La lutte contre la cybercriminalité au Fort de Rosny-sous-Bois

Sous les puces, des plages de données

Pour la partie purement technique, c’est dans un laboratoire antistatique qu’est effectuée l’analyse des supports de stockage. Tout le mobilier est traité afin de réduire les risques d’électricité statique. Des chaises jusqu’au sachet plastique de la poubelle. Le labo est audité de manière périodique pour assurer la sécurité du lieu dans ses missions d’expertise.

 

 

Les cartons remplis d’éléments à analyser arrivent sur un coin de la pièce, « contaminés, contaminables » avant d’être traités dans une partie nettement plus propre. Chaque étape est évidemment tracée afin d’assurer un suivi (« qui a travaillé, quand, avec quelle version de logiciel… »). Cette partie administrative évoquée plus tôt peut durer jusqu’à six heures quand la seule partie technique prendra deux heures de traitement…

 

Sur la partie droite de la pièce, une grosse boite va permettre de nettoyer les unités de stockage avant l’auscultation. « On a par exemple trouvé dans une voiture repêchée au fond de l’eau un cadavre et un ordinateur. Un PC avec de l’eau, ce sont des sédiments, de la terre, un peu de tout… ». Le bac à ultrason va par vibrations décoller les souillures comme la terre, du sang ou de la drogue… La durée du traitement est variable, c’est un contrôle visuel qui permet de s’assurer de l’achèvement de cette première étape.

 

Le support est ensuite mis dans une sécheuse. Celle-ci permet de préparer le dessoudage des composants. « Nous sommes dans une pièce à 20, 25°C. Si on fait un dessoudage à 150°C ou 200°C, celui-ci peut ne pas le supporter et produire un effet pop-corn. L’eau va se dilater en réchauffant, se transformer en gaz et exploser ». Entraînant avec elle composant. La sécheuse permet donc de préparer le composant par paliers de température.

 

Pour la réparation des disques durs plusieurs tiroirs recèlent de collection de disques durs afin de permettre la récupération des pièces. Les autorités s’échangent entre elles ces pièces détachées. Dans 1% des cas, les pièces sont dans ce stock compte tenu de la masse de disques durs en circulation… « Le nombre de disques qui sortent est colossal. On fait parfois appel à des brokers pour tenter de retrouver des pièces non disponibles ».

 

 

Lors de la phase de démontage, un ventilateur à flux horizontal permet de chasser vers l’extérieur, poussières et postillons qui pourraient corrompre le travail de récupération. « Tout n’est pas toujours réparable. Du moins nous ne pouvons pas tout faire. » Des techniques plus poussées permettent théoriquement de récupérer des données sur des disques durs abimés, mais au prix de coûts exorbitants, d’un temps très long (jusqu’à plusieurs mois) et une réponse finale hasardeuse du fait de la fragmentation des données sur les disques durs. « On ne peut rien garantir dans de tels traitements ».

 

 

Sur un autre banc, on procède à la copie du disque dur. « On fait tourner le disque moins vite » à cette occasion, histoire de maximiser les chances. Les données sont alors envoyées par fibre optique à l’étage sur un serveur sécurisé pour l’extraction, l’analyse et l’interprétation. « En fait, l’objectif est que mon travail ne doit pas être perçu lors de cette étape technique. Si je donne le support, vous ne devez pas voir que je suis passé dessus. Si j’ai laissé une trace, je n’ai pas été bon. Ce que j’ai trouvé doit être retrouvé. »

 

 

Parfois, le laboratoire analyse les composants mémoires (téléphone, clef USB, SSD, etc.). Il s’agit alors de trouver le composant qui contient les données utilisateur, les listes des appels, le carnet d’adresses, etc. Les composants sont parfois grattés, ce qui rend plus complexes l’identification et le post-traitement. Les gendarmes utilisent une station BGA ou Ball Grid Array, avec « une partie radiante en dessus, une partie chaleur au-dessus. » Une fois que c’est assez chaud, un petit aspirateur piloté avec une pédale permet de récupérer la pièce par succion.

 

 

La pièce dégagée, il faut ensuite lire le composant. « Cependant l’implantation des pattes n’est jamais pareille. Le constructeur conçoit cela comme il veut. Nous n’en avons pas les caractéristiques ». Les composants d’un même modèle peuvent changer. Et « si je confonds les pattes dédiées au transfert de données avec celle liée à l’alimentation, je détruis mon composant. On n’a pas le droit à l’erreur. » Des adaptateurs prennent alors le relai. « Un objet comme ça coûte entre 500 et 1500 euros. » Ce déport de patte permet d’analyser et de savoir où se brancher, comment se brancher et surtout comment dialoguer. Les fruits récoltés par la partie « Reverse » sont évidemment très précieux. Les autorités doivent savoir « quelles commandes, quels paramètres envoyer, etc. Tout cela ne s’invente pas. » Ces analyses peuvent être longues surtout lorsque l’adaptateur doit être conçu.

 

Des puces et des TICS

Au fort de Rosny, une unité « informatique et électronique » s’occupe cette fois de l’analyse du matériel informatique. Extraction de données, réseaux et téléphones, traitement de l’information… Elle compte 16 personnes, dont 10 officiers, tous ingénieurs, et 6 sous-officiers. Ce département récupère les scellés aux fins d’analyses et d’extraction des données. « Il s’agit de rendre exploitable toute la partie électronique et numérique des mémoires qui sont dans les objets à analyser ».

 

 

Mais avant de faire chauffer le fer à dessouder ou tournicoter le cruciforme, la première étape se déroule par une phase administrative : prise de photo et référencement de tous les appareils. Chaque étape est minutieuse puisque si une pièce vient à perdre son intégrit é au fil de l’analyse, elle peut être écartée par contre-expertise par le magistrat instructeur ou l’avocat du prévenu.

 

Après cet inventaire, il est procédé à une image des données, une copie sur un serveur qui servira à l’analyse et au traitement. Voilà pour l’idéal. Quand ça se passe mal, les choses se compliquent.

Des disques qui n'en font qu'à leur tête

Le département peut être confronté à des pannes et doit parfois changer la tête de lecture d’un disque dur (têtes « collées »). Autre hypothèse, « on peut changer l’électronique et éventuellement intervertir les plateaux sur un autre. » Pour cela, « nous avons besoin d’un donneur et d’un receveur » à l’instar d’une greffe. « Nous avons une collection de 1200 disques. Le disque malade c’est le receveur et nous allons piquer au donneur sa tête de lecture ou son électronique ». Sauf que « pour être donneur, il faut être le plus proche possible du malade ». Un disque de même marque, de même modèle ne suffit pas. « On doit aussi tenir compte du numéro de série, de la date de fabrication. Il faut quasiment qu’ils sortent un derrière l’autre de la chaîne de production. »

 

Côté téléphonie, les difficultés sont similaires. Sur le terrain, les enquêteurs N-Tech ont des appareils commerciaux qui leur permettent de récupérer des données quand le téléphone est en bon état et est supporté par l’appareil. « Ce peut être des données visibles ou effacées, mais il se peut des fois que l’appareil commercial ne récupère pas les données recherchées ou que le téléphone soit cassé tout simplement. Là, ça vient chez nous. »

 

 

Ensuite ? « On va essayer de réparer s’il s’agit du clavier ou d’une connectique cassés. Si nous n’y arrivons pas, nous allons dessouder le composant et donc travailler sur la partie électronique. Dans un premier temps, on va rechercher quel composant contient les données. Ensuite, nous allons dessouder et lire le composant mémoire. Ceci fait, on va essayer d’interpréter les données hexadécimales. » Par habitude et par tâtonnement, ces personnes qualifiées savent que telle structure est plutôt une photo, plutôt du texte, ou un SMS ou un contact...

Carte sur table.

L’entreprise devient néanmoins délicate quand on sait que deux Galaxy S3 peuvent présenter des spécificités internes différentes. « Il se peut que le composant mémoire soit complètement différent, parce qu’ils n’ont pas été achetés au même moment ou dans la même usine de fabrication. Le fabricant aura par exemple acheté les composants là où ils étaient le moins chers avant de les intégrer. »

 

Les gendarmes ne peuvent compter sur la collaboration des fabricants qui gardent jalousement leurs secrets industriels. Ils sont dès lors contraints de faire du reverse engineering. « On fait donc de la rétro conception de matériel, pour essayer de comprendre comment le constructeur a architecturé ces données à l’intérieure. Les intermédiaires français n’ont pas forcément ces données de fabrications, conservées par le fabricant étranger. »

 

« On utilise des techniques parfois de hackers tout en travaillant dans une optique forensics (investigation criminalistique). Dessouder un composant et faire sur lui du reverse, ce n’est pas naturel ». Le laboratoire tente donc de percer les petits secrets de ces dispositifs « pour venir dialoguer avec la carte ». Discussion dans des forums, avec des laboratoires étrangers, ou de la recherche et du développement local, tout est bon pour éclairer cette route sinueuse.

 

« Il n’y a pas de modèle qui ne pose le plus de difficultés. Tout dépend de l’architecture interne. Après il se peut qu’on soit plus évolué sur telle ou telle technique, par exemple en crypto ou en dump (copie, NDLR) de composant ». En cas de chiffrage sur un contenu, une autre unité prend le relai avec dans le barillet, des méthodes par force brute… Une quinzaine de machines sont mises en réseau pour mener à bien ce chantier.

Contrefaçon et autres infractions

Porte à côté, nous nous retrouvons dans le département Investigation sur internet. Cette plateforme a une compétence extrêmement large puisqu’elle gère les infractions autres que celles des atteintes au mineur. Des infractions de contenus (contrefaçon, médicaments, etc.) ou de contenants (piratage informatique, pénétration dans les systèmes, etc.). Le mode opératoire diffère de celui de leurs voisins. « Nous travaillons de manière proactive. Le matin, les enquêteurs arrivent et utilisent leurs moteurs de recherche afin de faire des surveillances manuelles ». Moteurs, mots clefs, opérateurs booléens, etc. « À charge ensuite pour l’enquêteur de contrôler ensuite le site, les annonces et voir s’il y a des éléments d’infraction qui peuvent être retenues. »

AdvestiSearch

Le département en question profite d’un autre outil « qui nous permet de faire de la recherche et de la comparaison semi-automatique sur du texte de l’image voire de la vidéo. Ce logiciel ne fonctionne que sur le web visible puisqu’il est alimenté par différents moteurs de recherche ». Son nom ? Advestisearch, il a été mis en place par Hologram Industrie, celle-là même qui a déjà en charge le passeport biométrique. Hologram Industries avait racheté Advestigo. Pour la petite histoire, Advestigo était le concurrent malheureux de TMG pour le marché Hadopi des ayants droit. Advestiogo avait d’ailleurs plusieurs fois vanté les qualités de sa solution de Search notamment en juin 2008. Le périmètre d’intervention est cependant restreint puisque le logiciel installé chez les gendarmes ne tient compte que du web et des newsgroups, non du P2P. « En fait, nous avons déjà un logiciel qui s’en occupe » nous indique notre correspondant.

 

 

Dans une démonstration d’AdvestiSearch, la gendarme fournit la photo d’une chaussure contrefaisante (une fausse Converse). Le logiciel mouline et liste les sites où celle-ci se retrouve. Le principe ressemble ainsi à un moteur d’images comme TinyEyes, sauf qu’il automatise tout. Les requêtes sont généralement lancées en fin de journée. Le matin, les gendarmes récupèrent les fruits de ces investigations aussi nocturnes qu’automatiques. « Un précieux gain de temps ». En pratique, « le logiciel va créer une signature numérique du fichier et va la comparer avec toutes les signatures sur internet. Dès lors qu’il trouve une signature identique, il nous rapatrie la photo avec l’URL du site. Il nous rapatriera aussi les signatures qui s’approchent du document de référence, en les classant en note de pertinence. »

Osint Lab de Thales : l'anacrime du tweet

Dans la trousse à outils trône également « une plateforme de recherche sur les réseaux sociaux et les blogs ». C’est l’Osint Lab éditée par Thales. Via ce dernier, on apprend que ce projet « a pour objectif le développement d'une plateforme d'analyse d'information et de renseignement sur des données de type source ouverte (internet). Il est axé autour de traitements d'analyse d'opinions et d'analyses de réseaux sociaux (blog, forums, Facebook, Twitter, etc.) »

 

Ce logiciel a été installé à Rosny-sous-Bois que depuis quelques semaines. « Il permet avec des mots clefs d’essayer de faire des recoupements et de remonter une information. Par exemple les tweets et les retweets les plus intéressants. Actuellement nous sommes d’ailleurs plus sur Twitter que Facebook. C’est un logiciel en cours de test au sein de notre département ». Concrètement, il permet de remonter à la source chaude d’une information qui intéresse ces services, à l’instar des schémas « anacrime » (pour analyses criminelles). « On peut récupérer une cartographie comme un schéma anacrime avec une pelote de laine, et quand on tire sur un pseudo, on voit tous les tweets qu’il a pu faire, s’il est en relation avec d’autres personnes, tels contacts, sur quoi il a pu retweeter, etc. Il dresse la cartographie de l’ensemble des tweets postés en fonction de nos mots-clefs. » Un cas pratique récent : « ce logiciel a été utilisé pour la problématique de fin du monde, laquelle a soulevé des risques de suicides collectifs. Les autorités ont eu la crainte d’être confrontées à ce genre de phénomène. Des personnes pouvaient tweeter, et entraîner des gens pour les inciter à se rendre dans un endroit pour se suicider collectivement. »

La cyberinfiltration cantonnée à certaines infractions

Ce département s’occupe aussi bien de la contrefaçon de film, de musique, d’ebooks, etc., que de contrefaçon de biens manufacturés, de stupéfiants et de faux médicaments, d’atteinte aux systèmes automatisés de données, d’incitation à la haine raciale, d’escroquerie, de vente de téléphone-espion, jusqu’à l’incitation au suicide donc, ou les pratiques illégales de la médecine en ligne, la vente de faux papiers, les jeux en ligne, le proxénétisme, la traite d’êtres humains, l’apologie du terrorisme… Avec les ayants droit et les titulaires de marque, les relations sont évidemment étroites, d’autant que ces titulaires se portent parties civiles lorsqu’une procédure est effectivement engagée.

 

Un travail d’une ampleur considérable. Dans le même temps, toutes ces infractions n’autorisent pas la cyberinfiltration et donc l’usage de pseudonyme. « Le terme fait peur, alors que la pratique est souvent utilisée en Allemagne ». Si cette démarche est possible pour la pédo, la traite d’être humain (réseaux de prostitution), les jeux en ligne, il est par exemple impossible de prendre contact avec une personne qui vend des faux papiers sur internet. Il faut passer par les voies habituelles, notamment via l’hébergeur pour réclamer les adresses IP. Des informations utiles, sauf évidemment quand ces données sont maquillées.

Pédos et autres atteintes aux mineurs

Dans le Fort de Rosny-Sous-Bois, nous avons pu rencontrer différentes équipes spécialisées contre certaines formes de criminalité. Première d’entre elle, le RAMI, le département de Répression des Atteintes aux Mineurs sur Internet qui prend en charge notamment la pédopornographie.

Cyberpatrouille vs pédopornographie

L’une de ses caractéristiques ? Les membres de ce département ont la possibilité de mener des cyberpatrouilles, qui les autorisent donc à agir sous pseudonyme ou fausse identité. Ils peuvent se faire passer pour des mineurs en ligne ou des majeurs « dans un cadre bien légal ». De compétence nationale « on est habilité à tout faire de A à Z » jusqu’à l’interpellation, nous explique l’un de ses membres (qui refuse d’être pris en photo, par sécurité). Des objectifs ambitieux, mais des moyens très modestes avec seulement neuf gendarmes en poste… Ils sont cependant épaulés par des sections de recherche locales, formées à la cyberinfiltration durant un stage de cinq jours à Rosny. Ils sont une cinquantaine en France, y compris les neuf gendarmes de la section RAMI, qualifiés « N-Tech ». Des services équivalents existent au sein de la police nationale.

 

Lors des cyberinfiltrations, ces gendarmes peuvent donc agir sous pseudo aux fins de constater des atteintes aux mineurs sur Internet. Contrainte forte : ils ne peuvent pas provoquer ces infractions. L’usage de ces pseudo conduit parfois à des situations cocasses où un gendarme discute sans le savoir avec un policier… Un service centralise les pseudo déclarés, histoire d’éviter ce genre d’incidents ou d’y passer trop de temps.

 

« En dix minutes, j'en ai un qui se mastrurbe »

Les forces de l’ordre travaillent sur des profils préétablis. Celui d’un majeur pédophile ou d’un mineur par exemple. Puis ils se connectent. « Si je m’appelle Isabelle et que j’ai 12 ans, en dix minutes, j’en ai un qui se masturbe devant l’écran… » L’ordinateur utilisé est spécialement préparé, anonymisé, « histoire de ne pas se faire repérer… »

 

L’IP est précieuse, mais sa quête parfois épineuse. Quand l’interlocuteur utilise des masques, comme un VPN, les gendarmes sont obligés de travailler par d’autres voies. « On cherche autre chose, on essaye de gagner sa confiance… » Histoire d’exploiter la brèche, s’y faufiler… mais toujours sans provoquer l’infraction.

 

Les gendarmes travaillent en binôme systématiquement. « C’est le genre d’action où on peut avoir tendance à vouloir aller assez vite pour accrocher quelqu’un. Justement, il faut qu’on laisse venir, sans rentre-dedans ». Les équipes travaillent en heure décalée. « Internet à 14h, cela marche moins bien que le soir ». Et il faut penser à des détails évidents. « On est des mineurs, il faut jouer sur le fait que des parents sont là. » Avec des contraintes. « On n’utilise évidemment pas de webcam, moi déguisée en fille, cela ne passerait pas… » nous dit ce gendarme avoisinant le mètre quatre-vingt, avec un petit rictus. Les gendarmes sont obligés de jouer avec la confiance des pédophiles, qui ont plus ou moins le sentiment d’être à l’abri, chez eux, derrière leur écran.

Surveillance du P2P, des réseaux sociaux, etc.

Le département scrute également les réseaux P2P. « Le groupe d’investigation fait de la veille semi-automatique. On lance un logiciel qui va scanner les réseaux P2P, en général eMule, eDonkey, avec des mots clefs. Le lendemain matin, ce logiciel revient avec des adresses IP de personnes qui ont téléchargé des fichiers pédos. Fichier pédos, c’est le titre, cela ne veut pas dire toujours qu’il s’agit d’un tel fichier ! Il faut ensuite vérifier ». À cette fin, ils récupèrent des éléments de preuves. C’est « une comparaison automatique sans redistribution puisqu’on ne peut évidemment pas diffuser. Nous avons un petit logiciel (développé par des Scandinaves, NDLR) qui ne fait aucune diffusion », et qui, assure-t-on, ne se voit pas et est totalement transparent… S’en suit alors un procès-verbal, selon le contenu effectif, premiers pas de la procédure.

 

Dans la pièce de ce service, on peut voir deux ordinateurs saisis récemment. « Lors de la perquisition, dès qu’on a trouvé ce qu’on cherche, pour nous c’est bon. Même si on trouve dix images et qu’il y en a 500. » Après saisie vient le temps de l’analyse des informations stockées.

 

« Quand vous travaillez toutes la journée sur de telles photos… La matière est assez délicate. » Pour gérer la manipulation de ces contenus pédos, les membres du RAMI profitent d’un soutien psychologique. « On a deux visites annuelles programmées obligatoirement, ou à la demande si cela ne va pas ».

 

Pour l’analyse des photos, une base de données est alimentée avec tous ces contenus. Gérée par le centre national d’analyse des images pédopornographiques, elle fonctionne avec l’empreinte numérique des fichiers. Les gendarmes peuvent travailler avec des mécanismes de reconnaissance de visage. « Ça marche, mais pas tout le temps. On ne peut pas trop compter dessus ». Lorsque les gendarmes ont le doute sur l’âge d’une personne, 16 ou 18 ans, ils la classent automatiquement dans la catégorie mineure. Les enquêteurs recherchent aussi les éléments d’arrières plans pour tenter de deviner la localisation, des indices, raccrocher ce contenu à une série et faire remonter aux autorités nationales compétentes à l’étranger par exemple. Sur les vidéos, les accents des intervenants serviront aussi dans ce travail de fourmi réalisé sur ces contenus odieux.

 

Sur les réseaux sociaux, les gendarmes reconnaissent qu’il est rapide de faire fermer une page Facebook qui contient ce type de contenus. La présence d’un représentant en France facilite évidemment les démarches. « Mais avoir l’identification d’une personne (adresse IP, NDLR) est un peu plus compliqué » puisqu’il faut alors passer par les États-Unis.

 

Le direct download de contenus pédopornos accessible via Google par exemple ne se rencontre pas. « Mais sur TOR, on trouve bien des sites dédiés… ».

« On n'a pas beaucoup de contact avec la Russie »

À l’international, les sources les plus importantes de contenus pédopornographiques sont souvent dans les pays de l’Est avec lesquels la collaboration n’est pas simple… « On n’a pas beaucoup de contact avec la Russie… » regrettent-ils. Les gendarmes travaillent évidemment aussi avec Interpol vis-à-vis des FAI, l’identification des IP est très rapide. « Je dirai une heure, deux heures et si c’est urgent des procédures permettent d’obtenir l’information encore plus rapidement », via le Guichet Unique Téléphonie et Internet (GUTI). Les gendarmes le concèdent ; il n’est pas évident, si ce n’est presque impossible de remonter aux producteurs initiaux de ces contenus.

 

Une cinquantaine de personnes sont condamnées chaque année. L’infraction est caractérisée « à partir du moment où ils montrent ou nous donnent des photos, nous font des propositions, nous donnent rendez-vous, etc. ». Outre des moyens d’une faible envergure, leur activité est encadrée par la politique pénale des parquets qui réclament un minimum d’images avant de lancer la machine judiciaire. « À Paris, trois images, ce n’est même pas la peine, ils ne suivent pas. En Corrèze, une demi-image suffit » caricature, à peine, notre interlocuteur. 

Des enjeux, des défis

La semaine dernière, nous avons été conviés au Fort de Rosny-sous-Bois pour une visite du pôle judiciaire de la gendarmerie nationale. L’Institut de recherche criminelle de la Gendarmerie nationale (IRCGN) nous a ouvert ses portes, à quelques jours du Forum International de la Cybersécurité 2013 qui se tiendra la semaine prochaine à Lille. Nous avons été reçu par notamment pour le Général d’Armée Marc Watin-Augouard et le Lieutenant-colonel Freyssinet, chef de la division cybercriminalité. Compte rendu.

 

 

« Aujourd’hui nous souhaitons développer un esprit cybersécurité qui soit un équilibre entre la nécessaire sécurité dont chacun d’entre nous, les administrations et les entreprises ont besoin, et le maintien de l’esprit de liberté qui a animé les fondateurs et ceux qui mettent en œuvre les progrès du cyberespace ». Les paroles du Général d’Armée Marc Watin-Augouard témoignent de la sensibilité du domaine d’activité. Un bel étau. D’un côté des missions de sauvegarde de l’ordre public, tributaires des moyens humains et techniques, et de l’autre le risque de malmener les droits et libertés individuelles via des procédures intrusives.

 

Ce centre névralgique vit ses derniers mois au Fort de Rosny-sous-Bois. Il déménagera « dans quelque temps à Pontoise, je l’espère, dans un centre ultra-moderne » s’impatiente le militaire. La naissance de cette division de lutte contre la cybercriminalité à partir d’un existant modeste (une simple cellule de veille internet) sera alors loin dans les mémoires.

Des enjeux en cascade

 Du côté des services de gendarmerie, la matière affronte des enjeux en cascade. Le numérique, c’est des sources d’information qui pullulent et mécaniquement une difficulté de traitement qui s’accentue. « Il n’y a plus d’enquête avec une dimension internationale » constate Éric Freyssinet. Corrélativement, les délais de traitement sont parfois longs face à l’urgence de certaines situations : « une petite enquête peut parfois durer plusieurs mois pour obtenir la réponse d’un autre pays ».

 

Outre la dimension géographique, les autorités sont aussi confrontées à la taille des données qui explose. « Il y a des aspects positifs évidents puisqu’il y a plus d’informations à portée de main des enquêteurs. Sur l’ordinateur d’une victime d’homicide, aujourd’hui, on a plus de chance de trouver des éléments de sa vie passée, ses relations, etc. » A contrario, « c’est une masse d’informations gigantesque » qui exige tri, sélection, arbitrage pour collecter les preuves. « On ne peut pas regarder chaque octet ». Cette augmentation de la taille des données a aussi changé la façon dont on s’intéresse aux objets : « Il y a 10 ans, on ne s’intéressait pas à la mémoire vive des téléphones. Aujourd’hui, quand on saisit un téléphone, on y trouve autant d’information que dans la partie stockage ». Un « plus » qui entraîne là aussi des besoins accrus en termes de formation des enquêteurs.

Le très haut débit et l’impact sur les victimes

La vitesse de transmission produit aussi un effet perturbatoire, inévitable. Une phrase d’Éric Freyssinet pour résumer en quelques mots : « Le très haut débit, c’est le passage des images pédopornographiques aux vidéos pédopornographiques avec un impact sur les mineurs victimes : faire des photos ce n’est pas la même chose que faire des vidéos ». L’hyper connectivité démultiplie aussi la surface d’attaque. « C’est potentiellement plus de gens qui peuvent être atteints par du phishing. ». Mais d’un autre côté, là encore, les autorités profitent du gisement. Elles font désormais des réquisitions à Signal Spam sur 6 ou 8 mois pour exploiter les spams dénoncés par les internautes...

 

 

Eric Freyssinet

 

Le cloud bouleverse à son tour les méthodes traditionnelles. Il faut pouvoir faire en sorte que l’information soit disponible puis la récupérer. Avec le stockage déporté, « plus d’informations sont désormais placées en dehors des lieux où on est habitué à investiguer » via des perquisitions classiques. Dans certains cas, la Convention sur la cybercriminalité (signée à Budapest le 23 novembre 2001) permet de pallier entre les pays signataires ces difficultés.

 

Par exemple, avec une perquisition en France et des données stockées aux États-Unis, « on peut copier les données si la personne perquisitionnée donne son assentiment ». Le cloud augmente lui aussi la surface de risque avec l’éparpillement d’informations parfois sensibles. Freyssinet milite pour la constitution d’un nouvel espace de confiance entre les pays, « un Schengen numérique pour partager un même niveau de protection et à la fois un même niveau de capacité d’investigation. »

Identité numérique, criminalité organisée, chiffrement...

Les autres enjeux auxquels sont confrontés ceux qui luttent contre la cybercriminalité tiennent également aux questions soulevées par l’identité numérique. « Aujourd’hui tout le monde est habitué à présenter une identité propre à l’espace où il se rend ». Versant négatif, cela développe une possibilité de se camoufler. Versant positif, cela accentue le nombre d’informations sur les personnes. Dans la vie réelle, les titres officiels comme le permis de conduire avec une puce ouvrent de nouvelles questions. « C’est une dimension technologique de l’identité qui pourrait être falsifiée, il faut être attentif aux évolutions en ce domaine ».

 

Le tout s’inscrit dans un contexte où la cybercriminalité est l’œuvre de nouvelles formes de criminalité organisée, « avec des personnes isolées ou des petits groupes qui échangent des biens, de l’argent, des services comme des dispositifs de copie de cartes bleues. Certains se sont par exemple spécialisés dans la vérification des numéros de carte bancaire… »

 

Enfin, Éric Freyssinet insiste sur la question du chiffrement. Avec le passage en HTTPS, une tendance de fond, « tous les progrès qui ont été faits en interception exigent de trouver de nouveaux moyens pour accéder à l’information ». Pas de jugement moral sur ce mouvement, mais un simple constat objectif. Pour le chef de la division cybercriminalité, « il est normal que le chiffrement se développe, de mauvaises personnes veulent accéder à votre vie privée ou à celle des entreprises. Nous, on doit faire avec. Le vrai problème est quand cela touche à une enquête très simple où on va devoir être plus intrusif. »

 

La lutte contre la cybercriminalité mobilise 250 enquêteurs en technologies numériques dans les sections de recherches de la gendarmerie. S’y ajoutent 750 correspondants, sur le terrain, qui permettent de gérer les questions numériques dans le cadre d’enquête. Toutes ces personnes sont en relation sur un forum commun. Depuis 2001, une formation spécifique dans le domaine des nouvelles technologies a donné naissance à des enquêteurs spécialisés ( « N-TECH ») pour les unités de recherches.

Skimming de carte bancaire

Ce laboratoire en question travaille aussi sur le skimming, c’est-à-dire les cas de fraude sur les distributeurs de billets. Ils interviennent pour ausculter la mémoire de ces dispositifs et fournir des pièces à l’enquête. Une petite caméra est placée dans un cache afin de capter le maximum d’information dont le code secret tapoté par le client. Le plus souvent c’est un téléphone qui sert de relai. Tout y est. De la mémoire, du son, de la vidéo avec la caméra. Il suffit de le placer près d’un cinéma, d’une boite de nuit, un samedi soir et d’attendre… « Sans carte SIM, le délinquant doit revenir. Il prend donc deux risques. Un pour placer le dispositif, un pour le récupérer ». Parfois, c’est un stylo espion (Spy Pen) qui sert de composant maître, mais avec une carte SIM, notre délinquant « ne vient qu’une fois et peut envoyer les données secrètes en passant un coup de fil à l’autre bout de la planète en mode DATA. »

 

 

Le laboratoire possède aussi une ribambelle de lecteurs pour les différents supports présents sur un tableau. Mais ces lecteurs sommeillent sagement puisqu’aujourd’hui ce sont essentiellement des disques plateaux et des mémoires de type clés USB qui remontent.

 

 

L’analyse se finit par un rapport en réponse aux demandes du magistrat avec lequel le laboratoire a des échanges réguliers. Des affaires plus urgentes peuvent par exemple venir chambouler le calendrier. L’auscultation est parfois rapide notamment quand un coup de perceuse a été asséné sur un disque désormais inutilisable, comme ci-dessus