lundi 6 octobre 2014

Les Assises de la Sécurité et des Systèmes d'Information à Monaco

Les assises de la sécurité, c'est effectivement l'évènement annuel incontournable de la S.S.I auquel on prend un certain plaisir d'y assister. J'ai entendu parlé de celui-ci en 2007 lors de la préparation de mon second Master à l'U.T.T par Pierre-Luc REFALO l'un de nos intervenants, mais également par des proches qui sont des inconditionnels des Assises. C'est aussi le prolongement des évènements organisés dans le cadre du Cercle Européen de la Sécurité et des Systèmes d'informations [1].

J'ai pu découvrir cet évènement pour la première fois en 2012, et j'y suis retourné du 01 au 04 octobre 2014 pour la troisième fois. Il est organisé par DG Consultants et a pour objet de réunir dans un cadre exceptionnel les professionnels de la SSI, qu'il s'agisse des fabricants, intégrateurs, prestataires mais aussi les clients finaux (décideurs) notamment les DSI et/ou RSSI des entreprises mais également des administrations. Ceux-ci sont réunis ensemble pendant 3 jours ou rime #convivialité.

Tout repose sur une formidable organisation comprenant le transport (avion & navette bus Nice - Monaco),  mais également l'accès aux différentes conférences
, que l'hébergement, les repas. Le participant est pris en charge et n'a donc pas à se soucier des aspects logistiques. Suivant ses aspirations, on peut assister à des conférences, ateliers, aux rendez-vous One to One, ou aux tables rondes ayant des thématiques particulières. L'avantage, c'est quelles ont été préalablement référencées par une série d'étoiles : métier, pilotage, juridique, technique, etc.... 

Il est possible de recevoir en temps réel des informations sur le déroulement des Assises via une application dédiée téléchargée et d'accéder ainsi à son agenda personnel, au programme, à la liste des exposants, à des informations sur les conférenciers ou plan de l'exposition ou des salles de conférences. Cette application permet d'évaluer les différents évènements.

Du coup, chacun est libre de s'y inscrire pour s'informer sur un produit, sur un retour sur l'utilisation de celui-ci, d'une technique, d'une offre de formation, etc. Outre ces aspects, l'avantage est de pouvoir échanger toute la journée avec les participants. Cela commence dès le petit déjeuner dans les hôtels privatisés pour cet évènement, jusqu'à tard le soir lors des soirées sponsorisées par une entreprise. Le Networking est de mise et les échanges sont riches.On y passe des marchés, on y résout des problèmes, mais on s'informe aussi sur les dernières tendances en matière de SSI.


Ces journées commencent toujours par une conférence d'ouverture avec le Directeur Général de l'ANSSI. Personnellement de part la sélection faite initialement sur les ateliers, je suis plutôt satisfait, les assises 2014 ont répondu à mes attentes. J'aurais en outre rencontré, échangé avec de nouvelles personnes issues d'environnements divers. J'ai particulièrement apprécié la conférence de Nicolas BRULEZ de KASPERSKY, l'humour du CERT XMCO.

Je suis particulièrement amusé par les comparaisons faites par certains entre tel ou tel évènement qui seraient "concurrents" sans y être jamais venu. A ceux-ci, je répondrais "venez et vous verrez", mais je pense qu'après ça, vous en repartirez avec un excellent souvenir.

Vivement la 15ième édition !

Twitter : #AssisesSI - Internet : http://www.les-assises-de-la-securite.com/

[1] https://www.lecercle.biz :
Le Cercle est une communauté d’utilisateurs et de décideurs du secteur de la sécurité et des systèmes d'information qui fédère des professionnels et compte plus de 600 membres actifs.

dimanche 5 octobre 2014

La conduite des Enquêtes Internes


Cet article fait suite à la table ronde réalisée le 01.10.2014 à MONACO dans le cadre des Assises de la Sécurité (http://www.lesassisesdelasecurite.com). J'ai essayé de répondre aux questions posées par Jérôme SAIZ. Cette table ronde était composée de Madame le Commissaire Anne SOUVIRA et Maitre Diane MULLENEX.

Il s'agit de l'évènement incontournable depuis 14 ans de la Sécurité des Systèmes D'Informations permettant sur trois jours aux RSSI, décideurs de s'informer, de rencontrer les entreprises spécialisées dans ce domaine. Des informations très intéressantes ont été diffusées sous Twitter via le hashtag #AssisesSI. Si cet évènement est parfois comparé à tord à d'autres... lui reste inimitable tant par la qualité, que la précision de son organisation.

Il s'agit d'un retour d'expérience basée sur ma pratique professionnelle (ex-OPJ spécialisé dans les enquêtes numériques et analyse criminelle, chargé d'enseignement et Ingénieur Opérationnel dans le domaine de la Défense pendant un an pour monter un protocole spécifique pour la gestion et l'analyse des incidents de sécurité).

Préambule :

Dans un contexte ou journellement les administrations et les entreprises sont soumises à des incidents de sécurité, il devient primordial d’adopter au même titre d’un PRA ou PCA, une méthodologie relative à la conduite de l’investigation numérique et notamment de l’aspect « enquête interne » lorsque les faits sont susceptibles de générer une action contentieuse.

En effet, la survenance d’un incident de sécurité peut résulter à la fois d’une attaque informatique, d’un acte involontaire d’un collaborateur ou d’un acte de malveillance volontaire destinée à nuire au SI de l’emprise. La gestion d’un incident de sécurité est intimement liée à une notion de recommandations qui peuvent soit  être  issues  des  normes  ISO  (ISO/IEC 27035)  ou  des  RFC  (2828    3227),  mais  également  à des obligations d’ordres juridiques. Cette gestion passe aujourd’hui impérativement par l’investigation numérique. C’est le concept de « Cybersurveillance ».

L’origine de l’enquête interne :

L’enquête interne est généralement subordonnée à la découverte d’un incident de sécurité. Selon  l’ISO  2700-2,  il  s’agit  :  “d’un  ou  plusieurs  évènements  liés  à  la  sécurité  de  l'information, indésirables  ou  inattendus  présentant  une  probabilité  forte  de  compromettre  les  activités  de l'organisation et de menacer la sécurité de l'information”. Il  peut résulter  d’une  action  malveillante  ou  accidentelle,  interne  ou  externe.

Il  peut  s’agir  d’une  intrusion, d’une  infection  virale,  d’une  fraude,  pouvant  engendrer  ou  non  une  perte  d’information  protégée  ou classifiée. Pour apporter une réponse à cette problématique, il est nécessaire de mettre en place une procédure spécifique pour le traitement de ces faits.

On ne peut jamais préjuger de la suite qui sera donnée à un incident de sécurité, mais anticiper pour les investigations qui seront conduites dans le cadre de celui-ci, conjuguerons à la fois les aspects techniques comme juridiques.

Quelle organisation pour des enquêtes internes ? (et pourquoi la créer)

Les enquêtes internes reposent sur une organisation spécifique pouvant mêler l’action de différentes directions, telles que la Direction de la Sûreté, la Direction des Ressources Humaines mais à des stades différentes. Elle se déroule en deux temps :

- l’enquête elle-même
- son traitement juridique (en interne et/ou externe)

La direction de la Sûreté ou le service dédié veille à protéger aux intérêts de l’entreprise va réaliser les actes techniques et élaborer un rapport objectif. Celui-ci sera seulement transmis à la Direction des Ressources Humaines si le contentieux est traité en Interne pour une simple violation de la charte informatique.

Ce service procédera aux différents entretiens (mis en cause, témoins, responsables hiérarchiques). Cette direction pourra se faire assister pour les aspects techniques, mais exclusivement par une personne de l’entreprise. En effet, la présence d’un  prestataire extérieure est interdite lors des entretiens est interdite (Cass. soc. 28 octobre 2009 n° 08-44241), chose important à savoir avec la notion d'agrément envisagé par l'ANSSI (*). A cet effet, il est nécessaire de vulgariser la matière dans le rapport technique pour le juriste chargé de régler ce contentieux. 

Si le dossier peut constituer une infraction à la loi pénale, le dossier est également transmis à la Direction juridique qui peut décider ou non d’une action judiciaire. Cette action peut être validée avec le recours ou non à un cabinet d’avocat.

Cette répartition tripartite au sein d’une entreprise ne peut présenter que des avantages, car elle permet d’avoir une vision tripartite adaptée à chaque étape du dossier. Cela peut permettre à l’amélioration du processus, notion de PDCA : (Plan Do Check Act appelée aussi roue de Deming). En effet, chaque dossier doit donner lieu à un RETEX et à la formulation de recommandations pour prévenir des faits identiques. Cela peut notamment passer par des sensibilisation par des officiers de sécurité si l’entreprise en possède.

La gestion d’un PCA ou PRA repose sur une méthodologie préétablie. La conduite d’une enquête interne et notamment de ses aspects « investigation numérique » doit également reposer sur une équipe techniquement compétence et sensibilisée juridiquement à ses droits et ses obligations, mais également à des outils testés et validés en interne. Celle-ci peut inclure l’aspect « gestion de crise » et notamment sa communication en fonction de la gravité des faits ayant motivée cette enquête.

Cette notion de communiquer vis-à-vis a du grand public peut présenter des avantages pour ponter que la transparence pour l’entreprise vis-à-vis de ses clients, ou un désavantage car susceptible de nuire à sa crédibilité et donc à d’éventuelles pertes de marchés. L’hébergeur OVH avait notamment pris le soin de communiquer suite à un problème de sécurité il y a quelque mois.

En aucun cas, le personnel chargé d’une enquête interne ne doit se substituer aux services étatiques (police-gendarmerie), car il n’en possède pas les prérogatives. Attention aux outils « miracles » qui peuvent se révéler très intrusifs en violant certaines dispositions réglementaires (code du travail, code pénal, réglementation CNIL) et qui sont survendus par certaines entreprises. 

La conduite d’une enquête interne ne constitue pas un « blanc sein » pour celui qui la conduit.

Qu’est-ce qu’un tel projet exige en terme de ressources dans l’entreprise (humaines & techniques) ? En gros, ça coûte combien ?

Le coût de montage d’un tel projet peut coûter plusieurs milliers de K€, car il nécessite effectivement des ressources humaines et techniques. Il comprend le salaire d’un collaborateur qui va établir le protocole d’intervention juridique conjoitement avec la DJ et la DRH, mais également le processus technique.

Le coût du matériel est de l’ordre de 20 K€ minimum pour l’équipement d’un poste complet comprenant à la fois une licence software incluant ou non un service de SMS (Forensics Toolkit, Xways, Encase, Forensics Explorer). D’autres produits et/ou versions existent avec des fonctionnalités avancées comme l’analyse en réseau avec l'installation d'agent sur des postes de travail. Par contre, attention aux solutions miracles qui vous sont présentées, comme elles le sont parfois présentées par certains commerciaux qui n’ont jamais procédé à des enquêtes ou n’ont aucune formation juridique. Ce fut le cas avec d'une solution qui me fut présentée lors d'un salon en 2013 en pleine affaire PRISM...

A cela, il faut ajouter un système de clonage autonome haut débit, d’éventuels bloqueurs en écritures, voir des logiciels spécifiques complémentaires (analyse de traces Internet, etc…). Devant la multitude support à analyser, le kit d'intervention peut comprendre une solution d'analyse des téléphones mobiles (UFED, XRY). La première solution intégrant la détection de malwares.

Le coût des mises à jours de ces solutions est important. On peut aussi passer par des outils issus du libre (Autopsy III, DFF (cocorico solution made in France)  Redline, Dumpit, Absolution, RtCa ou bien le recours à des Live CD : Paladin, Caine, Sift, Deft), mais l’avantage d’un logiciel d’investigation acheté est la facilité d'utilisation et l’automatisation des processus. Certains d'entre eux prennent en compte tant l’analyse des processus en cours, que la ram et l'intégralité des données contenues sur support en lui-même. Personnellement j’ai recours à FTK mais ce logiciel demande des ressources matérielles sur-vitaminées. Un logiciel a retenu mon intention dernièrement est Forensics Explorer de GetData.


Quelles limites juridiques aux enquêtes internes ?

La conduite d’une enquête doit tout d’abord respecter l’ensemble des règles juridiques existantes pour préserver les droits du collaborateur et éviter tout recours. Il faut veiller notamment au respect de loyauté de la preuve reposant notamment sur les principes suivants, elle ne doit pas : 
* porter atteinte a l'intimité de la vie privée,
* porter atteinte à un droit fondamental et doit être proportionnée au but recherché.
* avoir été obtenue déloyalement.

En effet, une intervention sur un incident de sécurité (remontée antivirus, présence de logiciels illicites, connexions Internet, ou comportement particulier) ne préjuge en rien du résultat des investigations et de la suite qui sera donnée à celui-ci, s'agissant de la mise en cause réelle du salarié. Il peut s’agit d’une action extérieure résultant d’une intrusion.

En conséquence, il est nécessaire de recouvrir à du personnel identifié, formé "response team" et recourant à un protocole déterminé. Il faut également veiller au respect de la « Chain Of Custody » comme celle qui est utilisée en matière de Criminalistique. En effet il est nécessaire d’assurer l’intégrité des supports / données sur lesquelles les investigations vont être réalisées, mais également la traçabilité des supports analysés. Il est nécessaire de communiquer sur la méthode d’action pour éviter toute sorte de malentendus notamment auprès des instances représentatives du personnel.

A cet effet, le prélèvement d’un poste de travail doit reposer sur des règles strictes. Il n’est pas question de recourir journellement aux services d’un huissier mais d’adopter des règles spécifiques, car ce type d’intervention à un coût. A titre de comparaison, dans le cadre d’une enquête judiciaire, l’OPJ saisi avec l’accord de l’intéressé des pièces à conviction ou d’autorité en fonction du cadre d’enquête dans lequel il agit.

Au niveau du code du travail, des règles spécifiques existes pour accéder aux données / objets d’un collaborateur en présence ou en son absence, même si selon un arrêt de la Chambre Sociale de la Cour de Cassation du 12 février 2013 rappelle le principe suivant en matière de BYOD (bring your own device) :

« Une clé USB, dès lors qu’elle est connectée à un outil informatique mis à disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors de la présence du salarié »

Le protocole qui a été retenu dans mon précédent poste dans le domaine de la défense nationale, validée par les différentes directions reposait sur un principe de : transparence et d'information du collaborateur. A cet effet, l’action des investigateurs reposaient sur des dispositions dument mentionnées dans la charte d’usage des S.I, notamment en matière de contrôle, mais également les obligations imposées aux collaborateurs. Ces éléments étaient à la fois mentionnés dans le rapport technique que lors de l’entretien avec le collaborateur incriminé lors qu’un contentieux exclusivement traité en interne.

Le meilleur compromis est le recours à des fiches préétablies sur lequel le service chargé de l’enquête interne pourra s’appuyer, ainsi que sur une organisation interne graduelle. A titre d’exemple le prélèvement d’un poste de travail va reposer sur un document par lequel le collaborateur prend connaissance des raisons motivant cette action, mais surtout l’y autorise expressément.

La méthodologie retenue avait pour objet de l’informer qu’aucune donnée personnelle le concernant ne sera utilisée ou conservée. Parallèlement à cette information, il lui était également rappelé son devoir de loyauté vis-à-vis de son employeur, notamment sur la communication des mots de passes qu’il utilisait (arrêt de la Chambre sociale de la Cour de Cassation du 18 mars 2003 - Affaire Mme X. c/ UMS Union Mutuelle Solidarité) [1]

Suivant les cas, le poste de travail ou le disque dur était placé dans un contenant sécurisé fermé sur lequel les personnes présentes signaient outre la rédaction du document de prise en compte de ce poste de travail décrivant son état et ses caractéristiques. Ce type de solution peut être envisagé pour les entreprises disposant de multiples sites. Le protocole retenu prévoit les aspects remédiation, mais également des aspects de restitution des données professionnelles et personnelles afin de permettre une continuité des activités.

Ces précautions peuvent paraître importantes, mais elles sont destinées à préserver les droits de chacune des parties et notamment respecter certaines règles imposées par le Code du Travail et le Code Pénal. En effet, si l’on peut accéder sous certaines conditions comme nous l’avons précédemment indiqué [2] aux fichiers personnels du collaborateur, voir à certains objet (cas du BYOD), l’analyse des éléments techniques contenus dans le système d’exploitation apportera autant de réponses que la simple consultation des fichiers personnels.

En effet, l’analyse des artéfacts du système d’exploitation (par exemple : les shellbags, les clefs importantes de la base de registre), des logs locaux ou issus des applicatifs de sécurité, des évènements systèmes, des espaces alloués et non alloués du support permettent de révéler de très nombreuses données qui permettent de se faire une idée très précise du fonctionnement normal ou anormal du système d’exploitation sans qu’il soit besoin d’aller consulter un quelconque fichier comportant l’indication « personnel ». A titre d'exemple la messagerie est volontairement écartée. D'autres part, des consignes sont données pour le stockage des fichiers personnels (exemple : mes documents), et professionnels (2° partition : data).

A cet effet, il est nécessaire de rappeler aux « investigateurs » les risques encourus en termes de modification, altération d’une preuve, car le support, l’objet doit être considéré comme tel (Article 434-4 du Code Pénal), mais aussi le risques d’atteintes à l’intimité de la vie privée (exemples : correspondances privées Art 226-15 du Code Pénal – Arrêt NIKON 2001). Il convient aussi de rappeler les règles qui régissent le secret professionnel. Ces sanctions sont beaucoup plus contraignantes que la simple règle du DICP (Disponibilité, Intégrité, confidentiel, preuve).

Pour le premier aspect, il convient de garder à l’esprit qu’un SI faisant l’objet d’une investigation doit être considéré comme une preuve, et traité comme tel sur le plan technique, en ayant conscience de la théorie de l’échange notamment sur un SI en fonctionnement «Nul ne peut agir avec l'intensité que suppose l'action criminelle sans laisser des marques multiples de son passage.» E. LOCARD 1919. En conséquence, on doit assurer l’intégrité des objets en recours à des solutions logicielles ou matérielles telles que des bloqueurs en écriture interdisant toute modification de données.

Pour le second aspect, de plus en plus de solutions dites « Forensics » ou d’e-discovery » permettent d’accéder à distance aux postes de travail utilisés par les collaborateurs. Le recours à ce type de solution doit être déclarée, et le champ d’action de la DSI, DSG ou de la structure chargée de l’enquête interne est expressément prévu dans la charte d’usage. En effet, à ce titre, il convient surtout de se conformer aux dispositions du Code du travail : L’article L.1121-1 de ce code pose deux principes sur le fondement desquels le caractère proportionné et justifié des contrôles effectués sera toujours recherché par le juge qui sanctionnera l’employeur en cas de contrôles répétés et sans justification.

A ce titre, par finalité on attend l’objectif recherché mais surtout sa finalité s’agissant du traitement d’un incident de sécurité, et le principe de proportionnalité dispose que le contrôle de l’activité des salariés doit être nécessaire et pertinente au regard des objectifs poursuivis et s’effectuer dans le respect de la vie privée des salariés. [3]. Le schéma issue de du mémento SYNTEC décrit parfaitement le processus : 


L’action de la « response team » est cadrée par des fiches réflexes permettant de définir une méthodologie répondant aux questions suivantes : « On fait quoi, comment, pourquoi et avec quels outils ». Ceux-ci ont été préalablement testés. A cet effet, un protocole de 130 pages comportant les aspects techniques et juridiques avait été élaboré, il permettait d'identifier l'outil "Ad Hoc" pour analyser tel artéfact et comment y accéder. Ensuite dans le cadre de l'intervention "graduelle",différents intervenants avaient été formés pour recueillir les données issues d'un système numérique. Ils disposaient de fiches réflexes (copie d'un support à froid, à chaud, collecte de la Ram, des fichiers systèmes, modalités de transmission de ces données au département cyberdéfense, etc...),

Rien ne vaut une réelle préparation pour faire face le moment venu à un problème.

La conduite d’une enquête interne ne peut s’éterniser indéfiniment. En effet, s’il s’agit d’une malveillance entraînant une action contentieuse à l’égard d’un collaborateur, et notamment d’une procédure de licenciement, l’employeur doit entamer son action dans un délai n’excédant pas deux mois et en informer l’intéressé. Le délai court à partir de la découverte du fait fautif, et non de la commission de celui-ci, et ce en application des dispositions de l’article L.1332-4 du Code du travail. Passé ce délai, il y a prescription, et un avertissement écrit sur ces faits ne peuvent donner lieu après à une sanction.

Au titre de comparaison pour la commission d’une infraction pénale, le délai de prescription est de 1 an pour une contravention et 3 ans pour un délit. Le rapport technique étant communiqué au collaborateur indélicat par la Direction des ressources Humaines chargées de conduire les entretiens, un rappel dans celui-ci peut être fait :

* d’une part sur la méthodologie, et le ou les matériels utilisés lors des investigations (aspects techniques).
* et d’autre part sur le cadre légal de celles-ci (aspects juridiques) avec l’ajout d’une mention spécifique comme "  Les opérations techniques réalisées ont respectées la réglementation en vigueur tant au niveau du code du travail que du code pénal, en ne portant pas sur la consultation de dossier(s), fichier(s) ou tout autre élément marqué ou identifié comme "personnel" ou "privé". Elles ont été réalisées conformément aux dispositions des articles X, Y, Z de la charte d'usage des SI de l’entité. (visée CCE le )"

Dans le code du travail il est simplement question d’une « faute », mais il est préférable de mentionner dans le rapport les éventuelles violations des articles de la charte et de mentionne au besoin les incriminations juridiques pour lesquels la société est victime et dont elle pourrait engager une action judiciaire. Il convient de rappeler que le code pénal sanctionne le détournement de la finalité d'une chose (Article 314-1 du Code pénal).

Comment et pourquoi décider de judiciariser un incident ?

Cette décision ne doit pas reposer sur une décision de la personne ayant conduit l’enquête interne, mais plutôt en fonction des structures présentes dans l'entreprise d’une décision concertée et réfléchie. Elle prend en compte différents aspects tel que le préjudice subi, le risque d’atteinte à l’image en cas de judiciarisation des faits, mais également de l’éventuel coût de la procédure.

L’action peut être entreprise à titre préventif pour servir d’exemple et rappeler ainsi qu’il convient de respecter les règles d’usage du SI de l’entreprise. Il est aussi parfois nécessaire d’obtenir un véritable consensus des différentes directions mais surtout de la Direction générale.

Il n’y a pas d’obligation de dénonciation de la commission d’un délit commis par un collaborateur dans le cadre de son activité salariée, car elle n’est pas sanctionnée. Par contre, il s’agit d’une obligation pour les fonctionnaires en application de l’article 40 du Code de Procédure Pénale. La notion de « RSE et Compliance » étant de plus en plus en présente avec le respect d’un Code d’Ethique, les entreprises sont de plus en plus enclines a déposer plainte ou à signaler les faits pour un acte grave.

Il convient de rappeler que si l’employeur peut faire poursuivre un de ses collaborateurs en justice sur le fondement de l’article 314-1 du Code Pénal pour un détournement d’usage de la finalité de son SI, il peut aussi voir sa propre responsabilité engagée si les faits ont été commis à partir d’un système qu’il a mis à disposition.  La question ne se pose jamais dans le cadre d’atteintes aux mineurs, un signalement au parquet est généralement réalisé.

- Comment ne pas "pourrir" le travail des enquêteurs par l'intervention de ses propres équipes ( + conservation de la preuve)

Le protocole décrit précédemment et qui est similaire à celui employé par les services étatiques doit être la pierre angulaire de la conduite des enquêtes internes. Il doit reposer sur une chaine cohérente dans le cadre d’une entreprise disposant de plusieurs entités réparties en tout point du territoire (et pas seulement). A cet effet, si les personnes chargées de la conduite des enquêtes sont généralement rattachées à une Direction sureté, l’on peut s’appuyer sur des niveaux d’interventions en fonction de l’incident de sécurité qui procéderont aux investigations techniques.

Les services d’enquêtes n’interviennent pas toujours directement, il faut au demeurant un minimum d’élément tendant à présumer qu’une infraction pénale à été commise où tentée d’être commise pour une procédure judiciaire. Sur plusieurs dossiers traités, c’est le travail initial de l’entreprise qui conduit à saisir ou non les services de Police ou de Gendarmerie. A cet effet, un protocole et des outils ayant été testés sont préalablement définis en fonction su SI sur lequel on doit intervenir (Pc, Téléphone, Serveur, type d’OS), ainsi que s’il est en fonctionnement ou non.

Ce protocole doit prendre en compte les aspects de protection du patrimoine de l’entreprise (Cryptage Safeguard, Stormshield, TrueCrypt, etc..), car certaines entreprises chiffrent l'intégralité du disque dur. Dans la collecte des éléments sur un SI en fonctionnement pour éviter ou limiter les modifications du support, il y a ordre prédéfini de collecte des données (exemple : Ram, fichiers systèmes, puis intégralité du DD suivant le cas). L’intérêt étant de minimiser les modifications sur le système cible lorsqu'on n'a pas eu le choix que de copier le disque dur à chaud en raison du chiffrement. Pour mémoire la collecte des informations sur un système en fonctionnement via certains outils peut modifier la dernière date d’accès de certaines clefs de la base de registre comme nous avons évoqué dans la théorie de LOCARD.

Par contre s’il y a une malveillance volontaire du collaborateur établie dès le départ,via les systèmes de détection, il est précédé autrement. Copie intégrale du support d’origine à froid, lequel est placé sous une enveloppe cachetée pour remise éventuelle aux services de police, et travail sur une copie. Les services étatiques pourront procéder à leur propre investigation de leur côté.

Pour optimiser ce type d’opération, il est nécessaire d’identifier l’interlocuteur localement compétent au sein des services d’enquêtes qui pourra le cas échéant  intervenir rapidement. En France, il existe des enquêteurs spécialisés au sein de la Police (ICC) et de la Gendarmerie (N-TECH). Ces services se sont lancés dans la formation d'intervenant de premier niveau afin d'avoir une meilleure compréhension des aspects numériques.

En outre, au niveau universitaire, depuis quelques années, la gestion des incidents de sécurité, la saisine de la justice ainsi qu'une initiation à l'investigation numérique sont dispensées dans certaines universités au sein des masters SSI (IRIAF à NIORT et UT TROYES). Ce type d'enseignement est très apprécié par les étudiants. A ces enseignements, il leur est également inculqué le droit de contrôle et/ou de perquisition ainsi que le droit de communication/réquisition pour connaître à la fois leurs droits et obligations face aux services étatiques.

Comment cela se passe-t-il à l'international (lorsque l'incident frappe une filiale à l'étranger).

La société doit se conformer soit aux règles du pays ou celles qui régissent le contrat de travail du collaborateur, d’un pays à l’autre les règles peuvent varier, et ce qui ne constituerait pas une infraction en France, pourrait l’être a l’étranger.

[3]  http://www.syntec-ingenierie.fr/media/uploads/socialn21.pdf
[*] http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-applicables-pris.html 

dimanche 3 août 2014

Les téléperquisitions (aspecs techniques et Judirique)

Les  Télé-perquisitions (Aspects techniques & Juridiques). 
 
Les  dispositions  de  la  Convention  ont  visé  à  moderniser,  mais  surtout  à harmoniser, les législations internes des différents pays. Il s’agissait notamment de permettre la perquisition, mais surtout la saisie de données informatiques au sens large. Ces données pouvant être issues de Webmails, mais également de sites  Web,  il  apparaissait  essentiel  pour  les  États membres  de  l’Union Européenne de posséder les instruments nécessaires pour recueillir les preuves issues  des  systèmes  numériques,  mais  surtout  de  faciliter  les  règles  de procédure pénale.

Les données concernées étant issues d’un système numérique et donc dans une forme " immatérielle", il était primordial que les enquêteurs puissent les collecter et les enregistrer sous une forme matérielle, s’agissant d’un support de stockage qui, lui, pourra faire l’objet d’une saisie. 

Cependant, tout en facilitant les  actions  des  enquêteurs,  comme  le  décrit  le  rapport  explicatif  de  la Convention cybercriminalité, il était nécessaire de veiller au respects des droits de l’homme et ce en vertu de chacune des législations internes des pays qui seraient amenés à signer, puis à ratifier cette Convention.

L’idée  de  cette  disposition  était  également  de  permettre  aux  enquêteurs d’agir directement sans passer par les autorités du pays dans lequel sont situées les données. Cependant pour des questions de droit, il a été imposé de recueillir l’assentiment  légal  et  volontaire  de  la  personne  titulaire  ou  détentrice  des données tel qu’il a été défini à l’article 32 de la Convention Cybercriminalité que nous avons précédemment évoqué. Les Etats-Unis bien que non membre de l’U.E ont rapidement compris l’intérêt de cette convention suite aux attentats du 11.09.2001. Ils l’ont signée et ratifiée.

Par contre aujourd’hui, si plus en plus de pays qui l’avaient signée, ont tendances à la ratifier… avec plus ou moins de rapidité…d'autres ne l'ont toujours pas signée. Pour mémoire la convention de Schengen dispose d’un droit d’observation et de poursuite pour les services d'enquête… Hors, ce n’est que dernièrement que l’Espagne et la Belgique l’ont ratifiée… Libre circulation des biens et des personnes ? certes mais pas des données…

Ultime paradoxe est notamment l’Irlande ou sont implantées de nombreuses sociétés américaines, avec l'acquisition des noms de domaine qui vont avec leur activité… Elle n’a jamais ratifiée la convention… Par ailleurs, aucun pays d'Asie ou d'Afrique ne l'a signée, en vue d'une ratification. Doit-on attendre des conventions locales ? Ce n'est pas avec ce type de pratique, que l'on pourra efficacement lutter contre la Cybercriminalité.  

L'implantation des données :

La plus grande difficulté de mise en œuvre des dispositions relatives à la perquisition sont de déterminer avec précision l’implantation géographique du système  contenant  les  données.  Cette  problématique  va  être  de  plus  en  plus récurrente avec l’émergence  du  « Cloud Computing ». Il  s’agit,  à  partir d’un ordinateur, d’accéder à des ressources informatiques partagées et configurables sur Internet, à travers une interface graphique. C'est le droit ou sont implantées les données qui doit s'appliquer.

À  titre  d’exemple,  des  fichiers  sont  accessibles  en permanence  par n’importe  quel  périphérique, ordinateur,  Smartphone, comme pour Icloud ou Google+.  Cependant  il  est impossible  de  savoir  pour l’utilisateur qui accède  aux données  et où  elles se trouvent précisément, d’où le terme de nuage. Pour aider l’enquêteur à tenter de déterminer le lieu d’implantation, il est possible d’installer sous son navigateur des « addons » ou « toolbars ». Personnellement, je couple « Netcraft » et « domain details ». la première permet de générer un rapport très utile, la seconde, d’avoir les mêmes informations de manière visuelle.

 Le  premier  problème  rencontré  par  les  enquêteurs  implique  d’utiliser l’ordinateur  de  la  personne  mise  en  cause  et  donc  d e  modifier  les  éventuelles données qui y sont présentes, soit en ajoutant, soit en modifiant les données déjà présentes en les mettant à jour.

 En effet, lorsqu’un enquêteur ou l’utilisateur d’un ordinateur interagit avec un système en fonctionnement, des modifications sont apportées. Elles résultent tout simplement de l’architecture du système d’exploitation et du temps qui passe. En effet, des processus vont se lancer tels que des points de restauration,  des  connexions  vers  des  sites  distants  pour  des  mises  à  jour  du système, de l’antivirus, le téléchargement des mails, etc.

L’ensemble  de  ces  processus  s’est  chargé  dans  la  mémoire  vive  de l’ordinateur,  appelée  RAM,  mais  également  dans  des  fichiers  temporaires  qui seront stockés dans les différents espaces du disque dur. Il s’agit notamment des informations  qui  seront  contenues  dans  le  fichier  de  pagination  du  système d’exploitation (pagefile.sys) ou dans le fichier permettant de mettre le système en veille (hyberfile.sys). occurrence ou Regex.

Ces  fichiers  de  taille  importante  vont  ainsi  stocker  la  plupart  des  fichiers ouverts  et  les  opérations  réalisées  à  partir  du  système  d’exploitation.  Des modifications vont ainsi être réalisées tant que le système sera en fonctionnement. Elles seront démultipliées surtout si cet ordinateur est utilisé par un enquêteur pour rapatrier des données.

 Un test très simple consiste à analyser ces deux fichiers avec un logiciel Forensics tel que Autopsy III, pour reconstituer des images, documents, ou autres informations ont été chargées, ou tout simplement d’y opérer une recherche par

À  titre  d’exemple,  dès  qu’un  ordinateur  est  connecté  à  Internet,  des informations sont transmises en permanence sous forme de paquets basés sur le protocole  TCP/IP,  permettant  de  maintenir  une  connexion  ouverte  entre  deux systèmes distants, s’agissant notamment de « SYn-Ack ».

En outre, par système initial, il est entendu que cette opération ne  peut être réalisée que depuis le domicile de la personne chez laquelle a lieu la perquisition, ce  qui  nécessite  un  minimum  de  connaissances  informatiques  de  la  part  des enquêteurs qui l’effectuent. Et oui, le législateur a trop encadré l’acte et a mal rédigé son article y imposant une limite. A ce jour, aucune action active n’a été réellement entreprise pour demander la modification de l’article, hormis une recommandation (n°33) du dernier rapport sur la Cybercriminalité…

Si l’on considère le temps qu’il a fallut pour sortir le rapport… dont la sortie a été repoussée maintes fois, avant qu’il « fuite » dans la presse…on risque de perdre du temps. Une proposition de texte au législatif aurait été plus salutaire..

En effet, peu d’officiers ou d’agents de police judiciaire maîtrisent ce genre de techniques  qui  peuvent  se  révéler  complexes  dans  le cadre  d’un  datacenter lorsqu’il s’agit de perquisition dans des entreprises. Les datacenters sont des centres de traitement des données utilisés pour remplir une mission critique relative à l'informatique et à la télématique. Ils répondent à des  normes  strictes  d'équipement  (baie,  électricité,  climatisation,  équipement réseau)  et  permettent  d'héberger  des  serveurs  de  données  ou  des  équipements télécoms.

 Ils sont parfois situés à l’étranger, voire répliqués dans plusieurs villes situées dans  différents  pays,  ce  qui  est  le  cas  pour  le  SIS,  système  d’information  de Schengen.  Dans  cette  éventualité,  il  convient  de  réaliser  un  minimum  d’actes préparatoires de la part des enquêteurs pour situer le système à partir duquel ils vont effectuer la perquisition.

Il  s’agit  notamment  de  l’identification  précise  du  matériel  servant  à  la perquisition  en réalisant un  inventaire complet de  la configuration  matérielle et logicielle  (système  d’exploitation,  paramètres  réseaux,  etc.),  mais  surtout  de  la sécurité de celle-ci qui va lourdement impacter la réalisation de ces actes. En effet, les entreprises mettent en place des dispositifs destinés à restreindre le lancement d’applications, de commandes non autorisées.

En  outre,  de  plus  en  plus  de  sociétés  implémentent  des  fonctionnalités  de « back  orifice »,  permettant  la  prise  à  distance  de leurs  systèmes  informatiques pour  la  sauvegarde,  la  restauration  des  données  ou  toute  autre  opération.  Lors d’une  perquisition  réalisée  par  des  enquêteurs,  il  est  nécessaire  de  s’assurer  de l’existence  de  ce  type  de  solution  voire  de  la  désactiver  pour  empêcher  toute entrave : modification, altération, etc.

Ce type de problème est rarement ou jamais évoqué par les enquêteurs ; or, il est bien présent contrairement aux perquisitions menées habituellement dans une pièce dont on peut interdire l’accès à toutes personnes en appliquant un gel des lieux physique ou en revêtant une combinaison pour  éviter toute pollution.

Dans  ce  cas  d’espèce,  il  est  nécessaire  de  mettre  de  nombreuses  actions destinées  à  protéger  son  action.  Pour  mieux  appréhender  les  problèmes  de modification des données et assurer la sécurité de l’acte de procédure, il convient de préciser que, sur un ordinateur connecté à Internet via WiFi ou câble Ethernet, il existe 65535 ports en protocole TCP et 65535 en  protocole UDP créant ainsi autant de portes d’entrées et de sorties de cet ordinateur.

Chacun des ports peut ainsi recevoir une fonction prédéterminée, à savoir le  port  21  pour  le  FTP  (File  Protocol  Transfert),  le  23  pour  les  commandes  dites TELNET, etc. Ce  nombre  de  ports  a  été  mis  au  point  par  l'IANA, afin  d'aider  à  la configuration des réseaux, et ils sont assignés de la manière suivante :

-  Les ports 0 à 1023 sont les « ports reconnus » ou réservés (« Well Known Ports »). Ils sont, de manière générale, réservés aux processus système (démons) ou  aux  programmes  exécutés  par  des  utilisateurs  privilégiés.  Un  administrateur réseau peut néanmoins lier des services aux ports d e son choix.

-  Les ports 1024 à 49151 sont appelés « ports enregistrés ».

-  Les ports 49152 à 65535 sont, quant à eux, les « ports dynamiques et/ou privés ».
 
La modification des données et le principe de Locard :

Les dispositions de l’article 57-1 du Code de procédure pénale prescrivent aux officiers et agents de police judiciaire de réaliser une perquisition directement à partir d’un système en fonctionnement ; elles viennent donc en contradiction avec le principe fondamental de la criminalistique sur l ’altération des indices.

En effet, le principe édicté  par Edmond Locard s’applique  parfaitement dès qu’un ordinateur est en fonctionnement sur un réseau informatique et c’est pour cette  raison  que  cette  disposition  est  rarement  utilisée  par  les  enquêteurs,  ces derniers  privilégiant  une  analyse  a  posteriori du  matériel  informatique  par  un technicien spécialisé, même si ce n’est pas prévu d ans les dispositions du Code de procédure pénale.

Il faut garder à l’esprit qu’une procédure ne se limite pas à l’enquête policière, mais inclut la suite qui y sera donnée. Il peut s’agir de la phase de l’instruction préparatoire ou du jugement, où, dans les deux situations, une expertise peut être demandée soit par le juge d’instruction dans le prolongement des actes initiaux, soit par le président de la chambre correctionnelle pour éclaircir un point précis.

Comment, dans le cadre d’une ordonnance de commission d’expert, ce dernier pourra-t-il techniquement remplir sa mission en déterminant qu’une consultation à un  site  Web,  qu’un  document  a  été  réalisé  à  telle  date,  alors  même  que  les manipulations de l’enquêteur auront modifié certains attributs de ce fichier, tels que la date de dernier accès ou de dernière modification ?

De  surcroît,  ces  manipulations  auront  un  impact  sur de  nombreux  autres fichiers liés au fonctionnement du système d’exploitation.

 Cette technique ne doit être utilisée que pour récupérer des données distantes, sans envisager une analyse de ce support par la suite, et en précisant bien dans le corps du procès-verbal que les données ont été modifiées afin que le magistrat en ait connaissance. En effet, l’un des principes essentiels en matière de criminalistique tel qu’il est évoqué  dans  l’ouvrage  d’Harlan  Carvey Outils  d'analyse  forensique  sous Windows est qu’il faut commenter chacune de ses actions en les horodatant pour les  éventuelles  personnes  qui  seront  amenées  à  intervenir  par  la  suite  sur  le dossier.

Il convient de garder à l’esprit que le téléchargement d’informations distantes ne va concerner que des données visibles, et non des données cachées ou même effacées, la récupération de telles informations ne pouvant être possible qu’avec des outils bien particuliers, mais dont le coût estexponentiel. Il s’agit des programmes plus communément appelés « e-discovery »

Des sociétés telles que Guidance Software travaillent depuis des années sur ces aspects en visant le marché des grosses sociétés plutôt que celui des enquêteurs.  Le principe de l’altération d’un indice a d’ailleurs été repris dans le chapitre IV de l’ouvrage que nous avons publié en mars 2014 aux Editions l’Harmattan « le régime des constatations policières sur Internet ». cette incrimination apparaît dans le chapitre des infractions relatives «  entraves à la saisine de la justice», et notamment à l’article 434-4 du Code pénal, lequel dispose :

« Est puni de trois ans d'emprisonnement et de 45000 euros d'amende le fait, en vue de faire obstacle à la manifestation de la vérité :

1° De modifier l'état des lieux d'un crime ou d'un délit soit par l'altération, la falsification ou l'effacement des traces ou indices, soit par l'apport, le déplacement ou la suppression d'objets

2° De détruire, soustraire, receler ou altérer un document public ou privé ou un objet de nature à faciliter la découverte d'un crime ou d'un délit, la recherche des preuves ou la condamnation des coupables.

Lorsque les faits prévus au présent article sont commis par une personne qui, par ses fonctions, est appelée à concourir à la manifestation de la vérité, la peine est portée à cinq ans d'emprisonnement et à 75000 euros d'amende».

Ainsi, la peine est aggravée en raison de la qualité de son auteur. Il s’agit de l’enquêteur,  du  technicien  ou  de  l’expert  judiciaire,  car  toutes  ces  personnes concourent à la manifestation de la vérité, et ont connaissance de la portée de leurs actions destructives telles que l’altération, l’apport de données. Il convient de rappeler que les données numériques sont extrêmement volatiles et que tout accès distant à des informations aura les impacts que nous avons évoqués.

Le respect des textes et des impératifs techniques :
 
Dans un premier temps, afin de coller au texte, n'opérer la perquisition que de l'endroit ou elle est prévue, et de solliciter l'assentiment express de la personne si les données sont implantées à l'étranger. Pour mémoire, le 57-1 du Code de procédure pénale, renvoi aux traités et accords internationaux en vigueur. En l'occurrence le texte de référence, c'est la convention de BUDAPEST du 23.XI.2001 (Art 19 et 32). Ce dernier article mentionnant :
 
Une Partie peut, sans l'autorisation d'une autre Partie :
a    accéder à des données informatiques stockées accessibles au public (source ouverte), quelle que soit la localisation géographique de ces données; ou
b    accéder à, ou recevoir au moyen d’un système informatique situé sur son territoire, des données informatiques stockées situées dans un autre Etat, si la Partie obtient le consentement légal et volontaire de la personne légalement autorisée à lui divulguer ces données au moyen de ce système informatique.

 
NB : Cet article ne prévoyait que la réception des données à partir d'un système implanté sur son territoire... ce que notre législateur a traduit par le lieu ou se traduit une perquisition initiale... On ne perquisition pas le service d'enquêteur, mais l'ordinateur du mis en cause, lequel doit se trouver par définition à son domicile. Un arrêt de la Cour de cassation du 06.XI.2013 évoque la notion de données distantes et d'assentiment.
 
La  seule  solution  légalement  admissible  pourrait  être  de  procéder  en  deux temps, à savoir dans un premier temps, réaliser une copie bit à bit du disque dur de l’ordinateur, puis de placer le disque dur source sous scellé. Une copie dite bit à bit est  un  copie  identique  d’un  disque.  En  effet,  contrairement  à  certaines  preuves biologiques qu’il n’est pas possible de répliquer,  un support numérique peut être lui répliqué de nombreuses fois sans limite. Des outils logiciels bootables ou portables (Caine, Paladin, Deft, Sift, Ftk Imager, Encaser Imager), ou matériels (tableau TD1 à TD3, Solo) peuvent être utilisés pour ces opérations
 
Dans un second temps, il faut placer cette copie bit à bit du disque dur appelée « clone » dans l’ordinateur et procéder aux opérations de perquisitions. La preuve ne serait pas  modifiée et les données distantes obtenues seraient copiées sur ce clone. Si  cette  opération  est  juridiquement  et  techniquement  admissible  puisque  la copie des données informatiques est prévue par l’article 56 du Code de procédure pénale,  elle  ne  peut  être  mise  en  œuvre  pratiquement  en  raison  de  la  taille grandissante des disques durs, mais surtout de part mon expérience d’ex enquêteur de la pression des enquêteurs pour lesquels ces opérations sont réalisées.

Je me souviens de perquisition « sensibles » ou sans connaître les affres des perquisitions en entreprises, des horaires étaient fixés pour réaliser telle ou telle opération, comme si tous les ordinateurs des « cibles » étaient de même puissance, ou contenait la même quantité de données. Aujourd’hui l’aspect numérique n’est pas suffisamment pris en compte, et les difficultés qui en découlent (temps, moyens, nombres d’enquêteurs spécialisés).

Cela implique un temps de copie très important via des systèmes logiciels pour lesquels il faut compter environ une minute par Gig a Octet copié. Par  ailleurs,  cette  copie  ne  peut  être  réalisée  qu’en  présence  de  la  personne ayant fait l’objet de la perquisition. Cela impacte donc la procédure, puisque ce délai peut être supérieur à 24 heures sur de gros volumes de données ou s’il y a plusieurs  supports  à  copier.  La  copie  ne  peut  être  interrompue  et  ce  délai  sera soustrait à la durée légale de la garde à vue.

En effet, le standard actuel en capacité de disque dur sur un ordinateur est de l’ordre  de  320  Gb pour des portables d'entreprises, et 1 Tb pour des ordinateurs personnels, ce  qui  représenterait  dans  les  meilleures conditions trois heures via un disque dur externe avec un « imager portable ». De meilleurs taux de copies peuvent être obtenus via des systèmes de copies physiques mais, de part leurs coûts, les services sur le terrain n’en sont pas dotés actuellement.

La solution la plus adaptée pour les enquêteurs pour ne pas se priver d’heures de garde à vue est de demander à la personne visée de se faire représenter par un tiers pour les perquisitions informatiques. Il s’agit d’une technique couramment utilisée  lors  des  perquisitions  dans  des  entreprises,  permettant  de  réaliser simultanément une perquisition portant sur les documents et une perquisition sur le système informatique.

C’est  cette  solution  qui  a  été  retenue  dans  le  cadre  des  enquêtes  liées  au scandale du Médiator. Une autre solution, en l’absence de tiers pouvant assister à la  perquisition,  serait  de  réaliser  la  perquisition  en  recourant  à  un  live-CD  qui protégerait le disque dur de l’ordinateur perquisitionné contre toute modification.

Il s’agit généralement d’une distribution, souvent de type GNU/Linux sur CD-Rom,  qui  se  charge  en  mémoire  RAM  et  qui  permet  d’analyser  les  données contenues  dans  l’ordinateur  d’une  personne  suspectée  sans  les  modifier,  mais également  de  rapatrier  les  données  distantes,  en  vue  de  les  copier  sur  support. La problématique serait que les disques réseaux, ou autres ne seraient pas accessibles, en raison de certains applicatifs de sécurité pouvant être présents dans certaines sociétés.

 
Cet article est issu en partie de mon ouvrage que j’ai mentionné.