mardi 24 novembre 2009

Projet de loi canadien sur le signalement de pornographie juvénile par les fournisseurs de services Internet

Par une incroyable coïncidence, après la publication la semaine dernière par Cyberaide.ca d'un rapport sur les images d'abus pédosexuels, le gouvernement conservateur de Stephen Harper sort ce matin de son chapeau un projet de loi faisant peser sur les fournisseurs de service Internet une obligation de signalement de la pornographie juvénile.

J'ai parlé dans mon billet d'hier du rapport de Cyberaide et je ne reviendrais donc pas dessus. Par contre, l'un des arguments entendus ce matin dans la bouche des deux ministres qui ont présenté le projet était directement tiré du rapport et mérite quelques lignes. En effet, il y était affirmé que la Canada constitue un "havre" pour les producteurs de pornographie juvénile. Un examen approfondi de la méthode de cueillette des données nous aide à comprendre comment on en arrive à une telle affirmation.

En effet, les affaires traitées par Cyberaide et inclues dans son analyse résultent de signalements de la part du public. Or depuis la fin de l'année 2006, Cyberaide et les principaux fournisseurs d'accès à Internet canadiens ont établi le projet Cleanfeed, qui consiste à bloquer une liste de sites connus pour leur association à des contenus de pornographie juvénile. La spécificité de ce projet est que les sites bloqués sont exclusivement situés à l'extérieur du Canada. Il en résulte que les usagers canadiens sont sous-exposés à des contenus problématiques provenant de l'étranger et sur-exposés à des contenus hébergés à l'intérieur du pays. Cela implique un très fort biais dans les signalements du publics, qui sont à leur tour analysés pour produire des données tendant à démontrer la place de mauvais élève occupée par le Canada. Cette initiative qui semble par ailleurs fonctionner de manière satisfaisante est paradoxalement à l'origine d'un discours tendant à renforcer la peur du public.

Quant au projet de loi, il n'est pas encore connu dans tous ses détails. Tout juste sait-on que les fournisseurs de services Internet au public seront tenus de signaler des contenus de pornographie juvénile, et que ceux qui ne se conformeront pas à cette obligation s'exposeront à des amendes progressives de 1,000$, 5,000$ et 10,000$, ainsi que peines d'emprisonnement de 6 mois.

Mais cette approche répond-elle vraiment à un besoin des forces de l'ordre? Pas forcément de l'avis de l'Ombudsman fédéral des victimes d'actes criminels qui affirmait dans un rapport datant de l'été 2009:
Le signalement obligatoire comme tel n’aura probablement pas beaucoup d’incidence sur la lutte contre l’exploitation sexuelle d’enfants en ligne. Les organismes d’application de la loi indiquent qu’ils ont déjà de la difficulté à traiter le nombre de cas qui sont portés à leur attention. Le problème le plus grave n’est donc pas le manque de signalements. (p. 12)
Il s'agit d'une admission d'une rare candeur dans un rapport qui préconise par ailleurs la mise en place d'un arsenal législatif augmentant considérablement les pouvoirs d'enquête des services de police.

D'autre part, il ne semble pas que la loi spécifie les moyens qui devront être employés ou comprenne des mécanismes afin de s'assurer que les fournisseurs signaleront de manière optimale les contenus en question. En effet, l'expérience dans le secteur bancaire démontre qu'une loi ou une réglementation mal pensées aboutissent en général à des effets pervers comme des niveaux de sous-déclarations (conformité symbolique) ou de sur-déclarations (conformité défensive) de la part des organismes visés. Dans le cas de sur-déclaration, cela aurait par exemple pour effet de submerger les rares ressources policières disponibles, et de nuire indirectement aux enquêtes en cours.

Si l'implication du secteur privé dans les efforts de lutte contre la pornographie juvénile est incontournable, l'utilité d'une loi aussi coercitive et peu flexible risque de montrer bien vite ses limites, à moins que des ressources importantes soient dégagées pour veiller à son application et qu'une politique plus inclusive à l'égard des divers partenaires l'accompagne.

Les canadiens, les cartes de crédit et les sites de pornographie infantile

Le paisible Canada serait-il comme l'affirme La Presse et La Presse Canadienne un "havre" pour les sites de pornographie infantile? C'est en tout cas l'interprétation que font ces médias du dernier rapport de Cyberaide.ca, qui procède à des analyses statistiques descriptives des rapports d'incidents recueillis par ses analystes au cours des sept dernières années.

On y apprend en effet que sur les 800 sites pédophiles commerciaux analysés, 8,7% (soit 70) étaient hébergés au Canada, qui vient effectivement en deuxième place, le premier pays étant les États Unis avec 65,6%. Cependant, quelques précautions doivent être prises avec ces chiffres, comme le reconnait d'ailleurs Cyberaide, qui n'insiste pas particulièrement sur cette deuxième place du Canada dans ce sordide "palmarès".

Tout d'abord, les sites et les images analysés sont principalement signalés de manière anonyme par des internautes qui sont dans leur grande majorité canadiens, et il ne semble par conséquent pas aberrant de penser que ces derniers signalent de manière disproportionnée des sites ou des images auxquels ils peuvent accéder dans leur langue maternelle. Par ailleurs, comme le concède Cyberaide, les opérateurs de ces sites transfèrent fréquent leur contenu d'un serveur à un autre afin de minimiser les risques de détection de la part des forces de l'ordre. L'un des sites signalés à Cyberaide utilisa ainsi 212 adresses IP différentes dans 16 pays pendant une période d'observation de 48 heures, afin de brouiller les pistes. Dans ce contexte, il devient difficile d'appliquer des notions d'espace géographique à des pratiques qui se déploient dans des espaces numériques où la notion de frontière est quelque peu obsolète.

Par contre, il me semble que les journalistes sont passés à côté d'une information beaucoup plus intéressante. En effet, la moitié des 800 sites commerciaux de pornographie enfantine analysés acceptaient des moyens de paiement traditionnels tels que les cartes de crédit Visa et Mastercard.

J'aurais donc plutôt suggéré aux journalistes qui ont rapporté la nouvelle le gros titre suivant:

"Les grandes institutions financières faciliteraient le fonctionnement des sites commerciaux de pornographie infantile"

Mais cela aurait certainement été beaucoup moins vendeur...

samedi 21 novembre 2009

Des pirates s'immiscent dans le débat sur le réchauffement climatique

Des pirates informatiques se sont infiltrés cette semaine dans les serveurs d'une université anglaise, et ont obtenu copie de milliers de courriers électroniques et de documents reliés aux travaux de chercheurs influents sur les changements climatiques.

Ils ont ensuite mis ces fichiers d'environ 61 MB à la disposition de tous les internautes par le biais d'un serveur situé en Russie. L'objectif implicite des pirates est d'exposer les manipulations statistiques auxquelles se seraient livrés les scientifiques afin d'exagérer la gravité de la situation actuelle.

Certains bloggeurs commencent déjà à utiliser des citations tirées de ces documents pour remettre en question les conclusions de ces chercheurs et la réalité du problème des changements climatiques, malgré la difficulté d'évaluer le contexte (ou même la véracité) des segments de phrase présentés comme révélateurs de cette malhonnêteté intellectuelle.

jeudi 19 novembre 2009

Google et les botnets

Un article du Register fait état du recours par des pirates informatiques contrôlant un réseau d'ordinateurs compromis (un botnet) à un service Google (App Engine) pour relayer leurs instructions à ces ordinateurs.

Les avantages selon des consultants en sécurité cités par le journaliste? Les prix sont bas, la disponibilité du service est inégalée, et les mécanismes de sécurité mis en place sont rétroactifs, ce qui signifie que les mesures de contrôle sont prises suite à une dénonciation plutôt qu'appliquées systématiquement à toutes les applications utilisant le service. Par ailleurs, Google est réputée pour protéger jalousement les données de ses clients, ce qui est une forme de prime de sécurité accordée aux utilisateurs malveillants. D'ailleurs, il est significatif que la détection de ce problème ait été faite par une entreprise spécialisée dans la protection des réseaux informatiques plutôt que par Google elle-même.

dimanche 15 novembre 2009

Le logiciel d'analyse forensique de Microsoft disponible en téléchargement

Afin d'aider les policiers à analyser le contenu des ordinateurs des délinquants sur lesquels ils enquêtent, Microsoft met depuis environ un an une suite de 150 applications informatiques à la disposition des forces de l'ordre de divers pays et d'Interpol. Cet outil, désigné par l'acronyme COFEE (Computer Online Forensic Evidence Extractor) facilite le recueil de la preuve et possède l'avantage de pouvoir être utilisé par des non-experts, ainsi que de pouvoir fonctionner sur des machines "actives", c'est à dire sous tension (le fait de les éteindre avant de les saisir pouvant faire disparaître certains éléments de preuve).

La semaine dernière, cet outil qui était exclusivement distribué aux organisations policières de manière assez restrictive a été rendu public par un utilisateur anonyme sur le site privé What.cd. Même si le site l'a depuis retiré, la distribution continue de se faire de manière virale sur d'autres sites d'échange de fichiers.

À n'en pas douter, de nombreux délinquants informatiques seront intéressés par ces application, qu'il s'agisse de les utiliser dans le cadre de leurs propres activités, de développer des mécanismes de contre-mesure, ou bien encore d'y intégrer des virus afin d'infecter les machines d'individus intéressés par ce type de logiciels.

Microsoft minimise la portée de cet événement en affirmant que les applications contenues dans COFEE étaient déjà bien connues et disponibles en dehors de la sphère policière, et que le principal intérêt de cet outil réside dans son intégration et sa facilité d'usage.

jeudi 12 novembre 2009

Campagne de sensibilisation contre le vol d'identité au Québec

Cette semaine, l'Institut de Sécurité de l'Information du Québec (ISIQ) lance sa troisième campagne de sensibilisation sur la protection de l'identité sur Internet. Celle-ci comprend un certain nombres d'activités et de contenus afin d'aider les Québécois à réduire les risques de vol d'identité auxquels ils sont exposés. C'est très bien fait, et on a même trouvé un porte parole de renom pour aider à faire passer le message.

Cependant, après trois ans, une question légitime serait celle de l'efficacité d'une telle campagne. On ne peut pas forcément s'attendre à des effets directs comme la baisse de la victimisation, mais peut-on au moins mesurer des changements dans les comportements des internautes qui permettraient d'affirmer que ces campagnes atteignent leurs objectifs? Un article publié sur le site Canoë soulignait la paradoxe apparent entre une campagne récurrente et des chiffres de la criminalité présentés comme étant en augmentation.

À vrai dire, on ne sait pas réellement si les chiffres du vol d'identité augmentent, stagnent ou diminuent, car les statistiques présentés par l'ISIQ sont tirés d'un sondage mené par le Ministère de la Sécurité Publique du Québec en 2007 qui lui n'a pas été reconduit. Ce qui fait que le point de mesure unique ne permet de dégager aucune tendance.

Il est certain par contre qu'une campagne de sensibilisation au vol d'identité ne devrait pas nécessairement se focaliser sur les seules transactions en ligne. En effet, dans une étude menée plus tôt cette année, nous avons montré que les voleurs d'identité n'utilisent Internet pour acquérir l'identité de leur victime que dans un peu moins de 20% des cas.

Comme on le voit, bien des mesures de prévention sont encore conçues et mises en oeuvre sans que l'on sache vraiment si elles correspondent au phénomène auquel elles prétendent s'attaquer, ni si elles produisent des effets tangibles.