Piratage, délits informatiques … pourquoi et comment recourir a la B.E.F.T.I.

Publié le 01/09/2003 -

La B.E.F.T.I. a été créée en février 1994 à l’initiative du Préfet de police de l’époque, Philippe Massoni, ayant été constaté à cette époque que les nouvelles technologies et l’informatique rentraient pour une part de plus en plus importante dans la commission de certaines infractions.

La B.E.F.T.I. dispose, en tant que service régional de tutelle, d’une compétence géographique régionale s’étendant à Paris et aux trois départements de la petite couronne. Il existe cependant un autre service, l’O.C.L.C.T.I.C. (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication), créé en mai 2000, qui, lui, a vocation à travailler sur un plan national.

1. QUELLES SONT LES MISSIONS DE LA BEFTI ?

« Notre première mission, principalement liée aux infractions, est essentiellement concentrée sur deux axes : à la fois enquêter sur pratiquement toutes les infractions qui visent ou utilisent les nouvelles technologies et dont l’objectif est de porter atteinte aux traitements automatisés de données (articles 323-1 et suivants du Code pénal), et aussi de façon plus large à tout ce qui touche :
– à la contrefaçon liée aux supports numériques (logiciels bureautiques, fichiers son MP3, DivX) ;
– aux infractions liées à la loi du 6 janvier 1978 « Informatique et Libertés » ;
– et enfin à d’autres infractions plus classiques telles que l’escroquerie, l’abus de confiance, les atteintes aux personnes et à la représentation de la personne ou encore les infractions à la loi du 29 juillet 1881 sur la liberté de la presse.

En revanche, nous n’intervenons pas sur les deux domaines suivants, pour lesquels il existe d’autres services au sein de la Police judiciaire parisienne qui s’en occupent :
– la pédophilie, traitée par la brigade des mineurs, et
– les infractions liées aux cartes bancaires et aux fraudes bancaires sur internet, traitées par la brigade des faux moyens de paiements, même lorsqu’ils présentent une dimension internet.

Notre deuxième mission, aussi importante que la première, est d’assister les autres services de la direction de la Police judiciaire lorsqu’ils sont confrontés à du matériel informatique. Dans ce cas, notre rôle s’apparente à ce que peut faire l’identité judiciaire, c’est-à-dire rechercher des traces d’indices, sauf que nous ne cherchons pas des traces de sang ou capillaires, nous cherchons des traces numériques, par exemple en exploitant un disque dur avec des outils spécifiques, etc.

Notre troisième mission est d’informer et sensibiliser les entreprises et les particuliers sur le risque informatique et leur faire connaître la B.E.F.T.I..

2. COMMENT LA BEFTI EST-ELLE SAISIE ?

Les modes de saisine de la B.E.F.T.I. sont classiques, comme pour tout service de police.

Elle peut ainsi être saisie :
– sur plainte de l’entreprise ou du particulier, directement auprès de la BEFTI (rare service de la Police Judiciaire à prendre directement la plainte dans son domaine propre),
– sur transmission du dossier par le Parquet dans l’hypothèse où la victime écrit directement au Procureur de la République,
– sur délégation d’un juge d’instruction dans le cadre d’une commission rogatoire.
Il est en toutes hypothèses important pour les victimes de prendre attache le plus rapidement possible, directement avec notre service, pour des raisons de préservation de preuves, car dans le domaine informatique, la preuve numérique est extrêmement fragile et volatile.

L’entreprise doit ainsi pré-constituer au plus vite les preuves, notamment via son administrateur réseau car, à partir du moment où la B.E.F.T.I. peut disposer d’une ou plusieurs adresses IP, il lui est alors possible de remonter cette adresse IP afin de connaître, via le fournisseur d’accès internet (FAI), la personne à laquelle elle a été allouée. Ensuite, le service procède par des réquisitions judiciaires classiques en demandant aux FAI d’identifier la machine qui est derrière la ligne téléphonique.

LSQ (Article L. 32-3-1 du Code des Postes et Télécommunications) : Ce texte prévoit une obligation de conservation des données de connexion, pendant une durée maximum d’un an, à la charge des fournisseurs d’accès et d’hébergement pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, leur mise à disposition de l’autorité judiciaire.
Cette rapidité dans la préservation de la preuve s’impose également du fait que le délai de conservation des données par les FAI, fixé à un an par la loi sur la sécurité quotidienne du 15 novembre 2001 (LSQ), n’est toujours pas applicable, faute d’adoption des décrets prévus. Nous sommes donc toujours confrontés au délai de trois mois, qui est largement réduit au minimum lorsque l’attaque ou l’atteinte s’est produite en passant par l’intermédiaire d’un proxy où là, le délai de conservation varie entre 24h à 72h.

A noter d’ailleurs qu’au titre d’affaires récentes, certaines concernaient des FAI dont les serveurs ont été piratés. Ceci illustre l’importance, tant dans leur intérêt que dans celui de leurs abonnés, de conserver un minimum d’informations et maintenir une collaboration avec nos services.

3. QUE DOIT CONTENIR LA PLAINTE ET QUI DOIT LA DEPOSER ?

La plainte doit décrire l’attaque ou l’atteinte qui a eu lieu, ses conséquences et les préjudices causés.

Lorsqu’il s’agit d’une entreprise, l’idéal est que la plainte soit déposée par le responsable juridique et par le technicien (l’administrateur réseau ou le DSI) parce que c’est lui qui va dire ce qu’il a vu, ce qu’il a pu stocker, « loger » ; après, tout dépend du paramétrage et de la configuration du réseau et du serveur, ainsi que de ce qui a pu être sauvegardé.

Il peut arriver dans certains cas, lorsque les attaques concernées sont gérables et contrôlables par l’entreprise ou l’administrateur et que ces attaques n’ont pas provoqué de dommages importants, qu’en accord avec l’entreprise, nous laissions le « pirate » poursuivre ses infractions. Cette technique du « pot de miel » , en principe utilisée lorsqu’il ne s’agit que d’une tentative d’intrusion ou lorsque l’administrateur nous assure avoir bien « bordé » techniquement le réseau, nous permet ainsi de récupérer quelques informations complémentaires. Cela s’est fait plusieurs fois et avec succès.

4. COMMENT SE DEROULENT LES PERQUISITIONS ?

Les perquisitions physiques sont assez courantes. Ainsi, quand une personne est mise en cause, on procède à son interpellation et on applique le schéma classique de l’enquête policière : perquisition, garde à vue.

Depuis un an et demi maintenant, nous avons trois groupes d’enquête qui travaillent en fonction des modes de saisine décrits précédemment, et un quatrième groupe, plutôt axé sur l’assistance technique conformément à la deuxième mission de la B.E.F.T.I.. Ce groupe peut exploiter un disque dur parce qu’il en a les compétences ; il est rodé à ce type d’action et dispose de moyens spécifiques et logiciels particuliers, notamment un logiciel américain, particulièrement efficace pour retrouver des informations sur un disque dur  même  des informations effacées, et même si le disque dur a été formaté et reformaté, etc. Le logiciel utilisé est un logiciel spécifique très efficace, spécialisé dans l’investigation judiciaire, utilisé par les américains (CIA, FBI), les canadiens, et par plusieurs pays européens notamment l’Allemagne et l’Angleterre.

5. QUELLE EST LA MENACE LA PLUS IMPORTANTE POUR LES ENTREPRISES ?

Ce qu’il faut savoir, c’est qu’aujourd’hui, la plus grande source de malveillance est interne !

Souvent on a trop tendance à croire que la menace principale vient de l’extérieur. Cette menace existe, il ne faut pas la sous-estimer. Une société a tout à fait raison de se protéger et de verrouiller ses systèmes par rapport à l’extérieur.

Mais dans 70 % des cas, ce sont toujours des salariés ou des ex-salariés qui, pour des raisons diverses, commettent des atteintes sur les systèmes d’information de leurs employeurs ou ex-employeurs.

Il faut ainsi penser à gérer ce risque de façon plus stricte, notamment en contrôlant mieux les profils, les droits d’accès, les mots de passe quand les gens s’en vont. Il faut en effet essayer de réfléchir à une politique de sécurité complémentaire, mais axée sur les salariés plutôt que sur les pirates qui, finalement, essaient beaucoup plus rarement que les salariés de pirater les informations stockées sur le serveur de l’entreprise.

6. DISPOSEZ-VOUS DE STATISTIQUES SUR LA LUTTE CONTRE LA CYBERCRIMINALITE ?

Les chiffres de saisine sont stables depuis environ deux à trois ans, avec environ 400 procédures par an, que ce soient des enquêtes préliminaires, des flagrants délits ou des commissions rogatoires.

Article 321-3 du Code pénal : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15.000 euros d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30000 euros d’amende ».
Un tiers des saisines concerne l’accès frauduleux à un système, infraction prévue par l’article 323-1 du Code pénal. Cette attaque touche essentiellement les entreprises (60 % contre 40% pour les particuliers).

Un autre tiers est lié spécifiquement à l’internet, loi de 1881, aux atteintes à la personne et à la représentation de la personne.

16% de l’activité est dédiée à la contrefaçon, et 4-5 % liée à la loi de 1978. Le reste relève plutôt du domaine économique et financier avec des escroqueries, des détournements…

C’est le panel d’activités tout en prenant en compte aussi que, dans le gros tiers de piratages et d’intrusion, on a aussi des attaques sur les PABX des entreprises. Il faut qu’elles soient bien conscientes, surtout les gros comptes, que leurs standards téléphoniques peuvent être l’objet d’attaques dont l’objectif est de traverser leur standard pour faire de la communication longue distance. Vieux scénario depuis que les standards téléphoniques existent mais ça marche toujours très bien. C’est comme ça qu’une entreprise peut se retrouver avec 150.000 euros de communications téléphoniques en direction de l’Inde, du Pakistan, de certains pays d’Afrique etc !

Le conseil que l’on peut donner à ce sujet est de changer les mots de passe du PABX et veiller au sérieux des personnes qui maintiennent le matériel car les soucis peuvent aussi venir de là.

7. QUELLES AMELIORATIONS SERAIENT A APPORTER SUR UN PLAN LEGISLATIF ?

Je pense que la loi est pour l’instant satisfaisante, notamment avec l’instauration du délai de conservation des données de connexion fixé à un an. Ce délai correspond d’ailleurs à ce qui a été prévu au niveau européen.

Une autre évolution législative importante consiste en la perquisition à distance, qui facilitera nos enquêtes.

Enfin, un autre élément positif est de pouvoir poursuivre ceux qui proposent sur internet des générateurs de numéros de cartes bancaires.

Quant à une interrogation qu’il faudra avoir dans l’avenir : essayer de poursuivre, peut -être sous la forme d’une infraction générique, ceux qui donnent les moyens, les solutions, des conseils ou des logiciels qui permettent de commettre des infractions. Une nouvelle incrimination est prévue dans l’actuel projet de loi pour la confiance dans l’économie numérique (Projet LEN), mais il faudra veiller toutefois à ce qu’elle ne soit pas trop ouverte. Ce projet, dans l’attente d’une deuxième lecture par l’Assemblée Nationale, prévoit en effet de créer une nouvelle incrimination, à l’article 323-3-1 nouveau du Code pénal, qui serait rédigée en ces termes :
« Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

Les dispositions du présent article ne sont pas applicables lorsque la détention, l’offre, la cession et la mise à disposition de l’instrument, du programme informatique ou de toute donnée sont justifiées par les besoins de la recherche scientifique et technique ou de la protection et de la sécurité des réseaux de communications électroniques et des systèmes d’information et lorsqu’elles sont mises en œuvre par des organismes publics ou privés ayant procédé à une déclaration préalable auprès du Premier ministre selon les modalités prévues par les dispositions du III de l’article 18 de la loi n°[…] du […] pour la confiance dans l’économie numérique. »

8. UN DERNIER CONSEIL ?

Ne pas hésiter à appeler la BEFTI. Ma démarche sera peut être étonnante car un policier doit en principe vous dire que, si vous être victime d’une infraction, vous devez porter plainte. Toutefois, je suis conscient depuis quatre ans que je suis à la BEFTI que les entreprises peuvent avoir aussi une stratégie ou des intérêts qui ne les poussent pas forcément à déposer plainte ou peuvent craindre une mauvaise publicité. Je le comprends tout à fait.

Mais même sans déposer plainte, il est néanmoins possible de prendre attache avec le service. On est là pour les conseiller sur certaines choses même si derrière, il n’y a pas forcément de la part de l’entreprise une volonté de déposer plainte.

Il faut savoir qu’en cas de plainte, les policiers de la BEFTI ne vont pas débarquer dans l’entreprise et auditionner tous les responsables de la société. On est tout à fait conscient de ce que peut provoquer l’arrivée de la police dans une société. On est donc extrêmement discret et nos modes d’action et d’investigation de toute façon ne sont jamais le fruit de notre seule démarche, ils se font en collaboration et en accord avec les cadres de l’entreprise. »

Autres publications