Investigation & transformation numériques

Prospective

Conférence Octopus / Mercredi 11 mars matin

gpen

GPEN

Cette deuxième demi-journée d’ateliers parallèles était consacrée à deux sujets :

  • la formation des enquêteurs, des magistrats dans la lutte contre la cybercriminalité ;
  • la coopération internationale.

Beaucoup d’initiatives existent en Europe et dans le monde en matière de formation, même si beaucoup reste à faire. Les pays africains et sud-américains présents ont exprimé le souhait de bénéficier encore plus des opportunités qui existent en Europe, et on sent un intérêt tout particulier chez les magistrats. A noter donc la création récente du GPEN, réseau mondial des procureurs sur le crime électronique.

Nigel Jones a présenté les résultats d’une étude qui devrait conduire au projet 2CENTRE visant à la création de centres d’excellence sur les délinquances numériques autour d’universités, et en partenariat avec des services de police et des industriels. Deux de ces centres devraient voir le jour dans un premier temps (University College of Dublin et Université de technologie de Troyes). Cette dernière est l’université qui participe à la formation des enquêteurs spécialisés de la gendarmerie (NTECH).

11 mars 2009 by Cybercriminalité Prospective 0

Conférence Octopus / Mardi 10 mars après-midi

Coalition financière européenne

Coalition financière européenne

L’après-midi était consacré à deux tables rondes sur :

  • la traçabilité de l’argent du crime sur Internet ;
  • la criminalisation de la pédopornographie et des abus sexuels sur les mineurs par Internet.

En ce qui concerne les flux financiers du crime sur Internet, c’est réellement un sujet qui se développe ces deux dernières années. Par exemple, avec la création d’une coalition financière européenne destinée à la lutte contre les flux liés aux atteintes aux mineurs sur Internet, avec notamment l’intention d’identifier et de bloquer les transactions d’achat de contenus pédopornographiques, et ainsi tarir les fonds de ces commerçants bien particuliers, et certainement mieux les identifier en suivant l’argent.

Cette coalition a été présentée lors d’une conférence qui s’est tenue la semaine dernière à Londres. Kathy Free en a fait une présentation pendant la table ronde. La France devrait certainement rejoindre cette coalition.

Je rappelle que beaucoup des présentations de la présente conférence sont accessibles ici.

11 mars 2009 by Cybercriminalité Prospective 2

Conférence Octopus / Mardi 10 mars matin

Le début de cette conférence était évidemment consacré aux présentations introductives et à un tour du monde de l’état d’avancement de l’implémentation de législations spécifiques à la lutte contre la cybercriminalité. Rappelons que vous pouvez télécharger une bonne partie des présentations sur le site de la conférence et la liste des ratifications et signatures de la convention du Conseil de l’Europe sur la cybercriminalité est accessible ici.

Une première présentation a attiré mon attention, celle d’Eugène Kaspersky, directeur de la société éponyme. Il s’agissait pour lui d’introduire la conférence en montrant l’état de la menace et des réponses que l’on peut apporter. Son constat se base essentiellement sur la réalité d’un Internet non gouverné et de systèmes ouverts, par essence difficiles à sécuriser. Son message : il faut créer un gouvernement de l’Internet, une police de l’Internet et identifier tous ceux qui s’y connectent ou délivrer des certificats à tous les logiciels. Pour ma part, j’espère que l’on trouvera – grâce à des technologies adaptées et ouvertes – une voie intermédiaire permettant de faciliter les identifications lorsque c’est nécessaire, sans que tout le monde ne puisse identifier toutes les personnes connectées ou n’ait l’impression d’être en permanence épié, tout en restant en sécurité.

Les présentations de conclusion de la matinée étaient dédiées à la coopération public / privé, illustrée par les lignes directrices adoptées par le conseil de l’Europe en 2008, reprises partiellement par l’Union Européenne en fin d’année 2008 et qui font par exemple l’objet d’un projet Français qui devrait être bientôt signé.  Mike Haley nous a conduits au déjeuner sur une présentation intéressante du plan d’action de Londres de lutte contre le spam (London Action Plan), réseau d’échanges international dédié à la lutte contre ce fléau.

10 mars 2009 by Cybercriminalité Prospective 0

Notification obligatoire d’incidents de sécurité

parlement_europeenLe « Paquet télécom » est actuellement amplement débattu au sujet d’amendements relatifs à la riposte graduée. Mais attardons-nous sur une disposition particulièrement intéressante.

Il s’agirait d’introduire dans la directive Européenne 2002/21/CE relative à un cadre règlementaire commun pour les réseaux et services de communications électroniques (directive « cadre ») une disposition prévoyant que tout opérateur de réseau ou de services de communication électronique au public doive avertir leur autorité de contrôle nationale des incidents de sécurité ou de la perte de l’intégrité des données de leurs abonnés, ayant eu un impact significatif.

Aucun texte – jusqu’à présent – au niveau Européen n’impose une telle obligation. En France, il en est de même et les dépôts de plainte des opérateurs ou de tout autre professionnel gérant des données personnelles sont extrêmement rare, alors que toutes les études démontrent que de tels incidents existent (on peut citer par exemple l’étude menée par le Clusif tous les deux ans).

Du point de vue des services d’enquête, une telle mesure serait particulièrement intéressante, car sans ces signalements ou dépôts de plainte, il n’est pas possible de mener des investigations sur ces faits, d’en collecter les preuves et d’espérer en arrêter les auteurs ou de poursuivre, le cas échéant, les investigations avec les collègues d’autres pays.

Du point de vue des clients, une telle mesure permettrait d’avoir une meilleure information sur de tels incidents et, éventuellement, d’envisager des mesures individuelles de sécurisation de ses données personnelles (changer ses mots de passe par exemple). Cela imposera bien entendu de faire une communication précise de ces informations. Mais la notification prévue dans la rédaction actuelle s’arrête à l’autorité de régulation nationale, est-ce suffisant ?

Enfin, il est intéressant de noter que le texte prévoit une sorte de seuil (la notion d’impact significatif), pour éviter d’imposer une obligation de signalement au moindre incident. Peut-être conviendra-t-il dans chaque Etat membre de préciser cette notion, si le texte devait être voté. L’autre élément du débat enfin est de savoir s’il ne faut pas imposer une telle disposition aux professionnels qui ne relèvent pas de la règlementation concernant les opérateurs de communications électroniques.

Le texte est consultable ici, en page 61.

Ce « Paquet télécom » est donc intéressant à suivre dans les mois qui viennent !

5 mars 2009 by Juridique Prospective 2

Doit-on évincer les délinquants sexuels des sites communautaires ?

Bienvenue au Connecticut

Bienvenue au Connecticut

Une information publiée ce week-end pointait l’attention des lecteurs attentifs sur une actualité provenant des Etats-Unis : 5500 utilisateurs de Facebook, délinquants sexuels, ont vu leur compte supprimé. Cette actualité pose la question plus générale du moyen de prévenir l’action de prédateurs sexuels potentiels sur Internet.

Que s’est-il passé exactement ?

Selon les différents articles publiés à ce sujet, assez largement répétitifs, car provenant certainement de la même dépêche d’agence de presse, 5585 comptes d’utilisateurs de Facebook ont été supprimés (sur les 175 millions de comptes existants) entre le 1er mai 2008 et le 31 janvier 2009, suite à des investigations menées notamment par le procureur général de l’État américain du Connecticut, mais aussi sur la base de recoupements opérés par Facebook pour repérer des pratiques suspectes. Et la déclaration du représentant de la société est à ce titre très intéressante : « Notre optique est d’effacer les délinquants sexuels quand ils sont signalés ou identifiés, par tous les moyens ».

Dans le cadre de la même commission d’enquête à laquelle participe le procureur général du Connecticut, 90.000 prédateurs sexuels auraient été identifiés parmi les utilisateurs de la communauté en ligne Myspace. La même société avait annoncé en Juillet 2007 la suppression de 29.000 comptes sur la base de Sentinel Safe, une base de données privée recensant les données personnelles de centaines de milliers de prédateurs sexuels américains.

Qu’en conclure et quelles questions cela soulève-t-il ?

Facebook a agi sous l’impulsion et vraisemblablement selon les directives d’un magistrat. D’autre part, Facebook est une société de droit privé qui affiche très clairement la volonté de ne pas voir dévoyé son système au profit de prédateurs sexuels. Peut-on donc leur en vouloir ?

L’autre face de la médaille est la privatisation de l’action répressive. En effet, mener une telle enquête sur des réseaux, collecter des données personnelles et se servir pour cela des services d’une société privée constitue un pas de plus dans cette direction. Avant de continuer, il faut se rappeler qu’aux Etats-Unis, les coordonnées des personnes condamnées pour des délits de nature sexuelle sont librement accessibles, par exemple sur le site national « Dru Sjodin National Sex Offender Public Website« , suite au vote de la loi Megan en 1996, du nom d’une victime d’un prédateur sexuel. En France, de telles informations ne sont pas publiées, mais effectivement collectées, dans le FIJAIS – fichier judiciaire des auteurs d’infractions sexuelles.

Les questions sont donc multiples :

  • les prédateurs sexuels condamnés doivent-ils pouvoir avoir une activité sur Internet ?
  • qui peut contrôler leurs faits et gestes ? est-ce qu’on peut laisser à une société privée le soin de faire le ménage sur les réseaux ?
  • est-ce que la prévention auprès des victimes potentielles est suffisante ? (se méfier des inconnus, …)

Premières pistes de réflexion

Je propose les pistes suivantes pour tenter de réfléchir à ces questions :

  1. La législation française permet depuis 1998 la mise en place de mesures de suivi socio-judiciaires, parmi lesquelles l’interdiction de rentrer en contact avec les personnes susceptibles d’être les victimes de ces méfaits
  2. Seules les personnes chargées de ce suivi socio-judiciaire et les policiers ou gendarmes qui ont accès au FIJAIS peuvent vérifier si quelqu’un est soumis à ces contraintes
  3. Parallèlement, il est important qu’après avoir purgé leur peine les personnes condamnées soient en mesure de se réintégrer, donc il n’est pas raisonnable aujourd’hui de leur interdire à tous l’usage d’une connexion Internet (même si c’est imaginable pour certains cas graves)
  4. En revanche, les gestionnaires de sites reçoivent les plaintes de leurs utilisateurs et peuvent imaginer des modèles de comportements à risques (un homme de plus de 18 ans qui ne chercherait que des profils de jeunes filles de moins de 18 ans, etc…). Qui peuvent-ils contacter pour valider leurs découvertes ? Quelles mesures peuvent-ils prendre de leur propre chef ?

En conclusion, et s’agissant de mesures préventives, prenant en compte les constats effectués lors de ces initiatives américaines – à savoir la réalité de la présence active de prédateurs sexuels sur les réseaux sociaux, il nous revient de trouver une solution adaptée et proportionnelle et cela suppose de faire travailler ensemble des personnes et des services qui ne se croisent généralement qu’une fois qu’un problème est survenu.

24 février 2009 by Cybercriminalité Juridique Prospective 1

Quelques dates à retenir

Des événements à venir :

23 décembre 2008 by Criminalistique numérique Cybercriminalité Prospective Sécurité 0

La tête dans le sable ?

Campagne prévention

Campagne de prévention

Un post intéressant lu sur un blog récemment, m’amène à réagir sur ce sujet qui semble de plus en plus du domaine du débat public : la réalité du danger sur Internet pour les enfants. De plus en plus de voix s’élèvent pour dire que finalement, il n’y a pas de prédateurs d’enfants sur Internet, ou pas tant que ça et que l’on en parle trop. Malheureusement, ces voix se trompent.

Un peu de perspective pour commencer

Tout d’abord, effectivement, le monde n’a pas changé avec Internet, les dangers qui attendent les enfants qui grandissent dans notre société moderne, ne sont pas tout à fait nouveaux. Ce qui change pour les enfants aujourd’hui, c’est que les dangers ne sont pas uniquement dans la rue et sur le chemin de l’École, mais potentiellement à la maison et à l’école, si l’accès Internet de ces enfants n’est pas correctement accompagné. La campagne à venir, comme d’autres avant, parle avant tout de cela, et pour avoir participé à de nombreuses occasions à la sensibilisation des parents et des enseignants sur ces sujets, et le retour que je peux avoir de mes collègues qui font cela, la conscience de ces risques n’existe pas toujours chez les adultes.

Dans un deuxième temps, est-ce qu’Internet a entraîné une augmentation des risques ? Je me risquerai à dire que oui, malheureusement. Du côté des amateurs d’images pédophiles, nombre d’entre eux, pendant leurs interrogatoires, admettent qu’ils n’auraient pas été tentés si l’accès à ces contenus n’avait pas été aussi facile. Certains nous affirment même ne pas ressentir d’interdit. Ils sont en quelque sorte désinhibés, par le relatif anonymat de la connexion à Internet, seul depuis leur nid douillet.

Du côté des enfants, il ne faut pas se faire d’illusion sur leur capacité à prendre en compte les risques. Ce n’est pas parce que nos enfants sont plus à l’aise que beaucoup d’adultes devant un micro-ordinateur qu’ils sont conscients des dangers, qu’ils en maîtrisent tous les risques et toutes les chausse-trapes. Ils sont même très souvent rassurés dans cet univers qui leur semble familier, où ils parlent en même temps à leurs camarades de classe et à un ami à l’autre bout du monde.

Maintenant, faites l’expérience de vous connecter sur certains sites de discussion existant sur Internet et soi-disant réservés aux « moins de 18 ans » (la plupart des professionnels français sont très sérieux dans la prévention dans ce domaine, mais Internet est aussi un univers de libre-entreprise et n’a pas de frontières, y compris pour nos enfants). Prenez l’identité d’un adolescent anonyme. Et comptez le nombre de minutes qui passeront avant de vous faire aborder avec des propositions souvent peu appropriées à un tel public. C’est d’ailleurs ce phénomène qui a amené au vote d’une infraction nouvelle au début de l’année 2007 dans le cadre de la loi sur la protection de l’enfance (nouvel article 227-22-1 du code pénal sur les sollicitations sexuelles à un mineur de 15 ans).

Quel est l’état de la menace ?

Enfin, sur la réalité de la « menace » pédophile aujourd’hui en France… Nos enquêteurs spécialisés (les enquêteurs NTECH de la gendarmerie) sont aujourd’hui au nombre de 170 en poste. De leurs statistiques d’activité il nous remonte que 25% des dossiers qu’ils traitent sont relatifs à des atteintes aux mineurs. Et pour certains de ces enquêteurs, cela peut représenter jusqu’à 80% de leur activité. La division de lutte contre la cybercriminalité (DLCC) du service technique de recherches judiciaires et de documentation (STRJD) à Rosny-sous-Bois est chargée de la surveillance proactive d’Internet. A cette occasion, ils identifient chaque mois une soixantaine de diffuseurs de contenus pédophiles sur des réseaux pair à pair (P2P).

Dans les opérations, souvent médiatisées, où plusieurs dizaines de personnes suspectées d’être amateurs d’images pédophiles sont interpellés, trop d’entre eux malheureusement sont déjà passés à l’acte, sur le point de le faire selon leurs propres déclarations, et certains sont eux-mêmes producteurs de ces contenus. Et toutes les telles opérations ne sont pas médiatisées. Cette semaine encore, nos enquêteurs de Bretagne ont interpellé un suspect chez qui plus de 500.000 images et 1.800 vidéos pédophiles ont été retrouvées.

Mais ceux-là sont effectivement faciles à identifier, et bien évidemment nous n’en sommes pas dupes. Ainsi, à l’occasion d’interpellations effectuées ces dernières années, nous avons remarqué une hausse de l’utilisation de techniques de chiffrement pour camoufler aux yeux des enquêteurs des images et autres traces préjudiciables. De même, la pratique de réseaux d’échanges fermés et mieux sécurisés se développe. Mais nous sommes aussi présents progressivement sur ces créneaux. La loi sur la prévention de la délinquance de mars 2007 (loi n°2007-297 du 05 mars 2007) nous permet d’ailleurs de développer depuis peu les investigations sous pseudonyme sur Internet pour ce type d’infractions.

Que faut-il faire ?

Donc, oui il est important que des associations, les pouvoirs publics, informent les parents et les enfants de ces risques. Il est tout aussi important de développer de nouvelles mesures. Bien évidemment ce n’est pas le problème numéro un sur Internet, celui qui concerne le plus de victimes en quantité (ce serait plutôt du côté des escroqueries et autres copies de cartes bancaires  qu’il faut chercher le suspect principal). Mais la gravité de ce type d’infractions est tout de même tout autre et le nombre de personnes mises en cause et d’enfants victimes est loin d’être négligeable.

[youtube=http://fr.youtube.com/watch?v=cE6fQwWggVM]

La prévention doit-elle être alarmiste ? Eh bien, si cela peut frapper certains esprits, oui ! Seuls les messages les plus directs ont été réellement efficaces en matière de prévention de la sécurité routière. La prévention passe aussi par une présence accrue d’enquêteurs formés à ces problématiques, et correctement équipés. Il faut qu’ils puissent être présents partout où le risque existe. La peur du gendarme doit exister…

Le message est le même pour la plupart des risques de l’Internet : contre le phishing par exemple, ces courriers électroniques qui vous font croire que votre banque (ou tout autre service en ligne) a besoin de confirmer vos informations confidentielles et vous renvoient vers un site Web ressemblant au site de votre banque, rien ne vaut une prévention matraquée à destination des victimes potentielles, parce qu’il est tellement facile pour les escrocs de monter une telle arnaque en quelques heures.

En conclusion, oui l’Internet est un outil formidable, mais il est à l’image de notre société, parfois de façon plus exacerbée, il ne connaît pas les frontières et il ne s’arrête évidemment pas à la porte des maisons, donc il faut être attentif à qui l’on laisse rentrer chez soi, enfants et adultes tout autant.

12 décembre 2008 by Cybercriminalité Prospective 2

Les rencontres annuelles du droit de l’Internet 2008

Cyberlex

Cyberlex

L’association Cyberlex organisait lundi 01 décembre 2008 après-midi, dans la salle Médicis du Sénat à Paris. Le thème retenu cette année s’intitulait : « Internet et l’Individu : des limites à poser, une harmonie à construire ».

Après l’ouverture par la présidente de l’association Corinne Thiérache, le programme s’est déroulé selon quatre tables rondes :

  1. Données personnelles : des données personnelles à l’Identité Numérique
  2. E-Commerce : Le consommateur au cœur de l’Economie Numérique
  3. Propriété Intellectuelle : Création et Internet, une confiance virtuelle ?
  4. Responsabilité : Une (r)évolution annoncée ?

Parmi les points intéressants, j’ai noté les idées suivantes :

  • Gérard Haas (table ronde n°1) qui posait la question de l’applicabilité des articles 434-23 et 313-1 du code pénal à l’usurpation d’identité sur Internet et a montré l’intérêt de la création d’une nouvelle infraction ;
  • Isabelle Daviaud (table ronde n°1) en se basant sur l’exemple d’une société qui a intégré les fonctionnalités des réseaux sociaux dans son système d’information a souligné l’importance de réguler aujourd’hui les réseaux sociaux ; elle a plus tard évoqué la proposition de loi en cours de discussion au Parlement sur l’allongement de la prescription pour les infractions de presse sur Internet ;
  • En réponse, Gwendal Le Grand (table ronde n°1) a rappelé que le groupe de travail international sur la protection des données dans les télécommunications a publié en mars 2008 une recommandation sur les réseaux sociaux ;
  • Cyril Chabert (table ronde n°2) a mis en avant deux jurisprudences de la cour de cassation sur la vente liée et la vente avec prime, respectivement de mai 2008 et juillet 2008 ;
  • Les débats de la table ronde n°3 ont porté effectivement sur le projet de loi Création & Internet, au cours desquels j’ai noté une présentation très pédagogique de ce texte en cours de débat par Christophe Caron et l’intervention de Lionel Thoumyre sur l’action de sa société (Myspace) dans la lutte contre les atteintes à la propriété intellectuelle commises par ses utilisateurs, et notamment le principe du « Take down stay down » ;
  • Enfin, sur la dernière table ronde, Benoît Tabaka remplaçait au pied levé Alexandre Menais ;
  • Myriam Quéméner a discuté de l’application de la LCEN depuis son vote en 2004, notamment autour du rapport récent de l’assemblée nationale sur ce sujet ;
  • Yoram Elkaïm a fait une présentation exhaustive de la jurisprudence portant sur la distinction éditeur / hébergeur et montre surtout que cette distinction doit se faire au cas par cas, y compris au sein d’un même site Web ;
  • Enfin, Jean-Christophe Le Toquin a évoqué un certain nombre de projets passés et à venir, intéressants à suivre, nouvelle façon de travailler en commun et pour lesquels la France s’est montrée motrice :

Au total une après-midi fort intéressante.

1 décembre 2008 by Cybercriminalité Juridique Prospective 2

Comment utiliser mon blog

Un petit post pour vous aider à utiliser correctement ce blog :

  • A gauche, vous retrouvez : les catégories, les derniers articles du net que j’ai pu lire (mes bookmarks), les archives et les étiquettes ;
  • A droite : mes différents liens, dont certains blogs que je consulte régulièrement et des liens pour vous abonner à mes articles dans votre lecteur RSS (c’est génial ce truc… vous retrouvez tous les sites d’actualité que vous lisez habituellement sous la même interface, plutôt que d’avoir à aller sur 36 sites différents).

Usez et abusez 🙂 Et n’hésitez pas à poster un commentaire sur mes articles, c’est fait pour ça !

23 novembre 2008 by Prospective 1

Vers une sécurité renforcée des réseaux et de l’information en Europe

ec-consultationDu 07 novembre 2008 au 09 janvier 2009, la commission Européenne mène une consultation en ligne , à destination du public le plus large, sur la politique à mener au niveau de l’Union Européenne pour la sécurité des réseaux et de l’information.

Les questions portent sur trois thèmes :

  • défis : « quels sont les défis principaux pour la sécurité des réseaux et de l’information à considérer aux niveaux national, de l’UE et international, notamment en ce qui concerne la résilience des réseaux de télécommunications et des infrastructures électroniques d’information ? »,
  • priorités : « quelles seraient les trois priorités-clés qu’une politique devrait aborder pour relever les défis dus à l’évolution de la sécurité des réseaux et de l’information aux niveaux de l’UE et international ? »
  • et moyens : « Quels instruments sont nécessaires au niveau de l’UE pour aborder les défis et pour soutenir les priorités politiques dans le domaine de la sécurité des réseaux et de l’information? En particulier, quels instruments ou mécanismes sont-ils nécessaires pour améliorer la préparation pour traiter les cyber-disruptions à grande échelle et pour assurer des niveaux élevés de sécurité et de résilience des réseaux et infrastructures électroniques ? ».

Personnellement, parmi les défis, je citerais : le manque d’information sur les phénomènes, le temps de réaction disponible qui se restreint (attaques 0-day, haut débit…), les paradis numériques, la compétence des utilisateurs, l’avènement de l’identité numérique partout et de la démocratie électronique.

Mes trois priorités seraient : l’amélioration de la circulation de l’information par la confiance, la formation et le développement de capacités de réaction coordonnées (au plan national, européen ou international).

L’exemple de l’affaire McColo récente est exemplaire à ce sujet, qui a montré que finalement les acteurs techniques pouvaient agir efficacement pour lutter contre les sources de problèmes (et donc ne sont pas toujours neutres sur le réseau) et la suite nous montrera que l’absence d’action policière et judiciaire coordonnée (supposée) risque de voir rebondir les mêmes acteurs avec les mêmes compétences ailleurs… Dans d’autre cas, les services d’enquête ou les organismes officiels chargés de la sécurité informatique dans les Etats ont dû agir par leurs seuls moyens judiciaires ou administratifs, sans aucun soutien des opérateurs.

Enfin, en termes de moyens : ils doivent être juridiques (la création d’un Espace Schengen du numérique), un rôle peut-être plus opérationnel de l’agence européenne ENISA (ou une coordination ENISA/Eurojust/Europol/OLAF sur ces sujets), et une implication préventive des acteurs techniques.

A vos clavier pour contribuer vous aussi !

18 novembre 2008 by Prospective Sécurité 0