La gendarme NTech et la cybercriminalité

La gendarme NTech et la cybercriminalité

2.2.3 La Gendarmerie (NTECH)

L’Adjudant-Chef TEVERINI de la BDRIJ (Brigade Départementale de Renseignements et d’Investigations Judiciaires de Moulins 03) nous répond :

Quelles sont les principales missions d’un enquêteur NTECH ?

le NTECH198 a suivi un stage de formation de 6 semaines au Centre National de formation de la police judiciaire à FONTAINEBLEAU.

A l’issue, il se voit attribuer un diplôme universitaire (UTT TROYES).

  • -Il coordonne l’action des unités de terrain
  • -Il apporte un support technique aux collègues des unités
  • -Il peut effectuer tous types d’enquête même d’initiative
  • -Il procède à l’analyse de tous supports numériques et de tout appareil possédant une mémoire numérique (téléphone, GPS199, caméscope, APN200, …)
  • -Il mène une action préventive auprès des collégiens et des lycéens de son département

198 Voir Annexe12 : Circulaire relative à la lutte contre la délinquance liée aux technologies numériques.

199 http://fr.wikipedia.org/wiki/Global_Positioning_System

200 Appareil Photo Numérique

Quels sont vos rôles et fonctions au sein de la BDRIJ de Moulins (03-Allier) ?

Je suis donc NTECH depuis 2005. A cette époque j’étais gradé enquêteur au sein de la BR VICHY, puis on m’a proposé une affectation à la cellule identification criminelle à MOULINS en septembre 2006. A partir d’août 2011, je serai le responsable attitré de cette cellule.

Je m’occuperai du service des 5 techniciens en identification criminelle en plus de mon job.

La gendarme NTech et la cybercriminalité

Mon rôle est avant tout d’analyser tous les supports numériques saisis au cours d’une enquête judiciaire et de rendre un rapport. J’apporte également un soutien technique aux unités de terrain pour toute affaire portant sur la cybercriminalité en général.

Depuis 2007, j’ai également mis en place une action de formation auprès des établissements scolaires du département.

Ainsi je mène une prévention sur les dangers liés à l’utilisation de l’internet auprès des jeunes collégiens et de leurs familles.

A quelles types de menaces informatiques devez-vous faire face ?

Elles peuvent être en rapport direct ou indirect à la criminalité informatique suivant les différents types d’enquêtes traitées.

L’informatique peut également être un vecteur susceptible de représenter ou véhiculer une menace (informatique ou non), liée à l’infraction.

Trafic de stupéfiants : recherche de comptabilité, de traces de transaction, de mails, de conversations MSN …

Escroqueries : aide apportée aux unités de terrain afin de remonter jusqu’à l’escroc (vente de voiture, don d’animaux) qui bien souvent se trouve en Afrique ou dans les pays de l’Est.

La tendance actuelle est l’utilisation d’une « mule » qui, pour quelques centaines d’euros, sert d’intermédiaire entre la victime et l’escroc. Utilisation également de faux mail de la poste qui vont permettre aux escrocs de récupérer le code nécessaire à l’encaissement du mandat cash.

Plusieurs cas de « phishing » ont été analysés également (compte Ebay, Paypal, MSN …).

Travail dissimulé : à rechercher notamment sur les sites de vente aux enchères ou de petites annonces. Les auteurs sont inscrits en tant que particulier et vendent d’énormes quantités d’objets sans payer la moindre taxe.

** Pédophilie : diffusion et détention d’image de mineur à caractère pornographique.

– Meurtre : analyse de disque dur pour la recherche de documents, images, ou bien tout simplement pour affiner l’heure du décès par l’utilisation de l’ordinateur.

** Viol : recherche d’images ou de documents concernant la victime

Cambriolage : recherche d’image du butin, des complices potentiels par l’analyse des mails ou MSN, de cartes routières pour retrouver les périples.

Diffamation, menaces, atteinte à la vie privée : réquisition judiciaire à Facebook, à SkyBlog, à Microsoft …

Sécurité informatique : très peu d’affaire en ce moment si ce n’est un vol de données sensibles par un employé licencié.

• Dans le cadre d’une infraction liée à la criminalité informatique : Comment ça se passe ? Comment on réagit ? Comment procède-t’on en cas de saisie de matériel ?

Saisine :

évènements : une brigade procède à une enquête judiciaire, interpelle le mis en cause et procède à la saisie et au placement sous scellé du matériel informatique. Une réquisition est établie pour définir la mission du NTECH.

initiatives : veille internet sur les différents sites de ventes ou de petites annonces afin de rechercher des individus en infraction avec le Code du Travail (travail dissimulé, escroquerie …) ou vendant des objets volés.

par soit-transmis : ce sont toutes les enquêtes qui proviennent du STRJD ou de l’OCLCTIC et qui sont essentiellement des signalements de pédophiles présumés.

Les saisies :

– En enquête préliminaire ou de flagrant délit, la saisie du matériel informatique se fait en la présence du mis en cause. Les scellés sont dits « fermés » de façon à préserver l’intégrité des données numériques ce qui évitera toutes les contestations quant à la découverte de preuves sur les supports.

Pour les téléphones mobiles, le bon usage veut que la carte SIM et la batterie soient dissociées de l’appareil et que les contacts de la batterie soient scotchés pour éviter toute utilisation du téléphone à travers le sac plastique du scellé.

– En commission rogatoire, la saisie ET les analyses se font en la présence du mis en examen, de son avocat, du juge et de son greffier. C’est le juge qui reconstituera le ou les scellés.

Les analyses :

– Le matériel arrive sous scellé fermé. Il est pris en photo.

– Démontage du ou des disques durs de la machine ou bien réalisation image du disque201 en mémoire flash (exemple des eeePC202) avec un CD Live Linux203.

– Branchement du disque dur ou du support numérique derrière un bloqueur en écriture, aucune donnée ne sera ajoutée ou effacée sur le support original. Encore une fois il faut préserver la preuve numérique et ne pas l’altérer.

– Une fois l’analyse terminée, un procès-verbal de constatations est établi accompagné de la description détaillée du matériel et de ses caractéristiques, d’impressions de fichiers, de listings, de planches photographiques (du matériel et des images retrouvées), et de supports CD ou DVD sur lesquels sont gravées les images et les vidéos découvertes.

201 Image du disque : il s’agit d’effectuer une copie conforme du disque

202 Mini PC

203 un LIVE CD Linux permet de démarrer un ordinateur sans installer de système d’exploitation et d’accéder aux données sur le disque dur de la machine s’il est encore accessible

Hardware et software :

(Matériel et Logiciel)

  • – Une tour d’analyse, un ordinateur portable pour l’analyse des téléphones portables, trois bloqueurs en écriture (USB, IDE, SATA), un lecteur carte SIM, des câbles data (données) pour téléphone, des disques durs pour le stockage des copies, images et vidéos.
  • – le logiciel d’analyse Xways Forensics (permet l’indexation de tous les types de fichiers, la recherche de fichiers effacés, des recherches multicritères …
  • – les logiciels SIM ANALYST et PROGIMSI pour l’analyse des cartes SIM et des mémoires des téléphones portables.
  • – D’autres logiciels freeware (gratuits) notamment pour la capture d’images, bloqueur en écriture logiciel sur les ports USB …
  • – Logiciel Coroner 2009 spécialement conçu pour la recherche de fichiers cryptés.

Quelles pratiques de sécurité informatique conseillez-vous de mettre en place pour un particulier et pour une entreprise ? Quelles méthodes ou moyens ?

Comme je vous l’avais expliqué au cours de notre entretien je ne suis jamais intervenu dans un gros dossier lié à la sécurité informatique au sein d’entreprise.

Je pense pouvoir leur conseiller d’avoir un administrateur réseau compétent et très présent. Un exemple récent d’attaque de PABX (central téléphonique) montre que bien des sociétés laissent les identifiants par défaut (admin – admin; mot de passe 1234 ) et peuvent être menacées par des attaques.

Pour les particuliers, je leur dis d’avoir un bon antivirus à jour et de ne pas cliquer sur n’importe quel mail ou lien « attirant » qui peuvent renfermer des virus ou des chevaux de Troie.

Avez-vous quelques exemples de dossiers de criminalité informatique traités à citer ?

– Une enquête est ouverte par le STRJD204 sur la diffusion d’images de mineur à caractère pornographique via le logiciel de Peer to Peer GIGATRIBE.

Ce logiciel permet l’échange crypté de fichiers entre internautes. Les gendarmes du STRJD, comme le prévoit la loi205, se sont donc infiltrés dans ce réseau pour confondre les auteurs. Une quinzaine d’individus ont été ainsi interpelés partout en France dont un dans l’Allier. Les analyses qui s’en sont suivies se sont avérées positives.

– Travail dissimulé sur EBAY : un individu inscrit en tant que particulier a vendu, en l’espace de 5 ans, pour environ 600000 euros d’objets mobiliers. L’enquête qui a duré 1 an a nécessité le recensement sur ces 5 années de tous les objets vendus, l’analyse des comptes bancaires, la recherche de la provenance des objets …

– Escroquerie sur la vente d’une maison : un individu met en vente une maison à un prix plus qu’inférieur au marché immobilier.

La victime, intéressée, se voit dans l’obligation d’envoyer des arrhes par mandat cash, afin de faire une pré-réservation. La remontée de l’adresse IP nous permet de localiser « l’auteur » dans une petite entreprise de l’Allier.

204 http://www.gendarmerie.interieur.gouv.fr/eng/sites/Gendarmerie/Presentation/Criminal-investigation- department/Recherches-et-documentation-STRJD

205 La loi de prévention de la délinquance du 5 mars 2007 et l’arrêté du 30 mars 2009 autorisent certains agents ou officiers de police judiciaire, affectés dans des services spécialisés et habilités près la cour d’appel de Paris, d’agir sous pseudonyme sur internet et d’être en contact avec des personnes soupçonnées d’infractions sexuelles sur des mineurs.

Son directeur paraît surpris. Le seul ordinateur est saisi et placé sous scellé. Son analyse nous révèlera la présence de 48 virus et chevaux de Troie dont notamment des logiciels permettant la prise de contrôle à distance de la machine. En effet, aucun antivirus n’y était installé.

Pour citer ce mémoire (mémoire de master, thèse, PFE,...) :

La première page du mémoire (avec le fichier pdf) - Thème :
Criminalité informatique : menaces informatiques, pratiques de sécurité
Auteur·trice·s :
André WILL
André WILL
Université :
Université d’Auvergne Clermont 15
Année de soutenance :
Mémoire master sécurité publique - 2010-2025
Télécharger ce mémoire en ligne PDF (gratuit)
Rechercher
Publier!
Publier son mémoire de fin d’études ! - WikiMemoires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page