Cybercriminalité et vol d'identité

Nouvelle adresse pour le blog

2010-01-21T19:17:00.000-08:00

Le blog est dorénavant intégré au site de la Chaire de recherche à l'adresse suivante:
www.benoitdupont.net

Y a-t-il un policier dans votre réseau d'amis Facebook?

2009-12-05T05:52:00.000-08:00

C'est en tout cas ce qu'aimerait savoir l'Electronic Frontier Foundation, qui vient d'intenter des poursuites contre une demi-douzaine d'agences américaines d'application de la loi et de renseignement, dont la CIA, le ministère de la défense, de la sécurité intérieure (homeland security) ou encore les services fiscaux.

Cette démarche répond au refus de ces agences de rendre publiques leurs politiques et leurs pratiques de surveillance des réseaux sociaux dans le cadre d'enquêtes criminelles ou reliées à la sécurité nationale. Le Register a d'ailleurs identifié quelques affaires dans lesquelles des usagers recherchés par les forces de l'ordre ont été localisés et appréhendés grâce aux informations qu'ils avaient imprudemment partagé avec leurs amis sur Facebook.

Si l'on sait depuis environ trois ans que les services de renseignement développent en collaboration avec l'industrie de la surveillance des technologies spécifiquement adaptées au Web 2.0 et aux sites de réseaux sociaux (voir par exemple cet article de Wired sur les investissements de la CIA dans ce domaine ou encore cet article du Scientific American sur les efforts du Pentagone), les résultats de ces poursuites devraient lever le voile sur l'ampleur du recours à ces informations personnelles.

La prévention des comportements à risque chez les jeunes: c'est la barbe!

2009-12-03T18:43:00.000-08:00

Le célèbre intervieweur de l'émission Inside the Actor's Studio, James Lipton, a prêté sa barbe à une campagne de prévention destinée aux jeunes afin de les sensibiliser aux périls de comportements impulsifs en matière d'utilisation des fonctions enrichies de leur téléphone portable comme la photo, les messages textes ou encore les sites de réseaux sociaux.

Le message insiste sur les conséquences indésirables de comportements tels que le fait de répandre des rumeurs sur des amis ou connaissances, ou de faire circuler des images compromettantes de soi qui pourraient échapper au contrôle de la personne représentée. Mais ce qui me semble le plus intéressant, c'est qu'il n'est ni condescendant ni alarmant. Il utilise plutôt le ressort de l'humour pour essayer d'attirer l'attention des adolescents sur ces pratiques qu'ils considèrent bien souvent comme normales, alors qu'elles sont susceptibles de créer des torts psychologiques importants à ceux qui en sont les victimes.

L'un des quatre films disponibles ici:

Projet de loi canadien sur le signalement de pornographie juvénile par les fournisseurs de services Internet

2009-11-24T16:33:00.000-08:00

Par une incroyable coïncidence, après la publication la semaine dernière par Cyberaide.ca d'un rapport sur les images d'abus pédosexuels, le gouvernement conservateur de Stephen Harper sort ce matin de son chapeau un projet de loi faisant peser sur les fournisseurs de service Internet une obligation de signalement de la pornographie juvénile.

J'ai parlé dans mon billet d'hier du rapport de Cyberaide et je ne reviendrais donc pas dessus. Par contre, l'un des arguments entendus ce matin dans la bouche des deux ministres qui ont présenté le projet était directement tiré du rapport et mérite quelques lignes. En effet, il y était affirmé que la Canada constitue un "havre" pour les producteurs de pornographie juvénile. Un examen approfondi de la méthode de cueillette des données nous aide à comprendre comment on en arrive à une telle affirmation.

En effet, les affaires traitées par Cyberaide et inclues dans son analyse résultent de signalements de la part du public. Or depuis la fin de l'année 2006, Cyberaide et les principaux fournisseurs d'accès à Internet canadiens ont établi le projet Cleanfeed, qui consiste à bloquer une liste de sites connus pour leur association à des contenus de pornographie juvénile. La spécificité de ce projet est que les sites bloqués sont exclusivement situés à l'extérieur du Canada. Il en résulte que les usagers canadiens sont sous-exposés à des contenus problématiques provenant de l'étranger et sur-exposés à des contenus hébergés à l'intérieur du pays. Cela implique un très fort biais dans les signalements du publics, qui sont à leur tour analysés pour produire des données tendant à démontrer la place de mauvais élève occupée par le Canada. Cette initiative qui semble par ailleurs fonctionner de manière satisfaisante est paradoxalement à l'origine d'un discours tendant à renforcer la peur du public.

Quant au projet de loi, il n'est pas encore connu dans tous ses détails. Tout juste sait-on que les fournisseurs de services Internet au public seront tenus de signaler des contenus de pornographie juvénile, et que ceux qui ne se conformeront pas à cette obligation s'exposeront à des amendes progressives de 1,000$, 5,000$ et 10,000$, ainsi que peines d'emprisonnement de 6 mois.

Mais cette approche répond-elle vraiment à un besoin des forces de l'ordre? Pas forcément de l'avis de l'Ombudsman fédéral des victimes d'actes criminels qui affirmait dans un rapport datant de l'été 2009:

Le signalement obligatoire comme tel n’aura probablement pas beaucoup d’incidence sur la lutte contre l’exploitation sexuelle d’enfants en ligne. Les organismes d’application de la loi indiquent qu’ils ont déjà de la difficulté à traiter le nombre de cas qui sont portés à leur attention. Le problème le plus grave n’est donc pas le manque de signalements. (p. 12)

Il s'agit d'une admission d'une rare candeur dans un rapport qui préconise par ailleurs la mise en place d'un arsenal législatif augmentant considérablement les pouvoirs d'enquête des services de police.

D'autre part, il ne semble pas que la loi spécifie les moyens qui devront être employés ou comprenne des mécanismes afin de s'assurer que les fournisseurs signaleront de manière optimale les contenus en question. En effet, l'expérience dans le secteur bancaire démontre qu'une loi ou une réglementation mal pensées aboutissent en général à des effets pervers comme des niveaux de sous-déclarations (conformité symbolique) ou de sur-déclarations (conformité défensive) de la part des organismes visés. Dans le cas de sur-déclaration, cela aurait par exemple pour effet de submerger les rares ressources policières disponibles, et de nuire indirectement aux enquêtes en cours.

Si l'implication du secteur privé dans les efforts de lutte contre la pornographie juvénile est incontournable, l'utilité d'une loi aussi coercitive et peu flexible risque de montrer bien vite ses limites, à moins que des ressources importantes soient dégagées pour veiller à son application et qu'une politique plus inclusive à l'égard des divers partenaires l'accompagne.

Les canadiens, les cartes de crédit et les sites de pornographie infantile

2009-11-24T05:56:00.000-08:00

Le paisible Canada serait-il comme l'affirme La Presse et La Presse Canadienne un "havre" pour les sites de pornographie infantile? C'est en tout cas l'interprétation que font ces médias du dernier rapport de Cyberaide.ca, qui procède à des analyses statistiques descriptives des rapports d'incidents recueillis par ses analystes au cours des sept dernières années.

On y apprend en effet que sur les 800 sites pédophiles commerciaux analysés, 8,7% (soit 70) étaient hébergés au Canada, qui vient effectivement en deuxième place, le premier pays étant les États Unis avec 65,6%. Cependant, quelques précautions doivent être prises avec ces chiffres, comme le reconnait d'ailleurs Cyberaide, qui n'insiste pas particulièrement sur cette deuxième place du Canada dans ce sordide "palmarès".

Tout d'abord, les sites et les images analysés sont principalement signalés de manière anonyme par des internautes qui sont dans leur grande majorité canadiens, et il ne semble par conséquent pas aberrant de penser que ces derniers signalent de manière disproportionnée des sites ou des images auxquels ils peuvent accéder dans leur langue maternelle. Par ailleurs, comme le concède Cyberaide, les opérateurs de ces sites transfèrent fréquent leur contenu d'un serveur à un autre afin de minimiser les risques de détection de la part des forces de l'ordre. L'un des sites signalés à Cyberaide utilisa ainsi 212 adresses IP différentes dans 16 pays pendant une période d'observation de 48 heures, afin de brouiller les pistes. Dans ce contexte, il devient difficile d'appliquer des notions d'espace géographique à des pratiques qui se déploient dans des espaces numériques où la notion de frontière est quelque peu obsolète.

Par contre, il me semble que les journalistes sont passés à côté d'une information beaucoup plus intéressante. En effet, la moitié des 800 sites commerciaux de pornographie enfantine analysés acceptaient des moyens de paiement traditionnels tels que les cartes de crédit Visa et Mastercard.

J'aurais donc plutôt suggéré aux journalistes qui ont rapporté la nouvelle le gros titre suivant:

"Les grandes institutions financières faciliteraient le fonctionnement des sites commerciaux de pornographie infantile"

Mais cela aurait certainement été beaucoup moins vendeur...

Des pirates s'immiscent dans le débat sur le réchauffement climatique

2009-11-21T09:57:00.000-08:00

Des pirates informatiques se sont infiltrés cette semaine dans les serveurs d'une université anglaise, et ont obtenu copie de milliers de courriers électroniques et de documents reliés aux travaux de chercheurs influents sur les changements climatiques.

Ils ont ensuite mis ces fichiers d'environ 61 MB à la disposition de tous les internautes par le biais d'un serveur situé en Russie. L'objectif implicite des pirates est d'exposer les manipulations statistiques auxquelles se seraient livrés les scientifiques afin d'exagérer la gravité de la situation actuelle.

Certains bloggeurs commencent déjà à utiliser des citations tirées de ces documents pour remettre en question les conclusions de ces chercheurs et la réalité du problème des changements climatiques, malgré la difficulté d'évaluer le contexte (ou même la véracité) des segments de phrase présentés comme révélateurs de cette malhonnêteté intellectuelle.

Google et les botnets

2009-11-19T19:45:00.000-08:00

Un article du Register fait état du recours par des pirates informatiques contrôlant un réseau d'ordinateurs compromis (un botnet) à un service Google (App Engine) pour relayer leurs instructions à ces ordinateurs.

Les avantages selon des consultants en sécurité cités par le journaliste? Les prix sont bas, la disponibilité du service est inégalée, et les mécanismes de sécurité mis en place sont rétroactifs, ce qui signifie que les mesures de contrôle sont prises suite à une dénonciation plutôt qu'appliquées systématiquement à toutes les applications utilisant le service. Par ailleurs, Google est réputée pour protéger jalousement les données de ses clients, ce qui est une forme de prime de sécurité accordée aux utilisateurs malveillants. D'ailleurs, il est significatif que la détection de ce problème ait été faite par une entreprise spécialisée dans la protection des réseaux informatiques plutôt que par Google elle-même.

Le logiciel d'analyse forensique de Microsoft disponible en téléchargement

2009-11-15T13:22:00.000-08:00

Afin d'aider les policiers à analyser le contenu des ordinateurs des délinquants sur lesquels ils enquêtent, Microsoft met depuis environ un an une suite de 150 applications informatiques à la disposition des forces de l'ordre de divers pays et d'Interpol. Cet outil, désigné par l'acronyme COFEE (Computer Online Forensic Evidence Extractor) facilite le recueil de la preuve et possède l'avantage de pouvoir être utilisé par des non-experts, ainsi que de pouvoir fonctionner sur des machines "actives", c'est à dire sous tension (le fait de les éteindre avant de les saisir pouvant faire disparaître certains éléments de preuve).

La semaine dernière, cet outil qui était exclusivement distribué aux organisations policières de manière assez restrictive a été rendu public par un utilisateur anonyme sur le site privé What.cd. Même si le site l'a depuis retiré, la distribution continue de se faire de manière virale sur d'autres sites d'échange de fichiers.

À n'en pas douter, de nombreux délinquants informatiques seront intéressés par ces application, qu'il s'agisse de les utiliser dans le cadre de leurs propres activités, de développer des mécanismes de contre-mesure, ou bien encore d'y intégrer des virus afin d'infecter les machines d'individus intéressés par ce type de logiciels.

Microsoft minimise la portée de cet événement en affirmant que les applications contenues dans COFEE étaient déjà bien connues et disponibles en dehors de la sphère policière, et que le principal intérêt de cet outil réside dans son intégration et sa facilité d'usage.

Campagne de sensibilisation contre le vol d'identité au Québec

2009-11-12T19:01:00.000-08:00

Cette semaine, l'Institut de Sécurité de l'Information du Québec (ISIQ) lance sa troisième campagne de sensibilisation sur la protection de l'identité sur Internet. Celle-ci comprend un certain nombres d'activités et de contenus afin d'aider les Québécois à réduire les risques de vol d'identité auxquels ils sont exposés. C'est très bien fait, et on a même trouvé un porte parole de renom pour aider à faire passer le message.

Cependant, après trois ans, une question légitime serait celle de l'efficacité d'une telle campagne. On ne peut pas forcément s'attendre à des effets directs comme la baisse de la victimisation, mais peut-on au moins mesurer des changements dans les comportements des internautes qui permettraient d'affirmer que ces campagnes atteignent leurs objectifs? Un article publié sur le site Canoë soulignait la paradoxe apparent entre une campagne récurrente et des chiffres de la criminalité présentés comme étant en augmentation.

À vrai dire, on ne sait pas réellement si les chiffres du vol d'identité augmentent, stagnent ou diminuent, car les statistiques présentés par l'ISIQ sont tirés d'un sondage mené par le Ministère de la Sécurité Publique du Québec en 2007 qui lui n'a pas été reconduit. Ce qui fait que le point de mesure unique ne permet de dégager aucune tendance.

Il est certain par contre qu'une campagne de sensibilisation au vol d'identité ne devrait pas nécessairement se focaliser sur les seules transactions en ligne. En effet, dans une étude menée plus tôt cette année, nous avons montré que les voleurs d'identité n'utilisent Internet pour acquérir l'identité de leur victime que dans un peu moins de 20% des cas.

Comme on le voit, bien des mesures de prévention sont encore conçues et mises en oeuvre sans que l'on sache vraiment si elles correspondent au phénomène auquel elles prétendent s'attaquer, ni si elles produisent des effets tangibles.

Activité parlementaire canadienne

2009-10-31T14:36:00.000-07:00

Le 22 octobre, le projet de loi S-4 criminalisant le vol d'identité (et plus précisément le fait de posséder de façon non autorisée les données personnelles d'autrui) recevait la sanction royale.
Le texte de la loi est accessible sur le site du parlement.

En parallèle, les deux projets de loi C-46 et C-47 qui visent la modernisation des techniques d'enquête (notamment en matière d'interception des communications électroniques) de la police font l'objet de débats à la Chambre des communes. Le sommaire législatif du projet de loi C-47, qui en explique l'origine et en détaille les objectifs peut être consulté ici.

Les pirates s'en prendront-ils bientôt à votre robot?

2009-10-13T07:56:00.000-07:00

Une équipe de chercheurs de l'Université de Washington vient de publier un article qui est repris par de nombreux médias, et qui alerte les usagers sur la facilité déconcertante avec laquelle il serait possible pour des pirates de prendre à distance le contrôle de robots "domestiques". Notamment, les défauts dans les protocoles de sécurité permettraient aux pirates de menacer la vie privée des usagers de ces machines.

Une lecture plus approfondie de cet article laisse quand même perplexe. Tout d'abord, deux des trois machines étudiées sont des robots pour enfant dont le côté ludique a certainement primé sur l'aspect sécurité lors de la conception. Je ne pense pas qu'une étude sur les robots militaires qui sont de plus en plus nombreux sur le champ de bataille ait donné les mêmes résultats (mais les budgets de recherche étant ce qu'ils sont, c'est certainement moins cher de se procurer un robot à quelques dizaines ou centaines de dollars). Un chercheur en sécurité informatique penserait-il sérieusement publier une mise en garde contre les brèches de sécurité qui frappent les ordinateurs pour enfant conçus afin de faciliter l'apprentissage de la lecture et du calcul?

Par ailleurs, au delà des vagues menaces à la vie privée, je ne résiste pas à la traduction de quelques passages plus spécifiques sur les risques que les pirates pourraient faire peser sur les usagers de ces robots:

"Vandalisme robotique: Un attaquant peut exploiter les vulnérabilités du Rovio et du Spykee pour endommager les objets fragiles dans leur environnement immédiat... Bien que ces robots n'aient pas encore suffisamment de puissance pour faire tomber des objets des tables, des robots similaires dans le futur pourraient avoir de telles capacités, ce qui pourrait potentiellement générer des risques pour la sécurité. Par exemple, si un robot fait tomber un bol de grains de raisins posé sur une table basse, cela pourrait représenter un risque d'étouffement pour un enfant en bas âge."

"Attaques psychologiques: En nous projetant un peu plus dans l'avenir, nous estimons que des attaques psychologiques pourraient potentiellement se servir de robots compromis... Un attaquant, peut-être un enfant malveillant du quartier, pourrait exploiter le lien privilégié [entre un enfant autiste] et son robot pour causer un préjudice psychologique à l'enfant. D'autres formes d'attaques psychologiques sont aussi possibles, comme d'utiliser un robot pour arranger des objets sur le sol afin de former un symbole menaçant ou insultant ou pour systématiquement harceler le chien de la famille pendant que les occupant du domiciles sont à l'extérieur." (p. 6)

Comme on le voit, il y a vraiment là de quoi inspirer les prochains scénaristes de Terminator 5.

Le directeur du FBI interdit de transactions bancaires en ligne (par sa femme)

2009-10-10T14:37:00.000-07:00

De son propre aveu, le Directeur du FBI aurait failli communiquer ses coordonnées bancaires à un site d'hameçonnage, avant de se rendre compte que cela n'était peut-être pas une si bonne idée. En faisant part à son épouse, celle-ci lui aurait dorénavant formellement interdit toute opération en ligne.

via The Register

Le premier sondage français sur l'usurpation d'identité

2009-10-07T15:57:00.001-07:00

À ma connaissance, le sondage réalisé par le CREDOC pour Fellowes est le premier instrument de mesure de l'ampleur de l'usurpation d'identité en France.

D'après les résultats de ce sondage, 4,2% de la population française âgée de 15 ans et plus aurait été victime au cours des 10 dernières années, ce qui est considérablement moins que ce que l'on observe en Amérique du Nord, où les chiffres oscillent autour de 5% de la population adulte victime chaque année.

La difficulté dans ce type de sondage réside dans la méconnaissance qu'ont les répondants de ce que recouvre le terme "usurpation d'identité", particulièrement lorsque celui-ci vient de faire son apparition dans la terminologie des menaces criminelles. Ainsi, dans le cadre d'un sondage mené au Québec sur le même sujet pour le Ministère de la Sécurité Publique, nous avons pu démontrer que les répondants tendent à considérablement sous-évaluer leur taux de victimisation, n'associant pas le crime dont ils ont été victime au terme générique utilisé par l'institut de sondage.

Comme dans bien des pays, il est également frappant de noter que ce sondage est financé par des intérêts privés, même s'il met en lumière un problème indéniable de sécurité publique.

Le vol d'identité inspire des humoristes

2009-09-29T11:11:00.000-07:00

Cette parodie d'une rencontre entre un banquier et une victime de "vol d'identité" (hélas en anglais) illustre à merveille les enjeux reliés à la responsabilité des institutions financières que reflète la terminologie dominante. Alors, vol d'identité ou vol de banque?

Combien y-a-t-il de sites pédo-pornographiques sur Internet?

2009-09-16T19:00:00.000-07:00

Une experte des Nations Unies, Madame Najat M'jid Maalla, a déclaré aujourd'hui devant le Conseil des droits de l'homme à Genève qu'il y aurait 4 millions de sites contenant des images de pornographie pédophile sur Internet, et que ce chiffre serait en croissance constante.

Ces statistiques sidérantes (on estime le nombre total de sites légaux de pornographie à 4,5 millions) ont été reprises par deux journalistes-blogueuses de La Presse, qui ne cachent pas leur désarroi de mères de famille devant l'ampleur du phénomène.

Or, la situation n'est pas aussi catastrophique qu'on nous le donne à penser, puisque l'organisme Internet Watch Foundation que cite Madame Maalla (dans la retranscription disponible sur le site des Nations Unies, sa source serait plutôt l'UNICEF) ne recense en fait dans son rapport annuel 2008 "que" 1.536 sites à contenu pédo-pornographiques (ce qui reste bien entendu beaucoup trop), en diminution de 9% par rapport à 2007. On se demande alors par quelle mystérieuse arithmétique ces 1.536 sites se sont transformés en 4 millions...

Ces statistiques beaucoup plus crédibles sont librement accessibles sur Internet, mais il est surprenant de noter que les journalistes n'ont pas pris la peine de mener la moindre vérification et se sont inclinés devant la parole de l'experte, préférant rapporter des chiffres effrayants pour toute personne normalement constituée.

Le site du New York Times manipulé par des fraudeurs

2009-09-14T17:32:00.000-07:00

Le site du New York Times, qui est l'une des sources d'information les plus fréquentées du Web, a été la victime ce week-end de fraudeurs qui s'en sont servis pour infecter les ordinateurs de milliers de visiteurs d'un logiciel malveillant. Les fraudeurs se sont fait passer pour des publicitaires auprès de la régie du site, qui autorise ses clients à héberger leurs annonces sur leurs propres serveurs (ce qui accroît la flexibilité du processus mais limite les possibilités de contrôle). Cela leur a permis de servir aux lecteurs du NYT des fenêtres imitant l'interface d'un antivirus, leur laissant penser que leur machine était infectée et que le téléchargement d'un logiciel était requis pour la nettoyer. Bien entendu, ce logiciel miracle est lui-même un logiciel malveillant qui une fois installé prétendra avoir identifié de faux virus et proposera de les supprimer (à de multiples reprises) en échange du numéro de carte de crédit de la victime (qui sera ensuite utilisé de manière abusive).

Dans un contexte où la presse écrite est désespérément à la recherche de nouvelles sources de revenus, le NYT ne sera certainement pas la dernière victime de ce genre de pratiques. Il est également frappant de noter la nonchalance du site, qui après avoir informé ses lecteurs du problème et de son origine, leur indique simplement quelques sites où ils pourront trouver des logiciels de détection et d'éradication des logiciels malveillants. Dans un pays aussi procédurier que les États Unis, il ne serait pas surprenant que des victimes et leurs avocats décident d'actionner la responsabilité de l'entreprise pour cette brèche de sécurité assez élémentaire.

Vol d'identité génétique

2009-08-20T16:14:00.000-07:00

Le Monde se fait l'écho d'un article publié par des scientifiques israéliens qui semblerait démontrer qu'il est relativement facile de synthétiser l'ADN d'un individu et de l'appliquer ensuite sur une scène de crime afin de faire croire à son implication. Les procédures actuelles d'analyse mises en oeuvre par les laboratoires de police scientifique seraient incapables de déceler la différence, mais heureusement, les auteurs ont aussi conçu un test qui est capable de faire la distinction entre des échantillons naturels et artificiels.

Comment voler 130 millions de numéros de cartes de crédit

2009-08-18T07:51:00.000-07:00

C'est l'exploit dont est accusé Alex Gonzalez, qui est déjà mis en cause par la justice américaine pour d'autres affaires impliquant 94 millions de numéros de cartes de crédit dérobés à l'entreprise TJX (présente aux USA mais aussi au Canada et en Angleterre) et des piratages de moins grande ampleur contre diverses chaînes de restauration rapide.

Pour ceux qui ont soif de détails, l'acte d'accusation déposé par les procureurs américains est disponible dans son intégralité ici (en anglais), via Wired.com.

Parmi les informations intéressantes de ce document, le fait que les pirates avaient testé leur logiciel malfaisant contre une vingtaine d'anti-virus connus, afin de valider sa furtivité, et qu'ils avaient également doté celui-ci de capacités d'effacer les traces de sa présence sur les réseaux ciblés afin de retarder la détection de ses activités et de déjouer d'éventuelles enquêtes forensiques ultérieures. L'un des programmeurs complices de Gonzalez travaillait la journée chez Morgan Stanley, la grande banque d'affaires, et ne manquait donc pas de compétences informatiques et de talent.

Ceci dit, on dispose encore de très peu d'informations concernant les profits criminels qui ont pu être tirés de cet océan d'informations personnelles.

Les rois de l'ingénierie sociale habitent-ils tous chez leur maman?

2009-08-09T12:09:00.000-07:00

Le site Smoking Gun vient de consacrer un reportage très fouillé sur la salle de clavardage (chatroom) 'Pranknet', qui réunit des adeptes du canular téléphonique extrême. Ces derniers ont acquis une certaine notoriété ces derniers mois pour leur art de la manipulation qui leur a permis de convaincre les occupants de chambres d'hôtel aux quatres coins des États-Unis de vandaliser ces dernières, sous prétexte d'échapper à une fuite de gaz pouvant les intoxiquer s'ils ne brisaient pas les fenêtres de l'édifice pour créer un appel d'air. Parmi leurs autres faits d'armes, on relève aussi le fait d'avoir poussé une réceptionniste d'hôtel à boire un verre d'urine fourni par un client ou l'épisode lors duquel les employées d'un restaurant rapide KFC se sont retrouvées nues sur le stationnement, convaincues qu'elles étaient d'avoir été aspergées d'une mousse qui provoqueraient de graves brûlures à leur peau (quelques clips audio et vidéos sont disponibles ici).

Ces blagues de potaches élaborées pourraient sembler anodines si les dégâts provoqués dans certains cas n'atteignaient pas plusieurs dizaines de milliers de dollars, et si certains de leurs appels ne causaient pas chez leurs victimes une détresse bien réelle. Certains services de police ont d'ailleurs déjà initié des poursuites contre les membres de ce groupe, qui ont échappé jusqu'ici aux efforts d'identification des policiers grâce à leur utilisation de Skype pour effectuer leurs appels.

L'article du Smoking Gun permet donc de mieux comprendre la sous-culture et les motivations de ces mauvais plaisants qui utilisent les principes de l'ingénierie sociale pour réaliser des canulars "épiques", dans leurs propres termes. Derrière les pseudonymes menaçants et les talents indéniables de manipulateurs se cachent néanmoins des individus qui semblent avoir du mal à être fonctionnels dans le monde "réel". Le fondateur et principal animateur de ce réseau est basé à Windsor, au Canada, et vit chez sa mère, où il vole le signal Wifi d'un voisin pour se connecter à Internet. D'autres membres ont un passé trouble de petits trafiquants de drogue et d'agresseurs sexuels de mineurs, et tous semblent passer la majeure partie de leurs journées sur Internet, n'ayant pas d'emploi.

Le contraste est ici saisissant entre l'image de puissance et d'omnipotence que les membres de ce groupe parviennent à projeter par le biais des technologies Internet, et la nature bien plus modeste, pour ne pas dire sordide, de leur vie quotidienne.

"Cyberattaque" contre Twitter: l'emballement des médias

2009-08-07T08:24:00.000-07:00

On doit s'ennuyer ferme dans les rédactions cet été, à en juger par la couverture médiatique reçue par la banale attaque distribuée par déni de service dont a été victime Twitter hier. Les grands médias anglophones et francophones (Le Monde, La Presse, Le Nouvel Obs, et une centaine d'autres sources sur Google News) semblent s'emballer pour l'affaire, la palme revenant certainement au Figaro, qui nous propose sur son blog technotes de suivre cet événement majeur minute par minute. Les hypothèses les plus folles circulent sur les mobiles et les auteurs de l'attaque (le spectre du Kremlin n'étant jamais très loin), alors que la nature exceptionnelle d'un tel incident et sa signification géopolitique sont analysées sous toutes les coutures.

Un tel emballement masque toutefois la banalité de ce genre d'attaque, à la portée de n'importe quel propriétaire (ou locataire) de botnet (réseau de machines zombies). En effet, au moment où tous les regards étaient tournés vers Twitter (peut-être par ce que l'ennui de ses utilisateurs soudainement déconnectés ne trouvait pas de meilleure façon de s'exprimer), la société Arbor Networks, qui prétend analyser environ 70% du trafic Internet en temps réel détectait 1.084 autres attaques distribuées par déni de service sur le réseau pendant la journée de référence (les chiffres sont constamment mis à jour). Bref, "business as usual" sous le soleil du mois d'août.

Les fraudeurs ne connaissent pas la crise

2009-08-06T09:09:00.000-07:00

Au contraire, ils en profitent. On peut lire dans le New York Time d'aujourd'hui un article consacré à l'exploitation par les fraudeurs de la vulnérabilité des personnes sans emploi, qui sont plus facilement prêtes à se laisser convaincre par les combines parfois alambiquées des premiers afin de se procurer un indispensable revenu (les systèmes d'assurance chômage sont bien moins généreux aux États Unis qu'en Europe ou au Canada).

Parmi les stratagèmes les plus fréquemment employés:

Offrir une hypothétique formation (dispensée en ligne ou sur support DVD) aux subtilités de l'économie Internet permettant de tirer des revenus des systèmes de publicité de Google ou de ses compétiteurs >> Il s'agit en fait pour les fraudeurs de se procurer le numéro de carte de crédit de la victime et d'instaurer un débit mensuel (mentionné en caractères microscopiques dans le contrat de vente), les prélèvements automatiques devenant quasiment impossibles à faire annuler pour les victimes.
Se faire passer pour un recruteur légitime (avec un site Internet crédible à l'appui) afin de recueillir les données personnelles du candidat qui pourront ensuite être utilisées pour commettre des vols d'identité (et parfois ruiner le crédit d'une personne déjà en difficulté financière).
Offrir des emplois à domicile, en arrivant à convaincre les victimes d'encaisser des chèques contrefaits pour se procurer leur équipement de démarrage et de virer le solde à un bénéficiaire complice du fraudeur >> Une fois que l'escroquerie est découverte par la banque, la victime devient responsable des sommes qu'elle a participé (involontairement) à détourner et s'expose donc à des accusations de complicité.
Proposer des emplois d'agents de paiement ou d'agents logistique à des victimes qui agissent en fait comme des "mules" pour des groupes de fraudeurs organisés >> Les victimes agissent comme intermédiaires afin de brouiller les traces: elle reçoivent des virements ou des livraisons d'équipement électronique obtenus frauduleusement et les font suivre à des complices, souvent établis à l'étranger. Elles obtiennent parfois un pourcentage des montants ainsi obtenus.

Ces escroqueries ne sont pas nécessairement en expansion. C'est plutôt leur taux de réussite qui est certainement influencé par l'insécurité éprouvée par de nombreuses personnes sans emploi (et donc sans revenu) et prêtes à se laisser séduire par les propositions financières les plus improbables.

L'iPhone détecteur de délinquants sexuels

2009-07-29T08:35:00.001-07:00

Aux États Unis, une application iPhone qui permet de localiser le lieux de résidence des délinquants sexuels vient d'être mise sur le marché (voir l'article dans Technaute, et celui un peu plus détaillé du Telegraph) par la société Thin Air Wireless pour 0,99$.

L'argument de vente alimente la peur des utilisateurs en leur faisant miroiter la sécurité accrue qu'un tel outil procurera à leur famille, sans parler d'une curiosité assez morbide de la part de ceux qui désirent connaître la "densité" des agresseurs sexuels dans leur quartier ou celui de leurs amis et connaissances.

Mais outre le fait que les bases de données officielles sur lesquelles s'appuie cette application restent criblées d'erreurs et mises à jour de manière assez hétérogène, celle-ci perpétue l'image de l'agresseur sexuel comme un prédateur inconnu et menaçant. La triste réalité criminologique est plutôt que la majorité des victimes sont agressées par des personnes de leur entourage immédiat, qu'il s'agisse de membres de la famille, d'amis de la famille ou de membres d'une institution offrant des soins ou des services à l'individu. Seulement 14% des victimes sont agressées par un parfait inconnu.

Ce n'est donc certainement pas en consultant la distribution géographique des délinquants sexuels dans leur quartier que les utilisateurs de cette application arriveront à protéger leurs proches. C'est plutôt dans leur carnet d'adresse qu'ils auront plus de chances d'identifier des risques.

Les quatre techniques de l'ingénierie sociale

2009-07-27T17:29:00.000-07:00

Contrairement au piratage informatique, qui consiste à exploiter les failles techniques des systèmes d'information, l'ingénierie sociale s'appuie plutôt sur la manipulation des individus qui gèrent ces systèmes, notamment à travers quelques tactiques psychologiques présentées dans cet article de CSO.com.

L'auteur répertorie quatre approches complémentaires mises en oeuvre par les as de l'ingénierie sociale (qui d'ailleurs opéraient bien avant le développement de l'informatique et de l'internet):

La capacité de projeter une image de confiance en soi et de garder le contrôle de la conversation;
L'application du principe de réciprocité, qui veut qu'une personne à qui on a consenti un don (même symbolique) soit plus encline à répondre positivement aux demandes qu'on lui fera;
Le recours à l'humour pour établir un lien émotionnel instantané avec la "victime" et détourner l'attention des demandes qui dérogent potentiellement aux protocoles de sécurité;
L'énoncé de demandes accompagnées systématiquement d'une raison crédible (et apparemment, c'est le "parce que" qui emporte la conviction de la victime, et non la qualité de la raison qui lui est offerte).

On reste bien sûr ici à un niveau de conceptualisation assez général, et ce type de compétence relève bien plus souvent de l'inné que de l'acquis, mais ce qui me frappe, c'est la difficulté qu'il peut y avoir à former les victimes potentielles à détecter et à éviter de se laisser berner par ce genre de pratiques. En effet, cela entre en complète contradiction avec les règles les plus élémentaires du "bon service à la clientèle", qui sont de s'assurer notamment de la rapidité des transactions (productivité) et de la satisfaction des consommateurs à l'issue de ces dernières (culture de la résolution des problèmes).

L'économie des botnets

2009-07-26T11:14:00.000-07:00

Kaspersky, une entreprise spécialisée dans les anti-virus et la sécurité informatique vient de publier un rapport assez exhaustif sur l'économie des botnets, ces réseaux d'ordinateurs zombis contrôlés à l'insu de leurs propriétaires légitimes par des pirates informatiques.

Le rapport donne notamment une idée assez précise des divers moyens par lesquels ils peuvent extraire des revenus de ces botnets, et des prix pratiqués à l'heure actuelle sur les marchés clandestins.

Ce document vient compléter le rapport de Cisco sur le même sujet, qui se distingue des documents assez généraux publiés habituellement sur le sujet par la reproduction d'un entretien détaillé (captures d'écran à l'appui) avec un (supposé) botmaster.

Nicolas Sarkozy victime d'un vol d'identité

2009-07-10T08:43:00.000-07:00

Le Président de la République Française a été victime il y a quelques mois d'une classique affaire de vol d'identité, mise en lumière dans un article du Nouvel Obs. Les fraudeurs ont en effet utilisé ses coordonnées bancaires pour obtenir des services de téléphonie mobile, qui ont ensuite certainement été revendus à des tiers. La fraude a été rendue possible grâce à des complicités au sein de deux entreprises.

Les informations bancaires ont été obtenues par des employés d'une entreprise sous-traitante d'un grand fournisseur de télévision payante, et elles ont été utilisées sans grande difficulté avec la bénédiction de vendeurs de boutiques de téléphonie mobile, qui fermaient les yeux sur l'ouverture multiple de lignes rattachées aux même comptes bancaires. Dans le premier cas, on peut imaginer que le salaire minimum des employés des centres d'appels peut constituer un fort incitatif à l'amélioration du quotidien par la revente d'informations privilégiées, alors que dans le cas des vendeurs d'abonnements téléphoniques, c'est la perspective de commissions importantes sur l'ouverture de nombreuses nouvelles lignes qui a permis d'obtenir leur complicité.

Dans les deux cas, il s'agit de variables contre lesquelles des solutions technologiques de prévention sont totalement impuissantes.

Une nouvelle forme de fraude bancaire par téléphone

2009-07-09T15:11:00.000-07:00

La société de conseil en sécurité Actimize, spécialisée dans le secteur bancaire et financier vient d'identifier un nouveau type de fraude bancaire dans laquelle les délinquants utilisent une stratégie assez rudimentaire sur le plan technologique afin de vider le compte en banque de leurs victimes.

Dans un premier temps, le fraudeur contacte sa victime par téléphone en se faisant passer pour son institution bancaire et l'avertit que son compte a été compromis et que des informations personnelles doivent être vérifiées afin de mettre un terme à la situation. Le fraudeur l'informe alors que l'appel va être transféré au service à la clientèle et demande à la victime de patienter. Pendant ce temps, le fraudeur appelle la banque de la victime et initie alors un appel-conférence à trois pendant lequel il reste silencieux, ce qui lui permet cependant d'écouter les réponses aux questions de sécurité posées par le représentant de la banque. Dès qu'il entre en possession de ces informations, il met fin à l'appel en prétextant que le problème est résolu. Il ne lui suffit plus qu'à rappeler le centre d'appel de la banque, en espérant ne pas tomber sur le même préposé, à répondre correctement aux questions d'authentification (qui en général ne sont pas posées de manière aléatoire), et à initier des virements bancaires vers des comptes qu'il aura lui-même créé.

La seule technologie requise dans ce type d'attaque très efficace qui aurait été observé au Royaume Uni, aux États Unis et au Canada ces dernières semaines est une ligne téléphonique capable d'initier des appels conférences à trois. Le plus difficile pour le fraudeur est alors d'apprendre de quelle banque sa victime est cliente afin de pouvoir la mettre en relation avec la bonne institution.

Sécurité, vie privée et Web 2.0

2009-07-05T14:34:00.000-07:00

Le périodique des professionnels anglophones de la sécurité informatique publie un article consacré aux 7 péchés capitaux de la sécurité sur les sites de réseautage social.

Parmi les comportements à proscrire:

Partager excessivement des informations sur les activités de son entreprise ou organisation, afin d'éviter d'alerter la compétition sur les dernières innovations en développement ou des programmes devant rester confidentiels;
Mêler des informations personnelles et professionnelles, en évitant notamment d'inviter sur Facebook à la fois des amis proches et des collègues ou des supérieurs hiérarchiques;
Se laisser aller à étaler impulsivement sa frustration ou sa colère envers collègues, clients, fournisseurs ou organisations partenaires dans ses contributions aux sites de réseau sociaux ou aux flux Twitter;
Penser que l'accumulation d'amis ou d'abonnés à son profil ou son flux Twitter est une fin en soi qui mérite tous les compromis en matière de sécurité, y compris d'accepter systématiquement les demandes de personnes que l'on ne connaît pas;
Utiliser des mots de passe semblables à ceux utilisés dans le cadre des services bancaires en ligne ou des services marchands, afin de faciliter la mémorisation des premiers;
Cliquer sur tous les liens et toutes les applications possibles, notamment sur les pages Facebook, sans songer aux répercussions négatives en cas de liens renvoyant vers des applications malicieuses;
Exposer involontairement la vie privée de tiers au regard d'autrui, en partageant notamment les dates de naissance, coordonnées ou détails personnels d'amis, de membres de la famille ou de collègues de travail.

Si ces recommandations sont frappées au coin du bon sens, on peut se demander dans quelle mesure les usagers qui adoptent ces outils sociaux peuvent concilier leur utilité et des comportements conformes à une sécurité élémentaire. En témoigne la récente affaire de la page Facebook du futur chef des services secrets britanniques, que l'épouse de ce dernier mettait à jour sans grande retenue. Il est assez cruellement paradoxal d'observer qu'un individu dont les fonctions le placent au centre du monde des secrets est ainsi exposé dans ce qu'il a de plus intime au regard de tous les internautes que ces choses intéressent, incluant ses futurs adversaires.

Qui sont les voleurs d'identité?

2009-06-29T09:43:00.000-07:00

Je viens de publier, avec Guillaume Louis, une note de recherche qui analyse à partir de données empiriques le profil des voleurs d'identité, ainsi que leurs modes opératoires.

Voici quelques faits saillants de cette note:

Le vol d’identité a frappé 1,7 millions de personnes au Canada en 2008 et a fait 340.000victimes au Québec l’année précédente. Malgré le volume significatif de cette forme émergente de criminalité, les connaissances dont nous disposons sur le sujet restent encore relativement limitées, particulièrement en ce qui concerne le profil des auteurs de ces crimes et leurs modes opératoires.
Le vol d’identité est souvent représenté dans les médias comme une forme de délinquance nécessitant des compétences techniques très développées et étroitement associée au crime organisé.
Cette recherche, qui s’appuie sur des sources secondaires provenant en grande majorité des États‐Unis, permet de mieux comprendre la dynamique du vol d’identité et de démontrer qu’il s’agit en réalité d’une forme de délinquance très diversifiée englobant des stratagèmes dont la sophistication varie grandement.
Notre base de données est constituée à partir de 574 articles de presse recueillis de janvier à juin 2008. Elle contient 195 affaires de vol d’identité impliquant 422 délinquants.
Les femmes représentent près de 40% des délinquants. Cette forte présence s’explique selon nous par l’absence de violence inhérente à ce type de crime et par la possibilité de le commettre sans le soutien de pairs délinquants.
Les auteurs de vols d’identité sont relativement plus âgés que les autres délinquants, avec une moyenne de 33 ans. Le délinquant le plus âgé figurant dans notre base de données avait 67 ans.
Les délinquants ont agi seul dans une grande majorité des cas (64,6%), ce qui semble contredire la thèse d’une forte implication du crime organisé dans ce type de crime.
Concernant les techniques d’acquisition des identités, des moyens technologiquement rudimentaires comme le vol physique de portefeuille ou de sac à main et l’escroquerie représentent plus de la moitié des cas (53,4%). Il semble donc que les délinquants habituels exploitent les opportunités qui leurs sont fournies pour s’adonner au vol d’identité.
Par ailleurs, il est intéressant de noter que le second mode d’acquisition le plus répandu concerne des professionnels qui détournent à leur profit les renseignements personnels de clients, patients ou bénéficiaires qu’ils rencontrent dans le cadre de leur emploi (28,3%).
À l’étape de la fraude, Internet devient un outil privilégié des délinquants qui souhaitent extraire un bénéfice financier des identités volées, puisque 45,3% des cas impliquent l’achat de biens ou de services en ligne, ainsi que l’obtention de lignes de crédit via Internet.
Contrairement à l’image d’un crime faisant un grand nombre de victimes lors de chaque incident, notre échantillon n’identifie qu’une seule victime par affaire dans 57% des cas. Il est possible qu’un biais de sélection soit à l’origine de ce résultat surprenant.
Le montant médian des profits réalisés par les auteurs de vol d’identité est de 26.000 dollars US, ce qui fait du vol d’identité un crime relativement profitable au vu des faibles risques encourus.
Parmi les personnes arrêtées et condamnées, les peines infligées sont relativement lourdes, avec une peine moyenne de 54 mois de prison. Cette sévérité nous semble influencée par une volonté de dissuasion à l’égard de délinquants pouvant penser qu’ils jouissent en ce domaine d’une véritable impunité. Par contre, il semble que les affaires les plus complexes se règlent plus fréquemment par une peine assortie d’un sursis, en raison du pouvoir de négociation dont disposent les criminels à qui on demande de fournir des informations sur le mode opératoire utilisé.

Un traité international pour la sécurité du cyberespace?

2009-06-28T05:16:00.000-07:00

Le New York Times, dans son édition du 27 juin, publie un article faisant état discussions qui auraient été engagées entre les États Unis et la Russie sur l'opportunité d'un traité international portant sur la sécurité du cyberespace. La Russie propose qu'un traité similaire à ceux existant dans le domaine du contrôle des armes chimiques ou nucléaires soit envisagé, alors que les États Unis privilégient plutôt le renforcement des mécanismes de coopération policière internationale.

Comme le souligne l'auteur de l'article, la difficulté du recours à un instrument traditionnel de la diplomatie internationale est que l'Internet est par définition un système technique ouvert aussi bien aux États qu'aux individus, et que la responsabilité des attaques malfaisantes qui peuvent en émaner restent très difficiles à attribuer.

Sur le plan historique, de premières discussions auraient eu lieu dès 1996, dirigées côté américain par John Arquilla, un chercheur en stratégie adepte de la théorie de la guerre en réseaux.

La Chine aurait également été approchée par la Russie afin d'appuyer le projet d'un tel traité.

Quelques outils de protection de la vie privée sur Internet

2009-06-19T05:30:00.000-07:00

Un article provenant d'un journal destiné aux professionnels de la sécurité informatique CSOonline offre quelques bonnes adresses pour les personnes qui souhaitent préserver leur vie privée lorsqu'ils naviguent sur Internet (et ils semblent nombreux ceux qui s'inquiètent depuis le dépôt hier de deux projets de lois canadiens). L'auteur de l'article ne propose pas ces outils à des fins de défense des libertés individuelles, mais plutôt dans le cadre d'enquêtes. Cependant, l'utilité reste la même:

Un faux générateur de noms (y compris francophones) vous permettra de vous inventer des identités d'usage convaincantes, comprenant date de naissance, adresse postale, nom de jeune fille de la mère, etc.: www.fakenamegenerator.com.
Un navigateur Internet qui s'appuie sur le système TOR (sans l'installation fastidieuse) et vous permet de cacher votre adresse IP, de crypter vos données de navigation et de ne conserver aucun cookie (par contre, le téléchargement de films ou de morceaux de musique risque de prendre pas mal de temps): xerobank.com/download/xb-browser/
Un site Internet qui permet de vérifier l'adresse IP qui vous est allouée, afin de vérifier que Xerobank fait bien son travail: whatismyipaddress.com/
Un site Internet qui vous permet d'expédier des courriers électroniques anonymes en imitant n'importe quelle adresse d'expédition (même si cela peut s'avérer compliqué en cas de réponse attendue): send-email.org/ [attention, dans certains pays, ce type de pratique peut être considéré comme du vol d'identité si vous utilisez l'adresse d'une personne existante]

Projets de loi C-46 et C-47

2009-06-18T16:59:00.000-07:00

Voici les liens vers les deux projets de loi (C-46 et C-47) déposés aujourd'hui par le Gouvernement conservateur du Canada afin de faciliter les enquêtes criminelles à forte composante technologique. Ces dispositions, si elles sont adoptées par le Parlement, permettront notamment au Canada de ratifier la convention du Conseil de l'Europe sur la cybercriminalité qu'il a signé en 2001 (sous un gouvernement libéral donc).

Ces deux projets de loi de près d'une centaine de page ne prévoient pas d'abaisser -- voire de supprimer -- les exigences relatives à l'obtention d'un mandat. Ils précisent par contre les conditions d'émission par les juges d'ordonnances de communication, de préservation et de non-divulgation des données de communication et de localisation des usagers suspectés de violer le Code criminel. Ils viennent aussi créer pour les opérateurs de télécommunication l'obligation de se doter d'équipements technologiques permettant de procéder aux interceptions autorisées par un juge dans les meilleurs conditions possibles. Un article plutôt anodin a cependant attiré mon attention: l'article 14 (4) du projet C-47 prévoit en effet que "le ministre peut fournir au télécommunicateur l'équipement et les autres biens qu'il estime nécessaires pour lui permettre de se conformer à l'arrêté". De quel équipement s'agit-il et quelles sont ses capacités? Est-ce une référence indirecte aux solutions de surveillance développées par le FBI aux États-Unis, dont j'avais signalé les ramifications canadiennes dans un billet de la Sécurisphère ici?

Les services de police et de renseignement pourront également obtenir sans mandat des renseignements sur les abonnés des opérateurs comme le nom, le numéro de téléphone, l'adresse IP ou encore l'adresse de courrier électronique, mais ces procédures seront encadrées par la Commissaire à la protection de la vie privée.

Le vol d'identité médical et la crise

2009-06-15T06:24:00.000-07:00

Avec l'augmentation du nombre de chômeurs qui accompagne la crise économique, de nombreux américains se retrouvent du jour au lendemain sans mutuelle de santé, et le vol d'identité médical offre à certains d'entre eux la possibilité de se faire soigner en cas de besoin en usurpant l'identité d'une personne couverte. Le New York Times nous offre une enquête intéressante sur le sujet. Le World Privacy Forum avait produit dès 2006 un rapport consacré à cette forme spécifique de vol d'identité. Le secteur de la santé est par ailleurs très vulnérable au vol ou à la perte de données personnelles, comme nous l'avions démontré il y a quelques mois dans un rapport de recherche de la Chaire sur l'insécurité de l'information dans les organisations nord-américaines.

Les cambrioleurs vous suivent-ils sur Twitter?

2009-06-09T05:34:00.000-07:00

C'est en tout cas ce que prétend cet article de l'Associated Press repris par Technology Review. La victime d'un cambriolage résidentiel est convaincue que c'est l'annonce de son départ en vacances sur Twitter, un très populaire site de microblogage, et la description fastidieuse de ses activités ("je monte dans ma voiture", "plus que 100 km avant que j'arrive", "youpi je suis arrivé", etc.) qui a permis à des cambrioleurs de savoir que son domicile serait inoccupé pendant quelques jours. Ce qui lui a mis la puce à l'oreille? Le fait que les délinquants n'ont paru intéressés que par son matériel professionnel de production vidéo, et qu'il se serve justement de Twitter comme un outil de promotion afin de communiquer avec des clients potentiels. Il diffusait à cet effet ses messages à environ 2.000 abonnés (ou 'followers') qui recevaient ses courtes mises à jour (moins de 140 caractères), y compris ceelles faisant état du déroulement de ses vacances.

Cet article, reposant sur un seul cas non probant illustre néanmoins à quel point les préoccupations légitimes concernant la sécurité sur Internet peuvent facilement sombrer dans une certaine forme de paranoïa paralysante. Les journalistes auraient certainement dû prêter une plus grande attention à l'épouse de la victime, pour qui cette affaire relève du pur hasard. Un utilisateur moins paniqué de Twitter est également cité, faisant remarquer que cela prendrait un cambrioleur anormalement motivé pour identifier des victimes particulières dans le déluge d'informations insignifiantes qui déferlent à longueur de journée de ce type de sites.

Ridicule ou affligeant?

2009-06-05T06:27:00.000-07:00

À vous de juger:

Une française est convoquée par la police pour avoir déposé un commentaire qui qualifiait une ministre (secrétaire d'état à la famille plus précisément) de "menteuse" sur un site de vidéo en ligne.

On peut imaginer que les enquêteurs ayant d'autres chats à fouetter, c'est la plainte de Madame Morano qui a mis la machine policière en branle. Pour mettre en contexte les rapports de Madame Morano à l'Internet, voici deux citations assez récentes:

«Internet peut être un outil dangereux, celui se trouve derrière l'écran peut-être un prédateur»

«Internet, c’est comme une magnifique voiture de course. Si vous n’avez pas votre permis de conduire et que vous ratez un virage, c’est la mort»

C'est vrai qu'elle semble parler d'expérience.

La stratégie de Cybersécurité du Président Obama

2009-05-31T14:26:00.000-07:00

Alors que le gouvernement français multiplie les dispositions législatives répressives reliées à l'Internet (Hadopi et Loppsi 2), l'administration Obama vient de rendre public un document directeur faisant le point sur la politique de cybersécurité qui sera mise en oeuvre au cours des prochaines années.

La conséquence la plus médiatisée de cette politique est la nomination imminente d'un "Tsar de la cybersécurité" qui sera directement rattaché à la Maison Blanche, sur le modèle du poste de "Tsar de la lutte contre la drogue" qui n'a jamais réellement réussi à se distinguer par son efficacité ou son originalité en matière de politique pénale. Cependant, outre cette annonce médiatique, le contenu du rapport mérite un examen plus approfondi.

Tout d'abord, celui-ci propose une vision assez apocalyptique des problèmes de cybersécurité, où un amalgame potentiellement dangereux est fait entre les menaces que font peser sur la sécurité nationale les attaques provenant de puissances étrangères (la Chine ou la Russie pour ne pas les nommer) et les manifestations quotidiennes d'une délinquance informatique uniquement guidée par le profit. Ce manque de distinction entre les différents types de menaces risque de brouiller encore plus les frontières entre les tâches qui relèvent du système pénal (police et justice) et celles réservées au monde beaucoup plus secret des agences de renseignement et des forces armées. Les libertés individuelles et la transparence de l'information risquent d'être les premières victimes de ce grand fatras intellectuel, même si le rapport cherche à rassurer les défenseurs de la vie privée en leur donnant de nombreux gages d'inclusion dans les débats à venir.

L'analogie choisie pour illustrer l'importance des enjeux est également significative: on associe le besoin d'agir en ce domaine au spectre du retard technologique que les États Unis ont pensé connaître lors du lancement par l'URSS du satellite Spoutnik en 1957. Le constat de la "dépendance digitale" des États Unis s'accompagne en effet d'une exhortation à maintenir la compétitivité intellectuelle par le biais d'une revalorisation des études en sciences "dures" et en mathématiques. Le ton alarmiste du document sur les dangers qui guettent le pays et les moyens requis justifie donc des mesures extrêmement ambitieuses.

Parmi celles-ci, on peut relever la volonté d'homogénéiser le cadre législatif afin de le rendre plus cohérent et de l'adapter aux contraintes des acteurs publics et privés qui devront l'appliquer. Des campagnes de sensibilisation et de formation à la cybersécurité devraient également être mises en oeuvre et destinées principalement aux lycéens et aux étudiants. Un partage avec le monde de la recherche des données relatives aux incidents est également prévu, afin que ceux-ci puisse analyser les facteurs de vulnérabilité et concevoir des réponses innovantes.

Des partenariats avec le secteur privé sont envisagés, et des mécanismes reposant sur des incitatifs financiers et réglementaires sont également mis de l'avant (comme des crédits d'impôt, une redéfinition de la responsabilité civile des vendeurs d'équipements et de services informatiques ou encore la mise en place de subventions et de systèmes d'indemnisation). Il est également prévu de limiter la prolifération des partenariats, afin de ne pas diluer leur potentiel.

Sur la scène internationale, le document propose l'adoption par les États Unis d'une approche visant à diffuser auprès des enceintes multilatérales des normes et des standards technologiques qui correspondent à ses exigences. Il est prévu que des alliances seront conclues avec des pays "amis" afin de veiller à la diffusion de ces normes auprès de la douzaine d'organismes internationaux disposant d'un mandat en matière de cybersécurité. Le gouvernement américain se réserve également la possibilité "d'aider" certains pays à mettre en oeuvre des moyens d'enquête et de lutte appropriés, certainement sur le modèle de ce qui avait été fait au cours des années 1980 en matière de lutte contre le trafic de drogue.

Il est encore trop tôt pour savoir si cette quatrième stratégie de cybersécurité en l'espace d'une quinzaine d'années sera plus efficace que les précédentes, mais on doit quand même reconnaître au travers de ce document la mise en place d'objectifs ambitieux servis par une approche intégrée (parfois à l'excès) relativement bien adaptée à la nature distribuée d'Internet. On verra bien au cours des prochaines années si cette approche systémique aura plus de succès que l'approche essentiellement étatico-répressive privilégiée par la France.

La Chine renforce son cadre réglementaire pour lutter contre la cybercriminalité

2009-05-20T15:11:00.000-07:00

La revue en ligne CIO.com (en anglais) signale la mise en place au cours des dernières semaines par le gouvernement chinois de mesures réglementaires plus rigoureuses destinées à lutter contre la cybercriminalité. Selon les statistiques officielles, environ 1,2 millions d'ordinateurs chinois auraient été compromis en 2008 et seraient contrôlés par les pirates dans le cadre de botnets.

Les nouvelles mesures créeraient l'obligation pour certaines agences gouvernementales et les fournisseurs d'accès public de mettre en place des technologies de surveillance et d'élimination des logiciels malicieux qui permettent aux botnets de fonctionner. Les procédures d'attribution des noms de domaine seront également revues afin rendre plus difficile l'établissement de sites douteux favorisant la distribution de logiciels malicieux en Chine et à l'étranger. Enfin, le partage d'informations entre les autorités et les opérateurs de télécom est renforcé en cas d'incident relié à la cybercriminalité.

Dans un pays aussi centralisé que la Chine, qui déploie des ressources considérables pour surveiller et censurer les communications sur Internet sur une échelle unique au monde, ce type de mesure sonne comme un véritable aveu de faiblesse quand à la capacité des agences gouvernementales à contrôler efficacement les activités des internautes. Certains États démocratiques engagés eux-aussi dans la conception de nouvelles formes de régulations seraient bien inspirés de prendre acte de ces limites.

Mesures législatives de lutte contre la cybercriminalité: un avant-goût du projet de loi Loppsi 2

2009-05-20T06:07:00.000-07:00

Le quotidien Le Monde publie aujourd'hui un article qui donne quelques précisions sur les nouveaux pouvoirs d'enquête qui pourraient être bientôt conférés aux policiers français dans le cadre du projet de loi Loppsi 2 (pour Loi d'orientation et de programme pour la performance de la sécurité intérieure).

On y retrouve des mesures qui feront certainement couler beaucoup d'encre dans les mois à venir, comme la possibilité pour les services d'enquête d'installer des chevaux de Troie sur les ordinateurs des personnes surveillées afin d'accéder à l'insu de celles-ci au contenu de leurs communications ou de leurs disques durs. Ces logiciels espions, qui sont déjà utilisés fréquemment par les fraudeurs informatiques pour s'emparer des informations personnelles de leurs victimes, seraient installés pour une période de 4 mois renouvelable.

D'autres dispositions, comme la création d'un délit d'usurpation d'identité sur Internet, seront certainement accueillies de manière moins polémique. Il faut également souligner que ce projet de loi n'est pas uniquement axé sur la lutte contre la cybercriminalité, comme l'auteur de l'article le laisse entendre, mais qu'il concerne aussi plus largement la modernisation des moyens technologiques de la Police Nationale et de la Gendarmerie, avec notamment le déploiement d'un système de lecture automatisé des plaques d'immatriculations (LAPI), l'acquisition de mini-drônes ou encore l'installation d'ordinateurs embarqués à bord des véhicules de police. Le milliard d'euros ainsi prévu sur cinq ans ne concerne donc pas exclusivement la lutte contre la cybercriminalité, loin de là.

Certaines bases de données du Department of Homeland Security piratées

2009-05-19T12:44:00.000-07:00

La plateforme informatique mise en place par le Department of Homeland Security (le ministère de l'intérieur ou de la sécurité publique américain) afin de faciliter l'échange d'informations entre les diverses agences fédérales d'application de la loi, les services de police locaux et les services internes de sécurité du secteur privé a été piratée à la fin du mois de mars de cette année, selon le magazine Federal Computer Week. Ces intrusions dans le Homeland Security Information Network ont permis aux pirates de se procurer des informations personnelles sur un petit nombre de fonctionnaires travaillant dans le domaine de la sécurité intérieure. La technique de piratage employée n'est pas spécifiée, mais l'accès se serait fait par le biais de comptes d'usagers du service dont les mots de passe auraient été compromis.

Comment les narcos brésiliens utilisent des satellites militaires américains pour communiquer

2009-05-16T05:34:00.000-07:00

Cet article de Wired ne traite pas à proprement parler de cybercriminalité ni de vol d'identité, mais il nous éclaire sur les logiques de co-évolution entre les nouvelles technologies et la sécurité. Dans ce vaste pays qu'est le Brésil, où les infrastructures de communication restent encore peu développées dans les régions isolées, le piratage des satellites militaires de la marine américaine est devenu une activité très répandue.

Ces satellites qui seront remplacés d'ici la fin de l'année ont été mis en orbite dans les années 1970. Ils permettent aux militaires américains et même à la Maison Blanche d'échanger des messages cryptés avec des unités sur le terrain. Mais alors que la technologie embarquée des satellites remonte à plusieurs décennies, les avancées de l'électronique sur Terre signifient que l'équipement nécessaire pour les utiliser comme de simples antennes relais est largement disponible à très bas prix. Pour moins de 500$, les camionneurs brésiliens peuvent ainsi s'équiper et rester en contact, y compris en plein coeur de l'Amazonie.

Outre le fait que cette utilisation "pirate" peut s'avérer problématique pour les forces armées américaines en cas de besoins accrus de bande passante (en cas de crise par exemple), elle représente également une ressource mise involontairement à la disposition d'intérêts criminels. En effet, la police brésilienne saisit fréquemment de l'équipement destiné à communiquer par le biais de ces satellites lors de perquisitions visant le crime organisé ou des camps de bûcherons clandestins qui exploitent illégalement la forêt amazonienne. Une vidéo qui illustre cet usage est disponible sur YouTube ici.

Ainsi, une technologie conçue il y a de nombreuses années et réservée alors à un usage strictement militaire a intégré de manière naturelle la panoplie des outils indispensables à tout narcotrafiquant bien organisé. Ce décalage entre des systèmes rudimentaires conçus il y a plusieurs décennies (mais toujours en fonction) et la démocratisation d'outils informatiques et technologiques extrêmement puissants pouvant être utilisés pour les pirater est ainsi à l'origine de nombreuses vulnérabilités structurelles auxquelles il est très difficile et coûteux de remédier.

Le premier botnet constitué d'ordinateurs Apple

2009-04-16T18:22:00.000-07:00

Des chercheurs de l'entreprise Symantec viennent de communiquer sur un programme malicieux qui serait le premier à cibler les ordinateurs produits par Apple. Ce problème avait déjà été signalé en février dernier par une entreprise plus petite (et moins versée dans l'art des relations publiques?), mais il semble que certains médias ont mis du temps à réagir. Celui-ci est installé sur les machines des utilisateurs qui téléchargent des copies piratées des logiciels iWork09 et Adobe Photoshop CS4 sur les réseaux de pairs à pairs. Le concepteur du logiciel malicieux a tout simplement "greffé" son programme sur les deux applications concernées, dont il avait auparavant téléchargé les versions d'évaluation.

Ce botnet serait commandé par un individu différent de celui qui l'aurait conçu selon le bon vieux principe de la division du travail, et s'il est encore difficile d'évaluer le nombre de zombies qui le composent, il aurait déjà été utilisé dans le cadre d'une attaque par déni de service contre le site Internet dollarcardmarketing.com.

Un détail intéressant: l'un des premiers blogueurs à avoir identifié cette attaque a été lui-même victime de ce logiciel malfaisant, et a admis avoir utilisé une version non authentifiée de iWork. Aujourd'hui programmeur, il indique avoir par le passé dirigé une équipe technique dans une entreprise spécialisée dans la lutte contre les attaques par déni de service! Même parmi les "professionnels de la sécurité", les pratiques spontanées d'utilisation semblent aller à contre-courant des précautions élémentaires, comme le fait de ne jamais télécharger de logiciels dont la provenance ne peut être établie avec certitude.

Les nouvelles méthodes des pirates informatiques pour s'emparer des codes secrets des cartes de paiement

2009-04-16T05:07:00.000-07:00

Un article de Wired décrit l'apparition de nouvelles méthodes utilisées par les pirates informatiques pour s'emparer de grandes quantités de codes secrets de cartes de débit et de crédit. Le procédé repose sur l'interception de ces codes lors de leur transmission entre les distributeurs automatiques de billets et les serveurs des institutions financières émettrices et intermédiaires. Les codes secrets encryptés ne semblent par ailleurs pas épargnés, dans la mesure où les pirates exploitent les failles associées au paramétrage défaillant des équipements qui permettent de crypter les transactions financières (plus de détails sur ces modules de sécurité HSM vendus par la société Thalès ici). S'il semble que les machines sont configurées de manière absolument sûre lors de leur livraison, le besoin d'assurer leur compatibilité avec les équipements vendus par d'autres fournisseurs ainsi qu'avec les spécificités de chaque système bancaire national conduisent à ces erreurs. D'autres pirates ont développé une approche qui leur permet de siphonner les codes secrets pendant les quelques instants où ils sont stockés de manière non-cryptée sur les serveurs des banques afin d'autoriser la transaction.

S'il est confirmé, le saut qualitatif effectué par les fraudeurs leur permettrait d'accéder à un volume beaucoup plus important de données personnelles à très forte valeur ajoutée que ce que leur permet actuellement la fraude individualisée par skimming ou phishing. Par ailleurs, il sera plus difficile aux victimes de prouver leur bonne foi dans les cas de retraits d'espèces résultant de l'obtention frauduleuse du code secret, et il reste à voir dans quelle mesure les institutions financières joueront la transparence avec leurs clients.

Le Pentagone aurait dépensé 100 millions de dollars pour se défendre contre les cyberattaques

2009-04-07T23:07:00.000-07:00

C'est ce qu'ont révélé deux généraux américains lors d'une conférence hier. La somme de 100 millions de dollars couvre seulement la période des 6 derniers mois, et inclut les dépenses en main d'oeuvre et en équipement associées aux réponses à ces attaques ainsi que la remise en état des réseaux.

Ce chiffre de 100 millions semble étrangement bien formaté pour frapper les esprits et être repris dans de nombreux articles, surtout à une période où le secrétaire américain à la défense vient d'annoncer d'importantes coupes budgétaires dans les programmes d'armement. D'un autre côté, le Pentagone est certainement l'une des cibles les plus tentantes pour les pirates débutants comme pour les cyberespions chevronnés.

Quel est le profil des prédateurs sexuels sur Internet?

2009-04-06T02:39:00.000-07:00

Le Crime Against Children Research Center de l'Université du New Hampshire aux USA vient de publier les résultats de son étude longitudinale sur le profil des pédateurs sexuels arrêtés par la police aux États Unis en 2006 (la première étude avait été menée en 2001). Les données proviennent directement des enquêteurs qui ont procédé aux arrestations, ce qui constitue un excellent exemple de collaboration entre chercheurs et praticiens, et permet de produire des connaissances nouvelles qui permettent de discréditer un certain nombre de mythes sur la dangerosité de l'Internet pour les enfants et les adolescents.

Parmi les résultats les plus intéressants:

Entre 2000 et 2006, le nombre de prédateurs arrêtés qui avaient sollicité des mineurs en ligne afin de les convaincre d'avoir des rapports sexuels a augmenté de 21%, alors que le nombre de prédateurs arrêtés après avoir contacté des policiers se faisant passer pour des mineurs a augmenté de 381%. Cela semble indiquer que les organisations policières nord américaines sont très actives, et mêmes proactives, dans ce domaine. En effet, pendant la même période, le nombre total d'arrestations pour abus sexuels commis contre des mineurs diminuait de 10%.
Les arrestations de prédateurs sexuels en ligne représentent seulement 1% de l'ensemble des arrestations pour abus sexuels de mineurs, et la majorité des victimes d'abus sexuels ont toujours plus à craindre des membres de leur famille ou de leur entourage que d'inconnus rencontrés sur Internet.
Dans l'immense majorité des arrestations impliquant des victimes mineures, les victimes avaient plus de 13 ans (95%), elles étaient informées des attentes des prédateurs, et seulement 5% des rencontres impliquaient des violences imposées aux victimes (et 2% des enlèvements). Cela confirme les résultats de 2001 selon lesquels les victimes étaient en grande majorité des participantes informées prenant une part active aux abus sexuels, et que la nature de l'abus reposait majoritairement sur l'incapacité légale de fournir un consentement éclairé.
Contrairement à une crainte couramment répandue, les sites de réseaux sociaux ne semblent pas exposer les adolescents à du harcèlement ou des enlèvements facilités par les informations personnelles mises en ligne.
La plupart des prédateurs sont des hommes (99%) blancs (84%) qui n'ont jamais été arrêtés auparavant pour des crimes contre des mineurs (90% pour ceux impliquant des victimes mineures et 97% pour ceux arrêtés par des policiers prétendant être des mineurs). Il semble donc que les efforts imposés aux sites de réseaux sociaux afin d'éliminer de leurs fichiers les personnes déjà condamnées pour des abus sexuels contre des mineurs soient relativement inutiles et consistent principalement en un exercice incontournable de relations publiques.
Un changement notable concerne le rajeunissement des suspects, dont 40% sont âgés de 18 à 25 ans contre 23% en 2001. Cette augmentation ne correspond pas à une augmentation générale des arrestations pour abus sexuels dans cette tranche d'âge et peut s'expliquer soit par de nouvelles pratiques déviantes qui se manifestent d'abord en ligne chez cette génération, soit par l'effacement des frontières de socialisation sexuelle entre jeunes adultes âgés de 13 à 25 ans.

Outre la réussite des organisations policières dans la lutte contre les prédateurs sexuels que cette étude semble indiquer, une approche renouvelée dans la conception des programmes de prévention destinés aux adolescents paraît indispensable. Au lieu de mettre l'accent sur des risques de violence, de viol et d'enlèvement qui semblent marginaux, les campagnes de sensibilisation s'adressant aux jeunes devraient plutôt décourager ceux-ci d'échanger des propos et des images sexuellement explicites avec des inconnus, de se lancer dans des relations amoureuses et sexuelles avec des adultes, et les sensibiliser aux interdictions légales entourant de telles rencontres.

Le cybercrime est-il devenu plus profitable que le trafic de drogue?

2009-04-03T03:22:00.000-07:00

C'est ce qu'a affirmé devant un comité du sénat américain Edward Amoroso, chef de la sécurité du géant des télécommunications AT&T. Dans la restranscription de son audition (qui exclut une erreur de ce dernier qui aurait pu facilement être corrigée), celui-ci déclare en effet:

L'an dernier, le FBI a annoncé que les revenus de la cybercriminalité ont
détroné pour la première fois le trafic de drogue comme activité illicite la
plus profitable au niveau mondial, en estimant que les profits annuels illicites
dans ce domaine s'élevaient à 1000 milliards de dollars (one trillion dollars) (ma traduction).

Cette information a aussitôt été reprise telle quelle dans de nombreux médias (Vnunet, Public Technology, Le Monde Numérique, ZDNet, etc...), un rapport de la société Finjan étant venu entre-temps étayer de tels chiffres. Celui-ci extrapole à partir des gains criminels d'une opération de fraude particulièrement réussie qui rapporte à ses auteurs environ 10.000 dollars par jour, et assume qu'il existe des milliers d'opérations similaires dans le monde sans aucune base factuelle (ça pourrait tout aussi bien être des dizaines ou des millions).

Le problème est qu'évidemment, quand on examine ces chiffres avec un regard un peu plus critique que celui des marchands de peur, on se rend bien compte de leur improbabilité. Car comme le fait remarquer le blogeur Richard Stennion, cela impliquerait que le cybercrime génère des profits supérieurs à ceux de l'industrie informatique ou des cinq plus grosses entreprises américaines. Cela représente aussi le double du PIB de l'Arabie Saoudite et de son océan de pétrole! Le site The Register a établi la généalogie de cette légende urbaine et l'a faite remonter à 2005, où une consultante du FBI lançait à un journaliste que le cybercrime venait de dépasser le trafic de drogue avec des revenus annuels de 105 milliards de dollars. Depuis, tel le monstre du Loch Ness, elle refait surface de temps à autres.

Mais en ces temps de récession économique mondiale et de plans de relance astronomiques, à moins de 1000 milliards, on n'arrive plus vraiment à attirer l'attention des journalistes et des politiciens! C'est regrettable car même s'il n'atteint pas (et n'atteindra certainement jamais) de telles proportions, le problème de la cybercriminalité est bien réel et crée chaque jour de nombreuses victimes individuelles et organisationnelles qui méritent un traitement moins sensationnaliste.

Photos de distributeurs de billets piégés par des fraudeurs

2009-04-03T02:52:00.000-07:00

Le site Zataz a mis la main sur deux séries de photos très informatives (ici et ici) qui montrent les moyens techniques utilisés par des fraudeurs français pour cloner des cartes de débit ou de crédit introduites dans des distributeurs automatiques de billets. Les photos sont d'origine française, mais la technique est universelle.

On y voit qu'il est de plus en plus difficile pour l'usager lambda d'identifier la présence de tels kits sur des distributeurs où tout semble normal et "propre", ainsi que la présence de caméras qui peuvent capturer les codes secrets des clients et les transmettre par le biais de téléphones cellulaires.

Un nouveau projet de loi sur la cybersécurité aux USA

2009-04-01T02:45:00.000-07:00

Selon le Washington Post, plusieurs sénateurs américains influents s'apprêtent à présenter dès aujourd'hui un projet de loi qui étendrait considérablement les pouvoirs du gouvernement fédéral en matière de sécurité de l'information. Ce projet aurait notamment pour objet de permettre au gouvernement de définir des standards de sécurité minimaux devant être mis en oeuvre aussi bien par les services gouvernementaux que par le secteur privé. Le gouvernement se verrait ainsi doté de nouveaux pouvoirs réglementaires afin de contraindre les entreprises à respecter ces nouvelles normes.

Le secteur privé a déjà fait preuve de ses réticences, en avançant l'argument du gel de l'innovation qu'une approche aussi centralisée impliquerait. Cependant, au vu des problèmes actuels, on ne peut pas dire que le laisser-faire produit des résultats très convaincants.

Si une telle loi était votée, ce qui est de toute évidence loin d'être le cas, la question de savoir quelle agence se verrait confiée la responsabilité de la faire appliquer se poserait alors. Alors que les promoteurs du projet de loi semblent pencher en faveur d'un nouveau poste de "tsar de la cybersécurité" basé à la Maison Blanche, il semble que la grande famille du renseignement place déjà ses pions, puisque le Directeur du renseignement Dennis Blair proposait la semaine dernière que la NSA supervise les efforts publics et privés en matière de cybersécurité aux États Unis. Il aura bien du mal à convaincre ses interlocuteurs du caractère désintéressé d'une telle proposition, notamment en matière de recueil de renseignements privés.

Le pays des bases de données

2009-03-28T03:36:00.000-07:00

À l'heure où des parents d'élèves et des enseignants français résistent contre la mise en place d'une base de données dans l'enseignement primaire censée centraliser les informations personnelles de l'ensemble des enfants en âge d'aller à l'école (voir l'article du Monde), un rapport de la Fondation Joseph Rowntree déposé ces derniers jours au Royaume Uni invite à la réflexion.

Ce document, rédigé par un groupe de chercheurs spécialisés dans la sécurité de l'information et les droits de la personne, dresse la carte détaillée des bases de données gouvernementales contenant des informations personnelles sur les citoyens britanniques et évalue leur performance. Les conclusions du rapport sont loin d'être encourageantes:

Des 46 principales bases de données recensées, un quart seraient illégales à l'aune des lois existantes en matière de protection des droits humains et de la confidentialité des données;
Plus de la moitié souffrent d'importants défauts en matière de protection de la vie privée et d'efficacité;
Moins de 15% des bases de données recensées semblent nécessaires, efficaces et proportionnelles aux auteurs, même si certaines d'entre elles souffrent également d'importants problèmes techniques;
Malgré des dépenses pharaoniques de plusieurs dizaines de milliards d'euros prévues pour les dix prochaines années dans ce domaine, seulement 30% des programmes informatiques du gouvernement peuvent être considérés comme des réussites;
Certains programmes spécifiques comme la base de données des traces ADN sont particulièrement épinglés: bien que le nombre de profils contenus dans cette dernière ait doublé au cours des dernières années en passant de 2 à 4 millions d'individus, le taux de solution des crimes grâce à cet outil est resté désespérément stable, ne parvenant pas à dépasser 1 pour 300.

Des limites de la censure comme stratégie de prévention

2009-03-26T23:51:00.000-07:00

Le gouvernement australien a décidé d'axer sa future stratégie de lutte contre les contenus pédophiles en ligne sur la mise en place d'un système obligatoire de filtrage auquel devront se plier les fournisseurs d'accès. Ce système repose sur une liste de sites interdits distribuée aux fournisseurs d'accès et sur l'obligation pour ces derniers de bloquer la consultation de ces sites par leurs clients. Par ailleurs, les sites australiens qui choisiraient d'insérer des liens vers des sites interdits s'exposent à des amendes pouvant aller jusqu'à 11,000$ australiens par jour.

Cela paraît simple au premier abord et d'autres pays comme le Danemark ou la Norvège ont adopté une approche similaire. Le principal problème est que les listes qui sont constituées par les autorités responsables de ce contrôle sont en général secrètes et que cette "censure" opaque ouvre la porte à des abus de toutes natures. Tout d'abord, étant donné la nature dispersée de l'offre d'accès à Internet, les chances que ces listes restent confidentielles sont minces. On retrouve d'ailleurs la plupart d'entre elles sur le site Wikileaks.

Ensuite, l'examen approfondi de ces listes démontre que s'y retrouvent des sites qui n'ont aucun rapport avec la pédophilie. Ainsi, d'après le quotidien Sydney Morning Herald, on la liste australienne comprend des sites de casinos et de paris en ligne, des sites de pornographie légale et de fétichisme, des pages de l'encyclopédie en ligne Wikipedia, des sites favorables à l'euthanasie et à l'avortement (légal en Australie), des sites faisant la promotion de religions marginales comme le satanisme ou certaines églises chrétiennes, ainsi que le site d'un dentiste et d'une agence de voyages! La liste rendue publique contient un peu plus de 2000 adresses, mais le gouvernement australien prévoit d'y inclure plus de 10,000 sites à terme.

Les opposants à cette politique font à juste titre valoir le potentiel d'atteinte aux libertés individuelles que représente l'existence d'une liste secrète de sites Internet interdits, ainsi que l'absence de mécanismes indépendants de contrôle des processus d'inclusion dans cette liste et d'appel en cas d'erreur. D'autres soulignent à quel point l'existence d'une telle liste ouvre la porte à des abus de la part des dirigeants politiques qui pourront s'en servir pour supprimer l'accès à des informations gênantes.

La mise en ligne de la liste australienne et le débat auquel elle donne lieu illustrent cependant la futilité de vouloir mettre en oeuvre des programmes de prévention dont la principale caractéristique est le secret. Cela dénote de la part des autorités régulatrices un sérieux déficit de compréhension de ce qui fait justement la force de l'Internet, à savoir sa nature distribuée et adaptative qui permet à l'information de circuler avec une fluidité inégalée.

Vie privée: un concept dépassé?

2009-03-19T03:49:00.000-07:00

Voici un article intéressant de Jean-Marc Manach, d'internetactu.net qui dresse un panorama très complet des arguments de ceux qui pensent que l'on accorde trop d'importance au concept de vie privée (selon eux obsolète) dans le débat sur le statut des données personnelles sur Internet, et particulièrement sur les sites associés au web 2.0 comme les plateformes de gestion des réseaux sociaux. Ces arguments, qui invoquent souvent la logique des bénéfices de la transparence qui outrepassent les inconvénients, frappent par leur optimisme invétéré et constituent une réponse toute aussi peu nuancée que celle des pessimistes qui annoncent la disparition imminente des libertés individuelles. Ils permettent toutefois de mieux comprendre quelles logiques (plus ou moins conscientes) sont à l'oeuvre parmi ceux qui révèlent l'intégralité de leur vie en ligne.

Facebook à l'aide des tribunaux

2009-03-15T20:16:00.000-07:00

Deux affaires récentes portées devant des tribunaux américain et canadien montrent dans quelle mesure les informations personnelles révélées par les utilisateurs de sites de réseaux sociaux comme Facebook ou MySpace peuvent se retourner contre eux.

Dans le premier cas, un policier new yorkais adepte du culturisme (photo ci-contre) a vu son professionalisme et sa crédibilité mis en doute par l'avocat d'un suspect qu'il avait arrêté pour port d'arme illégal. Le policier avait en effet indiqué sur son profil MySpace qu'il se sentait d'humeur 'sournoise' (devious) quelques heures avant l'arrestation, alors que son profil Facebook indiquait qu'il était en train de visionner le film Training Day afin de rafraichir ses connaissances en matière de procédure policière. Or, ce film, qui met en vedette Denzel Washington, décrit les pratiques discutables d'un agent corrompu de la police de Los Angeles qui n'hésite pas à abattre un trafiquant de drogue désarmé afin de s'emparer de ses gains. Ces éléments ont suffi au jury pour douter de l'impartialité du policier lors de l'arrestation et l'ont amené à acquitter l'accusé des charges qui pesaient contre lui.

Dans le second cas, un juge ontarien a obligé un plaignant réclamant une compensation financière à la suite d'un accident automobile qui aurait négativement affecté sa vie quotidienne à rendre le contenu de sa page Facebook accessible aux avocats de la défense. L'argument de la défense est que le contenu de cette page est en mesure d'éclairer le tribunal sur la nature réelle du préjudice subi. Dans sa décision, le juge a en effet admis que les pages personnelles mises en ligne sur les sites de réseaux sociaux contiennent des informations telles que des photos ou des commentaires permettant d'évaluer la capacité des personnes visées à entreprendre des activités physiques et sportives. Par ailleurs, il a rejeté l'argument selon lequel ces pages auraient le même statut juridique qu'un journal intime, puisqu'elles servent de support à des pratiques de partage de l'information avec des 'amis', ce qui les rend donc en partie publiques.

Dans les deux cas, ces décisions vont certainement amener les avocats et les procureurs à considérer d'un oeil nouveau l'usage qui peut être fait des informations personnelles disponibles sur les sites de réseaux sociaux, soit comme source additionnelle de preuves, soit comme outil de sape de la crédibilité des témoins.

Un documentaire de la BBC sur les botnets

2009-03-13T03:44:00.000-07:00

Les journalistes de l'émission Click, de la BBC , viennent de réaliser un documentaire choc sur le fonctionnement des botnets, ces réseaux d'ordinateurs "zombis" compromis qui sont utilisés à l'insu de leurs propriétaires pour relayer du spam ou dérober des informations personnelles (mots de passe de comptes bancaires, etc.). En effet, afin d'illustrer de manière aussi réaliste que possible la manière dont les botnets sont mis en vente sur Internet et utilisés, les journalistes ont tout simplement acquis leur propre botnet d'environ 20.000 machines pour quelques milliers de dollars, et ont procédé à une attaque en bonne et due forme contre un site mis en place par une entreprise (consentante) de consultants en sécurité informatique. Une fois le reportage terminé, les propriétaires des machines infectées ont été avisés par l'équipe de tournage.

Le documentaire entier est en anglais, non sous-titré, ici.

Le teaser est dessous:

L'auto-défense contre la surveillance

2009-03-06T16:14:00.000-08:00

L'Electronic Frontier Foundation, une association américaine de défense de la vie privée, a lancé un projet d'auto-défense contre la surveillance informatique, afin de sensibiliser les internautes à la surveillance dont ils font l'objet sur la toile, et de les aider à s'en prémunir. Cette boîte à outil permet aux citoyens d'évaluer les différents risques auxquels ils sont exposés en matière de surveillance de leurs activités en ligne, aussi bien de la part du gouvernement que de puissances étrangères, d'entreprises ou de délinquants informatiques. Les conseils, offerts dans un langage clair acessible au plus grand nombre, portent aussi bien sur le cryptage des données que sur les connexions wi-fi, l'effacement permanent des données, les outils d'anonymisation des communications ou les précautions à prendre dans l'usage des téléphones cellulaires. Tous ces conseils ne sont pour l'instant disponibles qu'en anglais.

J'ai écrit un chapitre de livre (lui aussi en anglais) sur les techniques de résistance aux diverses formes de surveillance en ligne, qui propose une perspective responsabilisatrice en léger décalage avec les propos catastrophistes et pessimistes des opposants à la surveillance de la tradition orwellienne.

Quelques idées pour Obama sur la cyber-sécurité

2008-12-22T10:03:00.000-08:00

L’un des principaux défis du president Obama, en matière de sécurité, sera certainement lié au développement et à la mise en œuvre de stratégies destinées à rendre le cyberespace plus sûr, aussi bien pour les institutions que pour les usagers. C’est en tout cas ce qu’affirme un rapport d’experts réunis par le Centre d’Études Stratégiques et Internationales, basé à Washington. Ce rapport organise ses constats et les recommandations qui en découlent en sept grandes orientations qui s’appuient sur trois principes fondamentaux :

La cyber-sécurité est maintenant devenu pour les États-Unis un enjeu de sécurité nationale majeur;
Les politiques et stratégies mises en œuvre devront respecter les libertés individuelles et la vie privée, ce qui semble marquer une rupture avec les mesures déjà adoptées par l’administration Bush;
Les politiques et stratégies qui seront privilégiées devront nécessairement inclure une dimension nationale et internationale, ce qui semble tomber sous le bon sens mais semble encore trop souvent négligé par les politiciens et les bureaucrates.

Cinq des sept groupes de recommandations me semblent particulièrement intéressants pour leur lucidité, même si on ne peut pas vraiment dire qu’ils sont révolutionnaires :

Il est d’abord suggéré de repenser les partenariats public-privé en matière de cybersécurité, et notamment d’établir des plateformes permettant de cultiver la confiance entre les diverses organisations. Il est évident recommandé de faciliter le partage de l’information, non comme une fin en soi, mais comme un outil au service d’objectifs mieux définis et mesurables.
Dans ce qui pourrait être un changement majeur d’attitude, le rapport recommande aussi de recourir de manière beaucoup plus intensive à la règlementation (ou régulation), afin de s’assurer que la cyber-sécurité ne relève pas exclusivement de la bonne volonté des acteurs privés, dont la logique de marché est notoirement inadaptée à la fourniture d’un bien public. L’approche souhaitée est flexible, mais elle n’en constitue pas moins une réaffirmation de la prééminence de l’État dans les questions de sécurité en ligne, au même titre de la situation qui prévaut pour la sécurité physique.
Le gouvernement fédéral étant l’un des principaux acquéreurs de matériels, logiciels et services informatiques, il lui est conseillé d’utiliser cette position de force pour contraindre les fournisseurs à développer des produits qui respectent des standards de sécurité minimaux. L’objectif est à la fois de renforcer la sécurité des services gouvernementaux et d’initier un effet de diffusion ou de contagion aux autres organisations acquéreuses.
Les lois et les institutions chargées de garantir la sécurité des réseaux datent pour certaines d’une époque où ces derniers n’existaient pas encore, ou étaient réservés à l’usage de quelques scientifiques qui se faisaient confiance et ont intégré cette confiance aux technologies qu’ils ont développé. Le rapport recommande donc que les assemblages administratifs et légaux en vigueur soient adaptés à la société en réseau actuelle où la confiance est devenue une notion toute relative.
Enfin, les experts font le constat d’une recherche fragmentée et ne disposant pas des ressources pour faire face aux défis à relever (même si on parle quand même de 300 millions de dollars US pour la recherche en cyber-sécurité aux States en 2009). La possibilité de transformer la structure technique de l’Internet afin de la faire correspondre à son usage actuel (et non à ce que ses créateurs avaient imaginé dans les années 1970) est également évoquée.

Dans le contexte de tourmente économique actuel, on peut aisément imaginer que ce rapport ne figurera pas très haut dans la liste de priorités du nouveau président des États-Unis, qui sera certainement déjà passablement occupé à créer des millions d’emploi et à maintenir le secteur financier et plusieurs autres industries à flots. C’est dommage, car il offre un constat de la situation dénué de complaisance ou d’un catastrophisme exagéré, en proposant des approches innovantes pour assurer la sécurité de l'Internet.

Les jeunes et l'Internet

2008-11-21T11:20:00.001-08:00

Un groupe de 28 chercheurs basé à l'Université de Berkeley vient de mettre en ligne le rapport d'un projet de recherche de plusieurs années sur les habitudes d'utilisation de l'Internet par les adolescents et les jeunes adultes. Plus de 800 entrevues et 5000 heures d'observation des pratiques liées aux nouveaux médias ont été analysées.

Les résultats permettent de tempérer les discours des parents et des adultes en général qui perçoivent l'Internet comme un espace de socialisation dangereux pour les enfants et les adolescents. Les chercheurs mettent en évidence les nombreux aspects positifs d'Internet dans les processus d'apprentissage et la gestion des relations amicales. Ils abordent notamment la question épineuse de l'intimidation et du harcèlement en ligne, en avançant l'hypothèse qu'il s'agit d'un concept construit par les adultes, et que dans leurs propres termes, ces comportements problématiques sont plutôt associés à des "drames" dans les relations entre amis ou entre connaissances qui sont considérablement amplifiés par la portée des nouveaux médias, et en particulier par le recours intensif aux sites de réseaux sociaux. Ces derniers augmentent la persistence de tout commentaire désobligeant et de toute rumeur, et rendent ces derniers plus difficiles à interpréter en les décontextualisant.

Cette approche, qui ne manquera pas de déclencher des réactions assez virulentes de la part des associations de protection des enfants et des médias, ne nie pas le préjudice moral et la souffrance des jeunes victimes de ces rumeurs. Elle rappelle cependant à quel point ces comportements problématiques doivent être compris dans un ensemble complexe d'interactions sociales qui ne peuvent qu'appeler des réponses tenant compte de cette réalité nuancée.

Facebook fait payer pour la sécurité

2008-11-19T23:50:00.000-08:00

Le très populaire site de réseaux sociaux Facebook (120 millions d'utilisateurs) viendrait (selon le blog Webmonkey) de lancer un programme de vérification de l'intégrité des applications offertes par des tierces parties à ses usagers. Il y aurait actuellement 52.000 applications créées par des tiers mais distribuées par Facebook à ses membres. Le nouveau programme confère aux développeurs de logiciels qui en font la demande un label de qualité destiné à rassurer les usagers sur la sécurité des logiciels qu'ils installent. En effet, certaines de ces applications se sont avérés être des malwares (maliciels) infectant les ordinateurs des usagers à leur insu (voir par exemple ici ou ici). Le seul hic de ce programme est qu'il est accompagné de frais s'élevant à 375$ pour les auteurs de ces applications.

Ma question est alors la suivante: si l'on peut comprendre que Facebook cherche à récupérer une partie des coûts associés à la vérification approfondie de la non-dangerosité des programmes mis à la disposition de ses usagers, pourquoi a-t-il fallu attendre si longtemps pour que des contrôles minimaux soient établis, et pourquoi continue-t-il à accepter des programmes sans avoir au préalable procédé à une évaluation de leur sécurité?

Serait-ce tout simplement parce que la sécurité était jusqu'à récemment une variable absente de son modèle d'affaire?

Nouveau sondage sur le vol d'identité au Canada

2008-11-18T23:31:00.000-08:00

Susan Sproule er Norm Archer, de l'Université McMaster, viennent de rendre public les résultats d'un récent sondage sur le vol d'identité au Canada. Leur échantillon est de taille (3000 répondants), ce qui fait de cette étude la nouvelle référence canadienne dans le domaine. D'après les résultats obtenus, environ 1,7 millions de canadiens auraient été victimes d'un vol d'identité au cours des 12 derniers mois, soit 6,5% des consommateurs canadiens.

La plupart des victimes (57%) ne savent pas comment leurs informations personnelles ont été compromises, mais il semble que les transactions commerciales traditionnelles (38%) sont à l'origine de plus de fraudes que les achats en ligne (15%), ce qui confirme le fait que le niveau de sophistication technologique des fraudeurs reste relativement limité. De plus, dans seulement 7% des cas, les fraudeurs sont des proches des victimes, ce qui semble remettre en question le mythe de la responsabilité individuelle des victimes, trop souvent présentées comme négligentes dans l'utilisation de leurs informations personnelles.

La réaction des victimes à la suite d'un vol d'identité est également instructive: seulement 13% déclarent les faits à la police, ce qui peut aussi bien être lié au peu de confiance accordé à cette dernière pour ce type d'affaires qu'à la bonne gestion de tels incidents par les institutions financières, qui rendrait inutile le recours aux institutions d'application de la loi. On peut imaginer aussi que les montants impliqués ne soit pas jugé suffisamment élevés pour requérir de faire appel à la police. Par contre, 20% des consommateurs ont déclaré avoir diminué leurs achats en ligne en raison de leur préoccupation pour la sécurité des transactions et le vol d'identité, ce qui constitue un effet tout à fait significatif sur l'économie de l'Internet.

On attend donc maintenant une deuxième vague du sondage dans un ou deux ans afin de savoir quelle est l'évolution du phénomène dans le temps.

Stopper 65% du spam mondial en quelques heures? C'est possible.

2008-11-13T00:30:00.000-08:00

Un article du Washington Post montre comment le journaliste Brian Krebs a réussi, à partir de ses démarches auprès de deux grandes entreprises de télécommunications (Global Crossing et Hurricane Electric), à faire suspendre l'accès à Internet d'un hébergeur de site connu pour sa propension à offrir ses services à des entreprises de spam et à des réseaux pédophiles. McColo Corp. est l'un de ces "bulletproof hosts" ou hébergeurs blindés, qui garantissent à leurs clients le maintien de leur service, même si des plaintes sont reçues contre ces derniers en raison de leurs activités douteuses. Ce service est bien entendu accompagné de frais additionnels.

McColo est jugé indirectement responsable par des entreprises et des chercheurs spécialisés en sécurité informatique de 75% des spams qui polluent l'Internet chaque jour, et qui font la promotion de divers produits supposés améliorer les performances sexuelles des gogos qui les achètent (un article scientifique a récemment été publié sur les taux de conversion en ventes de ces spams). Ces milliards de spam ne sont pas expédiés à partir des serveurs de McColo: ce sont plutôt les réseaux d'ordinateurs zombis (les fameux botnets) qui sont coordonnés et synchronisés à partir des serveurs de McColo. Cette entreprise offrait également des solutions de paiement à une quarantaine de réseaux pédophiles qui pouvaient ainsi distribuer leurs photos et vidéos. Enfin, des groupes criminels auraient loué des serveurs à McColo pour distribuer par le biais de sites Internet des logiciels malveillants qui peuvent être utilisés pour commettre des vols d'identité (voir par exemple les logiciels Torpig et Sinowal).

Lorsque la connexion à Internet de McColo a été suspendue, le volume mondial de spams a instantanément chuté de 65%!!! L'efficacité des groupes criminels a également dû souffrir, puisque les coûts associés à leurs activités ont augmenté (recherche de nouveaux fournisseurs d'accès et rareté des opérateurs désireux de transiger avec eux) et que leurs profits ont connu un ralentissement temporaire.

Bien entendu, l'accalmie est de courte durée, mais cet exemple montre bien comment la solution aux problèmes de cybercriminalité ne peut reposer uniquement sur les épaules de la police ou des processus traditionnels mis en oeuvre par le système pénal. L'Internet est avant tout un univers marchand dans lequel même les groupes criminels les plus organisés doivent payer des services d'hébergement et de connexion. Si les enquêteurs peuvent se focaliser sur les cas les plus graves (pédophilie, fraudes financières massives, cyberterrorisme...), certaines entreprises ont entre leurs mains le pouvoir de diminuer considérablement (et sans encourir des frais trop élevés) le volume des fraudes qui nuisent quotidiennement à l'expérience des internautes. Encore faut-il que les gouvernements réussissent à convaincre les entreprises de le faire. Peut-être Monsieur Krebs pourra-t-il leur donner deux ou trois conseils en ce domaine?

Conférence "l'enfer de la cybercriminalité"

2008-11-10T09:41:00.000-08:00

Les Belles Soirées de l'Université de Montréal présentent le 24 novembre et le 1er décembre deux conférences payantes sur la cybercriminalité, animées par un psychologue et un des premiers policiers québécois a avoir dirigé une unité d'enquête dans ce domaine.

Tous les détails et les formulaires d'inscription à cette adresse.

Les stratégies de protection contre le vol d'identité sont-elles efficaces?

2008-10-30T10:16:00.000-07:00

Un récent sondage mené par Paypal semblerait démontrer que non. Conduit dans plusieurs pays en Amérique du Nord et en Europe, ce sondage démontre que le meilleur moyen de protection est la langue, les consommateurs des pays anglophones étant proportionnellement plus exposés au vol d'identité que les autres citoyens du monde. Alors que 10% des personnes ayant acheté des produits en ligne au Canada, aux USA ou au Royaume Uni ont été victimes d'un vol d'identité, le taux n'est que de 5% en France, en Espagne ou en Allemagne. Les échantillons de 1000 répondants dans chaque pays sont suffisamment importants pour que les résultats obtenus soient relativement fiables.

Cette variation s'explique évidemment par le fait que les fraudeurs ciblent en priorité les pays où le commerce électronique est le plus développé, mais aussi (et surtout) ceux où les moyens de paiement comme les cartes de crédit disposent des limites les plus élevées. Cependant, plusieurs questions portaient également sur les pratiques des internautes en matière de sécurité comme l'utilisation des mots de passe, la possession de machines à déchiqueter le papier ou encore le partage d'informations personnelles sur des sites de réseaux sociaux. Ces pratiques sont considérées comme génératrices de risques et de nombreux sites enjoignent les internautes à ne jamais partager leur mots de passe, à ne jamais utiliser des données faciles à deviner comme leur date de naissance pour créer leur mot de passe, à ne jamais divulguer des données personnelles sur les réseaux sociaux, ou encore à déchiqueter systématiquement les documents qu'ils reçoivent. Un exemple type est la campagne menée à grand frais au Québec par l'Institut de Sécurité de l'Information du Québec sur le thème "Je protège mon identité sur Internet".

Sans vouloir faire de peine à l'ISIQ, je ne suis pas certain que les recommandations faites aux internautes pour se protéger du vol d'identité soient suivies de résultats très probants si on se base sur le sondage de Paypal.

En effet, le fait de partager ses mots de passe avec des amis ou de membres de sa famille ne semble pas être une variable discriminante dans la victimisation: si seulement 28% des internautes allemands ont déclaré s'être livrés à cette pratique risquée, la proportion était du double (60%) aux États-Unis. On pourrait donc assumer que c'est là l'une des causes du vol d'identité... Mais une minute, la proportion de français qui font preuve d'une négligence identique (58%) est presque aussi élevée qu'aux USA, et pourtant, ils sont deux fois moins victimes de cette fraude. Les Français sont aussi les internautes qui sont le moins équipés de déchiqueteuses (seulement 17%), qui n'hésitent pas à laisser leurs logiciels de navigation administrer leurs mots de passe (plus de la moitiés des sondés français), ou encore qui indiquent leur date de naissance sur leur profil sur les sites de réseau social (plus d'un quart) ET qui utilisent cette date de naissance dans leur mot de passe!!! Qui plus est, ces Gaulois inconscients ne changent leurs mots de passe que très rarement (61% le changent moins d'une fois par an), à l'instar de leurs homologues ibères.

Visiblement, si l'on ne parle pas anglais, on peut se permettre de relâcher sa vigilance sans trop de conséquences. Pourquoi? Peut-être parce que contrairement aux idées reçues, la responsabilité individuelle des victimes de vols d'identité est relativement limitée comparativement aux moyens de prévention et aux bonnes pratiques que pourraient mettre en oeuvre les entreprises administrant les moyens de paiement et toute la chaîne du commerce en ligne.

La sécurité précaire des données personnelles en Amérique du Nord: nouvelle note de recherche

2008-10-29T06:37:00.000-07:00

Vous pourrez télécharger une note de recherche que je viens de terminer avec Benoît Gagnon sur la sécurité des informations personnelles en Amérique du Nord sur le site de mon collègue Vincent Gautrais, qui la commente ici. Cette note nous permet de comprendre l’ampleur du problème des brèches de sécurité (qu’il s’agisse de vols, de négligences, de pertes ou de piratages) auxquelles ont été exposées les organisations publiques et privées (ainsi que leurs clients, usagers et employés) aux États-Unis et au Canada au cours de la période allant de janvier 2005 à janvier 2008.

Parmi les faits saillants de cette note :

• Pendant la période considérée, nous avons identifié 976 incidents de pertes ou de vols de données, ayant donné lieu à la compromission de 313 millions de dossiers personnels;

• Nous avons pu recenser 23 événements ayant eu lieu au Canada pour un total estimé de 4,4 millions de dossiers personnels compromis, mais en l’absence d’une obligation légale de divulgation pour les organisations victimes, ce chiffre nous semble fortement sous-estimé;

• Tous les secteurs d’activités gouvernementaux et privés semblent également affectés par des défaillances en matière de protection des données personnelles. Les secteurs de l’éducation, de la santé, les divers services gouvernementaux ainsi que les institutions financières sont les quatre principaux pourvoyeurs d’incidents;

• Plus de la moitié des incidents sont attribuables au vol d’équipements informatiques tels que des ordinateurs portables, ou à la négligence des employés des organisations concernées. Le piratage informatique ne concerne que 22,7% des affaires analysées. Il apparaît donc que ces incidents pourraient facilement être prévenus par une meilleure formation dispensée aux employés et le recours à des politiques plus strictes de transfert et de chiffrement des bases de données sensibles;

• Les principales victimes individuelles de ces incidents sont les usagers des services publics (35,1%), devant les employés des organisations concernées (22,8%) et les clients d’entreprises affectées (20,9%). La diversité des victimes individuelles et leur répartition relativement équilibrée selon les catégories semblent indiquer que ce sont bien les modes actuels de gestion des informations personnelles qui posent problème aux organisations, quelles que soient les personnes concernées;

• Bien que l’on observe une diminution du nombre d’incidents déclarés pour l’année 2007 après une forte augmentation en 2006, il est encore trop tôt pour dire si cette tendance est durable et si elle peut être attribuée au vote aux États-Unis de lois obligeant les organisations victimes à notifier publiquement les incidents. Par ailleurs, le contexte actuel de crise économique dans les secteurs immobilier et financier risque de générer de fortes pressions sur les organisations et leur sécurité informatique, créant un rique accru de vols et de pertes;

• L’absence de dispositions législatives de divulgation et de notification au Canada est problématique, dans la mesure où cela nous empêche d’avoir une image précise de la situation et des risques auxquels sont exposés les citoyens canadiens. Ce déficit d’imputabilité et de transparence limite également les organisations et les individus qui souhaitent mettre en place des moyens efficaces de protection contre ces brèches de sécurité.

Compromission de données personnelles: les délinquants ne sont pas épargnés

2008-08-25T11:33:00.001-07:00

On a en effet appris en fin de semaine dernière qu'une entreprise sous-traitante du ministère britannique de l'intérieur avait perdu une clé USB contenant les données personnelles de l'ensemble des détenus enfermés dans les prisons de sa majesté, soit environ 84.o00 personnes. Apparemment, les données auraient été transmises au consultant responsable de leur perte en format encrypté, mais celui-ci aurait contrevenu aux politiques gouvernementales en la matière en les transférant sur son support de stockage de façon non sécurisée.

Logiciels pour paranoïaques

2008-08-20T17:35:00.000-07:00

Si la lecture de ce blog vous rend quelque peu paranoïaque lorsque vous surfez sur Internet, vous serez peut-être intéressés par ce banc d'essai du magazine SVM du mois d'avril 2008, qui évalue 6 logiciels de protection de la vie privée.

Deux services gratuits d'anonymisation des communications internet sont oubliés:
TOR, qui est soutenu par l'Electronic Frontier Foundation, et Psiphon, développé par l'Université de Toronto (bien que dans les deux cas, l'anonymat absolu ne soit pas garanti par les promoteurs de ces systèmes).

Les cyberenquêteurs français peuvent dormir tranquille

2008-08-17T19:17:00.000-07:00

En effet les journalistes qui s'intéressent à leurs activités restent extrêmement déférents, et ne risquent pas de soulever des questions trop embarassantes. À preuve, l'article signé par Laurence Neuer dans Le Point du 14 juillet 2008. On y apprend que la soixantaine d'enquêteurs de l'Office Central de Lutte contre la Criminalité Liée aux Technologies de l'Information et de la Communication (OCLCTIC) sont activement impliqués dans la lutte contre le 'phishing', le détournement de compte bancaire ou le clonage des cartes de paiement contrefaites. Un enquêteur ose même avancer des statistiques pour le moins surprenantes qui n'ont pas eu l'air de faire réagir Madame Neuer. En effet, selon le policier, "aujourd'hui, près de 50% des machines en France sont infectées" [par des logiciels malveillants capables de saisir les mots de passe des internautes lorsqu'ils réalisent des opérations bancaires en ligne]. Devant une affirmation aussi alarmiste, on aurait au moins aimé savoir sur quelles bases statistiques on s'appuie: s'agit-il d'un sondage auprès des vendeurs d'antivirus, d'une étude approfondie des machines du parc informatique français ou d'une enquête de victimisation auprès des internautes français? Si ce chiffre est crédible, alors le nombre d'enquêteurs affecté à cette forme émergente de criminalité est manifestement insuffisant (60 enquêteurs pour la moitié du parc informatique français). Il y a là comme une incohérence qui ne semble pas avoir attisé la curiosité journalistique de Madame Neuer.

Qui plus est, celle-ci aurait pu demander aux enquêteurs rencontrés quelle était la nature de leur collaboration avec les juges d'instruction. Ces derniers sont-il suffisamment préparés pour faire face à la criminalité informatique dont on comprend bien qu'elle prend une place de plus en plus importante, notamment en raison de sa nature extrêmement lucrative? Tant qu'à faire, on aurait pu se poser la question du nombre d'affaires jugées et des taux de condamnation, ou même de la nature des peines prononcées. On aurait enfin pu se demander si la coopération policière internationale fonctionnait de façon satisfaisante, ou si quelques pays impliqués de manière disproportionnée se faisaient encore prier avant d'accorder toute leur attention à des crimes qui ne représentent pour eux qu'une priorité secondaire? L'efficacité d'une poignée d'enquêteurs ne signifie rien si ces derniers doivent ramer à contre-courant dans un système judiciaire inadapté pour faire face à une criminalité aussi complexe, aussi bien sur le plan organisationnel que technique.

Bref, devant le potentiel journalistique d'un tel sujet (le Washington Post s'est par exemple doté d'un journaliste spécialisé dans les questions de sécurité informatique), on attend encore de la part des quotidiens et des hebdomadaires français des articles qui dépassent le stade de la promotion complaisante pour une unité spécialisée d'enquête, aussi compétente soit-elle.

Vol d'identité à la pompe à essence: La machine à remonter le temps

2008-08-11T18:56:00.001-07:00

Le quotidien USA Today profite de la hausse vertigineuse du prix du pétrole et du désert informationnel de l'été pour remettre au goût du jour une nouvelle sur le clonage des cartes de crédit aux pompes à essence à paiement automatisé. Il sagit d'une variante du clonage des cartes aux distributeurs automatiques, où les fraudeurs implantent des 'manchons' (des skimmers) contenant des lecteurs de pistes magnétiques ou des caméras vidéos qu'ils apposent sur les fentes où l'on glisse les cartes, et qui emmagasinent les numéros de cartes ainsi que les codes secrets. J'avais mis en ligne dans mon précédent blog, la Sécurisphère, une vidéo qui illustre les manières de faire et les équipements utilisés. Cette histoire se base sur une recrudescence de cas qui seraient signalés par les services de police de divers états américains, et bénéficie d'une certaine résonance médiatique en raison de la flambée du pétrole. Elle est hélas loin de représenter le scoop de l'année. En effet, dès 2004, la chaîne de télévision NBC alertait ses téléspectateurs sur une épidémie de clonages dans les stations services. Bref, en matière de vol d'identité aussi, le 'buzz' médiatique a parfois du mal à trouver de nouvelles 'menaces' à se mettre sous la dent.

Arrestation d'un réseau international de vol d'identité

2008-08-08T13:00:00.000-07:00

Le peu d'espace médiatique qui n'est pas consacré ces derniers jours à l'ouverture des jeux olympiques fait état de l'arrestation et de l'accusation par la justice américaine de plusieurs membres d'un réseau international de voleurs d'identité. Les férus de droit pourront lire les charges déposées par les procureurs américains ici (en anglais, of course), mais en résumé, on reproche à ces 11 individus d'être responsables du vol et de la monétisation d'une quarantaine de millions de numéros de cartes de crédit et de débit. Si les moyens techniques ne sortent pas vraiment de l'ordinaire, plusieurs aspects méritent d'être soulignés:

Tout d'abord, il s'agit là d'un réseau véritablement international d'individus (provenant des USA, d'Ukraine, de Chine et de Biélorussie) qui ne se connaissaient pas personnellement, et qui avaient établi des collaborations durables par le biais d'un marché clandestin des compétences afin d'exploiter les forces de chacun, selon un principe bien connu de division du travail;
Ensuite, ces individus travaillaient apparemment dans une ambiance polie, chaleureuse et productive qui est bien loin des images traditionnelles du crime organisé à la Tony Soprano. Il s'agissait véritablement d'une association bien huilée d'entrepreneurs qui cherchaient à maximiser leurs profits tout en minimisant les coûts de transaction générés par des comportements de diva;
Enfin, leur cible de prédilection semblait être les grandes chaînes de distribution et de commerce de détail. La raison? D'après cet article, elle est très simple: il s'agit du secteur économique dans lequel les marges sont tellement faibles qu'elles empêchent la constitution d'équipes de soutien informatiques étoffées ou des investissements majeurs en matière de sécurité informatique. Par ailleurs, l'éclatement des points de distribution sur de vastes territoires fait en sorte que les techniciens ne se trouvent pas en général physiquement dans les magasins, ce qui laisse ces derniers sans surveillance et invite ainsi la convoitise des fraudeurs, selon on principe bien connu en criminologie.

On en apprendra certainement plus dans les prochains mois, mais cela ne risque pas d'améliorer la confiance des consommateurs dans les institutions avec qui ils effectuent des transactions financières informatisées, et il serait intéressant si la répétition de tels incidents conduira à un retour en popularité des paiements en espèces.

Les jeux olympiques de Beijing victimes d'une fraude mondiale massive

2008-08-05T12:57:00.000-07:00

On devait s'y attendre, mais depuis quelques heures, la nouvelle est en train de faire le tour de la planète: des fraudeurs ont profité de la très forte demande pour assister aux épreuves olympiques afin de berner plusieurs milliers d'amateurs sportifs. Le site http://www.beijingticketing.com/ (qui n'est plus en ligne depuis hier soir, mais toujours visible en cache sur Google) promettait à ceux qui n'avaient pas pu se procurer les précieux laisser-passers par les canaux officiels des places pour toutes les épreuves, ainsi que les cérémonies d'ouverture et de fermeture. L'Express explique l'ampleur de la fraude, dont les profits s'élèveraient à une cinquantaine de millions de dollars On recense des victimes en Australie, aux États-Unis, ou encore au Canada. D'ailleurs, un article dans l'Ottawa Citizen montre bien pour quelles raisons ce type de fraude est potentiellement plus lucratif qu'un vol d'identité traditionnel: la jeune victime de 21 ans et ses parents ont en effet dépensé plus de 4000$ pour des billets qui, quoi qu'onéreux, restaient encore abordables par comparaison au prix des billets légitimes en vente sur eBay. Il est assez significatif qu'une fois la transaction devenue suspecte à ses yeux (ne recevant pas de réponses à ses nombreux courriels), il lui a fallu seulement quelques minutes de recherche sur Google pour confirmer qu'elle avait été abusée par des fraudeurs. On pourrait ainsi conseiller à tous ceux qui désirent transiger sur Internet pour acquérir des biens ou des services rares de mener auparavant des enquêtes de réputation sur les intermédiaires avec qui ils souhaitent traiter (en général, une simple recherche sur Google en incluant des mots clés comme 'scam' [escroquerie] ou 'rating' [évaluation] suffit). Mais les organisateurs d'événements internationaux dont les billets s'arrachent à prix d'or ont également la responsabilité de s'assurer que leur succès ne sert pas de tremplin à des fraudeurs qui flairent là une bonne opportunité, au risque d'entâcher leur réputation.

Fouilles d'ordinateurs portables à la frontière US

2008-08-04T18:17:00.000-07:00

J'évoquais il y a quelques jours les précautions à prendre pour les visiteurs qui se rendront en Chine pendant les jeux olympiques (et au-delà) afin de protéger les données sensibles contenues dans leurs appareils informatiques. Il apparaît que ces recommandations valent également pour les États-Unis, où les douanes (qui sont rattachées au Department of Homeland Security) viennent de rendre publique leur politique de fouille des ordinateurs portables et autres gadgets électroniques. Le document est en anglais, mais trois points doivent être notés:

Ces fouilles (plutôt des saisies en fait) peuvent être réalisées sans que les agents qui les pratiquent aient besoin de démontrer que des lois aient été violées par les propriétaires des appareils en question. En clair, tout voyageur est potentiellement exposé à une telle procédure;
La durée de saisie de l'appareil (qui fera on l'imagine l'objet d'analyses forensiques approfondies) ne doit pas dépasser une période "raisonnable", sans qu'aucune précision concrète soit donnée sur ce qui constitue une période raisonnable (24 heures? 2 semaines? 2 mois?);
Enfin, les données saisies peuvent être transmises à d'autres agences gouvernementales américaines (CIA, NSA, etc...) ou à des entreprises privées dans le cadre de contrats de sous-traitance de traduction ou d'analyse.

On le voit, il y a là de quoi se poser bien des questions, d'autant plus qu'il n'est pas précisé comment le secret professionnel (qu'il soit bancaire, médical, lié à la recherche universitaire, etc.) sera protégé, et qu'on peut imaginer comment les données saisies serviront selon toute probabilité à alimenter les bases de données des diverses agences de renseignement. Il semble donc que les États-Unis doivent être ajoutés à la liste des pays dans lesquels ceux qui valorisent la nature privée de certaines informations en leur possession devront se rendre sans leur ordinateur portable.

Vol d'identité et marketing sauvage

2008-08-03T15:01:00.000-07:00

Deux personnes viennent d'être accusées à Los Angeles pour avoir abusivement accédé aux bases de données du principal prêteur hypothécaire américain (Countrywide, qui est également impliqué dans la crise immobilière des prêts à hauts risques), en avoir extrait les informations personnelles de centaines de milliers de clients, et les avoir revendues à des entreprises cherchant à leur proposer d'autres services de prêts bancaires. L'un des deux accusés est un ancien employé de Countrywide qui passait ses dimanches après-midi au bureau afin de télécharger sur une simple clé USB des blocs de données personnelles d'environ 20.000 clients, qu'il vendait 500$ à des entreprises par le biais de son complice. En deux ans, ce sont ainsi près de deux millions de clients qui ont vu leurs informations financières compromises. L'accusé principal aurait réussi à amasser 70.000$ au cours de ces deux années. On peut se demander comment un comportement aussi anormal (télécharger 20.000 dossiers de clients différents chaque dimanche après-midi pendant deux ans) n'a pas attiré l'attention des services d'audit informatique et de surveillance du principal prêteur immobilier américain. La réponse est encore hélas attribuable à la sous-estimation systématique que font les organisations qui gèrent de telles données des risques internes que représentent leurs employés, que ces derniers soient malveillants ou tout simplement négligents.

Les incidents liés aux pertes et vols de données personnelles augmentent en Colombie-Britannique

2008-07-28T16:57:00.000-07:00

Le Commissaire de l'information et de la vie privée de Colombie Britannique vient de rendre public le nombre d'incidents de pertes ou de vols de données pour cette province de l'Ouest du Canada. Ces atteintes potentielles à la vie privée des citoyens ont fait l'objet de 92 enquêtes de la part des employés du bureau du commissaire au cours des 12 derniers mois, par comparaison avec 86 incidents en 2006-2007 et seulement 34 incidents en 2005-2006. Cette augmentation des incidents est alarmante, mais elle est principalement attribuable à des vols d'ordinateurs portables et à des négligences récurrentes de la part des employés d'organismes publics ou d'entreprises qui ont en leur possession des informations personnelles de clients ou d'usagers. Ce n'est pas tant l'augmentation en tant que telle qui est alarmante que l'indifférence apparente des organisations impliquées vis-à-vis des données personnelles qui leurs sont confiées: l'une d'entre elles (qui n'est pas nommée mais qui est un service public) a ainsi été victime de 10 incidents afférents au même programme pendant la même année... Cette légèreté est confirmée par des affaires similaires qui se succèdent à un rythme effréné dans la presse nord américaine, et parfois en Europe.

Il est également significatif de noter que la cause majoritaire de ces incidents n'est pas la menace que posent d'hypothétiques pirates informatiques, mais plutôt le manque de rigueur dans la gestion des données personnelles et de leur support physique, aussi bien de la part des organisations que de leurs employés. Peut-être que la bonne vieille méthode du déshonneur sur la place publique serait plus efficace pour inciter les administrations et les entreprises à prendre ce problème au sérieux. Quoi qu'il en soit, ces chiffres restent très localisés, et l'on continue d'ignorer, aussi bien au Québec qu'en France ou ailleurs dans la francophonie, combien d'incidents identiques se produisent chaque année. Il y a là un déficit d'information qu'il semble urgent de combler.

5 minutes...

2008-07-24T06:09:00.001-07:00

C'est l'espérance de vie d'un ordinateur PC ne disposant pas des dernières mises à jour de Windows lorsqu'il est connecté à Internet, avant qu'un pirate ne puisse l'identifier et compromettre ses données. Ces chiffres alarmistes proviennent de l'Internet Storm Center du SANS Institute aux États-Unis. Mais tout n'est pas perdu: des chercheurs allemands qui gèrent des honeypots (pots de miel en bon français) estiment plutôt la durée de survie moyenne à environ 16 heures. Voilà qui est en effet rassurant!

Investissements massifs en cybersécurité

2008-07-22T06:21:00.000-07:00

Le gouvernement américain s'apprête à investir des milliards de dollars dans la protection de ses infrastructures informatiques, afin de lutter contre les intrusions malveillantes et de se préparer à affronter de nouvelles menaces. Ces dépenses seront imputées au budget du renseignement et le programme, dont le contour est encore très vague et qui est couvert du plus grand secret, est connu sous le nom de Comprehensive National Cybersecurity Initiative (CNCI). Ses objectifs toucheront dans un premier temps la sécurité nationale, mais il est prévu dans une deuxième étape d'étendre les moyens qui seront déployés aux systèmes "civils" du secteur privé qui gèrent les données financières, commerciales ou médicales. Le législateur a également suggéré que soit mis sur pied un comité consultatif composé d'élus et de représentants du secteur privé, afin que le gouvernement prenne en compte la nature hybride des systèmes d'information.

Si l'on peut s'interroger sur le secret qui entoure une telle initiative, l'opportunité de l'inclure dans le budget des agences de renseignement et sur l'utilisation certainement offensive qui sera faite de certains systèmes qui y seront associés, on ne peut que constater l'avance prise une fois de plus par les États-Unis dans le domaine d'élaboration des politiques et des standards technologiques. La diffusion dans le reste du monde de ces derniers confèrera aux États-Unis un avantage compétitif qu'il sera difficile de rattraper. D'ailleurs, cette question a officiellement fait son entrée dans la campagne présidentielle, puisque les candidats Obama et McCain (qui de son propre aveu ne sait pas comment utiliser un ordinateur pour surfer sur Internet) ont évoqué les questions de cybersécurité dans de récents discours.

Le hacking: nouvelle discipline olympique?

2008-07-18T13:40:00.000-07:00

Le Wall Street Journal a publié le 17 juillet un article qui ne va pas améliorer les relations diplomatiques entre les USA et la Chine. Celui-ci fait état de la divergence d'opinions au sein de la communauté américaine du renseignement quant à l'opportunité de mettre en garde les hommes et femmes d'affaires (ainsi que les hauts fonctionnaires) américains qui assisteront aux Jeux Olympique de Pékin, le mois prochain contre les tentatives de piratage de leurs équipements informatiques.

En effet, selon l'article, les agences américaines sont préoccupées des pratiques systématiques de piratage informatique déployées par certains gouvernements étrangers, dont (mais pas uniquement) la Chine. Parmi les techniques observées ces derniers temps, on recense la copie intégrale des disques durs d'ordinateurs portables aux points de contrôles dans les aéroports ou dans les chambres d'hôtel, l'injection de virus dans les téléphones intelligents style Blackberry ou Treo, ou le "slurping" qui consiste à voler les données de téléphones ou équipements électroniques équipés de la technologie Bluetooth.

Le gouvernement américain ne souhaite pas faire de mise en garde publique, afin de ne pas froisser ses interlocuteurs chinois, mais de plus en plus d'entreprises actives dans des secteurs sensibles ont pris des mesures afin de minimiser l'exposition à ce type d'incidents:

Il est par exemple de plus en plus fréquent qu'elles confient à leurs cadres en déplacement des ordinateurs portables réservés aux voyages et qui ne contiennent aucune donnée sensible, quand elles ne leurs interdisent pas carrément d'emporter de tels équipements en voyage;
Les données sensibles doivent alors être conservées sur des clés USB cryptées qui doivent rester constamment sous le contrôle de leur propriétaire;
Les boîtiers d'ordinateurs sont équipés de sceaux inviolables qui permettent de vérifier que le disque dur n'a pas été démonté et que la machine n'a pas été "bricolée" en l'absence de son propriétaire;
L'utilisation de téléphones rechargeables à bas-coûts pouvant être jetés au retour du voyage, et vierges de toute donnée, est également conseillé;
etc...

Une liste des stratégies à mettre en oeuvre est mise à la disposition des entreprises ici.

L'un des seuls aspects positifs de cette nouvelle catégorie de menace est que nous assisterons peut-être à une diminution du nombre de présentations Powerpoint inutiles dans les réunions et conférences, en raison des restrictions de sécurité qui frapperont de plus en plus les ordinateurs portables...

On peut toujours rêver!

Les logiciels de P2P facilitent le vol d'identité

2008-07-14T11:42:00.000-07:00

Un article du Washington Post du 9 juillet fait état du vol de données personnelles de 2000 clients fortunés de l'entreprise spécialisée dans les placements financiers et les conseils fiscaux Wagner Resource Group. Parmi les victimes, figurent de nombreux juristes de haut vol ainsi que le juge Breyer de la Cour suprême des États Unis.

Le déroulement de l'incident a suivi une séquence désormais classique: un employé qui manifestement dispose de trop de temps libre pendant sa journée de travail télécharge sur son ordinateur professionnel le logiciel de partage de données LimeWire, qui lui permet de télécharger les derniers morceaux de musique à la mode ou les films piratés qui viennent de sortir en salle. Il ne prête pas une grande attention au paramétrage des fichiers qui peuvent être échangés, et se trouve mettre à la disposition de tous les internautes qui recherchent ce type d'informations des fichiers confidentiels contenant des données relatives aux clients, aux nouveaux produits ou aux fournisseurs de l'entreprise. Dans le cas en question, ce sont les noms, les dates de naissance et les numéros de sécurité sociale (utilisés pour valider de nombreuses transactions financières aux USA) des riches clients qui ont été compromis. Ces données, visibles de tous sur Internet, peuvent ensuite être utilisées par des fraudeurs pour obtenir des cartes de crédit ou des service de téléphonie mobile au nom de leurs victimes.

Si de tels incidents sont hélas en train de devenir monnaie courante, on voit qu'ils n'impliquent pas des compétences techniques très développées de la part des fraudeurs, qui ont seulement à rechercher les fichiers abusivement partagés sur les sites "pair à pair" (P2P). Par ailleurs, dans ce cas particulier, 6 mois se sont écoulés avant que la faille ne soit découverte par l'entreprise victime, et l'alerte n'a pas été donnée par les services informatiques de l'entreprise mais par un internaute qui est tombé dessus par hasard.

Un tel niveau de négligence semble être la norme, puisqu'un rapport de la société Verizon Business portant sur 500 incidents de perte ou de vol de données personnelles recensés entre 2004 et 2007 fait apparaître que la découverte de tels incidents est dans 70% des cas le fait de tierces parties. Les procédures d'audit interne ou les technologies d'analyse des activités ne sont déterminantes, quant à elles, que dans 7% des incidents. On se demande à ce compte si les investissements en sécurité de l'information seront bien en mesure de produire des résultats escomptés, ou s'ils sont réalisés par les entreprises en pure perte.

Le coût des pertes et des vols de données pour les entreprises

2008-06-17T13:20:00.000-07:00

L'Union des consommateurs vient de conclure une entente avec l'Agence des douanes et du revenu du Canada, qui s'était fait subtiliser en 2003 dans ses bureaux de Laval (Québec) un ordinateur contenant les données personnelles de 120.000 contribuables. Vous pouvez lire les détails de l'entente, conditionnelle à une approbation de la Cour fédérale, ici. Un des éléments les plus intéressants de ce long document est le montant auquel chaque victime de ce vol de données personnelles est admissible: 200$ au maximum. Cela peut paraître négligeable, mais si l'ensemble des personnes concernées se manifestent, l'organisation négligente devra débourser près de 24 millions de dollars. Cela risque de faire réfléchir plusieurs responsables de la sécurité informatique, d'autant plus qu'aucune fraude n'a été déplorée et que les voleurs étaient certainement uniquement intéressés par le matériel.

Comment pirater des applications de banque en ligne

2008-06-15T08:55:00.000-07:00

Une longue vidéo fascinante d'une conférence de Fabrice Marie (un consultant en sécurité d'origine française mais qui donne sa présentation en anglais devant un public asiatique), qui porte sur les méthodes de piratage des systèmes bancaires en ligne. Cette présentation pleine d'humour a été faite il y a quelques années, mais elle reste selon moi d'une grande actualité (les diapos powerpoint sont disponibles ici).

Cette vidéo assez technique n'est pas seulement intéressante pour la démonstration qu'elle fait de la facilité avec laquelle il est possible de pénétrer des systèmes bancaires en ligne, mais surtout selon moi parce que Fabrice Marie nous explique comment réfléchissent les institutions bancaires dans leur processus de prise de décision et d'allocation des ressources informatiques, et dans quelle mesure la sécurité est rarement une préoccupation prioritaire. Il a également des mots assez durs contre la paresse des programmeurs qui créent ces applications en s'appuyant de manière systématique sur la technologie qu'ils maîtrisent le mieux, même si cette dernière n'est pas toujours la plus appropriée pour certaines situations spécifiques. Dit plus simplement, le choix des moyens n'est pas déterminé par les fins que l'on cherche à atteindre, mais plutôt par l'économie d'effort qui peut être obtenue. Qui plus est, la traçabilité des opérations (les "audit trails") semble assez inconsistante, voire inexistante.

Les outils qu'ils utilise sont très rudimentaires ("boring" comme il le dit lui-même), par contraste avec les applications qu'achètent les banques à prix d'or, et qui contiennent néanmoins un nombre important de failles, à moins que les acheteurs soient prêts à payer un supplément pour que ces failles soient réparées... Bref, une économie de la sécurité qui repose sur une délégation systématique des responsabilités et des risques aux acteurs les moins exigeants.

La cybercriminalité au Canada

2008-06-15T08:04:00.000-07:00

La Canadian Association of Police Boards, un regroupement d'organes de gouvernance policière sans équivalent au Québec, vient de publier un rapport commandé à la firme de consultants Deloitte sur l'état de la cybercriminalité au Canada. On peut se réjouir que les services de police et les instances qui les dirigent commencent à prendre conscience de la complexité de ce phénomène et des défis qu'il posera au cours des prochaines années à des organisations habituées à faire face à une criminalité physique relativement bien contrôlée.

On apprend notamment dans celui-ci que les efforts de lutte contre les cybercrimes restent de l'avis même des praticiens très cloisonnés, aussi bien à l'échelle internationale qu'à l'intérieur des juridictions nationales ou locales. Les collaborations entre les agences d'application de la loi, les entreprises et les centres de recherche universitaires restent encore trop peu nombreuses, malgré les expertises complémentaires qui résident au sein de chacun de ces groupes.

Les adaptation législatives requises semblent également souffrir d'une inertie préoccupante. Alors que le Canada figure parmi les signataires initiaux de la Convention sur la cybercriminalité du Conseil de l'Europe de 2001, aucune loi n'y a été votée au cours des sept dernières années afin de créer les délits qui correspondent aux énoncés de la convention, ou d'encadrer les techniques d'enquête et de collecte de la preuve afférentes à ce type particulier de crimes. Cette situation empêche la ratification de cette convention par le Canada.

Enfin, le rapport nous éclaire sur les adaptations qui seront requises de la part des services de police et des procureurs de la couronne. Alors que les policiers enquêteurs semblent bénéficier de manière croissante de formations adéquates (malgré des listes d'attentes importantes), les procureurs semblent encore avoir bien du mal à se familiariser avec cette nouvelle forme de délinquance dont la nature complexe est renforcée par une forte composante technique. La rétention de l'expertise s'avère également problématique, dans la mesure où les entreprises sont à la recherche des mêmes profils que ceux qui sont formés à grand peine dans les services publics, et qu'elles sont prêtes à leur offrir des rémunérations bien plus attractives.

Si ce rapport touche du doigt certaines problématiques encore marginales au sein des politiques publiques de sécurité, il souffre également de certains défauts qui viennent entâcher sa crédibilité. Tout d'abord, sa méthodologie est relativement floue et l'absence de détails sur l'ampleur des recherches menées nous permet mal d'évaluer la portée des affirmations sur lesquelles il s'appuie. Le nombre d'entretiens réalisés (63) ne figure ainsi pas dans le rapport lui-même mais se trouve plutôt dans la fiche d'accompagnement destinée aux médias, qui reste très évasive sur la représentativité des répondants et la nature plus ou moins approfondie des entretiens.

De surcroît, les statistiques mises de l'avant proviennent en majeure partie des États-Unis, sans que cette origine ne soit toujours clairement mentionnée, ce qui a pour effet de gonfler artificiellement la taille du problème dans un rapport qui est supposé nous renseigner sur la cybercriminalité au Canada. Cette pratique fort répandue trouve son origine dans le manque de données quantitatives disponibles localement, mais elle peut difficilement être justifiée, à moins que l'objectif recherché ne soit de créer délibérément une forme de panique morale qui force les différents ordres de gouvernement à agir dans l'urgence.

Ces glissements sont regrettables, dans la mesure où le problème qu'il met en lumière est bien réel, et est destiné à prendre de l'ampleur au cours des prochaines années comme en attestent les arrestations de plus en plus fréquentes de fraudeurs en ligne ou le démantèlement régulier de réseaux virtuels de pédophiles bien réels. La complexité des solutions qui seront requises pour faire face à ces formes nouvelles de crimes traditionnels, et les répercussions qu'elles produiront sur nos habitudes d'utilisation de l'Internet méritent sans doute un petit peu mieux qu'un appel à l'augmentation des ressources policières ou à l'adoption d'une nouvelle législation faisant du pourriel un délit.

L'humiliation publique des délinquants sur YouTube

2008-06-10T14:03:00.000-07:00

Un juge de Floride vient de trouver un nouvel usage à YouTube: Il vient de condamner deux adolescents à mettre en ligne une vidéo d'excuses publiques à la suite d'un incident dans le "drive-through" d'un restaurant Taco Bell. Les deux jeunes délinquants n'avaient en effet rien trouvé de mieux à faire pour se divertir que d'utiliser les verres en plastiques remplis de boissons gazeuses que venait de leur remettre une employée du restaurant comme d'un projectile contre cette dernière, et d'enregistrer cette scène d'anthologie au moyen d'une caméra vidéo, avant de diffuser le tout sur YouTube. D'après l'article du quotidien USAToday, cette pratique serait tellement répandue parmi les adolescents désoeuvrés des banlieues cossues américaines qu'elle aurait même un nom: le coup du "fire in the hole" (le feu dans le trou).

Le juge a décidé de retourner l'outil YouTube contre ceux qui comptaient s'en servir pour bénéficier d'une fugace notoriété, en les obligeant à enregistrer une vidéo de repentance et d'excuses qui peut être visionnée ici. Une des particularité de la vidéo est que l'identité des coupables est cachée, puisqu'ils sont mineurs. Il y a donc fort à parier que l'effet d'humiliation publique d'une telle peine soit pour le moins limité. Par ailleurs, un blogueur de SiliconValley.com se questionne à juste titre sur l'opportunité d'une sentence qui semble renforcer l'effet de médiatisation qui était recherché par les auteurs, en leur donnant l'occasion de se mettre en scène une deuxième fois et d'augmenter ainsi leur petite notoriété. Comme le précise la victime, elle aurait préféré que les deux adolescents lui adressent directement leurs excuses, plutôt que d'avoir à les visionner par l'intermédiaire de YouTube.

Le plus ironique de toute cette histoire est que le travail d'enquête n'est pas le résultat de la compétence de cyber-policiers. C'est en effet la victime elle-même qui a retrouvé les coupables sur Internet par le biais de la page MySpace de l'un d'entre eux, avant de se lier d'amitié virtuelle avec lui afin d'obtenir son nom, et d'appeler sa mère pour identifier l'autre personne impliquée. L'humiliation réside bien plus selon moi dans la facilité avec laquelle la victime a pu identifier les deux délinquants et transmettre leurs noms à la justice que dans la peine qui leur a été infligée par un système judiciaire qui semble avoir du mal à imaginer le rôle que les nouvelles technologies pourraient jouer dans le prononcé et l'administration de sanctions dissuasives et/ou réparatrices.

La police allemande développe des malwares

2008-06-02T08:07:00.000-07:00

Des documents rendus publics sur le site de diffusion anonyme de documents confidentiels Wikileaks, et analysés par des journalistes de Wired laissent entendre que la police allemande a pour projet de se lancer dans le piratage informatique. Ces documents, dont l'authenticité n'est pas établie mais qui correspondent au vote d'une loi encadrant ce type de pratiques, démontreraient qu'une entreprise privée de sécurité aurait été mandatée pour écrire un programme de type "Cheval de Troie" à implanter sur les machines des personnes ciblées et capable d'en lire le contenu ou d'intercepter des communications Skype. Ce service gratuit de téléphonie par internet pose un défi pour les services de police, dans la mesure où les méthodes d'encryptage des conversations qu'il utilise rendent les techniques traditionnelles d'interception et d'écoute obsolètes.

Le mode de collaboration entre la police et l'entreprise est assez original et aussi assez inquiétant, dans la mesure où le logiciel et son installation (ainsi que sa désinstallation) sur une machine ciblée font l'objet d'un contrat de location. Il faut donc en conclure que ce sont des intérêts privés qui vont appuyer les enquêteurs et récupérer les données très personnelles des individus sous enquête et de tous ceux qui utilisent leurs ordinateurs. Par ailleurs, comme le souligne l'article de Wired, l'entreprise a inclus dans son contrat des clauses limitant sa responsabilité, comme par exemple si un pirate assez doué met la main sur ce logiciel et est capable de l'utiliser à ses propres fins ou de le revendre sur le marché clandestin des malwares.

Big brother fait des petits

2008-06-01T15:46:00.000-07:00

Voici un lien vers une entrevue que j'ai accordée à Jacques Bertrand, animateur de l'émission Macadam Tribu sur la première chaîne de Radio-Canada, portant sur le thème de la surveillance. On y parle aussi bien de surveillance physique (les caméras de vidéosurveillance qui pullulent dans les lieux publics et privés) que de cyber-surveillance et de la pensée magique qui voudrait nous faire croire qu'une surveillance omniprésente est garante d'une plus grande sécurité.

La francisation des malwares

2008-05-24T12:07:00.000-07:00

Selon le blogueur spécialisé en sécurité informatique Dancho Danchev, le logiciel malveillant (malware ou maliciel) IcePack serait dorénavant disponible dans la langue de Molière. Cet outil de piratage bien décrit dans cet article de Zataz.com permet d'automatiser l'exploitation des vulnérabilités informatique et met ce type de pratiques à la portée de tous ceux capables de payer les 500 dollars qu'en demandent ses auteurs.

La mise à disposition d'une version française (qui suit de près la traduction de cet outil en chinois) risque d'augmenter considérablement les instances de vol d'identité ou de données personnelles dans les pays francophones, qui étaient jusqu'à présent quelque peu protégés par leur langue minoritaire à l'échelle mondiale. Danchev qualifie ce phénomène de "localisation", par opposition à la mondialisation. En effet, il s'agit ici de doter des outils universels de piratage informatique de propriétés qui les rendront plus efficaces dans certains contextes régionaux et qui faciliteront l'accès à des victimes potentielles jusque là plus ou moins épargnées. En tout cas, on ne pourra pas reprocher aux fraudeurs de faire la sourde oreille aux exceptions culturelles.

Dans l'antre des enquêteurs informatiques du FBI

2008-05-23T06:38:00.000-07:00

Le site Wired.com vient de mettre en ligne un photoreportage portant sur les nouveaux laboratoires d'analyses forensiques informatiques du FBI. Ces laboratoires d'expertise judiciaire (ou de police scientifique) spécialisés dans l'analyse des disques durs et autres appareils électroniques saisis au cours d'enquêtes criminelles sont au nombre de 14 aux États Unis. Créés récemment, ils ont déjà procédé à plus de 13.000 expertises pendant la dernière année. La nature de ces dernières n'est pas spécifiée, mais on apprend quand même qu'environ 17% des cas concernent de la pornographie juvénile, et 16% des affaires de meurtre.

Un pirate "efface" l'identité de plusieurs milliers de fonctionnaires en Australie

2008-05-19T15:59:00.000-07:00

Plus radical que n'importe quel plan de réforme de la fonction publique, un pirate a été accusé hier en Australie d'avoir paralysé pendant plusieurs heures le système informatique du gouvernement du Territoire du Nord et d'avoir par la même occasion fait disparaître l'identité d'environ 10.000 fonctionnaires. Ces incidents, qui se sont produits le 5 mai ont affecté les serveurs du ministère de la santé, de l'hôpital de Darwin (la capitale du territoire), de la prison locale et de la Cour suprême. L'auteur avait également en sa possession au moment de son arrestation des mots de passe appartenant au service de police.

Cette attaque a causé des dommages qui nécessiteront plusieurs mois de travail avant que la situation ne revienne à la normale. Pourtant, elle n'est pas le fruit d'un génie de l'informatique qui aurait exploité une vulnérabilité méconnue sans réaliser les conséquences de ses actes. Il s'agit plutôt de la vengeance d'un consultant de haut niveau qui était chargé d'assurer la maintenance de ces systèmes de janvier à avril, et qui a utilisé le compte d'un ancien collègue pour accéder aux serveurs qu'il souhaitait endommager.

Cet incident est loin d'être isolé si l'on en croit un rapport rendu public en 2004 par le Secret Service américain et l'Université Carnegie Mellon. Ce rapport met en effet en lumière à quel point la menace provenant de l'intérieur de l'organisation est tout aussi réelle mais sous-estimée en comparaison du spectre des menaces externes, et que bien souvent, trop peu de précautions sont prises pour protéger les systèmes informatiques et les données qu'ils contiennent lorsque des employés bénéficiant d'accès privilégiés quittent l'organisation en de mauvais termes avec leur hiérarchie ou leurs collègues.

De tels événements ne peuvent être prévenus par des solutions technologiques. De plus, ils ne requièrent bien souvent que des compétences techniques très élémentaires, et ne correspondent pas à un profil particulier d'employés, ce qui rend leur détection très difficile. Ce sont plutôt des politiques "défensives" et systématiques de gestion des privilèges d'accès et de "débriefing" qui doivent être mises en place, afin d'identifier de manière précoce les (ex)-employés susceptibles de recourir à de telles pratiques.

Quand les entreprises de publicité en ligne favorisent à leur insu la fraude

2008-05-04T15:12:00.000-07:00

Un billet disponible sur le blog CyberInsecure nous alerte sur les dangers que peuvent représenter certaines annonces publicitaires présentes sur des sites Internet légitimes. La dernière affaire en date implique Yahoo, dont la régie publicitaire s'est laissée berner par des fraudeurs. Ces derniers, profitant d'un système de commercialisation des espaces publicitaires fortement décentralisé et de la forte compétition qui règne dans ce domaine se sont portés acquéreurs de bandeaux qui tentent d'installer sur l'ordinateur des usagers des logiciels malveillants (malware ou maliciels), ces derniers ayant pour tâche de surveiller les activités en ligne des victimes et de tenter de s'emparer de données personnelles comme des mots de passe. Yahoo est le deuxième vendeur de publicité sur Internet par son chiffre d'affaire, mais Google Adsense, le leader sur le marché n'a pas été épargné, puisque des fraudeurs ont aussi réussi à s'offrir des publicités en apparence légitimes pour attirer leurs victimes sur leurs serveurs en avril 2007.

On le voit, la prévalence de la fraude sur Internet ne résulte pas seulement du manque de vigilance des internautes, mais aussi des contrôles parfois défaillants des services offerts aux entreprises et aux individus par les grands noms du Web. Le plus inquiétant dans cet incident est qu'il se serait écoulé cinq jours entre le moment où le problème a été signalé à Yahoo et la fermeture du compte problématique. On ne nous indique pas si Yahoo s'est bien fait payer pour chaque infection d'ordinateur qu'il a rendu possible...

Quand les pirates et les fraudeurs s'attaqueront directement aux équipements

2008-04-28T18:48:00.000-07:00

Un billet mis en ligne par Bruce Schneier sur son blog désire attirer l'attention sur un article scientifique qui explique comment des pirates pourraient concevoir et distribuer des circuits informatiques malicieux facilitant des attaques contre les ordinateurs équipés de ces circuits -- et les données personnelles qu'ils contiennent. Cet article démontre à quel point il serait facile à un groupe minimalement organisé de réaliser un tel 'exploit', et comment il permettrait à ses auteurs d'accéder à tous les mots de passe des utilisateurs de ces machines, ou même d'en prendre le contrôle de manière aisée. L'avantage d'une telle stratégie est d'ailleurs relativement facile à comprendre: les systèmes actuels de sécurité informatiques sont principalement orientés vers la défense de l'intégrité des logiciels, et les équipements en tant que tels ne font pas l'objet d'une surveillance aussi approfondie.

Dans la mesure où une part de plus en plus importante des équipements informatiques et de télécommunications sont fabriqués dans des pays où la chaîne d'approvisionnement et de fabrication n'est pas toujours très transparente ni intègre, on peut craindre que telles attaques ne deviennent une réalité dans un avenir relativement proche. D'ailleurs, plusieurs exemples de virus informatiques implantés dans les usines de sous-traitants de grandes marques informatiques sur des produits tels que des lecteurs de musique ou des cadres de photo numériques au cours des derniers mois attestent de la faisabilité de telles pratiques. Il serait à cet égard surprenant que les services de renseignement occidentaux, mais aussi asiatiques, n'aient pas adopté une telle approche afin de pénétrer de manière plus ou moins extensive les systèmes informatiques de leurs adversaires. En effet, à l'heure de la mondialisation, même les systèmes les plus vitaux d'une économie ou d'un gouvernement sont achetés aux prix les plus bas du marché.

Les banquiers anglais veulent limiter leur responsabilité

2008-04-22T16:43:00.000-07:00

Selon le site ComputerworldUK, les banques anglaises seraient en train de modifier leur code de conduite afin de limiter leur responsabilité de remboursement en cas de fraude. Les clients victimes devront en effet bientôt être en mesure de prouver qu'ils ont régulièrement mis à jour leurs logiciels antivirus et anti-spyware afin d'être dédommagés. Dans le cas contraire, ils seront considérés comme imprudents dans leur utilisation d'Internet, et devront assumer seuls la responsabilité financière de la fraude. Cette nouvelle approche semble indiquer que les pertes absorbées par les banques en raison des fraudes en ligne deviennent de plus en plus lourdes, et que la politique actuelle de compensation relativement généreuse risque d'être remise en question à plus ou moins brève échéance, que ce soit en Angleterre ou ailleurs.

On peut penser que cette responsabilisation des usagers risque de devenir la norme dans un avenir pas si éloigné que cela. J'aime utiliser l'analogie de la sécurité routière, qui nous montre comment l'encadrement réglementaire d'une révolution technologique s'est construit tout au long du 20ème siècle. Étant donné que nous sommes entrons tout juste dans la deuxième décennie de l'utilisation populaire de l'Internet, nous pouvons anticiper de nombreux changements dans les normes en matière de sécurité en ligne. Par contre, un récent sondage mené aux USA par la National Cyber Security Alliance montre à quel point les usagers individuels restent encore mal équipés pour prendre le contrôle de leur sécurité informatique.

On y apprend en effet que plus de 50% des utilisateurs n'ont pas changé le mot de passe de leur ordinateur depuis plus d'un an, et que 71% n'ont pas la moindre idée de ce que à quoi le terme 'botnet' fait référence (alors qu'il s'agit de l'une des principales menaces en matière de fraude informatique à l'heure actuelle). 46% se disent désemparés et ne sauraient pas quoi faire s'ils devenaient victime d'un 'cybercrime', et une proportion équivalente (48%) déclare ne pas savoir comment se protéger contre les 'cyber-délinquants'. Ce énième sondage ne nous apprend peut-être rien de bien nouveau, mais il a le mérite de montrer que les programmes d'information du public et de prévention ont encore bien du travail à accomplir.

D'ailleurs, pour prolonger l'analogie de la sécurité routière, pouvez-vous vous rappeler la dernière campagne publique de sensibilisation au vol d'identité ou à la fraude informatique à laquelle vous avez été exposés?

Les fraudeurs ciblent les dirigeants d'entreprises

2008-04-16T16:44:00.000-07:00

Un article publié par Siliconvalley.com fait état d'une nouvelle approche déployée par les pirates informatiques et les voleurs d'identité pour se procurer des informations personnelles à forte valeur ajoutée. En effet, une épidémie de courriels adressés à de hauts dirigeants d'entreprises américaines joue sur la peur qu'ont ces derniers de se voir intenter un procès pour les convaincre de télécharger un fichier contenant un programme malicieux (malware en bon français). Le courrier électronique qu'ont reçu des milliers de dirigeants semble en effet provenir de la Cour du district de San Diego (qui affiche d'ailleurs un message de mise en garde sur son site), et les invite à se présenter devant cette dernière pour témoigner dans une plainte civile. Chaque courriel contient le nom, le numéro de téléphone et la raison sociale de l'entreprise du destinataire, ce qui renforce considérablement la force de persuasion du stratagème, puisque l'émetteur semble connaître personnellement la victime.

Le document légal expliquant la cause en attachement au courriel contient en fait un programme qui une fois téléchargé enregistre les mots de passe des utilisateurs et permet aux pirates de prendre le contrôle de la machine infectée. Seulement 40% des logiciels anti-virus seraient capables de détecter ce programme. Plusieurs milliers de victimes auraient été recensées.

Cette démarche est intéressante à plusieurs titres:

Tout d'abord, les fraudeurs ciblent leurs victimes de manière beaucoup plus sélective en consacrant plus de temps et d'efforts à des personnes dont les machines donnent accès à de plus grandes quantité d'informations personnelles, à des comptes bancaires à priori mieux remplis et à des systèmes informatiques plus sensibles;
Par ailleurs, le stratagème employé pour convaincre les victimes d'ouvrir un document infecté ne repose pas sur l'appât du gain, comme dans les fraudes classiques, mais sur la crainte d'être pris en défaut de conformité, ce qui est beaucoup plus problématique dans un contexte où l'on veut promouvoir une culture de la sécurité;
Enfin, il semble que les logiciels malicieux utilisés, conçus sur mesure et diffusés de manière restreinte, soient beaucoup plus difficile à détecter et éradiquer que les virus informatiques à forte propagation.

On peut bien épiloguer sur la baisse des prix des numéros de cartes de crédit volées, qui se braderaient sur Internet en raison de la forte compétition sur les marchés illicites, mais il semble que les fraudeurs disposent encore de ressources insoupçonnées pour tirer profit de la crédulité de leurs victimes, quel que soit le statut social de ces dernières.

Le grand défi technologique d'un cyberespace sûr

2008-02-25T17:20:00.000-08:00

L'Académie Nationale d'Ingénierie des États Unis vient de rendre public un rapport d'experts qui identifie 14 défis technologiques pour le 21ème siècle, parmi lesquels figure la nécessité d'accroître la sécurité du cyberespace, aux côtés du besoin de fournir un accès généralisé à l'eau potable ou de comprendre l'architecture et le fonctionnement du cerveau humain.

Selon les experts consultés, on retrouve parmi les éléments qui contribueront à un Internet plus sûr la conception de logiciels moins vulnérables, ainsi que l'amélioration de l'intégrité des flux de données qui transitent sur le réseau des réseaux. Le rapport préconise une meilleure prise en compte de la psychologie des usagers, qui préfèrent souvent la facilité d'usage à une sécurité pesante à mettre en oeuvre. Les facteurs sociaux et culturels influençant les relations qu'entretiennent les usagers avec leurs machines -- et les risques qui en découlent -- devraient également faire l'objet de recherches plus poussées, au même titre que les motivations et les méthodes des délinquants technologiques. Il est enfin recommandé de se pencher sur les stratégies de régulation à la disposition des États et des entreprises.

Si le détail des pistes proposées nous laisse sur notre faim par son manque d'originalité, la présence de cette problématique dans une liste de problèmes technologiques que l'humanité devra résoudre dans des délais rapprochés nous rappelle à quel point il est dorénavant indispensable de concevoir la sécurité comme relevant d'une double réalité: la sécurité du monde physique et celle des mondes virtuels, dont le couplage est de plus en plus serré, et dont on a encore du mal à comprendre les interdépendances.

Vol de données personnelles chez Bell

2008-02-17T13:55:00.000-08:00

Si vous habitez au Québec ou en Ontario, et que la nouvelle du vol de données personnelles concernant 3,5 millions de clients de la société de télécommunication Bell vous a échappée, ce n'est pas très surprenant. En effet, les médias canadiens ont été plutôt circonspects sur cet événement qui me semble loin d'être anodin.

Cet incident majeur a été rendu public par Bell le 12 février dernier. L'entreprise annonçait dans un communiqué de presse le vol de fichiers informatiques par un suspect arrêté quelques heures auparavant par la police de Montréal. Le communiqué de presse minimisait considérablement la portée de l'incident en insistant sur le fait que les données concernées ne contenaient pas de renseignements bancaires, et que l'ensemble des données avaient été récupérées. Les médias semblent avoir accepté cette version de manière assez peu critique. Prenez par exemple La Presse Affaires, qui a titré: "Bell récupère les données volées de 3,4 millions de clients", plutôt que de mettre de l'avant le vol qui avait précédé l'arrestation du suspect.

Il y aurait pourtant un peu plus à dire sur cette affaire que la version soigneusement édulcorée relayée par la presse:

Comment un tel vol a-t-il été rendu possible, et quel stratagème a été employé par le suspect? S'agissait-il par exemple d'un exploit technique ou bénéficiait-il au contraire de complicités internes?
Si Bell, qui dispose des systèmes et des procédures de sécurité informatique les plus perfectionnés au Canada n'est pas à l'abri d'un vol aussi massif de données, qu'est ce que cela nous dit sur la protection dont bénéficient les informations personnelles que conservent de plus petites entreprises ne disposant pas de budgets et de compétences informatiques aussi importants?
Les données qui ont été récupérées étant numériques, et donc duplicables à l'infini, rien ne permet d'affirmer qu'elles n'ont pas été copiées et diffusées par le suspect, du moins tant qu'une expertise complète de son matériel informatique n'aura pas été réalisée. Il semble donc un peu tôt pour écarter toute possibilité de fraude future.
Même si les données volées ne permettent pas en tant que telles de commettre des fraudes financières, elles pourraient être utilisées par des fraudeurs pour mieux cibler leurs victimes. Ces derniers pourraient par exemple se faire passer pour des employés de Bell et sous prétexte de revoir leurs services obtenir des informations beaucoup plus sensibles. Le risque ne réside donc pas dans les données volées, mais dans la capacité que ces dernières offrent à des fraudeurs potentiels d'établir une relation de confiance avec leurs victimes.

Il n'y a finalement que la Commissaire à la protection de la vie privée du Canada qui ait demandé à Bell de fournir des explications plus détaillées, notamment sur les raisons du délai de plusieurs semaines qui s'est écoulé entre la découverte par Bell du vol et sa révélation au public.

La cyberintimidation: une spécificité adolescente?

2008-01-14T05:27:00.000-08:00

La journaliste Émilie Côté nous propose ces jours-ci dans le quotidien La Presse une série d'articles forts bien documentés sur la cyberintimidation et sur les conséquences dévastatrices pour ceux qui en sont les victimes. La cyberintimidation recouvre les menaces et insultes proférées entre adolescents par le biais des divers outils de communication comme l'Internet ou les téléphones cellulaires (pour les adultes, on parle de cyberharcèlement). La distinction fondamentale avec les pratiques d'intimidations traditionnelles enregistrées dans les cours d'école est la permanence de la victimisation et l'impact disproportionné sur ceux qui en sont l'objet.

En effet, alors que les intimidations traditionnelles cessent une fois l'élève rentré chez lui, la cyberintimidation prolonge son calvaire en s'infiltrant aussi dans sa vie privée et en se rappelant constamment à lui. De plus, les rumeurs colportées ne dépassent pas dans les cas d'intimidation traditionnelle le cercle relativement restreint des élèves d'une école, alors que sur Internet, le public potentiel de tels actes est quasiment illimité et qu'il est beaucoup plus difficile de tirer un trait sur des informations diffamatoires qui vont rester en ligne pour une durée indéfinie.

Émilie Côté revient dans ses articles sur l'ampleur du phénomène au Québec et au Canada. Elle nous donne quelques exemples concrets de pratiques de cyberintimidation et traite des conséquences parfois irrémédiables (suicide) pour les victimes. Elle nous montre que depuis que les professeurs sont aussi visés, les programmes de prévention se mettent en place plus facilement, car ces derniers sont représentés par des syndicats puissants, contrairement aux élèves dont les parents peuvent difficilement influencer le fonctionnement des établissements. Finalement, la question des sanctions judiciaires et de la difficulté à les mettre en oeuvre est abordée.

Ces comportements devraient être étudiés d'autant plus près et prévenus qu'un sondage récent mené aux États-Unis sur un échantillon de plusieurs milliers de jeunes montre qu'ils sont en recrudescence et que les relations entre adolescents sur Internet ont tendance à devenir de plus en plus inciviles.

Facebook, confiance et hameçonnage

2008-01-04T06:55:00.000-08:00

Le site Wired signale un des premiers cas d'utilisation systématique de Facebook, le site de gestion des réseaux sociaux qui est utilisé par plus de 40 millions d'internautes, par des fraudeurs qui cherchent à s'emparer du mot de passe de leurs victimes. Cette pratique, connue sous le nom d'hameçonnage (ou de phishing en bon français) est plus souvent pratiquée pour obtenir les données de connexion à des comptes bancaires. Elle consiste à rediriger les internautes vers des serveurs illégaux qui ont toute l'apparence visuelle des sites que ceux-ci fréquentent d'habitude, et à les convaincre d'introduire leur nom d'usager et leur mot de passe. Afin de ne pas éveiller la suspicion des victimes, celles-ci sont ensuite renvoyées sur le site original qu'elles souhaitaient consulter, mais les fraudeurs ont désormais un accès privilégié à leurs comptes bancaires ou d'utilisateur.

Dans le cas de Facebook, la confiance qui lie les "amis" utilisant cette application est mobilisée pour convaincre certains usagers de consulter des photos compromettantes de connaissances. Celles-ci n'existent bien évidemment pas, mais avant de s'en rendre compte, les internautes auront saisi leur mot de passe sur un serveur localisé en Chine. L'intérêt de disposer du mot de passe d'un compte Facebook réside dans le fait que les internautes utilisent fréquemment le même terme ou la même combinaison de lettres et de chiffres pour protéger leurs données, et que les fraudeurs peuvent alors essayer de prendre le contrôle d'autres comptes (eBay, Amazon, etc...) pouvant être plus facilement monétisés. Par ailleurs, cette brêche permet au fraudeurs d'installer plus facilement sur l'ordinateur de la victimes des logiciels d'enregistrement de frappe du clavier (keyloggers), des chevaux de Troie, et d'expédier des spams ciblés en fonction des informations glanées sur les profils des internautes. Le même article signale que le site MySpace est également affecté par ce type de fraudes.

La Roumanie, leader mondial de la fraude sur les sites de ventes aux enchères?

2007-12-27T19:24:00.000-08:00

Un article publié dans le Los Angeles Times nous explique comment les fraudeurs roumains semblent avoir peaufiné l'art de la fraude sur les sites de ventes aux enchères, dont le plus connu est certainement eBay. Les fraudes impliquent soit la non livraison d'un bien promis, malgré le paiement par la victime, soit la livraison d'un bien qui ne correspond pas aux spécifications annoncées. Une autre variante est la fraude de la "deuxième chance", qui consiste pour les fraudeurs à contacter une personne ayant participé à une enchère sans avoir remporté cette dernière et à lui proposer un produit identique au prix qu'elle était prête à payer -- ou à un montant inférieur pour rendre l'offre encore plus attractive. Les sites d'enchères permettent dans ce dernier cas aux fraudeurs d'identifier des victimes à la recherche d'un produit en leur faisant savoir combien celles-ci sont disposées à dépenser pour obtenir celui-ci.

L'article examine l'organisation et la division du travail au sein des groupes de fraudeurs, qui emploient des étudiants pour contacter à la chaîne leurs futures victimes et des "mules" pour rapatrier l'argent transféré par le biais d'entreprises spécialisées comme Western Union. Ces groupes créent parfois également des entreprises de fournisseurs d'accès à Internet, afin de faciliter leurs opérations. L'article décrit le sentiment d'impunité qui anime les fraudeurs face à des services de police et des systèmes judiciaires de pays de l'ancienne Europe de l'Est mal équipés pour faire face à une criminalité aussi sophistiquée.

L'aspect le plus intéressant est cependant la description de l'implication d'eBay auprès des agences d'application de la loi roumaines, sous la forme de séances de formation offertes aux policiers et aux juges, d'équipements informatiques neufs et d'abonnements à Internet destinés à ces derniers. L'étroite collaboration entre le service des fraudes de l'entreprise et les organisations policières américaines présentes à l'étranger est également mise de l'avant, même si de l'aveu des acteurs impliqués, les spécificités du système judiciaire local rendent les poursuites pénales très lentes. À partir de cette expérience, eBay aurait développé un programme de sensibilisation des autorités étrangères prêt à être déployé au moindre signe qu'une région du monde est en train de développer une expertise de niveau international en matière de fraude.

Il serait intéressant de connaître les détails de ce programme. Mais il est également fascinant de voir quel rôle jouent des entreprises privées dans la gouvernance internationale de la sécurité informatique, essayant de se substituer avec des moyens dont il est difficile d'évaluer l'ampleur à des services de police et à des organisations internationales de coopération policière (Interpol, Europol) qui semblent pour le moins démunis.

Les sites internet des ambassades de France au service des fraudeurs

2007-12-23T13:37:00.001-08:00

Le site français Zataz a révélé il y a quelques jours que le site Internet de l'ambassade de France en Libye avait été infecté par un code malicieux (malware), qui cherche à télécharger sur les ordinateurs des internautes qui le consultent des programmes d'enregistrement clandestin de frappes de clavier. Ces programmes enregistrent les mots de passe des Internautes et les expédient aux pirates qui s'en servent ensuite pour prendre le contrôle de leurs comptes bancaires, d'email gratuit ou Ebay. Zataz a mis à la disposition des internautes la vidéo suivante, qui illustre le fonctionnement du programme:

Hier, il semblait que l'ambassade de France en Israël ait connu le même sort.

Ces récents développements démontrent que la langue ne constitue plus un facteur de protection contre des pirates qui ciblaient jusque là principalement des sites anglophones. Par ailleurs, les administrations qui se dirigent vers un modèle de gouvernement en ligne vont devoir guarantir à leurs usagers des accès parfaitement sécurisés, au risque d'éroder une part importante de leur légitimité.

Les campagnes de prévention facilitent-elles le travail des fraudeurs?

2007-12-22T16:34:00.000-08:00

Une fraude actuellement menée à grande échelle en Ontario exploite la peur du vol d'identité de la population. Les fraudeurs se font ici passer pour des représentants de la Direction de la protection des consommateurs de l'Ontario, et font croire à leurs victimes que celles-ci ont fait l'objet d'un vol d'identité, puis les persuadent de leur communiquer les informations relatives à leurs comptes bancaires sous le prétexte qu'ils vont les aider à transférer leur argent en lieu sûr. L'efficacité de cette méthode (qui n'est pas nouvelle en soi) s'appuie en grande partie sur les campagnes de sensibilisation menées au Canada et aux États-Unis par les divers ordres de gouvernement et par les institutions bancaires, qui mettent en garde les consommateurs contre divers usages frauduleux de leurs renseignements personnels. Le ressort de l'arnaque consiste ici à retourner l'anxiété créée par de telles campagnes au profit des fraudeurs et à convaincre les victimes que ces derniers sont là pour les aider, la confiance ainsi établie permettant de finaliser la fraude.

Cette approche illustre parfaitement la forte composante d'ingénierie sociale mise en oeuvre par les fraudeurs, et les limites des préconisations "statiques" ou techniques faites aux consommateurs, comme par exemple de se procurer une déchiqueteuse de papier. Devant la créativité des fraudeurs, des recommandations trop spécifiques risquent d'être rapidement périmées, et on devrait certainement plutôt s'orienter vers des campagnes qui visent à changer les comportements des consommateurs, dont le sens critique vis-à-vis des diverses institutions leur demandant des renseignements personnels pourrait être avantageusement renforcé.

Doit-on criminaliser la négligence?

2007-11-29T19:44:00.000-08:00

Le site ComputerWorld UK a fait état il y a quelques jours d'une démarche relativement novatrice de la part du Commissaire de l'information anglais, dont le mandat est de veiller à la protection des données personnelles des citoyens britanniques. Celui-ci a en effet demandé au ministre de la justice d'examiner la possibilité de criminaliser les négligences manifestes des principes de protection des données personnelles, quand celles-ci résultent dans des conséquences importantes pour les victimes. Les employés d'entreprises ou de services publics qui se font voler ou qui perdent des ordinateurs portables contenant des millions de dossiers personnels sans avoir pris des mesures élementaires de protection (comme l'utilisation de logiciels de cryptage) s'exposeraient à des poursuites pénales, si cette proposition donnait lieu à une loi.

On peut imaginer qu'une mesure aussi draconienne aura du mal à s'imposer, mais elle ne fait que rappeler avec quelle nonchalance nos informations personnelles sont traitées par les organisations à qui nous les confions, et que des incitatifs bien plus contraignants que la seule atteinte à la réputation des fautifs seront requis afin de modifier les comportements.

Une série d'articles sur la cybercriminalité

2007-11-21T16:56:00.000-08:00

Le San José Mercury News vient de mettre en ligne une série de trois articles sur les vols d'identité commis en ligne (en anglais) qui offre une vision d'ensemble de ce phénomène complexe. L'intérêt de ces articles est qu'ils abordent tour à tour le problème selon la perspective des fraudeurs, des institutions publiques et privées détentrices de nos données personnelles, et de celles chargées de nous protéger de ce type d'incidents.

C'est cette troisième section qui m'a le plus intéressé, notamment car elle illustre parfaitement les difficultés que rencontrent les services de police dans ce domaine. Elle s'applique bien évidemment avant tout au contexte américain, mais elle contient cependant selon moi un certain nombre de constats universels:

Tout d'abord, malgré la couverture médiatique de plus en plus importante de ce phénomène, les budgets spécifiquement alloués pour combattre ce type de crimes restent minimes en comparaison des montants dépensés pour la lutte contre le terrorisme par exemple;
Les responsabilités sont encore trés fragmentées devant ce phénomène relativement nouveau, et cette dispersion des moyens nuit à un leadership efficace;
Les caractéristiques de cette criminalité (multi-juridictionnelle, à faible impact individuel mais à fort volume, faisant appel à des supports techniques complexes et distribués...) se prêtent mal au modèle traditionnel de l'enquête policière;
Les compétences très pointues acquises par certains policiers dans ce domaine sont fréquemment dilapidées par les politiques de rotation fréquentes, qui les affectent à d'autres fonctions au moment même où ils deviennent opérationnels;
De nombreux policiers expérimentés font défection vers le secteur privé, qui leur fournit de meilleurs salaires et la possibilité de se consacrer exclusivement à ce type de crimes;
Le choix de former des policiers enquêteurs à l'informatique, plutôt que d'embaucher des dîplomés en informatique qui seraient formés aux techniques d'enquête, constitue une contrainte importante à l'accumulation d'expertise au sein des organisations policières.

Peut-être voyez-vous d'autres obstacles qui m'auraient échappé?

Les réseaux sans fil des commerces de détail mal protégés

2007-11-18T18:27:00.001-08:00

Le Washington Post rapporte les résultats d'une étude conduite par une entreprise spécialisée dans la sécurité des réseaux sans fil (Wi-Fi en bon français), AirDefense, dans plusieurs grandes villes américaines et européennes (dont Paris). L'objectif de cette enquête était de tester les niveaux de sécurité des réseaux déployés par les commerces de détail. Ces réseaux sans fils leurs servent notamment à transmettre des informations entre les terminaux de paiement et les réseaux filaires. Pour mesurer la sécurité de ces réseaux, les employés d'AirDefense ont parcouru les rayons de plus de 3000 commerces (appartenant à de grandes chaînes aussi bien qu'indépendants) équipés de sacs à dos contenant un ordinateur portable connecté à une antenne Wi-Fi de 1o centimètres.

Les résultats de cette étude menée volontairement à quelques semaines des fêtes de fin d'année, qui constituent une période d'achats intenses, montrent à quel point cette technologie est potentiellement à l'origine d'importantes vulnérabilités:

Des 2500 appareils connectés à des réseaux sans fil identifiés, 85% auraient pu être facilement compromis;
Des 5000 points d'accès à des réseaux filaires, 25% n'étaient pas cryptés, et 25% utilisaient le protocole de cryptage le plus ancien et le plus facile à pénétrer (WEP).

À l'instar de l'entreprise TJX, qui a été impliquée au début de l'année dans le vol de 45 millions de dossiers personnels appartenant à ses clients par le biais de son réseau sans fil, il semble que de nombreux commerces accordent encore une bien plus grande attention à la sécurité physique de leurs magasins (systèmes de protection contre le vol, de vidéosurveillance et agents de sécurité) qu'à celle des masses d'informations personnelles qu'ils recueillent chaque jour.

Le marché clandestin du vol d'identité

2007-11-16T14:38:00.000-08:00

Le site CIO.com a réalisé une enquête trés fouillée sur le marché des identité volées et le modèle de service qui est développé par certains fraudeurs. En effet, ces derniers proposent un abonnement mensuel à leur site, qui permet à toute personne intéressée d'accéder à des ordinateurs infestés par des logiciels malfaisants (malware) et contrôlés par un botnet, le prix étant fixé en fonction de la quantité des ordinateurs compromis et de la qualité des informations disponibles. Ainsi, les ordinateurs infectés depuis plusieurs mois sont moins onéreux que ceux nouvellement mis sur le marché, les propriétaires de ces derniers n'ayant pas encore eu le temps de détecter la fraude dont ils sont les victimes.

Cette série de trois articles est accompagnée d'une vidéo de quelques minutes qui nous offre une visite guidée de l'un de ces sites (fermé depuis), et illustre le degré de sophistication technique atteint par certain fraudeurs, qui adoptent des stratégies directement inspirées des meilleurs ouvrages de management.

Comment pirater un compte bancaire en ligne

2007-11-07T17:17:00.000-08:00

Petite vidéo éducative sur le mode opératoire des pirates qui prennent le contrôle de comptes bancaires... et raison supplémentaire de ne pas ouvrir les pourriels qui encombrent nos boîtes aux lettres électroniques (source Suisse, mais le principe s'applique partout).

via .:d4 n3wS:.

L'explosion de la bulle immobilière US et le vol d'identité

2007-11-01T10:34:00.000-07:00

Le Wall Street Journal a publié il y a quelques jours un article faisant état des conséquences directes sur le vol d'identité de l'explosion de la bulle immobilière US et de la crise du crédit 'subprime'. En effet, d'innombrables courtiers qui commercialisaient les prêts à hauts risques se retrouvent en situation de faillite, et ne sont plus capables de garantir l'intégrité des données personnelles de leurs clients, qui en plus d'être expulsés de leur maison pourraient faire face à des fraudes. Les disques durs des entreprises de crédit facile en liquidation regorgent également de fichiers contenant les histoires financières détaillées de leurs clients, ou de ceux qui leurs avaient demandé un prêt.

On le voit encore une fois, en l'absence de cadre régulatoire explicite concernant le stockage des données personnelles, y compris en cas de disparition de l'entreprise qui les détenaient, les chances sont élevées de voir augmenter les risques de vol d'identité au gré des difficultés éprouvées par certains secteurs de l'économie. L'immobilier américain est sur la sellette aujourd'hui, mais l'explosion de la bulle du Web 2.0 qui ne manquera pas de se produire dans quelques mois ou quelques années (combien de sites de réseaux sociaux peut-on encore créer?) devrait également donner lieu à de nombreuses pertes de données privées, qui pourront s'avérer très pratiques pour les voleurs d'identité.

Une initiative de prévention décriée dans le New Jersey

2007-10-28T15:50:00.000-07:00

Le procureur général de l'état du New Jersey, aux États-Unis, a demandé à quatre grandes banques de lui communiquer les mesures qu'elles prennent pour combattre le vol d'identité, et notamment l'hameçonnage (ou phishing), qui consiste à obtenir frauduleusement des données personnelles (numéros de comptes, codes secrets) à l'aide de courriers électroniques prétendument expédiés par des entreprises légitimes. Cette initiative qui vise à obtenir une plus grande transparence de la part des institutions financières est louable. En effet, on suspecte que les critères de revenu et de profitabilité restent un obstacle de taille se dressant sur le chemin d'une plus grande sécurité de l'identité dans les transactions en ligne.

Cependant, le second volet de cette campagne, qui encourage les banques à communiquer avec leurs clients par courriel afin de les informer qu'elles ont été victimes de ce type de fraude et de les conseiller sur les meilleurs moyens de s'en protéger, est plus douteux. En effet, comme le soulignent les experts consultés par les journalistes du Washington Post, cette initiative pourrait être exploitée par des fraudeurs qui se serviraient de sa médiatisation pour envoyer leurs propres courriels à des victimes potentielles. Dans un tel cas de figure et malgré toute la bonne volonté du monde, le procureur crée les conditions d'une victimisation accrue en conférant une crédibilité additionnelle aux missives des fraudeurs. Une prise de contact plus personnalisée et difficile à contrefaire, comme une lettre sur support papier, une visite en personne à son conseiller bancaire ou un séminaire organisé dans chaque succursale seraient de loin préférables.