D
I
E
fedpol 2022

La clé contre le chiffrement

Un logiciel malveillant se cache sur un serveur, prêt à chiffrer toutes les données. À moins que les experts en sécurité des données ne le trouvent et ne l’éliminent à temps. C’est une course contre la montre – sur plusieurs fuseaux horaires. Au cœur de cette affaire : un enquêteur de fedpol.

16 h 05, fedpol, Lausanne. Le Commissariat Criminalité économique 2 reçoit un signalement d’Europol par le canal SIENA. Certains indices laissent penser qu’une entreprise informatique de Suisse romande active au niveau international est sur le point de se faire attaquer par un rançongiciel (ou ransomware). Mauvaise nouvelle : un rançongiciel est un programme malveillant – malware ou maliciel – qui permet à des malfaiteurs de pénétrer dans un ordinateur et de chiffrer tous les fichiers qui s’y trouvent. Les fichiers sont alors inaccessibles car seuls les malfaiteurs en détiennent la clé. Ces derniers exigent une rançon pour débloquer les fichiers. Il n’est pas rare qu’ils copient les données avant de les chiffrer et les vendent sur le darknet.

Le chiffrement criminel de données serait fatal non seulement pour l’entreprise, mais aussi pour ses clients. Le cyberenquêteur en service le sait : le temps est compté.

16 h 10, fedpol, Lausanne. L’enquêteur transmet le signalement SIENA à la police cantonale compétente. La réponse lui parvient sept minutes plus tard : les collègues de la police cantonale sont déjà accaparés par un autre cas urgent et demandent de l’aide à fedpol. L’enquêteur alerte l’officier de piquet. L’heure tourne. fedpol prend le relais.

Le canal SIENA ?

SIENA (Secure Information Exchange Network Application) est un canal en ligne mis au point par Europol qui permet aux États membres de l’Union européenne et aux États Schengen associés d’échanger des informations sur la cybercriminalité de manière sûre et confidentielle. Ce canal propose différentes fonctions grâce auxquelles les utilisateurs peuvent partager des informations relatives à des cas tout en garantissant la protection des données. Par ailleurs, SIENA sert à demander un soutien technique dans les mesures d’enquête internationales.

16 h 27, fedpol, Lausanne. Il y a une trace : les malfaiteurs ont réussi à accéder au réseau de l’entreprise. Ils ont utilisé à cet effet des données d’accès, une longue suite de chiffres et de caractères. Ce faisant, ils ont laissé des traces sur le réseau de l’entreprise. Mais où ? L’enquête démarre.

16 h 45, Suisse romande. Les données semblent ne pas être encore chiffrées. Le maliciel est tapi quelque part sur un serveur ou un ordinateur de l’entreprise. L’enquêteur discute de la situation avec le responsable informatique. Celui-ci se trouve par chance en Suisse et active immédiatement le dispositif d’urgence. Son responsable de la sécurité travaille à Londres. Décalage horaire : - 1 heure. C’est l’heure du thé à Londres – le thé attendra. Les minutes continuent de s’écouler.

17 h 22 (16 h 22 à Londres). Conférence téléphonique entre fedpol et le responsable de la sécurité de l’entreprise. Le dispositif d’urgence est prêt, 100 experts en informatique sont sur le qui-vive, certains se trouvent en Inde. Décalage horaire : + 4 heures 30 – à New Dehli, il est 21 h 52. Leur tâche : rechercher sur les serveurs la trace de la suite de chiffres et de caractères que les malfaiteurs ont laissée. C’est une longue nuit qui s’annonce. Et l’heure tourne...

17 h 29 (16 h 29 à Londres). Le cyberenquêteur parle avec la responsable du service juridique de l’entreprise à Londres : Quelles sont les voies juridiques ? L’entreprise portera-t-elle plainte ? Où ? Qui est compétent ? La responsable convoque la cellule de crise. Car une attaque réussie par rançongiciel, un chiffrement de données, une demande de rançon, c’est bel et bien une crise.

17 h 59, fedpol, Lausanne. Discussion de la situation au Commissariat Criminalité économique. Jusqu’ici, c’est la prévention policière des menaces qui était prioritaire : toutes les mesures – celles de la police aussi – avaient pour but d’éviter les dommages. Désormais, il faut coordonner les enquêtes de police judiciaire. Les empreintes digitales numériques des malfaiteurs doivent être mises en sûreté. Les serveurs étant situés à différents endroits, c’est l’entreprise qui doit s’en charger. Si un maliciel est découvert, il sera analysé par l’équipe d’intervention en cas d’urgence informatique (Computer Emergency Response Team, GovCERT), rattachée au Centre national pour la cybersécurité (NCSC). Le temps file à toute allure.

NCSC

Le NCSC est le centre de compétences de la Confédération en matière de cybersécurité. Il reçoit les signalements de cyberincidents de la part de la population et des milieux économiques, les analyse et communique son évaluation aux expéditeurs, en leur recommandant une marche à suivre. Il soutient les polices cantonales et les autres autorités fédérales dans la gestion des incidents de cybersécurité. Il coordonne aussi la collaboration et l’échange d’informations et aide à analyser et à prévenir ces incidents.

23 h 03, Inde (18 h 33 en Suisse). Les experts en informatique ont trouvé quelque chose : l’un des serveurs abritait effectivement un maliciel, une porte dérobée par laquelle les malfaiteurs auraient pu introduire le rançongiciel proprement dit. La bonne nouvelle : ils ne sont pas arrivés jusque-là : les enquêteurs et les experts en informatique les ont pris de vitesse. Les experts ont progressivement et prudemment isolé le serveur du réseau et l’ont finalement débranché. Les traces numériques sont mises en sûreté. En Inde, à Londres et au siège romand de l’entreprise, on respire enfin.

18 h 45, fedpol, Lausanne. Le cyberenquêteur est aussi satisfait. On a réussi à prévenir la menace. L’efficacité de l’échange d’informations, le bon fonctionnement de la coopération policière et la rapidité de réaction ont été la clé contre la menace de chiffrement. Ce sont ces mêmes facteurs qui seront tout aussi déterminants pour les enquêtes qui vont suivre.

Les enquêtes peuvent commencer demain. Pour aujourd’hui, le temps semble s’être arrêté.

Autres articles sur la grande criminalité