Les notions de cybercriminalité et de cyberinvestigation sont étroitement liées à celle du cyberespace, devenu le théâtre d’attaques de plus en plus nombreuses, complexes et difficiles à tracer, au service d’intérêts politiques et économiques. Pour faire face à ces nouvelles menaces, la France a développé son cadre juridique de manière à encadrer ces nouveaux délits et les services d’investigation ont dû faire évoluer leurs modes opératoires par la création d’entités spécialisées dans le traitement des questions cybers, constituées de personnels dotés de compétences spécialisées en informatique. Les capacités françaises en matière de cyberinvestigation, et plus globalement de maîtrise du cyberespace doivent pour autant être approfondies et développées.
À mesure que le cyberespace prend de l’importance, la menace représentée par les groupes cybercriminels augmente et prend des visages différents : acteurs étatiques, crime organisé, particuliers, activistes numériques, etc. Pour des raisons de rentabilité et d’efficacité, ceux-ci s’attaquent principalement aux secteurs financier, technologique, éducatif, sanitaire, et aux entités publiques. Grâce aux analyses des groupes menant les attaques les plus élaborées, appelés les Advanced Persistant Threats (APT) et à la cartographie des cyberattaques, les cyberinvestigateurs disposent de nouveaux outils, qui leur permettent de prévenir un certain nombre de ces attaques, et d’attribuer certaines d’entre elles à des groupes selon leurs modes opératoires et leurs cibles.
Le renseignement d'origine cyber et le renseignement d'intérêt cyber
Les outils d’investigation numériques mis à disposition des services de cyberinvestigation permettent d’intervenir au niveau de chaque couche du cyberespace (informationnelle, logicielle et physique). Ces investigations se divisent en deux grandes méthodes : le renseignement d’origine cyber (ROC) et le renseignement d’intérêt cyber (RIC), qui présentent chacun un intérêt distinct. Le premier, qui s’attache à exploiter les données en sources ouvertes, peut être issu de due diligences, de l’analyse de l’empreinte numérique d’une entité ou encore de l’analyse des réseaux sociaux (SOCMINT, pour Social Media Intelligence). Le second, qui s’intéresse à l’analyse des systèmes d’information, s’appuie sur la connaissance des matériels numériques, l’étude des malwares et la rétro-ingénierie pour identifier les auteurs de délits. Ces pratiques sont régulées par un cadre légal contraignant, notamment en termes de protection des données personnelles dans le cadre du « Règlement général sur la Protection des Données » (RGPD).
De manière générale, les techniques d’Open Source Intelligence (OSINT), permettent aux cyberinvestigateurs de récolter, de recouper et d’analyser des informations disponibles en ligne afin de mieux comprendre et jauger les APT. Le terme OSINT recouvre lui-même un certain nombre de pratiques, comme le SOCMINT ou le Geospatial intelligence (GEOINT).
Pour les acteurs publics comme privés, ces pratiques redéfinissent la notion de conflictualité en affirmant la centralité de l’information, défensivement comme offensivement. Ainsi, l’étude du cas du conflit en Ukraine montre comment le cyber est devenu un champ de bataille à part entière, servant à espionner, paralyser, démoraliser, mobiliser des cibles grâce au contrôle de l’information.
Les défis de la cyberinvestigation
Bien que l’on ne puisse plus réellement parler de “nouvelle” technologie lorsque l’on parle du cyberespace, son évolution permanente oblige les acteurs du cyberespace à constamment remettre en question leurs méthodes et leurs grilles d’analyses afin de les adapter à la réalité opérationnelle. Ainsi, pour les cyberinvestigateurs, la prospective est un outil primordial qui permet l’anticipation de nouvelles menaces. À ce titre, les cinq idéaux types de cybermenaces que sont le cyberactivisme, la cybercriminalité, le cyberespionnage, le cyberterrorisme et la cyberguerre trouvent tous leurs déterminants principaux dans des tensions géopolitiques. Combinée à cette intensification des cyberattaques et des menaces cyber, la structuration du Dark Web en tant qu’interface au service des cybercriminels laisse présager un cyberespace toujours plus dangereux. Les applications d’innovations technologiques comme l’intelligence artificielle et le machine learning permettent d’envisager des menaces de plus en plus sophistiquées et évolutives, à même de bousculer toutes les mesures actuelles de cybersécurité. Les cyberinvestigateurs doivent donc être suffisamment nombreux, formés et équipés pour faire face, faute de quoi le coût économique et politique pourrait être très important.
Florian Brun, Yohann Cohen, Céline Craciuneac, Florina Grépin,
Gabriel Mouchès, Clara Wisson
Lire le PDF : Apportcybertechniquesinvestigation.pdf (ege.fr)