Face aux cyberrisques, les forces de l’ordre se mettent à jour

Phishing, ransomware, malware… Autant d’anglicismes techniques que le grand public se surprend désormais à maîtriser, un peu malgré lui. L’omniprésence des objets connectés et des facilitations numériques dans notre quotidien est devenue si banale qu’il apparaît presque dépassé de parler de nouvelles technologies. Néanmoins, et c’est chaque jour un peu plus vrai, ces dernières représentent de nouvelles opportunités pour qui serait un peu curieux et mal intentionné.

Face à l’expansion logique de la cybercriminalité, les forces de sécurité s’organisent. “C’est une matière en constante évolution, devant laquelle nous devons en permanence nous adapter, constate Romain*, investigateur en cybercriminalité (ICC) dans la police nationale. D’une part pour ne pas être trop en retard, d’autre part pour prévoir les crimes du futur.” Le tout face à un panel numérique extrêmement large dont les sources se trouvent souvent à l’étranger, et donc en dehors du cadre juridique national.

Alors de quoi parle-t-on ? La lutte contre la cybercriminalité peut se définir comme l’ensemble des lois, outils et dispositifs, mais aussi les formations et les nouvelles technologies utilisées pour protéger les personnes et les actifs informatiques matériels et immatériels. “Les infractions sont réparties en deux champs, renseigne Olivier*, en poste dans un laboratoire d’investigations opérationnelles du numérique (Lion), branche de la sous-direction de la lutte contre la cybercriminalité (SDLC). D’une part, les infractions directement liées à la cybercriminalité, d’autre part les infractions facilitées par les nouvelles technologies.”

Motivations pas uniquement financières

Parmi les infractions directement liées à la cybercriminalité, on retrouve notamment les atteintes aux systèmes de traitement automatisé de données (Stad), un concept extrêmement large : de l’attaque d’un ordinateur, d’un téléphone portable ou même d’un réseau, en passant par un compte Facebook ou un terminal de carte bancaire, jusqu’à la saturation d’un site Internet. Le tout pour différents types d’infractions comme l’usurpation d’identité, la contrefaçon, la pédocriminalité ou le phishing. “Nous comptons, dans le code pénal, plus de 400 infractions relatives à de la cybercriminalité, ajoute Olivier. Sachant que le spectre est très large et que plusieurs infractions peuvent se cumuler.” Avec des motivations diverses, qu’elles soient financières, ce qui est le cas la plupart du temps, mais aussi sociales, politiques ou sexuelles.

Dans la police nationale, différentes directions traitent ce phénomène, mais la police judiciaire et la SDLC sont les plus concernées par les risques cyber. Avec 3 missions : diligenter les enquêtes judiciaires, procéder aux investigations numériques et analyser les supports numériques. Parmi les postes importants, les investigateurs en cybercriminalité (ICC) sont actuellement entre 450 et 500 en France et servent de référents numériques dans leurs services, ainsi que de formateurs en interne. Ces ICC ont ainsi reçu une formation de huit semaines, réservée à des policiers volontaires, sans aucune condition d’ancienneté.

“La formation est faite par des ICC, ainsi que par des intervenants extérieurs parmi lesquels des magistrats et acteurs de la procédure judiciaire”, indique la direction générale de la police nationale. “Il est demandé aux candidats d’avoir une bonne connaissance du spectre numérique, précise Romain, lui-même formateur. Durant la formation, notre but est d’ouvrir l’esprit à tout type de difficulté numérique afin que le futur enquêteur soit capable d’identifier un problème et de trouver rapidement une solution.” Du hacker en solitaire au ransomware (rançongiciel) créé par une entreprise à l’étranger, sur des serveurs internes ou externes, ces couteaux suisses sont dans l’obligation ­d’adapter rapidement leur méthode pour ne pas être dépassés.

Une formation existe aussi pour les primo-intervenants en cybercriminalité. Plus légère, elle permet de donner des outils d’analyse afin de faire les premières constatations et de “fixer une scène numérique”, en respectant les procédures. L’accent est particulièrement mis sur la formation continue. “Nous avons une série de stages spécifiques, sur le fonctionnement de Linux ou des analyses de téléphone par exemple”, illustre Romain. Des piqûres de rappel aussi pour se mettre à jour en fonction des nouveaux systèmes d’exploitation. “Il existe aussi un forum interne à la police nationale qui nous permet d’échanger sur des thématiques en ­particulier, des savoirs ou des découvertes”, ajoute l’investigateur en cybercriminalité.

Un tour à l’université

Côté gendarmerie nationale, si tous les gendarmes ont en théorie quelques notions numériques [lire encadré ci-dessous], la particularité de la formation pour devenir enquêteur “N’tech”, le terme utilisé par l’institution pour désigner des enquêteurs en technologie numérique, est qu’elle se passe à l’université. Il s’agit d’une formation de quinze mois dédiée aux mécanismes et enjeux de la cybercriminalité. Le gendarme-étudiant va aussi apprendre les procédures criminalistiques appliquées aux nouvelles technologies, les techniques de perquisition en ligne, l’exploitation des informations issues des systèmes d’exploitation, l’analyse des supports de stockage numérique. La première partie de la formation se déroule en alternance au Centre national de formation à la police judiciaire (CNFPJ) et à l’université de Troyes, dans l’Aube. La seconde partie consiste en un stage en unité de recherches, sous la direction d’un tuteur N’tech.

“Cela m’a tout de même fait bizarre de retourner sur les bancs de la fac à 33 ans”, s’amuse David Ramos, vice-président de l’association professionnelle nationale des militaires GendXXI et enquêteur en technologies numériques. “La gendarmerie a compris depuis longtemps, depuis les premiers réseaux haut débit, disons, que le numérique allait devenir un enjeu, assure-t-il. Le choix face à cette nouvelle matière a donc été de se rapprocher de formations universitaires afin d’avoir une approche académique pluridisciplinaire, plutôt qu’une formation militaire, uniquement basée sur une approche professionnelle.” 

Travailler sur les évolutions prévisibles

Si la prise de conscience numérique n’est pas une nouveauté, des obstacles subsistent : des syndicats policiers se plaignent du manque de moyens humains, notamment en matière de lutte contre la pédocriminalité. Autre difficulté : le panel numérique qui se trouve bien souvent à l’étranger, entraînant ainsi la mise en route de procédures en droit international longues et coûteuses. “Pour nous, le problème ne réside pas vraiment dans les nouvelles ­technologies en soi, mais plutôt dans la profusion de nouveaux moyens pour commettre des infractions sur le Net, via de nouveaux chats ou de nouvelles banques en ligne par exemple, souffle Olivier. Même si la formation continue nous permet de maintenir des acquis tout en suivant les dernières évolutions, on peut parfois se sentir débordés.” 

Pour David Ramos, la clé se trouve dans la capacité à envisager les évolutions prévisibles. “L’équation est assez simple, résume-t-il. Plus nous avons de personnes et d’objets connectés, plus nous avons de victimes potentielles. Or, avec par exemple la démocratisation de la 5G, nous allons être exposés à toujours plus de villes intelligentes, plus de véhicules connectés, des feux de signalisation connectés, etc.” Autant de nouvelles cibles à connaître et comprendre afin de mieux protéger et procéder aux enquêtes.

* Afin de préserver l’anonymat des agents, leurs identités ont été modifiées.

La pyramide Cybergend
Face aux risques “cyber”, la gendarmerie nationale a fait le choix d’un dispositif pyramidal regroupant 2 000 gendarmes, nommé Cybergend et coordonné par le Centre de lutte contre les criminalités numériques (C3N).
Au premier niveau, se trouve la totalité des gendarmes du territoire. C’est le niveau PN’tech. Ces derniers ont droit à une sensibilisation de quelques heures censée donner des bases dans le but de ne pas fragiliser la preuve numérique. Les nouvelles recrues ont droit à cette sensibilisation en formation initiale, les autres en formation continue.
Au deuxième niveau se trouvent les CN’tech, les correspondants en nouvelles technologies. Ils sont en général 3 par brigade territoriale autonome, ont eu droit à une formation qualifiante de cinq jours et sont spécialisés notamment dans l’extraction de données mobiles, ainsi que dans les infractions spécifiques comme le ransomware. Ils procèdent aussi à des actes d’enquête et peuvent être présents dans des services spécialisés comme les brigades de recherche.
Enfin, les N’tech, les enquêteurs en technologie numérique, sont environ 2 par département. Formés au traitement des supports numériques (l’ordinateur d’un pédophile, un ordinateur piraté, un téléphone portable avec des données effacées), ils ont suivi un parcours en université.