Prospective

Journée de l’Europe – Mais que fait l’Europe ?

Drapeau européen - Photo par Rock Cohen

Drapeau européen - Photo par Rock Cohen

Le 9 mai est traditionnellement la journée de l’Europe, dans toute l’Union Européenne, en souvenir de la déclaration de Robert Schuman pour une structuration de l’Europe, le 9 mai 1950.

C’est l’occasion de faire le point sur ce que fait l’Europe dans le domaine qui nous intéresse. Sur le plan institutionnel, nous avons aujourd’hui plusieurs instances intéressantes :

  • Au sein d’Europol, le HTCC ou high tech crime centre, est le point focal de l’activité d’Europol dans la lutte contre la cybercriminalité. En effet, depuis 2002, le mandat d’Europol a été étendu à toutes les formes graves de délinquance, y compris la cybercriminalité. 2009 devrait voir la création à Europol d’un système de centralisation de l’ensemble des signalements d’infractions (un des résultats de la présidence française de l’Union européenne) qui peuvent intéresser les Etats membres et ainsi en faciliter les investigations ;
  • L’ENISA, agence européenne de sécurité de l’information et des réseaux a été lancée en mars 2004. Elle manque encore de visibilité dans son action : elle est positionnée comme un centre d’expertise au service des états-membres, mais pas encore dans le concret. Peut-être cela sera-t-il amené à évoluer, par exemple dans la gestion de certaines crises liées à la sécurité des systèmes d’information ;
  • La commission européenne finance au travers de différents programmes la recherche et l’innovation, la formation ou le développement d’outils qui aident à la lutte contre la cybercriminalité. Ainsi le programme Safer Internet qui finance notamment le fonctionnement d’INHOPE – réseau européen des plateformes de signalement privées en matière de protection des mineurs sur Internet, mais aussi le programme ISEC de la direction générale justice liberté et sécurité qui comporte un volet important consacré à la lutte contre la cybercriminalité ou le septième programme cadre européen de financement de la recherche qui permet certaines initiatives (sous l’angle de la sécurité des systèmes).
  • Parmi les projets actuellement financés sur le programme ISEC, on peut citer :
    • La création d’une coalition financière européenne dans la lutte contre la diffusion de documents pédopornographiques sur Internet, dont j’ai parlé voilà deux mois ;
    • Les différentes activités du groupe de travail d’Europol sur l’harmonisation des formations des services de police dans la lutte contre la cybercriminalité.

Plusieurs textes législatifs de niveau européen sont intéressants à citer et certains devraient évoluer prochainement :

Parmi les déclarations officielles récentes on peut citer les conclusions du conseil justice et affaires intérieures sur la cybercriminalité portées par la présidence française de l’union européenne du 24 octobre 2008 et la déclaration de Prague pour un « Internet plus sur pour les enfants » du 20 avril 2009.

Les évolutions que l’on peut attendre seront certainement basées sur des évolutions des directives ou décisions-cadres évoquées plus haut, que ne manquera pas de proposer la commission européenne cet automne. Le suivi du « Paquet Télécoms » est aussi très important. Ainsi j’évoquais le 05 mars dernier le dispositif introduit dans ce texte qui prévoit la notification obligatoire des incidents de sécurité subis par les opérateurs lorsqu’ils concernent de façon significative les données de leurs clients. Mais, mardi 05 mai dernier, la commissaire européenne aux télécommunications, Viviane Reding, évoquait le projet de la commission d’étendre cette mesure à l’ensemble des domaines économiques, dans un texte qui verrait son application d’ici la fin de l’année 2012. A suivre donc…

Torpig : visite du centre de commande d’un botnet

In English anglais

120px-pig_dsc039781

Torcochon ?

Non, il ne s’agit pas ici du virus de la grippe porcine. Des chercheurs de l’université de Santa Barbara en Californie ont publié un rapport rendant compte des observations qu’ils ont pu faire lors d’une prise de contrôle temporaire d’un système de commande du botnet Torpig.

Il s’agit d’un botnet basé sur un logiciel malveillant (Torpig/Sinowal/Anserin/Mebroot) affectant les systèmes Microsoft Windows. Il aurait été d’abord repéré (selon RSA) en février 2006 ou en juillet 2005 selon d’autres spécialistes. Cela fait donc bientôt quatre ans que ce cheval de Troie sévit, et toujours aussi activement !

Les conclusions du rapport des chercheurs de Santa Barbara, reprises dans un article chez ZDNet, sont que cet outil malveillant permet de collecter actuellement des millions de mots de passe, des milliers de numéros de carte bancaire ou d’identifiants d’accès à des comptes bancaires. Ces chercheurs ont mis en ligne une page de suivi de ce projet.

C’est un nouvel exemple (j’en parlais déjà voici quelques semaines) des techniques qu’il est nécessaire aujourd’hui d’utiliser pour collecter efficacement de l’information sur ces botnets : il est nécessaire de les pénétrer. Aujourd’hui, de tels modes de collecte de preuve restent purement et simplement illégaux.

Botnet de 1,9 million de machines – nouvelles méthodes de lutte

In English anglais

La société Finjan révèle aujourd’hui l’existence d’un botnet regroupant plus de 1,9 millions de machines infectées.

Le centre de commande de ce réseau de machines zombie serait situé en Ukraine et selon les informations collectées par les spécialistes de Finjan, grâce à la surveillance qu’ils ont pu faire en s’infiltrant dans ce serveur de commandes, il y aurait une équipe de six personnes à la tête de ce complot numérique.

Sur le blog de Finjan, on voit des exemples de l’interface web de contrôle de ce réseau. Les actions qui peuvent être ordonnées par ce centre de commandes incluent la possibilité d’installer des chevaux de Troie aux fonctions variées : lecture d’adresses mél, communications entre machines en utilisant le protocole HTTP des serveurs Web, le lancement de processus malins, l’injection de code exécutable dans d’autres processus déjà lancés, la visite de sites Web sans l’intervention de l’utilisateur de la machine, etc.

La répartition relevée par Finjan est la suivante : US / 45%, UK / 6%, Canada / 4%, Germany / 4%, France / 3%, autres / 38%. Cela représente donc environ 60.000 machines victimes sur l’ensemble de notre territoire national… Il semblerait que les machines infectées tournent sous Windows XP.

On voit ici, une fois de plus, que pour lutter contre ce type de cyberdélinquance, il est indispensable de pouvoir collecter des preuves en s’infiltrant dans les systèmes des suspects. Et les services d’enquête ne disposent pas de ce genre de pouvoirs en France. Il n’est même pas sûr qu’on puisse utiliser des preuves collectées de cette façon par des sociétés privées pour poursuivre ces suspects en justice. Ainsi que le relève cette semaine Joe Stewart à la conférence RSA – organisée à San Francisco – il est grand temps que les méthodes de lutte s’adaptent à ces nouveaux défis, et pas uniquement du côté de l’industrie mais en partenariat avec des services d’enquête et la justice pour mettre un terme à l’action de ces groupes criminels.
Technorati Profile

Pré-programme des journées francophones de l’investigation numérique 2009

http://www.afsin.org/wp/jfin-2009/

L’AFSIN, association francophone des spécialistes de l’investigation numérique, vient de mettre en ligne sur son site le programme prévisionnel des 3èmes journées francophones de l’investigation numérique 2009.

Ces journées sont organisées du 1er au 3 septembre 2009, à Neuchâtel en Suisse, dans les locaux flambant neufs de l’Institut de lutte contre la criminalité économique (ILCE), Haute école Arc.

Cette conférence est ouverte aux membres de l’association, aux magistrats, experts judiciaires et enquêteurs spécialisés francophones, ainsi qu’à des personnes invitées par l’AFSIN, notamment issus du monde académique. La session 2008 avait permis de rassembler près de 150 spécialistes dans la région Nancéenne, le déplacement – pour cette année – vers la Suisse nous permettra d’accueillir de nouveaux participants.

Actions de sensibilisation des parents aux risques de l’Internet

Introduction de la présentation

Introduction de la présentation

Des gendarmes, enquêteurs en technologies numériques (NTECH), de la région Nord Pas de Calais, ont développé un module de sensibilisation aux risques de l’Internet à destination des parents. Il a été présenté dans sa version aboutie le 31 mars 2009 à Tilloy-les-Mofflaines (62).

Différents articles et reportages s’en sont fait l’écho :

Botnets à louer

BBC Click

BBC Click

Le 12 mars dernier, une affaire faisait le tour de l’actualité sur Internet : des journalistes de la BBC ont montré dans un reportage comment il était possible aujourd’hui de louer les services d’un botnet, ces réseaux de machines zombies qui permettent de commettre la plupart des malveillances sur Internet : diffusion de courriers électroniques non sollicités (spams), attaques en déni de service distribué, hébergement furtif de sites de phishing, etc.

Fonctionnement de principe des botnets

L’idée est de diffuser via Internet un ver, c’est-à-dire un virus qui se propage de proche en proche par ses propres moyens. Ce ver en contaminant un ordinateur en prend pratiquement le contrôle, se connecte à un serveur de commande piloté par le propriétaire du botnet, et la machine devient ce qu’on appelle une machine zombie. La particularité de ce type de virus c’est qu’il ne perturbe pas forcément de façon exagérée le fonctionnement de l’ordinateur qui l’héberge, mais a plutôt intérêt à ce qu’il soit connecté aussi souvent que possible sur Internet et en plein état de marche, pour pouvoir profiter de sa connectivité et de sa puissance de calcul.

C’est par le cumul des capacités de dizaines ou de centaines de milliers de tels zombies que les criminels constituent des botnets – réseaux de bots – qu’ils peuvent exploiter pour commettre leurs méfaits de façon distribuée. Le serveur de commande peut-être un serveur IRC (protocole permettant de dialoguer en temps réel au travers d’un réseau de serveurs interconnectés), un serveur Web ou tout autre protocole au travers duquel le diffuseur du virus pourra faire passer ses commandes et être sûr que toutes les machines contaminées et connectées le visitent régulièrement.

Le ver Conficker – qui est sensé faire l’actualité ce 1er avril (voir l’article que j’ai rédigé voilà quelques jours) – est conçu pour obtenir ses mises à jour et les commandes de son propriétaire de façon similaire, en se connectant sur des serveurs Web dont l’adresse est calculée par un algorithme évolutif.

L’affaire BBC

Ce que cherchaient à mettre en lumière les journalistes de l’émission Click de la BBC, c’était qu’il était possible de louer les services d’un botnet, pour quelques heures ou quelques jours. Le débat qui a germé sur Internet et dans l’actualité par la suite venait de la démonstration qu’avaient cherché à faire les journalistes : non seulement ont-ils loué un botnet de quelques 22.000 machines et donc utilisé à leur insu – et donc de façon illégale – les ordinateurs d’autant de victimes, mais aussi ont-ils testé les fonctionnalités de ce botnet, en envoyant des spams vers des adresses de courrier électronique leur appartenant et en attaquant de façon concertée un serveur Web – hébergé lui aussi de connivence avec les journalistes, heureusement ! On ne sait pas quels dégâts ils ont pu faire au passage…

Dans leurs explications, justifiant leurs actions, les journalistes se camouflaient derrière l’idée qu’ils n’ont pas utilisé le botnet avec des intentions malhonnêtes. Par exemple, ils n’ont pas collecté de données personnelles sur les ordinateurs zombies. Or, il est clair, qu’ils ont pénétré frauduleusement dans les ordinateurs de ces quelques 22.000 victimes, modifié leur comportement, fait transiter des données étrangères (les spams et les attaques), et l’intention frauduleuse est bien là. C’est comme si un délinquant essayait de s’exonérer d’avoir volé une voiture parce qu’il la rend avec quelques litres d’essence en moins seulement et qu’il s’en est seulement servi pour faire le tour de la ville…

Passons, leur démonstration reste inéressante, et il revient à la justice anglaise de décider ou non de l’opportunité de poursuites…

Mais après ?

Un blogueur de ZDnet attire notre attention sur quelques détails de ce reportage, qui se révèlent particulièrement intéressants. Dancho Danchev est un observateur attentif du développement de ces botnets en kit. Ainsi, pour lui, l’exemplaire montré dans le reportage est relativement récent. La plateforme « Chimera » serait commercialisée par un prestataire russe, qui est connu pour une autre série de botnets appelée « Zeus », qui a par exemple des modules optionnels permettant de faciliter le vol de numéros de cartes bancaires sur Internet – autrement appelé carding.

Il conclue ainsi son article :

Le plus inquiétant avec ce type de services de location de logiciels malicieux ou de botnets est leur effort manifeste sur la standardisation, avec pour conséquence une plus grande efficacité et une capacité à changer d’échelle très facilement. Par exemple, à un « consommateur » qui s’interrogeait – avant d’acheter les « services » – sur la capacité du logiciel de contrôle de botnet à contrôler plus de 50.000 hôtes contaminés, le marchand lui a répondu que le botnet le plus important qu’ils opéraient comportait 1,2 millions d’hôtes et fonctionnait parfaitement.

Il ne fait donc plus doute aujourd’hui que non seulement le crime organisé s’est emparé des nouveaux modes de délinquance numériques, mais il en optimise les performances et le rapport. Les botnets sont autant de phénomènes à surveiller, tout comme les hébergeurs malhonnêtes évoqués en novembre dernier. Pour une action plus efficace à leur encontre une action concertée des pouvoirs publics – notamment judiciaires et d’investigation – mais aussi des acteurs techniques de l’Internet est absolument nécessaire.

Bilan du FIC 2009

FIC 2009

FIC 2009

Le forum international sur la cybercriminalité 2009 s’est tenu le 24 mars 2009, au Grand Palais à Lille.

1500 participants , des dizaines d’exposants et de conférences.

Le ministre de l’intérieur, Michèle Alliot-Marie, s’est exprimée sur la politique de l’Etat en matière de lutte contre la cybercriminalité, dont les efforts se poursuivent (Discours Michèle Alliot-Marie).

Parmi les thématiques abordées :

  • Comment déclencher et conduire une cyberattaque,
  • La biométrie,
  • Signature électronique : utilité, limites, conséquences,
  • Psychologies de l’utilisateur et du délinquant des technologies numériques,
  • Divulgation de données, mise en place du chiffrement au sein des PME, …

J’étais orateur sur la table ronde relative à la formation et la création du 2Centre, centre d’excellence français sur la cybercriminalité, partenariat entre services d’enquête, universités et industriels pour la recherche et la formation dans ce domaine, dont le noyau est le partenariat existant en matière de formation entre la gendarmerie nationale et l’université de technologie de Troyes. Des annonces nouvelles auront bientôt lieu sur ce sujet.

A noter, parmi les événements, l’annonce de la publication d’un ouvrage rédigé en commun par les policiers belges et les gendarmes français des régions frontalières, à destination des enquêteurs et des entreprises.

Petite revue de presse :

FIC 2009 J-5

FIC 2009

FIC 2009

Dans 5 jours, le mardi 24 mars 2009 se tiendra le troisième forum international sur la cybercriminalité, le FIC 2009 à Lille au Grand Palais. Le site web du Forum permet d’en savoir plus sur le programme.

1200 participants sont inscrits cette année pour assister à cet événement organisé par la Région de Gendarmerie du Nord Pas de Calais, avec le soutien de la Commission Européenne et de nombreux partenaires.

Au programme, citons les ateliers et conférences suivants :

  • La protection des systèmes d’information : véritable enjeu de sécurité nationale ;
  • Comment déclencher et conduire une cyberattaque ;
  • Le téléphone portable : risque, opportunité et gestion de la flotte au sein de l’entreprise,
  • etc.

Personnellement, je participerai à la table ronde sur les 2CENTRE, centres d’excellence sur le cybercrime.

La suite du programme ici.

Conférence Octopus / Conclusion 2/2

Enfin, les présentations de la dernière session :

Greg Day, McAfee UK, sur le futur des menaces telles que les entrevoient les spécialistes de sa société: moteur économique de la délinquance numérique, la nécessité de prévenir les danger des réseaux sociaux, se servir de l’informatique en nuages pour contrer les délits numériques, les enjeux de la convergence.

Petrus Golose, de la police nationale d’Indonésie sur les activités des terroristes sur Internet.

Marc Goodman, IMPACT, a souligné la prise en compte nécessaire de la délinquance sur les mondes virtuels ludiques ou moins ludiques (Second Life, World of Warcraft, etc…). Les crimes virtuels qui y sont commis doivent-ils être poursuivis, comme le vol de propriété virtuelle, la pornographie enfantine virtuelle (en France ce serait le cas) ou le « viol » virtuel. Une évolution inquiétante, Entropia Universe qui attribue une carte de retrait réelle permettant de retirer de l’argent acquis sur son compte virtuel.

Zahid Jamil, avocat au Pakistan, a conclu ces deux jours de conférence sur les exemples vécus par un pays comme le sien, encore peu développé en termes de législation adaptée, alors que les crimes numériquesy ont quand même lieu.

Bilan de cette conférence

Des rencontres très denses, des échanges réellement internationaux, mais toujours les mêmes problèmes exprimés : les législations adaptées sont encore trop peu implémentées, les formations à destination de l’ensemble des professionnels concernés – magistrats, enquêteurs mais aussi partenaires industriels – ne sont pas partout disponibles. Encore beaucoup de travail en perspective pour l’ensemble de la communauté internationale chargée de ces problèmes et la situation économique difficile ne devrait pas faciliter les choses.

Conférence Octopus / Conclusion 1/2

Le temps de la conclusion est venu, avec le retour sur les tables rondes et deux séries de présentations sur :

  • les défis des juridictions face aux évolutions de l’Internet (cloud computing, etc.) ;
  • les enjeux de demain.

Intervenant en premier, Francesco Cajani, magistrat spécialisé Italien, a tenu à examiner les difficultés que posent les principes de territorialité sur l’application de mesures qui sont nécessaires aux investigations judiciaires. Il souhaite ainsi que soient harmonisées les durées de conservation des traces qui peuvent être requises par l’autorité judiciaire auprès des opérateurs ou faciliter les mesures d’interception de communications y compris lorsqu’elles ont lieu à l’étranger.

Henrik Kaspersen qui avait présidé aux négociations de la convention du Conseil de l’Europe sur la cybercriminalité a présenté les conclusions de l’article qu’il a préparé sur le sujet des juridictions et des investigations sur Internet.

Gareth Samson, du ministère de la justice fédéral canadien, nous a détaillé – en partant des aspects techniques de l’informatique en nuage (« cloud computing« ) – les conséquences de ces nouveaux modèles d’offres de services sur Internet quant aux activités criminelles et les difficultés que l’on pourrait rencontrer dans les investigations.