Dossiers

Des technicités alliées à l'investigation

Auteur : l’aspirante Morgane Jardillier - publié le
Temps de lecture: ≃10 min.
© BRC F. Garcia - M. Alexandre
© Tous droits réservés

Téléphones, disques durs, GPS, cartes bancaires… Autant de supports qui en disent long sur leurs propriétaires. La criminalistique numérique est devenue un axe important dans la conduite des investigations judiciaires, nécessitant la mise en place d’un réseau structuré d’enquêteurs et de techniciens.

« La place prépondérante du numérique dans la vie de tous les jours est un facteur aggravant du risque encouru par la population, explique le colonel Cyril Piat, commandant en second du Centre de lutte contre les criminalités numériques (C3N). Par conséquent, la gendarmerie a mis en place un réseau suffisamment étoffé et performant pour répondre aux nombreuses plaintes, qu’elles proviennent de personnes physiques ou morales. » Afin de se doter d’une capacité d’investigation dans le domaine du numérique, la gendarmerie a ainsi créé une chaîne d’enquêteurs spécialisés dans la lutte contre la cybercriminalité, fédérés sous l’appellation “cybergend”.

Pour rechercher, saisir, exploiter les preuves numériques et enquêter dans le cyberespace, la gendarmerie s’appuie donc sur ce réseau, comprenant près de 4 550 enquêteurs, dont 4 300 Correspondants nouvelles technologies (C-NTECH) et 250 enquêteurs Nouvelles technologies (NTECH), répartis sur l’ensemble du territoire national, aussi bien en métropole qu’en outre-mer. « Ce réseau est fondé sur un principe de subsidiarité. Le but étant d’avoir un maillage territorial assurant une grande réactivité pour lutter contre les cybermenaces », indique l’officier. Avec l’appui du C3N et du département Informatique-électronique (INL), les enquêteurs traitent ainsi l’infraction numérique en fonction de leur degré de connaissances et de leurs prérogatives respectives.

Des primo-intervenants en nouvelles technologies

Au sein de chaque brigade, des Primo-intervenants en nouvelles technologies numériques (P-NTECH) sont habilités à recueillir les plaintes des particuliers victimes d’infractions non spécifiques (telle l’usurpation d’identité en vue de commettre une escroquerie par Internet) et à effectuer des opérations de préservation et de saisie de preuves. Depuis octobre 2018, tous les élèves gendarmes sont formés P-NTECH. L’enseignement, composé de six modules, présente les menaces, les acteurs de la lutte contre les cybercriminalités, les outils à disposition des militaires et les recommandations en matière d’investigations et de saisies numériques.

« Connaître les principales infractions en matière cyber et les actions de prévention, savoir faire une réquisition à un opérateur Internet et interpréter son résultat, savoir détecter les supports numériques et respecter les règles élémentaires de saisie, tels sont les objectifs de cet enseignement en école », ajoute le colonel Piat. Ils approfondissent ensuite leurs connaissances par des mises en situation. « Le but n’est pas de former des experts en la matière, mais bien de leur donner les bases de l’environnement numérique dans lequel ils vont évoluer, ainsi que les outils mis à leur disposition », expose la capitaine Caroline Claux, chef du département coordination du C3N .

Des relais techniques pour faire gagner du temps

Les Correspondants en technologies numériques (C-NTECH) ont, quant à eux, vocation à guider l’action des P-NTECH en compagnie. Ils procèdent, de leur côté, aux saisies et au placement sous scellés lors des perquisitions et peuvent réaliser des analyses simples sur des téléphones. Extraire des données SMS d’un téléphone portable n’a plus vraiment de secret pour eux. « Ils sont les premiers relais en matière de cybercriminalité. Ils permettent une action réactive et décentralisée de la gendarmerie dans les enquêtes où les manœuvres sont plutôt simples, laissant ainsi les enquêteurs NTECH se concentrer sur des enquêtes plus difficiles », souligne la CNE Claux.

Prise en compte d’un scellé par le NTECH pour exploitation.

© BRC F. Garcia - M. Alexandre

Techniciens et enquêteurs

« Affectés en Section de recherches (S.R.), offices centraux, PJGN, Cellules d’identification criminelle et numérique (CICN) ou en formations spécialisées, les NTECH interviennent en fonction de leur affectation, soit sur le versant enquête (S.R./S.R. JIRS/offices/C3N), soit sur le versant criminalistique numérique (CICN/INL) », précise la capitaine. Au sein des S.R., des offices et du C3N, les NTECH développent des capacités d’enquête en matière cyber et mènent des investigations complexes visant à mettre à jour des groupes criminels utilisant les technologies numériques pour démultiplier leurs méfaits ou porter atteinte à des systèmes de traitement automatisé de données.

« Pour cela, les NTECH sont renforcés par des enquêteurs sur Internet, qui sont à la fois formés C-NTECH, Enquête sous pseudonyme (ESP) et recherche en sources ouvertes. Ensemble, ils mettent tous les moyens en œuvre pour détecter la commission d’infractions sur Internet et interpeller les auteurs d’infractions cyber, via l’exploitation des données recueillies lors des dépôts de plainte, des analyses de supports, de l’étude des réseaux sociaux et de la recherche d’images pédophiles et de publications faisant l’apologie du terrorisme sur Internet. »

Dans le cadre de la traque de pédophiles sur les forums Internet, les enquêteurs NTECH peuvent participer à des échanges électroniques, être en contact avec les suspects d’une infraction, tant qu’ils n’incitent pas à sa commission, et échanger des contenus illicites sur demande expresse.

© BRC F. Garcia - M. Alexandre

Côté criminalistique numérique, les CICN ont pour mission de rechercher les traces numériques et les indices afin de pouvoir renforcer les dossiers d’enquête. Concrètement, cela se traduit notamment par l’analyse des disques durs, la saisie et l’exploitation des données recueillies sur tous types de supports. Toutefois, leur objectif premier est de veiller à préserver l’intégrité de la preuve numérique et de remédier au risque d’effacement ou de modification des données et des supports d’enquête.

« De nos jours, une preuve numérique est aussi importante qu’une trace ADN. Or celle-ci peut être volatile et peut, dans certains cas, être modifiée à distance (commentaires sur réseaux sociaux, cloud), ce qui nécessite une action réactive des NTECH », ajoute la CNE Claux. Au sein des sept S.R. localisées au niveau des juridictions interrégionales spécialisées (Paris, Lyon, Marseille, Bordeaux, Rennes, Lille et Metz), la gendarmerie a également créé des groupes spécialisés“ cybercriminalité ”. La cyberenquête mêle les fondamentaux du judiciaire aux spécificités des nouvelles technologies. Ces cyberenquêteurs traquent ainsi les criminels qui utilisent les technologies numériques et le Web pour commettre leurs infractions.

Du matériel adapté en permanence aux besoins

Pour les accompagner dans leurs enquêtes, les NTECH peuvent recourir à différents matériels spécifiques permettant de visualiser et d’analyser les supports numériques pour en extraire les éléments de preuve. Tous reçoivent en début de formation un pack matériel et logiciel nécessaire à leurs investigations. Le C3N et le département informatique électronique de l’institut de recherche criminelle de la gendarmerie nationale essaient en permanence d’adapter la composition de ce pack aux évolutions technologiques. « Cette année, la gendarmerie a amorcé la transition technologique pour acquérir un progiciel de récupération de traces Internet plus perfectionné et a équipé toutes les S.R. et les CICN d’une capacité d’analyse logique et physique des données contenues dans un téléphone », explique la CNE Claux.

Complémentarité de l’équipement

Par ailleurs, pour répondre aux besoins opérationnels d’analyse de masse des téléphones portables pour les unités territoriales (COB/BTA/B.R.) et circonscrire l’obsolescence des matériels en place, la direction générale de la gendarmerie nationale a déployé, en septembre 2018, de nouvelles capacités élémentaires d’extraction de données de téléphones portables. « En permettant aux C-NTECH de réaliser des analyses de téléphones de mis en cause, cette mesure a pour objectif de renforcer la fonction investigation au cœur de la police judiciaire de proximité », note le capitaine Matthieu Audibert, officier concepteur au sein de la section cybercriminalité criminalistique et renseignement judiciaire du bureau de la police judiciaire de la DGGN. Ce déploiement au profit des deux tiers des compagnies de gendarmerie départementale complète ainsi les capacités dédiées des N-TECH en matière d’extraction de données cachées des téléphones et de l’IRCGN pour les données dégradées. En matière d’analyse de la téléphonie, chaque acteur est ainsi recentré sur son cœur de métier.

Extraction d’une puce mémoire depuis la carte mère d’un téléphone lorsqu’un simple branchement ne permet par l’exploitation des données.

© BRC F. Garcia - M. Alexandre

L’enquête sous pseudonyme

Autre moyen de lutte contre la cybercriminalité : l’enquête sous pseudonyme. Depuis 2009, les C-NTECH et les NTECH des S.R., des offices centraux et des brigades de recherches, ayant suivi une formation spécifique, ont la possibilité de naviguer sous pseudonyme sur Internet. L’enquête sous pseudonyme est notamment utilisée pour lutter contre la pédopornographie, mais pas seulement… Elle est également autorisée par le Code de procédure pénale pour traiter les cas relatifs à la traite des êtres humains, à la santé, aux espèces menacées, aux atteintes aux STAD en bande organisée, au blanchiment, au trafic de stupéfiants, au terrorisme, aux trafics d’armes et autres infractions en bande organisée ou aggravées expressément prévues par la loi.

Ce domaine d’action pourrait être étendu par la prochaine loi de programmation 2018-2022 et de réforme pour la justice. « Les enquêteurs sont habilités à créer de faux profils et à entrer en contact avec des suspects, tant qu’ils n’incitent pas à l’infraction », précise le colonel Dominique Lambert, commandant la S.R. de Marseille. « Ce mode d’enquête est particulièrement encadré, puisque les profils et les pseudos utilisés sont déclarés au Service interministériel d’assistance technique (SIAT) ». Depuis le début de l’année, les cyberpatrouilles effectuées par la S.R. de Marseille ont permis d’interpeller cinq individus liés à des affaires de pédopornographie. À titre d’exemple, le 17 août dernier, les NTECH ont identifié, lors d’une cyberpatrouille, un individu téléchargeant et échangeant des fichiers à caractère pédopornographique.

Saisis de l’enquête pour diffusion d’images pédopornographiques par un moyen de communication électronique, les gendarmes de la S.R. ont effectué, le 5 septembre, une perquisition au domicile du mis en cause. « Cette opération a permis de saisir 2 500 fichiers à caractère pédopornographique, dont près de 400 vidéos et plus de 1 600 photographies mises en partage sur les réseaux d’échanges de fichiers P2P (pair-à-pair ou peer-to-peer) », révèle le colonel Lambert. « Pour ce type d’investigations, à la fois complexes et humainement éprouvantes, deux enquêteurs sont toujours simultanément à la manœuvre. Ce mode d’action nécessite en effet beaucoup de concentration pour “coller” au personnage que l’on incarne et pour entretenir le lien avec le pédophile, de manière crédible et juridiquement bordée. Des affaires éprouvantes aussi, parce que la matière elle même peut aller jusqu’au bout du sordide... »

Protéger les victimes et les gendarmes

Réalité déplorable et alarmante, la France est le 4e plus gros hébergeur mondial de contenus d’abus et d’exploitation sexuels sur mineurs. Dans le cadre de leurs activités professionnelles, les gendarmes sont de plus en plus confrontés à des images d’une extrême violence (images de torture, d’exécutions ou de pédophilie). « Les répercussions psychologiques de ces expositions peuvent être sévères : troubles du sommeil, manifestations anxieuses, troubles mnésiques)… et avoir des conséquences sur la vie familiale, sociale et professionnelle des individus exposés », explique le commandant Pascal Barre, chef de la section psychologie soutien intervention de la direction générale de la gendarmerie nationale.

Des mesures de prévention sont proposées pour réduire l’incidence des répercussions psychologiques de ces expositions, comme travailler en binôme, dissocier le son de la vidéo ou organiser des groupes de paroles. « Les effets de ces métiers sur la santé psychologique sont souvent minimisés par les personnels exposés, par fierté, par pudeur, ou par manque d’attention à soi… Demander un entretien psychologique ne doit pas être considéré comme un aveu de faiblesse ou un indicateur d’incapacité, mais plutôt comme une parfaite connaissance de ses limites. »