GENDARMERIE NATIONALE - DIVISION DE LUTTE CONTRE LA CYBERCRIMINALITÉ - SERVICE TECHNIQUE DE RECHERCHES JUDICIAIRES ET DE DOCUMENTATION
Colonel Éric Freyssinet, coordinateur du plateau d'investigation Cybercriminalité & Analyses Numériques (PI CyAN) - Pôle judiciaire de la gendarmerie nationale
6 mars 2014
Je travaille depuis une quinzaine d'années dans le domaine de la sécurité numérique, à savoir en début de carrière sur le traitement de la preuve numérique et ensuite à la Direction générale de la Gendarmerie nationale sur les projets de la lutte contre la cybercriminalité. Depuis trois ans, je suis à la tête de la division de la sécurité numérique contre la cybercriminalité, qui fait partie du service de technique de recherches judiciaires et de documentation - service qui assure le traitement de l'information judiciaire et fait partie du pôle judiciaire de la Gendarmerie nationale. En 2005, une division de lutte contre la cybercriminalité a été créée ; elle résulte de l'évolution de la cellule de veille sur Internet créée en 1998.
L'activité de cette division comprend des missions de police judiciaire au plan national, avec deux axes d'action. Le premier est la veille à vocation judiciaire, de façon proactive, sur Internet afin de détecter les infractions. Contrairement aux collègues de terrain, la division choisit les infractions sur lesquelles elle travaille, qui comprennent des enjeux techniques et juridiques. Détecter des infractions sur Internet, cela suppose de collecter des informations, de développer de nouvelles méthodes d'investigation. C'est un métier qui évolue en fonction du type d'infractions. Quelques plaintes sont également reçues notamment des entreprises du commerce électronique ou de services en lien avec le ministère de la défense, victimes d'attaques contre leur site web par exemple. La Gendarmerie nationale est toujours ancrée au sein du ministère de la défense pour certaines de ses missions. C'est le service de police qui est le plus proche de la défense et qui essaie de répondre aux attentes de celle-ci.
Le second axe est tourné vers le terrain. Il suit l'activité des enquêteurs spécialisés de la gendarmerie. Au sein de la division de lutte contre la cybercriminalité, il y a un guichet unique téléphonie et Internet pour faciliter les relations entre les enquêteurs et les opérateurs quand il apparaît des difficultés en matière de réponses aux réquisitions ; par exemple, pour obtenir des informations dans le cadre d'une garde à vue.
Une autre équipe, composée de vingt-huit personnes, est chargée de développer de nouvelles applications, de nouveaux services pour aider les enquêteurs spécialisés, leur rendre plus accessible l'information dont dispose la Gendarmerie nationale
Le laboratoire de preuves numérique (département informatique et électronique de l'Institut de recherches criminelles de la Gendarmerie nationale), avec lequel travaille la division en étroite coopération, et situé également à Rosny-sous-Bois, comprend une vingtaine d'experts, ingénieurs et techniciens en charge de la preuve numérique au niveau central.
Le service technique de recherches judiciaires et de documentation a un rôle de coordination, d'apport de nouveaux outils aux enquêteurs, de réponse aux besoins de certaines victimes de nouvelles attaques, infractions, escroqueries, etc.
En matière de souveraineté numérique , la gendarmerie conseille aux entreprises de commencer par maîtriser leur patrimoine informationnel. C'est-à-dire sérier les différents types d'informations, distinguer les données sensibles et importantes pour l'entreprise, comme les résultats des recherches et développements, les objectifs et tout ce qui peut être essentiel et confidentiel. C'est à partir de là que les contraintes de stockage et de sécurité sont définies. Il ne faut d'ailleurs pas tout stocker au même endroit mais maîtriser les données en fonction des risques par rapport à des critères économiques ou autres. Des choix de stockage s'imposent.
Quant à l'informatique dans des nuages , cela dépasse la problématique du stockage mais inclut la mise à disposition de services, comme de capacités de calcul informatique distribuées, à des coûts accessibles et disponibles en quelques minutes. Ces capacités de calcul ou de stockage plus importantes sont utiles aux entreprises ou à l'État lorsqu'ils souhaitent externaliser certaines fonctions. Par exemple, en cas de perquisition par un enquêteur sur le terrain, les copies d'un téléphone mobile ou celle d'un disque dur pourraient être mises à disposition à Rosny-sous-Bois, à Nanterre ou Écully, sans qu'il y ait transfert physique du téléphone ou du disque dur. Le support pourrait être copié et adressé à des experts à distance avec un double bénéficie : efficacité et économie.
Le stockage dans les nuages est souple. Pour l'administration, cette capacité devrait être gérée par un nombre raisonnable de personnes. Une structure commune pourrait être envisagée avec différents secteurs de sécurité ; elle mettrait à disposition des capacités excédant celles possibles de mettre en oeuvre isolément ou de manière plus sûre. C'est la même démarche pour l'entreprise ou pour le particulier. La possibilité d'avoir recours à un serveur d'information a toujours existé mais la disponibilité et la souplesse sont fournies aujourd'hui par les nuages.
La confiance accordée au stockage de ces données dépend d'abord de la confiance accordée à l'entreprise qui gère le nuage et des dispositions prises par elle pour le sécuriser. De plus, il est possible d'ajouter du chiffrement sur un stockage dans un espace partagé. Il y a quelques années, une entreprise spécialisée dans l'archivage de documents sécurisés, située vers Lausanne, a été victime d'un incendie et l'ensemble des données stockées a été détruit. Cela pourrait arriver aussi à des serveurs informatiques confiés à une société n'ayant pas prévu de multiplier la localisation des données et de baliser la sécurité sous tous ses aspects. Sans aller jusqu'à évoquer la notion de souveraineté, il y a beaucoup d'enjeux techniques auxquels il faut penser.
À propos de l'articulation des missions entre l' Agence nationale de la sécurité des systèmes d'information (ANSSI ), agence de l'État, et la Commission nationale de l'informatique et des libertés (CNIL ), autorité administrative indépendante, il est à noter que l'ANSSI a évolué récemment à partir de la Direction de la sécurité des systèmes d'information (DSSI) et n'est donc pas partie de rien en 2009 même s'il y a eu depuis une montée en puissance. Quant à la CNIL, elle ne cesse d'évoluer depuis 1978.
La CNIL protège l'usager, le citoyen, tandis que l'ANSSI protège les opérateurs d'importance vitale et les administrations. Ces deux types d'acteurs se complètent.
La question de leur coordination se pose cependant, par exemple, pour la notification des incidents techniques. Quel est le bon acteur pour traiter un type d'incidents comme celui survenu à Orange ? Les opérateurs d'importance vitale traitent des données concernant le citoyen et relèvent de l'ANSSI mais les 800 000 identifiants concernés par l'incident survenu à l'opérateur Orange sont de la responsabilité de la CNIL. Fallait-il communiquer rapidement sur cet incident ? Quand il y a des compétences concurrentes, la coordination et le dialogue sont indispensables. C'est le cas entre l'ANSSI et la CNIL qui ont des actions complémentaires. Toutefois, chronologiquement, ce n'est pas évident à réaliser car la CNIL doit être prévenue très rapidement. La sécurisation des données est dans son champ de compétences.
Une enquête judiciaire est en cours sur l'incident qui a concerné Orange . Même si les conséquences n'ont pas été importantes, cela a posé un problème de confiance au consommateur, à l'usager. Le fait de devoir communiquer autour de ces incidents est positif. Orange s'interroge sur la manière de communiquer avec ses usagers et, pour l'avenir, Orange est sous le regard de tout le monde. Les mesures correctives mises en place sont donc scrutées avec intérêt. Le secret sur les incidents ne permet pas de progresser .
À propos de l'anticipation des évolutions techniques par la CNIL , il est à noter que, depuis 2003, a été mise en place une association dénommée Signal Spam qui traite des signalements émanant d'internautes à propos de courriers électroniques non sollicités . Cette association travaille en partenariat avec les acteurs du courrier électronique, les opérateurs, l'administration et la CNIL. Grâce aux informations collectées auprès des victimes, la CNIL est à même de connaître les types de messages non sollicités et les mauvaises utilisations faites des listes d'adresses électroniques. Signal Spam transmet tous les mois un relevé de ces incidents à la CNIL. Dans ce cadre, un dialogue avec les professionnels du courrier électronique est instauré permettant à la CNIL d'avoir un regard extérieur, de participer aux débats et d'apporter son analyse.
Cet espace de dialogue neutre, externe, permanent, a permis à la CNIL d'émettre un avis sur la façon de traiter les jeux concours. En fait, ces jeux servant surtout à obtenir les coordonnées de personnes, la CNIL a rappelé les règles qu'elle préconisait dans ce domaine. Ces règles ont été établies en dialoguant avec les acteurs et en observant les pratiques. Signal Spam permet ce dialogue à partir d'informations concrètes ; c'est le type même de travaux qu'il est important de développer avec la CNIL. La CNIL s'est plutôt bien adaptée aux évolutions technologiques. Comme la gendarmerie, elle compte maintenant des agents qui conduisent des investigations numériques dans les réseaux des entreprises ou des administrations.
À noter que des parlementaires sont commissaires au sein de la CNIL. Celle-ci ne va pas émettre des recommandations sur les bonnes pratiques à conseiller aux entreprises sans les avoir écoutées d'abord. Il en va de même pour la gendarmerie qui d'abord est attentive aux contraintes s'imposant aux divers acteurs avant de leur adresser des recommandations ou des directives. Au niveau européen, le groupe de l'article 29 est beaucoup moins à l'écoute des difficultés des opérateurs quant à la conservation des données par exemple. Il n'y a aucune écoute des services de police et de la justice au niveau européen alors que c'est tout le contraire au niveau français .
En matière de données à caractère personnel au sens de la loi informatique et libertés, c'est le responsable du traitement qui est tenu de garantir la sécurité de son système d'information et cette responsabilité s'étend à ses sous-traitants. Il s'agit là d'une garantie légale.
Récemment, l'article 22 de la loi de programmation militaire (LPM) a introduit des dispositions semblables s'imposant aux opérateurs d'importance vitale pour la sécurité de leurs données et leurs infrastructures.
Dans le cadre de ces nouvelles dispositions, les opérateurs d'importance vitale sont impatients de voir avec l'ANSSI les mesures qui vont leur être imposées pour sécuriser leurs systèmes d'information. Légalement, ces dispositions existent, techniquement, elles vont être d'autant mieux mises en oeuvre qu'une prise de conscience par les responsables des entreprises interviendra ; de même dans l'administration. Toutefois, des investissements sont requis par ces objectifs en dépit des difficultés économiques actuelles. De plus, des produits de confiance existent-ils déjà pour atteindre ces objectifs ?
S'il n'y a pas trop d'inquiétudes à avoir pour les opérateurs d'importance vitale, il est à craindre que les entreprises ou les collectivités locales, qui représentent environ 99 % des acteurs, soit ne feront rien soit achèteront des produits outre-Atlantique pour sécuriser leurs systèmes, ce qui n'est pas forcément le moyen de remplacer le recrutement d'un bon spécialiste.
La sensibilisation des responsables à ces problématiques est également une question essentielle. Au vu d'exemples concrets ou d'études menées auprès de responsables, notamment d'hôpitaux et plus généralement d'entreprises, il apparaît que cette sensibilisation est encore insuffisante.
Par exemple, l'analyse du Club de la Sécurité de l'Information Français, le CLUSIF, à propos d'un sondage auprès de responsables, révèle que ces derniers n'ont pas toujours conscience qu'investir dans la sécurité des systèmes d'information est fondamental. À titre d'exemple, les collectivités locales (départements, communes, etc.) n'ont pas forcément mis en place tous les outils qui permettraient de réagir à un incident. Lorsqu'un site web est attaqué, elles ne connaissent pas toujours immédiatement le nom de son développeur, ni les clés d'accès ni les mots de passe ni la manière d'obtenir les journaux. Or, il y a souvent des incidents de ce type.
Quant à l'usage indifférencié des outils informatiques professionnels ou privés, il importe d'abord d'être conscient du caractère sensible de l'information et de l'existence de telles technologies. Les employés viennent au travail avec des téléphones mobiles ou des clés USB personnels.
Quand un courriel professionnel doit être adressé à quelqu'un à l'autre bout du monde, la réflexion doit porter sur la méthode à utiliser pour son envoi. Même si les moyens classiques ne doivent pas forcément être écartés, il faut sensibiliser les informateurs manipulant des informations très sensibles. Mieux faut téléphoner qu'adresser un courriel. Cela laissera moins de traces et cela sera plus facile à contrôler. Mieux vaut sensibiliser les utilisateurs que d'avoir peur des technologies elles-mêmes.
Le dispositif de formation à la sécurité numérique de la Gendarmerie nationale évolue en permanence. Il y a 260 enquêteurs en technologie numérique qui suivent une formation donnant lieu à la délivrance d'une licence professionnelle délivrée par l'Université de technologie de Troyes. Une vingtaine d'enquêteurs ont ainsi été formés dans le cadre de la promotion 2013. Depuis 2005, en complément, plus de 1 000 correspondants locaux en technologie numérique (C-NTECH), basés dans les communautés de brigade, ont été formés à ce jour. Ils jouent un rôle de relais auprès des victimes et prennent les plaintes pour les infractions numériques (escroqueries, carte bancaire, etc.) et doivent savoir mener des enquêtes simples. Actuellement, une formation en ligne pour les premiers intervenants a été développée dans le cadre d'un projet européen, en partenariat avec la police nationale française. Elle permet à tous les enquêteurs d'avoir accès à une formation de base sur ces questions-là.
En ce qui concerne la cybercriminalité et plus spécifiquement dans le cadre du traitement de données à caractère personnel au quotidien, des formations régulières sont dispensées aux gendarmes sur l'importance du contrôle d'accès aux bases d'informations judiciaires.
Quant aux solutions mises en oeuvre dans d'autres États en matière de sécurité numérique, plutôt que de s'en inspirer, la Gendarmerie nationale constate que la France est plutôt bien positionnée voire souvent en avance comme pour la loi de 1978 ou d'autres législations. Que ce soit sous l'angle juridique ou technique, il ne semble pas qu'elle ait des leçons à prendre ailleurs. En revanche, il y a à apprendre d'un événement. Il vaut mieux être informé de la solution apportée par un État à un incident qui peut se propager à d'autres. Il faut donc être très ouvert aux échanges.
La protection assurée par les antivirus . Il faut d'abord que les antivirus détectent un certain nombre d'incidents sur l'ordinateur mais ils ne sont pas capables de détecter les activités frauduleuses dans les réseaux eux-mêmes . C'est important d'avoir une capacité de détection dans les réseaux. C'est ce que l'ANSSI a mis en place, avec succès, à l'aide de sondes dans les administrations. Les entreprises développent également des systèmes de ce type. L'antivirus n'est qu'une brique d'information dans l'ensemble très vaste que constitue le réseau. Trop souvent, aujourd'hui, des incidents sont issus de l'antivirus et non des activités suspectes sur les réseaux. Des progrès sont à réaliser. Une fois qu'un virus est installé dans le réseau, il peut contourner les antivirus. Donc, la solution n'est pas systématiquement dans l'installation d'un antivirus. La formation des utilisateurs aux incidents dus aux antivirus doit permettre une réaction adaptée aux problèmes techniques.
Nombre d'incidents quotidiens surviennent mais ce ne sont pas forcément des attaques. Des attaques très sérieuses, de grande ampleur, il y en a toutes les semaines, pas forcément toujours sur la même cible. Elles peuvent être assez graves. En ce moment, des attaques en déni de service surviennent pour rendre inaccessibles les systèmes d'information. De nouvelles techniques ont été développées récemment en utilisant des rebonds sur des serveurs de noms de domaine. Il en a été détecté de très efficaces et qui ne ciblaient pas forcément toujours la même victime. Il est donc important d'échanger des informations sur tous ces incidents . Aujourd'hui, il y a beaucoup trop de secret autour des incidents périodiques et, souvent, celui qui va vivre ces incidents ignorera si un acteur analogue a subi les mêmes, alors que, par exemple, de plus en plus, dans le domaine de la banque, une grande banque recherchera si une autre banque a subi le même type d'incident. Cela se fait beaucoup moins dans d'autres secteurs. Les directeurs informatiques des régions, des départements, des grandes administrations gagneraient à communiquer plus souvent sur ce retour d'expérience.
Quant au cadre juridique européen et international , la gendarmerie est attentive à l'évolution de la directive sur la protection des données à caractère personnel . Cela a été malheureusement repoussé. La France est très dépendante de ce qui se passe dans d'autres pays car les données des Français sont souvent stockées à l'étranger, même si c'est en Europe.
Sur le plan de l'enquête judiciaire, pour réagir à des incidents, la gendarmerie est vraiment en difficulté car il n'existe pas d'outils internationaux importants de coopération efficaces. La situation n'a pas évolué depuis la Convention du Conseil de l'Europe sur la cybercriminalité de 2001. Il n'y a pas d'outils permettant de faire progresser la coopération avec les Russes, les Chinois, les Indiens ou d'autres, ce qui peut faire naître certaines inquiétudes. Il faudrait faire évoluer le droit sur cette coopération.
À propos des noms de domaine attribués par l'association de droits privés américaine ICANN , cette question comporte plusieurs aspects. En France, pour le « .fr » et les noms de domaine similaires, c'est la loi française qui s'applique. Même si ce système est américain, il autorise les particularités nationales.
Dans le « .fr », il y a des noms de domaine enregistrés aux Bahamas mais au profit de résidents chinois qui vendent des contrefaçons. Cela pose un problème car, normalement, les noms de domaine en « .fr » doivent être réservés à des résidents européens.
Déjà, s'il y avait davantage de contrôles ou de moyens en France pour contrôler l'office chargé de gérer ces noms de domaine, une meilleure sécurité serait possible. D'autant que lorsqu'une éventuelle victime voit un nom de domaine en « .fr », elle a confiance. Il convient donc d'être plus attentif. À l'international, cela est encore plus complexe.
Au-delà de l'attribution de noms de domaine par une association étrangère, il conviendrait d'instaurer un dialogue entre un grand nombre d'acteurs aux intérêts économiques divergents ou aux intérêts collectifs divers . Les dialogues avec les professionnels sont également utiles.
L'exemple de partenariat public-privé Signal Spam a déjà été évoqué. Il existe également un Centre expert contre la cybercriminalité français (CECyF) qui a été lancé le 21 janvier 2014, à Lille au Forum international sur la cybersécurité (FIC). Ce centre est une association de la loi 1901 qui rassemble les acteurs de l'État, des établissements d'enseignement et de recherche et des entreprises privées. Son but est de développer de façon partenariale des projets en matière de formation, de recherche et de développement et de prévention. Cela doit permettre d'avancer car l'ensemble des acteurs concernés est mobilisé pour des actions communes, par exemple la réaction à avoir lors d'un incident informatique, d'une attaque.
Les techniques utilisées dans les entreprises ou les organisations victimes et les personnes qui les conseillent sont les mêmes que celles utilisées par les enquêteurs en réponse à un incident : la criminalistique en anglais. Il faut pouvoir se former collectivement à ces outils, développer des outils communs. Or, aujourd'hui, il n'y a aucun outil commercial français reconnu dans ce domaine . On trouve des outils américains, israéliens, suédois. Pour l'analyse de disques durs, de téléphones mobiles, il n'y a aucun grand acteur français, seulement des toutes petites entreprises qui développent des outils et qu'il convient de soutenir.
Enfin, demeure l'importante question de savoir, à propos des collectivités locales, des petites et moyennes entreprises et des particuliers, vers qui ils doivent se tourner en cas d'incident. Aujourd'hui, rien n'est défini. Ils se tournent donc vers des amis, vers un service après-vente des matériels mais ils ne trouvent pas forcément de réponses quant à la sécurité.
Il serait souhaitable de développer des acteurs de proximité, des réparateurs en réponse à des incidents de sécurité ; ces personnes devant être capables de remettre en état un ordinateur, vérifier les virus qui l'ont affecté, comprendre ce qu'il s'est passé, expliquer à la victime ce qu'elle n'a pas bien fait. Or, aujourd'hui, ce genre de personne se forme sur le tas ou même n'existe pas. Ce type de service ou de formation n'existe pas.
De plus, l'information sur ces incidents ne remonte pas. L'ordinateur est remis en fonction mais la perte de données importantes ou confidentielles peut être à déplorer. Il faut donc développer des formations pour remédier à cela et créer cette chaîne incluant des réparateurs.
La France possède des capacités de formation (école d'ingénieurs, etc.) mais les petites entreprises du domaine de la sécurité numérique n'ont pas été bien soutenues et sont peu visibles, s'en plaignent et se font racheter par des géants étrangers. De plus, toute la chaîne sur le terrain jusqu'aux victimes peut créer des activités économiques et c'est là un rôle nécessaire. Peut-être demain, le vote se fera-t-il sur Internet ce qui suppose que les ordinateurs des particuliers soient sûrs ?
La gendarmerie a développé un petit triptyque pour les petites entreprises car 70 % des petites entreprises sont en zone gendarmerie. Sous la forme d'un fascicule sur la cybermenace, ce triptyque est destiné à aider ce type d'entreprises qui utilisent toutes Internet sans pour autant avoir un informaticien à leur disposition. Il existe un « Mois de la sécurité » au niveau européen, en octobre chaque année, mais rien ne se passe en France. Il faudrait davantage de dynamisme. Dans le cas du centre expert CECyF, un maximum d'initiatives locales et nationales seront lancées pour pouvoir faire se rencontrer et dialoguer les personnes qui travaillent dans ce domaine.