Tracer les criminels en cyber espace La méthodologie des recherches Internet à l’aide d’un exemple Formation Magistrats 2006 © FCCU 2004 - 2006

Architecture

Accès à Internet Utilisation de services sur Internet Fournisseur de service Internet Utilisation de services sur Internet mr.x@mailsrv.com Fournisseur d’accès à Internet Accès à Internet 123.132.213.231 Connexion physique Opérateur télécom 02 / 123 12 12 Utilisateur final

L’architecture d’Internet : éléments de base Adresse Internet : adresse unique par ordinateur (adresse IP = adresse Internet Protocol) Ex: 214.96.65.121 Adresse statique pour les serveurs Adresse dynamique pour les utilisateurs (durée de la session) Adresses internes / externes Attribution par IANA et disponibles dans des bases de données Noms de domaines : adresse facile à retenir just.fgov.be Domaines “Top level”: *.com, *.net, *.org, *,edu, ... *.be, *,fr, ... Les Domain-Name-Servers : relation nom de domaine et adresse IP Les serveurs WHOIS : qui a enrégistré un nom de domaine Attention !! Le pays où est enregistré le nom de domaine n’est pas nécessairement le pays où se situe l’ordinateur !!

Méthodologie

Méthode d’enquête Prouver les faits Indiquer les auteurs Localisation dans le temps et l’espace : qui est compétent ? Problèmes avec l’aspect transfrontalier. Préjudices / prouver les conséquences Indiquer les auteurs Investigation via les éléments techniques => Ordinateur : qui l’a utilisé ? Exclure les personnes non-suspectes Problèmes : les connexions anonymes (bibliothèques, cybercafés, abonnement hacké, ordinateur hacké, Internet libre, WIFI)

Méthode d’enquête (suite) Démontrer les intentions de l’auteur Par la fréquence des faits Par les traces des manipulations effectuées Par le fait qu’il utilise de fausses identités Réunir toutes les preuves matérielles de manière cohérente et les rapporter par PV Backups / entreposage du matériel saisi au greffe

Méthode pour la recherche d’un auteur A partir d’information disponible : rechercher un élément qui peut directement ou indirectement mener à l’adresse IP de l’auteur au moment des faits Dans l’entête d’un e-mail / message de groupe de discussion Dans un message SMS (ex: plus loin) Dans les données disponibles chez les fournisseurs de services Internet (ISP) Dès que l’on connaît le moment et l’adresse IP Vérifier si IP statique ou dynamique Vérifier si abonnement hacké / ordinateur hacké Demande des données logging chez les IAP (fournisseurs d’accès Internet) Eventuellement confirmation chez les opérateurs Télécom

Adresse IP & timestamp dans l’entête technique Menaces par mail

Exemple L’envoi d’un sms par le web

Schéma d’envoi d’un message SMS via Internet et loggings des traces Fournisseur d’accès Internet (IAP) Fournisseur de services de messages SMS sur Internet Expéditeur GSM appelé Ligne téléphone / câble Adresse IP attribuée à l’expéditeur 0486 / 134613 INTERNET

Startscherm SMS dienst

Ecran à remplir le message Orange

Ecran message envoyé

Schéma d’envoi d’un message SMS via Internet et loggings des traces Fournisseur d’accès Internet (IAP) Fournisseur de services de messages SMS sur Internet Expéditeur GSM appelé GSM du fournisseur de services SMS Ligne téléphone / câble Adresse IP attribuée à l’expéditeur 0486 134613 INTERNET

Réception du texte sur le GSM 0486 134613 03Oct 14:30 L’après-cours était très amusant. C’est à refaire.   Mr XXX (http://www.pi.be) 0486999998 Phase 1 Etape 2 Phase 1 Etape 1

WHOIS DATABASE : qui a enregistré le domaine ?

Première phase Etape une : identification de l’“expéditeur SMS” : www.pi.be => Planet Internet SA 0486 999998 => GSM Planet Internet SA (éventuellement identification de ce n° par réquisitoire) Etape deux : réquisitoire à Planet Internet SA Donne l’adresse IP de l’utilisateur de votre service et le moment où il a placé le message qui a été envoyé le 19 Sep à 10:20 vers le numéro 0486 134613

Schéma d’envoi d’un message SMS via Internet et loggings des traces Fournisseur d’accès Internet (IAP) Fournisseur de services de messages SMS sur Internet Expéditeur GSM appelé GSM du fournisseur de services SMS Ligne téléphone / câble Adresse IP attribuée à l’expéditeur 0486 999998 0486 / 134613 Logging Planet Internet Adresse IP de l’expéditeur au moment de création du message SMS n° de GSM de l’appelé et moment de l’envoi 195.238.3.116 19 Sep 10:18 19 Sep 10:20 0486 134613 INTERNET

IP WHOIS DATABASE : qui gère l’adresse IP ?

Phase deux Etape une : identification du fournisseur d’accès Internet Vérifier dans la base de données 195.238.3.116 => Skynet SA (probablement une adresse dynamique) Si c’est une société (pas IAP) ou un particulier => l’étape deux n’est pas nécessaire Etape deux : investiguer chez Skynet SA Donne l’identification (+ le numéro d’appelant) de l’abonné Skynet qui le 19 Sep à 10:18 était connecté avec l’adresse IP 195.238.3.116

Schéma d’envoi d’un message SMS via Internet et loggings des traces Fournisseur d’accès Internet (IAP) Fournisseur de services de messages SMS sur Internet Expéditeur GSM appelé GSM du fournisseur de services SMS Ligne téléphone / câble Adresse IP attribuée à l’expéditeur 0486 999998 0486 / 134613 Logging IAP Adresse IP abonné début session fin session volume IN volume OUT n° tél appelant 195.238.3.116 19 Sep 10:18 ID abonné Nom abonné Adresse abonné N° tél appelant INTERNET

Troisième phase La réponse est bien complète mais ... Sommes-nous certains que c’est l’ utilisateur véritable ? (“nom d’abonné + mot de passe” souvent abusé) Abus facile dans les connexions Internet via téléphone & ADSL Nous voulons la certitude (et disculper les innocents) Si nous avons reçu le numéro de l’appelant => examiner la banque de données publique => identification => si c’est un numéro secret => réquisitoire pour identification Si le n° de l’appelant <> n° de l’utilisateur attitré => identification et confirmation de l’appel : réquisitoire chez l’opérateur télécom ou le fournisseur ADSL (Belgacom)

Schéma d’envoi d’un message SMS via Internet et loggings des traces Fournisseur d’accès Internet (IAP) Fournisseur de services de messages SMS sur Internet Expéditeur GSM appelé GSM du fournisseur de services SMS Ligne téléphone / câble Adresse IP attribuée à l’expéditeur 0486 999998 0486 / 134613 N° téléphonique de l’expéditeur Logging opérateur télécom Moment défini Durée N° tél appelant N° tél appelé (n° de tel IAP) N° tél de l’abonné 19 Sep 10:18 N° tél appelant INTERNET Nom de l’abonné Adresse de l’abonné Confirmation de l’appel

Utilité et conclusions

Quelques exemples utilites des recherches Internet Connexions faits avec les boîtes webmail sur le serveur (p.ex. Hotmail) localisation d’une personne “disparue” Traces sur un site web “annonces” Qui a posté le message suspect ? Escroqueries L’envoi e-mail Origine d’un mail (menaces, escroqueries) Chat Le serveur de chat => qui utilise un tel nickname ? quelle adresse IP ? Distribution de pédoporno Avec qui a chatté la personne disparue ?

Concrètement pour l’enquête La combinaison de l’IP et du moment est nécessaire pour l’identification (et aussi pour déterminer les faits) Les réquisitoires mentionnent de préférence exactement les données souhaitées avec les réquisitoires corrects : (identification 46bis – aperçu connexions : 88 bis CIC) Vu la grande quantité et le volume des données : demander de les fournir dans un format fichier sur un support de données ou via mail => l’analyse des données devient possible Rapidité de délivrance des réquisitoires est nécessaire