Juridique

Les pirates ont pignon sur rue

Un phénomène de plus en plus courant est dénoncé aujourd’hui par un article posté sur Switched.com: la présence de vitrines commercialisant des services de « piratage » divers et variés. Bien évidemment, je ne donne pas dans cet article de lien directement cliquable vers ces sites web dont l’activité est illicite.

Ici ce sont deux sites Web qui sont présentés : yourhackerz.com et slickhackers.com.

Que proposent-ils ? On peut voir sur le site du premier la page d’accueil suivante :

Page d'accueil de YourHackerZ.com

et les services proposés: « Pour 100 dollars, nous crackons les mots de passe des principaux sites de messagerie web ». Ils indiquent être en relation avec slickhackers.com. On y retrouve le même concept, mais étendu à d’autres types de sites comme Facebook mais aussi les mêmes messageries en ligne.

Aparté juridique

Sur le plan juridique, je rappelle que non seulement les services commercialisés par de telles personnes sont répréhensibles pénalement (2 à 3 ans de prison et 30.000 à 45.000 euros d’amende au moins en France, selon que le procédé suppose ou non de modifier le mot de passe), mais de la même façon pour toute personne qui achèterait un tel service ou en utiliserait le résultat. De surcroît, il s’agit vraisemblablement d’un groupe de délinquants rentrant dans la définition de la délinquance organisée, donc susceptibles de circonstances aggravantes.

Creusons un peu le dossier

Le site web que nous examinons ici est hébergé sur une adresse IP (94.194.139.xxx) qui héberge plusieurs sites Web :

www.hackfacebookpasswords.com
www.yourhackers.net
yourhackerz.com
www.slickhackers.com
www.yourhackerz.com

Un examen des informations d’enregistrement de ces domaines nous donne des informations d’enregistrement pour :

Un certain V.M. (pas besoin de mentionner le nom complet pour la démonstration et de toutes façons c’est certainement un alias), chez Dynadot.com
Un certain V.S.
Un certain M.K.
Un certain H.S., dans un autre bureau d’enregistrement (EHostpros.com), avec cette fois-ci une adresse postale au Royaume-Uni.

L’adresse IP du serveur est identifiée elle-même comme correspondant à un serveur hébergé au Royaume-Uni (AS 35228, Beunlimited), qui semble en réalité être un fournisseur d’accès, donc vraisemblablement ici un hébergement artisanal « à domicile » (www.bethere.co.uk). Soit il s’agit de l’abonnement du premier suspect à inquiéter, soit il s’agit d’une machine dont le contrôle a été pris, à l’insu de son propriétaire…

Combien de temps avant que les personnes derrière ce site web soient identifiées et ce site fermé ? En plus, rien ne nous prouve (et je ne vais pas essayer ni les lecteurs non plus !) que le service offert soit réel.

Au passage, on note ici l’utilisation des services de Dynadot qui est souvent cité comme lié à des enregistrements de noms de domaines aux activités peu recommandables, tout simplement parce que cette société offre des services d’anoymisation et certainement des tarifs attractifs. Apparemment ces sites web sont en ligne depuis le début de l’année 2008 au moins…

En France, ce ne serait pas simple de mener une enquête sur ce type de site Web. En effet, il n’est possible de rentrer en contact et échanger avec des délinquants supposés (et donc vérifier les services proposés) que pour les infractions liées aux atteintes aux mineurs et de traite des êtres humains, visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale introduits par la loi sur la prévention de la délinquance de mars 2007 (j’ai évoqué ce thème des cyberpatrouilles à plusieurs reprises). Souhaitons que ces dispositions soient étendues aux infractions d’atteintes aux systèmes de traitement automatisé de données.

Jeux en ligne – Dirigeants de BetOnSports bientôt fixés sur leur sort

I Bari, Le Caravage (c. 1594)

La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.

Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.

Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.

Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.

Où en est la situation en France ?

La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1^er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.

Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.

La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.

17 août 2009 by Éric Freyssinet Actualité judiciaire Cybercriminalité Juridique Prospective 1

Agence nationale de la sécurité des systèmes d’information

Comme je vous l’annonçais voici quelques mois, l’agence nationale de la sécurité des systèmes d’information a été portée sur le fonds baptismaux ce matin par la publication du décret n°2009-834 du 7 juillet 2009 au journal officiel. Cette création fait suite aux propositions du livre blanc sur la défense et la sécurité nationale du 17 juin 2008 (voir les pages 53 et 182 notamment).

Cette nouvelle agence succède à la DCSSI, direction centrale de la sécurité des systèmes d’information, et reste placée sous l’autorité du secrétaire général pour la défense nationale. Toutefois, la création de cette agence présente très clairement la volonté d’en augmenter la portée et les missions, qui sont beaucoup plus détaillées que dans le décret qui créait précédemment la DCSSI. Ainsi, dans les mois qui viennent, on peut compter sur une augmentation sensible et nécessaire de ses effectifs.

Ses missions redéfinies sont:

d’assister le SGDN dans ses attributions dans le domaine de la SSI ;
d’être l’autorité nationale en matière de SSI (moyens sécurisés de communication pour la Présidence de la République et le gouvernement, inspection des systèmes de l’État, délivrance d’agréments, formation, etc.) ;
de se prononcer sur la sécurité de certains produits et services (signature électronique, agrément des centres d’évaluation, délivrance des autorisations en matière de cryptologie, instruction des demandes d’autorisation présentées en application de l’article 226-3 du code pénal) ;
d’apporter son concours aux services de l’État en matière de SSI ;
de soutenir et orienter la recherche et l’innovation dans ces domaines.

Un comité stratégique de la sécurité des systèmes d’information est créé pour proposer les orientations stratégiques de l’État en matière de SSI.

Le site web de l’ANSSI est accessible ici : http://www.anssi.gouv.fr/

8 juillet 2009 by Éric Freyssinet Juridique Sécurité 0

Promulgation de la loi création et Internet

Ministère de la culture

La loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet a été publiée ce matin au journal officiel. Son texte, résultant des débats au Parlement et de la censure récente du Conseil constitutionnel est consultable sur le site Légifrance.

Résumé des dispositions

L’objet principal de cette loi est la création de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI), qui reprend les missions de l’Autorité de régulation des mesures techniques. Il s’agira d’une autorité administrative indépendante, disposant de la personnalité morale.

Son bras armé, la commission de protection des droits, sera saisie des signalements présentés par les agents assermentés désignés par :

les organismes de défense professionnelle régulièrement constitués,
les sociétés de perception et de répartition des droits,
le Centre national de la cinématographie.

Elle peut également agir sur la base d’informations transmises par les procureurs de la République et ne peut être saisie de faits remontant à plus de six mois. On notera au passage qu’elle ne pourra donc pas agir sur ses propres constatations, il revient donc bien aux ayants-droit d’exercer les opérations de détection des contrevenants.

Ces signalements porteront sur les manquements à l’obligation du nouvel article L336-3 du code de la propriété intellectuelle :

La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.
Le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé.

Il s’agit donc de repérer les connexions Internet qui servent à diffuser des contrefaçons d’œuvre de l’esprit.

Suite à ce signalement, les agents de la commission de protection des droits pourront demander aux fournisseurs d’accès à Internet les informations permettant d’identifier les titulaires des abonnements et leur adresser ensuite des messages de sensibilisation. La commission de protection des droits est autorisée à constituer un traitement de données personnelles (dont les détails doivent être définis par un décret en Conseil d’État pris après avis de la Commission nationale informatique et libertés) pour permettre un suivi de ces activités.

Suite à la décision du Conseil constitutionnel du 10 juin 2009, ce manquement n’est susceptible d’aucune sanction pénale ou administrative. Le gouvernement a annoncé des travaux à venir sur une loi permettant à des magistrats de l’ordre judiciaire de prononcer les sanctions envisagées, dont il semblerait qu’il pourrait s’agir de la suspension de l’accès à Internet.

Que risque-t-on en matière de contrefaçon d’œuvres de l’esprit ?

Il est important de rappeler que la contrefaçon est toujours une infraction pénale punie dans le code de la propriété intellectuelle de trois ans d’emprisonnement et de 300000 € d’amende (peine éventuellement aggravée en cas de bande organisée, jusqu’à cinq ans d’emprisonnement et 500000 € d’amende).

C’est cette peine que risquent les organisateurs du réseau Snowtigers qui ont été interpellés par la gendarmerie nationale au cours des derniers mois.

13 juin 2009 by Éric Freyssinet Actualité judiciaire Cybercriminalité Juridique 0

Ouverture des inscriptions pour les JFIN 2009

Le bulletin d’inscription pour les troisièmes journées francophones de l’investigation numérique a été mis en ligne sur le site de l’AFSIN.

Ces journées, dont le programme prévisionnel est aussi consultable, sont ouvertes aux magistrats, enquêteurs des services de police et experts judiciaires.

31 mai 2009 by Éric Freyssinet Criminalistique numérique Juridique Prospective 0

Blocage des sites pédopornographiques

Bon… un sujet à polémique, que j’ai déjà évoqué dans le passé (lors de la publication du rapport du Forum des droits sur Internet). Le ministre de l’intérieur a donc confirmé cette semaine l’introduction dans le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure d’un article visant à permettre le blocage des sites web pédophiles.

Je vais essayer de partager avec mes lecteurs mon avis sur le sujet. Je me baserai notamment sur ma connaissance de ce que nous faisons en gendarmerie dans la lutte contre ces phénomènes.

Pratiques existantes

Tout d’abord essayons de décrire l’ensemble des pratiques d’échanges et de diffusion de contenus pornographiques représentant des mineurs :

L’échange privé entre deux personnes, par courrier électronique ou par échange de fichiers entre contacts dans un logiciel de messagerie instantanée ;
L’échange sur les réseaux pair à pair (libres d’accès ou privés, cryptés ou non) ;
La diffusion sur des « newsgroups » ;
L’échange dans des groupes de discussion / forums web (hébergés sur des plateformes ou grâce à des scripts installés sur un serveur Web) ;
L’échange sur des canaux IRC, notamment par la configuration de scripts de partage (type Panzer) ;
La diffusion sur des sites Web (gratuits ou payants).

De façon plus anecdotique on trouve aussi des serveurs FTP, plutôt confidentiels.

Qu’est-ce qui est fait contre ces différentes formes de diffusion ?

C’est une question parfaitement sensée, notamment lorsqu’on en vient à parler de blocage, de savoir si tout le nécessaire est bien fait pour lutter contre ces phénomènes ?

S’agissant de la première catégorie, il s’agit d’échanges privés. Il n’est pas question (moralement et légalement) de détecter ou de filtrer ce type d’échanges, sauf évidemment lorsque les délinquants se serviraient de leur messagerie professionnelle pour le faire. La plupart de ces situations sont détectées une fois que des amateurs d’images pédophiles supposés sont interpellés, par l’analyse de leur ordinateur. Il est aussi envisageable, pour une personne contre qui il existe des indices de telles pratiques illégales, qu’un juge d’instruction ordonne une interception de ses communications Internet (articles 100 à 100-7 du code de procédure pénale). Mais l’outil légal le plus intéressant pour détecter ce type de pratiques est très certainement la loi sur les cyberpatrouilles que j’ai déjà évoquée à plusieurs reprises sur ce blog.

Sur les réseaux pair à pair « ouverts », des équipes spécialisées d’enquêteurs disposent d’outils dédiés (par exemple AntiPedofiles-P2P de l’association ActionInnocence). Plusieurs dizaines de cibles sont ainsi identifiées chaque mois par les enquêteurs du STRJD à Rosny-sous-Bois. La loi sur les cyberpatrouilles autorise maintenant certains enquêteurs à s’infiltrer sous pseudonyme dans les réseaux P2P chiffrés réservés à des groupes fermés. C’est la même chose pour les forums Web.

Les échanges sur les canaux IRC sont une situation intermédiaire, puisqu’ils sont à la fois des lieux d’échanges publics et de conversations privées. Une fois de plus, les cyberpatrouilles permettent d’étendre les possibilités des enquêteurs dans ce domaine.

La surveillance des « newsgroups » est facilitée par la nature même de cet outil, pour lequel il existe de nombreux moteurs de recherche. En revanche, il reste assez préoccupant qu’aucune mesure ne soit prise par les hébergeurs de ces serveurs pour empêcher les groupes de discussion manifestement illicites (certains noms de « newsgroups » en alt. ne laissent pas la place à l’interprétation…). C’est un sujet sur lequel il reste encore à imaginer de nouveaux modes d’action adaptés.

Et contre les sites web ?

Venons-en maintenant aux sites web de diffusion de contenu (par opposition aux forums web couverts plus haut). On peut observer plusieurs catégories :

des sites web personnels ;
des sites web pornographiques professionnels qui jouent au mélange des genres ;
des sites web pédopornographiques professionnels et donc commerciaux ;
des sites web malicieux qui attirent les visiteurs avec toutes sortes de contenus pour leur voler des données personnelles, bancaires ou provoquer l’installation de logiciels malicieux (notamment grâce à des informations cachées dans certaines vidéos).

Leurs hébergements sont de différentes nature : sites web personnels, sites sur un hébergement professionnel (avec toutes les nuances imaginables), squat sur des sites légitimes, abus de la connectivité d’autrui notamment au travers des botnets.

La lutte contre l’ensemble de ces sites illicites est grandement facilitée depuis le début de l’année par la mise en place de la plateforme de signalement, où cinq gendarmes et cinq policiers recueillent les témoignages d’internautes. Une grande partie d’entre eux portent sur des contenus pédopornographiques. Si le site est en France, il est assez facile de le faire fermer et d’en identifier l’origine. Lorsqu’il est à l’étranger cela devient plus complexe, voire impossible chez certains hébergeurs malhonnêtes.

Si les législations internationales existent, elles ne sont pas toujours ratifiées par l’ensemble des pays (par exemple : Russie, Turquie, San Marin, Andorre et la Principauté de Monaco, n’ont ni signé ni a fortiori ratifié la convention du Conseil de l’Europe sur la cybercriminalité) ou appliquées. La coopération internationale existe (en octobre 2007, la gendarmerie avait ainsi mené l’opération Arc-En-Ciel, suite à un signalement reçu de l’étranger sur une diffusion illicite organisée depuis un site de téléchargement français). Mais elle se heurte à certaines frontières : la corruption dans certains pays ou plus souvent l’inaction ou l’impuissance des responsables officiels.

La coalition financière européenne est une autre réponse contre ces formes de commerce illicites. Ainsi, la commission européenne a-t-elle décidé de financer une initiative qui vise à rassembler les efforts des acteurs de l’Internet, des services d’enquête et des grands réseaux financiers, pour identifier et bloquer les flux financiers liés aux contenus pédopornographiques. La France doit rejoindre la coalition – initiée par nos collègues anglais et italiens – dès cette année.

Mais la volonté des groupes criminels est particulièrement tenace, ils profitent de toutes les failles du système et continuent de faire d’importants bénéfices financiers grâce à l’abus sexuel des mineurs et à sa représentation.

Et maintenant, le blocage ?

Pour compléter l’ensemble des actions que je viens de décrire, et devant le constat que de nombreux sites Web subsistent encore et continuent de faire des dégâts, un groupe de travail européen propose de mettre en place des solutions de blocage ciblées. Soutenue par Europol et Interpol, cette initiative vise à mettre en place dans l’ensemble des pays concernés des techniques empêchant l’accès à ces sites web.

Ainsi, le Royaume-Uni, la Norvège, le Danemark, la Suède ou les Pays-Bas ont-ils mis en place de façon concertée avec les grands fournisseurs d’accès des dispositifs empêchant l’accès à une liste de sites fournie par la police. D’un pays à l’autre, d’un opérateur à l’autre, les solutions techniques sont différentes, adaptées aux situations locales. La France quant à elle s’oriente donc vers une solution législative (comme l’Italie en 2006) plutôt que de gré à gré avec les opérateurs.

Que dit le projet de loi ?

Le texte du projet est accessible sur le site Web du ministère de l’intérieur.

L’article 4 propose ainsi d’insérer dans l’article 6 de la loi pour la confiance dans l’économie numérique un alinéa, après le quatrième alinéa du paragraphe 7 du I :

Lorsque les nécessités de la lutte contre la diffusion des images ou des représentations de mineurs relevant des dispositions de l’article 227-23 du code pénal le justifient, l’autorité administrative notifie aux personnes mentionnées au 1 les adresses Internet des services de communication au public en ligne entrant dans les prévisions de cet article et auquel ces personnes doivent empêcher l’accès sans délai.

Un décret fixe les modalités d’application de l’alinéa précédent, notamment celles selon lesquelles sont compensées, s’il y a lieu, les surcoûts résultant des obligations mises à la charge des opérateurs.

(Cet article 4 prévoit aussi des sanctions pour les fournisseurs d’accès qui n’appliqueraient pas ces mesures.)

En langage clair, un service du ministère de l’intérieur transmettrait, dans des conditions qui doivent être précisées dans un décret, la liste des sites Web diffusant des contenus pédopornographiques dont il convient d’empêcher l’accès.

Quels sont les arguments de ceux qui s’opposent à ce projet ?

Il est important en démocratie d’écouter l’ensemble des avis sur un tel sujet, notamment lorsqu’il s’agit de restrictions potentielles aux libertés publiques (notamment en cas de surblocage).

Il s’agirait de créer en France une forme nouvelle de censure

C’est clairement faux, puisque la loi pour la confiance dans l’économie numérique permet déjà dans le 8° du I de ce même article 6 au juge civil d’ordonner que des mesures soient prises par les hébergeurs, puis si cela n’est pas suffisant, par les fournisseurs d’accès pour empêcher un dommage. Les mesures de blocage existent donc en droit.

Ces mesures sont d’ailleurs prévues au niveau européen par l’article 14, 3° de la directive 2000/31/CE sur le commerce électronique dont est issue la LCEN.

En revanche, les dispositions actuelles ne permettent pas à l’enquête pénale de conduire au dit blocage. D’où une disposition spéciale.

Il s’agirait d’une démarche visant à contrôler la liberté d’expression

Comme je viens de le dire, les mesures de blocage peuvent déjà être ordonnées, ce n’est pas une nouveauté en France. Ce qui est nouveau, c’est la possibilité d’avoir une action plus dynamique et plus efficace contre les sites Web pédopornographiques (puisque le projet de loi vise explicitement et uniquement cette infraction). Et il ne me semble pas que ce type de contenus relève de la liberté d’expression.

Le dispositif ferait fi du principe de subsidiarité de la LCEN

Oui, en pratique, le juge n’intervient pas dans le dispositif proposé. Mais en quoi consisterait en pratique le principe de subsidiarité appliqué à cette situation, avec le droit actuel ?

Cela supposerait de contacter d’abord l’éditeur du site pour lui intimer l’ordre de retirer ces contenus…

Ensuite, il faudrait s’adresser à l’hébergeur, dont j’ai expliqué tout à l’heure qu’évidemment ceux qui nous intéressent ici, sont justement ceux qui ne coopérent pas avec l’autorité policière ou judiciaire française.

Enfin, seulement il faudrait que le juge se prononce sur l’ensemble de ces actions, sur le contenu incriminé et cite l’ensemble des fournisseurs d’accès français, qui devraient présenter leurs arguments en réponse, pour ensuite ordonner le blocage du dit site. Et cela, pour chacun des sites Web concernés.

Ubuesque…

En revanche, rien n’interdit le contrôle de ces dispositions. S’agissant d’une mesure administrative, c’est le juge administratif qui pourra être saisi par quiconque estime être lésé par les mesures de blocage. Il y a donc bien contrôle par le juge de la mesure proposée. C’est d’ailleurs déjà le cas pour l’interdiction de vente aux mineurs de certaines revues, qui font aussi l’objet de mesures administratives.

Enfin, comme l’indiquait récemment Christian Aghroum, chef de l’OCLCTIC, dans une interview, il n’est pas question dans ce projet d’autres types de contenus. Et c’est particulièrement important pour l’équilibre du dispositif. En effet, estimer la nature illégale d’un contenu pédopornographique est assez simple et constitue le travail de spécialistes des services d’enquête – malheureusement – depuis de nombreuses années. En revanche, pour d’autres types de contenus (discrimination, diffamation, …) l’interprétation du juge serait cruciale.

Le projet présenterait de gros risques techniques

Oui, le blocage au niveau des opérateurs n’est pas une action sans conséquence. D’ailleurs, c’est bien ici la compétence des acteurs techniques qui est recherchée par le projet de loi. Ce sont les spécialistes des opérateurs qui la mettront en œuvre, en fonction de leurs infrastructures.

Et tous les jours, les fournisseurs d’accès prennent des mesures techniques pour protéger leurs infrastructures et leurs abonnés. Ne serait-ce que pour lutter contre le spam ou certaines attaques massives. Parfois, ils peuvent faire des erreurs, Internet ne s’est pas encore effondré (les exemples sont nombreux, par exemple avec des incidents dans l’accès à Google – forcément vite repérés, mais la situation est très vite rétablie).

Ainsi, Wikipedia avait souffert en décembre 2008 d’un surblocage au Royaume-Uni. Le mécanisme – assez complexe – était lié à la combinaison de l’action du dispositif de blocage utilisé dans ce pays (apparemment, le passage par un proxy pour certaines adresses IP de destination) et le dispositif anti-vandalisme de Wikipedia (qui a détecté ces proxys comme des sources probables de vandalisme). C’est assez bien expliqué dans l’article que j’ai mis en lien et on pourra aussi consulter l’information publiée par Wikipedia à ce sujet.

Cet incident milite d’abord pour une gestion transparente de ce projet – le débat public à venir en est une caractéristique. Et il veut surtout dire qu’il est important pour l’ensemble des acteurs du blocage (pouvoirs publics et opérateurs) de dialoguer efficacement pour anéantir les possibilités de surblocage ou de nuire à la qualité de l’accès Internet, selon les techniques choisies par les uns et par les autres.

Et le blocage ne serait pas la panacée…

Oui, aucune mesure de prévention ne réussit à 100%… Le tout est de savoir si elle aura une certaine efficacité.

Déjà pour l’internaute français lambda (adulte ou jeune), non intéressé par ce type de contenus, la mesure n’aura pas de conséquence (à conditions que les risques de surblocage soient bien gérés, comme je viens de l’évoquer) et le protégèra de certains contenus, y compris de sites diffusant des logiciels malveillants. Il est d’ailleurs indispensable à ce titre que la qualité de navigation de ces internautes ne soit pas diminuée.

Pour l’internaute qui chercherait ce genre de contenus, beaucoup seront bloqués et le marché commercial des promoteurs de ces sites en sera diminué d’autant. Et toutes les occasions de créer la peur du gendarme chez ces délinquants potentiels est une bonne mesure préventive. Les plus insistants trouveront peut-être des techniques pour contourner le blocage. Mais comme je l’ai déjà évoqué, ce sont loin d’être les seules mesures que nous prenons contre ces sites Web et ils pourront par exemple être retrouvés grâce à leurs transactions bancaires avec ces sites. Et rien ne nous interdit d’imaginer des techniques supplémentaires pour mieux identifier ces actions illicites, le travail est – nous le savons bien – loin d’être accompli.

Conclusion

Nous sommes donc face à un choix de société important. Il est important de ne pas sous-estimer la réalité de ces phénomènes et leur impact sur les enfants (je parle ici des victimes de ces actes sexuels), mais aussi les gains financiers permis par de telles abominations. Il est important aussi de ne pas déplacer le débat : le blocage n’est pas juridiquement une nouveauté, ce qui l’est c’est une action plus efficace contre les sites pédophiles et notamment les sites de nature commerciale et mafieuse.

30 mai 2009 by Éric Freyssinet Cybercriminalité Juridique 5

Journée de l’Europe – Mais que fait l’Europe ?

Drapeau européen - Photo par Rock Cohen

Le 9 mai est traditionnellement la journée de l’Europe, dans toute l’Union Européenne, en souvenir de la déclaration de Robert Schuman pour une structuration de l’Europe, le 9 mai 1950.

C’est l’occasion de faire le point sur ce que fait l’Europe dans le domaine qui nous intéresse. Sur le plan institutionnel, nous avons aujourd’hui plusieurs instances intéressantes :

Au sein d’Europol, le HTCC ou high tech crime centre, est le point focal de l’activité d’Europol dans la lutte contre la cybercriminalité. En effet, depuis 2002, le mandat d’Europol a été étendu à toutes les formes graves de délinquance, y compris la cybercriminalité. 2009 devrait voir la création à Europol d’un système de centralisation de l’ensemble des signalements d’infractions (un des résultats de la présidence française de l’Union européenne) qui peuvent intéresser les Etats membres et ainsi en faciliter les investigations ;
L’ENISA, agence européenne de sécurité de l’information et des réseaux a été lancée en mars 2004. Elle manque encore de visibilité dans son action : elle est positionnée comme un centre d’expertise au service des états-membres, mais pas encore dans le concret. Peut-être cela sera-t-il amené à évoluer, par exemple dans la gestion de certaines crises liées à la sécurité des systèmes d’information ;
La commission européenne finance au travers de différents programmes la recherche et l’innovation, la formation ou le développement d’outils qui aident à la lutte contre la cybercriminalité. Ainsi le programme Safer Internet qui finance notamment le fonctionnement d’INHOPE – réseau européen des plateformes de signalement privées en matière de protection des mineurs sur Internet, mais aussi le programme ISEC de la direction générale justice liberté et sécurité qui comporte un volet important consacré à la lutte contre la cybercriminalité ou le septième programme cadre européen de financement de la recherche qui permet certaines initiatives (sous l’angle de la sécurité des systèmes).
Parmi les projets actuellement financés sur le programme ISEC, on peut citer :
- La création d’une coalition financière européenne dans la lutte contre la diffusion de documents pédopornographiques sur Internet, dont j’ai parlé voilà deux mois ;
- Les différentes activités du groupe de travail d’Europol sur l’harmonisation des formations des services de police dans la lutte contre la cybercriminalité.

Plusieurs textes législatifs de niveau européen sont intéressants à citer et certains devraient évoluer prochainement :

Tout d’abord, citons la convention du Conseil de l’Europe sur la cybercriminalité, qui bien qu’étant issu d’une instance européenne dépassant le cadre de l’Union Européenne, montre combien le continent européen est en avance dans cette lutte.
La directive 2002/58/CE « vie privée et communications électroniques », qui comporte depuis un modificatif de 2006 un dispositif plus précis harmonisant les obligations en matière de conservation des données par les opérateurs de communications électroniques (cette directive fait partie du fameux « Paquet Télécoms ») ;
La décision-cadre 2004/68/JAI relative à la lutte contre l’exploitation sexuelle des enfants et la pédopornographie, et qui harmonise la protection des mineurs, notamment sur Internet ;
La décision-cadre 2005/222/JAI relative aux attaques visant les systèmes d’information ;
Enfin, la politique de la commission européenne dans ce domaine est définie par la Communication 2007/267 « Vers une politique générale en matière de lutte contre la cybercriminalité » ;

Parmi les déclarations officielles récentes on peut citer les conclusions du conseil justice et affaires intérieures sur la cybercriminalité portées par la présidence française de l’union européenne du 24 octobre 2008 et la déclaration de Prague pour un « Internet plus sur pour les enfants » du 20 avril 2009.

Les évolutions que l’on peut attendre seront certainement basées sur des évolutions des directives ou décisions-cadres évoquées plus haut, que ne manquera pas de proposer la commission européenne cet automne. Le suivi du « Paquet Télécoms » est aussi très important. Ainsi j’évoquais le 05 mars dernier le dispositif introduit dans ce texte qui prévoit la notification obligatoire des incidents de sécurité subis par les opérateurs lorsqu’ils concernent de façon significative les données de leurs clients. Mais, mardi 05 mai dernier, la commissaire européenne aux télécommunications, Viviane Reding, évoquait le projet de la commission d’étendre cette mesure à l’ensemble des domaines économiques, dans un texte qui verrait son application d’ici la fin de l’année 2012. A suivre donc…

9 mai 2009 by Éric Freyssinet Juridique Prospective Sécurité 0

Condamnation d’un cracker de 17 ans à 11 mois de prison aux USA

In English

Worcester

Âgé aujourd’hui de 17 ans, un jeune originaire de Worcester, dans la région de Boston (Massachusetts, USA) a été condamné à 11 mois de prison dans un centre de détention pour mineurs et un total de 2 ans avec sursis, lors d’un jugement prononcé la semaine passée.

Il était poursuivi pour avoir commis des faits d’atteintes à des systèmes de traitement automatisé de données (d’entreprises), passé des appels injustifiés au numéro d’urgence américain (911) et utilisé des numéros de cartes bancaires volés pour effectuer des achats. Tous ces faits ont été commis entre novembre 2005 et mai 2008.

Le suspect, connu sous le pseudonyme de DShocker, a reconnu les faits et risquait un maximum de 10 ans d’emprisonnement. En France, pour des faits similaires, à savoir des intrusions dans des systèmes de traitement automatisés de données, des attaques en déni de service, l’exploitation de botnets, ce jeune homme risquait jusqu’à cinq ans de prison et 75 000 € d’amende (articles 323-1 à 323-7 du code pénal). En réalité, s’agissant d’un mineur, il n’aurait peut-être pas été condamné en France à une peine d’emprisonnement pour de tels faits.

22 avril 2009 by Éric Freyssinet Actualité judiciaire Cybercriminalité Juridique 0

Cyberpatrouilles : premiers dossiers

In English

Messageries instantées: de nombreuses rencontres s'y poursuivent

La presse s’en est fait l’écho aujourd’hui, les cyberpatrouilles commencent d’ores et déjà à porter leurs fruits. Le procureur de la République de Bobigny a choisi de communiquer sur le dossier présenté par les gendarmes spécialement formés à la cyberpatrouille de la division de lutte contre la cybercriminalité du STRJD.

Vous pouvez lire par exemple cet article sur 01Net: La gendarmerie arrête un pédophile en s’infiltrant sur un forum.

Comme je le précisais pour mes lecteurs voici quelques jours, il ne s’agit pas à proprement parler d’infiltration, mais d’investigations sur Internet sous pseudonyme.

Certains se poseront certainement des questions sur la communication qui est faite autour de ce cas. Il s’agit ici non pas de révéler les méthodes utilisées par les enquêteurs, mais de signifier clairement aux prédateurs pédophiles qu’ils ne peuvent plus se considérer en terrain conquis sur les forums, chatrooms et autres espaces utilisés par les enfants et ainsi, réinstaurer la peur du gendarme.

17 avril 2009 by Éric Freyssinet Cybercriminalité Juridique 4

Lancement des cyber-patrouilles

In English

Cadre juridique

La loi sur la prévention de la délinquance de mars 2007 a introduit dans la législation française la possibilité pour des enquêteurs spécialement formés à cet effet de rentrer en contact avec des personnes soupçonnées de commettre des infractions de traite des êtres humains, de proxénétisme ou d’atteintes aux mineurs sur Internet et ainsi de collecter les preuves de ces infractions, sans que les actions des enquêteurs ne puissent constituer de la provocation.

Il s’agit des articles 706-35-1 et 706-47-3 du code de procédure pénale.

Un décret de mai 2007 est venu préciser les conditions d’application de ce texte et a introduit les articles D47-8, D47-9 et D47-11 du code de procédure pénale encadrant strictement la façon dont les cyber-patrouilleurs sont autorisés à échanger des contenus illicites sur Internet.

L’arrêté du 30 mars 2009, publié la semaine dernière, fixe les conditions de désignation des cyber-patrouilleurs. Il détermine aussi les missions du centre national d’analyse des images de pédopornographie, chargé de recueillir les contenus illicites collectés lors d’investigations judiciaires, en vue de faciliter l’identification des auteurs et des victimes de ces méfaits.

Que vont faire les cyber-patrouilleurs ?

Il s’agit dans un premier temps d’enquêteurs de la gendarmerie nationale et de la police nationale affectés dans des unités centrales (service technique de recherches judiciaires et de documentation – division de lutte contre la cybercriminalité pour la gendarmerie), afin d’éprouver les conditions d’action, avant de fournir cette formation à d’autres enquêteurs dans les régions.

Ils vont se rendre sur les mêmes forums, groupes d’échanges et de discussion que les pédophiles présumés et dialoguer avec eux. Il était en effet invraisemblable que des pédophiles puissent échanger impunément dans des forums dédiés à leurs pratiques (notamment en ce qui concerne l’échange d’images et de vidéos pornographiques mettant en scène des mineurs) et surtout comme c’est le cas de plus en plus souvent aller à la rencontre des mineurs sur les espaces où ces jeunes échangent en toute confiance.

Ces gendarmes et ces policiers, agissant sous pseudonyme, pourront ainsi collecter les preuves de ces infractions, notamment celles de sollicitations sexuelles à des mineurs de 15 ans, mais aussi toutes celles visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale, et ainsi permettre l’interpellation de ces supposés pédophiles avant qu’ils n’aient pu rencontrer des enfants ou alors qu’ils échangent quotidiennement des contenus illicites.

Ces dangers pour les enfants sont réels, comme le rappelle la campagne actuellement menée par Action Innocence, dont vous pouvez voir un extrait ci-dessous :

[vodpod id=Groupvideo.2322791&w=425&h=350&fv=file%3D%7B279f0fa4-0b07-472f-b2a8-a1b1138ee451%7D%2F%7B6921b485-a19c-4db2-9b40-75bb070b33a0%7D%2Fmessageries_VP6_1Mbps_Strea.flv%26amp%3Btype%3Dvideo%26amp%3Bvolume%3D100%26amp%3Bstreamer%3Drtmp%3A%2F%2Ffl.interoute.com%2Fstreamrt%26amp%3Bimage%3Dhttp%3A%2F%2Fwww.actioninnocence.org%2Fimg%2Fwebcast%2Fmessageries.jpg]

5 avril 2009 by Éric Freyssinet Cybercriminalité Juridique 4