cesar

C&ESAR 2011 - Mobilité, sécurité et l'enquête judiciaire

g4l4drim

g4l4drim

2 min read

par Eric Freyssinet – Gendarmerie Nationale
(@ericfreyss).

Pour ce qui est de la force de frappe de la gendarmerie dans le domaine, c’est 60 experts et enquêteurs spécialisés, 220 NTEC, plus de 500 correspondants NTEC, et en 2011 20 A-NTEC.

Coté équipement, c’est du tout IP mobile, avec la possibilité de localiser les patrouilles en temps réel, et un fourgon spécialisé pour pouvoir travailler sur les scènes de crimes, des kits d’analyse forensic portables utilisable directement lors des perquisitions (bref un arsenal digne des experts ;)).

Les préoccupations portent autour des indiscrétions des mobiles: manque de cloisonnement, vulnérabilités exploités via SMS, croissance du malware dans le mobile, botnets mobiles, vols de matériels, vol de mobiles / spam mobile. A ça s’ajoute les nouvelles tendances de l’omnipotence du mobile apporté par les technologies NFC. En effet la carte navigo coute moins cher à remplacer qu’un Iphone à 700 euros qu’on aime pas sortir dans le métro au risque de se le faire voler.

La mobilité pose problème pour identifier la localisation de l’adresse IP au niveau géographique, la transition ipv4 vers ipv6, les réseaux Wi-Fi, les VPN et réseaux d’anonymisation comme tor posent problème aux forces de l’ordre. Et derrière une IP il est difficile d’associer une personne unique. Pourquoi localiser ? Pour des questions de juridictions compétentes pour savoir quel parquet traite l’affaire.

Le positionnement dans le temps et dans l’espace permet de confirmer ou d’infirmer un éventuel alibi d’une personne dans une affaire. La couverture réseau, notamment Wi-Fi, a un impact sur certaines affaires, car une IP liée à un réseau Wi-Fi de madame michu à pu être piraté par le voisin.

L’identification de l’abonné mobile sur la base du numéro de téléphone pose problème aux enquêteurs, surtout dans un contexte de portabilité du numéro et de la démultiplication des MVNO, sans compter que certains résidents français utilisent des SIM étrangères sur le territoire, rendant difficile l’accès à l’identité réelle de l’abonné. Pour les réseaux de données, l’utilisation du NAT à plusieurs étages transforme ça en casse tête. Le numéro IMEI n’est pas forcément très fiable, car codé dans la rom, et l’emplois de « flashbox » pour changer l’IMEI du téléphone viens là encore brouiller les pistes.

L’interception légale est complexe non pas sur la partie voix, mais surtout sur la partie réseau internet, avec le chiffrement, les protocoles multiples etc… La localisation à partir des réseaux sociaux ou des métadonnées des images aide grandement les enquêteurs dans leur travail.

Coté hardware, l’hétérogénéité des composants des téléphones mobiles, leur gestion de la mémoire de stockage rendent la tâche compliquée, mais permettent d’extraire un grand nombre d’informations rémanentes. Petit exemple de skimmer équipé d’un système de téléphonie mobile consultable à distance par l’attaquant.

Les partenariats s’étoffent avec le monde académique et privé, avec l’UTT de Troie, ou bien avec Arxsys qui à développé le DFF (Digital Forensic Framework). La création de centre d’excellence pour la recherche et la formation contre la cybercriminalité est en cours avec la création d’une communauté francophone libre et/ou open-source pour l’investigation numérique.

Pour conclure quelques pistes et questions :
– capture de la mémoire vive d’un terminal mobile (1Go voir plus)
– capture de preuve dans un réseau d’objets connectés
– corrélation d’informations issues de multiples mobiles
– quels sont les usages et les outils de demain ? et les pratiques et usages criminels associés.

Read more