle-même non sécurisée (http://www.exempledebanque.fr). L’utilisateur n’est donc pas familiarisé avec les fonctions de sécurité et il faut en fait être assez savant, aller dans le code de la page web qu’on visite pour s’assurer que son mot de passe est bien transmis de façon chiffrée.

A contrario, l’auteur démontre que lorsqu’on essaye d’impliquer l’utilisateur dans la vérification de la sécurité, il peut être rapidement perdu : d’une version à l’autre d’un navigateur la façon dont est affichée la sécurité varie beaucoup, le petit cadenas n’apparaît pas toujours au même endroit, les couleurs ne sont pas toujours les mêmes, etc…

L’idée présentée par l’auteur est donc de profiter du fait que la plupart du temps l’utilisateur accède à une page sécurisée en passant par la page d’accueil non chiffrée du site visité. En remplaçant à la volée, dans le code de la page les https:// par des http:// il force le navigateur à rester en clair. La connexion https est effectuée uniquement entre le serveur web et l’attaquant. L’avantage de cela est que l’utilisateur ne voit sur son navigateur aucun message d’avertissement lié à la détection d’un certificat SSL invalide.

Ensuite, l’attaquant introduit dans la communication une icone « favorie » ressemblant au petit cadenas que l’utilisateur a l’habitude de voir… firefox-google Sur le présent blog, vous voyez par exemple le petit logo en forme de W sur fond bleu de wordpress.com à côté de l’URL : firefox-wordpress

Enfin, son programme SSLSniff gère un certain nombre de particularités des échanges entre le navigateur et le site Web (les cookies sécurisés, la gestion des sessions, …) soit en les empêchant d’arriver jusqu’au navigateur, soit en les manipulant (voir la présentation vers la 34ème minute pour comprendre les détails).

Résultats

Ses essais lui ont permis en 24 heures d’intercepter (en se positionnant sur un noeud Tor) des identifiants yahoo, Gmail, ticketmaster, rapidshare, hotmail, paypal, linkedin, facebook… Ce qui montre la faisabilité de cette attaque sur des sites web très utilisés. L’auteur profite de l’occasion pour rappeler que des mots de passe sont souvent utilisés à l’identique sur plusieurs sites par les mêmes utilisateurs.

Les essais suivants lui ont aussi permis de s’assurer que sur 24 heures, aucune tentative de connexion sécurisée forcée (qui contournerait donc son programme SSLSniff) n’a été remarquée.

Encore plus fort

La suite de sa présentation est encore plus intéressante. Tout d’abord il rappelle la possibilité d’utiliser aujourd’hui des noms des domaine comportant des caractères spéciaux, comme les caractères accentués du français, les caractères chinois, etc… Certains d’entre eux sont très ressemblants aux caractères classiques, comme le « a » cyrillique qui ressemble à un a classique à l’affichage, mais est codé différemment.

Ensuite, il a enregistré un nom de domaine (ijjk.cn), pour lequel il a fait signer un certificat SSL pour le domaine entier (donc pour *.ijjk.cn) et ensuite, en utilisant des caractères du codage IDN (noms de domaines internationalisés) qui ressemblent aux . / et ?, comme les caractères / de l’exemple ci-contre : firefox-google-slash (regardez bien ceux qui entourent « accounts », ce sont en fait des caractères différents du /). Et donc on se retrouve à visiter un site appartenant au domaine possédé par l’attaquant du type https://quelque-chose-de-long-ressemblant-à-mon-adresse-de-banque.ijjk.cn dont le certificat SSL sera correct !

Comment faire pour se protéger contre ce type d’attaques ?

La première fois que vous vous connectez sur le site sécurisé de votre banque (ou autre), vérifiez bien que le certificat correspond au site que vous voulez visiter et possède une chaîne de certification sans intermédiaire louche. Ensuite, mémorisez dans votre navigateur l’adresse sécurisée de connexion du site plutôt que de taper à chaque fois l’adresse de la page d’accueil…

Google empoisonné

poison

Poison

L’actualité autour de Google a été particulièrement chargée ce week-end et l’erreur de manipulation qui a conduit tous les utilisateurs du moteur de recherche à ne plus savoir où cliquer pendant près d’une heure samedi 31 janvier 2009 a été largement reprise par la presse grand public.

Mais j’ai relevé une autre actualité très intéressante – ou inquiétante. Le blog de la société TrendLabs nous signale la diffusion particulièrement offensive d’un ver dénom « AQPLAY-A » ces temps-ci. Sa particularité ? Son mode de diffusion par l’empoisonnement massif des résultats du moteur de recherche Google (ou SEO poisoning – search engine optimisation). Il s’agit de l’utilisation abusive de mots-clés et de techniques de référencement permettant de se retrouver en tête des résultats du moteur de recherche.

Ainsi, TrendLabs relève plus de 400.000 requêtes parfaitement légitimes sur la partie « Vidéo » du moteur de recherches conduisant systématiquement à un site web invitant à télécharger un plug-in se faisant passer pour une mise à jour du moteur d’affichage Flash de la société Adobe et sensé permettre d’afficher la vidéo recherchée.

Et ce n’est pas la première fois qu’une telle technique est utilisée. Les exemples sont nombreux : ainsi, le 28 mars dernier, le chercheur en sécurité Dancho Danchev expliquait de façon détaillée les techniques utilisées combinant l’empoisonnement SEO et l’injection dans le cache Google de fenêtres IFRAME insérées par la méthode du cross-site scripting (XSS) (quelques explicationsen suivant ce lien), favorisant la contamination des visiteurs. De même, en décembre 2007, Redtape chez MSNBC.com publiait un article assez complet sur les différentes techniques mises en œuvre.

C’est effectivement le rôle d’une société comme Google d’être attentive à ces phénomènes et à faire rapidement le ménage dès qu’un abus est repéré. Et elle le fait régulièrement, comme noté dans les articles cités. Mais l’utilisateur doit aussi être attentif : ne pas cliquer sur des résultats de recherche au contenu bizarre, ne pas installer des logiciels conseillés par des sites web auxquels on n’a pas de raison de faire confiance et se méfier des fenêtres pop-up intempestives et autres méthodes agaçantes d’incitation au clic dont abusent systématiquement ces sites de diffusion de logiciels malicieux.

Suite de l’affaire McColo

Comme on pouvait s’y attendre, les niveaux de pourriels continuent de progresser et on devrait atteindre assez rapidement les niveaux d’avant la fermeture de l’hébergeur McColo.

Cet article du site CRN détaille les évolutions prévisibles dans ce domaine. Ainsi que cet article sur SecurityFocus. De même, les craintes autour d’un futur botnet basé sur le ver Downadup/Conficker laissent présager les pires évolutions dans ce domaine pour les mois à venir.

Affaire à suivre…

Lancement de la plateforme de signalement Internet

Michèle Alliot-Marie, ministre de l’Intérieur a annoncé ce matin, lors d’une conférence de presse, le lancement d’un plan de lutte contre les escroqueries dont sont victimes des centaines de milliers de français chaque année. C’était aussi l’occasion d’annoncer l’ouverture effective du site de signalement mis à disposition des internautes par le ministère de l’Intérieur : https://www.internet-signalement.gouv.fr/

Il permet à tout un chacun de signaler à l’équipe formée par cinq policiers et cinq gendarmes, constituée au sein de l’OCLCTIC (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), toute infraction dont ils pensent être les témoins et qui se déroule sur Internet, dans les catégories suivantes :

  • Pédophilie ou corruption de mineur sur Internet
  • Incitation à la haine raciale ou provocation à la discrimination de personnes en raison de leurs origines, de leur sexe, de leur orientation sexuelle ou de leur handicap
  • Menaces ou incitation à la violence
  • Trafic illicite
  • Mise en danger des personnes
  • Incitation à commettre des infractions
  • Injure ou diffamation
  • Escroquerie

Il y est rappelé que les pourriels sont l’objet du site Signal-Spam.

Une fois la qualification juridique des faits établis, les preuves sont préservées par des enquêteurs de la plateforme et transmises à des enquêteurs compétents dans le domaine concerné (police, gendarmerie, douane, répression des fraudes…). La dénonciation calomnieuse est évidemment un délit, et il ne s’agit pas du tout d’inciter à la délation, mais d’aider les services d’investigation à identifier rapidement les faits délictuels ou criminels commis sur Internet.

Cet espace vient s’ajouter à la liste de sites similaires existant ailleurs en Europe : Royaume-Uni, Pays-Bas, Roumanie, Italie,… et qui vont faire l’objet d’ici l’année prochaine d’une coordination européenne par Europol. Il faut noter que si la plateforme de signalement française se veut généraliste, dans d’autres pays elles ont souvent une vocation spécialisée (limitées aux atteintes aux mineurs par exemple).

Enfin, ce dispositif est parfaitement complémentaire de l’action menée par les opérateurs et les hébergeurs dans le cadre de leurs obligations issues de l’article 6 de la loi pour la confiance dans l’économie numérique, et les internautes peuvent aussi signaler les faits de pédophilie ou d’incitation à la haine raciale sur ces sites privés (par exemple http://www.pointdecontact.net/ géré par l’association de fournisseurs d’accès et de services Internet français, l’AFA).

Quelques dates à retenir

Des événements à venir :