Compromission de données personnelles: les délinquants ne sont pas épargnés

On a en effet appris en fin de semaine dernière qu'une entreprise sous-traitante du ministère britannique de l'intérieur avait perdu une clé USB contenant les données personnelles de l'ensemble des détenus enfermés dans les prisons de sa majesté, soit environ 84.o00 personnes. Apparemment, les données auraient été transmises au consultant responsable de leur perte en format encrypté, mais celui-ci aurait contrevenu aux politiques gouvernementales en la matière en les transférant sur son support de stockage de façon non sécurisée.

Logiciels pour paranoïaques

Si la lecture de ce blog vous rend quelque peu paranoïaque lorsque vous surfez sur Internet, vous serez peut-être intéressés par ce banc d'essai du magazine SVM du mois d'avril 2008, qui évalue 6 logiciels de protection de la vie privée.

Deux services gratuits d'anonymisation des communications internet sont oubliés:
TOR, qui est soutenu par l'Electronic Frontier Foundation, et Psiphon, développé par l'Université de Toronto (bien que dans les deux cas, l'anonymat absolu ne soit pas garanti par les promoteurs de ces systèmes).

Les cyberenquêteurs français peuvent dormir tranquille

En effet les journalistes qui s'intéressent à leurs activités restent extrêmement déférents, et ne risquent pas de soulever des questions trop embarassantes. À preuve, l'article signé par Laurence Neuer dans Le Point du 14 juillet 2008. On y apprend que la soixantaine d'enquêteurs de l'Office Central de Lutte contre la Criminalité Liée aux Technologies de l'Information et de la Communication (OCLCTIC) sont activement impliqués dans la lutte contre le 'phishing', le détournement de compte bancaire ou le clonage des cartes de paiement contrefaites. Un enquêteur ose même avancer des statistiques pour le moins surprenantes qui n'ont pas eu l'air de faire réagir Madame Neuer. En effet, selon le policier, "aujourd'hui, près de 50% des machines en France sont infectées" [par des logiciels malveillants capables de saisir les mots de passe des internautes lorsqu'ils réalisent des opérations bancaires en ligne]. Devant une affirmation aussi alarmiste, on aurait au moins aimé savoir sur quelles bases statistiques on s'appuie: s'agit-il d'un sondage auprès des vendeurs d'antivirus, d'une étude approfondie des machines du parc informatique français ou d'une enquête de victimisation auprès des internautes français? Si ce chiffre est crédible, alors le nombre d'enquêteurs affecté à cette forme émergente de criminalité est manifestement insuffisant (60 enquêteurs pour la moitié du parc informatique français). Il y a là comme une incohérence qui ne semble pas avoir attisé la curiosité journalistique de Madame Neuer.

Qui plus est, celle-ci aurait pu demander aux enquêteurs rencontrés quelle était la nature de leur collaboration avec les juges d'instruction. Ces derniers sont-il suffisamment préparés pour faire face à la criminalité informatique dont on comprend bien qu'elle prend une place de plus en plus importante, notamment en raison de sa nature extrêmement lucrative? Tant qu'à faire, on aurait pu se poser la question du nombre d'affaires jugées et des taux de condamnation, ou même de la nature des peines prononcées. On aurait enfin pu se demander si la coopération policière internationale fonctionnait de façon satisfaisante, ou si quelques pays impliqués de manière disproportionnée se faisaient encore prier avant d'accorder toute leur attention à des crimes qui ne représentent pour eux qu'une priorité secondaire? L'efficacité d'une poignée d'enquêteurs ne signifie rien si ces derniers doivent ramer à contre-courant dans un système judiciaire inadapté pour faire face à une criminalité aussi complexe, aussi bien sur le plan organisationnel que technique. 

Bref, devant le potentiel journalistique d'un tel sujet (le Washington Post s'est par exemple doté d'un journaliste spécialisé dans les questions de sécurité informatique), on attend encore de la part des quotidiens et des hebdomadaires français des articles qui dépassent le stade de la promotion complaisante pour une unité spécialisée d'enquête, aussi compétente soit-elle.

Vol d'identité à la pompe à essence: La machine à remonter le temps

Le quotidien USA Today profite de la hausse vertigineuse du prix du pétrole et du désert informationnel de l'été pour remettre au goût du jour une nouvelle sur le clonage des cartes de crédit aux pompes à essence à paiement automatisé. Il sagit d'une variante du clonage des cartes aux distributeurs automatiques, où les fraudeurs implantent des 'manchons' (des skimmers) contenant des lecteurs de pistes magnétiques ou des caméras vidéos qu'ils apposent sur les fentes où l'on glisse les cartes, et qui emmagasinent les numéros de cartes ainsi que les codes secrets. J'avais mis en ligne dans mon précédent blog, la Sécurisphère, une vidéo qui illustre les manières de faire et les équipements utilisés. Cette histoire se base sur une recrudescence de cas qui seraient signalés par les services de police de divers états américains, et bénéficie d'une certaine résonance médiatique en raison de la flambée du pétrole. Elle est hélas loin de représenter le scoop de l'année. En effet, dès 2004, la chaîne de télévision NBC alertait ses téléspectateurs sur une épidémie de clonages dans les stations services. Bref, en matière de vol d'identité aussi, le 'buzz' médiatique a parfois du mal à trouver de nouvelles 'menaces' à se mettre sous la dent.

Arrestation d'un réseau international de vol d'identité

Le peu d'espace médiatique qui n'est pas consacré ces derniers jours à l'ouverture des jeux olympiques fait état de l'arrestation et de l'accusation par la justice américaine de plusieurs membres d'un réseau international de voleurs d'identité. Les férus de droit pourront lire les charges déposées par les procureurs américains ici (en anglais, of course), mais en résumé, on reproche à ces 11 individus d'être responsables du vol et de la monétisation d'une quarantaine de millions de numéros de cartes de crédit et de débit. Si les moyens techniques ne sortent pas vraiment de l'ordinaire, plusieurs aspects méritent d'être soulignés:

• Tout d'abord, il s'agit là d'un réseau véritablement international d'individus (provenant des USA, d'Ukraine, de Chine et de Biélorussie) qui ne se connaissaient pas personnellement, et qui avaient établi des collaborations durables par le biais d'un marché clandestin des compétences afin d'exploiter les forces de chacun, selon un principe bien connu de division du travail;
• Ensuite, ces individus travaillaient apparemment dans une ambiance polie, chaleureuse et productive qui est bien loin des images traditionnelles du crime organisé à la Tony Soprano. Il s'agissait véritablement d'une association bien huilée d'entrepreneurs qui cherchaient à maximiser leurs profits tout en minimisant les coûts de transaction générés par des comportements de diva;
• Enfin, leur cible de prédilection semblait être les grandes chaînes de distribution et de commerce de détail. La raison? D'après cet article, elle est très simple: il s'agit du secteur économique dans lequel les marges sont tellement faibles qu'elles empêchent la constitution d'équipes de soutien informatiques étoffées ou des investissements majeurs en matière de sécurité informatique. Par ailleurs, l'éclatement des points de distribution sur de vastes territoires fait en sorte que les techniciens ne se trouvent pas en général physiquement dans les magasins, ce qui laisse ces derniers sans surveillance et invite ainsi la convoitise des fraudeurs, selon on principe bien connu en criminologie.

On en apprendra certainement plus dans les prochains mois, mais cela ne risque pas d'améliorer la confiance des consommateurs dans les institutions avec qui ils effectuent des transactions financières informatisées, et il serait intéressant si la répétition de tels incidents conduira à un retour en popularité des paiements en espèces. 

Les jeux olympiques de Beijing victimes d'une fraude mondiale massive

On devait s'y attendre, mais depuis quelques heures, la nouvelle est en train de faire le tour de la planète: des fraudeurs ont profité de la très forte demande pour assister aux épreuves olympiques afin de berner plusieurs milliers d'amateurs sportifs. Le site http://www.beijingticketing.com/ (qui n'est plus en ligne depuis hier soir, mais toujours visible en cache sur Google) promettait à ceux qui n'avaient pas pu se procurer les précieux laisser-passers par les canaux officiels des places pour toutes les épreuves, ainsi que les cérémonies d'ouverture et de fermeture. L'Express explique l'ampleur de la fraude, dont les profits s'élèveraient à une cinquantaine de millions de dollars On recense des victimes en Australie, aux États-Unis, ou encore au Canada. D'ailleurs, un article dans l'Ottawa Citizen montre bien pour quelles raisons ce type de fraude est potentiellement plus lucratif qu'un vol d'identité traditionnel: la jeune victime de 21 ans et ses parents ont en effet dépensé plus de 4000$ pour des billets qui, quoi qu'onéreux, restaient encore abordables par comparaison au prix des billets légitimes en vente sur eBay. Il est assez significatif qu'une fois la transaction devenue suspecte à ses yeux (ne recevant pas de réponses à ses nombreux courriels), il lui a fallu seulement quelques minutes de recherche sur Google pour confirmer qu'elle avait été abusée par des fraudeurs. On pourrait ainsi conseiller à tous ceux qui désirent transiger sur Internet pour acquérir des biens ou des services rares de mener auparavant des enquêtes de réputation sur les intermédiaires avec qui ils souhaitent traiter (en général, une simple recherche sur Google en incluant des mots clés comme 'scam' [escroquerie] ou 'rating' [évaluation] suffit). Mais les organisateurs d'événements internationaux dont les billets s'arrachent à prix d'or ont également la responsabilité de s'assurer que leur succès ne sert pas de tremplin à des fraudeurs qui flairent là une bonne opportunité, au risque d'entâcher leur réputation.

Fouilles d'ordinateurs portables à la frontière US

J'évoquais il y a quelques jours les précautions à prendre pour les visiteurs qui se rendront en Chine pendant les jeux olympiques (et au-delà) afin de protéger les données sensibles contenues dans leurs appareils informatiques. Il apparaît que ces recommandations valent également pour les États-Unis, où les douanes (qui sont rattachées au Department of Homeland Security) viennent de rendre publique leur politique de fouille des ordinateurs portables et autres gadgets électroniques. Le document est en anglais, mais trois points doivent être notés:

• Ces fouilles (plutôt des saisies en fait) peuvent être réalisées sans que les agents qui les pratiquent aient besoin de démontrer que des lois aient été violées par les propriétaires des appareils en question. En clair, tout voyageur est potentiellement exposé à une telle procédure;
• La durée de saisie de l'appareil (qui fera on l'imagine l'objet d'analyses forensiques approfondies) ne doit pas dépasser une période "raisonnable", sans qu'aucune précision concrète soit donnée sur ce qui constitue une période raisonnable (24 heures? 2 semaines? 2 mois?);
• Enfin, les données saisies peuvent être transmises à d'autres agences gouvernementales américaines (CIA, NSA, etc...) ou à des entreprises privées dans le cadre de contrats de sous-traitance de traduction ou d'analyse.

On le voit, il y a là de quoi se poser bien des questions, d'autant plus qu'il n'est pas précisé comment le secret professionnel (qu'il soit bancaire, médical, lié à la recherche universitaire, etc.) sera protégé, et qu'on peut imaginer comment les données saisies serviront selon toute probabilité à alimenter les bases de données des diverses agences de renseignement. Il semble donc que les États-Unis doivent être ajoutés à la liste des pays dans lesquels ceux qui valorisent la nature privée de certaines informations en leur possession devront se rendre sans leur ordinateur portable. 

Vol d'identité et marketing sauvage

Deux personnes viennent d'être accusées à Los Angeles pour avoir abusivement accédé aux bases de données du principal prêteur hypothécaire américain (Countrywide, qui est également impliqué dans la crise immobilière des prêts à hauts risques), en avoir extrait les informations personnelles de centaines de milliers de clients, et les avoir revendues à des entreprises cherchant à leur proposer d'autres services de prêts bancaires. L'un des deux accusés est un ancien employé de Countrywide qui passait ses dimanches après-midi au bureau afin de télécharger sur une simple clé USB des blocs de données personnelles d'environ 20.000 clients, qu'il vendait 500$ à des entreprises par le biais de son complice. En deux ans, ce sont ainsi près de deux millions de clients qui ont vu leurs informations financières compromises. L'accusé principal aurait réussi à amasser 70.000$ au cours de ces deux années. On peut se demander comment un comportement aussi anormal (télécharger 20.000 dossiers de clients différents chaque dimanche après-midi pendant deux ans) n'a pas attiré l'attention des services d'audit informatique et de surveillance du principal prêteur immobilier américain. La réponse est encore hélas attribuable à la sous-estimation systématique que font les organisations qui gèrent de telles données des risques internes que représentent leurs employés, que ces derniers soient malveillants ou tout simplement négligents.