mardi 17 juin 2008

Le coût des pertes et des vols de données pour les entreprises

L'Union des consommateurs vient de conclure une entente avec l'Agence des douanes et du revenu du Canada, qui s'était fait subtiliser en 2003 dans ses bureaux de Laval (Québec) un ordinateur contenant les données personnelles de 120.000 contribuables. Vous pouvez lire les détails de l'entente, conditionnelle à une approbation de la Cour fédérale, ici. Un des éléments les plus intéressants de ce long document est le montant auquel chaque victime de ce vol de données personnelles est admissible: 200$ au maximum. Cela peut paraître négligeable, mais si l'ensemble des personnes concernées se manifestent, l'organisation négligente devra débourser près de 24 millions de dollars. Cela risque de faire réfléchir plusieurs responsables de la sécurité informatique, d'autant plus qu'aucune fraude n'a été déplorée et que les voleurs étaient certainement uniquement intéressés par le matériel.

dimanche 15 juin 2008

Comment pirater des applications de banque en ligne

Une longue vidéo fascinante d'une conférence de Fabrice Marie (un consultant en sécurité d'origine française mais qui donne sa présentation en anglais devant un public asiatique), qui porte sur les méthodes de piratage des systèmes bancaires en ligne. Cette présentation pleine d'humour a été faite il y a quelques années, mais elle reste selon moi d'une grande actualité (les diapos powerpoint sont disponibles ici).

Cette vidéo assez technique n'est pas seulement intéressante pour la démonstration qu'elle fait de la facilité avec laquelle il est possible de pénétrer des systèmes bancaires en ligne, mais surtout selon moi parce que Fabrice Marie nous explique comment réfléchissent les institutions bancaires dans leur processus de prise de décision et d'allocation des ressources informatiques, et dans quelle mesure la sécurité est rarement une préoccupation prioritaire. Il a également des mots assez durs contre la paresse des programmeurs qui créent ces applications en s'appuyant de manière systématique sur la technologie qu'ils maîtrisent le mieux, même si cette dernière n'est pas toujours la plus appropriée pour certaines situations spécifiques. Dit plus simplement, le choix des moyens n'est pas déterminé par les fins que l'on cherche à atteindre, mais plutôt par l'économie d'effort qui peut être obtenue. Qui plus est, la traçabilité des opérations (les "audit trails") semble assez inconsistante, voire inexistante.

Les outils qu'ils utilise sont très rudimentaires ("boring" comme il le dit lui-même), par contraste avec les applications qu'achètent les banques à prix d'or, et qui contiennent néanmoins un nombre important de failles, à moins que les acheteurs soient prêts à payer un supplément pour que ces failles soient réparées... Bref, une économie de la sécurité qui repose sur une délégation systématique des responsabilités et des risques aux acteurs les moins exigeants.



La cybercriminalité au Canada

La Canadian Association of Police Boards, un regroupement d'organes de gouvernance policière sans équivalent au Québec, vient de publier un rapport commandé à la firme de consultants Deloitte sur l'état de la cybercriminalité au Canada. On peut se réjouir que les services de police et les instances qui les dirigent commencent à prendre conscience de la complexité de ce phénomène et des défis qu'il posera au cours des prochaines années à des organisations habituées à faire face à une criminalité physique relativement bien contrôlée.

On apprend notamment dans celui-ci que les efforts de lutte contre les cybercrimes restent de l'avis même des praticiens très cloisonnés, aussi bien à l'échelle internationale qu'à l'intérieur des juridictions nationales ou locales. Les collaborations entre les agences d'application de la loi, les entreprises et les centres de recherche universitaires restent encore trop peu nombreuses, malgré les expertises complémentaires qui résident au sein de chacun de ces groupes. 

Les adaptation législatives requises semblent également souffrir d'une inertie préoccupante. Alors que le Canada figure parmi les signataires initiaux de la Convention sur la cybercriminalité du Conseil de l'Europe de 2001, aucune loi n'y a été votée au cours des sept dernières années afin de créer les délits qui correspondent aux énoncés de la convention, ou d'encadrer les techniques d'enquête et de collecte de la preuve afférentes à ce type particulier de crimes. Cette situation empêche la ratification de cette convention par le Canada.

Enfin, le rapport nous éclaire sur les adaptations qui seront requises de la part des services de police et des procureurs de la couronne. Alors que les policiers enquêteurs semblent bénéficier de manière croissante de formations adéquates (malgré des listes d'attentes importantes), les procureurs semblent encore avoir bien du mal à se familiariser avec cette nouvelle forme de délinquance dont la nature complexe est renforcée par une forte composante technique. La rétention de l'expertise s'avère également problématique, dans la mesure où les entreprises sont à la recherche des mêmes profils que ceux qui sont formés à grand peine dans les services publics, et qu'elles sont prêtes à leur offrir des rémunérations bien plus attractives. 

Si ce rapport touche du doigt certaines problématiques encore marginales au sein des politiques publiques de sécurité, il souffre également de certains défauts qui viennent entâcher sa crédibilité. Tout d'abord, sa méthodologie est relativement floue et l'absence de détails sur l'ampleur des recherches menées nous permet mal d'évaluer la portée des affirmations sur lesquelles il s'appuie. Le nombre d'entretiens réalisés (63) ne figure ainsi pas dans le rapport lui-même mais se trouve plutôt dans la fiche d'accompagnement destinée aux médias, qui reste très évasive sur la représentativité des répondants et la nature plus ou moins approfondie des entretiens.

De surcroît, les statistiques mises de l'avant proviennent en majeure partie des États-Unis, sans que cette origine ne soit toujours clairement mentionnée, ce qui a pour effet de gonfler artificiellement la taille du problème dans un rapport qui est supposé nous renseigner sur la cybercriminalité au Canada. Cette pratique fort répandue trouve son origine dans le manque de données quantitatives disponibles localement, mais elle peut difficilement être justifiée, à moins que l'objectif recherché ne soit de créer délibérément une forme de panique morale qui force les différents ordres de gouvernement à agir dans l'urgence. 

Ces glissements sont regrettables, dans la mesure où le problème qu'il met en lumière est bien réel, et est destiné à prendre de l'ampleur au cours des prochaines années comme en attestent les arrestations de plus en plus fréquentes de fraudeurs en ligne ou le démantèlement régulier de réseaux virtuels de pédophiles bien réels. La complexité des solutions qui seront requises pour faire face à ces formes nouvelles de crimes traditionnels, et les répercussions qu'elles produiront sur nos habitudes d'utilisation de l'Internet méritent sans doute un petit peu mieux qu'un appel à l'augmentation des ressources policières ou à l'adoption d'une nouvelle législation faisant du pourriel un délit. 


mardi 10 juin 2008

L'humiliation publique des délinquants sur YouTube

Un juge de Floride vient de trouver un nouvel usage à YouTube: Il vient de condamner deux adolescents à mettre en ligne une vidéo d'excuses publiques à la suite d'un incident dans le "drive-through" d'un restaurant Taco Bell. Les deux jeunes délinquants n'avaient en effet rien trouvé de mieux à faire pour se divertir que d'utiliser les verres en plastiques remplis de boissons gazeuses que venait de leur remettre une employée du restaurant comme d'un projectile contre cette dernière, et d'enregistrer cette scène d'anthologie au moyen d'une caméra vidéo, avant de diffuser le tout sur YouTube. D'après l'article du quotidien USAToday, cette pratique serait tellement répandue parmi les adolescents désoeuvrés des banlieues cossues américaines qu'elle aurait même un nom: le coup du "fire in the hole" (le feu dans le trou). 

Le juge a décidé de retourner l'outil YouTube contre ceux qui comptaient s'en servir pour bénéficier d'une fugace notoriété, en les obligeant à enregistrer une vidéo de repentance et d'excuses qui peut être visionnée ici. Une des particularité de la vidéo est que l'identité des coupables est cachée, puisqu'ils sont mineurs. Il y a donc fort à parier que l'effet d'humiliation publique d'une telle peine soit pour le moins limité. Par ailleurs, un blogueur de SiliconValley.com se questionne à juste titre sur l'opportunité d'une sentence qui semble renforcer l'effet de médiatisation qui était recherché par les auteurs, en leur donnant l'occasion de se mettre en scène une deuxième fois et d'augmenter ainsi leur petite notoriété. Comme le précise la victime, elle aurait préféré que les deux adolescents lui adressent directement leurs excuses, plutôt que d'avoir à les visionner par l'intermédiaire de YouTube. 

Le plus ironique de toute cette histoire est que le travail d'enquête n'est pas le résultat de la compétence de cyber-policiers. C'est en effet la victime elle-même qui a retrouvé les coupables sur Internet par le biais de la page MySpace de l'un d'entre eux, avant de se lier d'amitié virtuelle avec lui afin d'obtenir son nom, et d'appeler sa mère pour identifier l'autre personne impliquée. L'humiliation réside bien plus selon moi dans la facilité avec laquelle la victime a pu identifier les deux délinquants et transmettre leurs noms à la justice que dans la peine qui leur a été infligée par un système judiciaire qui semble avoir du mal à imaginer le rôle que les nouvelles technologies pourraient jouer dans le prononcé et l'administration de sanctions dissuasives et/ou réparatrices.

lundi 2 juin 2008

La police allemande développe des malwares

Des documents rendus publics sur le site de diffusion anonyme de documents confidentiels Wikileaks, et analysés par des journalistes de Wired laissent entendre que la police allemande a pour projet de se lancer dans le piratage informatique. Ces documents, dont l'authenticité n'est pas établie mais qui correspondent au vote d'une loi encadrant ce type de pratiques, démontreraient qu'une entreprise privée de sécurité aurait été mandatée pour écrire un programme de type "Cheval de Troie" à implanter sur les machines des personnes ciblées et capable d'en lire le contenu ou d'intercepter des communications Skype. Ce service gratuit de téléphonie par internet pose un défi pour les services de police, dans la mesure où les méthodes d'encryptage des conversations qu'il utilise rendent les techniques traditionnelles d'interception et d'écoute obsolètes.

Le mode de collaboration entre la police et l'entreprise est assez original et aussi assez inquiétant, dans la mesure où le logiciel et son installation (ainsi que sa désinstallation) sur une machine ciblée font l'objet d'un contrat de location. Il faut donc en conclure que ce sont des intérêts privés qui vont appuyer les enquêteurs et récupérer les données très personnelles des individus sous enquête et de tous ceux qui utilisent leurs ordinateurs. Par ailleurs, comme le souligne l'article de Wired, l'entreprise a inclus dans son contrat des clauses limitant sa responsabilité, comme par exemple si un pirate assez doué met la main sur ce logiciel et est capable de l'utiliser à ses propres fins ou de le revendre sur le marché clandestin des malwares.

dimanche 1 juin 2008

Big brother fait des petits

Voici un lien vers une entrevue que j'ai accordée à Jacques Bertrand, animateur de l'émission Macadam Tribu sur la première chaîne de Radio-Canada, portant sur le thème de la surveillance. On y parle aussi bien de surveillance physique (les caméras de vidéosurveillance qui pullulent dans les lieux publics et privés) que de cyber-surveillance et de la pensée magique qui voudrait nous faire croire qu'une surveillance omniprésente est garante d'une plus grande sécurité.