Posté par Eric Freyssinet le 7 mars 2010
Et voici déjà le 100ème article de ce blog, commencé seulement le 30 octobre 2008, par cet article sur les nouveaux défis de la délinquance numérique pour France 2025. Près de 30.000 visionnements (vraisemblablement franchis au cours de la journée du lundi 8 mars 2010), 156 commentaires.
Merci à tous ! Et n’hésitez pas à lire, partager, commenter, demander des précisions, échanger.
Publié dans Cybercriminalité | 1 commentaire »
Posté par Eric Freyssinet le 7 mars 2010
Régulièrement la presse en ligne se fait l’écho de l’exploitation des événements de l’actualité par les délinquants… Deux articles du 4 et du 5 mars derniers sur le blog de F-Secure ont attiré mon attention. Ils décrivent quelques techniques utilisées pour amener de futures victimes à télécharger de faux antivirus.
Dans les deux cas décrits, les moteurs de recherche (Google en l’espèce) sont abusés pour référencer les documents qui vont piéger leurs victimes. Ainsi des fichiers PDF sont publiés, avec du contenu intéressant et à l’intérieur pour inciter le visiteur à les télécharger. En réalité, les attaques réalisées grâce à des PDF malveillants ne sont pas nouvelles (voir cet article), elles ont été le phénomène massif de l’année 2009.
Ainsi, des fichiers PDF sont diffusés (sur des sites piratés, par des reprises de contenus, etc.). Le contenu de ces fichiers PDF est inspiré de l’actualité, contient des liens, des mots clés qui vont attirer l’attention des visiteurs, comme des moteurs de recherche. Ainsi, lors de chaque événement récent on a vu apparaître des tentatives basées sur le tremblement de terre au Chili, la mort d’un chanteur. D’ailleurs à la vitesse où se répandent ces manœuvres frauduleuses, on peut raisonnablement soupçonner qu’elles sont fabriquées automatiquement à partir des flux d’actualité. Les articles de presse en ligne qui annoncent que c’est événements sont « déjà » exploités se trompent donc de conclusion: ce n’est pas une vivacité particulière des délinquants numériques dont ils sont témoins, mais une preuve de l’existence de véritables plateformes automatisées de services criminels.
Ce que décrivait F-Secure vendredi est qu’ensuite, les fichiers PDF disparaissent pour être remplacés par de simples pages HTML qui contiennent des animations Flash. Bien entendu, Google n’a pas eu le temps de repasser sur la page et de voir que le contenu avait changé et le référence encore comme un fichier PDF; et le contenu ressemble diablement à une page PDF. Et ce sont ces animations Flash qui contiennent des scripts malveillants qui vont vous amener à installer de faux antivirus:
Fausse détection de virus (F-Secure)
Le plus perturbant dans tout ça c’est que normalement votre véritable antivirus, s’il le détecte, va déclencher une alerte… pour peu que cette fausse alerte lui ressemble vous risquez d’être piégé ! Soyez donc particulièrement attentifs lors de votre navigation.
Publié dans Cybercriminalité, Sécurité | Taggé: F-Secure, Faux antivirus, PDF | Laisser un commentaire »
Posté par Eric Freyssinet le 28 février 2010
Sénat (GNU FDL)
J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).
La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:
Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :
L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :
« Art. 34. - Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.
« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».
« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.
« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »
C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.
Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.
Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.
En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.
Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.
Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.
Cette proposition de loi remplit donc plusieurs objectifs :
Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.
Publié dans Cybercriminalité, Juridique, Sécurité | Taggé: Data breach notification, Informatique et libertés, Notification des incidents de sécurité, Paquet télécom, Sénat | Laisser un commentaire »
Posté par Eric Freyssinet le 27 février 2010
Conseil de l'Europe (GNU FDL)
Publié dans Cybercriminalité, Prospective | Taggé: Conseil de l'Europe, FIC, FIC 2010, JSSI 2010, Octopus, OSSIR | Laisser un commentaire »
Posté par Eric Freyssinet le 24 février 2010
Dancho Danchev revient dans son blog chez ZDNet sur le ver « Koobface ». Je vous propose un résumé de son article et quelques pointeurs.
Koobface est un ver qui utilise comme mode de propagation la messagerie du réseau social Facebook, mais aussi – selon les variantes – Twitter, hi5, Myspace, Bebo et Friendster. Les victimes sont redirigées vers un site où une mise à jour d’Adobe Flash leur est proposée qui est en fait un logiciel malveillant. (Pour plus d’informations voir l’article de Wikipédia en anglais, l’étude de Trend Micro publiée en Juillet 2009, ou cet article très détaillé sur abuse.ch de décembre 2009).
Dancho Danchev nous explique que le botnet créé par Koobface n’est que le sommet de l’iceberg des activités menées par le groupe criminel qui gère Koobface au travers de dix informations intéressantes qu’il a pu collecter sur leur activité au cours des derniers mois.
On y découvre
On note en lisant son article qu’une véritable guerre est menée entre Dancho Danchev et ce groupe, dont le blog a été l’objet d’attaques ciblées en déni de service distribué. Selon Danchev, il s’agit ici encore d’un groupe criminel d’origine Ukrainienne (j’avais évoqué l’entreprise aux activités louches qu’a mis au jour récemment François Paget lors du panorama sur la cybercriminalité du Clusif), qui se présente sous le sobriquet d’Ali Baba.
La suite des aventures, très sûrement dans les mois à venir, sur le blog de Dancho Danchev.
Publié dans Cybercriminalité, Sécurité | Taggé: Ali Baba, Botnets, Koobface | Laisser un commentaire »
Posté par Eric Freyssinet le 12 février 2010
Assemblée nationale (Photo: GPL)
Le débat sur la LOPPSI s’achève bientôt en première lecture à l’Assemblée Nationale. L’objet de ce billet est d’aborder deux dispositions de ce texte, telles qu’elles ont été votées aujourd’hui 11 février 2010: l’usurpation de l’identité sur Internet et la diffusion de messages incitant aux jeux dangereux pour les enfants (le « jeu du foulard » par exemple).
L’article 2 de ce projet de loi prévoit une nouvelle incrimination pour certaines formes d’usurpation d’identité commises sur les réseaux de communications électroniques. Le texte issu du vote d’aujourd’hui est le suivant:
Art. 222-16-1. – Le fait de faire usage,
de manière réitérée,sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Est puni de la même peine le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier, en vue de porter atteinte à son honneur ou à sa considération.
Ainsi, deux modifications ont été apportées au projet issu de la commission des lois de l’assemblée nationale:
Plusieurs questions sont apparues dans le débat qui feront peut-être l’objet de clarifications lors des prochaines étapes du travail parlementaire:
Sur le premier point, l’ensemble de ces services étant supportés par des réseaux de communications électroniques (la communication au public en ligne est en réalité une forme de communication supportée par les réseaux de communications électroniques), les réseaux sociaux et autres formes de communications en ligne sont couverts.
Sur le second point, je pense que les preuves collectées en vue de déterminer l’élément intentionnel de l’infraction devront effectivement démontrer la volonté d’abuser de l’identité d’un tiers en particulier, donc cet écueil semble écarté en première analyse.
Sur le troisième point, l’intention du législateur semble suffisamment claire pour que le contexte de l’usurpation d’identité sur les réseaux soit l’unique motivation retenue.
Les jeux dangereux pour les enfants
Le « jeu du foulard » et d’autres formes de jeux dangereux pratiqués par les jeunes adolescents et parfois de plus jeunes enfants occupe trop régulièrement l’actualité et de même qu’il est reproché la diffusion de certains messages incitant à des pratiques alimentaires dangereuses (anorexie), ou l’assistance au suicide (situation déjà réprimée par les articles 223-13 et suivants du code pénal), la publication de messages ou de vidéos faisant la promotion de ces jeux dangereux a été identifiée comme une cause possible de leur développement.
Ainsi, en octobre 2009, deux députés du groupe UMP de l’Assemblée nationale, Patrice Verchère et Cécile Dumoulin ont publié un rapport sur ce sujet qui faisait un certain nombre de propositions, dont des mesures de sensibilisation qui sont évidemment nécessaires pour prévenir ces actes, mais aussi l’aménagement de l’article 227-24 du code pénal pour réprimer la diffusion de ces contenus vers les plus jeunes.
Le texte, issu de l’amendement n°185 discuté aujourd’hui, aurait cette forme:
Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen que ce soit et quel qu’en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d’un tel message, est puni de trois ans d’emprisonnement et de 75000 euros d’amende lorsque ce message est susceptible d’être vu ou perçu par un mineur.
Lorsque les infractions prévues au présent article sont soumises par la voie de la presse écrite ou audiovisuelle ou de la communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.
A noter que cette disposition a été votée à l’unanimité des députés présents, avec l’avis favorable du gouvernement et du rapporteur, M. Eric Ciotti. (L’amendement n°8 qui voulait étendre le blocage des sites pédopornographiques aux contenus relevant de l’infraction de l’article 227-24 a été retiré au cours des débats).
En clair, de tels messages ne sont pas illégaux, mais on doit empêcher les mineurs d’y accéder, ce sont bien eux qu’on cherche à protéger.
Les difficultés habituellement rencontrées dans l’application de l’article 227-24 subsistent toutefois. Comme le Forum des droits de l’Internet le rappelait les recommandations du groupe de travail « Les enfants du Net », il est difficile aujourd’hui de mettre en œuvre des solutions adaptées au contrôle de la majorité des visiteurs sur un site Internet. Toutefois, cela incitera – pénalement – les professionnels qui seraient amenés à héberger de tels contenus de prendre les mêmes mesures qu’ils prennent pour empêcher les mineurs d’y accéder (absence de publicité pour ces sites destinée aux mineurs, messages d’avertissements, marquage des pages pour en faciliter la détection par les logiciels de contrôle parental, etc.).
La suite donc sur ces deux nouveaux types d’infraction lors des débats au Sénat, qui pourrait se tenir à la mi-avril.
Publié dans Cybercriminalité, Juridique | Taggé: Jeu du foulard, Jeux dangereux, Jeux violents, LOPPSI, Usurpation d'identité | 12 commentaires »
Posté par Eric Freyssinet le 7 février 2010
Assemblée nationale (Photo: GPL)
En préambule, je tiens à rappeler certains éléments de contexte sur le projet de blocage des sites pédopornographiques:
Le débat sur Internet au sujet du projet de blocage des sites pédopornographiques, voulu par la LOPPSI, est réellement devenu confus.
Ainsi, depuis quelques semaines, une campagne contre les dispositions liées au blocage des sites pédopornographiques contenues dans la LOPPSI est menée avec à la clé, la publication d’un recueil d’articles (voir l’article de Fabrice Epelboin sur ReadWriteWeb) dont le premier porte sur l’analyse du témoignage d’un pédophile qui a été diffusé voilà un an sur Wikileaks.
Qu’apportent ces nouveaux arguments au débat ? Voici le résultat de mes réflexions et mes réactions aux reproches qui sont faits aux professionnels de la lutte contre ces formes de délinquance.
L’argument principal présenté par Fabrice Epelboin est que les groupes criminels qui commercialisent sur Internet des contenus pédophiles seraient devenus de tels spécialistes des techniques permettant de faire circuler discrètement des contenus illicites sur Internet, qu’ils deviendront les maîtres des réseaux « underground ». Et sa conclusion en est que le blocage les rendra incontournables dans l’exploitation de l’Internet illégal et serait en réalité leur planche de lancement.
En préambule on comprend très bien que le défenseur de la pédophilie qui est cité décrit une situation déformée par le prisme de son expérience personnelle. Ainsi, il nous explique que l’Allemagne serait le lieu de tous les hébergements underground, grâce aux serveurs les plus « fiables, les plus rapides et les plus abordables ». D’autres vous diront que ce sont les prestataires hollandais ou américains, en fonction de leur expérience personnelle. On retrouve des serveurs aux activités illégales dans des hébergeurs du monde entier. Et effectivement, le reste de son discours est déformé par le même prisme.
Les pratiques décrites comme ayant été développées pour les réseaux de diffusion pédophiles, sont en réalité celles de tous les groupes criminels organisés sur Internet, ceux qui diffusent des contenus pédophiles, comme ceux qui se « contentent » de vendre de faux logiciels de sécurité, de contrôler les botnets qui permettent de collecter des données personnelles monnayables, etc… J’ai décrit pour mes lecteurs quelques facettes de ces pratiques dans différents articles sur les hébergeurs malhonnêtes.
La diffusion de contenus pédopornographiques par ces groupes remplit en réalité deux objectifs:
En effet, certaines victimes tombent pour la publicité vantant un médicament puissant et pas cher, d’autres pour des images pornographiques ou encore des logiciels de sécurité, et certains sont recrutés grâce aux images pédophiles. Les techniques de publicité par spam (courriers électroniques non sollicités), de rabattage vers la plateforme commerciale au travers de diffusion de liens cachés dans des vidéos disponibles sur les échanges P2P, de diffusion de logiciels espion, sont toujours les mêmes. Et au bout du compte la victime (dans le cas des images pédopornographiques aussi un peu coupable et donc qui n’osera pas aller porter plainte), donne son numéro de carte bancaire et est prélevée une fois, deux fois, puis plusieurs mois de suite.
Au bout du compte, le blocage des sites pédopornographiques de ce type-là va avoir pour effet collatéral de rendre beaucoup plus difficiles les autres formes d’escroqueries. En effet, on retrouve souvent sur les mêmes serveurs, derrière la même adresse IP des centaines de sites Web de promotion, les uns pour des contenus pédophiles mais les autres pour toutes sortes d’autres produits tout aussi illégaux.
En réalité donc, le blocage des sites pédopornographiques va rendre beaucoup moins intéressant pour ces groupes-là ce genre de commerce, ce qui va nuire finalement à leur modèle économique. Donc pour certains d’entre eux, ils seront au contraire motivés à quitter le commerce pédopornographique : une première victoire pour nous, mais qui ne nous empêchera pas de continuer à travailler sur leurs autres formes d’activités illicites.
La lecture de l’excellent rapport d’Europol sur le crime organisé de 2009 pourra donner une meilleure idée de la très grande transversalité des activités des groupes criminels organisés. On pourra aussi lire avec intérêt la présentation faite par François Paget lors du dernier panorama du Clusif sur la cybercriminalité, dont je rendais compte voici quelques jours, sur une entreprise aux activités particulièrement suspectes en Ukraine.
Je passerai rapidement sur la tentation à laquelle succombent les différents participants de l’ouvrage à minorer l’ampleur du problème (la tête dans le sable encore ?). Ainsi, selon Epelboin, cette forme de commerce ne représenterait « que » quelques dizaines de millions d’euros de chiffres d’affaires annuels. Déjà en soit, quelques dizaines de millions d’euros seraient un résultat non négligeable. A l’appui de son savant calcul, les dires de notre fameux pédophile anonyme : « en 2004, le leader du marché totalisait un chiffre d’affaires de plus de 20 millions de dollars », valeur à multiplier donc par le nombre total de groupes criminels concernés. En réalité, les quelques dizaines de groupes criminels qui agissent dans ce domaine réalisent très certainement des chiffres d’affaires semblables (répartis sur plusieurs types de « produits » comme je l’évoquais au-dessus) et on doit être plus proche des 500 millions de dollars ou du milliard de dollars annuels. Certaines études évaluaient en 2004 ce marché à 3 milliards de dollars.
Toujours à minorer le problème, un autre intervenant de l’ouvrage intervient: proclamé expert informatique britannique, qui a commencé ses activités dans ce domaine voilà moins de deux ans, à l’avenir certainement très prometteur. Il nous affirme sans sourciller qu’il n’y aurait plus aujourd’hui d’échanges de contenus pédopornographiques sur les réseaux pair à pair classiques. Il dit par exemple: « la plupart de ce qu’on y trouve n’est pas réellement de la pédopornographie et ne peut donner lieu à des poursuites ». Malheureusement, il se trompe complètement. On y trouve les formes les plus graves d’atteintes sur des mineurs. Effectivement pas toujours les toutes dernières productions – encore qu’on y retrouve des productions non professionnelles récentes. Le P2P est malheureusement encore beaucoup utilisé pour partager des fichiers pédopornographiques et l’équipe du département de répression des atteintes aux mineurs sur Internet du STRJD à Rosny-sous-Bois en identifie plusieurs dizaines en France chaque mois.
C’est le même expert britannique qui nous explique que les techniques policières de collecte du renseignement sont inadaptées: « la surveillance est une énorme perte de temps », dit-il (en parlant de la surveillance de l’activité d’un suspect, par exemple par le biais d’interceptions, en comparaison de l’analyse forensique d’un ordinateur saisi au moment de la perquisition qui révélerait tout autant d’informations). Il manque très clairement de recul par rapport à ce qui est utile ou non dans une enquête judiciaire. Par exemple, avant d’envisager une perquisition qui permettra de saisir du matériel informatique, il est évident que les policiers doivent collecter des preuves en amont qui vont confirmer la nécessité de cette perquisition: il n’y a pas de perquisition « en aveugle ».
Enfin, l’argument de la censure et de la prohibition est longuement développé. Il n’aura pas échappé au lecteur averti que la possession, la fabrication et la diffusion de contenus pédopornographiques sont interdits. Oui, ces contenus sont illégaux, prohibés, pour des raisons évidentes. Je ne crois pas que les rues de Paris se soient transformées en champ de bataille à cause de cette prohibition de la pédopornographie. Les pays qui ont mis en place le blocage en Europe non plus. D’ailleurs le pédophile allemand qui est cité en appui de ces démonstrations souhaite carrément la libéralisation de la pédopornographie, je ne vois pas comment on peut utiliser ses arguments sur la prohibition pour critiquer le dispositif de blocage proposé! Le même nous explique qu’il a beaucoup plus peur du NCMEC (organisme américain chargé aux côtés du FBI de la lutte pour la protection de l’enfance) que des terroristes.
En conclusion, une bonne partie de ce qui est présenté comme nouveaux arguments consiste à affirmer que les services spécialisés en France, en Europe et au-delà ne savent pas de quoi ils parlent, ne connaissent pas les groupes criminels pédophiles, ne regardent pas du bon côté, travaillent mal… Soit. On a toujours des progrès à faire, c’est certain. Mais aujourd’hui je ne suis pas convaincu par ce qui nous est proposé à lire.
J’avais déjà eu l’occasion d’évoquer les autres éléments du débat. La mesure est-elle proportionnée ? Quels risques prend-on par rapport aux infrastructures ? Quelle transparence sera donnée au dispositif ? Qui contrôle ? Combien ça coûte ?
Ainsi, le surblocage est un sujet important à prendre en compte, en cas de mises en place de telles mesures. Supposons d’abord que les listes fournies par l’autorité chargée de les établir seront validées ou contrôlées par l’autorité judiciaire. Elles devront aussi être adaptées en fonction des techniques de blocage (selon que l’on bloque sur la base de l’adresse IP ou un nom d’hôte par exemple) de façon à limiter le surblocage. Il faudra aussi être en mesure de réagir promptement aux demandes éventuelles des personnes lésées. Ainsi, Europol a déjà mis en place un site d’information permettant à de telles situations d’être rapidement résolues. Cette initiative fait partie du projet CIRCAMP, financé par la Commission Européenne dans le cadre du Safer Internet Programme, pour aider les services de police à coordonner leur action dans la lutte contre les contenus illicites. On pourrait reprendre le même modèle plus spécifiquement à destination du public français. En effet, en plus du magistrat qui serait éventuellement chargé de contrôler l’autorité administrative – comme le prévoit la version issue de la commission des lois, le public sera lui-même un excellent arbitre de toute erreur en surblocage qui ne manquera pas d’être détectée et donc corrigée.
Enfin, l’action contre les flux financiers – je l’ai déjà évoqué à plusieurs reprises (ici au moment de la conférence Octopus du Conseil de l’Europe en 2009) – est évidemment une des priorités de l’action des services d’enquête en Europe, aux Etats-Unis et en Asie.
Ce soir, sur Public Sénat, Benjamin Bayart déclarait que l’efficacité de la mesure n’est pas évaluée. L’étude d’impact du projet de loi présenté devant le parlement (et disponible en suivant ce lien, voir la page 107 du PDF) explique pourtant le nombre de connexions qui sont bloquées chaque jour dans les pays qui appliquent la mesure :
Il va de soi que l’efficacité devra être aussi mesurée en France.
En conclusion:
Publié dans Cybercriminalité, Juridique | Taggé: LOPPSI, Pédocriminels, Pédopornographie | 54 commentaires »
Posté par Eric Freyssinet le 1 février 2010
Assemblée nationale (Photo: GPL)
Le parlement est saisi de deux textes qui intéressent la délinquance numérique et les investigations numériques: les projets de loi LOPPSI et de régulation des jeux en ligne.
La LOPPSI comporte trois dispositions à suivre:
Le projet de loi a été débattu en commission des lois et en commission de la défense de l’Assemblée nationale. La commission des lois propose que le blocage soit assorti de l’ »accord de l’autorité judiciaire ». Le dépôt des amendements sur ce texte aura lieu jusqu’au 05 février 2010 au soir et le débat aura lieu en séance à l’Assemblée nationale les 09, 10 et 11 février 2010 prochains.
Le dossier de cette loi sur le site de l’AN.
Quant au projet de loi sur la régulation des jeux en ligne il avait fait l’objet d’une première lecture à l’assemblée nationale au mois d’octobre dernier et se retrouve maintenant devant le Sénat. La commission des finances a rendu son rapport le 19 janvier dernier et le texte sera débattu en séance les 23 et 24 février prochains. (J’avais évoqué ce projet de loi en août dernier)
Le dossier législatif sur la régulation des jeux en ligne sur le site du Sénat.
Un mois de février 2010 particulièrement actif donc dans le débat public.
Publié dans Cybercriminalité, Juridique | Taggé: ARJEL, Blocage, Filtrage, Jeux en ligne, LOPPSI | Laisser un commentaire »
Posté par Eric Freyssinet le 16 janvier 2010
Le CLUSIF présentait mercredi 13 janvier 2010 son panorama 2010 sur la cybercriminalité. Je n’étais pas sur la scène cette année, en effet nous avions invité Isabelle Ouellet de la Sûreté du Québec pour représenter les services d’enquête. A noter enfin les travaux présentés par François Paget sur une société Ukrainienne.
La présentation est disponible en téléchargement sur le site du Clusif et la vidéo le sera d’ici quelques jours.
Comme chaque année, il s’agit d’offrir un regard sur les événements de l’année passée en matière de cybercriminalité et de sécurité des systèmes d’information et d’envisager leur impact sur la France en particulier pour l’année ou les années à venir. L’ensemble des membres du groupe de travail ont alternativement pointé des faits d’actuailité de 2009 qui leur semblaient importants, en ont discuté, et ensuite un certain nombre d’entre nous ont été choisis pour les présenter. Le travail s’est donc enrichi cette année par l’apport de personnalités étrangères (notamment canadienne et roumaine) et par un rallongement de la présentation pour intégrer les risques numériques.
En italique mes commentaires personnels éventuels.
Petite particularité pour cette année avec la présentation de François PAGET (McAFEE Labs) des résultats de ses recherches (avec un autre expert Dirk KOLLBERG) sur une entreprise ukrainienne aux activités manifestement douteuses et parfois illégales.
I[...] – et les sociétés qui lui sont directement liées (I[...], V[...], W[...], K[...], …) – produit notamment des faux antivirus et autres spywares ou scarewares (voir par exemple cet article sur Wikipédia). Pendant plusieurs mois ces experts ont amassé des dizaines de gigaoctets de documents sur les activités de cette société et exploré sa présence sur les réseaux sociaux.
Les enseignements: cette société a pignon sur rue, est organisée comme n’importe quelle SSII, recrute dans les grandes universités ukrainiennes (et certains de ses anciens employés sont maintenant dans de grands groupes internationaux) et elle réalise un chiffre d’affaires ahurissant (180 millions de dollars en un an). Elle dispose même d’un support technique pour ses clients malheureux, destiné à les arnaquer dans la durée !
Affaire à suivre donc !
Dans l’actualité du CLUSIF, le lancement de son enquête 2010 sur la sinistralité. L’enquête se déroulera au cours des six semaines à venir auprès des grandes entreprises et des administrations. A partir de mars, un groupe de travail étudiera les résultats de cette enquête.
Publié dans Cybercriminalité, Prospective, Sécurité | Taggé: ANSSI, carte bancaire, Cloud computing, Clusif, GSM, Réseaux sociaux, Winfixer | 1 commentaire »
Posté par Eric Freyssinet le 12 janvier 2010
Quelques conférences cyber des semaines à venir 
:
N’hésitez notamment pas à vous inscrire nombreux au FIC 2010.
Publié dans Cybercriminalité, Prospective, Sécurité | Taggé: AFCDP, Clusif, FIC, FIC 2010 | 1 commentaire »
