Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 335

consiste à n'autoriser l'envoi de publicités ciblées que si l'internaute a donné son
consentement, après être clairement prévenu du caractère commercial et des conséquences de son inscription. Une majorité de
pays de l'UE ont déjà transposé ces directives dans leur législation. En France, la loi
Informatique et Libertés impose la déclaration des fichiers d'adresses de messageries auprès de la CNIL et considère comme
déloyale leur collecte au travers de forums,
de sites Web, de listes de diffusion, d'annuaires, etc., sans que les personnes concernées en aient eu connaissance. Le Code de
la consommation modifié le 23 août 2001,
précise que les prospecteurs doivent arrêter
l'envoi de courriers électroniques non sollicités lorsqu'il a été manifesté une opposition,
et faire en sorte que les sollicitations soient
non équivoques. L'Art. 22 de la loi pour
la confiance dans l'économie numérique
(LCEN) de juin 2004, instaure l'interdiction
de prospection directe par des moyens électroniques utilisant les coordonnées d'une
personne physique sans le consentement
préalable de cette dernière. En 2005, la
CNIL a toutefois précisé que des personnes
physiques peuvent être prospectées par
courrier électronique à leur adresse électronique professionnelle sans leur consentement préalable, si le message leur est
envoyé au titre de la fonction qu'elles
exercent dans l'organisme qui leur a attribué cette adresse.
(3) Extorsion de fonds (Art. 312-1 du CP) dans
le cas de rançongiciels (ex. Locky), chantage
(Art. 312-10), extraction et transmission frauduleuse de données (Art. 323-3), y compris
en cas de menaces avancées de type
Advanced Persistent Threat, avec usurpation d'identité numérique (Art. 226-4-1 al 2),
déni de service distribué (DDoS) (Arts. 323-1
à 7), etc.
(4) 56 millions d'utilisateurs actifs en France en
2015, soit plus d'un internaute sur deux, et
des milliards dans le monde.
(5) Mahmoud et al. (2014) présentent une étude
générale sur les architectures de «botnet»,
la détection et les défenses, et E. Freyssinet
(2015), l'analyse et la stratégie de lutte contre
les «botnets» en se fondant sur un Wiki
sémantique.
(6)

Par un administrateur ou contrôleur
de «botnet», dénommé «bot herder».

(7)

Parmi les «botnets» historiques, citons en
2009, «BredoLab» avec 30 millions de «bots»
pour délivrer 3,6 milliards de «spams» par
jour ; en 2008, «Conficker» avec 10,5 millions
de «bots» pour 10 milliards de «spams»
par jour ; et avant cela, en 2007, «Cutwail»
avec 1,5 million de «bots» pour 74 milliards
de «spams» par jour.

(8) Selon un processus dynamique par étapes
et un catalogue de caractéristiques structurées, décrits par D. Guinier (2015).
(9) Un cheval de Troie («troyan») est un code
malveillant dissimulé dans un fichier apparemment digne de confiance qui s'installe de
façon frauduleuse pour remplir une tâche
souvent hostile à l'insu de l'utilisateur. Il est
à distinguer du ver («worm») qui, par copie
de lui-même, se propage de façon autonome sur le réseau en s'exécutant sur les
machines atteintes, et du virus qui se copie
sur le système infecté en disposant d'une
capacité d'autoreproduction. La classification correspondante, la propagation selon
plusieurs modèles, ainsi que la prophylaxie
ont été établies par D. Guinier (1991a).
(10) Le «phishing» ou hameçonnage en français, est une technique de manipulation
ayant recours à l'ingénierie sociale. Elle vise
à dérober des informations confidentielles
ou à compromettre un système, en utilisant
des moyens astucieux pour capter l'attention de l'utilisateur et l'amener en confiance,

soit à activer un lien vers une page infectée,
mais d'aspect anodin ou sécurisé, soit une
pièce jointe elle-même infectée, au travers
d'un «spam» envoyé à un grand nombre
de destinataire ou d'un message ciblé ou
fortement personnalisé, pour être plus
convaincant. Dans ce dernier cas, on parlera de «spear phishing» ou harponnage.
(11) Serveur C2, de contrôle & commande (ports
usuellement utilisés : 135, 139, 445, 6667, etc.).
(12) Les «botnets» relèvent de changement
d'adresse IP de serveurs C2, d'attaque par
déni de service, d'arrêt système, de collecte
de données et de frappes, de copies d'écran,
de reniflage de paquets, d'envois massifs ou
de «spams», etc.
(13) Modèle prédominant de compensation,
où une commission est payée par l'affilié à
l'éditeur par installation.
(14) Un «darknet» est un réseau pair-à-pair
anonyme où les adresses ne sont pas publiquement partagées, du fait d'activités illégales ou dissidentes ; à ne pas confondre :
ni avec le «darkweb», pour lequel les sites
cachés sont volatiles, en grande majorité
illicites et liés au réseau d'anonymisation
Tor, avec comme suffixe de nom de domaine
.onion et accessibles avec le navigateur
Tor, ni avec le «deepweb», le web profond
invisible, avec des pages qui sont pourtant
accessibles en ligne, mais non indexées
pour les moteurs de recherche traditionnels.
(15)

http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html.

(16) Passant du type IRC (Internet Relay Chat),
de discussion instantanée textuelle relayée
par l'Internet dont le protocole de communication est utilisé ici en un à un, au type flux,
plus avantageux en termes de services et de
contrôle.
(17) «bot herder», en charge de l'administration
du serveur C2, de la gestion du «botnet» et
du contrôle et des commandes.
(18) La question de la distinction du caractère
humain relève d'un fond philosophique.
Dans son discours sur la méthode en 1637,
Descartes note que les automates sont
capables de réponse aux interactions
humaines mais qu'ils ne peuvent répondre
convenablement aux choses dites en leur
présence, comme le ferait un humain. C'est
la linguistique insuffisante ou inappropriée
qui sépare l'humain de l'automate, préfigurant ainsi le cadre et les critères conceptuels. Dans ses pensées philosophiques
Diderot indique le critère suivant pour l'intelligence : «S'ils trouvent un perroquet qui
pourrait répondre à tout, je le prétendrais
être intelligent sans hésitation». En 1936,
Ayer suggère un protocole en vue de distinguer un homme conscient d'une machine
inconsciente, tandis qu'en 1950, Turing s'attache à des caractéristiques d'intelligence.
(19) Le contrôleur a en général deux options
pour établir son «botnet social», l'une
en enregistrant directement autant de
comptes que possible, l'autre en le faisant
par l'intermédiaire d'une application. Par
ailleurs, la validation de l'usage de comptes
Twitter pour le contrôle et la commande de
divers «bots» a été décrite par Singh A. et al.
(2013) pour réussir diverses attaques.
(20) A. Turing (1950) a introduit le concept de «test
de Turing», pour répondre à la question : Un
ordinateur peut-il tenir la place d'un être
humain dans le jeu de l'imitation ? Il s'agit
de tromper au moins 30% de juges humains
en 5 minutes à travers d'échanges textuels.
(21) Pour la première fois, en juin 2014, un
programme a pu tromper des chercheurs
en étant positif au test organisé par la Royal
Society et l'Université de Reading, en se
faisant passer pour un garçon de 13 ans :

EXPERTISES OCTOBRE 2016

Eugène Goostman, personnage virtuel créé
de toutes pièces par une équipe d'informaticiens russes.
(22) Voir D. Guinier (1991b) sur la faisabilité de
la détection de codes malveillants par des
réseaux de neurones artificiels, et D. Guinier
(2004) pour la comparaison de différents
algorithmes liés à l'intelligence artificielle.
(23) Online social networks (OSN).
(24) Un «botnet social» peut être employé pour
amplifier la portée d'une attaque ou pour
automatiser la diffusion des liens malveillants. Ceci inclut le détournement de «hashtags» visant une organisation ou un groupe
ciblé, et en distribuent des «spams» ou
les liens malveillants, focalisant effectivement l'attaque sur ce groupe en veillant à
disséminer l'attaque aussi largement que
possible, ce qui est susceptible d'engendrer
un risque organisationnel majeur en cas de
détournement de «hashtag» d'une société
ou des employés et des clients de la cible.
(25) Lors de la distribution de «spams» à partir
d'un «botnet social», celui-ci exploite les
arbres de «retweeting» associés aux URL
malveillants en veillant à ce que seuls
les «bots» du premier niveau de l'arbre
soient suspendus, et pas les autres. En se
fondant sur cette propriété, une contremesure est possible par le suivi de l'historique
de chaque utilisateur en lui attribuant
des scores qui seront additionnés pour
chaque «spam», de façon à suspendre tout
utilisateur, qui sera alors considéré comme
un «bot» lorsque le seuil maximum prédéfini
est dépassé.
(26)

Dont
le
mécanisme
CAPTCHA,
pour «Completely Automated Public Turing
test to tell Computers and Humans Apart»,
n'est qu'un ersatz.

(27) Il s'agit ici d'une transposition de la loi
physique de Guldberg et Waage (1864) à un
système réactionnel humain, pour indiquer
que la vitesse de survenue de sujets influencés d'une population donnée est proportionnelle au produit de leur nombre par
celui des sujets influençables à un instant
donné, dans l'hypothèse d'une transmission
homogène.
(28) Voir J. Bollen et al. (2011).
(29) Suite à une fausse annonce d'attaque de
la Maison Blanche au cours de laquelle
le Président Obama aurait été blessé, la
bourse a été immédiatement impactée.
Par ailleurs, selon A.D. Kramer et al. (2014),
le 6 mai 2010 le Dow Jones a connu une
baisse historique de 9%, suite à des actions
de «bots» sur le trading à haute fréquence,
voir D. Guinier (2013).
(30) Voir J. Ratkiewicz et al. (2011).
(31) Voir J. Messias et al. (2013).
(32) Voir C.A. Freitas et al. (2015).
(33) Si une organisation terroriste, comme
Daech et Etat islamique (IE), dispose de
moyens pour une stratégie globale de
communication, -de la production vidéo à la
diffusion via leurs organes de propagande
et l'Internet-, elle ne manquera pas d'utiliser le pouvoir multiplicateur des réseaux
sociaux et le recours à la propagation par
les «bots sociaux», pour renforcer sa capacité de recrutement de certains, en suscitant
la fascination et en faisant naître le mythe
de l'invincibilité, et de revendication des
actes mis en scène, en engendrant la terreur
et la sidération de populations, au utilisant l'Internet en complément des médias
traditionnels.
(34) La question du devenir de la créature
humaine dans un monde cyber est discutée
dans D. Guinier (2014).

335

http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html https://en.wikipedia.org/wiki/Automatic_test_equipment https://en.wikipedia.org/wiki/Turing_test https://en.wikipedia.org/wiki/Turing_test

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417