Investigation & transformation numériques

Royaume-Uni: Nouvelle loi contre les attaques DDoS et les outils de piratage

ministry-of-justice-ukUn article du Register nous apprend qu’une nouvelle loi a été promulguée au Royaume-Uni (voir l’acte de promulgation ici) criminalisant les attaques en déni de service et la diffusion d’outils de piratage. Cette loi est valable pour le Pays de Galles et l’Angleterre, un texte semblable ayant déjà été promulgué en Écosse.

La nouvelle infraction du Computer misuse act interdit le fait d’entraver le fonctionnement d’un système d’information. Elle est punie d’une peine maximale de 10 ans d’emprisonnement et d’une amende.

L’accès illicite à un système d’information est maintenant puni d’une peine maximum de 2 ans d’emprisonnement contre six mois auparavant.

La deuxième infraction créée interdit la fabrication, l’adaptation, la fourniture ou l’offre d’un dispositif avec l’intention qu’il soit utilisé pour commettre, aider à commettre les infractions de piratage. Ce qui est intéressant à noter, il est aussi interdit de fournir un dispositif dont on pense qu’il peut servir à commettre ces infractions. Elle est punie d’une peine d’emprisonnement maximale de 2 ans.

Le texte de cette nouvelle loi provient des sections 35 à 38 de la loi sur la Police et la justice de 2006.

Cette promulgation vient compléter le dispositif de ratification par le Royaume-Uni de la convention du Conseil de l’Europe sur la cybercriminalité et notamment son article 6 qui criminalise la diffusion d’outils de piratage.

En France, cette infraction est punie par l’article 323-3-1 du code pénal:

« Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »

La mention d’un « motif légitime » permet de couvrir la recherche et le travail des spécialistes sur la sécurité des systèmes d’information. C’est une vision un peu différente de ce texte anglais qui évoque l’intention malhonnête, le texte français est donc plus large dans son périmètre, puisqu’il interdit aussi la diffusion par des non professionnels ou hors d’un contexte « légitime ». Il reste à la jurisprudence d’établir progressivement ce qui sera en France considéré comme un motif légitime et à la justice anglaise de prouver l’intention malhonnête de l’une ou l’autre des parties.

Enfin, il faut noter que le texte anglais limite les dispositifs concernés à un programme ou des données stockées sous forme numérique, alors que la convention du conseil de l’Europe parle de tout dispositif, y compris un programme informatique et que la loi française est beaucoup plus large puisque visant aussi bien les matériels.

15 novembre 2008 by Juridique 0

HCFDC – De la sécurité informatique à la cyberdéfense

img_colloque_131108

Colloque HCFDC

Le Haut comité français pour la défense civile (HCFDC) organisait le 14 novembre 2008, dans les locaux de l’INHES à la Plaine Saint Denis (93), un colloque sur la « Cyberdéfense ». Il était conclu par une intervention du sénateur Roger ROMANI qui a été le rapporteur du rapport d’information de la commission des affaires étrangères, de la défense et des forces armées sur la Cyberdéfense.

Ce colloque était organisé en partenariat avec le Secrétariat général de la défense nationale (SGDN) et sa Direction centrale de la sécurité des systèmes d’information (DCSSI) et sponsorisé par Agilent et Thalès.

Le programme de la conférence était organisé autour de 4 tables rondes :

  • Typologie des menaces ;
  • Cartographie, enjeux et complexités ;
  • Cibles et impacts ;
  • Réponses et solutions.

Des différentes présentations on retiendra que :

  • il est encore difficile aujourd’hui d’évaluer l’impact des différentes attaques contre les systèmes d’information en France et dans le Monde ;
  • la future agence nationale de la sécurité des systèmes d’information est en bonne voie, avec un futur périmètre bien plus large que celui de la DCSSI actuelle et donc notamment avec un impact plus important sur la sécurité de l’information des entreprises et des citoyens (certification de logiciels et de solutions de sécurité) et certainement un pouvoir de contrainte plus fort sur la sécurité existant dans les administrations ;
  • des progrès sont reconnus dans la mise en place de politiques de sécurité des SI dans les grandes entreprises, les démarches semblent beaucoup plus mûres ;
  • le constat est maintenant tangible d’une évolution vers des cyberconflits, parallèles aux conflits physiques, comme l’ont montré les incidents des derniers mois (Estonie, Géorgie, attaques imputées à des chinois, etc.) et la France, l’Europe, doivent s’y préparer ;
  • les représentants des services dits répressifs (dont moi-même) ont beaucoup insisté sur l’intérêt d’associer mieux la sphère judiciaire dans la lutte contre les abus criminels contre les systèmes d’information et notamment sur la nécessité selon les cas de porter plainte ou de signaler les faits intéressants.

J’en retire aussi qu’il subsiste un grand flou autour des évolutions à venir de l’Internet et de la démarche de cyberdéfense :

  • quel avenir pour la gouvernance de l’Internet (rôle de l’ICANN, rôle que veut se donner l’Union Européenne, rôle des nouvelles puissances extrême-orientales,…) ?
  • quel va être l’impact d’IP v6 sur la sécurité des systèmes d’information et la cybercriminalité en général ?
  • quelle direction concrète doivent prendre des pays comme la France en matière de lutte informatique offensive (le Livre blanc sur la défense et la sécurité nationale donne quelques pistes, page 207) ?
15 novembre 2008 by Cybercriminalité Prospective Sécurité 1

Chute du spam suite à la coupure de l’Internet d’un hébergeur peu sécurisé

Un hébergeur de la région de San Francisco a été déconnecté de l’Internet par ses différents fournisseurs de connectivité suite à des signalements qui soulignaient son implication dans une majeure partie des pourriels circulant ces dernières semaines sur Internet.

Dans sa suite d’articles, un journaliste, auteur d’un blog (Security Fix) du Washington Post, Brian Krebs, déclare avoir collecté de nombreuses informations démontrant l’implication des machines hébergées par la société McColo Corp. de San Jose, Californie. Après quatre mois d’observations il a décidé de contacter les fournisseurs de connectivité à Internet de cette société qui semblent avoir réagi très rapidement et ont coupé très rapidement tous les liens de cette société. Il semble que la société Kaspersky, ainsi qu’un rapport publié par HostExploit.com (ici la dernière version de ce rapport) soient la source des informations qui ont mené ce journaliste à s’activer sur ce dossier.

Selon les différents chiffres cités par le journaliste, obtenus auprès de différentes sources en Europe et aux Etats-Unis, près de 60 à 70% des spams circulant actuellement ont ainsi pu être éliminés d’un seul coup. Selon SANS, le réseau de cet hébergeur servait aussi à la diffusion d’images de mineurs à caractère sexuel.

Évidemment, une telle chute du spam sera de courte durée, et les émetteurs de ces messages non sollicités se reporteront sur d’autres ressources de l’Internet qui sont vulnérables. Le même journaliste cite en effet le cas d’un autre hébergeur californien qui avait subi le même sort au mois de Septembre 2008 et il n’avait fallu que quelques jours pour que les spammeurs trouvent de nouveaux hôtes.

A la lecture des différentes études publiées, il semblerait que les réseaux les plus utilisés par les cybercriminels ne sont pas tous situés dans les pays habituellement cités, mais ils peuvent se trouver aussi bien aux Etats-Unis et très certainement au coeur de l’Europe. C’est assez logique, puisque cela permet de disposer d’une excellente connectivité avec les futures victimes…

12 novembre 2008 by Cybercriminalité Sécurité 2

Un anti-virus reconnaît comme troyen une DLL de Windows

Virus

Virus

Ce n’est pas la première fois qu’un logiciel anti-virus cause de telles difficultés avec des faux-positifs. C’est toutefois moins courant que l’anti-virus en question (AVG) s’en prenne à un composant du système d’exploitation. The Register évoque l’affaire dans cet article.

La conséquence pour l’utilisateur qui supprime le fichier DLL en question : un système qui ne démarre plus.

Cela pose tout de même la question de savoir comment un particulier peut réagir efficacement face aux messages parfois incompréhensibles des logiciels anti-virus et autres firewalls. Et il en est de même pour l’usager lambda dans une entreprise.

Cela veut dire pour moi, que d’une part, même pour un logiciel aussi simple qu’un anti-virus, il ne faut pas oublier de former les utilisateurs aux actions basiques qu’il sera amené à accomplir (où est-ce que je clique ?) et prévoir des procédures adaptées en cas d’infection supposée (est-ce qu’on laisse l’utilisateur se débrouiller seul ou bien faut-il faire systématiquement intervenir quelqu’un du support informatique ?)

Mise à jour du 15/11/2008: A noter (source) qu’AVG offre à tous les abonnés à ses mises à jour payantes une année de licence gratuite.

Mise à jour du 17/11/2008: Un nouvel incident noté avec AVG qui a reconnu par erreur un composant du logiciel Adobe Flash comme malveillant. L’erreur a été corrigée en mois de trois heures.

11 novembre 2008 by Sécurité 0

AccessData offre de racheter Guidance Software

Guidance Software

Guidance Software

AccessData et Guidance Software sont deux sociétés concurrentes sur le marché des logiciels d’analyse de supports de données numériques. La première conçoit le produit « FTK » ou « Forensic Toolkit », la seconde « Encase ».

L’offre porte sur un rachat des actions de Guidance Software au prix de $ 4.50, alors que le cours actuel de l’action est de $ 3.73. Un communiqué de presse du 31 octobre annonçait que les dirigeants de Guidance Software avaient refusé cette offre amicale. Dans le même document, AccessData déclare qu’ils envisageront toutes les options possibles pour permettre cette transaction.

Le marché des solutions logicielles d’analyse forensique de supports numériques est assez varié en apparence :

mais des craintes fortes existent dans la communauté des utilisateurs de ces produits que cela nuise à la concurrence ou à la qualité des produits.

9 novembre 2008 by Criminalistique numérique 0

Arrestation de trois bulgares soupçonnés de skimming dans des distributeurs de carburant

Suite à une plainte déposée auprès de la section de recherches de la gendarmerie nationale à Rennes, une enquête de plusieurs mois a conduit à l’identification de trois bulgares qui ont été interpellés dans leur pays, jeudi 06 novembre 2008.

Ils sont soupçonnés d’avoir abusé plusieurs centaines de clients ayant utilisé leur carte bancaire sur des distributeurs automatiques de carburant de la région Bretagne. Ils utilisaient la technique du « skimming », qui consiste à installer un dispositif permettant de copier la piste magnétique et d’enregistrer le code composé par la victime, permettant ensuite de fabriquer une fausse carte qui est utilisée ensuite pour faire des retraits d’argent liquide dans certains pays étrangers (en Afrique du Sud dans la présente affaire).

C’est une coopération exceptionnelle entre les autorités françaises et bulgares, avec le soutien d’Europol qui a permis cette interpellation qui devrait conduire à l’extradition des auteurs présumés vers la France et la transmission des différents objets saisis sur place pour exploitation par les enquêteurs de la gendarmerie nationale assistés éventuellement d’experts.

7 novembre 2008 by Actualité judiciaire Criminalistique numérique 0

Vote d’une proposition de loi d’allongement de la prescription sur Internet

Le Sénat a voté en première lecture la proposition de loi présentée par Marcel-Pierre CLEACH visant à allonger le délai de la prescription des délits de presse (diffamations, injures ou provocations) commis sur Internet. Cette durée serait ainsi portée de trois mois à un an.

Le texte voté ce soir est le suivant:

Article unique

Le dernier alinéa de l’article 65 de la loi du 29 juillet 1881 sur la liberté de la presse est ainsi rédigé :

« Le délai de prescription prévu au premier alinéa est porté à un an si les infractions ont été commises par l’intermédiaire d’un service de communication au public en ligne. Ces dispositions ne sont toutefois pas applicables en cas de reproduction du contenu d’un message diffusé par une publication de presse ou par un service de communication audiovisuelle régulièrement déclaré ou autorisé lorsque cette reproduction est mise en ligne sous la responsabilité de leur directeur de publication. ». »

Le dossier de cette proposition de loi est accessible ici sur le site du Sénat. Bien entendu, ce texte passera encore devant l’Assemblée Nationale, et si nécessaire en seconde lecture.

5 novembre 2008 by Juridique 0

Forum des droits sur l’Internet – Filtrage des sites web pédopornographiques

FDI

FDI

Le Forum des droits sur l’Internet (FDI) publiait ce matin le rapport d’un groupe de travail sur le filtrage des sites pédopornographiques. Il s’agissait d’étudier les modalités techniques et juridiques d’une telle mesure en France. Le FDI a entamé ces travaux suite à des demandes exprimées par le ministre de l’intérieur (Michèle ALLIOT-MARIE) et la secrétaire d’Etat chargée de la famille (Nadine MORANO).

Contexte international

Ce projet s’inscrit dans un projet suivi au niveau Européen, visant à harmoniser les politiques des Etats dans ce domaine. Ainsi, le groupe de coordination des chefs de police européens (COSPOL – Comprehensive Operational Strategic Planning for the Police) a engagé un projet dénommé CIRCAMP (COSPOL Internet related child abusive material project), dont une des missions identifiées a été de développer de bonnes pratiques dans le domaine du blocage : le « child sexual abuse anti distribution filter ».

En effet, il subsiste des paradis virtuels pour les diffuseurs de contenus illicites, hors de portée des décisions judiciaires et de la coopération policière.

Ainsi, les expériences menées en Norvège et au Royaume-Uni ont-elles pu montrer un intérêt à mettre en œuvre ce type de mesures préventives. Dans ces deux pays, il s’agit d’accords volontaires entre les pouvoirs publics et les opérateurs Internet. Les autres pays européens étudient donc des propositions similaires.

Résumé des conclusions du groupe de travail du FDI

Le FDI définit d’abord l’objectif possible d’une telle mesure:

« Dès lors, et s’agissant des sites hébergés à l’étranger, le filtrage des sites contenant des images ou représentations d’abus sexuels sur mineurs apparaît comme un levier supplémentaire permettant de lutter contre ce type de contenu. Une telle mesure permettrait également d’éviter leur banalisation. Par ailleurs, ces sites étant souvent de nature commerciale, cela limiterait leur accès à un potentiel marché français. »

Ensuite, le FDI procède à une étude juridique de la possibilité d’implémenter ce dispositif en France, qui se heurte à la fois aux dispositions des textes européens (neutralité des opérateurs définie notamment dans la directive 2000/31/CE du 08 juin 2000, mais qui prévoit aussi la possibilité pour une autorité officielle d’ordonner des mesures permettant de mettre un terme ou prévenir des violations) et aux dispositions de la loi pour la confiance dans l’économie numérique (article 6, I, 8 de la LCEN 2004-575 du 21 juin 2004, qui prévoit l’intervention d’un juge pour ordonner un blocage, comme cela fut le cas dans l’affaire AAARGH).

Partant de ce constat, le FDI propose qu’une disposition législative nouvelle vienne encadrer le dispositif, avec la création ou la désignation d’une autorité administrative qui aura pour mission de valider et de transmettre aux opérateurs une liste des sites situés à l’étranger et diffusant des images ou représentations de mineurs à caractère pornographique. Cette liste devrait être mise à jour régulièrement. L’internaute visitant volontairement ou involontairement un tel site serait redirigé vers une page d’information sur le dispositif et aucune trace de sa connexion ne sera conservée.

Cette autorité serait garante de la stricte conformité des sites bloqués aux critères définis par la loi, à savoir la diffusion de contenus rendus illicites par l’article 227-23 du code pénal et situés en dehors de l’Union Européenne.

Enfin, il est souligné que les solutions techniques ne devraient pas être imposées aux opérateurs qui resteraient ainsi maîtres de la qualité de service offerte aux Internautes pour la fourniture des services légitimes.

Le texte du rapport peut être consulté sur le site du Forum des droits sur l’Internet en suivant ce lien.

Que disent les opposants à un tel projet ?

Bien entendu, il n’y a pas de consensus général sur un tel projet. Ainsi sont évoquées la volonté de censurer l’Internet, comme cela est le cas dans des contrées moins démocratiques, la possibilité que ce dispositif soit étendu progressivement ou brutalement à des infractions dont la répression semble moins justifier des mesures aussi fortes ou surtout présente des risques techniques dans son implémentation, comme ce qui est arrivé en début d’année à l’opérateur national du Pakistan. On retrouve ces différents points dans le rapport cité supra, ainsi que sur différentes contributions publiées sur Internet comme celle de l’association « La Quadrature du Net ».

Que va-t-il se passer maintenant ?

Le débat n’est donc pas encore conclu sur ce sujet. La recommandation du FDI viendra certainement alimenter des débats à venir au Parlement, dans le cadre d’un futur projet de loi encadrant ce dispositif. Les différents acteurs sont en tous cas d’accord pour souligner qu’il s’agit avant tout d’un objectif de blocage (empêcher l’accès) plutôt que d’un objectif de filtrage (terme pouvant laisser supposer qu’on surveille les connexions de chacun des internautes français).

4 novembre 2008 by Juridique Prospective 1

Vote en première lecture au Sénat du projet de loi création et Internet

Réseaux P2P

Réseaux P2P

Le sénat a donc voté hier le projet de loi favorisant la diffusion et la protection de la création sur Internet.

Le texte adopté le 30 octobre est disponible en suivant ce lien.

Les débats se poursuivront en première et dernière lecture à l’assemblée nationale en début d’année prochaine, pour cause de calendrier parlementaire chargé. Ce texte passera ensuite en commission mixte paritaire, l’Assemblée nationale étant certainement amenée à voter de nouveaux amendements.

31 octobre 2008 by Juridique 0