Investigation & transformation numériques

Un anti-virus reconnaît comme troyen une DLL de Windows

Virus

Virus

Ce n’est pas la première fois qu’un logiciel anti-virus cause de telles difficultés avec des faux-positifs. C’est toutefois moins courant que l’anti-virus en question (AVG) s’en prenne à un composant du système d’exploitation. The Register évoque l’affaire dans cet article.

La conséquence pour l’utilisateur qui supprime le fichier DLL en question : un système qui ne démarre plus.

Cela pose tout de même la question de savoir comment un particulier peut réagir efficacement face aux messages parfois incompréhensibles des logiciels anti-virus et autres firewalls. Et il en est de même pour l’usager lambda dans une entreprise.

Cela veut dire pour moi, que d’une part, même pour un logiciel aussi simple qu’un anti-virus, il ne faut pas oublier de former les utilisateurs aux actions basiques qu’il sera amené à accomplir (où est-ce que je clique ?) et prévoir des procédures adaptées en cas d’infection supposée (est-ce qu’on laisse l’utilisateur se débrouiller seul ou bien faut-il faire systématiquement intervenir quelqu’un du support informatique ?)

Mise à jour du 15/11/2008: A noter (source) qu’AVG offre à tous les abonnés à ses mises à jour payantes une année de licence gratuite.

Mise à jour du 17/11/2008: Un nouvel incident noté avec AVG qui a reconnu par erreur un composant du logiciel Adobe Flash comme malveillant. L’erreur a été corrigée en mois de trois heures.

11 novembre 2008 by Sécurité 0

AccessData offre de racheter Guidance Software

Guidance Software

Guidance Software

AccessData et Guidance Software sont deux sociétés concurrentes sur le marché des logiciels d’analyse de supports de données numériques. La première conçoit le produit « FTK » ou « Forensic Toolkit », la seconde « Encase ».

L’offre porte sur un rachat des actions de Guidance Software au prix de $ 4.50, alors que le cours actuel de l’action est de $ 3.73. Un communiqué de presse du 31 octobre annonçait que les dirigeants de Guidance Software avaient refusé cette offre amicale. Dans le même document, AccessData déclare qu’ils envisageront toutes les options possibles pour permettre cette transaction.

Le marché des solutions logicielles d’analyse forensique de supports numériques est assez varié en apparence :

mais des craintes fortes existent dans la communauté des utilisateurs de ces produits que cela nuise à la concurrence ou à la qualité des produits.

9 novembre 2008 by Criminalistique numérique 0

Arrestation de trois bulgares soupçonnés de skimming dans des distributeurs de carburant

Suite à une plainte déposée auprès de la section de recherches de la gendarmerie nationale à Rennes, une enquête de plusieurs mois a conduit à l’identification de trois bulgares qui ont été interpellés dans leur pays, jeudi 06 novembre 2008.

Ils sont soupçonnés d’avoir abusé plusieurs centaines de clients ayant utilisé leur carte bancaire sur des distributeurs automatiques de carburant de la région Bretagne. Ils utilisaient la technique du « skimming », qui consiste à installer un dispositif permettant de copier la piste magnétique et d’enregistrer le code composé par la victime, permettant ensuite de fabriquer une fausse carte qui est utilisée ensuite pour faire des retraits d’argent liquide dans certains pays étrangers (en Afrique du Sud dans la présente affaire).

C’est une coopération exceptionnelle entre les autorités françaises et bulgares, avec le soutien d’Europol qui a permis cette interpellation qui devrait conduire à l’extradition des auteurs présumés vers la France et la transmission des différents objets saisis sur place pour exploitation par les enquêteurs de la gendarmerie nationale assistés éventuellement d’experts.

7 novembre 2008 by Actualité judiciaire Criminalistique numérique 0

Vote d’une proposition de loi d’allongement de la prescription sur Internet

Le Sénat a voté en première lecture la proposition de loi présentée par Marcel-Pierre CLEACH visant à allonger le délai de la prescription des délits de presse (diffamations, injures ou provocations) commis sur Internet. Cette durée serait ainsi portée de trois mois à un an.

Le texte voté ce soir est le suivant:

Article unique

Le dernier alinéa de l’article 65 de la loi du 29 juillet 1881 sur la liberté de la presse est ainsi rédigé :

« Le délai de prescription prévu au premier alinéa est porté à un an si les infractions ont été commises par l’intermédiaire d’un service de communication au public en ligne. Ces dispositions ne sont toutefois pas applicables en cas de reproduction du contenu d’un message diffusé par une publication de presse ou par un service de communication audiovisuelle régulièrement déclaré ou autorisé lorsque cette reproduction est mise en ligne sous la responsabilité de leur directeur de publication. ». »

Le dossier de cette proposition de loi est accessible ici sur le site du Sénat. Bien entendu, ce texte passera encore devant l’Assemblée Nationale, et si nécessaire en seconde lecture.

5 novembre 2008 by Juridique 0

Forum des droits sur l’Internet – Filtrage des sites web pédopornographiques

FDI

FDI

Le Forum des droits sur l’Internet (FDI) publiait ce matin le rapport d’un groupe de travail sur le filtrage des sites pédopornographiques. Il s’agissait d’étudier les modalités techniques et juridiques d’une telle mesure en France. Le FDI a entamé ces travaux suite à des demandes exprimées par le ministre de l’intérieur (Michèle ALLIOT-MARIE) et la secrétaire d’Etat chargée de la famille (Nadine MORANO).

Contexte international

Ce projet s’inscrit dans un projet suivi au niveau Européen, visant à harmoniser les politiques des Etats dans ce domaine. Ainsi, le groupe de coordination des chefs de police européens (COSPOL – Comprehensive Operational Strategic Planning for the Police) a engagé un projet dénommé CIRCAMP (COSPOL Internet related child abusive material project), dont une des missions identifiées a été de développer de bonnes pratiques dans le domaine du blocage : le « child sexual abuse anti distribution filter ».

En effet, il subsiste des paradis virtuels pour les diffuseurs de contenus illicites, hors de portée des décisions judiciaires et de la coopération policière.

Ainsi, les expériences menées en Norvège et au Royaume-Uni ont-elles pu montrer un intérêt à mettre en œuvre ce type de mesures préventives. Dans ces deux pays, il s’agit d’accords volontaires entre les pouvoirs publics et les opérateurs Internet. Les autres pays européens étudient donc des propositions similaires.

Résumé des conclusions du groupe de travail du FDI

Le FDI définit d’abord l’objectif possible d’une telle mesure:

« Dès lors, et s’agissant des sites hébergés à l’étranger, le filtrage des sites contenant des images ou représentations d’abus sexuels sur mineurs apparaît comme un levier supplémentaire permettant de lutter contre ce type de contenu. Une telle mesure permettrait également d’éviter leur banalisation. Par ailleurs, ces sites étant souvent de nature commerciale, cela limiterait leur accès à un potentiel marché français. »

Ensuite, le FDI procède à une étude juridique de la possibilité d’implémenter ce dispositif en France, qui se heurte à la fois aux dispositions des textes européens (neutralité des opérateurs définie notamment dans la directive 2000/31/CE du 08 juin 2000, mais qui prévoit aussi la possibilité pour une autorité officielle d’ordonner des mesures permettant de mettre un terme ou prévenir des violations) et aux dispositions de la loi pour la confiance dans l’économie numérique (article 6, I, 8 de la LCEN 2004-575 du 21 juin 2004, qui prévoit l’intervention d’un juge pour ordonner un blocage, comme cela fut le cas dans l’affaire AAARGH).

Partant de ce constat, le FDI propose qu’une disposition législative nouvelle vienne encadrer le dispositif, avec la création ou la désignation d’une autorité administrative qui aura pour mission de valider et de transmettre aux opérateurs une liste des sites situés à l’étranger et diffusant des images ou représentations de mineurs à caractère pornographique. Cette liste devrait être mise à jour régulièrement. L’internaute visitant volontairement ou involontairement un tel site serait redirigé vers une page d’information sur le dispositif et aucune trace de sa connexion ne sera conservée.

Cette autorité serait garante de la stricte conformité des sites bloqués aux critères définis par la loi, à savoir la diffusion de contenus rendus illicites par l’article 227-23 du code pénal et situés en dehors de l’Union Européenne.

Enfin, il est souligné que les solutions techniques ne devraient pas être imposées aux opérateurs qui resteraient ainsi maîtres de la qualité de service offerte aux Internautes pour la fourniture des services légitimes.

Le texte du rapport peut être consulté sur le site du Forum des droits sur l’Internet en suivant ce lien.

Que disent les opposants à un tel projet ?

Bien entendu, il n’y a pas de consensus général sur un tel projet. Ainsi sont évoquées la volonté de censurer l’Internet, comme cela est le cas dans des contrées moins démocratiques, la possibilité que ce dispositif soit étendu progressivement ou brutalement à des infractions dont la répression semble moins justifier des mesures aussi fortes ou surtout présente des risques techniques dans son implémentation, comme ce qui est arrivé en début d’année à l’opérateur national du Pakistan. On retrouve ces différents points dans le rapport cité supra, ainsi que sur différentes contributions publiées sur Internet comme celle de l’association « La Quadrature du Net ».

Que va-t-il se passer maintenant ?

Le débat n’est donc pas encore conclu sur ce sujet. La recommandation du FDI viendra certainement alimenter des débats à venir au Parlement, dans le cadre d’un futur projet de loi encadrant ce dispositif. Les différents acteurs sont en tous cas d’accord pour souligner qu’il s’agit avant tout d’un objectif de blocage (empêcher l’accès) plutôt que d’un objectif de filtrage (terme pouvant laisser supposer qu’on surveille les connexions de chacun des internautes français).

4 novembre 2008 by Juridique Prospective 1

Vote en première lecture au Sénat du projet de loi création et Internet

Réseaux P2P

Réseaux P2P

Le sénat a donc voté hier le projet de loi favorisant la diffusion et la protection de la création sur Internet.

Le texte adopté le 30 octobre est disponible en suivant ce lien.

Les débats se poursuivront en première et dernière lecture à l’assemblée nationale en début d’année prochaine, pour cause de calendrier parlementaire chargé. Ce texte passera ensuite en commission mixte paritaire, l’Assemblée nationale étant certainement amenée à voter de nouveaux amendements.

31 octobre 2008 by Juridique 0

Premiers débats sur le projet de loi favorisant la diffusion et la protection de la création sur Internet

Palais du Luxembourg

Palais du Luxembourg

Les premiers débats sur le projet de loi favorisant la diffusion et la protection de la création sur Internet se tiennent au Sénat depuis mercredi 29 octobre au soir, avec le débat préliminaire et depuis ce matin jeudi 30 octobre le début des discussions sur les articles du projet de loi.

Le site du projet de loi sur le site du Sénat est accessible en suivant ce lien.

Parmi les amendements adoptés, on pourra noter :

  • la haute autorité (HADOPI) est dotée de la personnalité morale ;
  • la haute autorité sera saisie des faits constituant le manquement à l’obligation de surveillance de sa connexion Internet et non plus seulement « susceptibles de constituer » ce manquement ;
  • les recommandations adressées aux internautes dont la connexion a été détectée comme ayant une utilisation abusive comprendront des informations sur les moyens de contacter l’HADOPI pour compléter leur information ;
  • ces recommandations et les courriers recommandés ne contiendront pas d’information sur les contenus piratés ;
  • les recommandations et courriers recommandés sont toutefois motivés.

Reprise des débats cet après-midi à 16 heures :

  • débat sur le changement proposé par la commission des affaires économiques de la coupure de l’accès Internet par le paiement d’une amende (amendement n°75 rectifié de M. RETAILLEAU), rejeté ;
  • diminution de la durée minimum de la coupure de l’accès Internet de trois mois à un mois ;
  • notification à l’abonné de la prise de sanction par la haute autorité ;
  • labellisation précédée d’une évaluation certifiée pour les moyens de sécurisation préconisés par la haute autorité ;
  • il est demandé aux opérateurs de vérifier si « le contractant » est dans la base de données des personnes dont la connexion Internet est suspendue et non plus simplement son « nom » et ils n’auront accès qu’aux données strictement nécessaires à leur rôle ;
  • les opérateurs ne pourront conserver les données qu’ils auront obtenues depuis cette base de données ;
  • les modalités des compensations financières des prestations assurées par les opérateurs seront assurées dans les conditions du code des postes et communications électroniques (donc pas de changement sur ce point par rapport au texte du gouvernement), mais le rapporteur du projet de loi précise qu’il pourrait être envisagé de prendre en compte que dans ce cas les opérateurs ont un intérêt à ce dispositif et accepteraient de ne pas être remboursés ;
  • création d’un label délivré par l’HADOPI pour identifier les prestataires offrant des contenus protégés par les droits d’auteurs et les droits voisins dans des conditions conformes à la loi – dans le même amendement, la haute autorité sera chargée d’évaluer les expérimentations en matière de technologies de reconnaissance des contenus et de filtrage.

Ces discussions ont permis de conclure par un vote l’adoption de l’article 2 du projet de loi à 18:13.

Les articles suivants ont été discutés sans grands changements sur le fond du texte. La séance est levée à 20h56.

30 octobre 2008 by Juridique 0

Faire face aux nouveaux défis de la délinquance numérique

France 2025

Pour ce premier article, je vais reproduire ici ce que j’ai écrit en contribution à France 2025 :

http://www.france2025.fr/xwiki/bin/view/France2025/Fairefaceauxnouveauxdefisdeladelinquancenumerique

La délinquance liée aux technologies numériques est d’ores et déjà reconnue comme un domaine à part entière parmi les phénomènes criminels contre lequel il convient d’avoir une action efficace. En 2025, cette forme de délinquance fera pleinement partie du quotidien, comme la délinquance routière aujourd’hui ou l’utilisation des moyens de transport par les délinquants.

Les technologies numériques seront ainsi pleinement intégrées dans les usages des citoyens et dans le fonctionnement intime des institutions et des entreprises françaises. Ils en seront d’autant plus vulnérables à toutes les atteintes ciblant spécifiquement ces outils, mais ils y seront évidemment beaucoup mieux préparés.

Les délinquants seront aussi beaucoup plus à l’aise dans l’utilisation des moyens numériques. Là où en 2008, seuls certains d’entre eux les utilisent pleinement ou ont les compétences techniques pour les détourner finement, en 2025 cette forme de délinquance sera généralisée :

  • les moyens de communication numérique seront pleinement maîtrisés par les délinquants, y compris les façons de rendre ces communications plus discrètes comme le chiffrement, l’utilisation de canaux cachés ou l’exploitation des failles dans les produits commercialisés et notamment leur difficile traçabilité ;
  • des équipes très organisées de hackers malhonnêtes seront ainsi facilement constituées, elles s’affranchiront des frontières géographiques et linguistiques, et s’échangeront leurs compétences pour trouver rapidement les défauts des systèmes, mettre en place des flux de blanchiment encore plus efficaces, abuser d’un maximum de systèmes inter-connectés – ce que préfigurent les botnets rencontrés aujourd’hui ;
  • les techniques « anti-forensiques », permettant aux délinquants de se protéger des investigations seront beaucoup plus largement répandues, que ce soit des techniques de chiffrement une fois encore, d’effacement de traces sur les systèmes et les réseaux et l’exploitation des possibilités de rebonds sur les systèmes mal sécurisés qui seront toujours très nombreux.

Avec les nouveaux usages et les nouveaux outils numériques apparaîtront à chaque fois de nouvelles formes de délinquance.

Ainsi, la généralisation de l’usage d’une forme d’identité numérique entraînera des tentatives multiples d’abus de cette identité. Si on peut imaginer que les supports officiels de l’identité seront fortement sécurisés et très certainement l’objet d’attaques, ils ne seront pas les seuls. Que ce soient les supports mis en place par les commerçants et les fournisseurs de services en ligne, liés à une identité réelle ou à une identité virtuelle (pseudonymat) ou totalement anonyme, tous n’auront pas forcément les mêmes niveaux de protection. Ainsi, le format des moyens de paiement sera démultiplié, et le niveau de sécurisation des identifiants numériques utilisés sur différents sites communautaires ne sera pas égal.

A contrario, on peut imaginer qu’un lien plus fort à l’identité sera recherché par l’utilisateur et que l’internaute sera plus familier avec les moyens permettant de vérifier l’identité de ses interlocuteurs : non seulement la véracité de la signature (SSL aujourd’hui) du certificat d’un site de commerce en ligne, mais aussi des personnes avec lesquelles il sera en contact (signature électronique, présentation de certificats d’identité reconnus). Toutefois, il n’est pas certain que la course entre les utilisations bien cadrées et les utilisations plus libres soit gagnée par les premières, notamment sur les sites communautaires de nature ludique.

Le déploiement du nouveau système d’adresses Internet IP v6 va rendre la traçabilité des connexions et des échanges plus riche. Ainsi chaque objet connecté à Internet sera clairement identifié et éventuellement associé fortement à son propriétaire. Toutefois le volume d’informations à conserver et à échanger va croître de façon exponentielle : un même utilisateur qui en 2008 utilise une adresse IP à son domicile, une autre à son travail et éventuellement une autre de façon nomade, sera associé en 2025 à plusieurs centaines d’adresses différentes qui ne lui seront pas forcément toutes directement reliées. Certaines seront même anonymes, reliées à des objets numériques achetés dans des distributeurs automatiques ou la grande distribution, comme la montre qu’il porte à son poignet (qui pourra l’avertir des courriers électroniques qui lui sont destinés) ou ses lunettes de vision (qui lui permettront d’accéder à des canaux d’information divers). Et les délinquants sauront abuser de toutes ces possibilités.

Le très haut débit, enfin, sera généralisé et s’il permettra en 2025 une richesse d’accès à une information en temps réel, avec des images animées en haute définition et en relief, des bases de données multiples accessibles instantanément, il autorisera aussi de camoufler très facilement et plus discrètement à cause de la vitesse de transmission, les communications des délinquants au milieu de cette masse phénoménale d’informations en circulation.

Serons-nous préparés à ces défis ?

Tout d’abord un constat : la France, ses chercheurs et ses ingénieurs sont très dynamiques dans le domaine des technologies numériques et notamment en ce qui concerne la cryptologie ou la sécurité des systèmes d’information. Ainsi, on peut citer l’invention de la carte à puce ou des équipes de chercheurs mondialement reconnus dans le domaine de la cryptanalyse.

Mais contrairement à beaucoup de nos partenaires, notamment anglo-saxons, la recherche et l’innovation dans les domaines plus spécifiques de la lutte contre la délinquance numérique, se concentrant sur une posture préventive. Ainsi, en 2025, il est essentiel que la France et ses partenaires européens disposent de pôles de compétence expérimentés dédiés à la lutte contre la criminalité liée aux technologies numériques, afin de développer :

  • des outils innovants en matière d’analyse forensique des traces sur les systèmes et les réseaux numériques ;
  • la recherche sur les techniques anti-forensiques et les moyens de les prévenir ;
  • les moyens concrets d’une traçabilité sûre des échanges sur les réseaux, qui garantisse encore mieux la vie privée des internautes tout en permettant les investigations judiciaires et surtout réponde efficacement au défi des volumes d’information à traiter ;
  • et évidemment contribuer à la veille sur les risques sur la sécurité des systèmes d’information par des échanges efficaces avec la communauté des chercheurs travaillant sur ces domaines.

Ces pôles de compétence, à construire dès aujourd’hui, devront associer des universitaires, des compétences industrielles (notamment opérateurs et sociétés développant des logiciels et des matériels) et le soutien des services chargés des investigations.

Trop souvent aujourd’hui, ainsi que le montrent par exemple les études successives présentées par le Clusif (Club français de la sécurité des systèmes d’information), les dépôts de plainte et les signalements aux autorités compétentes des incidents rencontrés sont très rares. il est donc indispensable qu’en 2025 soient en place des espaces d’échange entre les différentes parties prenantes : pouvoirs publics, industriels et éventuellement chercheurs pour pouvoir dialoguer en toute confiance sur les incidents graves ou moins graves, les risques envisagés. Ces espaces pourront être organisés par branches professionnelles (banque, opérateurs de communications électroniques, développeurs de logiciels,…) et selon les sujets abordés (sécurité des systèmes, fraudes), plus ou moins restreints et surtout devront reposer sur des chartes couvrant la confidentialité des débats, l’engagement à la transparence entre les partenaires et surtout à agir promptement en fonction des mesures arrêtées ensemble.

L’ensemble de ces dispositifs s’inscrivent évidemment dans un contexte de coopération internationale qui devra se poursuivre et être renforcée en 2025, mais il est indispensable que la France soit dotée d’outils et de compétences adaptés à la lutte contre les phénomènes de délinquance numérique.

30 octobre 2008 by Prospective 1