samedi 5 décembre 2009

Y a-t-il un policier dans votre réseau d'amis Facebook?

C'est en tout cas ce qu'aimerait savoir l'Electronic Frontier Foundation, qui vient d'intenter des poursuites contre une demi-douzaine d'agences américaines d'application de la loi et de renseignement, dont la CIA, le ministère de la défense, de la sécurité intérieure (homeland security) ou encore les services fiscaux.

Cette démarche répond au refus de ces agences de rendre publiques leurs politiques et leurs pratiques de surveillance des réseaux sociaux dans le cadre d'enquêtes criminelles ou reliées à la sécurité nationale. Le Register a d'ailleurs identifié quelques affaires dans lesquelles des usagers recherchés par les forces de l'ordre ont été localisés et appréhendés grâce aux informations qu'ils avaient imprudemment partagé avec leurs amis sur Facebook.

Si l'on sait depuis environ trois ans que les services de renseignement développent en collaboration avec l'industrie de la surveillance des technologies spécifiquement adaptées au Web 2.0 et aux sites de réseaux sociaux (voir par exemple cet article de Wired sur les investissements de la CIA dans ce domaine ou encore cet article du Scientific American sur les efforts du Pentagone), les résultats de ces poursuites devraient lever le voile sur l'ampleur du recours à ces informations personnelles.

jeudi 3 décembre 2009

La prévention des comportements à risque chez les jeunes: c'est la barbe!

Le célèbre intervieweur de l'émission Inside the Actor's Studio, James Lipton, a prêté sa barbe à une campagne de prévention destinée aux jeunes afin de les sensibiliser aux périls de comportements impulsifs en matière d'utilisation des fonctions enrichies de leur téléphone portable comme la photo, les messages textes ou encore les sites de réseaux sociaux.

Le message insiste sur les conséquences indésirables de comportements tels que le fait de répandre des rumeurs sur des amis ou connaissances, ou de faire circuler des images compromettantes de soi qui pourraient échapper au contrôle de la personne représentée. Mais ce qui me semble le plus intéressant, c'est qu'il n'est ni condescendant ni alarmant. Il utilise plutôt le ressort de l'humour pour essayer d'attirer l'attention des adolescents sur ces pratiques qu'ils considèrent bien souvent comme normales, alors qu'elles sont susceptibles de créer des torts psychologiques importants à ceux qui en sont les victimes.

L'un des quatre films disponibles ici:

mardi 24 novembre 2009

Projet de loi canadien sur le signalement de pornographie juvénile par les fournisseurs de services Internet

Par une incroyable coïncidence, après la publication la semaine dernière par Cyberaide.ca d'un rapport sur les images d'abus pédosexuels, le gouvernement conservateur de Stephen Harper sort ce matin de son chapeau un projet de loi faisant peser sur les fournisseurs de service Internet une obligation de signalement de la pornographie juvénile.

J'ai parlé dans mon billet d'hier du rapport de Cyberaide et je ne reviendrais donc pas dessus. Par contre, l'un des arguments entendus ce matin dans la bouche des deux ministres qui ont présenté le projet était directement tiré du rapport et mérite quelques lignes. En effet, il y était affirmé que la Canada constitue un "havre" pour les producteurs de pornographie juvénile. Un examen approfondi de la méthode de cueillette des données nous aide à comprendre comment on en arrive à une telle affirmation.

En effet, les affaires traitées par Cyberaide et inclues dans son analyse résultent de signalements de la part du public. Or depuis la fin de l'année 2006, Cyberaide et les principaux fournisseurs d'accès à Internet canadiens ont établi le projet Cleanfeed, qui consiste à bloquer une liste de sites connus pour leur association à des contenus de pornographie juvénile. La spécificité de ce projet est que les sites bloqués sont exclusivement situés à l'extérieur du Canada. Il en résulte que les usagers canadiens sont sous-exposés à des contenus problématiques provenant de l'étranger et sur-exposés à des contenus hébergés à l'intérieur du pays. Cela implique un très fort biais dans les signalements du publics, qui sont à leur tour analysés pour produire des données tendant à démontrer la place de mauvais élève occupée par le Canada. Cette initiative qui semble par ailleurs fonctionner de manière satisfaisante est paradoxalement à l'origine d'un discours tendant à renforcer la peur du public.

Quant au projet de loi, il n'est pas encore connu dans tous ses détails. Tout juste sait-on que les fournisseurs de services Internet au public seront tenus de signaler des contenus de pornographie juvénile, et que ceux qui ne se conformeront pas à cette obligation s'exposeront à des amendes progressives de 1,000$, 5,000$ et 10,000$, ainsi que peines d'emprisonnement de 6 mois.

Mais cette approche répond-elle vraiment à un besoin des forces de l'ordre? Pas forcément de l'avis de l'Ombudsman fédéral des victimes d'actes criminels qui affirmait dans un rapport datant de l'été 2009:
Le signalement obligatoire comme tel n’aura probablement pas beaucoup d’incidence sur la lutte contre l’exploitation sexuelle d’enfants en ligne. Les organismes d’application de la loi indiquent qu’ils ont déjà de la difficulté à traiter le nombre de cas qui sont portés à leur attention. Le problème le plus grave n’est donc pas le manque de signalements. (p. 12)
Il s'agit d'une admission d'une rare candeur dans un rapport qui préconise par ailleurs la mise en place d'un arsenal législatif augmentant considérablement les pouvoirs d'enquête des services de police.

D'autre part, il ne semble pas que la loi spécifie les moyens qui devront être employés ou comprenne des mécanismes afin de s'assurer que les fournisseurs signaleront de manière optimale les contenus en question. En effet, l'expérience dans le secteur bancaire démontre qu'une loi ou une réglementation mal pensées aboutissent en général à des effets pervers comme des niveaux de sous-déclarations (conformité symbolique) ou de sur-déclarations (conformité défensive) de la part des organismes visés. Dans le cas de sur-déclaration, cela aurait par exemple pour effet de submerger les rares ressources policières disponibles, et de nuire indirectement aux enquêtes en cours.

Si l'implication du secteur privé dans les efforts de lutte contre la pornographie juvénile est incontournable, l'utilité d'une loi aussi coercitive et peu flexible risque de montrer bien vite ses limites, à moins que des ressources importantes soient dégagées pour veiller à son application et qu'une politique plus inclusive à l'égard des divers partenaires l'accompagne.

Les canadiens, les cartes de crédit et les sites de pornographie infantile

Le paisible Canada serait-il comme l'affirme La Presse et La Presse Canadienne un "havre" pour les sites de pornographie infantile? C'est en tout cas l'interprétation que font ces médias du dernier rapport de Cyberaide.ca, qui procède à des analyses statistiques descriptives des rapports d'incidents recueillis par ses analystes au cours des sept dernières années.

On y apprend en effet que sur les 800 sites pédophiles commerciaux analysés, 8,7% (soit 70) étaient hébergés au Canada, qui vient effectivement en deuxième place, le premier pays étant les États Unis avec 65,6%. Cependant, quelques précautions doivent être prises avec ces chiffres, comme le reconnait d'ailleurs Cyberaide, qui n'insiste pas particulièrement sur cette deuxième place du Canada dans ce sordide "palmarès".

Tout d'abord, les sites et les images analysés sont principalement signalés de manière anonyme par des internautes qui sont dans leur grande majorité canadiens, et il ne semble par conséquent pas aberrant de penser que ces derniers signalent de manière disproportionnée des sites ou des images auxquels ils peuvent accéder dans leur langue maternelle. Par ailleurs, comme le concède Cyberaide, les opérateurs de ces sites transfèrent fréquent leur contenu d'un serveur à un autre afin de minimiser les risques de détection de la part des forces de l'ordre. L'un des sites signalés à Cyberaide utilisa ainsi 212 adresses IP différentes dans 16 pays pendant une période d'observation de 48 heures, afin de brouiller les pistes. Dans ce contexte, il devient difficile d'appliquer des notions d'espace géographique à des pratiques qui se déploient dans des espaces numériques où la notion de frontière est quelque peu obsolète.

Par contre, il me semble que les journalistes sont passés à côté d'une information beaucoup plus intéressante. En effet, la moitié des 800 sites commerciaux de pornographie enfantine analysés acceptaient des moyens de paiement traditionnels tels que les cartes de crédit Visa et Mastercard.

J'aurais donc plutôt suggéré aux journalistes qui ont rapporté la nouvelle le gros titre suivant:

"Les grandes institutions financières faciliteraient le fonctionnement des sites commerciaux de pornographie infantile"

Mais cela aurait certainement été beaucoup moins vendeur...

samedi 21 novembre 2009

Des pirates s'immiscent dans le débat sur le réchauffement climatique

Des pirates informatiques se sont infiltrés cette semaine dans les serveurs d'une université anglaise, et ont obtenu copie de milliers de courriers électroniques et de documents reliés aux travaux de chercheurs influents sur les changements climatiques.

Ils ont ensuite mis ces fichiers d'environ 61 MB à la disposition de tous les internautes par le biais d'un serveur situé en Russie. L'objectif implicite des pirates est d'exposer les manipulations statistiques auxquelles se seraient livrés les scientifiques afin d'exagérer la gravité de la situation actuelle.

Certains bloggeurs commencent déjà à utiliser des citations tirées de ces documents pour remettre en question les conclusions de ces chercheurs et la réalité du problème des changements climatiques, malgré la difficulté d'évaluer le contexte (ou même la véracité) des segments de phrase présentés comme révélateurs de cette malhonnêteté intellectuelle.

jeudi 19 novembre 2009

Google et les botnets

Un article du Register fait état du recours par des pirates informatiques contrôlant un réseau d'ordinateurs compromis (un botnet) à un service Google (App Engine) pour relayer leurs instructions à ces ordinateurs.

Les avantages selon des consultants en sécurité cités par le journaliste? Les prix sont bas, la disponibilité du service est inégalée, et les mécanismes de sécurité mis en place sont rétroactifs, ce qui signifie que les mesures de contrôle sont prises suite à une dénonciation plutôt qu'appliquées systématiquement à toutes les applications utilisant le service. Par ailleurs, Google est réputée pour protéger jalousement les données de ses clients, ce qui est une forme de prime de sécurité accordée aux utilisateurs malveillants. D'ailleurs, il est significatif que la détection de ce problème ait été faite par une entreprise spécialisée dans la protection des réseaux informatiques plutôt que par Google elle-même.

dimanche 15 novembre 2009

Le logiciel d'analyse forensique de Microsoft disponible en téléchargement

Afin d'aider les policiers à analyser le contenu des ordinateurs des délinquants sur lesquels ils enquêtent, Microsoft met depuis environ un an une suite de 150 applications informatiques à la disposition des forces de l'ordre de divers pays et d'Interpol. Cet outil, désigné par l'acronyme COFEE (Computer Online Forensic Evidence Extractor) facilite le recueil de la preuve et possède l'avantage de pouvoir être utilisé par des non-experts, ainsi que de pouvoir fonctionner sur des machines "actives", c'est à dire sous tension (le fait de les éteindre avant de les saisir pouvant faire disparaître certains éléments de preuve).

La semaine dernière, cet outil qui était exclusivement distribué aux organisations policières de manière assez restrictive a été rendu public par un utilisateur anonyme sur le site privé What.cd. Même si le site l'a depuis retiré, la distribution continue de se faire de manière virale sur d'autres sites d'échange de fichiers.

À n'en pas douter, de nombreux délinquants informatiques seront intéressés par ces application, qu'il s'agisse de les utiliser dans le cadre de leurs propres activités, de développer des mécanismes de contre-mesure, ou bien encore d'y intégrer des virus afin d'infecter les machines d'individus intéressés par ce type de logiciels.

Microsoft minimise la portée de cet événement en affirmant que les applications contenues dans COFEE étaient déjà bien connues et disponibles en dehors de la sphère policière, et que le principal intérêt de cet outil réside dans son intégration et sa facilité d'usage.

jeudi 12 novembre 2009

Campagne de sensibilisation contre le vol d'identité au Québec

Cette semaine, l'Institut de Sécurité de l'Information du Québec (ISIQ) lance sa troisième campagne de sensibilisation sur la protection de l'identité sur Internet. Celle-ci comprend un certain nombres d'activités et de contenus afin d'aider les Québécois à réduire les risques de vol d'identité auxquels ils sont exposés. C'est très bien fait, et on a même trouvé un porte parole de renom pour aider à faire passer le message.

Cependant, après trois ans, une question légitime serait celle de l'efficacité d'une telle campagne. On ne peut pas forcément s'attendre à des effets directs comme la baisse de la victimisation, mais peut-on au moins mesurer des changements dans les comportements des internautes qui permettraient d'affirmer que ces campagnes atteignent leurs objectifs? Un article publié sur le site Canoë soulignait la paradoxe apparent entre une campagne récurrente et des chiffres de la criminalité présentés comme étant en augmentation.

À vrai dire, on ne sait pas réellement si les chiffres du vol d'identité augmentent, stagnent ou diminuent, car les statistiques présentés par l'ISIQ sont tirés d'un sondage mené par le Ministère de la Sécurité Publique du Québec en 2007 qui lui n'a pas été reconduit. Ce qui fait que le point de mesure unique ne permet de dégager aucune tendance.

Il est certain par contre qu'une campagne de sensibilisation au vol d'identité ne devrait pas nécessairement se focaliser sur les seules transactions en ligne. En effet, dans une étude menée plus tôt cette année, nous avons montré que les voleurs d'identité n'utilisent Internet pour acquérir l'identité de leur victime que dans un peu moins de 20% des cas.

Comme on le voit, bien des mesures de prévention sont encore conçues et mises en oeuvre sans que l'on sache vraiment si elles correspondent au phénomène auquel elles prétendent s'attaquer, ni si elles produisent des effets tangibles.

samedi 31 octobre 2009

Activité parlementaire canadienne

Le 22 octobre, le projet de loi S-4 criminalisant le vol d'identité (et plus précisément le fait de posséder de façon non autorisée les données personnelles d'autrui) recevait la sanction royale.
Le texte de la loi est accessible sur le site du parlement.

En parallèle, les deux projets de loi C-46 et C-47 qui visent la modernisation des techniques d'enquête (notamment en matière d'interception des communications électroniques) de la police font l'objet de débats à la Chambre des communes. Le sommaire législatif du projet de loi C-47, qui en explique l'origine et en détaille les objectifs peut être consulté ici.

mardi 13 octobre 2009

Les pirates s'en prendront-ils bientôt à votre robot?

Une équipe de chercheurs de l'Université de Washington vient de publier un article qui est repris par de nombreux médias, et qui alerte les usagers sur la facilité déconcertante avec laquelle il serait possible pour des pirates de prendre à distance le contrôle de robots "domestiques". Notamment, les défauts dans les protocoles de sécurité permettraient aux pirates de menacer la vie privée des usagers de ces machines.

Une lecture plus approfondie de cet article laisse quand même perplexe. Tout d'abord, deux des trois machines étudiées sont des robots pour enfant dont le côté ludique a certainement primé sur l'aspect sécurité lors de la conception. Je ne pense pas qu'une étude sur les robots militaires qui sont de plus en plus nombreux sur le champ de bataille ait donné les mêmes résultats (mais les budgets de recherche étant ce qu'ils sont, c'est certainement moins cher de se procurer un robot à quelques dizaines ou centaines de dollars). Un chercheur en sécurité informatique penserait-il sérieusement publier une mise en garde contre les brèches de sécurité qui frappent les ordinateurs pour enfant conçus afin de faciliter l'apprentissage de la lecture et du calcul?

Par ailleurs, au delà des vagues menaces à la vie privée, je ne résiste pas à la traduction de quelques passages plus spécifiques sur les risques que les pirates pourraient faire peser sur les usagers de ces robots:

"Vandalisme robotique: Un attaquant peut exploiter les vulnérabilités du Rovio et du Spykee pour endommager les objets fragiles dans leur environnement immédiat... Bien que ces robots n'aient pas encore suffisamment de puissance pour faire tomber des objets des tables, des robots similaires dans le futur pourraient avoir de telles capacités, ce qui pourrait potentiellement générer des risques pour la sécurité. Par exemple, si un robot fait tomber un bol de grains de raisins posé sur une table basse, cela pourrait représenter un risque d'étouffement pour un enfant en bas âge."

"Attaques psychologiques: En nous projetant un peu plus dans l'avenir, nous estimons que des attaques psychologiques pourraient potentiellement se servir de robots compromis... Un attaquant, peut-être un enfant malveillant du quartier, pourrait exploiter le lien privilégié [entre un enfant autiste] et son robot pour causer un préjudice psychologique à l'enfant. D'autres formes d'attaques psychologiques sont aussi possibles, comme d'utiliser un robot pour arranger des objets sur le sol afin de former un symbole menaçant ou insultant ou pour systématiquement harceler le chien de la famille pendant que les occupant du domiciles sont à l'extérieur." (p. 6)
Comme on le voit, il y a vraiment là de quoi inspirer les prochains scénaristes de Terminator 5.


samedi 10 octobre 2009

Le directeur du FBI interdit de transactions bancaires en ligne (par sa femme)

De son propre aveu, le Directeur du FBI aurait failli communiquer ses coordonnées bancaires à un site d'hameçonnage, avant de se rendre compte que cela n'était peut-être pas une si bonne idée. En faisant part à son épouse, celle-ci lui aurait dorénavant formellement interdit toute opération en ligne.

via The Register

mercredi 7 octobre 2009

Le premier sondage français sur l'usurpation d'identité

À ma connaissance, le sondage réalisé par le CREDOC pour Fellowes est le premier instrument de mesure de l'ampleur de l'usurpation d'identité en France.

D'après les résultats de ce sondage, 4,2% de la population française âgée de 15 ans et plus aurait été victime au cours des 10 dernières années, ce qui est considérablement moins que ce que l'on observe en Amérique du Nord, où les chiffres oscillent autour de 5% de la population adulte victime chaque année.

La difficulté dans ce type de sondage réside dans la méconnaissance qu'ont les répondants de ce que recouvre le terme "usurpation d'identité", particulièrement lorsque celui-ci vient de faire son apparition dans la terminologie des menaces criminelles. Ainsi, dans le cadre d'un sondage mené au Québec sur le même sujet pour le Ministère de la Sécurité Publique, nous avons pu démontrer que les répondants tendent à considérablement sous-évaluer leur taux de victimisation, n'associant pas le crime dont ils ont été victime au terme générique utilisé par l'institut de sondage.

Comme dans bien des pays, il est également frappant de noter que ce sondage est financé par des intérêts privés, même s'il met en lumière un problème indéniable de sécurité publique.

mardi 29 septembre 2009

Le vol d'identité inspire des humoristes

Cette parodie d'une rencontre entre un banquier et une victime de "vol d'identité" (hélas en anglais) illustre à merveille les enjeux reliés à la responsabilité des institutions financières que reflète la terminologie dominante. Alors, vol d'identité ou vol de banque?

mercredi 16 septembre 2009

Combien y-a-t-il de sites pédo-pornographiques sur Internet?

Une experte des Nations Unies, Madame Najat M'jid Maalla, a déclaré aujourd'hui devant le Conseil des droits de l'homme à Genève qu'il y aurait 4 millions de sites contenant des images de pornographie pédophile sur Internet, et que ce chiffre serait en croissance constante.

Ces statistiques sidérantes (on estime le nombre total de sites légaux de pornographie à 4,5 millions) ont été reprises par deux journalistes-blogueuses de La Presse, qui ne cachent pas leur désarroi de mères de famille devant l'ampleur du phénomène.

Or, la situation n'est pas aussi catastrophique qu'on nous le donne à penser, puisque l'organisme Internet Watch Foundation que cite Madame Maalla (dans la retranscription disponible sur le site des Nations Unies, sa source serait plutôt l'UNICEF) ne recense en fait dans son rapport annuel 2008 "que" 1.536 sites à contenu pédo-pornographiques (ce qui reste bien entendu beaucoup trop), en diminution de 9% par rapport à 2007. On se demande alors par quelle mystérieuse arithmétique ces 1.536 sites se sont transformés en 4 millions...

Ces statistiques beaucoup plus crédibles sont librement accessibles sur Internet, mais il est surprenant de noter que les journalistes n'ont pas pris la peine de mener la moindre vérification et se sont inclinés devant la parole de l'experte, préférant rapporter des chiffres effrayants pour toute personne normalement constituée.



lundi 14 septembre 2009

Le site du New York Times manipulé par des fraudeurs

Le site du New York Times, qui est l'une des sources d'information les plus fréquentées du Web, a été la victime ce week-end de fraudeurs qui s'en sont servis pour infecter les ordinateurs de milliers de visiteurs d'un logiciel malveillant. Les fraudeurs se sont fait passer pour des publicitaires auprès de la régie du site, qui autorise ses clients à héberger leurs annonces sur leurs propres serveurs (ce qui accroît la flexibilité du processus mais limite les possibilités de contrôle). Cela leur a permis de servir aux lecteurs du NYT des fenêtres imitant l'interface d'un antivirus, leur laissant penser que leur machine était infectée et que le téléchargement d'un logiciel était requis pour la nettoyer. Bien entendu, ce logiciel miracle est lui-même un logiciel malveillant qui une fois installé prétendra avoir identifié de faux virus et proposera de les supprimer (à de multiples reprises) en échange du numéro de carte de crédit de la victime (qui sera ensuite utilisé de manière abusive).


Dans un contexte où la presse écrite est désespérément à la recherche de nouvelles sources de revenus, le NYT ne sera certainement pas la dernière victime de ce genre de pratiques. Il est également frappant de noter la nonchalance du site, qui après avoir informé ses lecteurs du problème et de son origine, leur indique simplement quelques sites où ils pourront trouver des logiciels de détection et d'éradication des logiciels malveillants. Dans un pays aussi procédurier que les États Unis, il ne serait pas surprenant que des victimes et leurs avocats décident d'actionner la responsabilité de l'entreprise pour cette brèche de sécurité assez élémentaire.

jeudi 20 août 2009

Vol d'identité génétique

Le Monde se fait l'écho d'un article publié par des scientifiques israéliens qui semblerait démontrer qu'il est relativement facile de synthétiser l'ADN d'un individu et de l'appliquer ensuite sur une scène de crime afin de faire croire à son implication. Les procédures actuelles d'analyse mises en oeuvre par les laboratoires de police scientifique seraient incapables de déceler la différence, mais heureusement, les auteurs ont aussi conçu un test qui est capable de faire la distinction entre des échantillons naturels et artificiels.


mardi 18 août 2009

Comment voler 130 millions de numéros de cartes de crédit

C'est l'exploit dont est accusé Alex Gonzalez, qui est déjà mis en cause par la justice américaine pour d'autres affaires impliquant 94 millions de numéros de cartes de crédit dérobés à l'entreprise TJX (présente aux USA mais aussi au Canada et en Angleterre) et des piratages de moins grande ampleur contre diverses chaînes de restauration rapide.

Pour ceux qui ont soif de détails, l'acte d'accusation déposé par les procureurs américains est disponible dans son intégralité ici (en anglais), via Wired.com.

Parmi les informations intéressantes de ce document, le fait que les pirates avaient testé leur logiciel malfaisant contre une vingtaine d'anti-virus connus, afin de valider sa furtivité, et qu'ils avaient également doté celui-ci de capacités d'effacer les traces de sa présence sur les réseaux ciblés afin de retarder la détection de ses activités et de déjouer d'éventuelles enquêtes forensiques ultérieures. L'un des programmeurs complices de Gonzalez travaillait la journée chez Morgan Stanley, la grande banque d'affaires, et ne manquait donc pas de compétences informatiques et de talent.

Ceci dit, on dispose encore de très peu d'informations concernant les profits criminels qui ont pu être tirés de cet océan d'informations personnelles.

dimanche 9 août 2009

Les rois de l'ingénierie sociale habitent-ils tous chez leur maman?

Le site Smoking Gun vient de consacrer un reportage très fouillé sur la salle de clavardage (chatroom) 'Pranknet', qui réunit des adeptes du canular téléphonique extrême. Ces derniers ont acquis une certaine notoriété ces derniers mois pour leur art de la manipulation qui leur a permis de convaincre les occupants de chambres d'hôtel aux quatres coins des États-Unis de vandaliser ces dernières, sous prétexte d'échapper à une fuite de gaz pouvant les intoxiquer s'ils ne brisaient pas les fenêtres de l'édifice pour créer un appel d'air. Parmi leurs autres faits d'armes, on relève aussi le fait d'avoir poussé une réceptionniste d'hôtel à boire un verre d'urine fourni par un client ou l'épisode lors duquel les employées d'un restaurant rapide KFC se sont retrouvées nues sur le stationnement, convaincues qu'elles étaient d'avoir été aspergées d'une mousse qui provoqueraient de graves brûlures à leur peau (quelques clips audio et vidéos sont disponibles ici).

Ces blagues de potaches élaborées pourraient sembler anodines si les dégâts provoqués dans certains cas n'atteignaient pas plusieurs dizaines de milliers de dollars, et si certains de leurs appels ne causaient pas chez leurs victimes une détresse bien réelle. Certains services de police ont d'ailleurs déjà initié des poursuites contre les membres de ce groupe, qui ont échappé jusqu'ici aux efforts d'identification des policiers grâce à leur utilisation de Skype pour effectuer leurs appels.

L'article du Smoking Gun permet donc de mieux comprendre la sous-culture et les motivations de ces mauvais plaisants qui utilisent les principes de l'ingénierie sociale pour réaliser des canulars "épiques", dans leurs propres termes. Derrière les pseudonymes menaçants et les talents indéniables de manipulateurs se cachent néanmoins des individus qui semblent avoir du mal à être fonctionnels dans le monde "réel". Le fondateur et principal animateur de ce réseau est basé à Windsor, au Canada, et vit chez sa mère, où il vole le signal Wifi d'un voisin pour se connecter à Internet. D'autres membres ont un passé trouble de petits trafiquants de drogue et d'agresseurs sexuels de mineurs, et tous semblent passer la majeure partie de leurs journées sur Internet, n'ayant pas d'emploi.

Le contraste est ici saisissant entre l'image de puissance et d'omnipotence que les membres de ce groupe parviennent à projeter par le biais des technologies Internet, et la nature bien plus modeste, pour ne pas dire sordide, de leur vie quotidienne.

vendredi 7 août 2009

"Cyberattaque" contre Twitter: l'emballement des médias

On doit s'ennuyer ferme dans les rédactions cet été, à en juger par la couverture médiatique reçue par la banale attaque distribuée par déni de service dont a été victime Twitter hier. Les grands médias anglophones et francophones (Le Monde, La Presse, Le Nouvel Obs, et une centaine d'autres sources sur Google News) semblent s'emballer pour l'affaire, la palme revenant certainement au Figaro, qui nous propose sur son blog technotes de suivre cet événement majeur minute par minute. Les hypothèses les plus folles circulent sur les mobiles et les auteurs de l'attaque (le spectre du Kremlin n'étant jamais très loin), alors que la nature exceptionnelle d'un tel incident et sa signification géopolitique sont analysées sous toutes les coutures.

Un tel emballement masque toutefois la banalité de ce genre d'attaque, à la portée de n'importe quel propriétaire (ou locataire) de botnet (réseau de machines zombies). En effet, au moment où tous les regards étaient tournés vers Twitter (peut-être par ce que l'ennui de ses utilisateurs soudainement déconnectés ne trouvait pas de meilleure façon de s'exprimer), la société Arbor Networks, qui prétend analyser environ 70% du trafic Internet en temps réel détectait 1.084 autres attaques distribuées par déni de service sur le réseau pendant la journée de référence (les chiffres sont constamment mis à jour). Bref, "business as usual" sous le soleil du mois d'août.




jeudi 6 août 2009

Les fraudeurs ne connaissent pas la crise

Au contraire, ils en profitent. On peut lire dans le New York Time d'aujourd'hui un article consacré à l'exploitation par les fraudeurs de la vulnérabilité des personnes sans emploi, qui sont plus facilement prêtes à se laisser convaincre par les combines parfois alambiquées des premiers afin de se procurer un indispensable revenu (les systèmes d'assurance chômage sont bien moins généreux aux États Unis qu'en Europe ou au Canada).

Parmi les stratagèmes les plus fréquemment employés:

  • Offrir une hypothétique formation (dispensée en ligne ou sur support DVD) aux subtilités de l'économie Internet permettant de tirer des revenus des systèmes de publicité de Google ou de ses compétiteurs >> Il s'agit en fait pour les fraudeurs de se procurer le numéro de carte de crédit de la victime et d'instaurer un débit mensuel (mentionné en caractères microscopiques dans le contrat de vente), les prélèvements automatiques devenant quasiment impossibles à faire annuler pour les victimes.
  • Se faire passer pour un recruteur légitime (avec un site Internet crédible à l'appui) afin de recueillir les données personnelles du candidat qui pourront ensuite être utilisées pour commettre des vols d'identité (et parfois ruiner le crédit d'une personne déjà en difficulté financière).
  • Offrir des emplois à domicile, en arrivant à convaincre les victimes d'encaisser des chèques contrefaits pour se procurer leur équipement de démarrage et de virer le solde à un bénéficiaire complice du fraudeur >> Une fois que l'escroquerie est découverte par la banque, la victime devient responsable des sommes qu'elle a participé (involontairement) à détourner et s'expose donc à des accusations de complicité.
  • Proposer des emplois d'agents de paiement ou d'agents logistique à des victimes qui agissent en fait comme des "mules" pour des groupes de fraudeurs organisés >> Les victimes agissent comme intermédiaires afin de brouiller les traces: elle reçoivent des virements ou des livraisons d'équipement électronique obtenus frauduleusement et les font suivre à des complices, souvent établis à l'étranger. Elles obtiennent parfois un pourcentage des montants ainsi obtenus.
Ces escroqueries ne sont pas nécessairement en expansion. C'est plutôt leur taux de réussite qui est certainement influencé par l'insécurité éprouvée par de nombreuses personnes sans emploi (et donc sans revenu) et prêtes à se laisser séduire par les propositions financières les plus improbables.

mercredi 29 juillet 2009

L'iPhone détecteur de délinquants sexuels

Aux États Unis, une application iPhone qui permet de localiser le lieux de résidence des délinquants sexuels vient d'être mise sur le marché (voir l'article dans Technaute, et celui un peu plus détaillé du Telegraph) par la société Thin Air Wireless pour 0,99$.

L'argument de vente alimente la peur des utilisateurs en leur faisant miroiter la sécurité accrue qu'un tel outil procurera à leur famille, sans parler d'une curiosité assez morbide de la part de ceux qui désirent connaître la "densité" des agresseurs sexuels dans leur quartier ou celui de leurs amis et connaissances.

Mais outre le fait que les bases de données officielles sur lesquelles s'appuie cette application restent criblées d'erreurs et mises à jour de manière assez hétérogène, celle-ci perpétue l'image de l'agresseur sexuel comme un prédateur inconnu et menaçant. La triste réalité criminologique est plutôt que la majorité des victimes sont agressées par des personnes de leur entourage immédiat, qu'il s'agisse de membres de la famille, d'amis de la famille ou de membres d'une institution offrant des soins ou des services à l'individu. Seulement 14% des victimes sont agressées par un parfait inconnu.

Ce n'est donc certainement pas en consultant la distribution géographique des délinquants sexuels dans leur quartier que les utilisateurs de cette application arriveront à protéger leurs proches. C'est plutôt dans leur carnet d'adresse qu'ils auront plus de chances d'identifier des risques.

lundi 27 juillet 2009

Les quatre techniques de l'ingénierie sociale

Contrairement au piratage informatique, qui consiste à exploiter les failles techniques des systèmes d'information, l'ingénierie sociale s'appuie plutôt sur la manipulation des individus qui gèrent ces systèmes, notamment à travers quelques tactiques psychologiques présentées dans cet article de CSO.com.

L'auteur répertorie quatre approches complémentaires mises en oeuvre par les as de l'ingénierie sociale (qui d'ailleurs opéraient bien avant le développement de l'informatique et de l'internet):

  • La capacité de projeter une image de confiance en soi et de garder le contrôle de la conversation;
  • L'application du principe de réciprocité, qui veut qu'une personne à qui on a consenti un don (même symbolique) soit plus encline à répondre positivement aux demandes qu'on lui fera;
  • Le recours à l'humour pour établir un lien émotionnel instantané avec la "victime" et détourner l'attention des demandes qui dérogent potentiellement aux protocoles de sécurité;
  • L'énoncé de demandes accompagnées systématiquement d'une raison crédible (et apparemment, c'est le "parce que" qui emporte la conviction de la victime, et non la qualité de la raison qui lui est offerte).
On reste bien sûr ici à un niveau de conceptualisation assez général, et ce type de compétence relève bien plus souvent de l'inné que de l'acquis, mais ce qui me frappe, c'est la difficulté qu'il peut y avoir à former les victimes potentielles à détecter et à éviter de se laisser berner par ce genre de pratiques. En effet, cela entre en complète contradiction avec les règles les plus élémentaires du "bon service à la clientèle", qui sont de s'assurer notamment de la rapidité des transactions (productivité) et de la satisfaction des consommateurs à l'issue de ces dernières (culture de la résolution des problèmes).

dimanche 26 juillet 2009

L'économie des botnets

Kaspersky, une entreprise spécialisée dans les anti-virus et la sécurité informatique vient de publier un rapport assez exhaustif sur l'économie des botnets, ces réseaux d'ordinateurs zombis contrôlés à l'insu de leurs propriétaires légitimes par des pirates informatiques.

Le rapport donne notamment une idée assez précise des divers moyens par lesquels ils peuvent extraire des revenus de ces botnets, et des prix pratiqués à l'heure actuelle sur les marchés clandestins.

Ce document vient compléter le rapport de Cisco sur le même sujet, qui se distingue des documents assez généraux publiés habituellement sur le sujet par la reproduction d'un entretien détaillé (captures d'écran à l'appui) avec un (supposé) botmaster.

vendredi 10 juillet 2009

Nicolas Sarkozy victime d'un vol d'identité

Le Président de la République Française a été victime il y a quelques mois d'une classique affaire de vol d'identité, mise en lumière dans un article du Nouvel Obs. Les fraudeurs ont en effet utilisé ses coordonnées bancaires pour obtenir des services de téléphonie mobile, qui ont ensuite certainement été revendus à des tiers. La fraude a été rendue possible grâce à des complicités au sein de deux entreprises.

Les informations bancaires ont été obtenues par des employés d'une entreprise sous-traitante d'un grand fournisseur de télévision payante, et elles ont été utilisées sans grande difficulté avec la bénédiction de vendeurs de boutiques de téléphonie mobile, qui fermaient les yeux sur l'ouverture multiple de lignes rattachées aux même comptes bancaires. Dans le premier cas, on peut imaginer que le salaire minimum des employés des centres d'appels peut constituer un fort incitatif à l'amélioration du quotidien par la revente d'informations privilégiées, alors que dans le cas des vendeurs d'abonnements téléphoniques, c'est la perspective de commissions importantes sur l'ouverture de nombreuses nouvelles lignes qui a permis d'obtenir leur complicité.

Dans les deux cas, il s'agit de variables contre lesquelles des solutions technologiques de prévention sont totalement impuissantes.

jeudi 9 juillet 2009

Une nouvelle forme de fraude bancaire par téléphone

La société de conseil en sécurité Actimize, spécialisée dans le secteur bancaire et financier vient d'identifier un nouveau type de fraude bancaire dans laquelle les délinquants utilisent une stratégie assez rudimentaire sur le plan technologique afin de vider le compte en banque de leurs victimes.

Dans un premier temps, le fraudeur contacte sa victime par téléphone en se faisant passer pour son institution bancaire et l'avertit que son compte a été compromis et que des informations personnelles doivent être vérifiées afin de mettre un terme à la situation. Le fraudeur l'informe alors que l'appel va être transféré au service à la clientèle et demande à la victime de patienter. Pendant ce temps, le fraudeur appelle la banque de la victime et initie alors un appel-conférence à trois pendant lequel il reste silencieux, ce qui lui permet cependant d'écouter les réponses aux questions de sécurité posées par le représentant de la banque. Dès qu'il entre en possession de ces informations, il met fin à l'appel en prétextant que le problème est résolu. Il ne lui suffit plus qu'à rappeler le centre d'appel de la banque, en espérant ne pas tomber sur le même préposé, à répondre correctement aux questions d'authentification (qui en général ne sont pas posées de manière aléatoire), et à initier des virements bancaires vers des comptes qu'il aura lui-même créé.

La seule technologie requise dans ce type d'attaque très efficace qui aurait été observé au Royaume Uni, aux États Unis et au Canada ces dernières semaines est une ligne téléphonique capable d'initier des appels conférences à trois. Le plus difficile pour le fraudeur est alors d'apprendre de quelle banque sa victime est cliente afin de pouvoir la mettre en relation avec la bonne institution.

dimanche 5 juillet 2009

Sécurité, vie privée et Web 2.0

Le périodique des professionnels anglophones de la sécurité informatique publie un article consacré aux 7 péchés capitaux de la sécurité sur les sites de réseautage social.

Parmi les comportements à proscrire:

  • Partager excessivement des informations sur les activités de son entreprise ou organisation, afin d'éviter d'alerter la compétition sur les dernières innovations en développement ou des programmes devant rester confidentiels;
  • Mêler des informations personnelles et professionnelles, en évitant notamment d'inviter sur Facebook à la fois des amis proches et des collègues ou des supérieurs hiérarchiques;
  • Se laisser aller à étaler impulsivement sa frustration ou sa colère envers collègues, clients, fournisseurs ou organisations partenaires dans ses contributions aux sites de réseau sociaux ou aux flux Twitter;
  • Penser que l'accumulation d'amis ou d'abonnés à son profil ou son flux Twitter est une fin en soi qui mérite tous les compromis en matière de sécurité, y compris d'accepter systématiquement les demandes de personnes que l'on ne connaît pas;
  • Utiliser des mots de passe semblables à ceux utilisés dans le cadre des services bancaires en ligne ou des services marchands, afin de faciliter la mémorisation des premiers;
  • Cliquer sur tous les liens et toutes les applications possibles, notamment sur les pages Facebook, sans songer aux répercussions négatives en cas de liens renvoyant vers des applications malicieuses;
  • Exposer involontairement la vie privée de tiers au regard d'autrui, en partageant notamment les dates de naissance, coordonnées ou détails personnels d'amis, de membres de la famille ou de collègues de travail.
Si ces recommandations sont frappées au coin du bon sens, on peut se demander dans quelle mesure les usagers qui adoptent ces outils sociaux peuvent concilier leur utilité et des comportements conformes à une sécurité élémentaire. En témoigne la récente affaire de la page Facebook du futur chef des services secrets britanniques, que l'épouse de ce dernier mettait à jour sans grande retenue. Il est assez cruellement paradoxal d'observer qu'un individu dont les fonctions le placent au centre du monde des secrets est ainsi exposé dans ce qu'il a de plus intime au regard de tous les internautes que ces choses intéressent, incluant ses futurs adversaires.

lundi 29 juin 2009

Qui sont les voleurs d'identité?

Je viens de publier, avec Guillaume Louis, une note de recherche qui analyse à partir de données empiriques le profil des voleurs d'identité, ainsi que leurs modes opératoires.

Voici quelques faits saillants de cette note:

  • Le vol d’identité a frappé 1,7 millions de personnes au Canada en 2008 et a fait 340.000victimes au Québec l’année précédente. Malgré le volume significatif de cette forme émergente de criminalité, les connaissances dont nous disposons sur le sujet restent encore relativement limitées, particulièrement en ce qui concerne le profil des auteurs de ces crimes et leurs modes opératoires.
  • Le vol d’identité est souvent représenté dans les médias comme une forme de délinquance nécessitant des compétences techniques très développées et étroitement associée au crime organisé.
  • Cette recherche, qui s’appuie sur des sources secondaires provenant en grande majorité des États‐Unis, permet de mieux comprendre la dynamique du vol d’identité et de démontrer qu’il s’agit en réalité d’une forme de délinquance très diversifiée englobant des stratagèmes dont la sophistication varie grandement.
  • Notre base de données est constituée à partir de 574 articles de presse recueillis de janvier à juin 2008. Elle contient 195 affaires de vol d’identité impliquant 422 délinquants.
  • Les femmes représentent près de 40% des délinquants. Cette forte présence s’explique selon nous par l’absence de violence inhérente à ce type de crime et par la possibilité de le commettre sans le soutien de pairs délinquants.
  • Les auteurs de vols d’identité sont relativement plus âgés que les autres délinquants, avec une moyenne de 33 ans. Le délinquant le plus âgé figurant dans notre base de données avait 67 ans.
  • Les délinquants ont agi seul dans une grande majorité des cas (64,6%), ce qui semble contredire la thèse d’une forte implication du crime organisé dans ce type de crime.
  • Concernant les techniques d’acquisition des identités, des moyens technologiquement rudimentaires comme le vol physique de portefeuille ou de sac à main et l’escroquerie représentent plus de la moitié des cas (53,4%). Il semble donc que les délinquants habituels exploitent les opportunités qui leurs sont fournies pour s’adonner au vol d’identité.
  • Par ailleurs, il est intéressant de noter que le second mode d’acquisition le plus répandu concerne des professionnels qui détournent à leur profit les renseignements personnels de clients, patients ou bénéficiaires qu’ils rencontrent dans le cadre de leur emploi (28,3%).
  • À l’étape de la fraude, Internet devient un outil privilégié des délinquants qui souhaitent extraire un bénéfice financier des identités volées, puisque 45,3% des cas impliquent l’achat de biens ou de services en ligne, ainsi que l’obtention de lignes de crédit via Internet.
  • Contrairement à l’image d’un crime faisant un grand nombre de victimes lors de chaque incident, notre échantillon n’identifie qu’une seule victime par affaire dans 57% des cas. Il est possible qu’un biais de sélection soit à l’origine de ce résultat surprenant.
  • Le montant médian des profits réalisés par les auteurs de vol d’identité est de 26.000 dollars US, ce qui fait du vol d’identité un crime relativement profitable au vu des faibles risques encourus.
  • Parmi les personnes arrêtées et condamnées, les peines infligées sont relativement lourdes, avec une peine moyenne de 54 mois de prison. Cette sévérité nous semble influencée par une volonté de dissuasion à l’égard de délinquants pouvant penser qu’ils jouissent en ce domaine d’une véritable impunité. Par contre, il semble que les affaires les plus complexes se règlent plus fréquemment par une peine assortie d’un sursis, en raison du pouvoir de négociation dont disposent les criminels à qui on demande de fournir des informations sur le mode opératoire utilisé.

dimanche 28 juin 2009

Un traité international pour la sécurité du cyberespace?

Le New York Times, dans son édition du 27 juin, publie un article faisant état discussions qui auraient été engagées entre les États Unis et la Russie sur l'opportunité d'un traité international portant sur la sécurité du cyberespace. La Russie propose qu'un traité similaire à ceux existant dans le domaine du contrôle des armes chimiques ou nucléaires soit envisagé, alors que les États Unis privilégient plutôt le renforcement des mécanismes de coopération policière internationale.

Comme le souligne l'auteur de l'article, la difficulté du recours à un instrument traditionnel de la diplomatie internationale est que l'Internet est par définition un système technique ouvert aussi bien aux États qu'aux individus, et que la responsabilité des attaques malfaisantes qui peuvent en émaner restent très difficiles à attribuer.

Sur le plan historique, de premières discussions auraient eu lieu dès 1996, dirigées côté américain par John Arquilla, un chercheur en stratégie adepte de la théorie de la guerre en réseaux.

La Chine aurait également été approchée par la Russie afin d'appuyer le projet d'un tel traité.

vendredi 19 juin 2009

Quelques outils de protection de la vie privée sur Internet

Un article provenant d'un journal destiné aux professionnels de la sécurité informatique CSOonline offre quelques bonnes adresses pour les personnes qui souhaitent préserver leur vie privée lorsqu'ils naviguent sur Internet (et ils semblent nombreux ceux qui s'inquiètent depuis le dépôt hier de deux projets de lois canadiens). L'auteur de l'article ne propose pas ces outils à des fins de défense des libertés individuelles, mais plutôt dans le cadre d'enquêtes. Cependant, l'utilité reste la même:

  • Un faux générateur de noms (y compris francophones) vous permettra de vous inventer des identités d'usage convaincantes, comprenant date de naissance, adresse postale, nom de jeune fille de la mère, etc.: www.fakenamegenerator.com.
  • Un navigateur Internet qui s'appuie sur le système TOR (sans l'installation fastidieuse) et vous permet de cacher votre adresse IP, de crypter vos données de navigation et de ne conserver aucun cookie (par contre, le téléchargement de films ou de morceaux de musique risque de prendre pas mal de temps): xerobank.com/download/xb-browser/
  • Un site Internet qui permet de vérifier l'adresse IP qui vous est allouée, afin de vérifier que Xerobank fait bien son travail: whatismyipaddress.com/
  • Un site Internet qui vous permet d'expédier des courriers électroniques anonymes en imitant n'importe quelle adresse d'expédition (même si cela peut s'avérer compliqué en cas de réponse attendue): send-email.org/ [attention, dans certains pays, ce type de pratique peut être considéré comme du vol d'identité si vous utilisez l'adresse d'une personne existante]

jeudi 18 juin 2009

Projets de loi C-46 et C-47

Voici les liens vers les deux projets de loi (C-46 et C-47) déposés aujourd'hui par le Gouvernement conservateur du Canada afin de faciliter les enquêtes criminelles à forte composante technologique. Ces dispositions, si elles sont adoptées par le Parlement, permettront notamment au Canada de ratifier la convention du Conseil de l'Europe sur la cybercriminalité qu'il a signé en 2001 (sous un gouvernement libéral donc).

Ces deux projets de loi de près d'une centaine de page ne prévoient pas d'abaisser -- voire de supprimer -- les exigences relatives à l'obtention d'un mandat. Ils précisent par contre les conditions d'émission par les juges d'ordonnances de communication, de préservation et de non-divulgation des données de communication et de localisation des usagers suspectés de violer le Code criminel. Ils viennent aussi créer pour les opérateurs de télécommunication l'obligation de se doter d'équipements technologiques permettant de procéder aux interceptions autorisées par un juge dans les meilleurs conditions possibles. Un article plutôt anodin a cependant attiré mon attention: l'article 14 (4) du projet C-47 prévoit en effet que "le ministre peut fournir au télécommunicateur l'équipement et les autres biens qu'il estime nécessaires pour lui permettre de se conformer à l'arrêté". De quel équipement s'agit-il et quelles sont ses capacités? Est-ce une référence indirecte aux solutions de surveillance développées par le FBI aux États-Unis, dont j'avais signalé les ramifications canadiennes dans un billet de la Sécurisphère ici?

Les services de police et de renseignement pourront également obtenir sans mandat des renseignements sur les abonnés des opérateurs comme le nom, le numéro de téléphone, l'adresse IP ou encore l'adresse de courrier électronique, mais ces procédures seront encadrées par la Commissaire à la protection de la vie privée.


lundi 15 juin 2009

Le vol d'identité médical et la crise

Avec l'augmentation du nombre de chômeurs qui accompagne la crise économique, de nombreux américains se retrouvent du jour au lendemain sans mutuelle de santé, et le vol d'identité médical offre à certains d'entre eux la possibilité de se faire soigner en cas de besoin en usurpant l'identité d'une personne couverte. Le New York Times nous offre une enquête intéressante sur le sujet. Le World Privacy Forum avait produit dès 2006 un rapport consacré à cette forme spécifique de vol d'identité. Le secteur de la santé est par ailleurs très vulnérable au vol ou à la perte de données personnelles, comme nous l'avions démontré il y a quelques mois dans un rapport de recherche de la Chaire sur l'insécurité de l'information dans les organisations nord-américaines.

mardi 9 juin 2009

Les cambrioleurs vous suivent-ils sur Twitter?

C'est en tout cas ce que prétend cet article de l'Associated Press repris par Technology Review. La victime d'un cambriolage résidentiel est convaincue que c'est l'annonce de son départ en vacances sur Twitter, un très populaire site de microblogage, et la description fastidieuse de ses activités ("je monte dans ma voiture", "plus que 100 km avant que j'arrive", "youpi je suis arrivé", etc.) qui a permis à des cambrioleurs de savoir que son domicile serait inoccupé pendant quelques jours. Ce qui lui a mis la puce à l'oreille? Le fait que les délinquants n'ont paru intéressés que par son matériel professionnel de production vidéo, et qu'il se serve justement de Twitter comme un outil de promotion afin de communiquer avec des clients potentiels. Il diffusait à cet effet ses messages à environ 2.000 abonnés (ou 'followers') qui recevaient ses courtes mises à jour (moins de 140 caractères), y compris ceelles faisant état du déroulement de ses vacances.

Cet article, reposant sur un seul cas non probant illustre néanmoins à quel point les préoccupations légitimes concernant la sécurité sur Internet peuvent facilement sombrer dans une certaine forme de paranoïa paralysante. Les journalistes auraient certainement dû prêter une plus grande attention à l'épouse de la victime, pour qui cette affaire relève du pur hasard. Un utilisateur moins paniqué de Twitter est également cité, faisant remarquer que cela prendrait un cambrioleur anormalement motivé pour identifier des victimes particulières dans le déluge d'informations insignifiantes qui déferlent à longueur de journée de ce type de sites.

vendredi 5 juin 2009

Ridicule ou affligeant?

À vous de juger:

Une française est convoquée par la police pour avoir déposé un commentaire qui qualifiait une ministre (secrétaire d'état à la famille plus précisément) de "menteuse" sur un site de vidéo en ligne.

On peut imaginer que les enquêteurs ayant d'autres chats à fouetter, c'est la plainte de Madame Morano qui a mis la machine policière en branle. Pour mettre en contexte les rapports de Madame Morano à l'Internet, voici deux citations assez récentes:

«Internet peut être un outil dangereux, celui se trouve derrière l'écran peut-être un prédateur»

«Internet, c’est comme une magnifique voiture de course. Si vous n’avez pas votre permis de conduire et que vous ratez un virage, c’est la mort»

dimanche 31 mai 2009

La stratégie de Cybersécurité du Président Obama

Alors que le gouvernement français multiplie les dispositions législatives répressives reliées à l'Internet (Hadopi et Loppsi 2), l'administration Obama vient de rendre public un document directeur faisant le point sur la politique de cybersécurité qui sera mise en oeuvre au cours des prochaines années.

La conséquence la plus médiatisée de cette politique est la nomination imminente d'un "Tsar de la cybersécurité" qui sera directement rattaché à la Maison Blanche, sur le modèle du poste de "Tsar de la lutte contre la drogue" qui n'a jamais réellement réussi à se distinguer par son efficacité ou son originalité en matière de politique pénale. Cependant, outre cette annonce médiatique, le contenu du rapport mérite un examen plus approfondi.

Tout d'abord, celui-ci propose une vision assez apocalyptique des problèmes de cybersécurité, où un amalgame potentiellement dangereux est fait entre les menaces que font peser sur la sécurité nationale les attaques provenant de puissances étrangères (la Chine ou la Russie pour ne pas les nommer) et les manifestations quotidiennes d'une délinquance informatique uniquement guidée par le profit. Ce manque de distinction entre les différents types de menaces risque de brouiller encore plus les frontières entre les tâches qui relèvent du système pénal (police et justice) et celles réservées au monde beaucoup plus secret des agences de renseignement et des forces armées. Les libertés individuelles et la transparence de l'information risquent d'être les premières victimes de ce grand fatras intellectuel, même si le rapport cherche à rassurer les défenseurs de la vie privée en leur donnant de nombreux gages d'inclusion dans les débats à venir.  

L'analogie choisie pour illustrer l'importance des enjeux est également significative: on associe le besoin d'agir en ce domaine au spectre du retard technologique que les États Unis ont pensé connaître lors du lancement par l'URSS du satellite Spoutnik en 1957. Le constat de la "dépendance digitale" des États Unis s'accompagne en effet d'une exhortation à maintenir la compétitivité intellectuelle par le biais d'une revalorisation des études en sciences "dures" et en mathématiques. Le ton alarmiste du document sur les dangers qui guettent le pays et les moyens requis justifie donc des mesures extrêmement ambitieuses.

Parmi celles-ci, on peut relever la volonté d'homogénéiser le cadre législatif afin de le rendre plus cohérent et de l'adapter aux contraintes des acteurs publics et privés qui devront l'appliquer. Des campagnes de sensibilisation et de formation à la cybersécurité devraient également être mises en oeuvre et destinées principalement aux lycéens et aux étudiants. Un partage avec le monde de la recherche des données relatives aux incidents est également prévu, afin que ceux-ci puisse analyser les facteurs de vulnérabilité et concevoir des réponses innovantes.  

Des partenariats avec le secteur privé sont envisagés, et des mécanismes reposant sur des incitatifs financiers et réglementaires sont également mis de l'avant (comme des crédits d'impôt, une redéfinition de la responsabilité civile des vendeurs d'équipements et de services informatiques ou encore la mise en place de subventions et de systèmes d'indemnisation). Il est également prévu de limiter la prolifération des partenariats, afin de ne pas diluer leur potentiel.

Sur la scène internationale, le document propose l'adoption par les États Unis d'une approche visant à diffuser auprès des enceintes multilatérales des normes et des standards technologiques qui correspondent à ses exigences. Il est prévu que des alliances seront conclues avec des pays "amis" afin de veiller à la diffusion de ces normes auprès de la douzaine d'organismes internationaux disposant d'un mandat en matière de cybersécurité. Le gouvernement américain se réserve également la possibilité "d'aider" certains pays à mettre en oeuvre des moyens d'enquête et de lutte appropriés, certainement sur le modèle de ce qui avait été fait au cours des années 1980 en matière de lutte contre le trafic de drogue.   

Il est encore trop tôt pour savoir si cette quatrième stratégie de cybersécurité en l'espace d'une quinzaine d'années sera plus efficace que les précédentes, mais on doit quand même reconnaître au travers de ce document la mise en place d'objectifs ambitieux servis par une approche intégrée (parfois à l'excès) relativement bien adaptée à la nature distribuée d'Internet. On verra bien au cours des prochaines années si cette approche systémique aura plus de succès que l'approche essentiellement étatico-répressive privilégiée par la France. 

mercredi 20 mai 2009

La Chine renforce son cadre réglementaire pour lutter contre la cybercriminalité

La revue en ligne CIO.com (en anglais) signale la mise en place au cours des dernières semaines par le gouvernement chinois de mesures réglementaires plus rigoureuses destinées à lutter contre la cybercriminalité. Selon les statistiques officielles, environ 1,2 millions d'ordinateurs chinois auraient été compromis en 2008 et seraient contrôlés par les pirates dans le cadre de botnets. 

Les nouvelles mesures créeraient l'obligation pour certaines agences gouvernementales et les fournisseurs d'accès public de mettre en place des technologies de surveillance et d'élimination des logiciels malicieux qui permettent aux botnets de fonctionner. Les procédures d'attribution des noms de domaine seront également revues afin rendre plus difficile l'établissement de sites douteux favorisant la distribution de logiciels malicieux en Chine et à l'étranger. Enfin, le partage d'informations entre les autorités et les opérateurs de télécom est renforcé en cas d'incident relié à la cybercriminalité.

Dans un pays aussi centralisé que la Chine, qui déploie des ressources considérables pour surveiller et censurer les communications sur Internet sur une échelle unique au monde, ce type de mesure sonne comme un véritable aveu de faiblesse quand à la capacité des agences gouvernementales à contrôler efficacement les activités des internautes. Certains États démocratiques engagés eux-aussi dans la conception de nouvelles formes de régulations seraient bien inspirés de prendre acte de ces limites.

Mesures législatives de lutte contre la cybercriminalité: un avant-goût du projet de loi Loppsi 2

Le quotidien Le Monde publie aujourd'hui un article qui donne quelques précisions sur les nouveaux pouvoirs d'enquête qui pourraient être bientôt conférés aux policiers français dans le cadre du projet de loi Loppsi 2 (pour Loi d'orientation et de programme pour la performance de la sécurité intérieure). 

On y retrouve des mesures qui feront certainement couler beaucoup d'encre dans les mois à venir, comme la possibilité pour les services d'enquête d'installer des chevaux de Troie sur les ordinateurs des personnes surveillées afin d'accéder à l'insu de celles-ci au contenu de leurs communications ou de leurs disques durs. Ces logiciels espions, qui sont déjà utilisés fréquemment par les fraudeurs informatiques pour s'emparer des informations personnelles de leurs victimes, seraient installés pour une période de 4 mois renouvelable.

D'autres dispositions, comme la création d'un délit d'usurpation d'identité sur Internet, seront certainement accueillies de manière moins polémique. Il faut également souligner que ce projet de loi n'est pas uniquement axé sur la lutte contre la cybercriminalité, comme l'auteur de l'article le laisse entendre, mais qu'il concerne aussi plus largement la modernisation des moyens technologiques de la Police Nationale et de la Gendarmerie, avec notamment le déploiement d'un système de lecture automatisé des plaques d'immatriculations (LAPI), l'acquisition de mini-drônes ou encore l'installation d'ordinateurs embarqués à bord des véhicules de police. Le milliard d'euros ainsi prévu sur cinq ans ne concerne donc pas exclusivement la lutte contre la cybercriminalité, loin de là.

mardi 19 mai 2009

Certaines bases de données du Department of Homeland Security piratées

La plateforme informatique mise en place par le Department of Homeland Security (le ministère de l'intérieur ou de la sécurité publique américain) afin de faciliter l'échange d'informations entre les diverses agences fédérales d'application de la loi, les services de police locaux et les services internes de sécurité du secteur privé a été piratée à la fin du mois de mars de cette année, selon le magazine Federal Computer Week. Ces intrusions dans le Homeland Security Information Network ont permis aux pirates de se procurer des informations personnelles sur un petit nombre de fonctionnaires travaillant dans le domaine de la sécurité intérieure. La technique de piratage employée n'est pas spécifiée, mais l'accès se serait fait par le biais de comptes d'usagers du service dont les mots de passe auraient été compromis. 

samedi 16 mai 2009

Comment les narcos brésiliens utilisent des satellites militaires américains pour communiquer

Cet article de Wired ne traite pas à proprement parler de cybercriminalité ni de vol d'identité, mais il nous éclaire sur les logiques de co-évolution entre les nouvelles technologies et la sécurité. Dans ce vaste pays qu'est le Brésil, où les infrastructures de communication restent encore peu développées dans les régions isolées, le piratage des satellites militaires de la marine américaine est devenu une activité très répandue. 

Ces satellites qui seront remplacés d'ici la fin de l'année ont été mis en orbite dans les années 1970. Ils permettent aux militaires américains et même à la Maison Blanche d'échanger des messages cryptés avec des unités sur le terrain. Mais alors que la technologie embarquée des satellites remonte à plusieurs décennies, les avancées de l'électronique sur Terre signifient que l'équipement nécessaire pour les utiliser comme de simples antennes relais est largement disponible à très bas prix. Pour moins de 500$, les camionneurs brésiliens peuvent ainsi s'équiper et rester en contact, y compris en plein coeur de l'Amazonie. 

Outre le fait que cette utilisation "pirate" peut s'avérer problématique pour les forces armées américaines en cas de besoins accrus de bande passante (en cas de crise par exemple), elle représente également une ressource mise involontairement à la disposition d'intérêts criminels. En effet, la police brésilienne saisit fréquemment de l'équipement destiné à communiquer par le biais de ces satellites lors de perquisitions visant le crime organisé ou des camps de bûcherons clandestins qui exploitent illégalement la forêt amazonienne. Une vidéo qui illustre cet usage est disponible sur YouTube ici.



Ainsi, une technologie conçue il y a de nombreuses années et réservée alors à un usage strictement militaire a intégré de manière naturelle la panoplie des outils indispensables à tout narcotrafiquant bien organisé. Ce décalage entre des systèmes rudimentaires conçus il y a plusieurs décennies (mais toujours en fonction) et la démocratisation d'outils informatiques et technologiques extrêmement puissants pouvant être utilisés pour les pirater est ainsi à l'origine de nombreuses vulnérabilités structurelles auxquelles il est très difficile et coûteux de remédier.
  

jeudi 16 avril 2009

Le premier botnet constitué d'ordinateurs Apple

Des chercheurs de l'entreprise Symantec viennent de communiquer sur un programme malicieux qui serait le premier à cibler les ordinateurs produits par Apple. Ce problème avait déjà été signalé en février dernier par une entreprise plus petite (et moins versée dans l'art des relations publiques?), mais il semble que certains médias ont mis du temps à réagir. Celui-ci est installé sur les machines des utilisateurs qui téléchargent des copies piratées des logiciels iWork09 et Adobe Photoshop CS4 sur les réseaux de pairs à pairs. Le concepteur du logiciel malicieux a tout simplement "greffé" son programme sur les deux applications concernées, dont il avait auparavant téléchargé les versions d'évaluation.

Ce botnet serait commandé par un individu différent de celui qui l'aurait conçu selon le bon vieux principe de la division du travail, et s'il est encore difficile d'évaluer le nombre de zombies qui le composent, il aurait déjà été utilisé dans le cadre d'une attaque par déni de service contre le site Internet dollarcardmarketing.com

Un détail intéressant: l'un des premiers blogueurs à avoir identifié cette attaque a été lui-même victime de ce logiciel malfaisant, et a admis avoir utilisé une version non authentifiée de iWork. Aujourd'hui programmeur, il indique avoir par le passé dirigé une équipe technique dans une entreprise spécialisée dans la lutte contre les attaques par déni de service! Même parmi les "professionnels de la sécurité", les pratiques spontanées d'utilisation semblent aller à contre-courant des précautions élémentaires, comme le fait de ne jamais télécharger de logiciels dont la provenance ne peut être établie avec certitude.

Les nouvelles méthodes des pirates informatiques pour s'emparer des codes secrets des cartes de paiement

Un article de Wired décrit l'apparition de nouvelles méthodes utilisées par les pirates informatiques pour s'emparer de grandes quantités de codes secrets de cartes de débit et de crédit. Le procédé repose sur l'interception de ces codes lors de leur transmission entre les distributeurs automatiques de billets et les serveurs des institutions financières émettrices et intermédiaires. Les codes secrets encryptés ne semblent par ailleurs pas épargnés, dans la mesure où les pirates exploitent les failles associées au paramétrage défaillant des équipements qui permettent de crypter les transactions financières (plus de détails sur ces modules de sécurité HSM vendus par la société Thalès ici). S'il semble que les machines sont configurées de manière absolument sûre lors de leur livraison, le besoin d'assurer leur compatibilité avec les équipements vendus par d'autres fournisseurs ainsi qu'avec les spécificités de chaque système bancaire national conduisent à ces erreurs. D'autres pirates ont développé une approche qui leur permet de siphonner les codes secrets pendant les quelques instants où ils sont stockés de manière non-cryptée sur les serveurs des banques afin d'autoriser la transaction.

S'il est confirmé, le saut qualitatif effectué par les fraudeurs leur permettrait d'accéder à un volume beaucoup plus important de données personnelles à très forte valeur ajoutée que ce que leur permet actuellement la fraude individualisée par skimming ou phishing. Par ailleurs, il sera plus difficile aux victimes de prouver leur bonne foi dans les cas de retraits d'espèces résultant de l'obtention frauduleuse du code secret, et il reste à voir dans quelle mesure les institutions financières joueront la transparence avec leurs clients.

mardi 7 avril 2009

Le Pentagone aurait dépensé 100 millions de dollars pour se défendre contre les cyberattaques

C'est ce qu'ont révélé deux généraux américains lors d'une conférence hier. La somme de 100 millions de dollars couvre seulement la période des 6 derniers mois, et inclut les dépenses en main d'oeuvre et en équipement associées aux réponses à ces attaques ainsi que la remise en état des réseaux.

Ce chiffre de 100 millions semble étrangement bien formaté pour frapper les esprits et être repris dans de nombreux articles, surtout à une période où le secrétaire américain à la défense vient d'annoncer d'importantes coupes budgétaires dans les programmes d'armement. D'un autre côté, le Pentagone est certainement l'une des cibles les plus tentantes pour les pirates débutants comme pour les cyberespions chevronnés.


lundi 6 avril 2009

Quel est le profil des prédateurs sexuels sur Internet?

Le Crime Against Children Research Center de l'Université du New Hampshire aux USA vient de publier les résultats de son étude longitudinale sur le profil des pédateurs sexuels arrêtés par la police aux États Unis en 2006 (la première étude avait été menée en 2001). Les données proviennent directement des enquêteurs qui ont procédé aux arrestations, ce qui constitue un excellent exemple de collaboration entre chercheurs et praticiens, et permet de produire des connaissances nouvelles qui permettent de discréditer un certain nombre de mythes sur la dangerosité de l'Internet pour les enfants et les adolescents.

Parmi les résultats les plus intéressants:

  • Entre 2000 et 2006, le nombre de prédateurs arrêtés qui avaient sollicité des mineurs en ligne afin de les convaincre d'avoir des rapports sexuels a augmenté de 21%, alors que le nombre de prédateurs arrêtés après avoir contacté des policiers se faisant passer pour des mineurs a augmenté de 381%. Cela semble indiquer que les organisations policières nord américaines sont très actives, et mêmes proactives, dans ce domaine. En effet, pendant la même période, le nombre total d'arrestations pour abus sexuels commis contre des mineurs diminuait de 10%.
  • Les arrestations de prédateurs sexuels en ligne représentent seulement 1% de l'ensemble des arrestations pour abus sexuels de mineurs, et la majorité des victimes d'abus sexuels ont toujours plus à craindre des membres de leur famille ou de leur entourage que d'inconnus rencontrés sur Internet.
  • Dans l'immense majorité des arrestations impliquant des victimes mineures, les victimes avaient plus de 13 ans (95%), elles étaient informées des attentes des prédateurs, et seulement 5% des rencontres impliquaient des violences imposées aux victimes (et 2% des enlèvements). Cela confirme les résultats de 2001 selon lesquels les victimes étaient en grande majorité des participantes informées prenant une part active aux abus sexuels, et que la nature de l'abus reposait majoritairement sur l'incapacité légale de fournir un consentement éclairé.
  • Contrairement à une crainte couramment répandue, les sites de réseaux sociaux ne semblent pas exposer les adolescents à du harcèlement ou des enlèvements facilités par les informations personnelles mises en ligne.
  • La plupart des prédateurs sont des hommes (99%) blancs (84%) qui n'ont jamais été arrêtés auparavant pour des crimes contre des mineurs (90% pour ceux impliquant des victimes mineures et 97% pour ceux arrêtés par des policiers prétendant être des mineurs). Il semble donc que les efforts imposés aux sites de réseaux sociaux afin d'éliminer de leurs fichiers les personnes déjà condamnées pour des abus sexuels contre des mineurs soient relativement inutiles et consistent principalement en un exercice incontournable de relations publiques.
  • Un changement notable concerne le rajeunissement des suspects, dont 40% sont âgés de 18 à 25 ans contre 23% en 2001. Cette augmentation ne correspond pas à une augmentation générale des arrestations pour abus sexuels dans cette tranche d'âge et peut s'expliquer soit par de nouvelles pratiques déviantes qui se manifestent d'abord en ligne chez cette génération, soit par l'effacement des frontières de socialisation sexuelle entre jeunes adultes âgés de 13 à 25 ans.
Outre la réussite des organisations policières dans la lutte contre les prédateurs sexuels que cette étude semble indiquer, une approche renouvelée dans la conception des programmes de prévention destinés aux adolescents paraît indispensable. Au lieu de mettre l'accent sur des risques de violence, de viol et d'enlèvement qui semblent marginaux, les campagnes de sensibilisation s'adressant aux jeunes devraient plutôt décourager ceux-ci d'échanger des propos et des images sexuellement explicites avec des inconnus, de se lancer dans des relations amoureuses et sexuelles avec des adultes, et les sensibiliser aux interdictions légales entourant de telles rencontres. 

vendredi 3 avril 2009

Le cybercrime est-il devenu plus profitable que le trafic de drogue?

C'est ce qu'a affirmé devant un comité du sénat américain Edward Amoroso, chef de la sécurité du géant des télécommunications AT&T. Dans la restranscription de son audition (qui exclut une erreur de ce dernier qui aurait pu facilement être corrigée), celui-ci déclare en effet:
L'an dernier, le FBI a annoncé que les revenus de la cybercriminalité ont
détroné pour la première fois le trafic de drogue comme activité illicite la
plus profitable au niveau mondial, en estimant que les profits annuels illicites
dans ce domaine s'élevaient à 1000 milliards de dollars (one trillion dollars) (ma traduction).

Cette information a aussitôt été reprise telle quelle dans de nombreux médias (Vnunet, Public Technology, Le Monde Numérique, ZDNet, etc...), un rapport de la société Finjan étant venu entre-temps étayer de tels chiffres. Celui-ci extrapole à partir des gains criminels d'une opération de fraude particulièrement réussie qui rapporte à ses auteurs environ 10.000 dollars par jour, et assume qu'il existe des milliers d'opérations similaires dans le monde sans aucune base factuelle (ça pourrait tout aussi bien être des dizaines ou des millions).

Le problème est qu'évidemment, quand on examine ces chiffres avec un regard un peu plus critique que celui des marchands de peur, on se rend bien compte de leur improbabilité. Car comme le fait remarquer le blogeur Richard Stennion, cela impliquerait que le cybercrime génère des profits supérieurs à ceux de l'industrie informatique ou des cinq plus grosses entreprises américaines. Cela représente aussi le double du PIB de l'Arabie Saoudite et de son océan de pétrole! Le site The Register a établi la généalogie de cette légende urbaine et l'a faite remonter à 2005, où une consultante du FBI lançait à un journaliste que le cybercrime venait de dépasser le trafic de drogue avec des revenus annuels de 105 milliards de dollars. Depuis, tel le monstre du Loch Ness, elle refait surface de temps à autres.

Mais en ces temps de récession économique mondiale et de plans de relance astronomiques, à moins de 1000 milliards, on n'arrive plus vraiment à attirer l'attention des journalistes et des politiciens! C'est regrettable car même s'il n'atteint pas (et n'atteindra certainement jamais) de telles proportions, le problème de la cybercriminalité est bien réel et crée chaque jour de nombreuses victimes individuelles et organisationnelles qui méritent un traitement moins sensationnaliste.


Photos de distributeurs de billets piégés par des fraudeurs

Le site Zataz a mis la main sur deux séries de photos très informatives (ici et ici) qui montrent les moyens techniques utilisés par des fraudeurs français pour cloner des cartes de débit ou de crédit introduites dans des distributeurs automatiques de billets. Les photos sont d'origine française, mais la technique est universelle.


On y voit qu'il est de plus en plus difficile pour l'usager lambda d'identifier la présence de tels kits sur des distributeurs où tout semble normal et "propre", ainsi que la présence de caméras qui peuvent capturer les codes secrets des clients et les transmettre par le biais de téléphones cellulaires.

mercredi 1 avril 2009

Un nouveau projet de loi sur la cybersécurité aux USA

Selon le Washington Post, plusieurs sénateurs américains influents s'apprêtent à présenter dès aujourd'hui un projet de loi qui étendrait  considérablement les pouvoirs du gouvernement fédéral en matière de sécurité de l'information. Ce projet aurait notamment pour objet de permettre au gouvernement de définir des standards de sécurité minimaux devant être mis en oeuvre aussi bien par les services gouvernementaux que par le secteur privé. Le gouvernement se verrait ainsi doté de nouveaux pouvoirs réglementaires afin de contraindre les entreprises à respecter ces nouvelles normes.

Le secteur privé a déjà fait preuve de ses réticences, en avançant l'argument du gel de l'innovation qu'une approche aussi centralisée impliquerait. Cependant, au vu des problèmes actuels, on ne peut pas dire que le laisser-faire produit des résultats très convaincants.

Si une telle loi était votée, ce qui est de toute évidence loin d'être le cas, la question de savoir quelle agence se verrait confiée la responsabilité de la faire appliquer se poserait alors. Alors que les promoteurs du projet de loi semblent pencher en faveur d'un nouveau poste de "tsar de la cybersécurité" basé à la Maison Blanche, il semble que la grande famille du renseignement place déjà ses pions, puisque le Directeur du renseignement Dennis Blair proposait la semaine dernière que la NSA supervise les efforts publics et privés en matière de cybersécurité aux États Unis. Il aura bien du mal à convaincre ses interlocuteurs du caractère désintéressé d'une telle proposition, notamment en matière de recueil de renseignements privés.  

samedi 28 mars 2009

Le pays des bases de données

À l'heure où des parents d'élèves et des enseignants français résistent contre la mise en place d'une base de données dans l'enseignement primaire censée centraliser les informations personnelles de l'ensemble des enfants en âge d'aller à l'école (voir l'article du Monde), un rapport de la Fondation Joseph Rowntree déposé ces derniers jours au Royaume Uni invite à la réflexion.

Ce document, rédigé par un groupe de chercheurs spécialisés dans la sécurité de l'information et les droits de la personne, dresse la carte détaillée des bases de données gouvernementales contenant des informations personnelles sur les citoyens britanniques et évalue leur performance. Les conclusions du rapport sont loin d'être encourageantes:

  • Des 46 principales bases de données recensées, un quart seraient illégales à l'aune des lois existantes en matière de protection des droits humains et de la confidentialité des données;
  • Plus de la moitié souffrent d'importants défauts en matière de protection de la vie privée et d'efficacité;
  • Moins de 15% des bases de données recensées semblent nécessaires, efficaces et proportionnelles aux auteurs, même si certaines d'entre elles souffrent également d'importants problèmes techniques;
  • Malgré des dépenses pharaoniques de plusieurs dizaines de milliards d'euros prévues pour les dix prochaines années dans ce domaine, seulement 30% des programmes informatiques du gouvernement peuvent être considérés comme des réussites;
  • Certains programmes spécifiques comme la base de données des traces ADN sont particulièrement épinglés: bien que le nombre de profils contenus dans cette dernière ait doublé au cours des dernières années en passant de 2 à 4 millions d'individus, le taux de solution des crimes grâce à cet outil est resté désespérément stable, ne parvenant pas à dépasser 1 pour 300. 

jeudi 26 mars 2009

Des limites de la censure comme stratégie de prévention

Le gouvernement australien a décidé d'axer sa future stratégie de lutte contre les contenus pédophiles en ligne sur la mise en place d'un système obligatoire de filtrage auquel devront se plier les fournisseurs d'accès. Ce système repose sur une liste de sites interdits distribuée aux fournisseurs d'accès et sur l'obligation pour ces derniers de bloquer la consultation de ces sites par leurs clients. Par ailleurs, les sites australiens qui choisiraient d'insérer des liens vers des sites interdits s'exposent à des amendes pouvant aller jusqu'à 11,000$ australiens par jour. 

Cela paraît simple au premier abord et d'autres pays comme le Danemark ou la Norvège ont adopté une approche similaire. Le principal problème est que les listes qui sont constituées par les autorités responsables de ce contrôle sont en général secrètes et que cette "censure" opaque ouvre la porte à des abus de toutes natures. Tout d'abord, étant donné la nature dispersée de l'offre d'accès à Internet, les chances que ces listes restent confidentielles sont minces. On retrouve d'ailleurs la plupart d'entre elles sur le site Wikileaks

Ensuite, l'examen approfondi de ces listes démontre que s'y retrouvent des sites qui n'ont aucun rapport avec la pédophilie. Ainsi, d'après le quotidien Sydney Morning Herald, on la liste australienne comprend des sites de casinos et de paris en ligne, des sites de pornographie légale et de fétichisme, des pages de l'encyclopédie en ligne Wikipedia, des sites favorables à l'euthanasie et à l'avortement (légal en Australie), des sites faisant la promotion de religions marginales comme le satanisme ou certaines églises chrétiennes, ainsi que le site d'un dentiste et d'une agence de voyages! La liste rendue publique contient un peu plus de 2000 adresses, mais le gouvernement australien prévoit d'y inclure plus de 10,000 sites à terme.

Les opposants à cette politique font à juste titre valoir le potentiel d'atteinte aux libertés individuelles que représente l'existence d'une liste secrète de sites Internet interdits, ainsi que l'absence de mécanismes indépendants de contrôle des processus d'inclusion dans cette liste et d'appel en cas d'erreur. D'autres soulignent à quel point l'existence d'une telle liste ouvre la porte à des abus de la part des dirigeants politiques qui pourront s'en servir pour supprimer l'accès à des informations gênantes. 

La mise en ligne de la liste australienne et le débat auquel elle donne lieu illustrent cependant la futilité de vouloir mettre en oeuvre des programmes de prévention dont la principale caractéristique est le secret. Cela dénote de la part des autorités régulatrices un sérieux déficit de compréhension de ce qui fait justement la force de l'Internet, à savoir sa nature distribuée et adaptative qui permet à l'information de circuler avec une fluidité inégalée.