Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybergendarmes : la force technique alliée à celle de l’investigation

janvier 2015 par Emmanuelle Lamandé

En amont du Forum International de la Cybersécurité, qui réunira près de 4 000 personnes à Lille les 20 et 21 janvier prochains, nous avons pu rencontrer le service de recherches de la gendarmerie de Paris, ainsi que le Centre de lutte contre les Criminalités Numériques (C3N) au Pôle judiciaire de la gendarmerie nationale à Rosny-sous-Bois.

La gendarmerie travaille depuis plus de 20 ans sur les questions de cybercriminalité. Elle doit cependant s’adapter en permanence à la transformation numérique de la société, et répondre à trois principales obligations : la capacité d’anticiper les menaces, la prévention et la sensibilisation, ainsi que la répression. Le dispositif qu’elle a mis en place en ce sens s’articule autour de trois axes :
- Un réseau territorial pleinement impliqué dans le domaine cyber : la police judiciaire compte aujourd’hui 1 800 spécialistes NTECH ;
- Un pôle d’expertise au niveau national, qui anime ce réseau territorial ;
- L’appui sur des partenariats variés et multiples. Le FIC est un exemple de ces partenariats. A l’occasion du FIC 2014, la création du CECyF (Centre Expert de lutte contre la Cybercriminalité Français) a d’ailleurs également été annoncée, dont la gendarmerie est un membre fondateur. Elle a, en outre, participé à la création d’un réseau cyberdéfense avec le réseau État-major des Armées.

La section de recherches (SR) de la gendarmerie de Paris est l’une des 35 sections de recherche en France. Elle s’articule autour de quatre grandes divisions : une division « atteintes aux personnes », une division « criminalité organisée », une dédiée aux « atteintes aux biens » et une à la « délinquance économique, financière et numérique ».

La SR de Paris fait partie de la communauté NTECH. Cette communauté comprend aujourd’hui 253 NTECH (spécialistes et personnels les mieux formés), 1 500 Correspondants NTECH (C-NTECH), 37 A-NTECH (soutien informatique), mais aussi les P-NTECH. Il s’agit de tous les enquêteurs de proximité, qui doivent désormais suivre une formation au numérique en ligne de 4 heures. Un forum commun est dédié à tous les participants de cette communauté NTECH.

La SR de Paris participe à cette communauté NTECH notamment au travers de sa division « délinquance économique, financière et numérique ». Plusieurs personnes travaillent au sein de cette entité et portent une double casquette. On y retrouve ainsi 3 NTECH, 3 agents habilités à la cyberinfiltration et 4 analystes en recherche criminelle. Elle dispose également de 15 C-NTECH, formés à la section de recherches. Sans compter la sensibilisation de l’ensemble des officiers des différentes divisions aux aspects de cybercriminalité.

Le numérique fait désormais partie intégrante de toutes les enquêtes

L’objectif du pôle NTECH est avant tout de garantir la traçabilité de la preuve numérique. Les données numériques sont partout et le numérique est désormais présent dans l’ensemble des investigations de la SR de Paris. On observe, en effet, actuellement une véritable transversalité du numérique dans toutes les affaires. Même si l’infraction n’est pas spécialisée « cyber », l’analyse et l’exploitation de supports numériques, tels que les smartphones, est dorénavant chose courante dans les enquêtes. La criminalistique numérique est devenue un axe important de la tenue des investigations. Il peut s’agir par exemple de l’exploitation de téléphones dans les enquêtes, pendant les périodes de garde à vue, l’assistance dans la recherche d’adresses IP, l’investigation sur des serveurs d’entreprises… Ces investigations nécessitent, de plus, une réelle technicité, notamment dans le cas de cyberinfiltration. Concrètement, on peut citer quelques exemples d’investigations à la SR. Parmi les affaires liées à des infractions cybercriminelles, on retrouve les dossiers liés à la pédopornographie, ceux de l’ARJEL, les cas de cyberinfiltration, mais aussi les faux ordres de virements internationaux (FOVI), véritable phénomène aujourd’hui. Plusieurs cas sont recensés chaque semaine. Les auteurs de ces escroqueries font preuve d’un culot fou, puisqu’ils n’ont pas peur d’appeler directement les personnes identifiées comme ayant de la valeur dans tel ou tel groupe pour obtenir les informations souhaitées. Du côté de l’assistance criminalistique, on peut noter par exemple l’investigation sur les serveurs informatiques en entreprise ou dans une administration…

En ce qui concerne la cyberinfiltration, les gendarmes ont la possibilité depuis 2009 de naviguer sous pseudonyme sur Internet. La cyberinfiltration est notamment utilisée pour lutter contre la pédopornographie, mais pas seulement. Elle est dorénavant autorisée pour traiter des cas relatifs à la traite des êtres humains, à la santé publique et à l’apologie du terrorisme. Un enquêteur spécialisé, habilité par l’autorité judiciaire, peut désormais participer sous pseudonyme à des échanges électroniques, être en contact avec les suspects d’une infraction, tant qu’il n’incite pas à l’infraction, et échanger des contenus illicites sur demande expresse. Pour ce qui est de la pédopornographie, deux enquêteurs sont toujours simultanément à la manœuvre en cas de cyberinfiltration, cette action étant à la fois complexe et déstructurante pour les enquêteurs, qui bénéficient d’ailleurs d’un soutien psychologique dans cette démarche. Elle nécessite, de plus, une certaine technicité afin d’être en mesure de capter la preuve. Un cybergendarme raconte qu’en se rendant par exemple sur le site de chat coco.fr, avec un profil de jeune fille, il ne faut souvent pas plus de 5 minutes pour recevoir des propositions de relations sexuelles, y compris tarifées. L’échange direct sur Internet permet aux enquêteurs de voir jusqu’où iront ces propositions (images, rendez-vous…), et de déterminer s’il s’agit de pédophiles, pédosexuels ou pédocriminels. L’acceptation de rendez-vous physiques permet, en outre, de les interpeller au moment où ils sont prêts à passer à l’acte.

De nombreux outils au service des enquêteurs, mais aussi des criminels…

Pour les accompagner dans leurs enquêtes, les investigateurs peuvent recourir à différents matériels spécifiques permettant d’analyser les supports numériques : copieurs, adaptateurs et bloqueurs forensic... Afin de préserver l’intégrité de la preuve numérique, et de pallier au risque d’effacement ou de modification des données et des supports d’enquête, l’enquêteur va venir dans un premier temps bloquer le support, disque dur par exemple, en écriture et en faire une copie bit à bit sur un disque dur vierge. L’objectif est de pouvoir travailler sur un support identique sans altérer l’original. La brigade dispose également de matériels spécifiques pour la téléphonie. Pour ce faire, elle a recours à la gamme de produits Cellebrite UFED, permettant d’extraire tout ou partie des données, même effacées, d’un téléphone (SMS, annuaire…).

Cependant, il ne faut pas perdre de vue que la plupart des outils utilisés par les enquêteurs le sont aussi par les criminels, qui ont d’ailleurs une large panoplie d’outils à leur actif permettant l’usurpation d’identité. C’est le cas par exemple pour cloner les badges d’accès aux locaux, aux entreprises… Chaque badge dispose a priori d’un identifiant unique, mais tout à fait reproductible, grâce à un dump du badge, comme le démontre Gwénaël Rouillec. C’est également chose simple de copier un passeport, même biométrique, grâce à un outil permettant de casser le chiffrement et de récupérer l’ensemble des informations du passeport, y compris le certificat numérique, l’empreinte…

Toutefois, contrairement aux attaquants, les gendarmes doivent faire face à un cadre juridique très strict, ce qui nécessite un peu plus de temps pour trouver la solution adaptée. Ils disposent cependant d’autres moyens d’investiguer, puisque l’investigation physique leur permet dans certains cas d’affiner l’investigation numérique et vice versa. Ces cybergendarmes de la section de recherches de Paris peuvent également compter sur le support de l’ensemble du Pôle judiciaire de la gendarmerie nationale et de son Centre de lutte Contre les Criminalités Numériques (C3N), et de ses autres partenaires pour lutter contre ces criminels.

Le C3N vise à renforcer la collaboration entre les différents acteurs d’une enquête

Tout le monde est aujourd’hui touché de près ou de loin par la délinquance numérique, explique Eric Freyssinet, Chef du Centre de lutte Contre les Criminalités Numériques (C3N) de la Gendarmerie nationale. Cela nécessite de repenser la façon dont est organisée la lutte contre la criminalité et de moderniser les moyens à disposition des équipes. A l’heure actuelle, la lutte contre la cybercriminalité ne fait plus l’objet d’un seul pôle dédié. Plusieurs équipes sont en charge de la criminalité numérique et tous les gendarmes ont un rôle à jouer en la matière. Les équipes techniques doivent travailler de concert avec les équipes en charge des investigations. C’est d’ailleurs ce qui prévaut à la création du Centre de lutte Contre les Criminalités Numériques : renforcer la collaboration entre les différents acteurs d’une enquête.

Le Pôle judiciaire de la gendarmerie nationale et son C3N interviennent en appui et en support national des enquêteurs NTECH et des C-NTECH, présents aux niveaux régional et départemental, mais aussi des P-NTECH. Trois départements composent le C3N :

- Le Département de la Prospective et de l’Animation Territoriale (DPAT) : il regroupe le Guichet unique téléphonie et Internet (GUTI), en charge notamment de faciliter la relation avec les opérateurs ; la Section prévention et suivi des phénomènes sur Internet (PSPI) ; la Section animation NTECH-Formation-R&D ; et le CNAIP (Centre national d’analyse des images de pédopornographie). Ce dernier centralise et conserve les contenus (images et vidéos saisies au cours des enquêtes judiciaires) en vue d’effectuer des rapprochements sur demande ou initiative. Il fournit également les contenus illicites servant aux enquêtes sous pseudonyme. « Chaque image servant à la cyberinfiltration est utilisée pour un usage unique et tracée, de manière à pouvoir matérialiser la preuve une fois la personne malveillante interpellée », expliquent les enquêteurs de ce Centre. Ils doivent cependant faire face à différentes problématiques de traitement : des volumes saisis très importants, une origine étrangère dans une grande majorité des cas, l’impact de la visualisation nuisible aux analystes… même s’ils peuvent toutefois s’appuyer sur certains outils de traitement, comme le logiciel PAT, développé par le PKA allemand pour la police dans le monde, ou encore le logiciel LACE de BlueBear… Il reste malheureusement beaucoup plus simple d’être pédophile aujourd’hui avec Internet, même si ce dernier permet aussi de détecter plus facilement les criminels.

- Le Département de lutte contre les atteintes aux Systèmes de Traitement Automatisé de Données (DSTAD). Parmi les cas d’atteintes aux STAD, le département a pu recenser plusieurs phénomènes majeurs : les ransomwares ou rançongiciels, les RAT (Trojans d’administration à distance) et les attaques en déni de service (DDoS), dont le ministère de la Défense a d’ailleurs récemment été victime. Pour pallier ces menaces, plusieurs initiatives ont vu le jour, telles que stopransomware.fr ou plus récemment antibot.fr, un site d’information et d’aide à la détection des botnets développé dans le cadre d’un projet européen.
Sur environ 2 500 cas remontés comme étant cyber en novembre 2014, près de 73% des cas étaient des escroqueries, plus de 11% des atteintes aux STAD, environ 10% des atteintes à la vie privée et usurpation d’identité…, observe Eric Freyssinet. Le préjudice global sur ce mois de novembre est estimé à près de 4 millions d’euros. Après ces chiffres ne reflètent pas véritablement la réalité des menaces, puisque beaucoup de personnes ne portent pas plainte, quand elles sont victimes de virus par exemple. Le nombre d’atteintes aux STAD devrait d’ailleurs, en ce sens, être beaucoup plus élevé. Dans la majorité des cas, les atteintes aux STAD servent, en outre, à faciliter les infractions économiques et financières, principalement des escroqueries via une usurpation d’identité ou un compte client.

- Le Département de lutte contre les activités illicites sur Internet (DA2I), qui comprend une Section atteintes aux mineurs et violences aux personnes (SAMVP), telles que le proxénétisme, la traite des êtres humains, la discrimination, la haine raciale…, et une Section des atteintes aux biens (SAB), comme par exemple la contrefaçon. Le département recommande en ce domaine le site contrefacon.fr, qui permet de donner le niveau de confiance d’un site Internet aux utilisateurs. Ces derniers peuvent également télécharger gratuitement un plugin dans leur navigateur qui pourra les avertir directement si tel site est fiable ou non.

INL : le département qui fait parler vos supports numériques les plus récalcitrants

Le C3N intègre, de plus, dans ses activités le Département INformatique-Electronique (INL), rattaché à l’IRCGN. Ce département de 17 personnes dispose de 3 unités d’expertise complémentaire : l’UEED (Unité d’expertise extraction de données), l’UETI (Unité d’expertise traitement de l’information) et l’UEXT (Unité d’expertise réseaux et télécommunications). Comme l’explique le Chef d’escadron Cyril Debard, qui travaille au sein de l’UEED, sa mission consiste à extraire les données de tous les supports numériques arrivant dans le département. Cela concerne les dossiers les plus compliqués que les autres NTECH présents sur le territoire ne pourront pas traiter, comme par exemple des disques durs relativement abîmés, brûlés, altérés par l’eau de mer… Ce laboratoire de Rosny-sous-Bois est, en effet, le plus à la pointe de la technologie et dispose même d’une salle blanche. Cependant, chaque cas est spécifique et complexe, ce qui nécessite souvent du temps et parfois le recours à des systèmes D. Les nouvelles techniques de recherche et d’analyse naissent d’ailleurs généralement dans ce laboratoire avant d’être enseignées à l’ensemble des enquêteurs concernés au niveau national. Sur les 180 dossiers traités l’an passé, entre 70% et 80% des cas concernaient l’extraction de données sur des disques durs ou de la téléphonie. Après on y retrouve également des terminaux de paiement… ou des objets plus « atypiques » comme des drones. A part dans des cas extrêmes, si le plateau du disque dur a par exemple été endommagé avec une perceuse, cette unité arrive quasiment à chaque fois à exfiltrer les informations présentes sur le support. Pour ce faire, elle va dans un premier temps identifier le composant mémoire sur lequel sont stockées les données, le dessouder à l’aide d’une station infrarouge. Une fois le composant dessoudé, elle pourra le lire via un adaptateur (socket mobile) et extraire les données sur écran, qui seront ensuite transmises aux autres unités (UETI et UEXT). 24 To de données ont été analysées en 2012, 35 To en 2013. Ce chiffre devrait continuer à croître de manière exponentielle. Plusieurs défis se posent de plus encore aux enquêteurs, selon Cyril Debard : être capable de faire du live forensic, et non plus uniquement de l’analyse post-mortem, répondre aux problématiques du chiffrement des données à récupérer et du Cloud, les données étant stockées sur des serveurs à distance et non plus les ordinateurs… Sans compter les autres axes de recherche que représentent les GPS, les véhicules connectés…

La lutte contre la cybercriminalité est une course sans fin pour les cybergendarmes, mais s’avère grandement facilitée par la collaboration entre les différents acteurs d’une enquête, alliant la force technique à l’investigation et à l’arsenal juridique. La possibilité d’effectuer dorénavant des enquêtes sous pseudonymes dans certains cas bien précis simplifie, en outre, le travail des enquêteurs et sera certainement amenée à s’étendre dans les années à venir.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants