Investigation & transformation numériques – Page 8 – Blog personnel d'Éric Freyssinet

SSTIC – Jour 3 (mise à jour 15:45)

Suite de mes notes !

RRABIDS, un système de détection d’intrusion pour les applications Web Ruby on Rails

Romaric Ludinard, Loïc le Hennaf, Eric Totel, Supélec

Projet ANR DALI. Outil Daikon, détecteur d’invariants dynamique. Mais il faut réduire le nombre d’invariants en ne s’intéressant qu’à celles qui dépendent des entrées utilisateurs, grâce à la notion de taint checking (propagation d’une marque apposée). Ensuite, il faut « tisser » dans le code la détection associée à ces invariants. Le coût en nombre de lignes et donc en temps d’exécution est important.

Il leur reste encore à améliorer l’apprentissage (diminution du nombre de faux positifs). Démonstration sur l’application confiée par un client.

Usages offensifs de XSLT

Nicolas Grégoire, Agarri

XSLT réel langage de programmation W3C (permet de transformer automatiquement des structures de données XML en page HTML à partir d’un fichier de transformation). L’objectif des travaux de l’auteur est de découvrir des exploits autour de cette technologie. Ils ont été conduits sur plusieurs moteurs XSLT généralistes et spécifiques. Les risques identifiés sont essentiellement du côté des extensions propriétaires (LibXSLT, Xalan-J et Altova).

Exemples de vulnérabilités: sous libxslt (produits Apple, RIM, distributions Linux à cause du moteur de rendu Webkit et Chrome n’est pas vulnérable), il est possible d’écrire un fichier dans le système attaqué. PHP5 (toujours impacté aujourd’hui).

En résumé, beaucoup de boulot en vue pour les éditeurs d’applications XSLT.

Conférence invitée: Faille de sécurité ou défaut de sécurité

Eric Barbry, Cabinet Alain Bensoussan

Conséquences pénales d’une mauvaise sécurité (article 34 de la loi informatique et libertés). Eric souligne un intérêt croissant de la CNIL pour ces questions. Un guide de la CNIL est disponible ici. Sans oublier les autres obligations (226-22 du code pénal sur la divulgation de données personnelles, 226-13 sur la révélation de secrets).

La victime finale (celle dont les données ont été détournées) est elle victime du professionnel négligent ou de l’auteur de l’intrusion ? Mais pour une affaire comme celle de Sony, les conséquences sont innombrables dans de nombreux domaines (communication et image, remboursements, contrôles. enquêtes…).

Eric évoque ensuite le projet d’ordonnance qui doit implémenter les notifications obligatoires d’incidents de sécurité touchant les opérateurs et d’autres acteurs, mesure issue d’une des directives du Paquet télécoms (on en reparlera). PDF du projet d’ordonnance (voir l’article 38) qui est l’objet actuellement d’une consultation publique.

Typologie des attaques contre nos libertés online

Jérémie Zimmermann, La Quadature du Net

Neutralité du net. Vision d’un Internet comme bien commun. J. Z. définit les attaques comme toute limitation à la possibilité de publier ou d’accéder (aux services, aux contenus,…). Protection des gouvernements autoritaires, protection par les gouvernements des intérêts sectoriels, attaquants purement industriels. Le biais serait parfois législatif ou parfois en contournant les législations. Les vecteurs seraient multiples: inconscient collectif (peurs), complexité et opacité, contournement des chemins traditionnels. Il décrit ensuite des contre-mesures: observer, démontrer.

(Beaucoup d’attaques contre le blocage des sites pédopornographiques, cf. mes articles précédents sur le sujet).

Système de stockage en ligne de photos avec confidentialité des données personnelles

L. Montalvo, S. Defrance, F. Lefebvre, N. Le Scouarnec, P. Perez, Technicolor

La gestion des doublons permettrait d’optimiser le stockage. Confidentialité des données: si l’utilisateur chiffre les informations stockées, l’hébergeur ne pourra pas supprimer les doublons. Le principe du chiffrement convergent est discuté.

Se pose la question de chercher des images similaires, sans avoir accès au contenu chiffré. Les fonctions de hachage classique ne fonctionnent évidemment pas: plutôt fonctions de hachage visuel (empreinte plutôt que digest). Deux grandes classes d’algorithmes sont documents: globales ou locales (+ lentes et robustes contre quasi toutes les distorsions). Elles font un focus sur les points d’intérêt. Si statistiquement le nombre d’empreintes communes entre deux images est important, on dira que les images sont similaires.

Ces fonctions posent deux problèmes: performance et introduction d’une nouvelle faille (sur la confidentialité). Les fonctions les plus efficaces sont les fonctions SIFT classiquement documentées. Toutefois, il est démontré qu’à partir de nombreuses empreintes on peut reconstruire partiellement les images: l’invertibilité n’est pas garantie. On va donc combiner avec la fonction de hachage VLAD (vector of locally aggregated descriptors).

Un framework de fuzzing pour cartes à puces, application au protocole EMV

Julien Lancia (site web), CESTI-SERMA Technologies

EMV est la spécification des cartes bancaires à puce diffusées actuellement. Fuzzing: technique de tests en boîte noire, ici par blocs. Framework Sulley, étendu pour générer des données au modèle EMV, une interface pour les cartes à puce et des spécifications pour la détection d’incidents réussis.

Sulley est dédié au départ au fuzzing de protocoles réseau. Pour la transmission des données, la couche de communication a été remplacée par une API métier TRITON.

Sur 12 produits, 6 ont eu des résultats: anomalies sécuritaires (remise à zéro de compteur avant vérification online) et anomalies fonctionnelles.

Développements futurs: sortir de la spécification stricte, inclusion des spécifications Monéo ou fuzzing des couches basses. Ces techniques pourraient être intégrées en amont au niveau du développement.

Conférence invitée de clôture

Hervé Schauer, HSC

Revue de la philosophie sur le débat liberté-sécurité, repositionné sur la SSI. Constat rétrospectif d’inachèvement: la sécurité aurait peu progressé.

SSTIC – Jour 2 (mise à jour 18:00)

Mes notes de la deuxième journée (ce ne sont que des notes et je prie d’avance les lecteurs de m’excuser si elles ne sont pas claires).

Attaques DMA peer-to-peer et contre-mesures

Fernand Lone-Sang (et Loïc Duflot, Vincent Nicomette, Yves Deswarte)

Il s’agit d’attaques ciblant la mémoire des contrôleurs eux-mêmes et non la mémoire centrale du système. Le contrôleur utilisé pour l’attaque est un contrôleur Firewire. Les tests ont été effectués sur cinq chipsets (Lakeport, Eaglelake et Tylersburg). Noyau d’attaque Linux 64 bits recompilé pour retirer protections sur /dev/mem. dd est ensuite utilisé pour copier la mémoire des contrôleurs. L’architecture de la machine attaquante est classique.

Les chipsets Eaglelake et Lakeport ont des comportements similaires.

Une démonstration a été réalisée pour copier la mémoire de la carte graphique, qui apparaissent quasi en temps réel.

Contre-mesures possibles:

I/O MMU (In/Out Memory Management Unit) qui permet de l’isolation entre les régions de mémoire des contrôleurs, restreint l’accès des contrôleurs à leurs domaines respectifs. Implémenté au sein du northbridge dans les chipsets Intel. Certains chipsets AMD intègrent un I/O MMU dans le southbridge.
Access control services (ACS): définissent des points de contrôle sur les bus d’E/S. Apparus récemment dans des chipsets Intel x58, désactivés par défaut. Leur activation peut interférer avec certains pilotes de périphériques.

Sticky fingers & KBC Custom Shop

Alexandre Gazet, ESEC Sogeti

De très nombreuses « offres » vendant des mots de passe BIOS « maîtres » qui correspondraient à tel ordinateur. L’orateur découvre dans ses recherches le source d’un générateur de mot de passe correspondant à son ordinateur.

Ses recherches le mènent sur différents forums (mydigitallife.info, csdn.net…) et à adapter Metasm pour prendre en compte le processeur du contrôleur clavier (qui s’avère être un ARCompact).

Cela lui permet d’aller plus loin dans l’analyse du contrôleur de clavier. Il parvient notamment à forcer des mises à jour de la ROM du contrôleur clavier. Il procède ensuite à un débridage de la commande de lecteur pour un accès complet à la ROM et à la RAM du contrôleur clavier, ajouter un loggeur de commandes et une commande d’écriture en RAM.

Il ouvre la voie à l’exécution de code dans le SMM grâce à l’exploitation d’une faille dans le dialogue entre le contrôleur clavier et le handler SMI. Pour la démonstration il parvient à ajouter des fonctions à l’interface 0xB2 pour rendre accessible la SMRAM.

La fonction vulnérable est appelée à chaque démarrage par le BIOS, furtive (tout en mémoire), persistante (même en cas de réinstallation).

« Ça ne sert à rien. », conclut-il. C’est quand même intéressant de démontrer qu’on peut explorer le fonctionnement des contrôleurs les plus simples et même y découvrir des failles qui ont un impact potentiel sécuritaire sur le fonctionnement central d’un PC et envisager des compromissions en cascade.

Virtualisation d’un poste physique depuis le boot

Stéphane Duverger, EADS Innovation Works

Leçons tirées du développement d’un hyperviseur de type 1 (sans système hôte), Ramooflax. L’objectif de ce travail est d’avoir des méthodes d’observation du fonctionnement d’un OS, y compris d’interagir en direct avec les process en cours (démo de débug en direct avec IDA).

Résultat du challenge SSTIC

Axel Tillequin, EADS, présente sa solution du challenge SSTIC 2011

Attacking and Fixing PKCS#11 Security Tokens with Tookan

Graham Steel (@graham_steel)

Conférence initiale en novembre 2010.

PKCS 11 décrit une interface pour les « tokens » d’authentification (clé USB, carte à puce,…). Les clés sont stockées dans le dispositif, protégées par un PIN.

Explication et démonstration de l’utilisation de Tookan pour tester les vulnérabilités de tels dispositifs de sécurité qui autoriseraient l’accessibilité en clair à des secrets théoriquement protégés dans celui-ci.

Beaucoup de produits ont montré des vulnérabilités (voir le site de Tookan)…

Peut-on éteindre l’Internet?

Stéphane Bortzmeyer (blog, @bortzmeyer)

Méthodes citées:

Couper les câbles – coûteux en main-d’oeuvre, réparable, difficile à faire sur une grande échelle
Trouver une 0-day, par exemple dans le code d’IOS (Cisco) – mais il faudrait des vulnérabilités multiples (plusieurs équipementiers) et l’attaque impose de ne pas couper l’Internet pour qu’elle puisse se propager
Attaque en déni de service – il faut cibler des ressources essentielles (par exemple la racine du DNS)
Action autoritaire (exemple de certains pays récemment coupés de l’Internet pendant plusieurs jours)

… facile donc de perturber l’Internet, essentiellement localement et pour un temps finalement assez court.

Pour améliorer la résilience:

Repenser Internet? Mais on se heurtera aux mêmes types de défauts intrinsèques aux systèmes complexes.
Réglementer?

S. Bortzmeyer croit plus en:

La redondance physique (éviter les points de défaillance unique – SPOF);
Ecrire des logiciels sans bogues – en tous cas direction à prendre;
Coordination des acteurs;
Action politique (au sens d’éviter des politiques de censure).

Architecture DNS sécurisée

Guillaume Valadon, Yves-Alexis Perez, ANSSI

Nota: l’ANSSI recrute 🙂

Présentation de DNSSEC (voir aussi article Wikipédia, ou un article précédent de S. Bortzmeyer).

L’enregistrement NSEC (Next SECure) a pour but de signer des enregistrements qui n’existent pas, afin d’éviter des usurpations non signées. La première solution fut d’énumérer ce type d’enregistrements manuellement. NSEC 3 (RFC 5155 ou sur le blog de S. Bortzmeyer) est une évolution dans laquelle des empreintes cryptographiques sont utilisées à la place des noms.

Rump sessions (extraits)

Billetterie du SSTIC, Nicolas Bareil & Fabrice Desclaux. Signature HMAC-SHA1 du QR Code. Billet produit en Latex/Tikz, généré en Python.

XSS, Erwan Abgrall. Projet ANR DALI. Distinction payload/vecteur. Envisage fingerprinting grâce à ces résultats sans tenir compte du navigateur.

Digital forensics XML, Christophe Grenier. Format créé par Simson Garfinkel simsong@amg.org. Utilisé par scalpel, frag_find, photorec, ewfinfo, md5deep (*deep).

Audits techniques et analyses de risque, Pôle national de compétence SSI Education nationale. Méthodologie maison.

Référentiel d’exigences applicables aux prestataires d’audit de la SSI. ANSSI.

AirScan, Raphaël Rigo. Détecteur de points d’accès Wifi sous Nintendo DS. http://syscall.eu/

Orchids IDS opensource – http://www.lsv.ens-cachan.fr/orchids/

Incident response methodology, Jean-Philippe Teissier, CertSG.

Hack de couteau suisse USB auto-destructeur. 🙂

DGA/MI recrute aussi.

Usages offensifs de XSLT, Nicolas « Nicob » Grégoire.

Lancement du projet 2CENTRE

Mardi 31 mai, se tenait le lancement du projet 2CENTRE visant à la création d’un réseau de centres d’excellence pour la formation et la recherche contre la cybercriminalité. L’événement s’est déroulé en duplex entre Paris et Dublin où avait lieu une conférence organisée par nos partenaires irlandais de l’UCD.

La naissance du projet

Le projet a germé voilà trois ans déjà, et sa première étape fut un rapport rédigé par Nigel Jones et Cormac Callanan à partir des contributions des différentes partenaires potentiels (télécharger le PDF ici). Il s’agissait de donner une dimension opérationnelle aux travaux menés par le groupe de travail européen sur la formation en cybercriminalité (ECTEG), c’est-à-dire des espaces où pourraient effectivement se développer et être délivrées les formations pensées à l’ECTEG, dans un esprit de partage et aussi avec le souci de ne pas former uniquement les services de police mais aussi l’ensemble de nos partenaires. Le projet qui comporte bien évidemment une dimension de recherche scientifique pour soutenir la formation a pour ambition d’associer à chaque fois l’ensemble des parties intéressées autour d’un partenariat fort: universités/établissements d’enseignement, services de police, industriels concernés.

La première étape

La première étape a consisté, avec le support de la Commission Européenne, à identifier les premiers pays où la création de tels centres était possible rapidement et d’initier une structure permettant de les mettre en réseau.

En France, nous avons rassemblé au cours de deux réunions, l’ensemble des partenaires potentiels, auxquels le projet a été expliqué et une première équipe a été constituée pour présenter un dossier en vue d’un financement européen.

Ainsi, dans un premier temps, la France et l’Irlande se sont associées pour profiter de la dynamique qui y préexiste. C’est le projet que nous lancions mardi et qui comporte trois composantes principales:

la préfiguration d’un réseau de centres d’excellence et le soutien des initiatives dans d’autres pays ou régions;
la création d’un centre irlandais autour du partenariat existant entre An Garda Síochána (la police irlandaise) et l’University College de Dublin et en particulier son centre sur la cybersécurité;
la création d’un centre français autour du partenariat existant entre la Gendarmerie nationale et l’Université de technologie de Troyes.

Dès le mois de janvier 2010 nous recevions le feu vert du programme ISEC (Prévention du crime et lutte contre la criminalité) de la Commission Européenne.

Dans un temps très proche, la Belgique a initié un projet frère le B-CCENTRE dont le lancement s’est tenu la semaine dernière et l’Estonie ne devrait pas tarder à suivre, comme de nombreux autres projets qui commencent à émerger en Europe et peut-être dans d’autres régions du Monde.

Le contenu du projet de centre français

Le projet de centre français rassemble déjà de nombreux partenaires: l’université de technologie de Troyes, l’université de Montpellier, la gendarmerie et la police nationales, les sociétés Thalès et Microsoft France. Orange France soutient financièrement l’initiative.

La première activité consistera, autour de ce premier noyau, à créer concrètement le centre français. Sa particularité est qu’il s’agira de mettre en réseau l’ensemble des parties prenantes qui partagent avec nous le même objectif de contribuer à la lutte contre la cybercriminalité par la recherche et la formation. Donc seront amenés à nous rejoindre, au cours des prochains mois d’autres partenaires académiques, industriels et services d’enquête spécialisés.

Deux séries d’activités concrètes couvrent ensuite les aspects de formation et de recherche:

une formation en ligne pour les premiers intervenants: il s’agit d’offrir un module d’initiation à la cybercriminalité aux policiers et gendarmes, notamment ceux qui accueillent le public et donc reçoivent les premières plaintes et mènent les premiers actes d’investigation;
un module de formation en ligne sur l’analyse des systèmes Windows 7 pour les enquêteurs: au-delà de ce premier projet il s’agit de tester en grandeur réelle ce type d’outil de formation permettant la mise à jour des compétences des enquêteurs spécialisés;
l’amélioration et la formalisation des enseignements existant pour les enquêteurs spécialisés: l’objectif est de consolider les formations existantes et éventuellement de partager certains de ces modules clés en mains avec des pays partenaires;
un projet de recherche sur la détection distribuée d’intrusions sur les réseaux;
une étude sur les besoins en formation, notamment pour identifier les besoins des entreprises (petites et grandes) et en particulier les acteurs qui sont en premier en contact avec les services d’enquête spécialisés (prestataires Internet, fournisseurs d’accès, opérateurs), qu’il s’agisse de proposer des cahiers des charges pour la formation continue ou d’inciter les formations existantes (notamment d’ingénieurs en informatique ou en sécurité des systèmes d’information) à inclure des modules sur l’investigation numérique et le lien avec l’enquête judiciaire;
l’animation d’une communauté francophone pour le développement d’outils d’analyse forensique (au départ autour des systèmes de fichiers), avec la volonté de contribuer activement à l’opensource dans ce domaine;
la création d’outils de sensibilisation pour les petites entreprises;
l’évaluation de modules de formation européens préexistants (certains modules déjà développés, notamment dans le cadre d’ECTEG, doivent être évalués selon des standards académiques).

Bien entendu, ce n’est qu’une première étape et d’autres projets verront le jour. Ils recevront l’appui du centre français, et seront initiés par ses membres actuels ou par de futurs partenaires.

***

Rendez-vous donc dans les mois qui viennent pour les premiers résultats de ce projet et un grand merci à l’ensemble de ceux qui y contribuent déjà ou par avance à ceux qui nous soutiendront dans le futur.

[twitter-follow screen_name=’ericfreyss’ show_count=’yes’]

2 juin 2011 by Éric Freyssinet Cybercriminalité Formation Prévention Prospective 1

La légitime défense numérique – Le Cercle

Le Cercle européen de la sécurité des systèmes d’information organisait jeudi 28 avril 2011 à 18 heures une table ronde sur le thème de la légitime défense numérique.

Le débat était animé par Yann Le Bel de la SNCF, et rassemblait Guillaume Tissier de CEIS et Philippe Langlois de P1Sec.

Guillaume Tissier a d’abord résumé le contexte actuel des attaques contre les systèmes d’information, de la cybercriminalité et de la cybersécurité en général, en soulignant les risques particuliers auxquels sont confrontées aujourd’hui notamment les entreprises. Ensuite il a rappelé le cadre juridique de la légitime défense.

Sur le plan pénal, le concept de légitime défense est défini comme une exception, au travers d’une cause d’irresponsabilité. Ainsi dans l’article 122-5 du code pénal il est indiqué:

N’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte.

N’est pas pénalement responsable la personne qui, pour interrompre l’exécution d’un crime ou d’un délit contre un bien, accomplit un acte de défense, autre qu’un homicide volontaire, lorsque cet acte est strictement nécessaire au but poursuivi dès lors que les moyens employés sont proportionnés à la gravité de l’infraction.

Ainsi, s’agissant dans le domaine de la sécurité sur les réseaux (et en particulier Internet), c’est le plus souvent le second alinéa qui est concerné. Et le but de la légitime défense des biens ainsi défini est limité à l’accomplissement d’un acte de défense, en vue d’interrompre l’exécution du crime ou du délit contre ce bien. Je suis intervenu à la fin du débat pour rappeler que dans tous les cas imaginables aujourd’hui, la véritable légitime défense sur Internet est difficilement applicable puisqu’on pourra soit prendre des mesures pour se protéger qui ne constitueraient pas des infractions (détourner le trafic qui vous attaque par exemple) ou tout simplement déconnecter le système (comme l’a fait Sony la semaine passée), faisant ainsi cesser l’atteinte.

Dans un contexte international, la charte des Nations Unies, à son article 51, a encore rappelé Guillaume Tissier, énonce le principe suivant:

Aucune disposition de la présente Charte ne porte atteinte au droit naturel de légitime défense, individuelle ou collective, dans le cas où un Membre des Nations Unies est l’objet d’une agression armée, jusqu’à ce que le Conseil de sécurité ait pris les mesures nécessaires pour maintenir la paix et la sécurité internationales. Les mesures prises par des Membres dans l’exercice de ce droit de légitime défense sont immédiatement portées à la connaissance du Conseil de sécurité et n’affectent en rien le pouvoir et le devoir qu’a le Conseil, en vertu de la présente Charte, d’agir à tout moment de la manière qu’il juge nécessaire pour maintenir ou rétablir la paix et la sécurité internationales.

Il s’agit bien ici d’offrir la possibilité aux Etats de répondre légitimement à une agression armée. Il sera tout de même très difficile pour l’instant de qualifier d’attaque armée une atteinte numérique, sauf si elle est de nature à porter atteinte de façon grave à la sécurité des personnes et des biens ou à l’intégrité d’un territoire.

Guillaume Tissier a aussi dressé une liste des types de réponse qu’il était possible d’envisager, en soulignant qu’il n’était pas nécessaire de toujours envisager d’aller jusqu’à des actes agressifs, mais qu’il était possible par exemple d’envisager des mesures judiciaires adaptées – y compris de nature à faire complètement cesser l’activité d’un attaquant grâce à la saisie de ses matériels ou l’interruption des services qui lui permettre de commettre ses attaques, ou des mesures de collecte de preuve, pour faciliter l’identification des auteurs de ces faits.

Philippe Langlois quant à lui a cité un certain nombre de cas concrets d’acte de rétorsion numérique suite à ce qui peut être considéré comme une attaque. Le cas de la société HBGary qui s’est vu sérieusement mise en défaut dans la gestion de sa propre sécurité, après s’en être prise aux Anonymous publiquement est un de ces cas. On pourrait aussi citer le cas récent du réseau des Playstation de Sony (voir l’article le plus récent de Numérama), dont l’agression pourrait être une réponse de certains groupes d’attaquants à l’attitude de cette société face à un chercheur indépendant (George Holtz) qui a mis à mal la sécurité de sa console la plus récente (voir l’article de 01Net). Philippe a aussi souligné le risque d’une véritable escalade des réponses entre les belligérants, comme l’un des risques principaux d’une riposte numérique suite à une agression.

Philippe a aussi indiqué, que techniquement il était évidemment possible dans beaucoup de situations – et dans l’esprit de la gamme de réponses possible évoquée par Guillaume Tissier, de prendre des mesures non agressives vis à vis de l’attaquant, en temps réel, de manière à plus facilement l’identifier, grâce à la prise d’une empreinte de l’attaque ou en se connectant simplement avec l’hôte à l’origine de l’attaque si le protocole utilisé le permet.

Enfin, comme l’a rappelé Lazaro Pejsachowicz dans la salle, il n’est pas acceptable d’envisager la légitime défense sous la forme d’une vengeance, il est absolument nécessaire de rapidement impliquer les autorités judiciaires suite à une attaque pour que la collecte de preuves s’exerce dans de bonnes conditions et que l’action légale soit efficace et rapide.

L’autre sujet qui n’a pas été abordé – il me semble – dans le débat, est le recours à une réponse numérique suite à une agression physique. Cela fait partie très clairement des outils dont pourrait se doter un Etat dans le cadre de sa légitime défense au sens de la charte des Nations Unies évoquée plus haut. Et – pourquoi pas – cela pourrait constituer une hypothèse intéressante dans le cadre de la légitime défense des personnes et des biens contre une agression physique, par exemple en se dotant d’outils pour rendre inopérants les commandes d’un véhicule qui foncerait sur une foule.

Jérôme Saiz, Security Vibes a fait un compte-rendu du débat.

Merci au Cercle pour l’organisation de cette soirée qui a continué autour d’un buffet indispensable au réseautage interpersonnel.

30 avril 2011 by Éric Freyssinet Conférences Cybercriminalité Juridique Sécurité 1

Décret d’application de la LCEN sur la conservation des données par les FAI et hébergeurs

Le 1^er mars 2011 était publié au Journal officiel le Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il s’agit notamment de préciser les mesures prévues par l’article 6, dans son paragraphe II, de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (implémentant elle-même en droit français les dispositions de la directive européenne 2000/31/CE).

Ce texte comprend deux chapitres principaux. Le premier vient préciser les données à conserver par les fournisseurs d’accès et les hébergeurs pour permettre l’identification des personnes qui ont contribué à la création d’un contenu sur un service de communication au public en ligne. Le second précise les modalités d’accès à ces informations dans le cadre des enquêtes administratives relatives à la prévention des actes de terrorisme. Il s’agit dans ce dernier cas d’une extension à ce contexte des dispositions existant déjà pour l’accès aux données détenues par les opérateurs de communications électroniques au titre de l’article L34-1 du code des postes et communications électroniques.

Ces données ont vocation à être accédées dans le cadre d’une réquisition judiciaire, ou d’une demande administrative prévue par la loi. On rappellera que pour l’enquête pénale, les demandes judiciaires sont notamment encadrées par les articles 60-1 et 60-2 du code de procédure pénale.

Au contraire de l’article L34-1 du code des postes et communications électroniques, il n’était pas demandé ici au pouvoir réglementaire de préciser les catégories de données qui doivent être conservées, mais de façon plus précise les données qui sont concernées par cette obligation. Ainsi, on se retrouve avec un texte à la fois plus précis que le décret portant plus généralement sur les opérateurs – cf. articles R.10-12 à R.10-22 du code des postes et communications électroniques (et qui concerne donc aussi les fournisseurs d’accès à Internet), mais difficile à comparer. On notera toutefois au passage que la durée de conservation a été uniformisée dans les deux cas à un an.

Les exemples et les précisions que je donne ici ne représentent que mon point de vue personnel sur ce texte, ils ne sauraient évidemment engager une juridiction sur son interprétation éventuelle. Toutefois, ces informations sont basées sur ma connaissance des pratiques en la matière, aussi bien du côté des prestataires techniques que des besoins des enquêteurs.

L’article 1 liste les données à conserver

Les termes utilisés dans le décret sont volontairement génériques et cherchent à maintenir une certaine neutralité technologique. L’objectif est bien dans tous les cas de contribuer à l’identification de la personne ayant publié un contenu donné.

– Pour les personnes fournissant un accès à Internet :

L’identifiant de la connexion (en pratique une adresse IP) ;
L’identifiant attribué par ces personnes à l’abonné (selon les FAI il s’agira d’un identifiant de connexion, d’un pseudonyme choisi par l’utilisateur, d’un identifiant de carte SIM ou d’un numéro de téléphone) ;
L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (l’adresse MAC de l’équipement par exemple) ;
Les dates et heure de début et de fin de la connexion (cette notion est superflue pour les FAI qui ne gèrent pas de sessions de connexion) ;
Les caractéristiques de la ligne de l’abonné (s’il s’agit d’une connexion par ADSL, par appel téléphonique RTC grâce à un modem, via un point d’accès Wifi, etc.) ;

Selon les configurations, il n’y a pas de sessions mais des accès permanents possibles pendant toute la durée de l’abonnement, dans ce cas les dates et heures de début et de fin n’ont pas de sens. En revanche, un FAI peut autoriser des modes de connexion différents pour un même abonné. Et par exemple, un même abonné pourrait se connecter de chez lui en ADSL (sans forcément de notion de début et de fin de session) et accéder ponctuellement via des points d’accès Wifi, avec une authentification et des débuts et fins de sessions.

– Pour les hébergeurs et pour chaque opération de création :

Rappelons que les hébergeurs sont, selon la loi pour la confiance dans l’économie numérique, « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ».

L’identifiant de la connexion à l’origine de la communication (adresse IP d’origine, ou toute autre information pertinente – dans une structure intégralement gérée par un opérateur de téléphonie mobile il pourrait envisager d’utiliser le numéro de téléphone mobile ou le numéro IMSI de son abonné qui publie des informations sur un site géré par le même opérateur) ;
L’identifiant attribué par le système d’information au contenu, objet de l’opération (une référence d’article ou de commentaire, l’URL ou la position dans une arborescence d’une page Web, la référence d’une petite annonce, etc.) ;
Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (accès via l’interface Web, via un accès FTP, par envoi de SMS ou MMS, etc.) ;
La nature de l’opération (création, modification ou suppression) ;
Les date et heure de l’opération ;
L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (si par exemple, la personne utilise un pseudonyme pour se connecter ou une adresse de courrier électronique, qu’il y ait une authentification ou une simple déclaration) ;

– Dans les cas où il y a un contrat, ou la création d’un compte auprès du fournisseur d’accès ou de l’hébergeur, et dans la mesure où ces données sont collectées :

Au moment de la création du compte, l’identifiant de cette connexion (par exemple, l’adresse IP depuis laquelle la personne se connecte pour créer son compte) ;
Les nom et prénom ou la raison sociale ;
Les adresses postales associées ;
Les pseudonymes utilisés ;
Les adresses de courrier électronique ou de compte associées ;
Les numéros de téléphone ;
Le mot de passe (si le système utilisé stocke le mot de passe en clair) ainsi que les données permettant de le vérifier (hashs ou autres techniques permettant de stocker de façon sécurisée un mot de passe) ou de le modifier, dans leur dernière version mise à jour ;

– Dans les cas où des opérations de paiement sont réalisées dans le cadre du service offert par le fournisseur d’accès ou l’hébergeur, et pour chaque opération de paiement :

Le type de paiement utilisé ;
La référence du paiement ;
Le montant ;
La date et l’heure de la transaction.

L’article 2 précise ce qui constitue une opération de création de contenu

« La contribution à une création de contenu comprend les opérations portant sur :

a) Des créations initiales de contenus ;
b) Des modifications des contenus et de données liées aux contenus ;
c) Des suppressions de contenus. »

L’article 3 fixe la durée de conservation

La durée de conservation de ces informations est fixée à un an à partir de chaque connexion ou contribution à un contenu. Pour la fiche reprenant les informations personnelles du compte ou du contrat, elles doivent être conservées un an après la clôture de ce compte.

L’article 4 précise les conditions de conservation

Il est rappelé que leur sensibilité justifie des mesures de sécurité proportionnées, conformément à l’article 34 de la loi informatique et libertés.

Les conditions de conservation doivent aussi permettre de répondre « dans les meilleurs délais » aux demandes de l’autorité judiciaire.

Conclusion

Dans la très large partie des cas, ce texte ne change rien aux pratiques existantes de la part des professionnels ou des plateformes d’hébergement y compris basées sur des logiciels libres. Pour les fournisseurs d’accès à Internet, ce sont exactement les mêmes données qu’ils conservent déjà dans le cadre de l’application de l’article L34-1 du code des postes et communications électroniques, formulées de façon différente parce que répondant à une législation distincte et des objectifs qui ne sont pas exactement les mêmes.

Pour les hébergeurs, il s’agit d’une clarification bienvenue sur ce qui pourrait leur être demandé, chacun étant concerné par les données qu’il collecte lui-même.

Ainsi, dans les situations complexes où plusieurs acteurs interviennent dans le processus d’hébergement, il leur revient de fixer – éventuellement par le biais de contrats – les responsabilités des uns et des autres et d’être en mesure d’indiquer aux autorités susceptibles de les requérir le bon interlocuteur. Par exemple, un blog et ses commentaires, même s’il est sous la responsabilité de son titulaire, peut être administré sur le plan technique par une plateforme hébergeant des milliers de blogs différents. C’est bien à elle que revient la responsabilité de conserver ces données et de répondre aux réquisitions.

Dans le cas où une personne, une entreprise, une association loue un serveur et l’administre elle-même auprès d’un « grand » hébergeur, il lui revient de le configurer (ou de le faire configurer par un prestataire) de façon à conserver les bonnes informations lorsqu’elle y installera un forum ou la possibilité de poster des commentaires. Le « grand » hébergeur évoqué ici a en revanche l’obligation de disposer des coordonnées de la personne à laquelle il loue le serveur, et éventuellement les informations de paiement.

D’ores et déjà, dans ces situations et dans la plupart des cas, les enquêteurs parviennent déjà très facilement à identifier le bon interlocuteur.

4 mars 2011 by Éric Freyssinet Cybercriminalité Juridique 14

Du spam agressif qui se propage par Skype ?

Il y a quelques minutes j’ai reçu directement dans mon client Skype un message d’un interlocuteur qui n’est pas dans ma liste de contacts. Le message contient un texte assez classique pour inciter l’utilisateur à mettre à jour son ordinateur suite à une infection supposée:

Le message incite aussi à rajouter cet utilisateur parmi ses contacts.

Son pseudo dans mon cas: instruction.upd.6 et le lien proposé pour « réparer » mon système d’exploitation « www.updatetn.com ». Le client que j’utilise est le client Skype pour Linux qui n’est malheureusement pas particulièrement tenu à jour par la société qui le développe et qui est toujours en version « bêta ».

Ce nom de domaine a été enregistré le 26 février 2011 (aujourd’hui) par un certain Mario Lipak en République Tchèque grâce aux services de la société Enom:

Domain Name: UPDATETN.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 26-feb-2011
Creation Date: 26-feb-2011
Expiration Date: 26-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 12:58:30 UTC <<<
[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: updatetn.com

Registrant Contact:
–
Mario Lipak ()

Fax:
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Administrative Contact:
–
Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Technical Contact:
–
Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 26 Feb 2011 07:33:00
Expiration date: 26 Feb 2012 02:33:00
[…]

Mise à jour 14:00

En fonction de la façon dont on se connecte à ce site, le visiteur est redirigé vers une page PHP particulière. Celle-ci contient des informations vous faisant croire que votre ordinateur a été infecté (et qui dans ce cas est fabriquée pour ressembler à une fenêtre classique de Windows) :

et charge aussi cette boîte d’avertissement:

Enfin, si vous cliquez sur l’un des messages, vous êtes redirigé vers un site d’achat en ligne http://secureonlinestore.net/… soit un nom de domaine qui ressemble au précédent par son parcours d’enregistrement, mais qui est référencé auprès d’un client habitant en Lituanie:

Domain Name: SECUREONLINESTORE.NET
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 04-feb-2011
Creation Date: 04-feb-2011
Expiration Date: 04-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 13:32:20 UTC <<<

[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: secureonlinestore.net

Registrant Contact:
SecureOnlineStore Inc.
Andrew Bradley ()

Fax:
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Administrative Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Technical Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 04 Feb 2011 10:22:00
Expiration date: 04 Feb 2012 05:22:00

Et en réalité ce site ouvre une fenêtre (IFRAME) sur un site de commerce électronique beaucoup plus ~~recommandable~~ connu (Swreg/Digital River), pour le produit « Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair » et un mondant de €15.29 (ou $19.95) avec une référence d’affiliation particulière (affil5777) qui doit être la référence de celui qui a diffusé ce spam via Skype.

Il s’agit évidemment de nous vendre du vent… Peut-être la suite nous en dira plus sur quel est le commerçant un peu douteux derrière ce stratagème.

En guise de première conclusion quelques conseils

Méfiez-vous des inconnus qui vous contactent sur vos logiciels de messagerie instantanée
Ne cliquez pas sur un lien sans être certain de sa provenance et de la volonté de celui qui vous l’envoie de le partager.
Utilisez les fonctions de vos logiciels de messagerie instantanée permettant de bloquer ou de signaler en comme émetteur de spam un contact malveillant.
Ne faites jamais confiance aux sites Web qui vous signalent que votre ordinateur est contaminé par des dizaines de logiciels malveillants.
N’installez ou n’achetez que des logiciels de sécurité (antivirus, antispyware, etc…) pour lesquels vous avez lu des recommandations provenant de publications sérieuses.

Mise à jour 17:40

En faisant quelques recherches sur le nom de ce service ou logiciel « Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair » on tombe sur un nombre de sites qui se ressemblent dans leur fonctionnalité, mais pas forcément dans leur mise en page ou leur contenu. A chaque fois il s’agit de vous offrir un service d’assistance en ligne pour réparer votre PC en cas d’incident, dont certains correspondent à ce prix de $19.95. Ces services sont-ils sérieux ? Certains semblent exister depuis longtemps, d’autres depuis très peu de temps.

Dans le cas qui nous préoccupe on est directement amené sur une page de paiement, sans explication sur la nature ou du service proposé. Arnaque en vue donc!

26 février 2011 by Éric Freyssinet Cybercriminalité Sécurité 3

Dragon de Nuit contre industries de l’énergie

Dans un document publié le 9 février 2011, les spécialistes de la société McAfee soufflent sur les braises qui aurait été allumées par un mystérieux groupe de cybercriminels dont les activités ont été surnommées « Night Dragon ». La Chine est pointée du doigt comme étant la base arrière de ces attaques, mais il semblerait qu’il faille regarder ce rapport comme une alerte utile sur les risques réels auxquels sont confrontés les systèmes d’information des entreprises tous les jours, plutôt qu’une véritable opération coordonnée.

La présentation qu’en fait George Kuntz (@george_kurtzcto, le chief technology officer de McAfee), le même jour, nous apprend que des attaques commencées en novembre 2009 auraient ciblé différentes entreprises pétrolières, pétrochimiques ou œuvrant dans le domaine de l’énergie. Ces attaques suivraient un parcours assez classique, en obtenant d’abord des accès sur les extranets des sociétés, puis compromettant les machines situées à l’intérieur des réseaux des entreprises pour finir par subtiliser des données confidentielles, en exploitant l’ingénierie sociale ou différentes failles :

Schéma des attaques proposé par McAfee

L’analyse qu’ils ont réalisée de ces attaques qui d’abord ne font que se ressembler, et en particulier des signatures des outils utilisés pour les réaliser, leur ont permis de tisser des relations d’abord techniques entre ces évènements. Toujours selon l’analyse de McAfee, ces attaques seraient exclusivement d’origine chinoise, et ils mettent notamment en avant la présence des outils utilisés sur des forums où sévissent uniquement des « crackers » chinois (apparemment on y rencontre aussi des spécialistes de chez McAfee 🙂 ), ou les créneaux horaires correspondant aux pics d’activité.

Le 17 février prochain, George Kurtz et Stuart McClure (@hackingexposed) présenteront notamment les résultats qui sont ici dévoilés lors de la Conférence RSA 2011.

Cette annonce n’est pas sans rappeler l’annonce du ver Stuxnet au début de l’été 2010, en ce qu’il s’agit de s’en prendre ici à des industries de l’énergie, mais cela semble être le seul point commun, puisque les systèmes de commande industrielle (SCADA) ne sont pas au coeur de l’attaque. Il s’agirait plus classiquement d’opérations visant à collecter des secrets dans ces entreprises.

Ce n’est pas non plus la première fois que la Chine est accusée d’être à l’origine d’attaques de grande envergure, comme en septembre 2007 lorsque le Pentagone américain accusait le gouvernement chinois d’avoir organisé des agressions graves contre leurs systèmes informatiques ou lorsque Google, en Janvier 2010, accusait le gouvernement chinois d’avoir commandité des attaques contre ses systèmes pour y voler des données confidentielles (l’opération a été surnommée Aurora). Il faut avouer qu’avec plus de 400 millions d’internautes et une éducation technique avancée, il est logique que la Chine, comme d’autres pays soient à l’origine de nombre d’attaques. Beaucoup de spécialistes toutefois rappellent que les ordinateurs chinois, nombreux et pas toujours parfaitement sécurisés, pourraient aussi servir de paravent à des attaques provenant d’autres régions du Monde.

Sur le blog de Sophos, Fraser Howard, questionne l’analyse et les preuves présentées par McAfee. Le regroupement sous une même bannière du « Dragon de Nuit » des logiciels malveillants utilisés lui semble pour l’instant artificielle, même si ces attaques ont bien eu lieu. Il n’est notamment pas démontré que celles-ci ciblent plus particulièrement l’industrie de l’énergie, peut-être cela est-il le résultat d’une détection plus précoce dans ces entreprises, qui ont fait appel à McAfee.

En conclusion, comme beaucoup de commentateurs, je dirais que la publication de ce rapport vient surtout nous rappeler la nécessité de correctement sécuriser les réseaux des entreprises (sensibilisation des utilisateurs, utilisation de logiciels de sécurité et notamment d’antivirus, si l’enjeu le justifie outils de détection d’intrusion, etc.), c’est d’ailleurs très certainement l’objectif de McAfee : démontrer au travers d’un exemple particulier l’importance de la menace. Mais peut-être des informations à venir, non encore révélées par McAfee viendront-elles soutenir la thèse d’une véritable opération « Night Dragon ».

15 février 2011 by Éric Freyssinet Cybercriminalité Sécurité 1

Atelier de l’AFNIC sur les noms de domaines internationalisés

Le 10 février 2011 à Paris, l’AFNIC – Association française pour le nommage Internet en coopération, organisait un atelier d’étude sur les noms de domaines internationalisés. Ce fut l’occasion de faire le point sur les projets de l’AFNIC dans ce domaine et les différents enjeux que cela ne manquera pas de soulever pour l’ensemble des acteurs.

L’atelier a duré près de 4 heures et s’est déroulé en trois parties: d’abord une introduction sur le sujet par Stéphane Bortzmeyer, suivie de deux tables rondes. La première table ronde a permis d’évaluer les attentes de la communauté des utilisateurs, tandis que la seconde portait sur les aspects opérationnels du lancement de cette nouvelle capacité des noms de domaine en .fr.

Les noms de domaine internationalisés

Stéphane Bortzmeyer (@bortzmeyer, blog) a publié le diaporama de son introduction. Ce qu’il faut retenir selon moi est qu’on est en train de déployer progressivement (depuis la première moitié des années 2000), dans les infrastructures de gestion des noms de domaines, la possibilité d’utiliser des caractères autres que les lettres de l’alphabet latin de a à z et les chiffres de 0 à 9. Ainsi, on voit apparaître des sinogrammes, des caractères cyrilliques ou du sanscrit dans les URL:

http://президент.рф/ (site du président russe, on notera au passage le domaine de tête internationalisé aussi « рф » pour « fédération de russie » et en complément du « .ru » classique)
http://müller.de/ (93 caractères supplémentaires ont été rajoutés pour le domaine de tête .de de l’Allemagne, y compris le « ß »)
ou bien en arabe http://وزارة-الأتصالات.مصر/ ou encore en coréen http://휴대폰.com/

Le domaine de tête européen « .eu » a ouvert la création de noms de domaines internationalisés dans les langues des 27 pays membres de l’Union Européenne en décembre 2009. Ainsi http://www.crimenumérique.eu/ redirige-t-il vers le présent blog 🙂

Sur le plan technique, et normalement de façon transparente pour l’utilisateur, les différentes chaînes de caractères ne sont pas directement implémentées dans le protocole DNS mais sont transformées à nouveau en chaînes de caractères ASCII. Ainsi, le RFC 3490 prévoit un encodage « compatible ASCII » ou ACE des chaînes de caractères Unicode (voir l’article de Wikipédia sur le punycode et le RFC 3492). Un préfixe a été choisi en 2003 pour identifier ces noms de domaines internationalisés, il s’agit de « xn--« . Ainsi www.crimenumérique.eu est-il représenté par www.xn--crimenumrique-ihb.eu.

Résumé de l’atelier

Voici quelques points clés que j’ai retenus de cet atelier:

L’AFNIC envisage de lancer les noms de domaines internationalisés pour le domaine de tête « .fr » d’ici la fin de l’année 2011;
La décision n’est pas encore prise sur les chaînes de caractères qui seront autorisées. Le débat a permis d’entendre plusieurs arguments pour ou contre la prise en charge – en plus des caractères diacritiques essentiels de la langue françaises, ceux des langues régionales, des langues parlées dans les pays européens voisins ou ceux des langues parlées en France de façon plus générale (comme l’arabe dialectal ou le chinois par exemple). Mon analyse personnelle est qu’il est vraisemblable que dans un premier temps l’ouverture se fera d’abord sur les caractères accentués classiques du français.
Il semble se dégager un consensus – en tous cas au cours de cet atelier – pour un lancement le plus simple possible, donc éventuellement sans période de « lever de soleil » et en tous cas de prendre au moins en compte les titulaires préalables des domaines « non accentués » pour l’attribution des nouveaux « avec accents ». Mais la question n’est pas aussi simple qu’il y paraît, les accents apportant des nuances de sens parfois importantes (voir les exemples dans la présentation de Stéphane Bortzmeyer).
Les préoccupations des détenteurs de marques sont importantes, et si évidemment cette ouverture crée de nouvelles opportunités en termes de communication, il leur paraîtrait judicieux de ne pas faire débuter toutes les réformes en même temps (l’AFNIC confirmait aussi l’ouverture à venir, au profit des entreprises européennes et des personnes demeurant en Europe, du domaine de tête « .fr »).
Deux notes techniques au passage: il restera des subtilités de la langue française qui ne pourront pas être prises en compte telles que certains caractères spéciaux comme les apostrophes ou les majuscules qui donnent parfois un sens différents aux mots en français (différence entre État et état), et si les noms de domaines prennent en compte les polices de caractères avancées, il n’existe pas encore de standard stabilisé pour la gestion de ces caractères dans la partie locale (avant l' »@ ») des adresses de courrier électronique.
Enfin, Cédric Manara (@cedricmanara, blog) met à disposition des internautes la présentation qu’il a faite et qui comporte une étude des litiges traités par l’UDRP sur des noms de domaines internationalisés.

Enjeux pour les enquêteurs

Les enjeux pour les enquêteurs (mais aussi évidemment, les experts judiciaires, les magistrats ou toutes les personnes qui réalisent des investigations numériques) sont multiples:

Bien entendu, il s’agit d’abord de se tenir informé de ces évolutions qui seront de plus en plus rencontrées (on peut aussi citer l’arrivée des adresses IP v6).
Ensuite, comme tout un chacun, ils seront confrontés à la non-adaptation des outils du quotidien (navigateurs Internet, logiciels de messagerie) ou des outils spécialisés (de nombreuses interfaces Web de whois ne sont pas encore correctement paramétrées).
Enfin, et surtout, cette évolution multiplie les possibilités d’erreurs, notamment lors de la retranscription des adresses. Ainsi, les témoignages des victimes, les copies d’écran, les fax etc. ne permettront pas toujours de distinguer plusieurs adresses semblables. En effet, même si les adeptes du phishing n’exploitent pas réellement les attaques par homographie (mots qui se ressemblent), le risque de confusions est réel. Même si cela est possible aujourd’hui lorsqu’on retranscrit la lettre « l » minuscule plutôt que le chiffre « 1 », les variations explosent. Et bien évidemment ce sera plus complexe pour un enquêteur français de recopier des idéogrammes chinois que pour un enquêteur chinois. La recommandation principale sera de favoriser soit les échanges électroniques (que ce soit avec les victimes ou avec les opérateurs auxquels on adresse questions ou réquisitions) et l’utilisation de la conversion en caractères ASCII (les chaînes commençant par « xn--« ).

En conclusion, je tiens à remercier l’AFNIC et les participants aux tables rondes pour cet atelier particulièrement instructif, qui m’a permis, même si je connaissais ce problème, d’avoir l’occasion d’y consacrer plusieurs heures de réflexion et d’échanges. Enfin, je ne peux que conseiller à mes lecteurs de continuer de se tenir informés de ces différentes évolutions qu’ils soient de simples utilisateurs et titulaires de noms de domaines ou des personnes chargées de missions d’investigation numérique. L’AFNIC devrait continuer la démarche de dialogue et d’information entreprise dans les mois à venir, avant le lancement effectif de cette nouvelle offre, mais n’oublions pas que c’est déjà aujourd’hui une réalité dans de nombreux domaines de tête et en particulier en Europe…

11 février 2011 by Éric Freyssinet Conférences Prospective 3

Ouverture de la licence professionnelle NTECH

La gendarmerie nationale forme ses enquêteurs dans de nombreux domaines: la délinquance économique et financière, les atteintes à l’environnement et à la santé publique, l’analyse criminelle, etc.

Depuis 2001, après une première phase expérimentale, son centre national de formation de la police judiciaire (CNFPJ à Fontainebleau) accueille des stagiaires dans le domaine de la lutte contre la cybercriminalité: les enquêteurs « NTECH » ou « enquêteurs en technologies numériques ».

Progressivement cette formation s’est enrichie et en 2005 un partenariat fut noué avec l’université de technologie de Troyes, avec la création d’un diplôme d’université et la réalisation d’une partie des cours à Troyes. D’autres partenariats existent déjà, par exemple avec l’université de Strasbourg pour la formation en délinquance économique et financière. Le partenariat avec l’UTT permet d’ores et déjà aux gendarmes NTECH les plus expérimentés d’accéder au Master SSI de cette université.

Dans le même temps, des projets successifs, financés par l’Union européenne, ont permis (toujours depuis 2001) aux services spécialisés des différents états membres de l’Union Européenne d’échanger sur des bonnes pratiques en matière de formation à la lutte contre la cybercriminalité. La gendarmerie nationale a participé à ces travaux depuis le début. Ils ont permis de développer ensemble des modules de formation (comme celui sur l’analyse forensique des systèmes vivants que j’évoquais en 2009). Ils ont aussi conduit à définir ensemble une stratégie visant à développer les partenariats académiques pour ces formations et ainsi les enrichir et les consolider. Ce travail collectif se poursuit depuis 2007 dans le cadre de l’European cybercrime training and education group (site Web en cours de développement).

Ce travail commun a permis à la gendarmerie nationale et à l’UTT de construire aujourd’hui ensemble une véritable formation diplômante, reconnue depuis cette année par le Ministère de l’Education Nationale, la licence professionnelle d’Enquêteur en technologies numériques. Ainsi, chaque année dorénavant, la vingtaine de stagiaires qui finalisent avec succès l’ensemble des modules théoriques et pratiques recevront une licence professionnelle. Les premiers concernés feront leur rentrée le 17 janvier prochain à Fontainebleau et poursuivront leur année de formation en alternant les séjours à l’UTT avec ceux réalisés au CNFPJ, des modules de formation à distance, les travaux pratiques dans leurs unités et pour finir la rédaction d’un mémoire.

4 janvier 2011 by Éric Freyssinet Cybercriminalité Formation 0

27C3 – Jour 1

Du 27 au 30 décembre 2010, le 27ème Chaos Communication Congress se tient à Berlin. Le programme de la première journée est accessible en ligne et les sessions diffusées en direct. On peut aussi en suivre l’actualité sur twitter @27c3. Les enregistrements des conférences seront notamment référencés sur ce wiki.

L’an dernier je vous avais proposé de partager mon suivi de la conférence 26C3 en direct ou en différé, au long de quatre billets de ce blog (1, 2, 3 et 4).

Keynote, Rop Gonggrijp, We come in peace

L’ouverture était confiée cette année à Rop Gonggrijp (@rop_g, et sur Wikipédia) avec un retour sur les évènements des années précédentes, son travail notamment sur les faiblesses des systèmes de vote électronique, son point de vue sur les développements de Wikileaks et les errements des Anonymous. Enfin il a conclu sur le souhait de voir le Chaos Communication Congress continuer d’être un succès et ses organisateurs d’être à l’écoute de la communauté.

Voir son billet sur le blog du conférencier.

(MAJ 14:26 27/12/2010)

Jérémie Zimmermann, Quadrature du Net, sur l’ACTA
Nathan Fain & Vadik, sur les outils d’analyse JTAG (plus d’infos ici)
Ilja van Sprundel, Hacking smartphones
Bruce Dang & Peter Ferrie, Adventures in analyzing Stuxnet
…

(MAJ 30/12/2010)

Lexi Pimenidis (idev), Dominik Herrmann (University of Regensburg), Contemporary profiling of Web users, ou comment les techniques d’anonymisation peuvent être contournées

Dans cette présentation, les auteurs montrent

l’utilisation de Javascript pour obtenir des informations personnelles comme l’adresse IP réelle de connexion, malgré l’utilisation de proxies d’anonymisation;
la collecte d’informations sur les profils des utilisateurs par les proxies d’anonymisation, les serveurs DNS alternatifs (Google, OpenDns) et les points de sortie Tor; l’idée est ici d’analyser statistiquement les sites visités et d’autres caractéristiques au cours d’une session de navigation pour l’associer à un utilisateur donné et ainsi le suivre sur plusieurs sessions, plusieurs jours…;
la détection de bots par leur comportement ou leur signature (notamment des exemples intéressants de différences de présentation des champs d’en-tête par différents types de vrais navigateurs en comparaison à des bots qui simulent des navigateurs Web);
un type d’attaque locale (donc sur le réseau local de l’ordinateur surveillé) sur Tor qui permet de mesurer quels sont les sites visités à partir de l’analyse du trafic, alors même que ce protocole d’anonymisation est utilisé;

Marc « van Hauser » Heuse, Recent advances in IPv6 insecurities

Présentation particulièrement intéressante et fouillée des erreurs de conception inhérentes à IPv6, qui vient compléter celle qu’il avait déjà faite voilà cinq ans (on peut la télécharger sur son site). Ce protocole qui a été conçu voilà une quinzaine d’années a tout d’abord hérité de certaines faiblesses d’IPv4 et évidemment permet de nouvelles formes d’attaques. L’auteur a développé un ensemble d’outils (THC-IPv6) qui permettent de faire différentes expérimentations sur IPv6 et notamment d’exploiter certaines de ces failles. On citera notamment des possibilités d’attaques en déni de service sur des réseaux locaux par le lancement d’annonces de routage et plusieurs façons de rediriger le trafic. Enfin, van Hauser montre de façon particulièrement pertinente que contrairement à l’idée qu’on pourrait en avoir, le nombre réel d’hôtes à scanner sur un sous-réseau est nettement inférieur à son nombre théorique (quelques milliers par rapport à 2^⁶⁴), notamment parce que dans de nombreux cas, les numéros alloués aux hôtes ne sont pas donnés au hasard (adresse MAC, type de serveur par son numéro de port typique comme 80 pour le Web, numérotations proposées dans les documentations…).

Collin Mulliner (@collinrm) & Nico Golde, Berlin Institute of Technology, SMS-o-death

L’idée de cette présentation est de regarder les vulnérabilités liées aux SMS sur les « feature phones », c’est-à-dire les téléphones mobiles les plus communs encore aujourd’hui, malgré l’essor des smartphones. Moins coûteux, ils ont quand même un grand nombre de fonctionnalités intégrées. Tous ces téléphones étant souvent basés sur une architecture commune, par économie de développement pour les fabricants, un défaut sera reproductible sur de nombreux modèles différents. Ils ont ainsi étudié des téléphones de chez Nokia, Samsung, Sony Ericsson, LG, Motorola et Micromax (populaire en Inde).

Les SMS sont un vecteur évidemment intéressant pour les attaques, puisqu’il peut être émis depuis n’importe quel endroit. L’année dernière, Collin Mulliner avait présenté des insertions de SMS pour attaquer des smartphones. Pour leurs expérimentations, ils ont utilisé OpenBSC (présenté au SSTIC par H. Welte), une implémentation libre de contrôleur de station de base GSM et les ont menées dans une cage de Faraday.

Les failles découvertes montrent qu’il est possible de faire planter tous les modèles de téléphones testés à différents degrés, avec un ou plusieurs SMS, parfois sans nécessiter que l’utilisateur ouvre le message (messages Flash). Dans certains cas le téléphone n’accusant pas réception du SMS, le réseau renvoie le message rendant le téléphone inutilisable tant que le SMS n’est pas accepté en insérant la carte SIM dans un terminal d’un autre fabricant.

Ils ont ensuite conclu sur des scénarios d’attaques massives qui pourraient utiliser ce mécanisme pour s’en prendre à un opérateur ou à une foule d’utilisateurs.

A suivre… (je mettrai à jour ce billet au fur et à mesure du visionnage des conférences ce qui pourrait prendre une bonne semaine !)

27 décembre 2010 by Éric Freyssinet Conférences 0