Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426 - 268

Doctrine
Bahamas, etc. Lors du débat du 3 mai, entre les
deux tours, Marine Le Pen, candidate du Front
national (FN) avait évoqué «un compte offshore
aux Bahamas», tandis que le lendemain,
elle a précisé sur RMC qu'elle n'avait pas de
preuves de ce qu'elle avançait, mais seulement
posé la question à son adversaire, tandis que
par ailleurs sur Europe 1, Louis Aliot, viceprésident du FN, a quant à lui évoqué «deux
sites américains qui parlent aujourd'hui d'une
évasion fiscale de M. Macron, on verra ce que
c'est. Sûrement que ça sortira dans la journée».

appelés mots-dièse. Les marqueurs hashtags
permettent de transformer des locutions en liens
permettant d'orienter vers des publications, des
groupes ou des canaux de discussions traitant
de thèmes ou de sujets précis. Un clic sur l'un
d'eux permet de connaître l'ensemble des
publications ayant utilisé le même mot-dièse,
ce qui est efficace pour échanger ou faire
de la veille sur le sujet ainsi marqué (ex
#MacronLeaks). D'abord utilisés avec Twitter,
ils sont maintenant utilisés avec Google+ et
Facebook.

(41) Pour : Google, Apple, Facebook, Amazon et
Microsoft, qui disposent d'ores et déjà de bases
de données gigantesques.

(18) Voir les rapports TrendLabs (2017) et FireEye
(2017).

(29) Au
sens
de
la
loi
88-19
du
5 Janvier 1988 («loi Godfrain») et de la loi n°
2004-575 du 21 juin 2004 («loi pour la confiance
dans l'économie numérique») qui a déplacé et
modifié ce texte, désormais présent à l'Art. 323-1
du CP.

FireEye (2017) : APT28 : at the center of the storm
- Russia strategically evolves in cyber operations.
Special Report FireEye isight intelligence, janvier
2017, 15 p.

(19) La NSA ayant déclaré devant le Sénat des
États-Unis avoir détecté une «activité russe»
ciblant les réseaux français, et avoir prévenu
ses homologues français avant l'annonce
publique des événements : «on observe les
Russes, nous voyons qu'ils sont en train de
pénétrer certaines de vos infrastructures».
(20) Si ces pratiques sont sans doute connues de
la plupart des services de renseignement des
États, et parfois utilisées, un guide permettant
de créer un code malveillant sans en être
désigné comme auteur est aussi vu disponible
sur l'Internet.
(21) Voir D. Guinier (2017), concernant la ruse et
la manipulation quand «la part de l'homme»
reste le maillon faible.
(22) Il faut notamment citer le «tabjacking»
ou «tabnabbing» qui est une technique
trompeuse, apparentée au «phishing» et
connue depuis 2010. Lorsque de nombreux
onglets sont ouverts simultanément et que
l'internaute visite une page d'un site pirate
ou compromis, un code javascript permet
de modifier l'URL et l'icône de cet onglet
(«favicon») après avoir détecté un changement
d'onglet. Lorsque l'internaute revient ensuite
sur ce dernier sans être attentif, celui-ci contient
une copie frauduleuse d'une page (ex. Gmail,
Facebook), laissant croire à une déconnexion,
dans l'attente de l'identifiant et du mot de
passe... permettant la compromission du
compte, avant de rediriger sans méfiance vers
le véritable site.
(23) WannaCry est composé de deux parties. La
première permet l'infection et sa propagation,
tandis que la seconde, après infection,
permet le téléchargement du module
rançongiciel. Il exploite une vulnérabilité qui
impacte l'ensemble des systèmes Windows,
dénommée «EternalBlue» permettant une
Unauthenticated
Remote-Code-Execution
(RCE) pour avoir un accès distant à tout
ordinateur sous le système d'exploitation
Windows, pour y installer ce rançongiciel,
mais également de déposer tout autre logiciel
malveillant, permettant par exemple une
exfiltration de données sensibles, ce qui serait
encore plus subtil ! Après la première infection,
WannaCry scan tous les ordinateurs connectés
en réseau et prospère ainsi, en recherchant
des machines dont la vulnérabilité n'a pas été
corrigée. C'est ainsi que le 12 mai 2017, 200000
ordinateurs ont été infectés dans plus de 150
pays, selon Europol.
(24) APT, pour Advanced Persistent Threat.
(25) Voir aussi D. Guinier (2015) pour le catalogue
structuré et la description dynamique des
cyberattaques.
(26) AET, pour Advanced Evasion Technique.
(27) Participation à un «botnet social» et à des
cyberattaques : DDOS, envois massifs
de «spams», vol d'informations, etc.
(28) Un hashtag est un marqueur typique des
réseaux sociaux. Il est composé du signe
typographique croisillon : «#» (dièse ou
hash en Anglais), suivi d'une étiquette (tag
en Anglais) formée de mots-clés accolés

268

(30) Si par ailleurs il était constaté une entrave au
bon fonctionnement, l'Art. 323-2 du CP serait
aussi applicable.
(31) Laquelle indique le cadre général en cas
d'incident ou de comportement anormal, de la
notification aux investigations.
(32) Concernant l'ingénierie sociale en général
et le «phishing» en particulier, il a été montré
par D. Guinier (2017), que «la sensibilisation
dans ses formes usuelles : conférences, tables
rondes, vidéos, guides, plaquettes, etc., restera
insuffisante tant qu'elle ne participe pas la
construction de la résistance aux automatismes
de la pensée pour inhiber l'instinct, et en
conséquence, être en mesure de déjouer les
manipulations».
(33) En particulier, activer les fonctions anti-virus
et de sécurité, avec un anti-rançongiciel
proactif en complément, ne permettre aucune
exécution de programmes depuis /temp et /
Appdata, s'attacher à la signature plutôt
qu'à l'affichage de l'extension des fichiers,
supprimer les fichiers à risque (ex. .js), quand
c'est possible désactiver les macros Office, etc.
(34) Les protocoles sécurisés IMAPS ou POP3S
pourraient être utilisés pour les messageries
Outlook, Thunderbird, etc.
(35) Tels que Gmail, Hotmail, Yahoo, etc., en
particulier lorsque les serveurs sont sous
contrôle de l'étranger (ex. Gmail). Entre autre,
les membres du mouvement «En Marche»
avaient à privilégier les messageries chiffrées
pour les échanges sensibles.
(36) Il est possible aussi de créer un véritable
réseau de «honypots». Parmi les «honypots» les
plus connus citons Honeyd et Kippo. Honeyd
permet d'émuler un réseau informatique
composé de différents systèmes d'exploitation
virtuels capables de fournir des services
fictifs. Lorsqu'un intrus essaie de se connecter
à l'adresse IP du système émulé, Honeyd se
fait passer pour le vrai système et se met en
communication avec l'ordinateur de l'intrus.
A son tour Kippo remplace le service SSH de
façon vulnérable pour que les intrus puissent
y accéder sans difficulté, et il est possible
de visionner les sessions des intrus, avec les
commandes tapées et les retours.

(42) Voir M. Robert (2014), rapporteur, D. Guinier
(2013a) sur les pôles cyber et D. Guinier (2013b),
Expertises, n° 381, sur les conditions de la
gouvernance et la coordination au niveau
national pour une stratégie globale.

Bibliographie

Freitas C.A. et al. (2015) : Reverse engineering
socialbot infiltration strategies in Twitter. Proc.
2015 IEEE/ACM Intern. Conference on Advances
in Social Networks Analysis and Mining.
Guinier D. (1991) : Computer "virus" identification
by neural networks. An artificial intelligence
connectionist implementation naturally made to
work with fuzzy information. ACM Sigsac, vol. 9,
n° 4, pp. 49-59
Guinier D. (1997) : Attention aux fausses chaînes
de solidarité. Dernières Nouvelles d'Alsace, DNA
n° 215, dimanche 4 septembre : Politique, p. 2
Guinier D. (2000) : Canulars et fichiers associés au
courrier électronique et indécidabilité face aux
codes malveillants : Problématique et contrôle des
réactions en chaîne. Expertises, n° 235, Mars, pp.
65-68
Guinier D. (2004) : L'intelligence artificielle dans
les systèmes de décision. Expertises, n° 284, AoûtSept., pp.295-299
Guinier D. (2013a) : Les pôles cyber essentiels
au cyberespace - Une approche systémique est
attendue. Expertises, n° 381, juin, pp. 226-233.
Guinier D. (2013b) : Contribution au groupe
de travail interministériel de lutte contre
la cybercriminalité sur les conditions de la
gouvernance et la coordination au niveau
national pour une stratégie globale de lutte contre
la cybercriminalité.
Guinier D. (2015) : Cyberattaques : Caractéristiques
et dynamique. Expertises, n° 407, Novembre, pp.
386-392.
Guinier D. (2016) : Réseaux et "bots" sociaux : du
meilleur attendu au pire à craindre. Expertises,
n° 417, Octobre, pp. 331-335.
Guinier D. (2017) : Cyberattaques : de la ruse à la
manipulation quand "la part de l'homme" reste le
maillon faible. Expertises, n° 423, Avril, pp. 141-149
Messias J. et al. (2013) : You followed my bot!
Transforming robots into influential users in
Twitter. First
Monday, vol.18, n°7
Robert M. (2014) : Protéger les internautes - Rapport
sur la cybercriminalité du groupe de travail
interministériel de lutte contre la cybercriminalité,
277 p. et annexes, 207 p.

(37) Voir D. Guinier (2015), Expertises, n° 407,
Novembre.

Solis B. (2012) : The rise of digital influence,
Altimeter Group, Research Report, Mars

(38) Voir D. Guinier (2017), Expertises, n° 423, Avril.

TrendLabs (2017) : Two Years of Pawn Storm :
Examining an Increasingly Relevant Threat,
Forward-Looking Threat Research (FTR) Team,
41 p.

(39) Voir D. Guinier (2016), Expertises, n° 417,
Octobre.
(40) La sénatrice Nathalie Goulet a déposé une
proposition de loi visant à lutter contre les
informations falsifiées ou mensongères («fake
news») et à faciliter les actions en justice au
motif suivant : «Il s'agit de combler un vide
juridique dans le droit français de la liberté
de la presse. Une fausse nouvelle n'est
pas forcément une diffamation et peut être
difficilement sanctionnée».

EXPERTISES JUILLET/AOÛT 2017

Turing A. (1950) : Computing Machinery and
Intelligence, mind, Oxford Uni. Press, vol. 59,
no 236, oct., p. 433-460

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet 2017 - n°426