Cybercriminalité, analyse criminalistique des systèmes numériques
24 mai 2010 Laisser un commentaire
Ce court billet pour saluer l’annonce au cours de la semaine passée de la fermeture définitive de l’hébergeur malhonnête 3FN suite à une démarche judiciaire de la Commission fédérale du commerce (FTC) américaine.
J’avais évoqué cette affaire voilà quelques mois sur ce blog.
La nouvelle est décrite sur différents blogs et journaux d’information en ligne: eWeek Security Watch, Graham Cluley, Network World, SunBelt Blog.
21 avril 2010 Laisser un commentaire
Ce court article pour continuer de vous informer sur l’affaire CallService, au travers d’informations glanées dans un autre article publié aujourd’hui. (voir mon article précédent sur le sujet)
On y apprend que l’analyse de l’adresse IP derrière laquelle était hébergé callservice.biz diffusait aussi:
On y apprend surtout quelques réactions relevées sur des sites de l’underground russophone :
21 avril 2010 Un commentaire
Les autorités américaines ont annoncé hier avoir entamé les procédures de mise en accusation (voir le document de la cour du district sud de New York) du biélorusse Dmitry N. qui est soupçonné, avec son complice Sergey S., d’être le gérant du site callservice.biz.
Le service qu’ils offraient sur ce site consistait à procéder à des appels téléphoniques de confirmation en langue allemande ou anglaise, avec une voix d’homme ou de femme. Ces appels sont parfois réalisés par les banques pour vérifier des transactions d’un montant important ou changer des informations personnelles. Chaque appel réussi était facturé $10.
Aujourd’hui le site n’est plus opérationnel:
En effet, il a fait l’objet d’une prise de contrôle par le FBI américain, sur l’ordre de la justice de l’État de New York.
Dmitry N. a été interpellé jeudi 15 avril en République Tchèque, tandis que Sergey S. était interpellé en Biélorussie (ou il a été mis en accusation). Dans le même temps, les autorités lithuaniennes procédaient à la saisie des serveurs informatiques où était hébergé callservice.biz ainsi que cardingworld.cc.
Leurs activités duraient depuis juin 2007 (le domaine callservice.biz a été créé le 28 juin 2007). Il aurait permis à plus de 5400 occasions (donc pour un chiffre d’affaires de l’ordre de 54.000 dollars) à des délinquants (plus de 2000 « clients » satisfaits selon le site criminel lui-même), non anglophones ou non germanophones, ayant mis la main sur des données personnelles de conduire des transactions poussées avec des établissements bancaires. Il leur suffisait de fournir nom, adresse, date de naissance, numéro de sécurité sociale, et autres informations en leur possession.
Nous avons donc maintenant un acteur de plus à rajouter dans la liste des participants à la fraude organisée sur Internet, l’interprète ou peut-être l’acteur (proposez des noms, je n’ai pas de traduction satisfaisante pour beaucoup des autres acteurs comme les « pasteurs » – herders en anglais – de botnets). Les détails qui ont été fournis par les autorités américaines ne permettent pas de savoir s’il s’agissait de personnes recrutées par Internet ou dans l’entourage des auteurs principaux.
D’autres articles sur cette affaire:
Brian Krebs fait référence à d’autres services similaires dont peut voir les annonces sur Verified.ru (un forum similaire à CardingWorld): Atlanta Alliance et Aegis Team (géré par un certain CallsManager). Tous deux offrent aussi à la vente un certain nombre de produits (à acheter avec une carte bancaire volée et qui peuvent être ensuite revendus sur Ebay…) ou mettent en relation des mules et leurs clients. Un véritable boom donc dans les services aux criminels de l’Internet.
Atlanta Alliance (capture réalisée par B. Krebs)
11 janvier 2010 Laisser un commentaire
La gendarmerie nationale publie sur son site Web une brève relatant les résultats d’une investigation menée conjointement par les gendarmes de Grasse et la police judiciaire de Nice.
Ainsi, 3 personnes ont été interpellées mardi 05 janvier 2010 à Pégomas (06). Elles sont soupçonnées d’avoir été exploitées comme mules pour renvoyer les colis illégalement acquis grâce à des numéros de cartes bancaires volés, qu’elles reconditionnaient pour les renvoyer vers la Côte d’Ivoire ou le Mali.
Ces personnes avaient été recrutées par Internet pour exercer une forme de « travail à domicile » qui devient malheureusement de plus en plus courante et qui constitue des actes de complicité et de recel de vol et d’escroquerie. Elles risquent 10 ans de prison et 750.000 € d’amende, en fonction des infractions qui seraient éventuellement retenues contre elles.
Ne tombez pas dans le panneau : il n’existe pas de métier légal et facile consistant à renvoyer de l’argent ou des biens reçus dans son compte bancaire ou sa boîte aux lettres au profit d’une soi disant entreprise d’importation ou d’un nouvel ami qui vous aura recruté sur Internet. Il s’agira toujours d’une escroquerie.
1 janvier 2010 Laisser un commentaire
17 août 2009 Un commentaire
I Bari, Le Caravage (c. 1594)
La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.
Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.
Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.
Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.
La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.
Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.
La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.
13 juin 2009 Laisser un commentaire
Ministère de la culture
La loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet a été publiée ce matin au journal officiel. Son texte, résultant des débats au Parlement et de la censure récente du Conseil constitutionnel est consultable sur le site Légifrance.
L’objet principal de cette loi est la création de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI), qui reprend les missions de l’Autorité de régulation des mesures techniques. Il s’agira d’une autorité administrative indépendante, disposant de la personnalité morale.
Son bras armé, la commission de protection des droits, sera saisie des signalements présentés par les agents assermentés désignés par :
Elle peut également agir sur la base d’informations transmises par les procureurs de la République et ne peut être saisie de faits remontant à plus de six mois. On notera au passage qu’elle ne pourra donc pas agir sur ses propres constatations, il revient donc bien aux ayants-droit d’exercer les opérations de détection des contrevenants.
Ces signalements porteront sur les manquements à l’obligation du nouvel article L336-3 du code de la propriété intellectuelle :
La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.
Le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé.
Il s’agit donc de repérer les connexions Internet qui servent à diffuser des contrefaçons d’œuvre de l’esprit.
Suite à ce signalement, les agents de la commission de protection des droits pourront demander aux fournisseurs d’accès à Internet les informations permettant d’identifier les titulaires des abonnements et leur adresser ensuite des messages de sensibilisation. La commission de protection des droits est autorisée à constituer un traitement de données personnelles (dont les détails doivent être définis par un décret en Conseil d’État pris après avis de la Commission nationale informatique et libertés) pour permettre un suivi de ces activités.
Suite à la décision du Conseil constitutionnel du 10 juin 2009, ce manquement n’est susceptible d’aucune sanction pénale ou administrative. Le gouvernement a annoncé des travaux à venir sur une loi permettant à des magistrats de l’ordre judiciaire de prononcer les sanctions envisagées, dont il semblerait qu’il pourrait s’agir de la suspension de l’accès à Internet.
Il est important de rappeler que la contrefaçon est toujours une infraction pénale punie dans le code de la propriété intellectuelle de trois ans d’emprisonnement et de 300000 € d’amende (peine éventuellement aggravée en cas de bande organisée, jusqu’à cinq ans d’emprisonnement et 500000 € d’amende).
C’est cette peine que risquent les organisateurs du réseau Snowtigers qui ont été interpellés par la gendarmerie nationale au cours des derniers mois.
6 juin 2009 2 commentaires
3FN
J’ai déjà pu évoquer plusieurs cas de fermetures d’hébergeurs malhonnêtes aux États-Unis cette année, notamment le cas de la société McColo. Cette semaine, un nouveau cas avec la société « Pricewert LLC » (société basée à Belize) et une évolution dans le processus qui a conduit à la fermeture de cet hébergeur : l’action résolue des services en charge de la protection des consommateurs et de la régulation du commerce aux USA (la FTC ou Federal trade commission).
On apprend donc jeudi, dans un communiqué de la FTC, qu’elle a obtenu en justice la fermeture de cet hébergeur qui exerce ses activités sous plusieurs dénominations (3FN et APS Telecom). L’investigation menée par la FTC aurait permis de démontrer que cette société aurait des liens avec des groupes criminels impliqués dans la distribution de logiciels malins, la distribution de pornographie enfantine ou des centres de commande de botnets.
La notion d’hébergeur malhonnête est ici définie par la FTC aussi par le fait que la société protégeait ses hôtes en ne répondant pas aux requêtes officielles ou en utilisant des techniques d’évasion numérique, c’est à dire ici l’hébergement sous des adresses IP différentes des mêmes services illicites.
La société 3FN (3fn.net) semblait être un hébergeur à la fois reconnu et critiqué. Cette société aurait été créée en 1999, est installée depuis cette époque en Californie. Ainsi, la société Triple Fiber Network a pu récemment annoncer la signature d’un contrat avec LEVEL3, l’un des plus gros fournisseurs de connectivité Internet. Selon les chiffres les plus récents, ce sont plus de 7600 domaines qui étaient hébergés chez 3FN. Des serveurs au contenu clairement malhonnête : Portland APS Telecom hébergeait ainsi ultimatepayment.com ou truebillingservices.com – des serveurs de paiement utilisés pour différentes escroqueries au faux antivirus (on note au passage des liens avec EstDomains dont l’accréditation ICANN a été interrompue en septembre 2008), IC Audit & Consulting – une escroquerie typique à l’emploi d’intermédiaires financiers, etc. Les exemeples sont innombrables.
Ainsi, le NCMEC aurait relevé plus de 700 rapports d’hébergements de contenus pédopornographiques, le premier remontant à 2004. Enfin, le botnet Cutwail aurait été affecté par cette nouvelle fermeture.
Pour mener ces investigations, la FTC a reçu le soutien de spécialistes de la NASA (qui dispose d’enquêteurs spécialisés, comme beaucoup de grandes agences américaines), l’université de Birmingham dans l’Alabama (l’équipe de Gary Warner), le National center for missing and exploited children (NCMEC), l’association Shadowserver, la société Symantec et le projet Spamhaus.
Les contraintes validées par le juge sont d’interdire à la société Pricewert LLC de poursuivre ses activités, de contraindre ses fournisseurs de connectivité à Internet et aux centres d’hébergement de cesser tout service à son profit. Les biens de la société ont aussi été gelés, en attente d’une première audience sur le fond qui devrait se tenir le 15 juin prochain.
Il sera intéressant de comprendre si cette société a été créée en 1999 pour commettre de tels méfaits, si c’est une dérive de ses gestionnaires attirés par l’appât du gain ou une prise de contrôle ultérieure. En tous cas des liens ont bien été établis avec des personnes originaires de l’Europe la plus orientale (y compris a priori le gestionnaire de la société 3FN). Enfin, il faut souligner ici l’implication des autorités américaines dans cette démarche, ce qui avait manqué dans les affaires McColo et Atrivo.
22 avril 2009 Laisser un commentaire
Worcester
Âgé aujourd’hui de 17 ans, un jeune originaire de Worcester, dans la région de Boston (Massachusetts, USA) a été condamné à 11 mois de prison dans un centre de détention pour mineurs et un total de 2 ans avec sursis, lors d’un jugement prononcé la semaine passée.
Il était poursuivi pour avoir commis des faits d’atteintes à des systèmes de traitement automatisé de données (d’entreprises), passé des appels injustifiés au numéro d’urgence américain (911) et utilisé des numéros de cartes bancaires volés pour effectuer des achats. Tous ces faits ont été commis entre novembre 2005 et mai 2008.
Le suspect, connu sous le pseudonyme de DShocker, a reconnu les faits et risquait un maximum de 10 ans d’emprisonnement. En France, pour des faits similaires, à savoir des intrusions dans des systèmes de traitement automatisés de données, des attaques en déni de service, l’exploitation de botnets, ce jeune homme risquait jusqu’à cinq ans de prison et 75 000 € d’amende (articles 323-1 à 323-7 du code pénal). En réalité, s’agissant d’un mineur, il n’aurait peut-être pas été condamné en France à une peine d’emprisonnement pour de tels faits.
22 mars 2009 Un commentaire
Emule (GPL)
Un jeune internaute de la région lyonnaise a été condamné le 05 mars 2009 (article sur Zataz.com) à près de 130.000 euros de dommages et intérêts, 1 an de prison avec sursis et 3.000 euros d’amende. Il avait été interpellé le 19 juin 2007.
Les faits allégués: la diffusion sur plusieurs sites Web de références facilitant le téléchargement de films grand public (pour son premier site Web « Station DivX ») et pornographiques (pour les autres). Cette activité lui permettait grâce à des accords publicitaires de gagner un peu d’argent. Il a d’ailleurs été poursuivi pour fraude aux allocations chômage.
Il ne s’agissait pas ici de liens directs permettant de télécharger sur Emule ou autres logiciels pair à pair (le protocole Edonkey introduit des liens rapides qui commencent par ed2k://), mais d’indications techniques permettant de faciliter les recherches. Juridiquement, il n’y a effectivement pas de raison de faire de différence entre une URL ou le titre précis du fichier à rechercher. C’est en effet parfois la difficulté rencontrée par les amateurs de téléchargements (légaux ou illégaux) sur ce type de réseaux que de trouver facilement la référence du document que l’on cherche.
En visitant le site Web objet de ce jugement (dont des traces existent encore sur Internet), on s’aperçoit qu’il ne s’agissait pas uniquement de simples informations techniques, mais qu’en plus on y trouvait des conseils sur la bonne façon de télécharger, la qualité des films, etc. D’ailleurs un lien trouvé en page d’accueil de ce site indiquait clairement « comment télécharger sur station divx ? ». Il s’agit donc bien d’aider les internautes visiteurs de ce site à télécharger des contenus sur des réseaux pair à pair.
Cette page contenait même un avertissement « il suffit tout d’abord pour être en règle de posséder l’original ». Ce genre d’avertissement ne permet d’éviter aucune sorte de responsabilité, bien évidemment, ce que confirme d’ailleurs le jugement. Un forum permettait aux utilisateurs d’échanger sur leurs expériences de téléchargement.
D’autres mentions sur le site Web étaient tout aussi inquiétantes: CAM ou TS indiquaient que ces films avaient été enregistrés illégalement dans des salles de cinéma. Il y a donc un aveu ici de la connaissance de l’origine illicite de ces contenus.
Les enseignements: ce jugement confirme d’abord, s’il en était besoin, que le téléchargement de musique ou de vidéos sur des réseaux pair à pair, sans rémunération ou accord des ayants droit constitue un acte de contrefaçon. Il confirme surtout que tout site Web aidant manifestement à ce type de téléchargements constitue une complicité de cette infraction. La sévérité de la peine prononcée en première instance montre clairement les risques qui pèsent sur ceux qui se risqueraient à ce type d’activités. Il est possible que cette affaire alimente les débats de la fin du mois sur la loi création et Internet.
