Au Nord, ce sont toujours les corons, mais ici, à l’ouest de Lille, au milieu des maisons aux façades en briques orange, se dresse depuis 2009 le site d’EuraTechnologies, tout de verre et de béton, premier incubateur numérique européen avec ses 150 000 m² de locaux. Au cœur de cet environnement, depuis l’été 2022, le Centre national de formation cyber (CNFCyber) du ministère de l’Intérieur : un plateau de 600 m² dédié à la formation à la cybersécurité des gendarmes, policiers, douaniers, mais aussi d'agents de l'inspection du travail, de l'URSSAF, des caisses nationales d’assurance vieillesse, d’assurance maladie et d’allocations familiales, de cadres du corps préfectoral, de magistrats, de membres de forces de l’ordre étrangères…

Des gendarmes de tous horizons

Ce mercredi 16 octobre 2024, une vingtaine de stagiaires planchent sur la réalisation d’un procès-verbal d’investigations lors d’une Enquête sous pseudonyme (ESP). On trouve là des gendarmes venus de tous horizons : unités de recherches, dont la Section de recherches (S.R.) de la gendarmerie de l’Air, Office central de lutte contre les crimes contre l’humanité et les crimes de haine (OCLCH), Unité nationale cyber (UNCyber), Groupe d’intervention de la gendarmerie nationale (GIGN)…

Cette formation Enquêteurs sous pseudonyme (ESP) a débuté le lundi. Elle est co-animée par l’adjudant-chef Nicolas, du pôle ingénierie pédagogique du CNFCyber, et l’adjudante Roxane, du pôle formation, tous deux enquêteurs spécialisés en technologies numériques (NTech) et ESP.

« J’encadrais déjà cette formation au Centre de lutte contre les criminalités numériques (C3N), précise cette dernière. Elle a évolué, puisqu’elle s’adressait au départ aux enquêteurs spécialisés dans la lutte contre la pédocriminalité, avant d’être élargie, en 2019, à tout crime ou délit puni par une peine d’emprisonnement, commis par des voies de communication électronique. Elle a aussi évolué parce que les profils, ceux des auteurs comme ceux des victimes, ont évolué, ainsi que les outils, avec désormais des smartphones et des applications telles que Signal, Telegram, Snapchat, etc. »

La formation comprend une partie théorique, essentielle pour bien poser le cadre juridique, une sensibilisation aux crypto-monnaies et au Darkweb, la présentation d’outils techniques (logiciels, applications) qui peuvent être utiles au cours de l’enquête, de nombreux retours d’expérience sur ce qui a marché ou ce qui n’a pas marché, et des cas pratiques pour réaliser les actes d’enquête.

« Il y a beaucoup d’ateliers pratiques, poursuit Roxane. Et l’exercice final consiste en une mise en situation au cours de laquelle les stagiaires vont sur un faux site pour entrer en contact avec une cible et valider un achat de confiance, en suivant toutes les étapes de la formation, et en tenant informés les différents acteurs, notamment le parquet, qui doit valider le principe de l’achat, et le Pôle des techniques spéciales d’enquêtes de la Sous-direction de la police judiciaire (SDPJ), qui en valide le montant. Il s’agit de la deuxième formation ESP hybride. Elle s’adresse non seulement aux forces de l’ordre, mais aussi à des acteurs de la sécurité sociale et de la lutte contre le travail illégal, qui ont des prérogatives moins élevées que les gendarmes et les policiers, mais qui peuvent être en contact avec des cibles, et donc récupérer des données qui pourront constituer des preuves inscrites en procédure. »

Une montée en puissance sur la crypto

Le maréchal des logis-chef Benoît, affecté à la Section nationale d'appui et d'intervention cyber de l’UNCyber, assiste les enquêteurs durant le temps de la garde à vue.

« Nous sommes amenés à travailler au profit des offices centraux, des sections et brigades de recherches. C’est important pour nous de connaître le cadre légal et le fonctionnement d’une enquête sous pseudonyme pour pouvoir appuyer correctement les enquêteurs. Cette formation va beaucoup m’aider. Les formateurs sont des vrais experts, passionnés, qui nous présentent de nombreux outils qui peuvent s’avérer très utiles, et avec qui nous avons des échanges très intéressants. »

L’adjudante Marianne, qui a rejoint depuis un an l’OCLCH, après une expérience en B.R. dans l’Oise, s’est vu proposer ce stage au moment de son affectation. « On fait essentiellement de l’OSINT (Open source intelligence : recherche en sources ouvertes) à l’office. On utilise des pseudonymes pour consulter des sites, sans entrer en contact, mais cela pourrait se produire dans certaines enquêtes, pour identifier des personnes qui gèrent des groupes extrémistes, par exemple. »

« Les gendarmes qui suivent ce stage n’arrivent pas sans bagage technique et ont une appétence pour le cyber, estime l’adjudant-chef Mathieu, de la S.R. de la gendarmerie de l’Air. Cette formation permet de mettre en pratique des techniques d’enquête et de bien judiciariser, parce que le but de l’ESP est de constater des faits, mais surtout de matérialiser l’infraction pour la procédure. »

Pour le colonel Cyril Piat, commandant du CNFCyber, « la formation ESP est une matière phare du centre. Nous l’avons reprise très vite, dès l’ouverture du centre, en nous appuyant sur des formateurs relais, c’est-à-dire des ESP déjà formés qui viennent à Lille apprendre à former eux-mêmes, notamment au profit des militaires des Brigades de recherches (B.R.) dans chaque Région de gendarmerie. Il y a donc désormais quatre formations par an, deux ESP et deux formateurs relais ESP. L’autre matière phare, ce sont les crypto-actifs. Notre formateur dans ce domaine, l’adjudant-chef Olivier, va également former des formateurs relais à partir de mars 2025, afin que les Régions puissent commencer à redistribuer massivement ces compétences. Les outils pédagogiques développés par l’ADC Olivier, avec le capitaine Amaury, officier commissionné et docteur en informatique, et l’adjudant Sébastien, qui est SIC et nous aide beaucoup sur l’architecture de virtualisation, sont aujourd’hui parfaitement matures. L’objectif de la gendarmerie est de monter en puissance sur la crypto, avec un enquêteur Fintech par B.R. Le CNFCyber accompagne cette montée en puissance avec quatre stages en 2023, six en 2024, soit 120 personnes formées, et donc trois stages de douze formateurs relais en 2025, afin d’en avoir deux par formation administrative en fin d’année, qui seront nos référents dans la durée. Le CNFCyber continuera la formation directe pour laisser le temps aux Régions d’absorber cette montée en puissance. »