Les menaces se propagent silencieusement malgré les mises à jours (de Java)

Dans un article sur mon blog en langue anglaise, je reviens sur des événements très récents dans la diffusion de l’information de sécurité et leur utilisation par les délinquants numériques. En résumé:

  • Une mise à jour de Java est publiée le 16 avril
  • Le 17 avril des articles de sécurité publient certaines méthodes d’exploitation des vulnérabilités corrigées
  • Dès le 21 avril on voit dans la nature des plateformes d’exploit (voir l’article de ce blog sur la diffusion des virus) qui utilisent ces vulnérabilités de façon massive
  • Une méthode de contournement du message d’avertissement qu’affiche normalement Java avant d’exécuter une application est utilisée. Il en résulte ces derniers jours un doublement du taux de machines ciblées pour lesquelles l’attaque fonctionne (atteignant des taux de 20%).

Message d'avertissement de Java qui est contourné par certaines attaques de plateformes d'exploit actuellement.

Message d’avertissement de Java qui est contourné par certaines attaques de plateformes d’exploit actuellement.

Conclusion:

  • Vérifiez que votre installation de Java est à jour, et si vous n’en avez pas besoin désactivez Java dans votre navigateur (article de Slate vous guidant pour cette désactivation). L’ANSSI publiait il y a quelques jours un guide sur la sécurité des environnements d’exécution Java sur les postes de travail, plutôt destiné à un public professionnel.
  • Il est grand temps que la communauté de la sécurité réfléchisse un peu plus avant à la diffusion de l’information sur les vulnérabilités et sa coordination avec l’information du public sur les risques.
  • A quand un service de « météo » de la sécurité des ordinateurs personnels?

L’article en anglais contient quelques détails supplémentaires.

Hameçonnage: quelques conseils

Suite à un reportage ce soir sur M6, dans l’émission Capital, quelques conseils:

  • Cela peut paraître évident, mais parfois certains tombent dans le piège: si vous recevez un courrier électronique d’une entreprise dont vous n’êtes pas client et qui vous parle de problèmes avec votre compte, ce n’est forcément pas légitime et le plus souvent ce sera une tentative de hameçonnage.
  • Si c’est une entreprise dont vous êtes client ou une administration que vous connaissez, faites attention au lien sur lequel vous êtes invité à cliquer (il apparaît en général lorsque vous passez votre souris au-dessus du lien lorsque vous cliquez). Dans certains cas, le lien aura l’air légitime, mais une fois que vous aurez cliqué dessus c’est sur un tout autre site que vous serez redirigé. Si vous avez un doute, n’hésitez pas à taper vous-même l’adresse que vous connaissez déjà, par exemple avec le favori que vous avez mémorisé dans votre navigateur.
  • Attention, contrairement à ce qui était dit à la fin du reportage, ce n’est pas parce que le site est en https:// que vous êtes en sécurité contre un hameçonnage. Si le site malveillant utilise ce protocole de sécurisation, vos données seront sécurisées entre votre ordinateur et le site de l’escroc, mais tomberont bien dans les mains de l’escroc. Il est rare de rencontrer des sites de hameçonnage hébergés de cette façon-là, mais ils existent bien.
  • Une fois connecté sur un site, une dernière caractéristique du hameçonnage est qu’on vous demande parfois beaucoup plus d’informations que celles auxquelles vous avez l’habitude de répondre.
hameconnage-caf

Exemple de site Web de hameçonnage se faisant passer pour la CAF avec beaucoup de questions (code postal, identifiant, code personnel et date de naissance)

  • Enfin, certains hameçonnages sont plus rudimentaires et vous demandent carrément de fournir des informations confidentielles par retour de courrier électronique. N’y répondez pas !

Quelques réactions utiles pour vous protéger et aider à protéger les autres:

  • Vérifiez régulièrement vos comptes bancaires et si vous avez accès à des options gratuites qui vous avertissent par SMS lors de transactions qui dépassent votre découvert autorisé, n’hésitez pas à en profiter.
  • Les grandes marques agissent suite à vos signalements et un courrier électronique à l’adresse abuse@(domaine de la marque) est très souvent traité rapidement, comme il est indiqué dans le reportage pour l’adresse abuse@orange.fr
  • Les courriers électroniques de hameçonnage peuvent être transmis à Signal Spam pour mieux lutter contre leur diffusion.
  • Les URL (l’adresse du site Web) de hameçonnage peuvent être signalées à Phishing-Initiative. Ils seront vérifiés et ensuite rapidement bloqués dans un grand nombre de navigateurs Web (Internet Explorer, Firefox et Chrome). L’équipe de Phishing Initiative tient un blog où vous trouverez des exemples de hameçonnage.
  • Enfin, en cas de doute, vous pouvez contacter le service client de l’entreprise concernée ou recueillir des conseils auprès du numéro Info-Escroqueries mis en place par le ministère de l’Intérieur: 0811 02 02 17.

Malheureusement, on se fait parfois avoir. Dans ces cas-là, signalez rapidement l’information à votre banque. Vous pouvez aussi déposer plainte. Dans ce cas, gagnez du temps et fournissez en même temps tous les éléments qui seront utiles (relevés de compte, références de votre abonnement Internet, copies d’écran des courriers électroniques et pages de hameçonnage si vous les avez encore – dans l’idéal les codes source de ces informations, Signal Spam vous explique comment obtenir le code source des courriers électroniques en bas de cette page et pour les pages Web, la commande commune à la plupart des navigateurs Web est Ctrl+U / Pomme+U sous MacOS ou encore grâce à une fonction du menu qui apparaît avec un clic droit de la souris).

Stages dans le domaine de la lutte contre la cybercriminalité

logo-gendarmerie3446791305095418595La gendarmerie nationale accueille chaque année un certain nombre de stagiaires dans des domaines techniques. Des informations sont disponibles à ce sujet sur le site de recrutement de la gendarmerie ou la bourse interministérielle de l’emploi publique.

J’attire l’attention de mes lecteurs sur plusieurs stages en rapport avec la cybercriminalité:

Les informations de contact sont dans les documents correspondants. Depuis le 1er juillet 2009, et conformément au plan d’action en faveur de l’emploi des jeunes, tous les étudiants de l’enseignement supérieur ayant débuté un stage d’une durée de plus de deux mois dans les administrations et les établissements publics de l’Etat ne présentant pas un caractère industriel et commercial bénéficient d’une gratification calculée sur la base de 12,5 % du plafond horaire de la sécurité sociale, soit environ 400 euros par mois.

Halte aux rançongiciels

Pour aider les utilisateurs à mieux prévenir les risques liés aux virus informatiques et en particulier les rançongiciels que j’ai déjà évoqués ici dans deux articles (en décembre 2011 et en mai 2012), la communauté qui anime le wiki botnets.fr lance aujourd’hui un site d’information:

stopransomwarebanner6

Forum du Rhin Supérieur sur les Cybermenaces 2012

Le Forum du Rhin Supérieur sur les Cybermenaces se tient l’après-midi du 6 novembre 2012 à Strasbourg, dans les locaux de l’Ecole nationale d’administration. Il est organisé par la région de gendarmerie d’Alsace et les officiers de la réserve citoyenne de la gendarmerie. Le thème cette année: «Assurer la confiance malgré les menaces». En 2011, le FRC présentait les résultats d’une étude prospective sur la cybercriminalité de 2011 à 2020 (en pièce jointe, la version anglaise de cette étude ainsi que la version originale en français). Le programme est disponible ici en téléchargement.

Le général d’armée (2S) Marc Watin-Augouard introduit la conférence sur les enjeux de la confiance et de la cybercriminalité.

Trois tables rondes au programme, précédées de deux discours introductifs. Parmi les points clés soulignés par le Général d’armée (2S) Marc Watin-Augouard: la création d’une juridiction spécialisée au niveau national, formation des policiers et gendarmes dès leur formation initiale à la prise en compte du numérique dans leurs missions. Daniel Guinier, quant à lui, développe les enjeux de la dématérialisation: ses différentes composantes (et notamment son application dans les marchés publics qui est de plus en plus souvent obligatoire), sa sécurisation (il fait référence au référentiel général de sécurité).

Les menaces de vol et de détournement d’informations

Dominique Schoenher (Ecole des officiers de la gendarmerie nationale) introduit cette table ronde en soulignant la sensibilité et la vulnérabilité de l’information des entreprises.

Jean-Marc Kolb (CCI Alsace, directeur pour l’économie numérique) revient sur la dématérialisation des procédures: reste à franchir le pas de la délivrance de certificats à des personnes morales et de passer à l’échelle européenne, la faible visibilité sur la pérennité des technologies, la durée de conservation, les risques dans le cycle de vie du document et dans sa transmission; il évoque la tendance forte qui consiste à faire appel à des tiers d’archivage.

Dominique Schoenher revient sur le hameçonnage, notamment quand il cible les entreprises (par atteinte de la marque, ou en la ciblant plus particulièrement par l’abus de l’image de ses partenaires de confiance) et ses formes les plus nouvelles (vishing, smishing, whaling) – rappel: pour faire un signalement de sites de hameçonnage, vous pouvez vous connecter sur http://www.phishing-initiative.com.

Enfin, l’intervention de Maître Cécile Doutriaux porte sur l’exfiltration d’informations de l’entreprise, en particulier par une source interne, et commence par une vidéo démontrant l’utilisation de la stéganographie utilisée par un employé malveillant. L’ordinateur a pour elle peut-être rendu encore plus simple le partage frauduleux d’informations confidentielles; elle revient sur la réglementation et la jurisprudence encadrant les actions que peut réaliser l’employeur pour contrôler l’action de ses salariés (voir l’article de PC Inpact à ce sujet, les recommandations de la CNIL et encore). Pour prévenir ces risques, elle recommande les outils classiques: charte informatique (signée par l’employé ou rendue publique de façon convenable – voir à ce sujet l’arrêt de la chambre sociale de la Cour de Cassation du 15 décembre 2010) et mesures contractuelles (clauses de confidentialité et de non-concurrence, ces dernières devant être limitées dans le temps et dans l’espace). La surveillance technique des flux entrants et sortants doit être déclarée auprès de la CNIL. Judiciairement, le vol peut rarement être retenu, en revanche l’abus de confiance ou la violation du secret de fabrique sont des solutions opérationnelles, ainsi que bien entendu l’obtention de réparations au civil. Me Doutriaux rappelle l’existence d’une proposition de loi sur la violation du secret des affaires.

Les menaces au vu de l’organisation du travail

Daniel Guinier est chargé de l’introduction de cette seconde table ronde et cite quelques chiffres : en 2012, 70% des utilisateurs reconnaissent enfreindre la sécurité au motif de faciliter leurs tâches; en 2013 25% des téléphones mobiles seront des smartphones; en 2015 nous aurons 15 milliards de terminaux mobiles dans le monde… Et un tour des risques: les systèmes d’information de l’entreprise sont utilisés dans l’entreprise, à domicile, en nomadisme ou en télétravail; toutes sortes de supports sont utilisés pour traiter ou stocker l’information (de l’ordinateur personnel au cloud computing en passant par les terminaux mobiles); les outils bureautiques sont autant de sources de problèmes (du papier à la photocopieuse).

Jean-Luc Lang (DSI Wolfberger, Président du Club informatique de l’Est), revient sur les enjeux du fameux « BYOD » (sécuritaires et juridiques).

Bruno Barge (RSI Lohr Industrie, Clusir Est) intervient sur les menaces liées au nomadisme. Il partage quelques questions et constats: comment conserver la sécurité des informations dans un contexte où les activités personnelles et professionnelles se mélangent? le comportement des usagers est au cœur de la sécurité; les digital natives mettent au service de l’entreprise leurs réseaux, une nouvelle richesse. Dans l’installation de l’entreprise à l’étranger leur expérience est la suivante: les coûts de l’itinérance par les réseaux de téléphonie mobile ne sont pas négligeables; l’accès Internet est nécessaire et peut conditionner aujourd’hui une implantation à l’étranger; les différences culturelles doivent être prises en compte, mais il faut savoir imposer ses standards de sécurisation: il faut formaliser les règles, former les gens, ne pas hésiter à déplacer un familier de l’entreprise, conserver certains pouvoirs à l’échelon central, cloisonner les réseaux et garder la maîtrise de la mise à disposition des données. Il préconise le chiffrement des disques durs et des supports amovibles.

Laurent Schmerber (Président Schmerber et 3MA Group) Dresse un panorama des risques liés aux imprimantes et aux photocopieurs. Sa présentation est introduite par une vidéo de sensibilisation sur les risques des copieurs, qui contiennent effectivement des disques durs et sont souvent connectés au réseau.

Les sources de menaces à l’encontre des organismes

Après une introduction par Gilbert Gozlan (Directeur territorial sûreté Nord-Est la Poste), cette table ronde avait trois invités:

Votre serviteurje suis intervenu sur les botnets et les risques qu’ils peuvent présenter aujourd’hui pour les entreprises, notamment par leur variété (voir le Wiki Botnets.fr que j’anime pour ma thèse) et par les modes de contamination (voir l’article que je publiais voilà quelques semaines et notamment les contaminations via des plateformes d’exploit ou par la réception de courriers électroniques piégés) et de communication (souvent par le le protocole HTTP utilisé par le Web et donc souvent accessible depuis le réseau des entreprises) qui rendent leur présence dans les réseaux des entreprises plus facile. En outre, par beaucoup d’aspects, ils peuvent cibler plus sévèrement encore les entreprises, par exemple pour y dérober des informations confidentielles, des connexions vers des banques en ligne, etc.

Philippe Rosa (Directeur associé Eurostratèges) ensuite est intervenu sur le sujet des réseaux sociaux et des risques qu’ils peuvent présenter pour les entreprises s’ils ne sont pas maîtrisés, qu’il s’agisse de messages publiés involontairement ou non par les employés et qui peuvent nuire à l’image de l’entreprise ou révéler des informations confidentielles, par des concurrents qui souhaiteraient nuire à votre image ou encore la publication de faux avis sur des produits ou des services (un sujet particulièrement veillé par les services de la répression des fraudes). Pour prendre en compte ces sujets dans les organisations, il est indispensable de fixer des règles, d’informer ses collaborateurs, par exemple en publiant un guide (le ministère de la défense a diffusé récemment un guide très réussi sur ce sujet), en réalisant des formations. Enfin, il souligne l’importance d’une veille sur ces médias, qui ne demande pas forcément énormément de ressources (commencez par cet article sur Presse-Citron) et la nécessité de disposer de gestionnaires de communauté en ligne qui soient bien formés et en même temps qui ne soient pas livrés à eux-mêmes lorsqu’il faut répondre au public sur des sujets précis voire techniques.

La dernière intervenante était Maître Denise Gross, avocate au barreau de la Plata (Argentine) et doctorante à l’université de Strasbourg. Son intervention établissait un portrait de l’ingénierie sociale, des techniques qu’elle met en œuvre et des parades qui peuvent être employées, la plus importante selon elle étant de former ses personnels à détecter et réagir aux tentatives d’ingénierie sociale (notamment grâce à des jeux de rôle) et d’intégrer dans les équipes d’analyse et de réaction aux incidents la mission de prendre en compte ce type d’alertes, tout en admettant la possibilité que des employés se trompent et en les incitant à rapidement informer la hiérarchie lorsqu’ils surviennent.

Au final donc une après-midi très intéressante avec près de 150 participants de toute l’Alsace, en espérant qu’elle aura apporté aux entreprises et administrations présentes de nombreuses informations utiles pour prévenir de futurs risques cybersécuritaires et cybercriminels.

 

Signaler le spam

Il n’est pas besoin de préciser ce qu’est le spam, en général tout internaute même débutant y a déjà été confronté, c’est une des plaies principales de la vie sur Internet.

Plusieurs sources permettent d’avoir une idée de l’ampleur du problème. Ainsi, Trustwave publie une page de statistiques tenue automatiquement à jour, avec des informations intéressantes sur le volume de spam (73% des courriers traités par leurs plateformes) ou encore leur source (essentiellement des botnets, comme Lethic, Cutwail, Grum, Kelihos,…) ou leur sujet (médicaments, propagation de virus informatiques, contrefaçons, etc…). Un autre prestataire de solutions antispam, Cisco Ironport, annonce des taux identifiés autour de 85%; Barracuda Networks relève près de 80% dans ses mesures. Le M3AAWG enfin relève un taux assez constant de l’ordre de 88 à 90% de messages jugés « abusifs ».

Les catégories de spam selon le rapport de Kaspersky Lab en août 2012 (cliquer sur l’image)

Pour beaucoup d’internautes, une solution antispam est mise en place par leur opérateur, qu’il s’agisse de solutions commerciales comme celles que nous venons d’évoquer ou de solutions basées sur des logiciels opensource comme SpamAssassin, ASSP ou DSPAM. Ainsi, l’essentiel des spams ne parviennent jamais dans votre boîte aux lettres. Certains dont la destinée est incertaine parviennent automatiquement dans une boîte intitulée « Spam » par votre prestataire de messagerie, vous permettant d’y récupérer éventuellement des faux positifs. Enfin, quelques-uns parviennent tout de même à passer les barrières et arrivent jusque dans votre boîte aux lettres principale.

Finalement, en plus des messages légitimes de ses correspondants, on reçoit dans sa boîte aux lettres quelques messages malveillants, qui ont réussi à passer les solutions de sécurité existantes, ainsi que des messages à caractère commercial dont certains nous intéressent mais pour d’autres on ne sait pas toujours pourquoi on en est rendus destinataires ou s’il est possible de ne plus les recevoir.

Nous avons ainsi plusieurs catégories de messages dans les boîtes des usagers:

  • des courriers légitimes de la part des contacts des internautes;
  • des courriers à caractère commercial que l’usager souhaite recevoir (factures et états de commande, information commerciale souhaitée comme des promotions) – la prospection commerciale n’est pas en soi illégale, c’est contre les abus, les mauvaises pratiques, voire les pratiques illégales qu’il faut lutter;
  • des courriers totalement illégaux (hameçonnage, vente de produits illégaux, diffusion de virus informatiques);
  • des courriers à caractère commercial que l’usager ne souhaite pas recevoir (prospection commerciale non souhaitée ou plus souhaitée); dans cette catégorie, on retrouve plusieurs cas, selon que la prospection est réalisée à partir d’informations personnelles collectées:
    • directement auprès du destinataire avec son consentement (et il a le droit de s’y opposer ultérieurement);
    • par des tiers auprès du destinataire et fournies à l’annonceur de façon transparente et légale (même commentaire);
    • par des tiers auprès du destinataire et fournies à l’annonceur sans l’autorisation de la personne (et il s’agit au moins d’un dysfonctionnement, voire d’une action illégale);
    • illégalement (sans le consentement éclairé et librement exprimé par la personne), par exemple en collectant les adresses publiées sur des forums.

Pour les messages qui arrivent finalement dans sa boîte de courrier électronique et qu’il ne souhaiterait pas recevoir, il n’y a que l’internaute qui puisse agir. C’est pour traiter le problème de ces messages non filtrés par les plateformes automatisées qu’est né le projet Signal-Spam en 2003, sous l’impulsion de la direction du développement des médias. D’abord il s’agissait d’un groupe de contact contre le spam, qui est devenu une association loi 1901 en 2005. En 2007 l’association lançait son outil de signalement, une extension pour les logiciels de messagerie Thunderbird et Outlook. Enfin, il était possible d’avoir accès aux messages qui sont réellement problématiques pour les internautes.

Très concrètement, les messages qui sont signalés par les internautes font tous l’objet d’une intégration dans la base de données et sont triés en fonction de leur origine. Ainsi, des messages d’alerte peuvent être adressés sous forme de boucle de rétroaction, vers les personnes qui ont émis ces messages, soit qu’il s’agisse de membres de l’association, soit qu’ils fassent l’objet d’une convention spécifique. Chaque destinataire d’une boucle de rétroaction ne reçoit que les données strictement nécessaires pour lui permettre d’identifier les messages problématiques et ce uniquement pour des messages qu’il a pu émettre ou faire transiter.

Suivant l’association de loin en loin, parce que le sujet du spam fait partie de nos préoccupations professionnelles, j’ai accepté en juin 2011 de prendre à titre personnel une participation plus active dans cette association en étant élu vice-président (conformément aux statuts de l’association cette tâche m’est confiée à titre personnel et non en tant que personnel de la gendarmerie et les membres du bureau ne reçoivent aucune rémunération pour leurs fonctions). En effet, nous partagions tous le constat que le fait que l’association existe était positif, mais qu’il y avait de gros progrès à faire sur ses moyens d’action, c’était donc logique de m’investir un peu plus. Mon engagement a donc comporté deux volets: le développement de l’association – et notamment accompagner ses progrès dans la prise de conscience collective de la nécessité de combattre contre le spam, et la construction d’une démarche déontologique, garante des moyens d’action de l’association.

Mettre tous les acteurs autour de la table

Dans La cybercriminalité en mouvement (Ed. Hermès-Science Lavoisier, 09/2012), j’ai consacré tout le chapitre 11 (Le partage comme arme) à la conviction que j’ai construite avec les années qu’il est indispensable d’échanger et d’agir collectivement avec toutes les parties prenantes pour traiter les problèmes liés à la cybercriminalité. Ça semble évident, mais encore faut-il le réaliser concrètement.

Ainsi, la France s’est dotée par la loi en 2001 d’un Observatoire de la sécurité des cartes de paiement, plaçant autour de la table, dans un cadre institutionnel, des élus, les administrations, les banques, les consommateurs, les commerçants, les schémas de paiement par carte bancaire et des experts choisis pour leurs compétences. Autre expérience intéressante, le Forum des droits de l’Internet a permis pendant presque dix ans de faire vivre le débat sur de nombreux sujets touchant aussi à la cybercriminalité, par exemple en matière de protection des enfants sur Internet. A l’étranger, on voit des initiatives du même ordre, tels des forums sur la fraude bancaire (Electronic crimes task force des Pays-Bas lancée en 2011), le projet Infragard du FBI aux Etats-Unis, ou l’association e-crime Wales au Pays de Galles. Toutes ces structures ont des formats et des objectifs différents, mais participent du même objectif de partage et de l’action collective.

Pour Signal-Spam, il était important d’avoir autour de la table non seulement ceux qui peuvent agir contre le spam reçu par leurs clients, mais aussi ceux dont le métier est l’envoi de courriers électroniques, qu’il s’agisse des annonceurs ou encore des professionnels auxquels ils font appel pour fabriquer leurs messages, identifier éventuellement les destinataires intéressés ou encore les relayer. D’abord pour bien comprendre comment tout cela fonctionne, établir le dialogue entre tous les professionnels, ensuite pour être en mesure de transmettre efficacement à ces acteurs l’information sur les plaintes qui remontent des usagers.

Ainsi, les fournisseurs d’accès reçoivent à destination de leurs usagers des messages illégitimes ou abusifs, mais ils peuvent aussi émettre à leur insu de tels courriers électroniques, par exemple lorsque certains de leurs clients sont contaminés par un virus informatique lié à un botnet émettant du spam. Les annonceurs et les professionnels de la messagerie ont aussi leur place. C’est une critique qui est souvent faite à Signal Spam que d’avoir parmi ses membres des entreprises qui sont parfois négativement perçues par le public, et c’est pourtant ce qui fait son point fort, car elle est en mesure ainsi d’agir directement sur leurs pratiques et de leur faire parvenir efficacement les plaintes des internautes. Pour ceux dont le métier est de faire de la prospection commerciale, ils ont tout intérêt à ce que leur message soit bien perçu par leurs destinataires. Enfin, on retrouve des sociétés spécialisées dans la sécurisation du courrier électronique et les organismes publics concernés par ces questions. La CNIL est concernée très directement par le travail de l’association dont les informations contribuent à orienter ses contrôles (ces contrôles peuvent d’ailleurs porter indifféremment sur des entreprises sans rapport avec Signal Spam ou si c’était nécessaire membres de l’association, voir le site de la CNIL). Les internautes participent directement par leurs signalements, on peut imaginer que dans un avenir proche des associations qui les représentent viennent compléter le tour de table.

Charte de déontologie

C’était un point clé de mon engagement l’an dernier, et nous avons mené ce projet collectif en quelques mois, en dotant l’association d’une charte de déontologie; elle a été adoptée par l’assemblée générale de juin dernier. Son contenu tient en quelques idées maîtresses:

  • afficher clairement les engagements concrets de ses membres dans la lutte contre les courriers non sollicités, chacun selon son rôle;
  • disposer d’un outil concret pour dialoguer avec les futurs membres sur les mesures qu’ils doivent implémenter avant de rejoindre l’association et avec les membres actuels pour mesurer avec eux leur action;
  • de spécifier les engagements des destinataires de boucles de rétroaction qui ne sont pas membres de l’association;
  • et garantir l’indépendance de l’association et des organismes publics associés par rapport à ses membres pour leur permettre de jouer un rôle de médiateur.

Ainsi, il s’agit tout autant de permettre aux internautes, dans le respect des règlements en place, de pouvoir facilement faire cesser tout message qu’ils considéreraient comme abusifs de la part d’un membre, directement auprès de ceux-ci parce qu’ils ont des fonctions transparentes et claires d’information et de désinscription ou encore de gestion des abus, que de permettre aux membres entre eux d’établir un dialogue pour la bonne circulation des courriers électroniques légitimes. Enfin, il s’agit évidemment de permettre à ce que l’action collective de Signal Spam soit réalisée sous les meilleurs auspices en traitant le plus efficacement possible les signalements reçus des internautes.

Dans les mois qui viennent, tous les membres de l’association auront ainsi informé leurs usagers de la façon dont ils ont implémenté la charte, le règlement intérieur va être adapté pour inclure très rapidement (dès ce mois d’octobre 2012 en pratique) la charte dans les procédures d’acceptation de nouveaux membres ou de destinataires de boucles de rétroaction. Enfin, il s’agit d’un document évolutif et des améliorations sont attendues sur le texte d’ici l’année prochaine sur la base des débats qui ont repris.

Pour l’avenir

La charte déontologique fait donc clairement partie des actions pour l’avenir, car il faudra faire le bilan de son application, mais d’autres chantiers sont entrepris. Le premier a été celui de la communication et un nouveau site Web a pu être enfin lancé au début de l’année 2012. Beaucoup plus dynamique, il va permettre de publier plus régulièrement de l’information et par exemple des efforts seront entrepris dès 2013 pour diffuser plus d’informations vers les internautes sur l’action concrète de l’association, notamment des informations statistiques.

De nouvelles extensions pour des logiciels de messagerie devraient voir le jour et d’autres modes de signalements proposés aux internautes, mais je laisse le soin à l’association de faire les annonces le moment venu, mon petit doigt me disant que les quelques semaines qui viennent devraient avoir leur lot de bonnes nouvelles.

Ensuite, une refonte complète du moteur qui traite l’ensemble des signalements au cœur de Signal Spam est en cours de réalisation et une plateforme de traitement plus performante devrait voir le jour en 2013.

Enfin, de nouveaux membres rejoindront nous l’espérons l’aventure et des partenariats seront développés avec des structures similaires dans d’autres pays pour échanger des informations qui nous concernent réciproquement, par exemple lorsque des adresses IP d’un autre pays sont à l’origine des messages signalés (ainsi, Signal Spam et son alter ego OPTA aux Pays-Bas ont déjà signé un partenariat).

Pour envisager d’autres pistes de notre travail, il faut se rappeler que le spam n’est pas présent que sur le courrier électronique, mais aussi sur des messageries instantanées, les réseaux sociaux – et on a déjà parlé ici de l’action du 33700 en matière de lutte contre le spam par téléphone. Ces autres plateformes sur Internet sont certainement un des axes de travail pour le futur de l’association.

Signalez, participez

Pour que cela fonctionne, il est indispensable que les internautes participent, par leurs signalements à cette lutte contre les messages non sollicités.

La mise en place du nouveau site Web a entraîné des difficultés concrètes pour la réalisation des signalements et de nombreux internautes nous ont patiemment aidé à résoudre ces problèmes en contactant l’association. Aujourd’hui, des difficultés beaucoup moins nombreuses, mais réelles sont parfois rencontrées au moment des pics de trafic. C’est une des raisons pour lesquelles nous allons faire évoluer l’infrastructure. Toutefois, en attendant cette migration majeure, des évolutions plus discrètes sont régulièrement réalisées pour améliorer nos capacités dans l’architecture actuelle. Le chargé de mission de l’association s’efforce d’apporter des réponses à chaque internaute qui fait part de difficultés, mais des efforts seront encore entrepris en 2013 pour mieux informer les utilisateurs sur les incidents techniques.

Aussi n’hésitez pas à participer en vous inscrivant, en signalant les courriers électroniques qui vous posent problème, et si nécessaire en nous faisant part des difficultés techniques quand vous en rencontrez.

Je suis bien conscient qu’il y a encore énormément de chemin à parcourir et que le problème du spam est loin d’être réglé en France. Il est possible donc qu’il y ait des commentaires négatifs suite à ce billet sur la qualité des résultats de Signal Spam. Je m’efforcerai de répondre à tous les messages du moment qu’ils sont, comme c’est la règle sur ce blog, écrits de façon conforme à la netiquette et constructifs.

La cybercriminalité en mouvement – qu’y trouve-t-on ?

Certains d’entre vous ont peut être déjà parcouru le sommaire ou le résumé du livre dont je vous ai fait l’annonce récemment, mais je vous propose une petite histoire du parcours qui m’a amené jusqu’au résultat final.

Voilà quelques temps, j’avais écrit un article pour la revue Réalités industrielles de novembre 2010, qui portait le même titre « La cybercriminalité en mouvement« . L’enjeu était pour moi de montrer qu’il fallait constamment adapter son analyse de la situation cybercriminelle aux évolutions des technologies et des usages et bien évidemment aux pratiques des délinquants, mais aussi de montrer que les évolutions sont en perpétuelle accélération. Un éditeur m’a proposé de poursuivre la réflexion sur un plus grand nombre de pages et c’est ainsi qu’est né ce livre.

D’abord il s’agit de faire le point sur l’impact des nouveaux usages et des nouvelles technologies sur la cybercriminalité, par des exemples concrets, y compris d’envisager les futures fraudes que nous rencontrerons sûrement. Toujours dans cette première partie j’ai essayé de montrer combien les formes organisées de délinquance ont réellement pris pied dans la cybercriminalité aujourd’hui, alors que ce n’était pas évident il y une dizaine d’années.

Dans la seconde partie du livre j’explore la façon dont la réponse s’est organisée, les textes se sont adaptés et l’Europe s’est mise en ordre de bataille. J’y consacre notamment un chapitre (Le partage comme arme) sur la nécessité de développer les formes de coopération qui reposent sur l’échange et la mise en commun tant des réflexions que des moyens d’action, qu’il s’agisse de partenariats public privé, de forums où les partenaires d’un secteur victime de fraude échangent ou de plateformes qui permettent l’échange d’informations. Wout de Natris, que j’ai interviewé dans le livre sur le sujet de la gouvernance de l’Internet, a publié récemment un rapport sur la question des plateformes nationales de collecte d’information sur les incidents et leur nécessaire coopération au niveau international.

Dans chacun des chapitres de cette partie du livre j’avance des propositions d’évolutions qui me semblent devoir être considérées.

En conclusion j’y insiste sur la nécessité de s’informer pour mieux se protéger et d’échanger, notamment entre les différents angles d’attaque sur ces questions (cyberdéfense, cybersécurité, lutte contre la cybercriminalité). Enfin, il faudra sûrement apporter très vite une suite à ce livre, même si c’est un peu ce que je fais sur ce blog.

Plus d’informations sur le blog du livre.

Assises de la sécurité – Jour 3

Nota: de nombreux ateliers ont lieu en parallèle, il n’est pas possible d’assister à tous, ce compte-rendu de ces trois jours ne représente que ma sélection personnelle, n’hésitez pas à en lire d’autres: Le Monde informatique a déjà publié quelques articles (ainsi que sur l’intervention de l’ANSSI) et certainement d’autres articles publiés dans les jours qui viennent.

Vendredi est donc le dernier jour de ces Assises 2012 pour moi, certains ne repartant que demain matin.

Une journée marquée pour moi par encore de nouvelles rencontres et échanges. J’ai pu assister à la présentation par Renaud Lifchitz de BT France sur ses recherches, précédemment exposées aux GS Days ou à la conference Hackito Ergo Sum de Paris cette année, sur la sécurité des interfaces sans contact NFC des cartes bancaires, une démonstration de Picviz Labs (l’entreprise qui a remporté le Prix de l’innovation 2012) sur sa technologie et enfin à une conférence de clôture avec les discours du Sénateur Jean-Marie Bockel (auteur du rapport parlementaire sur la cyberdéfense) et du directeur général de Cassidian Cybersecurity, Hervé Guillou.

Le message principal de ces deux orateurs est qu’il est impératif de mobiliser les décideurs politiques et les dirigeants des entreprises sur les questions de cybersécurité, qu’elles ne doivent plus être uniquement le sujet des informaticiens. J’ajouterais pour ma part qu’il faut aussi mobiliser les citoyens, les individus qui doivent tous s’accaparer les aspects éthiques, politiques, sociaux ou encore de vie privée liés à la cybersécurité.

Rendez-vous donc l’an prochain pour une autre édition qui sera sûrement tout aussie réussie.

Autres compte-rendus:

Assises de la sécurité – Jour 2

Cette deuxième journée des Assises est traditionnellement la plus active, avec pour tous plusieurs ateliers, tables rondes et rendez-vous à honorer, plus de nombreuses discussions impromptues. Pour quelqu’un qui a mon profil il s’agit à la fois de rencontrer des entreprises qui offrent des solutions qui peuvent être utile directement pour mon métier, mais aussi qui peuvent être utiles pour les victimes auxquelles nous avons affaire ou dont elles utilisent les produits et ainsi mieux adapter notre action d’investigation judiciaire aux environnements professionnels.

Quelques moments de ma journée (et il y a énormément d’autres choses intéressantes aux mêmes moments, il ne s’agit pas pour moi de vous recommander ici telle ou telle solution présentée mais bien de partager ces quelques échanges):

  • une présentation de la société Sourcefire qui a une approche intéressante sur le traitement dynamique des attaques en profondeur (note: Sourcefire soutient et utilise deux projets opensource, Snort et Clamav);
  • Zscaler nous a offert un panorama des menaces liées aux sites Web (certaines dont je parlais dans un article récent sur les contaminations virales informatiques) – le site de la recherche chez Zscaler est ici;
  • et Cassidian sur les attaques en profondeur encore et la façon dont ils proposent de s’y préparer et de réagir.
  • l’un des stands sur lesquels j’ai fait un passage m’a convaincu qu’il existe des solutions pour lutter contre les attaques en déni de service (Corero). D’autres prestataires proposent des solutions aux mêmes objectifs (comme Arbor Networks), leurs approches sont certainement complémentaires.

En fin de journée, deux présentations et la remise du prix de l’innovation. David DeWalt (dirigeant dans plusieurs entreprises du domaine de la sécurité comme FireEye ou Mandiant) nous a présenté sa vision des enjeux technologiques et des menaces d’aujourd’hui. Je ne peux pas m’empêcher de constater que son observation de la situation rejoint beaucoup l’analyse que je propose dans le livre La cybercriminalité en mouvement (http://www.lcem.fr/), d’un environnement qui bouge très rapidement sur le plan technologique mais aussi sur le plan de ceux qui cherchent à en abuser.

Ensuite Jean-Christophe Rufin a partagé avec cette salle de spécialistes en sécurité des systèmes d’information sa vision des instabilités et des conflits dans le Monde, vision nécessairement complémentaire du regard habituel sur la « menace » telle qu’elle est perçue par les RSSI.

Enfin, le prix de l’innovation revient cette année à Picviz Labs, société créée il y a quelques années seulement par un fondu de mathématique (Philippe Saadé) et un passionné de sécurité informatique (Sébastien Tricaud). La solution qu’ils ont construit avec leur équipe permet de visualiser des masses de données importantes (des semaines entières de journaux informatiques par exemple) sur un grand nombre de dimensions (dix ou même beaucoup plus de paramètres), avec une interface graphique rapide et de naviguer rapidement dans ces données et identifier la petite bête (une version opensource de leur produit permet d’en tester les capacités).

 

La suite demain !

Assises de la sécurité 2012 – Jour 1

Les Assises de la sécurité sont un des événements importants qui jalonnent l’année des professionnels de la sécurité des systèmes d’information en France où se rencontrent la communauté des RSSI (responsables en sécurité des systèmes d’information) et ceux qui leur apportent des solutions. Elles se déroulent sur trois jours alternant conférences invitées, ateliers de partage d’expérience et salon professionnel.

L’allocution d’ouverture donne cette année la tonalité avec une présentation remarquée de Patrick Pailloux, directeur général de l’ANSSI (agence nationale de la sécurité des systèmes d’information). Il propose trois points clés pour l’action des mois à venir:

  • Poursuivre les efforts en matière d’hygiène élémentaire de sécurité, sujet qu’il avait promu lors de son intervention en fin des Assises l’an dernier. L’ANSSI publie ainsi aujourd’hui une première version d’un document contenant 40 règles permettant de concrétiser cette hygiène élémentaire dans les entreprises. Il est plutôt destiné aux organisations de taille moyenne à grande, même si l’essentiel des règles sont transposables dans les petites structures. L’ANSSI souhaite recevoir rapidement les premières réactions et propositions constructives pour améliorer ce document.
  • Savoir dire non. De la même façon qu’il existe des règles contraignantes pour emprunter les routes, il est important que les règles édictées pour la sécurité des systèmes d’information soient prises en compte sérieusement et contrôlées au sein des organisations. Elles sont nécessaires pour protéger les données et applications sensibles de l’entreprise. Il faut que les responsables et leurs hiérarchies soient en mesure de ne pas céder à toutes les modes, tout en apportant des solutions aux besoins premiers des organisations dans l’environnement concurrentiel ou en tous cas moderne dans lequel elles évoluent. Patrick Pailloux citait ainsi tout autant l’exemple des règles élémentaires autour de l’utilisation des contrôles d’accès aux applications (fermer l’accès quand on quitte son bureau) que la sécurité des accès nomades ou l’arrivée des objets communicants personnels dans les organisations.
  • Enfin, le directeur général de l’ANSSI a mis en avant la préoccupation principale de l’agence aujourd’hui: la sécurité des systèmes industriels et il a réaffirmé avec conviction la nécessité de déconnecter ce type de systèmes de l’Internet et d’explorer d’autres modes d’interaction entre les systèmes de production et les systèmes de communication classiques.

Ces Assises commencent donc avec un message placé sous le signe de l’ambition et de l’appel à l’action.

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 140 autres abonnés

%d blogueurs aiment cette page :