« Comment est-ce que vous protégez vos données ? » demande rapidement le commandant Pierre Penalba. En dix années à la tête du groupe de lutte contre la cybercriminalité de la police niçoise, le cinquantenaire a vu toutes sortes de cyberattaques. Persuadé que personne n’est à l’abri, il revendique une méfiance exacerbé. En partie dans le but de prévenir le grand public aux dangers de la cybercriminalité, il a compilé des dizaines d’anecdotes sur ses enquêtes dans son livre Cyber Crimes (Albin Michel, 19,90€).
Pionnière, l’équipe spécialisée de Pierre Penalba, composée de trois policiers, a depuis fait des émules aux quatre coins de la France. Avant la mise en place de ces polices locales de lutte contre la cybercriminalité, les policiers et gendarmes se concentraient à Paris. Encore aujourd’hui, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC, prononcé « Occlit ») chapeaute les moyens d’actions, et prend en charge les plus dangereux.
Cet Office forme des investigateurs en cybercriminalité (ICC), des policiers connaisseurs en informatique. Pendant trois mois, ils reçoivent un entraînement sur des logiciels de pointe, puis son répartis dans les différents commissariats de France. Bien qu’équipés de « packs complets d’enquêteurs numériques », dixit le commandant, les ICC ne travaillaient pratiquement jamais qu’entre spécialistes du cyber. Mais en arrêtant pédocriminels, voleurs de données, et maîtres chanteurs, le groupe de lutte niçois a démontré l’intérêt d’un service spécialisé en cybercriminalité.
Pierre Penalba livre à Cyberguerre ses observations sur la cybercriminalité française.
L’épée et le bouclier
Cyberguerre : Quand est-ce que votre groupe de lutte contre la cybercriminalité est-il mobilisé ?
Pierre Penalba : Le parquet peut nous saisir quand il le souhaite. Si un dossier a une composante informatique importante, il peut le diriger vers nous : par exemple, dans le cas d’envois répétés de menaces de mort. Nous avons également une activité de soutien opérationnel aux autres unités, comme la brigade anti-terroriste. Ils peuvent nous demander de venir avec eux sur certaines enquêtes pour scanner des données ou résoudre des problématiques liées aux réseaux.
Pour les sujets hautement sensibles, c’est la section F1 du parquet de Paris, spécialisée en cybersécurité, qui est saisie. C’est un parquet à vocation nationale, créé récemment, composé de cybermagistrats très compétents. Il peut se saisir en cas d’attaque contre des sites sensibles ou classés. Il travaille en priorité avec l’OCLCTIC, qui a des équipes dédiées, mais nous travaillons avec eux à l’échelle locale. Par exemple, nous sommes récemment intervenus pour une attaque contre un établissement hospitalier basée sur un cryptovirus [un programme qui chiffre les données, qui mène souvent à une demande de rançon, ndlr].
Avant le F1, j’essayais d’expliquer des affaires à des magistrats qui n’avaient aucune connaissance en cyber et ils me regardaient avec des yeux ronds. J’étais obligé de trouver un moyen de vulgariser. Aujourd’hui, quand je parle aux magistrats du F1, je peux parler de Slack, de VPN ou de translation d’adresse, et ils sont parfaitement à l’aise.
Les vrais hackers n’ont pas besoin de beaucoup de matériel
À quoi ressemble votre arsenal cyberpolicier ?
Aujourd’hui, nous avons accès à des Lion [laboratoires d’investigation opérationnelle du numérique, situés dans 14 grandes villes françaises, ndlr]. Ils fournissent énormément de matériel : vous avez les derniers logiciels, les derniers serveurs, des disques de sauvegarde… Du matériel complet, assez cher, qui sert d’outil de base pour les enquêtes. Mais avant les Lion, nous devions récupérer du matériel de notre côté pour ensuite monter nos propres serveurs. Nous étions obligés de bidouiller.
Donc souvent, nous demandions l’attribution de saisie. Par exemple, si lors de l’arrestation d’un hacker, nous trouvions deux disques durs de 3 teraoctets, nous demandions au juge de nous les donner au lieu de les détruire. En quelque sorte, on s’autoalimentait en arrêtant les hackers. Encore aujourd’hui, ce trésor de guerre a une très grande valeur technique et nous est très utile.
Vous racontez vos difficultés à traquer un hacker qui s’en est pris à l’université Sophia Antipolis, jusqu’à menacer des données de recherche classées Défense. Quand vous l’arrêtez après deux ans d’enquête, vous paraissez surpris du peu de matériel informatique dont il dispose. Les hackers auxquels vous faites face sont-ils lourdement armés ?
Ce hacker-là avait un petit ordinateur, un petit disque dur et une petite antenne. Par contre, il avait un vrai cerveau, avec des compétences et des modes opératoires d’un très haut niveau. Nous nous attendions à trouver beaucoup de matériel. Mais au final, ce que nous avons saisi tenait dans une boîte à chaussure…
D’autres fois, nous saisissons jusqu’à 50 ordinateurs chez des hackers : nous les appelons les « script kiddies » dans le milieu. Ce sont des gamins qui utilisent du gros matériel pour hacker. Mais ils font tourner des logiciels et des scripts qu’ils ne maîtrisent pas vraiment. Ils pensent qu’avoir un VPN suffit à se protéger, donc nous les remontons assez facilement. Les vrais hackers n’ont pas besoin de beaucoup de matériel : ils ont simplement des connaissances informatiques très pointues et une excellente compréhension des risques.
« Plus une entreprise s’expose sur le Web, plus elle est vulnérable. »
La sécurité des entreprises est-elle mauvaise en France ?
Les victimes ne semblent que très peu conscientes des enjeux de la cybersécurité, comme le montrent vos anecdotes. Mais vous donnez plusieurs exemples d’interventions auprès de particuliers, mais aussi d’entreprises, pourtant mieux protégées a priori. Est-ce vraiment le cas ?
Récemment, nous sommes intervenus car une entreprise subissait une prise de main à distance sur son serveur principal. Le mot de passe de ce serveur était « azerty » ! C’est une entreprise qui génère des millions d’euros par mois ! Forcément, ils ont été hackés. Dans le log [l’historique des commandes informatiques] nous avons vu les trois tentatives de connexion du hackeur : « 12345 », « 6789 » et puis « azerty ». Quand nous avons demandé au responsable informatique si c’était normal d’avoir un mot de passe aussi simple, il nous a répondu que le PDG de l’entreprise voulait un mot de passe facile…
C’est un type de problème que nous rencontrons régulièrement dans les entreprises : ils prennent l’informatique comme un outil qui va leur permettre de communiquer, de faire de la vente, de gérer leur paye, et ils se contentent d’une petite protection, des mots de passe par exemple. Mais il ne réalise pas que plus une entreprise s’expose sur le Web, plus elle est vulnérable. Nous poussons ces entreprises très visibles à faire des pen tests . Mais c’est cher, et les entreprises concluent que les protections sont trop onéreuses pour leur utilité. Jusqu’au jour de l’attaque…
Les entreprises françaises sont-elles mauvaises en cybersécurité ?
Au début des années 2000, Internet, c’était un peu le Far West, on pouvait y faire n’importe quoi . Mais en France, depuis la loi « informatique et libertés », nous avons réussi à mettre en place un environnement bien cadré, bien sécurisé. Le RGPD va encore plus loin : les entreprises doivent désormais déclarer les attaques et conserver les logs [l’historique de recherche informatique, ndlr)], entre autres obligations. Avant ça, une entreprise pouvait cacher un vol données sans être trop inquiétée ! La sécurité est ainsi montée à un niveau élevé en France, et ça permet d’éviter beaucoup de piratages simples. Bien sûr, il existe des failles car tout est piratable, mais grâce aux normes, les sites ne sont plus des magasins ouverts comme à une autre époque.
« Nous n’avons aucun moyen d’influencer Facebook, Twitter et tous ces sites. »
Dans une de vos anecdotes, vous faites part de votre frustration face au manque de coopération de Facebook. Est-ce un problème récurrent pour vous ?
Depuis que j’ai écrit le livre, ça commence à évoluer. Mais mon ressenti d’enquêteur, c’est que nous n’avons aucun moyen d’influencer Facebook, Twitter et tous ces sites. Nous n’avons aucun moyen de les obliger à nous fournir les données. Au contraire, pour les entreprises basées en France, je n’ai qu’à faire une demande pour obtenir les adresses IP des gens connectés à tel moment, et elles sont obligées de me répondre, grâce à la Loi Informatique et Libertés. Et en plus, elles doivent garder les logs pendant un an. Donc si quelqu’un poste un commentaire virulent sur un forum français qui nécessite une saisie du parquet, nous allons faire une réquisition et pouvoir identifier la personne.
Mais si c’est sur Facebook ou un autre site hors de l’Europe, ils vont nous répondre que ce n’est pas une infraction d’un ordre suffisant. Et on se retrouve ainsi bec dans l’eau. La supranationalité de ces sociétés hors de nos juridiction est frustrante. Je pense qu’il devrait y avoir une obligation de réponse par rapport aux lois locales. Dans le cas d’attaques effectuées hors Europe, nous devons passer par Europol, Interpol, ce sont des procédures longues. Je serais pour la création d’unités spécialisée, à la rigueur internationale.
Protection des enfants : un enjeu de la cybersécurité
Parmi les anecdotes que vous partagez, les cas de pédocriminalité sont nombreux. Pourquoi avez-vous choisi de multiplier ces exemples ?
La pédocriminalité est pour moi un phénomène important et prioritaire. Si j’ai le choix entre arrêter un hacker ou un pédocriminel, je vais arrêter le second. Le hacker va faire des victimes au niveau financier, et à au niveau des données. Avec le pédocriminel, il y a un risque physique, qu’il passe ou repasse à l’acte. Mais c’est un avis personnel, pas une directive.
Depuis une douzaine d’années, nous utilisons un logiciel spécialisé qui nous permet de scanner les contenus à caractère pédopornographique. Les logiciels de ce genre permettent de savoir si quelqu’un télécharge un contenu pédopornographique, à partir de telle adresse IP et avec tel ordinateur. Ce sont des données intéressantes. Mais le problème, c’est qu’on peut télécharger un ou plusieurs fichiers pédos sans le vouloir. Donc à la police, nous n’allons pas systématiquement lancer une interpellation. Et de toutes façons, nous n’avons pas les moyens techniques et humains d’aller chez tous les gens qui téléchargent, car il faudrait que nous fassions des dizaines de milliers d’interventions par an.
Par contre, si un individu a une vraie frénésie de téléchargement, je vais me dire qu’il faut y aller. On est obligés de sélectionner les gros consommateurs. Quand ils ont des pulsions de ce type-là, il y a un risque de passage à l’acte plus grand : ils regardent ces films, s’y habituent, créent une sorte d’accoutumance. Ils en téléchargent des milliers, jusqu’à ce qu’ils ne soient plus satisfaits, et réfléchissent au passage à l’acte.
Grâce à notre surveillance, nous travaillons en flagrant délit : ça nous arrive régulièrement d’arriver en plein téléchargement, avec les films à l’écran. Le dernier que nous avons arrêté, il venait de finir. C’est déstabilisant. Mais les prendre en flagrant délit est un plus comme enquêteur : la personne peut difficilement nier les fait. C’est plus simple au tribunal aussi car nous avons facilement les fichiers et tous les éléments, et l’affaire peut donc passer en comparution immédiate.
Dans votre livre, vous prodiguez des conseils relatifs à chaque anecdote sur comment protéger les enfants, mais aussi se protéger soi-même. Pensez-vous qu’il y a un manque de prévention face à la cybercriminalité ?
Avant les professionnels publics de la cybercriminalité ne communiquaient pas. Il y a cinq ou dix ans, on n’entendait que la Cnil. Maintenant, on entend la Cnil, l’ANSSI, le Cert, les chefs de l’OCLCTIC, je trouve extrêmement important que des gens de haut niveau viennent expliquer. Parce que la cybercriminalité, ça touche tout le monde. Nous sommes tous vulnérables à une prise de contrôle, à un vol de données. À partir d’un moment où on utilise un service informatique, on devient vulnérable, même si on est le mieux informé et qu’on sait se défendre. C’est comme en voiture : il y a toujours un risque d’accident et un risque de vol. Je pense qu’il faut devenir un chouïa paranoïaque si on veut un semblant de sécurité. Même si en grattant on arrive toujours à trouver une faille.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !