Analyse

Cybersécurité et cybercriminalité : un problème de preuve pour identifier les hackers

Le 18 février 2020 par Sarah Cahen

Anne Souvira, commissaire divisionnaire et chargée de mission cybercriminalité au sein du cabinet du préfet de Police de Paris intervenait le 20 janvier dernier au sein de l’École de Guerre Économique sur la problématique de la preuve pour l’identification des hackers dans le contexte de la cyber sécurité et cybercriminalité. Une conférence organisée par le club Cyber de l’AEGE.

Le 10 janvier 2020, le gouvernement américain confirmait la faille du navigateur Internet Explorer pour les utilisateurs de Windows, qui expose les systèmes privés et professionnels. Tous les jours de nouvelles attaques surviennent, faisant de nouvelles victimes. On ne présente plus les ransomwares, chiffreurs WannaCry, Not Petya et leurs équivalents. 

La liste des attaques est longue, mais la conscience du besoin de protection par la cybersécurité semble avoir marqué un tournant.

 

Panorama des cybermenaces : un lourd bilan financier malgré une meilleure détection des attaques

Le coût moyen annuel d’une attaque n’a cessé d’augmenter ces dernières années (en 2018 il est de 13 millions de dollars en France contre 27 aux Etats-Unis d’après un rapport d’Accenture et du Ponemon Institute). La totalité des sommes volées ou détournées par les cybercriminels représente un manque à gagner de plus en plus important pour les entreprises.

Malgré la progression concernant la détection des attaques, si elles sont détectées plus vite, leur résolution demande plus de temps car elles sont de plus en plus sophistiquées. Bien connaître la menace numérique c’est ainsi mieux l’éviter : Les motivations des attaques sont principalement le sabotage, l’espionnage ou l’appât du gain.

Pour le sabotage, il s’agit de la destruction de données, de réseaux ou d’infrastructures dans le but de détourner des clients, ou de prendre des avantages concurrentiels. Il s’opère par malwares (virus ou ver) qui se propagent tels que Not Petya en Juin 2017. Des Etats peuvent être impliqués.

Concernant l’espionnage : il peut se faire par l’interception d’informations pendant les liaisons, par l’exfiltration de données pour prendre connaissance d’une politique ou encore par l’atteinte à l’E-réputation. L’espionnage permet de gagner un avantage concurrentiel sur son adversaire en prenant connaissance d’informations stratégiques ou confidentielles normalement inaccessibles.

Au sujet de l’appât du gain, ont été évoqués le cas des « botnets » ainsi que le phénomène de l’hameçonnage :

  • A propos des botnets, qui consistent à enrôler à l’insu des titulaires leur ordinateur dans un réseau d’ordinateurs « zombies », devenant attaquants commandés par un serveur maître (command and control). L’ordinateur est infecté par un logiciel malveillant. Trouver quel serveur commande toute l’opération est très compliqué. Souvent la victime n’a pas mis à jour son système, ses applications, ses plug-ins et c’est ce qui permet à l’attaquant d’y entrer.
  • Concernant l’hameçonnage, le mécanisme est simple : le virus se propage à travers le réseau après que la victime a cliqué sur un lien ou a ouvert une pièce jointe permettant au malware de s’installer. Parfois, même les tuyaux et sauvegardes sont détruits, aussi ne pas disposer d’un serveur ségrégé distant complique la reprise d’activité. L’attaquant chiffre le serveur auquel est relié l’ordinateur par les fichiers partagés en écriture.  Il propose à la victime la clef de déchiffrement contre une rançon en bitcoins. C’est de l’extorsion de fond.

Par ailleurs, il ne faut pas oublier les fraudes aux présidents et à la carte bancaire, piratages de compte mail, cyber-harcèlement, pédopornographie soit des infraction classiques commises au moyen d’Internet etc.

Globalement, les attaques sont donc très variées et concernent aussi bien les particuliers que les entreprises ou l’administration et collectivités locales. Anticiper et sensibiliser sont les meilleurs moyens pour limiter les dégâts.

 

Un dispositif d’investigateurs nécessaire pour recueillir la preuve :

L’enquête a pour but de permettre l’identification des assaillants afin qu’ils répondent de leurs actes devant la justice. Il s’agit de trouver les traces laissées par le hacker afin de construire un dossier de preuves techniques. 

Plusieurs acteurs interviennent pour mener l’enquête : Les investigateurs en cybercriminalité (ICC), les primo-intervenants en cybercriminalité, les analystes en traces numériques de la police nationale ; les enquêteurs en nouvelles technologies (N’tech) et les correspondants N’Tech de la gendarmerie nationale ; mais aussi des enquêteurs qui ont suivi une formation plus générale pour comprendre et recevoir une plainte dans le domaine cyber au sens strict ou utilisant les réseaux. Enfin d’autres fonctionnaires mènent l’enquête directement en ligne sous un pseudonyme, conformément au code de procédure pénale. 

 

La preuve numérique dans la procédure pénale :

L’article 427 du code de procédure pénale énonce qu’en matière de preuve, le principe est la liberté : « Hors les cas où la loi en dispose autrement, les infractions peuvent être établies par tout mode de preuve … ».

Toutefois, la preuve pour être valable doit être recueillie de façon loyale (notamment pour l’administration qui ne doit pas user de stratagèmes, la jurisprudence est plus souple vis-à-vis des victimes ou mis en cause). Le recueil de la preuve doit être aussi nécessaire à l’enquête, proportionné aux faits, et contradictoire (exemple on représente au mis en cause les saisies, éléments de preuve, pour recueillir ses déclarations).

De nombreux moyens existent pour le recueil de la preuve : saisies sur constatations, sur réseaux, saisies en perquisition, réquisitions aux opérateurs et organismes divers, aux fournisseurs de services de communication électronique français et même des demandes aux GAFAM, etc. Cependant, de nombreuses limites au recueil de la preuve persistent. En effet, la disponibilité de la preuve chez la victime n’est pas toujours possible, la durée de conservation des données est d’un an en France et est très variable dans l’UE, surtout après l’arrêt Télé2sverige de la CJUE (Cour de Justice de l’Union Européenne) qui interdit la conservation généralisée et indifférenciée des données, et ce en attendant le règlement de l’Union européenne (sur la e-evidence). Quant aux données stockées sur les serveurs d'opérateurs américains, elles sont plus compliquées à obtenir pour les contenus qui nécessitent des demandes d’entraide pénale internationale, en plus d’être conservées seulement 3 mois pour les données de trafic.

Cependant, des instruments internationaux de coopération et d’entraide internationale peuvent venir en aide dans le recueil de la preuve : Ainsi, la convention de Budapest du 23 novembre 2001 établit le point de contact pour geler et récupérer les données numériques à la DCPJ  (Direction Centrale de la Police Judiciaire) et à l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication), et ce 24h/24h ; la régulation des systèmes juridiques est assurée grâce au groupe de contact permanent animé par la DMISC  (Délégation Ministérielle aux Industries de Sécurité et à la lutte contre les Cybermenaces du ministère de l’intérieur) avec les opérateurs (la France travaille avec les Etats-Unis) ; le retrait de contenus illicites sur le fondement de la loi pour la confiance dans l’économie numérique de 2004 ou sur le fondement administratif sous le contrôle de la CNIL; des demandes d’entraide pénale internationale peuvent être sollicitées.

La culture de la cybersécurité est la première anticipation et le premier remède aux cyberattaques avant la mise en place de toute solution technique « incontournables », que contourneront les assaillants. La faille humaine reste le plus grand danger : fraude au président, clic sur une pièce jointe permettant à un cryptolocker de s’installer jusqu’au serveur de sauvegarde, mises à jour repoussées, larges échanges entre sphère numérique professionnelle et personnelle… Tout cela facilite le travail du hacker et appelle à une prise de conscience généralisée. 

 

Sarah Cahen - Club Cyber