S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Comment pirater le fichier STIC par un simple coup de fil

Enquêtes des parquets parisiens et de l'IGS à la clef

Exclusif PC INpact : « Bonjour collègue, on vient de procéder à une interpellation sur l’A86, on voudrait que tu nous sortes deux STIC (…) on ne sait pas si tu es capable de le faire ». Des internautes ont visiblement réussi à récupérer les données STIC (Système de Traitement des Infractions Constatées) de plusieurs personnalités du rap… par simple coup de fil. Le Parquet a ouvert plusieurs enquêtes et l'IGS est saisie. Explications.

youtube violvocal viol vocal

 

Le principe fait appel à une technique bien connue en informatique. C’est l'ingénierie sociale (ou social engineering en anglais) qui, rappelle Wikipedia « est une forme d'acquisition déloyale d'information » qui « exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé » ici le STIC.

 

STIC ? Le Système de Traitement des Infractions Constatées est un fichier géant répertoriant les données issues des enquêtes menées par la police. Il sert à la fois aux enquêtes judiciaires (recherche des auteurs d'infractions), comme aux investigations administratives (enquêtes préalables) dans certains contextes. Par exemple quand une personne postule pour certains emplois publics ou sensibles. Près de 6,5 millions de personnes mises en cause y sont enregistrées ainsi que 30 millions de victimes. Autant dire un océan d’information qui normalement doit être colmaté contre le risque de fuite.

Exploiter le maillon faible de la chaîne de sécurité du STIC

Pour autant, des individus sont visiblement parvenus à déjouer les protections informatiques les plus solides en visant le maillon faible de la chaîne de sécurité. Selon ce qui ressort de plusieurs enregistrements, ils téléphonent à un commissariat, mettent les personnes en confiance en multipliant les « collègues » voire le tutoiement. Ils simulent une urgence pour réclamer le contenu du STIC. À cette fin, ils épèlent le vrai nom d'un chanteur ainsi que sa date de naissance, deux données récupérées facilement sur Wikipédia par exemple. Et quand le correspondant fait preuve de résistance, ils roulent des épaules, jouent d'arguments d’autorité pour ordonner au policier subalterne cette communication...

 

Selon les bruits ambiants, les appels semblent passer via Skype. La Fouine, Morsay, Booba et Rhoff sont parmi les potentielles victimes de ce « viol vocal » (et nom d'un site internet éponyme). Mis en confiance, les policiers contactés dévoilent donc le contenu des fichiers STIC avec la liste des infractions en relation avec les personnes mises en cause. Le rappeur Cortex a été aussi victime d’une telle pratique comme il le reconnait dans cette vidéo postée depuis son compte YouTube officiel :

 

 

A ceci près que la vidéo du « viol vocal » de son STIC a été retirée (nous n'avons pas eu de retour des autres chanteurs pour l'instant.)

Les recommandations de la CNIL

Fait notable, cette possible fuite d’informations confidentielles, aspirées par simple coup de fil, intervient alors que la CNIL vient de lancer de nouveaux contrôles sur le fichier STIC. Comme lors d’un précédent contrôle, la Commission informatique et Libertés veut notamment s’assurer d’« une meilleure confidentialité des données contenues dans le fichier en limitant au strict nécessaire le nombre d'agents autorisés à le consulter ». Dans le passé, un commandant de police avait été poursuivi pour avoir fourni à des journalistes des données contenues dans le STIC. Il avait été mis en examen pour « détournement de données confidentielles » et « violation du secret professionnel ».

 

Contactée, la CNIL nous explique qu’elle n’est pas alertée des cinq cas évoqués. « En revanche, la pratique consistant à se faire passer pour quelqu’un pour obtenir des informations issues du STIC est connue de la CNIL, mais il s’agit plus souvent d’enquêteurs privés ».

 

Ce genre d’astuce était donc connue même de la Commission chargée de protéger les données personnelles. Que recommande du coup la Commission pour colmater cette fuite ? « Pour éviter ce type d’abus, nous recommandons traditionnellement de tenir un registre des consultations indirectes (par téléphone) de fichiers à la demande de policiers inconnus du service requis (la main courante informatisée peut en faire office) ». La CNIL juge aussi utile « de demander systématiquement le matricule du fonctionnaire et ses noms, prénoms, grades et fonction » et « de pratiquer un contre-appel sur un téléphone portable ». Cependant, on le voit, il est simple d’utiliser frauduleusement un téléphone mobile et même d’inventer un nom.

Quatre enquêtes du Parquet à Paris, l'IGS saisie

Du côté de la Préfecture de Police de Paris, cette diffusion ne fait pas du tout rire. Nous apprenons qu’à la suite de ces vidéos, « une enquête est en cours à la demande des quatre parquets de l’agglomération parisienne ». Mieux : « L’inspection générale des services (IGS) est également saisie pour des faits qui pourraient être éventuellement reprochés au policier. »

 

Pour les qualifications pénales retenues soit à l’encontre des policiers soit des personnes qui les ont sollicités « tout dépendra de la qualification retenue » mais « il est évidemment illicite de faire passer de telles informations » nous indique la Préfecture. Usurpation d’identité, fausse identité de fonctionnaire, accès à un fichier STIC, diffusion de ces données, etc. « Pour les policiers, on verra s’ils seront ou non poursuivis. Tout dépendra des parquets ». Pour  sa part, la Prefecture estime qu’ils ont été « abusés », qu’ils étaient « de bonne foi ».

 

Mais comment se fait-il que de telles informations soient données aussi facilement ? « Pour le moment pas de réponse ». Autre chose, la « préfecture de Police de Paris n’a pas été la seule à être victime. Il y a eu d’autres genres d’appel en province » apprend-on.

 

Enfin, dernier détail important : le STIC relate des infractions constatées, non des condamnations contrairement à ce qu’indiquent les auteurs de ces « canulars ». Quand tel chanteur est mis en cause, cela veut dire qu’il y a eu une enquête, ni plus ni moins. « Il a été mis en cause, non condamné et nous n’avons pas accès au fichier de la justice qui centralise ces informations » qu’on retrouve dans le casier judiciaire. « Une voisine vous met en cause, vous serez fiché au STIC comme auteur potentiel » relativise la Préfecture.

 

Outre ses bugs de mise à jour, si le STIC n’est pas encore le reflet du casier juridique, on sait que sa fusion avec JUDEX est programmée. Ce qui accentue d’autant l'urgence de colmater ses fuites.

Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 03/01/2013 à 12:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 103 commentaires

Avatar de noPhah4ijeichoK INpactien
noPhah4ijeichoK Le jeudi 3 janvier 2013 à 13:07:45
Inscrit le jeudi 3 janvier 13 - 1 commentaires
les potentielles victimes de ce « viol vocal », petit nom fleuri ces pratiques


Non, vous n'avez rien compris.

Violvocal c'est juste un site de t'chat vocal ->http://www.violvocal.com/

Connu jusqu'à là pour avoir organisé des « ownages » téléphoniques, ou encore pour avoir DDoS quelques sites.

Faîtes quand même quelques recherches avant de parler de ça...

Edité par noPhah4ijeichoK le jeudi 3 janvier 2013 à 13:09
Avatar de ActionFighter INpactien
ActionFighter Le jeudi 3 janvier 2013 à 13:07:58
Inscrit le lundi 7 février 11 - 9012 commentaires
Il est vraiment temps que ce fichier disparaisse.

Cela fait des années que les dérives concernant ce fichier STIC sont pointées du doigt. Déjà, le fait que les victimes soient fichées plusieurs années, leur empêchant l'accès à certains emplois, est scandaleux, et en plus les fuites sont régulières.
Parfois comme dans ce cas, des policiers un trop soumis au système hiérarchique lâchent des infos sans contrôle, d'autres les revendent.
Avatar de unCaillou INpactien
unCaillou Le jeudi 3 janvier 2013 à 13:12:04
Inscrit le jeudi 28 juin 12 - 572 commentaires
viol vocal
"viol" c'est comme "pirate", un mot utilisé à tort et travers...
Avatar de nicobiz INpactien
nicobiz Le jeudi 3 janvier 2013 à 13:12:26
Inscrit le lundi 19 septembre 05 - 1347 commentaires
Le rappeur Cortex

mdr2.gifmdr2.gif
Pardon mais c'est trop bon.

Après pour le peu que j'ai entendu, ils ont quand même été bien malin, le fait de faire croire qu'ils ont été coupés du central puis redirigé, ou comme c'est écrit utilisation du "collègue" ou mise sous pression car supérieur hiérarchique.
Je pense aussi que le fait de voir tous ces documentaires enquêtes exclusives, 90" enquête et autres permettent d'avoir beaucoup d'informations sur le fonctionnement de ces services et cela a du bien aider.
Avatar de Alucard63 INpactien
Alucard63 Le jeudi 3 janvier 2013 à 13:15:39
Inscrit le mardi 7 mars 06 - 8697 commentaires

mdr2.gifmdr2.gif
Pardon mais c'est trop bon.

Après pour le peu que j'ai entendu, ils ont quand même été bien malin, le fait de faire croire qu'ils ont été coupés du central puis redirigé, ou comme c'est écrit utilisation du "collègue" ou mise sous pression car supérieur hiérarchique.
Je pense aussi que le fait de voir tous ces documentaires enquêtes exclusives, 90" enquête et autres permettent d'avoir beaucoup d'informations sur le fonctionnement de ces services et cela a du bien aider.

90" d'enquête ça c'est de la vraie télé réalité, à quand l'arrestation en direct de Cortex par la BAC d'Evry?

Il y a 103 commentaires

;