« Défacement » de sites parlementaires français, usine de production d’électricité ukrainienne indisponible, fuites de données, attaques par déni de service… : la médiatisation croissante de la cybercriminalité révèle non pas une réelle nouveauté, puisque le phénomène existe quasiment depuis les débuts d’Internet dans les années 1980, mais sa massification.
L’augmentation de cette nouvelle forme de criminalité et de ses enjeux, dans un monde toujours plus interconnecté, appelle une réponse des pouvoirs publics. La police nationale et, en son sein, les directions spécialisées sont en première ligne dans cette lutte. L’action de la
L’enquête policière
La première réponse qu’apporte la police à la cybercriminalité est l’enquête policière. Rassemblés au sein de
L’enquête sur une intrusion dans un système de traitement automatisé de données débute par une importante phase d’investigations numériques. Les policiers collectent les éléments de preuve présents sur les supports fournis par la victime. Il s’agit en général de disques serveurs sur lesquels seront recherchés des fichiers de journalisation. Ceux-ci contiennent toutes les opérations effectuées par tout utilisateur présent dans le système. On peut y découvrir ainsi par quel biais le pirate s’est introduit dans l’ordinateur de la victime et les opérations qu’il y a effectuées : prise de contrôle, vol de données, destructions, compromission.
Vient ensuite la tâche consistant à identifier l’origine de l’attaque. Cela passe par de l’investigation sur les traces réseaux, elles aussi présentes dans le système attaqué. L’objectif est d’obtenir l’adresse IP de l’attaquant. Une fois cette adresse obtenue, il est possible de la faire identifier par l’opérateur téléphonique. Si elle correspond à un abonnement régulier en France, la personne pourra être convoquée, voire interpellée chez elle. Si cette adresse correspond à un point d’accès public, tel un hotspot ou un cybercafé, l’enquête continue selon des modalités beaucoup plus proches de l’enquête traditionnelle : exploitation des éventuelles caméras de vidéoprotection, publiques ou privées, enquête de voisinage (gérant du cybercafé, riverains), surveillance, voire filatures. L’objectif est d’identifier formellement l’auteur avant de l’interpeller. Si l’adresse IP considérée se situe à l’étranger, le résultat de l’enquête dépendra fortement du niveau de coopération avec les autorités du pays considéré. Si la coopération avec les pays limitrophes est très efficace, elle l’est moins avec certains États pratiquant une politique bienveillante à l’égard des hackers agissant depuis leur territoire tant qu’ils ne « travaillent » pas sur le sol national.
Une fois interpellé, l’individu est interrogé sur les éléments collectés par les policiers. Il est ensuite présenté au magistrat qui statue sur son sort.
Coopération internationale et logiciels malveillants
Du fait de la nature transnationale d’Internet, la coopération internationale est omniprésente dans l’enquête en matière de cybercriminalité. Les polices de tous les pays sont amenées à collaborer extensivement en matière de cybercriminalité, que ce soit de manière bilatérale ou au sein d’instances ad hoc. Ainsi, Europol et Interpol, les deux grandes organisations de police internationales, sont très actives en matière de cybercriminalité. En articulation, pour la France, avec la SDLC, elles collectent l’information et la rediffusent afin de créer le lien nécessaire entre les pays. Elles ont aussi un rôle incitatif voire opérationnel en coordonnant des opérations de grandes ampleurs. Ainsi, l’opération GoNoGo visant à démanteler le botnet Zeus a donné lieu à des interpellations dans pas moins de six pays d’Europe. Ce botnet avait infesté un million de machines partout dans le monde entre 2013 et 2014. L’opération a duré 48 heures et a impliqué des policiers de dix pays pour procéder à la saisie des serveurs.
Par leur nature tentaculaire, les botnets, ensemble de machines infectées par des logiciels malveillants et communiquant entre elles, soulèvent des problèmes spécifiques. Il est nécessaire de neutraliser l’ensemble des machines du parc pour que celles-ci ne soient pas à nouveau utilisées dans un autre botnet. Pour ce faire, les policiers doivent saisir et déconnecter le maximum de serveurs de contrôle. Ils se coordonnent, en général sous l’égide d’une organisation policière, Europol ou Interpol, afin que les opérations de déconnexion soient simultanées. Il s’agit de la seule méthode connue, en plus de l’interpellation des auteurs, pour neutraliser efficacement un botnet et éviter qu’il ne soit revendu au marché noir pour être utilisé à nouveau.
L’analyse forensique
L’analyse forensique consiste en la récupération de contenus sur un disque dur. Il s’agit de l’opération principale dans la collecte de preuves numériques. Les investigateurs en cybercriminalité (ICC) sont spécialement formés aux techniques d’investigation et de collecte de preuves numériques. Les supports saisis peuvent être des disques durs ou bien des serveurs (dans le cas du démantèlement d’un botnet par exemple). Les enquêteurs recherchent ensuite les différents éléments pouvant permettre à l’enquête de progresser : fichiers effacés, connexions réseau, wifi, bluetooth, etc. L’enquête doit obéir à un formalisme très strict, garant de la loyauté et de la validité des preuves collectées. Ces investigations demandent une forte technicité et un investissement sur le long terme de la part des policiers ayant la qualification d’ICC. Formés par la DCPJ, ils peuvent ensuite prétendre à la certification à l’issue de trois ans de pratique et la présentation d’un dossier.
La lutte contre les contenus illicites du net
Au moyen de la plateforme Pharos, la SDLC lutte activement contre les contenus illicites sur Internet. Les internautes peuvent signaler sur www.internet-signalement.gouv.fr toute adresse de site frauduleux : contenu pédopornographique, site de phishing, apologie du terrorisme… Le signalement est alors analysé par un policier qui vérifie la réalité de l’infraction et initie une procédure judiciaire. L’adresse IP rattachée au site frauduleux est ensuite identifiée et la procédure est transmise au service territorialement compétent. Ce dispositif permet d’associer les citoyens à la défense d’un Internet plus sûr et de faire participer la société civile à la lutte contre la cybercriminalité.
La prévention et l’anticipation
En matière de cybercriminalité, la police ne se cantonne pas à un rôle répressif et travaille à prévenir les infractions. Plusieurs leviers sont employés pour travailler en amont et être proactif dans la lutte contre la cybercriminalité.
La police judiciaire travaille ainsi à développer la prévention à destination des entreprises et du grand public, cibles privilégiées des cybercriminels, car les plus vulnérables. Elle sensibilise les acteurs, banques, grandes entreprises, relais – notaires et assureurs notamment –, afin de donner à ceux-ci les clefs pour être les premiers intervenants dans la lutte contre les cybercriminels. Comme dans le cas de la prévention des cambriolages, des gestes simples (fermer sa porte à clefs/tenir ses logiciels à jour) permettent de stopper la grande majorité des attaques.
Poussant le concept plus loin, un guide des bonnes pratiques a été élaboré. Organisé en dix points, il recense les mesures de base permettant de prévenir la plupart des attaques (mise en place de sauvegardes, mots de passe forts, attitude à adopter face à un mail suspect). L’objectif est de s’adresser à tous sans technicité excessive.
Un dernier levier très important dans l’anticipation est apporté par les partenariats public-privé. La police met à profit l’expertise des partenaires du secteur privé pour lutter activement contre les cybercriminels. Formalisés sous la forme de conventions partenariales, les partenariats encadrent et sécurisent juridiquement les échanges d’information entre secteur public et secteur privé. Le partenariat public-privé est actuellement le médium privilégié pour toute opération efficace : il permet d’amplifier le travail policier et d’en renforcer l’efficacité. Ainsi, dans le cadre de l’action de l’association Phishing Initiative, un partenariat organisant l’échange d’information entre la SDLC et l’association a été signé. Les signalements de sites frauduleux recueillis par la sous-direction sont transmis à Phishing Initiative. Ils sont alors ajoutés à la liste des navigateurs Firefox, Edge, Chrome et Safari. Lorsqu’un internaute tente de se connecter, une alerte l’informant du caractère frauduleux du site s’affiche. Ce dispositif vient renforcer celui de Pharos qui ouvre systématiquement une procédure judiciaire lors du signalement d’une infraction commise en ligne.
La cybercriminalité est, à l’image des technologies qui la rendent possible, en perpétuelle mutation. La police judiciaire, en première ligne dans la lutte contre les formes organisées et transnationales de criminalité, suit une évolution similaire afin d’apporter au public la sécurité auquel il a droit, y compris en ligne.
