La généralisation des Nouvelles technologies de l’information et de la communication (NTIC) transforme la société et influence la criminalité. Les outils numériques, désormais courants dans la vie quotidienne, sont massivement utilisés par la criminalité organisée mais aussi par tous les types de délinquance. Les investigations numériques sont donc devenues centrales : selon la Commission européenne, les preuves numériques sont déterminantes dans près de 85 % des enquêtes judiciaires. Ce constat a conduit la gendarmerie nationale à développer, depuis plusieurs années, une véritable stratégie dans le domaine cyber. C’est dans ce cadre que l’Unité nationale cyber (UNCyber) a été créée et dispose aujourd’hui d’une expertise, dont certains process sont reconnus à l’international. Placée sous l’autorité de l’UNCyber, la Division technique (D.T.) s’articule autour trois composantes capables de répondre aux besoins des unités de terrain.

« Toute personne qui utilise un outil numérique laisse une trace, c’est la data »

Le colonel Franck Moyon, commandant la Division technique (D.T.), présente les coulisses de cette unité spécialisée dans l’investigation numérique (ou forensique), capable de proposer des solutions complémentaires à celles des unités de gendarmerie.

Avant de présenter chacune des composantes de sa division, le colonel Moyon précise le contexte dans lequel s’inscrit l’action de ces gendarmes spécialisés. La cybercriminalité se structure autour des infractions dites « traditionnelles » qui utilisent aujourd’hui des vecteurs numériques (l’outil numérique est le support de l’atteinte), et autour de nouvelles infractions qui sont nées de cette évolution technologique et numérique (l’atteinte vise l’outil numérique). De plus, le cyberespace n’échappe pas au principe qu’Edmond Locard (1877-1966), l’un des fondateurs de la criminalistique, avait établi et selon lequel « tout contact laisse une trace ». En effet, comme le précise l’officier : « toute personne qui utilise un outil numérique laisse une trace, c’est la data ! » C’est précisément autour de ce constat que s’est structurée la D.T.

Contrairement à une trace ADN qui est unique et donc directement associée à un individu, la preuve numérique est plus complexe. La data constitue finalement le produit de l’utilisation de l’outil informatique. La complexité réside donc dans la capacité à prouver que cet outil a bien été utilisé par le mis en cause. Pour ce faire, il faut assurer l’intégrité de la donnée et son authenticité afin qu’elle conserve sa force probante ; d’où les process et savoir-faire développés par la gendarmerie nationale. Cela ne signifie pas pour autant que les autres preuves doivent être laissées de côté, au contraire. « La preuve numérique n’est pas utilisée au détriment des autres preuves, elle vient s’y ajouter », précise le colonel Moyon.

Aujourd’hui, un enquêteur qui ne prendrait pas en compte l’environnement numérique dans une perquisition passerait à côté d’éléments pouvant être déterminants pour son enquête, notamment avec l’avènement des IoT (ndlr : « Internet of things », ou l’internet des objets, renvoyant à tout objet ayant la capacité de se connecter à Internet) désormais présents dans tous les domiciles. « L’enquêteur doit bien comprendre quel type de données il peut retrouver dans un IoT et la façon dont il pourra non seulement l’extraire, mais également l’exploiter. C’est la V2 de la perquisition. Chaque particulier possède dans son domicile des micros, des capteurs vidéo, des détecteurs d’ouverture, etc. » 

Une capacité de projection permanente sur le terrain grâce à la Section nationale d'appui et d’intervention cyber (SNAIC)

Disponible 24 heures sur 24, 7 jours sur 7, la Section nationale d'appui et d’intervention cyber (SNAIC) est chargée d’intervenir, à la demande, sur les enquêtes numériques les plus complexes ou les plus sensibles. La section d’évaluation et de coordination numérique de la D.T. est ensuite chargée d’analyser le besoin des enquêteurs afin d’apporter la réponse la plus adaptée à l’enquête.
Véritable force de projection, la SNAIC se déploie sur tout le territoire, y compris en outre-mer, pour appuyer les unités lors d’opérations nécessitant une haute technicité, qu’il s’agisse de perquisitionner le siège d’une grande entreprise ou d’analyser des téraoctets de données. Au-delà des moyens et des compétences dont ils disposent, la particularité des gendarmes de cette section est de taper fort et dans un temps très court, qui est généralement celui de la garde à vue.
Ils s’appuient sur leur expertise judiciaire et sur les techniques de pointe développées : blockchain, objets connectés, environnements industriels, zones contaminées… Face à des criminels de plus en plus inventifs pour cacher leurs supports de données, la SNAIC mène aussi des Opérations de détection électronique (ODE) afin de localiser le moindre disque dur ou clé USB dissimulés.

Le colonel Moyon insiste sur la qualité des gendarmes de sa division : « Avant d’être des cyber-enquêteurs, les gendarmes de la D.T. sont avant tout enquêteurs. L’expertise acquise doit leur permettre de bien comprendre les besoins de l’enquêteur et d’aller chercher la preuve numérique essentielle pour ouvrir une information judiciaire ou aboutir à une comparution immédiate. »

Le Département d’appui technique à l’enquête (DATE), une capacité en développement logiciel

Au sein de la Division technique, le Département d’appui technique à l’enquête (DATE) se positionne comme un véritable centre d’appui logiciel au service des gendarmes. Face au développement exponentiel des données issues des nouvelles technologies et à leur diversité de formats, les enquêteurs se retrouvent souvent dépourvus d’outils fiables pour les exploiter. Pour répondre à cette problématique, le DATE développe des solutions officielles capables de traiter et rendre intelligibles des données parfois complexes. Parmi ses réalisations : un logiciel de géolocalisation de photographies ou encore un outil d’exploitation des informations contenues dans les montres connectées.

Le DATE propose donc le développement de logiciels basiques sur mesure, sur simple demande d’un enquêteur exprimant un besoin spécifique. L’ensemble de ces programmes sont mis à la  disposition des cyber-enquêteurs sur la plateforme collaborative CyberApSTORE (CASTORE).

Le Guichet unique téléphonie et internet (GUTI), la porte d’entrée vers les opérateurs téléphoniques et autres services numériques 

Également disponible 24 heures sur 24, 7 jours sur 7, le Guichet unique téléphonie et internet (GUTI) se positionne comme un relais stratégique pour les enquêteurs en contact avec les opérateurs télécoms, fournisseurs d’accès Internet et plateformes numériques. Sans se substituer à la Plateforme nationale d’interceptions judiciaires (PNIJ), le GUTI intervient lorsque les enquêteurs se heurtent à des difficultés qu’ils ne peuvent résoudre seuls : absence de réponse à une réquisition, urgence vitale nécessitant un traitement prioritaire, ou encore analyse d’éléments techniques atypiques.

Constituant le point de contact unique de la gendarmerie avec les sociétés du numérique, ce service a tissé un réseau privilégié avec les principaux acteurs du Web et des réseaux sociaux, de Google à TikTok, en passant par Apple, Meta, Amazon ou Uber. Les relations de confiance établies leur ont ainsi permis de nouer un lien partenarial avec 5 300 sociétés du numérique, dont certains ont pu aboutir à la mise en œuvre d’un protocole de coopération.

Une interface discrète mais essentielle pour fluidifier les échanges avec les géants du numérique et renforcer l’efficacité des enquêtes.