Interviews

La section de recherches de Lyon traque le crime sur la toile

Auteur : le commandant Céline Morin - publié le
Temps de lecture: ≃9 min.
Le capitaine Jean-Charles U., patron du groupe cybercriminalité de la section de recherches de Lyon.
© S.R. Lyon

Les nouvelles technologies et l'informatique ont pris une place prégnante dans la société et la vie quotidienne, offrant aux délinquants un vaste territoire de prédation, mais aussi de nouveaux moyens d'action. Face à ce phénomène en expansion constante, la gendarmerie s'organise à tous les échelons. Les sections de recherches se trouvent ainsi au cœur du dispositif de lutte, grâce à la mise en place de groupes dédiés dans toutes les unités zonales. Patron du groupe cybercriminalité de la section de recherches de Lyon, le capitaine Jean-Charles U. en dévoile les rouages.

Quelle est l'étendue du champ d'action de votre groupe cyber ?

La vocation du groupe cyber est évidemment de lutter contre les infractions commises sur le territoire cyber, telles que les ransomwares et les cryptomonnaies, ou facilitées par l’utilisation des nouvelles technologies.

Aujourd'hui, et ça ne pourra, à mon sens, aller qu'en s'accentuant, celles-ci imprègnent tous les pans de notre vie quotidienne. Elles sont donc aussi logiquement prégnantes dans les enquêtes judiciaires.

Partout où l'informatique comme l'électronique sont présentes, il y a une possibilité d'actions malveillantes : véhicules et maisons connectés, achats en ligne, réseaux sociaux... Par exemple, l'ouverture de certains véhicules se commande depuis un smartphone : il suffit aux délinquants de récupérer les codes idoines ou de s'introduire dans un système de traitement automatisé de données pour parvenir à les dérober. Un escroc derrière son écran geek va ainsi gagner plus d'argent en quelques clics qu'une bande organisée qui va braquer un fourgon, ce qui rend le côté obscur des nouvelles technologies des plus attractifs.

Particuliers, entreprises, collectivités territoriales ou encore institutions, personne n'est à l'abri d'un acte de cybermalveillance, y compris les utilisateurs de longue date, que ce soit par le biais du social engineering, d'un hameçonnage ou à la suite d'une intrusion dans un système automatisé de traitement de données. En matière de ransomware, sauf si le cybercriminel vise une cible particulière, les campagnes sont en effet adressées au tout venant...

Concrètement, au sein du groupe cyber, une partie de notre activité nous conduit à répondre aux sollicitations d'appui émanant d'autres unités ou d'autres divisions de la Section de recherches (S.R.), dans le cadre de dossiers spécifiques à la cyber, dès lors qu'ils revêtent une certaine dimension.

Mais l'essentiel de notre action consiste à traquer les criminels sur la Toile. On peut dire que les enquêteurs du groupe cyber sont des chasseurs. Chacun, en fonction de son profil et de son vécu en gendarmerie, va pister les cybercrimes. Fraudes, cryptomonnaies, réseaux sociaux, Darknet, Linux, programmation, chacun a son domaine de prédilection et tout le monde se complète.

Les enquêteurs du groupe cyber sont des chasseurs.

Pouvez-vous nous en dire un peu plus sur le profil de vos enquêteurs ?

Tous sont évidemment officiers de police judiciaire. La plupart étaient précédemment affectés en unité de recherches. L'un d'eux a fait un passage en Brigade départementale de renseignements et d'investigations judiciaires (BDRIJ), où il faisait de la criminalistique pure, avant de revenir en S.R., au sein du groupe Cyber. Un autre a fait partie de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), devenu la Sous-direction de la lutte contre la cybercriminalité (SDLC). Nous avons également intégré un ancien commandant de brigade, sans formation spécifique, mais passionné par l'outil informatique, et donc particulièrement compétent. La dernière recrue vient également de brigade. C'est un Correspondant en Nouvelles technologies (C-NTECH), qui est lui aussi un passionné, particulièrement très au fait en matière de réseaux sociaux. On peut dire qu'il est hyperconnecté et à la pointe de tout ce qui se fait dans le domaine. Cela permet d'avoir un panel complet de compétences à notre disposition.

À mon sens, pour intégrer un groupe cyber, il faut avoir ce goût de la traque et une appétence avérée pour la matière informatique et tout ce qui va avec, qui peut pallier l'absence de formation spécifique.

Ce sont avant tout des enquêteurs très polyvalents, volontaires et ouverts. Il faut en effet bien garder à l'esprit que nous n'avons pas vocation à rester derrière nos écrans et que nous sommes également amenés à aller sur le terrain dans le cadre de nos enquêtes ou des appuis que nous apportons, que ce soit pour des missions de surveillance ou lors des opérations judiciaires.

Nous n'avons pas vocation à rester derrière nos écrans !

Toutes les S.R. sont-elles dotées d'un groupe Cyber ?

Non, c'est une spécificité des S.R. JIRS (Juridiction Inter-Régionale Spécialisée). Les S.R. de Lyon, Marseille, Bordeaux, Rennes, Lille, Metz et Paris sont d'ailleurs les antennes relais en région du Centre de lutte contre les criminalités numériques (C3N). La direction générale de la gendarmerie a également créé de nouveaux groupes cyber à Grenoble, Montpellier ou encore Versailles, de manière à densifier le maillage territorial en matière de lutte contre la cybercriminalité. Cela nous permet d'avoir encore plus d'interlocuteurs et de relais, de manière à pouvoir travailler en interaction et à pouvoir échanger entre nous.

Concrètement, sur quels types de dossier êtes-vous amenés à travailler ?

Dans le domaine purement cyber, les ransomwares et les cryptomonnaies sont des problématiques récurrentes, qui font beaucoup de victimes. On voit en effet remonter de nombreux Compte rendus de police judiciaire (CRPJ) sur ces thématiques-là. Cela peut aussi être des affaires de skimming ou de jackpotting, comme on en traite en ce moment, ou encore en lien avec le Darknet.

Il y a quelque temps déjà, nous avons résolu une affaire de skimming impliquant une équipe de ressortissants bulgares qui sévissait au niveau des distributeurs automatiques de carburant des stations-services. On n'avait au départ que les images de vidéosurveillance. Après les avoir interpellés alors qu'ils revenaient en France placer de nouveaux dispositifs, et placés en détention, la juge d’instruction nous a autorisés à nous rendre en Bulgarie pour poursuivre les investigations auprès des complices qui étaient restés là-bas.

Nous travaillons aussi sur des enquêtes pouvant aboutir à de la criminalité plus « traditionnelle », et donc tous types de trafics d'envergure sur le territoire cyber ou facilités par ce vecteur ou les nouvelles technologies. Actuellement, nous diligentons, par exemple, une enquête de trafic de stupéfiants initiée sur le Darknet. Nous avons aussi traité un certain nombre de dossiers en lien avec la contrefaçon. Mais cela peut aussi être des faits de pédocriminalité, des escroqueries, voire de la prostitution via Internet.

Êtes-vous amenés à appuyer régulièrement les autres divisions de la S.R. ?

Les commandants de division, voire les directeurs d'enquête ou les directeurs opérationnels, prennent généralement attache avec nous pour nous présenter leur dossier et ce dont ils ont besoin. Notre engagement sera fonction de la difficulté. Si elle est légère, c'est-à-dire du niveau de l'extraction de données téléphoniques, je vais plutôt les orienter vers des C-NTECH.

En revanche, dès lors que l'on aborde des thématiques plus complexes, nécessitant une réelle technicité, nous mettons en place, en lien avec l’enquêteur et le magistrat, un pool cyber, qui sera sollicité dans le cadre de l'opération judiciaire, pour réaliser des actes techniques, voire pour étudier du matériel informatique ou extraire des données sur un téléphone portable.

Par exemple, les enquêteurs en Délinquance économique et financière (DEFI) sont amenés, de par leur spécialité, à travailler sur des saisies de comptabilité et de documentation en lien avec leur thématique, qui sont aujourd'hui intégralement informatisées. Ils nous sollicitent donc très régulièrement pour réaliser les perquisitions informatiques avec eux au sein des entreprises, voire au sein de mairies ou autres collectivités locales. Cet appui représente en moyenne 30 % de notre activité. En revanche, nous sommes moins sollicités par les autres divisions, de l'ordre de 10 à 15 % de nos missions. En effet, celles-ci, au regard de leur délinquance, sont davantage intéressées par un appui criminalistique, comme l'extraction de données téléphoniques, ce que les C-NTECH sont spécialement et spécifiquement formés à faire. Cela nous permet d'« économiser » les NTECH du groupe cyber, qui peuvent ainsi poursuivre leurs enquêtes en cours.

Contrairement aux NTECH de BDRIJ, qui ne vont traiter que le volet criminalistique, le NTECH de S.R. va en effet avoir une double casquette : il va à la fois pouvoir réaliser une enquête judiciaire, soit directement en lien, soit facilitée par l’utilisation des nouvelles technologies, puis, après les saisies judiciaires, il va analyser tous les matériels informatiques incriminés dans le cadre des faits, pour rechercher des éléments de preuve ; c’est là qu’on va mettre en pratique la criminalistique apprise lors de notre formation Ntech.

Pour le reste, ce sont des dossier menés en propre par le groupe.

Avez-vous des modes d’action et des outils spécifiques ?

Absolument. Je pense en premier lieu à l'enquête sous pseudonyme, qui est particulièrement précieuse dans des domaines comme le Darknet ou les enquêtes de pédocriminalité.

Nous avons également à notre disposition différents outils, développés par la chaîne Cybergend, au niveau du C3N, ou par le biais de l’Institut de recherche criminelle de la gendarmerie nationale (IRCGN), qui nous facilitent grandement la vie, comme la Chain analysis, qui permet le suivi des cryptomonnaies.

Nous pouvons aussi nous appuyer sur une communauté cyber forte. En gendarmerie, cette chaîne est constituée de telle sorte qu’on trouve toujours une oreille attentive dès qu'on a une question. Le chat cyber va être notre relais privilégié pour trouver des solutions aux problèmes très techniques.

C'est aussi la façon dont on travaille au sein de notre groupe cyber. Nous sommes dans un open space, donc quand l'un d'entre nous formule une interrogation à haute voix, tous ceux qui sont présents essaient d’y apporter une réponse. Plus généralement, quand l'un de nous s’engage sur quelque chose, tout le monde participe et apporte sa pierre à l’édifice. Il y a vraiment une très bonne dynamique au sein du groupe.

Nous pouvons aussi nous appuyer sur nos connaissances et partenaires extérieurs à la gendarmerie, en matière de lutte contre la cybercriminalité, comme l’ANSSI, des experts privés avec lesquels nous avons pu travailler, les investigueurs en cybercriminalité de la police, avec lesquels nous sommes en contact. Il y a une véritable interaction cyber pour ne pas rester dans une impasse.

La montée en puissance de l’investigation cyber en gendarmerie