Cybercriminalité

Megaupload – Synthèse des faits présentés

Kim Schmitz devant un tribunal NZ

Le 19 janvier, le ministère de la justice américaine annonçait la mise en accusation et l’arrestation des dirigeants de la société Megaupload ainsi que l’arrêt complet de ses activités. Le principal accusé n’a pas facilité son arrestation (les accès étaient hermétiquement fermés) et était alors armé. L’opération menée par les autorités fédérales américaines, en coopération avec les autorités de Nouvelle-Zélande et d’autres pays, contre la nébuleuse Megaupload et sept de ses dirigeants a fait beaucoup de bruit cette semaine. Je vous propose d’examiner les faits présentés par les enquêteurs.

En préambule, j’avais déjà abordé le sujet du streaming et de sa légalité il y a quelques temps. Des sites légitimes de mise à disposition de contenus audiovisuels existent (Dailymotion, Youtube et les plateformes commerciales de diffusion vidéo telles celle d’Apple – Itunes, de la Fnac, etc.), qu’ils aient des accords (commerciaux ou non) avec les ayants-droits ou qu’ils suppriment systématiquement et de façon définitive les contenus contrefaisants. Une des particularités de Megaupload est qu’ils offrent aussi les fichiers au téléchargement direct ce qui peut changer l’interprétation au regard de la législation des différents pays, puisque dans ce cas-là il n’y a pas uniquement une « représentation » de l’oeuvre, mais bien une mise à disposition et la copie qui sont rendues possibles.

L’une des questions que l’on peut se poser est donc: est-ce que Megaupload et les autres sites de la galaxie Mega diffusaient majoritairement des contenus d’origine légale et respectaient la législation en vigueur dans les différentes régions du monde en matière de retrait de contenus signalés, ou bien est-ce qu’ils se comportaient comme un hébergeur bienveillant pour les contenus d’origine illégale ? En résumé, sont-ils de simples hébergeurs, respectueux de la législation, des hébergeurs pas très sérieux et à qui il faudrait demander de corriger le tir, des hébergeurs regardant d’abord leur intérêt commercial avant de respecter les lois et règlements ou bien pire, est-ce qu’ils incitent par leur fonctionnement à des activités illégales ?

Je vous propose de jeter un coup d’oeil au document de mise en accusation obtenu le 5 janvier dernier par les autorités fédérales devant le grand jury d’Alexandria en Virginie, USA (disponible par exemple sur scribd). Pour en savoir plus sur le rôle d’un grand jury dans le système américain, vous pouvez consulter l’article du Wikipédia anglais ici. Il s’agit de la forme de jury chargée d’examiner et de valider ou rejeter les mises en accusation.

Bien entendu, tant que les personnes n’ont pas été définitivement condamnées, elles doivent être considérées comme innocentes.

Infractions retenues

Cinq infractions principales ont été présentées dans ce dossier contre les personnes mises en cause (traduction personnelle):

conspiration en vue de commettre des actions de racket ;
conspiration en vue de commettre des atteintes à la propriété intellectuelle ;
conspiration en vue de commettre du blanchiment d’argent ;
l’infraction spécifique de diffusion de contenus protégés par un droit de propriété intellectuelle sur un réseau informatique et la complicité de tels actes ;
l’infraction spécifique d’atteintes à la propriété intellectuelle par des moyens électroniques et la complicité de tels actes.

La conspiration (conspiracy) correspond à l’infraction française d’association de malfaiteurs (article 450-1 du code pénal). Le document publié à cette occasion permet de comprendre les faits qui sous-tendent cette hypothèse.

Les faits présentés dans l’acte d’accusation

La liste de faits que nous allons faire ci-dessous correspond aux documents présentés par les autorités fédérales américaines. Bien entendu nous ne disposons pas ici de l’ensemble des éléments de preuve qui étayent ces déclarations, aussi ils sont à prendre avec toute la précaution nécessaire, ces éléments de preuve devront notamment être discutés devant le tribunal chargé d’examiner ce dossier. Toutefois, le premier tribunal qui a examiné les faits – le grand jury évoqué plus haut – les a tous retenus. Je ne retiendrai ici que les faits les plus saillants. Je mettrai entre [crochets] le numéro du paragraphe de l’acte d’accusation.

Audience des sites Mega

[3] Le site Megaupload était reconnu comme le 13^e site Internet le plus visité au monde, avec plus d’un milliard de visiteurs sur toute son existence et 180 millions de comptes enregistrés, 50 millions de visites quotidiennes et 4% du trafic mondial sur Internet.

[16] Le site Megavideo quant à lui, qui était utilisé pour visualiser directement les films diffusés par les serveurs de Mega ou insérer un outil de visualisation sur un site tiers était classé 52^e parmi les sites les plus populaires dans le monde.

Capacité de stockage

[38] La société Carpathia (Etats-Unis) louait plus de 25 péta-octets de capacité de stockage à la galaxie Mega, dans plus de 1000 serveurs. Leaseweb (Pays-Bas) de son côté louait plus de 630 serveurs aux mêmes clients.

[69.c] Plus de 65 millions de dollars ont été versés par Mega à ses hébergeurs.

Revenus

[4] Les abonnements permettant un accès illimité au site (sans aucune limite de téléchargement) étaient facturés de quelques dollars par jour à près de €200 pour un abonnement à vie (premium). Les revenus des abonnements sont évalués à 150 millions de dollars. Les revenus publicitaires des plateformes gérées par la société Mega sont évalués à 25 millions de dollars. Aucun reversement significatif ne serait réalisé vers les ayants droits des œuvres protégées.

[9] Les utilisateurs ne disposant pas d’un abonnement premium doivent attendre des temps souvent supérieurs à une heure avant de pouvoir télécharger le contenu souhaité et sont régulièrement incités à souscrire un abonnement.

Nota rajouté à 23:45 : différents trucs étaient échangés entre les utilisateurs pour contourner cette limite. En réalité la possibilité de contourner et donc la possibilité résultante d’échanger différents trucs faisait peut-être partie (je fais ici une hypothèse) du système mis en place pour favoriser le marché parallèle autour des sites de liens et de forums d’utilisateurs.

[17] La visualisation (sur megavideo.com) est limitée à 72 minutes pour tous les utilisateurs non-premium. Les films commerciaux ont une durée le plus souvent supérieure à cette limite ce qui semble indiquer qu’une partie des abonnés premium payait pour pouvoir accéder à ce type de contenus.

[18] Les revenus publicitaires, après avoir été obtenus auprès de prestataires classiques, étaient plus récemment issus exclusivement d’une filiale de la galaxie Mega, Megaclick.com, qui annonçait des tarifs pour les annonceurs nettement supérieurs à ceux couramment pratiqués. [69.y] Google Ad Sense signifie aux responsables de Mega en may 2007 que le nombre d’activités illégales présentes sur leurs plateformes ne leur permet plus de travailler avec eux.

[29] Les revenus personnels de l’accusé principal, Kim Dotcom (suite à un changement officiel de nom…) s’élevaient pour l’année 2010 à plus de 42 millions de dollars.

[41] Plus de 110 millions de dollars parmi les revenus ont transité par le compte Paypal de la galaxie Mega. [42] Plus de 5 millions de dollars par un compte Moneybookers.

[44] Parmi les annonceurs, la société PartyGaming PLC (Partypoker.com) est citée comme ayant dépensé près de 3 millions de dollars en publicités sur les plateformes de la galaxie Mega.

[69] De nombreux exemples dans ce paragraphe montrent que les employés de Mega sont conscients de la diffusion de contrefaçons sur la plateforme et qu’il s’agit de la motivation de l’abonnement par leurs clients.

Rémunération des diffuseurs

[4] Une partie des revenus aurait été utilisée pour rétribuer des personnes qui envoient vers la plateforme des contenus en quantité et de qualité au travers d’un programme appelé « Uploader rewards« .

[69] Ce système de récompense était mis en place dès septembre 2005 et permettait aux personnes qui généraient plus 50.000 téléchargements en trois mois de recevoir $1 pour chaque tranche de mille téléchargements. Dans la version la plus récente notée par les enquêteurs [69.g] le programme consistait à accumuler des points qui donnaient droit soit à des abonnements, soit au versement de sommes d’argent ($10,000 pour 5 millions de points, 1 point étant obtenu pour chaque téléchargement).

Nota: en soi, un système de récompense pour des diffuseurs efficaces n’est pas choquant. Ainsi Youtube a un programme Partenaire et rémunère ses producteurs qui ont la plus grande audience. Toutefois, il doit évidemment s’agir de contenu original sur lequel la personne qui les met à disposition dispose des droits afférents.

[69.r, u] Des copies de courriers électroniques saisis révèlent que des utilisateurs étaient spécifiquement récompensés pour avoir diffusé des contenus contrefaisants (copies de DVD, musiques, magazines).

[69.h…] On note dans ce passage (et dans d’autres [69.bbbb] que des contenus hébergés par Youtube étaient copiés par la galaxie Mega pour être mis à disposition sur leur plateforme (jusqu’à 30% des vidéos présentes sur Youtube).

Utilisation pour le stockage de documents personnels

[7] Les enquêteurs relèvent que seuls les abonnés premium avaient la garantie que leurs contenus seraient conservés sur les sites de la société Mega. Dans tous les autres cas (visiteurs anonymes ou usagers enregistrés gratuits ou non premium), les contenus sont supprimés s’ils ne sont pas téléchargés régulièrement (donc s’ils n’attirent pas un trafic suffisant, en effet toutes les pages de téléchargement affichent des publicités [8]).

[9] Les enquêteurs soulignent encore certaines fonctions qui ne correspondent pas à un usage pour stockage personnel mais plutôt un usage pour une diffusion large, par exemple lorsque les utilisateurs enregistrés sont invités à créer un lien spécifique dans leur compte personnel vers un contenu déjà existant et mis à disposition par un autre utilisateur.

La recherche de contenus

Contrairement à tous les sites populaires de visualisation de vidéos, le site Megavideo.com [10] ne propose pas de moteur de recherche. Au contraire, les utilisateurs sont incités à créer des liens et parfois rémunérés au travers du programme « Uploader rewards« , depuis des sites extérieurs. Ainsi on a vu se créer toute une galaxie de blogs, forums et autres sites de liens qui assuraient la publicité des téléchargements de la société Mega.

Certains des sites diffusant ces liens avaient déjà été saisis sur requête des autorités américaines. Ainsi ninjavideo.net amène aujourd’hui sur un message très clair:

La personne gérant le site de liens ninjavideo.net a été condamnée le 20 janvier 2012 à 14 mois d’emprisonnement, deux années de mise à l’épreuve, $172,387 d’amende et à la confiscation de ses comptes et matériels.

[14] Selon les enquêteurs, les associés de la société Mega se seraient servis de moteurs de recherches internes pour identifier plus facilement des contenus intéressants et contrefaisants [69.bb, dd, ee]. En outre, la liste des 100 téléchargements les plus populaires aurait été altérée [15] pour n’afficher que des contenus qui paraissent légitimes (extraits de films diffusés librement par exemple).

[19] Les recherches étaient possibles sur Megavideo.com mais semblaient filtrées. Ainsi la recherche de contenus protégés par des droits de propriété intellectuelle ne ramenait aucun résultat alors que les contenus étaient bien accessibles sur la plateforme grâce à des liens directs. D’ailleurs, dans [69.rrrr] on voit qu’ils envisagent en septembre 2011 de rajouter des vidéos complètes dans leurs résultats.

Retrait des contenus illégaux

[20..23] Lorsque des contenus contrefaisants leur étaient signalés par les ayants-droits, uniquement le lien faisant l’objet du signalement était supprimé. Or, la plateforme Mega ne stockait un fichier identique qu’une seule fois, apparemment grâce à de simples fonctions de hachage classiques (MD5). Et le fichier contrefaisant stocké une seule fois dans leurs systèmes et l’ensemble des autres liens de leur plateforme pointant vers le même fichier n’étaient pas supprimés en même temps que le lien objet du signalement, permettant à l’infraction de se poursuivre, alors qu’il aurait été facile de les supprimer automatiquement.

[24] D’ailleurs, lorsqu’il s’agissait de retirer des contenus plus problématiques pour eux (dont la pédopornographie), ils utilisaient bien cette méthode pour supprimer intégralement le contenu de leur plateforme.

[25] Des demandes officielles ont été adressées en juin 2010 à la société Mega au sujet de 39 films diffusés illégalement sur la plateforme. Au 18 novembre 2011, 36 de ces films étaient encore disponibles.

[69.q] En utilisant son compte personnel Kim Dotcom aurait personnellement mis à disposition en décembre 2006 une copie d’un morceau du chanteur 50 Cent, toujours accessible sur la plateforme en décembre 2011. Les enquêteurs relèvent d’autres exemples de diffusion par des personnels de Mega, ou de preuve qu’ils se servaient eux-mêmes de la plateforme pour visualiser des contrefaçons [69.ww].

[69.jj] Parmi les instructions données par Kim Dotcom à ses subordonnés, les signalements de contenus contrefaisants provenant de particuliers doivent être ignorés. De même, il invite ses collaborateurs à ne pas traiter les signalements massifs [69.zz, aaa]. Les ayants-droits sont d’ailleurs limités dans les demandes qu’ils peuvent faire chaque jour dans les interfaces qui leur sont dédiées [69.lll cite un problème avec un représentant de la société Warner].

[69.vv] Dans ces exemples d’échanges électroniques entre les responsables de Mega, on voit qu’un de leurs soucis est bien de faciliter une visualisation de qualité (problèmes de synchronisation audio) de contenus contrefaisants (séries télé).

[69.ffff] Il est explicitement reproché à Mega de ne pas avoir mis en place de procédures pour détecter et supprimer les comptes des utilisateurs commettant de multiples infractions à la législation sur la propriété intellectuelle.

Se protéger des poursuites

[69.qqq] Pour éviter tout souci avec les autorités locales à Hong Kong, les responsables de Mega s’interdisent de diffuser quelque contenu que ce soit sur ce territoire.

[69.uuu] Suite à la saisie de plusieurs noms de domaine (en .com, etc.) par les autorités américaines, les responsables de Mega envisagent de changer pour des noms de domaine échappant au pouvoir des autorités américaines.

[69.llll] Les responsables de Mega plaisantent parfois entre eux sur les risques à se rendre dans certains pays, ici l’Allemagne suite à une affaire mettant en cause le site de liens kino.to.

[69.tttt] Les contenus contrefaisants sont exclus des résultats des recherches justement pour éviter des poursuites indique un des responsables de Mega à un hébergeur inquiet.

La suite des opérations

La saisie de leurs biens, mais aussi de l’ensemble des serveurs situés pour l’essentiel aux Etats-Unis et aux Pays-Bas, a entraîné la cessation globale des activités de la galaxie Mega.

Les débats à venir porteront notamment sur la neutralité des hébergeurs, et la neutralité particulière de l’hébergeur Megaupload. Les autorités américaines vont certainement poursuivre leurs investigations et vouloir mettre en cause de façon encore plus précise les responsables de cette société. En particulier, pour l’instant, on ne trouve pas d’éléments chiffrés sur la proportion de contenus légaux par rapport aux contenus illégaux présents sur la plateforme. Le procès, qui devrait avoir lieu aux Etats-Unis étant donné les accords d’extradition existants avec la Nouvelle-Zélande ne manquera pas d’être des plus intéressants. A suivre donc.

Attention au détournement de l’affaire Megaupload

Faux site Megaupload

Avant de faire un billet plus approfondi sur le dossier Megaupload, un petit billet d’alerte sur une campagne de manipulation en cours sur les réseaux sociaux. Une adresse IP est diffusée depuis le soir même de la fermeture de Megaupload en promettant le retour du site, avec des messages du genre:

si on remonte quelques heures plus tôt dans la recherche sur Twitter on trouvait d’ailleurs le 18 janvier un autre usage de cet IP: la diffusion d’informations sur la façon de regarder gratuitement sur Internet le match Real Madrid – FC Barcelone:

Dès que cette IP a commencé à circulé j’ai senti qu’il y avait certainement un piège là-derrière, tout simplement parce qu’on ne relance pas un service comme Megaupload derrière une simple adresse IP, étant donnée l’infrastructure complexe qu’il faut pour accepter des millions de visiteurs par jour.

Mon tweet de vendredi matin ...

Cela s’est confirmé un peu plus tard avec différents blogs qui soulignent les incohérences (cf sur le blog reflets.info). Dès hier, PC Inpact a obtenu une confirmation « officielle » (sur cette brève).

Pourquoi une adresse IP ?

En fait ce site est aussi accessible par un nom de domaine trompeur: megavideo.bz (comme on peut le lire sur ce site en langue espagnole), mais il aurait été rapidement filtré par Twitter et d’autres formes de filtres. En effet, lorsque vous postez une URL dans Twitter, elle est automatiquement remplacée par un service de redirection de Twitter (http://t.co/) qui leur permet de repérer et de bloquer les URL dangereuses (j’en parlais au mois de juillet ici-même).

Et il semble donc que, malheureusement, le filtre mis en place par Twitter ne fonctionne pas encore pour les adresses IP.

Conclusion

La version accessible aujourd’hui est tristounette:

Et pour cause, la première version de la page se contentait d’être un copier-coller du site original avec dans le code des liens vers les images et les scripts CSS (qui régissent la présentation) hébergés sur www-static.megaupload.com … qui depuis a été débranché, vraisemblablement dans le cadre de l’enquête en cours. On note au passage les liens Facebook et Twitter qui incitent rediffuser l’adresse et le message larmoyant qui avertit sur les risque de hameçonnage… (oui à quoi peut servir une telle audience ?).

La bonne résolution du jour que je vous recommande est donc: je ne retwitterai pas l’adresse IP du nouveau site de Megaupload (qui n’en est pas un).

21 janvier 2012 by Éric Freyssinet Actualité judiciaire Cybercriminalité Prévention 5

Allez voir « Polisse »

22h15 hier soir, la lumière se rallume doucement dans la plus grande salle du Forum des Halles pendant que le générique de fin défile, dans un silence presque total. Le public est scotché dans les fauteuils. Deux heures viennent de s’écouler où nous avons partagé une année de tensions, d’action, d’auditions, de nausées, de franches rigolades, de crises de nerfs, d’élans d’amitié, de détresses humaines, de familles blessées, des regards d’enfants heureux malgré tout et d’adolescents souvent paumés.

Cerise sur le gâteau, Maïwenn entre dans la salle, inquiète de savoir pourquoi le public se déplace si nombreux pour voir son film. Les réponses fusent: les acteurs (JoeyStarr mais les autres aussi), le sujet, l’affiche… Pourquoi ils ont aimé ce soir: l’absence de parti pris, les qualités cinématographiques, les acteurs formidables.

J’allais voir ce film avec à la fois un grand intérêt, comme à chaque fois qu’un film parle de notre travail ou du travail de nos collègues, avec des acteurs que j’aime beaucoup (Marina Foïs est exceptionnelle ici encore) et quelques inquiétudes (Joeystarr en flic je n’y croyais pas trop). J’en suis ressorti – et je le suis toujours ce matin – sous le charme, estomaqué, presque retourné.

On y retrouve ce pourquoi on fait ce genre de métiers: le service du public, le contact avec la vraie vie et l’impact concret que l’on peut avoir sur la vie des gens, le travail en équipe, la richesse des relations en général et peut-être le goût pour une matière à la fois technique et humaine. Mais ce film est encore plus riche que cela, un véritable travail d’observation sur l’humain et la société aujourd’hui, au travers du prisme de ce groupe de la brigade de protection des mineurs, fictionnel et en même temps tellement réaliste.

Si vous devez voir un film en ce moment, c’est celui-ci, vous ne le regretterez pas.

Note pour mes lecteurs habituels: le scénario n’est pas centré sur les aspects numériques de ce travail de policiers d’une brigade de protection des mineurs, même s’ils sont évoqués. N’y allez donc pas pour ça, mais réellement pour voir un très beau film sur ces métiers et notre société.

23 octobre 2011 by Éric Freyssinet Atteintes aux mineurs Prospective 3

Internet et ses abus: il faut s’y confronter et non les nier

Les terribles évènements du 22 juillet à Oslo ont entraîné le débat plus que prévisible de l’impact d’Internet sur les actions du principal suspect. Alors que l’enquête ne fait que commencer, que la douleur des familles est loin d’être apaisée, les commentateurs sont appelés sur les plateaux de télé pour évoquer l’impact d’Internet sur de tels actes de terreur. Ce soir, Laurent Joffrin (@laurent_joffrin) s’essaie au difficile exercice de dessiner les sources d’inspiration possibles du terroriste. Bien évidemment il cite parmi les hypothèses probables l’accès facile à certains débats de haine sur Internet, et conclut en soulevant le danger de laisser notamment se développer sans contrôle certains sites Internet francophones. On lira aussi cette interview de Jean-Yves Camus sur Rue89.

De façon toute aussi évidente, les enthousiastes de l’Internet, se sont empressés de critiquer ces points de vue, certains n’hésitant pas à nier le rôle que peut jouer un outil de communication aussi puissant dans les grands évènements de notre société.

Dans le cas présent, même s’il est certainement beaucoup trop tôt pour conclure trop radicalement, il semble parfaitement légitime de questionner l’usage qu’Anders Breivik a pu avoir d’Internet, ne serait-ce que par sa façon de mettre en scène sa présence sur le net quelques heures avant de s’en prendre à des dizaines d’innocents.

Une fois de plus ne mettons pas la tête dans le sable

Voilà quelques mois, j’invitais mes lecteurs à ne pas faire l’autruche, et se rendre compte que oui, Internet, ce média formidable de communication et de développement de nos sociétés, est aussi abusé et la délinquance sous toutes ses formes, notamment portant atteinte aux mineurs, s’y développe, peut-être un peu plus vite ou de façon plus variée que si Internet n’existait pas.

Dans le cas présent, il faut se rappeler à cette réalité: oui, Internet a pu jouer un rôle. Et non, ça ne veut pas dire qu’Internet est responsable (ça n’aurait d’ailleurs pas de sens), mais il est parfaitement irresponsable de ne pas se rendre compte, notamment pour les professionnels de l’Internet, que les messages de haine, les théories les plus saugrenues sur notre société, se propagent plus vite, se développent plus vite et ont peut-être une influence plus rapide et plus efficace sur certaines personnes, grâce à ces mêmes technologies formidables qui rendent les échanges plus riches chaque jour, la communication plus libre et la pensée certainement plus riche.

Une prise de conscience nécessaire pour le bien d’Internet

De la même façon qu’il n’est pas vraiment raisonnable de renoncer au progrès dans les moyens de transport, parce qu’ils présentent des risques, parce qu’on peut avoir un accident sur la route ou se faire agresser dans un train, il faut favoriser les comportements et développer les technologies qui aideront à faire qu’Internet soit plus sûr et à en maîtriser les dérives les plus graves, tout en préservant les bienfaits qu’il apporte.

25 juillet 2011 by Éric Freyssinet Cybercriminalité Prospective 16

Un chapitre collaboratif ?

Photo de Rahego

Un article un peu inhabituel et court pour lancer un appel à commentaires auprès de mes lecteurs sur leurs sujets de préoccupation du moment en matière de cybercriminalité.

J’ai commencé depuis quelques mois la rédaction d’un livre sur la cybercriminalité et la cybersécurité et l’idée ici est d’en consacrer une partie, soit dans les chapitres déjà prévus, soit dans un chapitre à part, aux questions, aux préoccupations du moment, de mes lecteurs.

A vos claviers ! Toutes les questions et tous les commentaires sont les bienvenus.

14 juillet 2011 by Éric Freyssinet Cybercriminalité Juridique Livre Prospective Sécurité 15

Un exemple particulièrement naïf de mail de phishing

Je reçois à l’instant ce message de « phishing » manifeste, et je ne résiste pas au plaisir de le partager et d’en profiter pour parler de ce sujet:

From: "Webmail User Upgrading" <info@mail.com>
Reply-To: webmaster.102@hotmail.com
Subject: Email Upgrade Maintenence.
Date: Thu, 14 Jul 2011 17:22:15 +0630
Message-Id: <20110714105215.M8209@mail.com>
X-Mailer: OpenWebMail 2.53
X-OriginatingIP: 82.128.XXX.XXX (c-tides)
MIME-Version: 1.0
Content-Type: text/plain;
	charset=iso-8859-1
To: undisclosed-recipients:;
X-Spam-Check: DONE|U 0.5/N

Attn: Email Users,

Due to numerous complaints on ongoing recent spam activities on your account,
vital maintainance will be conducted on our Email servers.

To confirm and to keep your Email account active,a confirmation for ownership
must be provided. Confirm the informations below.Failure to do this might
cause a permanent deactivation of your Email Webmail account from our server.

Username : ..................
E-mail Login ID..............
Password : ..................
confirm password:............
Date of Birth :..............
Future Password :............
Telephone Number:...........

Your account shall remain active after you have successfully confirmed your
above requested informations. We apologize for any inconveniences caused as a
result of this notification. We thank you for your prompt attention to this
notification.

Email Technical Support

Copyright 2011 Email. All Rights Reserved.

Je n’ai pas copié tous les en-têtes et j’ai masqué l’adresse IP d’origine. Le principe en est assez basique:

le message est écrit de façon générique, de façon à ressembler pour n’importe quel lecteur trop rapide à un message semblant provenir de son fournisseur de webmail. Notamment, aucune marque n’est utilisée, même si l’adresse de retour est en hotmail.
la tonalité du message est alarmiste, c’est une catégorie typique de message de phishing: si jamais vous ne répondez pas rapidement, votre service cessera de fonctionner. C’est un des ressorts de l’escroquerie qui cherche à créer un état particulier dans l’esprit de la victime.
les réponses demandées sont assez classiques: login, mot de passe, futur (!) mot de passe, date de naissance, numéro de téléphone. L’objectif est clairement ici d’obtenir accès à des webmails, ce qui permet à la fois de collecter des informations personnelles déjà stockées (des mots de passe reçus par mail par exemple), de procéder à mises à jour de comptes sur d’autres services, obtenir des listes de contacts, renvoyer depuis cette adresse des courriels, etc.
le système de gestion de messagerie utilisé est OpenWebMail, installé sur le serveur d’une université Indienne, depuis une adresse IP qui se serait identifiée auprès du serveur comme le club d’entrepreneuriat de l’université.

Aucun prestataire et notamment pas un prestataire de courrier électronique Web ne vous demandera de confirmer votre login et mot de passe par courriel. Lorsque vous lisez et répondez à un message douteux, regardez à la fois l’émetteur du message (le champ From: ici ou De: dans votre logiciel de messagerie) et si vous êtes amenés à répondre, attention à l’adresse de réponse qui vous est proposée (le champ Reply-to: viendra compléter l’adresse de destination automatiquement). La langue enfin: il n’y a aucune raison qu’un prestataire français vous écrive en anglais.

Cet exemple était caricatural, mais je suis convaincu que malheureusement certains tombent dans le panneau. Alors attention aux messages que vous recevez, relisez toujours deux fois un message qui semble important, et n’envoyez jamais votre mot de passe en réponse à un tel message !

14 juillet 2011 by Éric Freyssinet Cybercriminalité Prévention 2

Lancement de trois sous-projets de la préfiguration du centre d’excellence français contre la cybercriminalité

Les 23 et 24 juin derniers, les équipes de trois sous-projets du volet français du projet européen 2CENTRE étaient réunis à l’Université de technologie de Troyes. Ce billet pour vous présenter le contenu de ces premiers ateliers.

Formation en ligne des premiers intervenants

L’ambition est ici de créer une formation attractive et accessible pour tous les enquêteurs qui sont confrontés de près ou de loin à des investigations simples sur Internet. Cette initiative a germé lors de travaux communs menés au sein du Ministère de l’intérieur – entre les services spécialisés de la police et de la gendarmerie nationales – au cours desquels nous avons identifié qu’il était complexe de compléter rapidement et efficacement la formation des plus de 100.000 personnels concernés. Il s’agit des policiers et des gendarmes, dans les brigades de gendarmerie et les commissariats notamment, et qui accueillent un public de plus en plus souvent victime d’infractions liées à Internet ou à l’outil numérique, mais aussi dans des services spécialisés lorsqu’ils sont moins souvent confrontés à des infractions spécialisées.

Il a donc été décidé de proposer un module de formation à distance, qui aura l’avantage d’être facile à déployer, à mettre à jour et éventuellement à partager avec d’autres administrations françaises ou étrangères chargées de ce type d’investigations.

Formation en ligne sur l’analyse de Windows 7

Il s’agit ici tout simplement d’offrir un outil de référence permettant aux enquêteurs spécialisés déjà formés (NTECH dans la gendarmerie et ICC dans la police) de mettre à jour leurs connaissances sur les spécificités de Windows 7. Jusqu’à présent nous diffusions ce type de formations complémentaires lors des réunions annuelles (mais tous ne peuvent y assister) ou par la diffusion de documentations.

Ici encore, le produit sera partagé avec nos partenaires européens.

Projet de recherches sur la détection d’intrusions distribuée

Ce dernier projet est un travail collectif qui sera mené sur 18 mois pour permettre le test de méthodes permettant la détection d’intrusions dans des grands réseaux grâce à des méthodes distribuées, avec le souci de rendre les implémentations compatibles avec les besoins de l’investigation numérique.

Ces premières descriptions de nos travaux vous montre, je l’espère, la variété des activités que nous souhaitons développer dans le cadre de cette préfiguration du centre d’excellence français contre la cybercriminalité et l’intérêt de faire travailler ensemble des acteurs provenant de différents univers (services d’enquête, monde académique, entreprises).

2 juillet 2011 by Éric Freyssinet Cybercriminalité Formation Sécurité 1

Colloque IMODEV Cybercriminalité

Je participais aujourd’hui au colloque organisé par l’IMODEV en partenariat avec le Ministère de la justice et l’Université Paris 1 intitulé « Cybercriminalité, cybermenaces et cyberfraudes ».

Le programme est par ici. Et ma présentation est téléchargeable ici.

Le colloque se poursuit demain.

20 juin 2011 by Éric Freyssinet Conférences Cybercriminalité Prospective 0

Lancement du projet 2CENTRE

Mardi 31 mai, se tenait le lancement du projet 2CENTRE visant à la création d’un réseau de centres d’excellence pour la formation et la recherche contre la cybercriminalité. L’événement s’est déroulé en duplex entre Paris et Dublin où avait lieu une conférence organisée par nos partenaires irlandais de l’UCD.

La naissance du projet

Le projet a germé voilà trois ans déjà, et sa première étape fut un rapport rédigé par Nigel Jones et Cormac Callanan à partir des contributions des différentes partenaires potentiels (télécharger le PDF ici). Il s’agissait de donner une dimension opérationnelle aux travaux menés par le groupe de travail européen sur la formation en cybercriminalité (ECTEG), c’est-à-dire des espaces où pourraient effectivement se développer et être délivrées les formations pensées à l’ECTEG, dans un esprit de partage et aussi avec le souci de ne pas former uniquement les services de police mais aussi l’ensemble de nos partenaires. Le projet qui comporte bien évidemment une dimension de recherche scientifique pour soutenir la formation a pour ambition d’associer à chaque fois l’ensemble des parties intéressées autour d’un partenariat fort: universités/établissements d’enseignement, services de police, industriels concernés.

La première étape

La première étape a consisté, avec le support de la Commission Européenne, à identifier les premiers pays où la création de tels centres était possible rapidement et d’initier une structure permettant de les mettre en réseau.

En France, nous avons rassemblé au cours de deux réunions, l’ensemble des partenaires potentiels, auxquels le projet a été expliqué et une première équipe a été constituée pour présenter un dossier en vue d’un financement européen.

Ainsi, dans un premier temps, la France et l’Irlande se sont associées pour profiter de la dynamique qui y préexiste. C’est le projet que nous lancions mardi et qui comporte trois composantes principales:

la préfiguration d’un réseau de centres d’excellence et le soutien des initiatives dans d’autres pays ou régions;
la création d’un centre irlandais autour du partenariat existant entre An Garda Síochána (la police irlandaise) et l’University College de Dublin et en particulier son centre sur la cybersécurité;
la création d’un centre français autour du partenariat existant entre la Gendarmerie nationale et l’Université de technologie de Troyes.

Dès le mois de janvier 2010 nous recevions le feu vert du programme ISEC (Prévention du crime et lutte contre la criminalité) de la Commission Européenne.

Dans un temps très proche, la Belgique a initié un projet frère le B-CCENTRE dont le lancement s’est tenu la semaine dernière et l’Estonie ne devrait pas tarder à suivre, comme de nombreux autres projets qui commencent à émerger en Europe et peut-être dans d’autres régions du Monde.

Le contenu du projet de centre français

Le projet de centre français rassemble déjà de nombreux partenaires: l’université de technologie de Troyes, l’université de Montpellier, la gendarmerie et la police nationales, les sociétés Thalès et Microsoft France. Orange France soutient financièrement l’initiative.

La première activité consistera, autour de ce premier noyau, à créer concrètement le centre français. Sa particularité est qu’il s’agira de mettre en réseau l’ensemble des parties prenantes qui partagent avec nous le même objectif de contribuer à la lutte contre la cybercriminalité par la recherche et la formation. Donc seront amenés à nous rejoindre, au cours des prochains mois d’autres partenaires académiques, industriels et services d’enquête spécialisés.

Deux séries d’activités concrètes couvrent ensuite les aspects de formation et de recherche:

une formation en ligne pour les premiers intervenants: il s’agit d’offrir un module d’initiation à la cybercriminalité aux policiers et gendarmes, notamment ceux qui accueillent le public et donc reçoivent les premières plaintes et mènent les premiers actes d’investigation;
un module de formation en ligne sur l’analyse des systèmes Windows 7 pour les enquêteurs: au-delà de ce premier projet il s’agit de tester en grandeur réelle ce type d’outil de formation permettant la mise à jour des compétences des enquêteurs spécialisés;
l’amélioration et la formalisation des enseignements existant pour les enquêteurs spécialisés: l’objectif est de consolider les formations existantes et éventuellement de partager certains de ces modules clés en mains avec des pays partenaires;
un projet de recherche sur la détection distribuée d’intrusions sur les réseaux;
une étude sur les besoins en formation, notamment pour identifier les besoins des entreprises (petites et grandes) et en particulier les acteurs qui sont en premier en contact avec les services d’enquête spécialisés (prestataires Internet, fournisseurs d’accès, opérateurs), qu’il s’agisse de proposer des cahiers des charges pour la formation continue ou d’inciter les formations existantes (notamment d’ingénieurs en informatique ou en sécurité des systèmes d’information) à inclure des modules sur l’investigation numérique et le lien avec l’enquête judiciaire;
l’animation d’une communauté francophone pour le développement d’outils d’analyse forensique (au départ autour des systèmes de fichiers), avec la volonté de contribuer activement à l’opensource dans ce domaine;
la création d’outils de sensibilisation pour les petites entreprises;
l’évaluation de modules de formation européens préexistants (certains modules déjà développés, notamment dans le cadre d’ECTEG, doivent être évalués selon des standards académiques).

Bien entendu, ce n’est qu’une première étape et d’autres projets verront le jour. Ils recevront l’appui du centre français, et seront initiés par ses membres actuels ou par de futurs partenaires.

***

Rendez-vous donc dans les mois qui viennent pour les premiers résultats de ce projet et un grand merci à l’ensemble de ceux qui y contribuent déjà ou par avance à ceux qui nous soutiendront dans le futur.

[twitter-follow screen_name=’ericfreyss’ show_count=’yes’]

2 juin 2011 by Éric Freyssinet Cybercriminalité Formation Prévention Prospective 1

La légitime défense numérique – Le Cercle

Le Cercle européen de la sécurité des systèmes d’information organisait jeudi 28 avril 2011 à 18 heures une table ronde sur le thème de la légitime défense numérique.

Le débat était animé par Yann Le Bel de la SNCF, et rassemblait Guillaume Tissier de CEIS et Philippe Langlois de P1Sec.

Guillaume Tissier a d’abord résumé le contexte actuel des attaques contre les systèmes d’information, de la cybercriminalité et de la cybersécurité en général, en soulignant les risques particuliers auxquels sont confrontées aujourd’hui notamment les entreprises. Ensuite il a rappelé le cadre juridique de la légitime défense.

Sur le plan pénal, le concept de légitime défense est défini comme une exception, au travers d’une cause d’irresponsabilité. Ainsi dans l’article 122-5 du code pénal il est indiqué:

N’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte.

N’est pas pénalement responsable la personne qui, pour interrompre l’exécution d’un crime ou d’un délit contre un bien, accomplit un acte de défense, autre qu’un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction.

Ainsi, s’agissant dans le domaine de la sécurité sur les réseaux (et en particulier Internet), c’est le plus souvent le second alinéa qui est concerné. Et le but de la légitime défense des biens ainsi défini est limité à l’accomplissement d’un acte de défense, en vue d’interrompre l’exécution du crime ou du délit contre ce bien. Je suis intervenu à la fin du débat pour rappeler que dans tous les cas imaginables aujourd’hui, la véritable légitime défense sur Internet est difficilement applicable puisqu’on pourra soit prendre des mesures pour se protéger qui ne constitueraient pas des infractions (détourner le trafic qui vous attaque par exemple) ou tout simplement déconnecter le système (comme l’a fait Sony la semaine passée), faisant ainsi cesser l’atteinte.

Dans un contexte international, la charte des Nations Unies, à son article 51, a encore rappelé Guillaume Tissier, énonce le principe suivant:

Aucune disposition de la présente Charte ne porte atteinte au droit naturel de légitime défense, individuelle ou collective, dans le cas où un Membre des Nations Unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires pour maintenir la paix et la sécurité internationales. Les mesures prises par des Membres dans l’exercice de ce droit de légitime défense sont immédiatement portées à la connaissance du Conseil de sécurité et n’affectent en rien le pouvoir et le devoir qu’a le Conseil, en vertu de la présente Charte, d’agir à tout moment de la manière qu’il juge nécessaire pour maintenir ou rétablir la paix et la sécurité internationales.

Il s’agit bien ici d’offrir la possibilité aux Etats de répondre légitimement à une agression armée. Il sera tout de même très difficile pour l’instant de qualifier d’attaque armée une atteinte numérique, sauf si elle est de nature à porter atteinte de façon grave à la sécurité des personnes et des biens ou à l’intégrité d’un territoire.

Guillaume Tissier a aussi dressé une liste des types de réponse qu’il était possible d’envisager, en soulignant qu’il n’était pas nécessaire de toujours envisager d’aller jusqu’à des actes agressifs, mais qu’il était possible par exemple d’envisager des mesures judiciaires adaptées – y compris de nature à faire complètement cesser l’activité d’un attaquant grâce à la saisie de ses matériels ou l’interruption des services qui lui permettre de commettre ses attaques, ou des mesures de collecte de preuve, pour faciliter l’identification des auteurs de ces faits.

Philippe Langlois quant à lui a cité un certain nombre de cas concrets d’acte de rétorsion numérique suite à ce qui peut être considéré comme une attaque. Le cas de la société HBGary qui s’est vu sérieusement mise en défaut dans la gestion de sa propre sécurité, après s’en être prise aux Anonymous publiquement est un de ces cas. On pourrait aussi citer le cas récent du réseau des Playstation de Sony (voir l’article le plus récent de Numérama), dont l’agression pourrait être une réponse de certains groupes d’attaquants à l’attitude de cette société face à un chercheur indépendant (George Holtz) qui a mis à mal la sécurité de sa console la plus récente (voir l’article de 01Net). Philippe a aussi souligné le risque d’une véritable escalade des réponses entre les belligérants, comme l’un des risques principaux d’une riposte numérique suite à une agression.

Philippe a aussi indiqué, que techniquement il était évidemment possible dans beaucoup de situations – et dans l’esprit de la gamme de réponses possible évoquée par Guillaume Tissier, de prendre des mesures non agressives vis à vis de l’attaquant, en temps réel, de manière à plus facilement l’identifier, grâce à la prise d’une empreinte de l’attaque ou en se connectant simplement avec l’hôte à l’origine de l’attaque si le protocole utilisé le permet.

Enfin, comme l’a rappelé Lazaro Pejsachowicz dans la salle, il n’est pas acceptable d’envisager la légitime défense sous la forme d’une vengeance, il est absolument nécessaire de rapidement impliquer les autorités judiciaires suite à une attaque pour que la collecte de preuves s’exerce dans de bonnes conditions et que l’action légale soit efficace et rapide.

L’autre sujet qui n’a pas été abordé – il me semble – dans le débat, est le recours à une réponse numérique suite à une agression physique. Cela fait partie très clairement des outils dont pourrait se doter un Etat dans le cadre de sa légitime défense au sens de la charte des Nations Unies évoquée plus haut. Et – pourquoi pas – cela pourrait constituer une hypothèse intéressante dans le cadre de la légitime défense des personnes et des biens contre une agression physique, par exemple en se dotant d’outils pour rendre inopérants les commandes d’un véhicule qui foncerait sur une foule.

Jérôme Saiz, Security Vibes a fait un compte-rendu du débat.

Merci au Cercle pour l’organisation de cette soirée qui a continué autour d’un buffet indispensable au réseautage interpersonnel.

30 avril 2011 by Éric Freyssinet Conférences Cybercriminalité Juridique Sécurité 1