Preuve numérique : quand le Cloud complique les perquisitions La résolution des affaires de cybercriminalité

eric grospeiller, fonctionnaire de sécurité des systèmes d'information du
Eric Grospeiller, fonctionnaire de Sécurité des Systèmes d'Information du Ministère de la Santé. © JDN

La complexité croissante des perquisitons ne doit pas faire croire à une totale impunité des cybercriminels. Le chef d'escadron Laurent Lesobre, de l'IRCGN, veut casser le mythe du pirate inaccessible : "Seul 1% des pirates sont capables de réellement commettre des cybercrimes sans laisser de traces qui nous sont assez facilement accessibles".

Illustrant idéalement ces propos, Eric Grospeiller, fonctionnaire de Sécurité des Systèmes d'Information du Ministère de la Santé ayant eu plusieurs du avoir recours aux services de ces "experts", a notamment raconté comment l'un de ses serveurs sensibles avait été la cible d'une attaque. "La quantité de traces visibles dans les logs correctement conservés ont  permis de retrouver très facilement l'auteur de la malveillance. C'était un adolescent de 15 ans", se souvient Eric Grospeiller vantant la "rapidité et l'efficacité" des procédures auxquelles il a assisté.

 

L'OCLCTIC s'est aussi félicité d'avoir pu résoudre des affaires bien plus complexes. Refuge idéal pour les pirates, les cybercafés n'ont pas l'obligation de fournir l'historique détaillé de l'utilisation de chacun des ordinateurs de leur parc. "En recoupant les logs fournis et les lieux fréquentés, puis en plaçant de la vidéosurveillance et en filant un suspect, nous avons derièrement réussi à prouver la culpabilité d'un pirate utilsant les cybercafés. C'est donc possible", raconte le capitaine Olivier Nael.  

 

Recommandations aux DSI et RSSI

 le chef d'escadron laurent lesobre, de l'ircgn.
 Le chef d'escadron Laurent Lesobre, de l'IRCGN. © JDN

Loin de faire croire à des actes de malveillance majoritairement ultra-sophistiqués, le chef d'escadron Laurent Lesobre se base sur son expérience et juge plus utile de rappeler les basiques dans le cas d'une attaque. "Bien tenir ses logs", martèle-t-il expliquant que c'est loin d'être toujours les cas chez les entreprises qu'il a aidées, et aussi "de ne surtout pas chercher à les modifier ou à les arranger. Souvent, les DSI ou les RSSI commencent l'enquête sans nous et la compromettent ou la rendent en fait plus difficile".

 

Autre avertissement : faire obstruction à la perquisition - c'est-à-dire ne pas fournir les logs, la clé d'un chiffrement ou même le serveur où se trouve la donnée recherchée - est un cas aggravant. Le chef d'escadron rappelle que "si un ordinateur peut être mis sous scellé, une pièce entière, remplie de serveurs, peut aussi l'être..."

Pirate / Cybercriminalité