"Se faire battre est excusable, se faire surprendre est impardonnable" Napoléon
| Le tribunal de Duesseldorf a rejeté vendredi le recours déposé par sept étudiants en Rhénanie du Nord-Westphalie (ouest de l'Allemagne) qui protestaient contre le quadrillage informatique lancé dans le pays afin de retrouver la piste d'éventuels terroristes. Le tribunal a estimé justifiées de telles mesures en raison du danger actuel pour la sécurité en Allemagne, né du fait que l'Allemagne a fait part de sa "solidarité sans condition" avec les Etats-Unis après les attentats du 11 septembre. L'annonce du recours avait été faite par l'avocat des sept étudiants le 15 octobre 2001. Les plaignants - un Jordanien, un Marocain et cinq Allemands - contestaient l'existence de "soupçon d'une exceptionnelle gravité" justifiant le contrôle des dossiers d'inscription universitaire, selon leur avocat, Wilhelm Achelpoehler. Le quadrillage, qui fonctionne selon le principe du recoupement de fichiers informatiques, a été mis au point dans les années 1960 par la police criminelle fédérale (BKA).Tageblatt 03.11.2001 | Traité européen contre la cyber-criminalité : Le travail des policiers consiste de plus en plus en un va-et-vient entre le travail de terrain traditionnel et les forums de discussion internet, afin de suivre à la trace les criminels qui utilisent le réseau mondial pour planifier tous les types de délits, de la fraude à la carte bancaire au meurtre, expliquent des enquêteurs. L'année dernière, le futur secrétaire général d'Interpol, Ronald Noble, avait déclaré que la criminalité utilisant les hautes technologies était "une des nouvelles menaces pour la sécurité." Une de ses premières décisions à la tête d'Interpol a été de tripler la taille de la division de lutte contre le cybercrime et d'accroître son budget, a déclaré Michael Holstein, des services d'information d'Interpol. Michael Holstein a précisé qu'une des principales fonctions de la division était d'établir pour les 179 états membres de l'organisation une procédure standardisée pour la collecte de preuves informatiques, des peuves que les magistrats reçoivent souvent avec réticence. Les gouvernements tentent d'accroître leurs pouvoirs en matière de surveillance en ligne. John Ashcroft, par exemple, a demandé à une commission parlementaire d'élargir ses prérogatives en matière d'écoutes téléphoniques et de surveillance d'internet afin de l'aider dans "la guerre contre le terrorisme." Le Congrès américain a bien adopté une loi accroissant les pouvoirs de Washington en matière de sécurité, mais la requête d'Ashcroft a été rejetée, en partie sous la pression des groupes de défense des libertés civiles, inquiets du renforcement des pouvoirs policiers. Le Conseil de l'Europe a approuvé en septembre la convention sur le cybercrime, un traité qui met en place les principes d'une future législation conduisant à un renforcement du partage d'informations entre les pays pour lutter contre le développement de la cybercriminalité. Le traité n'a pas force de loi et devrait, pour être contraignant, être adopté par 43 pays européens et cinq autres pays, dont les Etats-Unis, le Canada et le Japon. Il couvre des domaines criminels aussi divers que la fraude sur internet, la pédophilie et les infractions sur les réseaux informatiques. Il met aussi en place des procédures mondiales pour les enquêtes sur les ordinateurs, l'interception des e-mails et l'extradition des suspects. Cela pourrait prendre des années avant que la plupart des pays transforment les recommandations du Conseil de l'Europe en lois. Mais des observateurs soulignent que les effets sont déjà visibles et que, depuis le 11 septembre, les enquêteurs partagent leurs informations plus régulièrement. (publicité) Reuters 07.11.2001 | Les attaques du 11 septembre sur New York et Washington ont mis en évidence, s'il en était besoin, l'importance prise par la traque informatique dans les enquêtes criminelles. Les agents du FBI ont ainsi confisqué deux ordinateurs d'une bibliothèque municipale de Delray Beach, en Floride, qui avaient été utilisés par des suspects des attentats. Une analyse des disques durs a permis, en analysant les empreintes électroniques laissées par les pirates de l'air présumés, de remonter une filière de complicités mondiales, avec des ramifications en Allemagne, en Arabie saoudite et en Afghanistan. L'Attorney general américain (ministre de la Justice) John Ashcroft avait déclaré à une commission parlementaire en septembre que les suspects avaient téléchargé "des informations en assez grand nombre" sur le traitement des champs à l'insecticide. Cette découverte avait conduit le gouvernement américain à clouer au sol temporairement tous les avions d'épandage. L'informatique, et plus particulièrement internet, sont devenus des outils essentiels pour les enquêteurs. La garde cvile espagnole utilise ainsi son site officiel pour mettre en garde la population contre les nouvelles menaces criminelles et pour réunir des renseignements. Les gouvernements japonais et sud-coréen ont commencé a travailler en partenariat avec le secteur privé pour venir à bout du piratage informatique. Mais dans le même temps, la pénétration mondiale d'internet a permis le développement d'un nouveau type de délits sans frontières, reconnaissent les gouvernements. "Ce qui sera intéressant à observer sera la prochaine génération," a déclaré un enquêteur d'un centre londonien d'information sur la criminalité (National Crime Information Center). Selon lui, l'intérêt des enquêteurs pour ces délits liés à internet sera nettement renforcé quand les auteurs risqueront des peines de prison, ce qui permettra aussi de mieux cerner le phénomène. Il n'y a pour le moment pas de statistiques fiables sur les crimes informatiques car de nombreux incidents ne sont pas rapportés, ajoutent les gouvernements. Reuters 07.11.2001 |
| AloneTrio a été arrêté après de nombreux piratages de serveurs. En fait, il cherchait du travail et "affichait" son CV sur les pages d´accueil de sites web. Il raconte sa vie à la presse. Dans un document de plusieurs pages envoyé la semaine passée à la presse, AloneTrio, hacker français raconte sa vie. Sa passion des ordinateurs, la faillite de l´entreprise qui l´employait, puis sa recherche de travail un peu spéciale et finalement, son arrestation par la police. AloneTrio avait trouvé sa méthode de recherche d´emploi. Il piratait quelques sites et affichait son CV sur la page d´accueil. Se réclamant de l´éthique des hackers, AloneTrio prévenait par mail les administrateurs des sites présentant des défauts. Et en profitait pour expliquer qu´il recherchait un travail dans le secteur de la sécurité informatique... AloneTrio avait hacké le site de Transfert cet été, avec l´idée, déjà, de trouver un travail. L´histoire a duré quelques mois, jusqu´à ce qu´il se fasse arrêter par les services de police spécialisés dans la sécurité informatique. Selon le hacker, il serait "tombé" pour avoir tenté d´aider le SIG (Service d´information du gouvernement). L´un des serveurs du SIG était sujet au bug Unicode, ce qui a donné à Alonetrio l´accès à une base de données importante. Il explique qu´il a prévenu les services du Premier ministre mais que la seule réponse a été... sa mise en garde à vue. Côté autorités, la version est un peu différente. AloneTrio avait visiblement reçu des mises en garde. Il aurait continué de pirater des sites, bien après l´histoire du SIG et ceci aurait fini par déclencher une action de la justice. Mais visiblement, personne ne souhaite que cette affaire ait des conséquences judiciaires importantes. C´est grave docteur&nbs;? Au-delà de la méthode enfantine (naïve ?) de recherche de boulot, le cas AloneTrio pose le problème de la criminalisation des actes de piratage informatique. En effet, le piratage de quelques sites via, majoritairement, le bug Unicode, est-il un acte grave ? Quelles conséquences cela a-t-il véritablement ? Dans le cas présent, les administrateurs des sites troués amélioraient la sécurité de leurs systèmes grâce à un jeune homme un peu naïf. Cela ne vaut-il pas mieux que de se retrouver piraté par la concurrence ? Le gouvernement ne saute-t-il pas de joie à l´idée que sa base de données ne soit pas tombée dans des mains "ennemies" ? Les lois sont chaque jour un peu plus dures pour les pirates informatiques. Qu´ils aient de bonnes ou de mauvaises intentions. Ainsi, la LSI prévoit de faire passer à cinq ans le temps d´emprisonnement des personnes qui auraient pénétré un système informatique et détruit ou modifié des données. Le fait même de s´introduire peut, sur un plan philosophico-technique, s´interpréter comme une modification de données... Or, aujourd´hui, en France, la moyenne des condamnations pour les chauffards ivres qui tuent sur les routes, est de... trois ans. Étonnant non ?transfert.net 12.11.2001 | Perquisition à distance, interception des communications, rétention des données de connexion, intrusion informatique... voilà qui ressemble fort aux lois d'exception votées en urgence (ou sur le point de l'être) au sein des grandes nations industrialisées. Pourtant, il s'agit là des thèmes retenus par la Convention sur la cybercriminalité, présentée comme «le premier traité international sur les infractions pénales commises via l'internet et d'autres réseaux informatiques». Ce traité est le fruit de quatre ans de négociations au sein du Conseil de l'Europe (à différencier du Conseil européen, qui réunit les chefs d'exécutifs des 15 membres de l'UE), une assemblée consultative de 41pays dont l'hémicycle est à Strasbourg. Le 8novembre, le projet de traité a été validé par les ministres des affaires étrangères. Il sera formellement «ouvert à signature» le 23novembre à Budapest lors d'une conférence internationale sur la cybercriminalité. Ce projet a pu voir le jour grâce au statut d'observateurs actifs accordé à cinq pays non-européens (États-Unis, Canada, Japon, Afrique du Sud et Australie). La convention entrera en vigueur dès que cinq États, dont au moins trois membres du Conseil de l'Europe, l'auront ratifiée. Une ratification qui interviendra après la signature, et s'effectuera au niveau des Parlements des pays signataires. Des concepteurs/éditeurs moins responsabilisés Au moins une trentaine de versions différentes ont été nécessaires pour parvenir à un compromis final le 19septembre dernier. Le traité délimite son application en citant les quatre infractions concernées: «accès illégal», «interception illégale», «atteinte à l'intégrité des données» et «atteinte à l'intégrité du système». En gage de transparence sur un sujet qui commençait à lui échapper, le Conseil de l'Europe a décidé en avril2000 de rendre public l'état d'avancement du projet. De nombreux correctifs ont été introduits à la lumière des réactions que ce débat a suscitées. Il était par exemple prévu d'interdire (ou plutôt d'«ériger en infraction pénale») l'usage de logiciels de sécurité pouvant aussi servir à pirater des données (article6). Étaient ainsi pénalisées la «production, la vente, l'obtention pour utilisation, l'importation, la diffusion (...) d'un dispositif, y compris un programme informatique, principalement conçu ou adapté pour permettre la commission de l'une des infractions [décrites dans le traité]». Or les scientifiques et la communauté des hackers (pas les pirates, les hackers) se sont immédiatement insurgés, en indiquant que des logiciels alternatifs comme BackOrifice (outil de prise de contrôle à distance) seraient les premiers visés, avant certains produits commerciaux qui permettent eux aussi de commettre des actes illégaux. Le texte a été modifié pour en tenir compte: il n'y a pas de «responsabilité pénale lorsque la production, la vente, [etc.] n'a pas pour but de commettre une infraction (...) comme en cas d'essais autorisés ou de protection d'un système informatique». Ca va mieux en le disant, mais le présent article manque alors cruellement de substance... puisqu'il revient désormais à l'accusation de prouver que le logiciel a été créé dans l'intention de nuire. Quelles données de connexion seront conservées Le traité demande aussi à chaque État de légaliser les «interception de données relatives au contenu [et cela] en temps réel» (article21) sur la base des lois existantes sur les écoutes téléphoniques. Il élève pour la première fois en «crime» et non plus en simple délit (article10) l'atteinte à la propriété intellectuelle (piratage de logiciels ou d'oeuvres protégées). Et il institue (article19) le droit de «perquisitionner ou [d']accéder d'une façon similaire à un système informatique». Autre sujet chaud du moment: la surveillance du trafic des utilisateurs de réseaux de communication (article16). Un thème déjà largement abordé au niveau national et européen (notamment au sein du projet de directive européenne380 traitant de la vie privée, du spam et des cookies), sur lequel le Conseil de l'Europe est plutôt timide. Si les 15 sont sur le point d'imposer, dans leur législation, une durée de conservation d'un an (ou plus), le traité ne parle que de 90jours «maximum» («conserver et protéger l'intégrité desdites données pendant une durée aussi longue que nécessaire, jusqu'à maximum 90jours, afin de permettre aux autorités compétentes d'obtenir leur divulgation»). De son côté, l'article18 donne plus de détails sur les données susceptibles d'être conservées. Elles concernent le trafic («l'origine, la destination, l'itinéraire, l'heure, la date, la taille et la durée de la communication»); le contenu (relevant du secret des correspondances); et enfin l'abonné, afin d'établir «le type de service de communication utilisé (...), l'identité, l'adresse postale ou géographique et le numéro de téléphone de l'abonné, et tout autre numéro, d'accès, les données concernant la facturation et le paiement (...)». Autant d'éléments qui aideront le Conseil d'État à compléter la LSQ lors de la rédaction des décrets d'application. Enfin, de multiples dispositions d'entraide judiciaire sont prévues pour que ces obligations soient également mises en oeuvre lors d'enquêtes diligentées à partir de l'étranger, notamment via de nouvelles procédures d'extradition (article24). ZDNet 12.11.2001 | Le président américain apporte son soutien au gouvernement britannique et aux différentes polices judiciaires de l'UE qui réclament de nouveaux pouvoirs afin de mieux surveiller les données de connexion des réseaux de communication électroniques dans le cadre d'enquêtes criminelles ou antiterroristes. Selon The European Voice, un journal en langue anglaise édité à Bruxelles, Bush a écrit une lettre au premier ministre belge Guy Verhofstadt, actuel président de l'UE, il y a une quinzaine de jours. Il y explique que les États-Unis s'opposent au principe de l'effacement automatique des données de connexion, un principe pourtant inscrit dans le projet de directive "Vie privée et protection des données personnelles dans les communications électroniques", en cours d'examen au Parlement de Strasbourg. ZDNet a plusieurs fois mis en lumière les velléités d'un groupe de travail du Conseil des15 (Enfopol) qui milite depuis près de deux ans pour que ce principe de l'effacement automatique disparaisse de la directive en question. «Bush n'est pas seul à se montrer réticent, c'est l'Amérique entière qui joue de son influence pour que les demandes de conservation des données soient prises en considération», explique Tony Bunyan, directeur de l'organisation britannique Statewatch. Une insistance américaine non justifiée La commission des Libertés et des droits du citoyen du Parlement européen a approuvé en juillet un premier rapport du député radical Marco Cappato, en faveur d'un encadrement strict du droit d'accès des forces de l'ordre aux logs collectés par les compagnies de téléphone et les fournisseurs d'accès internet. De telles données peuvent concerner les numéros de téléphone et de fax appelés par les utilisateurs, ainsi que les sites web sur lesquels ils se sont rendus et les adresses email qu'ils ont utilisées. Pourtant, l'insistance américaine n'est pas vraiment justifiée, puisque la directive autorise chaque État membre à légiférer de son côté pour autoriser la conservation de ces données à des fins policières. Comme l'indique le rapport Cappato (d'après la nouvelle version adoptée par la commission des libertés le 24octobre), pour qu'une telle exception soit acceptable, «Les États membres sont tenus d'agir en vertu d'une loi précise qui soit compréhensible du grand public et les mesures qu'ils prennent doivent être tout à fait exceptionnelles, autorisées par les autorités judiciaires ou compétentes dans des cas particuliers et pour une durée limitée, appropriées, proportionnées et présenter un caractère de nécessité lié à la société démocratique». Tout ceci est en adéquation avec les droits fondamentaux de l'UE, rappelle le rapport, selon lesquels «toute forme de surveillance électronique générale ou exploratoire pratiquée à grande échelle est interdite». Les sirènes de l'antiterrorisme deviennent plus pressantes Cet amendement, qui a été approuvé une première fois par l'ensemble des députés le 6septembre dernier, a jusqu'ici résisté aux nouveaux enjeux sécuritaires post-attentats... Mais un nouveau vote du Parlement au grand complet est prévu le 13novembre prochain, la directive ayant encore quelques navettes à effectuer avant d'être validée (au printemps 2002 au plus tôt). Les députés européens, favorables à une limitation des droits de surveillance policiers, ont été confortés dans leur opinion par un rapport du Service juridique du Conseil des 15, rendu le 12octobre et évoqué par Statewatch. Ce rapport explique que les gouvernements de l'UE ont déjà les pouvoirs nécessaires pour intercepter les télécommunications en vue de combattre le terrorisme. Toutefois, il indique que ces pouvoirs ne doivent pas être étendus aux enquêtes criminelles "classiques". «Bush ne demande pas simplement un pouvoir contre les terroristes, il réclame quelque chose de plus général», explique Bunyan. Le ministère de l'Intérieur britannique a admis il y a une semaine qu'il envisageait de se doter de pouvoirs supplémentaires pour forcer les FAI à conserver les données de leurs clients si le "code de pratique volontaire" s'avérait inadéquat contre le terrorisme. On s'attend à ce qu'une nouvelle loi soit proposée en novembre pour faire face aux menaces terroristes. Une seule proposition de loi depuis le 11septembre Statewatch a effectué l'analyse des nouvelles mesures antiterroristes européennes susceptibles de porter atteinte aux libertés fondamentales. Il observe que, parmi les onze propositions de loi qui sont actuellement présentées dans l'UE, six était déjà examinées avant le 11septembre tandis que quatre autres étaient en préparation. En fait, une seule nouvelle proposition a été ajoutée. Elle projette de modifier les lois sur le droit d'asile et l'immigration pour les conformer aux nouvelles exigences antiterroristes. ZDNet 07.11.2001 |
| Le Parlement européen a adopté un amendement à la nouvelle législation communautaire sur la sécurité des communications électroniques, réduisant l'usage de petits logiciels espions utilisés sur internet et surnommés "cookies". Le Parlement de Strasbourg demande aux Etats-membres d'interdire l'usage des cookies faute d'avoir recueilli au préalable le consentement explicite de l'internaute. "L'usage de tels produits doit (...) être interdit si le consentement explicite, informé et libre de l'utilisateur n'a pas été obtenu", écrit le texte adopté mardi par le Parlement. Les cookies sont de petits fichiers texte, utilisés par les administrateurs de sites web pour surveiller l'activité et les habitudes de navigation des internautes, enregistrant parfois les noms, les mots de passe, la langue d'utilisation, à l'insu des utilisateurs le plus souvent. Le Parlement européen, soutenu par la Commission de Bruxelles, a décidé que ces pratiques constituaient une intrusion dans la vie privée. Des représentants de l'industrie ont dénoncé l'adoption de cet amendement, soulignant le surcoût induit pour les opérateurs et le risque de ralentissement de la vitesse d'accès aux pages web s'ils doivent demander à chaque fois l'autorisation de l'internaute pour lui envoyer un cookie. Cet amendement risque également de ralentir l'adoption de la nouvelle loi communautaire, que le président de la Commission, l'Italien Romano Prodi, voudrait voir entrer en vigueur avant le sommet de Barcelone, prévu au printemps 2002. Reuters 13.11.2001 | Le 13novembre, les députés européens ont adopté en première lecture le rapport Cappato sur la directive 385, relative au «traitement des données personnelles et à la protection de la vie privée dans le secteur des communications électroniques.» Cette directive modifie celle de 1997(n°97/66/EC) et aborde de nombreux thèmes plus ou moins sensibles, comme le droit de regard du citoyen sur les fichiers qui le concernent (publicités non sollicitées, géolocalisation), l'usage des spyware ou des cookies, et la conservation des données de connexion à des fins de surveillance policière. Les parlementaires sont également restés sourds aux demandes pressantes émanant de George Bush, farouchement opposé, au nom de la lutte contre le terrorisme, au principe de l'effacement automatique des données de connexion inscrit dans la directive (voir notre actualité du 06/11/2001). De quoi rassurer les nombreuses organisations américaines qui, à l'initiative de la coalition internationale GILC (Global internet liberty campaign), ont envoyé mardi 13 novembre une lettre ouverte (version française) à la présidence de l'Union afin de protester contre cette ingérence. L'accès aux données personnelles très strictement réglementé Les députés ont ainsi validé le principe suivant: «toute forme de surveillance électronique générale ou exploratoire pratiquée à grande échelle est interdite», et ils se sont prononcés en faveur d'un encadrement strict du droit des forces de l'ordre à accéder aux données des compagnies de téléphone et des fournisseurs d'accès internet. «Les interceptions et la conservation des données de trafic ne sont permises que si elles sont fondées sur une base légale claire et sur une mesure judiciaire ad hoc, conformément à la Convention européenne sur les droits de l'Homme et à la jurisprudence», peut-on lire dans un communiqué publié par Marco Cappato, l'auteur du rapport. Celui-ci estime qu'en adoptant son rapport, «le Parlement européen a pris une position équilibrée sur le sujet de la protection de la vie privée et de l'internet.» Car selon lui, éviter d'imposer un standard unique permet de respecter les préférences individuelles des citoyens, alors que, dans le même temps, le texte offre «le plus grand nombre de garanties pour protéger les citoyens contre l'accès à leurs données personnelles par les autorités publiques.» Le rapport va à présent être examiné en Conseil des ministres, avant d'être renvoyé au Parlement pour une seconde lecture. Approbation finale attendue courant 2002. ZDNet 14.11.2001 | Microsoft a réuni la fine fleur de l´industrie du logiciel à l´occasion de son Trusted Security Forum. En aparté de cet événement visant principalement à museler les débusqueurs de bugs, Richard Clarke, nouveau conseiller spécial du président américain George Bush, a expliqué sans rire aux responsables sécurité présents, et même sur le ton de la confidence bien comprise, que les hackers actuels (comprendre "pirates"), auteurs de virus et autres vers, étaient de la gnognotte. Une nouvelle génération arrive, a-t-il indiqué. Ceux-là seront très dangereux. Selon le conseiller présidentiel, ce n´est pas avec "les quelques milliards de dollars de dégâts informatiques causés par les attaques de déni de service et les virus que je vais convaincre" les entreprises de dépenser des millions de dollars en technologies de sécurité informatique. Il a laissé entendre que si un bon groupe de hackers connaissant les "failles que l´on connaît" (on en saura pas plus) se lançait à l´attaque des réseaux américains, cette fois, les dégâts seraient considérables. Panique post-attentats Le mythe du super-hacker est donc né. Richard Clarke est un habitué des rôles de Cassandre. Il annonce depuis un certain temps un Pearl Harbour électronique. Il avait vertement critiqué le Congrès qui n´approuverait pas assez de fonds pour la lutte contre le cyberterrorisme juste après le 11 septembre. Le House Energy and Commerce Committee´s Commerce, Trade and Consumer Protection Subcommittee", composé de membres du Congrès, va pour sa part auditionner les responsables de grosses entreprises comme Oracle ou Microsoft pour voir jusqu´à quel point ils se soucient de sécurité, toujours dans le contexte des événements du World Trade Center. Les membres du Congrès estiment à juste titre que la plupart des infrastructures essentielles du pays sont entre les mains du secteur privé. Si Pearl Harbour il doit y avoir, c´est donc de ce côté que se trouveront majoritairement les cibles. Il faut s´assurer que lesdites infrastructures sont correctement protégées. Toujours en pleine panique post-attentats, l´Internet Corporation for Assigned Names and Numbers (ICANN) qui gère les noms de domaines du Web, estime que les quelques serveurs qui détiennent la corrélation entre les adresses IP et les noms de domaines (autant dire le guide Michelin suprême du Web) pourraient être mise à plat avec quelques attaques de type déni de service. Prétextes Méfiance donc, le super-hacker est tapi dans l´ombre. Il est urgent d´agir et quelques lois liberticides supplémentaires seront les bienvenues. L´interdiction de diffuser des alertes de sécurité pouvant être utilisées pour pirater des sites est incontournable. Vive l´obscurité ! Paradoxalement, le 11 septembre a des répercussions importantes sur le cybermonde. Moins de liberté de parole, des sanctions plus dures pour les pirates informatiques (à un point qui deviendrait risible si les répercussions n´étaient pas graves), etc. Pourtant, ces textes, comme les peurs liées aux super-hackers ne sont pas, actuellement, justifiées. Les super-hackers existent depuis des lustres. Ils étaient là avant le 11 septembre et seront toujours là. L´obscurité leur sied. Les lois votées ces temps-ci ne les concernent pas. Ils ne tombent pas dans les mailles des filets, justement parce que ce sont des "super" hackers. Ils ont effectivement une capacité de nuisance qui peut ressembler à un Pearl Harbour électronique. Mais ils n´ont aucun intérêt à déclencher une quelconque attaque. Pour qu´éclate une guerre électronique tant annoncée par Richard Clarke et, plus généralement, par les autorités américaines, il faudrait à ces super hackers un but commun, une impunité offerte par un pays puissant, une envie de s´engager dans une telle (més)aventure, des moyens financiers et techniques énormes.tranfert.net 15.11.2001 |
| Le Conseil de l'Europe espère donner un coup defrein décisif à la cybercriminalité en invitant vendredi à Budapest ses 43Etats membres, ainsi que les Etats-Unis, le Canada, le Japon et l'Afrique duSud, à signer la première convention internationale sur le cybercrime. Le texte, qui constitue une première au niveau mondial, vise avant tout à garantir la sécurité du réseau internet et de ses utilisateurs, estimés à prèsde 400 millions. Quand la nouvelle convention entrera en vigueur - après ratification parcinq pays, dont trois membres du Conseil de l'Europe-, les services de police auront notamment le droit de perquisitionner à distance, d'intercepter des communications, de faire de l'intrusion informatique ou de la rétention des données de connexion. Une force de frappe exceptionnelle au service de la lutte contre les cyberterroristes. L'enjeu est si important que quatre grands pays non membres du Conseil de l'Europe -- Etats-unis, Canada, Japon, Afrique du Sud -- ont tenu à s'associerdès le départ à ses travaux, il y a quatre ans. La convention, au final, est un texte de compromis qui a connu près detrente moutures et survécu à maintes critiques. Les uns craignaient qu'elle viole des droits fondamentaux (liberté d'expression, secret de la correspondance), les autres qu'elle ne protège pasassez les droits d'auteurs, les derniers, au contraire, comme l'UNESCO,qu'elle "criminalise" le copiage, au détriment de l'accès à la culture et à l'information des pays pauvres. Quatre grands types d'infractions -- qui doivent être intentionnelles --sont répertoriés dans la nouvelle convention: celles contre laconfidentialité, l'intégrité et la disponibilité des données et des systèmes,les infractions informatiques (fraudes et falsifications), les infractions se rapportant au contenu (pornographie enfantine) et les infractions serapportant à la propriété intellectuelle (copies illégales d'oeuvres protégées). Un protocole additionnel est déjà prévu pour interdire la propagation desidées racistes, antisémites et xénophobes. Dans le chapitre de la coopération internationale, volet essentiel pour unecriminalité qui ne connaît pas de frontières, une nouveauté est l'institution d'un réseau de contacts disponibles 7 jours sur 7 et 24 heures sur 24 pour prêter assistance aux investigations en cours dans les pays parties de la convention. La cérémonie de signature sera précédée jeudi, dans la capitale hongroise,d'une conférence ministérielle sur le cybercrime.AFP 20.11.2001 | Internet détruit par des terroristes? «Tout à fait possible», selon des participants à la réunion annuelle de l'Icann (Internet Corp. for Assigned Names and Numbers), l'organisation controversée fondée il y a trois ans, et surnommée le «gouvernement du Net». Après les attaques du 11 septembre, l'Icann a décidé de laisser de côté ses thèmes de prédilection - sources de discussions houleuses - comme la mise en place des nouveaux noms de domaine Internet, pour se concentrer sur les questions de sécurité. Certains, comme Paul Vixie, sont franchement alarmistes: «Le réseau est très fragile, explique ce spécialiste des protocoles Internet. Un adolescent avec suffisamment de colère et un ordinateur à 300 dollars peut causer un mal infini sur le Net sans risquer de se faire attraper.» Parmi les scénarios possibles: le détournement de trafic en bidouillant les aiguillages - un peu comme si quelqu'un intervertissait tous les panneaux autoroutiers pour embrouiller les automobilistes -, l'interception des e-mails, les attaques par saturation. Des programmes générant des millions de hits peuvent paralyser des sites clés, comme celui du département de la Défense américaine ou les serveurs de Wall Street. On peut aussi imaginer des adresses Internet d'institutions financières altérées dans les ordinateurs de l'Icann, afin de détourner des paiements ou des dépôts dans des coffres de groupes terroristes. «Pendant toutes ces années, la sécurité n'était pas vraiment notre priorité, rappelle Dave Crocker, un pionnier devenu consultant. Et ça n'était pas non plus celle du marché. Ce qui aurait dû être fait il y a sept ans doit être rattrapé le plus vite possible, même si ajouter des nouvelles couches de sécurité à une structure déjà existante est très difficile.» Selon les spécialistes réunis, le risque d'attaques terroristes sur les ordinateurs les plus importants du Net - les treize «root servers» de l'Icann dispersés à travers le monde pour gérer l'adressage du réseau - est à relativiser. Le Wall Street Journal pointait récemment les vulnérabilités de ces super-ordinateurs, qui ne sont pas dans des bâtiments sécurisés: l'un d'entre eux a été «aperçu» récemment dans le bureau d'un professeur à l'université de Maryland. Mais Stuart Lynn, le président de l'Icann, affirme que l'Internet pourrait continuer de tourner avec seulement la moitié des serveurs: «Le système est robuste: il fonctionne depuis des années et continue de progresser.» Une autre source d'inquiétude est l'annuaire géant des.com et autre.org, exploité commercialement par la compagnie Verisign (ex-Network Solutions) . Le député de Californie Howard Berman a mis en garde les revendeurs de noms de domaine: si ces derniers ne gardent pas plus efficacement la trace de leurs clients , le représentant en appellera au Congrès. L'exécutif a répondu du tac au tac: hier, deux hauts émissaires de la Maison Blanche - dont le conseiller de Bush pour la sécurité électronique - ont déboulé dans les locaux de Verisign, en Virginie, pour évaluer les mesures de protection prises par l'entreprise. Diversion. Ce repli hâtif de l'Icann sur les questions de sécurité est perçu par certains comme une manœuvre de diversion. Sur la liste de diffusion Politech, Richard Forno, ancien responsable de la sécurité à Network Solutions, accuse l'instance de chercher une part du gâteau antiterroriste, la sécurité étant «le meilleur moyen d'obtenir de l'argent [du gouvernement] ces jours-ci, si la demande est bien formulée». Libération 15.11.2001 | "Après la pause, votre première attaque de réseau" : c'est une classe comme les autres, avec deux élèves par table et un professeur au tableau, à ceci près qu'ils sont réunis pour un cours de piratage informatique. Zi HackAdemy, la toute première école officielle de hackers (pirates informatiques) en France sinon dans le monde a ouvert ses portes à la mi-octobre, dans une petite impasse pavée du 11e arrondissement de Paris. L'école, qui arbore une symbolique bannière à tête de mort sur ses vitres, refuse déjà du monde. "Les gens qui s'inscrivent maintenant ne pourront prendre leurs cours que dans un mois", assure Olivier Spinnelli, son directeur. Le coût de la formation n'a rien d'effrayant : 450 francs pour 9 heures de cours. Ce soir-là, une dizaine d'élèves se pressent dans la salle de classe exiguë, ornée de "grafs", où ronronne une batterie d'ordinateurs branchés sur le net. Un vidéo-projecteur relié au PC du "professeur" est braqué sur le tableau blanc. Anonymat de rigueur mais, surprise, ceux qui assistent au cours ne sont pas tous des apprentis hackers, bien au contraire. Un gardien de la paix, titulaire d'une licence d'informatique et administrateur du réseau de son commissariat, et un concepteur de sites internet sont là pour se prémunir contre les intrusions indésirables. A une autre table, un chef d'équipe de Microsoft, spécialiste de la sécurité informatique, s'informe des derniers logiciels en vogue parmi les hackers, susceptibles de pénétrer les serveurs de la célèbre multinationale. Le prof a emprunté son pseudo, "Clad Strife", à un jeu de rôles informatique. Il appartient à ce que les hackers en herbe désignent eux-mêmes comme "l'élite". Mines d'or du piratage Le cours reprend et l'on entre en effet dans le vif du sujet. "La détermination des ports du serveur visé est la première étape pour lancer une attaque", explique doctement l'enseignant, d'allure plutôt juvénile. Suivent les travaux pratiques sur écran. "Ce que l'on fait pour l'instant est parfaitement légal", croit-il bon d'ajouter. Des lignes de codes défilent. Déjà la version du serveur s'affiche. "C'est une information très précieuse parce qu'elle permet au pirate de tester la vulnérabilité d'un site", poursuit Clad Strife. Il est ensuite question de "social engineering", une méthode qui consiste à téléphoner à sa cible pour lui soutirer des codes d'accès, ou de "force brute", l'essai automatisé de milliers de codes. Mais le prof préfère les "exploits", une technique beaucoup plus élégante pour percer le blindage des systèmes en exploitant les failles de leur programmation ou de leur paramétrage. Gare à l'administrateur de réseau qui oublierait d'en protéger l'accès ou laisserait traîner des informations confidentielles. Ce sont les "mines d'or" du pirate informatique, "un système mal configuré est facilement piratable", prévient le prof. "Putain le stress, j'en ai des sueurs froides", murmure le créateur de sites qui promet de retourner sur le champ à son bureau pour vérifier que ses ordinateurs ne sont pas des gruyères en puissance. L'homme de Microsoft essuie stoïquement les railleries du prof sur les "bugs" des logiciels de la firme. Il confie avoir été lui-même un pirate et s'être "arrêté à temps, avant que ça dégénère".AFP 18.11.2001 |
| Le ministre belge de la Justice, Marc Verwilghen, a réclamé "l'accès transfrontalier aux données informatiques" en cas d'infraction constatée sur l'internet, à l'ouverture d'une conférence sur la cybercriminalité jeudi à Budapest. "Il est clair que certaines questions (posées par la criminalité informatique) restent sans réponse adéquate", a estimé le ministre dont le pays occupe la présidence semestrielle de l'Union européenne. "Je pense en particulier à (...) l'accès transfrontalier à des données stockées dans un autre Etat", a-t-il ajouté devant une centaine d'experts gouvernementaux d'Europe, des Etats-Unis, du Japon et du Canada. "Il faut, lors de travaux futurs, prendre en compte cette problématique qui pose des questions juridiques et politiques très délicates", a dit le ministre qui a présidé en Belgique une commission parlementaire dans l'affaire du pédophile Dutroux. "La clé de voûte de l'approche juridique de la criminalité informatique réside dans la coopération internationale pénale", a encore estimé M. Verwilghen. "La plus-value majeure réside néanmoins dans la création de formes plus rapides et efficaces de coopération judiciaires pour l'accès, la collecte et la conservation rapide des données informatiques", notamment par un réseau de contact intergouvernemental accessible 24 heures sur 24 heures et sept jours sur sept. La convention internationale sur la cybercriminalité, qui doit être signée par une trentaine de pays vendredi dans la capitale hongroise, ne prévoit pas de perquisitions transfrontières. Le texte, inspiré par le Conseil de l'Europe, va servir de "référence" pour l'avenir, a pour sa part estimé Guy de Vel, le directeur général des Affaires juridiques de l'organisation paneuropéenne. "L'impunité qui semblait régner jusqu'à présent" sur l'internet pourra être combattue, a-t-il estimé. M. De Vel a par ailleurs indiqué que d'ici à un an, un nouveau comité d'experts rédigerait un projet de protocole qui incriminera la propagande raciste et xénophobe sur l'internet. Suite aux attentats terroristes du 11 septembre aux Etats-Unis, le Comité des ministres du Conseil de l'Europe envisage parallèlement de renforcer la convention avec des dispositions sur la transmission de messages terroristes par internet et leur décryptage. "La convention n'autorise point et ne saurait servir de base ni d'excuse pour créer +big brother+", a déclaré M. De Vel. "A défaut d'une enquête pénale ouverte, la convention n'autorise point la surveillance des communications ou des connections, ni par les fournisseurs ni par des services répressifs".AFP 22.11.2001 | La convention européenne sur la cybercriminalité, adoptée début novembre par les membres du Conseil de l'Europe qui doit être ouverte à signature vendredi à Budapest, permettra de coordonner la lutte internationale contre le piratage informatique, devenu plus dangereux depuis qu'il permet de détourner des fonds, voire de menacer des vies. Les ministres de l'Intérieur et responsables des autorités policières venus d'Europe et de pays observateurs au Conseil de l'Europe - Afrique du Sud, Canada, des Etats-Unis et Japon - vont signer une convention qu'ils ont mis quatre ans à élaborer et qui devrait marquer une étape importante dans la répression du crime informatique. Le traité entrera en vigueur quand cinq Etats, dont au moins trois du Conseil de l'Europe, l'auront ratifié. "Nous pouvons, de façon réaliste, nous attendre à ce qu'une trentaine de pays signent le texte", a déclaré à Reuters un responsable du Conseil de l'Europe. "Ce serait une grande réussite, étant donné que la plupart des conventions ne sont signées que par 10 ou 20 pays au plus." La plupart des gens considèrent le piratage informatique comme un problème principalement moral et ne réalisent pas les dommages matériels et le risque pour la vie humaine qu'il représente aussi, a estimé ce responsable. "Récemment, quelqu'un a pris le contrôle du système informatique d'un petit aéroport américain et en a éteint les lumières des pistes d'atterrissage", a-t-il poursuivi. "Cela aurait pu tuer beaucoup de personnes". Dans un cas pareil, a-t-il poursuivi, la coopération internationale immédiate pourrait s'avérer vitale puisque les messages codés des cybercriminels traversent généralement plusieurs pays avant de pénétrer dans l'ordinateur de leur cible. "Dans cet exemple, l'action semblait d'abord avoir été lancée depuis le Proche-Orient et des responsables du Département d'Etat s'apprêtaient à envoyer des navires de guerre", a expliqué le responsable. "Puis, il s'est avéré que le pirate informatique était un adolescent californien." L'incitation à la haine raciale traitée à part Les crimes informatiques plus traditionnels, tels que la fraude, le détournement de fonds, ou l'infraction au droit d'auteur se répandent également sur la toile. "Les violations de droits d'auteur coûtent des milliards de dollars en manque à gagner à l'industrie du disque chaque année, et les escroqueries immobilières sont devenues très courantes", a indiqué le responsable du Conseil de l'Europe. "Le moindre changement dans une base de données peut provoquer des dégâts considérables." La convention, qui a suscité pas moins de 27 versions en quatre ans, touche des aspects les plus divers du crime informatique, et les signataires devront mettre en place des centres nationaux de veille 24 heures sur 24, afin de pouvoir s'aider en cas de besoin. La lutte contre l'incitation à la haine raciale est, en revanche, exclue de ce texte. L'Europe est très favorable à une interdiction de la haine raciale sur internet, de même qu'elle souhaite lutter contre la pornographie des mineurs. Les Etats-Unis craignent de leur côté que l'interdiction des sites racistes et xénophobes ne porte atteinte au premier amendement de la Constitution, qui garantit la liberté d'expression. Finalement, un compromis a été trouvé: l'incitation à la haine raciale fera l'objet d'un traité séparé qui doit être rédigé en juillet prochain. "L'Europe peut difficilement se permettre de ne pas mentionner la question de la haine raciale dans un tel traité international", a souligné le responsable. "D'un autre côté, il ne peut exclure les Etats-Unis d'un texte aussi important pour la législation internationale sur l'internet." Reuters 22.11.2001 | Le Conseil de l'Europe espère donner un coup de frein décisif à la cybercriminalité en invitant vendredi à Budapest ses 43 Etats membres, ainsi que les Etats-Unis, le Canada, le Japon et l'Afrique du Sud, à signer la première convention internationale sur le cybercrime. Le texte, qui constitue une première au niveau mondial, vise avant tout à garantir la sécurité du réseau internet et de ses utilisateurs, estimés à près de 400 millions. Quand la nouvelle convention entrera en vigueur - après ratification par cinq pays, dont trois membres du Conseil de l'Europe-, les services de police auront notamment le droit de perquisitionner à distance, d'intercepter des communications, de faire de l'intrusion informatique ou de la rétention des données de connexion. Une force de frappe exceptionnelle au service de la lutte contre les cyberterroristes. L'enjeu est si important que quatre grands pays non membres du Conseil de l'Europe -- Etats-unis, Canada, Japon, Afrique du Sud -- ont tenu à s'associer dès le départ à ses travaux, il y a quatre ans. La convention, au final, est un texte de compromis qui a connu près de trente moutures et survécu à maintes critiques. Les uns craignaient qu'elle viole des droits fondamentaux (liberté d'expression, secret de la correspondance), les autres qu'elle ne protège pas assez les droits d'auteurs, les derniers, au contraire, comme l'UNESCO, qu'elle "criminalise" le copiage, au détriment de l'accès à la culture et à l'information des pays pauvres. Quatre grands types d'infractions -- qui doivent être intentionnelles -- sont répertoriés dans la nouvelle convention: celles contre la confidentialité, l'intégrité et la disponibilité des données et des systèmes, les infractions informatiques (fraudes et falsifications), les infractions se rapportant au contenu (pornographie enfantine) et les infractions se rapportant à la propriété intellectuelle (copies illégales d'oeuvres protégées). Un protocole additionnel est déjà prévu pour interdire la propagation des idées racistes, antisémites et xénophobes. Dans le chapitre de la coopération internationale, volet essentiel pour une criminalité qui ne connaît pas de frontières, une nouveauté est l'institution d'un réseau de contacts disponibles 7 jours sur 7 et 24 heures sur 24 pour prêter assistance aux investigations en cours dans les pays parties de la convention. La cérémonie de signature sera précédée jeudi, dans la capitale hongroise, d'une conférence ministérielle sur le cybercrime.AFP 20.11.2001 |
| Trente pays ont signé à Budapest la convention sur la cybercriminalité, qui donnera aux Etats des moyens élargis et accroîtra leur collaboration afin de lutter contre le piratage informatique. Résultat de quatre ans de travail, la première convention internationale ad hoc a été signée par des pays membres du Conseil de l'Europe, les Etats-Unis, le Canada, le Japon, l'Afrique du Sud. En revanche, la Russie, le Danemark, l'Irlande et la République tchèque font partie des 17 pays européens qui n'ont finalement pas adopté la convention. D'après ce texte, qui a valeur de traité au niveau européen, les pays signataires devront installer des centres de veille 24 heures sur 24 afin de pouvoir s'entraider dans tous les domaines de la cybercriminalité, du simple piratage au détournement de fonds en passant par les menaces possibles pour des vies humaines. "Contrairement à ce qui a été dit dans certains cercles, nous n'allons pas instaurer un 'Big Brother'", a déclaré Guy de Vel, le directeur des affaires juridiques du Conseil de l'Europe, lors d'une conférence de presse à Budapest. Le traité n'entrera en vigueur qu'une fois que cinq Etats, dont au moins trois du Conseil de l'Europe l'auront ratifié. La convention couvre la plupart des crimes et délits informatiques possibles, excepté l'incitation à la haine raciale, que les Etats-Unis n'ont pas voulu inclure dans le texte. Une interdiction des sites racistes et xénophobes était jugée contraire au Premier amendement de la Constitution américaine - qui garantit la liberté d'expression - alors même que l'Europe y était très favorable. Un compromis a été trouvé pour que l'incitation à la haine raciale fasse l'objet d'un traité séparé qui doit être rédigé en juillet prochain. "Les Américains doivent examiner cette question en détail", a dit Lord Russell-Johnston, le président de l'Assemblée parlementaire du Conseil de l'Europe, ajoutant que les Etats-Unis étaient en train de reconsidérer leurs positions à la lumière des attentats du 11 septembre. Reuters 23.11.2001 | Le gouvernement britannique a fourni plus de détails sur la fameuse clause «volontaire» concernant la conservation des données de connexion, qu'il souhaite introduire dans son projet de loi Anti-Terrorism, Crime and Security. Ceux-ci sont contenus dans un document joint au projet, intitulé "Supplemental Regulatory Impact Assessment: Retention of communications data". Principale recommandation contenue dans le document: sur la base de cette clause volontaire, les prestataires de télécommunications devront conserver les données de connexion pendant 12mois. Le document affirme par ailleurs clairement que cette surveillance n'est pas seulement destinée à garantir la sécurité nationale, mais également à assurer «la prévention ou à la détection du crime, ou à la poursuite des criminels.» Du volontariat à l'obligation D'autre part, cette clause pourra être transformée en conduite obligatoire par le ministre de l'intérieur britannique si celui-ci estime que le principe du volontariat ne fonctionne pas correctement. Le document rattaché au projet de loi justifie la mise en place de ces mesures car les sociétés conservent de moins en moins de données à des fins commerciales. «Ce fait, associé à la pression des lobbies défenseurs de la vie privée, entraîne une réduction générale des données conservées», peut-on y lire. Et d'enfoncer le clou deux paragraphes plus loin: «les données concernant certaines personnes soumises à enquête ne seront disponibles que si les données concernant les communications de l'ensemble de la population sont conservées.» Ces dispositions seront revues tous les deux ans, et supprimées si elles ne s'avèrent plus nécessaires, poursuit le document. «Comme pour chaque mesure soi-disant temporaire, il est difficile de s'imaginer que la police et les agences de renseignement accepteront d'abandonner une surveillance aussi intrusive dans un avenir proche», commente amèrement l'organisation britannique Statewatch. Une initiative prématurée Par ailleurs, elle critique vertement le peu de crédit qu'accorde le gouvernement britannique à la législation européenne en vigueur, et plus précisément de la directive européenne de 1997 sur la protection des données et de la vie privée. Celle-ci indique que les seules données susceptibles d'être conservées sont celles utilisées à des fins de facturation. Une fois encore, «le gouvernement britannique revient sur l'un des droits fondamentaux établis par l'Europe concernant la vie privée», accuse Statewatch. L'organisation reproche également aux autorités anglaises de trop anticiper sur le résultat des discussions en cours au niveau européen pour mettre à jour ce texte de loi (projet de directive385 dont nous avons parlé à maintes reprises). Le Parlement et le Conseil européens n'étant pas d'accord, entre autres, sur la nature des données à archiver et leur durée de conservation. Cela n'a pourtant pas empêché les pays membres de légiférer de leur côté, comme l'a déjà fait la Belgique sur ce dossier en février 2001 (12mois de rétention également), suivie dans la même direction le 15novembre par la France avec la promulgation de la loi sur la sécurité quotidienne (LSQ). ZDNet 23.11.2001 | D'un côté, les deux tours du World Trade Center, de l'autre, Oussama ben Laden, et, tout autour, les ramifications de la nébuleuse financière orchestrée par l'homme le plus recherché du monde. Ce schéma grand format qui rend intelligible une myriade d'éléments épars trône sur le stand d'Investigation par l'image, l'un des 600 exposants de Milipol, le "salon mondial de la sécurité des Etats", au Bourget, près de Paris. Tracé par un logiciel spécialisé, il donne la mesure des ressources offertes par l'informatique et internet dans la traque des terroristes. Mais les spécialistes du renseignement rencontrés au détour des allées lancent la même mise en garde de bon sens, leçon des attentats du 11 septembre: ces technologies ne sont d'aucune utilité sans le travail de terrain et d'analyse. Ouvert aux seuls membres des services de police, de l'armée et autres forces paramilitaires, Milipol est un salon en trompe-l'oeil. Le chaland y soupèse en connaisseur les armes, apprécie la souplesse des uniformes et admire les caméras et autres émetteurs miniaturisées. Mais en matière de renseignement, "on ne vous montre presque rien, tout ce qui est illégal à la vente ou à l'utilisation n'est pas là", prévient Daniel Martin, un ancien de la DST, aujourd'hui conseiller spécial auprès du directeur exécutif de l'OCDE. Ce que l'on ne montre pas mais dont tout le monde parle, ce sont les dispositifs d'interception de e-mails, sur le modèle du système Carnivore développé par le FBI, les logiciels mouchards ou les équipements qui exploitent les "rayonnements compromettants" des ordinateurs pour lire à distance ce qu'affichent leurs écrans. On parle aussi beaucoup de "sniffers" (renifleurs), ces minuscules boîtiers électroniques que l'on greffe sur le cordon qui relie le clavier à l'unité centrale. Ils mémorisent tout ce qui est tapé avant de l'envoyer sur une adresse internet en profitant discrètement des connexions, explique Guillaume Dasquié, rédacteur en chef d'Intelligence Online. Une semaine après les attentats de New York et de Washington, cette lettre avait publié un rapport confidentiel sur les organisations financières, commerciales et caritatives d'Oussama ben Laden et de sa famille. C'est ce rapport qui a été utilisé par le Pdg d'Intelligence par l'image, Patrice Cayrol, pour établir son schéma du réseau ben Laden et illustrer ainsi les possibilités du logiciel qu'il commercialise en France sous le nom de Centrale d'information et d'analyse (CIA). Deux personnalités inattendues apparaissent en périphérie du schéma: Ronald Reagan et George W. Bush. Ils n'ont certes aucun lien avec le terroriste présumé mais plusieurs membres de leur entourage ont été à la tête de Carlyle Group, un fonds d'investissement lié à des personnalités du Proche-Orient. "Trop d'informations tue l'information", souligne Patrice Cayrol. D'où l'utilité de ces logiciels exploités par la plupart des agences de renseignement mais aussi par de nombreux services de police ou dans les grandes entreprises lancées dans des opérations "d'intelligence économique". Président de l'Institut européen des sciences avancées de la sécurité, le colonel Jean-Pierre Zonzon, 25 ans de renseignement à son actif, tempère toutefois l'enthousiasme de certains. "Persuadés de détenir la vérité, les Américains ont négligé l'aspect humain du renseignement", souligne-t-il, relevant que "la technologie ne sert à rien si l'adversaire utilise des méthodes du passé".AFP 24.11.2001 |
| Anonyme, sans preuve et sans frontière, le crime sur internet a toutes les chances de rester impuni et de rapporter gros, du fait de la surveillance policière minime affectée à l'activité de près de 400 millions d'internautes dans le monde. Les escroqueries à la carte de crédit ont rapporté environ 400 millions de dollars à leurs auteurs en 1999, selon des estimations citées par le Conseil de l'Europe dans un document publié en marge de sa nouvelle convention internationale sur la cybercriminalité. Les dégâts causés par des virus informatiques ont été chiffrés à près de 12 milliards de dollars. Le manque à gagner des industries victimes de copiages ou de contrefaçons atteindraient 250 milliards de dollars par an, soit près de 5% des échanges mondiaux, selon la même source. Le cyberterrorisme est redouté par tous les gouvernements du monde comme une forme nouvelle de guerre. Le piratage des logiciels aurait entraîné la perte de 109.000 emplois et un manque à gagner, en un an, de 991 millions de dollars de recettes fiscales pour les seuls Etats-Unis. Selon l'UNICEF, la pornographie mettant en scène des enfants génèrerait de 2 à 3 milliards de dollars de chiffre d'affaires par an aux Etats-Unis. Du virus informatique (mini programme qui contamine en chaîne des ordinateurs et détruit les fichiers), aux bogues (se propageant d'un ordinateur à l'autre sans passer par un programme) en passant par le "cheval de Troie" (programme qui s'introduit dans un ordinateur et peut être commandé à distance), les attaques se multiplient au rythme de 50 par semaine selon le FBI, la police fédérale américaine. Le virus informatique "I Love You" a causé plusieurs milliards de dégâts dans le monde entier, en 2000, et infecté 65% des entreprises américaines de plus de 200 salariés. Le Pentagone a été la cible de 22.000 attaques informatiques en un an, selon le FBI.AFP 21.11.2001 | La première convention internationale contre la cybercriminalité a été signée vendredi à Budapest par un nombre record de 30 pays intéressés par cet outil pour la lutte contre le terrorisme. Ce traité, en rédaction depuis quatre ans, est le premier instrument juridique contraignant sur l'internet. "Cet instrument vient vraiment à point" pour lutter contre le cyberterrorisme, "après les terribles attaques terroristes qui ont frappé les Etats-Unis" le 11 septembre, a déclaré lors d'une conférence de presse Hans Christian Krueger, secrétaire général adjoint du Conseil de l'Europe, maître d'oeuvre de la convention. L'organisation paneuropéenne a déjà mis en chantier les prolongements de ce texte et étudie les moyens de décrypter les messages terroristes sur l'internet. Un autre chantier très délicat consiste à "trouver le moyen de saisir des données informatiques transfrontalières" sur lequel aucun consensus ne s'est dégagé, selon le directeur des Affaires juridiques du Conseil, Guy de Vel. La convention permettra de réagir aux actes terroristes commis contre les systèmes informatiques et de rassembler des preuves électroniques sur les infractions liées au terrorisme, a déclaré M. Krueger. Les Etats-Unis, le Japon, le Canada et l'Afrique du Sud, ont signé la convention, ainsi que 26 des 43 pays membres du Conseil de l'Europe, dont douze Etats de l'Union européenne. Le Luxembourg, l'Irlande et le Danemark ont reporté leur signature pour des raisons de calendrier. Le fait que 30 Etats signent la convention dès son ouverture à la signature est sans précédent, ont relevé les responsables du Conseil de l'Europe. La convention entrera en vigueur lorsque cinq pays dont trois Etats membres du Conseil de l'Europe, l'auront ratifiée. Ce texte de compromis a connu près de 30 versions et survécu à de nombreuses critiques. Le Conseil de l'Europe a exigé des garanties pour le respect des droits de l'Homme, notamment le respect du secret de la correspondance. Les Etats-Unis et l'industrie ont refusé catégoriquement les propositions qui auraient exigé de l'industrie de "collecter et de stocker systématiquement les données pendant de longues périodes". Le projet de convention a de plus été violemment critiqué par certaines associations et fournisseurs d'accès qui le qualifiaient de "liberticide, interventionniste, complice d'une nouvelle ère de surveillance généralisée et même de nouveau «Big Brother» au Conseil de l'Europe", selon M. de Vel. Le texte s'attaque aux infractions contre la confidentialité et l'intégrité des systèmes, à celles qui se rapportent au contenu (pornographie enfantine), aux infractions informatiques (fraudes) et à celles liées à la propriété intellectuelle (copiage et contrefaçons). Son article 9 prévoit un large éventail de mesures pour sanctionner la collecte, détention et distribution d'images pornographiques enfantines sur l'internet, ainsi que la prostitution enfantine. La cybercriminalité coûte cher: les escroqueries à la carte de crédit ont rapporté environ 400 millions de dollars à leurs auteurs en 1999, selon le Conseil de l'Europe. Les dégâts causés par des virus informatiques ont coûté près de 12 milliards de dollars et le manque à gagner des industries victimes de copiages ou de contrefaçons atteindraient 250 milliards de dollars par an.AFP 23.11.2001 | Mardi 20novembre, le site d'informations américain MSNBC a révélé que le FBI mettrait au point un programme de type "key logger", un cheval de Troie, qui enregistre tout ce que l'utilisateur a saisi sur son clavier, afin de récupérer ses données et mots de passe. Baptisé "Magic Lantern", il serait installé à distance sur l'ordinateur de personnes suspectes. Une technique qui a fait ses preuves «On dirait que le FBI cherche seulement à trouver de nouveaux procédés de surveillance électronique», explique VincentGullotto, directeur de l'équipe antivirus chez NetworkAssociates. Le FBI opte pour le cheval de Troie, parce qu'il permet d'obtenir plus rapidement des informations qu'avec les techniques de décodage traditionnelles. Une idée qui ne date pas d'hier, indique FredCohen, expert en sécurité à l'Université de NewHaven. Ce professeur enseigne lui-même aux autorités et professionnels de la sécurité des méthodes utilisées par les hackers pour collecter des données numériques. «En cours, j'explique comment utiliser un cheval de Troie pour connaître les touches utilisées par l'utilisateur», explique-t-il. Des outils de piratage, tels que le BackOrifice du fameux groupe de hackers Cult of the Dead Cow, et SubSeven, permettent de contrôler à distance un ordinateur après l'avoir infecté. Ils savent alors tout ce que la personne a saisi, et sont même capables d'enregistrer une conversation si un micro est branché sur la machine. Le FBI a déjà utilisé des logiciels de surveillance de ce type dans certains gros dossiers, notamment l'affaire Scarfo (voir notre actualité du 09/08/2001). Le cheval de Troie oui, Carnivore, non Pour le sénateur républicain RichardArmey, de telles méthodes sont préférables à Carnivore, le système de surveillance très controversé qu'utilise le FBI. Pour RichardDiamond, le porte-parole d'Armey, "Magic Lantern" serait "moins pire", car il n'est installé que sur un seul ordinateur. A contrario, le système Carnivore, rebaptisé DCS1000, donne accès à un réseau dans son intégralité, ce qui permet d'espionner l'ensemble du trafic qu'il transporte. Mais il subsiste un risque, car aucune loi ne réglemente clairement ces procédés qui pourraient être utilisés sans autorisation par les autorités, indique DavidSobel, conseiller général du Electronic Privacy Information Center (EPIC), un groupe d'études indépendant basé à Washington D.C. «La question est plus complexe que pour les écoutes téléphoniques, car l'opérateur télécom ici n'est pas dans la boucle», affirme-t-il. En effet, dans le cas des écoutes, les autorités doivent présenter une autorisation à l'opérateur pour se connecter à son réseau et épier la ligne. De même, pour installer Carnivore, l'aide du fournisseur d'accès à internet est requise. Armey a réussi à faire amender le USAPatriotAct, loi passée en octobre, pour que soit réglementé l'usage que fait le FBI de Carnivore. Mais cela ne s'appliquerait pas à Magic Lantern, prévient Sobel. «On ne sait pas quelle est la portée de cette technique et si elle est utilisée dans les limites raisonnables», affirme-t-il. Et d'ajouter: «Il est possible que rien ne puisse empêcher son installation sur un ordinateur.» ZDNet 22.11.2001 |
| Un nouveau virus, de type ver, transmis par courrier électronique, qui laisse les ordinateurs infectés vulnérables aux attaques en surveillant les touches utilisées sur le clavier, est en train de se répandre rapidement, préviennent les éditeurs de logiciels de sécurité. Le ver "Badtrans" exploite des failles de sécurité des logiciels de courrier du numéro un mondial Microsoft Corp., Outlook et Outlook Express. Il s'auto-expédie à tous les messages laissés sans réponse dans la boîte de réception en utilisant un fichier en pièce jointe qui s'auto-exécute par simple prévisualisation. Le message contenant le virus ne comprend que le texte du message objet de la réponse, avec un fichier joint dont le type varie des documents Word (.doc) aux images (.pic), en passant par des ".news". Le programme malicieux contient des instructions pour espionner les touches frappées sur le clavier des ordinateurs infectés, ce qui permet d'enregistrer les mots de passe ou les numéros de carte bancaire, selon les experts des éditeurs d'anti-virus. "Il ne cause pas de dommage aux fichiers mais contient un programme cheval de Troie qui ouvre une 'backdoor' sur la machine, ce qui permet à un pirate d'y revenir et d'accéder à des informations personnelles", a déclaré April Goostree, responsable de la recherche virale chez McAfee.com. Les ordinateurs des utilisateurs domestiques ou des petites entreprises, dont les anti-virus ne sont pas mis à jour, sont plus particulièrement vulnérables car les serveurs de courrier électronique des entreprises peuvent bloquer le virus. Le ver Badtrans, dont une première variante a été découverte en avril dernier, a frappé au moins 50 pays, surtout en Allemagne, aux Etats-Unis et au Royaume-Uni, selon la société britannique MessageLabs. Reuters 26.11.2001 | Après quatre ans de travail, la première convention internationale sur la cybercriminalité est enfin devenue réalité vendredi 23 novembre, à Budapest. Fait inhabituel, une trentaine de gouvernements ont déjà signé le texte. Parmi eux, douze des quinze pays de l'Union européenne. L'Irlande, le Danemark et le Luxembourg ayant décidé de reporter leur signature pour des raisons de calendrier. Vingt-six des quarante-trois pays membres du Conseil de l'Europe sont également de la partie. Seule vraie fausse note de ce concert diplomatique, l'absence de la Russie, ainsi que de la République tchèque. Des acteurs majeurs de la scène internationale comme les Etats-Unis, le Japon, le Canada et l'Afrique du Sud se sont également ralliés au texte. La convention entrera en vigueur dès que cinq Etats, dont au moins trois du Conseil de l'Europe, l'auront ratifiée. Petits aménagements au profit du premier amendement américain D'après ce texte, qui aura également valeur de traité au niveau européen, les pays signataires devront installer des centres de veille 24 heures sur 24 afin de pouvoir s'entraider dans tous les domaines de la cybercriminalité, du simple piratage au détournement de fonds en passant par les menaces possibles pour des vies humaines. « Contrairement à ce qui a été dit dans certains cercles, nous n'allons pas instaurer un Big Brother », a déclaré Guy de Vel, le directeur des affaires juridiques du Conseil de l'Europe, lors d'une conférence de presse à Budapest. La convention couvre la plupart des crimes et délits informatiques possibles, excepté l'incitation à la haine raciale, que les Etats-Unis n'ont pas voulu inclure dans le texte. 01 Net 26.11.2001 | Trente Etats ont voté le 23 novembre la convention sur la cybercriminalité. Les signataires ont conçu un outil de défense juridique contre tous les crimes commis à travers les réseaux informatiques. La notion de cybercriminalité couvre aussi bien les actes de piratage, la fraude informatique, la propagation de virus, la distribution d'images pédophiles, et de copies illégales d'oeuvres protégées sur Internet. Pour justifier l'utilité de cette convention, le Conseil de l'Europe a présenté quelques chiffres alarmants. La fraude à la carte bancaire génère chaque année 400 millions de dollars de pertes dans le monde. Les pirates informatiques savent déceler les failles des systèmes informatiques pour s'emparer de données confidentielles. Ils détournent ainsi les numéros et les codes des cartes bancaires. Un groupe de fraudeurs russes et ukrainiens s'est attaqué à plus de quarante sites américains. Le butin : les numéros de 1 million de cartes de crédit. Certains pirates sont moins chanceux. La police italienne a déjoué une tentative de détournement organisée par la Mafia. Une subvention européenne de plus de 1 milliard d'euros a failli être transférée sur la réplique du portail d'une banque. 22 000 tentatives d'infractions contre le Pentagone Une enquête menée aux Etats Unis révèle que 85 % des entreprises sondées ont été victimes d'intrusions sur leur réseau. L'administration n'est pas à l'abri : le Pentagone a enregistré en un an plus de 22 000 tentatives d'infractions contre ses structures informatiques. Mais ces chiffres, déjà alarmants, seraient bien en deçà de la réalité. Plusieurs études menées sur les continents américain et européen montrent qu'un tiers seulement des victimes déclarent les infractions. D'après le FBI, beaucoup de sociétés ou d'institutions ne sont pas suffisamment protégées contre ces pirates informatiques. Quelque 5 000 infrastructures vulnérables à la cybercriminalité, et dont l'attaque pourrait déstabiliser l'économie entière d'un pays, ont été recensées. Autre fléau de l'Internet : les virus. Selon le FBI, environ 50 nouveaux virus (de types ver et cheval de Troie) feraient leur apparition chaque semaine. Un chiffre qui risque d'augmenter : les néophytes peuvent désormais produire leur propre virus grâce à la centaine d'outils de création automatique qui circulent sur le Net. Les attaques de virus ont déjà coûté près de 12 milliards de dollars. Le cybercrime concerne également la pornographie infantile. 350 000 à 500 000 clichés à caractère pédophile circulent sur le Web affirme la division française pour la répression des atteintes aux personnes et aux biens (DNRAPB). 01 Net 28.11.2001 |
| L'apparition d'un nouveau virus déclenche l'arrivée immédiate des solutions logicielles permettant de s'en prémunir. Pourtant, même s'ils ne peuvent plus pénétrer dans la plupart des systèmes informatiques, la présence de serveurs toujours infectés assure à ces virus une vie prospère sur le réseau. Une analyse du trafic Internet réalisée par la société Arbor Networks sur une période de sept semaines (du 19 septembre au 3 novembre) a permis de comptabiliser près de 640 milliards de tentatives d'infection. Cinq souches de virus seraient principalement à l'origine de ce phénomène : deux versions de Nimda, qui génèrent quelque 5 milliards de tentatives par jour, et trois formes de Code Red. Des pics inquiétants sont observés à chaque réveil de Code Red. Avant de lancer une attaque le 20 de chaque mois, ce virus se répand d'ordinateur en ordinateur du 1er au 19. Pendant cette période, Arbor Networks lui attribue un surplus de 40 milliards de tentatives d'infection. Une analyse de la localisation des serveurs infectés classe les noms de domaine .net et .kr (Corée) largement en tête. Le .com arrive en troisième position. D'après Arbor Networks, la propagation de ces virus sur Internet est largement favorisée par l'omniprésence de Windows dans le monde. En effet, un créateur de virus, pour assurer une large diffusion à son « oeuvre », choisira comme cible le système d'exploitation de Microsoft. Si aucune solution n'est apportée, la stabilité et la disponibilité du réseau Internet seraient mises en péril. 01Net 29.11.2001 | Le virus informatique de type ver "Badtrans" semblait mardi avoir atteint son pic d'infection mais continuait de se répandre à grande vitesse par courrier électronique auprès d'utilisateurs n'ayant pas mis à jour leur logiciel anti-virus. Au cours de ses quatre premiers jours de contamination, Badtrans a déjà surpassé son prédécesseur SirCam en nombre de machines infectées pour tout le mois de novembre, selon les éditeurs d'anti-virus, touchant principalement les particuliers et les petites entreprises qui ne disposent pas d'une protection de leur passerelle internet. Détecté pour la première fois en Grande-Bretagne vendredi dernier, Badtrans s'est répandu dans toute l'Europe, en particulier au Royaume-Uni et en Allemagne, puis en Amérique du Nord comme du Sud, mais peu en Asie, selon les experts. "Il constitue toujours un grave problème, pas seulement à cause de la faille de sécurité qu'il exploite, mais aussi parce que les utilisateurs ne comprennent pas la leçon" et ne se protègent pas assez, souligne Andy Faris, président de la société MessageLabs Americas. Le ver "Badtrans" exploite des failles de sécurité des logiciels de courrier du numéro un mondial Microsoft Corp., Outlook et Outlook Express. Il s'auto-expédie à tous les messages laissés sans réponse dans la boîte de réception en utilisant un fichier en pièce jointe qui s'auto-exécute par simple prévisualisation. Le message contenant le virus ne comprend que le texte du message objet de la réponse, avec un fichier joint dont le type varie des documents Word (.doc) aux images (.pic), en passant par des ".news". Le programme malicieux contient des instructions pour espionner les touches frappées sur le clavier des ordinateurs infectés, ce qui permet d'enregistrer les mots de passe ou les numéros de carte bancaire, selon les experts des éditeurs d'anti-virus. L'enregistrement des séquences de touches frappées est ensuite envoyé régulièrement à une des 20 adresses électroniques définies par le concepteur du virus. Le ver Badtrans devrait encore se répandre pendant quelques jours, le temps que tous les utilisateurs soient informés et se protègent, estime Vincent Weafer, directeur du centre de recherche de l'éditeur de logiciels anti-virus Network Associates Inc.. "Les gens pensent traditionnellement que les virus sont réparables, mais quand il s'agit d'envoi de données, de perte de confidentialité et de perte de réputation, cela fait bien plus peur. Ce n'est pas récupérable", ajoute-t-il. Reuters 27.11.2001 | Les virus informatiques de type "chevaux de Troie", qui créent des failles de sécurité sur les ordinateurs dont peut profiter un pirate, représentent la majorité des virus détectés durant l'année 2001 et prendront une importance croissante dans l'avenir, estiment des experts. Les chevaux de Troie, dont le dernier en date, Badtrans, a connu en début de semaine son pic d'infection, représentent plus d'un quart des virus recensés dans les douze derniers mois par les services informatiques des entreprises clientes de l'éditeur britannique de logiciels anti-virus Sophos. Ces "Trojans" se caractérisent par la dissimulation du code malicieux à l'intérieur d'un autre fichier, transmis par courrier électronique. En exécutant le fichier hôte, l'utilisateur déclenche le virus aux actions variables. Souvent associé à un programme de type "ver", le Trojan va ensuite s'autorépliquer sur d'autres ordinateurs. Après des années d'anonymat, les chevaux de Troie ont brutalement fait irruption dans l'univers des entreprises quand des pirates ont pu s'introduire, grâce à un Trojan, dans le réseau informatique du numéro un mondial des logiciels, Microsoft, à la fin de l'année dernière. Ils commencent également à sévir dans le grand public avec l'augmentation du nombre d'abonnés à des connexions internet à haut débit, souvent synonymes de connexion permanente et donc de passage facile pour des pirates qui peuvent alors s'introduire dans le système pour y subtiliser données, mots de passe, numéros de carte bancaire ou informations confidentielles. Or, la plupart des utilisateurs domestiques ne mettent pas en place les logiciels de sécurité nécessaires pour une connexion permanente, pare-feu (firewall) et anti-virus régulièrement mis à jour. De leur côté, les virus deviennent toujours plus compliqués et dangereux, estime George Samenuk, directeur général de l'éditeur de logiciels de sécurité Network Associates. Ce phénomène s'explique par l'élévation du niveau moyen de compétence des auteurs de virus informatiques et par l'association de plus en plus courante entre deux mondes auparavant hermétiques, celui des "hackers" et celui des concepteurs de virus, explique Graham Cluley, consultant chez Sophos. Les "hackers" sont des pirates informatiques caractérisés par leur démarche d'intrusion dans des systèmes informatiques protégés, souvent beaucoup plus compétents que les concepteurs de virus et qui, par conséquent, méprisent traditionnellement ces derniers. Reuters 29.11.2001 |
| D'abord apparu aux États-Unis et au Japon, le virus-ver "W32/Badtrans.B" a gagné l'Europe en milieu de semaine. Le problème avec ce genre de virus, qui n'a rien de révolutionnaire, c'est qu'on peut toujours l'éradiquer, le mal est déjà fait. Une fois activé il modifie de nombreux fichiers système mais surtout installe sur celui-ci un cheval de Troie de type "keylogger", en ajoutant le fichier "KDLL.DLL". Désormais, il peut enregistrer toutes les frappes effectuées au clavier par l'utilisateur, et notamment les mots de passe confidentiels et des numéros de carte de crédit... Il envoie ensuite les informations collectées à l'une des 20 adresses emails associées au virus. Pour le reste, il ne détruit aucune donnée sur l'ordinateur. Il ne laisse ainsi aucune trace des données dérobées, même une fois éliminé de l'ordinateur, comme l'admettent les principaux experts en virus interrogés. Quant aux détecteurs classiques, qui ne bloquent un virus que s'ils en reconnaissent la signature, ils affichent de sérieuses lacunes. À tel point que les experts recommandent plutôt l'utilisation d'antivirus "comportementaux" qui bloquent tout fichier suspect en appliquant une sorte de "principe de précaution". Une menace qui n'est pas nouvelle Badtrans a, comme à l'accoutumée, l'apparence d'un email, la pièce jointe contenant le virus. L'objet du email est en anglais, et affiche le plus souvent "info", "docs", "Humor" ou "fun", précise l'alerte de Trend Micro. La pièce jointe est souvent baptisée "Pics", "images" ou "Me_nude" avec une double extension, la première étant ".DOC" ".ZIP" ou ".MP3", et la seconde ".scr" ou ".pif". Ce type d'épidémie profite de la négligence des utilisateurs qui oublient de mettre à jour leurs logiciels. Pour se propager, Badtrans utilise en effet d'anciennes failles propres aux logiciels de Microsoft. À commencer par son mode d'exécution puisqu'il suffit de visualiser le message, sans qu'il soit nécessaire d'ouvrir le fichier attaché (une faille connue sous le terme de "Automatic Execution of Embedded MIME"). Le virus profite également de vulnérabilités propres à Internet Explorer ou Outlook qui ont pourtant été solutionnées depuis des mois, notamment pour faire face au virus Sircam. Ensuite il s'envoie à toutes les adresses emails trouvées dans le système via son propre module SMTP. Rien de bien révolutionnaire, excepté une petite nouveauté: Badtrans parvient à s'envoyer à toutes les adresses des messages non lus dans Outlook. Pernicieux mais pas très rapide Certains éditeurs soulignent de façon très alarmiste que «le nombre d'infections causées par W32/Badtrans.B est en train d'atteindre des proportions épidémiques». Mais sa vitesse de propagation n'a rien a voir avec le ver Nimda qui, en septembre dernier, avait contaminé plus de 63000 ordinateurs en seulement 24heures, selon les chiffres de Trend Micro. Vendredi matin, Trend Micro n'avait ainsi recensé "que" 36629 ordinateurs infectés dans le monde, dont 18900 dans les dernières 24heures. Badtrans montre que ce type de virus peut toucher une audience très large et constitue un parfait outil d'espionnage. La police fédérale américaine est d'ailleurs justement en train de mettre au point un cheval de Troie de type "keylogger", baptisé "Magic Lantern", qui pourrait être installé à distance sur les ordinateurs de personnes suspectes. Pour l'éradiquer, il suffit de mettre à jour son antivirus et de scanner le disque dur. Magnanime, Panda Software met en ligne gratuitement un petit outil qui est censé éliminer automatiquement le virus du PC, quel que soit votre antivirus. Enfin, il conviendra de suivre les grandes lignes de la procédure de sécurité déjà utilisée pour Nimda afin de se prémunir contre d'autres attaques de ce type. ZDNet 30.11.2001 | ||
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
