« Les problématiques de cybersécurité sont une affaire de spécialistes », déclare en préambule le lieutenant-colonel, Eric Freyssinet, chef de la division de lutte contre la cybercriminalité à la Gendarmerie Nationale. Il ajoute qu'aujourd'hui les enquêteurs font face à plusieurs enjeux : l'aspect international dans les affaires nécessitant un besoin de coordination, le volume des données en croissance constante impliquant de faire des choix et d'affiner les recherches (notamment sur la mémoire vive), l'évolution des capacités d'accès aux données (le passage au haut débit à augmenter le champ d'action des cybercriminels), le cloud avec le problème de la localisation des données.  Les réseaux sociaux avec la multiplication des identités et le chiffrement qui tend à se banaliser avec le développement du HTTPS concluent ce panorama des défis posés aux enquêteurs.

Un plateau de coordination

Pour répondre à ces exigences, la Gendarmerie Nationale est organisée en deux structures, la partie enquête l'IRCGN (Institut de Recherche Criminelle) et la partie technique le STRJD (Service Technique de Recherche Judiciaire et de Documentation). Depuis le 1erjanvier, un plateau d'investigation « Cybercriminalité et Analyses Numériques » a été créé pour coordonner les actions des différents services dans le numérique. Ce plateau regroupe trois activités, criminalistiques, judiciaires et transverses. La première est le bloc technique qui recense des « chirurgiens » des outils numériques. De l'extraction de données à l'analyse des traces numériques à la partie virus, ce pôle dispose de plusieurs techniques pour faire parler et sauvegarder les données dans le cadre d'une affaire.

Le cas le plus fréquent est l'analyse de disque dur, mais les spécialistes confirment une montée en charge des mémoires flash via les clés USB, les smartphones et les disques SSD. Dans ce cas-là, l'exercice est délicat, car il s'agit dans un premier temps de décoller à l'aide d'infrarouge le composant et ensuite de retrouver un support adapté aux spécifications de soudure pour extraire les informations. La multitude des types de soudures compliquent la tâche des chercheurs qui vont jusqu'à recréer en laboratoire les sockets. L'objectif comme pour les disques durs est de faire une image des données et de la mettre à disposition des magistrats.
Plateforme pour décoller les composants

Plateforme pour décoller les composants sur un smartphone

Une activité investigation et de formation

Le deuxième bloc du plateau est le royaume des enquêteurs sur Internet. On recense deux sections aux activités spécifiques. Une est chargée des atteintes aux mineurs sur Internet avec la capacité d'infiltration sous pseudonyme pour lutter contre la pédopornographie. Les enquêteurs disposent de logiciel pour automatiser la recherche d'images et de vidéos sur les réseaux peer to peer. Il y a un renouveau des sites comme Kaaza et emule, nous ont expliqué les cyberpatrouilles qui souhaitent rester anonymes.

La seconde section s'occupe des investigations sur Internet avec un spectre assez large d'infractions, ventes de médicaments, atteinte aux droits de propriété intellectuelle, trafic de drogue et de stupéfiant, proxénétisme, les jeux en ligne, apologie du terrorisme. La responsable de cette division, le capitaine Karine Béguin, anticipe avec le passage du plan vigipirate en alerte rouge des demandes de surveillance sur les activités terroristes en ligne. Cette division dispose d'outils de recherche comme Advertisearch, qui trace des photos, des vidéos, des mots-clés sur le web et permet de détecter des contrefaçons ou des produits illicites. Elle teste aussi une solution de Thalès pour effectuer des recherches sur les réseaux sociaux.

Les enquêteurs qui sont présents dans ce second bloc ont été formés en technologie numérique et forment des personnes pour accroître les ressources sur le terrain. Au total, 250 enquêteurs dits NTECH sont présents dans les régions et les départements. Des formations plus légères sont également dispensées pour recruter des correspondants NTECH. Sur l'aspect international, la Gendarmerie Nationale organise le Forum international de la cybersécurité à Lille le 28 et 29 janvier 2013. Enfin, un projet immobilier est en préparation à Pontoise, où le plateau « Cybercriminalité et Analyses Numériques » trouvera des locaux plus modernes et plus de ressources techniques.