Facebook

Dénoncer les atteintes aux mineurs sur Internet

Un des points de départ de la réflexion sur cet article, est la question de savoir s’il faut réagir aux actions de certaines personnes se réclamant des Anonymous et qui montent différentes opérations contre des sites pédophiles, propédophiles, diffusant des images ou des discussions en rapport avec ces sujets (voir l’article du Monde.fr).

Que se passe-t-il? Des personnes publient des listes de noms, d’adresses électroniques, voire d’adresses postales qui auraient été retrouvées sur différents espaces de discussion, ou d’échanges en rapport avec les atteintes aux mineurs. Par ailleurs, ils s’en prennent à certains de ces sites pour en empêcher le fonctionnement, voire à certains hébergeurs. Enfin, l’information est relayée dans la presse est l’une des questions qui se pose est de savoir s’il peut y avoir des suites judiciaires. Les personnes qui critiquent ces actions se voient parfois reprocher d’être favorables aux pédophiles.

Pour l’instant, il semblerait que sont essentiellement concernés des personnes résidant en Belgique ou aux Pays-Bas.

Beaucoup de problèmes sont soulevés par ces actions:

  • ceux qui les réalisent commettent différentes infractions et ils pourraient être mis en cause ;
  • de façon générale, il n’est pas du rôle du public de mener des enquêtes, mais celui des autorités judiciaires, dans le cadre prévu par la loi qui préserve les droits des individus et la présomption d’innocence ;
  • au passage, des personnes totalement innocentes peuvent voir leur identité mise en relation avec des infractions qu’ils n’ont pas commises, qu’il s’agisse d’erreurs d’appréciation, d’absence de preuves, de pseudonymes ou d’homonymes ;
  • il n’est pas certain que cela puisse permettre des enquêtes judiciaires, selon les circonstances et selon les pays ;
  • des enquêtes judiciaires en cours pourraient être compromises, notamment s’agissant d’opérations visant à infiltrer ce type de plateformes.

Sur Twitter aussi

Ce qu’il ne faut pas faire sur Twiter

Une autre série de débats est née de multiples « retweets » ces derniers jours appelant à signaler des comptes Twitter soupçonnés soit très clairement de diffuser des images à caractère pédopornographique, soit d’être favorables à la pédophilie. On pourra notamment lire l’article du Figaro à ce sujet et un article de blog cité par cet article (blog de Paul da Silva).

Que font les services d’enquête et la justice ?

L’action dans ce domaine est quotidienne et résolue, en Europe et plus particulièrement en France. La législation française est particulièrement claire, réprimant tout aussi bien la pédopornographie que les propositions sexuelles à des mineurs de moins de quinze ans. La pédopornographie est toute représentation pornographique mettant en scène des mineurs (c’est-à-dire des personnes de moins de 18 ans). Sont interdites la fabrication de ces documents (images ou vidéos notamment), leur diffusion ou encore leur détention ou leur consultation habituelle. Plusieurs dizaines d’enquêteurs de la police et de la gendarmerie ont été formés en France depuis le vote de la loi sur la prévention de la délinquance en 2007 aux investigations sous pseudonyme qui permettent notamment de mener des enquêtes dans des espaces de discussion destinés à préparer ou réaliser de telles infractions contre des mineurs.

L’action judiciaire se déroule la plupart du temps avec une certaine discrétion pour préserver les droits de l’ensemble des parties, qu’il s’agisse des victimes ou des mis en cause. Certaines affaires sont médiatisées pour sensibiliser le public sur cette action et contribuer à la prévention de tels faits, ou parce qu’elles se sont déroulées sous le regard du public. Au passage, contrairement à ce qui a pu être écrit dans la presse récemment, ce n’est certainement pas la semaine dernière « la première fois » qu’un compte Twitter a été fermé pour diffusion de contenus pédopornographiques.

Que peut faire le public contre les atteintes aux mineurs sur Internet ?

Il est important de se tenir informé sur les risques, notamment si l’on est parent ou que l’on s’occupe d’enfants. Il est important dans ce contexte de maintenir un dialogue avec les enfants sur leur pratique de l’Internet et selon leur âge de contrôler éventuellement cet usage (par exemple avec l’aide d’un logiciel de contrôle parental, mais ce ne sera jamais suffisant).

Si on découvre des faits qui semblent relever d’infractions de cette nature, la seule bonne solution est de les signaler aux services chargés d’enquêter sur ces faits. En France, la plateforme de signalement conjointe à la police et à la gendarmerie est hébergée par l’OCLCTIC et joignable à l’adresse: https://www.internet-signalement.gouv.fr/. En Belgique, l’adresse est https://www.ecops.be/. Une vérification systématique est réalisée sur les signalements transmis à cette équipe et si une enquête est justifiée elle sera rapidement confiée à un service spécialisé. D’autres canaux existent pour la dénonciation de contenus illicites de ce type, notamment le Point de contact de l’AFA en France (et le lien présent obligatoirement depuis la page d’accueil de tout FAI ou hébergeur en France), ou encore le réseau INHOPE.

Il ne faut surtout pas rediffuser l’adresse de ces contenus (qu’il s’agisse de l’adresse d’un site Web ou le pseudonyme d’un compte Twitter) à d’autres en appelant à les « dénoncer en masse ». D’abord c’est contre-productif, parce que l’objectif est justement que ce type de contenu ne puisse être visible et qu’une seule dénonciation suffit à ce qu’un contenu soit évalué, notamment sur les plateformes de signalement officielles. Ensuite, on risque de soi-même commettre une infraction : pour diffamation si la situation a été mal évaluée (on retweete souvent ce type de message sans vérifier, ce qui semble normal) ou bien a contrario si l’on facilite la diffusion du contenu illégal (ne pas oublier que Twitter est un média mondial et qu’on est en principe lu et lisible par tout le monde).

Rajoutons que sur Twitter en particulier (voir la page d’information), comme sur Facebook (pages d’aide), on peut directement signaler un contenu préjudiciable par différentes fonctions (Lien « Signaler ce contenu » à côté d’une vidéo ou d’une image sur Twitter, ou lien « Signaler » dans le menu déroulant de chaque contenu sur Facebook).

Si un enfant est manifestement en danger immédiat, il faut prévenir rapidement des services capables de traiter urgemment la situation, par exemple en composant le 17 ou le 112 en France ou encore le 119 Allo Enfance en Danger (le 119 est joignable 24h/24 et 7 jours sur 7). Voir sur Wikipédia la liste des numéros d’urgence selon votre pays.

Enfin, si l’on souhaite s’investir durablement, différentes associations contribuent en France et ailleurs à la lutte contre les atteintes aux mineurs sur Internet. On peut citer sans ordre de préférence la Fondation pour l’EnfanceAction Innocence ou encore e-Enfance, et il y en a d’autres abordant ces questions sous différents angles.

Lendemain de SSTIC

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

  • DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
  • Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
  • E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
  • Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
  • Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
  • F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
  • H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
  • J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
  • C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
  • Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA 🙂 !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

  • Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
  • Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
  • Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

C’est la rentrée – attaques DDoS sur Twitter ?

Image du blog de Cyxymu

Image du blog de Cyxymu

Les vacances sont finies pour moi ou presque, l’actualité n’a pas été particulièrement active. J’ai continué d’alimenter la liste de signets que vous voyez dans la colonne de gauche du présent blog (sous le titre : « Mes derniers bookmarks »).

Un « événement » a fait la une de l’actualité, y compris dans les principaux journaux français (Le Monde par exemple et plus ici), à savoir l’attaque dont Twitter et Facebook ont été victimes. Je suis presque contraint de l’évoquer, tout en soulignant que des attaques en déni de service sont quotidiennes sur Internet, mais ce n’est pas réellement là le sujet.

Une attaque en déni de service distribué (plus d’explications sur Wikipédia), tout d’abord, consiste à empêcher l’accès des usagers légitimes d’un service sur Internet (donc par exemple un site Web tel que Twitter ou Facebook, ou votre blog personnel) en initiant des connexions multiples depuis plusieurs endroits sur Internet (d’où la notion de distribution).

Ce type d’attaque a été rendu célèbre par les événements survenus en Géorgie l’année dernière, où des attaques coordonnées contre les sites Web gouvernementaux ont accompagné les tensions militaires avec la Russie du mois d’août 2008. C’est donc assez logiquement qu’une explication politique a été trouvée à cette attaque contre Twitter et Facebook. En effet, l’hypothèse d’un attaque ciblant Cyxymu, un abonné Géorgien de Twitter et Facebook et s’exprimant pour l’indépendance la défense d’intérêts liés à la situation de l’Abkhazie s’est très rapidement propagée.

Évidemment, l’utilisation croissante de ces sites par des personnalités du monde politique n’est pas pour rien dans cette médiatisation de l’incident. Et la politique est souvent évoquée dans le cas d’attaques rendues publiques au cours des trois dernières années. La torpeur de l’été y est sans doute aussi pour quelque chose et cela montre aussi l’intérêt des médias pour ces nouvelles formes de communication et de diffusion de l’information.

La réalité des attaques en déni de service est qu’elles sont quotidiennes sur Internet. Les botnets, par exemple, que j’ai évoqués à plusieurs reprises ici, permettent ce genre d’attaques. Ces types de services sont même commercialisés par des groupes criminels pour quelques dizaines ou centaines de dollars, vantant la possibilité d’empêcher le fonctionnement du site Web de son concurrent. Certains (comme Max Kelly, directeur de la sécurité chez Facebook, répondant ici à CNet News), ont émis l’hypothèse que cette attaque particulière aurait été rendue possible grâce à la diffusion de spams supposément émis par Cyxymu et conduisant des milliers d’usagers à se connecter en même temps sur son « tweet » (blog de Cyxymu).

L’explication est-elle convaincante ? L’information sur la coïncidence entre le spam visant Cyxymu et les incidences sur Twitter et Facebook est perturbante, parce qu’elle vise encore la Russie ou plutôt des citoyens Russes, mais sa source est intéressante : Max Kelly a certainement accès aux journaux des serveurs Web de sa société (Facebook) et donc à l’origine des clics qui ont conduit à cet incident, où en tous cas d’une partie d’entre eux.

Cette affaire mérite-t-elle un tel intérêt ? Oui, au sens où la défaillance pendant plusieurs heures d’un site Web aussi utilisé (et utile selon les points de vue) que Twitter en tant que telle est un événement. Les protections contre les attaques en déni de service ne sont pas facile à mettre en œuvre et supposent souvent d’installer des infrastructures supplémentaires en amont des serveurs Web pour filtrer les requêtes problématiques. Il semblerait que dans ce cas il s’agissait – au moins partiellement – de connexions légitimes provenant d’internautes réels utilisant leur propre navigateur : il paraît difficile d’imaginer de filtrer de telles connexions (il faudrait filtrer au niveau applicatif, à savoir sur la base du contenu de la requête lui-même – l’adresse de la page demandée – qui est quasiment le même pour tous les clics).

En tous cas, il sera essentiel que des dispositifs plus efficaces soient inventés pour lutter contre les attaques en déni de service, notamment dans le cas de serveurs utilisés par autant d’internautes dans le monde. Le « cloud computing », c’est-à-dire le développement de technologies qui permettent de stocker toutes ses données dans des serveurs accessibles et exploitables de partout sur Internet n’est pas viable à long terme dans de telles conditions (on voit combien les incidents dont souffrent parfois les plateformes de Google fait douter ses usagers).

PS: Information incidente révélée aujourd’hui par Jose Nazario de chez Arbor Networks (origine ici). Celui-ci a découvert pendant des investigations sur cette affaire d’attaque en déni de service contre Twitter, que des comptes Twitter sont utilisés par des criminels Brésiliens comme outil pour diffuser les commandes à destination d’un botnet, dont la fonction est vraisemblablement la collecte illégale de données personnelles.