Cybercrimes? Et la réponse légale Eric WIES Journées FEDEREZ
Cybercriminalité Un mot sur l'intervenant Cyber crime? Cyberdéfense Définition Cyber crimes dans le monde virtuel, dans le monde réel Réponse légale au Cyber crime La protection numérique De la loi GODFRAIN A l'hadopi La protection des biens et du citoyen
Un mot sur l'intervenant Eric WIES (eric.wies@univ-lorraine.fr) Responsable Service Informatique Dans une composante : UFR MIM 1 000 Machines / 20 serveurs 5 personnes Chef d escadron (RC) Spécialité CyberDéfense Expert pour le recrutement E.N. Membre du CLUSIR-Est Interventions Conférences et Sensibilisations
Cyber crimes? Crime ou délit Utilisant les technologies de l'information Comme moyen et but pour créer un préjudice Cyber crime dans le monde virtuel Comme média pour créer un préjudice Cyber crime dans le monde réel Cyber crime? Préjudices réels, Victimes réelles
Cyber crimes? A qui profite le crime? Actes isolés? Une personne, Un groupe de personnes Actes commandités? Faire de l'argent Blanchir de l'argent Utiliser une puissance financière occulte Groupes mafieux, terroristes, extrémistes Groupes de pressions (éco-terroristes) Intérêts économiques (intelligence économique)
Cyberdéfense La cyberdéfense militaire L ensemble des actions défensives ou offensives Dans le cyberespace Garantir le bon fonctionnement du min. de la Défense l efficacité de l action des forces armées Le réseau de réserve citoyenne cyberdéfense faire de la cyberdéfense une priorité nationale Actions de sensibilisation. Des professionnels de la cybersécurité et de la cyberdéfense.
Cyber crimes : Dans le monde virtuel Piratage de musiques et de films Usurpation d'identité numérique Détournement de comptes numériques Détournement bancaire (sites bancaires) Détournement d'argent virtuel (Linden) Vols virtuels, Viols virtuels Diffamation, dénigrement (blog) Fausse annonce de vente
Cyber crimes : Dans le monde virtuel Faux antivirus Faux complément de programmes (MSN) Fausses pages personnelles Vol de données (chantage, extorsion) Espionnage (key loger) Réseaux Sociaux Quand la vie privée n existe plus
Cyber crimes : Dans le monde réel Arnaques aux cartes bancaires Utilisation des numéros Utilisation de la bande magnétique Copie de la puce Recrutement de tueurs Pédophile Utilisation des chats Utilisations des messageries instantanées SCAM
Cyber crimes : Dans le monde réel Vols en tout genres Cambriolages Vol de documents physiques Photos Volées (Voyeurisme) Vidéos Volées Espionnage SPIT
Cyber crimes : Dans le monde réel Attaques en réputation Réputation d'un marchand Manipulation des cours de bourses Attaques sur le matériel Chip Hacking Scada Contrefaçon
Cyber crimes : Dans le monde VIRTUEL Les nouvelles technologies comme but!
Piratage de musiques, de films Le plus répandu Différents systèmes P2P Permet de partager ce que l'on a Plus on partage plus on peut télécharger De nombreux systèmes Téléchargement direct Il faut trouver le fichier quelque part Catalogues de fichiers On peut payer pour télécharger plus vite
Piratage de musiques, de films P2P : Exemple
Piratage de musiques, de films Annuaires de téléchargement
Piratage de musiques, de films Incitation a payer!
Usurpation d'identité numérique Demander avec «gentillesse» Le nom d'utilisateur Et son mot de passe Phishing Dans la plupart des cas C'est un ami qui vous invite à le rejoindre C'est une offre de service gratuit Retrouver ses amis Savoir qui nous a «bloqué» sur une messagerie
Usurpation d'identité numérique
Usurpation d'identité numérique Buts recherchés Se connecter à votre place Obtenir de meilleures informations sur vous Utiliser l'adresse «MSN» pour obtenir Les identifiants bancaires Transmettre des spam Transmettre des virus Transmettre des invitations Et tout ça, grâce à vous!
Usurpation d'identité numérique : Phishing Phishing (pêche aux informations) Obtenir l'information En envoyant un mail Qui semble provenir d'une institution Banque, Entreprise (EBay, PayPal, La Fnac) Qui vous demande de changer vos informations En suivant un lien Si vous cliquez sur le lien La page affichée a tout de l'originale Mais c'est une copie!
Usurpation d'identité numérique : Phishing
Usurpation d'identité numérique : Phishing
Usurpation d'identité numérique : Phishing Cher client, Bonjour A cause des inventaires de cette annee, nous vous prions de nous excuser de vous demander de bien vous identifier afin que nous puissions completer notre inventaire, en plus chaque compte non identifie d'ici 48h sera desactive automatiquement. Veuillez-vous identifier mesdames et messieurs en cliquant sur le lien ci-dessous, si le lien ne marche pas, essayez de le copier tout simplement dans une nouvelle fenкtre : www.banquepopulaire.fr Avertissement!! : Ce lien ne fonctionnera plus d'ici 48h. Nous vous remercierons de votre collaboration et comprehension, mais l'amelioration de nos services vous interesse aussi. Aucune somme d argent ne sera retiree de votre compte, c'est juste un simple inventaire necessaire pour vous assurer un bon avenir.
Détournement, Vols et Viols Virtuels Dans les mondes virtuels Jeu en ligne : WarCraft Mondes simulés : Second Life Imitation de la vie : lil-life, habo-hotel Il y a de l'échange d'argent virtuel L'argent virtuel provient Du travail virtuel De l'échange d'argent réel contre du virtuel
Détournement, Vols et Viols Virtuels
Détournement, Vols et Viols Virtuels Ces mondes ne sont pas inoffensifs Transactions d'argent dans les deux sens On peut voler de l'argent virtuel Et le reconvertir Les objets ont aussi une valeur Achetés avec de l'argent virtuel Revendus Le vol virtuel est sans risque!
Détournement, Vols et Viols Virtuels
Détournement, Vols et Viols Virtuels Les mondes virtuels Sont basés sur les interactions entre les avatars Il y a des interactions voulues et les forcées Attaque d'un personnage Mort d'un personnage Parfois il faudra repayer pour jouer Viol d'un personnage Bien que tout ceci est virtuel Cela laisse des «traces» dans la vie réelle!
Détournement, Vols et Viols Virtuels Utilisation de personnes réelles Pour récolter de l'argent virtuel GoldFarming Souvent des adolescents Dans des pays émergents 12 heures par jour, 7 jours sur 7 Plusieurs utilisateurs à la fois But : Créer de la richesse virtuelle Objets, Services Et la revendre
Détournement, Vols et Viols Virtuels
Diffamations, Dénigrements Ou comment se défouler Grâce aux blogs Ou simplement par mail Les blogs Souvent considérés comme «journal intime» Sert de défouloir On y trouve n'importe quelle image n'importe quel texte (commentaires)
Diffamations, Dénigrements
Diffamations, Dénigrements
Diffamations, Dénigrements
Diffamations, Dénigrements
Diffamations, Dénigrements Dans la plupart des cas Personnes mises en cause à leur insu Non respect du droit à l'image Non respect de la protection des mineurs Parfois on aboutit A la diffusion de photos volées On en reparlera plus tard A la réputation virtuelle d'une personne Qui peut être bien loin de la réelle
Diffamations, Dénigrements Alors que les blogs sont publics On peut avoir une attaque par mail Soit directement Soit envers quelqu'un d'autre Plusieurs problématiques Trouver qui a envoyé le mail Trouver les raisons Éviter la propagation
Fausse annonce de vente Sites de ventes entre particuliers On doit laisser une adresse, un téléphone Que faire si l'objet à vendre Est illégal Est issu d'un trafic? Demander l'aide d'un internaute «Le site plante chez moi, peux-tu passer l'annonce à ma place» Pour le site d'annonce Vous êtes responsable de l'annonce
Faux Antivirus Une page Vous indique que votre système est infecté Vous propose de télécharger un antivirus L'anti-virus Vous indique l'infection Et vous invite à acheter la version payante En réalité Votre système n'avait rien Mais maintenant il est bien contaminé!
Faux Antivirus
Faux compléments de programmes Ajouter un complément C'est avoir d'autres fonctions Mais c'est aussi Donner vos identifiants au complément Permettre au complément D'accéder à votre place D'obtenir vos conversations C'est donnant donnant!
Faux compléments de programmes
Faux Programmes
Vol de données Un virus s'installe sur votre machine Les fichiers deviennent chiffrés et illisibles On vous demande D'acheter un programme pour rétablir les données De payer une rançon pour rétablir les données On vous déconseille De tenter une réparation vous-même D'appeler les forces de l'ordre On vous propose Une aide par mél si nécessaire!
Vol de données
Vol de données
Rançons
Espionnage Dispositif logiciel ou matériel Pour enregistrer ce que vous tapez A votre insu Peut enregistrer aussi bien Attention L'écran Le clavier L'image de votre webcam Détection du dispositif matériel très difficile
Espionnage : Logiciels
Espionnage : Matériel
Réseaux Sociaux Les réseaux sociaux sont très installés Recherche d anciens amis (Copains d avant) Micro blogging (twitter) Groupes professionnels (linked in) Groupes de connaissances (Facebook) On y raconte sa vie personnelle Mais aussi professionnelle! Impacts Sur la vie privée Sur la vie professionnelle Organisations de vols en réunion Rappels Ce ne sont pas des sites caritatifs!
Réseaux Sociaux : Impacts sur la vie privée Tout ce que vous mettez, est partagé avec Vos amis Les amis de vos amis Et tous les autres aussi! Dépends des réglages sur les sites Mais dans tous les cas Le contenu appartient désormais au site Il peut le réutiliser, Il peut le revendre Il ne le détruira jamais! Ce contenu Vous défini! Vous localise!
Réseaux Sociaux : Impacts sur la vie pro. Comportement des recruteurs 45 % consultent les réseaux sociaux 35 % renoncent à une embauche après cette consultation Cas d écoles On découvre qu un collaborateur recherche un autre emploi Alors qu il vient de demander une augmentation! Fonction dans l entreprise Alors que le contrat de travail demande de la discrétion Arrêt maladie et réseau social Arrêt stipule travail sur ordinateur interdit Dénigrement de collègues Sur un mur Facebook Affaire Domino Pizza
Réseaux Sociaux : Organisation de réunion Permet de contacter un grand nombre de personnes Qui vont effectuer la même action au même moment Cas d écoles Tout le monde se fige Rendez vous dans un lieu, et à l heure dite, Plus personne ne bouge! Apéritif géant Dans un lieu public Chez un particulier Rendez-vous au Monoprix de RODEZ 150 personnes arrivent à la même heure Vols et dégradations
Cyber crimes dans le monde réel Les nouvelles technologies ne sont qu un moyen de plus!
Cartes bancaires Technologies d'une carte Numéro Piste magnétique Puce Copier une carte 1 des 3 éléments suffit Pas forcément technologique Ce problème a un nom : CARDING
Cartes bancaires : Numéro Par simple lecture On recopie à la main On utilise un sabot Par simple demande Phishing Par naïveté Un site pour vérifier que votre numéro n'est pas volé!
Cartes bancaires : Numéro
Cartes bancaires : Pistes magnétiques/puces Pour lire la piste/ la puce S'interposer avec un lecteur standard L'utilisateur ne remarque pas le changement Utiliser un lecteur/copieur Attention Pour utiliser la puce il faut le code Capturer le code Par caméra Par faux clavier
Cartes bancaires : Pistes magnétiques/puces
Recrutement de tueurs Quelques exemples concrets France en avril 2005, un homme de Nancy a été condamné pour une offre d'assassinat car il avait recherché, via Internet, un tueur à gages pour tenter d'éliminer le concubin de sa maîtresse. Japon: Une femme porte plainte contre un homme qu'elle avait engagé sur Internet comme tueur à gages pour éliminer la femme de son amant et qui n'avait pas "exécuté" son contrat. Il est condamné pour escroquerie volontaire en décembre 2005.
Pédophilie Utilisation de l'internet Pour diffuser des actes (photos/ vidéos) Pour réaliser des rencontres Dans des sites dédiés aux enfants (habo hotel) Dans des sites ouverts aux mineurs et majeurs Pour planifier/ recommander des lieux Exemple Exhibition sexuelle sur un chat de Skyrock Visible en moins de 5 min! Utilisation de Live Messenger Attention : depuis peu live Messenger est un réseau social! Chat Roulette Et son site compagnon : http://www.chatroulettemap.com/
Pédophilie Même dans des jeux en ligne Second Life L'internet donne un sentiment d'impunité Utilisation de pseudo Usurpation de l'âge, du sexe Utilisation d'outils Pour modifier les images Flou sur les adultes Pour modifier le son
SCAM Provient souvent du Nigeria Comment refuser d'aider Un orphelin étranger Dont les parents avaient beaucoup d'argent Qui vous demande de l'aide! Évidemment C'est illégal : Problématique des mules C'est une arnaque On va vous demander de verser de l'argent!
SCAM
Vols : Cambriolage Avant : Il faut «surveiller» la victime Attendre qu'elle s'absente Cambrioler Maintenant : Il faut être «ami» de la victime dans un réseau social Il nous montrera tout ce qu'il possède Il nous dira quand il partira en vacances! Un site particulier http://www.pleaserobme.com
Vols : Documents physiques On a obtenu l'identité numérique On va l'utiliser Pour obtenir des informations réelles Pour demander des documents réels Exemple : Casiers judiciaires Documents de propriétés Vente frauduleuse d'une villa
Vols : Photos volées Nous avons 2 moyens Attendre que les victimes développent leurs photos Avec un site en ligne En téléchargeant leurs photos Prendre une photo à leur insu N'importe quel téléphone fait des photos! Les appareils photos sont très petits Pas de limitation de prises Pas de problème de développement!
Vols : Photos volées
Vols : Vidéos Volées Mêmes problèmes que les photos Mais aussi Capture de dialogues vidéos (live Messenger) Capture de webcam (key logger) Dans tous les cas Une fois diffusées ses images/ vidéos sont incontrôlables Tout le monde peut les télécharger Et les rediffuser ailleurs! Happy Slapping, Chantage
Vols : Espionnage Les capacités numériques Permettent de transporter beaucoup d'infos Dans un faible encombrement Peut-on se prémunir D'un collaborateur? Qui perd son portable? (cas de la prison de Nancy) D'un stagiaire? Qui copie des données pour travailler à la maison?
Vols : Espionnage
SPIT Le SPIT c'est le SPAM Sur votre téléphone On vous appelle On raccroche tout de suite Vous rappelez Le numéro est surtaxé Pourquoi c'est possible? L'appel ne coûte rien! (une seule sonnerie)
Attaques en réputation Grâce aux blogs, Photos et vidéos volées La réputation peut être entachée Même si c'est de la désinformation Plus subtil Textes faussés Photos Truquées Vidéos remontées On vous verse des dons provenant De comptes bancaires piratés!
Attaques en réputation Comment faire tomber un tombeur de spam (Castle Cops)? On lui verse de l'argent issu de comptes piratés On l'oblige à s'expliquer publiquement On l'accuse de fraude On l'attaque en justice Ceux qui ont eu leur compte débité! Castle Cops obligé de refuser des dons! Elle ne vit que par des dons!
Attaque en réputation Le problème du revenge porn Des photos enchangées Des photos prises Quand le couple se déchire On poste les photos Sur des sites garantissant l anonymat!
Manipulation de cours de bourses Il existe des forums de spécialistes On peut prendre conseil et avis Pour gérer son portefeuille boursier Dans un forum Un nouveau spécialiste donne des infos Et il a acheté des actions d'une société Il affirme que la société va faire beaucoup de bénéfices Tout le monde lui rachète ses actions Et finalement la société ne fait pas de bénéfices!
Chip Hacking On va remplacer un composant Directement sur le matériel Pour obtenir de nouvelles fonctionnalités Pour faire fonctionner Des systèmes payants (C +) Des jeux piratés (Xbox, PS3) Parfois Il suffit d'insérer une carte standard!
Chip Hacking
Scada Les architectures scada Commandent les machines outils Jusqu'à la distribution d'eau et d'énergie Jusqu'à maintenant Les «Scada» n'étaient pas reliées au Net Mais les machines qui les contrôlent le sont Attention les systèmes Scada Sont basés sur des systèmes connus Mais ne peuvent pas être mis à jour
Scada 2003 Vers sur un site nucléaire (USA) Vers sur les GAB (USA) Vers sur la signalisation des trains (USA) 2005 2007 2008 Vers causant l'arrêt de 13 usines Bombe logique dans la distribution d'eau Déraillement d'un train (Pologne)
Contrefaçon Vendre des objets contrefaits Poster une annonce sur le net Chaussures Nike Prendre les commandes Faire livrer directement au client Résultat Depuis la Chine Vous êtes directement accusé de contrefaçon Le cybercriminel reste potentiellement à l'abri
CONCLUSION? Et maintenant?
Conclusion : Découverte du cyber crime Deux moyens Créer un crime dans le monde virtuel Utiliser le monde virtuel comme outils Toujours les mêmes buts Argent, pouvoir Sommes-nous démunis? Réponse légale? La technologie nous a-t-elle trahis?
Cyber crimes : La REPONSE LEGALE Quand l arsenal législatif et répressif existe déjà!
Réponses légales Forces en présence Cheminement De la plainte A l'expert Au jugement Les lois de bases s'appliquent Vol Escroquerie Transfert de fond
Réponses légales Quelques lois GODFRAIN Droit d'auteur Droit à l'image Protection de la vie privée Loi anti-terroristes Loi de confiance en l'économie numérique HADOPI LOPSI
Forces en présence ANSSI Agence Nationale de la Sécurité des Systèmes d Informations Service du premier ministre Missions Détecter et réagir au plus tôt en cas d attaque informatique Prévenir la menace Jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d importance vitale ; Informer régulièrement le public sur les menaces
Forces en présence ANSSI : Organigramme
Forces en présence BEFTI La Brigade d'enquêtes sur les Fraudes aux Technologies de l'information Service opérationnel Dépend de la Direction Régionale de la Police Judiciaire de Paris Lieu : Paris
Forces en présence DGSI La Direction Générale du Renseignement Intérieur Service de renseignement de sécurité disposant de pouvoirs de police judiciaire spécialisée. Lieu : Toute la France
Forces en présence Gendarmerie Nationale Une des deux forces de police françaises. Elle dépend pour son administration du ministère de la défense et pour emploi du ministère de l'intérieur. Les enquêtes judiciaires sont menées sous le contrôle du ministère de la justice. Lieu : Toute la France
Forces en présences OCLCTIT L'Office Centrale de Lutte contre la Criminalité liée aux Technologies de l'information et de la Communication Structure nationale, à vocation interministérielle et opérationnelle Compétente dans le domaine des infractions aux technologies de l'information et de la communication. Lieu : Toute la France
Forces en présence Police Scientifique et Technique Recherche de preuves Pas forcément spécialisé dans les TIC
Forces en présence Experts judiciaires Issus de la société civile Experts dans leur domaine Candidature Période probatoire de 2 ans Puis renouvellement tous les 5 ans Peu d'expert en Informatique Manque surtout en région
Forces en présence
Forces en présence Quelques sites web Signaler un contenu illicite https://www.internet-signalement.gouv.fr/ Signaler un spam https://www.signal-spam.fr// Obtenir des informations http://www.securite-informatique.gouv.fr/ http://www.foruminternet.org/particuliers/fichespratiques/internautes/
Forces en présence
Forces en présence
Forces en présence
Forces en présence
Forces en présence
Cheminement légal Plainte Enquête Police Scientifique et Technique Gendarmerie NTEC Procès Avocats Experts Judiciaires Jugement Jurisprudence
Les lois de base Vols Article 311-1 et suivants 3 ans, 45 000 5 ans, 75 000 si aggravé Jusqu'à 100 000 et 10 ans Escroqueries Article 313-1 et suivants 5 ans, 375 000
Loi de bases Transfert de fond Article 324-1 et suivants 5 ans, 375 000 Usurpation d'identité Article 434-23 5 ans, 75 000 Fraude Article 441-1 3 ans, 45 000
Lois s'appliquant aux TIC Loi GODFRAIN 5 janvier 1988 De certaines infractions en matière informatique Article 462-2 Accès : 2 mois à 1 an, 300 à 8 000 Modifications : 2 mois à 2 ans, 1 500 à 15 000 Article 462-3 Entrave : 3 mois à 3 ans, 1 500 à 15 000
Loi GODFRAIN Article 462-4 Introduction de données : 3 mois à 3 ans, 2 000 à 500 000 Article 462-5 Falsification : 1 à 5 ans, 3 000 à 35 000 Article 462-6 Usage : 1 à 5 ans, 3 000 à 35 000 Article 462-7 Tentative idem
Loi GODFRAIN Article 462-8 Participation : idem Article 462-9 Confiscation des matériels
Droit d'auteur Loi du 11 mars 1957, du 3 juillet 1985 Article 425 du code pénal Contrefaçon : 6 000 à 20 000 Article 426 Représentation, diffusion Article 427 Récidive : 3 mois 2 ans, 1 300 à 35 000
Droit à l'image Article 9 du code civil Respect de la vie privée Article 226-1 1 an, 50 000 Montage Article 226-8
Loi anti-terroristes Principales mesures Vidéo surveillance Contrôle des déplacements Conservations des données de connexions FAI et Cybercafés A fournir aux enquêteurs! Accès aux fichiers Répressions accrues Déchéance de nationalité Gel des avoirs
Loi LCEN 21 juin 2004 Surveillance des sites hébergés l'apologie des crimes de guerre ou des crimes contre l'humanité, incitation à la haine raciale Caractère pédophile Interdiction du spam
Loi DADVSI 3 août 2006 Transposition d'un loi européenne Interdiction de casser les protections 6 mois, 30 000 euros Dépôt légal des sites
Loi HADOPI 21 septembre 2009 But Favoriser la création Et la diffusion sur Internet Haute autorité pour la diffusion Sanction administrative Réponse graduée Coupure du net?
Loi LOPPSI 29 août 2003 Loi sur la sécurité intérieure de 2009 27 mai 2009 Conseil de sécurité intérieure Fichiers informatiques Centraliser les infos Prévenir et punir l usurpation d identité numérique 1 an, 15 000 euros
Quelques cas Un SMS, preuve d infidélité (2009) Si il est recueillit sans violence ni fraude Facebook comme preuve? Droit du commerce Doit à l image Divorce Procédure pénale Identité numérique post mortem Aucun droit pour les ayant droits Divulgation de failles et exploitation Participer à un blog WAREZ
Conclusion Cyber crimes Risques multiples Apport judiciaire Les lois sont là Mais : Difficultés pour porter plainte Difficultés pour trouver des preuves Difficultés d'application du droit national
Conclusion De la problématique de la preuve Qui peut être chez le FAI Qui peut être chez le particulier De la complicité du plaignant Parfois l'utilisateur a conscience de l'illégalité Parfois l'utilisateur est l'opérateur du délit
Conclusion Comment lutter contre la cybercriminalité Former les utilisateurs Expliquer les enjeux Ce n'est pas qu'un problème technique! C'est un problème humain Lutte générationnelle Compréhension des enjeux Compréhension géopolitique des actes
Conclusion Internet Formidable outil Parfois détourné Pas plus dangereux qu'une «hache» Prise de conscience globale Souveraineté numérique de l'état Travaux de Bernard CARAYON Implication de la DGSI
Questions? Contact : eric.wies@univ-lorraine.fr