Prospective

Premiers pas sur le #fédiverse pour la communauté cyber / RI&IN

Dans un article précédent, je faisais un premier point sur les enjeux du fédiverse pour les enquêteurs. Aujourd’hui, je vous propose quelques éclairages sur le fonctionnement de ces plateformes pour l’utilisateur qui cherche à faire de la veille sur ces « nouveaux » réseaux sociaux ou en comprendre le fonctionnement.

Choix du serveur (ou instance)

La question pour laquelle beaucoup d’utilisateurs semblent achopper est celle du choix du serveur, qui en réalité est une richesse: quel que soit le serveur qu’on choisit parmi ceux qui sont intégrés dans le fédiverse (et donc qui utilisent le protocole ActivityPub), ils sont interconnectés et permettent d’interagir avec tous les autres. Dans le même esprit, vous choisissiez votre prestataire de courrier électronique soit chez votre fournisseur d’accès ou parmi des milliers de fournisseurs disponibles en ligne et vous pouvez échanger des courriels avec tout le monde.

Ensuite ces différents serveurs ont des spécificités: le logiciel utilisé et la communauté qu’ils regroupent.

Type de serveur

Le fédiverse regroupe différents types de serveurs qui ont chacun des spécificités, tous reposant sur le concept de micro-blogging:

Si on veut commencer, le plus simple est indéniablement de choisir un serveur mastodon, mais n’ayez pas peur de vous lancer sur l’un des autres.

Communauté

Ensuite, en fonction du type de logiciel, on peut souhaiter rejoindre une communauté dont on se sent proche. Dans le champ de la cybersécurité, les services suivants sont disponibles [n’hésitez pas à m’en signaler d’autres] :

Parmi mes lecteurs, certains pourront être intéressés par la communauté scientifique francophone avec le serveur sciences.re, administré par Rémy Gumblatt.

En pratique, outre le fait de savoir qui administre son serveur, donc une démarche de proximité ou de confiance, être sur le serveur d’une communauté permet de bénéficier de façon naturelle d’un effet de groupe, au travers de la visibilité sur l’ensemble des comptes auxquels sont abonnés les utilisateurs de votre serveur. Vous pouvez retrouver un exemple sur le serveur réponse à incidents riin.fr en suivant ce lien (quand on est sur le site, menu Fil public global).

Enfin, tous les logiciels évoqués ci-dessus étant disponibles sous forme de logiciel libre, donc il vous est possible d’installer votre propre instance, pour héberger votre propre communauté au sein du fédiverse.

Mais BlueSky et Threads ce n’est pas la même chose ?

Non, pas en l’état. Quelques éléments rapides sur les alternatives privées émergentes: Threads de Meta (Facebook) qui promet d’être relié au fédiverse « bientôt » n’est actuellement pas disponible en Europe (pour des questions juridiques) et Bluesky est uniquement disponible sur invitation et surtout n’est pas compatible avec ActivityPub et donc le fédiverse, mais utilise un autre protocole (ATProtocol). Tumblr avait annoncé il y a quelques mois vouloir rejoindre le fédiverse et le protocole ActivityPub, ce n’est pas encore le cas non plus.

Identité sur le fédivers

Son identité sur le fédivers ressemble à celle que vous connaissez pour le courrier électronique, ou lorsque vous donnez l’URL vers un profil sur un réseau social traditionnel. Il est donc représenté de deux façons: @pseudo@serveur.social ou https://serveur.social/@pseudo. Le choix de son pseudonyme est important parce qu’il doit être unique sur chaque instance (mais plusieurs comptes peuvent utiliser le même pseudonyme sur des instances différentes), mais ce qui est important à comprendre c’est que cette version courte sera souvent la seule affichée dans les messages publiés quand vous êtes cité (avec un lien vers le profil complet).

L’autre partie de son identité est tout aussi classique: le nom public, que l’on peut changer autant de fois qu’on le souhaite, contrairement au pseudonyme, ainsi que sa biographie ou son avatar. Il est recommandé de modifier très vite ces différentes informations pour améliorer votre visibilité et vos interactions.

Transférer un compte

Le protocole ActivityPub, notamment tel qu’il est implémenté avec mastodon, permet de transférer très facilement son compte vers une autre instance.

Pour ce faire, une fois le compte créé sur la nouvelle instance, on configure en alias le premier compte (pour autoriser les données qui vont arriver en entrée), puis on initie le transfert depuis son premier compte. Le premier compte ne sera alors plus actif pour publier, conservera les anciens messages que vous avez publiés, et comportera un lien automatique vers votre nouveau compte.

Les utilisateurs qui vous suivent (vos « followers »), sont alors automatiquement transférés vers la nouvelle instance. Les utilisateurs que vous suivez en revanche doivent être exportés depuis l’ancien compte et réimportés dans le nouveau compte.

[Edit 17/11/2023 20:22] Petite spécificité du fédiverse, il n’est pas possible de changer son pseudonyme. Aussi, la seule solution serait alors de transférer son compte vers le nouveau pseudonyme.

Utiliser plusieurs comptes

Il y a différentes raisons d’utiliser plusieurs comptes dans le fédiverse :

  • tester simplement différentes plateformes ;
  • séparer ses usages personnels et professionnels ;
  • avoir une visibilité plus fine sur différentes communautés, notamment pour faire de la veille.

Les logiciels clients (sur votre téléphone mobile ou sur votre ordinateur) permettent en général de gérer une multiplicité de comptes, y compris plusieurs comptes sur le même serveur. Si vous voulez faire de la veille avec une vision par colonnes, plusieurs logiciels existent dont Sengi et Fedistar.

Construire sa liste de lecture

Au fur et à mesure de votre exploration, vous allez vouloir suivre des personnes. Si le compte est inconnu de votre instance (parce qu’il se trouve sur une instance externe), vous pouvez toujours copier-coller l’identifiant complet du compte ou son URL dans la barre de recherches et une fois qu’il s’affiche, cliquer sur le bouton de suivi.

Récupérer les comptes sur le fédiverse de vos contacts Twitter

Si vous le souhaitez, vous pouvez rajouter votre adresse fédiverse (soit sous forme d’URL, soit sous forme d’adresse @pseudo@serveur.social), afin de permettre à vos anciens contacts de vous retrouver facilement, qu’il s’agisse d’un test, d’une diversification de vos réseaux sociaux ou d’une migration définitive.

Plusieurs services permettent de récupérer les comptes du fédiverse qui sont publiés sur les profils twitter de vos contacts. Ils sont ensuite disponibles sous forme de fichier CSV que vous pouvez facilement importer dans votre compte (rubrique Import/Export des paramètres).

  • Fedifinder (seul ce site fonctionne aujourd’hui)
  • Movetodon (bloqué par X/Twitter, donc ne fonctionne plus)

Enrichir sa liste d’abonnements

Comme expliqué plus haut, si vous êtes connecté sur l’instance d’une communauté particulière, vous pouvez facilement accéder au fil de tous les messages publics vus par votre communauté. En réalité, même si vous n’êtes pas abonnés de cette instance, vous pouvez toujours visiter ce fil public (comme ici pour le serveur RI&IN).

De même, vous pouvez utiliser la fonction d’exploration (#Explorer) qui vous propose les messages, les comptes, les mots clés ou les sujets d’actualité populaires sur une instance.

S’abonner à un mot clé

Une des spécificités du protocole ActivityPub est qu’il vous permet d’être abonné à un mot clé (commençant par un caractère croisillon comme ). Ainsi, pour suivre l’actualité d’une conférence , , vous pouvez être directement abonné au mot-clé correspondant. Les messages que « voit passer » votre instance (parce qu’un des utilisateurs de l’instance est abonné à la personne qui publie ou rediffuse un message) et qui contiennent ce mot-clé s’afficheront alors dans votre fil d’activités principal, sans que vous ayez besoin de suivre tous les utilisateurs susceptibles de publier ces messages.

Suivre une communauté sur un serveur Lemmy [Edit 18/11/2023 10:00]

Lemmy implémente une fonction de groupe du protocole ActivityPub qui permet de suivre toutes les publications d’un groupe de personnes. Pour s’y abonner, c’est le même principe que pour suivre un compte. Ainsi sur le serveur Lemmy infosec.pub, on retrouve la communauté https://infosec.pub/c/cybersecurity. On peut la suivre directement depuis son compte Mastodon, en la cherchant dans la barre de recherche sur l’interface Mastodon.

Comment se passe la modération ?

Pour finir cet exposé rapide, vous vous posez peut-être des questions sur la modération des réseaux sociaux du fédiverse. L’un des intérêts d’une multitude d’instances est que la modération sur chacune d’entre elles est beaucoup plus légère pour leurs administrateurs qu’un grand réseau social monolithique. L’autre spécificité, est qu’outre le respect de la législation, chaque serveur décide de ses propres règles spécifiques. Par exemple, ils peuvent souhaiter mettre l’accent sur la protection des personnes vulnérables ou des minorités (un engagement à être intraitable sur les signalements reçus pour harcèlement), ou encore interdire certains types de contenus – notamment ceux qui ne correspondent pas à la thématique de l’instance pour en conserver la cohérence.

Ainsi, chaque serveur affiche ses règles sur une page dédiée accessible à tous et notifiée au moment de l’inscription. Le processus de signalement est classique, avec un formulaire accessible depuis chaque message ou profil. Pour l’administrateur ou les personnes à qui la modération est déléguée, outre des avertissements aux comptes concernés, il est possible de bloquer l’intégralité d’une instance, c’est-à-dire d’empêcher la reprise en local des messages de cette instance. Cela permet de gérer la question des instances qui seraient mal modérées par leurs propriétaires. Les règles peuvent être plus fines, par exemple en forçant l’affichage systématique de tous les médias de l’instance ciblée avec un avertissement de contenu (utile si on ne souhaite pas simplement relayer des contenus potentiellement violents ou pornographiques).

Dans Mastodon, il est aussi possible d’appliquer cette modération au niveau de l’utilisateur individuel, y compris le blocage d’un serveur, en plus des règles imposées par son serveur. Marcus Hutchins a publié un article intéressant (en anglais) sur le sujet de la modération et de son passage à l’échelle.

Il existe encore de nombreuses questions sur l’amélioration des outils de modération et pour les grosses ou petites communautés, il sera intéressant que se développent des bases documentaires et des outils dédiés pour leur permettre de se conformer aux lois locales et en Europe s’aligner avec le DSA (digital services act), même si les petites instances n’y sont pas soumises.

*

J’espère que cet article aidera un bon nombre d’entre vous à sauter le pas et à tester ces nouveaux réseaux sociaux, où vous pouvez me suivre sur @ericfreyss@mastodon.social.

Mastodon, le fédiverse et quelques premiers enjeux pour l’investigation numérique

3D visualization of the proposed Fediverse logo. (Eukombos, https://tinyurl.com/4swry4kn; CC BY-SA 4.0, https://creativecommons.org/licenses/by-sa/4.0/deed.en)

Ce court billet vise à explorer les premiers enjeux que l’on peut évoquer pour les réseaux sociaux émergents (même s’ils existent depuis quelques années en réalité) qui constituent le fédiverse en matière d’investigation numérique. Beaucoup se sont déjà exprimés sur les questions de régulation des contenus, je n’y reviendrai pas, même si les ressorts sont similaires.

Quelques rappels sur le fédiverse.

Le fédiverse est une fédération d’espaces de publication (ou réseaux sociaux) reposant généralement sur des logiciels libres (exclusivement pour l’instant) et utilisant un protocole permettant l’interopérabilité par le rediffusion des activités entre les différentes plateformes. Le protocole majoritairement utilisé aujourd’hui est ActivityPub, officiellement publié comme recommandation du W3C le 23 janvier 2018.

Mastodon est le logiciel le plus couramment utilisé, mais il en existe d’autres du même type comme Pleroma. Ce protocole ActivityPub permet aussi de faire la passerelle vers d’autres modèles de publication d’informations que les microblogs comme la publication d’images (Pixelfed), de vidéos (Peertube qui repose sur une distribution pair à pair des contenus) ou d’événements (Mobilizon).

Applications et protocoles du Fédiverse

En pratique, on peut donc publier sur une plateforme des contenus qui seront accessibles dans les autres types d’applications (le rendu s’adaptera à l’application utilisée et bien entendu le client utilisé pour accéder au serveur et visualiser l’information), mais aussi suivre des comptes sur l’ensemble du Fédiverse. Par exemple, le présent blog WordPress est configuré avec une extension ActivityPub qui permet de le suivre sur l’adresse @ericfreyss.

Au-delà de ce premier niveau de fédération, chaque logiciel ne tourne pas sur un seul serveur, mais potentiellement sur autant de serveurs que d’initiatives individuelles qui le souhaitent. Ainsi utilisant Mastodon, on retrouve:

Plusieurs annuaires de serveurs sont disponibles: https://joinmastodon.org/fr/servers et https://instances.social/.

Enfin, dernier aspect qui me parait intéressant que j’évoquerai dans cette introduction: la multiplicité des clients. Même si sur Twitter on a pu connaître plusieurs clients, sur Mastodon en particulier c’est la règle. Le mode d’accès classique reste d’abord le site Web – qui peut être installé comme application Chrome/Chromium par exemple sur son PC ou son téléphone/tablette. Mais il existe aussi de nombreux clients, avec souvent la possibilité de se connecter à plusieurs comptes en même temps. J’utilise pour ma part Tusky sur Android et Sengi sur mon PC.

Enfin, plusieurs services suivent l’évolution des statistiques d’utilisation de ces plateformes. On peut citer https://fediverse.observer/stats, https://fediverse.party/, et le compte @mastodonusercount@bitcoinhackers.org qui publie toutes les heures une mise à jour:

Statistiques Mastodon (utilisateurs, serveurs)

Premiers points d’intérêt pour l’investigation numérique.

Bien entendu, il est probable que nous soyons amenés à conduire de plus en plus d’investigation numérique sur le fediverse, il y en a sûrement déjà un certain nombre malgré le relatif faible nombre d’utilisateurs actuels.

Tout d’abord, un petit détail technique. On a compris qu’il peut y avoir de nombreux serveurs et donc parler de Mastodon ou de Fédiverse n’amènera pas les enquêteurs (ou les spécialistes en collecte d’informations en source ouverte), vers une seule société, mais bien vers une multitude d’acteurs. Mais c’est évidemment la même chose pour tous les services classiques du Web décentralisé que l’on connaît. Le détail technique que je souhaitais évoquer est que l’adresse d’un compte du type @nomutilisateur@serveur.tld ne donne pas forcément le nom complet du serveur sur lequel le compte est hébergé. Ainsi pour le serveur académique francophone https://social.sciences.re/, les adresses sont de la forme @utilisateur@sciences.re. Astuce: pour accéder au serveur facilement, on peut utiliser le client Web Mastodon classique et d’un clic droit sur le menu contextuel on choisira l’option « Ouvrir la page d’origine »:

Dans la plupart des cas, on retrouvera une page d’information sur le serveur (« A propos » …/about/) qui décrit les règles de fonctionnement du serveur, donne des informations sur le/les gestionnaires, le nombre d’utilisateurs. On ne trouve pas encore à ce stade d’information de contact pour les services d’enquête. Parfois, ce pourra être uniquement le serveur de publication d’une entreprise ou d’une famille.

Il est aussi important de comprendre que dans la très grande majorité des cas, les serveurs sont gérés par des bénévoles, y compris leur modération. En tout état de cause, de la même façon que les services d’enquête et la justice sont au côté des utilisateurs des grandes plateformes, nous devrons relever le défi des réseaux sociaux décentralisés et nous adapter à cette réalité, qu’elle devienne la norme ou ne reste qu’une niche. A suivre et au plaisir d’échanger avec vous sur @ericfreyss@mastodon.social !

De l’anonymat sur Internet

Beaucoup de débats ces dernières années, ces derniers mois et ces derniers jours sur l’anonymat sur Internet. Ce n’est pas un problème nouveau, que je vous propose de traiter sous trois angles: du point de vue de l’usager qui souhaite rester anonyme sur Internet, de celui qui observe les anonymes et du point de vue de l’enquête judiciaire.

Du point de vue de l’usager qui souhaite rester anonyme

Plutôt que de limiter le problème à la distinction anonymat / pseudonymat (et vous verrez plus bas que la loi reconnaît les deux notions qui recouvrent deux étapes distinctes dans la démarche d’anonymisation), je vous propose de prendre un peu de recul sur l’ensemble des questions que peut se poser un usager lambda dans son usage de l’Internet:

  1. est-ce que le site Web (ou tout autre service) connaît mon identité, a besoin de connaître mon identité, ou toutes données relatives à ma personne ?
  2. de façon générale, est-ce que je peux être sur Internet comme dans la rue, un anonyme parmi les autres ?
  3. est-ce que je peux m’exprimer librement si j’utilise mon nom ?
  4. est-ce que les autres ont besoin de connaître mon nom quand je m’exprime sur Internet ?
  5. est-ce que je peux rester anonyme quand j’échange sur ce site de jeux en ligne où je ne fais que me divertir avec les autres ? sur ce site de rencontres ? sur ce site médical ?…

Dans toutes ces questions, on distingue deux problèmes: l’anonymat par rapport au service, au prestataire auquel on se connecte, et l’anonymat par rapport aux autres (ceux avec qui j’échange, ceux qui peuvent consulter ces échanges ou les informations que je publie).

S’agissant de l’identité vis-à-vis d’un service Internet simplement visité, consulté, les données collectées par le prestataire sont régies actuellement par les dispositions du règlement général sur la protection des données personnelles (RGPD), et les modalités de collecte sont directes (informations fournies explicitement par l’utilisateur) ou indirectes (les fameux cookies notamment qui permettent de croiser une identité ou d’autres données collectées par un tiers avec la navigation sur le site). Laissons de côté ces questions qui ne sont pas l’objet principal des débats qui nous amènent à ce billet, mais qu’il faut toujours conserver à l’esprit quand on parle d’anonymat sur Internet.

En matière de publicité de l’identité lorsque l’on publie un contenu sur Internet, la loi pour la confiance dans l’économie numérique est claire (j’en parlais en 2013 sur ce même blog, le temps passe vite) – même si elle n’est pas totalement adaptée au format des médias sociaux – notamment en matière d’édition d’un service de communication au public en ligne (un site Web, un blog…) :

  • si on publie à titre professionnel (indépendant ou au travers d’une entreprise notamment), il faut mettre à disposition les informations d’identité de la personne ou de l’entreprise, ainsi que de l’hébergeur;
  • si on publie à titre purement personnel (comme le présent blog), il faut a minima avoir communiqué ces informations à son hébergeur, et la loi parle explicitement ici de la possibilité ainsi donnée de « préserver son anonymat ».

Dans beaucoup de cas, on utilisera un pseudonyme unique (qui peut éventuellement évoluer dans le temps selon les règles des plateformes), permettant de distinguer chaque intervenant. Dans certains cas, les plateformes acceptent les publications « anonymes » (même si subsistent des obligations de conservation de données comme évoqué plus bas), comme le fameux forum 4chan, mais dans les pratiques plus récentes des réseaux sociaux de questions/réponses type Ask.fm ou Curious.cat.

Par extension aux médias sociaux qui ne sont qu’une forme de présentation de ces publications (même si elles sont très interactives et je ne parle pas ici des messages privés), la loi reconnaît donc très clairement un droit à l’anonymat.

Maintenant, quelles sont les données minimales qui doivent être collectées par l’hébergeur (ou le prestataire de la plateforme sociale) ? Elles sont fixées dans un décret en Conseil d’Etat numéro 2011-219 du 25 février 2011. Pour une présentation détaillée, vous pouvez encore une fois consulter l’article que j’y consacrais en 2011.

Parmi ces données, le nom et prénom ou la raison sociale doivent être conservées, uniquement dans la mesure où elles sont habituellement collectées par le prestataire. En revanche, pour chaque contribution à une publication (création, modification ou suppression de contenu), l’hébergeur doit conserver non seulement l’identifiant de l’utilisateur (dans son système d’information, un identifiant unique ou le pseudonyme choisi par exemple) mais aussi l’adresse IP, ainsi que l’horodatage.

Si on interprète strictement la loi LCEN, il subsiste donc un doute:

  • si on assimile un compte de média social à un « service de communication au public en ligne », la fourniture de l’identité au prestataire est obligatoire (article 6, III, 2/ de la LCEN) ;
  • si on estime qu’on est face à un autre objet juridique, alors c’est le principe de la collecte habituelle par le prestataire qui s’applique, et du besoin de le conserver.

Ce point de débat mériterait d’être tranché par un statut juridique spécifique aux plateformes sociales (si certains de mes lecteurs connaissent des jurisprudences sur ce point, n’hésitez pas à les partager). Au passage, la même question se pose très certainement pour les sites médicaux où l’on pose des questions, ou les sites de rencontres.

L’anonymat du point de vue de l’observateur

La question est d’abord peu juridique et plusieurs motivations poussent le lecteur à se poser des questions sur les publications anonymes:

  • la curiosité (pourquoi pas, c’est humain!)
  • le besoin de comprendre le point de vue depuis lequel s’exprime la personne (dans ce cas, ce n’est pas forcément l’identité qui intéresse le lecteur, mais par exemple le métier, le lieu, l’âge, etc.)
  • le souhait d’interagir de façon directe (mais souvent d’autres moyens de communication respectant l’anonymat sont proposés)
  • pouvoir se plaindre de la publication (droit de réponse, demander le retrait du contenu, porter plainte, etc.)

Pour toutes ces raisons, la révélation de l’identité réelle n’est pas absolument indispensable, ni prévue par la loi.

Maintenant cette révélation est-elle souhaitable ? L’argument souvent rapporté est que l’anonymat (et donc souvent, l’utilisation d’un pseudonyme sur les réseaux sociaux), désinhiberait les personnes qui s’expriment (et donc les pousserait à avoir des propos outranciers voire illégaux) et les installerait parfois – ou souvent – dans un sentiment d’impunité.

Intuitivement on peut tous admettre qu’effectivement cette assertion est correcte. L’anonymat – même relatif – enlève ou allège certaines inhibitions. Au passage cela peut aussi être positif et pousser certaines personnes habituellement discrètes à plus s’exprimer et donc à développer le partage, sans compter les nombreuses autres bonnes raisons de rester anonyme (discrétion, etc.). Si on regarde du côté des études scientifiques, je n’en citerais qu’une (Tsikerdekis, 2012) et qui indique que de façon générale, l’utilisation d’un pseudonyme ou la publication anonyme ne rend pas particulièrement plus agressif, mais qu’en revanche sur un sujet qui tient à cœur pour la personne qui s’exprime, l’utilisation d’un pseudonyme peut conduire à une expression plus agressive.

Qu’en conclure ? Avant tout qu’une plateforme qui autorise l’utilisation de pseudonymes doit être attentive aux débats qui s’y produisent, il y a de plus fortes chances qu’ils s’enveniment. Mais même sur les plateformes où l’on utilise normalement son nom véritable (comme les réseaux sociaux professionnels), on rencontre aussi des dérives. Ensuite, qu’il faut certainement apprendre à se servir d’un média social (éviter les conflits, respecter les autres, respecter les limites de la loi, etc.). Enfin, qu’au-delà du rôle des individus et des plateformes il faut que les autorités en charge de l’application de la loi puissent faire leur travail.

Du point de vue de l’enquête judiciaire

Cela nous amène au dernier point, celui des investigations judiciaires (pénales, ou sous l’autorité du juge civil agissant sur requête par exemple). Deux points de vue: est-ce que les médias sociaux et l’utilisation de pseudonymes ont un impact fort voire insurmontable sur leur travail ? est-ce que ces investigations peuvent se dérouler normalement ?

La première question est plus un point de vue sociétal. Mon avis très personnel est le suivant: la loi prévoit explicitement le droit à l’anonymat lorsqu’on publie sur Internet, et c’est une bonne chose. Il faut donc se donner les moyens de détecter et d’enquêter. Je ne détaillerais pas tous les moyens d’action et sites de signalement de contenus illicites (publics tels que PHAROS ou privés tel que Pointdecontact, en France).

Je m’appesantirai en revanche sur la possibilité d’enquêter. J’indiquais tout à l’heure les obligations de conservation de données prévues par la LCEN et son décret d’application. Sans ces données, les investigations ne sont pas possibles. Il existe un débat sur la nécessité de cette conservation et sa proportionnalité (pour toute publication ici, pendant un an), toujours est-il que si ces données ne sont pas accessibles à l’enquête judiciaire, cette enquête n’est pas possible et il est impossible de prédire si une publication nécessitera ou non une enquête judiciaire.

Maintenant, lorsque ces données sont conservées, est-ce que l’enquête judiciaire y a bien accès ? Lorsque tout se déroule en France, aucun problème, sauf défaut de l’hébergeur. En revanche, lorsque cet hébergeur est à l’étranger, il peut y avoir conflit avec la législation de cet autre pays. Toute la question est de savoir si, lorsqu’un service est offert depuis l’étranger sur le territoire national, la législation du pays où se trouve l’utilisateur s’applique, ou bien celle où se trouve la plateforme. S’agissant de la protection des données personnelles, le RGPD évoqué plus haut a tranché, c’est la législation du pays où se trouve la personne qui prime. En matière de publications sur Internet, le débat juridique n’est pas tranché.

En pratique, régulièrement, les plateformes de réseaux sociaux refusent à des enquêteurs et à des magistrats français la possibilité d’accéder à ces données, estimant par exemple que tel message ne relève pas d’une infraction en matière de haine, ou que le service d’enquête n’aurait pas pouvoir juridictionnel parce que le suspect serait dans un pays tiers, etc. C’est une partie du débat des lois en cours de discussion en France (proposition de loi sur la lutte contre la haine sur Internet), déjà votées ailleurs (NetzDG en Allemagne), ou de la proposition de règlement sur l’accès transfrontières à la preuve numérique au niveau européen (e-Evidence).

A suivre donc !

 

Rendez-vous au FIC 2014

fic 2014Bien installé dans le paysage des événements liés à la cybersécurité, le 6ème Forum International sur la Cybersécurité aura lieu les 21 et 22 janvier prochains à Lille Grand Palais.

Pour vous inscrire: http://www.forum-fic.com/

La thématique générale de cette année est « Identité numérique et confiance », mais vous trouverez dans le programme de nombreux thèmes qui vous intéresseront, notamment ceux qui sont au cœur de la lutte contre la cybercriminalité. Cet événement se veut ouvert et tourné vers les entreprises, les collectivités locales, les administrations et le citoyen. C’est pour cela que cette année encore l’entrée est gratuite. En y participant, vous pourrez échanger dans les couloirs et au moment des pauses, poser des questions lors des débats, des ateliers et des conférences.

Cette année plusieurs nouveautés importantes:

  • l’organisation d’un challenge forensique à destination des étudiants et des débutants dans l’investigation numérique (les inscriptions sont closes depuis le 31 décembre);
  • de nombreux ateliers seront en anglais ou traduits en anglais pour une meilleure ouverture vers nos visiteurs étrangers;
  • l’attribution d’un prix de la PME innovante.

Pour ma part je participerai à deux occasions:

  • Une conférence de 45 minutes sur la lutte contre la cybercriminalité
  • Un atelier que j’animerai avec Guillaume Arcas (Sekoia) sur la réponse aux incidents dans les entreprises. La réponse aux incidents comporte notamment les techniques qui sont mises en oeuvre pour comprendre l’origine et l’importance d’un incident de sécurité informatique, collecter éventuellement des preuves (en vue d’un dépôt de plainte) et aider aux processus de reprise d’activité. Cet atelier se déroulera en trois temps, avec une introduction concrète sur ce qu’est la réponse aux incidents, une démonstration des méthodes utilisées puis une table ronde pour discuter avec la salle des enjeux et difficultés de la réponse aux incidents avec plusieurs intervenants.

Rendez-vous à Lille !

La citadelle du crime

L’évolution du botnet Citadel est suivie depuis plusieurs mois par différents chercheurs. Il montre une tendance intéressante (si l’on peut dire) dans la pratique des groupes criminels numériques: une véritable gestion de la clientèle et l’utilisation des modèles modernes de développement d’applications en source ouverte. Cet exemple montre des développements importants dans le domaine du CaaS – crime as a service, ou le crime vendu comme un service.

Historique

En mai 2011, le code source du malware Zeus est révélé. Dans la foulée, des variantes sont développées dont IceIX et aujourd’hui Citadel.

Panneau de commande du botnet Citadel v.1.2.4 (source: Seculert)

Les services offerts par la citadelle

Une fois la licence de Citadel acquise (le prix public serait de $2.399 plus un abonnement de $125 mensuels), le ‘client’ est invité à rejoindre la communauté en ligne des acheteurs de Citadel: le « Citadel Store » (voir l’article de Brian Krebs). Ils ont ainsi accès :

  • à la possibilité de voter pour de nouvelles fonctionnalités et en discuter le détail ;
  • la progression des développements (dates de sortie des nouveaux modules) ;
  • au signalement des bugs au travers d’un classique système de gestion de tickets ;
  • à une documentation complète pour l’utilisateur, des notes de version et un document de licence (sic !).

Vous pouvez lire sur le Wiki Botnets une traduction en anglais (par @sherb1n) d’un message publicitaire du groupe qui anime Citadel sur un forum destiné à des acheteurs potentiels.

Très clairement, il s’agit de fidéliser la clientèle et donc de développer ses revenus (ils demandent même des avances aux clients qui souhaitent voir un développement particulier arriver plus rapidement), mais aussi de profiter des informations que les clients obtiennent pour améliorer le produit et le rendre plus efficace. Ils vont ainsi beaucoup plus loin que les contacts via ICQ ou Jabber classiquement utilisés par les développeurs de logiciels malveillants (voir l’article de Brian Krebs).

Le groupe qui se cache derrière le Citadel Store se comporte comme n’importe quelle entreprise. Ainsi, ils ont des horaires de bureau (de 10h00 à 00h30 tout de même, donc très geeks) et se reposent le week-end. Au mois de mars 2011, Seculert rapportait déjà (voir leur blog) l’importance des services de type commercial développé par les criminels dans le domaine des plateformes d’exploits (il s’agit de plateformes telles Blackhole ou Incognito qui regroupent en un seul outil intégré un ensemble d’outils permettant de contaminer une grande variété de machines victimes visitant par exemple un site Web).

J’avais déjà eu l’occasion de souligner le développement des groupes criminels comme de véritables entreprises:

Les fonctionnalités offertes par Citadel

Selon Seculert (voir sur leur blog), une nouvelle version de Citadel est publiée chaque semaine, soit un rythme beaucoup plus soutenu que ce qu’on a pu remarquer pour Zeus ou SpyEye.

A ce jour, le botnet Citadel offrirait les fonctionnalités suivantes (voir notamment l’article de Seculert):

  • toutes les fonctionnalités connues de Zeus, mais avec des améliorations comme la collecte d’identifiants de connexion sur le navigateur Chrome de Google ;
  • chiffrement RC4 et AES pour les communications ;
  • contre-mesures pour les plateformes de suivi des serveurs de commande des botnets (tel Zeus Tracker), grâce à l’utilisation de clés qui seules permettent de télécharger des mises à jour ou des fichiers de configuration ;
  • blocage de l’accès par les machines infectées aux serveurs de mise à jour des anti-virus ;
  • enregistrement de vidéos (au format MKV) de l’activité de l’utilisateur visitant un site Web particulier ou utilisant une application (il s’agit d’une option du botnet) ;
  • la mise à jour via le protocole Jabber de l’ensemble des bots pour éviter la détection par les antivirus (cette option serait facturée $395 et chaque mise à jour $15) ;
  • plus classique, il est possible d’empêcher le bot de fonctionner sur les machines dont le clavier est configuré pour le russe ou l’ukrainien.

Interface de création du bot - logiciel malveillant (Source: Brian Krebs)

Pour prolonger…

Cet article est l’occasion d’attirer l’attention sur un projet lancé voici quelques semaines: https://www.botnets.fr/ un Wiki sur les botnets que j’anime dans le cadre de la thèse que j’ai commencée sur le sujet de la lutte contre les botnets. Si vous voulez participer à ce Wiki n’hésitez pas à nous rejoindre sur IRC chat.freenode.net .fr et à vous inscrire sur le Wiki.

L’Europe en lutte contre la cybercriminalité

Dans son rapport 2011 sur la Criminalité en France, l’ONDRP – Observatoire national de la délinquance et des réponses pénales, publié en novembre 2011, a consacré un dossier entier à la cybercriminalité.

La synthèse du rapport est disponible en téléchargement. Le rapport dans son intégralité est publié chez CNRS éditions.

Au sommaire de ce rapport, un article sur la lutte contre la cybercriminalité en Europe que j’ai rédigé au cours de l’été dernier. Je vous le propose aujourd’hui en téléchargement, avec l’aimable autorisation de l’ONDRP.

Son introduction:

Lutter contre la cybercriminalité à l’échelle européenne est à la fois une nécessité et une gageure. La cybercriminalité n’a pas de frontières – même si l’on verra qu’il en subsiste – et les systèmes judiciaires, les cultures, les frontières physiques créent autant de barrières à un contrôle efficace de ces formes de délinquance. Après un peu plus de vingt ans d’actions, d’initiatives et de réussites dispersées mais convaincantes, l’Europe de la lutte contre la cybercriminalité semble vouloir prendre un nouveau virage avec la création d’un véritable outil commun, un Centre Européen de lutte contre la Cybercriminalité – annoncé par le Conseil de l’Union Européenne le 29 avril 2010 et qui devrait voir le jour en 2013. Après avoir parcouru les enjeux et les différentes étapes de cette lutte, nous envisagerons quelques-unes des composantes qui paraissent essentielles pour ces nouveaux outils.

La suite dans le PDF joint.

Lancement d’une communauté opensource pour l’investigation numérique

Cet après-midi, 8 décembre, nous réunissions à Paris les premiers partenaires qui ont accepté de nous soutenir pour la création et l’animation d’une communauté francophone autour des outils opensource pour l’investigation numérique, dans le cadre du centre d’excellence français contre la cybercriminalité (voir ici l’article d’introduction sur le projet 2CENTRE et sur les premières activités déjà lancées).

Nous avons pu ainsi discuter des participants potentiels, des objectifs et des besoins concrets d’une telle communauté. Après une présentation des sociétés Arxsys et Openwide sur leur expérience dans les développements opensource (voir notamment la plateforme DFF gérée par Arxsys), les enquêteurs, spécialistes en sécurité, étudiants, chercheurs, industriels que nous avions réuni ont pu échanger et proposer une première vision sur cette communauté à construire.

Les besoins en outils de l’investigation numérique recouvrent plusieurs domaines parmi lesquels on peut citer : l’analyse criminalistique des supports de preuve (disques durs, téléphones mobiles, etc.), les méthodes et les outils d’investigation sur les réseaux ou d’analyse de traces, et encore, si on rentre dans les détails, l’analyse des virus informatiques ou la comparaison des images pédopornographiques.

Potentiellement donc beaucoup de besoins, mais peu de visibilité encore des acteurs francophones qui s’investissent dans ce domaine. Peu d’occasions pour eux aussi d’échanger sur l’analyse des besoins, les projets existants, les difficultés rencontrées, le développement de documentations pour les utilisateurs ou l’évaluation de leurs outils.

Beaucoup de questions aussi, qui seront plus faciles à résoudre collectivement, comme celles qui touchent à la déontologie (comme en matière de sécurité, peut-on et doit-on tout publier ?), la science (comment valoriser les approches scientifiques dans les investigations numériques, comment mener et publier des recherches sur des cas réels) ou la question des jeux de test (comment créer des exemples réalistes pour la formation, le développement ou l’évaluation des outils).

Si vous êtes intéressé pour participer et rejoindre cette communauté, merci d’écrire à opensource[à]crimenumerique.fr, nous vous tiendrons ainsi directement informés. Dès le premier trimestre 2012 nos premiers outils devraient être mis en place, donc ne tardez pas à nous contacter.

Allez voir « Polisse »

22h15 hier soir, la lumière se rallume doucement dans la plus grande salle du Forum des Halles pendant que le générique de fin défile, dans un silence presque total. Le public est scotché dans les fauteuils. Deux heures viennent de s’écouler où nous avons partagé une année de tensions, d’action, d’auditions, de nausées, de franches rigolades, de crises de nerfs, d’élans d’amitié, de détresses humaines, de familles blessées, des regards d’enfants heureux malgré tout et d’adolescents souvent paumés.

Cerise sur le gâteau, Maïwenn entre dans la salle, inquiète de savoir pourquoi le public se déplace si nombreux pour voir son film. Les réponses fusent: les acteurs (JoeyStarr mais les autres aussi), le sujet, l’affiche… Pourquoi ils ont aimé ce soir: l’absence de parti pris, les qualités cinématographiques, les acteurs formidables.

J’allais voir ce film avec à la fois un grand intérêt, comme à chaque fois qu’un film parle de notre travail ou du travail de nos collègues, avec des acteurs que j’aime beaucoup (Marina Foïs est exceptionnelle ici encore) et quelques inquiétudes (Joeystarr en flic je n’y croyais pas trop). J’en suis ressorti – et je le suis toujours ce matin – sous le charme, estomaqué, presque retourné.

On y retrouve ce pourquoi on fait ce genre de métiers: le service du public, le contact avec la vraie vie et l’impact concret que l’on peut avoir sur la vie des gens, le travail en équipe, la richesse des relations en général et peut-être le goût pour une matière à la fois technique et humaine. Mais ce film est encore plus riche que cela, un véritable travail d’observation sur l’humain et la société aujourd’hui, au travers du prisme de ce groupe de la brigade de protection des mineurs, fictionnel et en même temps tellement réaliste.

Si vous devez voir un film en ce moment, c’est celui-ci, vous ne le regretterez pas.

Note pour mes lecteurs habituels: le scénario n’est pas centré sur les aspects numériques de ce travail de policiers d’une brigade de protection des mineurs, même s’ils sont évoqués. N’y allez donc pas pour ça, mais réellement pour voir un très beau film sur ces métiers et notre société.

Assises de la sécurité 2011 – quelques notes

Les Assises de la sécurité et des systèmes d’information se tenaient cette année encore à Monaco du 05 au 08 octobre 2011. Une belle réussite grâce aux organisateurs évidemment (DG Consultants), les sponsors et exposants et les très nombreux participants.

Le programme des ateliers, tables rondes et conférences étaient particulièrement denses, aussi ne peut-on assister à toutes évidemment. Les sujets qui ont le plus été discutés: le cloud computing, IPv6, BYOD (apporte ton propre équipement, une tendance qui semblerait se développer et qui pose des problèmes de sécurité) et un fort penchant pour le mot « cybercriminalité » dans le vocabulaire utilisé par les professionnels, en lieu et place des simples « risques » et « menaces ».

Quelques présentations auxquelles j’ai assisté:

– Sogeti présentait les travaux de Guillaume Delugré, un des chercheurs de l’ESEC, sur la possibilité d’attaques dans les architectures en nuage à cause du partage de la mémoire vive sur les serveurs eux-mêmes entre plusieurs machines virtuelles (ces résultats avaient été présentés à Hack.lu 2010) ;

– Orange faisait le point sur le déploiement d’IPv6 en pratique (Christian Jacquenet) et les solutions aux problèmes de sécurité que cela pose ;

– Nicolas Brulez (@nicolasbrulez) de Kaspersky a fait une présentation sur l’état de l’art des malwares bancaires ;

– Stonesoft propose à la communauté de partager sur les « Advanced evasion techniques » qui permettent à des attaques déjà connues et souvent détectées par les solutions de sécurité actuelles d’être camouflées ; ils ont décrit ces techniques dans une annonce faite par le CERT-FI et proposent une plateforme d’information sur ce sujet.

– Une table ronde était consacrée à la classification de l’information au sein de l’entreprise. Il s’agit avant tout de mettre en place des mesures adaptées à chaque classe d’information à protéger en prenant aussi bien en compte les impératifs légaux (données à caractère personnel, données médicales, etc.) que la nécessité de protéger le patrimoine informationnel de l’entreprise. Les témoins présents ont fait état d’un processus souvent difficile – en tous cas nécessitant une perpétuelle mise à jour, aboutissant en général à 4 ou 5 niveaux de protection. Ce travail devra nécessairement prendre en compte les évolutions récentes de la législation (notification obligatoire des incidents de sécurité concernant des traitements de données à caractère personnel) ou futures (comme le texte qui serait proposé prochainement sur la protection du secret des affaires).

Enfin, Myriam Quémener et moi-même présentions une table ronde sur les perquisitions en entreprise, avec le soutien du Clusif. Un document sera bientôt publié sur le site du Clusif pour résumer les principaux points de nos présentations.

Pour la clôture des Assises, Patrick Pailloux a présenté le nouveau logo de l’ANSSI dont il assure la direction et lancé un message fort vers la communauté de la sécurité informationnelle.

Internet et ses abus: il faut s’y confronter et non les nier

Les terribles évènements du 22 juillet à Oslo ont entraîné le débat plus que prévisible de l’impact d’Internet sur les actions du principal suspect. Alors que l’enquête ne fait que commencer, que la douleur des familles est loin d’être apaisée, les commentateurs sont appelés sur les plateaux de télé pour évoquer l’impact d’Internet sur de tels actes de terreur. Ce soir, Laurent Joffrin (@laurent_joffrin) s’essaie au difficile exercice de dessiner les sources d’inspiration possibles du terroriste. Bien évidemment il cite parmi les hypothèses probables l’accès facile à certains débats de haine sur Internet, et conclut en soulevant le danger de laisser notamment se développer sans contrôle certains sites Internet francophones. On lira aussi cette interview de Jean-Yves Camus sur Rue89.

De façon toute aussi évidente, les enthousiastes de l’Internet, se sont empressés de critiquer ces points de vue, certains n’hésitant pas à nier le rôle que peut jouer un outil de communication aussi puissant dans les grands évènements de notre société.

Dans le cas présent, même s’il est certainement beaucoup trop tôt pour conclure trop radicalement, il semble parfaitement légitime de questionner l’usage qu’Anders Breivik a pu avoir d’Internet, ne serait-ce que par sa façon de mettre en scène sa présence sur le net quelques heures avant de s’en prendre à des dizaines d’innocents.

Une fois de plus ne mettons pas la tête dans le sable

Voilà quelques mois, j’invitais mes lecteurs à ne pas faire l’autruche, et se rendre compte que oui, Internet, ce média formidable de communication et de développement de nos sociétés, est aussi abusé et la délinquance sous toutes ses formes, notamment portant atteinte aux mineurs, s’y développe, peut-être un peu plus vite ou de façon plus variée que si Internet n’existait pas.

Dans le cas présent, il faut se rappeler à cette réalité: oui, Internet a pu jouer un rôle. Et non, ça ne veut pas dire qu’Internet est responsable (ça n’aurait d’ailleurs pas de sens), mais il est parfaitement irresponsable de ne pas se rendre compte, notamment pour les professionnels de l’Internet, que les messages de haine, les théories les plus saugrenues sur notre société, se propagent plus vite, se développent plus vite et ont peut-être une influence plus rapide et plus efficace sur certaines personnes, grâce à ces mêmes technologies formidables qui rendent les échanges plus riches chaque jour, la communication plus libre et la pensée certainement plus riche.

Une prise de conscience nécessaire pour le bien d’Internet

De la même façon qu’il n’est pas vraiment raisonnable de renoncer au progrès dans les moyens de transport, parce qu’ils présentent des risques, parce qu’on peut avoir un accident sur la route ou se faire agresser dans un train, il faut favoriser les comportements et développer les technologies qui aideront à faire qu’Internet soit plus sûr et à en maîtriser les dérives les plus graves, tout en préservant les bienfaits qu’il apporte.