Gendarmes du cyberespace : « Les données sont là, tout autour »
Eric Freyssinet dirige la division de lutte contre la cybercriminalité qui a participé, vendredi, à une opération pour arrêter des dizaines « d’apprentis-pirates informatiques ». Il raconte son travail à Rue89.
Un gendarme à la Division de lutte contre la cybercriminalite de la Gendarmerie nationale, à Rosny-sous-Bois, en 2009 (WITT/SIPA)
Dans son domaine, le colonel Eric Freyssinet est un crack. Depuis quinze ans, ce gendarme quadragénaire, ingénieur de formation sorti de Polytechnique, travaille sur la dimension technologique et numérique des enquêtes judiciaires, jusqu’à en devenir l’un des meilleurs spécialistes français.
« Comme beaucoup de gamins de mon époque, je me suis intéressé à l’informatique depuis l’âge de 10 ans », explique-t-il simplement. D’autres sciences l’ont passionné, la biologie et la génétique. Mais quand il entre en gendarmerie, « pour l’attrait du métier qui m’est venu un peu tardivement », il retrouve vite son premier sujet de prédilection. Il dirige aujourd’hui la division de lutte contre la cybercriminalité au pôle judiciaire de la gendarmerie et occupe un petit bureau au Fort de Rosny (Seine-Saint-Denis), où il reçoit en uniforme.
Vendredi 21 novembre, son dernier fait d’arme vient d’être rendu public. La France a participé à une opération coordonnée par Europol dans sept pays d’Europe, pour arrêter des dizaines « d’apprentis-pirates informatiques », soupçonnés d’avoir introduit des chevaux de Troie dans des ordinateurs.
Pour « quelques dizaines d’euros », ils achetaient des kits de spywares (logiciels espions) qui permettent d’espionner l’activité de leurs victimes à distance, voire de dérober des données personnelles et bancaires.
Pour certains encore mineurs, explique Eric Freyssinet, les interpellés ne sont que les utilisateurs finaux de solutions techniques développées par d’autres.
L’intervention de police conjointe, del’Angleterre à l’Estonie, vise davantage à dissuader d’autres « débutants dégourdis » et à comprendre le fonctionnement de ces réseaux qu’à les mettre en prison.
Que ce soit en matière piratage de carte bleue ou de diffusion d’images pédopornographiques, la question du partage des responsabilités revient souvent dans la bouche du colonel.
« Il y a quinze ans, un peu avant que j’arrive, la gendarmerie avait déjà perquisitionné chez des fournisseurs d’accès. On retrouvait déjà les mêmes questionnements qu’aujourd’hui sur la responsabilité des hébergeurs. L’intuition de mes prédécesseurs était juste : il y aura un recours croissant à l’outil numérique. Aujourd’hui, cela semble évident, mais il y a vingt ans c’était une position qu’il fallait défendre. »
Le développement de la cybercriminalité d’un côté, « l’infusion » des technologies dans tous les domaines de la délinquance et de l’enquête de l’autre, assurent aux « cybergendarmes » un emploi du temps bien rempli et une place de choix dans l’élaboration de stratégies législatives. Entretien.
Rue89. Comment la gendarmerie a-t-elle tenu compte des évolutions technologiques ?
Eric Freyssinet. Avant de former les enquêteurs « N-tech » – les enquêteurs en technologies numériques, un peu plus de 250 personnes – à la cybercriminalité, on leur apprend à analyser des ordinateurs, des téléphones mobiles, pour aider les enquêtes judiciaires. Parce que c’est ça qui a réellement explosé : aujourd’hui, il n’y a pas quasiment pas d’enquête sans téléphone mobile.
En dehors de vingt ou trente spécialistes entrés en gendarmerie par un métier technique, les autres sont avant tout des enquêteurs passionnés. Certains sont capables de développer des logiciels, d’autres sont juste des utilisateurs formés à ces outils.
Quels sont les objets sur lesquels ils travaillent ? Des disques durs, des téléphones, des GPS ?
L’enquêteur a d’abord en face de lui une personne, qui détient des informations utiles. Si une victime a eu des problèmes avec sa carte bancaire, si elle se rappelle l’avoir utilisée de telle façon, que quelqu’un est parti avec, ou qu’elle l’a rentrée dans un distributeur un peu louche avec une pièce qui bougeait. C’est ce qui va nous aider à identifier le mode opératoire.
Techniquement, les objets le plus souvent exploités sont les téléphones mobiles et les ordinateurs. Pour une enquête de stupéfiants, par exemple, il y a des éléments dans le téléphone mobile, chez l’opérateur et dans la façon dont la personne explique qu’elle a utilisé son téléphone. Si elle dit qu’elle était tel jour à tel endroit, on peut vérifier. Il y a des informations chez des tiers : des entreprises victimes, des hébergeurs, des services de police étrangers…
Une box internet, comme celle que vous avez à la maison, contient la liste des machines qui s’y sont connectées. On peut s’intéresser aussi à tous les supports amovibles : un disque dur externe, une clé USB.
Très clairement, puisqu’on parle beaucoup de l’Internet des objets, on pourrait s’intéresser à des objets connectés. Si quelqu’un meurt en courant, avec un bracelet-montre qui enregistre des données à son poignet, on se demandera s’il n’y a pas des infos à en tirer. Si une voiture est impliquée dans un accident grave, il se peut qu’on analyse les mémoires spécifiques du véhicule, le GPS, dans le cas des futurs véhicules connectés vérifier s’il était en train d’échanger des informations. Il faut que l’enquêteur soit ouvert à tout ça.
Supposons que vous me soupçonnez d’avoir tué mon mari. Je vous dis que j’étais encore chez moi à 18 heures mais j’ai éteint mon ordinateur à 17h30.
Cette donnée peut orienter la façon dont on va poser la question. Aujourd’hui les ordinateurs en général sont à l’heure et bien réglés, ce qui n’était pas le cas il y a dix ou quinze ans. A l’époque l’horodatage était un gros problème.
Et vous allez chercher des informations sur Internet ?
Il y en a d’abord dans les bases de données officielles : le registre who.is qui répertorie des noms de domaine, des adresses IP, pointe vers quelqu’un qui peut nous donner une information supplémentaire.
On nous demande souvent si les réseaux sociaux sont utiles à l’enquête. C’est possible, notamment pour les informations que publient des gens sur d’autres. Par exemple, si on recherche quelqu’un pour l’interpeller, en ne connaissant que son pseudonyme.
Supposons que sa sœur dise sur Twitter : « Je serai avec mon copain et mon frère tel jour à un concert. » Bien sûr il faut trouver cette « métadonnée » dans une masse d’informations et l’interpréter, savoir que « mon frère » est bien la personne qu’on cherche.
Pour des affaires qui avant étaient réglées autrement, l’écoute téléphonique est-elle aujourd’hui utilisée plus couramment ? D’autres technologies, comme la vidéosurveillance, sont-elles systématiquement exploitées ?
Pour envisager une interception téléphonique, il faut prouver que ça peut ramener des informations, pour un délit qui prévoit au moins deux ans d’emprisonnement. Sur un simple vol, je l’envisagerais difficilement, mais pour un trafic de stupéfiants oui. Dans ce domaine, les gens communiquent entre eux, donc ça a un sens.
Dans beaucoup d’enquêtes, comme les données sont là, tout autour, c’est normal qu’on s’intéresse à la vidéosurveillance ou à l’utilisation du téléphone mobile. Il y a dix ou quinze ans, c’était les agendas personnels numériques, les PDA. Les trafiquants de stups en avaient pour prendre leurs rendez-vous.
Ces infractions « classiques », trafiquer des stups, faire un cambriolage, relèvent d’un comportement physique. Il y a des traces physiques et des traces numériques en plus, de manière circonstancielle. Elles font partie de la vie de tous les jours, donc c’est normal de les utiliser pour confirmer ou infirmer une hypothèse.
Pour la cybercriminalité, c’est différent. Il n’y a que par les traces numériques qu’on peut remonter.
Quel est le périmètre de la cybercriminalité ?
Une circulaire interne de 2008 le définit de façon assez classique, en trois grands domaines :
- les infractions qui touchent directement aux systèmes de traitement automatisés de données, à l’informatique et aux libertés : les virus, les attaques contre des serveurs, etc., qu’on doit absolument traiter avec des spécialistes ;
- celles qui utilisent principalement les systèmes numériques : la pédopornographie ou la contrefaçon de musique. Aujourd’hui elle se fait par Internet, pas en copiant des bandes magnétiques analogiques. Quelques infractions relatives à la discrimination et la haine raciale se sont déplacées vers l’univers numérique. C’est rare qu’on parle d’un brûlot écrit sur un papier et publié à quelques exemplaires ;
- toutes les autres infractions qui utilisent de façon importante les technologies numériques, et ça commence à concerner beaucoup de choses. Il faut des ressources un peu partout sur le territoire.
Dans le domaine cyber, l’enquête sous pseudonyme ou « cyber-infiltration » est une technique particulière, qui permet aux gendarmes de se faire passer pour des internautes lambda. Comment ça fonctionne ?
L’enquête sous pseudonyme est utilisée dans des domaines très précis et encadrés : les atteintes aux mineurs, les jeux en ligne, les infractions à la santé (vente en ligne de médicaments, de produits dopants de prothèses ou autres produits réglementés), l’apologie du terrorisme depuis 2011. Avec la dernière loi antiterroriste, toutes les infractions terroristes seront concernées.
Les jeunes Français soupçonnés d’être impliqués dans des assassinats en Syrie ont manifestement été embrigadés au travers d’Internet. C’est logique de mener des investigations dans ce domaine-là. En matière d’atteinte aux mineurs, quasiment tous les échanges de pédopornographie ont lieu sur ces réseaux. Et les rencontres entre des adultes et de futurs mineurs victimes n’ont pas lieu à la sortie des écoles, ou c’est très rare. C’est sur Internet que ça se passe aujourd’hui.
La difficulté c’est que pour ne pas contrevenir aux grand principes sur la loyauté de la preuve et le procès équitable, garantis par la Convention européenne des droits de l’homme, il ne faut pas provoquer l’infraction.
Par ailleurs si on doit utiliser des moyens qui viseraient à tromper la personne en face – et utiliser un pseudonyme pour un enquêteur, c’est en quelque sorte tromper la personne – il faut que ce soit encadré de façon très précise. La loi explique ce qu’on peut faire et qui a le droit de le faire : uniquement des enquêteurs formés, spécialement habilités et contrôlés.
Est-ce qu’à l’avenir, l’enquête sous pseudonyme devrait à votre avis s’étendre à d’autres infractions ?
Une partie des infractions d’atteinte aux systèmes informatisés de données ne sont pas couvertes par la dernière réforme. Typiquement, la diffusion de virus.
Vous voudriez enquêter sous pseudonyme sur la diffusion de virus ?
Aujourd’hui on ne peut pas. Mais une grosse partie de ces infractions sont commises ou facilitées en ayant des discussions sur des forums, des échanges en ligne. C’est là que les personnes sont en contact les unes avec les autres.
Donc pour être « dans le coup » il faudrait que vous puissiez participer à ces échanges ?
En tout cas être capable d’interagir avec ces personnes-là. Si l’essentiel des discussions ont lieu sur des forums, ça devient essentiel.
En plus, il y a une deuxième stratégie dans l’enquête sous pseudonyme, c’est l’identification. De plus en plus d’auteurs d’infractions se camouflent sur Internet par Tor, des VPN ou d’autres précautions. Ils passent par des relais dans d’autres pays, qui n’ont pas la même législation ou ne coopèrent pas suffisamment vite, simplement parce qu’il faudrait la réponse en quelques minutes et pas en quelques mois. Entrer en contact permettrait d’identifier plus vite des suspects, notamment en France.
Au-delà de l’enquête sous pseudonyme, d’autres stratégies seraient intéressantes, comme aller au contact des personnes sur Internet pour faire de la prévention. On y réfléchit. De la même façon que les gendarmes vont dans les cafés, voir les maires, les petits patrons d’entreprise sur le terrain, pour discuter avec eux et voir ce qui se passe, on pourrait très bien aller dans les espaces où les jeunes discutent, échangent, parlent de choses sympas ou d’autres un peu « borderline », et leur dire « tiens c’est cool ce que vous faites » ou « là c’est moins bien ».
Un peu comme les stands de prévention de la gendarmerie dans les fêtes de village ?
Voilà. Ça demande pas forcément de nouveaux outils juridiques, mais des ressources et de la pratique. Les Anglais le font un peu.
On dit souvent que l’inventivité des délinquants va plus vite que la progression des méthodes des enquêteurs, est-ce que c’est vrai ?
Au mois d’août, on a analysé les escroqueries « cyber », facilitées par Internet. Les escroqueries par petites annonces arrivent largement en tête, devant les escroqueries par usage d’un numéro de carte bancaire, par le commerce électronique, par usurpation d’identité, etc. Elles représentent 35% des cas.
La victime est mise en relation avec l’escroc parce qu’elle a publié une petite annonce ou parce qu’elle y répond. L’objet n’est pas de l’escroquer au travers de la petite annonce, de lui vendre un produit de mauvaise qualité ou autre, mais d’établir un contact. Les escrocs trouvent ensuite des stratagèmes pour soutirer de l’argent, par exemple en lui envoyant un chèque volé et en lui demandant de rembourser la différence, ou en lui demandant de valider un faux compte Paypal, en fait un site contrôlé par l’escroc.
Ce sont les escroqueries du moment, qui ont commencé à émerger massivement l’année dernière. Il y a deux ans c’était autre chose, des chantages à la webcam, qui existent toujours mais sont moins nombreux. Des escrocs classiques développent tout le temps des nouveaux stratagèmes, pas forcément très techniques.
Est-ce que vous êtes énervé quand vous voyez arriver sur le marché des solutions mal sécurisées, comme les cartes bleues sans contact ?
On n’est pas énervés mais déçus quand on voit des technologies sortir sans réflexion préalable sur les risques. Sans parler particulièrement des cartes sans contact, beaucoup de produits de consommation numérique se développent avant tout avec l’ambition de prendre des parts de marché, d’être attractifs, faciles d’utilisation.
Soit la sécurité n’est pas une préoccupation au départ, soit tous les risques ne sont pas pris en compte en amont.
Est-ce que parfois, vous êtes impressionnés par les capacités techniques des escrocs ?
Il y a quelques temps on a travaillé avec la police sur des fraudes qui consistaient à modifier des terminaux électroniques de paiement par carte bancaire chez les commerçants. Ils étaient modifiés pour permettre de copier la piste magnétique de la carte et le code PIN. C’était le fait de groupes criminels basés au Canada qui faisaient voyager leurs gars, avec toute une organisation derrière. Il faut être capable de très vite comprendre.
Aujourd’hui les diffusions de virus ont lieu sur des serveurs qui n’existent que pendant quelques jours ou semaines. Ça peut être le site d’un journal, où vous avez travaillé en l’occurrence [Les Inrocks, ndlr], qui redirige vers des pages entraînant des contaminations par virus. Au bout de quelques heures ou quelques jours, le site est rétabli. Ils bougent très vite, changent d’infrastructures, peuvent utiliser les services de personnes différentes d’une semaine sur l’autre.
Ce n’est pas vraiment l’ingéniosité technique qui pose problème mais l’agilité : inventer des méthodes, être mobile, conscient des problématiques de coopération internationale, organiser sa délinquance dans plusieurs pays pour ralentir les enquêtes judiciaires.
En dehors de cette agilité, quelles difficultés sont pour vous les plus significatives ? Le chiffrement, le stockage dans le cloud et la coopération d’entreprises extérieures, l’hébergement à l’étranger, la masse de données à examiner ?
C’est la liste type de difficultés pour les enquêteurs dans le monde entier. Mais si les données sont stockées dans le cloud, dans la plupart des cas on peut les récupérer. En pratique, ce qui pose le plus de problèmes c’est le chiffrement.
Dans l’affaire dont je parlais, celle des terminaux de paiement modifiés, les informations étaient stockées de manière chiffrée. Il a fallu passer quelques semaines à déchiffrer le contenu des terminaux, c’est-à-dire en inverser le fonctionnement pour deviner la clé secrète, avec des techniques d’attaque qui prennent du temps, même si ce n’est pas une difficulté technique insurmontable.
Aujourd’hui, tout le monde chiffre tout. On développe les solutions pour se protéger de tout un tas de risques, certains diraient de mystérieux espions américains ou chinois. C’est très bien pour protéger la vie privée. Ça évite de se faire voler des données. Mais l’enquête judiciaire doit avoir lieu.
Demain, pour quasiment toutes les enquêtes, il faudra contourner des technologies fortes de chiffrement. Quand l’infraction est commise exclusivement par des moyens numériques, la seule façon de collecter des preuves, c’est de récupérer les données. On va devoir envisager des techniques plus avancées, plus intrusives.
Des solution intrusives, c’est-à-dire ? Briser le chiffrement ?
Briser le chiffrement oui, ou bien pour récupérer les données il faut que je puisse aller sur l’ordinateur du suspect qui trafique des stups, pour récupérer les infos au moment où elles s’affichent en clair.
Est-ce que vous avez vécu, comme aux Etats-Unis, une défiance des opérateurs privés à l’égard des enquêteurs après l’affaire Snowden ?
Non, parce qu’on n’a jamais été dans la même situation. L’opérateur est à la fois un partenaire et un tiers indispensable dans l’enquête. Ils ont des obligations de conserver un certain nombre de données, de répondre à des réquisitions. Les règles sont claires. On discute plutôt de la bonne façon de rédiger précisément les demandes.
En revanche, ça peut soulever des questions chez des internautes qui s’y intéressent, et qui émettent des doutes sur notre travail. Expliquer le travail qu’on fait nécessite de la transparence, un dialogue. Il y a de plus en plus de critiques sur l’action qu’on peut mener et les outils dont on a besoin. On est prêts à en parler, tant que les débats sont sereins.
C’est un rôle qu’on n’imaginait pas il y a quinze ans. Les services de police agissaient avec les outils qu’ils avaient, il n’y avait pas trop de discussions autour. Ce n’est pas un mal, c’est un métier qui évolue.