Investigation & transformation numériques

Juridique

Il faut rendre les notifications d’incidents de sécurité obligatoires

Sénat (GNU FDL)

Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

  • l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
  • le droit à l’oubli ;
  • une clarification du statut de l’adresse IP ;
  • et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. – Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

  • rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
  • sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
  • enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.

28 février 2010 by Cybercriminalité Juridique Sécurité 1

Usurpation d’identité, Jeux dangereux

Assemblée nationale (Photo: GPL)

Le débat sur la LOPPSI s’achève bientôt en première lecture à l’Assemblée Nationale. L’objet de ce billet est d’aborder deux dispositions de ce texte, telles qu’elles ont été votées aujourd’hui 11 février 2010: l’usurpation de l’identité sur Internet et la diffusion de messages incitant aux jeux dangereux pour les enfants (le « jeu du foulard » par exemple).

L’usurpation d’identité en ligne

L’article 2 de ce projet de loi prévoit une nouvelle incrimination pour certaines formes d’usurpation d’identité commises sur les réseaux de communications électroniques. Le texte issu du vote d’aujourd’hui est le suivant:

Art. 222-16-1. – Le fait de faire usage, de manière réitérée, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération.

Ainsi, deux modifications ont été apportées au projet issu de la commission des lois de l’assemblée nationale:

  • La suppression de la notion de réitération. En effet, l’objectif assigné au texte est de réprimer l’usurpation de l’identité dès lors qu’elle a pour intention de troubler la tranquillité d’une personne, ce qu’un seul de ces abus peut entraîner grâce à l’effet multiplicateur d’Internet.
  • La modification de la mention qui visait à recouvrir les formes de l’identité qui sont utilisées sur les réseaux de communication (pseudonymes, adresses de courrier électronique, …) pour la formule soulignée ci-dessus: « données de toute nature permettant de l’identifier ».

Plusieurs questions sont apparues dans le débat qui feront peut-être l’objet de clarifications lors des prochaines étapes du travail parlementaire:

  1. Couvre-t-on le cas des services de communication au public en ligne ? Les réseaux sociaux notamment ?
  2. De même, que penser des identifiants qui ne sont pas spécifiques à une personne ? En effet, le même pseudonyme peut-être utilisé par plusieurs personnes, dans des contextes ou à des moments différents, sans qu’il y ait d’intentions malhonnêtes, juste par le fait du hasard.
  3. L’objectif étant de viser l’usurpation d’identité sur les réseaux, n’interdit-on pas par la même occasion la possibilité d’utiliser l’image d’une personne à des fins légitimes ?

Sur le premier point, l’ensemble de ces services étant supportés par des réseaux de communications électroniques (la communication au public en ligne est en réalité une forme de communication supportée par les réseaux de communications électroniques), les réseaux sociaux et autres formes de communications en ligne sont couverts.

Sur le second point, je pense que les preuves collectées en vue de déterminer l’élément intentionnel de l’infraction devront effectivement démontrer la volonté d’abuser de l’identité d’un tiers en particulier, donc cet écueil semble écarté en première analyse.

Sur le troisième point, l’intention du législateur semble suffisamment claire pour que le contexte de l’usurpation d’identité sur les réseaux soit l’unique motivation retenue.

Les jeux dangereux pour les enfants

Le « jeu du foulard » et d’autres formes de jeux dangereux pratiqués par les jeunes adolescents et parfois de plus jeunes enfants occupe trop régulièrement l’actualité et de même qu’il est reproché la diffusion de certains messages incitant à des pratiques alimentaires dangereuses (anorexie), ou l’assistance au suicide (situation déjà réprimée par les articles 223-13 et suivants du code pénal), la publication de messages ou de vidéos faisant la promotion de ces jeux dangereux a été identifiée comme une cause possible de leur développement.

Ainsi, en octobre 2009, deux députés du groupe UMP de l’Assemblée nationale, Patrice Verchère et Cécile Dumoulin ont publié un rapport sur ce sujet qui faisait un certain nombre de propositions, dont des mesures de sensibilisation qui sont évidemment nécessaires pour prévenir ces actes, mais aussi l’aménagement de l’article 227-24 du code pénal pour réprimer la diffusion de ces contenus vers les plus jeunes.

Le texte, issu de l’amendement n°185 discuté aujourd’hui, aurait cette forme:

Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu’en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d’un tel message, est puni de trois ans d’emprisonnement et de 75000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur.

Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle ou de la communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.

A noter que cette disposition a été votée à l’unanimité des députés présents, avec l’avis favorable du gouvernement et du rapporteur, M. Eric Ciotti. (L’amendement n°8 qui voulait étendre le blocage des sites pédopornographiques aux contenus relevant de l’infraction de l’article 227-24 a été retiré au cours des débats).

En clair, de tels messages ne sont pas illégaux, mais on doit empêcher les mineurs d’y accéder, ce sont bien eux qu’on cherche à protéger.

Les difficultés habituellement rencontrées dans l’application de l’article 227-24 subsistent toutefois. Comme le Forum des droits de l’Internet le rappelait les recommandations du groupe de travail « Les enfants du Net », il est difficile aujourd’hui de mettre en œuvre des solutions adaptées au contrôle de la majorité des visiteurs sur un site Internet. Toutefois, cela incitera – pénalement – les professionnels qui seraient amenés à héberger de tels contenus de prendre les mêmes mesures qu’ils prennent pour empêcher les mineurs d’y accéder (absence de publicité pour ces sites destinée aux mineurs, messages d’avertissements, marquage des pages pour en faciliter la détection par les logiciels de contrôle parental, etc.).

La suite donc sur ces deux nouveaux types d’infraction lors des débats au Sénat, qui pourrait se tenir à la mi-avril.

12 février 2010 by Cybercriminalité Juridique 12

Blocage des sites pédopornographiques (suite)

Assemblée nationale (Photo: GPL)

Préambule

En préambule, je tiens à rappeler certains éléments de contexte sur le projet de blocage des sites pédopornographiques:

  • L’idée n’est pas née en France, mais est défendue par ses services spécialisés suite à plusieurs années d’échanges avec nos collègues, en Europe notamment, qui ont initié le même type de projets (voir le site Web du projet CIRCAMP);
  • Le blocage n’est pas une fin en soi. L’objectif est de contribuer à la lutte contre la diffusion des contenus pédopornographiques, dont j’ai déjà expliqué ici qu’il comportait de nombreuses facettes;
  • Si ce dispositif spécifique était décidé par le législateur, nous ne déclarerons nullement victoire, car il y a encore beaucoup de pain sur la planche, et comme pour beaucoup de sujets qui touchent à la lutte contre la délinquance, les moyens humains et financiers sont cruciaux.

De nouveaux éléments de débat ?

Le débat sur Internet au sujet du projet de blocage des sites pédopornographiques, voulu par la LOPPSI, est réellement devenu confus.

Ainsi, depuis quelques semaines, une campagne contre les dispositions liées au blocage des sites pédopornographiques contenues dans la LOPPSI est menée avec à la clé, la publication d’un recueil d’articles (voir l’article de Fabrice Epelboin sur ReadWriteWeb) dont le premier porte sur l’analyse du témoignage d’un pédophile qui a été diffusé voilà un an sur Wikileaks.

Qu’apportent ces nouveaux arguments au débat ? Voici le résultat de mes réflexions et mes réactions aux reproches qui sont faits aux professionnels de la lutte contre ces formes de délinquance.

Le blocage serait favorable pour le commerce pédophile ?

L’argument principal présenté par Fabrice Epelboin est que les groupes criminels qui commercialisent sur Internet des contenus pédophiles seraient devenus de tels spécialistes des techniques permettant de faire circuler discrètement des contenus illicites sur Internet, qu’ils deviendront les maîtres des réseaux « underground ». Et sa conclusion en est que le blocage les rendra incontournables dans l’exploitation de l’Internet illégal et serait en réalité leur planche de lancement.

En préambule on comprend très bien que le défenseur de la pédophilie qui est cité décrit une situation déformée par le prisme de son expérience personnelle. Ainsi, il nous explique que l’Allemagne serait le lieu de tous les hébergements underground, grâce aux serveurs les plus « fiables, les plus rapides et les plus abordables ». D’autres vous diront que ce sont les prestataires hollandais ou américains, en fonction de leur expérience personnelle. On retrouve des serveurs aux activités illégales dans des hébergeurs du monde entier. Et effectivement, le reste de son discours est déformé par le même prisme.

Les pratiques décrites comme ayant été développées pour les réseaux de diffusion pédophiles, sont en réalité celles de tous les groupes criminels organisés sur Internet, ceux qui diffusent des contenus pédophiles, comme ceux qui se « contentent » de vendre de faux logiciels de sécurité, de contrôler les botnets qui permettent de collecter des données personnelles monnayables, etc… J’ai décrit pour mes lecteurs quelques facettes de ces pratiques dans différents articles sur les hébergeurs malhonnêtes.

La diffusion de contenus pédopornographiques par ces groupes remplit en réalité deux objectifs:

  • c’est une source de revenus, un produit supplémentaire à leur catalogue;
  • c’est un des multiples appâts dont ils se servent pour attirer des pigeons dans leurs filets.

En effet, certaines victimes tombent pour la publicité vantant un médicament puissant et pas cher, d’autres pour des images pornographiques ou encore des logiciels de sécurité, et certains sont recrutés grâce aux images pédophiles. Les techniques de publicité par spam (courriers électroniques non sollicités), de rabattage vers la plateforme commerciale au travers de diffusion de liens cachés dans des vidéos disponibles sur les échanges P2P, de diffusion de logiciels espion, sont toujours les mêmes. Et au bout du compte la victime (dans le cas des images pédopornographiques aussi un peu coupable et donc qui n’osera pas aller porter plainte), donne son numéro de carte bancaire et est prélevée une fois, deux fois, puis plusieurs mois de suite.

Au bout du compte, le blocage des sites pédopornographiques de ce type-là va avoir pour effet collatéral de rendre beaucoup plus difficiles les autres formes d’escroqueries. En effet, on retrouve souvent sur les mêmes serveurs, derrière la même adresse IP des centaines de sites Web de promotion, les uns pour des contenus pédophiles mais les autres pour toutes sortes d’autres produits tout aussi illégaux.

En réalité donc, le blocage des sites pédopornographiques va rendre beaucoup moins intéressant pour ces groupes-là ce genre de commerce, ce qui va nuire finalement à leur modèle économique. Donc pour certains d’entre eux, ils seront au contraire motivés à quitter le commerce pédopornographique : une première victoire pour nous, mais qui ne nous empêchera pas de continuer à travailler sur leurs autres formes d’activités illicites.

La lecture de l’excellent rapport d’Europol sur le crime organisé de 2009 pourra donner une meilleure idée de la très grande transversalité des activités des groupes criminels organisés. On pourra aussi lire avec intérêt la présentation faite par François Paget lors du dernier panorama du Clusif sur la cybercriminalité, dont je rendais compte voici quelques jours, sur une entreprise aux activités particulièrement suspectes en Ukraine.

Quid des autres arguments ?

Je passerai rapidement sur la tentation à laquelle succombent les différents participants de l’ouvrage à minorer l’ampleur du problème (la tête dans le sable encore ?). Ainsi, selon Epelboin, cette forme de commerce ne représenterait « que » quelques dizaines de millions d’euros de chiffres d’affaires annuels. Déjà en soit, quelques dizaines de millions d’euros seraient un résultat non négligeable. A l’appui de son savant calcul, les dires de notre fameux pédophile anonyme : « en 2004, le leader du marché totalisait un chiffre d’affaires de plus de 20 millions de dollars », valeur à multiplier donc par le nombre total de groupes criminels concernés. En réalité, les quelques dizaines de groupes criminels qui agissent dans ce domaine réalisent très certainement des chiffres d’affaires semblables (répartis sur plusieurs types de « produits » comme je l’évoquais au-dessus) et on doit être plus proche des 500 millions de dollars ou du milliard de dollars annuels. Certaines études évaluaient  en 2004 ce marché à 3 milliards de dollars.

Toujours à minorer le problème, un autre intervenant de l’ouvrage intervient: proclamé expert informatique britannique, qui a commencé ses activités dans ce domaine voilà moins de deux ans, à l’avenir certainement très prometteur. Il nous affirme sans sourciller qu’il n’y aurait plus aujourd’hui d’échanges de contenus pédopornographiques sur les réseaux pair à pair classiques. Il dit par exemple: « la plupart de ce qu’on y trouve n’est pas réellement de la pédopornographie et ne peut donner lieu à des poursuites ». Malheureusement, il se trompe complètement. On y trouve les formes les plus graves d’atteintes sur des mineurs. Effectivement pas toujours les toutes dernières productions – encore qu’on y retrouve des productions non professionnelles récentes. Le P2P est malheureusement encore beaucoup utilisé pour partager des fichiers pédopornographiques et l’équipe du département de répression des atteintes aux mineurs sur Internet du STRJD à Rosny-sous-Bois en identifie plusieurs dizaines en France chaque mois.

C’est le même expert britannique qui nous explique que les techniques policières de collecte du renseignement sont inadaptées: « la surveillance est une énorme perte de temps », dit-il (en parlant de la surveillance de l’activité d’un suspect, par exemple par le biais d’interceptions, en comparaison de l’analyse forensique d’un ordinateur saisi au moment de la perquisition qui révélerait tout autant d’informations). Il manque très clairement de recul par rapport à ce qui est utile ou non dans une enquête judiciaire. Par exemple, avant d’envisager une perquisition qui permettra de saisir du matériel informatique, il est évident que les policiers doivent collecter des preuves en amont qui vont confirmer la nécessité de cette perquisition: il n’y a pas de perquisition « en aveugle ».

Enfin, l’argument de la censure et de la prohibition est longuement développé. Il n’aura pas échappé au lecteur averti que la possession, la fabrication et la diffusion de contenus pédopornographiques sont interdits. Oui, ces contenus sont illégaux, prohibés, pour des raisons évidentes. Je ne crois pas que les rues de Paris se soient transformées en champ de bataille à cause de cette prohibition de la pédopornographie. Les pays qui ont mis en place le blocage en Europe non plus. D’ailleurs le pédophile allemand qui est cité en appui de ces démonstrations souhaite carrément la libéralisation de la pédopornographie, je ne vois pas comment on peut utiliser ses arguments sur la prohibition pour critiquer le dispositif de blocage proposé! Le même nous explique qu’il a beaucoup plus peur du NCMEC (organisme américain chargé aux côtés du FBI de la lutte pour la protection de l’enfance) que des terroristes.

En conclusion, une bonne partie de ce qui est présenté comme nouveaux arguments consiste à affirmer que les services spécialisés en France, en Europe et au-delà ne savent pas de quoi ils parlent, ne connaissent pas les groupes criminels pédophiles, ne regardent pas du bon côté, travaillent mal… Soit. On a toujours des progrès à faire, c’est certain. Mais aujourd’hui je ne suis pas convaincu par ce qui nous est proposé à lire.

L’impact sur le réseau, la liberté d’expression, le surblocage

J’avais déjà eu l’occasion d’évoquer les autres éléments du débat. La mesure est-elle proportionnée ? Quels risques prend-on par rapport aux infrastructures ? Quelle transparence sera donnée au dispositif ? Qui contrôle ? Combien ça coûte ?

Ainsi, le surblocage est un sujet important à prendre en compte, en cas de mises en place de telles mesures. Supposons d’abord que les listes fournies par l’autorité chargée de les établir seront validées ou contrôlées par l’autorité judiciaire. Elles devront aussi être adaptées en fonction des techniques de blocage (selon que l’on bloque sur la base de l’adresse IP ou un nom d’hôte par exemple) de façon à limiter le surblocage. Il faudra aussi être en mesure de réagir promptement aux demandes éventuelles des personnes lésées. Ainsi, Europol a déjà mis en place un site d’information permettant à de telles situations d’être rapidement résolues. Cette initiative fait partie du projet CIRCAMP, financé par la Commission Européenne dans le cadre du Safer Internet Programme, pour aider les services de police à coordonner leur action dans la lutte contre les contenus illicites. On pourrait reprendre le même modèle plus spécifiquement à destination du public français. En effet, en plus du magistrat qui serait éventuellement chargé de contrôler l’autorité administrative – comme le prévoit la version issue de la commission des lois, le public sera lui-même un excellent arbitre de toute erreur en surblocage qui ne manquera pas d’être détectée et donc corrigée.

Enfin, l’action contre les flux financiers – je l’ai déjà évoqué à plusieurs reprises (ici au moment de la conférence Octopus du Conseil de l’Europe en 2009) – est évidemment une des priorités de l’action des services d’enquête en Europe, aux Etats-Unis et en Asie.

Efficacité supposée de la mesure

Ce soir, sur Public Sénat, Benjamin Bayart déclarait que l’efficacité de la mesure n’est pas évaluée. L’étude d’impact du projet de loi présenté devant le parlement (et disponible en suivant ce lien, voir la page 107 du PDF) explique pourtant le nombre de connexions qui sont bloquées chaque jour dans les pays qui appliquent la mesure :

  • 30.000 connexions / jour en Suède,
  • 15.000 connexions / jour en Norvège,
  • 12.000 connexions / jour au Danemark.

Il va de soi que l’efficacité devra être aussi mesurée en France.

En conclusion:

  • non, le blocage ne favorisera pas le commerce pédopornographique, au contraire !
  • oui, il y a un problème de la diffusion commerciale de ces contenus et l’action contre les flux financiers liés à ces activités est menée ;
  • oui, il faut un débat sur les moyens à mettre en œuvre, mais il ne faut pas tout mélanger.
7 février 2010 by Cybercriminalité Juridique

Vente d’outils d’espionnage

Ce soir sur M6, l’émission « 66 minutes » présente l’utilisation des outils d’espionnage. En particulier des logiciels qui une fois chargés sur le téléphone mobile d’un tiers permettent d’écouter ses conversations privées.

Et le journaliste d’affirmer: « Seule l’utilisation de ces logiciels est illégale, mais leur vente est parfaitement légale ».

FAUX !

En effet, l’article 226-3 du code pénal dispose que:

Est punie des mêmes peines la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente, en l’absence d’autorisation ministérielle dont les conditions d’octroi sont fixées par décret en Conseil d’Etat, d’appareils conçus pour réaliser les opérations pouvant constituer l’infraction prévue par le deuxième alinéa de l’article 226-15 ou qui, conçus pour la détection à distance des conversations, permettent de réaliser l’infraction prévue par l’article 226-1 et figurant sur une liste dressée dans des conditions fixées par ce même décret.

Est également puni des mêmes peines le fait de réaliser une publicité en faveur d’un appareil susceptible de permettre la réalisation des infractions prévues par l’article 226-1 et le second alinéa de l’article 226-15 lorsque cette publicité constitue une incitation à commettre cette infraction. »

La peine prévue par l’article 226-1 et l’article 226-15 du code pénal est d’un an d’emprisonnement et de 45000 euros d’amende. Il est parfaitement illégal de commercialiser ces outils d’espionnage!

7 février 2010 by Juridique 1

Actualité législative (LOPPSI/ARJEL)

Assemblée nationale (Photo: GPL)

Le parlement est saisi de deux textes qui intéressent la délinquance numérique et les investigations numériques: les projets de loi LOPPSI et de régulation des jeux en ligne.

La LOPPSI comporte trois dispositions à suivre:

Le projet de loi a été débattu en commission des lois et en commission de la défense de l’Assemblée nationale. La commission des lois propose que le blocage soit assorti de l' »accord de l’autorité judiciaire ». Le dépôt des amendements sur ce texte aura lieu jusqu’au 05 février 2010 au soir et le débat aura lieu en séance à l’Assemblée nationale les 09, 10 et 11 février 2010 prochains.

Le dossier de cette loi sur le site de l’AN.

Quant au projet de loi sur la régulation des jeux en ligne il avait fait l’objet d’une première lecture à l’assemblée nationale au mois d’octobre dernier et se retrouve maintenant devant le Sénat. La commission des finances a rendu son rapport le 19 janvier dernier et le texte sera débattu en séance les 23 et 24 février prochains. (J’avais évoqué ce projet de loi en août dernier)

Le dossier législatif sur la régulation des jeux en ligne sur le site du Sénat.

Un mois de février 2010 particulièrement actif donc dans le débat public.

1 février 2010 by Cybercriminalité Juridique 0

Est-il illégal de publier des failles de sécurité ?

GNU/FDL - ēɾaṣøft24 sur Commons

Le buzz continue de s’amplifier autour de la décision de la cour de cassation du 27 octobre 2009 dernier. Et les titres d’affirmer: « La cour de cassation confirme que la publication de failles de sécurité exploitables est un délit » (Numerama, 22/12/2009), « La révélation publique de failles de sécurité est un délit » (01Net, 18/12/2009), etc.

J’avais déjà discuté d’un sujet approchant (mais différent sur le fond) en évoquant l’affaire Zataz récente (sur ce blog, le 05/10/2009). Est-on libre d’échanger sur les failles de sécurité ?

La décision de la cour d’appel de Montpellier

Commençons par le commencement, la cour de cassation se prononçait en effet sur une décision de la cour d’appel de Montpellier datant du 12 mars 2009. La chronologie y est rappelée:

  • il est créé en 2004 une société « spécialisée dans le conseil en sécurité informatique » ;
  • le 26 octobre 2005, l’OCLCTIC « avisait le Parquet de Montpellier que la société XYZ diffusait sur son portail internet www…..com des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous« ;
  • (non expliqué dans l’arrêt) le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005 publiait un avis avec une correction proposée, qui ne se révélera pas suffisante ;
  • l’enquête était ensuite confiée à la DST, cette enquête confirmait que le dit site Web diffusait « un code d’exploitation d’une faille dans le moteur graphique WINDOWS qui avait donné lieu à une alerte du CERTA (Centre d’Expertise gouvernemental de Réponse et traitement des Attaques informatiques) publiée le 28 décembre 2005 et avant que MICROSOFT y remédie le 5 janvier 2006″;
  • il est entendu le 14 mars 2006 par les enquêteurs et on apprend que les revenus de cette société sont issus de la publicité que voient ses visiteurs et d’abonnements que prennent différentes sociétés aux alertes de sécurité ;
  • le 28 août 2006, il est entendu et mis en examen par le juge d’instruction et lui confirme qu’il ne diffusera plus d’exploits sur son site Web, il aurait notamment expliqué que la publication de failles et d’exploits lui permettait d’asseoir ses compétences ;
  • le prévenu était renvoyé devant le tribunal pour avoir, courant 2005 et 2006 mis à disposition sans motif légitime des programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé des données (infraction prévue par l’article 323-3-1 du code pénal);
  • il est relaxé par le tribunal correctionnel,

au motif qu’il est établi que le site www…..com n’incitait en aucune façon à l’utilisation de ces codes à des fins malveillantes ou de piratage informatique, que la seule intention qui ait animé X… Y…. est un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques, qu’il justifie d’ailleurs en avoir été remercié par MICROSOFT, aucune intention délictueuse n’est établie

  • la cour d’appel argumente en soulignant que l’article 323-3-1 du code pénal ne prévoit pas « que soit caractérisée une incitation à l’utilisation d’un tel système », mais réprime « le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »;
  • eu égard à sa personnalité, le prévenu n’était condamné qu’à 1000 euros d’amende correctionnelle.

Première conclusion: la personne en cause n’a pas été condamnée pour la publication de failles de sécurité, mais pour la diffusion d’exploits, c’est-à-dire de programmes permettant d’exploiter ces failles de sécurité. On notera au passage que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité.

La décision de la cour de cassation

Dans un premier temps, il faut comprendre sur quoi ce basait le pourvoi en cassation de l’avocat de la personne condamnée en appel: les défauts de motif et de base légale. L’argumentation se base sur le texte de la convention du Conseil de l’Europe sur la cybercriminalité, que son client n’incitait pas à commettre d’infraction avec les dits outils de piratage, que la cour ne s’appuyait que sur la motivation économique du prévenu et faisait référence à des antécédents judiciaires de façon générale.

L’argumentation de la cour de cassation se présente de la façon suivante:

  • le site Web diffusait de façon visible et accessible des moyens permettant d’exploiter des failles de sécurité ;
  • la compétence en sécurité informatique du prévenu ne pouvait lui faire ignorer le risque lié à l’utilisation éventuelle des codes d’exploitation qu’il diffusait et il ne peut donc arguer ainsi de son intention d’informer ;
  • elle écarte le débat sur les antécédents judiciaires et conclut que la cour d’appel a parfaitement justifié la condamnation.

Le pourvoi en cassation est donc rejeté. Le prévenu définitivement condamné.

Conclusion

L’article 323-3-1 du code pénal:

Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

La cour de cassation a donc bien confirmé qu’il n’est pas légitime, sous des motifs d’information du public, de diffuser sur un site Web accessible à tout un chacun des programmes informatiques ou des codes source de programmes informatiques permettant d’exploiter des failles de sécurité.

En revanche, il est parfaitement légitime d’informer sur les failles de sécurité.

Les débats présentés ici nous permettent de comprendre aussi que le juge est parfaitement ouvert à considérer que l’information de professionnels (en particulier la société qui commercialise un logiciel défaillant, les CERT, etc…) sur les moyens concrets d’exploiter des failles de sécurité, dans un contexte de bonnes pratiques est légitime, mais ce n’est pas ce qui était reproché dans cette affaire.

24 décembre 2009 by Cybercriminalité Juridique 19

De l’affaire Zataz et des sites d’information sur la sécurité en général

Grandville_-_Descente_dans_les_ateliers_de_la_libert%C3%A9_de_la_presse[1]

Cet article pour appeler mes lecteurs à lire un article qui donne un point de vue intéressant sur l’affaire Zataz, sur le blog de Sid, et en discuter quelques aspects complémentaires.

Pour mémoire : il s’agit dans cette affaire de plaintes successives (au civil puis pour diffamation) dont a été l’objet le gestionnaire du site Zataz suite à la publication d’un article révélant un incident de sécurité qu’aurait vécu une société de commerce en ligne. Comme beaucoup de sites d’information de sécurité, Zataz publie régulièrement des alertes sur de tels incidents, non sans avoir auparavant prévenu les gestionnaires concernés.

Cette mise en cause publique n’a apparemment pas été appréciée et Sid estime que c’est peut-être parce que la sécurisation des données personnelles des clients n’était – à un instant donné dans le passé – pas complètement assurée. La société plaignante aurait finalement déclaré qu’elle ne souhaitait pas faire appliquer les sanctions prononcées contre le journaliste.

La démonstration de Sid est détaillée et je vous invite donc à la lire. Par ailleurs vous pouvez aussi consulter:

  • L’arrêt de la Cour d’appel de Paris 2ème chambre Arrêt du 09 septembre 2009 (sur Legalis.net), où l’on découvre un débat d’experts, mais où manifestement ne transparaissent pas tous les éléments d’appréciation,
  • La présentation des faits sur le site Zataz.

Le débat sur les sites d’information de sécurité informatique

En préambule, je tiens à souligner que ce n’est pas la bonne foi d’un journaliste que je questionne – d’ailleurs le plaignant dans cette affaire semble finalement le reconnaître, mais bien de la situation juridique dont je cherche à débattre. On est en effet dans une situation d’insécurité juridique aussi bien pour les personnes qui cherchent à protéger leurs données, que celles qui souhaitent informer librement le public.

Sur la discussion juridique donc, le droit français ne prévoit pas (article 323-1 du code pénal) que des données doivent être protégées par un dispositif spécifique pour qu’il y ait accès frauduleux à un système de traitement automatisé de données (de la même façon, même si comparaison n’est pas raison, qu’il n’est nul besoin d’effraction pour que le vol soit reconnu, même si l’assurance ne couvre pas ces cas-là).

Toutefois, il faut que l’intention (comme pour toute infraction, son élément moral) soit prouvée, à savoir la conscience de pénétrer dans un serveur privé (comme lorsqu’on pousse la porte d’un appartement). Donc, soit en contournant une sécurité – même faible, soit en s’apercevant – par exemple – de la nature confidentielle des données. Et c’est justement ici que l’on trouve les limites de l’exercice des sites d’information sur la sécurité, puisque ce qui est cherché ce sont justement les failles et l’existence de données confidentielles non protégées: on peut légitimement supposer l’intention d’accéder à des secrets. Même si la motivation est honnête, l’intention d’un accès frauduleux (non autorisé ou non voulu par son propriétaire) sera donc le cas le plus courant.

Il revient ensuite évidemment à l’expert d’évaluer si le service qui a permis l’accès à ces données était :

  • librement offert à tout visiteur (notamment depuis le site Web de l’entreprise),
  • accessible uniquement en effectuant des recherches poussées (et dans ce cas-là si la personne mise en cause à volontairement ou involontairement trouvé ces données),
  • accessible uniquement en contournant un dispositif de sécurité.

Contrairement à la situation d’entreprises chargées par leurs clients de tester la sécurité de leurs serveurs, un journaliste ne peut se prévaloir dans ces circonstances d’une relation préalable avec l’entreprise testée et donc d’une présomption d’autorisation à accéder aux systèmes et à leurs données – souvent formalisée dans le contrat conclu entre les deux parties.

La loi n’a pas non plus prévu d’exemption générale pour les professionnels, comme ce serait le cas dans l’article 323-3-1 du code pénal en matière de possession d’outils de piratage par des spécialistes en sécurité informatique. Et le droit d’informer ne justifie pas de commettre des infractions.

Et pourtant, il paraît socialement utile, comme le souligne Sid, que le public soit informé de l’existence de défauts (de façon générale) dans la sécurisation des données personnelles qu’ils confient à des tiers.

Cette affaire donc, comme en son temps l’aventure très semblable vécue par un autre journaliste en ligne (Affaire kitetoa.com), démontre clairement la nécessité d’un débat sur les règles juridiques et déontologiques à appliquer aux sites d’information sur la sécurité informatique. Cela renvoie aussi au débat sur une obligation qui devrait bientôt peser sur les opérateurs de communications électronique de signaler les atteintes importantes aux données personnelles qu’ils administrent et que va introduire le Paquet télécom: faut-il généraliser ce principe à tous les professionnels ? Un événement tel que celui vécu par un grand intermédiaire financier américain en début d’année serait-il rendu public en Europe ou en tous cas ses clients informés ?

5 octobre 2009 by Juridique Sécurité 4

Guerre des hackers: Pakbugs.com attaqué

pakbugs

F-Secure le relevait hier, le site pakbugs.com subit des attaques répétées depuis plusieurs jours. Ce forum où s’échangent les techniques de piratage, mais où sont aussi commercialisées des numéros de carte bancaire et autres produits d’activités illicites n’était plus accessible hier, mais est à nouveau visible aujourd’hui.

Un groupe arborant la signature « WAR Against Cyber Crime » a ainsi revendiqué cette action sur la liste de discussion de Full Disclosure, l’accompagnant d’une liste supposée d’utilisateurs de ce forum, invitant les services d’investigation à se pencher sur leurs cas.

En France aussi, rappelez-vous…

Ce type de forums n’est pas présent qu’à l’étranger. Ainsi, en novembre 2008, la gendarmerie nationale interpellait les participants à un groupe warez (leurs activités étaient ici centrées sur la contrefaçon de vidéos, mais étaient aussi facilitées par des atteintes à des systèmes de traitement automatisé de données, ou de nombreux autres dossiers précédents et à venir, comme en mai 2008, une enquête de la gendarmerie menait à l’interpellation de 22 personnes animant un forum très semblable à Pakbugs.

Quid de Pakbugs?

www.pakbugs.com, pakbugs.com ou india.pakbugs.com sont hébergés sur deux serveurs Web distincts. Le premier est hébergé actuellement en Allemagne sur une adresse IP d’un serveur de la société Hetzner… Les deux autres sont hébergés aux Etats-Unis.

Le nom de domaine est enregistré depuis le 03/01/2009, sous une identité vraisemblablement inventée. En mai 2009, ce groupe se présentant comme d’origine Pakistanaise revendiquait le piratage du site Web de Google Maroc, au mois d’août 2009 du site Web du gouvernement Pakistanais (www.sindh.gov.pk). On en trouve des traces sur Zone H.

La liste révélée par le groupe de corsaires revendiqué est inexploitable sur le plan juridique, puisque la source ne peut pas en être vérifiée (et pour certaines législations son origine illégale posera problème). Il serait certainement plus efficace que ce type de groupes fasse l’objet d’investigations de la part du pays hôte (d’ailleurs une enquête est peut-être en cours et cette action illégale a pu y nuire!).

A suivre donc !

19 septembre 2009 by Cybercriminalité Juridique 0

Australie: plan de lutte des FAI contre les logiciels malicieux

L’association des fournisseurs d’accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s’agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu’il diffuse de très nombreux pourriels, serait alerté par son fournisseur d’accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l’information de l’abonné, sont la limitation de l’accès, le placement de la connexion de l’abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l’accès à certains ports ou protocoles de l’Internet. Il s’agirait aussi pour les fournisseurs d’accès d’informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d’importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l’Internet. D’ailleurs, au-delà de l’assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d’accès Australiens un moyen, reconnu par le gouvernement, de diminuer l’impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d’envoi de courrier électronique, etc.).

L’exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d’en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l’accès Internet dans le cadre de la loi dite « HADOPI » donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l’internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l’internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d’une situation normale sur la connexion de l’abonné ?

Ce chantier mérite en tous cas d’être discuté, dans un univers où l’essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d’action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s’il est légitime ou souhaitable pour une personne officielle (un service d’enquête, agissant éventuellement sous le contrôle d’un magistrat) qui aurait pris le contrôle d’un serveur de commande de botnet de commander à l’ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d’alerte officiel sur l’écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d’envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

15 septembre 2009 by Cybercriminalité Juridique Prospective 1