Les détournements de données et leur notification

Big_DataAprès un long silence, ce billet sur la notification des incidents de sécurité, et en particulier ceux qui relèvent de détournements de données à caractère personnel. L’actualité nous en apporte effectivement l’exemple avec le cas de la société Orange qui avertit depuis quelques heures ses clients sur un détournement de certaines catégories de données depuis les systèmes d’information qu’elle gère. La France est en retard, mais c’est le cas dans beaucoup de pays, sur la culture de la notification, et plus généralement sur le choix ou non de rendre public une atteinte à son système d’informations: ce n’est pas une tâche facile pour les responsables de la sécurité des systèmes d’information.

Un nécessaire partage d’informations

En préambule, il est important de se rappeler que tout système d’information est susceptible d’être un jour victime d’une tentative d’intrusion ou d’une intrusion réussie. Cela ne relève pas du marketing de la peur en matière de sécurité numérique, mais d’une réalité bien tangible (voir cet article des Echos qui évoque le marché des données) pour toute personne responsable d’un système d’information et pour ses responsables de la sécurité, administrateurs systèmes et autres acteurs de la chaîne de confiance. Les données, quelles qu’elles soient, ont une valeur, souvent marchande, qui attise d’autant plus l’intérêt des délinquants.

A cela, il faut rajouter les situations où des vulnérabilités sont découvertes et signalées à son responsable par un chercheur, un utilisateur du système ou encore un auditeur. Il revient alors à l’organisation de corriger rapidement la faille, y compris en prenant des mesures conservatoires (indisponibilité du service comme lorsque voilà quelques semaines le fisc canadien rendait indisponible son système de déclaration d’impôts dans la phase de correction de la faille Heartbleed).

Dans tous les cas, il est important de partager l’information avec des cercles plus ou moins larges en fonction des circonstances. Les motivations sont multiples:

  1. informer les organisations exerçant le même métier, les professionnels de la SSI sur des risques particuliers ;
  2. informer les développeurs des solutions logicielles et matérielles concernées, ainsi que potentiellement leurs utilisateurs ;
  3. informer les personnes concernées – lorsque leurs données personnelles sont potentiellement compromises.

Dans le premier cas, ce partage pourra être réalisé publiquement (blogs de certains CERT, de certaines équipes de sécurité qui publient des retours d’expérience, lors de conférences, dans des articles) ou bien dans des cercles plus restreints parce que la confiance y est plus forte et le partage peut rentrer dans des détails plus poussés pour permettre aux autres acteurs du secteur, les utilisateurs d’un même outil, de mettre en œuvre les mesures correctrices avant qu’elles ne puissent être exploitées.

J’ai évoqué la seconde situation à de multiples reprises dans des articles de ce blog (dernier exemple l’an dernier sur les mises à jour de Java), il y a encore de gros progrès à faire dans la façon dont la communauté de la sécurité gère ces questions, mais la prise de conscience est globale.

Enfin, lorsque des données personnelles sont compromises, il peut être nécessaire, après évaluation des données concernées et de leur impact, de prévenir très rapidement les personnes concernées, par exemple pour éviter que leurs numéros de cartes bancaires ne soient utilisés à des fins malveillantes.

A cela, il faut rajouter l’action des autorités de contrôle: en matière de protection des infrastructures vitales (rôle de l’ANSSI en France) ou des données à caractère personnel (CNIL).

Certaines de ces situations sont couvertes par des obligations légales et réglementaires que je vous propose de parcourir rapidement.

Le cadre juridique

En effet, il existe aujourd’hui un cadre juridique (article précédent sur ce même blog appelant à son émergence) qui renforce les obligations de certains acteurs (dont celles introduites par une ordonnance du 24 août 2011, que j’évoquais dans le livre La cybercriminalité en mouvement au paragraphe 6.2.3) et la récente Loi de programmation militaire :

  • l’article L33-1 du code des postes et communications électroniques (CPCE) précise que l’établissement et l’exploitation de réseaux ouverts au public et la fourniture au public de services de communications électroniques est soumise au respect de règles portant sur « Les conditions de permanence, de qualité, de disponibilité, de sécurité et d’intégrité du réseau et du service qui incluent des obligations de notification à l’autorité compétente des atteintes à la sécurité ou à l’intégrité des réseaux et services » ;
  • l’article R20-44-39 (anciennement R20-44-35) du CPCE prévoit que l’office gérant les noms de domaine de premier niveau correspondant au pays (l’organisme chargé par l’Etat de gérer les noms de domaines en .fr notamment) reçoit un cahier des charges qui prévoit des « exigences relatives à la notification aux services de l’Etat des atteintes ou tentatives d’atteintes à la sécurité du service » ;
  • l’article D98-5 du CPCE prévoit des dispositions complémentaires relatives à l’intégrité ou à la sécurité en ce qui concerne les opérateurs: information des abonnés "lorsqu’il existe un risque particulier de violation de la sécurité du réseau" et du ministère de l’intérieur en cas "d’atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services" ;
  • un article L34bis récent inséré dans la loi informatique et libertés, qui vient compléter l’article L34 qui oblige toute personne opérant un traitement de données à caractère personnel à "prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès" (le non respect de cette disposition constitue l’infraction prévue à l’article 226-17 du code pénal), en prévoyant une obligation de notification à la CNIL [EDIT du 08/05/2014] portant spécifiquement sur tout "traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification" [/EDIT] de tout incident important et si nécessaire la communication aux personnes concernées ;
  • enfin, l’article 22 de la Loi de programmation militaire du 18 décembre 2013 (articles L1332-6-1 et suivants du code de la défense) rend obligatoire la déclaration des incidents constatés par les opérateurs d’importance vitale sur leurs systèmes d’information.

Nota: les opérateurs d’importance vitale sont définis par les articles L1332-1 et L1332-2 du code de la défense comme étant d’une part "les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation" et d’autre part "des établissements mentionnés à l’article L. 511-1 du code de l’environnement [installations dites classées pour la protection de l'environnement] ou comprenant une installation nucléaire de base visée à l’article L593-1 du code de l’environnement quand la destruction ou l’avarie de certaines installations de ces établissements peut présenter un danger grave pour la population".

Nota 2: la notification sur le site de la CNIL concernant les fournisseurs de services de communications électroniques (les opérateurs de façon très large) est accessible ici.

A ce jour, le cadre juridique porte donc sur: les opérateurs d’importance vitale, les opérateurs de communications électroniques (dont certains sont aussi des OIV) – ainsi qu’en pratique l’AFNIC – et les personnes qui traitent des données à caractère personnel [EDIT du 08/05/2014](obligation de sécurité pour tous et de notification pour les fournisseurs de services de communications électroniques)[/EDIT].

[Au passage, j'ai noté plusieurs débats sur la question juridique du "vol de données". Effectivement, il n'est pas constamment accepté en droit français qu'on puisse voler des données (à caractère personnel ou uniquement confidentiel), parce que le vol suppose la soustraction. Toutefois, cette notion de copie frauduleuse de données mériterait vraisemblablement de recevoir un cadre juridique plus protecteur. Lorsqu'il s'agit de données nominatives on pourra évidemment viser la collecte frauduleuse prévue par la loi informatique et libertés. En revanche, pour des données uniquement confidentielles, il n'y a pas à ce jour d'infraction spécifique, ni de terminologie reconnue - il existe par exemple une proposition de loi sur le secret des affaires qui adresse partiellement cette question.]

Conclusion

Le cadre juridique ne fait pas tout, mais pour les secteurs qu’il couvre (données personnelles [EDIT du 08/05/2014] et notamment celles traitées par les opérateurs [/EDIT] et OIV) il permet une plus grande clarté dans la responsabilité des acteurs. Toutefois, on ne peut qu’appeler à de plus amples échanges sur ces questions, qu’il s’agisse d’échanges directs entre professionnels concernés, avec les éditeurs et utilisateurs de solutions ou vers les publics directement concernés à chaque fois qu’il y a des risques ou des incidents avérés.

Enfin, il est essentiel pour toute organisation de se préparer à devoir gérer un tel incident (et donc à l’évaluation de la situation qui en découle, les mesures nécessaires et la communication à réaliser). Les entreprises ou les administrations qui vivent récemment ce type d’événements essuient un peu les plâtres en matière de communication autour de ces sujets parce que la culture ou la législation ne les y poussait pas, mais montrent aussi qu’il est possible de gérer une telle situation.

Et pour conclure, j’ajouterai qu‘il est important que l’on devienne tous plus objectifs et constructifs face à ces situations: il peut arriver à toute organisation des circonstances où les mesures de sécurité prises n’ont pas été suffisantes, toutefois être en mesure de détecter rapidement l’incident (grâce à des mesures internes ou grâce à des signalements externes rapidement pris en compte) est aussi une phase importante de la gestion de ces incidents, puis apporter des informations précises aux personnes concernées en est une autre. Ainsi, sans banaliser ce type d’incidents parce qu’on va en parler de plus en plus quand ils seront rendus publics, il faut surtout apprendre à mieux les gérer ensemble: par exemple, beaucoup d’articles se contentent de relayer l’information sur les incidents (jouant parfois sur le sensationnel) sans apporter aucun conseil exploitable aux lecteurs.

J’en profite donc pour rajouter quelques conseils:

  • si vos données personnelles ont été compromises, il est important d’obtenir et de comprendre de la personne qui les gérait les détails des données concernées ;
  • si votre adresse de courrier électronique a été compromise, il faut renforcer sa vigilance quant aux messages que l’on reçoit – mais ce conseil vaut de façon générale, les adresses de courrier électronique circulant quand même aujourd’hui énormément et ne pas hésiter à signaler les messages problématiques ou suspects ;
  • si votre mot de passe a été compromis (certains sites ne le protègent pas correctement), évidemment il faudra le modifier sur le site concerné, mais aussi pensez à le changer sur d’autres sites où vous auriez placé un mot de passe identique (ce qui en soi est une mauvaise idée, pensez à utiliser des mots de passe variés) – il en va de même pour les questions secrètes de récupération de mots de passe, essayez de les varier quand c’est possible. La CNIL donne un certain nombre de conseils sur la sécurité des mots de passe ;
  • si votre numéro de carte bancaire est concerné (ce qui ne devrait pas arriver chez des commerçants en ligne en France à cause de la règlementation en vigueur mais pourrait survenir sur des sites étrangers), il faut rapidement contacter son agence bancaire pour leur en faire part et vérifier les transactions depuis l’incident, à la recherche de potentielles transactions frauduleuses.

Article 6 de la LCEN

L’article 6 de la loi pour la confiance dans l’économie numérique est l’objet de beaucoup d’attentions et de débats. C’est lui qui fixe en France les règles juridiques principales en matière de régulation des contenus sur Internet et le rôle des différents acteurs impliqués. Il reste – il faut être honnête – complexe à déchiffrer, aussi je vous en propose une lecture commentée.

Le texte complet est disponible, comme d’habitude, sur Legifrance, vous pouvez vous y rapporter.

Parcours de l’article 6

Première partie (I)

1. Définit les fournisseurs d’accès. Ceux-ci ont pour obligation d’informer leurs abonnés sur l’existence de moyens de filtrage individuels (notamment les logiciels de contrôle parental) et d’en proposer au moins un. Ils doivent aussi informer leurs utilisateurs de la liste des moyens permettant d’éviter que sa connexion soit utilisée pour réaliser des contrefaçons d’œuvres de l’esprit (ces moyens n’ont à ce jour pas été décrits).

2. Définit les hébergeurs (personnes physiques ou morales). Ils ne peuvent pas voir leur responsabilité civile engagée à cause d’un contenu illicite qu’elles hébergeraient si elles n’en ont pas eu connaissance préalablement ou si elles n’ont pas pris de mesures pour rendre le contenu inaccessible ou le retirer quand elles en ont eu connaissance.

3. Évoque les mêmes circonstances quant à la responsabilité pénale des hébergeurs.

4. Présenter un contenu comme étant illicite à un hébergeur, alors qu’on est conscient que le contenu n’est pas illégal est puni d’un de prison et 15.000 € d’amende.

5. Cette section définit la façon dont un contenu illicite doit être notifié à un hébergeur. Toute personne peut procéder à une telle notification. La notification (dont la loi ne prévoit pas qu’elle doive être réalisée par courrier recommandé avec accusé de réception):

  • Il convient de saisir d’abord l’auteur ou l’éditeur du contenu litigieux (si son adresse de contact est fournie par exemple), ou à défaut l’hébergeur à qui il faut indiquer les éléments suivants:
  • La date de notification, ses coordonnées (personnelles ou celles de sa société si on agit à titre professionnel)
  • Le nom et l’adresse de la personne à qui on s’adresse (siège social pour une entreprise)
  • La nature des faits litigieux et leur localisation sur Internet (une URL, un numéro ou autre identifiant d’article ou de commentaire, selon le contexte et la plateforme d’hébergement)
  • La description des bases juridiques et factuelles qui font que le contenu identifié est illégal (citation des articles de loi correspondants et en général des mots qui ou de l’élément précis qui revêt un caractère illégal)
  • Copie de l’échange avec l’auteur ou l’éditeur du contenu, ou à défaut justification de la raison pour laquelle on n’a pas pu le contacter.

6. Cette section précise que FAI ou hébergeurs ne relèvent pas de la législation sur les producteurs de contenu de la loi de 1982 sur la communication audiovisuelle.

7. Cette section vient préciser les missions préventives des hébergeurs et fournisseurs d’accès:

  • Ils n’ont pas d’obligation générale de surveillance des contenus qu’ils transportent ou stockent
  • L’autorité judiciaire peut prescrire des mesures de surveillance ciblée et temporaire
  • Ils concourent à la lutte contre les contenus constitutifs d’apologie des crimes contre l’humanité, d’incitation à la haine raciale, de pédopornographie, d’incitation à la violence – notamment les violences faites aux femmes, ou portant atteinte à la dignité humaine, ainsi que la pornographie lorsqu’elle est susceptible d’être vue ou perçue par un mineur
  • Ils mettent en place un dispositif de signalement de ce type de contenus, facilement accessible et visible (on notera que ce dispositif de signalement de contenus illicites particuliers est totalement distinct de la procédure de notification de contenus illégaux, décrite dans la section 5 au dessus, qui demande a priori plus de formalisme)
  • Ils doivent informer promptement les autorités publiques des contenus illégaux de cette nature qui leur sont signalés.
  • Ils doivent informer publiquement sur les moyens qu’ils mettent en place pour lutter contre ces contenus illicites en particulier (ces moyens ne se limitent donc pas a priori à mettre en place un dispositif de signalement) .
  • Ils informent leurs usagers des sites de jeux en ligne tenus pour répréhensibles (renvoie au rôle de l’autorité de régulation des jeux en ligne)

Cette section prévoit enfin que l’autorité administrative peut prescrire aux fournisseurs d’accès des mesures de blocage de contenus pédopornographiques.

8. Cette dernière section prévoit qu’un juge (saisi en référé ou sur requête) peut prescrire toutes mesures propres à prévenir ou faire cesser un dommage.

Deuxième partie (II)

Cette partie est relative aux données d’identification que doivent détenir et conserver les FAI et hébergeurs. J’évoquais le décret d’application de cette mesure dans un billet précédent.

Dans la partie IIbis qui suit, on retrouve les dispositions quant à l’accès à ces données par les services en charge de la prévention des actes de terrorisme. Cette partie est supprimée par l’article 20 de la loi de programmation militaire votée récemment et remplacée par de nouvelles dispositions du code de la sécurité intérieure, à partir du 1er janvier 2015.

Troisième partie (III)

Cette partie inclut les obligations des éditeurs de sites Web personnels ou professionnels. J’en détaillais les dispositions dans un billet précédent.

Quatrième partie (IV)

Cette partie vient préciser les conditions d’exercice du droit de réponse suite à une publication sur Internet:

  • la demande est adressée par la personne nommée ou désignée dans la publication à l’éditeur du contenu ou, si elle est anonyme, à l’hébergeur
  • elle doit être présentée dans un délai de trois mois suivant la publication
  • la personne contactée a trois jours pour publier le droit de réponse (à défaut il pourrait être condamné à une amende correctionnelle de 3750 €).

Cinquième partie (V)

Cette partie rappelle, pour éviter tout doute, que les dispositions de la loi sur la liberté de la presse s’appliquent quant à la nature des publications illégales (de l’incitation à la haine en passant par l’apologie des crimes de guerre, etc.) ainsi que la durée de la prescription.

Sixième partie (VI)

Cette dernière partie vient préciser les peines encourues par les hébergeurs, FAI ou éditeurs de services de communication au public en ligne qui ne respecteraient pas les dispositions prévues dans cet article (un an d’emprisonnement et 75000 € d’amende, ainsi que des peines spécifiques possibles pour les personnes morales).

Modifications envisagées

Le projet de loi pour l’égalité entre les femmes et les hommes actuellement en débat au Parlement (1ère lecture en cours à l’Assemblée nationale, après le Sénat cet été) propose une modification:

Article 17

Le troisième alinéa du 7 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :

  • 1° Après les mots : « haine raciale », sont insérés les mots : « , à la haine à l’égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap, » ;
  • 2° Les mots : « et huitième » sont remplacés par les mots : « , huitième et neuvième » ;
  • 3° La référence : « articles 227-23 » est remplacée par les références : « articles 222-33-3, 227-23 ».

Il s’agit donc de renforcer les obligations des FAI et des hébergeurs dans la prévention des infractions de presse relatives à la haine à l’égard de personnes à raison de leur sexe, de leur orientation, identité sexuelle ou de leur handicap, ainsi qu’en matière de prise ou de diffusion d’images de violence de l’article 222-33-3 du code pénal (ou "happy slapping"). Ainsi, un hébergeur ou un fournisseur d’accès devront prendre des mesures préventives adaptées contre ces infractions (gestion de la modération par exemple, ou sensibilisation du public) et notamment inclure ces infractions dans leur dispositif de signalement facilement accessible et visible (pour beaucoup il s’agira de rajouter une ou deux cases à cocher, et ils se verraient soumettre un nombre de signalements manifestement plus important) et lorsque les agissements sont effectivement illégaux d’en informer les autorités publiques compétentes (très souvent c’est la plateforme interministérielle https://www.internet-signalement.gouv.fr/, déjà compétente pour tout contenu ou activité illicite signalée sur Internet, qui est saisie).

On notera que nonobstant ces dispositions spécifiques, il est déjà possible de recourir à la procédure de notification plus complexe du I – 5 de l’article 6 de la LCEN pour ce type d’infractions (comme pour toute infraction). Il ne s’agit donc pas d’une évolution dans le type d’infractions qui peuvent être notifiées aux FAI et hébergeurs, mais bien d’une extension du dispositif de signalement d’accès facilité, pour permettre à tout internaute de facilement signaler un contenu relatif à ce type de propos discriminatoires, ou au happy slapping, mais aussi d’attirer plus particulièrement l’attention de ces acteurs sur ce type de contenus.

LCEN & mentions légales

Un certain nombre de mentions légales sont rendues obligatoires par l’article 6 de la loi pour la confiance dans l’économie numérique de 2004. Ce petit article pour faire le point, en notant au passage que l’on tombe très souvent sur des sites Web par ailleurs légitimes qui ne respectent pas cette loi.

Que dit ce texte?

III. – 1. Les personnes dont l’activité est d’éditer un service de communication au public en ligne mettent à disposition du public, dans un standard ouvert :

a) S’il s’agit de personnes physiques, leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription ;
b) S’il s’agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s’il s’agit d’entreprises assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription, leur capital social, l’adresse de leur siège social ;
c) Le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction au sens de l’article 93-2 de la loi n° 82-652 du 29 juillet 1982 précitée ;
d) Le nom, la dénomination ou la raison sociale et l’adresse et le numéro de téléphone du prestataire mentionné au 2 du I.
2. Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l’adresse du prestataire mentionné au 2 du I, sous réserve de lui avoir communiqué les éléments d’identification personnelle prévus au 1.
Les personnes mentionnées au 2 du I sont assujetties au secret professionnel dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, pour tout ce qui concerne la divulgation de ces éléments d’identification personnelle ou de toute information permettant d’identifier la personne concernée. Ce secret professionnel n’est pas opposable à l’autorité judiciaire.
[...]

VI. – [...]
2. Est puni d’un an d’emprisonnement et de 75 000 EUR d’amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’activité définie au III, de ne pas avoir respecté les prescriptions de ce même article.
Les personnes morales peuvent être déclarées pénalement responsables de ces infractions dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues par l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 de ce code. L’interdiction mentionnée au 2° de cet article est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

En résumé

Pour l’éditeur professionnel d’un site Web (ou toute autre forme / tout autre protocole utilisé pour diffuser un service de communication au public en ligne), ils doivent mettre à disposition sur leur site dans un standard ouvert (et donc de façon claire et facilement accessible):

  • s’il s’agit de personnes physiques : nom, prénoms, domicile, numéro de téléphone, numéro d’inscription au registre de commerce le cas échéant
  • s’il s’agit de personnes morales: dénomination ou raison social, siège social, numéro de téléphone et numéro d’enregistrement, capital social, adresse du siège social.
  • le nom du directeur ou du codirecteur de la publication, et le cas échéant, celui du responsable de la rédaction,
  • le nom, la dénomination ou la raison sociale et l’adresse et le numéro de téléphone de l’hébergeur.

Pour les personnes éditant à titre non professionnel (donc un site personnel, comme le présent blog) et s’ils souhaitent préserver leur anonymat (pour ma part, j’indique mes nom et prénom):

  • seule la publication de l’information sur l’hébergeur est obligatoire,
  • et cet hébergeur doit connaître les éléments d’identification personnelle (nom, prénoms, adresse et numéro de téléphone).

Le non respect de ces dispositions est puni d’un an de prison et de 75000 € d’amende. Toute publication de ces informations dans un format qui ne serait pas clair (en masquant les informations par un ROT13 comme dans un cas que j’ai observé récemment), l’obligation légale ne serait pas respectée et l’infraction constituée.

D’autres types de mentions peuvent être obligatoires sur un site Web, en particulier lorsqu’on collecte des données à caractère personnel. Pour ça je vous renvoie vers le site de la CNIL.

Code pénal: modifications aux articles définissant la pédopornographie et la corruption de mineur

Parmi les dispositions assez nombreuses de la loi n°2013-711 du 5 août 2013 portant diverses dispositions d’adaptation dans le domaine de la justice en application du droit de l’Union européenne et des engagements internationaux de la France, un certain nombre concernent la protection des mineurs et la transposition de la directive 2011/93/UE [nota: oui il y a une divergence de numérotation de ce texte] du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil.

Ainsi, l’article 227-23 du code pénal décrivant l’interdiction de la pédopornographie et les infractions associées devient (en gras les modifications):

Le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende. Lorsque l’image ou la représentation concerne un mineur de quinze ans [remarque: en langage juridique, désigne les personnes de moins de quinze ans], ces faits sont punis même s’ils n’ont pas été commis en vue de la diffusion de cette image ou représentation.

Le fait d’offrir, de rendre disponible ou de diffuser une telle image ou représentation, par quelque moyen que ce soit, de l’importer ou de l’exporter, de la faire importer ou de la faire exporter, est puni des mêmes peines.

Les peines sont portées à sept ans d’emprisonnement et à 100 000 euros d’amende lorsqu’il a été utilisé, pour la diffusion de l’image ou de la représentation du mineur à destination d’un public non déterminé, un réseau de communications électroniques.

La tentative des délits prévus au présent article est punie des mêmes peines. [déplacé plus bas en fait, donc concerne deux alinéas supplémentaires]

Le fait de consulter habituellement ou en contrepartie d’un paiement un service de communication au public en ligne mettant à disposition une telle image ou représentation, d’acquérir ou de détenir une telle image ou représentation par quelque moyen que ce soit est puni de deux ans d’emprisonnement et 30 000 euros d’amende.

Les infractions prévues au présent article sont punies de dix ans d’emprisonnement et de 500 000 euros d’amende lorsqu’elles sont commises en bande organisée.

La tentative des délits prévus au présent article est punie des mêmes peines.

Les dispositions du présent article sont également applicables aux images pornographiques d’une personne dont l’aspect physique est celui d’un mineur, sauf s’il est établi que cette personne était âgée de dix-huit ans au jour de la fixation ou de l’enregistrement de son image.

La définition de la corruption d’un mineur est aussi aménagée, article 227-22 du code pénal:

Le fait de favoriser ou de tenter de favoriser la corruption d’un mineur est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende. Ces peines sont portées à sept ans d’emprisonnement et 100 000 euros d’amende lorsque le mineur lorsque le mineur est âgé de moins de quinze ans ou [voir plus bas] a été mis en contact avec l’auteur des faits grâce à l’utilisation, pour la diffusion de messages à destination d’un public non déterminé, d’un réseau de communications électroniques ou que les faits sont commis dans les établissements d’enseignement ou d’éducation ou dans les locaux de l’administration, ainsi que, lors des entrées ou sorties des élèves ou du public ou dans un temps très voisin de celles-ci, aux abords de ces établissements ou locaux.

Les mêmes peines sont notamment applicables au fait, commis par un majeur, d’organiser des réunions comportant des exhibitions ou des relations sexuelles auxquelles un mineur assiste ou participe ou d’assister en connaissance de cause à de telles réunions.

Les peines sont portées à dix ans d’emprisonnement et 1 000 000 euros d’amende lorsque les faits ont été commis en bande organisée ou à l’encontre d’un mineur de quinze ans.

Suite à des échanges sur cette question sur twitter: il est rappelé que l’interdiction des représentations (y compris donc les dessins, les simulations par ordinateurs, etc.) de mineurs à caractère pornographique date de 1998 et que la simple détention de tels documents est punie explicitement depuis 2002. Aucune modification de fond n’est donc apportée sur cette question par ce nouveau texte, contrairement à ce qu’affirme Numerama. Il s’agit ici d’une aggravation des peines possibles, suite à la directive européenne.

Le parlement européen vote une nouvelle directive sur la cybercriminalité

http://commons.wikimedia.org/wiki/File:Drapeau_du_Parlement_Europ%C3%A9en_de_Strasbourg.JPG?uselang=fr

Source: Commons Wikimedia (CC/GNU FDL) par Jef132

Le 4 juillet 2013, le parlement européen a voté en première lecture le texte de la directive "relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil".

La présentation par le service de presse du Parlement Européen est disponible ici, et notamment "Le texte exige que les États membres fixent une peine de prison maximale au minimum à deux ans pour les crimes suivants: l’accès illégal aux systèmes d’information ou interférence illicite dans ces systèmes, l’interférence illicite dans des données, l’interception illégale de communications ou la production et la vente intentionnelle d’outils utilisés pour commettre ces délits."

Le texte adopté en téléchargement ici.

Dénoncer les atteintes aux mineurs sur Internet

Un des points de départ de la réflexion sur cet article, est la question de savoir s’il faut réagir aux actions de certaines personnes se réclamant des Anonymous et qui montent différentes opérations contre des sites pédophiles, propédophiles, diffusant des images ou des discussions en rapport avec ces sujets (voir l’article du Monde.fr).

Que se passe-t-il? Des personnes publient des listes de noms, d’adresses électroniques, voire d’adresses postales qui auraient été retrouvées sur différents espaces de discussion, ou d’échanges en rapport avec les atteintes aux mineurs. Par ailleurs, ils s’en prennent à certains de ces sites pour en empêcher le fonctionnement, voire à certains hébergeurs. Enfin, l’information est relayée dans la presse est l’une des questions qui se pose est de savoir s’il peut y avoir des suites judiciaires. Les personnes qui critiquent ces actions se voient parfois reprocher d’être favorables aux pédophiles.

Pour l’instant, il semblerait que sont essentiellement concernés des personnes résidant en Belgique ou aux Pays-Bas.

Beaucoup de problèmes sont soulevés par ces actions:

  • ceux qui les réalisent commettent différentes infractions et ils pourraient être mis en cause ;
  • de façon générale, il n’est pas du rôle du public de mener des enquêtes, mais celui des autorités judiciaires, dans le cadre prévu par la loi qui préserve les droits des individus et la présomption d’innocence ;
  • au passage, des personnes totalement innocentes peuvent voir leur identité mise en relation avec des infractions qu’ils n’ont pas commises, qu’il s’agisse d’erreurs d’appréciation, d’absence de preuves, de pseudonymes ou d’homonymes ;
  • il n’est pas certain que cela puisse permettre des enquêtes judiciaires, selon les circonstances et selon les pays ;
  • des enquêtes judiciaires en cours pourraient être compromises, notamment s’agissant d’opérations visant à infiltrer ce type de plateformes.

Sur Twitter aussi

Ce qu’il ne faut pas faire sur Twiter

Une autre série de débats est née de multiples "retweets" ces derniers jours appelant à signaler des comptes Twitter soupçonnés soit très clairement de diffuser des images à caractère pédopornographique, soit d’être favorables à la pédophilie. On pourra notamment lire l’article du Figaro à ce sujet et un article de blog cité par cet article (blog de Paul da Silva).

Que font les services d’enquête et la justice ?

L’action dans ce domaine est quotidienne et résolue, en Europe et plus particulièrement en France. La législation française est particulièrement claire, réprimant tout aussi bien la pédopornographie que les propositions sexuelles à des mineurs de moins de quinze ans. La pédopornographie est toute représentation pornographique mettant en scène des mineurs (c’est-à-dire des personnes de moins de 18 ans). Sont interdites la fabrication de ces documents (images ou vidéos notamment), leur diffusion ou encore leur détention ou leur consultation habituelle. Plusieurs dizaines d’enquêteurs de la police et de la gendarmerie ont été formés en France depuis le vote de la loi sur la prévention de la délinquance en 2007 aux investigations sous pseudonyme qui permettent notamment de mener des enquêtes dans des espaces de discussion destinés à préparer ou réaliser de telles infractions contre des mineurs.

L’action judiciaire se déroule la plupart du temps avec une certaine discrétion pour préserver les droits de l’ensemble des parties, qu’il s’agisse des victimes ou des mis en cause. Certaines affaires sont médiatisées pour sensibiliser le public sur cette action et contribuer à la prévention de tels faits, ou parce qu’elles se sont déroulées sous le regard du public. Au passage, contrairement à ce qui a pu être écrit dans la presse récemment, ce n’est certainement pas la semaine dernière "la première fois" qu’un compte Twitter a été fermé pour diffusion de contenus pédopornographiques.

Que peut faire le public contre les atteintes aux mineurs sur Internet ?

Il est important de se tenir informé sur les risques, notamment si l’on est parent ou que l’on s’occupe d’enfants. Il est important dans ce contexte de maintenir un dialogue avec les enfants sur leur pratique de l’Internet et selon leur âge de contrôler éventuellement cet usage (par exemple avec l’aide d’un logiciel de contrôle parental, mais ce ne sera jamais suffisant).

Si on découvre des faits qui semblent relever d’infractions de cette nature, la seule bonne solution est de les signaler aux services chargés d’enquêter sur ces faits. En France, la plateforme de signalement conjointe à la police et à la gendarmerie est hébergée par l’OCLCTIC et joignable à l’adresse: https://www.internet-signalement.gouv.fr/. En Belgique, l’adresse est https://www.ecops.be/. Une vérification systématique est réalisée sur les signalements transmis à cette équipe et si une enquête est justifiée elle sera rapidement confiée à un service spécialisé. D’autres canaux existent pour la dénonciation de contenus illicites de ce type, notamment le Point de contact de l’AFA en France (et le lien présent obligatoirement depuis la page d’accueil de tout FAI ou hébergeur en France), ou encore le réseau INHOPE.

Il ne faut surtout pas rediffuser l’adresse de ces contenus (qu’il s’agisse de l’adresse d’un site Web ou le pseudonyme d’un compte Twitter) à d’autres en appelant à les "dénoncer en masse". D’abord c’est contre-productif, parce que l’objectif est justement que ce type de contenu ne puisse être visible et qu’une seule dénonciation suffit à ce qu’un contenu soit évalué, notamment sur les plateformes de signalement officielles. Ensuite, on risque de soi-même commettre une infraction : pour diffamation si la situation a été mal évaluée (on retweete souvent ce type de message sans vérifier, ce qui semble normal) ou bien a contrario si l’on facilite la diffusion du contenu illégal (ne pas oublier que Twitter est un média mondial et qu’on est en principe lu et lisible par tout le monde).

Rajoutons que sur Twitter en particulier (voir la page d’information), comme sur Facebook (pages d’aide), on peut directement signaler un contenu préjudiciable par différentes fonctions (Lien "Signaler ce contenu" à côté d’une vidéo ou d’une image sur Twitter, ou lien "Signaler" dans le menu déroulant de chaque contenu sur Facebook).

Si un enfant est manifestement en danger immédiat, il faut prévenir rapidement des services capables de traiter urgemment la situation, par exemple en composant le 17 ou le 112 en France ou encore le 119 Allo Enfance en Danger (le 119 est joignable 24h/24 et 7 jours sur 7). Voir sur Wikipédia la liste des numéros d’urgence selon votre pays.

Enfin, si l’on souhaite s’investir durablement, différentes associations contribuent en France et ailleurs à la lutte contre les atteintes aux mineurs sur Internet. On peut citer sans ordre de préférence la Fondation pour l’EnfanceAction Innocence ou encore e-Enfance, et il y en a d’autres abordant ces questions sous différents angles.

Les réactions à l’affaire Megaupload – DDoS etc.

Tout le monde est évidemment au courant des suites de l’affaire Megaupload, sous la forme d’opérations revendiquées par différents groupes se revendiquant ou non de la bannière Anonymous.

Il n’est certainement pas question pour moi de questionner la légitimité d’un débat ou de l’expression publique, dans le respect des lois, y compris de façon particulièrement visible, pour réagir à un tel évènement ou s’opposer à des projets de lois. Toutefois, dans le cas présent, il me semble important de rappeler certaines réalités.

1. Le cas Megaupload

Sur le fond, je vous renvoie à mon article précédent sur le sujet, où vous retrouverez ce qui est reproché par les autorités américaines aux personnes mises ici en cause. Les accusations sont assez graves, tendent à montrer un système organisé visant à contourner la loi. Et bien entendu, encore une fois, les personnes ici mises en cause doivent être présumées innocentes jusqu’à ce qu’une décision judiciaire définitive ait été prise. Il est important que la justice puisse faire son travail sereinement et je ne suis pas certain que l’agitation actuelle y contribue.

Sur la forme, il existe un débat sur la proportionnalité des mesures. C’est celui exprimé souvent par des "Anonymous", repris dans certaines expressions publiques et par exemple dans l’article de Pierre Col. Soit. Nous n’avons ni vous ni moi en main l’ensemble des éléments qui ont conduit les autorités américaines à saisir l’intégralité des serveurs. Ils vont certainement s’en expliquer dans le détail, mais en tous cas le mandat qu’ils ont reçu par la mise en accusation du grand jury de Virgine les autorisait bien à saisir l’intégralité des biens et matériels de ces entreprises.

2. Sur les moyens d’expression utilisés

En l’état actuel du droit, l’essentiel des actions menées actuellement relèvent de différentes infractions pénales:

  • défacements: l’accès frauduleux dans des systèmes de traitement automatisé de données (article 323-1 du code pénal), puis la modification frauduleuse de données (article 323-3 du code pénal), sont punis en France de 2 à 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende;
  • DDoS: les attaques en déni de service sont punies, au titre de l’entrave au fonctionnement d’un système de traitement automatisé de données (article 323-2 du code pénal), de 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende ;
  • "publication" de catalogues entiers de maisons de disques: la diffusion de contrefaçons d’oeuvres de l’esprit peut être punie d’un maximum de 3 ans d’emprisonnement et 300.000 € d’amende.

Différentes analogies sont mises actuellement en avant. On compare ainsi beaucoup les attaques en déni de service à des "sit-in" ou autres "occupations" de l’espace public.

Sur le plan factuel, une attaque en déni de service distribué ne se contente pas d’empêcher les autres de se connecter sur un serveur, mais envoie par exemple sur le serveur un nombre de connexions supérieur à celui qu’il peut encaisser, ou que sa connexion puisse accepter. Parmi les conséquences éventuelles (très variables selon les cas):

  • simples difficultés d’accès, atteintes à l’image de l’organisation visée,
  • serveur arrêté totalement (vulnérabilités documentées ou non des serveurs),
  • dans de rares cas la compromission des données (par exemple, grâce à des requêtes spécialement destinées à s’en prendre aux bases de données sous-jacentes, ce n’est apparemment pas le cas dans l’usage fait aujourd’hui de l’outil LOIC),
  • investissements (au moins en termes d’heures ingénieur / technicien) pour remettre en fonctionnement,
  • coût de la sécurisation contre un type d’attaques non encore pris en compte (pas forcément à la portée financière de n’importe quelle entreprise ou organisation),
  • la perte de clients ou le fait que des clients n’aient pas accès à leurs services légitimes, dédommagement de ces clients ou de ces usagers (flagrant lors de l’attaque de certaines banques en ligne voilà un an),
  • éventuellement une perte de chance pour ces mêmes clients ou usagers (voir article Wikipédia sur les dommages au civil en droit français),
  • des atteintes à la liberté d’expression (cas flagrant de l’Express hier, mais les médias ne sont pas les seuls à disposer de la liberté d’expression),
  • selon la cible et si les services du serveur sont essentiels, mise en danger de la vie d’autrui, etc. (pas rencontré dans les attaques de cette semaine apparemment).

Sur le plan juridique, l’occupation illégale de l’espace public (attroupement), a généralement pour seule conséquence le risque d’un usage de la force pour disperser cet attroupement (article 431-3 du code pénal).

3. Tentative de conclusion

Sur le fond, chacun est évidemment et très heureusement libre d’avoir son avis et de l’exprimer suite à ce qui est advenu à la société Megaupload et ses dirigeants, et nous en apprendrons certainement plus dans les mois qui viennent.

Sur la forme des réactions, alors que nous habitons des pays démocratiques, où la liberté de s’exprimer, de manifester est particulièrement large et même facilitée, l’utilisation de tactiques certes efficaces sur le plan du bruit médiatique telles que des attaques informatiques me semblent à la fois contre-productives et dangereuses. Contre-productives parce que très clivantes et stigmatisantes (il y a forcément une portion non négligeable de la population qui n’adhérera pas), et dangereuses parce que le risque juridique est très mal évalué par ceux qui y participent.

Et comme on le dit très souvent, les conseilleurs ne sont pas les payeurs: expliquer aux jeunes et moins jeunes que participer à des DDoS et autres opérations du même type relèverait de la manifestation ou du sit-in est aujourd’hui factuellement et juridiquement faux.

Megaupload – Synthèse des faits présentés

Kim Schmitz devant un tribunal NZ

Le 19 janvier, le ministère de la justice américaine annonçait la mise en accusation et l’arrestation des dirigeants de la société Megaupload ainsi que l’arrêt complet de ses activités. Le principal accusé n’a pas facilité son arrestation (les accès étaient hermétiquement fermés) et était alors armé. L’opération menée par les autorités fédérales américaines, en coopération avec les autorités de Nouvelle-Zélande et d’autres pays, contre la nébuleuse Megaupload et sept de ses dirigeants a fait beaucoup de bruit cette semaine. Je vous propose d’examiner les faits présentés par les enquêteurs.

En préambule, j’avais déjà abordé le sujet du streaming et de sa légalité il y a quelques temps. Des sites légitimes de mise à disposition de contenus audiovisuels existent (Dailymotion, Youtube et les plateformes commerciales de diffusion vidéo telles celle d’Apple – Itunes, de la Fnac, etc.), qu’ils aient des accords (commerciaux ou non) avec les ayants-droits ou qu’ils suppriment systématiquement et de façon définitive les contenus contrefaisants. Une des particularités de Megaupload est qu’ils offrent aussi les fichiers au téléchargement direct ce qui peut changer l’interprétation au regard de la législation des différents pays, puisque dans ce cas-là il n’y a pas uniquement une "représentation" de l’oeuvre, mais bien une mise à disposition et la copie qui sont rendues possibles.

L’une des questions que l’on peut se poser est donc: est-ce que Megaupload et les autres sites de la galaxie Mega diffusaient majoritairement des contenus d’origine légale et respectaient la législation en vigueur dans les différentes régions du monde en matière de retrait de contenus signalés, ou bien est-ce qu’ils se comportaient comme un hébergeur bienveillant pour les contenus d’origine illégale ? En résumé, sont-ils de simples hébergeurs, respectueux de la législation, des hébergeurs pas très sérieux et à qui il faudrait demander de corriger le tir, des hébergeurs regardant d’abord leur intérêt commercial avant de respecter les lois et règlements ou bien pire, est-ce qu’ils incitent par leur fonctionnement à des activités illégales ?

Je vous propose de jeter un coup d’oeil au document de mise en accusation obtenu le 5 janvier dernier par les autorités fédérales devant le grand jury d’Alexandria en Virginie, USA (disponible par exemple sur scribd). Pour en savoir plus sur le rôle d’un grand jury dans le système américain, vous pouvez consulter l’article du Wikipédia anglais ici. Il s’agit de la forme de jury chargée d’examiner et de valider ou rejeter les mises en accusation.

Bien entendu, tant que les personnes n’ont pas été définitivement condamnées, elles doivent être considérées comme innocentes.

Infractions retenues

Cinq infractions principales ont été présentées dans ce dossier contre les personnes mises en cause (traduction personnelle):

  • conspiration en vue de commettre des actions de racket ;
  • conspiration en vue de commettre des atteintes à la propriété intellectuelle ;
  • conspiration en vue de commettre du blanchiment d’argent ;
  • l’infraction spécifique de diffusion de contenus protégés par un droit de propriété intellectuelle sur un réseau informatique et la complicité de tels actes ;
  • l’infraction spécifique d’atteintes à la propriété intellectuelle par des moyens électroniques et la complicité de tels actes.

La conspiration (conspiracy) correspond à l’infraction française d’association de malfaiteurs (article 450-1 du code pénal). Le document publié à cette occasion permet de comprendre les faits qui sous-tendent cette hypothèse.

Les faits présentés dans l’acte d’accusation

La liste de faits que nous allons faire ci-dessous correspond aux documents présentés par les autorités fédérales américaines. Bien entendu nous ne disposons pas ici de l’ensemble des éléments de preuve qui étayent ces déclarations, aussi ils sont à prendre avec toute la précaution nécessaire, ces éléments de preuve devront notamment être discutés devant le tribunal chargé d’examiner ce dossier. Toutefois, le premier tribunal qui a examiné les faits – le grand jury évoqué plus haut – les a tous retenus. Je ne retiendrai ici que les faits les plus saillants. Je mettrai entre [crochets] le numéro du paragraphe de l’acte d’accusation.

Audience des sites Mega

[3] Le site Megaupload était reconnu comme le 13e site Internet le plus visité au monde, avec plus d’un milliard de visiteurs sur toute son existence et 180 millions de comptes enregistrés, 50 millions de visites quotidiennes et 4% du trafic mondial sur Internet.

[16] Le site Megavideo quant à lui, qui était utilisé pour visualiser directement les films diffusés par les serveurs de Mega ou insérer un outil de visualisation sur un site tiers était classé 52e parmi les sites les plus populaires dans le monde.

Capacité de stockage

[38] La société Carpathia (Etats-Unis) louait plus de 25 péta-octets de capacité de stockage à la galaxie Mega, dans plus de 1000 serveurs. Leaseweb (Pays-Bas) de son côté louait plus de 630 serveurs aux mêmes clients.

[69.c] Plus de 65 millions de dollars ont été versés par Mega à ses hébergeurs.

Revenus

[4] Les abonnements permettant un accès illimité au site (sans aucune limite de téléchargement) étaient facturés de quelques dollars par jour à près de €200 pour un abonnement à vie (premium). Les revenus des abonnements sont évalués à 150 millions de dollars. Les revenus publicitaires des plateformes gérées par la société Mega sont évalués à 25 millions de dollars. Aucun reversement significatif ne serait réalisé vers les ayants droits des œuvres protégées.

[9] Les utilisateurs ne disposant pas d’un abonnement premium doivent attendre des temps souvent supérieurs à une heure avant de pouvoir télécharger le contenu souhaité et sont régulièrement incités à souscrire un abonnement.

Nota rajouté à 23:45 : différents trucs étaient échangés entre les utilisateurs pour contourner cette limite. En réalité la possibilité de contourner et donc la possibilité résultante d’échanger différents trucs faisait peut-être partie (je fais ici une hypothèse) du système mis en place pour favoriser le marché parallèle autour des sites de liens et de forums d’utilisateurs.

[17] La visualisation (sur megavideo.com) est limitée à 72 minutes pour tous les utilisateurs non-premium. Les films commerciaux ont une durée le plus souvent supérieure à cette limite ce qui semble indiquer qu’une partie des abonnés premium payait pour pouvoir accéder à ce type de contenus.

[18] Les revenus publicitaires, après avoir été obtenus auprès de prestataires classiques, étaient plus récemment issus exclusivement d’une filiale de la galaxie Mega, Megaclick.com, qui annonçait des tarifs pour les annonceurs nettement supérieurs à ceux couramment pratiqués. [69.y] Google Ad Sense signifie aux responsables de Mega en may 2007 que le nombre d’activités illégales présentes sur leurs plateformes ne leur permet plus de travailler avec eux.

[29] Les revenus personnels de l’accusé principal, Kim Dotcom (suite à un changement officiel de nom…) s’élevaient pour l’année 2010 à plus de 42 millions de dollars.

[41] Plus de 110 millions de dollars parmi les revenus ont transité par le compte Paypal de la galaxie Mega. [42] Plus de 5 millions de dollars par un compte Moneybookers.

[44] Parmi les annonceurs, la société PartyGaming PLC (Partypoker.com) est citée comme ayant dépensé près de 3 millions de dollars en publicités sur les plateformes de la galaxie Mega.

[69] De nombreux exemples dans ce paragraphe montrent que les employés de Mega sont conscients de la diffusion de contrefaçons sur la plateforme et qu’il s’agit de la motivation de l’abonnement par leurs clients.

Rémunération des diffuseurs

[4] Une partie des revenus aurait été utilisée pour rétribuer des personnes qui envoient vers la plateforme des contenus en quantité et de qualité au travers d’un programme appelé "Uploader rewards".

[69] Ce système de récompense était mis en place dès septembre 2005 et permettait aux personnes qui généraient plus 50.000 téléchargements en trois mois de recevoir $1 pour chaque tranche de mille téléchargements. Dans la version la plus récente notée par les enquêteurs [69.g] le programme consistait à accumuler des points qui donnaient droit soit à des abonnements, soit au versement de sommes d’argent ($10,000 pour 5 millions de points, 1 point étant obtenu pour chaque téléchargement).

Nota: en soi, un système de récompense pour des diffuseurs efficaces n’est pas choquant. Ainsi Youtube a un programme Partenaire et rémunère ses producteurs qui ont la plus grande audience. Toutefois, il doit évidemment s’agir de contenu original sur lequel la personne qui les met à disposition dispose des droits afférents.

[69.r, u] Des copies de courriers électroniques saisis révèlent que des utilisateurs étaient spécifiquement récompensés pour avoir diffusé des contenus contrefaisants (copies de DVD, musiques, magazines).

[69.h...] On note dans ce passage (et dans d’autres [69.bbbb] que des contenus hébergés par Youtube étaient copiés par la galaxie Mega pour être mis à disposition sur leur plateforme (jusqu’à 30% des vidéos présentes sur Youtube).

Utilisation pour le stockage de documents personnels

[7] Les enquêteurs relèvent que seuls les abonnés premium avaient la garantie que leurs contenus seraient conservés sur les sites de la société Mega. Dans tous les autres cas (visiteurs anonymes ou usagers enregistrés gratuits ou non premium), les contenus sont supprimés s’ils ne sont pas téléchargés régulièrement (donc s’ils n’attirent pas un trafic suffisant, en effet toutes les pages de téléchargement affichent des publicités [8]).

[9] Les enquêteurs soulignent encore certaines fonctions qui ne correspondent pas à un usage pour stockage personnel mais plutôt un usage pour une diffusion large, par exemple lorsque les utilisateurs enregistrés sont invités à créer un lien spécifique dans leur compte personnel vers un contenu déjà existant et mis à disposition par un autre utilisateur.

La recherche de contenus

Contrairement à tous les sites populaires de visualisation de vidéos, le site Megavideo.com [10] ne propose pas de moteur de recherche. Au contraire, les utilisateurs sont incités à créer des liens et parfois rémunérés au travers du programme "Uploader rewards", depuis des sites extérieurs. Ainsi on a vu se créer toute une galaxie de blogs, forums et autres sites de liens qui assuraient la publicité des téléchargements de la société Mega.

Certains des sites diffusant ces liens avaient déjà été saisis sur requête des autorités américaines. Ainsi ninjavideo.net amène aujourd’hui sur un message très clair:

La personne gérant le site de liens ninjavideo.net a été condamnée le 20 janvier 2012 à 14 mois d’emprisonnement, deux années de mise à l’épreuve, $172,387 d’amende et à la confiscation de ses comptes et matériels.

[14] Selon les enquêteurs, les associés de la société Mega se seraient servis de moteurs de recherches internes pour identifier plus facilement des contenus intéressants et contrefaisants [69.bb, dd, ee]. En outre, la liste des 100 téléchargements les plus populaires aurait été altérée [15] pour n’afficher que des contenus qui paraissent légitimes (extraits de films diffusés librement par exemple).

[19] Les recherches étaient possibles sur Megavideo.com mais semblaient filtrées. Ainsi la recherche de contenus protégés par des droits de propriété intellectuelle ne ramenait aucun résultat alors que les contenus étaient bien accessibles sur la plateforme grâce à des liens directs. D’ailleurs, dans [69.rrrr] on voit qu’ils envisagent en septembre 2011 de rajouter des vidéos complètes dans leurs résultats.

Retrait des contenus illégaux

[20..23] Lorsque des contenus contrefaisants leur étaient signalés par les ayants-droits, uniquement le lien faisant l’objet du signalement était supprimé. Or, la plateforme Mega ne stockait un fichier identique qu’une seule fois, apparemment grâce à de simples fonctions de hachage classiques (MD5). Et le fichier contrefaisant stocké une seule fois dans leurs systèmes et l’ensemble des autres liens de leur plateforme pointant vers le même fichier n’étaient pas supprimés en même temps que le lien objet du signalement, permettant à l’infraction de se poursuivre, alors qu’il aurait été facile de les supprimer automatiquement.

[24] D’ailleurs, lorsqu’il s’agissait de retirer des contenus plus problématiques pour eux (dont la pédopornographie), ils utilisaient bien cette méthode pour supprimer intégralement le contenu de leur plateforme.

[25] Des demandes officielles ont été adressées en juin 2010 à la société Mega au sujet de 39 films diffusés illégalement sur la plateforme. Au 18 novembre 2011, 36 de ces films étaient encore disponibles.

[69.q] En utilisant son compte personnel Kim Dotcom aurait personnellement mis à disposition en décembre 2006 une copie d’un morceau du chanteur 50 Cent, toujours accessible sur la plateforme en décembre 2011. Les enquêteurs relèvent d’autres exemples de diffusion par des personnels de Mega, ou de preuve qu’ils se servaient eux-mêmes de la plateforme pour visualiser des contrefaçons [69.ww].

[69.jj] Parmi les instructions données par Kim Dotcom à ses subordonnés, les signalements de contenus contrefaisants provenant de particuliers doivent être ignorés. De même, il invite ses collaborateurs à ne pas traiter les signalements massifs [69.zz, aaa]. Les ayants-droits sont d’ailleurs limités dans les demandes qu’ils peuvent faire chaque jour dans les interfaces qui leur sont dédiées [69.lll cite un problème avec un représentant de la société Warner].

[69.vv] Dans ces exemples d’échanges électroniques entre les responsables de Mega, on voit qu’un de leurs soucis est bien de faciliter une visualisation de qualité (problèmes de synchronisation audio) de contenus contrefaisants (séries télé).

[69.ffff] Il est explicitement reproché à Mega de ne pas avoir mis en place de procédures pour détecter et supprimer les comptes des utilisateurs commettant de multiples infractions à la législation sur la propriété intellectuelle.

Se protéger des poursuites

[69.qqq] Pour éviter tout souci avec les autorités locales à Hong Kong, les responsables de Mega s’interdisent de diffuser quelque contenu que ce soit sur ce territoire.

[69.uuu] Suite à la saisie de plusieurs noms de domaine (en .com, etc.) par les autorités américaines, les responsables de Mega envisagent de changer pour des noms de domaine échappant au pouvoir des autorités américaines.

[69.llll] Les responsables de Mega plaisantent parfois entre eux sur les risques à se rendre dans certains pays, ici l’Allemagne suite à une affaire mettant en cause le site de liens kino.to.

[69.tttt] Les contenus contrefaisants sont exclus des résultats des recherches justement pour éviter des poursuites indique un des responsables de Mega à un hébergeur inquiet.

La suite des opérations

La saisie de leurs biens, mais aussi de l’ensemble des serveurs situés pour l’essentiel aux Etats-Unis et aux Pays-Bas, a entraîné la cessation globale des activités de la galaxie Mega.

Les débats à venir porteront notamment sur la neutralité des hébergeurs, et la neutralité particulière de l’hébergeur Megaupload. Les autorités américaines vont certainement poursuivre leurs investigations et vouloir mettre en cause de façon encore plus précise les responsables de cette société. En particulier, pour l’instant, on ne trouve pas d’éléments chiffrés sur la proportion de contenus légaux par rapport aux contenus illégaux présents sur la plateforme. Le procès, qui devrait avoir lieu aux Etats-Unis étant donné les accords d’extradition existants avec la Nouvelle-Zélande ne manquera pas d’être des plus intéressants. A suivre donc.

Le virus "Gendarmerie" – Bilan de la semaine

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Mise à jour du 15 janvier 2012: Attention, ce virus se propage toujours, par exemple avec des variantes réclamant 100 euros et utilisant ce genre de pages d’avertissement, comme le signale le forum Malekal (voir ici):

Drôle de semaine pour pas mal d’usagers de l’Internet et pour la communauté NTECH de la gendarmerie. En effet, dès samedi 10 décembre nous avons commencé à recevoir des sollicitations au sujet de tentatives d’escroquerie utilisant l’image de la gendarmerie. La spécificité de cette campagne par rapport aux escroqueries par courrier électronique dont nous sommes familiers, c’est qu’elles exploitaient un virus informatique.

Le processus vécu par les victimes est le suivant: en visitant un site à fort trafic (notamment des sites diffusant des vidéos en streaming), une publicité affichée sur le site déclenche l’exécution d’un programme qui exploite une vulnérabilité présente sur leur ordinateur (notamment dans des versions de Java sous Windows XP et Windows Vista). Celle-ci installe ensuite le cheval de Troie (souvent après des messages d’avertissement mal interprétés par les victimes) qui vient bloquer l’ordinateur et affiche un message réclamant le paiement d’une amende.

Les escroqueries sur Internet adoptent de nombreux ressorts pour parvenir à leurs fins. Celle-ci en cumule plusieurs qu’il est intéressant de décomposer:

  • l’utilisation de l’image d’une institution ou d’une entreprise;
  • la faute que l’on peut réparer;
  • l’obstruction.

Utilisation de l’image d’une institution

Les campagnes de phishing, les escroqueries à la lotterie et beaucoup d’autres formes de scams utilisent l’image d’une institution. Récemment ont été évoquées les campagnes de phishing liées aux impôts, mais ce sont aussi les plus grandes marques – et en particulier les établissements bancaires et les sociétés de l’Internet – qui voient leur image utilisée. Très souvent c’est uniquement le logo et la marque, mais parfois cela va plus loin et c’est toute la mise en page classique d’un document ou d’un site Web qui sont utilisés pour tromper la victime.

Dans le cas présent, c’est le logo de la gendarmerie qui est exploité, associé à celui de la République française. Ils sont naturellement associés au respect de la loi:

Le symbole de la République utilisé est une de ses représentations historiques: le faisceau de licteur, mais dans la version que l’on retrouve sur Wikipédia. Il est aujourd’hui utilisé par la Présidence de la République et on le retrouve par exemple sur nos passeports.

C’est donc très clairement le public français qui est visé. D’ailleurs, la version du virus qui est diffusée en France est effectivement liée à l’implantation géographique de la victime. En effet, comme ont pu le noter certains analystes (voir article sur Malekal), le mode de diffusion de ce virus utilise la possibilité pour des bannières publicitaires de s’adapter au pays d’où provient la connexion (c’est une fonctionnalité offerte par les sociétés qui offrent ce type de services). Derrière ce sont de véritables kits qui sont exploités (comme Blackhole) et donc vont permettre de déclencher des vulnérabilités en fonction de la configuration de la machine visée.

Dans les cas précédents qui ont été rapportés récemment, ce sont d’autres services de police qui ont été utilisés, en particulier la police allemande, mais aussi suisse, espagnole, hollandaise ou argentine.

La faute que l’on peut réparer

Le message d’alerte affiche ensuite une liste de fautes que l’on aurait commises: pédopornographie et atteintes aux droits d’auteurs. Ce mécanisme fait appel à l’inconscient collectif fortement marqué par ces sujets. Ainsi, une personne qui va sur des sites pornographiques en se cachant de son entourage pourra penser qu’il a pu visiter des sites illégaux sans y faire attention. Une autre qui télécharge des séries ou des films, sans toujours vérifier si leur origine est légale se sentira concernée. La victime est alors placée dans l’incertitude (qu’est-ce qu’on me reproche exactement ?), dans le qu’en dira-t-on (qu’est-ce que vont en penser ma femme, mes collègues ?) et dans la crainte d’une action policière (je n’ai jamais rencontré les gendarmes… est-ce qu’ils vont être durs avec moi ?).

Mais tout de suite, est offerte la possibilité de s’en sortir, par le paiement d’une amende. Le montant a l’air suffisamment sérieux (100 ou 200€ dans les cas rapportés), même si la méthode de paiement paraît un peu moins officielle (tickets et cartes prépayés).

Dans les autres formes de rançons réclamées par des escrocs, souvent le ressort de la sexualité est utilisé (et les interdits qui y sont associés), et l’accusation très forte et exagérée pour faire peur ("la femme avec qui tu discutais était ma petite sœur mineure…"). Il s’agit ici d’isoler les victimes, de les placer dans un angle dont elles ne pensent pas pouvoir se sortir, où elles auront même peur d’appeler à l’aide. L’escroc est devenu le seul ami de la victime, celui qui peut l’aider.

L’obstruction

C’est la même logique et d’autres ressorts qui sont utilisés dans les virus de rançonnement et exploités ici de façon complémentaire. L’ordinateur ne fonctionne plus et on en a besoin (ou bien on a peur d’expliquer à son propriétaire qui nous l’a prêté qu’on a fait une bêtise). Un obstacle de plus donc entre la victime et la solution de son problème. Dans certaines formes simplifiées de ces virus, c’est un simple blocage de l’ordinateur (fenêtre d’avertissement empêchant l’utilisation et parfois chiffrement des données rendant l’ordinateur inutilisable) ou du téléphone qui est réalisé:

Voir l'article d'origine ici

Bilan de la semaine

Dès le week-end dernier, la communauté des enquêteurs NTECH s’est mobilisée pour échanger de l’information sur ces affaires, d’abord pour avertir les collègues de ces cas, puis donner les bons conseils aux enquêteurs et aux victimes. Des fiches d’information ont par exemple été diffusées par les NTECH dans chaque département. Des échanges ont aussi lieu avec la police nationale, localement et nationalement (avec l’OCLCTIC et la plateforme de signalement Pharos, avec la BEFTI à Paris), qui reçoivent aussi de nombreuses sollicitations.

Pour faciliter la coordination, la permanence de la division de lutte contre la cybercriminalité, a ainsi reçu et traité plusieurs dizaines d’appels par jour sur ce dossier, recoupé et relayé les informations.

Le service de presse (SIRPA) de la gendarmerie a diffusé l’information auprès de l’AFP dès mardi (dépêche AFP reprise ici sur Tahiti infos) pour informer les médias et les pousser à reprendre les informations utiles diffusées sur un certain nombre de forums d’entraide.

L’information est reprise:

Plusieurs centaines de personnes ont dû voir leur machine contaminée au cours de la semaine en France par cette variante du logiciel malveillant. Tout le territoire français était concerné, d’où l’intérêt d’un dispositif dense d’enquêteurs formés ou sensibilisés à ces questions. Moins d’une dizaine de personnes ont effectivement payé la somme, des plaintes ont alors été prises et des enquêtes ouvertes.

Les conseils

D’abord de bon sens: la gendarmerie, la police ou les services publics en général, n’iront pas bloquer votre ordinateur et vous menacer de devoir payer une amende, encore moins pour des faits totalement vagues et par un moyen de paiement plutôt réservé à des applications ludiques. Donc, dans ces cas-là se renseigner sur Internet (comme l’ont fait de nombreuses victimes sur des forums d’échanges) ou appeler l’administration concernée et ne jamais payer de sommes d’argent dans un tel contexte.

Sur le plan technique ensuite: tenir à jour son système d’exploitation, les différents logiciels et ajouts (plugins) installés (Java, Flash, Adobe reader pour ne citer que quelques-uns), ainsi que les solutions de sécurité (tels les antivirus). Pour les personnes dont l’ordinateur a été contaminé, plusieurs guides d’aide à la désinfection existent (Melani- agence Suisse de sécurité informatique – signalé par @xylit0lMalekal).

Sur le plan judiciaire enfin. Evidemment, l’installation malveillante d’un virus sur un ordinateur constitue une atteinte à un système de traitement automatisé de données, puni notamment en France par les articles 323-1 et suivants du code pénal. Toutefois, il n’est pas forcément judicieux de porter plainte pour toutes les occurrences de tels faits, même si vous en avez parfaitement le droit. Nous sommes parfaitement au courant que chaque jour des centaines de personnes sont concernées en France et les enquêteurs de la communauté NTECH sont d’ailleurs mobilisés pour répondre à vos questions et vous assister, en particulier sur ce cas comme je vous l’expliquais plus haut.

Dans ce cas, le conseil que l’on peut donner, est de ne déposer formellement plainte que si vous avez malheureusement payé la rançon réclamée. Cela nous permettra d’envisager, avec l’accord des juridictions locales concernées (votre Procureur de la République), de remonter sur les moyens de paiement utilisés.

Autres images

Version OCLCTIC

Un chapitre collaboratif ?

Photo de Rahego

Un article un peu inhabituel et court pour lancer un appel à commentaires auprès de mes lecteurs sur leurs sujets de préoccupation du moment en matière de cybercriminalité.

J’ai commencé depuis quelques mois la rédaction d’un livre sur la cybercriminalité et la cybersécurité et l’idée ici est d’en consacrer une partie, soit dans les chapitres déjà prévus, soit dans un chapitre à part, aux questions, aux préoccupations du moment, de mes lecteurs.

A vos claviers ! Toutes les questions et tous les commentaires sont les bienvenus.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 131 autres abonnés

%d bloggers like this: