[Interview] Éric Freyssinet nous parle de la lutte contre les botnets en France

Seconde partie de notre entretien avec Éric Freyssinet, chef de la division de lutte contre la cybercriminalité au sein du pôle judiciaire de la gendarmerie nationale, auteur du wiki Botnets.fr et initiateur de la Botconf. Après avoir discuté de l'événement, nous avons décidé de faire le point sur les botnets en France et les services chargés de lutter contre cette menace.

Dans la première partie de notre entretien, vous évoquiez des échanges avec les quelques équipes de chercheurs français spécialistes des virus (au Loria de Nancy ou l'équipe d'Éric Filiol à Laval). Qui les contacte ?

La gendarmerie en particulier, moi dans le cadre de ma thèse. J’ai beaucoup discuté avec eux sur ce sujet. La classification, c’est important pour nous. Quand tu es face à une menace chez une victime, le problème classique est de comprendre face à quoi tu te trouves.

Si tu es face à une famille de ransomware qui bloque l’ordinateur de la victime, comme le virus « gendarmerie » au départ en France, il n’y a pas vraiment de différence pour la victime. Le visuel en lui-même peut t’aider, mais tu peux surtout regarder la souche du virus, les différents composants (le logiciel principal et éventuellement ses modules, le logiciel qui a servi à l’installer), les traces laissées dans le système d’exploitation... Ca laisse des informations qui peuvent permettre de le classifier, de l’identifier. Et quand tu as réussi à le classifier, tu peux peut-être comprendre d’où il vient, peut-être l’associer à un groupe de personnes dont tu sais qu’ils sont derrière une campagne d’attaques. C’est important car tu peux dire « C’est un ransomware , il appartient à telle famille reconnue par la communauté des chercheurs ».

Il y a par exemple les CryptoLocker, qui ne se contentent pas de bloquer l’ordinateur mais chiffrent les données sur l’ordinateur ou les serveurs de l’entreprise ; c’est souvent en entreprise qu'on aura les conséquences les plus graves. Le virus demande donc une rançon. Tout le monde les appelle « CryptoLocker », or CryptoLocker pour la communauté des chercheurs c’est une famille particulière. En ce moment, il y a une campagne importante avec un virus appelée « Cryptowall » par les chercheurs... Quand le message s’affiche à la victime, il y a marqué « CryptoLocker » et la fenêtre affichée ressemble beaucoup à celle généralement reconnue comme celle de CryptoLocker.

Et le code de Cryptowall est différent ?

C’est une vraie copie de l’affichage, des fonctionnalités mises en œuvre, de la stratégie des délinquants... sans que ce soit la même menace. En tant qu’enquêteur, tu n’enquêtes pas sur la même affaire. Ce n’est pas forcément les mêmes suspects, et ça ne l’est vraisemblablement pas ici. Ce n’est pas parce que ça se ressemble que c’est pareil, il faut faire le tri. Ca va devenir de plus en plus important d’avoir ce genre d’outils [de classification des botnets et des groupes derrière, comme le wiki Botnets.fr].

Pour ceux qui font de la sécurité (les éditeurs antivirus, d'outils de filtrage de réseau d’entreprise...), c’est important de pouvoir comprendre face à quelle menace exacte on se trouve. Par exemple, si un type de virus particulier est connu pour être associé à d’autres virus, tu ne vas pas te contenter de nettoyer le premier mais tu vas chercher les autres, sûrement moins visibles. Si tu as un malware bancaire (qui sert en général à détourner les accès à un compte bancaire en ligne), il a souvent des fonctions supplémentaires : récupération de mot de passe de compte FTP, de courrier électronique... Tu vas donc te demander s’il ne faut pas tout simplement changer les mots de passe de tous les comptes qu’on a pu utiliser pendant l’infection. D’où l’importance de la classification.

Quand tu classifies, tu ne te contentes pas de dire que c’est « un virus de telle souche », mais tu t’intéresses au fonctionnement du botnet lui-même, tu vas comprendre par où il a pu arriver. Par exemple en entreprise, s’il se diffuse par clé USB, je vais interroger mes utilisateurs sur des clés qu’ils auraient pu ramener de la maison ou d’une entreprise elle-même contaminée... Si c’est sur un site Internet, tu vas chercher des traces dans le proxy de l’entreprise et peut-être prévenir le responsable du site qui diffuse le virus, parce qu’il a pu être détourné (des bannières publicitaires, des pages modifiées...). Tout ce travail, tu ne le fais qu’en comprenant tout le système.

Beaucoup de botnets sont-ils pilotés depuis la France ou par des Français ?

Manifestement pas. Dans les affaires réalisées en France, ce sont (heureusement) des débutants qui sont attrapés. Pas parce qu’ils sont moins bons, mais parce que les enquêtes mènent à ça. C’est important d’arriver à tomber sur ce type de profil assez tôt, parce qu’il y a un rôle « pédagogique » d’arriver sur quelqu’un de 15 ou 19 ans, qui fait des bêtises, et de le prévenir que c’est mal. Parfois ça ne va pas très loin, parfois ça va jusqu’à détourner un peu d’argent (du compte Paypal, de la carte bancaire), ce qui est quand même plus grave. C’est une dérive délinquante plus difficile à voir par les parents, parce que souvent « Ce n’est pas dangereux », les conséquences physiques extérieures ne sont pas visibles... c’est ce qu’on rencontre beaucoup en France.

De l’autre côté, la France est souvent la victime, parce qu’on est plus de 65 millions d’habitants, avec une activité économique importante, qu'il y a de l’argent... on est ciblés. En plus, la langue française est très parlée dans le monde. Le public français est assez accessible, parce que beaucoup de gens arrivent à lui envoyer des messages dans sa langue ; en courrier électronique ou par les réseaux sociaux qui servent à diffuser les virus, les escroqueries en général.

Ensuite, elle héberge beaucoup de menaces. On a une économie de l’Internet très développée, avec de grosses infrastructures et de gros acteurs de l’Internet. On a des hébergeurs de dimension internationale [comme OVH], qui ont fait des services de cloud très tôt, pas avec la dimension que certains mastodontes [Amazon, Google, Microsoft, etc.] mais avec de très nombreux serveurs implantés en France. Eux ou leurs clients sont victimes d’abus de leurs systèmes. Parce que, dans leur masse de clients, il y a en quelques dizaines louches ou pas sérieux qui pendant quelques mois passent entre les mailles du filet et hébergent des contenus illégaux. On rencontre quelques développeurs de morceaux de virus ou équivalent en France, mais pas énormément, heureusement.

Ce qui se développe et est un peu inquiétant, c’est la petite délinquance liée à ça. Des gens qui vont acheter des virus, qui vont commencer à bricoler. On a vu la même chose se développer avec le skimming, la copie de carte bancaire. Ça a souvent été le fait de criminels qui venaient d’autres pays d’Europe ou de l’étranger, puis de la petite et moyenne délinquance française qui a commencé à copier ce mode opératoire, qu’il a fallu traiter. Il y a cette petite inquiétude...

Il y a aussi le fait que la criminalité numérique se développe dans des pays où il y a de bonnes formations technologiques et de gros problèmes sur le marché du travail en lien avec l’informatique. La France a de bonnes formations en informatique et un marché du travail lié assez dynamique par rapport à d’autres pays ; malgré quelques difficultés dans certains secteurs. Il n’y a donc pas cette attractivité de ce côté plus sombre. On est contents que les jeunes trouvent du travail dans ce domaine. Dans beaucoup de cas, c’est le manque de travail qui est la cause et pas qu’une motivation criminelle profonde. Ce sont donc souvent des gens « amendables », pour utiliser un mot positif, qui vont pouvoir aller dans le bon sens après avoir été attrapés.

C’est important de faire ces enquêtes, mais ce qui est très clair, c’est que l’on a énormément de victimes de délinquance numérique en France. Parce que la France est très connectée, très utilisatrice des technologies. Le mythe du Minitel n’est pas qu’un mythe : le public français est très technophile, comme nos entreprises. Et ça ne va que continuer à se développer. Du coup, il faut donc les aider à se protéger.

Les entreprises françaises ont-elles justement pris conscience de ce danger ?

Du côté de l’offre, ceux qui vont protéger, on a de grandes entreprises qui travaillent dans ce domaine, voire sont leaders européens sur certains secteurs ou ont une offre très concurrentielle. On a plein de petites boites avec des produits innovants en cybersécurité (qui vont réussir ou non), avec les formations qu’il faut (même s’il en faudrait plus). Il y a en revanche un gros manque en matière de services de proximité, des gens qui vont aider des particuliers et entreprises à récupérer des situations. Il y a des entreprises qui le développent, mais ce n’est pas encore assez visible, pas encore assez reconnu, parce que ce n’est pas un « vrai métier ». C’est-à-dire que la notion de réponse à un incident, on la réserve plutôt à des entreprises qui ont un gros incident, alors qu’en réalité, il y a des incidents partout.

Par exemple, des sites web qui se font defacer [remplacer par une page de l'attaquant] ou détourner, qui ont une vulnérabilité, c’est très courant. Ces situations-là ne doivent pas être résolues en effaçant tout et en réinstallant le site ; parce que vraisemblablement, on le réinstalle avec les mêmes erreurs. Il ne suffit pas non plus de déposer plainte, parce que si on n’a pas réparé, qu’on a effacé les traces nécessaires à l’enquête, les enquêteurs ne peuvent rien récupérer...

Donc on a besoin de services pour les collectivités locales, pour les entreprises moyennes (de l’industrie notamment)... Il y a un besoin de conseil, dans la réactivité suite à des incidents, pour collecter des preuves et traces pour l’enquête, et expliquer comment corriger les erreurs qui ont fait que ça a pu arriver. Ce sont les métiers de la réponse à incident, de la réparation informatique (la proximité auprès des particuliers, des toutes petites structures, des professions libérales...). Il y a besoin de dire « OK, votre ordinateur a été infecté par un virus. Si vous voulez déposer plainte, on vous a fait une copie des données pour les enquêteurs... » Ce sont des choses qu’on aimerait voir se développer. Des gens développent ça d’eux-mêmes, mais il n’y a pas de formation reconnue dans ce secteur-là.

Ce sont des choses qu’on aimerait soutenir dans le cadre de CECyF (Centre expert contre la cybercriminalité français), une association qu’on a créée début 2014 [qui regroupe des services de l'Etat, forces de l'ordre, chercheurs et entreprises de sécurité informatique]...

Et du côté de la demande ? Les entreprises ressentent-elles vraiment ce besoin ?

Il y a de tout. Il y a des gens qui nous approchent et qui ont besoin de réponses. Ce sont souvent les entreprises de l’économie numérique : les commerçants en ligne, ceux qui offrent des solutions de paiement en ligne, la communication en ligne... Ils attendent une réponse sécuritaire, policière, judiciaire sur ces sujets.

Les grandes entreprises, oui. Les petites entreprises sont de plus en plus victimes d’attaques qui vont les toucher au portefeuille (comme les rançongiciels qui ont pas mal ciblé les entreprises), les escroqueries aux faux virements qui ciblent les entreprises en piratant préalablement leur réseau. Dans certains cas, des informations confidentielles ont pu être récupérées par tout un tas de moyens ; soit en source ouverte, soit en entreprise avec des petits virus qui permettent de faire de l’espionnage. Les entreprises victimes ont envie de réponses.

N’ont-elles pas un réflexe de prévention ?

La prévention c’est difficile. De plus en plus d’entreprises nous demandent des actions de prévention, et ce n’est pas forcément facile à réaliser, parce qu’on n’a pas des équipes capables de faire de la prévention sur ces sujets de façon adaptée à tel ou tel type de public. Il faut par exemple s’adapter au type d’entreprise. De la même façon que dans la protection des mineurs ou de certains publics vulnérables, de la discrimination en ligne, il y a plein d’acteurs associatifs sur le terrain qui font des actions de sensibilisation.

On aimerait qu’il y ait plus d’acteurs de sensibilisation, comme quelqu’un qui travaille dans la sécurité et qui irait porter la bonne parole. Pas vers les gens qui ont les moyens de se protéger, mais tous ceux qui n’ont pas l’information, qui n’ont pas de responsable informatique dans leur structure, qui ont besoin d’être sensibilisés. Tout ça, ça peut aussi derrière développer de l’activité, il y a de la demande en services de sécurité.

Vous avez d'ailleurs monté un wiki dédié aux botnets, Botnets.fr.

Botnets.fr, c’est un projet que j’ai lancé dans le cadre de ma thèse, avec un travail sur la classification des botnets. J’essaie de remonter le site...

Mais la page d’accueil n’a pas bougé depuis un moment.

Justement là, elle a bougé récemment. On a eu un problème technique, on essaie de le remonter. Mais la page d’accueil ce n’est pas grave. L’objectif, c’était de publier le travail que je faisais sur la classification [dans le cadre de la thèse], de dialoguer avec des gens qui travaillent sur le même sujet, de leur demander leur avis sur mes choix et de les confronter aux leurs. Donc j’ai intégré les liens dans le wiki, présenté l’information. Ensuite j’ai testé au travers de ça une façon de documenter les virus et les botnets pour voir comment est-ce qu’on peut classifier l’information qu’on collecte sur ces menaces. C'est un des problèmes classiques dans l’information sur les virus.

Tu vas chercher un virus ou un botnet particulier par son nom, tu vas trouver des articles qui en parlent (quand il fait du buzz, parfois dans la presse grand public), des blogs... Donc beaucoup d’infos qu’il faut trier. Il n’y a pas d’endroit avec une synthèse sur le sujet. Parfois, dans quelques rares cas, il y a un bel article qui fait une belle synthèse. Il s’agit déjà d’identifier ça. Comment est-ce que je peux ranger ces infos-là et les mettre en relation avec un botnet particulier ? « Un botnet particulier », ça peut être une campagne [avec un groupe de pirates précis derrière] ou une famille de botnet [utilisée par un ou plusieurs groupes], qui peut avoir différents noms suivant les auteurs de blogs, les éditeurs d’antivirus... Il faut déjà référencer les alias, ce que tout le monde ne fait pas. Par exemple Kelihos, qui a été un botnet fermé partiellement il y a quelques mois selon les auteurs.

L'une des conférences évoquait Mevade [qui a « saturé Tor »], qu’on appelait aussi Sefnit.

Parenthèse d’ailleurs : il y a un débat dans la communauté sur « Est-ce qu’on doit reprendre les noms que leur donnent les délinquants eux-mêmes ? ». Parce qu’il y a un caractère publicitaire, les délinquants vendent leur produit. Donc le fait de parler de leur produit sous le nom qu’ils utilisent, c’est leur faire de la publicité. Certains éditeurs d’antivirus utilisent d’autres noms. Toi, quand tu fais de la recherche dessus, il faut pouvoir trier tout ça.

Et puis parfois, tu es face à quelque chose qui n’a pas de nom. Tu découvres un virus, par exemple un rançongiciel, auquel personne n’a donné de nom. Tu n’es pas éditeur d’antivirus, donc tu ne lui donnes pas de nom. Tu le mets dans un coin en attendant que quelqu’un lui donne un nom. Ou alors tu proposes un nom et tu vois si c’est repris. Donc, déjà, il faut rassembler ces informations.

Ensuite, assez souvent, les encyclopédies sur les virus soit ne sont pas complètes, soit sont complètes (tu trouves quasiment tout dedans), mais il n’y a pas de démarche d’analyse des systèmes. Tu vas trouver 500 000 virus différents, avec des noms qui sont parfois les mêmes [pour plusieurs], avec des extensions différentes et des noms différents. Mais des fois, derrière dix ou vingt entrées, tu as un seul botnet. Un botnet peut avoir dix ou trente noms différents chez un même éditeur. Pourtant, c’est la même équipe qui fait des mises à jour, auxquelles on donne des noms différents. Ou alors tu as une variante faite, après analyse, par une autre équipe avec le même code original, avec le même nom chez certains éditeurs. Ce n’est pas grave, leur travail c’est de détecter les menaces, pas forcément de faire ce travail. C’est plutôt celui de ceux qui font de l’enquête comme nous, ou de ceux qui font de la threat intelligence (de l’analyse de la menace). Il s’agit de remettre tout ça dans l’ordre. Le wiki [Botnets.fr] c’était un peu ça.

Au final, si tu regardes la page d’accueil maintenant, je suis en train de réalimenter le site qui était tombé en panne. Sur la page d’accueil, tu as la liste des botnets qui est documentée : tu en as quelques dizaines, et non pas quelques millions. Il y en a quelques-uns de plus en réalité, mais c'est l’essentiel de ce qui s’est passé au cours des cinq dernières années.

Et ça c’est important comme travail. Ce n’est pas tellement pour le partager, même si du coup je le fais publiquement. C’est aussi autre chose auquel il faut réfléchir... Est-ce que la police doit partager des informations avec le monde de la recherche ? De quelle façon ? La police au sens large : police, gendarmerie, justice...

Est-ce que la police le fait déjà ?

Pas toujours. On fait des tas de présentations de notre travail, mais pas de façon systématique. Ce n’est pas évident, ça demande du travail en soi. Est-ce qu’on doit investir là-dedans ?

Ensuite, dans la partie finale, quand on parle de classification, de collecte d’informations, ça m'aide à réfléchir comment, en interne, on peut ranger ce genre d’informations. En dehors des noms des auteurs des articles que je référence [dans le wiki], je ne mets pas de nom. Ce n’est pas une base de données à caractère personnel, dans le sens policier du terme [nom, coordonnées...]. Même si cette information pourrait manquer si on avait installé légalement cette base de données en interne. Si on met de côté cet aspect, on peut construire une base de données intéressante avec plein d’infos qui pointent en partie vers d’autres qui vont éventuellement te guider vers les acteurs ou qui vont t’aider à comprendre ce qu’ils font, sans stocker trop de données à caractère personnel. Bien sûr, de temps en temps, tu as une référence à un nom de domaine, mais il a été publié plein de fois. La question c’est de savoir quel type de déclaration tu dois faire pour ce type de traitement... Déjà : qu’est-ce qu’on peut partager comme infos, rien à qu’à partir de ce qui est public ? À 99,9 % sauf erreur, tout ce qui est publié sur le wiki est public. Dans le même esprit de Wikipédia...

Agréger des sources...

Toujours lier à des sources extérieures, référencées, qu’on synthétise. Ca n’a pas la même forme que Wikipédia, dans le sens où ce n’est pas du texte encyclopédique qui décrit, ce sont vraiment des données brutes sur les fonctionnalités du botnet, les différents articles qui en parlent, les liens entre les différents botnets, les botnets avec des souches de virus particuliers quand c’est intéressant de les documenter, avec les protocoles qu’ils utilisent pour communiquer, les systèmes d’exploitation qu’il cible, les vulnérabilités exploitées... Ce n’est pas documenté sur 100 %, c’est un travail progressif comme tout wiki.

En faisant ce travail, en rencontrant des gens et en montrant qu’on réfléchit sur le sujet, en publiant des choses. D’ailleurs il faudrait que je publie d’autres articles, dans le magazine MISC ou dans la revue du GRASCO, qui travaille sur la criminalité organisée...

C'est partager ces résultats, comme notre labo qui travaille sur la preuve informatique, qui publie régulièrement des articles sur tout ce qu’on fait. Peut-être pas les toutes dernières nouveautés, parce qu’on essaie de garder un peu d’avance sur certains sujets, mais on essaie de faire le point sur l’état de l’art pour échanger avec la communauté, dire qu’il y a des choses qui sont possibles, attirer l’attention sur des problèmes de sécurité liés à des choses qu’on a découvertes, qui sont parfois un peu plus liées mais pas suffisamment de façon précise pour vraiment aider la communauté, donc on essaie d’apporter un petit plus. Mais évidemment sans révéler aux délinquants nos petits secrets tout de suite. Il faut trouver le bon équilibre. Et puis surtout développer les échanges avec la communauté scientifique et technique sur ces sujets-là.

[Le wiki Botnets.fr] est plus une expérience, que j’espère pouvoir continuer dans la durée. C’est aussi un outil en interne pour expliquer aux enquêteurs qu’il y a de l’information disponible et accessible. Parfois, il faut un média, quelqu’un qui fait l’intermédiaire, entre l’information et celui qui en a besoin, comme le travail de journaliste. Il faut ce genre d’outil car il y a un travail à faire pour le rendre plus accessible pour les autres.

Quel est le niveau de collaboration sur ces sujets entre la gendarmerie, la police et l’ANSSI ?

Déjà au niveau international. Tu as pu le voir, des policiers et anciens policiers de certains pays sont là, des Hollandais, un Roumain, des Anglais qui ont fait une présentation [sur la suppression de botnets]... En réalité, au niveau européen notamment, mais de plus en plus au niveau mondial, il y a une communauté de lutte contre la cybercriminalité qui échange beaucoup. Depuis qu’Europol a mis en place le C3, le Centre de lutte contre la cybercriminalité européen, ils ont réussi à mieux fédérer les échanges, à rendre ça plus dynamique... Vraiment, ça marche bien.

Au niveau français, ça dépend de quel cercle on parle. Si on parle des services policiers, on est déjà quelques dizaines au niveau central à travailler là-dessus. C’est 130, 150 personnes dans les services centraux qui travaillent sur ces sujets-là. Si tu étends aux services spécialisés sur le terrain, donc les enquêteurs de la gendarmerie, les « N-tech », du côté de la police les investigateurs en cybercriminalité (ICC), ça fait un peu plus de 600, 700 personnes. Dans la gendarmerie par exemple, on a maintenant 1 500 correspondants locaux, les correspondants N-Tech. Donc dans la gendarmerie, on est 1 500, plus 270, plus... Presque 2 000 personnes qui travaillent là-dessus, qui échangent en permanence sur ces sujets.

Quelle forme prend la relation entre gendarmerie et police ?

Il y a de nombreuses occasions de se rencontrer. Déjà, les services au niveau central se connaissent, échangent. Je vais élargir un petit peu, avec la BEFTI (Brigade d’enquête sur les fraudes aux technologies de l’information), l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication), l’ANSSI (l’Agence nationale de sécurité des systèmes d’information), avec la CNIL dans son domaine de compétence, avec ponctuellement l’ARJEL [pour le jeu en ligne], la HADOPI sur le terrain. Il y a les échanges techniques, les gens qui se connaissent, ceux qui travaillent dans la cyberdéfense et qui font des enquêtes cybercriminelles, notamment du côté des douanes, de la répression des fraudes, sur Internet, ou du côté des enquêtes fiscales. Parce qu’il y a aussi des enquêteurs du fisc qui travaillent sur de l’informatique...

Les occasions d'échanger ne manquent pas. On a par exemple une association, l’AFSIN (Association francophone des spécialistes de l’investigation numérique). On se réunit tous les ans, lors d’une conférence qui s’appelle les JFIN (Journées francophones de l’investigation numérique) et qui est fermée... Même si ouverte dans le sens où il y a des services d’enquête et tous ceux que je viens de citer, des experts judiciaires qui travaillent dans ce domaine, quelques magistrats et quelques académiques. Ce n’est pas uniquement français (francophone), donc il y a des Français, des Suisses, des Belges, des Canadiens, des Marocains, des Algériens... Il y a un esprit de partage au niveau francophone, c’est intéressant.

Dans les services spécialisés, on se connait. Par exemple, l’ANSSI nous invite régulièrement à des présentations techniques sur des choses qu’ils ont rencontrées ou des conférences auxquelles ils sont allés. Je ne donnerai pas les sujets, puisque que ça peut être parfois confidentiel... Voilà, il y a des échanges.

Y a-t-il une vraie collaboration au quotidien ?

Au quotidien, oui, parce qu’on se connait : quand j’ai une affaire dont je sais, ou dont je me doute, ou dans laquelle j’ai quelques indices qui me font penser qu’un autre service peut être soit intéressé par l’information (même si on ne peut pas tout dire parce qu’il y a le secret de l’enquête), soit travaille peut-être sur la même chose (dans ce cas il y a besoin de faire une relation), soit travaille sur des sujets connexes parce qu’ils m’en ont déjà parlé, soit parce que c’est leur zone de compétence territoriale, etc... Par exemple,  je contacte régulièrement la BEFTI, qui travaille sur Paris et la petite couronne, pour savoir s’ils ne travaillent pas déjà sur un sujet qui a un rapport direct, s'ils ont déjà eu un contact avec cette victime pour voir si on n’est pas en train de faire deux fois la même chose, si tel serveur qui se trouve sur leur territoire n’a pas déjà fait l’objet d’une enquête ; et comme c’est sur Paris, il y en a beaucoup, donc ce n’est pas vraiment forcément le cas... Il peut y avoir plein de raisons, pour l'occasion ou simplement par politesse, donc de nombreuses interactions territoriales.

C’est la même chose en gendarmerie. Mon équipe a un travail au niveau national, au niveau du pôle judiciaire de la gendarmerie, et il y a des équipes au niveau local. Quand on fait une enquête qui risque de mobiliser pas mal de moyens, on contacte les enquêteurs locaux de la gendarmerie, de la police pour leur dire « On a telle personne qui est suspecte, on va venir chez vous l’interroger. Est-ce que vous voulez venir nous aider ? ».

Il y a plein de niveaux d’échange. L’OCLCTIC, par exemple, est avec nous (ou sans nous) dans des réunions à l’étranger, car nous avons des rôles à l’international. L’OCLCTIC est point de contact 24/7 pour le réseau de points de contact du G8. Ils ont des informations en rapport avec l’étranger, donc quand on a une investigation à l’international, on se demande s’ils n’ont pas soit un coup de main à nous donner (pour par exemple faire du gel de données dans un autre pays, mettre en œuvre certains dispositifs légaux), soit un contact avec un service de police étranger qu’ils connaissent, et pas nous. Et réciproquement, de temps en temps, quand ils travaillent sur une affaire et qu’ils se disent que la gendarmerie enquête déjà dessus, ils nous appellent. Même chose avec la DGSI (renseignements intérieurs), qui a une équipe cyber... Et là je ne donnerai pas de détails, car ce qu’ils font est encore plus confidentiel, mais on a des échanges parce qu’on se dit qu’ils ont peut-être déjà travaillé sur certaines affaires. On passe un coup de fil pour s’assurer qu’il n’y a pas de difficulté à enquêter sur telle affaire en particulier. Des informations à échanger officiellement pour pouvoir mieux traiter le cas.

J’en viens au Forum international de la cybersécurité (FIC) de Lille, qui est finalement très franco-français, très gendarmerie, très armée... En tant que journaliste, si l'on veut discuter avec la police ou l’armée de cybercriminalité ou de cyberdéfense, c’est là qu'il faut se rendre...

Alors, c’est un peu bateau mais : on est un grand pays, il ne faut pas en avoir honte. C’est normal qu’il y ait de grands évènements, notamment sur des sujets aussi sensibles. C’est important. C’est super qu’il y ait un grand événement à vocation international, même si c’est vrai assez français, mais c’est important de mobiliser l’ensemble des Français sous cet angle-là. C’est-à-dire complémentaire d’autres conférences qui peuvent exister, où il y a un dialogue entre les offreurs et ceux qui ont besoin de solutions. Là c’est plus des problématiques qui ont lien avec la cybercriminalité et la cyberdéfense. Non seulement d’échanger avec des professionnels, mais d’échanger avec des services de police qui réfléchissent sur ces sujets-là. C’est un peu la spécificité de la conférence, c’est qu’il y a énormément de services de polices qui sont présents, le ministère de la défense... Parce qu’on réfléchit là-dessus.

Dans l’administration, on a envie de montrer qu’on bosse là-dessus, on a envie de rencontrer les gens qui travaillent avec nous toute l’année, ceux qu’on les rencontre trop peu souvent... On a donc envie d’avoir ces occasions-là. C’est pour ça qu’on est motivés pour organiser ça. On a envie que le secteur industriel se développe, soit visible, travaille avec nous. C’est donc important qu’il y ait tous ces échanges à toutes ces occasions.

Il y a aussi  un aspect historique : c'est le général Watin Augouard, qui a organisé les premiers FIC à Lille, qui en a eu l’idée. Ça a pris cette dimension. C’était un projet financé par la communauté européenne au départ, une conférence qui réunissait quelques centaines de personnes à Lille. Et c’est intéressant, car comme ces premières éditions de la Botconf [à Nantes et Nancy] en province, on organise des évènements ailleurs qu’à Paris. Ça ne veut pas dire que les évènements à Paris, c’est mal, mais ça permet d’aller plus en proximité. D’être plus tranquilles aussi, car une bonne partie des gens qu’on amène là sont moins proches du bureau, moins sous la pression, donc plus disponibles pour échanger. Historiquement, c’est la gendarmerie et le ministère de l’Intérieur [qui organisent le FIC]. Cette année il y aura un stand du ministère de l’Intérieur qui sera d’une belle dimension, avec tous les acteurs représentés, on va parler de ce qu’on fait. Ça correspond aussi à nos missions : on fait aussi beaucoup de prévention.

Merci Éric Freyssinet.