Investigation & transformation numériques

Cybercriminalité

Faille de sécurité des raccourcis sous Windows (suite)

VirusBlokAda - Découvreur du ver

L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.

Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.

Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:

20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.

A suivre toujours !

Comment se protéger (suite)

20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.

20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.

Articles en rapport :

20 juillet 2010 by Criminalistique numérique Cybercriminalité Sécurité 1

Faille de sécurité des raccourcis sous Windows

Une faille de sécurité qui toucherait l’ensemble des systèmes Windows de la société Microsoft a été révélée de façon assez brutale cette semaine. En effet, une exploitation particulièrement virulente de cette faille est dans la nature et elle semblerait avoir pour première cible des systèmes de contrôle industriels (SCADA).

Le 17 juin dernier, des experts en sécurité de la société biélorusse VirusBlokAda signalent à la communauté des experts de la lutte antivirale avoir détecté la propagation d’un logiciel malveillant aux caractéristiques inquiétantes:

  • propagation par clés USB ou partages réseau (ce qui est un mode de propagation classique, mais dont on espère toujours être protégé);
  • contournement des protections contre le démarrage automatique (autorun de Windows) ou la restriction des droits de l’utilisateur UAC introduite dans Windows Vista et 7;
  • signature de l’exécutable avec la clé de la société Realtek;
  • installation d’un rootkit.

Une étude détaillée de ces codes malveillants a été publiée par VirusBlokAda (voir la pièce jointe). On peut voir le virus à l’œuvre dans une démonstration réalisée par SophosLabs:

[youtube=http://www.youtube.com/watch?v=1UxN7WJFTVg]

Le fonctionnement de la vulnérabilité est en effet assez bluffant, il suffit d’afficher l’icône du raccourci (un fichier à l’extension .LNK présent sur la clé USB attaquante) dans un navigateur pour que soit déclenchée l’exécution du logiciel malveillant, sans qu’aucun des dispositifs de sécurité actuels de Windows ne l’empêchent.

Microsoft confirme dans un avis de sécurité (2286198) que toutes les versions de Windows sont impactées. Chet Wisniewski de Sophos ajoute d’ailleurs que même les versions de Windows dont la sécurité n’est plus suivie par Microsoft sont impactés, à savoir Windows XP SP2 et Windows 2000.

Le logiciel malveillant détecté par les experts de VirusBlokAda aurait la particularité, selon Frank Boldewin, de chercher à se connecter sur des bases de données de systèmes de commande industriels (SCADA) de la société Siemens et on émet l’hypothèse d’un développement spécifique pour l’espionnage industriel. 19/07/2010: le CERTA détaille dans sa fiche CERTA-2010-ALE-009-002 un certain nombre d’autres comportements (création de fichiers et clés de registre) du rootkit dont des tentatives de connexions vers les sites www.mypremierfutbol.com et www.todaysfutbol.com.

Il n’en reste pas moins que tous les utilisateurs de systèmes Windows sont concernés actuellement et que de nouvelles variantes de cette attaque ne manqueront pas de se propager dans les jours qui viennent.

19/07/2010: En 2005, déjà, Microsoft avait dû corriger certains défauts des fichiers .LNK qui rendaient possible l’exécution de code malveillant (MS05-049). La différence cette fois-ci est que l’exploit est dans la nature avant qu’un correctif n’ait pu être développé. On peut aussi faire un rapprochement avec une faille signalée en 2003 par I2S-Lab (merci @MalwareScene).

Que faire pour se protéger ?

Outre les rappels courants en matière de sécurité et de manipulation de clés USB d’origine douteuse, Microsoft donne un certain nombre de premiers conseils pour empêcher la propagation de cette menace sur votre ordinateur:

  • la désactivation de l’affichage des icônes pour les raccourcis;
  • la désactivation du service WebClient.

Les deux sont expliquées sur le site de Microsoft (paragraphe Workarounds, en anglais), en attendant la publication d’une protection contre cette faille.

Dider Stevens explique sur son blog comment l’outil qu’il a développé (Ariad) permet aussi de se protéger contre cette attaque.

Articles qui évoquent ce dossier:

18 juillet 2010 by Criminalistique numérique Cybercriminalité Sécurité 4

Lendemain de SSTIC

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

  • DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
  • Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
  • E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
  • Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
  • Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
  • F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
  • H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
  • J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
  • C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
  • Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA 🙂 !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

  • Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
  • Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
  • Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

12 juin 2010 by Cybercriminalité Prospective Sécurité 7

Quelles infractions peuvent commettre les participants à des board « warez »

Etant donné que certains ont des doutes sur l’illégalité des actions commises sur les forums dits « warez », je me suis dit qu’il pourrait être utile de faire une liste des infractions que l’on peut envisager relever dans ces circonstances. Attention, je ne parle pas d’une affaire en particulier, mais uniquement des différents aspects que l’on peut considérer face à une telle situation.

Les forums « warez » ou autres communautés « warez » sont des regroupements plus ou moins importants de personnes sur Internet, dans le but d’accéder à des copies d’œuvres de l’esprit, échanger sur la manière d’accéder à ces copies ou d’en contourner les protections (échanges de cracks, mots de passe, licences, etc.).

En général, les outils utilisés par ces communautés sont aujourd’hui des forums de discussion hébergés sur un site Web, mais ils peuvent aussi utiliser des serveurs FTP, des espaces de discussion IRC ou des portails Web de toute nature. Les œuvres de l’esprit habituellement concernées sont historiquement des logiciels informatiques et en particulier des logiciels de jeux, de la musique ou des films.

Infractions auxquelles penser

Outre les infractions de contrefaçon d’œuvres de l’esprit (code de la propriété intellectuelle) que l’on peut légitimement supposer commises par la plupart de ceux qui diffusent des copies d’œuvres contrefaites, où ceux qui cherchent activement à en obtenir, les infractions suivantes peuvent aussi être envisagées pour un ou plusieurs des acteurs :

  • parfois, on va relever des actes d’atteintes à des systèmes de traitement automatisé de données (article 323-1 et suivants du code pénal), lorsque sont utilisés, pour stocker les œuvres contrefaites, des machines ou serveurs connectées à Internet, à l’insu de leur propriétaire légitime ;
  • la diffusion, lorsqu’elle est susceptible d’être vue ou perçue par un mineur d’un contenu à caractère violent, pornographique ou portant atteinte à la dignité humaine (article 227-24 du code pénal) – en effet certains espaces des communautés warez diffusent très librement, à tous leurs membres dont l’âge n’est pas contrôlé, des films notamment à caractère pornographique ;
  • la provocation à commettre un délit (article 23 de la loi sur la liberté de la presse) – en effet, tout est fait, organisé, expliqué, voire exigé pour pouvoir rester sur le forum, afin que les utilisateurs participent aux activités de contrefaçon.
  • le corollaire de cette infraction de provocation est qu’on pourra parfois envisager la circonstance aggravante de la bande organisée (soit une peine maximale de cinq ans d’emprisonnement et 500.000 € d’amende pour la contrefaçon commise en bande organisée) ;
  • enfin, lorsque des revenus financiers sont tirés de cette activité, on pourra relever différentes infractions de travail dissimulé ou relatives aux impôts et cotisations sociales non versés.

Bien entendu ces infractions sont à adapter aux actions commises par les différents participants. Toutefois, sans être l’auteur principal de telle ou telle infraction, toute personne qui aura aidé pourra être poursuivie pour complicité. Cette aide peut intervenir de multiples façons, y compris par fourniture de moyens (prêt d’un espace de stockage sur un serveur Web par exemple, conseils techniques, etc.).

Juridiction et territorialité

Sur le plan de la compétence territoriale, toute infraction dont un élément au moins se déroule en France est punissable en France, et un enquêteur puis un magistrat pourront bien évidemment s’en saisir. En particulier si l’auteur de l’infraction se trouve en France, même s’il agit uniquement sur Internet, il pourra être évidemment poursuivi, où que se trouve par exemple le serveur de mise à disposition des contrefaçons ou le forum de la communauté warez.

Conclusion

Les armes juridiques sont donc multiples qui permettent de lutter contre ces formes de contrefaçon réalisées de façon concertée sur Internet, les formes les plus graves à mes yeux étant réalisées par ceux qui en tirent des revenus.

1 juin 2010 by Cybercriminalité Juridique 4

Fermeture définitive de 3FN

Ce court billet pour saluer l’annonce au cours de la semaine passée de la fermeture définitive de l’hébergeur malhonnête 3FN suite à une démarche judiciaire de la Commission fédérale du commerce (FTC) américaine.

J’avais évoqué cette affaire voilà quelques mois sur ce blog.

La nouvelle est décrite sur différents blogs et journaux d’information en ligne: eWeek Security WatchGraham Cluley, Network World, SunBelt Blog.

24 mai 2010 by Actualité judiciaire Cybercriminalité 0

Rapport semestriel de l’APWG 2S2009 – le groupe Avalanche

L’Anti-phishing working group (APWG) a publié le 10 mai 2010 son rapport portant sur le second semestre de l’année 2009 des activités de détection et de lutte contre le phishing. Le groupe surnommé Avalanche aurait été derrière 2/3 des attaques de phishing sur cette période, avant de pratiquement disparaître.

Résumé (page 3 du rapport) des informations principales de ce rapport :

  • Le groupe surnommé « Avalanche » aurait été responsable de 2/3 des opérations de phishing au cours du second semestre 2009 ;
  • Les actions menées contre Avalanche ont fait baisser la moyenne de la durée de vie des sites de phishing par rapport au premier trimestre, mais cela cache de plus mauvais résultats contre les activités extérieures à Avalanche ;
  • Le nombre d’adresses IP ou de noms de domaine utilisés pour le phishing est resté stable au cours des 2,5 années passées, alors que le nombre de noms de domaines enregistrés a progressé ;
  • 5 TLD concentrent l’essentiel des actions de phishing (.be, .com, .eu, .net et .uk) ;
  • Les noms de domaine internationaux (utilisant des caractères d’autres alphabets) ne sont pas encore exploités significativement par les phishers ;
  • Les phishers continuent d’utiliser massivement les services des sous-domaines (possibilité d’ouvrir gratuitement ou non des noms de domaines subalternes, comme chez t35(.)com qui a été le plus utilisé au cours de cette période).

Résumé des statistiques relevées par l’APWG :

  • 126.697 attaques de phishing, soit plus du double par rapport au premier semestre 2009 ;
  • 28.775 noms de domaines distincts ont hébergé ces attaques, soit une valeur en baisse constante par rapport aux périodes précédentes ;
  • 66% des domaines enregistrées de façon frauduleuse pour commettre ces attaques (4.141 sur 6.372) l’auraient été par le groupe Avalanche.

Avalanche

Avalanche est un groupe spécialisé dans les campagnes de phishing qui gère une véritable infrastructure. Ils seraient ainsi responsable, selon l’APWG de 84.250 des 126.697 attaques de phishing relevées au cours du second semestre 2009, qui ont ciblé une quarantaine de marques au cours de cette période. La fin de l’année a vu une chute de son activité.

Les domaines gérés par Avalanche sont hébergés sur des botnets composés essentiellement d’ordinateurs individuels de particuliers. Cela rend les mesures de réaction complexes, parce qu’aucun hébergeur ou fournisseur de services Internet n’est capable d’agir directement sur les pages de phishing.

Le fonctionnement du bot utilisé par Avalanche est assez simple : il se compose de deux fichiers (et d’une clé de registre Windows), il écoute sur le port 80 réservé aux connexions Web et relaie la demande vers le serveur qui héberge réellement la page de phishing.

En outre, Avalanche a été utilisé pour diffuser une forme du logiciel malveillant Zeus, qui sert à collecter des données personnelles en espionnant la machine infectée.

Les campagnes de phishing d’Avalanche sont assez semblables au cours du temps, avec l’enregistrement de noms de domaines dédiés, l’utilisation de sous-domaines sur les domaines qui restent actifs suffisamment longtemps et l’émission de campagnes de spam. Malgré les réactions coordonnées des différents acteurs concernés (dont les bureaux d’enregistrement), Avalanche semble avoir été très profitable.

Dancho Danchev relève sur son blog qu’il existerait une relation forte entre les opérations du groupe Avalanche et l’opérateur Troyak AS qui aurait été déconnecté de l’Internet au mois de Mars (voir encore le blog de Dancho Danchev).

Il semble que les activités d’Avalanche aient nettement ralenti, mais comme de nombreux indices permettent d’entrevoir un lien avec les activités d’un précédent groupe de phishing, Rock Phish, on peut légitiment supposer que les criminels derrière Avalanche ne tarderont pas à relancer leurs activités sous une nouvelle forme.

Conclusion

Outre, la renaissance attendue d’Avalanche, les spécialistes de l’APWG prédisent une progression de l’usage des services de raccourcissement de liens (comme le fameux bit(.)ly).

15 mai 2010 by Cybercriminalité 0

Service d’assistance téléphonique pour les fraudeurs du Net (suite)

Ce court article pour continuer de vous informer sur l’affaire CallService, au travers d’informations glanées dans un autre article publié aujourd’hui. (voir mon article précédent sur le sujet)

On y apprend que l’analyse de l’adresse IP derrière laquelle était hébergé callservice.biz diffusait aussi:

  • 1001russian-bride.com : un service permettant de se trouver une épouse russe ;
  • et AdmiralSlots.com un casino en ligne…

On y apprend surtout quelques réactions relevées sur des sites de l’underground russophone :

  • Des avertissements envoyés sur le forum xakepok pour inciter les utilisateurs de CallService que les détails de leurs connexions ou de leur compte d’abonné étaient entre les mains du FBI et qu’il ne fallait plus utiliser leur compte ICQ (ICQ est très utilisé dans cet univers cybercriminel) ou leur adresse de courrier électronique.
  • On s’inquiète dans un autre forum des conséquences judiciaires (eh oui… aux USA, le suspect principal risque 39 ans 1/2 d’emprisonnement).
  • Enfin, un message sur CarderNews.ru rappelle quelques règles de sécurité et appelle à ne pas trop s’inquiéter (eh oui… il faut rassurer ses clients ! on est dans un univers de services pour les petits criminels comme je vous le disais hier).
21 avril 2010 by Actualité judiciaire Cybercriminalité 0

Service d’assistance téléphonique pour les fraudeurs du Net

Les autorités américaines ont annoncé hier avoir entamé les procédures de mise en accusation (voir le document de la cour du district sud de New York) du biélorusse Dmitry N. qui est soupçonné, avec son complice Sergey S., d’être le gérant du site callservice.biz.

Le service qu’ils offraient sur ce site consistait à procéder à des appels téléphoniques de confirmation en langue allemande ou anglaise, avec une voix d’homme ou de femme. Ces appels sont parfois réalisés par les banques pour vérifier des transactions d’un montant important ou changer des informations personnelles. Chaque appel réussi était facturé $10.

Aujourd’hui le site n’est plus opérationnel:

En effet, il a fait l’objet d’une prise de contrôle par le FBI américain, sur l’ordre de la justice de l’État de New York.

Dmitry N. a été interpellé jeudi 15 avril en République Tchèque, tandis que Sergey S. était interpellé en Biélorussie (ou il a été mis en accusation). Dans le même temps, les autorités lithuaniennes procédaient à la saisie des serveurs informatiques où était hébergé callservice.biz ainsi que cardingworld.cc.

Leurs activités duraient depuis juin 2007 (le domaine callservice.biz a été créé le 28 juin 2007). Il aurait permis à plus de 5400 occasions (donc pour un chiffre d’affaires de l’ordre de 54.000 dollars) à des délinquants (plus de 2000 « clients » satisfaits selon le site criminel lui-même), non anglophones ou non germanophones, ayant mis la main sur des données personnelles de conduire des transactions poussées avec des établissements bancaires. Il leur suffisait de fournir nom, adresse, date de naissance, numéro de sécurité sociale, et autres informations en leur possession.

Nous avons donc maintenant un acteur de plus à rajouter dans la liste des participants à la fraude organisée sur Internet, l’interprète ou peut-être l’acteur (proposez des noms, je n’ai pas de traduction satisfaisante pour beaucoup des autres acteurs comme les « pasteurs » – herders en anglais – de botnets). Les détails qui ont été fournis par les autorités américaines ne permettent pas de savoir s’il s’agissait de personnes recrutées par Internet ou dans l’entourage des auteurs principaux.

D’autres articles sur cette affaire:

Brian Krebs fait référence à d’autres services similaires dont peut voir les annonces sur Verified.ru (un forum similaire à CardingWorld): Atlanta Alliance et Aegis Team (géré par un certain CallsManager). Tous deux offrent aussi à la vente un certain nombre de produits (à acheter avec une carte bancaire volée et qui peuvent être ensuite revendus sur Ebay…) ou mettent en relation des mules et leurs clients. Un véritable boom donc dans les services aux criminels de l’Internet.

Atlanta Alliance (capture réalisée par B. Krebs)

21 avril 2010 by Actualité judiciaire Cybercriminalité 3

Que dire des Infiltrés (France 2) ?

Site Web de l'émission Les Infiltrés (France 2)

L’émission diffusée par France 2 cette semaine (mardi 6 avril 2010 en deuxième partie de soirée) est visionnable sur le site Internet de l’émission. Tout un débat s’est développé, avant et depuis la diffusion pour critiquer l’action des journalistes qui ont signalé les faits découverts au cours du reportage à des services d’enquête. Ce débat – que je me garderai bien de trancher – ne doit pas occulter le fond du problème.

Cette émission montre d’abord, s’il était nécessaire, que le phénomène des rencontres entre des prédateurs et des enfants sur Internet est loin d’être une fiction et qu’il est nécessaire de développer une réponse adaptée. J’ai développé à plusieurs reprises l’action de nos enquêteurs dans le cadre des cyberpatrouilles, rendues possible depuis un an maintenant. Et cela confirme donc qu’il faut continuer de développer ces dispositifs et former de nouveaux cyberpatrouilleurs.

C’est aussi une sensibilisation intéressante pour les parents, qui doit les inciter – non pas à leur interdire d’aller sur Internet – mais à parler de ces sujets avec leurs adolescents, maintenir le dialogue, les prévenir de ces risques, s’intéresser à leurs activités en adaptant les contraintes à l’âge de son enfant (notamment ne pas laisser les plus jeunes seuls sur Internet). Plusieurs associations diffusent des conseils utiles (Action Innocence, e-Enfance) ou le site Internet Sans Crainte.

Enfin, un sujet est particulièrement préoccupant parmi ceux qui sont dénoncés dans le reportage : le sérieux des entreprises qui gèrent des chats et autres sites dédiés aux plus jeunes. Parmi les problématiques évoquées :

  • la publicité non adaptée au public, dès la page d’accueil ;
  • plus grave, l’absence de modération sérieuse.

Je me contenterais de citer la recommandation pour la création d’une marque de confiance des fournisseurs d’accès à Internet et de services en ligne, à laquelle nous avions contribué sous l’égide du Forum des droits sur l’Internet (extraits de la recommandation) :

1.3 Le prestataire ne diffuse pas, dans les pages qu’il édite sauf dans les espaces réservés aux adultes, des publicités faisant la promotion de contenus violents, pornographiques ou attentatoires à la dignité humaine.

1.4 Le prestataire ne diffuse pas, sur les services et les contenus manifestement destinés aux mineurs qu’il édite, de publicités faisant la promotion de certains biens ou services inappropriés (par exemple : contenus érotiques, services de rencontres pour adultes, loteries commerciales, jeux d’argent, alcool, tabac) ou contraires à la recommandation « enfant » du BVP.

1.5 Le prestataire s’engage à ne pas diffuser, sur les pages qu’il édite sauf dans les espaces réservés aux adultes (protégés par un dispositif empêchant les mineurs de consulter ces contenus), des contenus pornographiques, violents ou attentatoires à la dignité humaine. Il s’engage, en outre, à ne pas faire figurer des liens hypertextes vers de tels contenus depuis sa page d’accueil.

[…]
1.27 Lorsqu’il crée un espace interactif spécifiquement dédié aux mineurs, le prestataire s’engage à modérer les propos échangés conformément à la charte d’utilisation prévue au 1.19, tout le temps de leur accessibilité au public. Le modérateur répond aux sollicitations ; il est spécifiquement informé des procédures à mettre en oeuvre en cas de signalement de contenus ou de comportements illicites.

Même si une telle marque de confiance n’a pas encore été créée, ses recommandations sont parfaitement adaptées à ce type de services qui, s’ils ne les respectent pas, non seulement mettent en danger des enfants, mais risquent de tomber sous le coup de la loi (notamment au regard de l’article 227-24 du code pénal).

Faites-vous votre propre opinion, et informez-vous, en regardant ce reportage et les échanges qui ont suivi sur le plateau.

11 avril 2010 by Cybercriminalité Prospective 2

4ème Forum International sur la Cybercriminalité – Un bilan

Le 4ème Forum International sur la Cybercriminalité qui s’est déroulé les 31 mars et 1er avril 2010 a tenu ses promesses, avec plus de 2200 participants, des dizaines d’exposants, 30 ateliers et conférences pour répondre aux attentes de tous. La reprise assez importante par la presse de cet événement dénote l’intérêt du grand public pour une plus grande sensibilisation sur ces sujets. La présence nombreuse de nos interlocuteurs dans les entreprises, régionales ou nationales montre aussi une véritable préoccupation.

Un public nombreux à l'ouverture du FIC 2010

Le FIC est aussi devenu un véritable événement Européen et International avec la présence de nos partenaires de dizaines de pays. J’ai ainsi pu rencontrer les collègues que j’y côtoie habituellement (Belges, Anglais, Allemands, …), mais par exemple un camarade de la gendarmerie royale du Maroc ou écouter l’exposé de Mohamed Chawki (Conseil d’Etat, Egypte) nous exposer la situation dans son pays et ailleurs en Afrique en matière de législation contre la cybercriminalité.

Dans quelques jours, les photos et les compte-rendus des ateliers seront disponibles sur le site de la conférence.

Guides contre la cybercriminalité

Deux guides qui ont beaucoup contribué au succès du FIC ont été publiés dans une nouvelle édition, chacun à destination d’un public différent.

Le guide pratique du chef d’entreprise face au risque numérique (4° éd.)

Rédigé avec le soutien du Clusif et de l’association S@ntinel, ainsi que de nombreux partenaires publics et privés. Le guide est organisé en deux grands chapitres:

  • Douze études de cas (La divulgation de savoir-faire, Le vol d’ordinateur portable ou de PDA, La défiguration de site Web,…)
  • Les recommandations des institutions.

Il a été distribué au cours du salon et sera disponible en téléchargement très bientôt sur le site du FIC (mais on le trouve déjà en cherchant bien…). Indispensable !

Cybercrimin@lité, réflexes et bonnes pratiques (2° éd.)

Plus discret, car destiné au public des enquêteurs et des magistrats, ce guide en est déjà à sa deuxième édition. Il a été rédigé sous la houlette d’un comité rédactionnel régional trans-frontière: Eric Absil (RCCU Charleroi), David Cassel (NTECH à Arras), Serge Houtain (RCCU Tournai) et Laurent Frappart (NTECH à Arras) et le nombre de contributeurs est particulièrement nombreux.

Ce guide est organisé en cinq grandes parties:

  • Un chapitre d’introduction et de définitions
  • Vecteurs et supports de la cybercriminalité
  • Les constatations dans l’espace virtuel
  • Les cadres légaux belge et français
  • 11 fiches réflexes

Bilan des conférences et ateliers

Tout d’abord un coup de chapeau à mes camarades de la Région de gendarmerie Nord Pas de Calais et à tous leurs partenaires pour la réussite de cet événement ! Je n’ai malheureusement pas pu assister à beaucoup des conférences et ateliers, mais un sujet était très présent cette année, jusque dans les conclusions du Général d’armée Marc Watin-Auguouard, la cyberdéfense.

La France et l’Europe sont-elles prêtes dans la lutte contre les nouvelles formes de conflit sur les réseaux et les risques les plus graves contre nos infrastructures vitales ? Le bilan de la table ronde dédiée à ce sujet est positif, même s’il reste des efforts à faire, notamment en termes de connaissance du dispositif par l’ensemble des acteurs concernés (comme le portail officiel sur la sécurité informatique).

A titre personnel j’indiquerais qu’il faut peut-être encore plus décloisonner les interactions public-privé (les partenariats public-privé dans la cyberdéfense étaient le thème de cette table ronde). On sent en effet, malgré les ouvertures et les projets communs qu’il manque une fluidité dans la circulation de l’information. Les OzSSI (observatoires zonaux de la sécurité des systèmes d’information) sont un outil de ce décloisonnement, peut-être faut-il attendre maintenant des entreprises qu’elles partagent plus facilement l’information, notamment au sein d’un même secteur économique, pour être ensemble mieux préparées aux risques.

Rendez-vous en 2011 !

4 avril 2010 by Cybercriminalité Prospective Sécurité 2