Vente d’outils d’espionnage

Ce soir sur M6, l’émission « 66 minutes » présente l’utilisation des outils d’espionnage. En particulier des logiciels qui une fois chargés sur le téléphone mobile d’un tiers permettent d’écouter ses conversations privées.

Et le journaliste d’affirmer: « Seule l’utilisation de ces logiciels est illégale, mais leur vente est parfaitement légale ».

FAUX !

En effet, l’article 226-3 du code pénal dispose que:

Est punie des mêmes peines la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente, en l’absence d’autorisation ministérielle dont les conditions d’octroi sont fixées par décret en Conseil d’Etat, d’appareils conçus pour réaliser les opérations pouvant constituer l’infraction prévue par le deuxième alinéa de l’article 226-15 ou qui, conçus pour la détection à distance des conversations, permettent de réaliser l’infraction prévue par l’article 226-1 et figurant sur une liste dressée dans des conditions fixées par ce même décret.

Est également puni des mêmes peines le fait de réaliser une publicité en faveur d’un appareil susceptible de permettre la réalisation des infractions prévues par l’article 226-1 et le second alinéa de l’article 226-15 lorsque cette publicité constitue une incitation à commettre cette infraction. »

La peine prévue par l’article 226-1 et l’article 226-15 du code pénal est d’un an d’emprisonnement et de 45000 euros d’amende. Il est parfaitement illégal de commercialiser ces outils d’espionnage!

Actualité législative (LOPPSI/ARJEL)

Assemblée nationale (Photo: GPL)

Le parlement est saisi de deux textes qui intéressent la délinquance numérique et les investigations numériques: les projets de loi LOPPSI et de régulation des jeux en ligne.

La LOPPSI comporte trois dispositions à suivre:

Le projet de loi a été débattu en commission des lois et en commission de la défense de l’Assemblée nationale. La commission des lois propose que le blocage soit assorti de l' »accord de l’autorité judiciaire ». Le dépôt des amendements sur ce texte aura lieu jusqu’au 05 février 2010 au soir et le débat aura lieu en séance à l’Assemblée nationale les 09, 10 et 11 février 2010 prochains.

Le dossier de cette loi sur le site de l’AN.

Quant au projet de loi sur la régulation des jeux en ligne il avait fait l’objet d’une première lecture à l’assemblée nationale au mois d’octobre dernier et se retrouve maintenant devant le Sénat. La commission des finances a rendu son rapport le 19 janvier dernier et le texte sera débattu en séance les 23 et 24 février prochains. (J’avais évoqué ce projet de loi en août dernier)

Le dossier législatif sur la régulation des jeux en ligne sur le site du Sénat.

Un mois de février 2010 particulièrement actif donc dans le débat public.

Panorama Cybercriminalité 2009 du CLUSIF

Le CLUSIF présentait mercredi 13 janvier 2010 son panorama 2010 sur la cybercriminalité. Je n’étais pas sur la scène cette année, en effet nous avions invité Isabelle Ouellet de la Sûreté du Québec pour représenter les services d’enquête. A noter enfin les travaux présentés par François Paget sur une société Ukrainienne.

La présentation est disponible en téléchargement sur le site du Clusif et la vidéo le sera d’ici quelques jours.

Comme chaque année, il s’agit d’offrir un regard sur les événements de l’année passée en matière de cybercriminalité et de sécurité des systèmes d’information et d’envisager leur impact sur la France en particulier pour l’année ou les années à venir. L’ensemble des membres du groupe de travail ont alternativement pointé des faits d’actuailité de 2009 qui leur semblaient importants, en ont discuté, et ensuite un certain nombre d’entre nous ont été choisis pour les présenter. Le travail s’est donc enrichi cette année par l’apport de personnalités étrangères (notamment canadienne et roumaine) et par un rallongement de la présentation pour intégrer les risques numériques.

En italique mes commentaires personnels éventuels.

  • Sécurité du GSM: Alain THIVILLON (Consultant chez HSC) a présenté les risques autour de la confidentialité des communications GSM qui ont été dévoilés cette année. Une raison de plus de s’intéresser en 2010 aux risques inhérents aux terminaux mobiles (systèmes d’exploitation plus ouverts, logiciels malveillants, connexion permanente…).
  • Services généraux sur IP: sécurité périmétrique ou incendie, réseaux de commande industrielle, gestion de l’alimentation électrique, etc., l’ensemble des services généraux basculent dans le monde IP et il devient de plus en plus criant que la sécurité de ces services contre les atteintes classiquement rencontrées dans les réseaux IP n’est pas prise en compte. La présentation reprend des cas concrets d’atteintes à des systèmes de vidéo surveillance notamment.
  • Câbles et ruptures de service: Pascal LOINTIER (Président CLUSIF) reprend alors la parole pour rappeler les différents incidents survenus en 2009 sur des infrastructures de réseau ou d’énergie transcontinentales ou locales. Il conclut sur la nécessité de toujours prévoir une double adduction sur les sites critiques.
  • Cloud computing: Les offres d’hébergement mutualisé « dans le nuage » ont de plus en plus de succès, qu’il s’agisse de gestion complète de son courrier électronique, de son back office ou de sa présence commerciale. Le but de cette évocation est de rappeler qu’il s’agira toujours d’hébergement physique avec les risques inhérents et qu’il faudra toujours y regarder de près quant au lieu de stockage des données (risques juridiques et sécuritaires) ou aux garanties de reprise d’activité: la délégation de la sécurité ne veut pas dire sécurité absolue.
  • ANSSI – retour d’expérience sur une attaque en déni de service: après avoir présenté la nouvelle agence créée en juillet 2009, qu’il a rejointe à ce moment-là pour diriger le CERTA, Franck VEYSSET est revenu sur les enseignements de la gestion d’une attaque en déni de service contre un serveur Web de l’administration. L’impact sur l’ensemble des services de messagerie ou même d’accès Internet a été immédiat et la réponse a été tant technique que judiciaire. Ainsi, des règles de routage (blackholing) ont permis au bout de quelques heures de diminuer l’impact et l’enquête judiciaire a conduit dans les jours suivants à la saisie d’ordinateurs qui servaient en France – à leur insu – à relayer cette attaque. Virut semblerait être le logiciel malveillant exploité pour exercer cette attaque.
  • Réseaux sociaux, menaces opportunités et convergence: Yann LE BEL (SNCF). On ne peut plus en douter aujourd’hui, au-delà de leur usage classique, les réseaux sociaux sont le lieu de tous les phénomènes sécuritaires des années à venir (gestion des conflits sociaux, communication des groupes criminels, rencontre avec les victimes, atteinte à l’image ou à la vie privée, diffusion de logiciels malveillants et autres méthodes d’escroquerie, etc.). 2010 devrait confirmer cette tendance et on peut parier sur une explosion de l’actualité sécuritaire autour des réseaux sociaux.
  • Carte bancaire: Fabien DAVID (Telindus), la carte bancaire est l’objet de toutes les attentions en 2009. La carte à puce EMV n’est toujours pas universelle, le modèle de sécurité PCI est discuté, les malwares apparaissent sur les guichets automatiques de banque et certains schémas ne résistent pas au passage à l’an 2010… Beaucoup de travail en vue pour les spécialistes.
  • Web 2.0, le 5ème pouvoir: Isabelle OUELLET (Sûreté du Québec) questionne l’impact du WEB 2.0 sur la société et l’émergence d’un cinquième pouvoir qui vient remettre en cause le pouvoir des médias, des gouvernements, et notamment des services de police. Sont cités notamment des cas de justice populaire numérique.

Une entreprise criminelle au microscope

Petite particularité pour cette année avec la présentation de François PAGET (McAFEE Labs) des résultats de ses recherches (avec un autre expert Dirk KOLLBERG) sur une entreprise ukrainienne aux activités manifestement douteuses et parfois illégales.

I[…] – et les sociétés qui lui sont directement liées (I[…], V[…], W[…], K[…], …) – produit notamment des faux antivirus et autres spywares ou scarewares (voir par exemple cet article sur Wikipédia). Pendant plusieurs mois ces experts ont amassé des dizaines de gigaoctets de documents sur les activités de cette société et exploré sa présence sur les réseaux sociaux.

Les enseignements: cette société a pignon sur rue, est organisée comme n’importe quelle SSII, recrute dans les grandes universités ukrainiennes (et certains de ses anciens employés sont maintenant dans de grands groupes internationaux) et elle réalise un chiffre d’affaires ahurissant (180 millions de dollars en un an). Elle dispose même d’un support technique pour ses clients malheureux, destiné à les arnaquer dans la durée !

Affaire à suivre donc !

Enquête sinistralité

Dans l’actualité du CLUSIF, le lancement de son enquête 2010 sur la sinistralité. L’enquête se déroulera au cours des six semaines à venir auprès des grandes entreprises et des administrations. A partir de mars, un groupe de travail étudiera les résultats de cette enquête.

Attaque contre A5/3 / Kasumi ?

KasumiUn court point sur ce dossier. J’avais évoqué il y a quelques jours l’attaque présentée par Karsten Nohl au 26C3 contre A5/1, le protocole utilisé par la liaison radio des connexions GSM 2G. Des scientifiques israéliens ont publié un article (A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony, Orr Dunkelman, Nathan Keller, et Adi Shamir – le Shamir du RSA) dans lequel ils décrivent une attaque dite en « sandwich » contre le protocole de chiffrement A5/3 (ou Kasumi) des réseaux GSM de troisième génération (et qu’on peut éventuellement adapter aux réseaux 2G, ce que l’attaque réussie contre A5/1 rendrait urgent selon certains spécialistes).

  • Il semblerait qu’il faille un grand nombre (plusieurs millions) de messages « à clair connu » pour réaliser en pratique cette nouvelle attaque, ce qui correspondrait en réalité à une très très très longue conversation ;
  • En conclusion de leur article, les auteurs rappellent que leur démonstration ne conduit pas à dire qu’on peut facilement attaquer Kasumi/A5/3 tel qu’implémenté dans les réseaux GSM, mais que la conception même de Kasumi (dérivé de Misty1) a introduit des défauts qui le fragilisent grandement (défauts dont ne souffrirait pas Misty1).

Donc: non, A5/3 ou Kasumi n’est pas encore craqué, en revanche ses fondements sont fragilisés.

Conférences cyber des semaines à venir

Quelques conférences cyber des semaines à venir :

N’hésitez notamment pas à vous inscrire nombreux au FIC 2010.

900.000 € de marchandises frauduleusement acquises transitaient par les Alpes-Maritimes

La gendarmerie nationale publie sur son site Web une brève relatant les résultats d’une investigation menée conjointement par les gendarmes de Grasse et la police judiciaire de Nice.

Ainsi, 3 personnes ont été interpellées mardi 05 janvier 2010 à Pégomas (06). Elles sont soupçonnées d’avoir été exploitées comme mules pour renvoyer les colis illégalement acquis grâce à des numéros de cartes bancaires volés, qu’elles reconditionnaient pour les renvoyer vers la Côte d’Ivoire ou le Mali.

Ces personnes avaient été recrutées par Internet pour exercer une forme de « travail à domicile » qui devient malheureusement de plus en plus courante et qui constitue des actes de complicité et de recel de vol et d’escroquerie. Elles risquent 10 ans de prison et 750.000 € d’amende, en fonction des infractions qui seraient éventuellement retenues contre elles.

Ne tombez pas dans le panneau : il n’existe pas de métier légal et facile consistant à renvoyer de l’argent ou des biens reçus dans son compte bancaire ou sa boîte aux lettres au profit d’une soi disant entreprise d’importation ou d’un nouvel ami qui vous aura recruté sur Internet. Il s’agira toujours d’une escroquerie.

Palmarès des bugs de l’an 2010

Les deux bugs qui tiennent la corde pour le bug d’or de l’an 2010 ont tous les deux un impact sécuritaire: la carte bancaire allemande et l’antivirus de Symantec. Mais la liste ne s’arrête pas là…

La carte bancaire allemande

Beaucoup d’allemands ont eu la surprise dès le 1e janvier 2010 de ne plus pouvoir payer ou retirer de l’argent avec leur carte bancaire. Plus de 23 millions de cartes sont concernées, que ce soit dans leur fonction de retrait ou d’achat. Le masque d’application de leur puce refuse de valider toute transaction relative à une date de 2010. On ne sait pas encore exactement quel est le défaut dans la programmation. Une routine de comparaison ? Un mode de stockage de la date ?

En tous cas, le fait que seules des cartes allemandes soient concernées, alors que les cartes françaises par exemple utilisent aussi le standard EMV (Europay Mastercard Visa) et son masque applicatif, peut nous permettre de présupposer qu’une personnalisation spécifique est en cause et non le standard EMV lui-même.

Gemalto, producteur des cartes bancaires en cause, a publié un communiqué de presse évoquant les mesures en cours de développement pour apporter une solution aux millions de porteurs, tandis que les banques ont dû modifier – de façon temporaire – le programme des terminaux et guichets automatiques pour accepter ces cartes.

Oberthur a quant à lui publié son propre communiqué de presse pour confirmer que ses cartes n’étaient pas concernées…

Un premier bug donc avec un impact assez fort sur une population qui est culturellement peu favorable aux paiements par carte bancaire (les allemands ont toujours préféré les paiements en liquide et utilisaient jusqu’à récemment surtout des cartes de retrait et très peu les cartes de paiement). Il faudra en tirer les leçons : l’évaluation sécuritaire des cartes bancaires à puce doit absolument contrôler les bugs applicatifs.

Les mises à jour Symantec

Le processus de mise à jour de certains produits de sécurité de la société Symantec (plus précisément ceux qui sont basés sur Symantec Endpoint Protection Manager) n’accepte plus les définitions de virus postérieures au 31 décembre 2009, 23:59:59… The Register publie deux articles à ce sujet le 05 janvier et le 09 janvier.

Symantec tient à jour des informations sur son site. En attendant qu’une correction soit apportée aux logiciels déployés, des mises à jour datées du 31/12/2009 avec un numéro de version qui croît maintenant rapidement ont été publiées, qui devraient être acceptées. De nombreux produits sont concernés: anti-virus, contrôle d’accès, protection contre les intrusions, et ce essentiellement pour des produits destinés à un environnement professionnel. Il semble que les administrateurs des clients concernés, qui basent leurs contrôles sur la date de mise à jour de l’anti-virus sur les postes de travail, vont avoir rapidement des soucis pour autoriser l’accès de leurs usagers au réseau.

Il semble qu’ici il s’agisse d’une erreur dans la routine qui compare les dates…

Autres bugs moins graves

SpamAssassin est un produit qui permet de filtrer les messages indésirables. Un bug a été détecté (voir ce court article ou celui-ci) dans une des routines attribuant des points supplémentaires aux messages simplement parce qu’ils étaient datés à partir de 2010 et ils se retrouvaient tous dans la boîte à Spam (le but de cette fonction était d’attribuer des points par défaut aux messages dont la date est trop éloignée) ! L’erreur avait été signalée plusieurs mois auparavant, mais incorrectement corrigée.

Espérons que la liste des bugs liés au passage à 2010 s’arrête là.

Fin du feuilleton de la faille TLS/SSL ?

En Novembre était révélée une faille dans le protocole de sécurité TLS/SSL (dite faille de la renégociation). C’est Marsh Ray (de la société Phonefactor) qui avait fait cette découverte (mon article sur ce sujet) et plus tard, elle avait pu être exploitée contre Twitter (et le deuxième article ici).

L’IETF vient donc d’annoncer la validation de la modification apportée à la RFC du protocole TLS, comme nous le révèle Marsh Ray sur son blog. En résumé, il s’agit de la correction au protocole telle qu’elle avait été proposée initialement. Elle devra être appliquée tant sur les serveurs (les serveurs Web notamment) que sur les clients (vos navigateurs). Vous risquez donc de voir apparaître dans le futur des messages d’avertissement sur des connexions vers des serveurs en https:// dont la sécurité n’aura pas encore été renforcée.

26C3 – Conférence du CCC à Berlin (4 et fin)

Le 26C3 s’est donc terminé mercredi par un certain nombre de présentations intéressantes:

Mercredi

Voilà ce que j’ai pu noter pendant ces quatre jours de présentations accessibles en ligne. Les ateliers et autres événements auxquels ne pouvaient évidemment accéder que les personnes présentes sur place diffusent quand même un certain nombre d’informations.

Enfin, vous pouvez visualiser les présentations diffusées maintenant sur CCC-TV. Cet article clôture donc ma revue du 26C3.