La lutte contre la cybercriminalité au Fort de Rosny-sous-Bois

image dediée
Justice
Des puces et des TICS

Au fort de Rosny, une unité « informatique et électronique » s’occupe cette fois de l’analyse du matériel informatique. Extraction de données, réseaux et téléphones, traitement de l’information… Elle compte 16 personnes, dont 10 officiers, tous ingénieurs, et 6 sous-officiers. Ce département récupère les scellés aux fins d’analyses et d’extraction des données. « Il s’agit de rendre exploitable toute la partie électronique et numérique des mémoires qui sont dans les objets à analyser ».

cybercriminalité

Mais avant de faire chauffer le fer à dessouder ou tournicoter le cruciforme, la première étape se déroule par une phase administrative : prise de photo et référencement de tous les appareils. Chaque étape est minutieuse puisque si une pièce vient à perdre son intégrit é au fil de l’analyse, elle peut être écartée par contre-expertise par le magistrat instructeur ou l’avocat du prévenu.

Après cet inventaire, il est procédé à une image des données, une copie sur un serveur qui servira à l’analyse et au traitement. Voilà pour l’idéal. Quand ça se passe mal, les choses se compliquent.

Des disques qui n'en font qu'à leur tête

Le département peut être confronté à des pannes et doit parfois changer la tête de lecture d’un disque dur (têtes « collées »). Autre hypothèse, « on peut changer l’électronique et éventuellement intervertir les plateaux sur un autre. » Pour cela, « nous avons besoin d’un donneur et d’un receveur » à l’instar d’une greffe. « Nous avons une collection de 1200 disques. Le disque malade c’est le receveur et nous allons piquer au donneur sa tête de lecture ou son électronique ». Sauf que « pour être donneur, il faut être le plus proche possible du malade ». Un disque de même marque, de même modèle ne suffit pas. « On doit aussi tenir compte du numéro de série, de la date de fabrication. Il faut quasiment qu’ils sortent un derrière l’autre de la chaîne de production. »

Côté téléphonie, les difficultés sont similaires. Sur le terrain, les enquêteurs N-Tech ont des appareils commerciaux qui leur permettent de récupérer des données quand le téléphone est en bon état et est supporté par l’appareil. « Ce peut être des données visibles ou effacées, mais il se peut des fois que l’appareil commercial ne récupère pas les données recherchées ou que le téléphone soit cassé tout simplement. Là, ça vient chez nous. »

cybercriminalité

Ensuite ? « On va essayer de réparer s’il s’agit du clavier ou d’une connectique cassés. Si nous n’y arrivons pas, nous allons dessouder le composant et donc travailler sur la partie électronique. Dans un premier temps, on va rechercher quel composant contient les données. Ensuite, nous allons dessouder et lire le composant mémoire. Ceci fait, on va essayer d’interpréter les données hexadécimales. » Par habitude et par tâtonnement, ces personnes qualifiées savent que telle structure est plutôt une photo, plutôt du texte, ou un SMS ou un contact...

Carte sur table.

L’entreprise devient néanmoins délicate quand on sait que deux Galaxy S3 peuvent présenter des spécificités internes différentes. « Il se peut que le composant mémoire soit complètement différent, parce qu’ils n’ont pas été achetés au même moment ou dans la même usine de fabrication. Le fabricant aura par exemple acheté les composants là où ils étaient le moins chers avant de les intégrer. »

Les gendarmes ne peuvent compter sur la collaboration des fabricants qui gardent jalousement leurs secrets industriels. Ils sont dès lors contraints de faire du reverse engineering. « On fait donc de la rétro conception de matériel, pour essayer de comprendre comment le constructeur a architecturé ces données à l’intérieure. Les intermédiaires français n’ont pas forcément ces données de fabrications, conservées par le fabricant étranger. »

« On utilise des techniques parfois de hackers tout en travaillant dans une optique forensics (investigation criminalistique). Dessouder un composant et faire sur lui du reverse, ce n’est pas naturel ». Le laboratoire tente donc de percer les petits secrets de ces dispositifs « pour venir dialoguer avec la carte ». Discussion dans des forums, avec des laboratoires étrangers, ou de la recherche et du développement local, tout est bon pour éclairer cette route sinueuse.

« Il n’y a pas de modèle qui ne pose le plus de difficultés. Tout dépend de l’architecture interne. Après il se peut qu’on soit plus évolué sur telle ou telle technique, par exemple en crypto ou en dump (copie, NDLR) de composant ». En cas de chiffrage sur un contenu, une autre unité prend le relai avec dans le barillet, des méthodes par force brute… Une quinzaine de machines sont mises en réseau pour mener à bien ce chantier.

par Marc Rees Publiée le 26/01/2013 à 07:07