Cybermenaces

Cybermoi/s et Charte Cyber – Les référents cybersécurité

Le 02 octobre après-midi se tenait l’événement de lancement du Cybermoi/s, déclinaison française du Mois européen de la cybersécurité. Il est rediffusé en vidéo. Ce mois de la cybersécurité est destiné à mobiliser l’ensemble de la communauté sur des actions de sensibilisation et de prévention sur les risques numériques. Piloté par l’ENISA au niveau européen, pour la première fois à l’occasion de la 11e édition, c’est l’équipe de cybermalveillance.gouv.fr qui en est chargée au niveau français. Un site Internet spécial y est consacré.

Au niveau européen, le thème choisi pour cette année est: #BeSmarterThanAHacker (soyez plus malin qu’un hacker).

En France, il a été décidé de mettre l’accent plus précisément sur la fraude par ingénierie sociale sous le mot clé . En pratique, “tout au long du mois d’octobre 2023, des activités vont être organisées en France et en Europe autour des enjeux de cybersécurité : action citoyenne, conférences, campagnes vidéos, articles… Comme chaque année, un panel d’acteurs publics, privés et associatifs se mobiliseront pour proposer un programme de sensibilisation pédagogique à destination de tous les publics et ainsi développer une culture européenne cyber commune.”. Le site Web du Cybermoi/s propose un agenda des événements, un kit de communication et aussi vous proposer de participer en relayant les messages #CyberResponsables sur vos réseaux sociaux.

La Charte Cyber

Une des initiatives de ce Cybemoi/s me tient particulièrement à cœur: il s’agit de la diffusion d’une Charte Cyber par laquelle 83 organisations appellent tous les acteurs à se mobiliser au travers de 8 engagements simples et concrets pour promouvoir un cadre de cybersécurité vertueux et responsable.

Le second engagement est peut-être l’un des plus à même de transformer l’approche de la cybersécurité:

2. Nommer un « référent cybersécurité » en charge de porter et d’animer le sujet en interne.

En effet, de la même façon que les référents informatique et libertés, devenus avec le RGPD des délégués à la protection des données, ont permis d’abord par une démarche volontaire, puis avec un caractère obligatoire de porter au sein de toutes les organisations le sujet de la protection des données à caractère personnel, il me paraît essentiel d’emprunter aujourd’hui le même chemin pour la sécurité numérique. Bien entendu, toutes les organisations, notamment les plus petites, ne peuvent pas avoir un responsable de la sécurité des systèmes d’information de plein exercice, mais à tout le moins quelqu’un chargé de suivre ces sujets, sensibiliser et conseiller sa hiérarchie. Peut-être dans une prochaine loi prévoira-t-on un cadre incitatif et protecteur pour le développement des référents cybersécurité dans les associations, entreprises et collectivités locales de petite taille et bien entendu des RSSI dans toutes les organisations dont la taille ou la complexité le nécessitent.

Mobilisation de la gendarmerie

Enfin, au cours de ce Cybermoi/s la gendarmerie se mobilise en intervenant dans différents événements organisés au niveau national et dans les territoires. Cette année le Commandement de la gendarmerie dans la cyberespace (COMCYBERGEND) proposera plusieurs vidéos de sensibilisation à certains risques numériques. La première a été publiée le 02 octobre:

Mastodon, le fédiverse et quelques premiers enjeux pour l’investigation numérique

3D visualization of the proposed Fediverse logo. (Eukombos, https://tinyurl.com/4swry4kn; CC BY-SA 4.0, https://creativecommons.org/licenses/by-sa/4.0/deed.en)

Ce court billet vise à explorer les premiers enjeux que l’on peut évoquer pour les réseaux sociaux émergents (même s’ils existent depuis quelques années en réalité) qui constituent le fédiverse en matière d’investigation numérique. Beaucoup se sont déjà exprimés sur les questions de régulation des contenus, je n’y reviendrai pas, même si les ressorts sont similaires.

Quelques rappels sur le fédiverse.

Le fédiverse est une fédération d’espaces de publication (ou réseaux sociaux) reposant généralement sur des logiciels libres (exclusivement pour l’instant) et utilisant un protocole permettant l’interopérabilité par le rediffusion des activités entre les différentes plateformes. Le protocole majoritairement utilisé aujourd’hui est ActivityPub, officiellement publié comme recommandation du W3C le 23 janvier 2018.

Mastodon est le logiciel le plus couramment utilisé, mais il en existe d’autres du même type comme Pleroma. Ce protocole ActivityPub permet aussi de faire la passerelle vers d’autres modèles de publication d’informations que les microblogs comme la publication d’images (Pixelfed), de vidéos (Peertube qui repose sur une distribution pair à pair des contenus) ou d’événements (Mobilizon).

Applications et protocoles du Fédiverse

En pratique, on peut donc publier sur une plateforme des contenus qui seront accessibles dans les autres types d’applications (le rendu s’adaptera à l’application utilisée et bien entendu le client utilisé pour accéder au serveur et visualiser l’information), mais aussi suivre des comptes sur l’ensemble du Fédiverse. Par exemple, le présent blog WordPress est configuré avec une extension ActivityPub qui permet de le suivre sur l’adresse @ericfreyss.

Au-delà de ce premier niveau de fédération, chaque logiciel ne tourne pas sur un seul serveur, mais potentiellement sur autant de serveurs que d’initiatives individuelles qui le souhaitent. Ainsi utilisant Mastodon, on retrouve:

Plusieurs annuaires de serveurs sont disponibles: https://joinmastodon.org/fr/servers et https://instances.social/.

Enfin, dernier aspect qui me parait intéressant que j’évoquerai dans cette introduction: la multiplicité des clients. Même si sur Twitter on a pu connaître plusieurs clients, sur Mastodon en particulier c’est la règle. Le mode d’accès classique reste d’abord le site Web – qui peut être installé comme application Chrome/Chromium par exemple sur son PC ou son téléphone/tablette. Mais il existe aussi de nombreux clients, avec souvent la possibilité de se connecter à plusieurs comptes en même temps. J’utilise pour ma part Tusky sur Android et Sengi sur mon PC.

Enfin, plusieurs services suivent l’évolution des statistiques d’utilisation de ces plateformes. On peut citer https://fediverse.observer/stats, https://fediverse.party/, et le compte @mastodonusercount@bitcoinhackers.org qui publie toutes les heures une mise à jour:

Statistiques Mastodon (utilisateurs, serveurs)

Premiers points d’intérêt pour l’investigation numérique.

Bien entendu, il est probable que nous soyons amenés à conduire de plus en plus d’investigation numérique sur le fediverse, il y en a sûrement déjà un certain nombre malgré le relatif faible nombre d’utilisateurs actuels.

Tout d’abord, un petit détail technique. On a compris qu’il peut y avoir de nombreux serveurs et donc parler de Mastodon ou de Fédiverse n’amènera pas les enquêteurs (ou les spécialistes en collecte d’informations en source ouverte), vers une seule société, mais bien vers une multitude d’acteurs. Mais c’est évidemment la même chose pour tous les services classiques du Web décentralisé que l’on connaît. Le détail technique que je souhaitais évoquer est que l’adresse d’un compte du type @nomutilisateur@serveur.tld ne donne pas forcément le nom complet du serveur sur lequel le compte est hébergé. Ainsi pour le serveur académique francophone https://social.sciences.re/, les adresses sont de la forme @utilisateur@sciences.re. Astuce: pour accéder au serveur facilement, on peut utiliser le client Web Mastodon classique et d’un clic droit sur le menu contextuel on choisira l’option “Ouvrir la page d’origine”:

Dans la plupart des cas, on retrouvera une page d’information sur le serveur (“A propos” …/about/) qui décrit les règles de fonctionnement du serveur, donne des informations sur le/les gestionnaires, le nombre d’utilisateurs. On ne trouve pas encore à ce stade d’information de contact pour les services d’enquête. Parfois, ce pourra être uniquement le serveur de publication d’une entreprise ou d’une famille.

Il est aussi important de comprendre que dans la très grande majorité des cas, les serveurs sont gérés par des bénévoles, y compris leur modération. En tout état de cause, de la même façon que les services d’enquête et la justice sont au côté des utilisateurs des grandes plateformes, nous devrons relever le défi des réseaux sociaux décentralisés et nous adapter à cette réalité, qu’elle devienne la norme ou ne reste qu’une niche. A suivre et au plaisir d’échanger avec vous sur @ericfreyss@mastodon.social !

Fausses informations et réseaux sociaux

La diffusion de fausses informations n’est pas en soi un phénomène nouveau, mais l’émergence des réseaux sociaux – et leurs mécanismes de viralité – en a permis un développement particulièrement préoccupant au cours des derniers années. Quelles mesures prennent-ils et quels progrès doivent-ils encore réaliser?

Prévenir ou lutter contre les fausses informations est complexe pour deux raisons principales:

  • On est dans le domaine de la liberté d’expression, avec un champ particulièrement large de motivations à la création ou à la rediffusion de fausses informations. En particulier, un certain nombre des informations qui sont qualifiées de fausses peuvent dans certains cas relever du débat autour d’une question (on peut se tromper, on peut émettre des hypothèses qui se révèlent fausses). C’est le cas typiquement dans le cadre du débat scientifique.
  • Et donc, la diffusion de fausses informations n’est en général pas constitutif d’une infraction pénale, sauf dans certains cas particuliers liés à l’ordre public (art. 27 de la loi sur la liberté de la presse et art. 322-14 du code pénal), au processus électoral (art. L97 du code électoral et LOI n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information) ou à la mise en danger d’autrui (mauvais conseils médicaux, abus de faiblesse commis par certaines sectes réprimés par l’article 223-15-2 du code pénal). Dans certains cas, ce pourra aussi être lié à des escroqueries et plus spécifiquement la diffusion d’informations fausses ou trompeuses liées aux activités des marchés financiers (art. L465-3-2 et L465-3-3 du code monétaire et financier). Enfin, dans certains cas, la diffamation repose sur des informations fausses, mais ce n’est pas obligatoire pour que l’infraction soit retenue.

En outre, la motivation des diffuseurs de fausses informations, quelles qu’en soient les conséquences est variée: trolling et humour, inquiétudes réelles, mais aussi dans certains cas, la volonté de nuire à des personnes physiques ou morales, ou réellement de troubler le débat public.

On observe différents rôles dans ces diffusions de fausses informations:

  • Le créateur initial du message
  • Les personnes qui rediffusent le même message (simplement ou en le commentant de façon positive)
  • Les personnes qui créent un nouveau message contenant la même fausse information ou plusieurs fausses informations rassemblées
  • Et dans une certaine mesure, les personnes qui commentent les fausses informations, y compris pour les critiquer

Quel rôle pour les réseaux sociaux et autres plateformes interactives ?

Particulièrement impliqués dans la diffusion des fausses informations, les réseaux sociaux et les autres plateformes qui facilitent la diffusion d’informations (donc y compris les messageries instantanées, forums, etc.) se doivent de protéger leurs utilisateurs contre de telles diffusions si elles sont de nature à causer un préjudice. Bien entendu, la réponse devra être adaptée à la nature du service.

Si on se concentre sur les réseaux sociaux publics, la plupart d’entre eux ont pris des mesures qu’ils explicitent sous des formes diverses:

Parmi les pratiques courantes:

  • Engagement à supprimer les fausses informations sur certaines thématiques (notamment dans le cadre de l’épidémie de COVID-19 actuelle, mais aussi au regard des élections)
  • Dans certains cas (notamment sur le COVID-19), insérer sur la base du contenu des liens automatiques vers des sites officiels ou des sites de confiance
  • Travail avec des organismes de vérification de l’information indépendants, souvent associés à des médias
  • Avertissement au moment de la rediffusion d’un lien ou d’une vidéo

Dans certains rares cas, les utilisateurs peuvent signaler ce qu’ils estiment être une fausse information (Facebook uniquement dans ce que j’ai pu observer). Il semble assez surprenant de ne reposer que sur des méthodes algorithmiques pour détecter des fausses informations.

Face à cette disparité de dispositifs qui, bien entendu, doivent être adaptés à la réalité du fonctionnement de chaque réseau social et à sa volonté de développer une expérience utilisateur spécifique, il me semble que trois éléments clés devraient être absolument mis en oeuvre par tout réseau social:

  1. Transparence: afficher une politique claire, complète et détaillée de lutte contre les fausses informations;
  2. Faire confiance à l’usager: lui donner la possibilité simple et rapide de signaler une fausse information, critère parmi d’autres permettant de détecter la diffusion d’une fausse information;
  3. Supprimer toute fausse information illégale ou dangereuse pour les personnes.

Pour finir, ci-dessous quelques conseils que nous diffusions avec Europol il y a quelques mois dans le cadre de l’épidémie de COVID-19:

Crise du COVID-19 et cybermenaces #RépondrePrésent

Pour la gendarmerie nationale, la crise sanitaire du Coronavirus est un enjeu à trois égards: répondre aux nouvelles missions rendues nécessaires par l’accompagnement des mesures sanitaires et continuer à offrir un service de sécurité au public à la hauteur de ses attentes, tout en prenant en compte les contraintes pesant sur nos propres personnels évidemment.

Evidemment, il en est de même dans le champ des cybermenaces et le réseau CyberGend répond présent!

La première étape pour nous fut d’analyser rapidement l’évolution de la menace, en observant les premières remontées du terrain et ce qui se passait dans les autres pays. D’emblée, les escroqueries liées à la thématique du Coronavirus (commercialisation de produits de santé) et les hameçonnages sur le même thème (notamment sur les dispositifs d’accompagnement ou les appels aux dons), puis les changements liés au télétravail (organisation dégradée des entreprises, collectivités et administrations, perte des réflexes, risques supplémentaires sur des réseaux plus ouverts, etc.) ont été identifiés comme premières tendances. En outre, les publics à prioritairement protéger étaient selon notre analyse: les professions médicales, la logistique et l’alimentation.

Immédiatement, la seconde étape a consisté à mettre en oeuvre une stratégie de veille ciblée sur Internet à la recherche des infractions, d’ouvrir des enquêtes et de prendre des mesures préventives (saisie de noms de domaine). Le réseau CyberGend, plus spécifiquement le C3N et sous sa coordination les antennes du C3N dans les 9 principales régions qui ont été ainsi mobilisés. L’un des enjeux est aussi de pouvoir toujours prendre en compte les victimes de cybercriminalité et de recevoir les plaintes, partout sur le territoire, y compris dans une situation sanitaire complexe. C’est en particulier le cas pour les attaques par rançongiciel qui ont touché plusieurs entreprises et associations depuis le début de la crise et sur lequel les enquêteurs NTECH et les C3N se mobilisent.

En outre, nous avons observé le développement de nombreux phénomènes de diffusion de fausses informations ou de théories complotistes. Ils sont souvent repris et corrigés par les grands médias, mais il ne faut pas s’interdire de douter face à une information surprenante et réfléchir avant de la rediffuser.

Quasiment dans le même temps, les actions de prévention ont été multipliées, au contact des secteurs les plus directement concernés. Par exemple, dès le début de la crise, les pharmacies ont été sensibilisées à des tentatives d’escroqueries les ciblant pour la fourniture en gros de produits sanitaires. Depuis, les actions de sensibilisation se multiplient sur le terrain, les gendarmes des sections opérationnelles de lutte contre les cybermenaces, les référents sûreté dans les départements, contactant progressivement l’ensemble des secteurs économiques clé et les collectivités locales, avec des messages de sensibilisation et proposant un diagnostic de la situation de sécurité numérique dans le contexte de la crise.

Cet article de Nice Matin montre l’action des enquêteurs NTECH au contact des victimes, pour prévenir, détecter et enquêter.

 

Prévention: La gendarmerie relaie aussi les messages de ces partenaires, ici le centre Européen de lutte contre la cybercriminalité d’Europol EC3, ou encore www.cybermalveillance.gouv.fr

Enfin, c’est évidemment la sécurité de nos propres systèmes d’information à laquelle nous veillons tout particulièrement.

Une coopération exceptionnelle

Beaucoup d’entre nous vivent très certainement cette période comme une occasion formidable d’échanger énormément avec ses différents contacts par des moyens électroniques. Force est de constater que dans le secteur de la sécurité numérique, les échanges sont nombreux. Je vais en citer quelques-uns.

En France, les différentes associations sont mobilisées et Signal Spam ou le CESIN dont je vous ai parlé plusieurs fois sont actifs pour échanger et réagir aux incidents qui ont pu émailler les dernières semaines et surtout s’entraider. Le groupement d’intérêt public ACYMA, gestionnaire du portail www.cybermalveillance.gouv.fr est particulièrement à l’oeuvre pour prodiguer des conseils et continuer à assister les victimes d’actes de Cybermalveillance.

Deux collectifs internationaux de la cybersécurité ont vu le jour et sont particulièrement actifs, échangeant des indicateurs de compromission (ces détails qui permettent à d’autres de détecter des attaques ou des comportements illégaux que les partenaires ont déjà documenté) et se coordonnant pour mener les actions permettant de faire cesser les activités cybercriminelles: la Cyber Threat Coalition, et la COVID CTI League. Bien entendu, comme d’autres services d’enquête spécialisés dans le monde, nous y sommes présents.

Pour en apprendre un peu plus sur les coulisses de l’action de la gendarmerie dans la dimension cyber de cette crise sanitaire, vous pouvez écouter le podcast que Nolimitsecu y a consacré cette semaine.

… #RépondrePrésent

Plus que jamais, pendant cette crise sanitaire du Coronavirus, la gendarmerie se devait de #RépondrePrésent, et je puis témoigner que tous les jours, l’ensemble des personnels du réseau CyberGend sont mobilisés pour anticiper, détecter, investiguer et accompagner nos concitoyens plus que jamais concernés par les menaces dans l’espace numérique qu’ils utilisent quotidiennement.

Cybermenaces

Aujourd’hui, une nouvelle page se tourne pour moi. Je quitte une équipe que j’ai aimé commander pour endosser un nouveau rôle. J’ai en effet été nommé comme Conseiller dans l’équipe qui entoure le Préfet en charge de la lutte contre les cybermenaces au Ministère de l’intérieur. Ce billet aura certainement une tonalité un peu personnelle, car j’éprouve une certaine émotion à tourner cette page.

Ce fut un grand honneur pour moi de partager pendant quatre ans et demie la vie des femmes et hommes de la division de lutte contre la cybercriminalité du service technique de recherches judiciaires et de documentation de la gendarmerie nationale. Ensemble nous l’avons transformée en un Centre de lutte contre les criminalités numériques (C3N) avec le développement de nouveaux volets essentiels : la lutte contre les botnets et la diffusion des virus informatiques qui les forment, ainsi que la prospective et l’animation territoriale.

Il s’agissait d’être en mesure de prendre l’initiative sur une forme de plus en plus prégnante de l’expression de la cybercriminalité: ne pas se contenter d’attendre les plaintes des individus, des entreprises victimes de virus informatiques, mais aller au devant des phénomènes au moment où ils se mettent en place (j’ai parlé ici plusieurs fois de la façon dont se mettent en place les botnets, se propagent les virus). En réalité, il s’agit de transposer dans le monde numérique ce qu’on fait tous les jours en matière de prévention de la délinquance: collecte de renseignement, patrouilles, actions en flagrance et évidemment enquêtes judiciaires, coopération internationale, etc. Il y a encore beaucoup de travail et de progrès à faire dans ce domaine, mais nous avons fait de premiers grands pas. Cela s’est concrétisé par plusieurs enquêtes réussies, des actions de sensibilisation que nous avons nourri et soutenues (Stopransomware contre les rançongiciels, puis Antibot lancé récemment par le CECyF et nos partenaires). Parmi ces enquêtes certaines ont eu des résultats concrets y compris en France, dans le cadre d’une opération que nous coordonnions dans le cadre d’Europol. Il nous manque encore dans ce domaine la possibilité de réaliser des enquêtes sous pseudonyme, j’espère que ce sera rapidement le cas: beaucoup de ces infractions se préparent et s’organisent en ligne dans des espaces où les enquêtes doivent pouvoir se poursuivre.

Traiter de la prospective et de l’animation territoriale au sein du C3N c’est accompagner encore plus efficacement les unités de la gendarmerie qui partout en France œuvrent dans le domaine de l’investigation numérique: les enquêteurs de la gendarmerie épaulés par un réseau de 270 enquêteurs spécialisés (les enquêteurs NTECH) et 1600 correspondants en technologies numériques (les C-NTECH). Depuis le mois d’août 2014, nous analysons chaque mois de 2500 à 3000 dossiers traités par les unités de gendarmerie: pour comprendre ce qui est réellement traité par ces unités, ce que rapportent les victimes ou que détectent des enquêteurs, mais aussi pour réaliser des rapprochements et développer les outils pour faciliter le travail de nos enquêteurs. Et ce dispositif va continuer de s’adapter, notamment suite aux recommandations développées dans le Rapport sur la cybercriminalité remis en juin dernier aux ministres.

Bien entendu, l’activité du C3N se poursuit dans les autres champs d’activités illicites sur Internet dont les atteintes aux mineurs sur Internet ou encore – au travers du département informatique-électronique de l’IRCGN qui est associé au travail du C3N – dans l’innovation pour l’investigation technique numérique. Dans quelques semaines, l’ensemble du C3N sera installé dans les nouveaux locaux du Pôle judiciaire de la gendarmerie nationale (PJGN) à Pontoise.

Demain matin – mais évidemment la prise de contact s’est faite voilà plusieurs semaines déjà – je rejoindrai donc un nouveau lieu de travail dans Paris et une nouvelle équipe en cours de construction. Le ministre de l’intérieur annonçait la nomination de ce Préfet en charge de la lutte contre les cybermenaces au mois de juin dernier, plus précisément chargé de coordonner la mise en œuvre d’un plan stratégique de lutte contre les cybermenaces.

Nommé en décembre 2014, le Préfet Jean-Yves Latournerie était interviewé voilà quelques jours par AEF et il expliquait qu’effectivement le moment était venu de créer au sein du ministère de l’intérieur un échelon stratégique sur la question des cybermenaces. Il s’agit de piloter la stratégie de l’ensemble des composantes du ministère de l’intérieur, non seulement dans la lutte contre la cybercriminalité, mais aussi pour la protection des intérêts vitaux de la Nation et la protection des systèmes de traitement automatisé de données du Ministère ou placés sous sa responsabilité. Ce travail doit se faire en lien avec l’ensemble des ministères et des partenaires externes de toute nature (industriels, académiques ou encore associatifs) qui contribuent à cette cybersécurité.

J’appréhende cette nouvelle mission avec une motivation indéfectible, et surtout une très forte reconnaissance pour toutes celles et ceux avec qui j’ai pu travailler, échanger, apprendre, dialoguer, inventer depuis 17 ans en France et à l’étranger contre la cybercriminalité et en particulier l’équipe qui m’accompagne depuis presque cinq ans. Je me réjouis de continuer à travailler au service d’une thématique majeure et qui me passionne, de rencontrer de nouveaux acteurs et de faire progresser le dialogue et la coopération dans ces domaines.