Marc Boget (CyberGendarmerie) : « notre dispositif est unique en Europe pour une force de l’ordre »

Vous êtes commandant de la Gendarmerie dans le Cyberespace. Qu’est-ce que cela signifie ?

La Gendarmerie dans le Cyberespace est née officiellement le 25 février 2021 à l’initiative du directeur général de la Gendarmerie, le général d’armée Christian Rodriguez. Son démarrage opérationnel a eu lieu le 1^er août 2021 avec la mutation des personnels. L’objectif de cette création est de rassembler sous un étendard unique toutes les forces cyber, y compris outre-mer. Et la volonté de cette création provient de la conviction de Christian Rodriguez que la prochaine crise sera une crise cyber.

Concrètement, la Gendarmerie dans le Cyberespace est constituée de 8500 cyber-enquêteurs. Je suis directement rattaché au directeur général et nous disposons d’un budget annuel propre. Nos missions vont de la prévention à l’investigation, y compris la stratégie de formation en lien avec le commandement des écoles, la participation à la réflexion sur les volets normatifs et les relations internationales. Notre action porte du bas du spectre (phishing…), où la réponse ne peut pas être uniquement judiciaire mais doit inclure la prévention, au haut du spectre (criminalité organisée), où il y a nécessité d’investigation.

Un tel dispositif est unique en Europe pour une force de l’ordre.

Quelle est votre organisation ?

Nous avons trois divisions opérationnelles. La première est consacrée aux investigations. La deuxième est la division technique dont les officiers sont tous gendarmes et ingénieurs ou docteurs d’état post-école d’ingénieurs pour plus de la moitié d’entre eux. La dernière concerne la prévention et la proximité numérique. La prévention est bien sûr adaptée en fonction des demandes des deux premières divisions et, à l’inverse, les signaux faibles remontés des actions de proximité alimentent les investigations et la technique.

Enfin, une quatrième division, transverse, est consacrée à la stratégie. Elle porte une vision à plus long terme, s’occupe des coopérations internationales, traite la chaîne ressources humaines cyber, etc.

Au total, dans les différents domaines investigation, technique et stratégie, nous avons, chaque mois, une quinzaine de réunions avec nos partenaires internationaux.

Quelles collaborations avez-vous en France ?

Il y a un maître-mot dans la cybersécurité : la collaboration.

Il y a un maître-mot dans la cybersécurité : la collaboration. Personne ne peut travailler tout seul dans son couloir de nage. Nous ne menons aucune enquête tout seul. Nous travaillons évidemment avec les services de police, les douanes, les services de renseignements… Outre tous ses travaux normatifs et stratégiques, l’ANSSI, pour sa part, se focalise sur les attaques étatiques, liées au renseignement ou concernant les OIV [opérateurs d’importance vitale]. Sur le terrain, les 13 délégués territoriaux de l’ANSSI se consacrent plutôt aux grosses collectivités, aux OIV, etc. tandis que les cybergendarmes, eux, sont plutôt focalisés sur les ETI/PME, sur les petites et moyennes collectivités…

L’ANSSI reste le chef d’orchestre de la sécurité du système d’information et nous respectons évidemment leurs consignes. Pour la prévention, nous collaborons.

Et au niveau international ?

Comme je vous le disais, nous avons une quinzaine de réunions par mois avec des organismes de l’Union Européenne, du Canada, des Etats-Unis, des pays de l’Est… Nous échangeons énormément avec l’ensemble de nos collègues internationaux car chacun a un bout du puzzle et c’est ensemble que nous serons plus forts. Actuellement, c’est bien sûr compliqué avec la Russie à cause de la guerre avec l’Ukraine. Et nous avons peu de contacts avec la Chine. Mais la problématique est clairement mondiale.

Comment se déroule cette collaboration internationale au quotidien ?

Pour la partie judiciaire, les procédures sont classiques et bien calées. Ce sont les DEPI (demandes d’entraide pénale internationales) avec la variante européenne DEE (demandes d’entraide pénale européennes). Les magistrats d’un pays X demandent une action aux magistrats d’un pays Y qui vérifient la conformité de la demande à leur propre réglementation puis exécutent ce qu’ils peuvent et renvoient les résultats au pays X. Les actions peuvent être des auditions, des interpellations, des expertises techniques sur des équipements…

Au niveau technique, il n’y a pas d’équivalent. Il existe des groupes très fermés d’experts techniques internationaux qui réalise de la veille ou de la recherche sur les sujets cyber. On y entre que par la seule compétence d’ou l’importance pour moi de pouvoir disposer de profils techniques du très haut du spectre.

L’ANSSI a aussi ses propres contacts internationaux pour réaliser ses travaux, y compris normatifs mais bien sur également techniques.

Dans le cadre de la prévention, allez-vous jusqu’à l’audit ?

Je suis là pour mettre le pied à l’étrier. Je ne suis pas missionné pour réaliser des audits en bonne et due forme et je réalise des pré-diagnostics pour réaliser une photo à un instant T de la situation cyber de la structure qui fait appel à nous. Cette photo couvre les grands axes allant de la sensibilisation des agents à l’analyse du périmètre technique en passant par la problématique RGPD par exemple.

Que se passe-t-il en cas d’incident ?

Les traces sont très volatiles et les criminels font tout pour les effacer.

Dès lors qu’une victime se manifeste, nous envoyons sur place trois types d’experts. D’abord, un expert pour aider la victime à gérer la crise car, en général, la victime n’est pas préparée. Ensuite, il y a bien sûr les experts officiers de police judiciaire qui vont immédiatement démarrer l’enquête et dont la première tâche va être de geler les lieux comme pour n’importe quelle autre scène de crime afin de collecter tous les indices qui ici seront numériques.

Les traces sont en effet très volatiles et les criminels font tout pour les effacer. Enfin, nous envoyons les experts techniques, officiers et sous-officiers de gendarmerie. Ceux-ci vont appuyer les enquêteurs pour les actions techniques et travailler avec les consultants ou techniciens dont la mission est de remettre en état le système d’information de la victime. Il s’agit, en particulier, de faire en sorte que les traces ne soient pas effacées avant tout prélèvement, ce qui est contradictoire avec la volonté de remonter un système d’information propre rapidement.

Du coup, quelles bonnes pratiques doivent être suivies par les entreprises victimes pour éviter de nuire à l’enquête et même la faciliter ?

La toute première chose à faire, dans tous les cas, c’est de nous appeler.

La toute première chose à faire, dans tous les cas, c’est de nous appeler. Quelque soit le moyen utilisé (passer par le 17, l’application MaSécurité, le web et la brigade numérique accessible 24/24, 365 jours/an sur magendarmerie.fr, la brigade locale de gendarmerie, le commissariat local…), dans tous les cas, cela arrivera chez nous dans un délai très bref ou chez mes collègues policiers si vous avez fait le choix initial du commissariat.

Ce qu’il ne faut surtout pas faire, à l’inverse, c’est d’éteindre les équipements, quelque soit l’équipement concerné : les PC des utilisateurs, les serveurs, les routeurs, etc. En effet, pour fonctionner, un malware a besoin de monter en mémoire vive. Quand on éteint, on efface la mémoire vive, donc toutes les traces du malware. Or ces traces nous sont essentielles pour savoir à qui et à quoi on a affaire, que ce soit pour l’enquête ou pour trouver une solution. Ce qui est en RAM permet de retrouver la souche virale, d’opérer de la rétroconception, etc. De plus, au redémarrage, c’est la procédure implémentée par le pirate qui va se déclencher, entraînant éventuellement d’autres dégâts.

Il ne faut surtout pas éteindre les équipements, quelque soit l’équipement concerné.

S’il ne faut pas éteindre les machines, il est par contre essentiel de les déconnecter pour éviter toute propagation et toute possibilité d’interaction entre l’agresseur et les équipements de la victime. Il faut donc couper le Wi-Fi, débrancher tous les câbles réseau dans les armoires de routage, etc.

Une fois les collectes de données opérées convenablement, les enquêteurs donneront le feu vert pour l’extinction et le redémarrage ou le reformatage des machines. C’est pour cela qu’il faut que nous travaillions avec les prestataires en charge de remettre en route le système d’information ;

Quelles sont les caractéristiques de la cybercriminalité actuelle ?

En matière de cybercrime « pur », il existe trois types de délinquants qui ont tous pour motivation de toucher de l’argent par l’extorsion ou l’escroquerie.

Commençons par le très haut du spectre. Il s’agit d’experts qui recherchent les failles « zero day ». Ils ne font que peu de victimes directes mais pour de gros montants.

A l’autre extrémité du spectre, on a de la délinquance de masse avec des escroqueries telles que les faux ordres de virement, les escroqueries à la fausse romance… Le modèle est ici d’avoir beaucoup de victimes pour un faible montant unitaire.

Entre les deux, on trouve des délinquants multi-cartes. Ils vont acheter une vulnérabilité aux premiers (en versant environ 20 % de la rançon obtenue), de la puissance de calcul à un autre groupe (environ 3 %), etc. Les commissions sont assez standardisées sur le marché. Ces délinquants finissent en exploitant la faille pour aller chercher un paiement de rançon.

A ces cybercriminels « purs » s’ajoutent des délinquants traditionnels qui vont utiliser le numérique pour leurs méfaits qui n’ont rien d’informatique. Cela peut être de la vente de stupéfiants, de la pédopornographie, du cyber-harcèlement… Ces délinquants-là ont aussi peu d’expertise informatique qu’un chauffard en mécanique automobile. Dans ces cas, nous apportons un soutien technique à d’autres services de police judiciaire, soit comme meneurs de l’enquête soit comme concourants. En matière de pédocriminalité, nous menons toujours l’enquête.

Quelles sont les tendances en matière de cybercriminalité ?

Il y en a une évidente : l’augmentation continue des faits. De même, il y a une lame de fond : l’augmentation du nombre de vulnérabilités (en 2021, nous en étions à 50 par jour !).

L’arrivée de la 5G ou de la fibre augmente les débits et donc les ressources disponibles pour les criminels. De même, le nombre d’objets connectés explose, augmentant d’autant les objets pouvant être piratés et utilisés à des fins criminels.

Le fait que l’intelligence artificielle devienne courante facilite des actes comme les deepfakes. Cependant, je ne crois pas beaucoup à l’usage de l’intelligence artificielle pour trouver des failles car il faut être en mesure d’entraîner l’IA alors que la recherche de faille ne peut pas faire l’objet d’un entraînement. Il ne faut pas confondre l’IA et la robotisation qui est, elle, déjà courante.

Face à ces tendances, il est essentiel de tous travailler ensemble pour que nous soyons efficaces contre les cybercriminels.

Le podcast sur Aucha.

Cyber Night

Le général Marc Boget est membre du jury de la Cyber Night et sera présent sur scène à la cérémonie du Lundi 28 novembre 2022, de 18h à 23h, au Théâtre de la Madeleine, 16 rue de Surène, 75008 Paris.

Inscrivez-vous pour participer à la Cyber Night 2022.