Stuxnet / CPLink la situation ne s’arrange pas

21 juillet 2010 par Eric Freyssinet Laisser un commentaire

Mise à jour 03/08/2010: Microsoft diffuse un modificatif de sécurité répondant à l’alerte. Plus d’information dans leur bulletin de sécurité MS10-046.

Aujourd’hui, Graham Cluley (Sophos) attire notre attention depuis son blog sur les mises à jour récentes de la page d’incident mise en place par Microsoft sur cette vulnérabilité:

Ainsi, il serait possible pour l’attaquant de mettre en place un site Web présentant ces raccourcis problématiques ou bien les insérer dans un document (notamment de la suite Microsoft Office).

Les vers Stuxnet

Les plus curieux d’entre vous liront l’article que Symantec a consacré au fonctionnement du ver Stuxnet lui-même.

Se protéger ?

A ce jour, les mesures de protection conseillées par Microsoft, si elles fonctionnent, ne sont pas forcément les plus pratiques car elles empêchent de distinguer les icônes auxquelles les usagers sont familiers. Rappelons que deux autres solutions sont proposées (sur le blog de Didier Stevens):

Par ailleurs, pour Windows 7 et Windows 2008 R2, Cert-Lexsi propose l’utilisation d’Applocker.

Enfin, assurez-vous de disposer d’un antivirus à jour, ceux-ci doivent pour la plupart aujourd’hui être en mesure de détecter aussi bien des raccourcis qui exploiteraient cette vulnérabilité que les différents vers qui ont été identifiés dans la famille Stuxnet.

Articles de référence:

Classé sous Criminalistique numérique, Cybercriminalité, Sécurité Mots-clefs: , , ,

Faille de sécurité des raccourcis sous Windows (suite)

20 juillet 2010 par Eric Freyssinet Un commentaire

VirusBlokAda - Découvreur du ver

L’exploitation de la faille de sécurité des raccourcis (fichiers .LNK) de Windows se poursuit, comme cela était prévisible. ESET nous avertit ainsi de l’apparition d’un nouveau fichier lié à Win32/Stuxnet (dont je parlais dans mon article de dimanche). Il est cette fois signé avec le certificat de la société JMicron Technology Corp. (encore un fabricant Taïwanais de composants électroniques, après Realtek ciblé précédemment…) et aurait été compilé le 14/07/2010.

Cette démarche paraît logique, puisque le certificat attribué à Realtek a été révoqué, et semble indiquer qu’il s’agisse de la même équipe à l’origine de la première propagation. 21/07/2010: Toutefois, comme l’indique Chet Wisniewski, la révocation des certificats n’a aucun effet sur la reconnaissance des virus signés avant celle-ci.

Enfin, il nous est signalé (Wired) que des mots de passe de bases de données des systèmes SCADA qui seraient la cible de ces attaques sont souvent codées en dur dans les distributions et qu’on retrouve notamment ces mots de passe sur des forums en langue allemande et russe, et c’est d’ailleurs ce mot de passe qui aurait mis la puce à l’oreille de Frank Boldewin:

20/07/2010: Après des rapports de sa présence dans plusieurs pays asiatiques (Iran, Indonésie, Inde), le ver est identifié pour la première fois chez un client industriel Européen de Siemens en Allemagne, selon IDG News.

A suivre toujours !

Comment se protéger (suite)

20/07/2010: Une nouvelle méthode de protection est expliquée par Didier Stevens sur son blog. Elle consiste à créer une règle locale restreignant le démarrage d’applications (exécutables .EXE ou .DLL) depuis d’autres localisations que le disque système (normalement C:\…). De son côté, CERT-LEXSI (via @razy84) explique comment sous Windows 7 et 2008 R2 on peut aller plus loin que ces règles SRP grâce à AppLocker.

20/07/2010: Sophos, enfin, présente une page de synthèse sur cette vulnérabilité.

Articles en rapport :

Classé sous Criminalistique numérique, Cybercriminalité, Sécurité Mots-clefs: , , , , ,

Faille de sécurité des raccourcis sous Windows

18 juillet 2010 par Eric Freyssinet 3 commentaires

Une faille de sécurité qui toucherait l’ensemble des systèmes Windows de la société Microsoft a été révélée de façon assez brutale cette semaine. En effet, une exploitation particulièrement virulente de cette faille est dans la nature et elle semblerait avoir pour première cible des systèmes de contrôle industriels (SCADA).

Le 17 juin dernier, des experts en sécurité de la société biélorusse VirusBlokAda signalent à la communauté des experts de la lutte antivirale avoir détecté la propagation d’un logiciel malveillant aux caractéristiques inquiétantes:

  • propagation par clés USB ou partages réseau (ce qui est un mode de propagation classique, mais dont on espère toujours être protégé);
  • contournement des protections contre le démarrage automatique (autorun de Windows) ou la restriction des droits de l’utilisateur UAC introduite dans Windows Vista et 7;
  • signature de l’exécutable avec la clé de la société Realtek;
  • installation d’un rootkit.

Une étude détaillée de ces codes malveillants a été publiée par VirusBlokAda (voir la pièce jointe). On peut voir le virus à l’œuvre dans une démonstration réalisée par SophosLabs:

Le fonctionnement de la vulnérabilité est en effet assez bluffant, il suffit d’afficher l’icône du raccourci (un fichier à l’extension .LNK présent sur la clé USB attaquante) dans un navigateur pour que soit déclenchée l’exécution du logiciel malveillant, sans qu’aucun des dispositifs de sécurité actuels de Windows ne l’empêchent.

Microsoft confirme dans un avis de sécurité (2286198) que toutes les versions de Windows sont impactées. Chet Wisniewski de Sophos ajoute d’ailleurs que même les versions de Windows dont la sécurité n’est plus suivie par Microsoft sont impactés, à savoir Windows XP SP2 et Windows 2000.

Le logiciel malveillant détecté par les experts de VirusBlokAda aurait la particularité, selon Frank Boldewin, de chercher à se connecter sur des bases de données de systèmes de commande industriels (SCADA) de la société Siemens et on émet l’hypothèse d’un développement spécifique pour l’espionnage industriel. 19/07/2010: le CERTA détaille dans sa fiche CERTA-2010-ALE-009-002 un certain nombre d’autres comportements (création de fichiers et clés de registre) du rootkit dont des tentatives de connexions vers les sites www.mypremierfutbol.com et www.todaysfutbol.com.

Il n’en reste pas moins que tous les utilisateurs de systèmes Windows sont concernés actuellement et que de nouvelles variantes de cette attaque ne manqueront pas de se propager dans les jours qui viennent.

19/07/2010: En 2005, déjà, Microsoft avait dû corriger certains défauts des fichiers .LNK qui rendaient possible l’exécution de code malveillant (MS05-049). La différence cette fois-ci est que l’exploit est dans la nature avant qu’un correctif n’ait pu être développé. On peut aussi faire un rapprochement avec une faille signalée en 2003 par I2S-Lab (merci @MalwareScene).

Que faire pour se protéger ?

Outre les rappels courants en matière de sécurité et de manipulation de clés USB d’origine douteuse, Microsoft donne un certain nombre de premiers conseils pour empêcher la propagation de cette menace sur votre ordinateur:

  • la désactivation de l’affichage des icônes pour les raccourcis;
  • la désactivation du service WebClient.

Les deux sont expliquées sur le site de Microsoft (paragraphe Workarounds, en anglais), en attendant la publication d’une protection contre cette faille.

Dider Stevens explique sur son blog comment l’outil qu’il a développé (Ariad) permet aussi de se protéger contre cette attaque.

Articles qui évoquent ce dossier:

Classé sous Criminalistique numérique, Cybercriminalité, Sécurité Mots-clefs: , , , , , , , , , ,

Lendemain de SSTIC

12 juin 2010 par Eric Freyssinet 6 commentaires

J’ai eu la chance cette année de pouvoir préserver le début du mois de Juin et participer au Symposium sur la Sécurité des Technologies de l’Information et de la Communication / SSTIC 2010, dans les locaux de l’Université de Rennes.

Un grand bravo aux organisateurs qui relèvent le défi de rassembler plus de 400 personnes à des conditions financières très raisonnables (à comparer aux autres conférences sur la sécurité au niveau mondial). Merci enfin de leur accueil particulièrement chaleureux !

Blogging and tweeting

Le programme de la conférence était effectivement particulièrement riche et plusieurs d’entre nous ont fait l’effort de commenter chacune des présentations dans le détail (sid 1, 2, 3, n0secure, le micro-blogging de jpgaulier, Yvan VANHULLEBUS 1, 2, 3, Mat pentester).

Les hashtags à suivre sont évidemment #sstic et #sstic2010.

Quelques-unes des conférences

Sans faire la revue intégrale de toutes les interventions, voici ce qui a attiré mon attention:

  • DGSE et ANSSI en ouverture et clôture, pour mieux se faire connaître et clairement pour recruter (c’est un bon endroit pour le faire indéniablement);
  • Ph. Lagadec (OTAN/NC3A) qui présentait un démonstrateur d’une solution développée dans son laboratoire pour rassembler dans une interface opérationnelle (CIAP) l’ensemble des données de sécurité d’un réseau, sur la base d’un modèle de données commun et un projet connexe (DRA), pour l’analyse de risque en temps réel d’une alerte,
  • E. Barbry (avocat) a su présenter de façon simple et percutante l’environnement juridique en 2010 des RSSI,
  • Les parades contre les attaques physiques sont mises à l’épreuve avec une étude d’Intel VT-d (et une démonstration difficile d’une nouvelle attaque Firewire) et un retour sur les attaques contre les cartes réseaux et en particulier l’implémentation du protocole ASF (Alert Standard Format) par les petits gars de l’ANSSI (voir leur site à ce sujet).
  • Frédéric Connes (HSc) nous a fait partager les résultats de sa thèse sur un système de vote électronique basé sur la distribution d’un reçu à chaque votant et un processus de contrôle collaboratif. La communauté du SSTIC était un peu perplexe, car surtout peu habituée à discuter de ces sujets, mais comme j’avais pu l’évoquer avec G. Desgens dans notre livre L’identité à l’ère numérique, il est indispensable de développer une recherche poussée sur le vote électronique qui sera un outil incontournable de notre démocratie (Patrick Pailloux DG de l’ANSSI le répétait le lendemain),
  • F.-X. Bru et G. Fahrner (article par ici) nous ont fait une très sympathique et efficace présentation de leurs travaux sur la sécurité de Facebook et notamment la capacité de collecter rapidement des données personnelles grâce à la diffusion virale d’une application,
  • H. Welte (son blog) nous a présenté deux projets autour du GSM dans lesquels il est très actif, OpenBSC (plateforme expérimentale d’un contrôleur de station de base GSM) et OsmocomBB (une implémentation opensource de pile réseau de terminal mobile). Il a d’ailleurs été l’un des chanceux qui ont réussi leur démo cette semaine, avec une injection de code au démarrage d’un terminal GSM Nokia,
  • J’étais absent pendant la présentation de N. Ruff sur l’audit des applications .NET complexes, car convié à la présentation des technologies d’une entreprise locale,
  • C. Halbronn a fait un tour d’horizon des défauts de Windows Mobile et une démonstration des risques liés aux rootkits sur cette plateforme,
  • Une mention spéciale à Mathieu Baudet qui a été quelque peu chahuté par la salle, car il n’était pas préparé à ce type de public et donc avait une présentation trop peu technique et pas assez centrée sur son sujet principal. J’ai appris ensuite qu’en fait il remplaçait ici un autre orateur invité qui n’a pas pu venir. Le projet qu’il a présenté, OPA une plateforme de construction d’applications Web sensé améliorer la sécurité n’en est pas moins intéressant. Si les participants au SSTIC sont cohérents, j’espère que l’année prochaine on aura une présentation critique sur les failles éventuelles d’OPA :-) !

J’avais aussi la chance d’être invité et donc de pouvoir m’exprimer sans passer par les fourches caudines du comité de programme, donc un grand merci pour cette occasion qui m’était offerte de partager quelques réflexions sur la lutte contre les botnets (mon papier). N’hésitez pas à me contacter (les commentaires sont modérés, donc non publiés par défaut) si vous avez toute idée sur l’action dans ce domaine.

La Rump Session

4 minutes, pas une seconde de plus pour présenter une idée, un projet, une découverte ou se moquer d’un camarade de la communauté… J’ai relevé en particulier:

  • Une démonstration d’attaque contre les cartes de fidélité de machines à café, présentée de façon humoristique et très efficace avec un petit film.
  • Un projet prometteur de Maltego-like intitulé netglub, basé sur un modèle d’agents distribués.
  • Les dernières évolutions d’ExeFilter une plateforme de nettoyage des contenus malveillants potentiels dans les flux Internet (PDF, pages Web, mail,…). Une approche complémentaire aux antivirus, particulièrement intéressante.

Le Challenge SSTIC

Les résultats du Challenge SSTIC 2010 ont été annoncés au début de la deuxième journée du symposium. Particulièrement complexe, il était basé sur l’analyse d’un dump mémoire de téléphone Android, la résolution d’une énigme et pour les plus audacieux, l’utilisation de techniques cryptographiques. Pour y répondre il fallait retrouver une adresse de courrier électronique @sstic.org. Merci à l’ANSSI d’avoir fabriqué le challenge et à tous ceux qui se sont acharnés pour découvrir la solution. Au passage, on note qu’il y a indéniablement du développement à réaliser dans le domaine de l’analyse de la mémoire des systèmes de type Linux !

Bilan

Le public présent au SSTIC 2010 était globalement très jeune et assez pointu. La communauté française de la sécurité numérique technique donne une image dynamique et j’ai noté un vif intérêt pour les sujets liés à l’investigation numérique et à la criminalistique (plus fort en tous cas que chez les RSSI français). Ce n’est clairement pas une conférence pour débuter sa formation dans le domaine de la sécurité, mais avant tout pour partager sur l’actualité de la recherche et de la réflexion sur la sécurité numérique aujourd’hui.

Rendez-vous donc à l’année prochaine, je l’espère, et amitiés à tous les contacts que j’ai pu avoir pendant ces trois jours.

Classé sous Cybercriminalité, Prospective, Sécurité Mots-clefs: , , , , , , , , , , , , , ,

4ème Forum International sur la Cybercriminalité – Un bilan

4 avril 2010 par Eric Freyssinet Un commentaire

Le 4ème Forum International sur la Cybercriminalité qui s’est déroulé les 31 mars et 1er avril 2010 a tenu ses promesses, avec plus de 2200 participants, des dizaines d’exposants, 30 ateliers et conférences pour répondre aux attentes de tous. La reprise assez importante par la presse de cet événement dénote l’intérêt du grand public pour une plus grande sensibilisation sur ces sujets. La présence nombreuse de nos interlocuteurs dans les entreprises, régionales ou nationales montre aussi une véritable préoccupation.

Un public nombreux à l'ouverture du FIC 2010

Le FIC est aussi devenu un véritable événement Européen et International avec la présence de nos partenaires de dizaines de pays. J’ai ainsi pu rencontrer les collègues que j’y côtoie habituellement (Belges, Anglais, Allemands, …), mais par exemple un camarade de la gendarmerie royale du Maroc ou écouter l’exposé de Mohamed Chawki (Conseil d’Etat, Egypte) nous exposer la situation dans son pays et ailleurs en Afrique en matière de législation contre la cybercriminalité.

Dans quelques jours, les photos et les compte-rendus des ateliers seront disponibles sur le site de la conférence.

Guides contre la cybercriminalité

Deux guides qui ont beaucoup contribué au succès du FIC ont été publiés dans une nouvelle édition, chacun à destination d’un public différent.

Le guide pratique du chef d’entreprise face au risque numérique (4° éd.)

Rédigé avec le soutien du Clusif et de l’association S@ntinel, ainsi que de nombreux partenaires publics et privés. Le guide est organisé en deux grands chapitres:

  • Douze études de cas (La divulgation de savoir-faire, Le vol d’ordinateur portable ou de PDA, La défiguration de site Web,…)
  • Les recommandations des institutions.

Il a été distribué au cours du salon et sera disponible en téléchargement très bientôt sur le site du FIC (mais on le trouve déjà en cherchant bien…). Indispensable !

Cybercrimin@lité, réflexes et bonnes pratiques (2° éd.)

Plus discret, car destiné au public des enquêteurs et des magistrats, ce guide en est déjà à sa deuxième édition. Il a été rédigé sous la houlette d’un comité rédactionnel régional trans-frontière: Eric Absil (RCCU Charleroi), David Cassel (NTECH à Arras), Serge Houtain (RCCU Tournai) et Laurent Frappart (NTECH à Arras) et le nombre de contributeurs est particulièrement nombreux.

Ce guide est organisé en cinq grandes parties:

  • Un chapitre d’introduction et de définitions
  • Vecteurs et supports de la cybercriminalité
  • Les constatations dans l’espace virtuel
  • Les cadres légaux belge et français
  • 11 fiches réflexes

Bilan des conférences et ateliers

Tout d’abord un coup de chapeau à mes camarades de la Région de gendarmerie Nord Pas de Calais et à tous leurs partenaires pour la réussite de cet événement ! Je n’ai malheureusement pas pu assister à beaucoup des conférences et ateliers, mais un sujet était très présent cette année, jusque dans les conclusions du Général d’armée Marc Watin-Auguouard, la cyberdéfense.

La France et l’Europe sont-elles prêtes dans la lutte contre les nouvelles formes de conflit sur les réseaux et les risques les plus graves contre nos infrastructures vitales ? Le bilan de la table ronde dédiée à ce sujet est positif, même s’il reste des efforts à faire, notamment en termes de connaissance du dispositif par l’ensemble des acteurs concernés (comme le portail officiel sur la sécurité informatique).

A titre personnel j’indiquerais qu’il faut peut-être encore plus décloisonner les interactions public-privé (les partenariats public-privé dans la cyberdéfense étaient le thème de cette table ronde). On sent en effet, malgré les ouvertures et les projets communs qu’il manque une fluidité dans la circulation de l’information. Les OzSSI (observatoires zonaux de la sécurité des systèmes d’information) sont un outil de ce décloisonnement, peut-être faut-il attendre maintenant des entreprises qu’elles partagent plus facilement l’information, notamment au sein d’un même secteur économique, pour être ensemble mieux préparées aux risques.

Rendez-vous en 2011 !

Classé sous Cybercriminalité, Prospective, Sécurité Mots-clefs: , , , ,

Programme détaillé du FIC 2010

16 mars 2010 par Eric Freyssinet Laisser un commentaire

Le programme détaillé du 4ème forum international sur la cybercriminalité 2010 est en ligne sur le site de la conférence. On y trouve notamment l’ensemble des intervenants qui ont accepté de participer aux différents ateliers ainsi que les horaires précis. Je rappelle que le FIC 2010 a lieu les 31 mars et 1er avril prochains à Lille, Grand Palais.

Vous pouvez aussi télécharger le planning à conserver dans sa poche pour aller facilement d’une conférence à une autre.

Trois pôles d’ateliers et de conférences:

  • Justice, sécurité, défense ;
  • Entreprises ;
  • Collectivités.

J’interviendrai pour ma part dans la table ronde de clôture « Droit à l’oubli sur le Web : ultime protection de l’identité numérique » aux côtés de Mes. Blandine Poidevin et Martine Ricouart-Maillet, MM. les sénateurs Yves Detraigne et Alex Türk.

Classé sous Cybercriminalité, Prospective, Sécurité Mots-clefs: 

Quand le mail de phishing contient le formulaire

13 mars 2010 par Eric Freyssinet Laisser un commentaire

Je ne fais ici que retranscrire une information de MXLab qui m’a semblé particulièrement intéressante. Ainsi dans cet article de leur blog, ils notent une recrudescence des emails de phishing qui intègrent le formulaire dans leur contenu.

En pièce attachée au courriel illicite, une page Web. Trois exemples sont donnés par MXLab:

  • le premier s’en prend à Western Union et récupère les pages de styles, javascript et bannières directement sur le site Web de Western Union, tant qu’à faire !
  • le second s’attaque à Paypal, et semble reposer sur le même principe ;
  • le troisième s’en prend encore à Paypal mais parait vouloir utiliser un autre type de page HTML, le MIME HTML dont l’extension est .mht et qui a la particularité de regrouper dans un même conteneur la page Web au format HTML et les images et autres fichiers à incorporer pour l’affichage de la page.

La conséquence évidente de ce développement est que dans la détection des mails de phishing il faut prendre en compte ce nouveau format, qui ne contient plus de liens URL éventuellement masqués.

Ensuite, cela simplifie le travail de l’hébergement du site de phishing qui ne fait que recevoir le résultat des formulaires, donc est particulièrement discret (au passage le site Web de phishing ne commet pas en tant que tel de contrefaçon des marques attaquées – telles que Paypal et Western Union), rendant d’autant plus complexe et difficile la fermeture de ces sites. En effet, pour expliquer à l’hébergeur qu’il doit fermer le site de phishing, il faudra lui montrer les mails de phishing, ce que fait le formulaire, etc… sans pouvoir lui montrer de page de phishing qui apparaissait jusqu’à présent de façon évidente !

Classé sous Cybercriminalité, Sécurité Mots-clefs: , , , ,

Comment on vous attire presque automatiquement vers les faux antivirus

7 mars 2010 par Eric Freyssinet Laisser un commentaire

Régulièrement la presse en ligne se fait l’écho de l’exploitation des événements de l’actualité par les délinquants… Deux articles du 4 et du 5 mars derniers sur le blog de F-Secure ont attiré mon attention. Ils décrivent quelques techniques utilisées pour amener de futures victimes à télécharger de faux antivirus.

Dans les deux cas décrits, les moteurs de recherche (Google en l’espèce) sont abusés pour référencer les documents qui vont piéger leurs victimes. Ainsi des fichiers PDF sont publiés, avec du contenu intéressant et à l’intérieur pour inciter le visiteur à les télécharger. En réalité, les attaques réalisées grâce à des PDF malveillants ne sont pas nouvelles (voir cet article), elles ont été le phénomène massif de l’année 2009.

Ainsi, des fichiers PDF sont diffusés (sur des sites piratés, par des reprises de contenus, etc.). Le contenu de ces fichiers PDF est inspiré de l’actualité, contient des liens, des mots clés qui vont attirer l’attention des visiteurs, comme des moteurs de recherche. Ainsi, lors de chaque événement récent on a vu apparaître des tentatives basées sur le tremblement de terre au Chili, la mort d’un chanteur. D’ailleurs à la vitesse où se répandent ces manœuvres frauduleuses, on peut raisonnablement soupçonner qu’elles sont fabriquées automatiquement à partir des flux d’actualité. Les articles de presse en ligne qui annoncent que c’est événements sont « déjà » exploités se trompent donc de conclusion: ce n’est pas une vivacité particulière des délinquants numériques dont ils sont témoins, mais une preuve de l’existence de véritables plateformes automatisées de services criminels.

Ce que décrivait F-Secure vendredi est qu’ensuite, les fichiers PDF disparaissent pour être remplacés par de simples pages HTML qui contiennent des animations Flash. Bien entendu, Google n’a pas eu le temps de repasser sur la page et de voir que le contenu avait changé et le référence encore comme un fichier PDF; et le contenu ressemble diablement à une page PDF. Et ce sont ces animations Flash qui contiennent des scripts malveillants qui vont vous amener à installer de faux antivirus:

Fausse détection de virus (F-Secure)

Le plus perturbant dans tout ça c’est que normalement votre véritable antivirus, s’il le détecte, va déclencher une alerte… pour peu que cette fausse alerte lui ressemble vous risquez d’être piégé ! Soyez donc particulièrement attentifs lors de votre navigation.

Classé sous Cybercriminalité, Sécurité Mots-clefs: , ,

Il faut rendre les notifications d’incidents de sécurité obligatoires

28 février 2010 par Eric Freyssinet Laisser un commentaire

Sénat (GNU FDL)

Retour sur le Paquet télécoms

J’évoquais voilà un an la volonté émise par l’Union européenne de rendre obligatoire la notification des incidents de sécurité dont sont victimes les opérateurs de communications électroniques, lorsqu’ils ont un impact sur des données personnelles. Cette disposition a été adoptée lors du vote final du « Paquet télécoms » au mois de novembre 2009 (un article à ce sujet et un résumé des dispositions sur le site de l’Union européenne).

La proposition de loi Détraigne/Escoffier

La France pourrait adopter très rapidement une telle disposition. En effet, une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique » (voir le dossier législatif), a été déposée au Sénat par M. Yves Détraigne et Mme Anne-Marie Escoffier et elle sera débattue dès ce 23 mars. Ce texte a pour objectif affirmé d’appliquer dès que possible un certain nombre de dispositions du Paquet télécoms. La commission des lois a déposé son rapport le 24 février dernier. On trouve dans ce texte plusieurs mesures portant notamment sur:

  • l’information des usagers sur l’utilisation des données personnelles (notamment sur le régime des cookies) ;
  • le droit à l’oubli ;
  • une clarification du statut de l’adresse IP ;
  • et l’obligation pour tous les responsables de traitements de données à caractère personnel de notifier la CNIL en cas d’atteintes à ces traitements.

Plus précisément, après l’examen par la commission des lois, l’article 7 serait ainsi rédigé :

L’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi rédigé :

« Art. 34. - Le responsable du traitement met en oeuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites.

« En cas de violation du traitement de données à caractère personnel, le responsable de traitement avertit sans délai le correspondant « informatique et libertés », ou, en l’absence de celui-ci, la Commission nationale de l’informatique et des libertés. Le correspondant « informatique et libertés » prend immédiatement les mesures nécessaires pour permettre le rétablissement de la protection de l’intégrité et de la confidentialité des données et informe la Commission nationale de l’informatique et des libertés. Si la violation a affecté les données à caractère personnel d’une ou de plusieurs personnes physiques, le responsable du traitement en informe également ces personnes. Le contenu, la forme et les modalités de cette information sont déterminés par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés. Un inventaire des atteintes aux traitements de données à caractère personnel est tenu à jour par le correspondant « informatique et libertés ».

« Les dispositions du présent article ne s’appliquent pas aux traitements de données à caractère personnel désignés à l’article 26.

« Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés aux 2° et 6° du II de l’article 8. »

C’est un réel progrès par rapport aux dispositions prévues dans la directive européenne. En effet, celle-ci se limite, à cause de son contexte, aux opérateurs de communications électroniques. La proposition de loi est ici plus rationnelle en ce qu’elle fait peser les mêmes responsabilités à tous les responsables de traitement.

A quelle situation cherche-t-on à répondre ?

Sans vouloir faire de reproches à l’un ou l’autre, les pays qui ont de tels régimes de notification nous montrent qu’en réalité ce ne sont pas les opérateurs qui rencontrent le plus d’incidents, mais beaucoup plus souvent les professionnels du commerce électronique. Certainement parce qu’ils sont beaucoup plus nombreux que les opérateurs de communications électroniques et peut-être parce que la sécurité des traitements de données personnelles y est malheureusement parfois jugée moins prioritaire ou trop coûteuse.

Ainsi, on apprenait vendredi que les clients du groupe hôtelier Wyndham ont été victimes pour la troisième fois (!) d’une attaque réussie contre le système d’information de cette entreprise. Et les exemples sont extrêmement nombreux aux Etats-Unis, à cause de l’obligation de notification qui tend à se généraliser (avec à la clé un projet de législation fédérale). Ainsi, le site databreaches.net (qui affiche comme titre presque comme un service fédéral « Bureau de la sécurité inadaptée« ) se fait fort de référencer toutes les attaques qui touchent des données personnelles.

En Europe des alertes semblables sont rares, en France elles sont quasi inexistantes. Pourtant, certains sites d’information se font fort de mettre en avant les failles de sécurité (et j’avais expliqué les risques juridiques inhérents à cette activité ici). En octobre dernier, une attaque réussie contre un commerçant espagnol avait des répercussions jusqu’en Finlande. Encore en Finlande, on apprenait cette semaine que près de 100.000 références bancaires ont été dérobées dans les ordinateurs d’un commerce.

Lorsque les clients sont avertis d’un tel incident avéré, cela leur permet de prendre des mesures. Par exemple, lorsque cela concerne leur numéro de carte bancaire, ils peuvent procéder à des vérifications plus approfondies qu’à l’habitude sur leurs relevés de compte et si nécessaire demander le renouvellement de leur carte compromise.

Enfin, il est très rare qu’une entreprise soit poursuivie au titre de l’article 226-17 du code pénal (pour défaut de sécurisation d’un traitement de données à caractère personnel). Non pas parce que de telles situations n’arrivent pas, mais très clairement, lorsqu’on compare au nombre d’incidents qui surviennent ailleurs dans le monde, parce qu’elles restent confidentielles. Je ne souhaite pas la multiplication de telles enquêtes, mais lorsqu’elles sont justifiées, la nouvelle rédaction de l’article 34 de la loi informatique et libertés sera soit plus dissuasive, soit plus facile à appliquer.

Cette proposition de loi remplit donc plusieurs objectifs :

  • rendre plus opérationnelle et plus claire l’obligation de sécurisation prévue par l’article 34 de la loi informatique et libertés ;
  • sensibiliser plus avant les responsables de traitement sur leurs obligations, ainsi que sur le rôle que peut jouer dans cette affaire le correspondant informatique et libertés ;
  • enfin, à permettre aux victimes d’être effectivement informées et de prendre toutes mesures pour prévenir un impact plus important sur leurs données personnelles.

Parmi les recommandations que je donnerais aux responsables de traitement – et donc aussi aux correspondants informatique et libertés qui sont mis en avant dans la proposition de loi – c’est de ne pas hésiter à déposer plainte lorsque de tels incidents sont découverts. En effet, le meilleur remède à ces attaques est de pouvoir en interpeller les auteurs et il ne nous est pas possible de le faire sans recueillir des preuves auprès des victimes et sans initier des enquêtes.

Classé sous Cybercriminalité, Juridique, Sécurité Mots-clefs: , , , ,

Koobface, un écosystème cybercriminel ou le conte des Mille et une nuits ?

24 février 2010 par Eric Freyssinet Laisser un commentaire

Dancho Danchev revient dans son blog chez ZDNet sur le ver « Koobface ». Je vous propose un résumé de son article et quelques pointeurs.

Description de Koobface

Koobface est un ver qui utilise comme mode de propagation la messagerie du réseau social Facebook, mais aussi – selon les variantes – Twitter, hi5, Myspace, Bebo et Friendster. Les victimes sont redirigées vers un site où une mise à jour d’Adobe Flash leur est proposée qui est en fait un logiciel malveillant. (Pour plus d’informations voir l’article de Wikipédia en anglais, l’étude de Trend Micro publiée en Juillet 2009, ou cet article très détaillé sur abuse.ch de décembre 2009).

Dix informations intéressantes sur Koobface

Dancho Danchev nous explique que le botnet créé par Koobface n’est que le sommet de l’iceberg des activités menées par le groupe criminel qui gère Koobface au travers de dix informations intéressantes qu’il a pu collecter sur leur activité au cours des derniers mois.

On y découvre

On note en lisant son article qu’une véritable guerre est menée entre Dancho Danchev et ce groupe, dont le blog a été l’objet d’attaques ciblées en déni de service distribué. Selon Danchev, il s’agit ici encore d’un groupe criminel d’origine Ukrainienne (j’avais évoqué l’entreprise aux activités louches qu’a mis au jour récemment François Paget lors du panorama sur la cybercriminalité du Clusif), qui se présente sous le sobriquet d’Ali Baba.

La suite des aventures, très sûrement dans les mois à venir, sur le blog de Dancho Danchev.

Classé sous Cybercriminalité, Sécurité Mots-clefs: , ,

Articles plus anciens