Blocage des sites pédopornographiques (suite)

Assemblée nationale (Photo: GPL)

Préambule

En préambule, je tiens à rappeler certains éléments de contexte sur le projet de blocage des sites pédopornographiques:

  • L’idée n’est pas née en France, mais est défendue par ses services spécialisés suite à plusieurs années d’échanges avec nos collègues, en Europe notamment, qui ont initié le même type de projets (voir le site Web du projet CIRCAMP);
  • Le blocage n’est pas une fin en soi. L’objectif est de contribuer à la lutte contre la diffusion des contenus pédopornographiques, dont j’ai déjà expliqué ici qu’il comportait de nombreuses facettes;
  • Si ce dispositif spécifique était décidé par le législateur, nous ne déclarerons nullement victoire, car il y a encore beaucoup de pain sur la planche, et comme pour beaucoup de sujets qui touchent à la lutte contre la délinquance, les moyens humains et financiers sont cruciaux.

De nouveaux éléments de débat ?

Le débat sur Internet au sujet du projet de blocage des sites pédopornographiques, voulu par la LOPPSI, est réellement devenu confus.

Ainsi, depuis quelques semaines, une campagne contre les dispositions liées au blocage des sites pédopornographiques contenues dans la LOPPSI est menée avec à la clé, la publication d’un recueil d’articles (voir l’article de Fabrice Epelboin sur ReadWriteWeb) dont le premier porte sur l’analyse du témoignage d’un pédophile qui a été diffusé voilà un an sur Wikileaks.

Qu’apportent ces nouveaux arguments au débat ? Voici le résultat de mes réflexions et mes réactions aux reproches qui sont faits aux professionnels de la lutte contre ces formes de délinquance.

Le blocage serait favorable pour le commerce pédophile ?

L’argument principal présenté par Fabrice Epelboin est que les groupes criminels qui commercialisent sur Internet des contenus pédophiles seraient devenus de tels spécialistes des techniques permettant de faire circuler discrètement des contenus illicites sur Internet, qu’ils deviendront les maîtres des réseaux « underground ». Et sa conclusion en est que le blocage les rendra incontournables dans l’exploitation de l’Internet illégal et serait en réalité leur planche de lancement.

En préambule on comprend très bien que le défenseur de la pédophilie qui est cité décrit une situation déformée par le prisme de son expérience personnelle. Ainsi, il nous explique que l’Allemagne serait le lieu de tous les hébergements underground, grâce aux serveurs les plus « fiables, les plus rapides et les plus abordables ». D’autres vous diront que ce sont les prestataires hollandais ou américains, en fonction de leur expérience personnelle. On retrouve des serveurs aux activités illégales dans des hébergeurs du monde entier. Et effectivement, le reste de son discours est déformé par le même prisme.

Les pratiques décrites comme ayant été développées pour les réseaux de diffusion pédophiles, sont en réalité celles de tous les groupes criminels organisés sur Internet, ceux qui diffusent des contenus pédophiles, comme ceux qui se « contentent » de vendre de faux logiciels de sécurité, de contrôler les botnets qui permettent de collecter des données personnelles monnayables, etc… J’ai décrit pour mes lecteurs quelques facettes de ces pratiques dans différents articles sur les hébergeurs malhonnêtes.

La diffusion de contenus pédopornographiques par ces groupes remplit en réalité deux objectifs:

  • c’est une source de revenus, un produit supplémentaire à leur catalogue;
  • c’est un des multiples appâts dont ils se servent pour attirer des pigeons dans leurs filets.

En effet, certaines victimes tombent pour la publicité vantant un médicament puissant et pas cher, d’autres pour des images pornographiques ou encore des logiciels de sécurité, et certains sont recrutés grâce aux images pédophiles. Les techniques de publicité par spam (courriers électroniques non sollicités), de rabattage vers la plateforme commerciale au travers de diffusion de liens cachés dans des vidéos disponibles sur les échanges P2P, de diffusion de logiciels espion, sont toujours les mêmes. Et au bout du compte la victime (dans le cas des images pédopornographiques aussi un peu coupable et donc qui n’osera pas aller porter plainte), donne son numéro de carte bancaire et est prélevée une fois, deux fois, puis plusieurs mois de suite.

Au bout du compte, le blocage des sites pédopornographiques de ce type-là va avoir pour effet collatéral de rendre beaucoup plus difficiles les autres formes d’escroqueries. En effet, on retrouve souvent sur les mêmes serveurs, derrière la même adresse IP des centaines de sites Web de promotion, les uns pour des contenus pédophiles mais les autres pour toutes sortes d’autres produits tout aussi illégaux.

En réalité donc, le blocage des sites pédopornographiques va rendre beaucoup moins intéressant pour ces groupes-là ce genre de commerce, ce qui va nuire finalement à leur modèle économique. Donc pour certains d’entre eux, ils seront au contraire motivés à quitter le commerce pédopornographique : une première victoire pour nous, mais qui ne nous empêchera pas de continuer à travailler sur leurs autres formes d’activités illicites.

La lecture de l’excellent rapport d’Europol sur le crime organisé de 2009 pourra donner une meilleure idée de la très grande transversalité des activités des groupes criminels organisés. On pourra aussi lire avec intérêt la présentation faite par François Paget lors du dernier panorama du Clusif sur la cybercriminalité, dont je rendais compte voici quelques jours, sur une entreprise aux activités particulièrement suspectes en Ukraine.

Quid des autres arguments ?

Je passerai rapidement sur la tentation à laquelle succombent les différents participants de l’ouvrage à minorer l’ampleur du problème (la tête dans le sable encore ?). Ainsi, selon Epelboin, cette forme de commerce ne représenterait « que » quelques dizaines de millions d’euros de chiffres d’affaires annuels. Déjà en soit, quelques dizaines de millions d’euros seraient un résultat non négligeable. A l’appui de son savant calcul, les dires de notre fameux pédophile anonyme : « en 2004, le leader du marché totalisait un chiffre d’affaires de plus de 20 millions de dollars », valeur à multiplier donc par le nombre total de groupes criminels concernés. En réalité, les quelques dizaines de groupes criminels qui agissent dans ce domaine réalisent très certainement des chiffres d’affaires semblables (répartis sur plusieurs types de « produits » comme je l’évoquais au-dessus) et on doit être plus proche des 500 millions de dollars ou du milliard de dollars annuels. Certaines études évaluaient  en 2004 ce marché à 3 milliards de dollars.

Toujours à minorer le problème, un autre intervenant de l’ouvrage intervient: proclamé expert informatique britannique, qui a commencé ses activités dans ce domaine voilà moins de deux ans, à l’avenir certainement très prometteur. Il nous affirme sans sourciller qu’il n’y aurait plus aujourd’hui d’échanges de contenus pédopornographiques sur les réseaux pair à pair classiques. Il dit par exemple: « la plupart de ce qu’on y trouve n’est pas réellement de la pédopornographie et ne peut donner lieu à des poursuites ». Malheureusement, il se trompe complètement. On y trouve les formes les plus graves d’atteintes sur des mineurs. Effectivement pas toujours les toutes dernières productions – encore qu’on y retrouve des productions non professionnelles récentes. Le P2P est malheureusement encore beaucoup utilisé pour partager des fichiers pédopornographiques et l’équipe du département de répression des atteintes aux mineurs sur Internet du STRJD à Rosny-sous-Bois en identifie plusieurs dizaines en France chaque mois.

C’est le même expert britannique qui nous explique que les techniques policières de collecte du renseignement sont inadaptées: « la surveillance est une énorme perte de temps », dit-il (en parlant de la surveillance de l’activité d’un suspect, par exemple par le biais d’interceptions, en comparaison de l’analyse forensique d’un ordinateur saisi au moment de la perquisition qui révélerait tout autant d’informations). Il manque très clairement de recul par rapport à ce qui est utile ou non dans une enquête judiciaire. Par exemple, avant d’envisager une perquisition qui permettra de saisir du matériel informatique, il est évident que les policiers doivent collecter des preuves en amont qui vont confirmer la nécessité de cette perquisition: il n’y a pas de perquisition « en aveugle ».

Enfin, l’argument de la censure et de la prohibition est longuement développé. Il n’aura pas échappé au lecteur averti que la possession, la fabrication et la diffusion de contenus pédopornographiques sont interdits. Oui, ces contenus sont illégaux, prohibés, pour des raisons évidentes. Je ne crois pas que les rues de Paris se soient transformées en champ de bataille à cause de cette prohibition de la pédopornographie. Les pays qui ont mis en place le blocage en Europe non plus. D’ailleurs le pédophile allemand qui est cité en appui de ces démonstrations souhaite carrément la libéralisation de la pédopornographie, je ne vois pas comment on peut utiliser ses arguments sur la prohibition pour critiquer le dispositif de blocage proposé! Le même nous explique qu’il a beaucoup plus peur du NCMEC (organisme américain chargé aux côtés du FBI de la lutte pour la protection de l’enfance) que des terroristes.

En conclusion, une bonne partie de ce qui est présenté comme nouveaux arguments consiste à affirmer que les services spécialisés en France, en Europe et au-delà ne savent pas de quoi ils parlent, ne connaissent pas les groupes criminels pédophiles, ne regardent pas du bon côté, travaillent mal… Soit. On a toujours des progrès à faire, c’est certain. Mais aujourd’hui je ne suis pas convaincu par ce qui nous est proposé à lire.

L’impact sur le réseau, la liberté d’expression, le surblocage

J’avais déjà eu l’occasion d’évoquer les autres éléments du débat. La mesure est-elle proportionnée ? Quels risques prend-on par rapport aux infrastructures ? Quelle transparence sera donnée au dispositif ? Qui contrôle ? Combien ça coûte ?

Ainsi, le surblocage est un sujet important à prendre en compte, en cas de mises en place de telles mesures. Supposons d’abord que les listes fournies par l’autorité chargée de les établir seront validées ou contrôlées par l’autorité judiciaire. Elles devront aussi être adaptées en fonction des techniques de blocage (selon que l’on bloque sur la base de l’adresse IP ou un nom d’hôte par exemple) de façon à limiter le surblocage. Il faudra aussi être en mesure de réagir promptement aux demandes éventuelles des personnes lésées. Ainsi, Europol a déjà mis en place un site d’information permettant à de telles situations d’être rapidement résolues. Cette initiative fait partie du projet CIRCAMP, financé par la Commission Européenne dans le cadre du Safer Internet Programme, pour aider les services de police à coordonner leur action dans la lutte contre les contenus illicites. On pourrait reprendre le même modèle plus spécifiquement à destination du public français. En effet, en plus du magistrat qui serait éventuellement chargé de contrôler l’autorité administrative – comme le prévoit la version issue de la commission des lois, le public sera lui-même un excellent arbitre de toute erreur en surblocage qui ne manquera pas d’être détectée et donc corrigée.

Enfin, l’action contre les flux financiers – je l’ai déjà évoqué à plusieurs reprises (ici au moment de la conférence Octopus du Conseil de l’Europe en 2009) – est évidemment une des priorités de l’action des services d’enquête en Europe, aux Etats-Unis et en Asie.

Efficacité supposée de la mesure

Ce soir, sur Public Sénat, Benjamin Bayart déclarait que l’efficacité de la mesure n’est pas évaluée. L’étude d’impact du projet de loi présenté devant le parlement (et disponible en suivant ce lien, voir la page 107 du PDF) explique pourtant le nombre de connexions qui sont bloquées chaque jour dans les pays qui appliquent la mesure :

  • 30.000 connexions / jour en Suède,
  • 15.000 connexions / jour en Norvège,
  • 12.000 connexions / jour au Danemark.

Il va de soi que l’efficacité devra être aussi mesurée en France.

En conclusion:

  • non, le blocage ne favorisera pas le commerce pédopornographique, au contraire !
  • oui, il y a un problème de la diffusion commerciale de ces contenus et l’action contre les flux financiers liés à ces activités est menée ;
  • oui, il faut un débat sur les moyens à mettre en œuvre, mais il ne faut pas tout mélanger.
Publicités

Vente d’outils d’espionnage

Ce soir sur M6, l’émission « 66 minutes » présente l’utilisation des outils d’espionnage. En particulier des logiciels qui une fois chargés sur le téléphone mobile d’un tiers permettent d’écouter ses conversations privées.

Et le journaliste d’affirmer: « Seule l’utilisation de ces logiciels est illégale, mais leur vente est parfaitement légale ».

FAUX !

En effet, l’article 226-3 du code pénal dispose que:

Est punie des mêmes peines la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente, en l’absence d’autorisation ministérielle dont les conditions d’octroi sont fixées par décret en Conseil d’Etat, d’appareils conçus pour réaliser les opérations pouvant constituer l’infraction prévue par le deuxième alinéa de l’article 226-15 ou qui, conçus pour la détection à distance des conversations, permettent de réaliser l’infraction prévue par l’article 226-1 et figurant sur une liste dressée dans des conditions fixées par ce même décret.

Est également puni des mêmes peines le fait de réaliser une publicité en faveur d’un appareil susceptible de permettre la réalisation des infractions prévues par l’article 226-1 et le second alinéa de l’article 226-15 lorsque cette publicité constitue une incitation à commettre cette infraction. »

La peine prévue par l’article 226-1 et l’article 226-15 du code pénal est d’un an d’emprisonnement et de 45000 euros d’amende. Il est parfaitement illégal de commercialiser ces outils d’espionnage!

Actualité législative (LOPPSI/ARJEL)

Assemblée nationale (Photo: GPL)

Le parlement est saisi de deux textes qui intéressent la délinquance numérique et les investigations numériques: les projets de loi LOPPSI et de régulation des jeux en ligne.

La LOPPSI comporte trois dispositions à suivre:

Le projet de loi a été débattu en commission des lois et en commission de la défense de l’Assemblée nationale. La commission des lois propose que le blocage soit assorti de l' »accord de l’autorité judiciaire ». Le dépôt des amendements sur ce texte aura lieu jusqu’au 05 février 2010 au soir et le débat aura lieu en séance à l’Assemblée nationale les 09, 10 et 11 février 2010 prochains.

Le dossier de cette loi sur le site de l’AN.

Quant au projet de loi sur la régulation des jeux en ligne il avait fait l’objet d’une première lecture à l’assemblée nationale au mois d’octobre dernier et se retrouve maintenant devant le Sénat. La commission des finances a rendu son rapport le 19 janvier dernier et le texte sera débattu en séance les 23 et 24 février prochains. (J’avais évoqué ce projet de loi en août dernier)

Le dossier législatif sur la régulation des jeux en ligne sur le site du Sénat.

Un mois de février 2010 particulièrement actif donc dans le débat public.

Bonne année 2010 !

Que tous vos vœux se réalisent.

Est-il illégal de publier des failles de sécurité ?

GNU/FDL - ēɾaṣøft24 sur Commons

Le buzz continue de s’amplifier autour de la décision de la cour de cassation du 27 octobre 2009 dernier. Et les titres d’affirmer: « La cour de cassation confirme que la publication de failles de sécurité exploitables est un délit » (Numerama, 22/12/2009), « La révélation publique de failles de sécurité est un délit » (01Net, 18/12/2009), etc.

J’avais déjà discuté d’un sujet approchant (mais différent sur le fond) en évoquant l’affaire Zataz récente (sur ce blog, le 05/10/2009). Est-on libre d’échanger sur les failles de sécurité ?

La décision de la cour d’appel de Montpellier

Commençons par le commencement, la cour de cassation se prononçait en effet sur une décision de la cour d’appel de Montpellier datant du 12 mars 2009. La chronologie y est rappelée:

  • il est créé en 2004 une société « spécialisée dans le conseil en sécurité informatique » ;
  • le 26 octobre 2005, l’OCLCTIC « avisait le Parquet de Montpellier que la société XYZ diffusait sur son portail internet www…..com des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous« ;
  • (non expliqué dans l’arrêt) le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005 publiait un avis avec une correction proposée, qui ne se révélera pas suffisante ;
  • l’enquête était ensuite confiée à la DST, cette enquête confirmait que le dit site Web diffusait « un code d’exploitation d’une faille dans le moteur graphique WINDOWS qui avait donné lieu à une alerte du CERTA (Centre d’Expertise gouvernemental de Réponse et traitement des Attaques informatiques) publiée le 28 décembre 2005 et avant que MICROSOFT y remédie le 5 janvier 2006″;
  • il est entendu le 14 mars 2006 par les enquêteurs et on apprend que les revenus de cette société sont issus de la publicité que voient ses visiteurs et d’abonnements que prennent différentes sociétés aux alertes de sécurité ;
  • le 28 août 2006, il est entendu et mis en examen par le juge d’instruction et lui confirme qu’il ne diffusera plus d’exploits sur son site Web, il aurait notamment expliqué que la publication de failles et d’exploits lui permettait d’asseoir ses compétences ;
  • le prévenu était renvoyé devant le tribunal pour avoir, courant 2005 et 2006 mis à disposition sans motif légitime des programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé des données (infraction prévue par l’article 323-3-1 du code pénal);
  • il est relaxé par le tribunal correctionnel,

au motif qu’il est établi que le site www…..com n’incitait en aucune façon à l’utilisation de ces codes à des fins malveillantes ou de piratage informatique, que la seule intention qui ait animé X… Y…. est un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques, qu’il justifie d’ailleurs en avoir été remercié par MICROSOFT, aucune intention délictueuse n’est établie

  • la cour d’appel argumente en soulignant que l’article 323-3-1 du code pénal ne prévoit pas « que soit caractérisée une incitation à l’utilisation d’un tel système », mais réprime « le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »;
  • eu égard à sa personnalité, le prévenu n’était condamné qu’à 1000 euros d’amende correctionnelle.

Première conclusion: la personne en cause n’a pas été condamnée pour la publication de failles de sécurité, mais pour la diffusion d’exploits, c’est-à-dire de programmes permettant d’exploiter ces failles de sécurité. On notera au passage que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité.

La décision de la cour de cassation

Dans un premier temps, il faut comprendre sur quoi ce basait le pourvoi en cassation de l’avocat de la personne condamnée en appel: les défauts de motif et de base légale. L’argumentation se base sur le texte de la convention du Conseil de l’Europe sur la cybercriminalité, que son client n’incitait pas à commettre d’infraction avec les dits outils de piratage, que la cour ne s’appuyait que sur la motivation économique du prévenu et faisait référence à des antécédents judiciaires de façon générale.

L’argumentation de la cour de cassation se présente de la façon suivante:

  • le site Web diffusait de façon visible et accessible des moyens permettant d’exploiter des failles de sécurité ;
  • la compétence en sécurité informatique du prévenu ne pouvait lui faire ignorer le risque lié à l’utilisation éventuelle des codes d’exploitation qu’il diffusait et il ne peut donc arguer ainsi de son intention d’informer ;
  • elle écarte le débat sur les antécédents judiciaires et conclut que la cour d’appel a parfaitement justifié la condamnation.

Le pourvoi en cassation est donc rejeté. Le prévenu définitivement condamné.

Conclusion

L’article 323-3-1 du code pénal:

Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

La cour de cassation a donc bien confirmé qu’il n’est pas légitime, sous des motifs d’information du public, de diffuser sur un site Web accessible à tout un chacun des programmes informatiques ou des codes source de programmes informatiques permettant d’exploiter des failles de sécurité.

En revanche, il est parfaitement légitime d’informer sur les failles de sécurité.

Les débats présentés ici nous permettent de comprendre aussi que le juge est parfaitement ouvert à considérer que l’information de professionnels (en particulier la société qui commercialise un logiciel défaillant, les CERT, etc…) sur les moyens concrets d’exploiter des failles de sécurité, dans un contexte de bonnes pratiques est légitime, mais ce n’est pas ce qui était reproché dans cette affaire.

De l’affaire Zataz et des sites d’information sur la sécurité en général

Grandville_-_Descente_dans_les_ateliers_de_la_libert%C3%A9_de_la_presse[1]

Cet article pour appeler mes lecteurs à lire un article qui donne un point de vue intéressant sur l’affaire Zataz, sur le blog de Sid, et en discuter quelques aspects complémentaires.

Pour mémoire : il s’agit dans cette affaire de plaintes successives (au civil puis pour diffamation) dont a été l’objet le gestionnaire du site Zataz suite à la publication d’un article révélant un incident de sécurité qu’aurait vécu une société de commerce en ligne. Comme beaucoup de sites d’information de sécurité, Zataz publie régulièrement des alertes sur de tels incidents, non sans avoir auparavant prévenu les gestionnaires concernés.

Cette mise en cause publique n’a apparemment pas été appréciée et Sid estime que c’est peut-être parce que la sécurisation des données personnelles des clients n’était – à un instant donné dans le passé – pas complètement assurée. La société plaignante aurait finalement déclaré qu’elle ne souhaitait pas faire appliquer les sanctions prononcées contre le journaliste.

La démonstration de Sid est détaillée et je vous invite donc à la lire. Par ailleurs vous pouvez aussi consulter:

  • L’arrêt de la Cour d’appel de Paris 2ème chambre Arrêt du 09 septembre 2009 (sur Legalis.net), où l’on découvre un débat d’experts, mais où manifestement ne transparaissent pas tous les éléments d’appréciation,
  • La présentation des faits sur le site Zataz.

Le débat sur les sites d’information de sécurité informatique

En préambule, je tiens à souligner que ce n’est pas la bonne foi d’un journaliste que je questionne – d’ailleurs le plaignant dans cette affaire semble finalement le reconnaître, mais bien de la situation juridique dont je cherche à débattre. On est en effet dans une situation d’insécurité juridique aussi bien pour les personnes qui cherchent à protéger leurs données, que celles qui souhaitent informer librement le public.

Sur la discussion juridique donc, le droit français ne prévoit pas (article 323-1 du code pénal) que des données doivent être protégées par un dispositif spécifique pour qu’il y ait accès frauduleux à un système de traitement automatisé de données (de la même façon, même si comparaison n’est pas raison, qu’il n’est nul besoin d’effraction pour que le vol soit reconnu, même si l’assurance ne couvre pas ces cas-là).

Toutefois, il faut que l’intention (comme pour toute infraction, son élément moral) soit prouvée, à savoir la conscience de pénétrer dans un serveur privé (comme lorsqu’on pousse la porte d’un appartement). Donc, soit en contournant une sécurité – même faible, soit en s’apercevant – par exemple – de la nature confidentielle des données. Et c’est justement ici que l’on trouve les limites de l’exercice des sites d’information sur la sécurité, puisque ce qui est cherché ce sont justement les failles et l’existence de données confidentielles non protégées: on peut légitimement supposer l’intention d’accéder à des secrets. Même si la motivation est honnête, l’intention d’un accès frauduleux (non autorisé ou non voulu par son propriétaire) sera donc le cas le plus courant.

Il revient ensuite évidemment à l’expert d’évaluer si le service qui a permis l’accès à ces données était :

  • librement offert à tout visiteur (notamment depuis le site Web de l’entreprise),
  • accessible uniquement en effectuant des recherches poussées (et dans ce cas-là si la personne mise en cause à volontairement ou involontairement trouvé ces données),
  • accessible uniquement en contournant un dispositif de sécurité.

Contrairement à la situation d’entreprises chargées par leurs clients de tester la sécurité de leurs serveurs, un journaliste ne peut se prévaloir dans ces circonstances d’une relation préalable avec l’entreprise testée et donc d’une présomption d’autorisation à accéder aux systèmes et à leurs données – souvent formalisée dans le contrat conclu entre les deux parties.

La loi n’a pas non plus prévu d’exemption générale pour les professionnels, comme ce serait le cas dans l’article 323-3-1 du code pénal en matière de possession d’outils de piratage par des spécialistes en sécurité informatique. Et le droit d’informer ne justifie pas de commettre des infractions.

Et pourtant, il paraît socialement utile, comme le souligne Sid, que le public soit informé de l’existence de défauts (de façon générale) dans la sécurisation des données personnelles qu’ils confient à des tiers.

Cette affaire donc, comme en son temps l’aventure très semblable vécue par un autre journaliste en ligne (Affaire kitetoa.com), démontre clairement la nécessité d’un débat sur les règles juridiques et déontologiques à appliquer aux sites d’information sur la sécurité informatique. Cela renvoie aussi au débat sur une obligation qui devrait bientôt peser sur les opérateurs de communications électronique de signaler les atteintes importantes aux données personnelles qu’ils administrent et que va introduire le Paquet télécom: faut-il généraliser ce principe à tous les professionnels ? Un événement tel que celui vécu par un grand intermédiaire financier américain en début d’année serait-il rendu public en Europe ou en tous cas ses clients informés ?

Guerre des hackers: Pakbugs.com attaqué

pakbugs

F-Secure le relevait hier, le site pakbugs.com subit des attaques répétées depuis plusieurs jours. Ce forum où s’échangent les techniques de piratage, mais où sont aussi commercialisées des numéros de carte bancaire et autres produits d’activités illicites n’était plus accessible hier, mais est à nouveau visible aujourd’hui.

Un groupe arborant la signature « WAR Against Cyber Crime » a ainsi revendiqué cette action sur la liste de discussion de Full Disclosure, l’accompagnant d’une liste supposée d’utilisateurs de ce forum, invitant les services d’investigation à se pencher sur leurs cas.

En France aussi, rappelez-vous…

Ce type de forums n’est pas présent qu’à l’étranger. Ainsi, en novembre 2008, la gendarmerie nationale interpellait les participants à un groupe warez (leurs activités étaient ici centrées sur la contrefaçon de vidéos, mais étaient aussi facilitées par des atteintes à des systèmes de traitement automatisé de données, ou de nombreux autres dossiers précédents et à venir, comme en mai 2008, une enquête de la gendarmerie menait à l’interpellation de 22 personnes animant un forum très semblable à Pakbugs.

Quid de Pakbugs?

http://www.pakbugs.com, pakbugs.com ou india.pakbugs.com sont hébergés sur deux serveurs Web distincts. Le premier est hébergé actuellement en Allemagne sur une adresse IP d’un serveur de la société Hetzner… Les deux autres sont hébergés aux Etats-Unis.

Le nom de domaine est enregistré depuis le 03/01/2009, sous une identité vraisemblablement inventée. En mai 2009, ce groupe se présentant comme d’origine Pakistanaise revendiquait le piratage du site Web de Google Maroc, au mois d’août 2009 du site Web du gouvernement Pakistanais (www.sindh.gov.pk). On en trouve des traces sur Zone H.

La liste révélée par le groupe de corsaires revendiqué est inexploitable sur le plan juridique, puisque la source ne peut pas en être vérifiée (et pour certaines législations son origine illégale posera problème). Il serait certainement plus efficace que ce type de groupes fasse l’objet d’investigations de la part du pays hôte (d’ailleurs une enquête est peut-être en cours et cette action illégale a pu y nuire!).

A suivre donc !

Australie: plan de lutte des FAI contre les logiciels malicieux

L’association des fournisseurs d’accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s’agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu’il diffuse de très nombreux pourriels, serait alerté par son fournisseur d’accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l’information de l’abonné, sont la limitation de l’accès, le placement de la connexion de l’abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l’accès à certains ports ou protocoles de l’Internet. Il s’agirait aussi pour les fournisseurs d’accès d’informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d’importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l’Internet. D’ailleurs, au-delà de l’assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d’accès Australiens un moyen, reconnu par le gouvernement, de diminuer l’impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d’envoi de courrier électronique, etc.).

L’exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d’en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l’accès Internet dans le cadre de la loi dite « HADOPI » donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l’internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l’internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d’une situation normale sur la connexion de l’abonné ?

Ce chantier mérite en tous cas d’être discuté, dans un univers où l’essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d’action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s’il est légitime ou souhaitable pour une personne officielle (un service d’enquête, agissant éventuellement sous le contrôle d’un magistrat) qui aurait pris le contrôle d’un serveur de commande de botnet de commander à l’ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d’alerte officiel sur l’écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d’envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

Les pirates ont pignon sur rue

Un phénomène de plus en plus courant est dénoncé aujourd’hui par un article posté sur Switched.com: la présence de vitrines commercialisant des services de « piratage » divers et variés. Bien évidemment, je ne donne pas dans cet article de lien directement cliquable vers ces sites web dont l’activité est illicite.

Ici ce sont deux sites Web qui sont présentés : yourhackerz.com et slickhackers.com.

Que proposent-ils ? On peut voir sur le site du premier la page d’accueil suivante :

Page d'accueil de YourHackerZ.com

Page d'accueil de YourHackerZ.com

et les services proposés: « Pour 100 dollars, nous crackons les mots de passe des principaux sites de messagerie web ». Ils indiquent être en relation avec slickhackers.com. On y retrouve le même concept, mais étendu à d’autres types de sites comme Facebook mais aussi les mêmes messageries en ligne.

Aparté juridique

Sur le plan juridique, je rappelle que non seulement les services commercialisés par de telles personnes sont répréhensibles pénalement (2 à 3 ans de prison et 30.000 à 45.000 euros d’amende au moins en France, selon que le procédé suppose ou non de modifier le mot de passe), mais de la même façon pour toute personne qui achèterait un tel service ou en utiliserait le résultat. De surcroît, il s’agit vraisemblablement d’un groupe de délinquants rentrant dans la définition de la délinquance organisée, donc susceptibles de circonstances aggravantes.

Creusons un peu le dossier

Le site web que nous examinons ici est hébergé sur une adresse IP (94.194.139.xxx) qui héberge plusieurs sites Web :

Un examen des informations d’enregistrement de ces domaines nous donne des informations d’enregistrement pour :

  • Un certain V.M. (pas besoin de mentionner le nom complet pour la démonstration et de toutes façons c’est certainement un alias), chez Dynadot.com
  • Un certain V.S.
  • Un certain M.K.
  • Un certain H.S., dans un autre bureau d’enregistrement (EHostpros.com), avec cette fois-ci une adresse postale au Royaume-Uni.

L’adresse IP du serveur est identifiée elle-même comme correspondant à un serveur hébergé au Royaume-Uni (AS 35228, Beunlimited), qui semble en réalité être un fournisseur d’accès, donc vraisemblablement ici un hébergement artisanal « à domicile » (www.bethere.co.uk). Soit il s’agit de l’abonnement du premier suspect à inquiéter, soit il s’agit d’une machine dont le contrôle a été pris, à l’insu de son propriétaire…

Combien de temps avant que les personnes derrière ce site web soient identifiées et ce site fermé ? En plus, rien ne nous prouve (et je ne vais pas essayer ni les lecteurs non plus !) que le service offert soit réel.

Au passage, on note ici l’utilisation des services de Dynadot qui est souvent cité comme lié à des enregistrements de noms de domaines aux activités peu recommandables, tout simplement parce que cette société offre des services d’anoymisation et certainement des tarifs attractifs. Apparemment ces sites web sont en ligne depuis le début de l’année 2008 au moins…

En France, ce ne serait pas simple de mener une enquête sur ce type de site Web. En effet, il n’est possible de rentrer en contact et échanger avec des délinquants supposés (et donc vérifier les services proposés) que pour les infractions liées aux atteintes aux mineurs et de traite des êtres humains, visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale introduits par la loi sur la prévention de la délinquance de mars 2007 (j’ai évoqué ce thème des cyberpatrouilles à plusieurs reprises). Souhaitons que ces dispositions soient étendues aux infractions d’atteintes aux systèmes de traitement automatisé de données.

Jeux en ligne – Dirigeants de BetOnSports bientôt fixés sur leur sort

I Bari, Le Caravage (c. 1594)

I Bari, Le Caravage (c. 1594)

La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.

Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.

Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.

Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.

Où en est la situation en France ?

La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.

Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.

La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.

%d blogueurs aiment cette page :