"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| CNN s’extasie sur les disposition d’une banque suédoise, laquelle vient de mettre au point un procédé interdisant à ses usagers d’utiliser deux fois le même mot de passe lors des consultations de compte sur Internet. Régulièrement, une série de « passwords » est expédiée sous pli discret à chaque sociétaire, clefs protégées par un revêtement « à gratter » semblable à celui utilisé sur certaines cartes de la Française des Jeux. Sauf qu’à ce jeu là, le gagnant est statistiquement la banque. Indiscutablement, ce procédé semble considérablement plus fiable que celui de certaines banques françaises d’envergure aussi nationale que générale, lesquelles interdisent pour d’obscures raisons toute modification du login et transforment le changement de mot de passe en parcours du combattant. Il n’en demeure pas moins que l’idée d’un « mot de passe sur un bout de papier », même accompagné d’un « pin number » complémentaire, n’est pas un solution particulièrement idéale. En outre, l’impression de ces millions de petits cartons, leurs frais d’expédition associés, la gestion des générations et des renouvellements des « lots » de mots de passe masque mal une lourdeur administrative certaine. Notons que cette information a fait l’objet d’un Slashdotage. Mais précisons que le titre de l’article comporte une très légère erreur : le « one time pad » est un procédé de crypto associant au texte à camoufler une clef de longueur équivalente (définition très simplifiée qui, à son tour, fera hurler quelques spécialistes). Rien à voir donc avec le « one time password », que l’on pourrait traduire par « mot de passe kleenex ». La puce à l’oreille Il existe pourtant une solution bien française et, pour l’heure, inviolable. C’est la « carte audio », un émetteur de signaux DTMF complexes à fréquence variable délivrant une séquence aléatoire, laquelle peut être captée soit par le microphone de l’ordinateur, soit par celui du combiné téléphonique lors d’une session Audiotel, soit par celui d’un GSM dans le cadre d’une consultation par sms ou flux GPRS. Ca s’appelle AudioSmartcard , et, après 4 mois d’inlassables tentatives de piratage, l’équipe de CSO (et quelques collaborateurs extérieurs bien plus compétents que nous ne le sommes) n’est pas parvenue à casser le mécanisme. En outre, l’élégance du procédé lui permet de s’adapter à pratiquement toutes les situations, y compris celle nécessitant l’usage d’un canal de communication fortement dégradé ou à bande passante très réduite. En risquant un parallèle relativement osé, c’est une sorte de carte « token » qui ne nécessite pas de saisie « à la main » d’un numéro complexe et qui passe sur toutes les couches de transport, y compris les antiques S63 à cadran rotatif ou les liaisons VHF. Une même carte peut être utilisée pour une authentification RAS, un SSO aboutissant sur différentes applications, des accès machines conventionnels, des logins sécurisés via des consoles publiques ou, plus simplement, le cryptage de documents locaux. Réseaux et Telecoms 03.06.2004 | Le système d'information peut livrer de nombreuses traces d'une faute ou d'une fraude. Des preuves informatiques recevables, à condition de respecter les procédures. Lorsque tous les moyens de prévention ont échoué et que l'infraction est constatée, l'entreprise peut encore recourir aux tribunaux. Attention, alors, aux procédures de collecte des éléments qui serviront à attester de sa bonne foi. En la matière, l'article 1315 du code civil doit rester à l'esprit des DSI : la preuve est à la charge de celui qui veut faire établir un fait ou un droit. La saisie informatique est légale Il est aisé d'utiliser le système d'information afin d'identifier le coupable d'une faute ou d'une fraude. Les ordinateurs laissent de nombreuses traces. Mais « avoir des preuves n'implique pas que l'on puisse les utiliser » , avertit maître Gérard Haas, avocat spécialiste du droit de la propriété intellectuelle. La preuve informatique est à manier avec prudence. Le respect du droit à la vie privée et du secret des correspondances des employés est la première charge juridique du DSI. En regard de ces garde-fous, les moyens de contrôle déployés doivent l'être en toute transparence. Ce préalable garantit de pouvoir établir la matérialité d'un droit et d'un fait. Le constat d'un vol de la propriété intellectuelle ne peut être établi que sur la base de l'article 145 du nouveau code de procédure civile (NCPC), concernant les mesures conservatoires. Sous ordonnance d'un avocat, signée par un juge, et en présence de l'employé suspecté, une perquisition du poste informatique revêt un caractère légal. Une saisie de ce poste toujours autorisée par une décision de justice prend deux formes : la saisie réelle, physique, selon l'article 56 du NCPC ; et celle descriptive (article L 332-4 du code de la propriété intellectuelle), qui consiste en une copie des données. Vers une preuve imparable Dans ces cas, mieux vaut faire appel à des experts. Des sociétés telles Ibas ou Kroll Ontrack ont su adapter leur expertise dans la récupération de données à la recherche de preuves informatiques. « Nous ne travaillons jamais sur l'original d'un disque dur, mais toujours sur une copie. Il est primordial de ne rien modifier sur cette pièce à conviction » , explique, par exemple, Gilles Prola, responsable de la recherche de preuves informatiques chez Kroll Ontrack. Ces précautions ne sont pas superflues. La preuve est dématérialisée, résidant dans les données. C'est donc sur l'attention portée au support que les juges trancheront. IBM l'a appris à ses dépens en 1998. Un litige opposait la société à l'un de ses employés. « La légalité des preuves qu'ils ont établies a été remise en question par l'employé. En particulier, IBM avait omis de mettre sous séquestre le disque dur contenant les données utilisées à charge » , relate maître Gérard Haas. Si le DSI doit rechercher la preuve, il faut aussi la préserver et, surtout, la constater. D'où le rôle de l'expert. « On fait très souvent appel à nous dans le souci que la preuve soit établie par un tiers. Et, dans le même temps, conservée intègre » , reconnaît Gilles Prola. Le DSI est techniquement compétent pour ces recherches de preuves et perquisitions. Le procès-verbal nécessite toutefois qu'il délègue ce pouvoir à un prestataire, sous contrôle juridique. 01Net 03.06.2004 | Tout en rendant l'entreprise plus vulnérable à la fuite d'informations confidentielles, la numérisation des données offre aussi des moyens de contrôle accrus, dont l'employé doit avoir connaissance. Virus, intrusions, pertes de données figurent au palmarès des préoccupations des directeurs des systèmes d'information (DSI). Ces menaces sont d'importance. Cependant, elles trouvent réponse dans des solutions technologiques. Une parade est opposable. D'où la montée en puissance d'un décisionnaire sur ces questions de sécurité : le responsable de la sécurité des systèmes d'information (RSSI). Sa présence se renforce dans les entreprises, et ses prérogatives sont étendues. Ainsi que ses responsabilités. Les moyens de protection mis en oeuvre dans le cadre de la sécurisation du système d'information sont autant d'outils de contrôle, dont le RSSI et le DSI doivent faire un usage modéré. Ainsi le détournement de solutions de filtrage, antivirales ou anti-pourriel pour surveiller le courrier électronique, contrevient-il aux dispositions légales. L'article 226-15 du code pénal prévoit une peine d'emprisonnement maximum d'un an et une amende pouvant atteindre 45 000 euros. Conférer force de loi à la charte appliquée Une telle obligation juridique sied toutefois mal aux contraintes organisationnelles des DSI. « Que dois-je répondre à mon PDG qui s'inquiète d'une éventuelle fuite d'informations confidentielles lors du départ d'un cadre supérieur ? Et cela quand je ne peux pas légalement contrôler le courriel que ce dernier continue d'envoyer pendant sa période de préavis » , s'inquiétait le 5 février dernier un DSI, lors d'une conférence sur l'administration de la sécurité du système d'information. Cette question du vol de la propriété intellectuelle se révèle critique pour les entreprises. Une récente étude auprès de quatre cents entreprises anglaises a révélé que 69,6 % des employés avait déjà volé des documents et des informations à leur entreprise. Afin de se prémunir contre cela, la réponse des juristes conduit systématiquement à l'élaboration d'une charte. « Cet ensemble de règles techniques et juridiques a vocation à traiter et à essayer de prévenir les problèmes de responsabilité juridique des DSI et RSSI dans l'utilisation des moyens informatiques de l'entreprise » , expose maître Muriel Artis, avocate spécialisée dans le droit de la propriété intellectuelle au cabinet Bismuth. Une telle charte indiquera la nature des sanctions et des contrôles que l'entreprise peut appliquer. En respectant un principe de proportionnalité au but recherché, elle autorise l'entreprise à licencier quand la charte n'est pas respectée. Afin de conférer à la charte force de loi, il convient d'agir dans le respect du code du travail. Quelques règles sont à respecter. Les délégués du personnel et le CE doivent être consultés. Les dispositions portées au règlement intérieur, accentuant la force des mesures prises, doivent être transmises à l'inspection du travail. Selon l'article 122-15 du code du travail, le règlement intérieur doit être affiché dans l'entreprise à une place convenable et aisément accessible. Enfin, obligation est faite de porter ces modifications à la connaissance du conseil des prud'hommes. « L'avantage du règlement intérieur ? Il s'impose à un ensemble de salariés sans avenant au contrat de travail. Et donc sans la nécessité d'une signature individuelle par les employés » , ajoute maître Muriel Artis. Cependant, ces dispositions ne suffisent pas toujours. « Aucune mesure réglementaire n'évite l'utilisation frauduleuse ou fautive de l'outil informatique » , affirme Gilles Prola, responsable de la recherche de preuves informatiques dans la société de services Kroll Ontrack. L'avertissement est inquiétant. Et le conseil prodigué aux DSI par maître Olivier Iteanu, du cabinet Iteanu & Associés, n'est pas pour rassurer : « Gardez-vous des seules solutions informatiques. Le problème est organisationnel et demande une responsabilisation des personnes et de la direction générale. » Le salut des entreprises viendrait donc d'une combinaison de différents moyens. Le management des employés est en cause et doit être pris en charge par les DSI et RSSI. Olivier Iteanu préconise de l'imagination en matière de procédures. Informer sur les moyens de contrôle Ainsi, communiquer auprès des employés sur les nécessités pour l'entreprise d'archiver son courrier électronique - et donc de le sauvegarder sur un serveur - en fera réfléchir plus d'un sur une utilisation tendancieuse de l'e-mail. Une bonne pédagogie peut aboutir à d'excellents résultats. « Un système d'exploitation doit, pour fonctionner, avoir une vue sur toutes les activités effectuées. Cela implique que toutes les opérations de l'utilisateur laissent des traces. Lesquelles peuvent être récupérées dans quasiment tous les cas » , explique Arnaud Servole, directeur général en France de la société spécialisée en récupération de données Ibas. Cet expert affirme ainsi que ses techniciens peuvent, dans 95 % des cas, récupérer des données effacées d'un disque dur. Et cela quelle que soit la méthode utilisée. Ces propos sont corroborés par Gilles Prola : « Non seulement nous récupérons les données, mais nous pouvons renseigner précisément le DSI sur plusieurs points : par qui, comment, et quand l'effacement a été effectué. » Un historique complet de l'utilisation qui est faite d'un ordinateur est réalisable par ces sociétés. Il est judicieux pour le DSI et/ou le RSSI de communiquer avec pédagogie sur les moyens dont ils disposent pour contrôler a posteriori l'ordinateur d'un employé. « Il est impossible d'effacer à 100 % toute trace d'activité d'un système d'information » , rappelle Arnaud Servole. En assurant une bonne communication aux employés sur les dangers d'une mauvaise utilisation du système d'information, on prendra soin d'informer sur tous ces moyens techniques de contrôle. La peur du gendarme auprès des salariés L'effet dissuasif est alors garanti. « Trop d'employés s'imaginent encore qu'une copie de fichiers sur une disquette ne laisse aucune trace » , s'amuse Arnaud Servole. Il en va de même pour l'envoi d'e-mails. Un commercial souhaitant envoyer la liste de ses contacts clients sur son adresse personnelle s'abstiendra, en effet, de le faire s'il sait que tout envoi d'e-mail peut être enregistré, quand bien même il aurait supprimé ledit courrier de son dossier « éléments envoyés ». L'objectif - à demi-mots avoué par les juristes comme par les experts en recherche de preuves informatiques - est bien d'instiller la peur du gendarme chez l'employé. Ibas préconise ainsi de doubler cette communication sur l'arsenal technologique par la rédaction d'un acte légal lors de l'entretien de sortie. L'employé déclare alors expressément ne pas avoir effectué de copies électroniques de tout document ou fichier appartenant à l'entreprise. Il n'est pas trop tard pour lui rappeler que l'entreprise pourra procéder à une saisie descriptive selon l'article L. 332-4 du code de la propriété intellectuelle. Ladite saisie correspond à une copie des données du poste informatique, sur laquelle une expertise de traçabilité des données pourrait informer l'entreprise des agissements cavaliers de l'employé. Quelles que soient les dispositions en matière de protection et de confidentialité des données déployées par le législateur Cnil en tête , la traçabilité des données est inévitable. Sans en abuser ni se mettre hors la loi, le DSI détient là un argument de poids contre tout vol de la propriété intellectuelle. A charge pour lui d'en informer les utilisateurs. Un acte délictueux en voie de banalisation C'est un signal d'alarme que les directions d'entreprise doivent prendre en compte. Selon une étude de la société Ibas, 69,6 % des professionnels ont commis un vol de propriété intellectuelle de l'entreprise qui les employait, à l'occasion de leur départ. Quatre cents cadres anglais ont été interrogés dans le cadre de cette étude, qui révèle des chiffres inquiétants. Ainsi, plus de la moitié des sondés estiment qu'un tel acte est au moins aussi acceptable que le fait d'exagérer une déclaration de sinistre auprès de son assureur afin de couvrir la franchise. Et bien moins d'un tiers considèrent que le vol de la propriété intellectuelle est un acte délictueux inacceptable. La facilité avec laquelle les fautifs opèrent peut expliquer l'absence de prise de conscience qu'une faute est commise. Plus de la moitié des cadres emportent leur carnet d'adresses électroniques. 32,6 % volent des propositions et présentations commerciales. Pire : ils sont encore 30,4 % à partir avec la base de données clients. La méthode préférée est l'envoi de ces précieuses données par courriel vers une adresse personnelle. Questions/Réponses « Peut-on quantifier le vol de la propriété intellectuelle ? » Une société spécialisée dans la recherche de preuves informatiques, telle Ibas, est sollicitée en France deux fois par semaine en moyenne. Copier un carnet d'adresses, un fichier de clients, des études de marché, des présentations de produits sont autant de vols manifestes de la propriété intellectuelle. « Comment se prémunir contre cela ? » Le meilleur rempart consiste à informer les employés. D'abord sur la question de la propriété intellectuelle de l'entreprise pour que les salariés comprennent leurs responsabilités et devoirs. Ensuite sur les moyens de contrôle dont disposent les équipes informatiques pour remonter jusqu'à l'auteur d'une infraction. « Qui consulter en cas de litige ? » Ne pas hésiter à recourir à des cabinets d'avocats spécialistes du droit de la propriété intellectuelle, seuls garants de la bonne procédure en cas de litige porté devant les tribunaux.01Net 03.06.2004 |
| Un jeune Montréalais de 19 ans a été arrêté fin mai par la GRC pour avoir tenté d'infiltrer le système informatique de la Cour suprême des États-Unis. Le Journal de Montréal rapporte que le jeune hacker est le premier à avoir menacé ainsi le plus haut tribunal américain. Mais selon une porte-parole de la Cour suprême, la police a réussi à bloquer sa tentative à temps, sans qu'il puisse s'accaparer d'informations. Le jeune homme a été remis en liberté mais son ordinateur a été confisqué. Des accusations pourraient être portées sous peu à la lumière de ce qu'y découvriront les enquêteurs. Presse Canadienne 5.06.2004 | Olivier Iteanu La tendance
à contrôler les contenus en réseau peut nuire aux
libertés individuelles Téléchargement illégal,
Phishing, correspondance privée... Quels sont nos droits et quelles sont
les sanctions encourues en cas de délit sur Internet? Olivier Iteanu,
avocat spécialiste des NTIC, a répondu à de nombreuses
interrogations lors d'un chat très animé. La LEN a-t-elle changé la nature juridique des correspondances dites privées ? Y voyez-vous, en tant que juriste, un recul des libertés individuelles ou simplement un point de droit pour tous les juristes de France ? Je ne vois pas de rapport direct entre le statut des correspondances privées et un recul des libertés individuelles. En revanche, vous avez raison de pointer une tendance générale à vouloir contrôler les contenus en réseau, tendance qui conduit à une situation où les libertés individuelles peuvent reculer. Quel risque judiciaire potentiel encourt un internaute, qui par le biais d'un logiciel type Emule, télécharge une version piratée d'un film ? Dans la loi Perben II, les sanctions de ce type de téléchargements sont passées à trois ans de prison et 300.000 euros d'amende. Le délit de contrefaçon, surtout, a pris une ampleur inattendue car il est désormais possible à un juge d'instruction de mettre en détention provisoire un prévenu coupable de ce type de délit. Avec la peine précédente (deux ans de prison), cela n'était pas possible. Pouvez-vous m'expliquer le choix du titre de votre livre ? C'est une provocation. L'idée est la suivante :le législateur sent bien que la loi seule ne peut résoudre tous les problèmes. Au lieu de le dire, on assiste à une fuite en avant où il multiplie les peines, crée de nouveaux délits etc. donc tous cybercriminels semble être la direction donnée. Alors, dans la cybercriminalité : qui donc est responsable ? Logiquement, dans le monde réel, et dans un monde idéal, ce devrait être l'auteur de l'infraction. Le phishing est en très nette progression en France. Concrètement, quel recours est-ce que l'on a contre cette pratique ? C'est de l'escroquerie, donc un recours judiciaire classique : le problème ici n'est pas juridique. C'est souvent un problème de gendarme et de voleur : comment identifier l'auteur de l'infraction ? Quelles dispositions doivent prendre les éditeurs de contenu après l'amendement Tregouët sur la non-prescription des délits de presse en ligne ? A ma connaissance, le recours devant le Conseil constitutionnel est toujours en cours. On doit espérer qu'il aboutira car sinon, c'est la liberté de s'exprimer sur le réseau qui va en pâtir. Plus que d'anonymat, il faut parler de pseudonymat sur Internet." L'anonymat est-il juridiquement un droit sur Internet ? Sur Internet, on est plus sur un système dit de pseudonymat que d'anonymat : on laisse toujours des traces interprétables. Le pseudonymat est implicitement reconnu par la loi - voir le décret sur la signature électronique du 30 Mars 2001 (article 5 f). En soi, l'anonymat n'est évidemment pas illégal. Est-ce que les anonymiseurs et autres logiciels sont légaux ? En soi, ce que vous appelez les anonymiseurs ne sont pas illégaux. Que pensez-vous de la dernière campagne du SNEP ? Je n'en pense pas du bien. D'autres que moi l'ont dit, y compris des sociétés d'auteurs et d'artistes. Mais c'est le marketing de la peur. Quels sont les spécificités du cybercrime par rapport au crime traditionnel ? Il nécessite une connaissance primordiale des systèmes d'information. Il y a aussi beaucoup moins de sang. Peut-on vraiment contrôler Internet, n'est il pas utopique d'interdire ce qu'il n'est pas possible de faire ? Tout à fait, c'est totalement illusoire. La loi seule ne peut rien. Elle doit composer avec trois autres normes non juridiques: les pratiques ou usages, le marché, et la technique. Pourquoi les sites consacrés à des cracks et des liens de peer to peer ne sont-il pas supprimés par les hébergeurs ? Le P2P n'est pas en soi illégal: pourquoi ces liens seraient ils supprimés ? C'est la culture d'échange et de coopération qui promeut Internet. Les mails personnels d'un salarié sont protégés par la législation sur les correspondances privées." Quid de la responsabilité du gestionnaire de réseau quant aux dossiers personnels ? En entreprise, la boîte aux lettres du salarié est protégée au titre du secret des correspondances privées (Arrêt Nikon Oct. 2001). S'il accède à ces messages en dépit de cette protection, c'est un délit et il court le risque d'être poursuivi pénalement. En tout état de cause, si l'entreprise entend utiliser ces messages contre son salarié (par exemple dans le cadre d'un licenciement), la pièce pourra être rejetée car illégale. La lutte désespérée des majors contre le peer to peer ne va t'elle pousser les logiciels à devenir de plus en plus anonymes ? C'est une évolution que l'on constate déjà: c'est bien la course entre le "gendarme et le voleur". Qu'est-ce qui vous a motivé à rédiger "Tous Cybercriminels" ? En dehors de l'argent :-)) On sort de la réflexion théorique sur Internet et le droit pour entrer dans le vif du sujet : surtout, j'ai perçu une absence de direction donnée par nos autorités publiques pour lutter contre la cybercriminalité. J'ai tenté de faire la synthèse de ce mouvement qui ne me parait pas aller dans le bon sens. Tous cybercriminels, c'est très sécuritaire comme discours...j'allais dire très sarkozien actuellement, non ? Sauf erreur, le discours sarkozyen aurait plutôt été tous policiers non ? Mais on s'éloigne du sujet. On parle beaucoup d'usurpation d'identité aux Etats-Unis. Pensez-vous que ce phénomène va bientôt arriver en France ? Il est déjà là: dans le livre, je rapporte une histoire de ce type qui s'est passée dans le sud de la France. Nous ne sommes pas encore très familiers avec nos nouvelles identités logiques (e-mail, adresse ip, etc.). Avec la LEN, on a tenté de 'rassurer' l'industrie du disque." Que pensez-vous de la LEN ? Est-elle le produit des majors ? Si on avait voulu instaurer un climat de méfiance, on ne s'y serait pas pris autrement. La loi est une agrégation de sujets divers et variés, elle est donc très difficilement lisible et ça, c'est déjà le début de l'insécurité juridique. Quant à dire qu'elle est le produit des majors, cela me paraît exagéré : en revanche, il est clair que nos représentants ont tenté, notamment, de "rassurer" l'industrie du disque. Croyez vous que la LEN remette en cause la jurisprudence Kitetoa, dont vous fûtes l'avocat ? Non absolument pas ! Cette jurisprudence me semble de bon sens. Pour mémoire elle fixe deux grandes règles qui protègent les internautes: 1/ il y a présomption de caractère public à tout contenu librement accessible sur le net; 2/ en cas de défaillance de sécurité de la part de l'éditeur d'un site, c'est à lui 'en assumer la conséquence et pas à l'internaute d'être poursuivi pour le délit d'accès frauduleux à un système. Certaines personnes n'hésitent pas à usurper des adresses e-mails pour envoyer des virus ou autre. Il est fatigant de voir sa propre adresse e-mail dans des messages dont on n'est pas l'auteur. Comment faire arrêter cela ? Quel recours juridique ? Il y a une pléthore de textes juridiques qui peuvent s'appliquer, notamment 434-23 code pénal (voir legifrance.gouv.fr). "Tous cybercriminels" : Pensez-vous que tout individu voyant une pomme sur un étalage pense à la voler, même un instant ? La criminalité est un fait normal de la société: la criminalité témoigne même de son bon fonctionnement - ce sont les sociologues de la criminalité qui le disent. La criminalité devient pathologique quand le ratio actes / population dépasse un certain seuil. C'est aussi le devoir de la société de fixer des règles et des bornes et de sanctionner justement l'atteinte à l'ordre public. Il paraît que seul l'upload de fichier sous copyright est interdit et non le download , est ce vrai ? Juridiquement, c'est la même chose dans les deux cas: la question est de savoir si celui qui up ou download a l'autorisation de l'auteur pour la mise à disposition au public du contenu protégé. Avez-vous une origine corse ? Si oui, vous devez avoir une opinion sur le développement du haut débit en corse ? Pas d'origine corse mais si vous avez une maison à prêter... Le haut débit en Corse ? Parlez-vous d'Internet ? Avez-vous beaucoup de dossiers Internet que vous suivez en tant qu'avocat ? Si oui, de quel type ? En tant qu'avocat je suis (et parfois j'essaie de précéder :-) des dossiers TIC donc notamment Internet si ça touche aux technologies. Votre livre Tous Cybercriminels est-il diffusé en ligne ? Pourquoi ? Vous souhaitez l'échanger ? En théorie, les données personnelles ne sont pas en danger en ligne. Dans les faits, c'est un peu différent." Estimez-vous que les données personnelles sont en réel danger à partir du moment où elles sont en ligne ? Elles ne devraient pas être en danger: la loi prévoit depuis 26 ans des peines sévères pour ceux qui collectent des données à caractère personnel de manière déloyale ou illicite, notamment sans l'autorisation de leur propriétaire; mais il faut reconnaître que ces dispositions ont été très très peu appliquées.JDNet 03.06.2004 |
Avez-vous participé à la manif' Odebi samedi dernier ? Non, mais j'ai protesté dans ma cuisine de mon côté. Plus sérieusement, cette organisation agite et c'est toujours bon pour le débat: l'un de ses animateurs, Pascal C. (gardons son anonymat) a écrit de très bons papiers sur le sujet des libertés individuelles et Internet. Vous êtes avocat. Avez-vous des téléprocédures juridiques qui vous aide dans votre métier ? Vis à vis des tribunaux non; maintenant en interne, vis à vis des clients, des partenaires (huissiers, mandataires, avoués etc. ...), oui. On ne saurait plus travailler aujourd'hui sans le réseau et ses services. Que pensez-vous de ceux qui disent que le piratage est essentiel pour le développement des systèmes et de leur sécurité ? Je ne crois pas que le piratage soit essentiel. Je pense qu'il y a consensus pour défendre la création et les créateurs. C'est d'ailleurs plutôt l'industrie que les créateurs qui réagissent violemment aux nouvelles pratiques, mais personne ne peut être favorable au piratage. Vous êtes la première personnalité à chatter après Raffarin. Cela vous fait quelle impression ? Mal. Qelle est la réglementation en matière de jeux concours en ligne ? Les jeux concours fondés sur le hasard ont été très longtemps interdits et réservés à l'Etat (LFJ) mais les choses évoluent au niveau européen. On murmure qu'il sera bientôt légal de collecter toutes les adresses IP des adeptes de peer to peer dans une base de données, est-ce une menace réelle ? Cette collecte est déjà possible sous contrôle judiciaire (sur requête ou commission rogatoire). Rien de changé en l'occurrence. Vous trouvez les SMS trop chers ? En envoyez-vous ? Non, je chat seulement. L'ordinateur en tant que machine est il une propriété privée ? C'est une très bonne question. Dès l'instant où la loi prévoit (depuis d'ailleurs janvier 1988) que l'accès dans un système (on ne dit pas ordinateur dans la loi mais on parle de STAD pour système de traitement automatisé de données) peut être puni s'il est accompli même sans dégât à l'insu du maître du système, c'est reconnaître implicitement l'appropriation possible des ordinateurs. Il n'existe pas de règle légale explicite sur cette question. Le brevet logiciel. Où en est-on vraiment ? On a du mal à s'y retrouver aujourd'hui. Vous n'êtes pas seul. L'enjeu du brevet c'est principalement les fonctionnalités des logiciels que certains voudraient s'approprier car le droit d'auteur (autre technique de protection des logiciels) ne couvre pas ces fonctionnalités. Compte-tenu de votre expérience Internet, quelle est l'affaire Internet qui vous a le plus passionné ? C'est un vaudeville électronique : un ex-mari a craqué les boîtes aux lettres du nouveau compagnon de son ex-femme, lesquels étaient hébergés dans deux webmails gratuits, et a trouvé que le nouveau compagnon entretenait une correspondance avec une maîtresse. Il est difficile de poursuivre un FAI pour publicité trompeuse." Puis-je poursuivre mon fournisseur d'accès pour publicité trompeuse en cas de dysfonctionnement perpétuel dans ma connexion (e-mails reçus avec des jours de retard, petit débit au lieu de 640 kilobits par seconde, etc) ? Vous pouvez déjà envisager, d'une part, de changer de FAI, d'autre part, de rompre votre contrat si celui-ci ne rend pas le service voulu. Quant à la publicité mensongère, il faudrait prouver que le FAI l'a publiée avec l'intention de vous tromper, c'est-à-dire en sachant qu'il ne rendrait pas le service : plutôt difficile. D'après votre réponse sur la jurisprudence Kitetoa , si seul l'éditeur d'un site est responsable en cas de faille dans la sécurité, est-ce que ça veut dire que tout internaute a le droit de télécharger les fichiers sensibles rendus accessibles tant que la faille n'est pas corrigée ? Son accès ne sera pas répréhensible mais la loi Godfrain du 5 Janvier 1988 (article L 3232-1 du code pénal) prévoit aussi le délit de maintien frauduleux : cela veut dire que si vous accédez là où vous ne devriez pas par une faille, la jurisprudence kitetoa pourrait s'appliquer à vous. En revanche, si, ayant pris conscience de la faille, vous vous maintenez et vous téléchargez, vous pouvez alors être poursuivi au titre du délit de maintien frauduleux dans un STAD. Un pronostic pour l'Euro de football ? La Chine. Quand on voit que Microsoft vient de breveter le double clic, peut-on vraiment TOUT breveter ? Les brevets sont délivrés par des administrations publiques qui sont assez peu regardantes, mais le brevet doit répondre à des conditions précises pour être valide et peut être par la suite annulé par les tribunaux. Je ne me prononcerais pas sur la validité du brevet que vous indiquez, mais la question de cette validité pourrait être posée, me semble t'il. Pourquoi ne lancez-vous pas un service de consultation d'information et de conseil juridique en ligne ? D'autres confrères l'ont fait.... Ce n'est pas notre stratégie. Nous sommes une petite structure dite de niche. Mais il y a de plus en plus d'avocats de très bon niveau qui rendent ce service : tant mieux. La loi ne fait pas de différence entre une copie à usage personnel et une copie à visée commerciale." Y-a-t-il une différence importante entre la copie illicite pour un usage personnel et la même copie diffusée pour un enrichissement ? Non, la loi ne fait pas de différence. Les tribunaux, dans l'application éventuelle d'une peine, le feront et devraient être plus sévères avec le second qu'avec le premier. Reporters sans frontières publie une liste des ennemis d'Internet. Vous voudriez ajouter des noms de personnalités ou des lobbies ? Gérard Le Condrieux, John Leslitboot, et le célèbre Rikiki ;-) En tant qu'avocat, avez-vous un avis sur le dossier Xavier Niel du groupe Iliad ? Non aucun avis. Quelles sont les perspectives d'avenir en cas de stage au sein de votre cabinet ? Peut-on facilement l'intégrer ? Quels sont les critères de sélection ? Mon stagiaire qui se trouve juste derrière moi, Stéphane Pellerin, me répond No Future. Il y a vingt ans, le droit d'auteur était prélevé à la source et on pouvait copier une cassette audio pour ses amis. Qu'est-ce qui a changé ? La licence légale avec une taxe sur les disques durs et les CD est demandée par certaines organisations, telles que l'Adami, qui ont compris qu'il fallait rebondir sur les pratiques et les usages plutôt que de mener un combat d'arrière-garde. Après la création d'un droit autonome de l'Internet, quelle est la prochaine étape importante d'un point de vue juridique ? Justement, je plaide pour un droit qui ne soit pas autonome mais parfaitement intégré dans le corpus des textes traditionnels. Des pratiques comme le téléchargement massif de fichiers sous copyright ou le cybersquatting ne sont-elles pas simplement dues à une méconnaissance totale du droit par les citoyens ? En théorie "nul n'est censé ignorer la loi", mais en pratique... Faut-il enseigner le droit à l'école ? Merci bug d'en revenir au péché originel ("la pomme"). Une méconnaissance du droit, je ne le crois pas. Chacun sait que le téléchargement de musiques protégées n'est pas légal dès l'instant où cela se fait sans l'autorisation préalable des auteurs ou ayant droit, mais votre suggestion d'apprendre le droit à l'école paraît de bon sens dans une société de plus en plus concernée par la règle de droit. Estimez-vous que les débats au parlement autour de la LEN ont confirmé deux visions du Net : une de gauche autour de la liberté, l'autre de droite plus sécuritaire ? Non, je ne crois pas qu'on puisse parler d'une vision de droite ou de gauche; en revanche, il est clair que cette césure existe bien mais elle me semble plus du domaine des individus que d'étiquettes politiques. Etes-vous vous même un cybercriminel à vos heures ? Quels délits commettez-vous ? Ne le répétez pas, ma mère me croit avocat -:). En savoir plus Cabinet Iteanu Olivier Iteanu : Merci à tous pour vos questions et continuez à vous impliquer dans la vie en ligne car le réseau est notre bien commun et il faut le protéger. A +. JDNet 03.06.2004 |
| Une démonstration de hacking rapportée récemment par notre confrère français Réseaux&Télécoms (lire l'article en date du 04/06/2004) met le doigt sur une éventualité plutôt gênante pour les départements informatiques d'entreprise : placés dans certains contextes bien particuliers, les logiciels d'antivirus pourraient être utilisés comme des têtes de pont pour lancer des attaques en direction d'environnements serveurs tiers par le biais d'Internet... Réalisée par un développeur indépendant, cette démonstration qui fait appel à la technique du cross application scripting exploite comme moyens d'action (et à titre d'exemple) le moteur de script de notification html de l'antivirus Trend Micro, associé à la signature générique de sécurité "eicar". Sa victime : le navigateur Internet Explorer. L'objectif de ce travail ? Prouver qu'il est possible d'exploiter un antivirus, tel que Trend Micro, comme intermédiaire pour orchestrer des attaques en masse. Pour Réseaux&Télécoms, les programmes cherchant à tirer partie des propriétés de diffusion d'un outil possédant des privilèges élevés seraient heureusement encore assez rares. Une remarque plutôt rassurante. Cette information intervient alors que plusieurs failles de sécurité critiques ont été récemment mises à jour au sein de solutions d'antivirus, et ceci durant les deux derniers mois écoulés. En avril, deux vulnérabilités ont ainsi été découvertes dans Symantec/Norton Internet Security - l'une exploitant le contrôleur ActiveX du logiciel, l'autre tirant partie d'une fonction de type heap overflow. Ces deux failles permettraient potentiellement de prendre la main à distance sur les systèmes concernés. En savoir plus Dossier Virus, vers, chevaux de Troie... En mai, c'était autour des produits F-Secure Anti-Virus d'être pointés du doigt. A la différence de Symantec/Norton Internet Security, le problème proviendrait dans le cas de la technologie F-Secure du module vérifiant le contenu des archives (LHA) : cette couche souffrirait d'un buffer overflow. Une fonction qui pourrait être exploitée afin de bloquer - puis redémarrer - le module en question, et provoquer ainsi un déni de service de la machine.JDNet 07.06.2004 | La sécurité est l'affaire de tous... C'est la raison pour laquelle les fondeurs comptent bien jouer un rôle de plus en plus prépondérant dans la protection des systèmes informatiques contre les attaques diverses et variées dont ils font continuellement l'objet. Dernière annonce en date : celle d'AMD (Advanced Micro Devices), dont la gamme des processeurs Athlon 64 va prochainement s'enrichir de quatre nouveaux venus, dont certaines caractéristiques sont pour le moins novatrices. Les puces intégreront en effet des systèmes anti-virus ! Le système est baptisé "enhanced virus protection" (EVP), soit "protection étendue contre les virus". Ciblant les ordinateurs de bureau et l'informatique mobile, EVP fonctionnera en étroite collaboration avec Microsoft Windows XP mais devra, pour être complètement opérationnel, attendre la sortie du Service Pack 2 du système d'exploitation, normalement planifiée pour le mois de juillet prochain (lire notre article du 01/06/2004). Le fondeur a précisé que la demande était de plus en plus forte pour une informatique sécurisée. Le premier virus pour les systèmes 64 bits vient en effet d'être découvert par Symantec (lire notre brève du 02/06/2004). La technologie EVP ne pourra bien évidemment pas stopper tous les types d'attaques mais se concentrera notamment sur celles utilisant la technique de dépassement de mémoire tampon (buffer overflow) pour se diffuser. Même mouvement chez Intel sur le terrain des 64-bits. La société de Santa Clara annonce en effet - via une note d'information sur l'évolution de ses produits, publiée sur son site - la sortie prochaine de huit nouveaux processeurs Pentium 4 intégrant des fonctionnalités avancées de sécurité. Le coeur du processeur - Prescott pour les spécialistes - intégrera lui aussi une fonctionnalité anti buffer overflow, du nom de "execute disable bit". En savoir plus Buffer overflow Dossier Vers, virus, chevaux de Troie D'autres annonces ont été, dans la foulée, publiées. Celle notamment de nVidia qui annonce une collaboration étroite avec... AMD sur le terrain de la sécurité. Les cartes mères nVidia nForce - couplées aux processeurs AMD Athlon FX et AMD Opteron - offrent, via des technologies de pare-feu et des systèmes reposant sur les drivers, une protection renforcée contre les virus.JDNet 07.06.2004 | La société a passé un accord avec BitDefender. Les deux fournisseurs vont s'associer pour rechercher les preuves de contamination par virus. Un éditeur de logiciels de sécurité préfère souvent se faire discret quand il s'agit d'évoquer des clients ayant vu leur défense mise à mal. Ce n'est plus le cas de BitDefender, un spécialiste roumain de l' antivirus . Ce dernier vient en effet de passer un accord de partenariat pour la France et la Belgique avec Kroll Ontrack, qui se chargera d'analyser les données permettant d'identifier l'assaillant d'un réseau informatique touché par une attaque. Kroll Ontrack est issue du rachat de Ontrack en 2002, un spécialiste de la récupération de données , par Kroll, un géant américain du renseignement et de la sécurité. La société a mis en place en France un service de recherche de preuves informatiques occupant cinq ingénieurs. Ils interviennent aussi bien pour des clients publics comme des juges d'instruction ou des policiers (pour des affaires de délinquance sexuelle, financière, de contrefaçon...) que pour des entreprises, le plus souvent pour des litiges employé-employeur. Et, de plus en plus, à la suite d'attaques virales. « BitDefender va pouvoir proposer à ses clients un service supplémentaire, leur permettant de préserver leurs droits, explique Gilles Prola, responsable des activités recherche de preuves informatiques de Kroll Ontrack. Nous interviendrons pour réaliser les copies conservatrices des systèmes touchés et pour l'analyse. » Ne sont pas visés ici les grands virus comme Sasser ou Netsky mais des développements maison, comme un cheval de Troie implanté par un employé mécontent ou un concurrent, par exemple. Des affaires au cas par cas Pour réaliser ses analyses, Kroll proposera la mise en place de bonnes pratiques en amont. « Si un directeur juridique veut porter plainte un mois après une attaque virale, il doit avoir des éléments à sa disposition. L'idéal serait de faire des copies physiques des disques durs bit à bit, devant un huissier ce serait encore mieux. Dans tous les cas, consulter son avocat est essentiel. » Kroll utilisera ensuite les informations ainsi recueillies pour mener son enquête et transmettre ses conclusions à l'entreprise touchée. Pas question en revanche d'un forfait commercialisé en commun avec BitDefender. « Ce sont des affaires au cas par cas, il est impossible de faire une offre standard. Mais nos bonnes relations avec BitDefender nous permettront, par exemple, d'obtenir facilement la souche du virus, ce qui constitue un vrai progrès. Le plus souvent, les éditeurs d'antivirus ne veulent pas communiquer sur l'après-attaque, ils ont peur d'être jugés mauvais parce qu'un système protégé a été compromis. » Une discrétion qui peut nuire aux clients désireux de contre-attaquer. Un exemple d'enquête En juin dernier, une entreprise a été attaquée. Celle-ci a contacté Kroll Ontrack trois mois après, par le biais de son avocat : un employé était soupçonné d'avoir diffusé un virus doté d'un cheval de Troie dans le réseau. « Nous avons copié son disque dur devant huissier et, après analyse, avons constaté que le virus y avait été en partie développé, raconte Gilles Prola. Nous nous sommes alors aperçus que cette personne avait accès à la machine de la DRH, et avait téléchargé des fiches de paye. Ensuite, il a fallu nous arrêter, pour des raisons de vie privée. C'est désormais à l'entreprise d'agir. » 01Net 03.06.2004 |
| LONDRES (Reuters) - Les polices de quatre pays anglo-saxons travaillent sur un projet de "police de l'internet" afin de surveiller les forums de discussion, saisir les avoirs d'hébergeurs de sites web illégaux et geler les comptes de leurs clients, a-t-on appris mercredi de source policière. Le National Crime Squad britannique, le Federal Bureau of Investigation (FBI) américain, la police royale montée canadienne et la police fédérale australienne veulent créer une force mondiale qui visera avant tout les réseaux de pédophiles et de "prédateurs sexuels" sévissant sur les salons de discussion fréquentés par des enfants et adolescents. "Cela ne doit pas être perçu comme une tactique à la Big Brother, il s'agit de rendre la police plus visible sur internet", a déclaré Jim Gamble, un responsable de la police britannique. Selon ce projet, un policier pourra par exemple intervenir de temps à autre dans un forum de discussion pour observer les conversations. Il sera identifié par une icône spécifique à la "Virtual Global Task Force", a expliqué Gamble. Aucune date n'a été donnée pour le début des opérations de cette unité. Yahoo 9.06.2004 | MOSCOU, 10 juin (AFP) - Des pirates internet russes proposent de paralyser n'importe quel site pour une centaine de dollars par jour, selon le quotidien Vedomosti dans son édition de jeudi. La rédaction du journal a reçu un message électronique proposant de "paralyser n'importe quel site par attaque DDoS" (Distributed Denial of service), dans laquelle un grand nombre d'ordinateurs piratés bloquent un site internet en le submergeant de demandes. Selon la liste des prix, le blocage d'un simple site internet pour six heures coûterait au commanditaire 60 dollars, et 150 dollars pour 24 heures. Le pirate, contacté par Vedomosti qui s'est présenté comme un client, s'est dit également prêt à paralyser le site du fabricant américain de logiciels Microsoft pour 80.000 dollars par semaine, alors qu'une attaque contre le site de la présidence russe (www.kremlin.ru) ne coûterait qu'un millier de dollars par semaine. Un client du pirate, contacté par le journal sur la recommandation de ce dernier, s'est déclaré très satisfait du service, qui lui a permis de "paralyser -- pour 4.000 dollars -- un projet de ses concurrents", raconte Vedomosti. "Les exécutants d'attaques DDoS sont très nombreux, mais certains sont des gens de bonne foi, qui s'attaquent par exemple uniquement à des sites pornographiques", selon un concepteur de programmes informatiques, Igor Vlassov, cité par le journal. Un bon programmeur peut parer une attaque de ce type en cinq heures, selon lui. La Russie, réputée pour l'excellence de ses programmeurs, dispose d'un peu plus de 10 millions internautes, soit près de 6% de la population. Le monde des pirates compte aussi ses champions russes, comme Dmitry Sklyarov, inculpé en Californie en 2001 pour avoir conçu un programme permettant de lire, copier et manipuler sans restriction des livres électroniques. AFP 10.06.2004 | Une commission du Congrès n'apprécie pas qu'une SSII dont la société mère est basée aux îles Bermudes puisse décrocher un gros contrat avec une administration fédérale. Il concerne le programme "VISIT" d'identification biométrique des touristes étrangers. SAN FRANCISCO – Le contrat de 10 milliards de dollars que la société de conseil et d'ingénierie Accenture a signé la semaine dernière avec le ministère américain de la Sécurité du territoire (Department of Homeland Security - DHS) ne fait pas l’unanimité parmi la classe politique. Dans le cadre de cet accord, dont le montant est réparti en 5 ans, la société doit mettre à jour le système informatique qu’utilise le ministère pour son programme fédéral "US-VISIT" (Visitor and Immigrant Status Indicator Technology). Ce qui inquiète le Congrès, c'est que la maison mère d’Accenture (sa holding financière) est basée aux îles Bermudes. Ce qui n'est pourtant pas une exception pour bon nombre de groupes industriels. Accenture (ex-Andersen Consulting) a décroché ce contrat face aux américains Lockheed Martin et Computer Sciences. Le programme "US-VISIT", très controversé (lire notre écho "Brazilian Connection", Recto Verso du 16/01/2004), vise à stocker et partager des données, y compris biométriques, concernant des visiteurs étrangers en provenance de plusieurs pays, exceptés les traditionnels "alliés" de l'Amérique (dont l'Union européenne). Un programme mis en place pour renforcer la sécurité des États-Unis après les attentats du 11 septembre 2001. Rappelons que le Department of Homeland Security a été créé par l’administration Bush fin 2002. Pénaliser les entreprises qui s'expatrient L’annonce du marché attribué à Accenture a provoqué une levée de boucliers de la part de parlementaires, dans un contexte électoral très favorable aux surenchères protectionnistes. Tout juste une semaine après, une commission de la Chambre des représentants a voté mercredi à une écrasante majorité (35 voix contre 16), une résolution appelant à bloquer ce contrat, et au-delà à pénaliser «les entreprises expatriées», indique le bureau de la députée démocrate Rosa DeLauro. «Le gouvernement des États-Unis ne devrait pas faire affaire avec ceux qui veulent avoir les avantages de la citoyenneté sans les responsabilités que cela incombe», explique Rosa DeLauro dans un communiqué. Car son statut d'entreprise américaine établie à l'étranger dispense Accenture du paiement de taxes et d'impôts à l'État fédéral. Ce qui ne l'empêche pas d'être cotée, par ailleurs, au New York Stock Exchange (NYSE), le temple des marchés financiers américains. En outre, estime la députée, c'est un comble venant d'un ministère censé protéger les intérêts des États-Unis. Accenture n’a pas répondu à nos questions sur le sujet. ZDNet 11.06.2004 |
| Le danois Secunia vient de mettre à jour un bulletin du 8 courant -inscription à la liste du Cert-, prévenant les usagers d’Internet Explorer de l’existence de deux failles distinctes. Ces deux vulnérabilités sont considérées comme critiques et nécessitent la désactivation de tout moteur d’interprétation de scripts. L’une des vulnérabilités ouvre la porte à un XZS (cross zone scripting) potentiel, tandis que l’autre exploite un problème lié à l’expression « Location: » située dans les en-têtes http. Il semblerait qu’il faille attendre la sortie du SP2 pour être protégé. L’utilisation de ces failles est d’ores et déjà constatée, explique Secunia, en grande partie de la part de sites « injecteurs » de spywares. CSO 10.06.2004 | LOS ANGELES (Reuters) - Avec sa casquette de base-ball et son bouc en bataille, le professeur Ralph Echemendia fait la leçon à une quinzaine de cadres distingués, universitaires et militaires. Thème du cours: le "hacking", ou l'art de pénétrer les systèmes informatiques. Ces étudiants ont payé près de 4.000 dollars pour participer à ce camp d'entraînement d'une semaine baptisé "Hacker College", conçu pour enseigner les techniques d'attaques informatiques. "C'est incroyable de voir comme les grandes entreprises sont vulnérables", explique Echemendia, lors d'une pause. "C'est incroyable comme c'est facile". Les hackers coûteraient des milliards de dollars chaque année aux entreprises et les dépenses pour se protéger contre eux ne cessent d'augmenter. Une étude de Good Harbor Consulting estime que la sécurité représente aujourd'hui jusqu'à 12% du budget informatique des entreprises, contre 3% il y a cinq ans. HACKERS CERTIFIES Les cours préparent les étudiants à un examen organisé par l' International Council of E-Commerce Consultants, ou EC-Council. S'ils réussissent, ils obtiennent le grade de hacker éthique certifié. Le programme n'a rien de facile. Les professeurs alternent des sujets comme les clefs de cryptographie symétriques et asymétriques, le "war dialing" (appels en série pour détecter des ordinateurs vulnérables) ou l'utilisation des ports informatiques les plus connus. "Ce n'est clairement pas pour tout le monde", estime Ben Sookying, responsable de la sécurité informatique des 23 campus de l'Université de Californie, qui figure parmi les élèves. Le premier jour, les étudiants apprennent des techniques gratuites et légales pour trouver des informations sur des entreprises, leurs dirigeants et les systèmes informatiques qu'elles utilisent. Avec quelques efforts, ils ont par exemple découvert qu'un directeur général d'une grande entreprise possédait un site personnel sur les guitares et qu'une autre grande société utilisait encore des systèmes connus pour être particulièrement vulnérables aux attaques des hackers. "Ce que nous essayons de transmettre, c'est la façon dont pensent les hackers", explique Dave Kaufman, président de Intense School, qui organise cette semaine de formation. Selon lui, pour protéger un système des hackers, il faut commencer par comprendre comment il va être attaqué. Pour Sookying, de l'université de Californie, le problème est que les utilisateurs de son réseau savent parfaitement comment l'attaquer. "Nous apprenons aux étudiants comment 'hacker' et comment programmer, et voilà qu'ils utilisent ce qu'ils ont appris contre nous", explique-t-il. Reuters 24.06.2004 | SAN FRANCISCO (Reuters) - Un nouveau virus informatique, conçu pour intercepter les données bancaires et les mots de passe sur les ordinateurs personnels des internautes utilisant les logiciels Microsoft a commencé à se répandre sur le réseau informatique mondial et pourrait se révéler plus dangereux que ses prédécesseurs "Sasser" ou "Blaster". Cette nouvelle attaque informatique, baptisée "Scob", exploite une faille de sécurité dans le logiciel Internet Information Services (IIS) de Microsoft, utilisé sur les serveurs hébergeant les sites web, qui va à son tour utiliser une autre faille dans le navigateur web Internet Explorer pour y installer un "trojan" (cheval de Troie) quand l'internaute visite un site contaminé. "Tout cela se passe alors qu'en apparence, vous visionnez la même page web. Vous ne pouvez pas savoir que certaines parties de votre navigateur ont été redirigées vers un autre site", a expliqué Alfred Huger, un directeur technique de l'éditeur de logiciels de sécurité Symantec. L'équipe américaine du Computer Emergency Readiness a publié un avertissement sur son site web, soulignant que "tout site web, même ceux réputés fiables, peuvent être affectés par cette attaque et potentiellement contenir un code malveillant". Le programme en "cheval de Troie" va enregistrer les touches frappées par l'utilisateur afin de saisir les numéros de cartes bancaires et les mots de passe avant de les envoyer vers un serveur situé en Russie, a décrit Michael Murray, responsable de la société de sécurité nCircle Network Security. La menace pesant sur les données confidentielles des internautes semblait vendredi soir s'être atténuée: "On dirait que le serveur (russe) a été fermé dans les huit dernières heures. Nous ne savons pas s'il a été déconnecté par les autorités ou si c'est accidentel", a déclaré Michael Murray. PAS DE CORRECTIF DISPONIBLE Microsoft n'a actuellement pas publié de logiciel correctif pour la faille de sécurité dans Internet Explorer. Sur son site web, l'éditeur explique que les utilisateurs peuvent rechercher sur leur système les fichiers "Kk32.dll" et "Surf.dat", dont la présence signale une machine infectée. Il recommande de régler les paramètres de sécurité d'Internet Explorer sur "haut". Stephen Toulouse, chef de produit sécurité chez Microsoft, a expliqué que l'attaque affectait trois failles de sécurité, dont deux ont été résolues par des correctifs publiés en avril dernier. Il a affirmé que Microsoft travaillait à résoudre la dernière faille qui a été signalée il y a environ deux semaines. Le logiciel Internet Information Services dans sa version 5.0, non "patchée" depuis avril, est celle vulnérable, a-t-il ajouté. Il est recommandé de mettre à jour son logiciel anti-virus afin d'éviter une contamination, mais comme il n'existe pas encore de correctif, il est possible d'empêcher de futures attaques par Scob, a rappelé Alfred Huger. Les versions pour Macintosh d'Internet Explorer ne sont pas concernées par le virus Scob, ni les navigateurs web non-Microsoft, comme Mozilla, Opera et Safari d'Apple Computer. Reuters 26.06.2004 |
| SYDNEY (Reuters) - Microsoft réduit son temps de réaction aux virus mais souhaite que les propriétaires de PC utilisent les dernières mises à jour pour l'aider à combattre des attaques potentiellement dangereuses, a déclaré lundi Bill Gates, fondateur de Microsoft. Un virus, conçu pour intercepter les données bancaires et les mots de passe des internautes, s'est répandu vendredi, en exploitant une faille de sécurité dans le logiciel Internet Information Services (IIS) de Microsoft, ont expliqué des experts en sécurité. Baptisée "Scob", cette nouvelle attaque informatique a été considérée comme plus dangereuse que ses prédécesseurs "Sasser" et "Blaster". "Ce que nous devons faire, ce n'est pas simplement fabriquer ces correctifs très rapidement (...), nous devons également convaincre les gens de faire les mises à jour eux-mêmes", a estimé Bill Gates. Le dernier dispositif de Microsoft Windows à mettre à jour soi-même n'est pas activé par défaut. Il offre une meilleure sécurité et permet aux autres logiciels d'être mis à jour et installés automatiquement. Bill Gates a également annoncé pour juillet une nouvelle version de son site de recherche sur internet qui sera doté d'un nouveau moteur. Microsoft tente de profiter de sa position dominante dans le secteur informatique pour prendre des parts de marché à Google. "En juillet, le format du site changera, la qualité de ce que l'on y trouve et sa présentation seront sensiblement améliorées", a déclaré Gates à la presse. Reuters 28.06.2004 | Lutte anti-spam: les FAI veulent couper l’accès réseau aux ordinateurs "zombies" Les plus grands FAI américains préconisent des mesures techniques radicales, comme celle de déconnecter du réseau les ordinateurs de leurs abonnés qui présentent des signes d’infection virale. Ou de bloquer le port 25 utilisé pour l'envoi des e-mails. Les internautes qui, par inadvertance ou par ignorance, laissent leur ordinateur infecté devenir un serveur relais pour l’envoi massif de courriers commerciaux non sollicités, doivent être repérés et déconnectés par leur fournisseur d’accès. Telle est l’une des principales recommandations de l’ASTA (Anti-Spam Technical Alliance), publiées le 22 juin. Cette alliance regroupe six des principaux fournisseurs d’accès et éditeurs de messagerie électronique dans le monde: AOL, Yahoo, Microsoft (MSN Hotmail), British Telecom, Comcast et Earthlink. Créée il y a un an, elle s’est donnée pour objectif de définir un ensemble de pratiques et de recommandations techniques destinées à mettre un frein au spam. La plupart des consignes présentées la semaine dernière sont déjà mises en application par ses membres, mais aussi par l’ensemble du secteur. Ainsi AOL, Microsoft et Yahoo testent depuis plusieurs mois des techniques de certification pour garantir l’identification de l’expéditeur d’un courrier, ou la création de listes blanches pour créer un réseau d’expéditeurs légitimes, autorisés à envoyer des courriers commerciaux. Mais les recommandations qui ont surtout retenu l’attention sont tout autres. Elles partent d’un principe simple, baptisé "Good neighbor policy" (ou "politique de bon voisinage"): le fournisseur d’accès et de service internet est responsable du trafic issu de son réseau à partir du port 25 des ordinateurs de ses abonnés, celui utilisé pour l’envoi du courrier électronique. S’il ne contrôle pas correctement le trafic abusif qui en émane, le prestataire technique courra le risque de se voir bloquer par d’autres FAI, affirme l’ASTA. Pour résoudre le problème, elle préconise tout simplement de bloquer ce port, sauf pour les utilisateurs qui en ont réellement besoin, par exemple s’ils veulent créer leur propre serveur de messagerie. Elle souligne également l’utilité de limiter le nombre d’e-mails que peut envoyer un particulier. Selon ses membres, la limite raisonnable se situe à 150 destinataires par heure et 500 par jour. Des principes déjà appliqués "souplement", affirme AOL Si l’ordinateur d’un particulier commence à dépasser ces limites, le FAI doit alors tirer la sonnette d’alarme, et chercher à savoir, par des tests de réseau, si cet ordinateur peut «être corrompu par des sources extérieures». En clair, s’il est devenu un "zombie", c'est-à-dire s’il est infecté par des virus qui ont permis à des personnes malveillantes d’en prendre le contrôle et de le transformer en "relais spammeur" à l’insu de son propriétaire. «Les ordinateurs qui montrent des signes d’infection devraient être retirés du réseau, ou mis en quarantaine jusqu’à ce que le virus ait été retiré», écrit l’ASTA. Si le principe paraît très radical, son application est beaucoup plus souple, comme l’explique à ZDNet Laurence Bret, responsable de la stratégie produits et coordinatrice de la lutte anti-spam chez AOL France. «Ça [nous] arrive d’identifier un PC qui va servir de relais pour l’envoi de spam», explique-t-elle. «Dans ce cas, le fournisseur d’accès intervient, et prévient l’utilisateur qu’il doit mettre en oeuvre les mesures nécessaires pour nettoyer son PC (mise à jour antivirus, firewall...). Ce n’est vraiment que s’il ne se conforme pas à ces recommandations que l’on coupe l’accès», précise-t-elle. Mais ce n’est vraiment qu’en dernier recours. Chez AOL, des filtres et un système de quotas sur les e-mails sortant permettent de prévenir ce genre de problèmes. De telles mesures sont également pratiquées, au cas par cas, chez d’autres fournisseurs d’accès français, précise Stéphane Marcovitch, délégué général de l’Association des fournisseurs d’accès (Afa). L’organisme n’a pas encore donné de recommandation officielle sur la façon adéquate de réagir devant ce problème, mais son représentant garantit que ces sujets sont abordés régulièrement lors de ses réunions, puisque plusieurs membres de l’ASTA font aussi partie de l’Afa (comme Yahoo, MSN et AOL, via leurs bureaux français). ZDNet 28.06.2004 | Des sites web ont été piratés pour piéger les internautes en installant sur leur PC un cheval de Troie appelé "Scob" notamment. Le serveur utilisé pour l'arnaque a été désactivé. Heureusement, car il exploitait des failles de logiciels Microsoft (IE et IIS) pas toutes corrigées. Les internautes du monde entier ne joueront plus à la roulette russe en se connectant à certains sites web, vérolés à leur insu. Une nouvelle tentative d'extorsion informatique vient d’être repérée, mais elle a été apparemment démantelée le week-end dernier. Des ingénieurs ont indiqué vendredi avoir mis hors ligne un serveur qui aurait été le point de départ de ce stratagème, ce qu’a confirmé Microsoft. Basé en Russie, ce serveur aurait hébergé du code malveillant particulièrement vicieux. Des pirates seraient parvenus à infecter des sites web en exploitant le manque de protection de leurs serveurs, ou en se servant d’une faille jusqu'ici inconnue du logiciel IIS (Internet Information Server) de Microsoft, spéculent des experts en sécurité. Les internautes qui ont accédé à ces sites infectés ont été redirigés vers le serveur russe, qui a alors installé sur leur PC un cheval de Troie (connu sous différents noms pour brouiller les pistes, à savoir Scob, JS.Scob.Trojan, Download.Ject ou encore JS.Toofeer). Ce programme est un keylogger: il enregistre tout ce que l’utilisateur tape sur son clavier, et ouvre ensuite une porte dérobée sur son système. Le pirate peut alors prendre contrôle à distance de la machine infectée. Le cheval de Troie trouve cette "backdoor" grâce à des failles d’Internet Explorer pour lesquelles Microsoft n’a pas encore publié de correctif approprié. Tous les PC qui exécutent IE sont donc des victimes potentielles. Ces failles ne sont pourtant pas récentes. Il y a plus de six mois, le 3 octobre 2003, Microsoft avait à ce sujet recommandé à ses utilisateurs d'optimiser les paramètres de sécurité de leur navigateur, quitte à désactiver certaines fonctions. L’éditeur s’était engagé à fournir rapidement un correctif. Mais seules deux vulnérabilités sur trois seraient pour l’instant corrigées. La motivation des pirates n’a pas été établie; la distribution de spams serait l’une des raisons, spéculent certains. Mais ils peuvent aussi s’en servir pour récupérer des mots de passe ou des données bancaires confidentielles. Une menace peu répandue mais réelle, selon Microsoft «C’est un moyen très efficace pour s’introduire dans une entreprise», indique Alfred Huger, directeur de l’ingénierie chez Symantec. «Il est bien plus facile d’attirer des employés sur un site corrompu que de pénétrer dans l’enceinte de l’entreprise, qui a peut-être été sécurisée à coups de centaines de millions de dollars». La technique n’est pas nouvelle, selon lui. Fin avril, Symantec a été contacté par un grand établissement bancaire dont l’un des employés, après avoir surfé sur un site infecté, a vu son système corrompu. Par ailleurs, un expert en sécurité indépendant a repéré début juin un logiciel publicitaire de type "adware" qui s’était installé automatiquement sur les PC d’utilisateurs utilisant Internet Explorer. «Ce type de menace n’est pas répandu, mais elle est, selon nous, bien réelle», affirme de son côté Stephen Toulouse, responsable du centre de sécurité de Microsoft Corp. aux États-Unis. Des sites web corrompus tentent encore d’infecter les machines d’internautes en essayant de se connecter au serveur en Russie. Mais la connexion est désormais rompue. Leur nombre exact, et leur nom, est inconnu. Toutefois, le réseau de sites utilisés dépasserait ce que l’on a déjà connu pour ce type d’attaques, indique Johannes Ullrich, directeur technologique du site de surveillance Internet Storm Center. «C’est la première fois qu’autant de sites web sont touchés», indique-t-il. «À ce jour, seul le ver Nimda a utilisé ce type d’attaque. Mais elle n’a pas très bien fonctionné car il n’a pas été aussi efficace.» La plupart des éditeurs d’antivirus ont publié des mises à jour de leurs logiciels dès le 25 juin, pour qu'ils puissent détecter l’application nocive lorsqu’elle est téléchargée. Les utilisateurs doivent mettre à jour leurs définitions de virus au plus vite, estime Ullrich. CNET 28.06.2004 |
| LONDRES (Reuters) - Les internautes sont la cible d'une nouvelle arnaque par laquelle leur numéro de connexion téléphonique à internet est remplacé par un numéro surtaxé, qui entraîne l'explosion du montant de leur facture. Les escroqueries bâties autour des numéros surtaxés ne sont pas une nouveauté, mais cette dernière mouture utilise un virus pour remplacer le numéro utilisé par l'ordinateur pour contacter le fournisseur d'accès à internet, ont indiqué des experts en sécurité. L'Independent Committee for the Supervision of Standards of Telephone Information Services (ICSTIS) britannique a annoncé qu'il avait observé une "augmentation significative" des plaintes liées à cette escroquerie et a indiqué qu'il avait demandé au service de police spécialisé, le National Hi-Tech Crime Squad d'enquêter sur le problème. Les experts soupçonnent que des programmes de type cheval de Troie sont à l'origine de ces modifications de numéro. "Les chevaux de Troie sont capables de dissimuler leur présence et de modifier les options de connexion à internet, de sorte que des numéros surtaxés sont appelés à la place du fournisseur d'accès à internet", a expliqué Graham Cluley, consultant de la firme antivirus Sophos. L'ICSTIS conseille aux personnes qui pensent avoir été victimes de ce genre de techniques de communiquer leur plainte sur le site http://www.icstis.org. Reuters 24.06.2004 | WASHINGTON (Reuters) - Les internautes dont les ordinateurs contaminés par un virus servent de relais pour envoyer des millions de messages électroniques abusifs pourraient être déconnectés d'autorité par leur fournisseur d'accès internet, ont proposé mardi des professionnels du secteur. Le nombre de messages pouvant être envoyés pourrait être limité par les fournisseurs d'accès (FAI) afin de s'assurer que les ordinateurs de leurs abonnés ne deviennent pas des spammeurs involontaires, selon des propositions soumises par un groupe de six grands opérateurs de courrier électronique pour lutter contre le spam. Le spam, ou courrier électronique non sollicité, représente jusque 83% du trafic total de courrier électronique et coûte des milliards de dollars chaque année aux sociétés internet en bande passante gaspillée, frais judiciaires et frais de support technique aux clients. La plupart des recommandations du groupe, composé d'America Online, filiale de Time Warner, de Yahoo, d'EarthLink, de Microsoft, de Comcast et de BT Group, portent sur la résolution des failles de sécurité qui permettent aux spammeurs d'échapper aux recherches. Les professionnels doivent vérifier leur équipement et s'assurer qu'il est bien sécurisé pour que les spammeurs ne puissent "router" leurs messages, propose le groupe. Les failles de sécurité dans les services de courrier électronique sur le web et les fonctions de redirection, utilisées pour surveiller les publicités en ligne, doivent être résolues. Le groupe suggère que les internautes soient tenus responsables si leur machine est détournée par des spammeurs et recommandent que les ordinateurs infectés soient mis hors ligne jusqu'à ce qu'ils soient décontaminés. Une série de virus et de vers apparue ces derniers mois permettent aux spammeurs de pirater les ordinateurs infectés pour en faire des relais, ce qui leur permet de faire apparaître leurs messages comme provenant d'une personne connue du destinataire. Une autre proposition émise consiste à limiter à 100 par heure ou 500 par jour le nombre de messages électroniques qu'un internaute pourra envoyer, afin de repérer les ordinateurs émetteurs de plusieurs millions de spams chaque jour. Reuters 22.06.2004 | |
| LOS ANGELES (Reuters) - L'association représentant l'industrie musicale américaine a annoncé mardi avoir ouvert des poursuites judiciaires contre 482 internautes supplémentaires pour infraction à la législation sur les droits d'auteur, dans le cadre de sa campagne contre le piratage sur internet. La RIAA (Recording Industry Association of America) a entamé des actions en justice contre 3.429 personnes en tout depuis septembre 2003 afin d'inciter les internautes américains à ne plus utiliser les réseaux d'échange gratuit de fichiers. Le dernier épisode de la campagne de la RIAA vise 213 personnes à St. Louis, 55 personnes à Denver, 206 à Washington et huit dans le New Jersey. Reuters 22.06.2004 | ||
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
