Cybercriminalité

Botconf 2013

anglais English version of this post.

ImageLes 5 et 6 décembre prochains se tiendra à Nantes (France) Botconf 2013, la première conférence dédiée à la lutte contre les botnets.

L’appel à présentations ou articles scientifiques est en ligne sur le site Web de la conférence https://www.botconf.eu/. La date limite pour soumettre des papiers est le 30 juin 2013.

La conférence est ouverte aux chercheurs académiques, industriels et aux services de police. Les étudiants dont les papiers seront sélectionnés recevront une aide pour assister à la conférence (aide financière pour le transport et le logement).

Le comité d’organisation est composé de volontaires de la communauté botnets.fr et le comité scientifique indépendant est composé de spécialistes en sécurité de tous secteurs et de toutes les régions du monde. La conférence se tiendra en langue anglaise.

Les menaces se propagent silencieusement malgré les mises à jours (de Java)

Dans un article sur mon blog en langue anglaise, je reviens sur des événements très récents dans la diffusion de l’information de sécurité et leur utilisation par les délinquants numériques. En résumé:

  • Une mise à jour de Java est publiée le 16 avril
  • Le 17 avril des articles de sécurité publient certaines méthodes d’exploitation des vulnérabilités corrigées
  • Dès le 21 avril on voit dans la nature des plateformes d’exploit (voir l’article de ce blog sur la diffusion des virus) qui utilisent ces vulnérabilités de façon massive
  • Une méthode de contournement du message d’avertissement qu’affiche normalement Java avant d’exécuter une application est utilisée. Il en résulte ces derniers jours un doublement du taux de machines ciblées pour lesquelles l’attaque fonctionne (atteignant des taux de 20%).
Message d'avertissement de Java qui est contourné par certaines attaques de plateformes d'exploit actuellement.

Message d’avertissement de Java qui est contourné par certaines attaques de plateformes d’exploit actuellement.

Conclusion:

  • Vérifiez que votre installation de Java est à jour, et si vous n’en avez pas besoin désactivez Java dans votre navigateur (article de Slate vous guidant pour cette désactivation). L’ANSSI publiait il y a quelques jours un guide sur la sécurité des environnements d’exécution Java sur les postes de travail, plutôt destiné à un public professionnel.
  • Il est grand temps que la communauté de la sécurité réfléchisse un peu plus avant à la diffusion de l’information sur les vulnérabilités et sa coordination avec l’information du public sur les risques.
  • A quand un service de « météo » de la sécurité des ordinateurs personnels?

L’article en anglais contient quelques détails supplémentaires.

Hameçonnage: quelques conseils

Suite à un reportage ce soir sur M6, dans l’émission Capital, quelques conseils:

  • Cela peut paraître évident, mais parfois certains tombent dans le piège: si vous recevez un courrier électronique d’une entreprise dont vous n’êtes pas client et qui vous parle de problèmes avec votre compte, ce n’est forcément pas légitime et le plus souvent ce sera une tentative de hameçonnage.
  • Si c’est une entreprise dont vous êtes client ou une administration que vous connaissez, faites attention au lien sur lequel vous êtes invité à cliquer (il apparaît en général lorsque vous passez votre souris au-dessus du lien lorsque vous cliquez). Dans certains cas, le lien aura l’air légitime, mais une fois que vous aurez cliqué dessus c’est sur un tout autre site que vous serez redirigé. Si vous avez un doute, n’hésitez pas à taper vous-même l’adresse que vous connaissez déjà, par exemple avec le favori que vous avez mémorisé dans votre navigateur.
  • Attention, contrairement à ce qui était dit à la fin du reportage, ce n’est pas parce que le site est en https:// que vous êtes en sécurité contre un hameçonnage. Si le site malveillant utilise ce protocole de sécurisation, vos données seront sécurisées entre votre ordinateur et le site de l’escroc, mais tomberont bien dans les mains de l’escroc. Il est rare de rencontrer des sites de hameçonnage hébergés de cette façon-là, mais ils existent bien.
  • Une fois connecté sur un site, une dernière caractéristique du hameçonnage est qu’on vous demande parfois beaucoup plus d’informations que celles auxquelles vous avez l’habitude de répondre.
hameconnage-caf

Exemple de site Web de hameçonnage se faisant passer pour la CAF avec beaucoup de questions (code postal, identifiant, code personnel et date de naissance)

  • Enfin, certains hameçonnages sont plus rudimentaires et vous demandent carrément de fournir des informations confidentielles par retour de courrier électronique. N’y répondez pas !

Quelques réactions utiles pour vous protéger et aider à protéger les autres:

  • Vérifiez régulièrement vos comptes bancaires et si vous avez accès à des options gratuites qui vous avertissent par SMS lors de transactions qui dépassent votre découvert autorisé, n’hésitez pas à en profiter.
  • Les grandes marques agissent suite à vos signalements et un courrier électronique à l’adresse abuse@(domaine de la marque) est très souvent traité rapidement, comme il est indiqué dans le reportage pour l’adresse abuse@orange.fr
  • Les courriers électroniques de hameçonnage peuvent être transmis à Signal Spam pour mieux lutter contre leur diffusion.
  • Les URL (l’adresse du site Web) de hameçonnage peuvent être signalées à Phishing-Initiative. Ils seront vérifiés et ensuite rapidement bloqués dans un grand nombre de navigateurs Web (Internet Explorer, Firefox et Chrome). L’équipe de Phishing Initiative tient un blog où vous trouverez des exemples de hameçonnage.
  • Enfin, en cas de doute, vous pouvez contacter le service client de l’entreprise concernée ou recueillir des conseils auprès du numéro Info-Escroqueries mis en place par le ministère de l’Intérieur: 0811 02 02 17.

Malheureusement, on se fait parfois avoir. Dans ces cas-là, signalez rapidement l’information à votre banque. Vous pouvez aussi déposer plainte. Dans ce cas, gagnez du temps et fournissez en même temps tous les éléments qui seront utiles (relevés de compte, références de votre abonnement Internet, copies d’écran des courriers électroniques et pages de hameçonnage si vous les avez encore – dans l’idéal les codes source de ces informations, Signal Spam vous explique comment obtenir le code source des courriers électroniques en bas de cette page et pour les pages Web, la commande commune à la plupart des navigateurs Web est Ctrl+U / Pomme+U sous MacOS ou encore grâce à une fonction du menu qui apparaît avec un clic droit de la souris).

Stages dans le domaine de la lutte contre la cybercriminalité

logo-gendarmerie3446791305095418595La gendarmerie nationale accueille chaque année un certain nombre de stagiaires dans des domaines techniques. Des informations sont disponibles à ce sujet sur le site de recrutement de la gendarmerie ou la bourse interministérielle de l’emploi publique.

J’attire l’attention de mes lecteurs sur plusieurs stages en rapport avec la cybercriminalité:

Les informations de contact sont dans les documents correspondants. Depuis le 1er juillet 2009, et conformément au plan d’action en faveur de l’emploi des jeunes, tous les étudiants de l’enseignement supérieur ayant débuté un stage d’une durée de plus de deux mois dans les administrations et les établissements publics de l’Etat ne présentant pas un caractère industriel et commercial bénéficient d’une gratification calculée sur la base de 12,5 % du plafond horaire de la sécurité sociale, soit environ 400 euros par mois.

Forum du Rhin Supérieur sur les Cybermenaces 2012

Le Forum du Rhin Supérieur sur les Cybermenaces se tient l’après-midi du 6 novembre 2012 à Strasbourg, dans les locaux de l’Ecole nationale d’administration. Il est organisé par la région de gendarmerie d’Alsace et les officiers de la réserve citoyenne de la gendarmerie. Le thème cette année: «Assurer la confiance malgré les menaces». En 2011, le FRC présentait les résultats d’une étude prospective sur la cybercriminalité de 2011 à 2020 (en pièce jointe, la version anglaise de cette étude ainsi que la version originale en français). Le programme est disponible ici en téléchargement.

Le général d’armée (2S) Marc Watin-Augouard introduit la conférence sur les enjeux de la confiance et de la cybercriminalité.

Trois tables rondes au programme, précédées de deux discours introductifs. Parmi les points clés soulignés par le Général d’armée (2S) Marc Watin-Augouard: la création d’une juridiction spécialisée au niveau national, formation des policiers et gendarmes dès leur formation initiale à la prise en compte du numérique dans leurs missions. Daniel Guinier, quant à lui, développe les enjeux de la dématérialisation: ses différentes composantes (et notamment son application dans les marchés publics qui est de plus en plus souvent obligatoire), sa sécurisation (il fait référence au référentiel général de sécurité).

Les menaces de vol et de détournement d’informations

Dominique Schoenher (Ecole des officiers de la gendarmerie nationale) introduit cette table ronde en soulignant la sensibilité et la vulnérabilité de l’information des entreprises.

Jean-Marc Kolb (CCI Alsace, directeur pour l’économie numérique) revient sur la dématérialisation des procédures: reste à franchir le pas de la délivrance de certificats à des personnes morales et de passer à l’échelle européenne, la faible visibilité sur la pérennité des technologies, la durée de conservation, les risques dans le cycle de vie du document et dans sa transmission; il évoque la tendance forte qui consiste à faire appel à des tiers d’archivage.

Dominique Schoenher revient sur le hameçonnage, notamment quand il cible les entreprises (par atteinte de la marque, ou en la ciblant plus particulièrement par l’abus de l’image de ses partenaires de confiance) et ses formes les plus nouvelles (vishing, smishing, whaling) – rappel: pour faire un signalement de sites de hameçonnage, vous pouvez vous connecter sur http://www.phishing-initiative.com.

Enfin, l’intervention de Maître Cécile Doutriaux porte sur l’exfiltration d’informations de l’entreprise, en particulier par une source interne, et commence par une vidéo démontrant l’utilisation de la stéganographie utilisée par un employé malveillant. L’ordinateur a pour elle peut-être rendu encore plus simple le partage frauduleux d’informations confidentielles; elle revient sur la réglementation et la jurisprudence encadrant les actions que peut réaliser l’employeur pour contrôler l’action de ses salariés (voir l’article de PC Inpact à ce sujet, les recommandations de la CNIL et encore). Pour prévenir ces risques, elle recommande les outils classiques: charte informatique (signée par l’employé ou rendue publique de façon convenable – voir à ce sujet l’arrêt de la chambre sociale de la Cour de Cassation du 15 décembre 2010) et mesures contractuelles (clauses de confidentialité et de non-concurrence, ces dernières devant être limitées dans le temps et dans l’espace). La surveillance technique des flux entrants et sortants doit être déclarée auprès de la CNIL. Judiciairement, le vol peut rarement être retenu, en revanche l’abus de confiance ou la violation du secret de fabrique sont des solutions opérationnelles, ainsi que bien entendu l’obtention de réparations au civil. Me Doutriaux rappelle l’existence d’une proposition de loi sur la violation du secret des affaires.

Les menaces au vu de l’organisation du travail

Daniel Guinier est chargé de l’introduction de cette seconde table ronde et cite quelques chiffres : en 2012, 70% des utilisateurs reconnaissent enfreindre la sécurité au motif de faciliter leurs tâches; en 2013 25% des téléphones mobiles seront des smartphones; en 2015 nous aurons 15 milliards de terminaux mobiles dans le monde… Et un tour des risques: les systèmes d’information de l’entreprise sont utilisés dans l’entreprise, à domicile, en nomadisme ou en télétravail; toutes sortes de supports sont utilisés pour traiter ou stocker l’information (de l’ordinateur personnel au cloud computing en passant par les terminaux mobiles); les outils bureautiques sont autant de sources de problèmes (du papier à la photocopieuse).

Jean-Luc Lang (DSI Wolfberger, Président du Club informatique de l’Est), revient sur les enjeux du fameux « BYOD » (sécuritaires et juridiques).

Bruno Barge (RSI Lohr Industrie, Clusir Est) intervient sur les menaces liées au nomadisme. Il partage quelques questions et constats: comment conserver la sécurité des informations dans un contexte où les activités personnelles et professionnelles se mélangent? le comportement des usagers est au cœur de la sécurité; les digital natives mettent au service de l’entreprise leurs réseaux, une nouvelle richesse. Dans l’installation de l’entreprise à l’étranger leur expérience est la suivante: les coûts de l’itinérance par les réseaux de téléphonie mobile ne sont pas négligeables; l’accès Internet est nécessaire et peut conditionner aujourd’hui une implantation à l’étranger; les différences culturelles doivent être prises en compte, mais il faut savoir imposer ses standards de sécurisation: il faut formaliser les règles, former les gens, ne pas hésiter à déplacer un familier de l’entreprise, conserver certains pouvoirs à l’échelon central, cloisonner les réseaux et garder la maîtrise de la mise à disposition des données. Il préconise le chiffrement des disques durs et des supports amovibles.

Laurent Schmerber (Président Schmerber et 3MA Group) Dresse un panorama des risques liés aux imprimantes et aux photocopieurs. Sa présentation est introduite par une vidéo de sensibilisation sur les risques des copieurs, qui contiennent effectivement des disques durs et sont souvent connectés au réseau.

Les sources de menaces à l’encontre des organismes

Après une introduction par Gilbert Gozlan (Directeur territorial sûreté Nord-Est la Poste), cette table ronde avait trois invités:

Votre serviteurje suis intervenu sur les botnets et les risques qu’ils peuvent présenter aujourd’hui pour les entreprises, notamment par leur variété (voir le Wiki Botnets.fr que j’anime pour ma thèse) et par les modes de contamination (voir l’article que je publiais voilà quelques semaines et notamment les contaminations via des plateformes d’exploit ou par la réception de courriers électroniques piégés) et de communication (souvent par le le protocole HTTP utilisé par le Web et donc souvent accessible depuis le réseau des entreprises) qui rendent leur présence dans les réseaux des entreprises plus facile. En outre, par beaucoup d’aspects, ils peuvent cibler plus sévèrement encore les entreprises, par exemple pour y dérober des informations confidentielles, des connexions vers des banques en ligne, etc.

Philippe Rosa (Directeur associé Eurostratèges) ensuite est intervenu sur le sujet des réseaux sociaux et des risques qu’ils peuvent présenter pour les entreprises s’ils ne sont pas maîtrisés, qu’il s’agisse de messages publiés involontairement ou non par les employés et qui peuvent nuire à l’image de l’entreprise ou révéler des informations confidentielles, par des concurrents qui souhaiteraient nuire à votre image ou encore la publication de faux avis sur des produits ou des services (un sujet particulièrement veillé par les services de la répression des fraudes). Pour prendre en compte ces sujets dans les organisations, il est indispensable de fixer des règles, d’informer ses collaborateurs, par exemple en publiant un guide (le ministère de la défense a diffusé récemment un guide très réussi sur ce sujet), en réalisant des formations. Enfin, il souligne l’importance d’une veille sur ces médias, qui ne demande pas forcément énormément de ressources (commencez par cet article sur Presse-Citron) et la nécessité de disposer de gestionnaires de communauté en ligne qui soient bien formés et en même temps qui ne soient pas livrés à eux-mêmes lorsqu’il faut répondre au public sur des sujets précis voire techniques.

La dernière intervenante était Maître Denise Gross, avocate au barreau de la Plata (Argentine) et doctorante à l’université de Strasbourg. Son intervention établissait un portrait de l’ingénierie sociale, des techniques qu’elle met en œuvre et des parades qui peuvent être employées, la plus importante selon elle étant de former ses personnels à détecter et réagir aux tentatives d’ingénierie sociale (notamment grâce à des jeux de rôle) et d’intégrer dans les équipes d’analyse et de réaction aux incidents la mission de prendre en compte ce type d’alertes, tout en admettant la possibilité que des employés se trompent et en les incitant à rapidement informer la hiérarchie lorsqu’ils surviennent.

Au final donc une après-midi très intéressante avec près de 150 participants de toute l’Alsace, en espérant qu’elle aura apporté aux entreprises et administrations présentes de nombreuses informations utiles pour prévenir de futurs risques cybersécuritaires et cybercriminels.

 

Signaler le spam

Il n’est pas besoin de préciser ce qu’est le spam, en général tout internaute même débutant y a déjà été confronté, c’est une des plaies principales de la vie sur Internet.

Plusieurs sources permettent d’avoir une idée de l’ampleur du problème. Ainsi, Trustwave publie une page de statistiques tenue automatiquement à jour, avec des informations intéressantes sur le volume de spam (73% des courriers traités par leurs plateformes) ou encore leur source (essentiellement des botnets, comme Lethic, Cutwail, Grum, Kelihos,…) ou leur sujet (médicaments, propagation de virus informatiques, contrefaçons, etc…). Un autre prestataire de solutions antispam, Cisco Ironport, annonce des taux identifiés autour de 85%; Barracuda Networks relève près de 80% dans ses mesures. Le M3AAWG enfin relève un taux assez constant de l’ordre de 88 à 90% de messages jugés « abusifs ».

Les catégories de spam selon le rapport de Kaspersky Lab en août 2012 (cliquer sur l’image)

Pour beaucoup d’internautes, une solution antispam est mise en place par leur opérateur, qu’il s’agisse de solutions commerciales comme celles que nous venons d’évoquer ou de solutions basées sur des logiciels opensource comme SpamAssassin, ASSP ou DSPAM. Ainsi, l’essentiel des spams ne parviennent jamais dans votre boîte aux lettres. Certains dont la destinée est incertaine parviennent automatiquement dans une boîte intitulée « Spam » par votre prestataire de messagerie, vous permettant d’y récupérer éventuellement des faux positifs. Enfin, quelques-uns parviennent tout de même à passer les barrières et arrivent jusque dans votre boîte aux lettres principale.

Finalement, en plus des messages légitimes de ses correspondants, on reçoit dans sa boîte aux lettres quelques messages malveillants, qui ont réussi à passer les solutions de sécurité existantes, ainsi que des messages à caractère commercial dont certains nous intéressent mais pour d’autres on ne sait pas toujours pourquoi on en est rendus destinataires ou s’il est possible de ne plus les recevoir.

Nous avons ainsi plusieurs catégories de messages dans les boîtes des usagers:

  • des courriers légitimes de la part des contacts des internautes;
  • des courriers à caractère commercial que l’usager souhaite recevoir (factures et états de commande, information commerciale souhaitée comme des promotions) – la prospection commerciale n’est pas en soi illégale, c’est contre les abus, les mauvaises pratiques, voire les pratiques illégales qu’il faut lutter;
  • des courriers totalement illégaux (hameçonnage, vente de produits illégaux, diffusion de virus informatiques);
  • des courriers à caractère commercial que l’usager ne souhaite pas recevoir (prospection commerciale non souhaitée ou plus souhaitée); dans cette catégorie, on retrouve plusieurs cas, selon que la prospection est réalisée à partir d’informations personnelles collectées:
    • directement auprès du destinataire avec son consentement (et il a le droit de s’y opposer ultérieurement);
    • par des tiers auprès du destinataire et fournies à l’annonceur de façon transparente et légale (même commentaire);
    • par des tiers auprès du destinataire et fournies à l’annonceur sans l’autorisation de la personne (et il s’agit au moins d’un dysfonctionnement, voire d’une action illégale);
    • illégalement (sans le consentement éclairé et librement exprimé par la personne), par exemple en collectant les adresses publiées sur des forums.

Pour les messages qui arrivent finalement dans sa boîte de courrier électronique et qu’il ne souhaiterait pas recevoir, il n’y a que l’internaute qui puisse agir. C’est pour traiter le problème de ces messages non filtrés par les plateformes automatisées qu’est né le projet Signal-Spam en 2003, sous l’impulsion de la direction du développement des médias. D’abord il s’agissait d’un groupe de contact contre le spam, qui est devenu une association loi 1901 en 2005. En 2007 l’association lançait son outil de signalement, une extension pour les logiciels de messagerie Thunderbird et Outlook. Enfin, il était possible d’avoir accès aux messages qui sont réellement problématiques pour les internautes.

Très concrètement, les messages qui sont signalés par les internautes font tous l’objet d’une intégration dans la base de données et sont triés en fonction de leur origine. Ainsi, des messages d’alerte peuvent être adressés sous forme de boucle de rétroaction, vers les personnes qui ont émis ces messages, soit qu’il s’agisse de membres de l’association, soit qu’ils fassent l’objet d’une convention spécifique. Chaque destinataire d’une boucle de rétroaction ne reçoit que les données strictement nécessaires pour lui permettre d’identifier les messages problématiques et ce uniquement pour des messages qu’il a pu émettre ou faire transiter.

Suivant l’association de loin en loin, parce que le sujet du spam fait partie de nos préoccupations professionnelles, j’ai accepté en juin 2011 de prendre à titre personnel une participation plus active dans cette association en étant élu vice-président (conformément aux statuts de l’association cette tâche m’est confiée à titre personnel et non en tant que personnel de la gendarmerie et les membres du bureau ne reçoivent aucune rémunération pour leurs fonctions). En effet, nous partagions tous le constat que le fait que l’association existe était positif, mais qu’il y avait de gros progrès à faire sur ses moyens d’action, c’était donc logique de m’investir un peu plus. Mon engagement a donc comporté deux volets: le développement de l’association – et notamment accompagner ses progrès dans la prise de conscience collective de la nécessité de combattre contre le spam, et la construction d’une démarche déontologique, garante des moyens d’action de l’association.

Mettre tous les acteurs autour de la table

Dans La cybercriminalité en mouvement (Ed. Hermès-Science Lavoisier, 09/2012), j’ai consacré tout le chapitre 11 (Le partage comme arme) à la conviction que j’ai construite avec les années qu’il est indispensable d’échanger et d’agir collectivement avec toutes les parties prenantes pour traiter les problèmes liés à la cybercriminalité. Ça semble évident, mais encore faut-il le réaliser concrètement.

Ainsi, la France s’est dotée par la loi en 2001 d’un Observatoire de la sécurité des cartes de paiement, plaçant autour de la table, dans un cadre institutionnel, des élus, les administrations, les banques, les consommateurs, les commerçants, les schémas de paiement par carte bancaire et des experts choisis pour leurs compétences. Autre expérience intéressante, le Forum des droits de l’Internet a permis pendant presque dix ans de faire vivre le débat sur de nombreux sujets touchant aussi à la cybercriminalité, par exemple en matière de protection des enfants sur Internet. A l’étranger, on voit des initiatives du même ordre, tels des forums sur la fraude bancaire (Electronic crimes task force des Pays-Bas lancée en 2011), le projet Infragard du FBI aux Etats-Unis, ou l’association e-crime Wales au Pays de Galles. Toutes ces structures ont des formats et des objectifs différents, mais participent du même objectif de partage et de l’action collective.

Pour Signal-Spam, il était important d’avoir autour de la table non seulement ceux qui peuvent agir contre le spam reçu par leurs clients, mais aussi ceux dont le métier est l’envoi de courriers électroniques, qu’il s’agisse des annonceurs ou encore des professionnels auxquels ils font appel pour fabriquer leurs messages, identifier éventuellement les destinataires intéressés ou encore les relayer. D’abord pour bien comprendre comment tout cela fonctionne, établir le dialogue entre tous les professionnels, ensuite pour être en mesure de transmettre efficacement à ces acteurs l’information sur les plaintes qui remontent des usagers.

Ainsi, les fournisseurs d’accès reçoivent à destination de leurs usagers des messages illégitimes ou abusifs, mais ils peuvent aussi émettre à leur insu de tels courriers électroniques, par exemple lorsque certains de leurs clients sont contaminés par un virus informatique lié à un botnet émettant du spam. Les annonceurs et les professionnels de la messagerie ont aussi leur place. C’est une critique qui est souvent faite à Signal Spam que d’avoir parmi ses membres des entreprises qui sont parfois négativement perçues par le public, et c’est pourtant ce qui fait son point fort, car elle est en mesure ainsi d’agir directement sur leurs pratiques et de leur faire parvenir efficacement les plaintes des internautes. Pour ceux dont le métier est de faire de la prospection commerciale, ils ont tout intérêt à ce que leur message soit bien perçu par leurs destinataires. Enfin, on retrouve des sociétés spécialisées dans la sécurisation du courrier électronique et les organismes publics concernés par ces questions. La CNIL est concernée très directement par le travail de l’association dont les informations contribuent à orienter ses contrôles (ces contrôles peuvent d’ailleurs porter indifféremment sur des entreprises sans rapport avec Signal Spam ou si c’était nécessaire membres de l’association, voir le site de la CNIL). Les internautes participent directement par leurs signalements, on peut imaginer que dans un avenir proche des associations qui les représentent viennent compléter le tour de table.

Charte de déontologie

C’était un point clé de mon engagement l’an dernier, et nous avons mené ce projet collectif en quelques mois, en dotant l’association d’une charte de déontologie; elle a été adoptée par l’assemblée générale de juin dernier. Son contenu tient en quelques idées maîtresses:

  • afficher clairement les engagements concrets de ses membres dans la lutte contre les courriers non sollicités, chacun selon son rôle;
  • disposer d’un outil concret pour dialoguer avec les futurs membres sur les mesures qu’ils doivent implémenter avant de rejoindre l’association et avec les membres actuels pour mesurer avec eux leur action;
  • de spécifier les engagements des destinataires de boucles de rétroaction qui ne sont pas membres de l’association;
  • et garantir l’indépendance de l’association et des organismes publics associés par rapport à ses membres pour leur permettre de jouer un rôle de médiateur.

Ainsi, il s’agit tout autant de permettre aux internautes, dans le respect des règlements en place, de pouvoir facilement faire cesser tout message qu’ils considéreraient comme abusifs de la part d’un membre, directement auprès de ceux-ci parce qu’ils ont des fonctions transparentes et claires d’information et de désinscription ou encore de gestion des abus, que de permettre aux membres entre eux d’établir un dialogue pour la bonne circulation des courriers électroniques légitimes. Enfin, il s’agit évidemment de permettre à ce que l’action collective de Signal Spam soit réalisée sous les meilleurs auspices en traitant le plus efficacement possible les signalements reçus des internautes.

Dans les mois qui viennent, tous les membres de l’association auront ainsi informé leurs usagers de la façon dont ils ont implémenté la charte, le règlement intérieur va être adapté pour inclure très rapidement (dès ce mois d’octobre 2012 en pratique) la charte dans les procédures d’acceptation de nouveaux membres ou de destinataires de boucles de rétroaction. Enfin, il s’agit d’un document évolutif et des améliorations sont attendues sur le texte d’ici l’année prochaine sur la base des débats qui ont repris.

Pour l’avenir

La charte déontologique fait donc clairement partie des actions pour l’avenir, car il faudra faire le bilan de son application, mais d’autres chantiers sont entrepris. Le premier a été celui de la communication et un nouveau site Web a pu être enfin lancé au début de l’année 2012. Beaucoup plus dynamique, il va permettre de publier plus régulièrement de l’information et par exemple des efforts seront entrepris dès 2013 pour diffuser plus d’informations vers les internautes sur l’action concrète de l’association, notamment des informations statistiques.

De nouvelles extensions pour des logiciels de messagerie devraient voir le jour et d’autres modes de signalements proposés aux internautes, mais je laisse le soin à l’association de faire les annonces le moment venu, mon petit doigt me disant que les quelques semaines qui viennent devraient avoir leur lot de bonnes nouvelles.

Ensuite, une refonte complète du moteur qui traite l’ensemble des signalements au cœur de Signal Spam est en cours de réalisation et une plateforme de traitement plus performante devrait voir le jour en 2013.

Enfin, de nouveaux membres rejoindront nous l’espérons l’aventure et des partenariats seront développés avec des structures similaires dans d’autres pays pour échanger des informations qui nous concernent réciproquement, par exemple lorsque des adresses IP d’un autre pays sont à l’origine des messages signalés (ainsi, Signal Spam et son alter ego OPTA aux Pays-Bas ont déjà signé un partenariat).

Pour envisager d’autres pistes de notre travail, il faut se rappeler que le spam n’est pas présent que sur le courrier électronique, mais aussi sur des messageries instantanées, les réseaux sociaux – et on a déjà parlé ici de l’action du 33700 en matière de lutte contre le spam par téléphone. Ces autres plateformes sur Internet sont certainement un des axes de travail pour le futur de l’association.

Signalez, participez

Pour que cela fonctionne, il est indispensable que les internautes participent, par leurs signalements à cette lutte contre les messages non sollicités.

La mise en place du nouveau site Web a entraîné des difficultés concrètes pour la réalisation des signalements et de nombreux internautes nous ont patiemment aidé à résoudre ces problèmes en contactant l’association. Aujourd’hui, des difficultés beaucoup moins nombreuses, mais réelles sont parfois rencontrées au moment des pics de trafic. C’est une des raisons pour lesquelles nous allons faire évoluer l’infrastructure. Toutefois, en attendant cette migration majeure, des évolutions plus discrètes sont régulièrement réalisées pour améliorer nos capacités dans l’architecture actuelle. Le chargé de mission de l’association s’efforce d’apporter des réponses à chaque internaute qui fait part de difficultés, mais des efforts seront encore entrepris en 2013 pour mieux informer les utilisateurs sur les incidents techniques.

Aussi n’hésitez pas à participer en vous inscrivant, en signalant les courriers électroniques qui vous posent problème, et si nécessaire en nous faisant part des difficultés techniques quand vous en rencontrez.

Je suis bien conscient qu’il y a encore énormément de chemin à parcourir et que le problème du spam est loin d’être réglé en France. Il est possible donc qu’il y ait des commentaires négatifs suite à ce billet sur la qualité des résultats de Signal Spam. Je m’efforcerai de répondre à tous les messages du moment qu’ils sont, comme c’est la règle sur ce blog, écrits de façon conforme à la netiquette et constructifs.

Assises de la sécurité – Jour 3

Nota: de nombreux ateliers ont lieu en parallèle, il n’est pas possible d’assister à tous, ce compte-rendu de ces trois jours ne représente que ma sélection personnelle, n’hésitez pas à en lire d’autres: Le Monde informatique a déjà publié quelques articles (ainsi que sur l’intervention de l’ANSSI) et certainement d’autres articles publiés dans les jours qui viennent.

Vendredi est donc le dernier jour de ces Assises 2012 pour moi, certains ne repartant que demain matin.

Une journée marquée pour moi par encore de nouvelles rencontres et échanges. J’ai pu assister à la présentation par Renaud Lifchitz de BT France sur ses recherches, précédemment exposées aux GS Days ou à la conference Hackito Ergo Sum de Paris cette année, sur la sécurité des interfaces sans contact NFC des cartes bancaires, une démonstration de Picviz Labs (l’entreprise qui a remporté le Prix de l’innovation 2012) sur sa technologie et enfin à une conférence de clôture avec les discours du Sénateur Jean-Marie Bockel (auteur du rapport parlementaire sur la cyberdéfense) et du directeur général de Cassidian Cybersecurity, Hervé Guillou.

Le message principal de ces deux orateurs est qu’il est impératif de mobiliser les décideurs politiques et les dirigeants des entreprises sur les questions de cybersécurité, qu’elles ne doivent plus être uniquement le sujet des informaticiens. J’ajouterais pour ma part qu’il faut aussi mobiliser les citoyens, les individus qui doivent tous s’accaparer les aspects éthiques, politiques, sociaux ou encore de vie privée liés à la cybersécurité.

Rendez-vous donc l’an prochain pour une autre édition qui sera sûrement tout aussie réussie.

Autres compte-rendus:

Assises de la sécurité – Jour 2

Cette deuxième journée des Assises est traditionnellement la plus active, avec pour tous plusieurs ateliers, tables rondes et rendez-vous à honorer, plus de nombreuses discussions impromptues. Pour quelqu’un qui a mon profil il s’agit à la fois de rencontrer des entreprises qui offrent des solutions qui peuvent être utile directement pour mon métier, mais aussi qui peuvent être utiles pour les victimes auxquelles nous avons affaire ou dont elles utilisent les produits et ainsi mieux adapter notre action d’investigation judiciaire aux environnements professionnels.

Quelques moments de ma journée (et il y a énormément d’autres choses intéressantes aux mêmes moments, il ne s’agit pas pour moi de vous recommander ici telle ou telle solution présentée mais bien de partager ces quelques échanges):

  • une présentation de la société Sourcefire qui a une approche intéressante sur le traitement dynamique des attaques en profondeur (note: Sourcefire soutient et utilise deux projets opensource, Snort et Clamav);
  • Zscaler nous a offert un panorama des menaces liées aux sites Web (certaines dont je parlais dans un article récent sur les contaminations virales informatiques) – le site de la recherche chez Zscaler est ici;
  • et Cassidian sur les attaques en profondeur encore et la façon dont ils proposent de s’y préparer et de réagir.
  • l’un des stands sur lesquels j’ai fait un passage m’a convaincu qu’il existe des solutions pour lutter contre les attaques en déni de service (Corero). D’autres prestataires proposent des solutions aux mêmes objectifs (comme Arbor Networks), leurs approches sont certainement complémentaires.

En fin de journée, deux présentations et la remise du prix de l’innovation. David DeWalt (dirigeant dans plusieurs entreprises du domaine de la sécurité comme FireEye ou Mandiant) nous a présenté sa vision des enjeux technologiques et des menaces d’aujourd’hui. Je ne peux pas m’empêcher de constater que son observation de la situation rejoint beaucoup l’analyse que je propose dans le livre La cybercriminalité en mouvement (http://www.lcem.fr/), d’un environnement qui bouge très rapidement sur le plan technologique mais aussi sur le plan de ceux qui cherchent à en abuser.

Ensuite Jean-Christophe Rufin a partagé avec cette salle de spécialistes en sécurité des systèmes d’information sa vision des instabilités et des conflits dans le Monde, vision nécessairement complémentaire du regard habituel sur la « menace » telle qu’elle est perçue par les RSSI.

Enfin, le prix de l’innovation revient cette année à Picviz Labs, société créée il y a quelques années seulement par un fondu de mathématique (Philippe Saadé) et un passionné de sécurité informatique (Sébastien Tricaud). La solution qu’ils ont construit avec leur équipe permet de visualiser des masses de données importantes (des semaines entières de journaux informatiques par exemple) sur un grand nombre de dimensions (dix ou même beaucoup plus de paramètres), avec une interface graphique rapide et de naviguer rapidement dans ces données et identifier la petite bête (une version opensource de leur produit permet d’en tester les capacités).

 

La suite demain !

Comment on attrape un virus informatique ?

… aujourd’hui. En effet, la réponse à cette question est très mouvante et évolue avec le temps. Il y a quelques années encore, beaucoup de virus informatiques se diffusaient sur Internet sous forme de vers, se propageant d’une machine à une autre, mais vraisemblablement parce que de plus en plus d’ordinateurs ne sont plus connectés directement à Internet, ce n’est plus le mode de diffusion privilégié. En effet, derrière des box ADSL, même si vos ordinateurs, tablettes et autres télévisions connectées ne sont pas totalement protégés, ils ne sont pas directement et totalement accessibles depuis l’extérieur comme on pouvait l’être quand on se connectait avec un modem directement connecté à l’ordinateur.

Rançongiciel sous forme de fausse solution antivirs – Source: botnets.fr

Je vous propose de parcourir quelques modes de propagation qui, vous allez le voir, parfois s’entrecroisent. En effet, de la même façon qu’il est parfois difficile de classifier les logiciels malveillants, il est parfois tout aussi difficile de tracer une frontière entre ces différents modes de contamination.

L’installation par l’utilisateur

Ce mode de propagation permet notamment des attaques ciblées, par exemple en envoyant un lien spécifique ou une pièce jointe à une victime donnée. Il repose sur la confiance qu’a la victime dans le contenu qui lui est présenté, soit parce qu’il semble provenir d’une personne de confiance, soit parce que le sujet l’intéresse. Il peut s’agir directement d’un programme informatique qu’on est invité à installer ou qu’on souhaite soi-même installer, ou alors d’un document qui va exploiter une faille du logiciel permettant de l’afficher (PDF, document Word ou même encore une simple image qu’on ouvre dans le logiciel par défaut de son ordinateur, comme ce fut le cas avec le Kodak Image Viewer livré avec certaines versions de Windows). Dans tous les cas, c’est la victime qui clique sur le fichier pour l’ouvrir volontairement. Dans certains cas, il se peut que cette transmission soit réalisée par un ver (voir paragraphe plus bas) qui a contaminé l’ordinateur ou pris le contrôle du compte de réseau social ou de courrier électronique d’un ami. Bien évidement une personne malintentionnée peut aussi profiter d’un mot de passe défaillant ou d’un moment d’inadvertance pour installer un virus sur l’ordinateur de sa victime, soit en accédant physiquement à l’ordinateur, soit en y accédant à distance.

Les supports amovibles

Ici encore, c’est la victime qui est invitée à agir, en connectant un support amovible (souvent une clé USB, comme dans le cas du célèbre Stuxnet) sur son ordinateur. Ces clés vous arrivent de personnes en qui vous faites confiance (collègues de travail, amis, contacts professionnels) ou bien encore sont parfois trouvées dans la rue (cet été la société néerlandaise DSM semble avoir été victime d’une tentative d’attaque réalisée de cette manière). Ici, différentes techniques sont utilisées pour rendre invisible la contamination, celle-ci se réalisant automatiquement, par exemple avec les fonctions de démarrage automatique des systèmes d’exploitation.

… et les partages réseaux

Dans un environnement familial (disque dur partagé sur le réseau local pour mettre en commun documents, musique, films…) et surtout professionnel, ce type de contamination est particulièrement courant. Dans certains cas, on a vu qu’il pouvait être beaucoup plus efficace que les supports amovibles puisqu’on fait un peu plus confiance par défaut à un partage interne ou encore parce que certains environnements professionnels imposent d’exécuter au moment de leur connexion des fichiers de configuration se trouvant dans ces répertoires partagés.

Les vers

Les différents modes de contamination décrits ci-dessus sont parfois comparés aux vers, notamment lorsqu’on parle des espaces partagés, mais ils ont tous la particularité de passer par des étapes intermédiaires avant de contaminer l’ordinateur cible. En effet, on parlera plus facilement de vers pour les propagations qui se font directement d’une machine à une autre, exploitant une faille dans tel ou tel protocole réseau ouvert sur une machine. La plupart des vers exploitent une faille ou un type de protocole spécifique, même si certains ont plusieurs modes de diffusion. Ainsi, le ver Conficker, encore très présent aujourd’hui sur Internet, utilise trois modes de propagation (voir cet article de synthèse par P. Porras et al.): une vulnérabilité d’un des protocoles de communication réseau sous Windows (MS08-067), mais aussi le partage de répertoires sur les réseaux locaux ou encore le partage de supports amovibles. Dans certains cas, ces vers vont exploiter des trous laissés ouverts par d’autres virus informatiques. Enfin, les vers peuvent aussi profiter des plateformes de communication par courrier électronique ou sur les réseaux sociaux (comme le ver Koobface) pour atteindre leurs victimes.

Les plateformes d’exploits

Il s’agit ici d’exploiter des failles dans les différents composants qui servent à afficher des contenus provenant d’Internet, le plus souvent dans les navigateurs (Internet Explorer, Chrome, Firefox, etc.), mais aussi dans les clients de messagerie (Thunderbird, Outlook, etc.) qui affichent le même type de contenus riches. Et il y a plusieurs niveaux d’attaque: directement dans les fonctions du navigateurs, mais aussi dans les extensions les plus courantes qui permettent d’afficher des contenus enrichis (Flash et Java en particulier). Dans certains cas, l’interaction de l’utilisateur est recherchée, pour valider l’installation d’un module complémentaire.

Ces plateformes sont hébergées sur des serveurs Web et sont particulièrement recherchées aujourd’hui par les délinquants qui veulent diffuser des logiciels malveillants, parce qu’elles permettent d’atteindre directement le poste de l’utilisateur et se montrent très efficaces avec selon les pays des taux de contamination oscillant autour de 10% des visiteurs.

Elles ont des noms guerriers ou en tous cas très commerciaux (Blackhole, Sakura, Sweet orange,… voir la catégorie Plateforme d’exploits sur botnets.fr – @botnets_fr) ; elles sont ainsi un des indicateurs les plus forts de l’évolution de la cybercriminalité vers une véritable activité de services, avec des bannières publicitaires sur les forums où se discutent les marchés illégaux, de véritables services après vente allant jusqu’à rembourser des clients mécontents, et une gestion très avancée des besoins des utilisateurs. Leur démarche est très agressive, comme lorsque le créateur de Blackhole, surnommé Paunch, s’est empressé à la fin du mois d’août d’intégrer la toute dernière vulnérabilité Java ou encore cette semaine avec la sortie d’une version 2 avec toutes sortes de nouvelles fonctionnalités (dont beaucoup ont pour objet de protéger celui qui l’exploite des enquêtes judiciaires ou de la surveillance des chercheurs en sécurité informatique – voir cet article par @Kafeine ou une autre synthèse chez Sophos).

Création de trafic

Exemple de courrier électronique redirigeant vers une plateforme d’exploit en se faisant passer pour une application Facebook (source: Sophos)

Le délinquant qui veut diffuser un logiciel malveillant va donc installer une telle plateforme d’exploit, ou plus vraisemblablement louer les services de groupes qui se sont spécialisés dans leur administration, car en effet il vaut mieux disposer d’un grand nombre de serveurs différents, savoir administrer de façon sécurisée un serveur Web, gérer les mises à jour, etc. Il va ensuite devoir attirer des visiteurs vers la plateforme, sous formes de campagne de spam ou encore en insérant un code particulier dans des pages Web: des bannières publicitaires ou encore des sites Web légitimes, comme nous l’évoquions au début de l’année pour la diffusion des rançongiciels. Encore ici, ce sont des services criminels qui se sont développés autour de la création de trafic et ils vont louer leurs services à ceux qui veulent créer un botnet. On les appelle parfois traffers.

Techniquement, le chargement du code malveillant depuis la plateforme d’exploit est réalisé par l’inclusion d’une fenêtre invisible au sein de la page Web, par des balises de type « iframe » qui ressemblent à ce code:

Directement dans le serveur Web

Et les traffers innovent eux aussi récemment: on a ainsi découvert récemment un module qui s’ajoute dans les serveurs Web de type Apache et injecte dans tout ou partie des pages Web diffusées les balises permettant d’insérer des contenus cachés provenant des plateformes d’exploit. C’est une évolution importante par rapport aux modes de diffusion classique suite à un piratage de serveur Web qui supposent de modifier de nombreux fichiers pour obtenir le même résultat. Ainsi, on pourrait imaginer qu’un serveur mutualisé, utilisé par des centaines de webmestres, intègre automatiquement ces vecteurs d’attaque sans qu’ils ne puissent eux-mêmes voir de modifications dans le code des pages Web ou des scripts PHP ou Javascript qu’ils ont chargé sur le serveur. On pourra lire les articles sur ce module Darkleech d’Unmask parasites, Webmasterworld ou encore Day by day par @it4sec.

Et même directement dans la chaîne de fabrication

L’action récente de l’équipe de lutte contre la cybercriminalité de Microsoft contre le botnet Nitol a permis de mettre en évidence que les logiciels malveillants pourraient parfois être insérés au moment de la fabrication de certains ordinateurs, ici au travers de l’installation de version contrefaites du système d’exploitation Windows. Ce problème n’est pas totalement nouveau, car des erreurs ont parfois été mises en évidence lors du recyclage de disques durs partis en maintenance, ou encore lors du téléchargement de versions contrefaites de systèmes d’exploitation, mais c’est – il me semble – la première fois qu’une diffusion massive de logiciels malveillants est identifiée dans une chaîne de distribution de matériels informatiques.

Comment se protéger ?

Je le répète souvent, mais il est important de se tenir informé et d’informer sa famille, ses amis, ses collègues sur les risques. La connaissance de ceux-ci aide à éviter les actions qui favorisent les infections virales. Des forums peuvent vous aider à vous sortir de ces situations (Malekal, CommentCaMarche,…) .

Il faut se méfier à tout prix des sources alternatives de diffusion des systèmes d’exploitation ou des logiciels, qu’il s’agisse de contrefaçons ou de plateformes de téléchargement. Bien entendu, ce conseil vaut pour les logiciels commerciaux ou ceux qui sont diffusés sous des licences libres (dans ce dernier cas on recherchera par exemple des miroirs officiels ou de confiance).

Tenir à jour son système d’exploitation et tous les logiciels ou modules complémentaires qu’on a installés, particulièrement ceux qui sont les plus ciblés à savoir les outils de navigation Internet ou encore les clients de discussion en ligne. On pourra compléter son navigateur d’extensions de sécurité, comme je le décrivais dans un article précédent.

Quoi qu’en disent certains enfin, l’installation d’un antivirus est indispensable sur les systèmes d’exploitation grand public. Cet antivirus, gratuit ou payant, doit absolument être maintenu à jour et sera systématiquement utilisé pour vérifier la sécurité d’une clé USB de source extérieure. Enfin, désactivez les fonctions de démarrage automatique (USB ou réseau) si elles ne sont pas indispensables dans votre environnement (voir cet article pour Windows XP, 2000, 2003).

Compléments

  • Un article intéressant par Brett Stone-Gross (Dell SecureWorks) sur la façon dont se diffuse le botnet Gameover (une variante de ZeuS)