Volume et volatilité des données
Il y a le volume des données à examiner : il se chiffre en teraoctets si pas petaoctets qu’il faut stocker, exploiter, analyser pour les autorités policières. Ce sont les fournisseurs de services numériques qui sont obligés de les conserver quelques mois2 au cas où. Ces données peuvent être de tout type, structurées comme des bases de données ou libres, comme des boites emails, des fichiers. Entre autorités policières, il n’y pas d’entente comment les données doivent être stockées, exploitées, structurées, ce qui pose ensuite un problème de coopération entre elles.
La perte de données est un autre obstacle : il y a eu une tentative d’harmoniser entre Etats membres la durée de rétention des données exploitables à titre judiciaire mais elle a été invalidée par la Cour Européenne de Justice. Depuis, chaque Etat membre a ses règles sur quelles données doivent être gardées et pendant combien de temps pour d’éventuelles enquêtes. Dans certains Etats membres, il n’y a aucune rétention prévue ou à peine quelques jours. Quand une demande arrive, les données ont évidemment disparu.
Adresse Internet multi-usage
L’épuisement des adresses Internet est un autre obstacle : les adresses dites IPv4 qui sont nées avec Internet sont toutes utilisées. Il faut les partager avec une adresse parfois pour 65 000 utilisateurs. Ces adresses sont en fait étendues avec le port IP, une extension qui dit quel service est utilisé par l’internaute (et qui donc ne l’identifie pas) et n’est pas conservée. C’est que les adresses de nouvelle génération peinent à devenir la norme puisqu’on étend justement artificiellement le pôle d’adresse IPv4. On pourrait à tout le moins imposer un nombre maximum d’internautes qui se partagent une seule adresse, dit Europol, ou imposer la rétention du port.
Jusqu’au RGPD, on pouvait accéder au titulaire d’un nom de domaine, ses coordonnées, son email, quand il l’avait ouvert. C’était précieux pour les enquêteurs mais le RPGD a amené l’ICANN, qui gère les noms de domaines non nationaux (gTLD) à ne plus rendre cette information publique. Tous les gTLD gérés par l’ICANN sont concernés. Il y a encore moyen de consulter ces données qui ne sont plus publiques mais les intermédiaires (registrars) qui assignent les noms de domaines à une organisation ou à une personne physique communiquent ces données sur base volontaire. Et surtout, rien n’est prévu pour garantir qu’une demande de renseignement policière sur le propriétaire d’un nom de domaine par une autorité policière reste anonyme. Interpol a bien proposé sa propre base de données de tous les noms de domaines impliqués dans des activités illicites mais encore faut-il les identifier. De toute façon, le système DNS qui traduit un nom de domaine en adresse IP sur Internet est exploité et détourné par les criminels pour réorienter les internautes vers des domaines qui contiennent des malwares ou de l’hameçonnage.
Chiffrement de tout
Autre défi : l’accès aux données. Les criminels prennent l’habitude de chiffrer toutes leurs données et sans clé de déchiffrement, on ne peut rien faire. Dans un Etat membre, il est possible de forcer par la contrainte un criminel à donner son mot de passe, à déverrouiller son appareil, même sans l’intervention d’un juge tandis que dans un autre Etat membre (non cité dans le rapport) un mot de passe même découvert légalement lors d’une perquisition n’est pas utilisable. Non seulement les criminels appliquent le chiffrement à leurs données mais les fournisseurs de communications électroniques vont aussi chiffrer par défaut leurs communications3. La 5G prévoit par défaut le chiffrement des données de bout en bout pour les appels vocaux si l’appel reste en 5G. L’opérateur peut même appliquer le chiffrement des données en roaming : l’appareil de l’utilisateur échange des clés de chiffrement avec son opérateur à domicile avant de laisser du trafic s’échapper sur le réseau du pays visité. Les criminels le savent et utilisent des cartes étrangères avec une clé…à l’étranger. Autre progrès fort gênant de la 5G, la technique dite de slicing, en cours de déploiement (5G SA) : elle permet de répartir le trafic d’un même utilisateur entre différents réseaux 5G virtuels à l’intérieur du réseau 5G réel pour n’optimiser les performances qu’en fonction de l‘usage (latence à optimiser ou débit à maximiser). Cela permet aux entreprises d’avoir leur réseau 5G privé dans le réseau 5G public mais cela complique la tâche des autorités policières qui doivent poursuivre plusieurs flux de trafics d’une même cible. Même les textos sont chiffrés de bout en bout avec le déploiement de RCS, un protocole dont s’est inspiré WhatsApp.
Pour des raisons de sécurité, il faut aussi chiffrer le trafic DNS, celui qui traduit le nom de domaine en adresse IP. On peut le faire au niveau bas, TLS, ce qui permet encore de suivre le trafic émis par le suspect, même s’il reste chiffré, mais parfois le trafic DNS est chiffré au niveau du protocole http, directement au niveau du navigateur ce qui le mélange avec tout le trafic internet. Ceci dit, accéder au traffic DNS de la cible requiert une forte coopération de l’opérateur télécom en plus.
Fournisseurs de communications électroniques dits OTT
Avec le Code de Communications Électronique, non seulement les opérateurs télécom traditionnels doivent permettre les écoutes téléphoniques mais aussi la myriade de fournisseurs de communications électroniques sur Internet (les Over The Top providers, ou OTT) mais ce n’est pas souvent le cas et il n’y rien qui est en place au niveau légal coercitif pour les forcer. Les techniques de chiffrement de bout en bout vont en tout cas exiger que ces opérateurs prévoient des possibilités pour les autorités policières de venir placer des équipements d’écoute comme au bon vieux temps. Mais comment vérifier qu’il n’y a pas d’abus non seulement des autorités judiciaires mais aussi des hackers.
Les cryptomonnaies
Les cryptomonnaies sont évidemment prisées par les criminels. Il est si facile d’échapper aux autorités judicaires avec les cryptomonnaies. C’est vrai qu’elles sont traçables mais les techniques pour les brouiller sont bien connues aussi : il y a le mixage qui consiste à mélanger les transactions pour dissimuler l’origine des sources. Il y a le swapping, c’est-à-dire échanger une cryptomonnaie contre un autre (et il y en a des cryptomonnaies) de proche en proche pour obscurcir le chemin suivi. Il s’agit aussi d’échanger les cryptomonnaies en dehors des plateformes ou alors via des plateformes décentralisées, sans autorité centrale à qui adresser une réquisition.
Même dans le cas d’une plate-forme centralisée soi-disant dans un pays donné, une réquisition qui y est envoyée après avoir pris du temps, ne mènera nulle part car la plate-forme ne sera pas physiquement dans le pays où elle est enregistrée. Il y a depuis, en Europe, la Travel Rule : elle oblige les plateformes qui envoient et reçoivent des cryptomonnaies à conserver le nom de l’émetteur et du bénéficiaire des fonds (cryptos).
Les techniques d’anonymisation sur Internet sont devenues redoutablement efficaces grâce à des VPNs. Ces réseaux privés sont à l’intérieur même d’internet et complément chiffrés. Ils masquent au niveau d’internet les vraies adresses IP du trafic. A côté des VPN, il y a les serveurs virtuels qu’on peut éparpiller sur les clouds en multiple exemplaires. C’est sur ces serveurs qu’est hébergé le dark web.
La coopération internationale est le dernier défi. Chaque pays ne permet pas de faire n’importe quoi au point qu’un pays doit parfois pouvoir prendre le relais d’un autre pays pour faire un devoir d’enquête non autorisé dans le pays d’origine. Il faut aussi se coordonner, éviter la déconfliction, un terme barbare qui désigne des interférences involontaires d’un Etat qui enquête sur la même chose qu’un autre État.
Tout ces constats, Europol les confirme dans son rapport sur le crime organisé publié le 18 mars. Ce dernier a bien compris le don d’ubquité que lui donne le recours à Internet et la transition vers un monde en ligne : recrutement à distance de petites mains, très jeunes, pour des tâches si fragmentées qu’elles ne se rendent pas compte pour qui et pour quoi elles travaillent, ni ne connaissent leur victime; possibilité de coordonner sans unité de temps ni de lieu les actions criminelles aux quatre coins du monde; utilisation de la finance décentralisée et des cryptomonnaies pour blanchir l’argent. Le tout avec la complicité des États qui pratiquent la guerre hybride et encouragent à l’ultra-violence, à l’infiltration des structures légales qui ont pignon sur rue, cette mise en scène visant à provoquer sidération et doute sur le bien-fondé de nos démocraties.
Depuis 2019, plusieurs nouveaux instruments législatifs de l’Union E uropéenne ont été introduits pour répondre à ces problèmes, explique Europol. Leur efficacité dépendra de la manière dont elles sont mises en œuvre dans la pratique.
Les seules histoires de démantèlement de réseau criminels qui réussissent, lorsqu’on lit les communiqués de presse entre les lignes, ont toutes une caractéristique en commune : elles sont internationales, alignées au cordeau, avec des capacités techniques reconnues des agences qui y ont travaillé. Europol a raison : ce cadre législatif a surtout pour vocation d’abattre les frontières entre pays qu’internet ne connait pas. Mais c’est une condition nécessaire, pas suffisante.
Charles Cuvelliez (Ecole Polytechnique de Bruxelles, Université de Bruxelles) & Jean-Jacques Quisquater (Ecole Polytechnique de Louvain, Université de Louvain et MIT).
Pour en savoir plus :
– The changing DNA of serious and organised crime EU Serious and Organised Crime Threat Assessment 2025 (EU-SOCTA), Europol.
– Eurojust and Europol (2025), Common Challenges in Cybercrime – 2024 review by Eurojust and Europol, Publication Office of the European Union, Luxembourg
Notes:
1/ Cette question a pris toute son actualité avec les discussions à l’Assemblée sur la loi sur le narcotrafic qui a essayé d’imposer aux messageries chiffrées (comme WhatsApp, Signal, Telegram…) un accès à la justice quant aux échanges cryptés des narcotrafiquants et criminels. De tout façon, un amendement sur la loi NIS2 votée au Sénat devrait interdire aux messageries d’affaiblir volontairement leur sécurité.
2/ La durée de rétention des données par les opérateurs télécom en France est de 12 mois suite à un décret de la Première Ministre de l’époque E. Borne qui évoquait une menace grandissante. Il n’y a pas d’harmonisation européenne en la manière suite au recalage de e-Privacy, le RGPD qui devait s’appliquer aux opérateurs télécoms. Il y avait une directive annexe de rétention des données pour des fins judiciaires mais elle a été recalée il y a des années par la Cour Européenne de Justice. Donc, c’est resté une matière nationale, comme souvent les matières de sécurité.
3/ Un chiffrement de bout en bout des communications ou des données a toujours été présenté comme la solution inviolable et Apple a constamment mis en avant cette sécurité,expliquant ne pouvoir répondre à aucune demande d’entrer dans un iPhone saisi à un criminel ou un terroriste, mais contrainte et forcée et par le gouvernement de Grande-Bretagne, elle vient de faire volte-face, avec peut-être des conséquences pour tous les appareils Apple de la planète. En savoir plus…
Laisser un commentaire