En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

CERT/CSIRT contre cybercriminalité : le respect des règles (partie 1)

laisser un avis
En février 2011, Graham Ingram, responsable de l'AusCERT – le plus ancien des CERT australiens – faisait état d'un problème assez particulier qui le bloquait dans ses activités. Après avoir découvert des fichiers protégés contenant des identités de personnes victimes de fraudes, les analystes du CERT n'ont pas pu aller plus loin. Faire du reverse engineering pour tenter de casser le chiffrement ou les mots de passe aurait certes permis de prévenir les victimes, mais les aurait aussi conduits à contrevenir aux lois australiennes. Bien que l'AusCERT soit officiellement reconnu en Australie comme une organisation de lutte contre la criminalité, il n'est pas au-dessus des lois. Il doit donc respecter celle qui interdit le cassage de mots de passe, même si ceux-ci ont été mis par des personnes malintentionnées pour protéger les données volées.
Plus récemment, Carrier IQ a été soupçonné d’espionnage. Qui fallait-il croire entre les annonces de Trevor Eckhart et les dénégations de l'éditeur du logiciel ? Comment apporter plus de preuves, lorsque l’observation du comportement de l’application n’est pas suffisante, si ce n’était en faisant du reverse engineering sur le logiciel ? Comment le faire sans porter atteinte aux aspects de propriété intellectuelle sur le logiciel ?

La fin justifie-t-elle les moyens ?

Dans le cadre des activités du CERT Devoteam de lutte contre la cybercriminalité et le filoutage, nous sommes parfois confrontés à des codes clairement malveillants ou des scripts PHP protégés par une technique d’obfuscation avec des messages du type : « This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited. »
Faut-il respecter ce copyright ou passer outre, comme au début du XVIe siècle, lorsque Nicolas Machiavel tentait de répondre à la question de savoir si la fin justifiait les moyens ?
Selon les localisations et les législations, les rôles et les prérogatives des acteurs, un choix s’impose entre, d’une part, le désir d’assainir et d’alerter les victimes et, d’autre part, le respect de règles déontologiques et de la législation. Prenons le cas de la France. La directive 91/250/CEE du Conseil des communautés européennes du 14 mai 1991, concernant la protection juridique des programmes d'ordinateur, a été transposée dans le droit français par la loi n° 94-361 du 10 mai 1994. Les articles 4 et 5 sont à étudier. Mais l’article 6, qui traite de la décompilation, décide que « l'autorisation du titulaire des droits n'est pas requise lorsque la reproduction du code ou la traduction de la forme de ce code au sens de l'article 4 points a) et b) est indispensable pour obtenir les informations nécessaires à l'interopérabilité d'un programme d'ordinateur créé de façon indépendante avec d'autres programmes », et sous réserve de conditions supplémentaires. L’interopérabilité (sic) peut donc être un moyen de faire avancer les choses !

Des lois différentes hors de l'Europe

Pour d’autres pays, en particulier ceux en dehors de la Communauté européenne, la réponse serait différente. En effet, les cyberforces de l’ordre peuvent agir presque sans contraintes et leurs équipes forensiques sont habilitées à contourner les mécanismes de protection, notamment lorsqu’il s’agit de faits qualifiés de criminels. Faut-il alors envisager la piste de la « délocalisation » ? Les cybercriminels qui chiffrent les données volées le savent-ils ? Ils ne pensaient peut-être qu’à protéger leurs «  biens » contre des concurrents mal intentionnés, eux aussi !
Toujours est-il que dans les cas où les acteurs humains et les ressources techniques sont situés dans plusieurs pays, la situation n’en est que plus complexe, et la coopération entre les CSIRTs/CERTs ainsi qu’avec les forces de l’ordre n’en est que plus importante. L’Enisa vient justement de publier plusieurs rapports sur le sujet.

Olivier Caleff,
Responsable du CERT-DEVOTEAM il intervient dans la sécurité informatique depuis le début des années 90. Il mène des missions de conseil, d'audit sécurité, d'assistance à RSSI et travaille dans des domaines tels que la mobilité et la sécurité du Cloud Computing.

envoyer
par mail
imprimer
l'article
@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Protection des données personnelles : le cloud, solution ou problème ?
Le virus Flame serait-il le successeur de Stuxnet ?
La biométrie sur les appareils personnels : rendez-vous dans dix ans ?
Sept idées reçues sur la cyberguerre
Terminaux mobiles : ARM met les bouchées doubles pour imposer son architecture sécurisée
Israël : cyberdéfense et cyberguerre
Existe-t-il un business américain au service d’une cyberguerre économique ?
Sécurité en entreprise : quels enjeux pour les terminaux mobiles?
La nouvelle politique de défense japonaise
La technologie au service de la Liberté
Sécurité et fausses impressions
Vulnérabilités GSM, quelles réponses un an après ?
Cyberforce américaine : Origines d’une montée en puissance
Cyberforce américaine : Origines d’une montée en puissance
La carte SIM, une espèce menacée ?
La France doit déterminer sa cyberstratégie
Les techniques subversives se propagent sur le web
Android Ice Cream Sandwich : quoi de neuf en sécurité ?
Cyberguerre : de quoi la Chine est-elle capable ?