lundi 22 décembre 2008

Quelques idées pour Obama sur la cyber-sécurité

L’un des principaux défis du president Obama, en matière de sécurité, sera certainement lié au développement et à la mise en œuvre de stratégies destinées à rendre le cyberespace plus sûr, aussi bien pour les institutions que pour les usagers. C’est en tout cas ce qu’affirme un rapport d’experts réunis par le Centre d’Études Stratégiques et Internationales, basé à Washington. Ce rapport organise ses constats et les recommandations qui en découlent en sept grandes orientations qui s’appuient sur trois principes fondamentaux :

  • La cyber-sécurité est maintenant devenu pour les États-Unis un enjeu de sécurité nationale majeur;
  • Les politiques et stratégies mises en œuvre devront respecter les libertés individuelles et la vie privée, ce qui semble marquer une rupture avec les mesures déjà adoptées par l’administration Bush;
  • Les politiques et stratégies qui seront privilégiées devront nécessairement inclure une dimension nationale et internationale, ce qui semble tomber sous le bon sens mais semble encore trop souvent négligé par les politiciens et les bureaucrates.

 Cinq des sept groupes de recommandations me semblent particulièrement intéressants pour leur lucidité, même si on ne peut pas vraiment dire qu’ils sont révolutionnaires :

  • Il est d’abord suggéré de repenser les partenariats public-privé en matière de cybersécurité, et notamment d’établir des plateformes permettant de cultiver la confiance entre les diverses organisations. Il est évident recommandé de faciliter le partage de l’information, non comme une fin en soi, mais comme un outil au service d’objectifs mieux définis et mesurables.
  • Dans ce qui pourrait être un changement majeur d’attitude, le rapport recommande aussi de recourir de manière beaucoup plus intensive à la règlementation (ou régulation), afin de s’assurer que la cyber-sécurité ne relève pas exclusivement de la bonne volonté des acteurs privés, dont la logique de marché est notoirement inadaptée à la fourniture d’un bien public. L’approche souhaitée est flexible, mais elle n’en constitue pas moins une réaffirmation de la prééminence de l’État dans les questions de sécurité en ligne, au même titre de la situation qui prévaut pour la sécurité physique.
  • Le gouvernement fédéral étant l’un des principaux acquéreurs de matériels, logiciels et services informatiques, il lui est conseillé d’utiliser cette position de force pour contraindre les fournisseurs à développer des produits qui respectent des standards de sécurité minimaux. L’objectif est à la fois de renforcer la sécurité des services gouvernementaux et d’initier un effet de diffusion ou de contagion aux autres organisations acquéreuses.
  • Les lois et les institutions chargées de garantir la sécurité des réseaux datent pour certaines d’une époque où ces derniers n’existaient pas encore, ou étaient réservés à l’usage de quelques scientifiques qui se faisaient confiance et ont intégré cette confiance aux technologies qu’ils ont développé. Le rapport recommande donc que les assemblages administratifs et légaux en vigueur soient adaptés à la société en réseau actuelle où la confiance est devenue une notion toute relative.
  • Enfin, les experts font le constat d’une recherche fragmentée et ne disposant pas des ressources pour faire face aux défis à relever (même si on parle quand même de 300 millions de dollars US pour la recherche en cyber-sécurité aux States en 2009). La possibilité de transformer la structure technique de l’Internet afin de la faire correspondre à son usage actuel (et non à ce que ses créateurs avaient imaginé dans les années 1970) est également évoquée.

 Dans le contexte de tourmente économique actuel, on peut aisément imaginer que ce rapport ne figurera pas très haut dans la liste de priorités du nouveau président des États-Unis, qui sera certainement déjà passablement occupé à créer des millions d’emploi et à maintenir le secteur financier et plusieurs autres industries à flots. C’est dommage, car il offre un constat de la situation dénué de complaisance ou d’un catastrophisme exagéré, en proposant des approches innovantes pour assurer la sécurité de l'Internet. 

vendredi 21 novembre 2008

Les jeunes et l'Internet

Un groupe de 28 chercheurs basé à l'Université de Berkeley vient de mettre en ligne le rapport d'un projet de recherche de plusieurs années sur les habitudes d'utilisation de l'Internet par les adolescents et les jeunes adultes. Plus de 800 entrevues et 5000 heures d'observation des pratiques liées aux nouveaux médias ont été analysées.

Les résultats permettent de tempérer les discours des parents et des adultes en général qui perçoivent l'Internet comme un espace de socialisation dangereux pour les enfants et les adolescents. Les chercheurs mettent en évidence les nombreux aspects positifs d'Internet dans les processus d'apprentissage et la gestion des relations amicales. Ils abordent notamment la question épineuse de l'intimidation et du harcèlement en ligne, en avançant l'hypothèse qu'il s'agit d'un concept construit par les adultes, et que dans leurs propres termes, ces comportements problématiques sont plutôt associés à des "drames" dans les relations entre amis ou entre connaissances qui sont considérablement amplifiés par la portée des nouveaux médias, et en particulier par le recours intensif aux sites de réseaux sociaux. Ces derniers augmentent la persistence de tout commentaire désobligeant et de toute rumeur, et rendent ces derniers plus difficiles à interpréter en les décontextualisant.

Cette approche, qui ne manquera pas de déclencher des réactions assez virulentes de la part des associations de protection des enfants et des médias, ne nie pas le préjudice moral et la souffrance des jeunes victimes de ces rumeurs. Elle rappelle cependant à quel point ces comportements problématiques doivent être compris dans un ensemble complexe d'interactions sociales qui ne peuvent qu'appeler des réponses tenant compte de cette réalité nuancée.

mercredi 19 novembre 2008

Facebook fait payer pour la sécurité

Le très populaire site de réseaux sociaux Facebook (120 millions d'utilisateurs) viendrait (selon le blog Webmonkey) de lancer un programme de vérification de l'intégrité des applications offertes par des tierces parties à ses usagers. Il y aurait actuellement 52.000 applications créées par des tiers mais distribuées par Facebook à ses membres. Le nouveau programme confère aux développeurs de logiciels qui en font la demande un label de qualité destiné à rassurer les usagers sur la sécurité des logiciels qu'ils installent. En effet, certaines de ces applications se sont avérés être des malwares (maliciels) infectant les ordinateurs des usagers à leur insu (voir par exemple ici ou ici). Le seul hic de ce programme est qu'il est accompagné de frais s'élevant à 375$ pour les auteurs de ces applications.

Ma question est alors la suivante: si l'on peut comprendre que Facebook cherche à récupérer une partie des coûts associés à la vérification approfondie de la non-dangerosité des programmes mis à la disposition de ses usagers, pourquoi a-t-il fallu attendre si longtemps pour que des contrôles minimaux soient établis, et pourquoi continue-t-il à accepter des programmes sans avoir au préalable procédé à une évaluation de leur sécurité?

Serait-ce tout simplement parce que la sécurité était jusqu'à récemment une variable absente de son modèle d'affaire?

mardi 18 novembre 2008

Nouveau sondage sur le vol d'identité au Canada

Susan Sproule er Norm Archer, de l'Université McMaster, viennent de rendre public les résultats d'un récent sondage sur le vol d'identité au Canada. Leur échantillon est de taille (3000 répondants), ce qui fait de cette étude la nouvelle référence canadienne dans le domaine. D'après les résultats obtenus, environ 1,7 millions de canadiens auraient été victimes d'un vol d'identité au cours des 12 derniers mois, soit 6,5% des consommateurs canadiens.

La plupart des victimes (57%) ne savent pas comment leurs informations personnelles ont été compromises, mais il semble que les transactions commerciales traditionnelles (38%) sont à l'origine de plus de fraudes que les achats en ligne (15%), ce qui confirme le fait que le niveau de sophistication technologique des fraudeurs reste relativement limité. De plus, dans seulement 7% des cas, les fraudeurs sont des proches des victimes, ce qui semble remettre en question le mythe de la responsabilité individuelle des victimes, trop souvent présentées comme négligentes dans l'utilisation de leurs informations personnelles.

La réaction des victimes à la suite d'un vol d'identité est également instructive: seulement 13% déclarent les faits à la police, ce qui peut aussi bien être lié au peu de confiance accordé à cette dernière pour ce type d'affaires qu'à la bonne gestion de tels incidents par les institutions financières, qui rendrait inutile le recours aux institutions d'application de la loi. On peut imaginer aussi que les montants impliqués ne soit pas jugé suffisamment élevés pour requérir de faire appel à la police. Par contre, 20% des consommateurs ont déclaré avoir diminué leurs achats en ligne en raison de leur préoccupation pour la sécurité des transactions et le vol d'identité, ce qui constitue un effet tout à fait significatif sur l'économie de l'Internet.

On attend donc maintenant une deuxième vague du sondage dans un ou deux ans afin de savoir quelle est l'évolution du phénomène dans le temps.

jeudi 13 novembre 2008

Stopper 65% du spam mondial en quelques heures? C'est possible.

Un article du Washington Post montre comment le journaliste Brian Krebs a réussi, à partir de ses démarches auprès de deux grandes entreprises de télécommunications (Global Crossing et Hurricane Electric), à faire suspendre l'accès à Internet d'un hébergeur de site connu pour sa propension à offrir ses services à des entreprises de spam et à des réseaux pédophiles. McColo Corp. est l'un de ces "bulletproof hosts" ou hébergeurs blindés, qui garantissent à leurs clients le maintien de leur service, même si des plaintes sont reçues contre ces derniers en raison de leurs activités douteuses. Ce service est bien entendu accompagné de frais additionnels.

McColo est jugé indirectement responsable par des entreprises et des chercheurs spécialisés en sécurité informatique de 75% des spams qui polluent l'Internet chaque jour, et qui font la promotion de divers produits supposés améliorer les performances sexuelles des gogos qui les achètent (un article scientifique a récemment été publié sur les taux de conversion en ventes de ces spams). Ces milliards de spam ne sont pas expédiés à partir des serveurs de McColo: ce sont plutôt les réseaux d'ordinateurs zombis (les fameux botnets) qui sont coordonnés et synchronisés à partir des serveurs de McColo. Cette entreprise offrait également des solutions de paiement à une quarantaine de réseaux pédophiles qui pouvaient ainsi distribuer leurs photos et vidéos. Enfin, des groupes criminels auraient loué des serveurs à McColo pour distribuer par le biais de sites Internet des logiciels malveillants qui peuvent être utilisés pour commettre des vols d'identité (voir par exemple les logiciels Torpig et Sinowal).

Lorsque la connexion à Internet de McColo a été suspendue, le volume mondial de spams a instantanément chuté de 65%!!! L'efficacité des groupes criminels a également dû souffrir, puisque les coûts associés à leurs activités ont augmenté (recherche de nouveaux fournisseurs d'accès et rareté des opérateurs désireux de transiger avec eux) et que leurs profits ont connu un ralentissement temporaire.

Bien entendu, l'accalmie est de courte durée, mais cet exemple montre bien comment la solution aux problèmes de cybercriminalité ne peut reposer uniquement sur les épaules de la police ou des processus traditionnels mis en oeuvre par le système pénal. L'Internet est avant tout un univers marchand dans lequel même les groupes criminels les plus organisés doivent payer des services d'hébergement et de connexion. Si les enquêteurs peuvent se focaliser sur les cas les plus graves (pédophilie, fraudes financières massives, cyberterrorisme...), certaines entreprises ont entre leurs mains le pouvoir de diminuer considérablement (et sans encourir des frais trop élevés) le volume des fraudes qui nuisent quotidiennement à l'expérience des internautes. Encore faut-il que les gouvernements réussissent à convaincre les entreprises de le faire. Peut-être Monsieur Krebs pourra-t-il leur donner deux ou trois conseils en ce domaine?

lundi 10 novembre 2008

Conférence "l'enfer de la cybercriminalité"

Les Belles Soirées de l'Université de Montréal présentent le 24 novembre et le 1er décembre deux conférences payantes sur la cybercriminalité, animées par un psychologue et un des premiers policiers québécois a avoir dirigé une unité d'enquête dans ce domaine.

Tous les détails et les formulaires d'inscription à cette adresse.

jeudi 30 octobre 2008

Les stratégies de protection contre le vol d'identité sont-elles efficaces?

Un récent sondage mené par Paypal semblerait démontrer que non. Conduit dans plusieurs pays en Amérique du Nord et en Europe, ce sondage démontre que le meilleur moyen de protection est la langue, les consommateurs des pays anglophones étant proportionnellement plus exposés au vol d'identité que les autres citoyens du monde. Alors que 10% des personnes ayant acheté des produits en ligne au Canada, aux USA ou au Royaume Uni ont été victimes d'un vol d'identité, le taux n'est que de 5% en France, en Espagne ou en Allemagne. Les échantillons de 1000 répondants dans chaque pays sont suffisamment importants pour que les résultats obtenus soient relativement fiables.

Cette variation s'explique évidemment par le fait que les fraudeurs ciblent en priorité les pays où le commerce électronique est le plus développé, mais aussi (et surtout) ceux où les moyens de paiement comme les cartes de crédit disposent des limites les plus élevées. Cependant, plusieurs questions portaient également sur les pratiques des internautes en matière de sécurité comme l'utilisation des mots de passe, la possession de machines à déchiqueter le papier ou encore le partage d'informations personnelles sur des sites de réseaux sociaux. Ces pratiques sont considérées comme génératrices de risques et de nombreux sites enjoignent les internautes à ne jamais partager leur mots de passe, à ne jamais utiliser des données faciles à deviner comme leur date de naissance pour créer leur mot de passe, à ne jamais divulguer des données personnelles sur les réseaux sociaux, ou encore à déchiqueter systématiquement les documents qu'ils reçoivent. Un exemple type est la campagne menée à grand frais au Québec par l'Institut de Sécurité de l'Information du Québec sur le thème "Je protège mon identité sur Internet".

Sans vouloir faire de peine à l'ISIQ, je ne suis pas certain que les recommandations faites aux internautes pour se protéger du vol d'identité soient suivies de résultats très probants si on se base sur le sondage de Paypal.

En effet, le fait de partager ses mots de passe avec des amis ou de membres de sa famille ne semble pas être une variable discriminante dans la victimisation: si seulement 28% des internautes allemands ont déclaré s'être livrés à cette pratique risquée, la proportion était du double (60%) aux États-Unis. On pourrait donc assumer que c'est là l'une des causes du vol d'identité... Mais une minute, la proportion de français qui font preuve d'une négligence identique (58%) est presque aussi élevée qu'aux USA, et pourtant, ils sont deux fois moins victimes de cette fraude. Les Français sont aussi les internautes qui sont le moins équipés de déchiqueteuses (seulement 17%), qui n'hésitent pas à laisser leurs logiciels de navigation administrer leurs mots de passe (plus de la moitiés des sondés français), ou encore qui indiquent leur date de naissance sur leur profil sur les sites de réseau social (plus d'un quart) ET qui utilisent cette date de naissance dans leur mot de passe!!! Qui plus est, ces Gaulois inconscients ne changent leurs mots de passe que très rarement (61% le changent moins d'une fois par an), à l'instar de leurs homologues ibères.

Visiblement, si l'on ne parle pas anglais, on peut se permettre de relâcher sa vigilance sans trop de conséquences. Pourquoi? Peut-être parce que contrairement aux idées reçues, la responsabilité individuelle des victimes de vols d'identité est relativement limitée comparativement aux moyens de prévention et aux bonnes pratiques que pourraient mettre en oeuvre les entreprises administrant les moyens de paiement et toute la chaîne du commerce en ligne.

mercredi 29 octobre 2008

La sécurité précaire des données personnelles en Amérique du Nord: nouvelle note de recherche

Vous pourrez télécharger une note de recherche que je viens de terminer avec Benoît Gagnon sur la sécurité des informations personnelles en Amérique du Nord sur le site de mon collègue Vincent Gautrais, qui la commente ici. Cette note nous permet de comprendre l’ampleur du problème des brèches de sécurité (qu’il s’agisse de vols, de négligences, de pertes ou de piratages) auxquelles ont été exposées les organisations publiques et privées (ainsi que leurs clients, usagers et employés) aux États-Unis et au Canada au cours de la période allant de janvier 2005 à janvier 2008.

Parmi les faits saillants de cette note :

• Pendant la période considérée, nous avons identifié 976 incidents de pertes ou de vols de données, ayant donné lieu à la compromission de 313 millions de dossiers personnels;

• Nous avons pu recenser 23 événements ayant eu lieu au Canada pour un total estimé de 4,4 millions de dossiers personnels compromis, mais en l’absence d’une obligation légale de divulgation pour les organisations victimes, ce chiffre nous semble fortement sous-estimé;

• Tous les secteurs d’activités gouvernementaux et privés semblent également affectés par des défaillances en matière de protection des données personnelles. Les secteurs de l’éducation, de la santé, les divers services gouvernementaux ainsi que les institutions financières sont les quatre principaux pourvoyeurs d’incidents;

• Plus de la moitié des incidents sont attribuables au vol d’équipements informatiques tels que des ordinateurs portables, ou à la négligence des employés des organisations concernées. Le piratage informatique ne concerne que 22,7% des affaires analysées. Il apparaît donc que ces incidents pourraient facilement être prévenus par une meilleure formation dispensée aux employés et le recours à des politiques plus strictes de transfert et de chiffrement des bases de données sensibles;

• Les principales victimes individuelles de ces incidents sont les usagers des services publics (35,1%), devant les employés des organisations concernées (22,8%) et les clients d’entreprises affectées (20,9%). La diversité des victimes individuelles et leur répartition relativement équilibrée selon les catégories semblent indiquer que ce sont bien les modes actuels de gestion des informations personnelles qui posent problème aux organisations, quelles que soient les personnes concernées;

• Bien que l’on observe une diminution du nombre d’incidents déclarés pour l’année 2007 après une forte augmentation en 2006, il est encore trop tôt pour dire si cette tendance est durable et si elle peut être attribuée au vote aux États-Unis de lois obligeant les organisations victimes à notifier publiquement les incidents. Par ailleurs, le contexte actuel de crise économique dans les secteurs immobilier et financier risque de générer de fortes pressions sur les organisations et leur sécurité informatique, créant un rique accru de vols et de pertes;

• L’absence de dispositions législatives de divulgation et de notification au Canada est problématique, dans la mesure où cela nous empêche d’avoir une image précise de la situation et des risques auxquels sont exposés les citoyens canadiens. Ce déficit d’imputabilité et de transparence limite également les organisations et les individus qui souhaitent mettre en place des moyens efficaces de protection contre ces brèches de sécurité.

lundi 25 août 2008

Compromission de données personnelles: les délinquants ne sont pas épargnés

On a en effet appris en fin de semaine dernière qu'une entreprise sous-traitante du ministère britannique de l'intérieur avait perdu une clé USB contenant les données personnelles de l'ensemble des détenus enfermés dans les prisons de sa majesté, soit environ 84.o00 personnes. Apparemment, les données auraient été transmises au consultant responsable de leur perte en format encrypté, mais celui-ci aurait contrevenu aux politiques gouvernementales en la matière en les transférant sur son support de stockage de façon non sécurisée.

mercredi 20 août 2008

Logiciels pour paranoïaques

Si la lecture de ce blog vous rend quelque peu paranoïaque lorsque vous surfez sur Internet, vous serez peut-être intéressés par ce banc d'essai du magazine SVM du mois d'avril 2008, qui évalue 6 logiciels de protection de la vie privée.

Deux services gratuits d'anonymisation des communications internet sont oubliés:
TOR, qui est soutenu par l'Electronic Frontier Foundation, et Psiphon, développé par l'Université de Toronto (bien que dans les deux cas, l'anonymat absolu ne soit pas garanti par les promoteurs de ces systèmes).

dimanche 17 août 2008

Les cyberenquêteurs français peuvent dormir tranquille

En effet les journalistes qui s'intéressent à leurs activités restent extrêmement déférents, et ne risquent pas de soulever des questions trop embarassantes. À preuve, l'article signé par Laurence Neuer dans Le Point du 14 juillet 2008. On y apprend que la soixantaine d'enquêteurs de l'Office Central de Lutte contre la Criminalité Liée aux Technologies de l'Information et de la Communication (OCLCTIC) sont activement impliqués dans la lutte contre le 'phishing', le détournement de compte bancaire ou le clonage des cartes de paiement contrefaites. Un enquêteur ose même avancer des statistiques pour le moins surprenantes qui n'ont pas eu l'air de faire réagir Madame Neuer. En effet, selon le policier, "aujourd'hui, près de 50% des machines en France sont infectées" [par des logiciels malveillants capables de saisir les mots de passe des internautes lorsqu'ils réalisent des opérations bancaires en ligne]. Devant une affirmation aussi alarmiste, on aurait au moins aimé savoir sur quelles bases statistiques on s'appuie: s'agit-il d'un sondage auprès des vendeurs d'antivirus, d'une étude approfondie des machines du parc informatique français ou d'une enquête de victimisation auprès des internautes français? Si ce chiffre est crédible, alors le nombre d'enquêteurs affecté à cette forme émergente de criminalité est manifestement insuffisant (60 enquêteurs pour la moitié du parc informatique français). Il y a là comme une incohérence qui ne semble pas avoir attisé la curiosité journalistique de Madame Neuer.

Qui plus est, celle-ci aurait pu demander aux enquêteurs rencontrés quelle était la nature de leur collaboration avec les juges d'instruction. Ces derniers sont-il suffisamment préparés pour faire face à la criminalité informatique dont on comprend bien qu'elle prend une place de plus en plus importante, notamment en raison de sa nature extrêmement lucrative? Tant qu'à faire, on aurait pu se poser la question du nombre d'affaires jugées et des taux de condamnation, ou même de la nature des peines prononcées. On aurait enfin pu se demander si la coopération policière internationale fonctionnait de façon satisfaisante, ou si quelques pays impliqués de manière disproportionnée se faisaient encore prier avant d'accorder toute leur attention à des crimes qui ne représentent pour eux qu'une priorité secondaire? L'efficacité d'une poignée d'enquêteurs ne signifie rien si ces derniers doivent ramer à contre-courant dans un système judiciaire inadapté pour faire face à une criminalité aussi complexe, aussi bien sur le plan organisationnel que technique. 

Bref, devant le potentiel journalistique d'un tel sujet (le Washington Post s'est par exemple doté d'un journaliste spécialisé dans les questions de sécurité informatique), on attend encore de la part des quotidiens et des hebdomadaires français des articles qui dépassent le stade de la promotion complaisante pour une unité spécialisée d'enquête, aussi compétente soit-elle.

lundi 11 août 2008

Vol d'identité à la pompe à essence: La machine à remonter le temps

Le quotidien USA Today profite de la hausse vertigineuse du prix du pétrole et du désert informationnel de l'été pour remettre au goût du jour une nouvelle sur le clonage des cartes de crédit aux pompes à essence à paiement automatisé. Il sagit d'une variante du clonage des cartes aux distributeurs automatiques, où les fraudeurs implantent des 'manchons' (des skimmers) contenant des lecteurs de pistes magnétiques ou des caméras vidéos qu'ils apposent sur les fentes où l'on glisse les cartes, et qui emmagasinent les numéros de cartes ainsi que les codes secrets. J'avais mis en ligne dans mon précédent blog, la Sécurisphère, une vidéo qui illustre les manières de faire et les équipements utilisés. Cette histoire se base sur une recrudescence de cas qui seraient signalés par les services de police de divers états américains, et bénéficie d'une certaine résonance médiatique en raison de la flambée du pétrole. Elle est hélas loin de représenter le scoop de l'année. En effet, dès 2004, la chaîne de télévision NBC alertait ses téléspectateurs sur une épidémie de clonages dans les stations services. Bref, en matière de vol d'identité aussi, le 'buzz' médiatique a parfois du mal à trouver de nouvelles 'menaces' à se mettre sous la dent.

vendredi 8 août 2008

Arrestation d'un réseau international de vol d'identité

Le peu d'espace médiatique qui n'est pas consacré ces derniers jours à l'ouverture des jeux olympiques fait état de l'arrestation et de l'accusation par la justice américaine de plusieurs membres d'un réseau international de voleurs d'identité. Les férus de droit pourront lire les charges déposées par les procureurs américains ici (en anglais, of course), mais en résumé, on reproche à ces 11 individus d'être responsables du vol et de la monétisation d'une quarantaine de millions de numéros de cartes de crédit et de débit. Si les moyens techniques ne sortent pas vraiment de l'ordinaire, plusieurs aspects méritent d'être soulignés:
  • Tout d'abord, il s'agit là d'un réseau véritablement international d'individus (provenant des USA, d'Ukraine, de Chine et de Biélorussie) qui ne se connaissaient pas personnellement, et qui avaient établi des collaborations durables par le biais d'un marché clandestin des compétences afin d'exploiter les forces de chacun, selon un principe bien connu de division du travail;
  • Ensuite, ces individus travaillaient apparemment dans une ambiance polie, chaleureuse et productive qui est bien loin des images traditionnelles du crime organisé à la Tony Soprano. Il s'agissait véritablement d'une association bien huilée d'entrepreneurs qui cherchaient à maximiser leurs profits tout en minimisant les coûts de transaction générés par des comportements de diva;
  • Enfin, leur cible de prédilection semblait être les grandes chaînes de distribution et de commerce de détail. La raison? D'après cet article, elle est très simple: il s'agit du secteur économique dans lequel les marges sont tellement faibles qu'elles empêchent la constitution d'équipes de soutien informatiques étoffées ou des investissements majeurs en matière de sécurité informatique. Par ailleurs, l'éclatement des points de distribution sur de vastes territoires fait en sorte que les techniciens ne se trouvent pas en général physiquement dans les magasins, ce qui laisse ces derniers sans surveillance et invite ainsi la convoitise des fraudeurs, selon on principe bien connu en criminologie.
On en apprendra certainement plus dans les prochains mois, mais cela ne risque pas d'améliorer la confiance des consommateurs dans les institutions avec qui ils effectuent des transactions financières informatisées, et il serait intéressant si la répétition de tels incidents conduira à un retour en popularité des paiements en espèces. 

mardi 5 août 2008

Les jeux olympiques de Beijing victimes d'une fraude mondiale massive

On devait s'y attendre, mais depuis quelques heures, la nouvelle est en train de faire le tour de la planète: des fraudeurs ont profité de la très forte demande pour assister aux épreuves olympiques afin de berner plusieurs milliers d'amateurs sportifs. Le site http://www.beijingticketing.com/ (qui n'est plus en ligne depuis hier soir, mais toujours visible en cache sur Google) promettait à ceux qui n'avaient pas pu se procurer les précieux laisser-passers par les canaux officiels des places pour toutes les épreuves, ainsi que les cérémonies d'ouverture et de fermeture. L'Express explique l'ampleur de la fraude, dont les profits s'élèveraient à une cinquantaine de millions de dollars On recense des victimes en Australie, aux États-Unis, ou encore au Canada. D'ailleurs, un article dans l'Ottawa Citizen montre bien pour quelles raisons ce type de fraude est potentiellement plus lucratif qu'un vol d'identité traditionnel: la jeune victime de 21 ans et ses parents ont en effet dépensé plus de 4000$ pour des billets qui, quoi qu'onéreux, restaient encore abordables par comparaison au prix des billets légitimes en vente sur eBay. Il est assez significatif qu'une fois la transaction devenue suspecte à ses yeux (ne recevant pas de réponses à ses nombreux courriels), il lui a fallu seulement quelques minutes de recherche sur Google pour confirmer qu'elle avait été abusée par des fraudeurs. On pourrait ainsi conseiller à tous ceux qui désirent transiger sur Internet pour acquérir des biens ou des services rares de mener auparavant des enquêtes de réputation sur les intermédiaires avec qui ils souhaitent traiter (en général, une simple recherche sur Google en incluant des mots clés comme 'scam' [escroquerie] ou 'rating' [évaluation] suffit). Mais les organisateurs d'événements internationaux dont les billets s'arrachent à prix d'or ont également la responsabilité de s'assurer que leur succès ne sert pas de tremplin à des fraudeurs qui flairent là une bonne opportunité, au risque d'entâcher leur réputation.




lundi 4 août 2008

Fouilles d'ordinateurs portables à la frontière US

J'évoquais il y a quelques jours les précautions à prendre pour les visiteurs qui se rendront en Chine pendant les jeux olympiques (et au-delà) afin de protéger les données sensibles contenues dans leurs appareils informatiques. Il apparaît que ces recommandations valent également pour les États-Unis, où les douanes (qui sont rattachées au Department of Homeland Security) viennent de rendre publique leur politique de fouille des ordinateurs portables et autres gadgets électroniques. Le document est en anglais, mais trois points doivent être notés:
  • Ces fouilles (plutôt des saisies en fait) peuvent être réalisées sans que les agents qui les pratiquent aient besoin de démontrer que des lois aient été violées par les propriétaires des appareils en question. En clair, tout voyageur est potentiellement exposé à une telle procédure;
  • La durée de saisie de l'appareil (qui fera on l'imagine l'objet d'analyses forensiques approfondies) ne doit pas dépasser une période "raisonnable", sans qu'aucune précision concrète soit donnée sur ce qui constitue une période raisonnable (24 heures? 2 semaines? 2 mois?);
  • Enfin, les données saisies peuvent être transmises à d'autres agences gouvernementales américaines (CIA, NSA, etc...) ou à des entreprises privées dans le cadre de contrats de sous-traitance de traduction ou d'analyse.
On le voit, il y a là de quoi se poser bien des questions, d'autant plus qu'il n'est pas précisé comment le secret professionnel (qu'il soit bancaire, médical, lié à la recherche universitaire, etc.) sera protégé, et qu'on peut imaginer comment les données saisies serviront selon toute probabilité à alimenter les bases de données des diverses agences de renseignement. Il semble donc que les États-Unis doivent être ajoutés à la liste des pays dans lesquels ceux qui valorisent la nature privée de certaines informations en leur possession devront se rendre sans leur ordinateur portable. 

dimanche 3 août 2008

Vol d'identité et marketing sauvage

Deux personnes viennent d'être accusées à Los Angeles pour avoir abusivement accédé aux bases de données du principal prêteur hypothécaire américain (Countrywide, qui est également impliqué dans la crise immobilière des prêts à hauts risques), en avoir extrait les informations personnelles de centaines de milliers de clients, et les avoir revendues à des entreprises cherchant à leur proposer d'autres services de prêts bancaires. L'un des deux accusés est un ancien employé de Countrywide qui passait ses dimanches après-midi au bureau afin de télécharger sur une simple clé USB des blocs de données personnelles d'environ 20.000 clients, qu'il vendait 500$ à des entreprises par le biais de son complice. En deux ans, ce sont ainsi près de deux millions de clients qui ont vu leurs informations financières compromises. L'accusé principal aurait réussi à amasser 70.000$ au cours de ces deux années. On peut se demander comment un comportement aussi anormal (télécharger 20.000 dossiers de clients différents chaque dimanche après-midi pendant deux ans) n'a pas attiré l'attention des services d'audit informatique et de surveillance du principal prêteur immobilier américain. La réponse est encore hélas attribuable à la sous-estimation systématique que font les organisations qui gèrent de telles données des risques internes que représentent leurs employés, que ces derniers soient malveillants ou tout simplement négligents. 

lundi 28 juillet 2008

Les incidents liés aux pertes et vols de données personnelles augmentent en Colombie-Britannique

Le Commissaire de l'information et de la vie privée de Colombie Britannique vient de rendre public le nombre d'incidents de pertes ou de vols de données pour cette province de l'Ouest du Canada. Ces atteintes potentielles à la vie privée des citoyens ont fait l'objet de 92 enquêtes de la part des employés du bureau du commissaire au cours des 12 derniers mois, par comparaison avec 86 incidents en 2006-2007 et seulement 34 incidents en 2005-2006. Cette augmentation des incidents est alarmante, mais elle est principalement attribuable à des vols d'ordinateurs portables et à des négligences récurrentes de la part des employés d'organismes publics ou d'entreprises qui ont en leur possession des informations personnelles de clients ou d'usagers. Ce n'est pas tant l'augmentation en tant que telle qui est alarmante que l'indifférence apparente des organisations impliquées vis-à-vis des données personnelles qui leurs sont confiées: l'une d'entre elles (qui n'est pas nommée mais qui est un service public) a ainsi été victime de 10 incidents afférents au même programme pendant la même année... Cette légèreté est confirmée par des affaires similaires qui se succèdent à un rythme effréné dans la presse nord américaine, et parfois en Europe. 

Il est également significatif de noter que la cause majoritaire de ces incidents n'est pas la menace que posent d'hypothétiques pirates informatiques, mais plutôt le manque de rigueur dans la gestion des données personnelles et de leur support physique, aussi bien de la part des organisations que de leurs employés. Peut-être que la bonne vieille méthode du déshonneur sur la place publique serait plus efficace pour inciter les administrations et les entreprises à prendre ce problème au sérieux. Quoi qu'il en soit, ces chiffres restent très localisés, et l'on continue d'ignorer, aussi bien au Québec qu'en France ou ailleurs dans la francophonie, combien d'incidents identiques se produisent chaque année. Il y a là un déficit d'information qu'il semble urgent de combler.

jeudi 24 juillet 2008

5 minutes...

C'est l'espérance de vie d'un ordinateur PC ne disposant pas des dernières mises à jour de Windows lorsqu'il est connecté à Internet, avant qu'un pirate ne puisse l'identifier et compromettre ses données. Ces chiffres alarmistes proviennent de l'Internet Storm Center du SANS Institute aux États-Unis. Mais tout n'est pas perdu: des chercheurs allemands qui gèrent des honeypots (pots de miel en bon français) estiment plutôt la durée de survie moyenne à environ 16 heures. Voilà qui est en effet rassurant!

mardi 22 juillet 2008

Investissements massifs en cybersécurité

Le gouvernement américain s'apprête à investir des milliards de dollars dans la protection de ses infrastructures informatiques, afin de lutter contre les intrusions malveillantes et de se préparer à affronter de nouvelles menaces. Ces dépenses seront imputées au budget du renseignement et le programme, dont le contour est encore très vague et qui est couvert du plus grand secret, est connu sous le nom de Comprehensive National Cybersecurity Initiative (CNCI). Ses objectifs toucheront dans un premier temps la sécurité nationale, mais il est prévu dans une deuxième étape d'étendre les moyens qui seront déployés aux systèmes "civils" du secteur privé qui gèrent les données financières, commerciales ou médicales. Le législateur a également suggéré que soit mis sur pied un comité consultatif composé d'élus et de représentants du secteur privé, afin que le gouvernement prenne en compte la nature hybride des systèmes d'information.

Si l'on peut s'interroger sur le secret qui entoure une telle initiative, l'opportunité de l'inclure dans le budget des agences de renseignement et sur l'utilisation certainement offensive qui sera faite de certains systèmes qui y seront associés, on ne peut que constater l'avance prise une fois de plus par les États-Unis dans le domaine d'élaboration des politiques et des standards technologiques. La diffusion dans le reste du monde de ces derniers confèrera aux États-Unis un avantage compétitif qu'il sera difficile de rattraper. D'ailleurs, cette question a officiellement fait son entrée dans la campagne présidentielle, puisque les candidats Obama et McCain (qui de son propre aveu ne sait pas comment utiliser un ordinateur pour surfer sur Internet) ont évoqué les questions de cybersécurité dans de récents discours.  

vendredi 18 juillet 2008

Le hacking: nouvelle discipline olympique?

Le Wall Street Journal a publié le 17 juillet un article qui ne va pas améliorer les relations diplomatiques entre les USA et la Chine. Celui-ci fait état de la divergence d'opinions au sein de la communauté américaine du renseignement quant à l'opportunité de mettre en garde les hommes et femmes d'affaires (ainsi que les hauts fonctionnaires) américains qui assisteront aux Jeux Olympique de Pékin, le mois prochain contre les tentatives de piratage de leurs équipements informatiques.

En effet, selon l'article, les agences américaines sont préoccupées des pratiques systématiques de piratage informatique déployées par certains gouvernements étrangers, dont (mais pas uniquement) la Chine. Parmi les techniques observées ces derniers temps, on recense la copie intégrale des disques durs d'ordinateurs portables aux points de contrôles dans les aéroports ou dans les chambres d'hôtel, l'injection de virus dans les téléphones intelligents style Blackberry ou Treo, ou le "slurping" qui consiste à voler les données de téléphones ou équipements électroniques équipés de la technologie Bluetooth.

Le gouvernement américain ne souhaite pas faire de mise en garde publique, afin de ne pas froisser ses interlocuteurs chinois, mais de plus en plus d'entreprises actives dans des secteurs sensibles ont pris des mesures afin de minimiser l'exposition à ce type d'incidents:
  •  Il est par exemple de plus en plus fréquent qu'elles confient à leurs cadres en déplacement des ordinateurs portables réservés aux voyages et qui ne contiennent aucune donnée sensible, quand elles ne leurs interdisent pas carrément d'emporter de tels équipements en voyage;
  • Les données sensibles doivent alors être conservées sur des clés USB cryptées qui doivent rester constamment sous le contrôle de leur propriétaire; 
  • Les boîtiers d'ordinateurs sont équipés de sceaux inviolables qui permettent de vérifier que le disque dur n'a pas été démonté et que la machine n'a pas été "bricolée" en l'absence de son propriétaire;
  • L'utilisation de téléphones rechargeables à bas-coûts pouvant être jetés au retour du voyage, et vierges de toute donnée, est également conseillé;
  • etc...
Une liste des stratégies à mettre en oeuvre est mise à la disposition des entreprises ici.

L'un des seuls aspects positifs de cette nouvelle catégorie de menace est que nous assisterons peut-être à une diminution du nombre de présentations Powerpoint inutiles dans les réunions et conférences, en raison des restrictions de sécurité qui frapperont de plus en plus les ordinateurs portables... 

On peut toujours rêver!

lundi 14 juillet 2008

Les logiciels de P2P facilitent le vol d'identité

Un article du Washington Post du 9 juillet fait état du vol de données personnelles de 2000 clients fortunés de l'entreprise spécialisée dans les placements financiers et les conseils fiscaux Wagner Resource Group. Parmi les victimes, figurent de nombreux juristes de haut vol ainsi que le juge Breyer de la Cour suprême des États Unis.  

Le déroulement de l'incident a suivi une séquence désormais classique: un employé qui manifestement dispose de trop de temps libre pendant sa journée de travail télécharge sur son ordinateur professionnel le logiciel de partage de données LimeWire, qui lui permet de télécharger les derniers morceaux de musique à la mode ou les films piratés qui viennent de sortir en salle. Il ne prête pas une grande attention au paramétrage des fichiers qui peuvent être échangés, et se trouve mettre à la disposition de tous les internautes qui recherchent ce type d'informations des fichiers confidentiels contenant des données relatives aux clients, aux nouveaux produits ou aux fournisseurs de l'entreprise. Dans le cas en question, ce sont les noms, les dates de naissance et les numéros de sécurité sociale (utilisés pour valider de nombreuses transactions financières aux USA) des riches clients qui ont été compromis. Ces données, visibles de tous sur Internet, peuvent ensuite être utilisées par des fraudeurs pour obtenir des cartes de crédit ou des service de téléphonie mobile au nom de leurs victimes.

Si de tels incidents sont hélas en train de devenir monnaie courante, on voit qu'ils n'impliquent pas des compétences techniques très développées de la part des fraudeurs, qui ont seulement à rechercher les fichiers abusivement partagés sur les sites "pair à pair" (P2P). Par ailleurs, dans ce cas particulier, 6 mois se sont écoulés avant que la faille ne soit découverte par l'entreprise victime, et l'alerte n'a pas été donnée par les services informatiques de l'entreprise mais par un internaute qui est tombé dessus par hasard. 

Un tel niveau de négligence semble être la norme, puisqu'un rapport de la société Verizon Business portant sur 500 incidents de perte ou de vol de données personnelles recensés entre 2004 et 2007 fait apparaître que la découverte de tels incidents est dans 70% des cas le fait de tierces parties. Les procédures d'audit interne ou les technologies d'analyse des activités ne sont déterminantes, quant à elles, que dans 7% des incidents. On se demande à ce compte si les investissements en sécurité de l'information seront bien en mesure de produire des résultats escomptés, ou s'ils sont réalisés par les entreprises en pure perte. 


mardi 17 juin 2008

Le coût des pertes et des vols de données pour les entreprises

L'Union des consommateurs vient de conclure une entente avec l'Agence des douanes et du revenu du Canada, qui s'était fait subtiliser en 2003 dans ses bureaux de Laval (Québec) un ordinateur contenant les données personnelles de 120.000 contribuables. Vous pouvez lire les détails de l'entente, conditionnelle à une approbation de la Cour fédérale, ici. Un des éléments les plus intéressants de ce long document est le montant auquel chaque victime de ce vol de données personnelles est admissible: 200$ au maximum. Cela peut paraître négligeable, mais si l'ensemble des personnes concernées se manifestent, l'organisation négligente devra débourser près de 24 millions de dollars. Cela risque de faire réfléchir plusieurs responsables de la sécurité informatique, d'autant plus qu'aucune fraude n'a été déplorée et que les voleurs étaient certainement uniquement intéressés par le matériel.

dimanche 15 juin 2008

Comment pirater des applications de banque en ligne

Une longue vidéo fascinante d'une conférence de Fabrice Marie (un consultant en sécurité d'origine française mais qui donne sa présentation en anglais devant un public asiatique), qui porte sur les méthodes de piratage des systèmes bancaires en ligne. Cette présentation pleine d'humour a été faite il y a quelques années, mais elle reste selon moi d'une grande actualité (les diapos powerpoint sont disponibles ici).

Cette vidéo assez technique n'est pas seulement intéressante pour la démonstration qu'elle fait de la facilité avec laquelle il est possible de pénétrer des systèmes bancaires en ligne, mais surtout selon moi parce que Fabrice Marie nous explique comment réfléchissent les institutions bancaires dans leur processus de prise de décision et d'allocation des ressources informatiques, et dans quelle mesure la sécurité est rarement une préoccupation prioritaire. Il a également des mots assez durs contre la paresse des programmeurs qui créent ces applications en s'appuyant de manière systématique sur la technologie qu'ils maîtrisent le mieux, même si cette dernière n'est pas toujours la plus appropriée pour certaines situations spécifiques. Dit plus simplement, le choix des moyens n'est pas déterminé par les fins que l'on cherche à atteindre, mais plutôt par l'économie d'effort qui peut être obtenue. Qui plus est, la traçabilité des opérations (les "audit trails") semble assez inconsistante, voire inexistante.

Les outils qu'ils utilise sont très rudimentaires ("boring" comme il le dit lui-même), par contraste avec les applications qu'achètent les banques à prix d'or, et qui contiennent néanmoins un nombre important de failles, à moins que les acheteurs soient prêts à payer un supplément pour que ces failles soient réparées... Bref, une économie de la sécurité qui repose sur une délégation systématique des responsabilités et des risques aux acteurs les moins exigeants.



La cybercriminalité au Canada

La Canadian Association of Police Boards, un regroupement d'organes de gouvernance policière sans équivalent au Québec, vient de publier un rapport commandé à la firme de consultants Deloitte sur l'état de la cybercriminalité au Canada. On peut se réjouir que les services de police et les instances qui les dirigent commencent à prendre conscience de la complexité de ce phénomène et des défis qu'il posera au cours des prochaines années à des organisations habituées à faire face à une criminalité physique relativement bien contrôlée.

On apprend notamment dans celui-ci que les efforts de lutte contre les cybercrimes restent de l'avis même des praticiens très cloisonnés, aussi bien à l'échelle internationale qu'à l'intérieur des juridictions nationales ou locales. Les collaborations entre les agences d'application de la loi, les entreprises et les centres de recherche universitaires restent encore trop peu nombreuses, malgré les expertises complémentaires qui résident au sein de chacun de ces groupes. 

Les adaptation législatives requises semblent également souffrir d'une inertie préoccupante. Alors que le Canada figure parmi les signataires initiaux de la Convention sur la cybercriminalité du Conseil de l'Europe de 2001, aucune loi n'y a été votée au cours des sept dernières années afin de créer les délits qui correspondent aux énoncés de la convention, ou d'encadrer les techniques d'enquête et de collecte de la preuve afférentes à ce type particulier de crimes. Cette situation empêche la ratification de cette convention par le Canada.

Enfin, le rapport nous éclaire sur les adaptations qui seront requises de la part des services de police et des procureurs de la couronne. Alors que les policiers enquêteurs semblent bénéficier de manière croissante de formations adéquates (malgré des listes d'attentes importantes), les procureurs semblent encore avoir bien du mal à se familiariser avec cette nouvelle forme de délinquance dont la nature complexe est renforcée par une forte composante technique. La rétention de l'expertise s'avère également problématique, dans la mesure où les entreprises sont à la recherche des mêmes profils que ceux qui sont formés à grand peine dans les services publics, et qu'elles sont prêtes à leur offrir des rémunérations bien plus attractives. 

Si ce rapport touche du doigt certaines problématiques encore marginales au sein des politiques publiques de sécurité, il souffre également de certains défauts qui viennent entâcher sa crédibilité. Tout d'abord, sa méthodologie est relativement floue et l'absence de détails sur l'ampleur des recherches menées nous permet mal d'évaluer la portée des affirmations sur lesquelles il s'appuie. Le nombre d'entretiens réalisés (63) ne figure ainsi pas dans le rapport lui-même mais se trouve plutôt dans la fiche d'accompagnement destinée aux médias, qui reste très évasive sur la représentativité des répondants et la nature plus ou moins approfondie des entretiens.

De surcroît, les statistiques mises de l'avant proviennent en majeure partie des États-Unis, sans que cette origine ne soit toujours clairement mentionnée, ce qui a pour effet de gonfler artificiellement la taille du problème dans un rapport qui est supposé nous renseigner sur la cybercriminalité au Canada. Cette pratique fort répandue trouve son origine dans le manque de données quantitatives disponibles localement, mais elle peut difficilement être justifiée, à moins que l'objectif recherché ne soit de créer délibérément une forme de panique morale qui force les différents ordres de gouvernement à agir dans l'urgence. 

Ces glissements sont regrettables, dans la mesure où le problème qu'il met en lumière est bien réel, et est destiné à prendre de l'ampleur au cours des prochaines années comme en attestent les arrestations de plus en plus fréquentes de fraudeurs en ligne ou le démantèlement régulier de réseaux virtuels de pédophiles bien réels. La complexité des solutions qui seront requises pour faire face à ces formes nouvelles de crimes traditionnels, et les répercussions qu'elles produiront sur nos habitudes d'utilisation de l'Internet méritent sans doute un petit peu mieux qu'un appel à l'augmentation des ressources policières ou à l'adoption d'une nouvelle législation faisant du pourriel un délit. 


mardi 10 juin 2008

L'humiliation publique des délinquants sur YouTube

Un juge de Floride vient de trouver un nouvel usage à YouTube: Il vient de condamner deux adolescents à mettre en ligne une vidéo d'excuses publiques à la suite d'un incident dans le "drive-through" d'un restaurant Taco Bell. Les deux jeunes délinquants n'avaient en effet rien trouvé de mieux à faire pour se divertir que d'utiliser les verres en plastiques remplis de boissons gazeuses que venait de leur remettre une employée du restaurant comme d'un projectile contre cette dernière, et d'enregistrer cette scène d'anthologie au moyen d'une caméra vidéo, avant de diffuser le tout sur YouTube. D'après l'article du quotidien USAToday, cette pratique serait tellement répandue parmi les adolescents désoeuvrés des banlieues cossues américaines qu'elle aurait même un nom: le coup du "fire in the hole" (le feu dans le trou). 

Le juge a décidé de retourner l'outil YouTube contre ceux qui comptaient s'en servir pour bénéficier d'une fugace notoriété, en les obligeant à enregistrer une vidéo de repentance et d'excuses qui peut être visionnée ici. Une des particularité de la vidéo est que l'identité des coupables est cachée, puisqu'ils sont mineurs. Il y a donc fort à parier que l'effet d'humiliation publique d'une telle peine soit pour le moins limité. Par ailleurs, un blogueur de SiliconValley.com se questionne à juste titre sur l'opportunité d'une sentence qui semble renforcer l'effet de médiatisation qui était recherché par les auteurs, en leur donnant l'occasion de se mettre en scène une deuxième fois et d'augmenter ainsi leur petite notoriété. Comme le précise la victime, elle aurait préféré que les deux adolescents lui adressent directement leurs excuses, plutôt que d'avoir à les visionner par l'intermédiaire de YouTube. 

Le plus ironique de toute cette histoire est que le travail d'enquête n'est pas le résultat de la compétence de cyber-policiers. C'est en effet la victime elle-même qui a retrouvé les coupables sur Internet par le biais de la page MySpace de l'un d'entre eux, avant de se lier d'amitié virtuelle avec lui afin d'obtenir son nom, et d'appeler sa mère pour identifier l'autre personne impliquée. L'humiliation réside bien plus selon moi dans la facilité avec laquelle la victime a pu identifier les deux délinquants et transmettre leurs noms à la justice que dans la peine qui leur a été infligée par un système judiciaire qui semble avoir du mal à imaginer le rôle que les nouvelles technologies pourraient jouer dans le prononcé et l'administration de sanctions dissuasives et/ou réparatrices.

lundi 2 juin 2008

La police allemande développe des malwares

Des documents rendus publics sur le site de diffusion anonyme de documents confidentiels Wikileaks, et analysés par des journalistes de Wired laissent entendre que la police allemande a pour projet de se lancer dans le piratage informatique. Ces documents, dont l'authenticité n'est pas établie mais qui correspondent au vote d'une loi encadrant ce type de pratiques, démontreraient qu'une entreprise privée de sécurité aurait été mandatée pour écrire un programme de type "Cheval de Troie" à implanter sur les machines des personnes ciblées et capable d'en lire le contenu ou d'intercepter des communications Skype. Ce service gratuit de téléphonie par internet pose un défi pour les services de police, dans la mesure où les méthodes d'encryptage des conversations qu'il utilise rendent les techniques traditionnelles d'interception et d'écoute obsolètes.

Le mode de collaboration entre la police et l'entreprise est assez original et aussi assez inquiétant, dans la mesure où le logiciel et son installation (ainsi que sa désinstallation) sur une machine ciblée font l'objet d'un contrat de location. Il faut donc en conclure que ce sont des intérêts privés qui vont appuyer les enquêteurs et récupérer les données très personnelles des individus sous enquête et de tous ceux qui utilisent leurs ordinateurs. Par ailleurs, comme le souligne l'article de Wired, l'entreprise a inclus dans son contrat des clauses limitant sa responsabilité, comme par exemple si un pirate assez doué met la main sur ce logiciel et est capable de l'utiliser à ses propres fins ou de le revendre sur le marché clandestin des malwares.

dimanche 1 juin 2008

Big brother fait des petits

Voici un lien vers une entrevue que j'ai accordée à Jacques Bertrand, animateur de l'émission Macadam Tribu sur la première chaîne de Radio-Canada, portant sur le thème de la surveillance. On y parle aussi bien de surveillance physique (les caméras de vidéosurveillance qui pullulent dans les lieux publics et privés) que de cyber-surveillance et de la pensée magique qui voudrait nous faire croire qu'une surveillance omniprésente est garante d'une plus grande sécurité.

samedi 24 mai 2008

La francisation des malwares

Selon le blogueur spécialisé en sécurité informatique Dancho Danchev, le logiciel malveillant (malware ou maliciel) IcePack serait dorénavant disponible dans la langue de Molière. Cet outil de piratage bien décrit dans cet article de Zataz.com permet d'automatiser l'exploitation des vulnérabilités informatique et met ce type de pratiques à la portée de tous ceux capables de payer les 500 dollars qu'en demandent ses auteurs. 

La mise à disposition d'une version française (qui suit de près la traduction de cet outil en chinois) risque d'augmenter considérablement les instances de vol d'identité ou de données personnelles dans les pays francophones, qui étaient jusqu'à présent quelque peu protégés par leur langue minoritaire à l'échelle mondiale. Danchev qualifie ce phénomène de "localisation", par opposition à la mondialisation. En effet, il s'agit ici de doter des outils universels de piratage informatique de propriétés qui les rendront plus efficaces dans certains contextes régionaux et qui faciliteront l'accès à des victimes potentielles jusque là plus ou moins épargnées. En tout cas, on ne pourra pas reprocher aux fraudeurs de faire la sourde oreille aux exceptions culturelles.


vendredi 23 mai 2008

Dans l'antre des enquêteurs informatiques du FBI

Le site Wired.com vient de mettre en ligne un photoreportage portant sur les nouveaux laboratoires d'analyses forensiques informatiques du FBI. Ces laboratoires d'expertise judiciaire (ou de police scientifique) spécialisés dans l'analyse des disques durs et autres appareils électroniques saisis au cours d'enquêtes criminelles sont au nombre de 14 aux États Unis. Créés récemment, ils ont déjà procédé à plus de 13.000 expertises pendant la dernière année. La nature de ces dernières n'est pas spécifiée, mais on apprend quand même qu'environ 17% des cas concernent de la pornographie juvénile, et 16% des affaires de meurtre.

lundi 19 mai 2008

Un pirate "efface" l'identité de plusieurs milliers de fonctionnaires en Australie

Plus radical que n'importe quel plan de réforme de la fonction publique, un pirate a été accusé hier en Australie d'avoir paralysé pendant plusieurs heures le système informatique du gouvernement  du Territoire du Nord et d'avoir par la même occasion fait disparaître l'identité d'environ 10.000 fonctionnaires. Ces incidents, qui se sont produits le 5 mai ont affecté les serveurs du ministère de la santé, de l'hôpital de Darwin (la capitale du territoire), de la prison locale et de la Cour suprême. L'auteur avait également en sa possession au moment de son arrestation des mots de passe appartenant au service de police.

Cette attaque a causé des dommages qui nécessiteront plusieurs mois de travail avant que la situation ne revienne à la normale. Pourtant, elle n'est pas le fruit d'un génie de l'informatique qui aurait exploité une vulnérabilité méconnue sans réaliser les conséquences de ses actes. Il s'agit plutôt de la vengeance d'un consultant de haut niveau qui était chargé d'assurer la maintenance de ces systèmes de janvier à avril, et qui a utilisé le compte d'un ancien collègue pour accéder aux serveurs qu'il souhaitait endommager. 

Cet incident est loin d'être isolé si l'on en croit un rapport rendu public en 2004 par le Secret Service américain et l'Université Carnegie Mellon. Ce rapport met en effet en lumière à quel point la menace provenant de l'intérieur de l'organisation est tout aussi réelle mais sous-estimée en comparaison du spectre des menaces externes, et que bien souvent, trop peu de précautions sont prises pour protéger les systèmes informatiques et les données qu'ils contiennent lorsque des employés bénéficiant d'accès privilégiés quittent l'organisation en de mauvais termes avec leur hiérarchie ou leurs collègues. 

De tels événements ne peuvent être prévenus par des solutions technologiques. De plus, ils ne requièrent bien souvent que des compétences techniques très élémentaires, et ne correspondent pas à un profil particulier d'employés, ce qui rend leur détection très difficile. Ce sont plutôt des politiques "défensives" et systématiques de gestion des privilèges d'accès et de "débriefing" qui doivent être mises en place, afin d'identifier de manière précoce les (ex)-employés susceptibles de recourir à de telles pratiques.

dimanche 4 mai 2008

Quand les entreprises de publicité en ligne favorisent à leur insu la fraude

Un billet disponible sur le blog CyberInsecure nous alerte sur les dangers que peuvent représenter certaines annonces publicitaires présentes sur des sites Internet légitimes. La dernière affaire en date implique Yahoo, dont la régie publicitaire s'est laissée berner par des fraudeurs. Ces derniers, profitant d'un système de commercialisation des espaces publicitaires fortement décentralisé et de la forte compétition qui règne dans ce domaine se sont portés acquéreurs de bandeaux qui tentent d'installer sur l'ordinateur des usagers des logiciels malveillants (malware ou maliciels), ces derniers ayant pour tâche de surveiller les activités en ligne des victimes et de tenter de s'emparer de données personnelles comme des mots de passe. Yahoo est le deuxième vendeur de publicité sur Internet par son chiffre d'affaire, mais Google Adsense, le leader sur le marché n'a pas été épargné, puisque des fraudeurs ont aussi réussi à s'offrir des publicités en apparence légitimes pour attirer leurs victimes sur leurs serveurs en avril 2007.

On le voit, la prévalence de la fraude sur Internet ne résulte pas seulement du manque de vigilance des internautes, mais aussi des contrôles parfois défaillants des services offerts aux entreprises et aux individus par les grands noms du Web. Le plus inquiétant dans cet incident est qu'il se serait écoulé cinq jours entre le moment où le problème a été signalé à Yahoo et la fermeture du compte problématique. On ne nous indique pas si Yahoo s'est bien fait payer pour chaque infection d'ordinateur qu'il a rendu possible...

lundi 28 avril 2008

Quand les pirates et les fraudeurs s'attaqueront directement aux équipements

Un billet mis en ligne par Bruce Schneier sur son blog désire attirer l'attention sur un article scientifique qui explique comment des pirates pourraient concevoir et distribuer des circuits informatiques malicieux facilitant des attaques contre les ordinateurs équipés de ces circuits -- et les données personnelles qu'ils contiennent. Cet article démontre à quel point il serait facile à un groupe minimalement organisé de réaliser un tel 'exploit', et comment il permettrait à ses auteurs d'accéder à tous les mots de passe des utilisateurs de ces machines, ou même d'en prendre le contrôle de manière aisée. L'avantage d'une telle stratégie est d'ailleurs relativement facile à comprendre: les systèmes actuels de sécurité informatiques sont principalement orientés vers la défense de l'intégrité des logiciels, et les équipements en tant que tels ne font pas l'objet d'une surveillance aussi approfondie.

Dans la mesure où une part de plus en plus importante des équipements informatiques et de télécommunications sont fabriqués dans des pays où la chaîne d'approvisionnement et de fabrication n'est pas toujours très transparente ni intègre, on peut craindre que telles attaques ne deviennent une réalité dans un avenir relativement proche. D'ailleurs, plusieurs exemples de virus informatiques implantés dans les usines de sous-traitants de grandes marques informatiques sur des produits tels que des lecteurs de musique ou des cadres de photo numériques au cours des derniers mois attestent de la faisabilité de telles pratiques. Il serait à cet égard surprenant que les services de renseignement occidentaux, mais aussi asiatiques, n'aient pas adopté une telle approche afin de pénétrer de manière plus ou moins extensive les systèmes informatiques de leurs adversaires. En effet, à l'heure de la mondialisation, même les systèmes les plus vitaux d'une économie ou d'un gouvernement sont achetés aux prix les plus bas du marché.

mardi 22 avril 2008

Les banquiers anglais veulent limiter leur responsabilité

Selon le site ComputerworldUK, les banques anglaises seraient en train de modifier leur code de conduite afin de limiter leur responsabilité de remboursement en cas de fraude. Les clients victimes devront en effet bientôt être en mesure de prouver qu'ils ont régulièrement mis à jour leurs logiciels antivirus et anti-spyware afin d'être dédommagés. Dans le cas contraire, ils seront considérés comme imprudents dans leur utilisation d'Internet, et devront assumer seuls la responsabilité financière de la fraude. Cette nouvelle approche semble indiquer que les pertes absorbées par les banques en raison des fraudes en ligne deviennent de plus en plus lourdes, et que la politique actuelle de compensation relativement généreuse risque d'être remise en question à plus ou moins brève échéance, que ce soit en Angleterre ou ailleurs.

On peut penser que cette responsabilisation des usagers risque de devenir la norme dans un avenir pas si éloigné que cela. J'aime utiliser l'analogie de la sécurité routière, qui nous montre comment l'encadrement réglementaire d'une révolution technologique s'est construit tout au long du 20ème siècle. Étant donné que nous sommes entrons tout juste dans la deuxième décennie de l'utilisation populaire de l'Internet, nous pouvons anticiper de nombreux changements dans les normes en matière de sécurité en ligne. Par contre, un récent sondage mené aux USA par la National Cyber Security Alliance montre à quel point les usagers individuels restent encore mal équipés pour prendre le contrôle de leur sécurité informatique.

On y apprend en effet que plus de 50% des utilisateurs n'ont pas changé le mot de passe de leur ordinateur depuis plus d'un an, et que 71% n'ont pas la moindre idée de ce que à quoi le terme 'botnet' fait référence (alors qu'il s'agit de l'une des principales menaces en matière de fraude informatique à l'heure actuelle). 46% se disent désemparés et ne sauraient pas quoi faire s'ils devenaient victime d'un 'cybercrime', et une proportion équivalente (48%) déclare ne pas savoir comment se protéger contre les 'cyber-délinquants'. Ce énième sondage ne nous apprend peut-être rien de bien nouveau, mais il a le mérite de montrer que les programmes d'information du public et de prévention ont encore bien du travail à accomplir.

D'ailleurs, pour prolonger l'analogie de la sécurité routière, pouvez-vous vous rappeler la dernière campagne publique de sensibilisation au vol d'identité ou à la fraude informatique à laquelle vous avez été exposés?

mercredi 16 avril 2008

Les fraudeurs ciblent les dirigeants d'entreprises

Un article publié par Siliconvalley.com fait état d'une nouvelle approche déployée par les pirates informatiques et les voleurs d'identité pour se procurer des informations personnelles à forte valeur ajoutée. En effet, une épidémie de courriels adressés à de hauts dirigeants d'entreprises américaines joue sur la peur qu'ont ces derniers de se voir intenter un procès pour les convaincre de télécharger un fichier contenant un programme malicieux (malware en bon français). Le courrier électronique qu'ont reçu des milliers de dirigeants semble en effet provenir de la Cour du district de San Diego (qui affiche d'ailleurs un message de mise en garde sur son site), et les invite à se présenter devant cette dernière pour témoigner dans une plainte civile. Chaque courriel contient le nom, le numéro de téléphone et la raison sociale de l'entreprise du destinataire, ce qui renforce considérablement la force de persuasion du stratagème, puisque l'émetteur semble connaître personnellement la victime.

Le document légal expliquant la cause en attachement au courriel contient en fait un programme qui une fois téléchargé enregistre les mots de passe des utilisateurs et permet aux pirates de prendre le contrôle de la machine infectée. Seulement 40% des logiciels anti-virus seraient capables de détecter ce programme. Plusieurs milliers de victimes auraient été recensées.

Cette démarche est intéressante à plusieurs titres:
  • Tout d'abord, les fraudeurs ciblent leurs victimes de manière beaucoup plus sélective en consacrant plus de temps et d'efforts à des personnes dont les machines donnent accès à de plus grandes quantité d'informations personnelles, à des comptes bancaires à priori mieux remplis et à des systèmes informatiques plus sensibles;
  • Par ailleurs, le stratagème employé pour convaincre les victimes d'ouvrir un document infecté ne repose pas sur l'appât du gain, comme dans les fraudes classiques, mais sur la crainte d'être pris en défaut de conformité, ce qui est beaucoup plus problématique dans un contexte où l'on veut promouvoir une culture de la sécurité;
  • Enfin, il semble que les logiciels malicieux utilisés, conçus sur mesure et diffusés de manière restreinte, soient beaucoup plus difficile à détecter et éradiquer que les virus informatiques à forte propagation.
On peut bien épiloguer sur la baisse des prix des numéros de cartes de crédit volées, qui se braderaient sur Internet en raison de la forte compétition sur les marchés illicites, mais il semble que les fraudeurs disposent encore de ressources insoupçonnées pour tirer profit de la crédulité de leurs victimes, quel que soit le statut social de ces dernières.

lundi 25 février 2008

Le grand défi technologique d'un cyberespace sûr

L'Académie Nationale d'Ingénierie des États Unis vient de rendre public un rapport d'experts qui identifie 14 défis technologiques pour le 21ème siècle, parmi lesquels figure la nécessité d'accroître la sécurité du cyberespace, aux côtés du besoin de fournir un accès généralisé à l'eau potable ou de comprendre l'architecture et le fonctionnement du cerveau humain.

Selon les experts consultés, on retrouve parmi les éléments qui contribueront à un Internet plus sûr la conception de logiciels moins vulnérables, ainsi que l'amélioration de l'intégrité des flux de données qui transitent sur le réseau des réseaux. Le rapport préconise une meilleure prise en compte de la psychologie des usagers, qui préfèrent souvent la facilité d'usage à une sécurité pesante à mettre en oeuvre. Les facteurs sociaux et culturels influençant les relations qu'entretiennent les usagers avec leurs machines -- et les risques qui en découlent -- devraient également faire l'objet de recherches plus poussées, au même titre que les motivations et les méthodes des délinquants technologiques. Il est enfin recommandé de se pencher sur les stratégies de régulation à la disposition des États et des entreprises.

Si le détail des pistes proposées nous laisse sur notre faim par son manque d'originalité, la présence de cette problématique dans une liste de problèmes technologiques que l'humanité devra résoudre dans des délais rapprochés nous rappelle à quel point il est dorénavant indispensable de concevoir la sécurité comme relevant d'une double réalité: la sécurité du monde physique et celle des mondes virtuels, dont le couplage est de plus en plus serré, et dont on a encore du mal à comprendre les interdépendances.

dimanche 17 février 2008

Vol de données personnelles chez Bell

Si vous habitez au Québec ou en Ontario, et que la nouvelle du vol de données personnelles concernant 3,5 millions de clients de la société de télécommunication Bell vous a échappée, ce n'est pas très surprenant. En effet, les médias canadiens ont été plutôt circonspects sur cet événement qui me semble loin d'être anodin.

Cet incident majeur a été rendu public par Bell le 12 février dernier. L'entreprise annonçait dans un communiqué de presse le vol de fichiers informatiques par un suspect arrêté quelques heures auparavant par la police de Montréal. Le communiqué de presse minimisait considérablement la portée de l'incident en insistant sur le fait que les données concernées ne contenaient pas de renseignements bancaires, et que l'ensemble des données avaient été récupérées. Les médias semblent avoir accepté cette version de manière assez peu critique. Prenez par exemple La Presse Affaires, qui a titré: "Bell récupère les données volées de 3,4 millions de clients", plutôt que de mettre de l'avant le vol qui avait précédé l'arrestation du suspect.

Il y aurait pourtant un peu plus à dire sur cette affaire que la version soigneusement édulcorée relayée par la presse:
  • Comment un tel vol a-t-il été rendu possible, et quel stratagème a été employé par le suspect? S'agissait-il par exemple d'un exploit technique ou bénéficiait-il au contraire de complicités internes?
  • Si Bell, qui dispose des systèmes et des procédures de sécurité informatique les plus perfectionnés au Canada n'est pas à l'abri d'un vol aussi massif de données, qu'est ce que cela nous dit sur la protection dont bénéficient les informations personnelles que conservent de plus petites entreprises ne disposant pas de budgets et de compétences informatiques aussi importants?
  • Les données qui ont été récupérées étant numériques, et donc duplicables à l'infini, rien ne permet d'affirmer qu'elles n'ont pas été copiées et diffusées par le suspect, du moins tant qu'une expertise complète de son matériel informatique n'aura pas été réalisée. Il semble donc un peu tôt pour écarter toute possibilité de fraude future.
  • Même si les données volées ne permettent pas en tant que telles de commettre des fraudes financières, elles pourraient être utilisées par des fraudeurs pour mieux cibler leurs victimes. Ces derniers pourraient par exemple se faire passer pour des employés de Bell et sous prétexte de revoir leurs services obtenir des informations beaucoup plus sensibles. Le risque ne réside donc pas dans les données volées, mais dans la capacité que ces dernières offrent à des fraudeurs potentiels d'établir une relation de confiance avec leurs victimes.
Il n'y a finalement que la Commissaire à la protection de la vie privée du Canada qui ait demandé à Bell de fournir des explications plus détaillées, notamment sur les raisons du délai de plusieurs semaines qui s'est écoulé entre la découverte par Bell du vol et sa révélation au public.

lundi 14 janvier 2008

La cyberintimidation: une spécificité adolescente?

La journaliste Émilie Côté nous propose ces jours-ci dans le quotidien La Presse une série d'articles forts bien documentés sur la cyberintimidation et sur les conséquences dévastatrices pour ceux qui en sont les victimes. La cyberintimidation recouvre les menaces et insultes proférées entre adolescents par le biais des divers outils de communication comme l'Internet ou les téléphones cellulaires (pour les adultes, on parle de cyberharcèlement). La distinction fondamentale avec les pratiques d'intimidations traditionnelles enregistrées dans les cours d'école est la permanence de la victimisation et l'impact disproportionné sur ceux qui en sont l'objet.

En effet, alors que les intimidations traditionnelles cessent une fois l'élève rentré chez lui, la cyberintimidation prolonge son calvaire en s'infiltrant aussi dans sa vie privée et en se rappelant constamment à lui. De plus, les rumeurs colportées ne dépassent pas dans les cas d'intimidation traditionnelle le cercle relativement restreint des élèves d'une école, alors que sur Internet, le public potentiel de tels actes est quasiment illimité et qu'il est beaucoup plus difficile de tirer un trait sur des informations diffamatoires qui vont rester en ligne pour une durée indéfinie.

Émilie Côté revient dans ses articles sur l'ampleur du phénomène au Québec et au Canada. Elle nous donne quelques exemples concrets de pratiques de cyberintimidation et traite des conséquences parfois irrémédiables (suicide) pour les victimes. Elle nous montre que depuis que les professeurs sont aussi visés, les programmes de prévention se mettent en place plus facilement, car ces derniers sont représentés par des syndicats puissants, contrairement aux élèves dont les parents peuvent difficilement influencer le fonctionnement des établissements. Finalement, la question des sanctions judiciaires et de la difficulté à les mettre en oeuvre est abordée.

Ces comportements devraient être étudiés d'autant plus près et prévenus qu'un sondage récent mené aux États-Unis sur un échantillon de plusieurs milliers de jeunes montre qu'ils sont en recrudescence et que les relations entre adolescents sur Internet ont tendance à devenir de plus en plus inciviles.

vendredi 4 janvier 2008

Facebook, confiance et hameçonnage

Le site Wired signale un des premiers cas d'utilisation systématique de Facebook, le site de gestion des réseaux sociaux qui est utilisé par plus de 40 millions d'internautes, par des fraudeurs qui cherchent à s'emparer du mot de passe de leurs victimes. Cette pratique, connue sous le nom d'hameçonnage (ou de phishing en bon français) est plus souvent pratiquée pour obtenir les données de connexion à des comptes bancaires. Elle consiste à rediriger les internautes vers des serveurs illégaux qui ont toute l'apparence visuelle des sites que ceux-ci fréquentent d'habitude, et à les convaincre d'introduire leur nom d'usager et leur mot de passe. Afin de ne pas éveiller la suspicion des victimes, celles-ci sont ensuite renvoyées sur le site original qu'elles souhaitaient consulter, mais les fraudeurs ont désormais un accès privilégié à leurs comptes bancaires ou d'utilisateur.

Dans le cas de Facebook, la confiance qui lie les "amis" utilisant cette application est mobilisée pour convaincre certains usagers de consulter des photos compromettantes de connaissances. Celles-ci n'existent bien évidemment pas, mais avant de s'en rendre compte, les internautes auront saisi leur mot de passe sur un serveur localisé en Chine. L'intérêt de disposer du mot de passe d'un compte Facebook réside dans le fait que les internautes utilisent fréquemment le même terme ou la même combinaison de lettres et de chiffres pour protéger leurs données, et que les fraudeurs peuvent alors essayer de prendre le contrôle d'autres comptes (eBay, Amazon, etc...) pouvant être plus facilement monétisés. Par ailleurs, cette brêche permet au fraudeurs d'installer plus facilement sur l'ordinateur de la victimes des logiciels d'enregistrement de frappe du clavier (keyloggers), des chevaux de Troie, et d'expédier des spams ciblés en fonction des informations glanées sur les profils des internautes. Le même article signale que le site MySpace est également affecté par ce type de fraudes.