Cybercriminalité

Décret d’application de la LCEN sur la conservation des données par les FAI et hébergeurs

Le 1^er mars 2011 était publié au Journal officiel le Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il s’agit notamment de préciser les mesures prévues par l’article 6, dans son paragraphe II, de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (implémentant elle-même en droit français les dispositions de la directive européenne 2000/31/CE).

Ce texte comprend deux chapitres principaux. Le premier vient préciser les données à conserver par les fournisseurs d’accès et les hébergeurs pour permettre l’identification des personnes qui ont contribué à la création d’un contenu sur un service de communication au public en ligne. Le second précise les modalités d’accès à ces informations dans le cadre des enquêtes administratives relatives à la prévention des actes de terrorisme. Il s’agit dans ce dernier cas d’une extension à ce contexte des dispositions existant déjà pour l’accès aux données détenues par les opérateurs de communications électroniques au titre de l’article L34-1 du code des postes et communications électroniques.

Ces données ont vocation à être accédées dans le cadre d’une réquisition judiciaire, ou d’une demande administrative prévue par la loi. On rappellera que pour l’enquête pénale, les demandes judiciaires sont notamment encadrées par les articles 60-1 et 60-2 du code de procédure pénale.

Au contraire de l’article L34-1 du code des postes et communications électroniques, il n’était pas demandé ici au pouvoir réglementaire de préciser les catégories de données qui doivent être conservées, mais de façon plus précise les données qui sont concernées par cette obligation. Ainsi, on se retrouve avec un texte à la fois plus précis que le décret portant plus généralement sur les opérateurs – cf. articles R.10-12 à R.10-22 du code des postes et communications électroniques (et qui concerne donc aussi les fournisseurs d’accès à Internet), mais difficile à comparer. On notera toutefois au passage que la durée de conservation a été uniformisée dans les deux cas à un an.

Les exemples et les précisions que je donne ici ne représentent que mon point de vue personnel sur ce texte, ils ne sauraient évidemment engager une juridiction sur son interprétation éventuelle. Toutefois, ces informations sont basées sur ma connaissance des pratiques en la matière, aussi bien du côté des prestataires techniques que des besoins des enquêteurs.

L’article 1 liste les données à conserver

Les termes utilisés dans le décret sont volontairement génériques et cherchent à maintenir une certaine neutralité technologique. L’objectif est bien dans tous les cas de contribuer à l’identification de la personne ayant publié un contenu donné.

– Pour les personnes fournissant un accès à Internet :

L’identifiant de la connexion (en pratique une adresse IP) ;
L’identifiant attribué par ces personnes à l’abonné (selon les FAI il s’agira d’un identifiant de connexion, d’un pseudonyme choisi par l’utilisateur, d’un identifiant de carte SIM ou d’un numéro de téléphone) ;
L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC de l’équipement par exemple) ;
Les dates et heure de début et de fin de la connexion (cette notion est superflue pour les FAI qui ne gèrent pas de sessions de connexion) ;
Les caractéristiques de la ligne de l’abonné (s’il s’agit d’une connexion par ADSL, par appel téléphonique RTC grâce à un modem, via un point d’accès Wifi, etc.) ;

Selon les configurations, il n’y a pas de sessions mais des accès permanents possibles pendant toute la durée de l’abonnement, dans ce cas les dates et heures de début et de fin n’ont pas de sens. En revanche, un FAI peut autoriser des modes de connexion différents pour un même abonné. Et par exemple, un même abonné pourrait se connecter de chez lui en ADSL (sans forcément de notion de début et de fin de session) et accéder ponctuellement via des points d’accès Wifi, avec une authentification et des débuts et fins de sessions.

– Pour les hébergeurs et pour chaque opération de création :

Rappelons que les hébergeurs sont, selon la loi pour la confiance dans l’économie numérique, « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ».

L’identifiant de la connexion à l’origine de la communication (adresse IP d’origine, ou toute autre information pertinente – dans une structure intégralement gérée par un opérateur de téléphonie mobile il pourrait envisager d’utiliser le numéro de téléphone mobile ou le numéro IMSI de son abonné qui publie des informations sur un site géré par le même opérateur) ;
L’identifiant attribué par le système d’information au contenu, objet de l’opération (une référence d’article ou de commentaire, l’URL ou la position dans une arborescence d’une page Web, la référence d’une petite annonce, etc.) ;
Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (accès via l’interface Web, via un accès FTP, par envoi de SMS ou MMS, etc.) ;
La nature de l’opération (création, modification ou suppression) ;
Les date et heure de l’opération ;
L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (si par exemple, la personne utilise un pseudonyme pour se connecter ou une adresse de courrier électronique, qu’il y ait une authentification ou une simple déclaration) ;

– Dans les cas où il y a un contrat, ou la création d’un compte auprès du fournisseur d’accès ou de l’hébergeur, et dans la mesure où ces données sont collectées :

Au moment de la création du compte, l’identifiant de cette connexion (par exemple, l’adresse IP depuis laquelle la personne se connecte pour créer son compte) ;
Les nom et prénom ou la raison sociale ;
Les adresses postales associées ;
Les pseudonymes utilisés ;
Les adresses de courrier électronique ou de compte associées ;
Les numéros de téléphone ;
Le mot de passe (si le système utilisé stocke le mot de passe en clair) ainsi que les données permettant de le vérifier (hashs ou autres techniques permettant de stocker de façon sécurisée un mot de passe) ou de le modifier, dans leur dernière version mise à jour ;

– Dans les cas où des opérations de paiement sont réalisées dans le cadre du service offert par le fournisseur d’accès ou l’hébergeur, et pour chaque opération de paiement :

Le type de paiement utilisé ;
La référence du paiement ;
Le montant ;
La date et l’heure de la transaction.

L’article 2 précise ce qui constitue une opération de création de contenu

« La contribution à une création de contenu comprend les opérations portant sur :

a) Des créations initiales de contenus ;
b) Des modifications des contenus et de données liées aux contenus ;
c) Des suppressions de contenus. »

L’article 3 fixe la durée de conservation

La durée de conservation de ces informations est fixée à un an à partir de chaque connexion ou contribution à un contenu. Pour la fiche reprenant les informations personnelles du compte ou du contrat, elles doivent être conservées un an après la clôture de ce compte.

L’article 4 précise les conditions de conservation

Il est rappelé que leur sensibilité justifie des mesures de sécurité proportionnées, conformément à l’article 34 de la loi informatique et libertés.

Les conditions de conservation doivent aussi permettre de répondre « dans les meilleurs délais » aux demandes de l’autorité judiciaire.

Conclusion

Dans la très large partie des cas, ce texte ne change rien aux pratiques existantes de la part des professionnels ou des plateformes d’hébergement y compris basées sur des logiciels libres. Pour les fournisseurs d’accès à Internet, ce sont exactement les mêmes données qu’ils conservent déjà dans le cadre de l’application de l’article L34-1 du code des postes et communications électroniques, formulées de façon différente parce que répondant à une législation distincte et des objectifs qui ne sont pas exactement les mêmes.

Pour les hébergeurs, il s’agit d’une clarification bienvenue sur ce qui pourrait leur être demandé, chacun étant concerné par les données qu’il collecte lui-même.

Ainsi, dans les situations complexes où plusieurs acteurs interviennent dans le processus d’hébergement, il leur revient de fixer – éventuellement par le biais de contrats – les responsabilités des uns et des autres et d’être en mesure d’indiquer aux autorités susceptibles de les requérir le bon interlocuteur. Par exemple, un blog et ses commentaires, même s’il est sous la responsabilité de son titulaire, peut être administré sur le plan technique par une plateforme hébergeant des milliers de blogs différents. C’est bien à elle que revient la responsabilité de conserver ces données et de répondre aux réquisitions.

Dans le cas où une personne, une entreprise, une association loue un serveur et l’administre elle-même auprès d’un « grand » hébergeur, il lui revient de le configurer (ou de le faire configurer par un prestataire) de façon à conserver les bonnes informations lorsqu’elle y installera un forum ou la possibilité de poster des commentaires. Le « grand » hébergeur évoqué ici a en revanche l’obligation de disposer des coordonnées de la personne à laquelle il loue le serveur, et éventuellement les informations de paiement.

D’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur.

Du spam agressif qui se propage par Skype ?

Il y a quelques minutes j’ai reçu directement dans mon client Skype un message d’un interlocuteur qui n’est pas dans ma liste de contacts. Le message contient un texte assez classique pour inciter l’utilisateur à mettre à jour son ordinateur suite à une infection supposée:

Le message incite aussi à rajouter cet utilisateur parmi ses contacts.

Son pseudo dans mon cas: instruction.upd.6 et le lien proposé pour « réparer » mon système d’exploitation « www.updatetn.com ». Le client que j’utilise est le client Skype pour Linux qui n’est malheureusement pas particulièrement tenu à jour par la société qui le développe et qui est toujours en version « bêta ».

Ce nom de domaine a été enregistré le 26 février 2011 (aujourd’hui) par un certain Mario Lipak en République Tchèque grâce aux services de la société Enom:

Domain Name: UPDATETN.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 26-feb-2011
Creation Date: 26-feb-2011
Expiration Date: 26-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 12:58:30 UTC <<<
[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: updatetn.com

Registrant Contact:
–
Mario Lipak ()

Fax:
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Administrative Contact:
–
Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Technical Contact:
–
Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 26 Feb 2011 07:33:00
Expiration date: 26 Feb 2012 02:33:00
[…]

Mise à jour 14:00

En fonction de la façon dont on se connecte à ce site, le visiteur est redirigé vers une page PHP particulière. Celle-ci contient des informations vous faisant croire que votre ordinateur a été infecté (et qui dans ce cas est fabriquée pour ressembler à une fenêtre classique de Windows) :

et charge aussi cette boîte d’avertissement:

Enfin, si vous cliquez sur l’un des messages, vous êtes redirigé vers un site d’achat en ligne http://secureonlinestore.net/… soit un nom de domaine qui ressemble au précédent par son parcours d’enregistrement, mais qui est référencé auprès d’un client habitant en Lituanie:

Domain Name: SECUREONLINESTORE.NET
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 04-feb-2011
Creation Date: 04-feb-2011
Expiration Date: 04-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 13:32:20 UTC <<<

[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: secureonlinestore.net

Registrant Contact:
SecureOnlineStore Inc.
Andrew Bradley ()

Fax:
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Administrative Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Technical Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 04 Feb 2011 10:22:00
Expiration date: 04 Feb 2012 05:22:00

Et en réalité ce site ouvre une fenêtre (IFRAME) sur un site de commerce électronique beaucoup plus ~~recommandable~~ connu (Swreg/Digital River), pour le produit « Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair » et un mondant de €15.29 (ou $19.95) avec une référence d’affiliation particulière (affil5777) qui doit être la référence de celui qui a diffusé ce spam via Skype.

Il s’agit évidemment de nous vendre du vent… Peut-être la suite nous en dira plus sur quel est le commerçant un peu douteux derrière ce stratagème.

En guise de première conclusion quelques conseils

Méfiez-vous des inconnus qui vous contactent sur vos logiciels de messagerie instantanée
Ne cliquez pas sur un lien sans être certain de sa provenance et de la volonté de celui qui vous l’envoie de le partager.
Utilisez les fonctions de vos logiciels de messagerie instantanée permettant de bloquer ou de signaler en comme émetteur de spam un contact malveillant.
Ne faites jamais confiance aux sites Web qui vous signalent que votre ordinateur est contaminé par des dizaines de logiciels malveillants.
N’installez ou n’achetez que des logiciels de sécurité (antivirus, antispyware, etc…) pour lesquels vous avez lu des recommandations provenant de publications sérieuses.

Mise à jour 17:40

En faisant quelques recherches sur le nom de ce service ou logiciel « Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair » on tombe sur un nombre de sites qui se ressemblent dans leur fonctionnalité, mais pas forcément dans leur mise en page ou leur contenu. A chaque fois il s’agit de vous offrir un service d’assistance en ligne pour réparer votre PC en cas d’incident, dont certains correspondent à ce prix de $19.95. Ces services sont-ils sérieux ? Certains semblent exister depuis longtemps, d’autres depuis très peu de temps.

Dans le cas qui nous préoccupe on est directement amené sur une page de paiement, sans explication sur la nature ou du service proposé. Arnaque en vue donc!

Dragon de Nuit contre industries de l’énergie

Dans un document publié le 9 février 2011, les spécialistes de la société McAfee soufflent sur les braises qui aurait été allumées par un mystérieux groupe de cybercriminels dont les activités ont été surnommées « Night Dragon ». La Chine est pointée du doigt comme étant la base arrière de ces attaques, mais il semblerait qu’il faille regarder ce rapport comme une alerte utile sur les risques réels auxquels sont confrontés les systèmes d’information des entreprises tous les jours, plutôt qu’une véritable opération coordonnée.

La présentation qu’en fait George Kuntz (@george_kurtzcto, le chief technology officer de McAfee), le même jour, nous apprend que des attaques commencées en novembre 2009 auraient ciblé différentes entreprises pétrolières, pétrochimiques ou œuvrant dans le domaine de l’énergie. Ces attaques suivraient un parcours assez classique, en obtenant d’abord des accès sur les extranets des sociétés, puis compromettant les machines situées à l’intérieur des réseaux des entreprises pour finir par subtiliser des données confidentielles, en exploitant l’ingénierie sociale ou différentes failles :

Schéma des attaques proposé par McAfee

L’analyse qu’ils ont réalisée de ces attaques qui d’abord ne font que se ressembler, et en particulier des signatures des outils utilisés pour les réaliser, leur ont permis de tisser des relations d’abord techniques entre ces évènements. Toujours selon l’analyse de McAfee, ces attaques seraient exclusivement d’origine chinoise, et ils mettent notamment en avant la présence des outils utilisés sur des forums où sévissent uniquement des « crackers » chinois (apparemment on y rencontre aussi des spécialistes de chez McAfee 🙂 ), ou les créneaux horaires correspondant aux pics d’activité.

Le 17 février prochain, George Kurtz et Stuart McClure (@hackingexposed) présenteront notamment les résultats qui sont ici dévoilés lors de la Conférence RSA 2011.

Cette annonce n’est pas sans rappeler l’annonce du ver Stuxnet au début de l’été 2010, en ce qu’il s’agit de s’en prendre ici à des industries de l’énergie, mais cela semble être le seul point commun, puisque les systèmes de commande industrielle (SCADA) ne sont pas au coeur de l’attaque. Il s’agirait plus classiquement d’opérations visant à collecter des secrets dans ces entreprises.

Ce n’est pas non plus la première fois que la Chine est accusée d’être à l’origine d’attaques de grande envergure, comme en septembre 2007 lorsque le Pentagone américain accusait le gouvernement chinois d’avoir organisé des agressions graves contre leurs systèmes informatiques ou lorsque Google, en Janvier 2010, accusait le gouvernement chinois d’avoir commandité des attaques contre ses systèmes pour y voler des données confidentielles (l’opération a été surnommée Aurora). Il faut avouer qu’avec plus de 400 millions d’internautes et une éducation technique avancée, il est logique que la Chine, comme d’autres pays soient à l’origine de nombre d’attaques. Beaucoup de spécialistes toutefois rappellent que les ordinateurs chinois, nombreux et pas toujours parfaitement sécurisés, pourraient aussi servir de paravent à des attaques provenant d’autres régions du Monde.

Sur le blog de Sophos, Fraser Howard, questionne l’analyse et les preuves présentées par McAfee. Le regroupement sous une même bannière du « Dragon de Nuit » des logiciels malveillants utilisés lui semble pour l’instant artificielle, même si ces attaques ont bien eu lieu. Il n’est notamment pas démontré que celles-ci ciblent plus particulièrement l’industrie de l’énergie, peut-être cela est-il le résultat d’une détection plus précoce dans ces entreprises, qui ont fait appel à McAfee.

En conclusion, comme beaucoup de commentateurs, je dirais que la publication de ce rapport vient surtout nous rappeler la nécessité de correctement sécuriser les réseaux des entreprises (sensibilisation des utilisateurs, utilisation de logiciels de sécurité et notamment d’antivirus, si l’enjeu le justifie outils de détection d’intrusion, etc.), c’est d’ailleurs très certainement l’objectif de McAfee : démontrer au travers d’un exemple particulier l’importance de la menace. Mais peut-être des informations à venir, non encore révélées par McAfee viendront-elles soutenir la thèse d’une véritable opération « Night Dragon ».

15 février 2011 by Éric Freyssinet Cybercriminalité Sécurité 1

Ouverture de la licence professionnelle NTECH

La gendarmerie nationale forme ses enquêteurs dans de nombreux domaines: la délinquance économique et financière, les atteintes à l’environnement et à la santé publique, l’analyse criminelle, etc.

Depuis 2001, après une première phase expérimentale, son centre national de formation de la police judiciaire (CNFPJ à Fontainebleau) accueille des stagiaires dans le domaine de la lutte contre la cybercriminalité: les enquêteurs « NTECH » ou « enquêteurs en technologies numériques ».

Progressivement cette formation s’est enrichie et en 2005 un partenariat fut noué avec l’université de technologie de Troyes, avec la création d’un diplôme d’université et la réalisation d’une partie des cours à Troyes. D’autres partenariats existent déjà, par exemple avec l’université de Strasbourg pour la formation en délinquance économique et financière. Le partenariat avec l’UTT permet d’ores et déjà aux gendarmes NTECH les plus expérimentés d’accéder au Master SSI de cette université.

Dans le même temps, des projets successifs, financés par l’Union européenne, ont permis (toujours depuis 2001) aux services spécialisés des différents états membres de l’Union Européenne d’échanger sur des bonnes pratiques en matière de formation à la lutte contre la cybercriminalité. La gendarmerie nationale a participé à ces travaux depuis le début. Ils ont permis de développer ensemble des modules de formation (comme celui sur l’analyse forensique des systèmes vivants que j’évoquais en 2009). Ils ont aussi conduit à définir ensemble une stratégie visant à développer les partenariats académiques pour ces formations et ainsi les enrichir et les consolider. Ce travail collectif se poursuit depuis 2007 dans le cadre de l’European cybercrime training and education group (site Web en cours de développement).

Ce travail commun a permis à la gendarmerie nationale et à l’UTT de construire aujourd’hui ensemble une véritable formation diplômante, reconnue depuis cette année par le Ministère de l’Education Nationale, la licence professionnelle d’Enquêteur en technologies numériques. Ainsi, chaque année dorénavant, la vingtaine de stagiaires qui finalisent avec succès l’ensemble des modules théoriques et pratiques recevront une licence professionnelle. Les premiers concernés feront leur rentrée le 17 janvier prochain à Fontainebleau et poursuivront leur année de formation en alternant les séjours à l’UTT avec ceux réalisés au CNFPJ, des modules de formation à distance, les travaux pratiques dans leurs unités et pour finir la rédaction d’un mémoire.

4 janvier 2011 by Éric Freyssinet Cybercriminalité Formation 0

Audition à l’Assemblée Nationale

Patrice VERCHERE, député.

J’ai été auditionné pendant un peu plus d’une heure à l’Assemblée Nationale, le 14 décembre 2010, devant la mission d’information commune sur la protection des droits de l’individu dans la révolution numérique.

Vous pouvez retrouver l’enregistrement de cette audition sur le site de l’Assemblée. J’étais interrogé par M. Patrice VERCHERE, co-rapporteur de cette mission.

J’ai d’abord été invité à exposer pendant une quinzaine de minutes un certain nombre de propos liminaires pour expliquer l’action de la gendarmerie nationale, mais aussi les actions que nous menons en partenariat avec la police nationale. Je suis ensuite revenu sur quelques points discutés récemment dans les débats de cette mission dont le statut juridique de l’adresse IP et l’obligation de notification des incidents de sécurité. Enfin j’ai fait un certain nombre de propositions concrètes et notamment sur des points de droit:

la nécessité de simplifier notre cadre juridique, notamment lorsqu’il s’agit de définir les obligations des acteurs de l’Internet;
le besoin d’étendre les cyberpatrouilles (ou investigations sous pseudonymes) à toutes les infractions où cet outil permettra d’être plus efficace dans leur résolution (et notamment les atteintes aux systèmes de traitement automatisé de données, la contrefaçon, la haine raciale et les infractions économiques et financières facilitées par Internet)
le souhait que nous avons de voir étendre les réquisitions à personnes qualifiées pour les actes techniques simples (à savoir les constations sur les supports de preuve numérique) aux enquêtes sur commission rogatoire.

Enfin, j’ai répondu à un grand nombre de questions qui portaient sur des sujets tout aussi variés que les réseaux sociaux, la régulation de l’Internet, la coopération internationale, l’identité numérique et la carte d’identité numérique ou les dispositifs de captations de données prévus par la LOPPSI.

16 décembre 2010 by Éric Freyssinet Cybercriminalité Juridique Prospective 1

Le Netcode pour les ados

Action Innocence lance aujourd’hui le Netcode. Ce nouvel outil de prévention décline une dizaine de règles de bonne conduite sur le Net à destination des ados sous forme des saynètes dessinées divertissantes et parlantes :

Je m’oppose aux agressions, je ne les filme pas, je ne fais pas circuler d’images violentes ou humiliantes.

ou encore:

Si j’accepte un rendez-vous, j’y vais accompagné(e).

Pour télécharger la plaquette, rendez-vous sur le site de l’association.

18 octobre 2010 by Éric Freyssinet Atteintes aux mineurs Prévention Prospective 0

Ne soyez pas des ânes !

Le chômage, les difficultés économiques que traverse notre pays sont autant d’opportunités que les groupes criminels tenteront d’exploiter. Ainsi, aujourd’hui en France, comme dans beaucoup d’autres pays, d’honnêtes citoyens sont recrutés à leur insu par des groupes criminels, avec l’espoir d’un revenu facile et attractif.

Non seulement ce n’est pas un emploi solide, mais le risque n’en vaut pas la chandelle.

Pourquoi les groupes criminels recrutent-ils des mules ?

Les mules sont des intermédiaires. Deux usages principaux sont rencontrés aujourd’hui: les transferts financiers et les transferts de biens matériels.

Un certain nombre de mécanismes sont en place pour limiter les fraudes. Ainsi, pour beaucoup d’établissements bancaires, un virement vers un compte bancaire étranger ne pourra être mis en place que dans le cadre d’une procédure particulière qui suppose une interaction entre le client et son conseiller en agence (courrier, fax, téléphone ou déplacement dans son agence bancaire). Les commerçants en ligne n’acceptent pas aveuglément tous les types de transaction et notamment les livraisons de produits coûteux tels que des télévisions ou des ordinateurs vers des pays étrangers.

Ainsi, je vous parlais en avril dernier du démantèlement d’une entreprise criminelle dont les activités consistaient à répondre au téléphone à la place des titulaires des comptes pour valider les transactions. Mais ce n’est qu’une étape dans le processus.

Aussi, lorsque les escrocs veulent utiliser un numéro de carte bancaire, les identifiants de connexion à un compte bancaire en ligne, pour se faire livrer des produits ou vider un compte, ils ont besoin d’intermédiaires dans le pays où se trouve la victime.

Comment ils les recrutent ?

On rencontre plusieurs typologies de recrutement et elles deviennent de plus en plus massives et complexes.

Le recrutement communautaire et par contacts.

C’est celui qu’on rencontrait les premières années. Ainsi, dans un certain nombre d’affaires du début des années 2000, les mules étaient recrutées dans des familles originaires des mêmes régions que les escrocs, tout simplement parce que la barrière de la langue était difficile à surmonter, ou parce qu’il fallait établir un lien de confiance avec ces futurs intermédiaires, ou peut-être pour avoir des moyens de pression supposés sur la famille restée au pays ?

Mais nous n’en sommes plus là.

Le recrutement par les offres d’emploi

Le système est maintenant bien rôdé. Les escrocs montent des entreprises fictives qui utilisent les moyens les plus variés et les plus efficaces pour recruter leurs mules : pourriels, réponse à des petites annonces de chercheurs d’emploi ou publication de petites annonces.

Ainsi, un courrier électronique que j’ai reçu cet été :

Cliquez pour agrandir

Mais parfois, on s’adressera à vous en français. Voilà quelques mois une victime de ce schéma témoignait par exemple sur le blog eBusiness. Les escrocs ici n’hésitaient pas à se faire passer pour une entreprise française légitimement enregistrée et à délivrer des faux contrats de travail.

Comment ça marche ?

Une fois « embauché », selon un contrat de travail bidon, la tâche proposée est effectivement assez simple. On reçoit chez soi des colis postaux de dizaines de commerçants différents, et on est chargé de les réexpédier vers leur destinataire réel. Ou bien, on reçoit de l’argent sur son compte bancaire. A charge pour vous de retirer l’argent en liquide et de le réexpédier vers leur destinataire par Western Union ou Moneygram.

Dans un billet récent, Brian Krebs révélait l’interface de gestion qui permettait à la société fictive « Forte Group Inc. » (les activités de cette entreprise sont aussi évoquées ici) de donner des directives à ses employés fictifs. Ainsi, dans le cas décrit, l’employée était invitée à transmettre la somme reçue en trois portions, deux par Western Union et la troisième par Moneygram. L’interface de gestion permettant ensuite de fournir les références des transactions pour le retrait par leur destinataire.

Les instructions transmises par l'entreprise criminelle

Que risque-t-on ?

La législation française peut être particulièrement sévère contre les personnes qui se trouvent impliquées dans ce type d’activités illégales. Selon qu’on saura ou non convaincre la justice de sa bonne foi, la mise en cause peut aller jusqu’à des accusations de recel ou de complicité.

En janvier dernier, je relatais une opération de police judiciaire menée conjointement par la gendarmerie et la police judiciaire dans les Alpes Maritimes, impliquant plusieurs de ces mules. Bien évidemment leurs commanditaires sont aussi recherchés dans ce type d’enquêtes.

Que faire ?

Bien évidemment, méfiez-vous de toutes les offres d’emploi qui promettent un travail facile, à domicile, et qui suppose la réception et la retransmission de colis ou de sommes d’argent. N’hésitez pas à signaler de tels faits sur la plateforme de signalement du ministère de l’intérieur: https://www.internet-signalement.gouv.fr/.

Si vous êtes dans cette situation, arrêtez rapidement toute coopération, et rendez vous dans votre brigade de gendarmerie ou le commissariat de police le plus proche pour signaler votre employeur malhonnête. Cette situation est effectivement complexe, aussi n’hésitez pas à faire appel à un avocat. Tous les éléments qui prouvent votre bonne foi et notamment le fait que vous signaliez de vous-même la situation plaideront en votre faveur, ainsi que la restitution de toutes les sommes ou marchandises indûment perçues.

Enfin, si vous êtes commerçant ou particulier, à l’autre bout de la chaîne, c’est-à-dire si votre compte bancaire a été débité à votre insu, votre carte bancaire utilisée pour effectuer des achats frauduleux, votre site de commerce électronique victime de ces abus, déposez plainte le plus rapidement possible en apportant l’ensemble des éléments à votre disposition pour permettre l’identification rapide des suspects.

Et les enquêtes internationales finissent par aboutir. En témoigne l’opération « Trident BreACH/ACHing mules » menée récemment conjointement par les polices américaine, anglaise et ukrainienne.

17 octobre 2010 by Éric Freyssinet Cybercriminalité Juridique 1

Les dix ans des Assises de la sécurité et des systèmes d’information

Les Assises de la sécurité et des systèmes d’information tenaient leur dixième édition à Monaco du 06 au 09 octobre 2010. Cet événement rassemble des RSSI de toute la France, des fournisseurs de solutions de sécurité et plus généralement la communauté de la sécurité des systèmes d’information.

Organisées assez classiquement autour d’un salon, où les exposants présentent leurs solutions, les assises sont rythmées par des séances plénières avec quelques invités prestigieux et des ateliers qui abordent les problématiques de la sécurité sous différents angles parfois très concrets ou plus simplement pour présenter des prestations ou des produits. Je dois avouer que j’étais évidemment plus intéressé par les présentations plus concrètes, mais la communauté des RSSI a aussi et sûrement besoin de mieux connaître et discuter les offres existant sur le marché.

Les séances plénières auxquelles j’ai pu assister :

Enrique Salem, CEO de Symantec, nous a présenté sa vision des usages numériques d’aujourd’hui et demain et de leurs conséquences sur la sécurité ;
Eugène Kaspersky (qui a laissé tomber la barbe!), fondateur et président de Kaspersky Lab, nous a livré sa vision de la cybercriminalité aujourd’hui et de la réponse qu’il recommande: une police mondiale de l’Internet et l’identification sécurisée de toutes les personnes qui publient de l’information ou achètent sur Internet. J’en reparlerai sûrement.
« Dix ans de risque informatique… un regard vers le futur immédiat ». Cette table ronde réunissait Alex Türk, sénateur du Nord et président de la CNIL, Michel Riguidel, chercheur à l’ENST et Hervé Schauer, président et fondateur de HSc. Une petite heure de réflexions passionnantes sur les défis des dix prochaines années en sécurité numérique. Ce que j’en retire principalement est qu’on n’est pas au bout de surprises, avec un Internet qui dans cinq ans ou dix ans ne ressemblera plus à celui que nous connaissons aujourd’hui; l’individu et sa protection et la protection des Etats seront vraisemblablement les sujets majeurs de la sécurité numérique des prochaines années, tout autant que la protection des intérêts économiques des entreprises.
Et en clôture la simulation du procès pénal des réseaux sociaux. Il s’agissait ici de réfléchir avec l’auditoire sur les risques d’un usage mal informé des réseaux sociaux, des abus de certaines de ces plateformes et de l’exploitation qui peut en être faite par les criminels. Beaucoup de rires dans cette simulation du procès du mystérieux « Raizosocio », mais aussi tous les instruments d’une réflexion à poursuivre, merci à tous les « acteurs » !

Parmi les présentations auxquelles j’ai assisté, je citerais :

Un atelier organisé par Fortinet pour présenter les enjeux de la SSI dans des groupes à dimension mondiale et comparer les points de vue d’Areva et d’Alstom. Peu de surprises, mais une bonne synthèse des enjeux.
Les faux antivirus étaient illustrés par Nicolas Brulez (@nicolasbrulez) de Kaspersky Labs : une présentation vivante et très complète. A noter au passage la confirmation dans ses travaux qu’il y a parfois automatisation des processus d’empoisonnement des moteurs de recherche (j’en parlais en début d’année ici).
Une démonstration d’ingénierie sociale facilitée par les réseaux sociaux, faite par Arnauld Mascret de Sogeti ESEC R&D.

Enfin, le prix de l’innovation a été créé en 2006 et récompensait pour sa cinquième édition une jeune entreprise que nous connaissons bien: Arxsys. Créée par 4 anciens élèves de l’Epitech, Arxsys a pour ambition de développer une offre autour de l’investigation numérique, grâce au développement d’une plateforme opensource dédiée à cette mission, le Digital forensics framework et de services adaptés aux différents utilisateurs (forces de police et entreprises notamment lors des réponses à incident). Leur plateforme est désormais bien aboutie, et j’invite toute la communauté de l’investigation numérique à la tester rapidement, et à contribuer aux développements opensource. J’espère que cette initiative fera naître d’autres projets innovants français (et pourquoi pas opensource) au service de l’investigation numérique. Bravo à eux pour ce Prix !

Les rencontres dans les allées des Assises, lors des événements sociaux, dans les ateliers ont permis certainement à tous de nombreux échanges. En tous cas, j’ai personnellement pu avoir de longues heures de discussions passionnantes cette semaine et quelques nouvelles idées dans ma besace. Merci aux organisateurs !

9 octobre 2010 by Éric Freyssinet Criminalistique numérique Cybercriminalité Prospective Sécurité 2

Rentrée à Rosny-sous-Bois

(image sur le site de la gendarmerie nationale)

J’évite de trop personnaliser les témoignages que j’apporte sur ce blog, mais la rentrée m’a contraint à rester silencieux pendant plusieurs semaines, non pas par manque d’inspiration, mais emporté que j’étais par mes nouvelles tâches.

En effet, depuis le 16 août, j’ai eu l’honneur de rejoindre la tête de la Division de lutte contre la cybercriminalité (DLCC) du Service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale à Rosny-sous-Bois. J’ai donc été très occupé par ces nouvelles responsabilités et me suis presqu’entièrement consacré à celles-ci.

Je ne révélerai évidemment pas les détails des affaires que nous traitons au quotidien, mais je profite de ma petite tribune pour vous présenter mon unité. L’histoire de la DLCC remonte à 1998. A l’époque, je travaillais à proximité dans le Fort de Rosny-sous-Bois, ayant rejoint depuis peu l’équipe du département informatique et électronique de l’institut de recherche criminelle de la gendarmerie nationale (IRCGN).

Le STRJD est le service chargé, pour la gendarmerie, d’administrer l’information judiciaire, de faire circuler et traiter les messages de demande de rapprochement et de gérer les bases de données qui permettent ces rapprochements (en particulier Judex ou le fichier automatisé des empreintes digitales pour la gendarmerie). Son relais sur le terrain est constitué par les brigades départementales de renseignement et d’investigation judiciaire (BDRIJ).

Au sein du STRJD donc a été constituée en 1998 une équipe chargée de débusquer les infractions sur les réseaux ouverts au public. Depuis, cette équipe a crû progressivement pour atteindre l’organisation actuelle:

le département de répression des atteintes aux mineurs sur Internet (RAMI),
le département des investigations sur Internet (D2I), à vocation plus généraliste,
le département soutien et appui.

Au sein du RAMI, on retrouve le centre national d’analyse des images de pédopornographie (CNAIP), dont les missions ont été fixées par un arrêté du 30 mars 2009.

Enfin, au sein du département soutien et appui, a été placé le guichet unique téléphonie et Internet (GUTI) chargé de faciliter au quotidien les relations entre les enquêteurs de la gendarmerie nationale et les opérateurs de communications électroniques.

Les relais de l’action de la DLCC sur le terrain sont des enquêteurs en technologies numériques (NTECH) de toute la France qui, chacun dans leur région, mènent les investigations sur Internet qui toujours trouvent un prolongement hors de l’Internet.

J’espère passer quelques années passionnantes à ce poste !

19 septembre 2010 by Éric Freyssinet Cybercriminalité Prospective 6

Stuxnet / CPLink la situation ne s’arrange pas

Mise à jour 03/08/2010: Microsoft diffuse un modificatif de sécurité répondant à l’alerte. Plus d’information dans leur bulletin de sécurité MS10-046.

Aujourd’hui, Graham Cluley (Sophos) attire notre attention depuis son blog sur les mises à jour récentes de la page d’incident mise en place par Microsoft sur cette vulnérabilité:

Ainsi, il serait possible pour l’attaquant de mettre en place un site Web présentant ces raccourcis problématiques ou bien les insérer dans un document (notamment de la suite Microsoft Office).

Les vers Stuxnet

Les plus curieux d’entre vous liront l’article que Symantec a consacré au fonctionnement du ver Stuxnet lui-même.

Se protéger ?

A ce jour, les mesures de protection conseillées par Microsoft, si elles fonctionnent, ne sont pas forcément les plus pratiques car elles empêchent de distinguer les icônes auxquelles les usagers sont familiers. Rappelons que deux autres solutions sont proposées (sur le blog de Didier Stevens):

la mise en place de règles locales de sécurité qui empêchent l’exécution de fichiers extérieurs au disque système C:\;
l’utilisation de son logiciel Ariad qui permet de contrôler finement l’ouverture automatique de fichiers depuis les supports amovibles ou externes.

Par ailleurs, pour Windows 7 et Windows 2008 R2, Cert-Lexsi propose l’utilisation d’Applocker.

Enfin, assurez-vous de disposer d’un antivirus à jour, ceux-ci doivent pour la plupart aujourd’hui être en mesure de détecter aussi bien des raccourcis qui exploiteraient cette vulnérabilité que les différents vers qui ont été identifiés dans la famille Stuxnet.

Articles de référence:

Malicious shortcuts: now documents and webpages are risky too, Graham Cluley, Sophos, 21/07/2010;
W32.Stuxnet installation details, Liam O Murchu, Symantec, 20/07/2010;
Vulnerability in Windows shell could allow remote code execution, Microsoft security advisory (2286198), 16/07/2010-20/07/2010;
.lnk vulnerability: Microsoft fix causes icon chaos, H-Online, 21/07/2010.

21 juillet 2010 by Éric Freyssinet Criminalistique numérique Cybercriminalité Sécurité 0