Prospective

26C3 – Conférence du CCC à Berlin (1)

La 26ème conférence du Chaos Computer Club se tient cette semaine à Berlin, du 27 au 30 décembre 2009. En effet, cette association allemande organise depuis 1984 une conférence annuelle qui réunit plus de 2000 participants. Le caractère assez ouvert de cette événement permet à tout un chacun de voir en direct sur Internet les présentations qui ont lieu dans les différentes salles. Je vous propose un résumé de quelques présentations intéressantes auxquelles j’ai pu assister ainsi grâce à la magie d’Internet.

Le programme est accessible sur le Wiki de la conférence.

27 décembre 2009

Vous pouvez aussi visualiser les présentations sous forme de fichiers vidéo en téléchargement (lien temporaire pendant la conférence). La suite de mes impressions demain.

Cyberformation contre cybercriminalité (Bulletin de l’ILEC)

Le numéro 404 du bulletin de l’ILEC (Institut de liaison et d’étude des industries de la consommation, site Web de l’association par ici…) publie un numéro spécial sur la cybercriminalité. Il se présente sous la forme d’entretiens sur les sujets suivants:

  • Une mutation du crime organisé, entretien avec Myriam Quéméner, page 1
  • L’entreprise dans la ligne de mire, entretien avec Joël Ferry, page 4
  • Information bien gardée, entreprise avisée, par Rémy Février, page 5
  • Un mal inéluctable, entretien avec René Henri Legret, page 7
  • Cyberformation contre cybercriminalité, entretien avec Eric Freyssinet, page 9
  • ANSSI, nouvelle arme de l’État, entretien avec Michel Benedittini, page 11
  • Vers une cyber-ONU, entretien avec Christian Aghroum, page 12
  • Une vigie de la cybercriminalité mondiale, entretien avec Régis Fohrer, Dominique Schoenher et Rémy Février, page 14
  • Maîtres-toile contre cyberbrigands, entretien avec Jean-Paul Pinte (son blog), page 15

Merci à Jean-Watin Augouard d’avoir retranscrit ainsi nos échanges.

Atelier « Droit à l’oubli numérique »

droitoubli3Sciences Po. Paris accueillait ce matin, 12 novembre 2009, un atelier organisé à l’initiative de Madame Nathalie KOSCIUSKO-MORIZET, secrétaire d’État chargée de la prospective et du développement de l’économie numérique. Portant sur le « Droit à l’oubli numérique », l’atelier était organisé en deux tables rondes abordant successivement l’oubli des traces et l’oubli des données publiées volontairement.

Présidé par la secrétaire d’État, le débat était animé par Bernard BENHAMOU, délégué aux usages de l’Internet. Alex TÜRK, président de la CNIL et sénateur du Nord était chargé de quelques mots en ouverture, tandis que Daniel LE METAYER (INRIA) a fait une rapide présentation sur les méthodes de préservation de la vie privée.

On saluera au passage la présence de parlementaires aux tables rondes (le député Patrice MARTIN-LALANDE et le sénateur Yves DÉTRAIGNE) ou dans la salle (Lionel TARDY, son blog-compte-rendu).

Dans son préambule, la ministre a rappelé la création d’un hashtag #oubli sur Twitter pour ceux qui souhaitent échanger par ce moyen.

Introduction par Alex TÜRK

Le président de la CNIL a rappelé que le droit à l’oubli était en réalité une préoccupation permanente de la commission, car effectivement à la base des règles de gestion des données personnelles au travers de la durée de conservation de ces données et du droit d’opposition. Il propose ensuite de remplacer l’attitude trop généralement rencontrée du « je n’ai rien à me reprocher », donc « ça ne m’embête pas que toutes ces données soient disponibles à mon sujet » (sous-entendu sur les réseaux sociaux et Internet en général) par le souci de son intimité, considéré comme une liberté fondamentale (consacrée par ailleurs dans le code pénal aux articles 226-1 et suivants). Enfin, M. TÜRK offre une première conclusion en faveur d’un gouvernement transparents et de citoyens non-transparents. Baudelaire faisait ainsi référence au « droit de se contredire et de s’en aller ».

L’oubli des traces

Cette première table ronde rassemblait des avocats et juristes, ainsi que des professionnels de l’Internet, dont la présence notable de Peter FLEISCHER (son blog), responsable de la protection des données personnelles chez Google.
On a ainsi pu noter au travers des annonces faites par Google et Microsoft une évolution des pratiques professionnelles vers une plus grande transparence (comme le Dashboard de Google) ou le souci de la protection de la vie privée dès la conception des outils (comme les PETs mis en œuvre notamment par Microsoft). En forme de conclusion, le député Patrice MARTIN-LALANDE appelle les acteurs professionnels à investir une partie de leurs bénéfices dans l’innovation permettant une meilleure gestion par les individus de leurs traces.

L’oubli des données publiées volontairement

Cette deuxième table ronde a notamment permis d’entendre, par la voix d’Alain GAVAND, la position des professionnels du recrutement. Ainsi, l’association A compétence égale publie une charte réseaux sociaux, Internet, vie privée et recrutement. Parmi les professionnels présents à la table ronde, le représentant de Skyblogs, Jérôme AGUESSE a dû reconnaître leur impuissance face au phénomène des dédipix, ces images non pornographiques mais parfois très intimes publiées par leurs usagers. Enfin, Valérie SÉDALLIAN, avocate, a témoigné d’une affaire qu’elle a eue à traiter qui démontrait la difficulté de protéger les internautes des données publiées sur des plateformes hébergées pour l’essentiel en dehors des juridictions européennes et le sénateur Yves DÉTRAIGNE a d’ailleurs regretté l’impuissance du législateur à faire évoluer ce problème.

Conclusion par Madame Nathalie KOSCIUSKO-MORIZET

Le mot de la fin est revenu à la présidente de cet atelier. Ainsi, a-t-elle souligné qu’on n’avait pas eu suffisamment le temps d’évoquer les cas des données qui échappent totalement au contrôle de l’individu: les données personnelles qui le concernent et qui sont publiées par d’autres personnes ou celles que l’on peut reconstituer (elle a notamment évoqué une étude du MIT qui démontre la possibilité de deviner l’orientation sexuelle d’une personne à partir de sa liste d’amis sur Facebook).

La secrétaire d’État appelle à poursuivre les débats sur Twitter, mais aussi sur le futur site du Secrétariat d’État qui sera lancé le 25 novembre 2009. Elle souhaite que les débats sur la gouvernance de l’Internet deviennent plus institutionnels et propose enfin que la discussion sur le droit à l’oubli puisse permettre de commencer à discuter d’harmonisation mondiale des pratiques de protection des données personnelles.

Commentaires personnels

L’écoute attentive de ces ateliers m’amène quelques réflexions. D’abord, il ne faut pas oublier qu’une partie du débat en matière de traces et d’oubli porte sur l’obligation qui doit être faite aux acteurs techniques de conserver les données permettant d’identifier les auteurs de contenus diffusés sur Internet ou l’utilisateur d’une adresse IP. Ainsi, le droit à l’oubli ne doit pas faire oublier le devoir de responsabilité individuelle de ses actes et le droit fondamental à la sûreté.

Sur le débat de l’application du droit français à des sites hébergés à l’étranger, il faut d’abord rappeler que le droit pénal français s’applique dès lors que l’un des faits constitutifs de l’infraction a lieu sur le territoire de la République française (article 113-2 du code pénal) et la jurisprudence a régulièrement retenu le fait qu’un site Internet puisse être visible depuis la France et concerne directement des citoyens français peut constituer un élément de cette infraction. Ensuite, l’article 113-7 prévoit très clairement que « la loi pénale française est applicable à tout crime, ainsi qu’à tout délit puni d’emprisonnement, commis par un Français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l’infraction. »

Donc dans les cas où la victime est de nationalité française et en matière pénale, les outils existent bien et il nous revient de les faire appliquer, y compris contre des entreprises situées à l’étranger. Ce sera le cas pour des infractions de presse punies par une peine de prison, telles que les propos appelant à la violence en raison de la race, des pratiques sexuelles ou du handicap.

Le débat subsiste en matière civile, mais dans l’affaire AAARGH le juge s’était bien estimé compétent.

Enfin, Guillaume Desgens-Pasanau publie une tribune sur ce sujet d’actualité sur le blog de notre ouvrage.

Cybercriminels: une économie souterraine

Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)

Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)

Le 17 septembre 2009, David Goldman de CNNMoney.com publie une enquête sur les activités des cybercriminels telles qu’elles sont perçues aux États-Unis.

Il replace d’abord les choses sur le terrain adéquat: aujourd’hui les cyberdélinquants sont avant tout motivés par le gain financier. Effectivement, grâce aux multiples scénarios d’escroquerie développés, ce sont des milliards d’euros qui sont à leur portée. Le premier vecteur de ces méfaits serait la diffusion de logiciels malveillants selon l’article.

Une fois les informations personnelles des victimes récoltées grâce aux divers chevaux de Troie, les escrocs décrits dans l’article se retrouvent sur de véritables places de marché confidentielles organisées sur des canaux de discussion IRC privés. $0.98 pour un numéro de carte de crédit acheté en gros ou $10 environ pour une identité « complète ».

Des intermédiaires fournissent des services particulièrement utiles pour ce commerce: vérification de la validité de la carte bancaire, transfert d’argent sur des comptes offshore,… Certains de ces intermédiaires sont en fait des victimes malgré elles, les « mules » qui croient – avec plus ou moins de bonne foi – travailler pour un employeur étranger. Ainsi il leur est demandé de retirer l’argent qui arrive sur leur compte bancaire ou un colis à la poste pour le réexpédier ailleurs dans le monde, contre une rémunération de 10 à 15% de la valeur.

Les enquêteurs du FBI déclarent avoir infiltré ces canaux IRC… Albert Gonzales était d’ailleurs l’un de leurs informateurs.

Vu le nombre de victimes dans le monde aujourd’hui, de gros progrès restent à faire en matière de prévention: sur l’efficacité des logiciels antivirus, la détection des courriers électroniques d’escrocs ou tout simplement une bonne information du public qui tombe trop souvent dans le panneau.

Un standard IETF pour la lutte contre les bots chez les FAI

ietflogotrans

Comme pour faire suite à l’article que j’ai publié hier, une information tombe à propos sur le site de SANS : l’IETF (Internet engineering task force), l’organisme qui anime la rédaction des standards de l’Internet, travaille depuis le mois de juillet 2009 sur un projet de standard de recommandations à destination des fournisseurs d’accès pour lutter contre la propagation de réseaux de machines zombies parmi leurs abonnés.

Un élément de plus à rajouter sur ce débat pour un rôle actif des FAI dans la lutte contre ces phénomènes criminels.

Australie: plan de lutte des FAI contre les logiciels malicieux

L’association des fournisseurs d’accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s’agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu’il diffuse de très nombreux pourriels, serait alerté par son fournisseur d’accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l’information de l’abonné, sont la limitation de l’accès, le placement de la connexion de l’abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l’accès à certains ports ou protocoles de l’Internet. Il s’agirait aussi pour les fournisseurs d’accès d’informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d’importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l’Internet. D’ailleurs, au-delà de l’assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d’accès Australiens un moyen, reconnu par le gouvernement, de diminuer l’impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d’envoi de courrier électronique, etc.).

L’exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d’en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l’accès Internet dans le cadre de la loi dite « HADOPI » donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l’internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l’internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d’une situation normale sur la connexion de l’abonné ?

Ce chantier mérite en tous cas d’être discuté, dans un univers où l’essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d’action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s’il est légitime ou souhaitable pour une personne officielle (un service d’enquête, agissant éventuellement sous le contrôle d’un magistrat) qui aurait pris le contrôle d’un serveur de commande de botnet de commander à l’ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d’alerte officiel sur l’écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d’envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

Les pirates ont pignon sur rue

Un phénomène de plus en plus courant est dénoncé aujourd’hui par un article posté sur Switched.com: la présence de vitrines commercialisant des services de « piratage » divers et variés. Bien évidemment, je ne donne pas dans cet article de lien directement cliquable vers ces sites web dont l’activité est illicite.

Ici ce sont deux sites Web qui sont présentés : yourhackerz.com et slickhackers.com.

Que proposent-ils ? On peut voir sur le site du premier la page d’accueil suivante :

Page d'accueil de YourHackerZ.com

Page d'accueil de YourHackerZ.com

et les services proposés: « Pour 100 dollars, nous crackons les mots de passe des principaux sites de messagerie web ». Ils indiquent être en relation avec slickhackers.com. On y retrouve le même concept, mais étendu à d’autres types de sites comme Facebook mais aussi les mêmes messageries en ligne.

Aparté juridique

Sur le plan juridique, je rappelle que non seulement les services commercialisés par de telles personnes sont répréhensibles pénalement (2 à 3 ans de prison et 30.000 à 45.000 euros d’amende au moins en France, selon que le procédé suppose ou non de modifier le mot de passe), mais de la même façon pour toute personne qui achèterait un tel service ou en utiliserait le résultat. De surcroît, il s’agit vraisemblablement d’un groupe de délinquants rentrant dans la définition de la délinquance organisée, donc susceptibles de circonstances aggravantes.

Creusons un peu le dossier

Le site web que nous examinons ici est hébergé sur une adresse IP (94.194.139.xxx) qui héberge plusieurs sites Web :

  • www.hackfacebookpasswords.com
  • www.yourhackers.net
  • yourhackerz.com
  • www.slickhackers.com
  • www.yourhackerz.com

Un examen des informations d’enregistrement de ces domaines nous donne des informations d’enregistrement pour :

  • Un certain V.M. (pas besoin de mentionner le nom complet pour la démonstration et de toutes façons c’est certainement un alias), chez Dynadot.com
  • Un certain V.S.
  • Un certain M.K.
  • Un certain H.S., dans un autre bureau d’enregistrement (EHostpros.com), avec cette fois-ci une adresse postale au Royaume-Uni.

L’adresse IP du serveur est identifiée elle-même comme correspondant à un serveur hébergé au Royaume-Uni (AS 35228, Beunlimited), qui semble en réalité être un fournisseur d’accès, donc vraisemblablement ici un hébergement artisanal « à domicile » (www.bethere.co.uk). Soit il s’agit de l’abonnement du premier suspect à inquiéter, soit il s’agit d’une machine dont le contrôle a été pris, à l’insu de son propriétaire…

Combien de temps avant que les personnes derrière ce site web soient identifiées et ce site fermé ? En plus, rien ne nous prouve (et je ne vais pas essayer ni les lecteurs non plus !) que le service offert soit réel.

Au passage, on note ici l’utilisation des services de Dynadot qui est souvent cité comme lié à des enregistrements de noms de domaines aux activités peu recommandables, tout simplement parce que cette société offre des services d’anoymisation et certainement des tarifs attractifs. Apparemment ces sites web sont en ligne depuis le début de l’année 2008 au moins…

En France, ce ne serait pas simple de mener une enquête sur ce type de site Web. En effet, il n’est possible de rentrer en contact et échanger avec des délinquants supposés (et donc vérifier les services proposés) que pour les infractions liées aux atteintes aux mineurs et de traite des êtres humains, visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale introduits par la loi sur la prévention de la délinquance de mars 2007 (j’ai évoqué ce thème des cyberpatrouilles à plusieurs reprises). Souhaitons que ces dispositions soient étendues aux infractions d’atteintes aux systèmes de traitement automatisé de données.

Jeux en ligne – Dirigeants de BetOnSports bientôt fixés sur leur sort

I Bari, Le Caravage (c. 1594)

I Bari, Le Caravage (c. 1594)

La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.

Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.

Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.

Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.

Où en est la situation en France ?

La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.

Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.

La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.

Rapport 2008 de l’observatoire de la sécurité des cartes de paiement

oscpmenuLe 9 juillet dernier, M. Christian Noyer, gouverneur de la Banque de France et président en exercice de l’observatoire de sécurité des cartes de paiement (OSCP), présentait le rapport 2008 publié par cet organisme.

Conclusions du rapport 2008

Le rapport rendu public le 9 juillet dernier reprend la structure classique de ces documents, dont le premier a été publié en 2004 :

  • le chapitre 1 qui s’attarde sur le sujet des cartes émises immédiatement en magasin ou en agence ;
  • le chapitre 2 portant sur les statistiques de fraude ;
  • le chapitre 3 portant sur la veille technologique ;
  • le chapitre 4, enfin, qui revient sur les évolutions en matière de certification de la sécurité des cartes et des terminaux de paiement.

Le point saillant cette année est très certainement une reprise légère de la hausse des taux de fraude sur les paiements par carte bancaire, avec un accent tout particulier sur la fraude réalisée sur Internet, concomitante à une forte augmentation de ce secteur d’affaires.

C’est justement sur le secteur de la vente à distance que s’est penché le groupe de travail chargé de la veille technologique. On y constate qu’outre la nécessité d’augmenter les moyens de sécurisation de ces paiements il faut être attentif à leur acceptabilité par l’usager, au risque de voir ceux-ci se détourner vers des sites moins sécurisés, mais plus faciles d’accès. Un certain nombre d’internautes se diraient en effet rebutés par le dispositif « 3DSecure ». C’est bien là le défi qui est posé : inventer des solutions de sécurisation des paiement plus faciles d’usage.

On retrouve dans le même troisième chapitre une étude sur l’impact du co-marquage en matière de sécurité des paiements, ainsi que des travaux sur la sécurité des réseaux d’automates de paiement.

L’observatoire de la sécurité des cartes de paiement

L’OSCP a été créé par la loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (article 39), modifiant l’article L.141-4 du code monétaire et financier. Les missions de l’observatoire sont:
  • le suivi de la mise en œuvre des mesures adoptées par les émetteurs et les commerçants pour renforcer la sécurité des cartes de paiement ;
  • l’établissement de statistiques en matière de fraude ;
  • d’assurer une veille technologique.
La liste des membres de l’observatoire à ce jour est consultable sur le même site.
Ses membres se réunissent trois fois par an pour établir le programme de travail et discuter du rapport de l’année à venir. Ce sont ensuite différents groupes de travail qui sont constitués pour couvrir les différents aspects et en particulier un groupe de travail sur les statistiques (piloté actuellement par Christian Aghroum, chef de l’OCLCTIC) et un groupe de travail chargé de la veille technologique (piloté par Mireille Campana).
La Banque de France assure le secrétariat de l’observatoire.