De Cronos aux pédophiles : comment la gendarmerie mène la lutte contre la cybercriminalité

Suite à la réorganisation récente, comment est organisée la lutte contre la cybercriminalité au sein de la Gendarmerie Nationale ?

Hervé Pétry : En juin 2021, la gendarmerie nationale a créé le ComCyberGend, sous l’autorité du général Marc Boget. Mais dès cette époque et jusqu’à la fin 2023, il y a eu des réflexions pour créer un service à compétence nationale commun à la police et à la gendarmerie. Le 1^er décembre 2023 a ainsi été créé le ComCyber-MI.

Le ComCyber-MI a un champ de compétences triple. D’abord, l’analyse de la menace et la stratégie de lutte induite : dire ce qui se passe pour diriger l’action. Ensuite, la formation : il s’agit de fédérer et coordonner les formations à partir du centre de Lille. Enfin, il y a l’appui judiciaire : il s’agit de rassembler les compétences techniques rares (crypto-actifs, traitement des données de masse / Big Data, rétroconception, récupération des données sur les supports abîmés…).

L’ancien ComCyberGend est devenu l’Unité Nationale Cyber (UNC) de la gendarmerie, homologue de l’Office Anti-Cybercriminalité (OFAC) de la police. Ces deux unités ont un rôle opérationnel. L’UNC n’a plus les compétences rares en son sein mais continue bien sûr de s’appuyer sur elles : elles ont été mutualisées au sein du ComCyber-MI. L’UNC est rattachée au Directeur des Opérations et de l’Emploi (DOE), le général Tony Mouchet, qui est notamment en charge de tout ce qui doctrine d’emploi des forces (à ne pas confondre avec l’emploi au sens ressources humaines qui est sous l’autorité du DRH).

L’UNC travaille bien évidemment en partenariat étroit avec de nombreux services : Douanes, Europol, juridictions spécialisées… et, cela va aussi de soi, avec toute la chaîne de lutte contre la criminalité jusque sur le terrain. La gendarmerie dispose ainsi de 9500 « cyber-gendarmes » sur le terrain dont 850 « enquêteurs sous pseudonymes » et 350 « enquêteurs très qualifiés ». En plus des brigades ordinaires, nous disposons de brigades spécialisées, d’antennes du C3N dans les sections de recherche (13 aujourd’hui, bientôt 30)…

L’UNC est elle-même organisée en trois divisions : le C3N, la division technique et la proximité numérique. Cette dernière a deux missions : d’une part la prévention auprès des particuliers, des entreprises et des collectivités d’autre part l’accompagnement 24/7 des victimes avec les brigades du numériques. La division technique assure un appui opérationnel (projeter des spécialistes en cas de perquisition), du développement logiciel pour créer nos outils et le guichet unique télécom et information (lien avec les fournisseurs comme les opérateurs télécoms pour les réquisitions).

Notre modèle est déconcentré car la cybermenace est partout sur le territoire. Et nous pouvons employer sur ce sujet des personnels avec des exemptions physiques présents partout.

Pascal Péresse : Le C3N, c’est le Centre de lutte contre les criminalités numériques. Au delà d’un classique noyau de commandement, nous disposons d’un département criminalité organisée (dont un groupe contre les ransomwares et autres malwares), le département des enquêtes complexes (concernant des outils innovants), le département renseignement sur Internet (y compris une veille sur le Darkweb concernant tous les types de trafics et du renseignement sur sources ouvertes), le département atteinte aux personnes (notamment un centre d’analyse des images pédopornographiques pour repérer les agressions et viols récents) et le département coordination opérationnelle (pour la coordination des antennes déconcentrées). Le département des enquêtes complexes a pu déchiffrer les conversations des téléphones Encrochat. Les criminels les utilisant se livraient beaucoup car ils étaient en confiance et les écoutes ont été particulièrement fructueuses.

Aujourd’hui, quels sont les profils de cybercriminels et d’actes en cybercriminalité ?

Pascal Péresse : La cybermenace la plus importante actuellement, c’est évidemment les ransomwares comme Lockbit. Pour ce type de menace, il y a des équipes expertes qui créent les malwares et les outils annexes. Ce noyau central diffuse son produit vers des groupes affiliés qui réalisent effectivement les attaques et rétrocèdent une part des gains au noyau central. Lockbit, entre 2019 et 2023, c’est au moins 3000 attaques au niveau mondial dont 239 en France.

D’une manière générale, Internet recèle évidemment une abondante cybercriminalité qui a tendance à devenir une criminalité organisée. Les hacktivistes sont plutôt organisés. A l’inverse, les pédocriminels sont plutôt isolés. La criminalité crapuleuse côtoie les groupes étatiques hostiles. Lockbit est un groupe essentiellement russophone.

Hervé Pétry : Nous estimons qu’une affaire qui est traitée correspond, en fait, à 250 cas cachés. 80 % des sujets relèvent de l’escroquerie, 10 % du rançongiciel, 10 % des atteintes aux personnes.

Les cyber-gangs étant « virtuels » et internationaux, que signifie lutter contre eux ?

Pascal Péresse : Les investigations permettent malgré tout d’identifier les cyber-criminels, notamment via de la cyber-infiltration. En la matière, les frontières n’existent pas. De ce fait, il y a beaucoup d’opérations internationales nécessitant une coopération avec Europol ou Interpol et des forces de l’ordre locales de divers pays. Les enquêtes prennent souvent des années.

Les signalements à Europol permettent parfois à des pays tiers de se manifester car eux-mêmes se rendent compte de points communs avec un incident chez eux.

En quoi a consisté l’opération Cronos contre Lockbit et quels ont été ses résultats ?

Pascal Péresse : L’opération a mené aux arrestations de deux Ukrainiens en Ukraine et d’un Russe en Pologne. Les mandats d’arrêt internationaux qui ont été lancés peuvent être exécutés ou non par les pays concernés, bien sûr.

Les 19 et 20 février 2024, les différences forces engagées (France, Etats-Unis, Royaume-Uni…) ont identifié les serveurs utilisés pour l’exfiltration des données, serveurs qui ont été neutralisés. En tout, une trentaine de serveurs ont été bloqués aux Pays-Bas, en Allemagne, en Australie…

Nous avons également saisi des portefeuilles de crypto-monnaies.

L’opération Cronos a donné un sérieux coup au groupe Lockbit mais celui-ci n’est pas encore démantelé. L’enquête se poursuit.

Quelles sont les conséquences de cette opération pour les victimes de Lockbit ?

Pascal Péresse : Nous avons découvert des clés de déchiffrement. Elles ont été exploitées par Europol et diffusées auprès des forces nationales pour aider les victimes. Mais les opérations concernées datent parfois de plusieurs mois ou années. Ces clés permettront donc peut-être de récupérer des données qui n’avaient pas déjà été restaurées. Les saisies pourront aussi sans doute permettre d’indemniser les victimes.

Quelle va être la suite ?

Pascal Péresse : Le groupe criminel essaie bien sûr de se rétablir et travaille probablement sur une nouvelle génération de ransomware et sur la remise en route de ses infrastructures. La tête russophone est toujours active. Et l’enquête se poursuit.