Internet of Domestic Abuse

Introduction

Une des menaces sur internet connaissant une des plus grandes évolutionsen termes de variété, de moyens et de marché, est la surveillance d'individus. Cette forme de surveillance est à distinguer de l'intrusion dans un système afin d'y dérober des informations, de manière ponctuelle ou persistante, et qui va cibler principalement des organisations ou des secrets dont l'impact sera principalement financier ou en termes d'image. La surveillance individualisée en revanche cible des personnes ou des groupes de personnes en vue de porter atteinte à leur intégrité morale ou physique. Elle est ainsi connue pour être appliquée par les régimes sur des opposants politiques à des fins répressives, ou par des groupes politisés ou des organisations criminelles sur des cibles qu'ils souhaitent faire chanter ou publiquement discréditer.

Loin de ce qui pourrait être considéré comme des versions "entreprise" de la surveillance en ligne, il existe un marché "domestique", destiné aux foyers familiaux. Présentés sous diverses formes en fonction de leurs objectifs, elles s'affichent comme des solutions de sécurité et de contrôle sur des personnes proches. La forme la plus simple et qui pourrait être considérée comme une solution d'accès, est le contrôle parental, clairement affiché comme un moyen de protéger ses enfants contre les dangers d'internet et d'informer les parents des dérives de leurs enfants.

Utilisation des moyens de surveillance

Analyse de risques

Les prochaines analyses de risques identifient un risque comme l'association d'un impact sur un bien essentiel, à travers un bien support, et d'une probabilité d'occurrence.

Ici nous distinguerons les biens essentiels et les biens supports. Les biens essentiels d'une personne étudiés dans ce document sont :

  • Son intégrité physique
  • Son intégrité mentale
  • Sa liberté de circuler (ne pas être emprisonné ou séquestré)
  • Sa liberté de s'exprimer
  • Ses données personnelles (nom, adresse, papiers d'identité)
  • Sa vie

Les bien supports étudiés sont moins exhaustifs et comprennent à la fois les objets dont la personne est propriétaire et ceux dont la personne n'est pas propriétaire, parmi :

  • Son smartphone
  • Son ordinateur
  • Les appareils domestiques
  • Son accès aux moyens de communication (abonnement téléphone, internet...)
  • Les outils d'infrastructure de communication (modem/routeur, câbles...)

Surveillance étatique

La surveillance étatique fait appel à des moyens techniquesparticulièrement développés et difficiles à détecter et à outrepasser. Leur contournement peut dans certains cas être passible de poursuites ou d'autres actions pouvant impliquer d'autres risques. Elle est aussi associée à des moyens de répression (dont l'aspect juridique peut être flou).

Ce contexte de surveillance implique qu'un nombre suffisamment d'infrastructures système et réseau publiques ou privées soient compromises ou contrôlées par l'Etat répressif. Les exemples récents d'une telle répression comptent parmi eux les manifestations à Hong Kong en 2019 et en 2014, mais aussi des régimes notoirement répressifs comme la Corée du Nord.

Plus récemment, des journalistes couvrant les manifestations en Egypte ont été victimes d'attaques informatiques, attribuées au gouvernement égyptien par des chercheurs en sécurité.

Surveillance domestique parentale

Le contrôle parental est un des moyens les plus simples et répandus de surveiller une personne et son comportement. Si l'intention d'origine peut être louable (limiter l'exposition des plus jeunes aux sites à caractère pornographique ou faisant l'apologie de la haine, de la violence ou du terrorisme) et clairement affichées (généralement par l'affichage d'une alerte dans la navigation de l'utilisateur ou l'affichage d'une fenêtre d'information), elle devient plus dangereuse lorsqu'elle n'est pas clairement affichée, et lorsque les données de navigation sont collectées sans aboutir à un blocage.

En 2019, le concepteur de Fireworld, une application de surveillance "familiale", est condamné en France à 8 mois de prison avec sursis. L'application ainsi vendue promet de découvrir l'homosexualité de son enfant par la collecte de ses informations de navigation, ce qui inclut les sites visités mais aussi les messages échangés. Pour cette application, l'impact sur l'intégrité physique et morale de l'enfant ou du jeune est particulièrement fort : il peut devenir victime de violences physiques ou morales vis-à-vis de son identité, et rejeté de son environnement familial.

Sur Reddit, la communauté /r/InsaneParents relate les installations de vidéo-surveillance installées par des parents, ou de l'application RespondASAP conçue pour forcer la lecture d'un message envoyé à un enfant par un parent.

Etant donné le contrôle que peut imposer un parent à son enfant, il est largement possible d'envisager que l'intégralité de l'environnement et des appareils peuvent être contrôlés par le groupe parental. De cette manière, il est possible de considérer que tous les scénarios d'attaque impliquant une compromission préalable de l'environnement par des malwares sont applicables.

Surveillance domestique conjugale

La surveillance conjugale est un des motifs de surveillance domestique les plus répandus et représente un marché juteux. Les motifs d'un surveillance conjugale vont de la méfiance vis à vis d'un conjoint ou d'une conjointe, au besoin de contrôle d'un conjoint sur la vie de l'autre conjoint. Souvent, cette surveillance est accompagnée, ou sert de mobile à des épisodes de harcèlement moral ou physique. Parmi les méthodes de harcèlement, il est possible de parler du revenge porn : forme extrême de harcèlement et de méthode d'humiliation avec une volonté affichée de nuire.

De la même manière que précédemment proposé pour la surveillance parentale, dans le cas d'une relation abusive, il est largement possible d'envisager que l'intégralité de l'environnement et des appareils peuvent être contrôlés par un conjoint. De cette manière, il est possible de considérer que tous les scénarios d'attaque impliquant une compromission préalable de l'environnement par des malwares sont applicables.

Surveillance tierce à des fins sexuelles/Stalk

Un usage "pratique" de la surveillance est d'obtenir des informations voire des données compromettantes d'une personne suscitant un intérêt primairement sexuel pour le surveillant (souvent appelé dans ce cas un stalker). Le stalk est répandu dans les milieux scolaires, universitaires et professionnels et peut encore une fois être associé à du revenge porn.

Analyse d'outils de surveillance

Intrusion dans les appareils

L'intrusion sur un appareil personnel est le moyen le plus direct d'obtenir un ascendant sur une personne de manière durable. Cette intrusion peut se réaliser lors d'un moment opportun où l'appareil est laissé entre les mains d'un attaquant, où une opération de maintenance ou de réparation sera effectuée (problème de connexion à la box internet domestique, écran fissuré apporté chez un réparateur...). Un appareil mal protégé à ce moment là est d'autant plus vulnérable que les contrôles d'accès utilisateur n'ont plus besoin d'être validés, et que des solutions prêtes à l'emploi existent pour déposer rapidement un logiciel malveillant sans connaissances techniques préalables. En plus d'outils de surveillance dans l'appareil, la configuration du système pourra aussi être altérée de manière à intégrer de faux certificats d'autorité et des paramètres réseau qui pourront être utilisés pour intercepter le trafic internet normalement chiffré entre l'appareil et différents services. L'installation de mesures plus discrètes, plus intrusives ou plus persistantes pourra passer par l'installation d'un rootkit ou l'obtention des droits super-utilisateur (root, jailbreak, admin système...).

La prise en compte de ces dernières méthodes est à prendre en compte lors de l'évaluation des risques d'une application. En effet, le fait qu'un service ou qu'une application mobile soit attaquée par un utilisateur ayant obtenu des droits "root" sur son appareil fait régulièrement partie des hypothèses lors d'évaluations de sécurité, mais cette hypothèse est rapidement écartée lors de la restitution des résultats ou d'évaluations internes. En outre, il est évoqué que les utilisateurs légitimes utilisant l'application sur un appareil rooté ou jailbreaké sont soit des utilisateurs avancés, soit des personnes infectées par un malware. La prise en compte du risque de surveillance domestique permet d'élargir l'éventail d'hypothèses à envisager.

Outils réseau

A vec ou sans l'aide de techniques invasives comme citées précédemment,il est possible de mettre en place un environnement réseau hostile dans lequel les communications réseau sont immédiatement interceptées et déchiffrées, en profitant de faiblesses dans des échanges applicatifs, d'où l'importance d'appliquer les bonnes stratégies de cert pinning dans les développements logiciels. Un système de portail captif transparent avec une autorité de certification racine peut être mis en place en toute discrétion à l'aide d'un petit ordinateur comme un RaspberryPi, ou d'un routeur personnalisable moyennant quelques connaissances techniques.

Avec l'utilisation de stratégies de sécurité plus poussées dans les développements d'applications, dans les systèmes d'exploitation et dans les navigateurs, les efforts requis pour parvenir à maintenir un tel système sont de plus en plus importants.

Applications web et mobiles

On peut distinguer deux types d'applications malveillantes. On trouve d'une part les logiciels conçus à des fins de surveillance, de vol de données ou de chantage, qui sont largement connus et font l'objet de travaux constants par des laboratoires de recherche en sécurité informatique. D'autre part, on peut aussi prendre en compte les logiciels rendus malveillants par destination. Il s'agit de logiciels ordinaires tels que des jeux, des clients mail ou des applications bancaires et dont le comportement a été modifié grâce à une vulnérabilité ou à un défaut de protection. Les logiciels payants ou offrant des fonctionnalités payantes peuvent servir de vecteurs de transmission lorsqu'une version crackée ou un patch permet de s'en servir sans payer.

Options de partage des applications

De nombreuses applications offrent des moyens de partager publiquement, ou à une liste de personnes, des informations à intervalle régulier. En dehors des réseaux sociaux, ce sont principalement les applications de suivi d'activité sportives qui pourront être utilisées pour suivre une personne ou ses biens (Strava est notamment utilisé par des voleurs pour repérer les propriétaires de vélos performants et chers). D'autres applications telles que Waze ou LibertyRider proposent à leur communauté de partager leurs trajets quotidiens et d'éditer des profils publics. Face à ces risques, il est d'abord plus prudent de ne rien partager. Si le partage s'avère nécessaire (ou souhaité, dans le cadre d'un cercle restreint), les premiers gestes sont de passer son profil de public à priver, utiliser un pseudonyme si besoin, et de filtrer les contacts autorisés à voir les publications et les changements d'états.

Le filtrage des comptes autorisés à voir les publications doit être réalisé avec soin, en faisant particulièrement attention à ne pas accepter de profils pouvant compromettre la confidentialité. Des chercheurs ont réussi à partir d'un ensemble de faux comptes répartis géographiquement, à géolocaliser le téléphone d'un utilisateur de Tinder.

Domotique

Les objets connectés de domotique sont de pl us en plus nombreux etaccessibles, et nécessitent peu de connaissances techniques pour être installés et interconnectés pour automatiser des actions en fonction de l'heure de la journée et du nombre de personnes présentes. On peut ainsi déclencher le chauffage ou la climatisation le matin ou le soir en fonction de si les occupants de la maison sont présents ou non le weekend et si les fenêtres sont ouvertes, déclencher une alerte sur le téléphone en cas d'intrusion, répondre au facteur en cas d'absence... Néanmoins ces objets destinés à faciliter la vie sont souvent installés par une seule personne, responsable des actes de violence. Utilisés hors de leur contexte, ils deviennent un outil de surveillance constante (caméras, capteurs), et de contrôle (alimentation électrique, thermostat, lumière...) psychologique.

Recommandations

Prévention des risques sur les appareils

S ur un ordinateur ou sur un appareil mobile, les méthodes de préventionsont celles qui vont permettre de garantir la protection de la vie privée. Néanmoins toutes ces méthodes ne sont pas nécessairement applicables :

  • Les droits de l'utilisateur sur l'appareil peuvent être limités.
  • Les modifications apportées à l'environnement sont peut-être contrôlées et vérifiées par une application de surveillance ou de contrôle parental.

On pourra se référer au Guide d'Autodéfense Numérique pour toutes les méthodes de prévention des risques d'espionnage sur ses propres appareils ou son réseau local domestique.

Si possible, il faut se débarrasser des appareils donnés, offerts, ou imposés, ou au-moins les écarter des utilisations sensibles. Pour tout le reste, il faudra utiliser son propre appareil, obtenu par ses propres moyens. Cet appareil devra impérativement être protégé par un mot de passe et/ou une empreinte digitale afin qu'aucun autre utilisateur ne puisse installer d'applications ou modifier des paramètres du système.

Avec un appareil sous contrôle, il reste important de pouvoir protéger les échanges sur le réseau. Pour cela, l'utilisation d'un VPN personnel sur chaque appareil peut être recommandée afin de protéger les échanges qui pourraient être interceptés au niveau d'un routeur domestique par exemple. Pour protéger l'utilisateur et ses données en cas de vol de l'appareil, les données pourront être chiffrées. Sur Android et iOS, le chiffrement est automatique, mais il ne l'est pas sur Windows où on pourra néanmoins configurer BitLocker ou installer VeraCrypt, même si on préfèrera un système Linux avec des partitions chiffrées.

Enfin, il est capital que cet appareil ne tombe jamais entre les mains d'un attaquant potentiel, sous aucun prétexte.

Agir en cas de surveillance caractérisée ou soupçonnée

Dans des situations de doute, d'incertitude sur la probabilité d'existence d'une surveillance domestique, il est primordial d'appliquer, vis-à-vis des usages numériques, d'appliquer les recommandations et les bonnes pratiques de sécurité applicables.

Lorsque la surveillance d'une personne par une autre est détectée, lapersonne surveillée devient porteuse du secret de sa connaissance de sa surveillance. Ce secret devient alors essentiel à protéger.

Évolution des travaux

Ce travail a pour but de se poursuivre. D'une part pour mieux identifier les modèles de menace, mais aussi et surtout pour informer et prévenir des risques liés à la surveillance quel que soit son cadre. Des appareils et des applications pourront être analysés plus en détail. La connaissance de ces menaces doit être utile non seulement aux utilisateurs, mais aussi aux professionnels de la sécurité et des technologies de l'information, qui ont tout intérêt à être informés sur ce sujet et à pouvoir communiquer dessus. Une utilisation concrète de ces travaux dans un cadre professionnel serait d'inclure le risque qu'un produit en développement serve de vecteur de menace pour l'intégrité d'une personne si il n'est pas correctement sécurisé.

Autres sources

Des liens que j'ai récolté mais que j'ai pas encore mis en forme ici :

  • https://www.numerama.com/tech/526080-etes-vous-victime-de-cyberviolences-conjugales-voici-comment-les-detecter-et-se-proteger.html
  • http://www.slate.fr/story/181296/tech-femmes-applications-alerte-violences-sexistes-sexuelles-harcelement-app-elles-handsaway-smarth-shield-defauts
  • https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

links

social