Rendez-vous au FIC 2014

fic 2014Bien installé dans le paysage des événements liés à la cybersécurité, le 6ème Forum International sur la Cybersécurité aura lieu les 21 et 22 janvier prochains à Lille Grand Palais.

Pour vous inscrire: http://www.forum-fic.com/

La thématique générale de cette année est "Identité numérique et confiance", mais vous trouverez dans le programme de nombreux thèmes qui vous intéresseront, notamment ceux qui sont au cœur de la lutte contre la cybercriminalité. Cet événement se veut ouvert et tourné vers les entreprises, les collectivités locales, les administrations et le citoyen. C’est pour cela que cette année encore l’entrée est gratuite. En y participant, vous pourrez échanger dans les couloirs et au moment des pauses, poser des questions lors des débats, des ateliers et des conférences.

Cette année plusieurs nouveautés importantes:

  • l’organisation d’un challenge forensique à destination des étudiants et des débutants dans l’investigation numérique (les inscriptions sont closes depuis le 31 décembre);
  • de nombreux ateliers seront en anglais ou traduits en anglais pour une meilleure ouverture vers nos visiteurs étrangers;
  • l’attribution d’un prix de la PME innovante.

Pour ma part je participerai à deux occasions:

  • Une conférence de 45 minutes sur la lutte contre la cybercriminalité
  • Un atelier que j’animerai avec Guillaume Arcas (Sekoia) sur la réponse aux incidents dans les entreprises. La réponse aux incidents comporte notamment les techniques qui sont mises en oeuvre pour comprendre l’origine et l’importance d’un incident de sécurité informatique, collecter éventuellement des preuves (en vue d’un dépôt de plainte) et aider aux processus de reprise d’activité. Cet atelier se déroulera en trois temps, avec une introduction concrète sur ce qu’est la réponse aux incidents, une démonstration des méthodes utilisées puis une table ronde pour discuter avec la salle des enjeux et difficultés de la réponse aux incidents avec plusieurs intervenants.

Rendez-vous à Lille !

La citadelle du crime

L’évolution du botnet Citadel est suivie depuis plusieurs mois par différents chercheurs. Il montre une tendance intéressante (si l’on peut dire) dans la pratique des groupes criminels numériques: une véritable gestion de la clientèle et l’utilisation des modèles modernes de développement d’applications en source ouverte. Cet exemple montre des développements importants dans le domaine du CaaS – crime as a service, ou le crime vendu comme un service.

Historique

En mai 2011, le code source du malware Zeus est révélé. Dans la foulée, des variantes sont développées dont IceIX et aujourd’hui Citadel.

Panneau de commande du botnet Citadel v.1.2.4 (source: Seculert)

Les services offerts par la citadelle

Une fois la licence de Citadel acquise (le prix public serait de $2.399 plus un abonnement de $125 mensuels), le ‘client’ est invité à rejoindre la communauté en ligne des acheteurs de Citadel: le "Citadel Store" (voir l’article de Brian Krebs). Ils ont ainsi accès :

  • à la possibilité de voter pour de nouvelles fonctionnalités et en discuter le détail ;
  • la progression des développements (dates de sortie des nouveaux modules) ;
  • au signalement des bugs au travers d’un classique système de gestion de tickets ;
  • à une documentation complète pour l’utilisateur, des notes de version et un document de licence (sic !).

Vous pouvez lire sur le Wiki Botnets une traduction en anglais (par @sherb1n) d’un message publicitaire du groupe qui anime Citadel sur un forum destiné à des acheteurs potentiels.

Très clairement, il s’agit de fidéliser la clientèle et donc de développer ses revenus (ils demandent même des avances aux clients qui souhaitent voir un développement particulier arriver plus rapidement), mais aussi de profiter des informations que les clients obtiennent pour améliorer le produit et le rendre plus efficace. Ils vont ainsi beaucoup plus loin que les contacts via ICQ ou Jabber classiquement utilisés par les développeurs de logiciels malveillants (voir l’article de Brian Krebs).

Le groupe qui se cache derrière le Citadel Store se comporte comme n’importe quelle entreprise. Ainsi, ils ont des horaires de bureau (de 10h00 à 00h30 tout de même, donc très geeks) et se reposent le week-end. Au mois de mars 2011, Seculert rapportait déjà (voir leur blog) l’importance des services de type commercial développé par les criminels dans le domaine des plateformes d’exploits (il s’agit de plateformes telles Blackhole ou Incognito qui regroupent en un seul outil intégré un ensemble d’outils permettant de contaminer une grande variété de machines victimes visitant par exemple un site Web).

J’avais déjà eu l’occasion de souligner le développement des groupes criminels comme de véritables entreprises:

Les fonctionnalités offertes par Citadel

Selon Seculert (voir sur leur blog), une nouvelle version de Citadel est publiée chaque semaine, soit un rythme beaucoup plus soutenu que ce qu’on a pu remarquer pour Zeus ou SpyEye.

A ce jour, le botnet Citadel offrirait les fonctionnalités suivantes (voir notamment l’article de Seculert):

  • toutes les fonctionnalités connues de Zeus, mais avec des améliorations comme la collecte d’identifiants de connexion sur le navigateur Chrome de Google ;
  • chiffrement RC4 et AES pour les communications ;
  • contre-mesures pour les plateformes de suivi des serveurs de commande des botnets (tel Zeus Tracker), grâce à l’utilisation de clés qui seules permettent de télécharger des mises à jour ou des fichiers de configuration ;
  • blocage de l’accès par les machines infectées aux serveurs de mise à jour des anti-virus ;
  • enregistrement de vidéos (au format MKV) de l’activité de l’utilisateur visitant un site Web particulier ou utilisant une application (il s’agit d’une option du botnet) ;
  • la mise à jour via le protocole Jabber de l’ensemble des bots pour éviter la détection par les antivirus (cette option serait facturée $395 et chaque mise à jour $15) ;
  • plus classique, il est possible d’empêcher le bot de fonctionner sur les machines dont le clavier est configuré pour le russe ou l’ukrainien.

Interface de création du bot - logiciel malveillant (Source: Brian Krebs)

Pour prolonger…

Cet article est l’occasion d’attirer l’attention sur un projet lancé voici quelques semaines: https://www.botnets.fr/ un Wiki sur les botnets que j’anime dans le cadre de la thèse que j’ai commencée sur le sujet de la lutte contre les botnets. Si vous voulez participer à ce Wiki n’hésitez pas à nous rejoindre sur IRC chat.freenode.net #botnets.fr et à vous inscrire sur le Wiki.

L’Europe en lutte contre la cybercriminalité

Dans son rapport 2011 sur la Criminalité en France, l’ONDRP – Observatoire national de la délinquance et des réponses pénales, publié en novembre 2011, a consacré un dossier entier à la cybercriminalité.

La synthèse du rapport est disponible en téléchargement. Le rapport dans son intégralité est publié chez CNRS éditions.

Au sommaire de ce rapport, un article sur la lutte contre la cybercriminalité en Europe que j’ai rédigé au cours de l’été dernier. Je vous le propose aujourd’hui en téléchargement, avec l’aimable autorisation de l’ONDRP.

Son introduction:

Lutter contre la cybercriminalité à l’échelle européenne est à la fois une nécessité et une gageure. La cybercriminalité n’a pas de frontières – même si l’on verra qu’il en subsiste – et les systèmes judiciaires, les cultures, les frontières physiques créent autant de barrières à un contrôle efficace de ces formes de délinquance. Après un peu plus de vingt ans d’actions, d’initiatives et de réussites dispersées mais convaincantes, l’Europe de la lutte contre la cybercriminalité semble vouloir prendre un nouveau virage avec la création d’un véritable outil commun, un Centre Européen de lutte contre la Cybercriminalité – annoncé par le Conseil de l’Union Européenne le 29 avril 2010 et qui devrait voir le jour en 2013. Après avoir parcouru les enjeux et les différentes étapes de cette lutte, nous envisagerons quelques-unes des composantes qui paraissent essentielles pour ces nouveaux outils.

La suite dans le PDF joint.

Lancement d’une communauté opensource pour l’investigation numérique

Cet après-midi, 8 décembre, nous réunissions à Paris les premiers partenaires qui ont accepté de nous soutenir pour la création et l’animation d’une communauté francophone autour des outils opensource pour l’investigation numérique, dans le cadre du centre d’excellence français contre la cybercriminalité (voir ici l’article d’introduction sur le projet 2CENTRE et sur les premières activités déjà lancées).

Nous avons pu ainsi discuter des participants potentiels, des objectifs et des besoins concrets d’une telle communauté. Après une présentation des sociétés Arxsys et Openwide sur leur expérience dans les développements opensource (voir notamment la plateforme DFF gérée par Arxsys), les enquêteurs, spécialistes en sécurité, étudiants, chercheurs, industriels que nous avions réuni ont pu échanger et proposer une première vision sur cette communauté à construire.

Les besoins en outils de l’investigation numérique recouvrent plusieurs domaines parmi lesquels on peut citer : l’analyse criminalistique des supports de preuve (disques durs, téléphones mobiles, etc.), les méthodes et les outils d’investigation sur les réseaux ou d’analyse de traces, et encore, si on rentre dans les détails, l’analyse des virus informatiques ou la comparaison des images pédopornographiques.

Potentiellement donc beaucoup de besoins, mais peu de visibilité encore des acteurs francophones qui s’investissent dans ce domaine. Peu d’occasions pour eux aussi d’échanger sur l’analyse des besoins, les projets existants, les difficultés rencontrées, le développement de documentations pour les utilisateurs ou l’évaluation de leurs outils.

Beaucoup de questions aussi, qui seront plus faciles à résoudre collectivement, comme celles qui touchent à la déontologie (comme en matière de sécurité, peut-on et doit-on tout publier ?), la science (comment valoriser les approches scientifiques dans les investigations numériques, comment mener et publier des recherches sur des cas réels) ou la question des jeux de test (comment créer des exemples réalistes pour la formation, le développement ou l’évaluation des outils).

Si vous êtes intéressé pour participer et rejoindre cette communauté, merci d’écrire à opensource[à]crimenumerique.fr, nous vous tiendrons ainsi directement informés. Dès le premier trimestre 2012 nos premiers outils devraient être mis en place, donc ne tardez pas à nous contacter.

Allez voir "Polisse"

22h15 hier soir, la lumière se rallume doucement dans la plus grande salle du Forum des Halles pendant que le générique de fin défile, dans un silence presque total. Le public est scotché dans les fauteuils. Deux heures viennent de s’écouler où nous avons partagé une année de tensions, d’action, d’auditions, de nausées, de franches rigolades, de crises de nerfs, d’élans d’amitié, de détresses humaines, de familles blessées, des regards d’enfants heureux malgré tout et d’adolescents souvent paumés.

Cerise sur le gâteau, Maïwenn entre dans la salle, inquiète de savoir pourquoi le public se déplace si nombreux pour voir son film. Les réponses fusent: les acteurs (JoeyStarr mais les autres aussi), le sujet, l’affiche… Pourquoi ils ont aimé ce soir: l’absence de parti pris, les qualités cinématographiques, les acteurs formidables.

J’allais voir ce film avec à la fois un grand intérêt, comme à chaque fois qu’un film parle de notre travail ou du travail de nos collègues, avec des acteurs que j’aime beaucoup (Marina Foïs est exceptionnelle ici encore) et quelques inquiétudes (Joeystarr en flic je n’y croyais pas trop). J’en suis ressorti – et je le suis toujours ce matin – sous le charme, estomaqué, presque retourné.

On y retrouve ce pourquoi on fait ce genre de métiers: le service du public, le contact avec la vraie vie et l’impact concret que l’on peut avoir sur la vie des gens, le travail en équipe, la richesse des relations en général et peut-être le goût pour une matière à la fois technique et humaine. Mais ce film est encore plus riche que cela, un véritable travail d’observation sur l’humain et la société aujourd’hui, au travers du prisme de ce groupe de la brigade de protection des mineurs, fictionnel et en même temps tellement réaliste.

Si vous devez voir un film en ce moment, c’est celui-ci, vous ne le regretterez pas.

Note pour mes lecteurs habituels: le scénario n’est pas centré sur les aspects numériques de ce travail de policiers d’une brigade de protection des mineurs, même s’ils sont évoqués. N’y allez donc pas pour ça, mais réellement pour voir un très beau film sur ces métiers et notre société.

Assises de la sécurité 2011 – quelques notes

Les Assises de la sécurité et des systèmes d’information se tenaient cette année encore à Monaco du 05 au 08 octobre 2011. Une belle réussite grâce aux organisateurs évidemment (DG Consultants), les sponsors et exposants et les très nombreux participants.

Le programme des ateliers, tables rondes et conférences étaient particulièrement denses, aussi ne peut-on assister à toutes évidemment. Les sujets qui ont le plus été discutés: le cloud computing, IPv6, BYOD (apporte ton propre équipement, une tendance qui semblerait se développer et qui pose des problèmes de sécurité) et un fort penchant pour le mot "cybercriminalité" dans le vocabulaire utilisé par les professionnels, en lieu et place des simples "risques" et "menaces".

Quelques présentations auxquelles j’ai assisté:

- Sogeti présentait les travaux de Guillaume Delugré, un des chercheurs de l’ESEC, sur la possibilité d’attaques dans les architectures en nuage à cause du partage de la mémoire vive sur les serveurs eux-mêmes entre plusieurs machines virtuelles (ces résultats avaient été présentés à Hack.lu 2010) ;

- Orange faisait le point sur le déploiement d’IPv6 en pratique (Christian Jacquenet) et les solutions aux problèmes de sécurité que cela pose ;

- Nicolas Brulez (@nicolasbrulez) de Kaspersky a fait une présentation sur l’état de l’art des malwares bancaires ;

- Stonesoft propose à la communauté de partager sur les "Advanced evasion techniques" qui permettent à des attaques déjà connues et souvent détectées par les solutions de sécurité actuelles d’être camouflées ; ils ont décrit ces techniques dans une annonce faite par le CERT-FI et proposent une plateforme d’information sur ce sujet.

- Une table ronde était consacrée à la classification de l’information au sein de l’entreprise. Il s’agit avant tout de mettre en place des mesures adaptées à chaque classe d’information à protéger en prenant aussi bien en compte les impératifs légaux (données à caractère personnel, données médicales, etc.) que la nécessité de protéger le patrimoine informationnel de l’entreprise. Les témoins présents ont fait état d’un processus souvent difficile – en tous cas nécessitant une perpétuelle mise à jour, aboutissant en général à 4 ou 5 niveaux de protection. Ce travail devra nécessairement prendre en compte les évolutions récentes de la législation (notification obligatoire des incidents de sécurité concernant des traitements de données à caractère personnel) ou futures (comme le texte qui serait proposé prochainement sur la protection du secret des affaires).

Enfin, Myriam Quémener et moi-même présentions une table ronde sur les perquisitions en entreprise, avec le soutien du Clusif. Un document sera bientôt publié sur le site du Clusif pour résumer les principaux points de nos présentations.

Pour la clôture des Assises, Patrick Pailloux a présenté le nouveau logo de l’ANSSI dont il assure la direction et lancé un message fort vers la communauté de la sécurité informationnelle.

Internet et ses abus: il faut s’y confronter et non les nier

Les terribles évènements du 22 juillet à Oslo ont entraîné le débat plus que prévisible de l’impact d’Internet sur les actions du principal suspect. Alors que l’enquête ne fait que commencer, que la douleur des familles est loin d’être apaisée, les commentateurs sont appelés sur les plateaux de télé pour évoquer l’impact d’Internet sur de tels actes de terreur. Ce soir, Laurent Joffrin (@laurent_joffrin) s’essaie au difficile exercice de dessiner les sources d’inspiration possibles du terroriste. Bien évidemment il cite parmi les hypothèses probables l’accès facile à certains débats de haine sur Internet, et conclut en soulevant le danger de laisser notamment se développer sans contrôle certains sites Internet francophones. On lira aussi cette interview de Jean-Yves Camus sur Rue89.

De façon toute aussi évidente, les enthousiastes de l’Internet, se sont empressés de critiquer ces points de vue, certains n’hésitant pas à nier le rôle que peut jouer un outil de communication aussi puissant dans les grands évènements de notre société.

Dans le cas présent, même s’il est certainement beaucoup trop tôt pour conclure trop radicalement, il semble parfaitement légitime de questionner l’usage qu’Anders Breivik a pu avoir d’Internet, ne serait-ce que par sa façon de mettre en scène sa présence sur le net quelques heures avant de s’en prendre à des dizaines d’innocents.

Une fois de plus ne mettons pas la tête dans le sable

Voilà quelques mois, j’invitais mes lecteurs à ne pas faire l’autruche, et se rendre compte que oui, Internet, ce média formidable de communication et de développement de nos sociétés, est aussi abusé et la délinquance sous toutes ses formes, notamment portant atteinte aux mineurs, s’y développe, peut-être un peu plus vite ou de façon plus variée que si Internet n’existait pas.

Dans le cas présent, il faut se rappeler à cette réalité: oui, Internet a pu jouer un rôle. Et non, ça ne veut pas dire qu’Internet est responsable (ça n’aurait d’ailleurs pas de sens), mais il est parfaitement irresponsable de ne pas se rendre compte, notamment pour les professionnels de l’Internet, que les messages de haine, les théories les plus saugrenues sur notre société, se propagent plus vite, se développent plus vite et ont peut-être une influence plus rapide et plus efficace sur certaines personnes, grâce à ces mêmes technologies formidables qui rendent les échanges plus riches chaque jour, la communication plus libre et la pensée certainement plus riche.

Une prise de conscience nécessaire pour le bien d’Internet

De la même façon qu’il n’est pas vraiment raisonnable de renoncer au progrès dans les moyens de transport, parce qu’ils présentent des risques, parce qu’on peut avoir un accident sur la route ou se faire agresser dans un train, il faut favoriser les comportements et développer les technologies qui aideront à faire qu’Internet soit plus sûr et à en maîtriser les dérives les plus graves, tout en préservant les bienfaits qu’il apporte.

Un chapitre collaboratif ?

Photo de Rahego

Un article un peu inhabituel et court pour lancer un appel à commentaires auprès de mes lecteurs sur leurs sujets de préoccupation du moment en matière de cybercriminalité.

J’ai commencé depuis quelques mois la rédaction d’un livre sur la cybercriminalité et la cybersécurité et l’idée ici est d’en consacrer une partie, soit dans les chapitres déjà prévus, soit dans un chapitre à part, aux questions, aux préoccupations du moment, de mes lecteurs.

A vos claviers ! Toutes les questions et tous les commentaires sont les bienvenus.

Colloque IMODEV Cybercriminalité

Je participais aujourd’hui au colloque organisé par l’IMODEV en partenariat avec le Ministère de la justice et l’Université Paris 1 intitulé "Cybercriminalité, cybermenaces et cyberfraudes".

Le programme est par ici. Et ma présentation est téléchargeable ici.

Le colloque se poursuit demain.

Lancement du projet 2CENTRE

Mardi 31 mai, se tenait le lancement du projet 2CENTRE visant à la création d’un réseau de centres d’excellence pour la formation et la recherche contre la cybercriminalité. L’événement s’est déroulé en duplex entre Paris et Dublin où avait lieu une conférence organisée par nos partenaires irlandais de l’UCD.

La naissance du projet

Le projet a germé voilà trois ans déjà, et sa première étape fut un rapport rédigé par Nigel Jones et Cormac Callanan à partir des contributions des différentes partenaires potentiels (télécharger le PDF ici). Il s’agissait de donner une dimension opérationnelle aux travaux menés par le groupe de travail européen sur la formation en cybercriminalité (ECTEG), c’est-à-dire des espaces où pourraient effectivement se développer et être délivrées les formations pensées à l’ECTEG, dans un esprit de partage et aussi avec le souci de ne pas former uniquement les services de police mais aussi l’ensemble de nos partenaires. Le projet qui comporte bien évidemment une dimension de recherche scientifique pour soutenir la formation a pour ambition d’associer à chaque fois l’ensemble des parties intéressées autour d’un partenariat fort: universités/établissements d’enseignement, services de police, industriels concernés.

La première étape

La première étape a consisté, avec le support de la Commission Européenne, à identifier les premiers pays où la création de tels centres était possible rapidement et d’initier une structure permettant de les mettre en réseau.

En France, nous avons rassemblé au cours de deux réunions, l’ensemble des partenaires potentiels, auxquels le projet a été expliqué et une première équipe a été constituée pour présenter un dossier en vue d’un financement européen.

Ainsi, dans un premier temps, la France et l’Irlande se sont associées pour profiter de la dynamique qui y préexiste. C’est le projet que nous lancions mardi et qui comporte trois composantes principales:

Dès le mois de janvier 2010 nous recevions le feu vert du programme ISEC (Prévention du crime et lutte contre la criminalité) de la Commission Européenne.
Dans un temps très proche, la Belgique a initié un projet frère le B-CCENTRE dont le lancement s’est tenu la semaine dernière et l’Estonie ne devrait pas tarder à suivre, comme de nombreux autres projets qui commencent à émerger en Europe et peut-être dans d’autres régions du Monde.

Le contenu du projet de centre français

Le projet de centre français rassemble déjà de nombreux partenaires: l’université de technologie de Troyes, l’université de Montpellier, la gendarmerie et la police nationales, les sociétés Thalès et Microsoft France. Orange France soutient financièrement l’initiative.

La première activité consistera, autour de ce premier noyau, à créer concrètement le centre français. Sa particularité est qu’il s’agira de mettre en réseau l’ensemble des parties prenantes qui partagent avec nous le même objectif de contribuer à la lutte contre la cybercriminalité par la recherche et la formation. Donc seront amenés à nous rejoindre, au cours des prochains mois d’autres partenaires académiques, industriels et services d’enquête spécialisés.

Deux séries d’activités concrètes couvrent ensuite les aspects de formation et de recherche:

  • une formation en ligne pour les premiers intervenants: il s’agit d’offrir un module d’initiation à la cybercriminalité aux policiers et gendarmes, notamment ceux qui accueillent le public et donc reçoivent les premières plaintes et mènent les premiers actes d’investigation;
  • un module de formation en ligne sur l’analyse des systèmes Windows 7 pour les enquêteurs: au-delà de ce premier projet il s’agit de tester en grandeur réelle ce type d’outil de formation permettant la mise à jour des compétences des enquêteurs spécialisés;
  • l’amélioration et la formalisation des enseignements existant pour les enquêteurs spécialisés: l’objectif est de consolider les formations existantes et éventuellement de partager certains de ces modules clés en mains avec des pays partenaires;
  • un projet de recherche sur la détection distribuée d’intrusions sur les réseaux;
  • une étude sur les besoins en formation, notamment pour identifier les besoins des entreprises (petites et grandes) et en particulier les acteurs qui sont en premier en contact avec les services d’enquête spécialisés (prestataires Internet, fournisseurs d’accès, opérateurs), qu’il s’agisse de proposer des cahiers des charges pour la formation continue ou d’inciter les formations existantes (notamment d’ingénieurs en informatique ou en sécurité des systèmes d’information) à inclure des modules sur l’investigation numérique et le lien avec l’enquête judiciaire;
  • l’animation d’une communauté francophone pour le développement d’outils d’analyse forensique (au départ autour des systèmes de fichiers), avec la volonté de contribuer activement à l’opensource dans ce domaine;
  • la création d’outils de sensibilisation pour les petites entreprises;
  • l’évaluation de modules de formation européens préexistants (certains modules déjà développés, notamment dans le cadre d’ECTEG, doivent être évalués selon des standards académiques).
Bien entendu, ce n’est qu’une première étape et d’autres projets verront le jour. Ils recevront l’appui du centre français, et seront initiés par ses membres actuels ou par de futurs partenaires.
***
Rendez-vous donc dans les mois qui viennent pour les premiers résultats de ce projet et un grand merci à l’ensemble de ceux qui y contribuent déjà ou par avance à ceux qui nous soutiendront dans le futur.
Suivre

Recevez les nouvelles publications par mail.

Rejoignez 131 autres abonnés

%d bloggers like this: