La BEFTI: principales missions, rôles et fonctions
2.3.2 La Brigade d’Enquête sur les Fraudes aux Technologies de l’Information BEFTI
Le Commandant Jean-Yves Le Clech de la Brigade d’Enquête sur les Fraudes aux Technologies de l’Information nous répond.
• Quelles sont les principales missions de la BEFTI193 ?
1- Effectuer des enquêtes judiciaires sur les infractions visant ou utilisant des systèmes d’information. Mais également sur les modes de traitement, de stockage et de communication de l’information.
2- Apporter son assistance aux différents services de police du S.G.A.P. (Secrétariat Général pour l’Administration de la Police) de Paris (toutes directions confondues) à l’occasion des enquêtes effectuées par ces services. Ainsi qu’aux Magistrats dans le cadre de leur C.R (Commission Rogatoire)
3- Assurer des actions de sensibilisation et d’information au sein de la Police Nationale et tenir des conférences de sensibilisation à la cybercriminalité auprès d’organismes publics ou privés.
4- Proposer une formation et une coopération avec les diverses polices étrangères, en collaboration avec L’O.C.L.C.T.I.C. (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication)
193 Voir annexe 11 : Présentation BEFTI
• Quels sont vos rôles et fonctions au sein de la BEFTI ?
La BEFTI compte 4 groupes de policiers : un dédié à l’assistance technique notamment pour les analyses de supports numériques, au profit de la Police Judiciaire et les commissariats de Paris et petite couronne, deux groupes d’enquêtes générales, et un groupe plus spécialement chargé de l’initiative. Je suis chef de ce dernier groupe.
• A quelles types de menaces informatiques devez-vous faire face ?
– Attaque des sites internet, vol de base de données,
– Attaque en déni de service (DDOS)
– Phishing
– Contrefaçon de films, musiques et logiciels sur Internet
– Piratage de comptes mail, réseaux sociaux (Facebook par exemple)
– Piratage de PABX (autocommutateur téléphonique) et IPBX (téléphonie sur IP d’entreprise)
• Dans le cadre d’une infraction liée à la criminalité informatique : Comment ça se passe ? Comment on réagit ? Comment procède-t’on en cas de saisie de matériel ?
– Contact avec la victime, en lui demandant de conserver les éléments informatiques en l’état.
– Analyse des supports numériques à l’aide d’un logiciel forensic (encase194 ou xways195 pour la BEFTI) à la recherche de traces.
Dans l’hypothèse ou des éléments ont été recueillis, exploitation de ceux-ci. Par exemple analyse des journaux d’évènements (logs) pour rechercher des IP de connexion frauduleuse dans les piratages de sites.
Identification de ces adresses auprès des fournisseurs accès Internet (FAI). Si le fournisseur est étranger, demande de coopération policière internationale ou demande d’entraide pénale internationale (cette dernière demande est faite par un magistrat).
194 http://www.alternative-design.fr/tracip/pages/encase_enterprise_edition.html
195 http://www.x-ways.net/forensics/index-f.html
– Si identification de l’auteur, transport au domicile, interpellation, perquisition avec saisie provisoire des supports numériques en vue d’analyses ultérieures.
De retour au service, bris des scellés en présence du mis en cause et analyse des supports à l’utilisation d’un bloqueur en écriture196. S’il s’avère que les supports contiennent des preuves, placement sous scellés définitifs.
196 Il est important d’insérer un dispositif qui empêche toute écriture sur le disque dur lorsqu’on démarre la machine par exemple. Pour plus d’infos sur ces dispositifs : http://www.tracip.fr/technologies_bloqueurs.php
197 Une connexion https est une connexion sécurisée. Elle est symbolisée généralement au niveau du navigateur par un cadenas et une barre de couleur verte.
– En ce qui concerne le traitement de la cybercriminalité sur le ressort de la Préfecture de Police de Paris, plusieurs services peuvent intervenir : la BEFTI pour les infractions cités ci dessus, la BFMP (Brigade de Fraudes au moyens de paiement) qui dispose d’un groupe Internet, chargés des escroqueries sur Internet, comme par exemple des achats frauduleux à l’aide de cartes bancaires (fourniture du numéro, de la date de validité et du numéro de cryptogramme), la Brigade des Mineurs pour la pédopornographie, la BRDP (Brigade de répression de la délinquance contre la personne) pour les dénonciations calomnieuses ou diffamations commises sur Internet.
https://wikimemoires.net/2011/04/moyens-de-paiement-en-ligne/
• Quelles pratiques de sécurité informatique conseillez-vous de mettre en place pour un particulier et pour une entreprise ? Quelles méthodes ou moyens ?
– Pour un particulier, utilisation d’un anti virus à jour, et d’un firewall. Pour l’accès aux sites Internet, vérification de l’URL afin de voir si elle est en correspondance avec le site désiré. Vérifier qu’il s’agit bien de connexion « https197 » pour les paiements sur sites commerciaux.
Désactiver les logiciels d’accès à distance pour ceux qui n’en ont pas besoin. Vigilance si des phénomènes anormaux apparaissent, par exemple si la souris bouge seule sans action de l’utilisateur. Ne pas répondre à des courriels sollicitant des données personnelles comme des mots de passe, ou coordonnées bancaires.
– Pour les entreprises, avoir une politique rigoureuse de sécurité informatique, verrouillage d’un poste non utilisé, utilisation de mots de passe non basique (par ex : 0000) les changer régulièrement. Supprimer les identifiants – mot de passe d’un collaborateur qui quitte la société. Chiffrement des données sensibles, avec accès restreint.
• Avez-vous quelques exemples de dossiers de criminalité informatique traités à citer ?
– Une société audiovisuelle proposant des programmes de télévision soumis à un abonnement, constatait que des clients achetaient en masse des décodeurs et que ces derniers étaient rattachés à des contrats conclus avec usage de moyens de paiement frauduleux et usages frauduleux de moyens de paiement. (numéros de RIB récupérés sur Internet)
Ces contrats frauduleux d’accès aux programmes télédiffusés étaient désactivés par l’opérateur de télévision.
Mais des tiers utilisaient une plate-forme Internet («Webdistrib») réservée aux distributeurs et installateurs de cet opérateur, pour les réactiver, ou en créer de nouveaux, et les créditer de nombreuses options payantes. Il apparaissait que des tiers utilisaient les logins (identifiants) et mots de passe de professionnels pour se connecter à l’application « Webdistrib ».
Ils modifiaient parfois les adresses mails de contact des distributeurs enregistrées par Canal + pour se faire communiquer ces mots de passe à cette adresse conformément au procédé de récupération des mots de passe oubliés. Les connexions frauduleuses partaient de cybercafés marseillais. Mis en place de sonde sur les plateformes, où les adresses IP des cybers concernés sont rentrées.
Suite à un message d’alerte, prise en flagrant délit d’un mis en cause alors qu’il était connecté frauduleusement sur une plateforme de l’opérateur de télévision.
