Un nouveau fichier policier pour lutter contre la cybercriminalité

Le ministère de l'Intérieur vient d'officialiser sa plateforme de collecte et de partage d'indicateurs de compromission et de données personnelles aussi bien des victimes que des auteurs de logiciels malveillants. MISP-PJ, rattaché au Cert policier, pourra échanger avec les autres plateformes open source du genre. 

Le ministère de l'Intérieur a publié au Journal officiel, ce 26 décembre, un arrêté autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel relatif aux atteintes aux systèmes de traitement automatisé de données dénommé « MISP-PJ ».

Dans sa délibération, datée du 24 juin 2021, la CNIL précise que l'acronyme correspond à « Malware Information Sharing Platform - Police Judiciaire ». MISP est en l'espèce le nom de la plateforme open source de « threat intelligence » développée, notamment, par un groupe de développeurs du Computer Incident Response Center Luxembourg (CIRCL), et co-financée par l'Union européenne.

L'objectif de MISP est de « stocker et corréler des indicateurs de compromission d'attaques ciblées, mais également des informations sur les menaces telles que les informations sur leurs auteurs », et de les partager avec les autres utilisateurs de plateformes MISP.

Initialement conçu en 2011 par Christophe Vandeplas, qui était alors expert cybersécurité au ministère de la Défense belge, le projet, alors intitulé CyDefSIG (pour Cyber ​​Defense Signatures), commença à intéresser l'OTAN en 2012, qui le renomma MISP et en fit la promotion dans le monde des computer emergency response team (CERT).

En tant que plateforme de collecte et de partage, son objectif est notamment de :

• Faciliter le stockage d'informations techniques et non techniques sur les logiciels malveillants et les attaques détectées ;
• Créer automatiquement des relations entre les malwares et leurs attributs ;
• Stocker les données dans un format structuré (permettant une utilisation automatisée de la base de données pour alimenter les systèmes de détection ou les outils forensiques) ;
• Générer des règles pour le système de détection d'intrusion réseau (NIDS) qui peuvent être importées sur les systèmes IDS (par exemple, adresses IP, noms de domaine, hachages de fichiers malveillants, modèle en mémoire) ;
• Partager les attributs des logiciels malveillants et des menaces avec d'autres parties et groupes de confiance ;
• Améliorer la détection des logiciels malveillants pour promouvoir l'échange d'informations entre les organisations (par exemple, en évitant les travaux en double) ;
• Créer une plate-forme de partage d'informations fiables provenant de partenaires de confiance ;
• Stocker localement toutes les informations provenant d'autres instances (en garantissant la confidentialité des requêtes).

La CNIL accueille favorablement ce projet

Dépendant de la direction générale de la police nationale, MISP-PJ a de son côté pour finalité « le renforcement de l'efficacité des investigations en matière d'atteintes aux systèmes de traitement automatisé de données », par la centralisation, le recoupement et l'analyse des informations recueillies ou contenues dans les procédures judiciaires ouvertes en la matière au sein des services de la police nationale et de la gendarmerie nationale.

MISP-PJ est alimenté par des données techniques issues, d'une part, des logiciels de rédaction des procédures judiciaires de la police nationale (LRPPN) et de la gendarmerie nationale (LRPGN) et, d'autre part, du traitement de recueil d'informations techniques relatives aux incidents de sécurité sur les réseaux et systèmes d'information mis en œuvre par le centre d'alerte et de réaction aux attaques informatiques de la police judiciaire (CSIRT-PJ).

Ce dernier relève de la division de l’anticipation et de l’analyse (D2A) de la sous-direction de lutte contre la cybercriminalité (SDLC) de la sous-direction de la lutte contre la criminalité organisée et la délinquance financière (SDLCODF) de la Direction Centrale de la Police Judiciaire (DCPJ).

Il a pour mission de lutter contre les formes organisées, spécialisées et transnationales de cybercriminalité, et son activité est centrée sur le soutien aux enquêtes judiciaires, et l'analyse de tendance et coopération avec la communauté des CSIRT (computer security incident response team, spécialistes de la cybersécurité).

La CNIL relève que la multiplication des risques liés à la cybersécurité et la sophistication croissante des moyens des attaquants « requièrent en effet une adaptation des outils à la disposition des services de police et de gendarmerie nationales » :

« La diversité des cibles et de l'origine des attaques peut justifier la recherche de rapprochements entre différentes situations. D'une manière générale, la Commission accueille favorablement ce projet qui contribuera à une lutte plus efficace contre la cybercriminalité. »

Des recoupements automatiques

MISP-PJ vise ainsi à permettre de recouper des éléments techniques (ou indicateurs de compromission) collectés dans les différentes procédures judiciaires. Ces recoupements seront effectués « automatiquement » au sein même de l'application MISP-PJ qui prévoit de signaler lorsque plusieurs dossiers partagent un indicateur technique identique.

Ils permettront aux enquêteurs de réaliser des liens entre certaines atteintes et ainsi faciliteront leurs investigations. La Commission prend acte de ce que le résultat des analyses de ces recoupements et les suites de l'enquête ne seront pas enregistrés dans le traitement MISP-PJ mais dans le dossier judiciaire.

L'arrêté précise que peuvent être enregistrées dans le traitement un large éventail de catégories de données à caractère personnel, à commencer par les personnes physiques ou morales victimes :

1. Nom, prénom(s), dénomination sociale ;
2. Adresses IP des serveurs de commande ou des machines compromises et utilisées pour l'atteinte aux systèmes de traitement automatisé de données ;
3. Numéro de procédure.

Sont également concernées, pour ce qui est des faits constatés :

1. Date, nature et circonstances des faits ;
2. Données et informations relatives à l'auteur de l'attaque : adresses électroniques, adresses IP, pseudonymes, nom(s) de profil sur les réseaux sociaux ou identifiants, nom(s) de domaine, numéro de port, courriel de demande de rançon, note de rançon, données relatives aux fichiers chiffrés et signature de fichier, adresse de portefeuille de monnaie virtuelle ;
3. Modalités et coordonnées de paiement.

Les services d'enquêtes accédant au traitement sont également concernés, à mesure qu'y figureront aussi la dénomination du service ainsi que l'adresse de courrier électronique de l'agent ayant effectué les constats.

La Commission prend encore acte de ce que les données enregistrées dans le traitement MISP-PJ issues du traitement mis en œuvre par le CSIRT-PJ seront exclusivement des adresses IP de serveurs de commande ou des machines impliquées dans les incidents de sécurité, des courriels et des adresses de cyber-monnaies et pseudonymes utilisés lors d'attaques.

La CNIL déplore l'absence d'analyse d'impact (AIPD)

Malgré ce large éventail de données personnelles, le ministère considère, « en accord avec le délégué ministériel à la protection des données », que, « dans la mesure où le traitement MISP-PJ n'est pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes », la réalisation d'une analyse d'impact relative à la protection des données à caractère personnel (AIPD) « n'est pas nécessaire ».

La Commission lui « rappelle toutefois que la réalisation d'une AIPD est recommandée même lorsqu'elle n'est pas obligatoire, notamment au regard des finalités poursuivies par le traitement et à son périmètre ».

Elle permettrait « notamment » au ministère d'évaluer si des risques nouveaux relatifs aux personnes concernées et liés au fait de centraliser les informations doivent être pris en compte ainsi que de suivre l'évolution de ces risques au fur et à mesure de la montée en puissance du dispositif.

Le ministère a également précisé à la CNIL qu'en plus des données issues des procédures judiciaires en cours, MISP-PJ pourra aussi être alimenté par des données techniques issues de sources ouvertes telles que des articles de sociétés d'antivirus et de sociétés de services en cybersécurité travaillant sur des familles de rançongiciels ou autres logiciels malveillants.

La Commission considère qu'« une vigilance particulière doit être prêtée au recueil de données via des sources ouvertes, afin de s'assurer que seules les données strictement nécessaires aux finalités poursuivies par le traitement soient traitées et enregistrées » :

« À cet égard, la Commission relève que la réalisation d'une AIPD permettrait au ministère d'identifier les mesures de sécurité adéquates pour éviter une collecte trop large de données issues de sources ouvertes. »

En outre, et faute d'AIPD, la CNIL « ne peut se prononcer en profondeur » s'agissant des aspects relatifs à la sécurité des données et à la traçabilité des actions liées à MISP-PJ. Ce pourquoi elle recommande précisément l'élaboration d'une AIPD « précisant les solutions techniques déployées en vue de couvrir les risques liés aux données traitées ».

Des données enregistrées manuellement...

L'arrêté, lui, précise que « les opérations de collecte, de modification, de consultation, de communication, y compris les transferts et d'effacement des données à caractère personnel et informations font l'objet d'un enregistrement » :

« Les opérations de consultation et de communication enregistrées établissent l'identifiant de l'auteur, la date, l'heure, le motif de l'opération et, le cas échéant, les destinataires des données. Ces informations sont conservées pendant six ans. »

La Commission rappelle de son côté qu'« il n'est pas possible de motiver la durée de conservation des données de traçabilité pour la seule durée de prescription des infractions pénales liées au mésusage des données du traitement par ceux qui y accèdent ».

Elle estime dès lors qu'une conservation des traces pour une durée de trois ans pourrait être considérée comme justifiée, mais son avis n'a donc pas été suivi. Elle rappelle, en tout état de cause, que celle-ci devrait s'accompagner d'un système automatisé de gestion d'alertes permettant la détection d'un usage malveillant de la solution déployée.

Le ministère précise par ailleurs que les données contenues dans le traitement seront « enregistrées manuellement ». La CNIL « recommande à cet égard de retenir des modalités d'importation automatique ».

Elle « s'interroge » en effet sur « les risques induits par un enregistrement manuel », et sur « les garanties techniques et organisationnelles » permettant d'assurer la qualité des données ainsi enregistrées dans le traitement MISP-PJ, « ainsi que l'intégrité de ces données dans le temps ».

... et effacées manuellement

Les données entrées dans le fichier sont elles aussi conservées pendant six ans à compter de leur enregistrement. Ce que le ministère justifie, d'une part, par le fait que les auteurs des infractions visées peuvent réutiliser les mêmes indicateurs de compromission à plusieurs reprises sur de longues périodes et, d'autre part, par le fait que cette durée correspond au délai de prescription en matière délictuelle.

En réponse à la Commission, qui relevait que la durée de conservation des données n'était pas modulée selon les suites judiciaires apportées, le ministère a précisé que ces dernières ne sont pas enregistrées dans MISP-PJ.

La CNIL souligne la nécessité de veiller à ce que seules les données strictement nécessaires aux finalités poursuivies par le traitement soient enregistrées, « notamment en supprimant les signalements et plaintes dont l'analyse aura permis de déterminer qu'ils ne portent pas sur des atteintes aux systèmes de traitement automatisé de données » ou encore en supprimant « les signalements et plaintes qui n'auraient pas déclenché l'ouverture d'une procédure judiciaire ou auraient été classés sans suite après enquête ».

La Commission prend également acte de ce qu'une vérification trimestrielle est réalisée, au cours de laquelle un état des données dont la conservation excède le délai prescrit est établi :

« Les données concernées sont alors effacées manuellement par les personnes disposant de droits d'administrateur. La Commission recommande néanmoins la mise en œuvre d'une suppression automatisée permettant d'assurer une conservation des données n'excédant pas la durée de conservation établie. »

OCLCTIC, C3N, BL2C, OPJ & Cie

La liste des personnes pouvant accéder aux données et informations ou en être destinataires, « à raison de leurs attributions et dans la limite du besoin d'en connaitre », n'appelle pas de remarque de la Commission. Là aussi, l'éventail est plutôt large :

• agents de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) de la DCPJ ;
• agents du centre de lutte contre les criminalités numériques (C3N) de la direction générale de la gendarmerie nationale ;
• agents de la brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police ;
• magistrats du ministère public et agents des services judiciaires du tribunal judiciaire de Paris agissant sous leur autorité ;
• agents des services de la police nationale et les militaires de la gendarmerie nationale exerçant des missions de police judiciaire et pour les seuls besoins d'une enquête judiciaire ;
• magistrats chargés de l'instruction pour les recherches relatives aux infractions et procédures dont ils sont saisis ;
• organismes de coopération internationale en matière de police judiciaire et les services de police étrangers qui présentent, conformément aux prescriptions de l'article L. 235-1 du Code de la sécurité intérieure un niveau de protection suffisant de la vie privée, des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

La CNIL ne mentionne pas depuis quand MISP-PJ serait en fonction, mais la fiche de présentation du CSIRT-PJ indique que le service aurait été créé en avril 2014. Le CSIRT-PJ a par ailleurs créé son compte Github en février 2020, et commencé à contribuer au dépôt MISP le 1er avril 2021.

Une guéguerre des polices ?

La gendarmerie ne semble pas avoir de CERT, ce qui pourrait expliquer ce pourquoi MISP-PJ est rattaché au CSIRT-PJ, et donc à la police nationale. Et ce, alors que le commandement de la gendarmerie dans le cyberespace (ComCyberGend) est devenu opérationnel en août 2021.

Un rattachement qui intervient alors que la rivalité qui opposerait les policiers de l'OCLCTIC et les gendarmes du C3N (qui relève du ComCyberGend) fait la « une » du Canard Enchaîne. Son édition du 22 décembre 2021 brocardait en effet « les ratés de la guerre française contre la cybercriminalité ».

Nos confrères rappellent qu'en juin 2021, un rapport de la Cour des comptes consacré au bilan du rattachement de la gendarmerie au ministère de l'Intérieur dédiait ainsi l'un de ses chapitres au fait que « La lutte contre la cybercriminalité souffre d’un défaut de coordination entre les deux forces » :

« Il est observé aujourd’hui que la situation duale entre la DCPJ et la DGGN conduit à un défaut de visibilité et de cohérence dans la lutte contre la cybercriminalité. Par ailleurs, le champ de compétence de l’OCLCTIC est proche de celui du C3N.

Ainsi, ces deux structures sont chacune à la tête d’une chaîne opérationnelle qui irrigue chaque force de sécurité en intervenant en appui d’enquêtes engagées dans les territoires, mais la coordination et l’échange d’informations sont rares. »

Le Livre blanc de la sécurité intérieure proposait à ce titre la création d’un service à compétence nationale, « commun aux deux forces mais rattaché organiquement à la DGGN ». Le ministère de la Justice rejoignait alors l’analyse de la Cour, mais estimait que dans des contentieux lourds comme celui des rançongiciels, la désignation de la DGPN sur ces mêmes contentieux pourrait être pertinente.

Le GIGN aurait contribué à l'identification de rançonneurs

En l'espèce, le Canard relève qu'en octobre, le Syndicat indépendant des commissaires de police s’était fendu d’un communiqué furibard dénonçant « une offensive à peine larvée de la gendarmerie dans le but d’obtenir une compétence quasi exclusive en matière de lutte contre la cybercriminalité ».

Quatre mois avant la présidentielle, écrit notre confrère, « Darmanin n’a envie de se fâcher ni avec les syndicats de police ni avec l’institution gendarmesque » :

« À peine avait-il visité, le 4 novembre à Nanterre, les cyberflics de l’OCLCTIC qu’il filait le lendemain à Pontoise au C3N des gendarmes ! Quant à la création d’un office unique, elle est repoussée aux calendes grecques. »

Taquin, le Canard souligne également que les gendarmes du GIGN interviennent également désormais en tant que « négociateurs entre hackers et hackés », compétence que ne possèdent pas les flics d'élite du Raid :

« Pendant que les experts du C3N s’affairent sur les serveurs, le GIGN dialogue et gagne du temps pour cerner le profil des pirates et, si possible, les localiser. »

Ce qui aurait aussi permis, depuis, et « grâce aux infos recueillies par le GIGN durant la négociation », d'arrêter les rançonneurs du gang Ragnar Locker près de Kiev.