Comme on pouvait s’y attendre, les niveaux de pourriels continuent de progresser et on devrait atteindre assez rapidement les niveaux d’avant la fermeture de l’hébergeur McColo.
Cet article du site CRN détaille les évolutions prévisibles dans ce domaine. Ainsi que cet article sur SecurityFocus. De même, les craintes autour d’un futur botnet basé sur le ver Downadup/Conficker laissent présager les pires évolutions dans ce domaine pour les mois à venir.
Affaire à suivre…
Michèle Alliot-Marie, ministre de l’Intérieur a annoncé ce matin, lors d’une conférence de presse, le lancement d’un plan de lutte contre les escroqueries dont sont victimes des centaines de milliers de français chaque année. C’était aussi l’occasion d’annoncer l’ouverture effective du site de signalement mis à disposition des internautes par le ministère de l’Intérieur : https://www.internet-signalement.gouv.fr/
Il permet à tout un chacun de signaler à l’équipe formée par cinq policiers et cinq gendarmes, constituée au sein de l’OCLCTIC (office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), toute infraction dont ils pensent être les témoins et qui se déroule sur Internet, dans les catégories suivantes :
Il y est rappelé que les pourriels sont l’objet du site Signal-Spam.
Une fois la qualification juridique des faits établis, les preuves sont préservées par des enquêteurs de la plateforme et transmises à des enquêteurs compétents dans le domaine concerné (police, gendarmerie, douane, répression des fraudes…). La dénonciation calomnieuse est évidemment un délit, et il ne s’agit pas du tout d’inciter à la délation, mais d’aider les services d’investigation à identifier rapidement les faits délictuels ou criminels commis sur Internet.
Cet espace vient s’ajouter à la liste de sites similaires existant ailleurs en Europe : Royaume-Uni, Pays-Bas, Roumanie, Italie,… et qui vont faire l’objet d’ici l’année prochaine d’une coordination européenne par Europol. Il faut noter que si la plateforme de signalement française se veut généraliste, dans d’autres pays elles ont souvent une vocation spécialisée (limitées aux atteintes aux mineurs par exemple).
Enfin, ce dispositif est parfaitement complémentaire de l’action menée par les opérateurs et les hébergeurs dans le cadre de leurs obligations issues de l’article 6 de la loi pour la confiance dans l’économie numérique, et les internautes peuvent aussi signaler les faits de pédophilie ou d’incitation à la haine raciale sur ces sites privés (par exemple http://www.pointdecontact.net/ géré par l’association de fournisseurs d’accès et de services Internet français, l’AFA).
Des spécialistes venant des USA, des Pays-Bas et de Suisse (Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger) ont annoncé avoir mis en défaut les certificats de sécurité SSL de sites Web émis par des sociétés de sécurité reconnues, lors du 25C3, la conférence Chaos Communication Congress 2008 organisée par le Chaos Computer Club allemand, qui s’est tenue à Berlin du 27 au 30 décembre 2008.
Tout d’abord, à quoi cela sert-il ? Différents algorithmes sont utilisés pour produire des « hachages » sensés représenter de façon unique tout document numérique. Les fonctions de hachage à usage cryptographique doivent posséder différentes caractéristiques :
Par document numérique, on entend une suite d’octets de longueur non nulle (un fichier informatique, un flux d’informations numériques, …) Mais, on comprend donc très bien que ces fonctions qui à tout document numérique associent un nombre dont la longueur est donnée, ont forcément un risque de collision non nul. En effet, puisque la variété des documents numériques de toutes tailles est infinie et que l’on cherche à la représenter par une valeur finie, il y a pour chaque valeur de hachage un grand nombre de documents numériques théoriquement possible.
Il existe différentes fonctions de hachage utilisées classiquement: MD5, SHA-1, Tiger,… La longueur des signatures MD5 est de 32 octets ou 128 bits. Dans un certificat utilisé pour identifier un serveur web, cette fonction de hachage est utilisée sur l’ensemble des informations contenues dans le certificat (le nom du serveur, ses dates de validité, etc.) et c’est cette valeur qui est ensuite signée numériquement par une fonction cryptographique. Sur l’image ci-dessous vous pouvez-lire ces différentes informations pour le certificat SSL du site web www.verisign.com :
Plus précisément, ces certificats sont signés par une autorité de certification qui est elle-même reconnue par une autorité de certification « racine ». Ce sont – normalement – les certificats de ces autorités de certification « racines » qui sont pré-installés dans nos navigateurs (il est possible d’en installer volontairement d’autres, en fonction de besoins internes à son entreprise par exemple).
Dès 2004, des chercheurs ont démontré qu’il était possible de fabriquer des documents différents possédant la même signature MD5. Ce qui a été rapidement très inquiétant c’est qu’il était possible de fabriquer des documents très ressemblants (des PDF par exemple) ayant la même signature, mais dont un élément important était différent (dans l’exemple présent sur ce site : http://www.win.tue.nl/hashclash/Nostradamus/, 12 documents prédisant le résultat de l’élection présidentielle avec des noms différents).
Ce qui est inquiétant aujourd’hui c’est que d’importants prestataires en matière de fourniture de certificats permettant d’identifier des sites web (et d’autres fonctions de signature électronique en fait), autorités de certification reconnues par tous les navigateurs Internet, autorisent encore la fabrication de certificats basés sur des hachages MD5.
De façon assez amusante, mais pas surprenante étant donnée la puissance de calcul des consoles de jeux, les chercheurs qui ont présenté leurs résultats au 25C3 ont utilisé des batteries de consoles Sony Playstation 3. Ils ont ainsi démontré qu’il était possible de fabriquer, pour un coût assez raisonnable un certificat pour une autorité de certification « pourrie ». Cette autorité de certification leur permet de fabriquer des certificats reconnus par la plupart des navigateurs Internet.
Quelle réponse apporter ?
Les auteurs de cette démonstration donnent un certain nombre de recommandations :
On peut aussi souhaiter que la profession d’autorité de certification soit un peu mieux réglementée. En effet, différentes publications ont montré récemment qu’il était possible, dans certaines conditions, d’obtenir un certificat pour un nom de domaine dont on n’est pas propriétaire…
Pourquoi est-ce que tout cela est important ? Ce n’est pas tant le risque que votre communication soit interceptée, mais surtout que vous ayez confiance dans l’identité du serveur auquel vous vous connectez.
Mais que peut faire l’utilisateur individuel en pratique ? Peut-être faire confiance aux sociétés émettrices de certificats, qui grâce au système des listes de révocation vont rapidement débarrasser l’Internet de ces certificats malhonnêtes (note du 06 janvier 22:20, encore qu’il semble qu’ils ne soient pas décidés à utiliser la révocation, pour éviter de léser leurs clients). Mais pour les applications les plus importantes (votre banque par exemple), vous pouvez jeter un coup d’œil à l’algorithme utilisé pour la signature. Voici la marche à suivre :
Sous Mozilla, par exemple, une fois connecté sur le site de ma banque, je double clique sur le cadenas de sécurité ce qui me permet d’afficher le certificat utilisé (semblable à l’image d’illustration utilisée plus haut) et je demande ensuite à afficher les détails de ce certificat. Dans la liste des caractéristiques, je retrouve un champ intitulé : « Algorithme de signature des certificats » (sous Internet Explorer, on retrouve « Algorithme de signature »). Dans mon cas cela affiche : « PKCS #1 SHA-1 avec chiffrement RSA ». Pas de MD5 ici !
Des événements à venir :
Campagne de prévention
Un post intéressant lu sur un blog récemment, m’amène à réagir sur ce sujet qui semble de plus en plus du domaine du débat public : la réalité du danger sur Internet pour les enfants. De plus en plus de voix s’élèvent pour dire que finalement, il n’y a pas de prédateurs d’enfants sur Internet, ou pas tant que ça et que l’on en parle trop. Malheureusement, ces voix se trompent.
Un peu de perspective pour commencer
Tout d’abord, effectivement, le monde n’a pas changé avec Internet, les dangers qui attendent les enfants qui grandissent dans notre société moderne, ne sont pas tout à fait nouveaux. Ce qui change pour les enfants aujourd’hui, c’est que les dangers ne sont pas uniquement dans la rue et sur le chemin de l’École, mais potentiellement à la maison et à l’école, si l’accès Internet de ces enfants n’est pas correctement accompagné. La campagne à venir, comme d’autres avant, parle avant tout de cela, et pour avoir participé à de nombreuses occasions à la sensibilisation des parents et des enseignants sur ces sujets, et le retour que je peux avoir de mes collègues qui font cela, la conscience de ces risques n’existe pas toujours chez les adultes.
Dans un deuxième temps, est-ce qu’Internet a entraîné une augmentation des risques ? Je me risquerai à dire que oui, malheureusement. Du côté des amateurs d’images pédophiles, nombre d’entre eux, pendant leurs interrogatoires, admettent qu’ils n’auraient pas été tentés si l’accès à ces contenus n’avait pas été aussi facile. Certains nous affirment même ne pas ressentir d’interdit. Ils sont en quelque sorte désinhibés, par le relatif anonymat de la connexion à Internet, seul depuis leur nid douillet.
Du côté des enfants, il ne faut pas se faire d’illusion sur leur capacité à prendre en compte les risques. Ce n’est pas parce que nos enfants sont plus à l’aise que beaucoup d’adultes devant un micro-ordinateur qu’ils sont conscients des dangers, qu’ils en maîtrisent tous les risques et toutes les chausse-trapes. Ils sont même très souvent rassurés dans cet univers qui leur semble familier, où ils parlent en même temps à leurs camarades de classe et à un ami à l’autre bout du monde.
Maintenant, faites l’expérience de vous connecter sur certains sites de discussion existant sur Internet et soi-disant réservés aux « moins de 18 ans » (la plupart des professionnels français sont très sérieux dans la prévention dans ce domaine, mais Internet est aussi un univers de libre-entreprise et n’a pas de frontières, y compris pour nos enfants). Prenez l’identité d’un adolescent anonyme. Et comptez le nombre de minutes qui passeront avant de vous faire aborder avec des propositions souvent peu appropriées à un tel public. C’est d’ailleurs ce phénomène qui a amené au vote d’une infraction nouvelle au début de l’année 2007 dans le cadre de la loi sur la protection de l’enfance (nouvel article 227-22-1 du code pénal sur les sollicitations sexuelles à un mineur de 15 ans).
Quel est l’état de la menace ?
Enfin, sur la réalité de la « menace » pédophile aujourd’hui en France… Nos enquêteurs spécialisés (les enquêteurs NTECH de la gendarmerie) sont aujourd’hui au nombre de 170 en poste. De leurs statistiques d’activité il nous remonte que 25% des dossiers qu’ils traitent sont relatifs à des atteintes aux mineurs. Et pour certains de ces enquêteurs, cela peut représenter jusqu’à 80% de leur activité. La division de lutte contre la cybercriminalité (DLCC) du service technique de recherches judiciaires et de documentation (STRJD) à Rosny-sous-Bois est chargée de la surveillance proactive d’Internet. A cette occasion, ils identifient chaque mois une soixantaine de diffuseurs de contenus pédophiles sur des réseaux pair à pair (P2P).
Dans les opérations, souvent médiatisées, où plusieurs dizaines de personnes suspectées d’être amateurs d’images pédophiles sont interpellés, trop d’entre eux malheureusement sont déjà passés à l’acte, sur le point de le faire selon leurs propres déclarations, et certains sont eux-mêmes producteurs de ces contenus. Et toutes les telles opérations ne sont pas médiatisées. Cette semaine encore, nos enquêteurs de Bretagne ont interpellé un suspect chez qui plus de 500.000 images et 1.800 vidéos pédophiles ont été retrouvées.
Mais ceux-là sont effectivement faciles à identifier, et bien évidemment nous n’en sommes pas dupes. Ainsi, à l’occasion d’interpellations effectuées ces dernières années, nous avons remarqué une hausse de l’utilisation de techniques de chiffrement pour camoufler aux yeux des enquêteurs des images et autres traces préjudiciables. De même, la pratique de réseaux d’échanges fermés et mieux sécurisés se développe. Mais nous sommes aussi présents progressivement sur ces créneaux. La loi sur la prévention de la délinquance de mars 2007 (loi n°2007-297 du 05 mars 2007) nous permet d’ailleurs de développer depuis peu les investigations sous pseudonyme sur Internet pour ce type d’infractions.
Que faut-il faire ?
Donc, oui il est important que des associations, les pouvoirs publics, informent les parents et les enfants de ces risques. Il est tout aussi important de développer de nouvelles mesures. Bien évidemment ce n’est pas le problème numéro un sur Internet, celui qui concerne le plus de victimes en quantité (ce serait plutôt du côté des escroqueries et autres copies de cartes bancaires qu’il faut chercher le suspect principal). Mais la gravité de ce type d’infractions est tout de même tout autre et le nombre de personnes mises en cause et d’enfants victimes est loin d’être négligeable.
[youtube=http://fr.youtube.com/watch?v=cE6fQwWggVM]
La prévention doit-elle être alarmiste ? Eh bien, si cela peut frapper certains esprits, oui ! Seuls les messages les plus directs ont été réellement efficaces en matière de prévention de la sécurité routière. La prévention passe aussi par une présence accrue d’enquêteurs formés à ces problématiques, et correctement équipés. Il faut qu’ils puissent être présents partout où le risque existe. La peur du gendarme doit exister…
Le message est le même pour la plupart des risques de l’Internet : contre le phishing par exemple, ces courriers électroniques qui vous font croire que votre banque (ou tout autre service en ligne) a besoin de confirmer vos informations confidentielles et vous renvoient vers un site Web ressemblant au site de votre banque, rien ne vaut une prévention matraquée à destination des victimes potentielles, parce qu’il est tellement facile pour les escrocs de monter une telle arnaque en quelques heures.
En conclusion, oui l’Internet est un outil formidable, mais il est à l’image de notre société, parfois de façon plus exacerbée, il ne connaît pas les frontières et il ne s’arrête évidemment pas à la porte des maisons, donc il faut être attentif à qui l’on laisse rentrer chez soi, enfants et adultes tout autant.
Cyberlex
L’association Cyberlex organisait lundi 01 décembre 2008 après-midi, dans la salle Médicis du Sénat à Paris. Le thème retenu cette année s’intitulait : « Internet et l’Individu : des limites à poser, une harmonie à construire ».
Après l’ouverture par la présidente de l’association Corinne Thiérache, le programme s’est déroulé selon quatre tables rondes :
Parmi les points intéressants, j’ai noté les idées suivantes :
Au total une après-midi fort intéressante.
NTECH
Les enquêteurs spécialisés de la gendarmerie nationale (les NTECH, enquêteurs technologies numériques) et de la police nationale (les ESCI, enquêteurs spécialisés en criminalité informatique) étaient réunis du 24 au 26 novembre 2008 à l’École nationale de police de Périgueux.
Les rencontres, organisées cette année par l’OCLCTIC, ont rassemblé plus de 120 personnes pour aborder des sujets techniques divers, parmi lesquels on peut citer la sécurité du Wifi, les réseaux sociaux ou l’association Signal-Spam.
Le prochain rendez-vous du même genre sera organisé par la gendarmerie nationale en 2009. Elles sont une occasion chaque année, pour une partie de ces enquêteurs spécialisés (plus de 150 d’entre eux ont été formés dans chacune des deux forces et la ministre de l’Intérieur a confirmé en janvier 2008 son intention de voir leur chiffre doubler d’ici 2012) de se rencontrer et d’échanger.
Un petit post pour vous aider à utiliser correctement ce blog :
Usez et abusez 🙂 Et n’hésitez pas à poster un commentaire sur mes articles, c’est fait pour ça !
Warez
Une quinzaine de personnes suspectées d’avoir participé à un forum organisant la diffusion de contrefaçons de films sur Internet ont été interpellés mardi dans le cadre d’une opération nationale initiée par la brigade de recherches de la gendarmerie nationale de Paris-Exelmans.
La Voix du Nord signale l’interpellation dans cette affaire de trois jeunes de la région d’Arras. 01net détaille le mode opératoire : l’intrusion frauduleuse dans les systèmes d’entreprises pour disposer d’espace de stockage et la diffusion sur le forum du groupe (de la « team ») des adresses de ces serveur pour mettre à disposition les contenus contrefaits fournis par les différents membres.
Ce n’est pas la première telle opération de la gendarmerie, qui s’attaque à la source des échanges organisés de contrefaçon de musique ou de vidéo :
En juillet de cette année, le SRPJ de Montpellier avait procédé à l’interpellation des auteurs présumés (affaire Carnage) de la création d’une contrefaçon du film Bienvenue chez les Chtis (et d’autres infos ici affaire Cinefox).
Au-delà des personnes qui téléchargent ces contenus d’origine illégale, il s’agit dans ces affaires des maillons essentiels de la contrefaçon d’œuvres de l’esprit. Ils sont soupçonnes de commettre de façon concertée :
Évidemment, les peines maximum ne devraient pas être prononcées, toutefois, il ne faut pas négliger cet aspect particulier de la contrefaçon qui présente un risque pour les entreprises. En effet, il ne s’agit plus ici d’échanges entre « personnes consentantes » via des réseaux pair à pair, mais de l’abus des ressources de personnes innocentes – et souvent des entreprises – dont effectivement les machines étaient mal sécurisées, mais qui au mieux n’auront qu’une visite courtoise des autorités et au pire vont mettre plusieurs semaines à rétablir un fonctionnement correct de leurs systèmes.
Et il existe encore des dizaines de forums (ou « boards ») qui revendiquent de tels actes de contrefaçon. Souvent et historiquement, il s’agit de la scène « warez » de contrefaçon ou de contournement des protections des logiciels, mais de plus en plus souvent orientés exclusivement vers la musique et surtout les films commerciaux.
En conclusion, cette affaire et d’autres à venir sont une incitation supplémentaire de mieux sécuriser et surveiller correctement l’utilisation de vos machines et serveurs connectés à Internet !
Du 07 novembre 2008 au 09 janvier 2009, la commission Européenne mène une consultation en ligne , à destination du public le plus large, sur la politique à mener au niveau de l’Union Européenne pour la sécurité des réseaux et de l’information.
Les questions portent sur trois thèmes :
Personnellement, parmi les défis, je citerais : le manque d’information sur les phénomènes, le temps de réaction disponible qui se restreint (attaques 0-day, haut débit…), les paradis numériques, la compétence des utilisateurs, l’avènement de l’identité numérique partout et de la démocratie électronique.
Mes trois priorités seraient : l’amélioration de la circulation de l’information par la confiance, la formation et le développement de capacités de réaction coordonnées (au plan national, européen ou international).
L’exemple de l’affaire McColo récente est exemplaire à ce sujet, qui a montré que finalement les acteurs techniques pouvaient agir efficacement pour lutter contre les sources de problèmes (et donc ne sont pas toujours neutres sur le réseau) et la suite nous montrera que l’absence d’action policière et judiciaire coordonnée (supposée) risque de voir rebondir les mêmes acteurs avec les mêmes compétences ailleurs… Dans d’autre cas, les services d’enquête ou les organismes officiels chargés de la sécurité informatique dans les Etats ont dû agir par leurs seuls moyens judiciaires ou administratifs, sans aucun soutien des opérateurs.
Enfin, en termes de moyens : ils doivent être juridiques (la création d’un Espace Schengen du numérique), un rôle peut-être plus opérationnel de l’agence européenne ENISA (ou une coordination ENISA/Eurojust/Europol/OLAF sur ces sujets), et une implication préventive des acteurs techniques.