Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.

Chercher :
Newsletter :  


Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs





Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- USBsploit
- Commentaires


Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs


Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS/XML :
- Articles
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter


RSS SecuObs :
- sécurité
- exploit
- windows
- attaque
- outil
- microsoft


RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network


RSS Videos :
- curit
- security
- biomet
- metasploit
- biometric
- cking


RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco


RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS OPML :
- Français
- International











Revue de presse francophone :
- Appaloosa AppDome nouent un partenariat pour accompagner les entreprises dans le déploiement et la protection des applications mobiles
- D-Link offre une avec un routeur VPN sans fil AC
- 19 mai Paris Petit-Déjeuner Coreye Développer son business à l'abri des cyberattaques
- POYNTING PRESENTE LA NOUVELLE ANTENNE OMNI-291, SPECIALE MILIEU MARITIME, CÔTIER ET MILIEU HUMIDE
- Flexera Software Les utilisateurs français de PC progressent dans l'application de correctifs logiciels, mais des défis de tailles subsistent
- Riverbed lance SD-WAN basé sur le cloud
- Fujitsu multi-récompensé VMware lui décerne plusieurs Partner Innovation Awards à l'occasion du Partner Leadership Summit
- Zscaler Private Access sécuriser l'accès à distance en supprimant les risques inhérents aux réseaux privés virtuels
- QNAP annonce la sortie de QTS 4.2.1
- Une enquête réalisée par la société de cyber sécurité F-Secure a décelé des milliers de vulnérabilités graves, potentiellement utilisables par des cyber criminels pour infiltrer l'infrastru
- Trouver le juste équilibre entre une infrastructure dédiée et cloud le dilemme de la distribution numérique
- 3 juin - Fleurance - Cybersécurité Territoires
- Cyber-assurances Seules 40 pourcents des entreprises françaises sont couvertes contre les violations de sécurité et les pertes de données
- Des étudiants de l'ESIEA inventent CheckMyHTTPS un logiciel qui vérifie que vos connexions WEB sécurisées ne sont pas interceptées
- Les produits OmniSwitch d'Alcatel-Lucent Enterprise ALE gagnent en sécurité pour lutter contre les cyber-attaques modernes

Dernier articles de SecuObs :
- DIP, solution de partage d'informations automatisée
- Sqreen, protection applicative intelligente de nouvelle génération
- Renaud Bidou (Deny All): "L'innovation dans le domaine des WAFs s'oriente vers plus de bon sens et d'intelligence, plus de flexibilité et plus d'ergonomie"
- Mises à jour en perspective pour le système Vigik
- Les russes ont-ils pwn le système AEGIS ?
- Le ministère de l'intérieur censure une conférence au Canada
- Saut d'air gap, audit de firmware et (in)sécurité mobile au programme de Cansecwest 2014
- GCHQ: Le JTRIG torpille Anonymous qui torpille le JTRIG (ou pas)
- #FIC2014: Entrée en territoire inconnu
- Le Sénat investit dans les monnaies virtuelles

Revue de presse internationale :
- VEHICLE CYBERSECURITY DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack
- Demand letter served on poll body over disastrous Comeleak breach
- The Minimin Aims To Be The Simplest Theremin
- Hacking group PLATINUM used Windows own patching system against it
- Hacker With Victims in 100 Nations Gets 7 Years in Prison
- HPR2018 How to make Komboucha Tea
- Circuit Bender Artist bends Fresnel Lens for Art
- FBI Director Suggests iPhone Hacking Method May Remain Secret
- 2016 Hack Miami Conference May 13-15, 2016
- 8-bit Video Wall Made From 160 Gaming Keyboards
- In An Era Of Decline, News Sites Can t Afford Poor Web Performance
- BeautifulPeople.com experiences data breach 1m affected
- Swedish Air Space Infringed, Aircraft Not Required
- Why cybercriminals attack healthcare more than any other industry
- Setting the Benchmark in the Network Security Forensics Industry

Annuaire des videos
- FUZZING ON LINE PART THREE
- Official Maltego tutorial 5 Writing your own transforms
- Official Maltego tutorial 6 Integrating with SQL DBs
- Official Maltego tutorial 3 Importing CSVs spreadsheets
- install zeus botnet
- Eloy Magalhaes
- Official Maltego tutorial 1 Google s websites
- Official Maltego tutorial 4 Social Networks
- Blind String SQL Injection
- backdoor linux root from r57 php shell VPS khg crew redc00de
- How To Attaque Pc With Back Track 5 In Arabique
- RSA Todd Schomburg talks about Roundup Ready lines available in 2013
- Nessus Diagnostics Troubleshooting
- Panda Security Vidcast Panda GateDefender Performa Parte 2 de 2
- MultiPyInjector Shellcode Injection

Revue Twitter
- RT @fpalumbo: Cisco consistently leading the way ? buys vCider to boost its distributed cloud vision #CiscoONE
- @mckeay Looks odd... not much to go on (prob some slideshow/vid app under Linux)
- [SuggestedReading] Using the HTML5 Fullscreen API for Phishing Attacks
- RT @BrianHonan: Our problems are not technical but cultural. OWASP top 10 has not changed over the years @joshcorman #RSAC
- RT @mikko: Wow. Apple kernels actually have a function called PE_i_can_has_debugger:
- [Blog Spam] Metasploit and PowerShell payloads
- PinkiePie Strikes Again, Compromises Google Chrome in Pwnium Contest at Hack in the Box: For the second time thi...
- @mikko @fslabs y'all wldn't happen to have lat/long data sets for other botnets, wld you? Doing some research (free/open info rls when done)
- RT @nickhacks: Want to crash a remote host running Snow Leopard? Just use: nmap -P0 -6 --script=targets-ipv6-multicast-mld #wishiwaskidding
- An inexpensive proxy service called is actually a front for #malware distribution -

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse

Annuaires des videos : curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit

+ de mots clés pour les videos

Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter

Top bi-hebdo des articles de SecuObs
- [Ettercap – Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing
- [Infratech - release] version 0.6 de Bluetooth Stack Smasher
- [IDS Snort Windows – Partie 2] Installation et configuration
- [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Mises à jour en perspective pour le système Vigik
- USBDumper 2 nouvelle version nouvelles fonctions !
- EFIPW récupère automatiquement le mot de passe BIOS EFI des Macbook Pro avec processeurs Intel
- La sécurité des clés USB mise à mal par USBDUMPER
- Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle
- Installation sécurisée d'Apache Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , Mod_security

Top bi-hebdo de la revue de presse
- StackScrambler and the Tale of a Packet Parsing Bug

Top bi-hebdo de l'annuaire des videos
- DC++ Botnet. How To DDos A Hub With Fake IPs.
- Comment creer un server botnet!!!!(Réseau de pc zombies)
- Defcon 14 Hard Drive Recovery Part 3

Top bi-hebdo de la revue Twitter
- RT @secureideas: I believe that all the XSS flaws announced are fixed in CVS. Will test again tomorrow if so, release 1.4.3. #BASESnort
- Currently, we do not support 100% of the advanced PDF features found in Adobe Reader... At least that's a good idea.
- VPN (google): German Foreign Office Selects Orange Business for Terrestrial Wide: Full
- @DisK0nn3cT Not really, mostly permission issues/info leak...they've had a couple of XSS vulns but nothing direct.
- Swatting phreaker swatted and heading to jail: A 19-year-old American has been sentenced to eleven years in pris..
- RT @fjserna You are not a true hacker if the calc.exe payload is not the scientific one... infosuck.org/0x0035.png

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT
- Origami pour forger, analyser et manipuler des fichiers PDF malicieux

Tendances

English version with Google Translate

Les dérives illicites de l’intelligence économique

Par Thiébaut Devergranne, donneespersonnelles.fr
Le 13/02/2012


Résumé : L’affaire EDF/Greenpeace, qui a donné lieu à plusieurs condamnations à de la prison ferme, rappelle que les prestations d’intelligence économique doivent être strictement encadrées. - Lire l'article



Aussi foudroyante soit-elle, l’affaire EDF - qui a révélé le piratage par EDF des systèmes informatiques de Greenpeace - est pétrie de vertus. D’abord, il y a le versant “pédagogique” : 1.5 million d’euros d’amende pour EDF pour avoir été défaillante dans la gestion de ses contrats sensibles et laissé son responsable sécurité mettre en place une écoute illicite des systèmes informatiques de Greenpeace. Un an de prison ferme pour le responsable sécurité d’EDF qui a orchestré les opérations. Un an de prison ferme pour le consultant de la société qui a commandité et organisé l’attaque. Un an de prison ferme pour le pirate qui a attaqué les systèmes de Greenpeace et mis en place la surveillance sauvage ; 2.200.000 € d’amende et de dommages et intérêts cumulés pour les protagonistes ! Voilà, qui devrait convaincre de la nécessité d’encadrer les opérations d’intelligence économique…

Ensuite, il y a le versant “nouveautés” : la mise en cause d’EDF, en tant que personne morale pour accès frauduleux et recel. C’est la première fois qu’une entreprise écope d’une sanction aussi importante pour complicité d’accès et maintien frauduleux.

C’est également la première fois, à notre connaissance, que la possession de biens issus d’un accès frauduleux (un CDROM contenant les données de Greenpeace) a été sanctionnée pour recel.

Derrière ce jugement se dresse le spectre d’une véritable mise sous tutelle de l’activité des responsables sécurité, car il ressort de cette décision que si l’organisation n’est pas en mesure d’assurer un contrôle efficace de la légalité des opérations mises en œuvre, sa responsabilité pourra alors se voir engagée. Au-delà d’un rappel des faits, cette affaire exceptionnelle appelle à s’interroger sur les facteurs qui ont permis un tel écueil.

1. Un contrat de veille sauvage

Le premier point frappant de cette affaire est qu’elle est découverte totalement par hasard. En effet, l’OCLCTIC enquêtait sur une intrusion informatique dont avait été victime le laboratoire national de dépistage contre le dopage. Les services de police sont allés chercher l’auteur des accès frauduleux au Maroc, sur commission rogatoire internationale. Voilà déjà qui sort de l’ordinaire. Mais c’est l’analyse détaillée des disques durs saisis, et déchiffrés par le CTA, qui révèle l’existence d’une diversité d’intrusions informatiques, dont celle des systèmes de Greenpeace.

L’interrogation du pirate en question révèlera les détails du piratage de Greenpeace, réalisé afin de permettre à EDF d’être informé régulièrement sur les actions de l’association. L’opération avait été mise au point sous couvert d’un contrat de veille stratégique (~4.600€ par mois) signé par le responsables de la mission de sécurité d’EDF et exécuté par l’intermédiaire d’une société d’intelligence économique, alors gérée par un ancien de la DGSE.

2. La condamnation d’EDF à 1.5 million d’euros d’amende

Une fois passé le détail des faits totalement abracadabrant, le point le plus original de la décision tient sans aucun doute à la reconnaissance de la culpabilité d’EDF en tant que personne morale. D’un point de vue juridique, ici, deux infractions lui étaient reprochées : la complicité d’accès et de maintien frauduleux, et le recel de biens provenant de cette infraction ; en substance voici les dispositions en question :

Article 323-1 : Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.

Article 321-1 : Le recel est le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit.

Constitue également un recel le fait, en connaissance de cause, de bénéficier, par tout moyen, du produit d’un crime ou d’un délit.

Le recel est puni de cinq ans d’emprisonnement et de 375000 euros d’amende.

Somme toute il faut dire que dans la décision, la reconnaissance de la culpabilité de la société est assez liminaire ; d’abord, le Tribunal constate que la société a bien conclu (et payé) un contrat avec un sous-traitant, tendant à réaliser un accès frauduleux dans les systèmes de Greenpeace ; celui-ci était bien passé pour la protection des intérêts d’EDF (et non les intérêts personnels des responsables sécurité). Il n’en faut guère plus pour démontrer la complicité d’accès frauduleux (“Est complice d’un crime ou d’un délit la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation. Est également complice la personne qui par don, promesse, menace, ordre, abus d’autorité ou de pouvoir aura provoqué à une infraction ou donné des instructions pour la commettre“, art. 121-7 c. pen. – il est néanmoins permis de s’interroger quant à la reconnaissance de la responsabilité pénale de la société en tant que complice et non comme auteur, bien que cela ne change pas vraiment le fond des choses sur le terrain des conséquences).

Il ne reste plus alors qu’à démontrer le recel. Pour ce faire, le Tribunal fera le simple constat qu’EDF a conservé volontairement dans ses locaux les biens produits par l’accès frauduleux ; en l’occurrence, un CDROM contenant des fichiers, emails et documents de Greenpeace. Légalement, il n’en faut pas plus pour caractériser l’infraction, puisque le recel est le fait de détenir volontairement une chose, sachant que celle-ci provient d’un crime ou d’un délit.

Il suffisait enfin de s’assurer que la personne morale agissait bien pour son compte et au travers de ses représentants, puisque ces deux conditions sont essentielles à la reconnaissance de la culpabilité d’une personne morale (art. 121-2 du Code pénal : “Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7, des infractions commises, pour leur compte, par leurs organes ou représentants“) ; c’est ce que note le Tribunal, constatant une absence de contrôle effectif et réel des contrats d’intelligence économique dans la pratique :

< i>X et Y dans le cadre de leur mission, ont eu en quelque sorte carte blanche pour mettre en place les moyens d’assurer la sécurité du parc nucléaire dans le contexte sensible de la construction de l’EPR. Ils n’ont évidemment pas agi pour leur compte personnel mais dans l’intérêt exclusif d’EDF qui seule en a tiré bénéfice sous la forme concrète du CD Rom frauduleux détenu dans les locaux d’EDF.

La conclusion alors peut tenir en une phrase : ”[les responsables sécurité] ont agi pour le compte et dans l’intérêt de leur employeur ; la personne morale EDF qui est donc déclarée coupable des délits de recel et de complicité d’accès et maintien frauduleux aggravé dans un STAD au préjudice de X et de Greenpeace. En répression elle sera condamnée à une peine de 1 500 000 € d’amende“.

On passera sur les responsabilités des personnes physiques qui, sur le terrain juridique, n’appellent guère à commentaires.

3. Le contexte de la fraude

Toutefois, si la décision est peu prolixe en matière de discussion juridique, le jugement révèle toutefois deux points de faits particulièrement saisissants. Ainsi, l’on peut lire dans le jugement que :

[X admettait que] le piratage pour le compte d’EDF était fait dans un intérêt supérieur même si les moyens utilisés étaient illégaux. [Lui-même] a été un exécutant efficace qui ne s’est pas posé la question du préjudice qu’il pouvait causer en s’attaquant ainsi par le biais du hacking aux ordinateurs et au système informatique de personnes privées (…). Il avait gardé par devers lui au Maroc toutes les copies de ses piratages comme, disait-il à l’audience sur question, une sorte de trophée. Ces trophées furent d’ailleurs fort utiles à la manifestation de la vérité.

Malgré l’intelligence technique dont fait preuve le pirate informatique, d’ailleurs remarquée lors de l’audience (les experts le qualifient de “bon”), celui-ci juge bon de conserver les traces de son infraction, comme une sorte de trophée. Cela peut paraître paradoxal en première approche, mais c’est assez courant dans la réalité. Dommageable pour lui, le sentiment qui lui aura dicté la conservation des preuves de l’infraction sera salutaire pour les juges, car sans traces tangibles l’affaire aurait été plus difficile à démontrer.

Tout aussi édifiante est la manière dont le Tribunal juge l’ancien agent la DGSE, intervenu comme intermédiaire entre EDF et le pirate informatique :

La réalité est que Z n’a pas renoncé à utiliser les moyens et pouvoirs que la loi et sa hiérarchie lui conféraient dans le cadre des missions d’agent de la DGSE au service de l’Etat. Il a voulu, en les vendant au plus offrant sans curiosité ni interrogation sous couvert de missions prétendument conformes à l’intérêt général, utiliser ces prérogatives ne pouvant être exercées que dans l’intérêt national.
En agissant ainsi et donc en transgressant la loi il a porté atteinte à l’Etat de droit, à la vie privée de ses cibles telles que A et B dans un dévoiement des valeurs républicaines.


Voilà qui devrait rappeler aux anciens des services secrets qu’une fois leur service terminé un retour au droit doit s’effectuer.

4. Les fondements d’une telle dérive

Ce que l’on ne remarque guère immédiatement dans cette affaire c’est la loyauté – certes, tout à fait malsaine – des responsables de sécurité d’EDF. Car à aucun moment ceux-ci n’agissent pour leur intérêt personnel, bien au contraire ; ils vont jusqu’à commettre un délit pour tenter de préserver les intérêts de leur entreprise. Il y à là un sens assez pervers du devoir que ces hommes s’imposent.

Toutefois, le véritable point de bascule de cette affaire tient au glissement progressif qui s’opère dans l’esprit des responsables sécurité, et qui finit par rendre ces actions acceptables, voire même souhaitables. C’est là, à ce moment précis, que nait le germe des infractions pénales qui seront ensuite réalisées. Quant aux autres protagonistes, la monétisation de leurs prestations réduit quelque peu la complexité de l’équation. Naturellement, quand certains payent, d’autres trouvent à s’exécuter.

Les enseignements à en tirer :

  • EDF en tant que personne morale a écopé d’1.5M d’amende pour avoir été défaillante dans ses contrôles internes. Il est donc impératif de cadrer les prestations d’intelligence économique car elles ont un potentiel de dérive qu’il faut rationnaliser.

  • Le contrat est le lieu naturel où imposer des clauses claires détaillant le contenu de la prestation.

  • Quelle que soit la situation, il est nécessaire de procéder à des audits indépendants et occasionnels afin de détecter et prévenir d’éventuelles dérives.



Le site de l’OCLTIC : lien
Laboratoire national de dépistage contre le dopage : lien
Le déchiffrement des données dans le code de procédure pénale : lien



A propos de l'auteur:
Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passés au sein des services du Premier Ministre.
En savoir plus: lien
" target="_blank">lien




- Article suivant : Une belle faille dans le système de paiements sans contact
- Article précédent : Qubes BETA 3 disponible, la sortie de la 1.0 imminente
- Article suivant dans la catégorie Tendances : Anonymous place la morale et l’éthique au coeur de la sécurité
- Article précédent dans la catégorie Tendances : Le nouveau destin de l’obligation de sécurité


Les derniers commentaires de la catégorie Tendances:
- ESRT @Beaker - @BrianDuPrix - security Researchers Develop Enhanced Security for Cloud Computing - So little detail ...
- ACTA To Be Signed This Weekend ...
- ESRT @opexxx - sshtrix - a very fast multithreaded SSHv1 and SSH1v2 login cracker version 0.0.2 ...
- ESRT @DarkOperator - SSHtrix - Fastest Multithreaded SSHv1 and SSH1v2 login cracker ...
- SSHatter 1.0 ...

Les derniers articles de la catégorie Tendances :
- Le ministère de l intérieur censure une conférence au Canada
- GCHQ: Le JTRIG torpille Anonymous qui torpille le JTRIG (ou pas)
- Le Sénat investit dans les monnaies virtuelles
- #LPM2013: Un nouvel espoir ?
- L ANSSI durcit le ton
- Une belle série de conférences pour le printemps
- STIX standardise l’échange des informations relatives aux attaques cybernétiques
- Avec VET, le DARPA se charge de vérifier l’intégrité des périphériques et des logiciels
- Shylock doté d’une technique d’évasion des analyses effectuées via des sessions RDP
- Calcul à grande échelle via l’exploitation de navigateurs Web utilisant le Cloud Computing




SecuToolBox :

Mini-Tagwall des articles publiés sur SecuObs :

Mini-Tagwall de l'annuaire video :

Mini-Tagwall des articles de la revue de presse :

Mini-Tagwall des Tweets de la revue Twitter :