Ensemble contre la cybercriminalité

Les conditions d'utilisation de la plateforme de blogs et les règles à respecter.

Présentation

Le blog http://cybercrim.canalblog.com est un blog crée dans le cadre du module expression, communication, documentation du Lycée Aix Valabre à Gardanne (13).

Editeur

Responsable de la rédaction du blog : MERCIER Rémi

Hébergement

Le service http://cybercrim.canalblog.com est hébergé Canalblog.

Propriété intellectuelle

Synthèse des documents et sources d'information utilisée sont pubbliées dans la Bibliographie

Protection des données personnelles

Aucune inforation personnelle n'est collectée à votre insu. Aucune information personnelle n'est cédée à des tiers.

Conditions d'utilisation du site

L'utilisateur de ce site reconnaît disposer de la compétence et des moyens nécessaires pour accéder et utiliser ce site. Il est invité à respecter les bons usages de l'internet, en particulier, dans l'utilisation des adresses électroniques qui y figurent.

Olivier PALLUAULT, « cybercriminalité »,Encyclopédia Universalis [en ligne], consulté le 5 décembre 2014 . URL : http://www.universalis-edu.com/encyclopedie/cybercriminalité

Kristanadjaja Gurvan, »j’ai pris le contrôle de votre caméra et je vous ais retrouvé », 2014, encyclopedia universalis [en ligne], consulté le 5 décembre 2014. URL : http://www.universalis-edu.com/encyclopedie/jaiprislecontroledevotrecameraetjevousairetrouvé 

RICHARD Claire, “quand on ne pouvait pas télécharger, les films étaient des événements”, 2014, encyclopedia universalis [en ligne], consulté le 10 décembre 2014. URL : http://www.universalis-edu.com/encyclopedie/quandonnepouvaitpastelechargerlesfilmsetaientdesevenements

« Témoignage sur la cybercriminalité : Sandra » [en ligne] disponible sur internet, consulté le 2 avril 2015. URL : http://fr.norton.com/cybercrime-stories-sandra/article

DECARY-HETU David, « cybercriminalité », criminologie [en ligne], consulté le 4 avril 2015. URL : http://www.criminologie.com/article/cybercriminalit%C3%A9

RANGER steve, « cybercriminalité : les groupes organisés sont désormais aussi puissants que des Etats », 27 Juin 2014, Zdnet [en ligne], consulté le 4 avril 2015. URL: http://www.zdnet.fr/actualites/cybercriminalite-les-groupes-organises-sont-desormais-aussi-puissants-que-des-tats-39803075.htm

« Cybercriminalité : ce que les cybercriminels préparent pour 2015 », Novembre 2014 [en ligne], leparisien, disponible sur internet, consulté le 4 avril 2015. URL: http://www.leparisien.fr/high-tech/piratage-ce-que-les-cybercriminels-preparent-pour-2015-04-11-2014-4264897.php#xtref=https%3A%2F%2Fwww.google.fr%2F

“Signaler des faits relatifs à la cybercriminalité », avril 2015, [en ligne], disponible sur internet, consulté le 4 avril 2015. URL: http://www.commentcamarche.net/faq/25868-signaler-des-faits-relatifs-a-la-cybercriminalite

“La chaîne TV5Monde victime d’une cyberattaque terroriste de grande empleur”, 9 avril 2015 [en ligne], TF1/LCI, disponible sur internet, consulté le 9 avril 2015.  URL:

http://lci.tf1.fr/economie/medias/la-chaine-tv5monde-victime-d-une-cyberattaque-terroriste-de-8591856.html

Maintenant, aurez vous une vision différente d'internet ? Ferez vous les mêmes erreurs du passé ? Cela dépend de vous, mettez toutes les chances de votre coté pour passer à travers les mailles du filets.

Cette année 2015 risque d'être très mouvementée sur le web....

Mais internet est confronté à bien d'autres soucis, notamment depuis les attentats de 2001 aux Etats-Unis, une surveillance de masse est mise en place par les Etats... Service rendu à la population ou nouvelle forme de totalitarisme...?  

Ce phénomène ce nomme la Cybersurveillance.

Des cybercriminels mieux équipés

La vente de logiciels malveillants (malwares) sur les réseaux parallèles et anonymes comme Tor, Freenet ou I2P ne connaît pas la crise. La valeur de ces logiciels d'attaque diminue depuis plusieurs années tandis que l'offre supplante la demande. De jeunes pirates peuvent ainsi se faire les dents à moindre coût et en toute discrétion. Le prix des données volées lors d'un piratage a également chuté. Selon Trend Micro, des identifiants d'un compte Facebook se négocient sur le marché noir à 100 dollars (80 euros) contre 200 dollars il y a trois ans.

«La tendance est une évolution vers le professionnalisme», observe aussi Loïc Guézo, expert Sécurité de l'Information pour l'Europe du Sud chez Trend Micro. Des opérations cybercriminelles groupées sont à prévoir.

Des cibles de plus grande envergure

Afin d'augmenter leurs profits dans cette économie parallèle de plus en plus compétitive, les cybercriminels vont cibler de plus en plus de grandes entreprises, comme l'Américain Target et sa banque de données clients en 2013. Les banques, les institutions financières et les services qui stockent des données sur leurs clients seront des objectifs privilégiés. «Les criminels vont s'approprier les techniques avancées d'attaques sur des sites gouvernementaux afin de s'en prendre aux entreprises», prédit Loïc Guezo.

Les smartphones et tablettes en ligne de mire
Les vulnérabilités sur les appareils mobiles, en particulier sur Android, augmenteront avec la multiplication des plateformes et des applications plus ou moins fiables. Les cyber-escrocs pourront se servir de fausses applications afin d'accéder aux coordonnées bancaires ou aux données privées, avec le risque de revente de ces informations voire de chantage aux photos privées. 2015 sera surtout l'année où le paiement en ligne via une application dédiée sera le plus exposé à des attaques.

De nouvelles méthodes d'extorsion
La technique de «l'arnaque à la nigériane», où un inconnu sollicite de l'aide dans un virement international douteux, évolue et se décline sur les réseaux sociaux où de faux profils demandent des transferts d'argent vers l'Afrique de l'Ouest. La liste des cybercriminels s'internationalise aussi avec l'émergence d'attaques venues du Vietnam, d'Inde ou du Royaume-Uni en plus des traditionnels pirates américains et russes.

Le paiement sans contact risqué ?
 «La généralisation des paiements sans contact va introduire de nouveaux risques» assure Loïc Guezo. Après plusieurs attaques sur le portefeuille virtuel Google Wallet, les hackers s'intéressent désormais à Apple Pay, la solution de paiement mobile sans contact du géant américain. Même si le système n'a pas encore subi d'attaque, il comporte certainement des failles que les pirates trouveront. 

Les objets connectés épargnés...pour l'instant
Le marché de l'Internet des objets va exploser en 2015 selon les prévisions. Ces appareils, qui surveillent notre santé ou notre sommeil, contiennent des données très personnelles et donc à forte valeur ajoutée qui aiguisent l'appétit des cybercriminels. Cependant, «il n'y aura pas de grande catastrophe ou de risque majeur car ce marché est encore trop segmenté. Il n'y a pas de plateforme ou de logiciel communs à tous ces appareils», analyse l'expert.

Mais la masse de données stockées dans des serveurs sera menacée en 2016-2017 et il y aura un risque majeur pour la vie privée. Le problème réside dans les difficultés à mettre à jour les appareils : «s'il y a un bug, des mises à jours sont obligatoires et cela posera des questions pour des objets connectés comme un réfrigérateur».

Les conseils des experts
Les recommandations sont basiques et de bon sens mais souvent oubliées. Il faut bien veiller au niveau de sécurité qui entoure vos données notamment à travers des mots de passe longs et compliqués comme le début d'une phrase facile à retenir. Ces mots de passe doivent varier d'une plateforme à une autre notamment pour les services bancaires car les cybercriminels «jonglent avec les données collectées ici et là afin de reconstituer un profil complet avec la date de naissance qui sert souvent de code bancaire» prévient Loïc Guezo. Enfin, il faut tenir tous ses équipements à jour surtout lorsque l'éditeur propose de remédier à ses propres failles de sécurité.

L'expérience de Sandra

Sandra travaille dans les ressources humaines à Miami, en Floride. Elle se sert d'un ordinateur dans le cadre de son travail depuis plus de dix ans. Au travail, son ordinateur est géré par le service informatique de l'entreprise et elle n'a jamais eu aucun problème de sécurité avec son ordinateur.

Elle ne se considère pas comme une néophyte en informatique et estime qu'elle ne risque pas vraiment d'être victime d'une fraude en ligne, pour les raisons suivantes :

• Elle n'achète rien en ligne car elle ne veut pas divulguer d'informations sur sa carte de crédit et ne veut pas que les informations concernant ses achats soient stockées et utilisées pour créer un profil de ses goûts.
• Elle utilise simplement son ordinateur domestique pour envoyer du courrier électronique à ses amis et à sa famille, pour consulter le Web à la recherche d'informations concernant son activité professionnelle et pour gérer ses comptes en ligne une fois par mois sur le site Web de sa banque.
• Il lui arrive occasionnellement de regarder d'autres choses sur Internet.

La situation de Sandra semble assez sûre.

Malheureusement, les apparences sont trompeuses. Au travail, l'été dernier, elle a entendu parler d'une nouvelle vulnérabilité dans le navigateur Internet qu'elle utilisait. Le service informatique de son entreprise a dû appliquer un correctif d'urgence à tous les ordinateurs pour faire face à la situation. Sandra voulait s'assurer que son ordinateur personnel était également protégé, elle est donc allée sur Internet dès qu'elle est rentrée chez elle pour chercher des informations sur cette vulnérabilité et pour vérifier si elle était protégée.

Grâce à un moteur de recherche connu, elle a trouvé un site Web qui proposait non seulement des informations sur cette vulnérabilité, mais aussi la possibilité de télécharger automatiquement un correctif adapté sur l'ordinateur. Sandra a lu toutes ces informations mais a refusé le téléchargement, car elle avait appris à refuser tout téléchargement en provenance d'une source suspecte. Elle a ensuite consulté le site officiel de son navigateur Internet pour obtenir le correctif.

Quelle erreur a-t-elle commise ?

Malheureusement, alors que Sandra lisait des informations sur la vulnérabilité sur le premier site, l'escroc qui avait créé le site Web profitait du fait que son ordinateur était affecté de cette vulnérabilité. En fait, lorsqu'elle a cliqué sur Non (pour refuser le téléchargement proposé), un logiciel criminel petit mais puissant était déjà en train de s'installer à son insu.

Ce programme était un programme d'enregistrement de frappes de clavier. Au même moment, le créateur du site Web était déjà informé que le programme d'enregistrement de frappes de clavier s'était correctement (et secrètement) installé sur l'ordinateur de Sandra. Le programme était conçu pour enregistrer discrètement toutes les informations tapées à partir du clavier et pour les envoyer au créateur du site Web. Il a fonctionné à merveille, enregistrant tout ce que Sandra tapait. Tous les sites Web visités, tous les messages électroniques envoyés étaient envoyés au cybercriminel.

Plus tard ce soir-là, Sandra a consulté son compte bancaire en ligne comme chaque mois. Lorsqu'elle s'est connectée pour consulter son compte bancaire personnel, le programme d'enregistrement de frappes de clavier a également enregistré ces frappes, y compris des informations confidentielles : le nom de sa banque, son identifiant d'utilisateur, son mot de passe, les quatre derniers chiffres de son numéro de sécurité sociale et le nom de jeune fille de sa mère. Le système de la banque était sécurisé et toutes les données saisies étaient chiffrées. Nul ne pouvait ainsi intercepter les informations. Cependant, le programme d'enregistrement de frappes de clavier enregistrait les informations en temps réel pendant la frappe avant qu'elles ne soient cryptées. Il était donc capable de contourner la sécurité qui avait été mise en place.

Ce n'était qu'une question de temps avant que le nom de sa banque, son identifiant d'utilisateur, son mot de passe et le nom de jeune fille de sa mère ne tombent aux mains du cybercriminel, qui a ajouté le nom et les données de Sandra à une longue liste d'utilisateurs peu méfiants. Il a ensuite vendu cette liste à une personne qu'il avait rencontrée sur Internet, spécialisée dans l'utilisation de données bancaires volées pour effectuer des retraits illégalement. Quelques semaines plus tard, lorsque Sandra est allée déposer de l'argent sur son compte, elle a été étonnée de constater que son compte était presque vide. Sandra a été la victime d'un cybercrime.

Source: Norton.com 

Le contenu litigieux d'un site internet

La gendarmerie met à disposition un site web qui permet de rapporter des contenues illicites :https://www.internet-signalement.gouv.fr 

• • Il doit s'agir d'un contenu ou d'un comportement illicite, c'est-à-dire qu'il doit être interdit et puni par une loi française. Les contenus ou comportements que vous jugez simplement immoraux ou nuisibles n'ont pas à nous être signalés.
  • Il doit s'agir d'un contenu public de l'Internet, auquel tout internaute peut se retrouver confronté : site internet, blog, forum, propos sur un « tchat », agissement d'un « rôdeur » anonyme sur une messagerie, etc.
  • Il ne doit pas s'agir d'une affaire privée avec une personne que vous connaissez, même si elle utilise Internet pour vous nuire. Dans ce cas, présentez-vous dans un Commissariat de Police ou une Brigade de Gendarmerie.
  • Il ne doit en aucun cas s'agir d'une urgence nécessitant l'intervention de service de secours (accident, incendie, agression, etc.) Dans ce cas, il faut composer le « 17 » sur votre téléphone.
• Un site incitant à la haine raciale (peux aussi être rapporter sur le lien donné précédemment) :
  • Vous pouvez faire une copie d'écran du contenu illicite, et l'adresser par courrier au Procureur de la République du Tribunal de grande instance dont relève votre domicile, et signaler le fait par courrier électronique à l' O.C.L.C.T.I.C.
• Vous pouvez aussi signaler les faits à une association.
• Un site faisant l'apologie du terrorisme

Une escroquerie sur internet

• Par utilisation frauduleuse de votre numéro de carte bancaire :
  • Vous pouvez porter plainte au commissariat ou à la gendarmerie de votre domicile où adresser directement un courrier au Procureur de la République du Tribunal de grande instance dont relève votre domicile, et signaler le fait par courrier électronique à l' O.C.L.C.T.I.C.
    
• Par une vente fictive sur un site de vente aux enchères :
  • Vous pouvez porter plainte au commissariat ou à la gendarmerie de votre domicile où adresser directement un courrier au Procureur de la République du Tribunal de grande instance dont relève votre domicile, et signaler le fait par courrier électronique à l' O.C.L.C.T.I.C.

Un piratage informatique

• Vous pouvez déposer une plainte pour atteinte à un traitement automatisé de données (appellation juridique du piratage) prévu et puni par les articles 323-1 et suivants du code pénal.
  • Cette plainte peut-être recueillie par le commissariat ou à la gendarmerie de votre domicile où adresser directement un courrier au Procureur de la République du Tribunal de grande instance dont relève votre domicile, et signaler le fait par courrier électronique à l' O.C.L.C.T.I.C.
    

Une Intrusion, Contrefaçon de logiciels, Défiguration de site

• Les deux-tiers des effectifs appartiennent à trois groupes d'enquêtes, qui travaillent sur instructions du Parquet, commissions rogatoires ou d'initiative (pour presque un tiers de l'activité). Les enquêtes consistent à élucider les crimes et délits informatiques :
  • Intrusion dans un ordinateur ou un réseau ;
  • Contrefaçon de logiciels ou de bases de données ;
  • Piratage de réseau téléphonique ;
  • Défiguration de sites ;
  • Modification ou suppression de données ;
  • Défaut de sécurisation des données personnelles, etc.
• L'autre tiers des effectifs appartient au Centre d'Assistance du service, qui fournit une assistance technique et matérielle aux autres services enquêteurs de la Police Judiciaire (perquisitions informatiques, lectures de données, etc.), utile à l'élucidation des crimes et délits commis sur le ressort de la Préfecture de Police.
• Enfin, la B.E.F.T.I. mène également des actions de sensibilisation à la cybercriminalité via des conférences, des formations ou des stages d'immersion.
• Contact:
  • B.E.F.T.I.
  • 122/126, rue du Château des Rentiers
  • 75013 Paris
  • Tél. : 01 55 75 26 19
  • fax : 01 55 75 26 13
  • Prefpol.DRPJ-SDAEF-BEFTI-GESTION@interieur.gouv.fr

Face à cette nouvelle menace, la France, mais aussi la communauté internationale, ont introduit dans le droit pénal « le cyber droit pénal » faisant de l’internaute un justiciable.

Le 23 Novembre 2001 les pays membres du Conseil de l’Europe ainsi que les Etats-Unis, le Canada, le Japon et l’Afrique du Sud, ont adopté la première convention pénale sur la cybercriminalité, aboutissement d’un long processus de négociations. Il s’agit d’une convention pénale à vocation internationale destinée à lutter contre le cybercrime. En 2007, seuls 14 Etats avaient ratifié la convention sur les 47 signataires. Mais ils se sont rendus compte que certains points n'étaient pas traités dans celle-ci.

Alors, en 2003, le champ d’application de la convention s’élargit aux infractions de propagande raciste ou xénophobe commis via les réseaux internet. Ce protocole non ratifié par les Etats-Unis, prévoit par ailleurs des mesures facilitant l’extradition et l’entraide judiciaire. il s'agit du protocole additionnel à la Convention sur la cybercriminalité.

 Mais la tâche reste compliquée en raison de l’évolution rapide des technologies modernes et de l’anonymat que procure internet, anonymat fragilisé par l’adresse IP attribuée aux titulaires, personne physique ou morale, pour tout abonnement, mais aussi par les informations numériques communiquées par nos ordinateurs.

Les sanctions pénales différent en fonction du délit.

LE PIRATAGE OU HACKING qui constitue « le fait d’accéder au de se maintenir frauduleusement, dans tout ou partie d’un système de traitement informatisé » prévoit dans l’article 323-1 du code pénal, 2 ans de prison et 30 000€ d’amende pouvant être porté à 3 ans d’emprisonnement et 45 000 € d’amende pour altération et/ou la suppression de données informatiques.

D’autre part le hacker engage sa responsabilité civile et pénale et peut donc être amené à verser des dommages et intérêts à sa victime.

LE CARDING ET LE SKIMMING constitue le « fait de contrefaire ou de falsifier une carte de paiement ou de retrait, de faire ou de tenter d’une faire usage en connaissance de cause, d’une carte de paiement  ou de retrait contrefaite ou falsifiée, d’accepter, en toute connaissance de cause, de recevoir un paiement au moyen d’une carte contrefaite ou falsifiée ». Ce délit est punit par l’article L163-4 du Code Monétaire et Financier de 7 ans de prison et 750 000 € d’amende.

LE SCANNING, qui consiste à escroquer de l’argent par le biais de virement depuis son compte bancaire à une personne rencontrée sur le net, est passible selon l’article L313-1 du Code Pénal de 5 ans de prison et 375 000 €  d’amende.

 LE SPAMMING désigne l’envoi de courriers électroniques ayant pour effet de pourrir la messagerie nommés « pourriels » en France.

LA CRYPTOLOGIE  consiste à rendre inintelligible un message, par le biais d’un code crypter, délit sanctionner sel ‘l’article 132-79 du Code Pénal. La peine de prison est relevée si l’auteur refuse de remettre en clair les messages chiffrés. En France le cryptage est libre depuis la loi de confiance dans l’économie numérique du 21 Juin 2004.

LE CRACKING :

Cracker ou déplomber consiste à contourner un système de protection. Cette pratique est sanctionnée par l’article L335-3-1 du Code de la Propriété intellectuelle de 3 750 € d’amende, peine qui peut être aggravée par 5 ans d’emprisonnement et 500 000 € d’amende lorsque l’auteur met à disposition du public un logiciel ou une œuvre crackée.

LA CYBERSEXUALITE

L’Article 227-23 du Code Pénal  sanctionne la cyberpédopornographie de 7 ans d’emprisonnement et de 100 000 € d’amende la diffusion d’image de mineur à caractère pornographique sur un réseau de télécommunication tel qu’internet.

De même les propositions sexuelles à un mineur de moins de 15 ans sont passibles de 2 ans d’emprisonnement et 30 000 € d’amende. Ces peines passent à 5 ans d’emprisonnement et 75 000 e d’amende lorsque les propositions aboutissent à un rendez-vous.

Le cyberproxénétisme est puni selon l’Article L 225-7 du Code Pénal de 10 ans d’emprisonnement et 150 000 € d’amende lorsqu’il est commis grâce à l’utilisation d’un réseau de télécommunication.

LE TELECHARGEMENT ILLEGAL

 La Loi H.A.D.O.P.I. (Haute Autorité pour la Diffusion des Œuvres et la Protection des Droits sur Internet)

          La procédure:

                              -Internaute identifié reçoit un message d’avertissement par e-mail

                             -Un second par courrier recommandé en cas de récidive

                           -Suspension de l’abonnement internet pour une durée maximale de un an, prononcée par le juge, en cas de 3^ème infraction accompagnée d’une amende, voire d’un an de prison ferme

Sources :         LEGADROIT.COM (Alexandra HAWRYLYSZYN)

                         WIKIPEDIA : Cybercriminalité

Malheuresement à l'heure actuelle, les cybercriminels disposent de moyens tellement efficace qu'ils peuvent pénétrer dans tous les ordianteurs de gens comme vous et moi,( pour les plus doués), qui ne s'y connaisse pas assez pour pouvoir lutter contre eux.

Mais on peut toujours leur mettre des barrière pour ne pas leur facilité la tâche.

Un citoyen lambda peut se protéger par trois moyens différents, indépendants et liés entre eux: l'Etat , protéger son ordinateur personnel et par une prise de conscience du danger.

L'Etat nous protège par l'intermédiaire nottement de la gendarmerie où se trouve le STRJD (Service Technique de Recherche Juridiciaire et de Documentation. Cette cellule s'occupe des infractions liés aux biens et à la personne ainsi que de lutter contre la transmission de données illicites.De plus une loi à été mise en place récemment, la loi Hadopi qui elle lutte contre le "peer to peer", autrement dit le partage de fichiers : le téléchargement, donc le viol du droit d'auteur.

Puis on se doit de se protéger nous directement en mettant en place sur notre ordianteur un logiciel antivirus qui va limiter l'intrusion de virus et de logiciels indésirables et vous préviendra si l'un s'apprête à rentrer dans votre navigateur. Et pour compléter, activer une barrière de protection dite "fire wall" qui va compléter l'antivirus en fermant la porte a tout programme venant de l'extérieur.

Mais avant tout, il faut prendre conscience qu'internet n'est pas un ami, c'est un lieu qui peut être dangereux pour nous et notre entourage. Désormais faites attention aux offres trop alléchantes (voiture à 100€) et accompagnez vos enfants avec cet outil, il faut les initiez à la prudence, par exemple qu'il ne prenne pas rendez-vous avec une personne soit disant de 14 ans comme lui ou elle mais qui en réalité n'est pas cette personne.Si besoin mettais en place un mot de passe et un controle parental pour lui limiter les acces au sites.

        Les réseaux sociaux sont à la mode dans ce XXI° siècle, que ce soits ur Facebook, Myspace, Viadeo, Linkedin... les internautes tentent de renouer des liens ou tout simplement faire de nouvelles connaissances, voir même de faire des rencontres amoureuses par le biais d'applications comme Badoo, Tinder.. Tous ces sites remportent un réel succès auprès des utilisateurs mais ce qu'ils ne savent pas, c'est que les les cybercriminels en profitent aussi pour s'infiltrer au sein des réseaux sociaux.

Comme on étale sa vie sur ces sites, ils peuvent être utilisés pour récupérer des informations destinées à des arnaques ciblées, comme un phishing correspondant à votre banque (appelle d'un tiers, ce faisant passer pour votre banque afin de vous soutirer des informations comme votre mot de passe ou le numéro de votre carte banquaire), ou des photos comprométantes dans le but de vous soutirer de l'argent, sous menace de faire tourner cette photo a travers la toile.De plus, une fois diffuser, l'information devient indélébile: elle ne peut plus être supprimée, il serai donc d'une extrême simplicité pour un cybercriminel de retracer le parcours d'une personne depuis la création de son compte.

 Sur un réseau social, un internaute parle théoriquement à des "amis" dont il est très simple d'usurper l'identité malgré la nécessité de connaitre l'identifiant ainsi que le mot de passe. La première information se trouve généralement sur le profil de la personne quant au mot de passe le travail est à peine plus compliqué pour le cybercriminel grâce à des logiciels comme "password decryptor".