Comment les policiers français traquent les cybercriminels

Skimming, carding, phishing, botnets... Ces quatre terminologies anglo-saxonnes et barbares désignent quelques uns des crimes commis sur le Net et traqués par la soixantaine d'officiers de l'Office Central de Lutte contre la Criminalité liées aux Technologies de l'Information et de la Communication (OCLCTIC), une division de la police judiciaire créée en 2000. En matière de cybercriminalité, la créativité des pirates n'a pas de limite. « Nous sommes à l'affut des nouvelles tendances. Par exemple, il y aura sûrement des problèmes issus des nouveaux systèmes de paiement sans carte bancaire mis en place par les opérateurs mobiles », indique la patronne de l'OCLCTIC, Valérie Maldonado, qui ne fait pas de bilan chiffré de l'activité de l'Office.

Fléau difficile à mesurer

Les botnets (ces réseaux de machines « zombies » qui envoient en masse des requêtes afin de « planter » un système informatique) sont classés parmi les crimes les plus graves représentant une menace sur le plan national. Wikileaks, mais aussi le site de paiement PayPal, qui avait bloqué les comptes du site de Julian Assange, ont subi les foudres de ce type d'attaque. « Les botnets peuvent viser des grandes administrations ou des hopitaux », indique la patronne de l'OCLCTIC. En 2010, 600 millions ordinateurs supplémentaires auraient été attaqués, selon « Microsoft Security Intelligence Report ». Mais le fléau est difficile à mesurer et l'OCLCTIC n'a jamais démantelé de réseau. En revanche, le vol (ou les tentatives de vols) de données industrielles (fichiers clients, par exemple) sont monnaie courante. À la mi-février, l'éditeur de solutions de sécurité informatique McAfee révélait que des compagnies pétrolières avaient été victimes de vols de secrets industriels. La pédopornographie constitue un tiers des délits recensés par l'OCLCTIC. C'est pourquoi sa patronne défend le très contesté article 4 de la LOPPSI 2 (la loi sur la police), qui rend possible le filtrage des sites Internet sans passage devant un juge. « Cette loi nous permet d'avoir une réponse souple et réactive au problème », défend Valérie Maldonado. Mais établir une liste de sites à filtrer, comme le veut la loi, va être difficile pour l'OCLCTIC. « Beaucoup de contenus sont des pages hébergées sur des serveurs pirates. La moitié sont aux États-Unis. Il y en a beaucoup aux Pays-Bas. En 2007, c'était en Russie. »

Le piratage de carte bancaire, le « carding », fait partie des sujets à risque. « Les pirates se procurent des listings de numéros et les proposent à la vente sur des forums sur le Net », indique Valérie Maldonado. « Mais pénétrer ces réseaux est très difficile. Même les pirates doivent être cooptés. Tout se passe sur Internet. Les gens ne se connaissent pas forcément. Nous avons une enquête de fond en cours, qui nécessite des moyens lourds ».

Mais les arnaques à l'ancienne font toujours les beaux jours de la cybercriminalité. Qu'il s'agisse du « skimming », le piratage des distributeurs automatiques de billets à l'aide des fausses façades enregistrant les codes secrets de leur propriétaire, ou des fausses annonces sur le Net (faux appels à la charité ou loteries bidon). « C'est 50% de l'activité. Sur la masse de mails envoyés, il y a toujours des gens qui paient », indique Valérie Maldonado.