________________________________________________________________________________ 'lo-o, je me permets d'accoler quelques articles concernant la "corégulation" avec le dernier n° du bulletin lambda, que vous connaissez peut-être et que son auteur m'a autorisé à RE:router, la régulation de l'internet se confondant de + en + avec la lutte contre la cybercriminalité. Il y a un an, le mot même de "corégulation" était une Error 404 inconnue au bataillon. Il était de même impensable d'imaginer que les américains participeraient à la rédaction d'un traité du Conseil de l'Europe visant à combattre la cybercriminalité... (ce qui leur permettra de se défausser quand les défenseurs US des libertés civiles contesteront la mise en application de ce traité). Avant, "on" assimilait internet avec pédophilie & nazisme. Aujourd'hui, c'est l'internaute avec le cybercriminel...: voir Pour le gouvernement français, ”Internet n'est plus un jouet” http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=768 Si le terme de "corégulation" était encore méconnu l’année dernière, il constitue aujourd’hui le fondement de la doctrine française en matière de société de l’information. Jospin, Chirac, comme Chevènement, l’affirment. + Opération corégulation http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=769 Le président de la République s'est fait l'apôtre de la corégulation de l'Internet devant les délégués internationaux du G8 et des grands groupes industriels. &, pour le versant international : G8 : bilan mitigé de la conférence cybercrime http://www.zdnet.fr/cgi-bin/a_actu.pl?File_ini=a_actu.zd&ID=14324 dossier spécial sur http://www.zdnet.fr/special/g8/ ++++++++++++++++++++ Bulletin Lambda 6.03 Paris. 14 mai 2000 -- La conférence du G8 sur la sécurité informatique organisée à Paris du 15 au 17 mai ne va déboucher sur aucune déclaration commune et les débats officiels se dérouleront à huis clos. Il s'agit plus d'un concours de beauté pour sociétés privées, chaque pays ayant 15 sponsors nationaux, que d'une réunion politique et stratégique. Derrière une menace hypothétique du "crime organisé" qui investirait l'internet pour étendre son influence, les Etats peaufinent un traité international (sous l'égide du Conseil de l'Europe) ouvrant la voie au téléflicage généralisé, comme l'a résumé le mois dernier le magazine Transfert (lire plus loin). + Liste des entreprises conviées a ce mini-sommet, "Dialogue entre pouvoirs publics et le secteur privé sur la sécurité et la confiance dans le cyberespace": http://www.diplomatie.fr/actual/evenements/cybercrim/indus2.html + Site officiel: http://www.g8parishigntech.org/ +++++++++++++++++++++++++++++++ OU EST DONC LA NOUVELLE MENACE? +++++++++++++++++++++++++++++++ Constats: lors des les attaques de type DDoS contre les sites internet US en février 2000, aucune trace concrete d'une action organisée et méthodique, selon les enquêteurs canadiens qui ont arrêté le seul suspect le 17 avril, un gamin de 15 ans. Par ailleurs, le type d'attaque (déni de service, DDoS) est connu des experts et les parades existent, mais elles handicaperaient la performance des cybermarchands qui en on été victimes. Aucune trace aussi de menacce terroriste dans les récentes attaques de virus. + Interview avec Jean-Pierre ROY, l'officier canadien qui a arrêté 'Mafiaboy': http://www.zdnet.fr/actu/tech/a0014088.html + "Mafiaboy: reality or creation of the media?", magazine 2600: http://www.2600.com/news/2000/0420.html + Sécurité ou performance? (attaques DDoS): http://www.zdnet.fr/actu/tech/secu/a0012933.html Constat n°2 : très peu de faits recoupés peuvent témoigner d'une nouvelle menace d'ordre "cyberterroriste". On parle plus de délinquance artisanale que de crime organisé. Témoin : extraits d'un document officiel du gouvernement français, issue par la Direction centrale de la police judiciaire (DCPJ). (DONNEES STATISTIQUES SUR LA CRIMINALITE LIEE AUX NTIC ET L'ACTION DES SERVICES REPRESSIFS, 18 avril 2000). + Doc complet archivé: http://lambda.eu.org/6xx/dcpj99.html 1. Extrait n°1 : le "noyau dur" Fraudes aux télécoms (cartes) et aux lignes GSM: 82%. Piratage : 9% "Dès à présent, les chiffres disponibles, fournis par la police et la gendarmerie nationales permettent néanmoins d'avoir une vision précise sur les actes délictueux les plus graves, constituant le "noyau dur" de la cybercriminalité, à savoir les délits relatifs aux fraudes aux télécommunications (concernant principalement la recharge d'unités téléphoniques), aux accès frauduleux à la téléphonie cellulaire (principalement l'ouverture irrégulière de lignes), aux atteintes aux systèmes de traitement automatisé de données (manipulation de programmes, falsification de données, intrusion malveillante dans des systèmes informatiques) et aux contrefaçons (de logiciels, de CD ROM, de consoles de jeu, de matériels de haute technologie...). En 1999, ces types de délits étaient estimés à plus de 1300 (voir schéma 1). (...) "Fraudes aux télécommunications = 753 infractions (54%), Accès frauduleux téléphonie cellulaire = 379 (28%), Atteintes aux systèmes de traitements automatisés = 122 (9%), Contrefaçons = 105 (8%), Informatique et libertés = 7 (1%)." 2. Extrait n°2: Délinquance artisanale, pas de crime organisé "L'étude des informations disponibles montre que, de manière générale, les auteurs des infractions ne sont pas, loin s'en faut, des informaticiens de formation. Il s'agit, dans la plupart des cas de "simples amateurs", phénomène qui peut s'expliquer par la vulgarisation des connaissances en matière de micro-informatique et par le nombre croissant d'intemautes (plus de 6 % des foyers français étant connectés sur l'Internet, ce qui facilite la diffusion de procédés et de programmes de piratage)." 3. Extrait n°3: dans les affaires liées au réseau internet, la fraude aux numéros de CB menace n°1, à 93%! "Nouvelle menace"?? "En ce qui concerne les affaires spécifiquement liées au réseau Internet, la très grande majorité porte sur des escroqueries commises en matière de commerce électronique. Leur nombre est en augmentation exponentielle. Ces délits s'effectuent à l'aide des références de cartes bancaires utilisées frauduleusement soit pour payer des services de téléchargement de logiciels en ligne, soit pour se connecter sur des serveurs pornographiques, ou encore pour effectuer des achats de matériels auprès de sites marchands. "La délinquance sur Internet Escroqueries CB = 2287 délits (93%), Autres escroqueries = 64 (3%), Pédophilie, moeurs = 39 (2%), Diffamation, menaces, incitations haine raciale = 60 (2%)." + Document complet de la DCPJ: http://lambda.eu.org/6xx/dcpj99.html ++++++++++++++++++++++++++++ MEMES TENDANCES AUX PAYS-BAS ++++++++++++++++++++++++++++ L'un de nos confrères néerlandais a publié le 10 avril dans Telepolis un article révélant les nouveaux pouvoirs de la police en matière d'interception et d'intervention dans les systèmes informatiques. Décor planté : la menace "cybercrime" donne le pretexte aux autorités de placer des centres d'écoute chez les FAI et de perquisitionner à distance. "For some time now, the fight against cybercrime is a hot item on the political agenda all over the world. In the Netherlands, law enforcement agencies have also made the virtual world their hunting ground. New legislation gives the police the power to intercept the Internet and conduct investigations on the Internet. To avoid problems with encrypted communications, the police is allowed to placed bugs on the keybord of suspects. A report from the low lands. "In August 2000, Dutch Internet service providers are legally obliged to make their installations interceptible for the law enforcement agencies. (...)" Quant à la réalité de la menace cybercrime, difficile là aussi à l'évaluer: "One thing however still seems to be very unclear: how real is the threat of cyber crime and the use of cryptography? Many wild stories circulate, but there's little proof. A recent study of a police consultancy (Bureau In pact), shows that there's little problem with the use of cryptography, for instance." + "Digital Detectives in Holland", Jelle van Buuren, 10.04.2000 http://www.heise.de/tp/english/special/enfo/6727/1.html ++++++++++++++++++++++++++++++++++++ PREXTEXTES AU ROYAUME-UNI ET AUX USA ++++++++++++++++++++++++++++++++++++ La RIP Bill britannique sur la selette: les détails d'un projet officiel d'une mise sous surveillance des FAI afin de tisser un maillage national pour interception du trafic IP. + Communiqué de la Foundation for Information Policy Research: http://www.fipr.org/rip/PRsmithreport.htm + Article du Sunday Times du 30/04: http://www.sunday-times.co.uk/news/pages/sti/2000/04/30/stinwenws01034.html 2,03 milliards de dollars : c'est le budget que le Président américain compte débloquer pour l'année 2001 pour faire face au terrorisme informatique, a fait savoir la Maison Blanche le 7 janvier. Cette somme est en augmentation de 16 % par rapport au budget 2000. Extraits du bulletin EPIC-Alert 7.02, Feb. 3, 2000: "EPIC also released a government memo at the hearing, obtained under the Freedom of Information Act, which indicates that the U.S. Department of Justice is aware that the FIDNET proposal may violate U.S. law. Other records obtained by EPIC show that the government will use credit card records and telephone toll records as part of its intrusion detection system. John Tritak, Director of the Critical Infrastructure Assurance Office, was unable to answer questions put to him by the committee members regarding what type of personal information would be collected by FIDNET. "Rotenberg charged that backers of the security plan were 'trying to apply twentieth century notions of national defense to twenty-first century problems of communications security.'..." + Epic-Alert 7.02 http://www.epic.org/alert/EPIC_Alert_7.02.html + Dossier de l'EPIC sur le plan de bataille de Clinton: http://www.epic.org/security/cip/ + National Plan For Information Systems Protection (fichier PDF): http://www.whitehouse.gov/WH/EOP/NSC/html/documents/npisp-execsummary-000105.pdf ++++++++++++++++++++++++++++++++ TRAITE CYBERCRIME: PREXTEXTE ULTIME AU TELEFLICAGE ++++++++++++++++++++++++++++++++ Le Conseil de l'Europe (41 pays membres) a dévoilé le 27 avril un "Projet de Résolution sur la cyber-criminalité". Projet soumis à discusion dès maintenant au sein du conseil des ministres concernés du CoE, puis au sein de chaque parlement. Transposition attendue courant 2001. Projet impliquant les principaux pays riches, pas seulement européens, dont ceux membres de l'OCDE (USA, Canada, Japon, Australie...) + Tout d'abord une bonne nouvelle: la protection du citoyen contre les écoutes illégales. Article 3 - Interception illégale "Chaque Partie adopte les mesures législatives et autres qui se révèlent nécessaires pour ériger en infraction pénale, conformément à son droit interne, l'interception intentionnelle et sans droit, effectuée par des moyens techniques, de données informatiques, lors de transmissions non-publiques, à destination, en provenance ou à l'intérieur d'un système informatique ainsi que des émissions électromagnétiques en provenance d'un système informatique transportant de telles données informatiques." + Ensuite, les nouveaux pouvoirs d'investigation des forces de l'ordre sont sans précédents. Chaque Etat s'engage donc a légiférer sur les points suivants: *MENACES SUR LA PRESOMPTION D'INNOCENCE* Article 7 - Falsification informatique "... [réprimer en infraction pénale] l'introduction, l'altération, l'effacement ou la suppression intentionnels et sans droit de données informatiques, engendrant des données non authentiques, dans l'intention qu'elles puissent être prises en compte ou utilisées à des fins légales comme si elles étaient authentiques (11), indépendamment du fait qu'elles sont ou non directement lisibles et intelligibles. Une Partie peut exiger en droit interne une intention frauduleuse ou une intention pernicieuse similaire pour que la responsabilité soit engagée." Section 2 - Droit de procédure Article 14 - Perquisition et saisie des données informatiques stockées 1. ... habiliter ses autorités compétentes à perquisitionner ou à accéder d'une façon similaire : a. à un système informatique ou à une partie de celui-ci et aux données informatiques qui y sont stockées ou b. à un support permettant de stocker des données informatiques sur [son territoire ou en un autre lieu relevant de sa souveraineté], pour les besoins d'enquêtes ou de procédures pénales.(...) *POUVOIRS D'EXTRATERRITORIALITé* 3. [S'il s'avère que l'accès au système informatique ou à une partie de celui-ci] ... se fait par inadvertance dans la juridiction d'une autre Partie, les autorités compétentes de la Partie menant l'enquête [doivent etre] en mesure d'étendre rapidement la perquisition ou un moyen d'accès similaire à l'autre système. 4. adopte[r] les mesures législatives ... pour habiliter ses autorités compétentes à saisir ou à acquérir ... les données informatiques auxquelles l'accès a été obtenu ... en vue de leur utilisation éventuelle dans des enquêtes et procédures pénales. Ces mesures incluent les prérogatives suivantes : a. saisir ou acquérir d'une façon similaire un système informatique ou une partie de celui-ci ou un support permettant de stocker des données informatiques b. réaliser et conserver une copie de ces données informatiques c. préserver l'intégrité des données informatiques stockées pertinentes, d. rendre inaccessibles ou enlever ces données informatiques du système informatique consulté. (...) *OBLIGATION POUR LES PRESTATAIRE TECHNIQUES DE JOUER UN RôLE D'AUXILIAIRES DE JUSTICE* Article 15 - Injonction de produire (...) Article 16 - Conservation rapide de données stockées dans un système informatique (...) Article 17 - Conservation et divulgation rapides de données relatives au trafic (...) Ces articles expliquent que pour permettre la conservation de ces données (contenus de pages web comme trafic IP), les parties peuvent obliger la coopération d'une personne détenant des infos privées ou relatif à son trafic IP et, bien sur, d' "obliger la personne à qui s'adressent les procédures de conservation ... de garder le secret sur la mise en oeuvre desdites procédures (...)". L'article 18 est consacré aux "interceptions de sécurité", et reste encore en discussion. +Projet de convention du CoE dans son intégralité: http://conventions.coe.int/treaty/fr/projets/cybercrime.htm + "Bienvenue dans l'ére du téléflicage", Transfert, 11 avril 2000 http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=151 le bulletin lambda 14.05.2000 lambda.eu.org J. Thorel ________________________________________________________________________________ no copyright 2000 rolux.org - no commercial use without permission. is a moderated mailing list for the advancement of minor criticism. more information: mail to: majordomo@rolux.org, subject line: , message body: info. further questions: mail to: rolux-owner@rolux.org. archive: http://www.rolux.org