ACCUEIL | ARCHIVES | RECHERCHE S'ABONNER | NOUS ÉCRIRE
Page daccueil Les Chroniques de Cybérie
Le mardi 4 décembre 2001

Salutations à tous les Cybériens et Cybériennes!

Cette Chronique n'est optimisée ni pour Netscape, ni pour Internet Explorer, elle l'est pour ses lecteurs et lectrices.

Cette semaine...

  La «lanterne magique» du FBI
En août dernier, nous vous parlions de Nicodemo Scarfo Jr., accusé par la police fédérale des États-Unis (FBI) de prêt usuraire et d'activités de jeu illégales.  La preuve du FBI reposait principalement sur une technique de surveillance appelée «espion de clavier» (keylogger), un dispositif matériel ou logiciel qui permet d'enregistrer les touches tapées sur un clavier d'ordinateur.  Scarfo protégeait tous ses fichiers et son courrier électronique à l'aide du logiciel de chiffrement Pretty Good Privacy (PGP), mais disposant du mot de passe récupéré à l'aide de l'espion de clavier, les enquêteurs avaient vite fait de percer ses secrets. 

Scarfo avait demandé au tribunal d'exiger du FBI des détails sur ce dispositif de surveillance car, selon qu'il s'agissait d'un dispositif matériel installé dans son ordinateur, ou d'un dispositif logiciel qui aurait transmis des informations par l'entremise d'Internet, la situation se présentait sous un angle juridique bien différent.  Les enquêteurs disposaient d'un mandat de perquisition.  Or, l'installation d'un dispositif matériel est acceptable en vertu d'un mandat de perquisition (qui permet également l'intrusion clandestine); un dispositif logiciel de transmission d'informations nécessite un mandat de surveillance électronique.

Le juge Nicholas Politan avait donc enjoint le FBI à décrire comment il avait récupéré le mot de passe de Scarfo.  Le 4 octobre, Randall Murch, assistant du directeur adjoint des enquêtes technologiques du FBI, témoignait devant le juge Politan par voie d'affidavit (fichier PDF).  Il déclarait que les enquêteurs avaient installé dans l'ordinateur de Scarfo, lors d'une de cinq intrusions clandestines dans ses bureaux, un dispositif d'enregistrement des touches tapées au clavier.  Ils avaient par la suite récupéré le dispositif, trouvé le mot de passe PGP de Scarfo, et eu accès aux documents compromettants.  Il n'y avait donc eu aucune transmission du «produit de la surveillance» par modem ou autre moyen de télécommunication.  L'honneur était sauf pour le FBI, les droits de Scarfo n'avaient pas été violés.

Vous connaissez certainement le virus/ver Badtrans (notre chronique précédente), en plus d'un code lui permettant de se propager, Badtrans agit aussi comme espion de clavier, permet d'enregistrer toute frappe au clavier pour récupération et traitement ultérieur (mots de passe, noms d'utilisateurs, numéros de cartes bancaires, etc.).  Dans le cas de Badtrans, ces informations seraient acheminées par courriel à une ou des adresses des auteurs du code.

Le 20 novembre, citant des sources confidentielles, le journaliste Bob Sullivan de la chaîne MSNBC révèle que le FBI dispose d'un virus/ver agissant comme espion de clavier.  Nom de code : «Magic Lantern», la lanterne magique.  On sait que depuis le 11 septembre, l'utilisation du système de surveillance de courrier électronique Carnivore a été facilitée par l'adoption des lois anti-terroristes.  Mais Carnivore a ses limites.  À quoi sert l'interception d'un fichier si celui-ci est crypté et que les enquêteurs ne possèdent pas la clé de chiffrement.  Il suffit alors de planter le virus/ver espion, ce qui peut être fait par courriel, et de récupérer la clé de cryptage.  Sullivan, dans son article, dit s'être heurté à un mur de silence lorsqu'il a adressé des demandes de précisions au FBI.

Le 22 novembre, c'est au tour de Ted Bridis de l'Associated Press d'évoquer «Magic Lantern».  Mais Bridis va plus loin : il affirme que le fabricant de logiciels antivirus Network Associates/McAfee a entrepris une démarche que l'on pourrait qualifier de proactive, et communiqué avec le FBI afin de s'assurer que ses logiciels n'interceptent pas «Magic Lantern» et mettent ainsi la puce à l'oreille de la cible de la surveillance.  En fait, comme il s'agit d'un virus/ver, le code espion du FBI pourrait bien s'empêtrer dans la résille des logiciels destinés à protéger nos systèmes.

L'affaire commence à prendre de l'ampleur tant dans les milieux techniques que parmi les défenseurs des droits à la vie privée.  À ce point que le 26 novembre, Marisa Lewis du service des relations avec les investisseurs de McAfee nie que l'entreprise ait communiqué avec le FBI.  Dans une déclaration transmise par courriel à certains journalistes, dont Declan McCullagh du service de nouvelles Wired, Lewis nie tout contact, affirme ne pas s'attendre à ce que le FBI communique avec McAfee, refuse toute spéculation relative à «Magic Lantern» dont l'existence n'est pas reconnue par le FBI, et déclare que l'entreprise se conforme, et continuera de se conformer, aux lois en vigueur.

Bridis persiste et signe.  Il déclare tenir son information d'un cadre supérieur de chez McAfee qu'il ne peut nommer, et attribue le démenti de McAfee au tollé de réactions suscité par son article.  Il ajoute que McAfee ne dit pas qu'elle ne collaborera pas avec le FBI si ce dernier en faisait la demande. 

Le 27 novembre, le journal britannique The Register suit l'affaire et cite, cette fois, un porte parole de chez Symantec, fabricant de l'antivirus Norton.  Selon Eric Chien, chercheur principal chez Symantec, si le FBI utilisait un espion de clavier transmis par courriel, et qu'il était le seul à l'utiliser, Symantec prendrait des dispositions pour qu'il soit indétectable par l'antivirus Norton.

Graham Cluley, conseiller principal chez un autre fabricant d'antivirus, Sophos, s'objecte à l'ouverture volontaire de portes d'accès à des virus/vers de surveillance, alléguant que les utilisateurs du réseau hors du territoire des États-Unis seraient en droit de s'attendre à être protégés contre des outils de surveillance comme «Magic Lantern».  De soumettre Cluley : «Qu'arrivera-t-il si les services de renseignement français ou grecs créent un tel outil de surveillance? Devra-t-on aussi les ignorer?»

Haut de la page

  Badtrans : la faute des utilisateurs; Emily en a marre; et si la tendance se maintient
Le virus/ver Badtrans continue de se propager au point qu'il a, selon la société de veille MessageLabs, remplacé le vilain Sircam en tête du palmarès des codes malicieux les plus actifs, position que détenait Sircam depuis quatre mois.

Michelle Delio du service de nouvelles Wired se penche sur la vulnérabilité du logiciel de messagerie Outlook de Microsoft, cible de la plupart des virus/vers, et surtout sur une rustine rendue disponible par Microsoft pour colmater les brèches de Outlook, mais que bien peu de gens installent, le Outlook E-mail Security Update (OESU).  La rustine n'est pas une panacée universelle contre tous les codes malicieux, mais peut grandement en réduire les effets.  Cependant, selon les statistiques de Microsoft, moins de un pour cent des utilisateurs de Outlook ont téléchargé et installé la rustine. 

Trop compliquée, l'installation? Sur un groupe test de douze personnes à qui on a demandé d'en tenter l'installation, neuf ont échoué : fichiers difficiles à repérer, explications confuses, versions autres qu'en anglais difficiles à trouver.  Quand on connaît la réticence de la majorité des utilisateurs à «regarder sous le capot» de leur systèmes (par exemple, seulement 15 % modifient la page de démarrage implicite de leur fureteur), on s'étonne peu de la propagation des virus/vers.

Notre collègue Emily Turrettini de :n/e/tsurf en a eu assez.  Depuis la semaine dernière elle publie le «journal intime» des mauvaises fréquentations de son système (un Mac insensible à ces bestioles), un exemple de ce à quoi doivent faire face bon nombre de «bien branchés».  Extrait du journal :

«Le 3 décembre
Reçu aujourd'hui , il est 18h35
- 38 mails avec le virus “Badtrans b”
- 1 mail avec le virus “Sircam”
- 6 mails avec le virus “hahaha/sexy nains”.»

Populaire, notre Emily.  (=_=)

Mais blague à part, le rapport signal/bruit se détériore grandement sur Internet.  MessageLabs estime qu'en 1999, le ratio virus/message était de 1/1400.  Il serait passé à 1/700 en 2000 et on est en voie de le voir grimper à 1/300 pour 2001.  Et si la tendance se maintient : 1/100 en 2004 et 1/10 en 2008.  Si on ajoute aux messages contaminés le volume croissant de pourriels (spam), on risque de perdre le fil.

Haut de la page

  Pornographie juvénile : coup de filet; campagne de prévention; la loi anti-terroriste porte fruit
C'est sous la coordination de l'escouade britannique de lutte à la criminalité (NCS - National Crime Squad) que des policiers de 19 pays, dont le Canada, la France et la Belgique, ont procédé à 130 perquisitions et arrestations pour possession et diffusion de matériel de pornographie juvénile.  Baptisée «Landmark», l'opération a fait suite à une enquête de dix mois menée par les services de renseignement criminels britanniques.

Les policiers britanniques ont demandé, aux fins de l'enquête, la collaboration d'un important fournisseur d'accès britannique, Demon Internet.  À partir des données de connexion sur 1 500 forums d'échange (newsgroups), les enquêteurs ont recueilli 10 000 adresses IP d'utilisateurs ayant consulté une trentaine de ces forums.  Pour des raisons opérationnelles, ils n'ont retenu que 400 de ces adresses, soit celles de personnes s'engageant dans la diffusion ou l'échange de pornographie juvénile.  Après analyse, ces informations ont été communiquées à Interpol qui a convoqué deux réunions (une à Lyon, l'autre à Londres) pour communiquer aux forces policières étrangères les éléments de preuve.

Pour mieux retracer les enfants victimes d'abus par des pornographes pédophiles, la National Crime Squad dispose d'un logiciel de reconnaissance faciale avec lequel elle analyse chacune des photographies saisies (60 000 dans le cas de l'opération Landmark).  Elle espère ainsi remonter à la source de la production du matériel.  Pour ce qui est des enquêtes sur Internet, les autorités ont avoué avoir parfois du mal à retracer les coupables car ces derniers utilisent de plus en plus des moyens sophistiqués pour dissimuler leur identité.

Par ailleurs, le ministère britannique de l'Intérieur (Home Office) a lancé une campagne de publicité (journaux et périodiques) pour inciter les parents à informer leurs enfants des dangers qu'ils courent sur Internet.  Dotée d'un budget de 1,5 million de livres (2,3 millions d'Euros, 3,4 millions $ CAN), la campagne a pour thème : «Les pédophiles sont dangereux, pas les forums de discussion».  Depuis son site «Wise Up To The Internet», le ministère diffuse aussi un ensemble de conseils destinés aux parents.  Un second volet de cette campagne, cette fois destiné aux cinq millions de jeunes britanniques utilisateurs d'Internet, sera lancé au début de la prochaine année.

Enfin, aux États-Unis, à défaut de mettre la main au collet de terroristes, on a épinglé un pornographe : un ressortissant saoudien arrêté dans la foulée de la rafle anti-terroriste a été accusé de possession de matériel de pornographie juvénile.  Étudiant à l'institut aéronautique de Pittsburgh, Abdurrahman Koshak a été arrêté le 30 septembre par la police fédérale américaine qui avoue maintenant qu'il n'a aucun lien avec des organisations terroristes.  On a toutefois trouvé dans son ordinateur du matériel de pornographie juvénile; Koshak a plaidé non coupable aux accusations selon l'agence Newsbytes.

Le site Cryptome publie une liste de 93 personnes appréhendées et détenues par les autorités dans le cadre de la lutte au terrorisme.  On posséderait des informations sur 548 personnes ainsi appréhendées et détenues, les autorités refusant de divulguer des détails sur 444 autres prévenus.

Haut de la page

  Médias : nouveaux positionnements; la rançon de la gloire
Le mensuel d'information financière Red Herring, qui exploite également un site Web et plusieurs lettres d'information par courriel, est en cours de restructuration.  Malgré une hausse de 45 % des abonnements payants à la version imprimée en 2000 (320 000 abonnés), le Herring éprouverait des difficultés à rentabiliser ses produits Internet.  Il met donc un terme à l'envoi de ses lettres d'information par courriel et entend se concentrer sur son offre Web, selon un message transmis aux abonnés la semaine dernière.  Déjà, en septembre, le Herring avait licencié 17 % de son personnel et la cadence de publication était passée de bimensuelle à mensuelle.

Restructuration aussi chez Webnoize, publication électronique sur l'industrie du divertissement en ligne, qui cesse de publier pour quelques mois.  L'éditeur, Thomas Roli, a déclaré par voie de communiqué : «Nous ne sommes pas immunisés contre les forces du marché qui ont frappé nos concurrents.» Webnoize avait une clientèle de décideurs de l'industrie du divertissement, estimée à 100 000 lecteurs et lectrices par mois.  Précisons que Webnoize avait été tout au long de la saga Napster une source privilégiée d'informations et d'analyses.

Le Herring et Webnoize évitent d'évoquer l'effondrement du marché publicitaire pour justifier ces restructurations, mais le phénomène joue sans aucun doute, comme dans le cas d'autres publications, dont celui du regretté Industry Standard qui cessait ses opérations en août dernier.

Les diffuseurs peuvent-ils, à terme, espérer une embellie? Pas avant la seconde moitié de 2002 selon le cabinet de recherche Zenith Optimedia (propriété de Publicis France et de la britannique Cordiant), et pas avant 2004 pour un rétablissement complet.  Aux États-Unis, on estime à 8,7 % la chute des dépenses publicitaires pour l'année en cours, à une autre baisse de 3,5 % pour l'an prochain, et à un quasi nivellement pour 2003.  Après quoi...

D'autre part, si les attaques terroristes ont fait grimper la fréquentation des sites Web des grands médias, cette hausse de l'achalandage a de curieux effets à la chaîne MSNBC.  En effet, cette dernière a procédé hier au licenciement d'une vingtaine d'employés selon le Washington Post.  On explique qu'en août, le site Web était consulté par environ 10 millions d'utilisateurs, mais qu'à la suite du 11 septembre l'achalandage a plus que doublé.  Ce qui devrait être une bonne nouvelle sur le plan des rentrées publicitaires l'est beaucoup moins pour les coûts d'exploitation, nommément pour la bande passante.  MSNBC, qui joue très fort la carte du multimédia (audio, vidéo sur demande), a dû bonifier à grand coûts son infrastructure de bande passante pour répondre à la demande, ajouter des serveurs pour stocker le flot de matériel, payer davantage pour ses services de cybermétrie (mesure de fréquentation).  Bref, il fallait rétablir l'équilibre, et c'est le personnel qui a écopé.

Haut de la page

  En bref : à l'école du hack; trois sites frappés aux États-Unis
Vous ne savez que faire de vos soirées? Vous enviez les figures mythiques du hacking? Vous rêvez d'exploits magistraux dont toute la planète parlera? Inscrivez-vous à Zi HackAdemY qui, comme son nom l'indique, est une institution bien française installée dans le 11e arrondissement de Paris.  L'idée est venue de quelques collaborateurs au journal très français lui aussi «Hackerz Voice», et les cours sont dispensés depuis octobre.  L'école du hack propose trois niveaux : «newbie» pour les débutants, «wild» pour les intermédiaires et «intrusion» pour l'élite.  Les frais d'inscription pour l'ensemble des cours sont de 450 FF (70 Euros, 100 $ CAN); ceux et celles qui ne peuvent se déplacer peuvent suivre les cours par correspondance.  On peut s'inscrire en ligne et régler par carte de crédit, mais on précise sur le site : «bon ok c'est par mail donc pas sécurisé, mieux vaut nous téléphoner».  Lucides, les gars.  Dernier détail : aux moins de 15 ans, prière de joindre l'autorisation de vos parents.

On ignore s'ils étaient diplômés de l'HackAdemY, mais des hacktivistes se sont payé trois sites officiels de l'administration publique des États-Unis la semaine dernière.  Selon le service de nouvelles Newsbytes, les pages d'accueil des sites de la National Oceanic & Atmospheric Administration (NOAA) (saisie d'écran) et du National Institute of Health's National Human Genome Research Institute (saisie d'écran) ont été modifiées par un groupe se prétendant être des moudjahiddins cyberterroristes.  Un troisième site, celui du corps des ingénieurs des forces armées des États-Unis (saisie d'écran), a également essuyé une attaque, mais dans ce cas l'intrus affirme avoir subtilisé des informations classifiées.  Les deux premiers sites étaient exploités sous Linux (logiciel serveur Apache) et non sous Microsoft comme c'est généralement le cas.

Haut de la page

Et sur ce, nous vous souhaitons à tous et toutes une excellente semaine.

Site personnel de Jean-Pierre Cloutier
Ligne horizontale
ACCUEIL | ARCHIVES | RECHERCHE S'ABONNER | NOUS ÉCRIRE
Ligne horizontale
© Les Éditions Cybérie inc. | Revue de presse | Publicité
URL : http://www.cyberie.qc.ca/chronik/20011204.html