Le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure, (LOPPSI 2), discuté hier en conseil des Ministres et préparé par Michèle Alliot-Marie, Ministre de l’Intérieur, de l’Outre-Mer et des Collectivités Territoriales, soulève de nombreuses questions. Ce projet de loi prévoit notamment la reconnaissance de l’usurpation d’identité, dont nous allons vous parler dans le numéro à paraître de Mag Securs, et prévoit aussi d’installer des "mouchards" électroniques dans le cas des ordinateurs de suspects, et ceci dans le cadre d’une Commission Rogatoire.

La lutte contre la cybercriminalité au coeur des dispositifs

On l’attendait depuis longtemps, le voilà enfin : le projet LOPPSI 2 de Michèle Alliot Marie a été discuté hier en conseil des Ministres. Ce projet, très attendu par les forces de l’ordre, placent la lutte contre la cybercriminalité au coeur de ses dispositifs, en donnant aux policiers et aux gendarmes plus de latitude dans l’enquête dans le cadre d’une commission rogatoire. La presse dans son ensemble (le Figaro, le Point) et différents sites spécialisés (le Mag IT, PC Inpact) souligne que la police et la gendarmerie auront plus de possibilité d’enquête, avec l’aide de "mouchards" électroniques placés sur les ordinateurs des suspects.

La captation de données informatiques est possible

Le Figaro www.lefigaro.fr décrit comme suit la procédure : "l’article sur la captation de données informatiques autorise les officiers de police judiciaire "commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieu, à des données informatiques, de les enregistrer, les conserver, et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur.(...). Concrètement, la police judiciaire pénetrera chez le suspect aidé d’un serrurier (...) Elle posera sur sa machine une clé de connexion, sorte de clé USB qui s’enfiche à l’arrière, ou mieux, à l’intérieur, sur un des ports disponibles. Et le mouchard renverra des données vers les ordinateurs des autorités. Rien n’empêchera désormais la police d’installer à distance des logiciels pirates, sorte de chevaux de Troie, qui la renseigneront en temps réel sur tout ce qui entre et sort d’un PC ou d’un Mac. ".

Une mise en oeuvre dans les cas les plus graves

Ce dispositif exceptionnel, visé dans l’article 23 du projet de loi, sera mis en oeuvre dans les cas les plus graves, : "terrorisme, trafic d’armes, pédophilie, meurtre, torture, trafic d’armes, enlèvement, séquestration, fausse monnaie, blanchiment "....Il existe des professions exemptées, comme "les avocats et les parlementaires". Reste que de nombreuses questions se pose sur ce dispositif qui inquiète les associations comme la Quadrature du Net, qui a déjà mené une croisade contre Hadopi et qui stigmatise l’inutilité et le danger d’un tel dispositif. Par contre, dans les milieux proches de la sécurité des systèmes d’information, comme le révèle le Point www.lepoint.fr, l’inquiètude n’est pas de mise. Les forces de police insistent sur le fait que "cet article devrait lever de nombreux obstacles". Pascal Lointier, Président du Clusif (Club de la Sécurité des Systèmes d’Information déclare au Point que "celà ne posera pas de problème si c’est bien encadré, et s’il y a une traçabilité pour éviter les dérives".

Une protection des internautes contre la pédopornographie

Par ailleurs, le projet de loi inscrit dans son article 4 une protection des internautes "contre les images de pornographie enfantine. (...) Le présent projet d’article met à la charge des fournisseurs d’accès à Internet l’obligation d’empêcher l’accès des utilisateurs aux contenus illicites. La liste des sites dont il convient d’interdire l’accès leur sera communiqué sous la forme d’un arrêté du Ministre de l’Interieur. En pratique, l’OCLCTIC transmettra au FAI les données utiles par voie dématérialisée. Les FAI auront le libre choix de blocage selon leurs infrastructures". C’est une modification de l’article 6 de la LCEN (Loi sur la confiance dans l’économie numérique) de 2004.

Un délit d’usurpation d’identité est créé

Enfin, conformément à ce qu’avait déclaré Michèle Alliot-Marie lors du FIC 2009 (Forum International sur la Cybercriminalité), le projet de loi crée le délit de vol ou d’usurpation d’identité : "le nouvel article 222-16-1 du Code Pénal réprime l’utilisation malveillante, dans le cadre des communications électroniques, de l’identité d’autrui ou de toute autre donnée personnelle (...). Il sanctionne ces comportements (...) d’une peine d’un an d’emprisonnement et de 15.000 euros d’amende".

Source : Mag Securs

Lors d’un concours de hacking, des experts en sécurité informatique ont mis à mal les protections de Firefox, Safari ou encore Internet Explorer. Si Safari a été le premier à succomber aux attaques, le navigateur de Google a été le plus résistant.

Le CanSecWest, une manifestation qui se tient à Vancouver et qui rassemble les spécialistes les plus réputés en matière de sécurité, a démontré que les trois navigateurs les plus populaires Firefox, Safari et bien sûr Internet Explorer restaient sujets aux failles de sécurité malgré les efforts de leurs créateurs.

Durant la première journée du concours, un des "hackers", Charlie Miller est parvenu à faire tomber immédiatement le navigateur d'Apple, Safari sous Mac OS X et ceci avec un code rédigé en seulement quelques secondes. Un autre spécialiste connu sous le nom de Nils a eu besoin d'un peu plus de temps mais a été en mesure de percer la carapace des trois navigateurs les plus utilisés. En fait, seul Chrome, le navigateur de Google a tenu le coup face aux attaques.

Internet Explorer 8 n'a pas résisté aux attaques

Miller refuse de divulguer gratuitement aux éditeurs des navigateur les bugs qu'il a découvert Il considère que c'est un véritable travail d'expertise et qu'il n'y a aucune raison de le faire gratuitement. Lors du concours, Miller a également expliqué à notre confrère américain de Zdnet, que son choix s'était porté sur Safari et Mac OS X parce qu'il estimait que le navigateur est le plus facile à faire tomber.

Rappelons que lors de la sortie d'Internet Explorer 8, jeudi dernier, Microsoft vantait ses performances en matière de sécurité. Effectivement Internet Explorer serait moins évident à attaquer en raison de nouvelles parades de sécurité, mais il n'a tout de même pas résisté aux attaques.

Quant à Chrome, l'expert a précisé qu'il est parvenu à identifier une faille mais qu'il n'a pas été en mesure de l'exploiter. Pour le moment, la partie n'est pas terminée, car c'est maintenant sur Chrome que les experts vont s'acharner. (Eureka Presse)

Source : ZDNet France