La lutte contre la cybercriminalité au Fort de Rosny-sous-Bois

image dediée
Justice
Sous les puces, des plages de données

Pour la partie purement technique, c’est dans un laboratoire antistatique qu’est effectuée l’analyse des supports de stockage. Tout le mobilier est traité afin de réduire les risques d’électricité statique. Des chaises jusqu’au sachet plastique de la poubelle. Le labo est audité de manière périodique pour assurer la sécurité du lieu dans ses missions d’expertise.

cybercriminalité cybercriminalité

Les cartons remplis d’éléments à analyser arrivent sur un coin de la pièce, « contaminés, contaminables » avant d’être traités dans une partie nettement plus propre. Chaque étape est évidemment tracée afin d’assurer un suivi (« qui a travaillé, quand, avec quelle version de logiciel… »). Cette partie administrative évoquée plus tôt peut durer jusqu’à six heures quand la seule partie technique prendra deux heures de traitement…

Sur la partie droite de la pièce, une grosse boite va permettre de nettoyer les unités de stockage avant l’auscultation. « On a par exemple trouvé dans une voiture repêchée au fond de l’eau un cadavre et un ordinateur. Un PC avec de l’eau, ce sont des sédiments, de la terre, un peu de tout… ». Le bac à ultrason va par vibrations décoller les souillures comme la terre, du sang ou de la drogue… La durée du traitement est variable, c’est un contrôle visuel qui permet de s’assurer de l’achèvement de cette première étape.

cybercriminalité

Le support est ensuite mis dans une sécheuse. Celle-ci permet de préparer le dessoudage des composants. « Nous sommes dans une pièce à 20, 25°C. Si on fait un dessoudage à 150°C ou 200°C, celui-ci peut ne pas le supporter et produire un effet pop-corn. L’eau va se dilater en réchauffant, se transformer en gaz et exploser ». Entraînant avec elle composant. La sécheuse permet donc de préparer le composant par paliers de température.

Pour la réparation des disques durs plusieurs tiroirs recèlent de collection de disques durs afin de permettre la récupération des pièces. Les autorités s’échangent entre elles ces pièces détachées. Dans 1% des cas, les pièces sont dans ce stock compte tenu de la masse de disques durs en circulation… « Le nombre de disques qui sortent est colossal. On fait parfois appel à des brokers pour tenter de retrouver des pièces non disponibles ».

cybercriminalité cybercriminalité

Lors de la phase de démontage, un ventilateur à flux horizontal permet de chasser vers l’extérieur, poussières et postillons qui pourraient corrompre le travail de récupération. « Tout n’est pas toujours réparable. Du moins nous ne pouvons pas tout faire. » Des techniques plus poussées permettent théoriquement de récupérer des données sur des disques durs abimés, mais au prix de coûts exorbitants, d’un temps très long (jusqu’à plusieurs mois) et une réponse finale hasardeuse du fait de la fragmentation des données sur les disques durs. « On ne peut rien garantir dans de tels traitements ».

cybercriminalité cybercriminalité

Sur un autre banc, on procède à la copie du disque dur. « On fait tourner le disque moins vite » à cette occasion, histoire de maximiser les chances. Les données sont alors envoyées par fibre optique à l’étage sur un serveur sécurisé pour l’extraction, l’analyse et l’interprétation. « En fait, l’objectif est que mon travail ne doit pas être perçu lors de cette étape technique. Si je donne le support, vous ne devez pas voir que je suis passé dessus. Si j’ai laissé une trace, je n’ai pas été bon. Ce que j’ai trouvé doit être retrouvé. »

cybercriminalité

Parfois, le laboratoire analyse les composants mémoires (téléphone, clef USB, SSD, etc.). Il s’agit alors de trouver le composant qui contient les données utilisateur, les listes des appels, le carnet d’adresses, etc. Les composants sont parfois grattés, ce qui rend plus complexes l’identification et le post-traitement. Les gendarmes utilisent une station BGA ou Ball Grid Array, avec « une partie radiante en dessus, une partie chaleur au-dessus. » Une fois que c’est assez chaud, un petit aspirateur piloté avec une pédale permet de récupérer la pièce par succion.

cybercriminalité cybercriminalité

La pièce dégagée, il faut ensuite lire le composant. « Cependant l’implantation des pattes n’est jamais pareille. Le constructeur conçoit cela comme il veut. Nous n’en avons pas les caractéristiques ». Les composants d’un même modèle peuvent changer. Et « si je confonds les pattes dédiées au transfert de données avec celle liée à l’alimentation, je détruis mon composant. On n’a pas le droit à l’erreur. » Des adaptateurs prennent alors le relai. « Un objet comme ça coûte entre 500 et 1500 euros. » Ce déport de patte permet d’analyser et de savoir où se brancher, comment se brancher et surtout comment dialoguer. Les fruits récoltés par la partie « Reverse » sont évidemment très précieux. Les autorités doivent savoir « quelles commandes, quels paramètres envoyer, etc. Tout cela ne s’invente pas. » Ces analyses peuvent être longues surtout lorsque l’adaptateur doit être conçu.

cybercriminalité cybercriminalité

par Marc Rees Publiée le 26/01/2013 à 07:07