Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les cybergendarmes sur les traces de vos supports numériques

janvier 2014 par Emmanuelle Lamandé

En amont du Forum International de la Cybersécurité, qui ouvrira ses portes les 21 et 22 janvier prochains à Lille, nous avons pu rencontrer le service des cybergendarmes du Pas-de-Calais - N’Tech 62 - à Arras. Les missions de ces gendarmes, engagés au quotidien dans la lutte contre la cybercriminalité, sont multiples et s’inscrivent aussi bien dans la prévention que dans la répression. Toutefois, l’objectif premier de cette cyberbrigade repose sur la préservation de l’intégrité de la preuve numérique, et ce quel que soit le support d’enquête.

Cette cyberbrigade se compose actuellement de 4 gendarmes N’Tech et d’un assistant technique N’Tech, installés au siège du groupement de gendarmerie du Pas-de-Calais, ainsi que de 43 Correspondants N’Tech répartis sur l’ensemble du territoire régional. Près de 250 gendarmes N’Tech couvrent actuellement le territoire national. Mais qu’est-ce que véritablement un gendarme N’Tech ? « C’est un technicien avant tout, mais aussi un enquêteur, qui endosse une double casquette : celle de gendarme et celle d’OPJ (Officier de Police Judiciaire) », explique l’Adjudant-Chef Laurent Frappart.

Leur action se situe aussi bien dans la prévention que dans la répression. L’objectif de la cyberbrigade est, avant tout, de rechercher les traces numériques et les indices, qui vont pouvoir venir renforcer les dossiers d’enquête. Entre autres missions judiciaires, elle assiste notamment les unités locales, examine les supports numériques, recueille les preuves numériques, assure une veille sur Internet pour constater les infractions, veille au respect de l’ordre public numérique dans la région du Pas-De-Calais et de l’exécution des lois dans le cyberespace… Concrètement, cela se traduit, par exemple, par l’analyse de disques durs, la saisie et l’exploitation des données recueillies sur tous types de supports, la recherche d’images pédophiles sur Internet, l’étude des réseaux sociaux… mais aussi l’édition de rapports, qui interviendront directement dans le cadre de procédures judiciaires.

Toutefois, cette cyberbrigade a également une mission d’information et de sensibilisation envers les scolaires, les entreprises, les collectivités territoriales… Pour assurer la prévention des dangers liés à Internet auprès des plus jeunes, la gendarmerie dispose également d’une brigade de prévention juvénile, qui intervient entre autres dans les écoles, collèges et lycées. Ce type de prévention passe notamment par la réalisation de modules présentant les dangers d’Internet à destination des enfants, à partir de 6 ans, mais aussi des parents, qui sont encore trop peu sensibilisés à ces problématiques.
L’objectif est également de sensibiliser le tissu économique local. La cyberbrigade a, en ce sens, instauré un certain nombre de partenariats avec les cadres de l’éducation nationale qu’elle forme, mais aussi auprès des entreprises et acteurs locaux victimes de piratage ou de problèmes liés à Internet. Elle collabore, de plus, avec ses confrères belges et britanniques sur l’échange de cas et de bonnes pratiques.

Ces cybergendarmes ont, en outre, en charge la sélection des personnels compétents dans ce domaine et leur formation continue, afin de répondre aux évolutions technologiques et d’entretenir les compétences.

Les champs d’action de la brigade sont donc nombreux et touchent à des domaines divers. Parmi les cas les plus fréquemment rencontrés actuellement, la cyberbrigade observe une recrudescence d’atteintes de systèmes d’information, mais aussi d’atteintes à la réputation, à la vie privée et aux droits d’auteur, une augmentation des vols d’identité, du phishing et des escroqueries, mais aussi des cas de pédophilie et de pédopornographie. La cyberbrigade participe également à des affaires plus communes, dans lesquels interviennent des supports numériques : téléphones, ordinateurs, tablettes... Entre autres cas, elle est souvent confrontée en entreprise à des problèmes de gestion des employés, qui partent avec des fichiers ou codes d’accès ou monnaient ces derniers en échange de leur place dans la structure, au piratage de serveurs qui contiennent des données nominatives, à des infractions de la Loi Informatique et Libertés, à la contrefaçon de cartes bancaires, ou encore de logiciels… Parmi les cas récents, il cite par exemple un lycée de la région qui, suite au piratage de son système téléphonique pendant les vacances scolaires, s’est retrouvé avec une facture de 9 000 euros de téléphone au retour de vacances. « Globalement, notre activité s’articule à 25/30% autour de cas de délinquance générale, à 20/25% autour de cas d’escroquerie et de vol d’identité ; le reste concerne principalement les infractions à caractère sexuel », indique l’Adjudant-Chef Laurent Frappart.

Disque dur, GPS, téléphone, carte bancaire… autant de supports qui en disent long sur leurs propriétaires

L’objectif premier du cybergendarme est d’être en mesure de pouvoir préserver l’intégrité de la preuve numérique, et de pallier au risque d’effacement ou de modification des données et des supports d’enquête. Le plus important lors de la récupération de scellés est effectivement le respect de l’intégrité du support numérique, explique le Maréchal des Logis Chef Niemenck. « Il faut que, dans 10 ans, d’autres experts puissent retrouver la même preuve que nous ». Pour ce faire, la cyberbrigade a recours à différents outils. Parmi eux, on retrouve, en premier lieu, le bloqueur Shadow 2 de Voomtech qui permet de bloquer le disque dur. Ce bloqueur en écriture permet de préserver la preuve numérique. Une copie bit à bit du support (scellé) est ensuite effectuée sur un disque dur vierge. L’objectif est de pouvoir travailler sur un support qui sera absolument similaire, lorsque nous récupérons et analysons un disque dur par exemple, sans altérer l’original. Une fois le support prêt à être analysé, les cybergendarmes disposent de plusieurs outils d’analyse. Un premier outil, WFRA, développé en interne et utilisé uniquement par les gendarmes, permet de dégrossir le terrain, en analysant par exemple les fichiers systèmes de Windows, les dates de connexions… Puis, la brigade fait appel à son logiciel d’analyse approfondie, X-Ways Forensics, lui permettant de pousser l’analyse en fonction de différents critères de recherche. Sans oublier bien sûr la recherche d’effacés. Le logiciel permet, par exemple, de scanner une clé USB soi-disant vierge et d’accéder aux partitions et aux données brutes de la clé USB, et ainsi récupérer l’ensemble des informations ayant été un jour copiées sur la clé. Cette étape connaît toutefois certaines limites, notamment dans le cas d’un effacement professionnel sécurisé. « Ces cas s’avèrent toutefois peu fréquents », souligne-t-il, « et sont transmis à nos collègues du Fort de Rosny-sous-Bois, qui disposent de technologies plus poussées et d’une salle blanche ». Une fois l’analyse effectuée, un rapport d’examen technique est généré et transmis aux enquêteurs en charge de l’affaire.

Les disques durs ne sont pas les seuls à être passés au crible par les cybergendarmes. En effet, GPS, cartes bancaires, téléphones… peuvent en dire beaucoup sur leurs propriétaires. Comme l’explique l’Adjudant Nicolas Devin, analyser un GPS s’avère notamment utile dans le cas de matériel volé, afin de retrouver le propriétaire du véhicule, mais aussi d’analyser l’itinéraire d’un délinquant ou criminel. Il est, par exemple, intéressant dans le cas du trafic de stupéfiants d’identifier d’où vient le dealer et vers où il se rend… Pour extraire ces données, le gendarme effectue un dump du GPS, c’est-à-dire une copie de la mémoire du GPS vers l’ordinateur. Ce n’est cependant pas le plus dur, remarque-t-il. La véritable difficulté réside dans l’analyse et l’interprétation des résultats obtenus. La gendarmerie utilise, afin de l’accompagner dans cette démarche, le logiciel Physical Analyser de la société Cellebrite. Toutefois, à l’heure actuelle, les éditeurs de logiciels n’arrivent pas encore à interpréter toutes les données, ni à les horodater, mais des évolutions devraient venir prochainement en la matière. Cet outil offre aussi la possibilité d’analyser les Smartphones.

La terminal UFED de Cellebrite nous permet également d’extraire les données de cartes SIM ou de cartes mémoire de téléphones vers nos ordinateurs, complète l’Adjudant Chef Cédric Delporte. Pour ce faire, le terminal identifie dans un premier temps la marque et la référence du téléphone mobile, afin de déterminer le câble de transfert adapté. Une fois ce câble branché, nous n’avons plus qu’à sélectionner les différentes données du téléphone, carte SIM, carte mémoire… que nous souhaitons transférer : contacts, SMS, MMS, agenda, navigation sur Internet... Par contre, ce type d’analyse connaît certaines limites. En effet, si les données sont chiffrées, il restera très difficile d’accéder aux données.

Pour ce qui est des cartes bancaires, la cyberbrigade dispose d’un logiciel et d’un lecteur de carte directement intégré à son matériel informatique (ou d’un périphérique dédié en situation de mobilité), lui permettant de récupérer les informations sur la puce de la carte, reprend l’Adjudant Nicolas Devin. Ces informations comprennent notamment le nom du détenteur de la carte, le type de carte, la date d’expiration, ainsi que les 40 dernières transactions de la carte datées. L’objectif, via ces différentes informations, est de pouvoir donner des éléments aux enquêteurs, afin qu’ils puissent poser des questions utiles aux personnes arrêtées, mais aussi de retrouver le propriétaire de la carte. « Les fraudes à la carte bancaire sont observées tous les jours » constate-t-il. « Il est, en effet, très simple aujourd’hui de réencoder une bande magnétique sur une piste vierge, et ce dans des délais très brefs. Ce peut, par exemple, être le cas lors d’un passage au péage, où une personne malintentionnée peut très simplement effectuer une copie de la bande magnétique de votre carte bancaire. Nous avons d’ailleurs été confrontés en la matière à des groupes de crime organisé issus des Pays de l’Est. Ce type de fraude sert également beaucoup à la revente des données de cartes bancaires sur Internet ».

Concernant les recherches sur Internet, et notamment sur les réseaux sociaux, la cyberbrigade a recours au logiciel d’investigation IEF (Internet Evidence Finder), explique l’Adjudant-Chef Laurent Frappart. Ce dernier permet d’analyser les réseaux sociaux de manière structurée, et de trier de manière intelligente les informations et les conversations en fonction des critères souhaités. « Nous pouvons ainsi faire ressortir les mots clés de recherche d’une personne, retrouver sa navigation sur Internet, même si elle se veut « InPrivate », ses discussions sur les réseaux sociaux, comme Facebook… La veille sur les réseaux sociaux permet, en outre, de rester en alerte sur certains actes criminels ou de délinquance ayant été commis. En effet, souvent les gens se vantent de leurs méfaits sur les réseaux sociaux. Ce fut le cas, par exemple, d’un groupe de tagueurs ayant sévi dans le centre ville d’Arras.

« Quel que soit le support numérique utilisé par les criminels, il existe quasiment toujours des failles et on ne fait généralement jamais chou blanc. Il est quasiment impossible, à l’heure actuelle, de ne pas laisser de traces numériques », conclut l’Adjudant Nicolas Devin.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants