Rétro-ingénierie, cryptanalyse, ingénierie sociale, malwares… Les gendarmes n’hésitent pas à s’inspirer des méthodes des cybercriminels pour mieux les combattre. Reportage.
L’homme démarre son PC portable, branche un mystérieux dispositif électronique sur lequel il pose un passeport biométrique français. Puis il tape une commande au clavier. « Voilà, je viens de récupérer tout le contenu du passeport : nom et prénoms, photo, empreintes digitales et même le certificat électronique. J’ai tout ce qu’il faut pour réaliser un double numérique parfait. Je pourrais créer une carte sans contact qui se comporte comme un vrai passeport biométrique et, par exemple, l’utiliser dans les passages automatisés de certains aéroports où il n’y a plus de vérification physique [tels que les systèmes Parafe en France, ndlr] », explique-t-il.
Gwénaël Rouillec n’est pas un hacker, en tous les cas pas au sens habituel où on l’entend. Il est Lieutenant de réserve à la Gendarmerie nationale et occupe, dans sa vie civile, le poste de Monsieur Cybersécurité au groupe Eiffage (RSSI). Et il adore la cryptographie et l’électronique. « Je suis comme Saint Thomas. Je mets en œuvre les moyens que je trouve sur Internet et je les modifie avec mon code. Cela me permet de prouver ce qui est possible et ce qui ne l’est pas. Avec mon travail, j’aide mes collègues gendarmes à mieux orienter leurs enquêtes et je leur fait gagner du temps », souligne-t-il, avant de siphonner, dans la foulée, une carte bancaire NFC et un badge sans contact d’entreprise. Rien ne lui résiste.
Pour enfoncer le clou, M. Rouillec sort un autre drôle d’engin qui lui permet de faire le même type de piratage, mais à distance, grâce à une antenne. « Tous ces composants électroniques ont été achetés sur Internet. Mais le plus important reste le code, qui vient de moi. »Evidemment, ce code, il ne le divulguera pas.
Mais Gwénaël Rouillec n’est pas le seul à cultiver l’esprit hacker à la Gendarmerie. Pour s’en rendre compte, il suffit de se rendre au Centre technique de la Gendarmerie nationale, à Rosny-sous-Bois. C’est ici que se trouve le « C3N », c’est-à-dire le Centre de lutte Contre les Cybercriminalités numériques. Dirigée par le colonel Eric Freyssinet, cette entité est le fer de lance de la Gendarmerie pour déjouer les pirates. Elle forme les gendarmes aux techniques de cyberenquête et intervient directement dans la résolution de certains gros dossiers. C’est le cas notamment du département informatique-électronique.
Les 17 personnes qui le composent sont des experts en rétro-ingénierie, en analyse de systèmes compromis et virologie. Ils reçoivent du matériel et du logiciel de toute la France, saisi dans le cadre d’enquêtes judiciaires. « Cette année, nous avons traité près de 190 dossiers. Un dossier peut nous prendre plusieurs semaines à plusieurs mois », explique le chef d’escadron Cyril Débard, debout dans son labo, vêtu d’une blouse blanche.
L’objectif n’est évidemment pas de compromettre des systèmes, mais de les faire parler, d’en extraire un maximum de données. En volume, les gendarmes du département informatique-électronique analysent plusieurs dizaines de téraoctets chaque année. La majeure partie est stockée dans des disques durs plus ou moins abimés. Ces derniers sont manipulés sous une hotte à flux laminaire, qui purifie l’air au-dessus du plan de travail et évite le dépôt de grains de poussière. Au passage, on découvre qu’un boîtier de disque dur est quand même assez solide. Même brûlé en partie, il permet de récupérer des informations intéressantes. « Si vous êtes pressés et que vous voulez vraiment rendre illisible un disque dur, transpercez-le avec une perceuse », nous souffle l’expert.
Mais les engins plus compacts tels que les smartphones, les GPS ou les cartes mémoire peuvent également être analysés. « Ici, on dessoude tout », précise le chef d’escadron, avant de s’asseoir devant une station de soudage infrarouge. Ce type de matériel – assez impressionnant – permet de désassembler les composants électroniques particulièrement compacts, qui n’ont pas de pattes apparentes sur lesquels se brancher. Equipé d’une lampe infrarouge, ce dispositif chauffe et ramollit le circuit imprimé, permettant de détacher les composants avec précaution.
Pour pouvoir lire les composants, les gendarmes sont souvent obligés d’effectuer une analyse par rétro-ingénierie du firmware, car il s’agit généralement de systèmes propriétaires. « On fait comme les hackers, car les industriels sont très peu coopératifs. Nous n’avons aucun moyen coercitif pour les contraindre à nous aider. Et de toute manière, ils sont presque tous basés à l’étranger », souligne Cyril Débard.
Ingénierie sociale et malwares
Mais la lutte contre les cybercriminels ne passe pas uniquement par l’analyse de logiciels ou de matériels : l’ingénierie sociale fait également partie de l’arsenal. A l’instar d’un pirate qui se fait passer pour le directeur d’une entreprise pour provoquer un virement bancaire, un gendarme peut se mettre dans la peau de quelqu’un d’autre pour infiltrer des réseaux criminels. Ce procédé – appelé enquête sous pseudonyme – est utilisé notamment pour la lutte contre le terrorisme ou la pédopornographie. « Vous êtes Mélanie, 13 ans, et vous vous connectez sur coco.fr. En l’espace de 5 à 10 minutes, vous pouvez entrer en contact avec un adulte intéressé », explique le major Etienne Neff, de la section recherches de Paris.
Mais le procédé est finalement assez peu utilisé. D’une part, il est long à mettre en place. « Il y a toute une légende à créer autour du personnage : ce qu’il aime ou n’aime pas, les lieux qu’il fréquente, son histoire, etc. Il faut compter six à douze heures pour un profil mineur, et une semaine pour un profil majeur », explique le major. D’autre part, la technique est parfois décriée par les avocats, car elle peut s’apparenter à une provocation du passage à l’acte.
Une autre technique, également issue du monde hacker, pourrait s’avérer beaucoup plus pratique : c’est l’utilisation de malwares et de chevaux de Troie. Juridiquement, les gendarmes ont déjà le droit de le faire depuis 2011, mais les solutions logicielles qui pourraient faire l’affaire n’ont pas encore obtenu l’agrément nécessaire. Cette méthode pourrait s’avérer particulièrement intéressante face à des criminels qui utilisent des solutions de communication chiffrée, une protection qui pourrait être contournée en infectant directement le terminal.