"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| Un hacker chinois habitant à Singapour a détourné environ 35.000 dollars (36.000 euros)dans 21 comptes bancaires via internet avant d'encaisser l'argent et de s'évanouir dans la nature. La DBS Bank, alertée par un client, a découvert la semaine dernière que le pirate informatique avait viré sur soncompte le 19 juin, en moins d'une heure, des montants allant de 200 à 4.999 dollars singapouriens, pour un totalde 62.000 dollars singapouriens (35.200 dollars US). Les transferts de fonds en ligne chez DBS sont plafonnés à 5.000 dollars singapouriens par jour. "Il s'est (ensuite) rendu dans une de nos agences et a retiré l'argent", a expliqué jeudi une porte-parole de labanque à Reuters. "Après le retrait, il a quitté le pays". La police pense que le cyber-cambrioleur a traversé le pont reliant Singapour à la Malaisie, a-t-elle ajouté. La banque, pour sa part, insiste sur le fait que la sécurisation de son réseau n'est pas en cause. "Ce sont les PCde nos clients qui ont été piratés, pas notre système", affirme la porte-parole. "(Le pirate) est parvenu à obtenirles renseignements (sur les comptes) illégalement". DBS revendique environ trois millions de clients et 370.000 comptes en ligne.Reuters 04.07.2002 | Microsoft a discrètement dévoilé au cours de la semaine dernière quelques détails de sanouvelle initiative en matière de sécurité baptisée "Palladium" destinée à ses futurs systèmes d'exploitation. Les améliorations préconisées touchent autant les matériels que les logiciels. Palladium devrait faire partieintégrante de la prochaine version de Windows, connue sous le nom de code "Longhorn". Ce système offrira "aux particuliers et aux groupes d'utilisateurs une meilleure protection de leurs données, unmeilleur respect de leur vie privée ainsi qu'une meilleure intégrité du système", selon John Manferdelli, chargé duprojet Palladium, interviewé sur le site internet de Microsoft. L'une des améliorations vise à stocker des données sensibles, telles que les mots de passe, non plus seulementsur la partie logicielle mais également au coeur de l'ordinateur lui-même, en encodant des touches de clavier ouen faisant passer des signaux vidéo dans les branchements électriques par exemple. Pour parvenir à son objectif, Microsoft espère une collaboration de tout le secteur informatique et travaille déjàavec Intel et Advanced Micro Devices sur la future architecture de ce système de sécurité. En janvier dernier, dans une note au personnel, président-fondateur de Microsoft, Bill Gates, présentait lesgrandes lignes de sa stratégie "Trustworthy Computing" (Informatique fiable) dont Palladium semble l'une despremières briques. L'initiative porte le nom de la déesse censée protéger la ville de Troie (Pallas en français, ou encore Athéna). Lalégende voulait que, tant que la statue de Pallas (le Palladion) était en sûreté à l'intérieur des murs, Troie netomberait pas.Reuters 03.07.2002 | Logs et traces de connexion: le nouveau visage de Big Brother : En adoptant sa "loi internet", l'Espagne prône un an de rétention des données Un vaste chantier législatif sur la société de l'information a été adopté cette semaine par le Parlement espagnol. Au menu: responsabilités des prestataires techniques, dépôt légal des sites, commerce électronique et cybercriminalité. Les États-Unis prêts à légiférer sur la rétention obligatoire des données? Pour le moment, le ministère américain de la Justice dément tout projet de loi s'alignant sur les récentes initiatives européennes, comme l'a écrit le journal Securityfocus. Reste que ces mesures sont préconisées par le G8 et avalisées par Washington. (21 juin 2002) Surveillance des logs de communication: Londres revoit sa copie Le ministre de l'Intérieur de Sa Majesté fait marche arrière. Un projet d'amendement à une loi controversée, visant à autoriser les services administratifs à accéder aux profils intimes des communications, a été repoussé sine die. (19 juin 2002) France: le FAI "anti-Big Brother" résistera-t-il à la LSQ? Le prestataire internet Globenet sur le fil du rasoir: il respectera l'obligation de conservation des données de connexion, mais en limitant la collecte de données personnelles. Mise à l'épreuve après la sortie du décret de la LSQ en Conseil d'État. (22 mai 2002) La Suisse découvre les effets seconds de la surveillance du trafic internet Une nouvelle loi entrée en vigueur au début 2002 oblige les FAI à conserver, à leurs frais, les données de connexion de leurs clients pendant six mois. Ceux-ci n'apprécient guère et menacent de devoir répercuter ces coûts sur leurs clients. (15 mai 2002) Autriche: la surveillance massive des réseaux téléphoniques en question La gendarmerie autrichienne a exigé des opérateurs GSM qu'ils lui transmettent les données de trafic de 200000 appels afin de retrouver la trace de malfaiteurs. Derrière la polémique se profile à nouveau un système d'écoute intra-européen. (12 février 2002) France: pas de censure-ricochet pour la loi sécurité (LSQ) Le Conseil constitutionnel n'a pas constaté d'irrégularités concernant une mesure de la loi de finances qui modifie pourtant la portée d'un des articles de la loi sécurité quotidienne. Interprétation "surprenante" pour certains juristes. (28 décembre 2001) Londres prône une rétention des logs pendant 12 mois Alors que les instances européennes sont toujours divisées sur le sujet, le Royaume-Uni, à l'image de la France avec la LSQ, anticipe la mise à jour d'une directive de 1997 sur la protection de la vie privée pour mieux surveiller les réseaux télécoms. (23 novembre 2001) Conservation des logs : Bush demande à l'UE de revoir sa copie Le président Bush a demandé qu'un projet de directive européenne soit modifié pour tenir compte de l'urgence antiterroriste. Il s'agit du principe de la "rétention préventive" des données de connexion, un point déjà réglé en France dans la LSQ. (6 novembre 2001) Allemagne: polémique sur la protection des données privées Pour leurs enquêtes, les autorités policières veulent garder trace des échanges en ligne. Ce projet de surveillance par FAI interposé provoque un tollé. (9 janvier 2001)ZDNet 01.07.2002 |
| Dans un avis, qu'elle avait déjà rendu au moment de la préparation de la loi sur la société de l'information, la CNIL appelait à la modération. «Un souci d'équilibre et de proportionnalité a convaincu la Cnil qu'une durée de conservation limitée à trois mois pour les données de connexion à internet serait adaptée à l'ensemble des intérêts en cause», estimait- elle alors. Interrogé à ce sujet, Michel Gentot a bien été obligé de reconnaître, à demi-mots, son impuissance: «Le parlement a décidé de conserver les données un an, nos observations n'ont pas été suivies, nous ne pouvons qu'en prendre acte», a-t-il avoué. «Nous attendons à présent les décrets et nous donnerons notre opinion plus tard.»....Par ailleurs, l'institution poursuit sa mission de contrôle des fichiers de police (renseignements généraux, système des infractions constatées, STIC ou fichiers Schengen), en relevant un certain manque de rigueur dans leur tenue....Elle a également mis en place une boîte à lettre spécifique, spam@cnil.fr, dans laquelle les internautes sont invités à transférer les messages non sollicités qu'ils ont reçus. L'objectif visé est «d'évaluer l'importance du spam en France et son origine géographique, d'identifier les entreprises qui s'adonneraient à de telles pratiques et, le cas échéant, de les dénoncer au parquet».ZDNet 11.07.2002 | À compter du 1er août, les opérateurs de télecommunications dont les fournisseurs d'accès internet (FAI) du Royaume-Uni devront intercepter et garder en stock les communications électroniques de leurs abonnés. Seront concernés les emails, télécopies, faxes, et des informations concernant les sites web visités. Une mesure que le gouvernement présente comme un moyen de lutter contre le terrorisme et le crime organisé. Baptisée "Maintenance of Interception Capability Order", elle est rattachée au RIPA (Regulation of Investigatory Powers Act), loi britannique votée en 2000 qui a pour vocation de donner de nouveaux pouvoirs à la police et aux forces de l'ordre, en leur permettant désormais d'intercepter des communications numériques, en plus des appels téléphoniques et du courrier postal (lire plus de détails en anglais à propos de cette disposition). Dès lors qu'ils recevront un ordre légal d'interception (warrant placés), les fournisseurs d'accès auront un délai de 24 heures pour débuter la surveillance de la personne visée. De plus, ils devront s'assurer que les données interceptées sont transmises en temps réel à l'organisme commanditaire. Une disposition facile à contourner Reste que la mesure suscite bien des interrogations, et semble discutable puisque seuls les fournisseurs d'accès majeurs, comptant plus de 10000 abonnés, devront s'y plier. En seront exclus ceux de plus petite taille, ainsi que les intermédiaires télécoms travaillant avec des institutions financières, comme les banques, les sociétés d'assurance et les établissements de placements. Il sera donc facile d'échapper à l'interception, en passant par ces réseaux "protégés" ou en optant pour un fournisseur d'accès comptant moins de 10 000 abonnés. Sans parler qu'à quelques semaines de l'entrée en vigueur de la disposition, les prestataires concernés ne savent toujours pas à quelle hauteur le gouvernement les dédommagera des frais inhérents à l'installation de l'infrastructure ad hoc. Un porte-parole de la fédération des prestataires internet du pays (l'ISPA) explique que la note risque d'être élevée, puisque comme les opérateurs télécoms généralistes, on peut également leur demander de conserver des données relatives aux communications, dans le cadre de la loi Anti-Terrorism, Crime and Security Act. «Se conformer aux deux lois aura d'importantes répercussions sur les coûts, c'est pourquoi le gouvernement doit donner des directives». Du côté du ministère britannique de l'Intérieur (Home Office), on assure que tout sera mis en place pour que les FAI soient indemnisés, mais aucun détail précis n'a été donné. Le RIPA comporte une clause concernant le dédommagement des frais engagés par les FAI, en échange des services rendus. Mais, explique Tim Snape, qui dirige le syndicat ISPA, cela ne sera pas une source de profit. «Nous ne voulons pas avoir l'air de profiter du crime, alors nous avons demandé à rentrer seulement dans nos frais». Des sources proches du dossier laissent entendre que les indemnités octroyées par le Home Office couvriront tout juste les coûts de stockage.ZDNet 12.07.2002 | Israël et Hong Kong viennent en tête des pays d'où émanent le plus d'attaques sur internetpar rapport à leur nombre d'internautes, mais, en valeur absolue, les Etats- Unis arrivent largement devant l'Allemagne,l'Afrique du Sud, la Chine et la France, selon une étude de Riptech, société de sécurité informatique basée à Alexandria, enVirginie. Les entreprises les plus visées par ces tentatives d'intrusion sont dans les secteurs de la production d'énergie. Lesanalystes de Riptech expliquent ce choix par l'intention de provoquer un maximum de perturbations. L'étude repose sur l'analyse des enregistrements de surveillance (logs) d'environ 400 clients de Riptech répartis dans unetrentaine de pays. Même si l'échantillon est relativement modeste comparé au nombre de sociétés connectées à internet,l'analyse reposant sur des "logs" d'attaques, rarement comparés ou analysés, donne une cartographie intéressante destendances mondiales, soulignent des experts du marché. Riptech s'est refusé à toute hypothèse pour expliquer pourquoi le lancement de cyber-attaques est plus important danscertains pays que d'autres. "Nous essayons de ne pas spéculer sur les motifs. Nous avons voulu que ce rapport soit aussiobjectif que possible, mais il est intéressant de noter que des pays moins développés ont un taux d'agressivité de 50% plusélevé sur la base du nombre de personnes connectées", a souligné Elad Yoran, co-fondateur et vice-président de Riptech. Les cyber-attaques, diffusion de virus ou assauts répétés de sites web pour en paralyser les opérations, ont connu une progression de 28% au cours du premier semestre par rapport au dernier semestre de l'an dernier. Les sociétés étudiées ont subi une moyenne de 32 attaques par semaine, contre 25 durant le second semestre 2001.Celles-ci surviennent principalement le mercredi et le jeudi, ajoute l'étude sans fournir d'explication. Déterminer l'origine géographique des agressions est plus difficile, confie Tim Belcher, directeur technique de Riptech.S'il est possible d'identifier le pays d'où elles viennent, des pirates astucieux savent se camoufler. Toutefois, 93% desassaillants identifiés dans l'étude ne se sont montrés actifs qu'un seul jour, donnant à penser qu'ils ont mené leurs attaquesdirectement plutôt que de passer par un système "zombie" pour brouiller les pistes. ATTAQUES EN RECUL AUX USA La majorité des attaques (40%) viennent des Etats-Unis, suivis de l'Allemagne (7,6%), de la Corée du Sud (7,4%) et de la Chine (6,9%). Bien que les USA soient la source de la plupart des attaques, c'est aussi le pays qui possède l'économie la plus importante et une bonne part des internautes dans le monde. Pour une analyse plus fine, Riptech a rapporté le nombre d'attaques au nombre local d'internautes. Parmi les pays disposant de plus d'un million d'utilisateurs, Israël a enregistré environ 33 attaques pour 10.000internautes, suivi de Hong Kong avec 22 assauts pour 10.000 internautes. Une autre étude, également publiée lundi, montre que les cyber-attaques seraient en recul aux Etats-Unis. Sur les 3.500 entreprises américaines interrogées par Information Week, 44% (contre 70% l'an dernier) ont déclaré avoir souffert devirus, ou d'attaques d'intrus de type "cheval de Troie", logiciel camouflé sous les traits d'un programme inoffensif. Sont également en recul les attaques de type "déni de service", consistant à bombarder un ordinateur de requêtesimpossibles à satisfaire. "Bien que trois sociétés sur cinq signalent des cas d'espionnage informatique, les incidents en matière de sécurité sont en baisse en 2002", ajoute l'étude de Information Week.Reuters 09.07.2002 |
| Un groupe international de militants informatiques a dévoilé, samedi 13 juillet à New York, son logiciel de chiffrement "Camera/Shy". Il s'agit d'une première réalisation de l'organisation Hacktivismo, qui vise à lutter contre la censure sur le net en créant un réseau anonyme d'échange d'informations. Ce programme concrétise un projet vieux de près de deux ans, initié en tant qu'«opération spéciale» par le groupe de hackers américain Cult of the Dead Cow (CDC). Le résultat est un petit logiciel (1,28 Mo) disponible gratuitement en téléchargement, depuis ce week-end, en version bêta. Il permet de chiffrer un message texte à l'intérieur d'une image. Très simple d'emploi (tout en anglais), il demande moins d'un quart d'heure de prise en main pour cacher un morceau de texte dans une simple image au format GIF. Cette dernière peut ensuite être envoyée par email ou publiée sur un site. Pour la décoder et visualiser le texte secret, il suffit de réutiliser le même programme, muni du mot de passe et de la signature du créateur de l'image, qui les aura envoyés à ses correspondants. Bref, il s'agit d'un système classique de chiffrement basé sur un codage dit "sténographique". Si le procédé n'a rien de nouveau, la démarche qui consiste à le proposer librement aux internautes (Camera/Shy est en licence GPL), est en revanche singulière et se veut engagée. Lutter contre la «censure étatique» «Nous sommes très sérieusement inquiets de l'extension de la censure de l'internet par les gouvernements, soutenus par les sociétés transnationales», explique l'équipe de Hacktivismo dans sa "Déclaration d'indépendance manifeste hacktiviste" publiée le 4 juillet 2001. Se référant notamment à la Déclaration des droits de l'homme, ils estiment «que la communauté internationale des hackers se doit de réagir». Ils s'engagent donc à étudier «toutes choses et moyens susceptibles de contourner la censure étatique de l'internet», et à fournir «des technologies permettant de passer outre ces violations des droits à l'information». Le logiciel Camera/Shy est d'ailleurs dédié à la mémoire de Wang Ruowang, peut-on lire dans un communique du CDC. Une référence à l'intellectuel chinois décédé le 18 décembre 2001 des suites d'un cancer, et considéré comme l'un des «pères» de la dissidence face au régime de Pékin, l'un des plus réactionnaire vis-à-vis de l'internet. Camera/Shy n'est qu'un premier pas pour Hacktivismo. Un des membres du projet, surnommé "Mixter", a ainsi indiqué à Reuters que d'autres programmes seraient mis en ligne dans les semaines à venir, afin de réaliser un réseau complet d'échange d'informations totalement anonyme.ZDNet 15.07.2002 | La Chambre des représentants américains a approuvé lundi un projet de loi visant àaccroître la surveillance du réseau mondial et à renforcer les sanctions contre le cybercrime, dans un contexted'inquiétudes concernant le terrorisme électronique, les virus informatiques et autres actes de piratage surinternet. Selon la législation en vigueur, les sanctions des délits informatiques sont établies en fonction des dommageséconomiques qu'ils provoquent et se soldent souvent par des peines de prison courtes ou inexistantes. Parexemple, l'auteur du virus "Melissa", qui a causé 1,2 milliard de dollars de dégâts, a été condamné le 20 maidernier à 20 mois de prison et à une amende de 5.000 dollars. La Chambre des représentants a demandé à la commission parlementaire chargée d'établir les sanctions (U.S.Sentencing Commission) de prendre en compte la volonté éventuelle de nuire de l'auteur et d'autres facteurs,comme le fait de cibler ou non des ordinateurs du gouvernement contenant des données sensibles. Les auteurs de délits informatiques qui mettent en danger la vie d'autrui - consciemment ou par leurcomportement "irresponsable" - pourraient être condamnés à des peines de prison à vie au terme de la nouvelleloi. La Chambre basse américaine a également voté l'allégement des restrictions pesant sur les fournisseursd'accès internet (FAI) en matière de surveillance, en leur permettant d'informer les autorités en cas d'activitéssuspectes sur leur réseau, même dans le cas où elles ne posent pas de danger immédiat, sans être exposés à despoursuites judiciaires. Les lois actuelles interdisent aux fournisseurs d'accès de donner des informations sur les activités de leursabonnés - à moins qu'elles ne posent un risque immédiat de provoquer la mort ou des blessures -, et permetaux utilisateurs de les poursuivre pour violation de leur vie privée. La nouvelle législation prévoit de sanctionner les FAI s'ils ne conservent pas les archives électroniques, tellesque les emails de leurs clients, pendant au moins 90 jours. Le département de la Justice serait en outre chargéde faire un rapport annuel récapitulant les activités suspectes recensées par les FAI. Les nouvelles propositions législatives ont remporté l'adhésion des FAI, qui disent que la législation actuelleles place dans la position inconfortable de déterminer eux-mêmes la gravité des menaces présentes dans lesdiscussions de leur groupes de discussion ou les emails de leurs clients. Mais pour les organisations de défense des libertés individuelles, une telle législation pousserait les agencesde maintien de l'ordre, ou toute autre agence gouvernementale, à faire pression sur les FAI afin qu'ils leurdonnent des informations sans avoir besoin de mandat de perquisition.Reuters 16.07.2002 | Les autorités américaines ont une bonnenouvelle pour leurs citoyens craignant des attaques bioterroristes: lesrumeurs circulant sur l'internet et faisant état de bananes carnivores,d'échantillons de parfum empoisonnés ou de tampons à l'amiante sont fausses. Mais ces rumeurs sont tellement répandues par l'intermédiaire de courriersélectroniques que les Centres de contrôle des maladies (CDC) du gouvernementaméricain ont jugé nécessaire de créer une page internet entièrement consacréeà leur annihilation (www.cdc.gov). "Le courrier électronique circulant actuellement à propos de bananes duCosta-Rica causant la maladie 'fasciite nécrosante' (dite mangeuse de chair)est faux", affirme cette page. Très alarmiste, le courrier électronique en question affirme: "Plusieursarrivages de bananes en provenance du Costa Rica ont été infectés par labactérie mangeuse de chair. Si vous avez mangé des bananes au cours des 2 ou 3derniers jours et êtes atteint de fièvre et d'une infection de la peau vousdevez vous rendre chez votre médecin au plus vite". "L'infection de la peau (...) peut détruire jusqu'à trois centimètres dechair par heure. Une amputation est souvent inévitable mais cela peut aussientraîner la mort. Si vous vous trouvez à plus d'une heure d'un hôpital, ilest conseillé de brûler la première couche de peau infectée afin de ralentirla propagation de l'infection". Mais les bananes carnivores ne sont pas le seul canular circulant surl'internet. "Ces six derniers mois, des rumeurs infondées circulant sur l'internet ontsuggéré que des fabricants américains de tampons ajoutaient de l'amiante dansleurs produits pour provoquer des règles plus importantes et vendre plus detampons", affirme le site des CDC. Autre exemple d'e-mail alarmiste: des femmes seraient mortes après avoirinhalé un échantillon de parfum reçu par courrier. "Ces courriers électroniques relèvent du canular", affirme le site des CDC. Un autre e-mail canular affirme que que les CDC ont découvert une versionmutante du VIH qui circule dans l'air. "Il est malheureux que de telles histoires, susceptibles d'effrayer le grand public, circulent sur l'internet",regrettent les CDC. Les CDC mettent également en garde contre les courriers électroniquesfaisant de la publicité pour des médicaments contre le bacille du charbon. "Les fraudeurs suivent souvent les gros titres de l'actualité, adaptantleur offre pour exploiter les craintes des consommateurs", expliquent-ils. Une véritable psychose du bacille de charbon s'était emparée des Etats-Unisà la fin de l'année dernière quand 22 personnes avaient été contaminées parcette maladie, faisant cinq morts. La page internet anti-canulars des CDC est l'une de plus populaires dessites du gouvernement américain. "Dans un an, nous nous attendons à avoir euplus d'un million de visiteurs", a estimé John Burckhardt, un des responsablesdes CDC, basés à Atlanta (Géorgie, sud).AFP 14.07.2002 |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
