LUTTE CONTRE LA CYBERCRIMINALITE : Il suffit d’un clic

Anne Souvira Commissaire divisionnaire – 6 septembre 2021

Introduction:

La lutte contre la cybercriminalité n’est pas nouvelle puisque le 1er Service français créé date de 1994 (SEFTI, BEFTI, BL2C) à la préfecture de Police, fer de lance habituel de l’innovation compte tenu de la spécificité de son territoire¹ et du laboratoire qu’elle constitue sous un commandement unique intégré.

Aujourd’hui, en vertu du principe de droit administratif d’adaptabilité du service public, c’est avec plus d’intensité et de moyens coûteux, techniques et humains, tenus constamment à l’état de l’Art que la lutte contre la cybercriminalité a lieu.

Définition de la cybercriminalité au sens du rapport du Procureur Général Marc Robert remis en 2014 à Mme Taubira avec Bernard Cazeneuve et Axelle Lemaire :

• Les infractions contre les systèmes d’information (réseau et infrastructures et matériels hard ou soft) et les données qu’ils contiennent constituent la cybercriminalité au sens strict
• Les infractions commises ou facilitées au moyen des réseaux et systèmes d’information,

1. L’objet de la lutte: Que et qui protège-t-on ?

LaProtection dela souveraineté nationale² et du potentiel scientifique, économique et du patrimoine culturel.

La protection des infrastructures et des réseaux de l’Etat et des OIV³et OSE, et des internautes en général (entreprises, associations, organismes, particuliers) dans un contexte européen et international complexe.

2- Comment protège-t-on? Une protection légale, des actions de prévention et de répression dont la coopération internationale

La protection juridique

Tout d’abord la protection est juridique avec une règlementation européenne la directive NIS⁴ largement inspirée par la France et les anciennes réglementations nationales modifiées telles que la Loi Godfrain⁵, la Loi sur l’informatique, les Libertés et les Fichiers ou encore la LCEN⁶ et la Loi Lemaire⁷ sans compter les réglementations européennes à venir sur l’accès à la preuve numérique, le Digital Service Act (DSA) et les plateformes ainsi que le Digital single Market (DSM). Etc…Cf. le nouveau code du numérique de 2022⁸.

La prévention

Ensuite, compte tenu du trop faible niveau de conscientisation de la menace par nombre d’actions de prévention notamment auprès des collectivités et TPE PME et des particuliers sans oublier les Ecoles, collèges ou lycées.

La répression

Au nom de la société les actions de répression pour identifier, interpeller et mettre à disposition de la Justice les mis en cause.

La coopération internationale fondée sur la convention de Budapest⁹ et des textes de soft law sous l’influence des USA

3- De quoi protège-t- on?

LA MENACE: Les chiffres, les motivations – les modes opératoires

• LES CHIFFRES ET IMPACTS DE LA CYBERCRIMINALITE
  • Selon le rapport du sénat de juin 2021 de 6 000 Mds¹⁰$ alors que la masse monétaire de la France est de 3 000 Mds €

• Rapport Hiscox 2020 en France : le coût moyen des cyberattaques s’élève à 35 000 € contre 9 000 € en 2019
• Pour les grandes entreprises > 1000 employés, la moyenne des pertes culmine à 458 000 €. Mais St-Gobain crétait 384 Millions d’euros
• 43% des TPM ont déclaré avoir été victimes et 16% menacent la survie d’une entreprise
• Le coût moyen annuel doit se situer aux alentours de 15 millions d’euros en France.
• Les tendances Voir le Panocrim 2020 du CLUSIF sur son site clusif.fr

SABOTAGE, ESPIONNAGE et INFLUENCE, APPÂT DU GAIN,

Panorama des menaces à prévenir ou à défendre :

• les modes opératoires par motivations et souvent mixtes

Infractions contre les réseaux ou SIC (atteintes aux STAD¹¹) et leurs données ou utilisant les SIC (2 ans et 75 000€ à 7 ans voire 10 ans et => 300 000€)

• – SABOTAGE : destruction, effacement, chiffrement de données, entrave, déni de service, défigurations de site, atteinte à la réputation APT menace sournoise et persistante, appropriation frauduleuse d’informations secrètes, intelligence économique, (fake news/élections, vrai visage et faux discours)
  • Affaire découverte par une entreprise de cybersécurité qui s’est fait dérober ses outils de sécurité utilisé pour près de 20000 clients…. SolarWinds^® Orion^® Platform est une plate-forme puissante et évolutive de gestion et de surveillance de l’infrastructure qui simplifie la gestion informatique des environnements sur site, hybrides et SaaS, sur un seul écran. En parvenant à infecter des mises à jour du logiciel de surveillance réseau et informatique Orion de l’éditeur américain SolarWinds, des pirates ont pu s’infiltrer dans le SI d’au moins 18 000 clients sur 350 000. Le logiciel ainsi mis à jour contenant une backdoor (porte dérobée), ces MAJ piégées les ont exposé – et les exposent encore pour celles qui n’ont pas appliqué un premier correctif – à de nombreux risques allant du « vol » d’informations jusqu’à de la destruction de données très sensibles.
• – ESPIONNAGE : menace sournoise et persistante, appropriation frauduleuse d’informations secrètes, intelligence économique, le transfert de données hors UE et (le cloud act, la loi FISA US et compte gmail.) atteinte à l’e-reputation par fake news, usurpation de données exposées sur le web
• – APPÂT DU GAIN : Botnet¹² attaquant pour infecter ou diffuser les malwares contrefaçons, exfiltrer des données monnayables
  • Rançongiciels : malwares chiffreurs (2020 x 4 selon les sources)
  • Spamming, phishing et mails piégés par pièces jointes ou lien dans le corps du mail
  • Escroquerie au faux support dit Microsoft par téléphone ou internet

Rançongiciel¹³: fonctionnement

La plupart du temps par un logiciel malveillant téléchargé sur un site ou en cliquant sur un lien ou une pièce jointe dans un mail, reçu souvent au secrétariat d’un directeur ou manager.

Les données des fichiers sont chiffrées ainsi que tous les fichiers partagés en écriture, le serveur et leur sauvegarde ‘ si elle est faite sur e même serveur ; l’ordinateur est bloqué mais un message s’affiche pour demander le paiement d’une rançon en cryptoactif tel que le bitcoin contre la clef de déchiffrement des données.

Celles-ci seront, ou non, rendue dans le désordre et il faudra tout reconstruire. Ce coût de la cybercriminalité est très onéreux. Il faut donc s’organiser et former avant…

La question du paiement: survie ou non de l’organisation

Les assurances sont en délicatesse avec le sujet et ne prennent plus en charge la rançon pour éviter d’être complices des malfaiteurs et plus, selon à qui reviendra l’argent terroriste ou criminalité organisée et cela ne favorise pas l’arrêt de ce fléau pas suffisamment pris au sérieux malgré l’impact catastrophique qu’il peut avoir. L’intérêt de l’assurance est d’avoir à disposition une entreprise de remédiation qui viendra de suite aider à limiter l’impact et à reprendre l’activité tout en conseillant sur la plainte vers les forces de Police.

4- Qui protège? Les acteurs de la lutte contre la cybercriminalité

C’est un combat à la fois très transversal et spécifique en fonction du domaine par lequel on doit traiter la question. En raison de l’impact de l’attaque, ce n’est pas pareil de traiter des escroqueries à la carte bancaire par Internet ou des faux sites que de traiter des attaques informatiques contre des réseaux ou des entreprises construisent des armes ou qui opèrent dans un des 12 secteurs d’activité d’importance vitale (SAIV).

• Les services de l’Etat sont nombreux et une émulation saine par de la coordination émerge en liaison avec l’ANSSI¹⁴ et les services de renseignements
• Chacun, particulier, entreprise, organisme, collectivité peut et doit se protéger
• Les RSSI des entreprises, les DPO sont formés pour protéger

En matière de prévention, le réseau des Référents Cyber Menace (RCM) pour la Police Judiciaire est bénévole donne des conférences à la demande ; le réseau de la gendarmerie nationale sur sa zone territoriale fait également de la prévention our les TPE PME.

Système du guichetunique : La plainte est toujours déposée en commissariat ou en GN sauf pour les OIV/ OSE qui ont un correspondant à la DGSI ; puis l’enquête est menée par le service désigné par le Parquet en fonction des protocoles de zone ou du type de rançongiciel dans ce cas-là.

Il convient de noter qu’à Paris la section J3 du parquet est spécialisée dans la cybercriminalité et peut se saisir des affaires de province car elle dispose d’une compétence nationale concurrente. Ce n’est pas un Parquet National. La question se pose toutefois pour l’avenir de créer un Parquet National.

Paris et la petite couronne la zone de la préfecture de Police constitue le territoire de la mission de la Police Judiciaire.

La BL2C¹⁵ de la préfecture de Police de Paris, service très spécialisé mène les enquêtes cyber au sens strict (téléchargement illégal, infraction audiovisuelle et autres attaques informatique (STAD) et oriente vers le bon service.

C’est pareil en province. Il y a les commissariats ou brigade de Gendarmerie puis les services enquêteurs de la Police Judiciaire pour les dossiers complexes et de la sécurité publique pour les autres, sûretés ou commissariats.

La DGSI traite aussi des dossiers judiciaires des OIV et OSE ou ZRR¹⁶.

Les fonctionnaires de Police et de Gendarmerie spécialisés dans l’enquête sont qualifiés investigateurs en cybercriminalité (ICC) ou N’Tech dans la GN ; les PICC, premiers intervenants en cyber criminalité ou les Correspondants N’Tech recueillent la preuve et la donne à exploiter aux ICC. Ils disposent tous des matériels techniques à l’état de l’Art et peuvent recourir à la BL2C ou aux moyens de l’Etat dans les cas les plus complexes.

5. Comment éviter, limiter ces cybermenaces : la cybersécurité:

• Les mesures techniques et organisationnelles

• Défenses périmétriques et coût et PSSI et cartographie
• Les mises à jour- la sensibilisation récurrente- les bonnes pratiques
• Sauvegardes non liées à Internet et hébergement répliqués
• RGPD –NIS – Loi Informatique et Liberté
• Délégué à la protection des données
• Exercice de crise et plan de continuité d’activité ou de reprise d’activité
• Budget et assurance = Un comex (comité exécutif des dirigeants) dédié cyber et métiers est recommandé en entreprise
• Les mesures humaines : acteur de sa cybersécurité avec son RSSI
• Acquérir une culture la cybersécurité pour détecter les anomalies

• Les points de vigilance : MOTS DE PASSE- ANTIVIRUS -MISES A JOUR-SMARTPHONES – Configuration messagerie téléphonique (PBX)
• Sphère privée et sphère professionnelle
• Le shadow IT risque élevé
• Les droits d’accès : besoin d’en connaître

5. La cybersécurité: Pourquoi? Contribuer à un Internet confiant et sur.

• Pour aider à la lutte contre la cybercriminalité et rendre la tâche plus difficile aux assaillants.

• Pour contribuer et garder la souveraineté économique, scientifique et politique de la France et son autonomie stratégique et son régime démocratique
• Chacun doit contribuer à la préservation des potentiels fondamentaux de la Nation
• Pour ne pas devenir une coquille vide et un Pays appauvri
• Pour se défendre et ne pas se faire dépouiller par des sans Foi ni Loi

Conclusion:

Le financement du terrorisme, des stupéfiants, de la criminalité organisée est moins risqué par le canal des infractions cyber en raison des faibles risques d’être pris. Les combattants ne sont pas du tout à armes égales.

Police Justice (renseignement ou judiciaire) doivent dépenser des sommes faramineuses issues des impôts de chacun, pour apporter des preuves qui sont aux mains (sous la législation) de pays étrangers parfois inamicaux et le temps de leur obtention n’est pas en faveur de l’Administration malgré des avancées juridiques qui dépendent beaucoup d’une Europe toujours consensuelle en raison du principe de l’unanimité.

Les attaquants disposent de tout leur temps et de sommes colossales que les victimes consentantes leur donnent. (rançongiciel, phishing, faux support informatique). Et les attaques vont à la vitesse de la lumière et de façon massive tandis que la preuve est volatile en raison notamment de principes juridiques édictés par la CJUE¹⁷ de non conservation des données, généralisée et indifférenciée et de l’impact du RGPD¹⁸.

Lorsque l’on a un compte Gmail c’est aux USA qu’il faut s’adresser et vos données sont sous la législation américaine donc leur protection n’est ps assurée de façon adéquate ( privacy shield invalidé par l’Union Européenne.)

Chacun doit avoir bien conscience de tout cela pour adapter son comportement en cybersécurité qui profitera à tous, tout en évitant de se faire gruger. Mais pour en avoir vraiment il faut être ouvert à apprendre les bons usages ; nombre de sensibilisation, d’informations de petits niveaux ou plus avancées existent en ligne à l’ANSSI (SSI.gouv.fr) CNIL.fr, sur le site service-public.fr de la DGE, de la préfecture de Police, chez nos assureurs, dans les Ecoles d’informatiques et surtout sur cybermalveillance.gouv.fr.

Le cyber terrorisme : Si l’attaque des hôpitaux ou du réseau de distribution du pétrole américain peuvent être considérés comme pouvant semer la terreur car dans les faits on constate de la désorganisation avec les impacts sur les activités d’importance vitale et peut-être des morts ou la dégradation du système de soin, un cas a été rapporté en Allemagne

Les objets connectés ne sont pas sécurisés et notamment dans le domaine médical ils sont accessibles à distance car sur le réseau Internet. Il y a lieu de les sécuriser au plus vite et donc d’investir massivement

La lutte contre la cybercriminalité c’est inculquer les principes de la cybersécurité pour que chacun, concourt à la cybersécurité de tous par un comportement comme un seconde nature.

PARCE QUE LE MEILLEUR DEFENSEUR CONTRE LES HACKERS, C’EST…VOUS !

C’EST CHACUN D’ENTRE NOUS, RESPONSABLE.

Et rappelez-vous : IL SUFFIT D’UN CLIC…

***

DOCUMENTATION

• Ssi.gouv.fr site de l’agence nationale de sécurité des systèmes d’information
• Son Mooc de secnumacademie

• Cnil.fr (plainte sur les infractions administratives au RGPD (données personnelles)
• Baromètre du CESIN.fr
• https://www.prefecturedepolice.interieur.gouv.fr/prevention/nos-conseils/cybersecurite

Signalements de contenus illicites et documentation et parcours pour victimes

• Signal-spam.fr lutte contre le spam (courriels non sollicités) je crée mon compte gratuit et signale les spam ou scam (escroqueries)
• Pointdecontact.fr lutte contre les contenus illicites (pédo-criminel, terroristes, haine…)
• Internet-signalement.gouv.fr PHAROS
• Cybermalveillance.gouv.fr ACYMA
• Signalconso.fr
• clusif.fr/le-clusif/cyber-victimes/

Pour aller plus loin et accepter les nouvelles technologies encadrées au profit de la société :

Plate-forme OCTOPUS site du conseil de l’Europe : https://www.coe.int/fr/web/octopus/home

Rapport le droit pénal à l’épreuve des cyberattaques , le club des juristes https://www.leclubdesjuristes.com/wp-content/uploads/2021/04/rapport_cyberattaques_DEF2_WEB.pdf

Journal du village de la justice n° 91:https://www.village-justice.com/articles/parution-journal-village-justice-no91-special-cybersecurite-surete-numerique,37141.html

Jean-Michel Mis remet son rapport au premier ministre : « pour un usage responsable et acceptable par la société des technologies de sécurité »

Astuces :

Je ne charge pas mon téléphone portable sur un ordinateur car ils sont reliés à internet et mes données peuvent être interceptées et pas sur une prise publique d’abribus ou autres de gares, aéroports…

Je ne consulte pas Internet via un wi-fi public, train, gare, aéroport, ils ne sont pas assez sécurisés et je peux me faire intercepter des données personnelles ou sensibles.

J’installe un antivirus sur mon téléphone portable AVAST gratuit par exemple pour détecter les malwares et les détruire ou les mettre en quarantaine afin de ne pas me faire voler mes mots de passe bancaires et autres consultations de comptes internet ni intercepter mes sms d’achats.

Je n’utilise jamais le même mot de passe pour tout surtout celui de la banque !

Je fais ou configure les mises à jour de façon automatique et me renseigne pour savoir comment cela fonctionne sur mon smartphone, en général je pense à l’éteindre et à la redémarrer et mon anti-virus se mettra à jour et scannera les fichiers et applications.

Les applications aussi doivent être misent à jour sur mon PC comme les modules

Je ne clique pas par curiosité pour lire les mails que je n’attends pas !

Je survole les liens bleus et vérifie en bas de ma page si l’adresse est la même que celle présentée dans le lien…

Je ne clique jamais dans un lien je le copie et le colle dans la barre de recherche pour savoir où il mène vraiment. Si c’est étrange je quitte le site et signale ensuite à Pharos

Je ne clique jamais dans une pièce jointe sans savoir qui me l’a adressée et sans l’attendre.

Pour savoir qui m’adresse vraiment le mail je clique sur l’adresse de l’envoyeur pour voir le détail du contact. Ce champ est modifiable et un attaquant peut écrire le nom d’un contact connu mais en dessous c’est le sien…

Je me documente sur le site arobase.org pour savoir comment extraire l’entête d’un mail en fonction de mon type de messagerie : en effet c’est dans cet entête que figure le réel envoyeur.

Je m’informe sur SIGNAL-SPAM avec son baromètre du spam .

1 Paris et 4 départements 761km² 21 000h/km – 900 000 entreprises ; Les ambassades, ministères et administrations (Versailles 2000h/km)

2 Les intérêts fondamentaux de la nation s’entendent au sens du présent titre de son indépendance, de l’intégrité de son territoire, de sa sécurité, de la forme républicaine de ses institutions, des moyens de sa défense et de sa diplomatie, de la sauvegarde de sa population en France et à l’étranger, de l’équilibre de son milieu naturel et de son environnement et des éléments essentiels de son potentiel scientifique et économique et de son patrimoine culturel.

3 Opérateurs d’importance vitale ; organisations identifiées par l’État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population. Il y en a environ 250 dans 12 secteurs d’activité. Sous- catégorie : opérateurs de services essentiels.

4 Network and Information System Security. 

5 Loi du 5 janvier 1988 sur les infractions aux systèmes de traitement automatisés de données portant le nom de Jacques Godfrain, député.

6 Loi pour la confiance dans l’économie numérique du 21 juin 2004

7 Loi Lemaire : La loi pour une République numérique a été promulguée le 7 octobre 2016. Elle prépare le pays aux enjeux de la transition numérique et de l’économie de demain. Elle promeut l’innovation et le développement de l’économie numérique, une société numérique ouverte, fiable et protectrice des droits des citoyens.

8 Code Lexis Nexis droit du numérique sous la direction de Fabrice MATTATIA.

9 Convention de cybercriminalité STCE 185 Conseil de l’Europe (coe.int) ratifiée par la France le 23 novembre 2001et https://rm.coe.int/168008156d 66 pays signataires et 11 observateurs (Russie Irlande…) https://www.coe.int/fr/web/cybercrime/parties-observers

10 https://www.vie-publique.fr/en-bref/280574-cybersecurite-des-entreprises-mieux-proteger-les-tpe-pme

http://www.senat.fr/notice-rapport/2020/r20-678-notice.html

11 Système de traitement automatisé de données

12 Réseau d’ordinateurs infectés à l’insu de la personne et qui permet de lancer des attaques car contrôlés par un Serveur qui les commande

13 https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel/

14 Agence Nationale de la sécurité des systèmes d’Information placée auprès du Secrétaire Général de la défense et de la sécurité nationale Chef du Secrétariat …SGDSN auprès du Premier Ministre

15 La BEFTI dénommée aujourd’hui brigade de lutte contre la CyberCriminalité

16 Zone à régime restrictif.

17 Cour de Justice de l’Union Européenne

18 Règlement général sur la protection des données : règlement européen.