jmm on Thu, 18 May 2000 15:16:01 +0200 (CEST)


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

[nettime-fr] corégulation & cybercriminalité


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

'lo-o,

      je   me  permets  d'accoler  quelques  articles  concernant  la
      "corégulation" avec le dernier n° du bulletin lambda, que vous
      connaissez peut-être et que son auteur m'a autorisé à RE:router,
      la  régulation de l'internet se confondant de + en + avec la
      lutte contre la cybercriminalité.

      Il y a un an, le mot même de "corégulation" était une Error 404
      inconnue au bataillon. Il était de même impensable d'imaginer
      que les américains participeraient à la rédaction d'un  traité
      du Conseil de l'Europe visant à combattre la cybercriminalité...
      (ce  qui  leur  permettra  de  se défausser quand les défenseurs
      US  des  libertés civiles contesteront la mise en application de
      ce traité).

      Avant, "on" assimilait internet avec pédophilie & nazisme.
      Aujourd'hui, c'est l'internaute avec le cybercriminel...:

voir
Pour le gouvernement français, ”Internet n'est plus un jouet”
http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=768
     Si le terme de "corégulation" était encore méconnu l’année dernière,
     il constitue aujourd’hui le fondement de la doctrine française en
     matière de société de l’information. Jospin, Chirac, comme
     Chevènement, l’affirment.
+
Opération corégulation
http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=769
Le président de la République s'est fait l'apôtre de la corégulation de
l'Internet devant les délégués internationaux du G8 et des grands groupes
industriels.

&, pour le versant international :
G8 : bilan mitigé de la conférence cybercrime
http://www.zdnet.fr/cgi-bin/a_actu.pl?File_ini=a_actu.zd&ID=14324
dossier spécial sur  http://www.zdnet.fr/special/g8/




++++++++++++++++++++
Bulletin Lambda 6.03


Paris. 14 mai 2000 -- La conférence du G8 sur la sécurité informatique
organisée à Paris du 15 au 17 mai ne va déboucher sur aucune déclaration
commune et les débats officiels se dérouleront à huis clos. Il s'agit plus
d'un concours de beauté pour sociétés privées, chaque pays ayant 15
sponsors nationaux, que d'une réunion politique et stratégique. Derrière
une menace hypothétique du "crime organisé" qui investirait l'internet pour
étendre son influence, les Etats peaufinent un traité international (sous
l'égide du Conseil de l'Europe) ouvrant la voie au téléflicage généralisé,
comme l'a résumé le mois dernier le magazine Transfert (lire plus loin).

+ Liste des entreprises conviées a ce mini-sommet, "Dialogue entre pouvoirs
publics et le secteur privé sur la sécurité et la confiance dans le
cyberespace":
http://www.diplomatie.fr/actual/evenements/cybercrim/indus2.html
+ Site officiel:
http://www.g8parishigntech.org/

+++++++++++++++++++++++++++++++
OU EST DONC LA NOUVELLE MENACE?
+++++++++++++++++++++++++++++++

Constats: lors des les attaques de type DDoS contre les sites internet US
en février 2000, aucune trace concrete d'une action organisée et
méthodique, selon les enquêteurs canadiens qui ont arrêté le seul suspect
le 17 avril, un gamin de 15 ans. Par ailleurs, le type d'attaque (déni de
service, DDoS) est connu des experts et les parades existent, mais elles
handicaperaient la performance des cybermarchands qui en on été victimes.
Aucune trace aussi de menacce terroriste dans les récentes attaques de
virus.

+ Interview avec Jean-Pierre ROY, l'officier canadien qui a arrêté 'Mafiaboy':
http://www.zdnet.fr/actu/tech/a0014088.html
+ "Mafiaboy: reality or creation of the media?", magazine 2600:
http://www.2600.com/news/2000/0420.html
+ Sécurité ou performance? (attaques DDoS):
http://www.zdnet.fr/actu/tech/secu/a0012933.html

Constat n°2 : très peu de faits recoupés peuvent témoigner d'une nouvelle
menace d'ordre "cyberterroriste". On parle plus de délinquance artisanale
que de crime organisé.

Témoin : extraits d'un document officiel du gouvernement français, issue
par la Direction centrale de la police judiciaire (DCPJ). (DONNEES
STATISTIQUES SUR LA CRIMINALITE LIEE AUX NTIC
ET L'ACTION DES SERVICES REPRESSIFS, 18 avril 2000).
+ Doc complet archivé:
http://lambda.eu.org/6xx/dcpj99.html


1. Extrait n°1 : le "noyau dur"

Fraudes aux télécoms (cartes) et aux lignes GSM: 82%. Piratage : 9%

"Dès à présent, les chiffres disponibles, fournis par la police et la
gendarmerie nationales permettent néanmoins d'avoir une vision précise sur
les actes délictueux les plus graves, constituant le "noyau dur" de la
cybercriminalité, à savoir les délits relatifs aux fraudes aux
télécommunications (concernant principalement la recharge d'unités
téléphoniques), aux accès frauduleux à la téléphonie cellulaire
(principalement l'ouverture irrégulière de lignes), aux atteintes aux
systèmes de traitement automatisé de données (manipulation de programmes,
falsification de données, intrusion malveillante dans des systèmes
informatiques) et aux contrefaçons (de logiciels, de CD ROM, de consoles de
jeu, de matériels de haute technologie...). En 1999, ces types de délits
étaient estimés à plus de 1300 (voir schéma 1). (...)

"Fraudes aux télécommunications = 753 infractions (54%), Accès frauduleux
téléphonie cellulaire = 379 (28%), Atteintes aux systèmes de traitements
automatisés = 122 (9%), Contrefaçons = 105 (8%), Informatique et libertés =
7 (1%)."

2. Extrait n°2: Délinquance artisanale, pas de crime organisé

        "L'étude des informations disponibles montre que, de manière
générale, les auteurs des infractions ne sont pas, loin s'en faut, des
informaticiens de formation. Il s'agit, dans la plupart des cas de "simples
amateurs", phénomène qui peut s'expliquer par la vulgarisation des
connaissances en matière de micro-informatique et par le nombre croissant
d'intemautes (plus de 6 % des foyers français étant connectés sur
l'Internet, ce qui facilite la diffusion de procédés et de programmes de
piratage)."

3. Extrait n°3: dans les affaires liées au réseau internet, la fraude aux
numéros de CB menace n°1, à 93%! "Nouvelle menace"??

        "En ce qui concerne les affaires spécifiquement liées au réseau
Internet, la très grande majorité porte sur des escroqueries commises en
matière de commerce électronique. Leur nombre est en augmentation
exponentielle. Ces délits s'effectuent à l'aide des références de cartes
bancaires utilisées frauduleusement soit pour payer des services de
téléchargement de logiciels en ligne, soit pour se connecter sur des
serveurs pornographiques, ou encore pour effectuer des achats de matériels
auprès de sites marchands.

        "La délinquance sur Internet
Escroqueries CB = 2287 délits (93%), Autres escroqueries = 64 (3%),
Pédophilie, moeurs = 39 (2%), Diffamation, menaces, incitations haine
raciale = 60 (2%)."

+ Document complet de la DCPJ:
http://lambda.eu.org/6xx/dcpj99.html

++++++++++++++++++++++++++++
MEMES TENDANCES AUX PAYS-BAS
++++++++++++++++++++++++++++

L'un de nos confrères néerlandais a publié le 10 avril dans Telepolis un
article révélant les nouveaux pouvoirs de la police en matière
d'interception et d'intervention dans les systèmes informatiques. Décor
planté : la menace "cybercrime" donne le pretexte aux autorités de placer
des centres d'écoute chez les FAI et de perquisitionner à distance.

        "For some time now, the fight against cybercrime is a hot item on
the political agenda all over the world. In the Netherlands, law
enforcement agencies have also made the virtual world their hunting ground.
New legislation gives the police the power to intercept the Internet and
conduct investigations on the Internet. To avoid problems with encrypted
communications, the police is allowed to placed bugs on the keybord of
suspects. A report from the low lands.

"In August 2000, Dutch Internet service providers are legally obliged to
make their installations interceptible for the law enforcement agencies.
(...)"

Quant à la réalité de la menace cybercrime, difficile là aussi à l'évaluer:

        "One thing however still seems to be very unclear: how real is the
threat of cyber crime and the use of cryptography? Many wild stories
circulate, but there's little proof. A recent study of a police consultancy
(Bureau In pact), shows that there's little problem with the use of
cryptography, for instance."

+ "Digital Detectives in Holland", Jelle van Buuren, 10.04.2000
http://www.heise.de/tp/english/special/enfo/6727/1.html

++++++++++++++++++++++++++++++++++++
PREXTEXTES AU ROYAUME-UNI ET AUX USA
++++++++++++++++++++++++++++++++++++

La RIP Bill britannique sur la selette: les détails d'un projet officiel
d'une mise sous surveillance des FAI afin de tisser un maillage national
pour interception du trafic IP.

+ Communiqué de la Foundation for Information Policy Research:
http://www.fipr.org/rip/PRsmithreport.htm
+ Article du Sunday Times du 30/04:
http://www.sunday-times.co.uk/news/pages/sti/2000/04/30/stinwenws01034.html

2,03 milliards de dollars : c'est le budget que le Président américain
compte débloquer pour l'année 2001 pour faire face au terrorisme
informatique, a fait savoir la Maison Blanche le 7 janvier. Cette somme est
en augmentation de 16 % par rapport au budget 2000.

Extraits du bulletin EPIC-Alert 7.02, Feb. 3, 2000:

        "EPIC also released a government memo at the hearing, obtained
under the Freedom of Information Act, which indicates that the U.S.
Department of Justice is aware that the FIDNET proposal may violate U.S.
law. Other records obtained by EPIC show that the government will use
credit card records and telephone toll records as part of its intrusion
detection system. John Tritak, Director of the Critical Infrastructure
Assurance Office, was unable to answer questions put to him by the
committee members regarding what type of personal information would be
collected by FIDNET.

"Rotenberg charged that backers of the security plan were 'trying to apply
twentieth century notions of national defense to twenty-first century
problems of communications security.'..."

+ Epic-Alert 7.02
http://www.epic.org/alert/EPIC_Alert_7.02.html
+ Dossier de l'EPIC sur le plan de bataille de Clinton:
http://www.epic.org/security/cip/
+ National Plan For Information Systems Protection (fichier PDF):
http://www.whitehouse.gov/WH/EOP/NSC/html/documents/npisp-execsummary-000105.pdf


++++++++++++++++++++++++++++++++
TRAITE CYBERCRIME:
PREXTEXTE ULTIME AU TELEFLICAGE
++++++++++++++++++++++++++++++++


Le Conseil de l'Europe (41 pays membres) a dévoilé le 27 avril un "Projet
de Résolution sur la cyber-criminalité".

Projet soumis à discusion dès maintenant au sein du conseil des ministres
concernés du CoE, puis au sein de chaque parlement. Transposition attendue
courant 2001.

Projet impliquant les principaux pays riches, pas seulement européens, dont
ceux membres de l'OCDE (USA, Canada, Japon, Australie...)

+ Tout d'abord une bonne nouvelle: la protection du citoyen contre les
écoutes illégales.

        Article 3 - Interception illégale

"Chaque Partie adopte les mesures législatives et autres qui se révèlent
nécessaires pour ériger en infraction pénale, conformément à son droit
interne, l'interception intentionnelle et sans droit, effectuée par des
moyens techniques, de données informatiques, lors de transmissions
non-publiques, à destination, en provenance ou à l'intérieur d'un système
informatique ainsi que des émissions électromagnétiques en provenance d'un
système informatique transportant de telles données informatiques."

+ Ensuite, les nouveaux pouvoirs d'investigation des forces de l'ordre sont
sans précédents. Chaque Etat s'engage donc a légiférer sur les points
suivants:

*MENACES SUR LA PRESOMPTION D'INNOCENCE*

        Article 7 - Falsification informatique

"... [réprimer en infraction pénale] l'introduction, l'altération,
l'effacement ou la suppression intentionnels et sans droit de données
informatiques, engendrant des données non authentiques, dans l'intention
qu'elles puissent être prises en compte ou utilisées à des fins légales
comme si elles étaient authentiques (11), indépendamment du fait qu'elles
sont ou non directement lisibles et intelligibles. Une Partie peut exiger
en droit interne une intention frauduleuse ou une intention pernicieuse
similaire pour que la responsabilité soit engagée."

        Section 2 - Droit de procédure

        Article 14 - Perquisition et saisie des données informatiques stockées

1. ... habiliter ses autorités compétentes à perquisitionner ou à accéder
d'une façon similaire :  a. à un système informatique ou à une partie de
celui-ci et aux
données informatiques qui y sont stockées ou b. à un support permettant de
stocker des données informatiques sur [son territoire ou en un autre lieu
relevant de sa souveraineté], pour les besoins d'enquêtes ou de procédures
pénales.(...)

*POUVOIRS D'EXTRATERRITORIALITé*

3. [S'il s'avère que l'accès au système informatique ou à une partie de
celui-ci] ... se fait par inadvertance dans la juridiction d'une autre
Partie, les autorités compétentes de la Partie menant l'enquête [doivent
etre] en mesure d'étendre rapidement la perquisition ou un moyen d'accès
similaire à l'autre système.

4. adopte[r] les mesures législatives ... pour habiliter ses autorités
compétentes à saisir ou à acquérir ... les données informatiques auxquelles
l'accès a été obtenu ... en vue de leur utilisation éventuelle dans des
enquêtes et procédures pénales. Ces mesures incluent les prérogatives
suivantes :

        a. saisir ou acquérir d'une façon similaire un système informatique
ou une partie de celui-ci ou un support permettant de stocker des données
informatiques
        b. réaliser et conserver une copie de ces données informatiques
        c. préserver l'intégrité des données informatiques stockées
pertinentes,
        d. rendre inaccessibles ou enlever ces données informatiques du
système informatique consulté. (...)

*OBLIGATION POUR LES PRESTATAIRE TECHNIQUES DE JOUER UN RôLE D'AUXILIAIRES
DE JUSTICE*

        Article 15 - Injonction de produire (...)
        Article 16 - Conservation rapide de données stockées dans un
système informatique (...)
        Article 17 - Conservation et divulgation rapides de données
relatives au trafic (...)

Ces articles expliquent que pour permettre la conservation de ces données
(contenus de pages web comme trafic IP), les parties peuvent obliger la
coopération d'une personne détenant des infos privées ou relatif à son
trafic IP et, bien sur,  d' "obliger la personne à qui s'adressent les
procédures de conservation ... de garder le secret sur la mise en oeuvre
desdites procédures (...)".

L'article 18 est consacré aux "interceptions de sécurité", et reste encore
en discussion.

+Projet de convention du CoE dans son intégralité:
http://conventions.coe.int/treaty/fr/projets/cybercrime.htm
+ "Bienvenue dans l'ére du téléflicage", Transfert, 11 avril 2000
http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=151

le bulletin lambda
14.05.2000
lambda.eu.org
J. Thorel


_________________

_________________

-----BEGIN PGP SIGNATURE-----
Version: PGP 5.5.3i

iQA/AwUBOSMXzR2womXJcNYJEQLNxACggm9x6VV/LpVkdDmSX5RrJm+m5E4AnjcO
MXoesWDmkg3zFcIs1L3HrsHF
=VEc0
-----END PGP SIGNATURE-----





_____________________________________________
#<nettime-fr@ada.eu.org> est une liste francophone de politique,
 art,culture et net, annonces et filtrage collectif de textes.
#Cette liste est moderee, pas d'utilisation commerciale sans permission.
#Archive: http://www.nettime.org contact: nettime@bbs.thing.net
#Desabonnements http://ada.eu.org/cgi-bin/mailman/listinfo/nettime-fr 
#Contact humain <nettime-fr-admin@ada.eu.org>