débat les polices suisses face à la cybercriminalité · pour illustrer mon propos, j’aimerais...
TRANSCRIPT
16 format magazine no 6
Depuis plusieurs années, la lutte contre la cyber-criminalité est devenue une priorité pour les polices suisses. Comme le soulignent les trois spécialistes interrogés dans le cadre de ce débat, aucune infrac-tion et aucune enquête n’ échappe aujourd’hui aux nouvelles technologies et à internet. Si leurs constats quant à l’urgence d’agir sont partagés, les modalités proposées de la réponse policière face aux multiples facettes de la cybercriminalité ne se recoupent pas toujours.
magazine : Pourriez-vous nous donner votre
définition de la cybercriminalité ?
Daniel Nussbaumer : Cette question est bien posée.
Il n’existe aucune définition uniformément acceptée
de la cybercriminalité. À mon avis, le plus sensé
d’un point de vue policier est de faire la distinction
entre deux types fondamentaux de phénomènes
criminels. Il y a, d’une part, les infractions (classiques)
commises par le biais d’internet en tirant profit
des nouvelles technologies. Il s’agit, par exemple,
de menaces ou de contraintes dans le cadre de
harcèlements ou de mobbing exercés via WhatsApp,
Facebook ou d’autres canaux. De tels délits sont
généralement commis
par des auteurs isolés
qui ont des liens directs
avec les personnes
lésées. Il ne s’agit pas de nouvelles infractions, mais
d’infractions commises par d’autres moyens et qui
peuvent, par conséquent, continuer de faire l’objet
d’un traitement par des enquêteurs de police seuls.
On observe, d’autre part, des phénomènes où
des groupes d’auteurs organisés usent de réseaux ou
d’infrastructures à grande échelle pour s’attaquer de
manière ciblée et dans plusieurs pays à un nombre
aussi large que possible de personnes lésées. On peut
citer par exemple les chevaux de Troie « Retefe » ou
« Dridex » qui s’attaquent aux service de e-banking,
le rançongiciel « Cryptolocker » ou des phénomènes
tels que la sextorsion ou les escroqueries de type
romance scam. De telles procédures requièrent
une équipe permanente d’enquêteurs, composée
de procureurs et de policiers, et organisée selon le
modèle des commissions spéciales. Elles doivent
être menées en étroite collaboration avec des
partenaires nationaux, voire internationaux.
Hans Rudolf Flury : fedpol fait face à une
cybercriminalité se définissant de deux manières.
L’une au sens strict du terme recouvre toutes les
infractions commises au moyen de technologies
apparues avec internet et qui exploitent les failles
et possibilités de ces technologies, telles le piratage
informatique ou les demandes de rançon par maliciel.
L’autre, au sens large, étend la définition à toutes les
infractions qui utilisent les nouvelles technologies
comme moyen de communication ou de stockage.
DÉBAT – LES POLICES SUISSES FACE À LA CYBERCRIMINALITÉ
Débat
Les polices suisses face à la cybercriminalité
« Internet est un facilitateur pour commettre des délits qui existaient bien avant l’apparition du web. »
Daniel Nussbaumer * Hans Rudolf Flury ** Romain Roubaty ***
* Chef Cybercrime Police cantonale de Zurich
** Chef de la Police judiciaire fédérale
*** Responsable du Centre d’Investigation Numérique et de Cryptologie, HEG
Arc (HES-SO// Haute école de Suisse
Occidentale) Une brève présentation des personnes interviewées
et des institutions qu’elles représentent figure à la fin du débat.
17format magazine no 6
DÉBAT – LES POLICES SUISSES FACE À LA CYBERCRIMINALITÉ
Internet est un facilitateur pour commettre des délits
qui existaient bien avant l’apparition du web. Les
escroqueries consistant à manipuler une personne
afin de lui extorquer de l’argent ou des données
personnelles, telles que les arnaques aux petites
annonces, en sont un exemple.
Romain Roubaty : Je peux volontiers vous donner la
définition de notre institut, l’ILCE. La cybercriminalité
peut se définir comme un ensemble d’infractions
ayant pour objet un système informatique (exemple :
la soustraction de données (art. 143 CPS), l’accès
indu à un système informatique (art. 143bis CPS),
la détérioration de données (art. 144bis CPS)) ou
impliquant l’utilisation d’un système informatique
comme vecteur de commission (exemple :
l’escroquerie sur internet, le cyberharcèlement, la
cyberpornographie, etc.).
magazine : Quelles sont selon vous les
principales menaces liées à la cybercriminalité
auxquelles la police suisse sera confrontée au cours
des prochaines années ?
Romain Roubaty : Vous répondre par une liste de
méfaits existants actuellement serait mésestimer
l’adversaire. Le propre de ce milieu, c’est sa vitesse
d’évolution, sa faculté d’adaptation aux nouveautés,
son ingéniosité à trouver les failles technologiques,
sa capacité à inventer de nouveaux stratagèmes
pour arnaquer les utilisateurs un soupçon crédules.
Pour illustrer mon propos, j’aimerais relever la
problématique qu’engendrent les ransomwares.
C’est l’évolution de l’attaque « la bourse ou la vie »
d’antan. Les montants demandés sont relativement
bas, de façon à persuader « la cible » que c’est
en payant qu’elle dépensera le moins d’argent
(par rapport au fait de payer des spécialistes
qui essaieraient de décrypter les documents,
de plus, avec une très petite chance de succès).
J’entends même qu’un certain nombre de policiers
recommandent de payer, ne sachant d’ailleurs pas
vraiment que proposer de mieux.
Daniel Nussbaumer : Nous nous trouvons au
centre d’une révolution digitale caractérisée
par le développement et l’amélioration très
rapide de nouvelles technologies. Nous nous
déplacerons bientôt dans des voitures autonomes
et ne devrons plus nous préoccuper d’acheter du
lait, car notre frigo s’en chargera lui-même. Ces
évolutions technologiques sont regroupées sous la
dénomination « Internet des objets ». Elles exerceront
une influence cruciale sur notre quotidien. Des
délinquants ingénieux trouveront donc des moyens
pour détourner ces
technologies à des
fins délictueuses. Au
cours des prochaines
années, le plus grand
défi des autorités de
poursuite pénale sera
donc d’être capable de
suivre les évolutions
technologiques afin de pouvoir, d’une part,
protéger les infrastructures de manière efficace,
et, d’autre part, prévenir des infractions, c’est-
à-dire empêcher leur survenance. Alors que la
protection des infrastructures critiques telles que
les centrales nucléaires ou les banques est une
prérogative de la Confédération, les corps de police
cantonaux doivent, dans le cadre de leurs devoirs
de prévention, sauvegarder d’autres infrastructures
critiques, telles que des bâtiments publics de type
écoles ou administrations communales ou encore les
institutions privées telles les PME ou les habitations
privées. La mise en œuvre de ces mesures de
protection ne requiert bien évidemment pas que
l’engagement des corps de police, mais aussi le
concours des potentiels lésés eux-mêmes.
Hans Rudolf Flury : La professionnalisation des
criminels sur le net est une vraie tendance. Par le
passé, les arnaques sur internet étaient grossières
et mal imitées. Aujourd’hui, elles sont de plus en
plus sophistiquées. Les faux courriels envoyés
par les escrocs sont de meilleure qualité, avec un
vocabulaire soigné qui imite le style d’écriture du
prétendu directeur de l’entreprise. Le cybercrime est
plus organisé. Il suffit de quelques personnes pour
former une équipe. Issues parfois de pays différents,
elles se répartissent les tâches. L’une s’occupe de
créer de fausses pages et se charge d’hameçonner les
internautes. L’autre organise le blanchiment de l’argent
reçu des victimes. Si l’escroquerie nécessite d’autres
services, ils seront achetés auprès de personnes tierces
qui les offrent sur le darknet. L’essor du darknet, tout
« La mise en œuvre de ces mesures de protection ne requiert bien évidemment pas que l’engagement des corps de police, mais aussi le concours des potentiels lésés eux-mêmes. »
18 format magazine no 6
comme le paiement par monnaies virtuelles sont
aussi des tendances qui exigent des connaissances
d’enquêteur très spécifiques. Enfin, la technologie suit
une évolution constante dont la police doit pouvoir
suivre le rythme soutenu. À titre d’exemple, au vu
de la quantité plus importante d’appareils connectés
au réseau internet (Internet des objets), les attaques
DDoS deviendront plus fréquentes et disposeront
d’une surface d’attaque plus conséquente.
Comprendre les phases et le mécanisme d’une telle
attaque est donc primordial pour les investigations. La
Conférence des commandants des polices cantonales
de Suisse (CCPCS) et fedpol élaborent un dispositif
national relatif à la cybercriminalité et à la forensique
informatique, qui est sensé règler entièrement les
questions touchant à l’organisation et à l’infrastructure
de la poursuite pénale de la cybercriminalité en
Suisse. Cette analyse globale portera notamment
sur le niveau de spécialisation nécessaire pour
les investigations et sur les besoins en matière de
formation qui en découlent.
magazine : On évoque souvent la menace
de la cybercriminalité pour les particuliers ou les
entreprises – qu’en est-il de la vulnérabilité des
polices elles-mêmes ?
Daniel Nussbaumer : Il est évident que les services
de police peuvent eux aussi devenir la cible de
cybercriminels. Ceci peut prendre la forme d’une
attaque par déni de service ou – pire encore –
d’une intrusion dans un serveur qui sera ensuite
infecté par un maliciel dans le but de télécharger,
puis de dérober des données confidentielles. Les
corps de police se doivent donc de protéger leurs
infrastructures informatiques comme le font les
entreprises privées. Les
corps de police doivent
par ailleurs développer
des scénarios de
remplacement afin
de pouvoir continuer
à assurer les opérations de police et de sauvetage
en cas de dysfonctionnement des infrastructures
critiques, telles que les systèmes de communications.
Romain Roubaty : Les grandes entreprises et les
gouvernements sont évidemment bien mieux
équipés que les petites PME ou le grand public pour
faire face à ces phénomènes. Je pense à la qualité
de l’infrastructure, aux backups. Néanmoins, les
attaques de type déni de service, prise de contrôle
d’éléments liés à l’Internet des objets (par exemple,
prise de contrôle d’un véhicule à distance) font
réfléchir les polices sur les problèmes du futur.
Hans Rudolf Flury : À fedpol, nous sommes très
sensibles aux questions de sécurité informatique et
nos dispositifs de sécurité sont renforcés. Parce que
nous sommes une police, nous sommes justement
très conscients de ne pas être à l’abri d’une
cyberattaque ciblée. Les mesures de sécurité prises
pour protéger nos infrastructures sont essentielles.
D’un autre côté, nous sommes aussi régulièrement
victimes d’usurpation d’identité : fedpol est utilisé
pour le phishing et pour arnaquer des gens en notre
nom. Le travail de sensibilisation et de prévention
que nous réalisons au moyen de nos alertes est donc
très important.
magazine : De quels moyens (ressources
financières, ressources humaines, ressources matériel,
etc.) disposez-vous / votre institution pour lutter contre
la cybercriminalité ?
Romain Roubaty : Si vous parlez de financement
public, la réponse est : absolument rien. Tous
les projets, cours, mandats tant du CINC que de
l’ILCE sont autoporteurs. Nous devons donc pour
chaque cours, chaque projet, trouver les ressources
pour pouvoir le réaliser. Au niveau matériel, le
CINC possède deux grosses machines d’analyse,
du matériel de copie pour la préservation de la
preuve, une valise d’analyse de matériel nomade, et
il dispose de plusieurs serveurs de données et de
nombreux logiciels spécialisés.
Daniel Nussbaumer : Pour combattre la
cybercriminalité, le canton de Zurich s’est, quant à
lui, doté d’un centre de compétences qui regroupe
aujourd’hui seize personnes dont deux procureurs,
une procureure adjointe, deux secrétaires
administratives, deux policiers de la Police
municipale de Zurich ainsi que ma division qui
compte neuf policiers cantonaux. Ces collaboratrices
et collaborateurs sont principalement chargés de
« Parce que nous sommes une police, nous sommes justement très
conscients de ne pas être à l’abri d’une cyberattaque ciblée. »
DÉBAT – LES POLICES SUISSES FACE À LA CYBERCRIMINALITÉ
19format magazine no 6
cyberinfractions généralement internationales et
d’une grande complexité. Les cas de cybercriminalité
moins complexes, tels que des infractions d’ordre
sexuel ou en lien avec les stupéfiants, sont traités par
des enquêteurs spécialisés de la Police cantonale de
Zurich.
Hans Rudolf Flury : Internet et donc la
cybercriminalité dépassent les frontières. La lutte
contre la cybercriminalité n’est efficace qu’avec
une collaboration entre les partenaires nationaux et
internationaux. Les ressources se situent tout d’abord
dans les polices cantonales. Au niveau fédéral,
fedpol offre des ressources plus spécialisées. La
coopération internationale avec Europol et Interpol
permet non seulement l’échange d’information,
mais aussi de connaissances. Ce sont ces échanges
intenses entre les partenaires et leurs ressources qui
offrent un dispositif effectif pour combattre ensemble
la cybercriminalité. Grâce à un regroupement
des unités spécialisées en IT et cybercriminalité
dans le futur « centre de compétence forensique
informatique et cybercriminalité » de fedpol, les
ressources pourront être engagées de manière
plus flexible et plus rapide. La concentration des
compétences spécialisées et la simplification de la
structure permetteront d’optimiser les processus.
magazine : Quels moyens supplémentaires
vous faudrait-il idéalement pour optimiser la lutte
contre la cybercriminalité ?
Romain Roubaty : Lorsque nous sommes habitués
à faire avec ce dont nous disposons, une telle
question surprend. Je pourrais vous dire : plus de
financement, plus de personnes, plus de temps pour
la recherche. Soyons pragmatiques : en Suisse, il
faudrait en premier lieu un meilleur partage entre les
acteurs et un certain regroupement des forces. Cela
me semble absolument nécessaire.
Daniel Nussbaumer : En termes de ressources
personnelles ou d’infrastructures, un petit pays
comme la Suisse ne pourra jamais régater avec les
grands États. Par contre, il est évident que les petits
corps ou les petits pays doivent aussi, en fonction de
leurs possibilités, participer de manière adéquate à
la lutte contre la cybercriminalité au niveau mondial.
L’objectif premier des corps de police suisses devrait
être d’améliorer la mise en réseau au niveau national
et international, de réduire les barrières légales et de
mieux coordonner les procédures pénales au niveau
national comme international afin de pouvoir assurer
un soutien mutuel en cas d’incident et une utilisation
coordonnée et ciblée des ressources disponibles.
Les phénomènes (inter-)nationaux ne peuvent être
combattus de manière efficace que dans un cadre
(inter-)national de coopération.
Hans Rudolf Flury : Les moyens et les efforts
actuels qui sont entrepris au niveau national entre
Confédération et cantons sont essentiels. Il faut
définir les rôles de chacun dans la poursuite pénale
de la cybercriminalité pour pouvoir concentrer les
ressources de manière
efficace. Enfin, il est
aussi important de se
pencher sur le niveau de
spécialisation nécessaire
pour les enquêtes et
sur les besoins en matière de formation qui en
découlent. Ces points sont des éléments-clé du
dispositif national relatif à la cybercriminalité et à
la forensique informatique élaboré par la CCPCS et
fedpol.
magazine : Que préconisez-vous en ma-
tière de formation pour les policiers généralistes /
pour les spécialistes ?
Hans Rudolf Flury : Aujourd’hui, pas une enquête,
même la plus simple, n’échappe au cybermonde.
Tous les criminels ont un téléphone portable
ou un ordinateur, les voitures sont équipées de
GPS – la cybertechnologie est omniprésente. La
lutte contre la criminalité en général, et contre la
cybercriminalité en particulier, doit donc relever
un double défi : d’un côté, le policier généraliste
doit avoir les connaissances de base nécessaires
pour affronter les problématiques courantes de
cybercriminalité. De l’autre, il faut des spécialistes
extrêmement bien formés, capables de faire face
aux défis technologiques pointus. Cela exige une
double approche : d’une part, un enseignement
systématique dans la formation de base, et de l’autre,
des formations performantes telles qu’il en existe
« [E]n Suisse, il faudrait en premier lieu un meilleur partage entre les acteurs et un certain regroupement des forces. »
DÉBAT – LES POLICES SUISSES FACE À LA CYBERCRIMINALITÉ
20 format magazine no 6
déjà ou sont planifiées au sein de l’ISP, des hautes
écoles et universités. Enfin, des offres de formation
continue pour former les policiers expérimentés à la
cybercriminalité.
Daniel Nussbaumer : L’importance de la cyber-
criminalité croît, comme en atteste l’augmentation du
nombre de cas recensés. Les phénomènes liés à la
cybercriminalité et les méthodes de travail y relatives
sont nombreux et très dynamiques. C’est pourquoi
la lutte contre la cybercriminalité ne doit pas rester
uniquement une affaire de spécialistes. Elle concerne
de plus en plus la base des organisations policières.
Selon la difficulté des cas, les efforts nécessaires à leur
résolution et leur traitement ne devraient pas forcément
être du ressort des spécialistes, mais de l’ensemble de
la police judiciaire ou de la gendarmerie. Il est par
conséquent important de transférer continuellement
des compétences spécialisées vers les généralistes. Il
est essentiel de tenir compte du développement et de
l’amélioration très rapides des nouvelles technologies.
Des phénomènes qui sont aujourd’hui traités par des
policiers spécialistes seront
gérés dans dix ans par des
généralistes. Les concepts
de formation en matière de
cybercriminalité doivent
donc être conçus de manière
flexible. Si la formation de cyberenquêteurs issus de
la gendarmerie ou de la police judiciaire peut être
assurée par des e-learnings ou des cours proposés
par l’Institut Suisse de Police, les cyberenquêteurs
spécialisés devront eux être formés par des hautes
écoles.
Romain Roubaty : Nous préconisons une formation
en quatre paliers : le niveau de base, ou NT2P
(Nouvelles Technologies et Préservation des Preuves)
pour tous les policiers. C’est un cours de deux jours
permettant tout d’abord aux policiers d’appréhender
le vocabulaire et les concepts de base leur permettant
d’échanger avec les spécialistes. Ils acquièrent ensuite
les bons réflexes en matière de préservation de la
preuve numérique, tant du point de vue technique
que juridique. Enfin, c’est l’occasion d’apprendre à
trouver des informations publiques sur le net et de
pouvoir répondre correctement à des cas concrets
liés à l’informatique, cas que les policiers peuvent
rencontrer dans l’exercice de leur métier.
Cette formation peut être complétée par deux
niveaux intermédiaires, l’un tourné vers l’analyse
des smartphones, l’autre vers l’analyse des résultats
extraits par les spécialistes IT des corps de police.
Enfin, pour les spécialistes, il existe toute une série de
CAS en investigation numérique, allant de l’analyse
des systèmes de fichiers standards jusqu’à l’analyse
de machines utilisées pour réaliser des actions de
criminalité informatique, en passant par l’analyse de
systèmes vivants et de réseaux.
Nous nous sommes déjà mis au travail, en collaborant
en particulier avec les commandants RBT. Le premier
niveau a déjà été réalisé à plusieurs reprises. Pour les
CAS en investigation numérique, la cinquième volée
d’étudiants a terminé ses études au printemps passé.
magazine : Où situez-vous la frontière
entre cybercriminalité et cyberguerre ? Quel serait le
rôle des polices suisses en cas de cyberguerre ?
Romain Roubaty : Vandalisme, désinformation,
espionnage, sabotage sont les quatre éléments
principaux d’attaque, allant du moins au plus
dangereux. Selon qu’ils sont réalisés par des
individus ou des gouvernements, on parlera plutôt
de cybercriminalité ou de cyberguerre. Selon la cible
aussi, si elle consiste à attaquer le réseau d’une PME
ou à pirater une infrastructure sensible, comme le rail.
Aujourd’hui, ces différentes attaques sont menées par
des groupuscules ou par de grandes organisations,
techniques ou politiques, et la frontière entre criminalité
et guerre devient floue. Vous parlez au conditionnel
et ce n’est pas, de mon avis, le bon temps. La réalité,
c’est le présent. Les tentatives d’intrusion sont légions.
Certains sabotages mis en place par des virus (Stuxnet,
DuQu, Sauron…) montrent que la cyberguerre est une
réalité. La géographie de la toile fait qu’il n’est pas facile
de déterminer si une action est interne ou externe, si
elle vient d’un unique hacker très doué, d’un groupe
mafieux, ou d’un service offensif d’un État. Est-ce le
rôle de l’armée, celui de la police ? Il m’est d’avis qu’il
faut consacrer toute l’énergie à lutter et à se protéger
plutôt qu’à définir et cantonner les rôles.
Daniel Nussbaumer : Les (cyber)attaques peuvent
être d’origine délictueuse ou être liées à un conflit
armé. En ce sens, le monde virtuel ne se distingue
pas fondamentalement du monde réel. Au début
« [I]l faut consacrer toute l’ énergie à lutter et à se
protéger plutôt qu’ à définir et cantonner les rôles. »
DÉBAT – LES POLICES SUISSES FACE À LA CYBERCRIMINALITÉ
21format magazine no 6
d’une procédure (pénale), cette distinction n’est pas
toujours évidente. La différence entre cyberguerre et
cybercriminalité a trait au mobile. Les cyberinfractions
sont commises pour des raisons financières ou
personnelles, alors qu’une cyberguerre a pour but
de paralyser des infrastructures vitales, d’affaiblir un
pays ou de récolter des informations stratégiques.
Cette frontière est particulièrement ténue lorsqu’il
s’agit d’espionnage économique ou industriel. En
matière de cyberguerre, le rôle de la police serait
étroitement lié au type de cas rencontré.
Hans Rudolf Flury : La cyberguerre caractérise une
action entreprise par des acteurs étatiques présents
DÉBAT – LES POLICES SUISSES FACE À LA CYBERCRIMINALITÉ
PortraitsRomain Roubaty est au bénéfice d’une formation de
mathématicien. Il est à la fois responsable du CINC
(Centre d’Investigation Numérique et de Cryptologie)
de la Haute École Arc et des CAS en Investigation
Numérique ainsi que de la partie informatique du
MAS en lutte contre la criminalité économique.
Par leurs cours, leurs conférences, leurs
mandats, le CINC et l’ILCE (Institut de Lutte contre
la Criminalité Économique) sont actifs dans la lutte
contre le cybercrime.
Daniel Nussbaumer a complété ses études de droit
à l’Université de Zurich par une thèse de doctorat et
un brevet d’avocat. Il a travaillé comme procureur
au Ministère public de Zurich avant de rejoindre
la Police cantonale de Zurich en 2013 au sein de
laquelle il dirigera pendant trois ans la division
d’enquête en matière de criminalité économique. Il
est aujourd’hui à la tête de la division cybercrime.
La Police cantonale de Zurich assume une
mission fondamentale en matière de prévention et
de répression de la cybercriminalité sur son territoire
cantonal. La division cybercrime s’engage à cet effet,
aux côtés de la Police municipale et du Ministère
public de Zurich, au sein du Centre de compétence
cybercrime zurichois.
Hans Rudolf Flury est chef de la Police judiciaire
fédérale à l’Office fédéral de la police (fedpol). Le
domaine cybercriminalité est sous sa responsabilité.
Active dans la répression de la cybercriminalité, la
police fédérale coordonne les enquêtes concernant
plusieurs cantons ou ayant un lien avec l’étranger.
Elle établit une vue d’ensemble des cas au niveau
suisse. fedpol, dans sa fonction de police judiciaire
fédérale, enquête pour le Ministère public de la
Confédération (MPC) sur les cas de cybercriminalité
au niveau fédéral. Les citoyens victimes de cybercrime
peuvent annoncer à fedpol les cas ou soupçons de
cybercriminalité au moyen d’un formulaire en ligne.
Ces annonces permettent d’identifier les dangers
actuels et pertinents et de publier des alertes
préventives. En matière de formation, les spécialistes de
fedpol soutiennent le cours ISP Coopération policière
internationale. Un cours de base sur les phénomènes
de la cybercriminalité est au programme.
dans les cyberspace dans le but de prendre un
avantage militaire. La guerre ne se jouerait plus
uniquement par voie terrestre ou aérienne, mais aussi
à travers internet. En cas d’attaque sur les systèmes,
par exemple, l’armée est compétente pour lancer
une cyberdéfense. La Centrale d’enregistrement et
d’analyse pour la sûreté de l’information (MELANI) a
pour tâche de protéger les infrastructures vitales de
notre pays (p. ex. l’approvisionnement en énergie, les
activités bancaires, les télécommunications, etc.), en
particulier quand ces dernières dépendent du bon
fonctionnement des infrastructures d’information et
de communication. Les polices restent compétentes
en ce qui concerne la cybercriminalité.