Débat Les polices suisses face à la cybercriminalité · Pour illustrer mon propos, j’aimerais relever la problématique qu’engendrent les . ransomwares C’est l’évolution

16 format magazine no 6

Depuis plusieurs années, la lutte contre la cyber-criminalité est devenue une priorité pour les polices suisses. Comme le soulignent les trois spécialistes interrogés dans le cadre de ce débat, aucune infrac-tion et aucune enquête n’ échappe aujourd’hui aux nouvelles technologies et à internet. Si leurs constats quant à l’urgence d’agir sont partagés, les modalités proposées de la réponse policière face aux multiples facettes de la cybercriminalité ne se recoupent pas toujours.

magazine : Pourriez-vous nous donner votre

définition de la cybercriminalité ?

Daniel Nussbaumer : Cette question est bien posée.

Il n’existe aucune définition uniformément acceptée

de la cybercriminalité. À mon avis, le plus sensé

d’un point de vue policier est de faire la distinction

entre deux types fondamentaux de phénomènes

criminels. Il y a, d’une part, les infractions (classiques)

commises par le biais d’internet en tirant profit

des nouvelles technologies. Il s’agit, par exemple,

de menaces ou de contraintes dans le cadre de

harcèlements ou de mobbing exercés via WhatsApp,

Facebook ou d’autres canaux. De tels délits sont

généralement commis

par des auteurs isolés

qui ont des liens directs

avec les personnes

lésées. Il ne s’agit pas de nouvelles infractions, mais

d’infractions commises par d’autres moyens et qui

peuvent, par conséquent, continuer de faire l’objet

d’un traitement par des enquêteurs de police seuls.

On observe, d’autre part, des phénomènes où

des groupes d’auteurs organisés usent de réseaux ou

d’infrastructures à grande échelle pour s’attaquer de

manière ciblée et dans plusieurs pays à un nombre

aussi large que possible de personnes lésées. On peut

citer par exemple les chevaux de Troie « Retefe » ou

« Dridex » qui s’attaquent aux service de e-banking,

le rançongiciel « Cryptolocker » ou des phénomènes

tels que la sextorsion ou les escroqueries de type

romance scam. De telles procédures requièrent

une équipe permanente d’enquêteurs, composée

de procureurs et de policiers, et organisée selon le

modèle des commissions spéciales. Elles doivent

être menées en étroite collaboration avec des

partenaires nationaux, voire internationaux.

Hans Rudolf Flury : fedpol fait face à une

cybercriminalité se définissant de deux manières.

L’une au sens strict du terme recouvre toutes les

infractions commises au moyen de technologies

apparues avec internet et qui exploitent les failles

et possibilités de ces technologies, telles le piratage

informatique ou les demandes de rançon par maliciel.

L’autre, au sens large, étend la définition à toutes les

infractions qui utilisent les nouvelles technologies

comme moyen de communication ou de stockage.

DÉBAT – LES POLICES SUISSES FACE À LA CYBERCRIMINALITÉ

Débat

Les polices suisses face à la cybercriminalité

« Internet est un facilitateur pour commettre des délits qui existaient bien avant l’apparition du web. »

Daniel Nussbaumer * Hans Rudolf Flury ** Romain Roubaty ***

* Chef Cybercrime Police cantonale de Zurich

** Chef de la Police judiciaire fédérale

*** Responsable du Centre d’Investigation Numérique et de Cryptologie, HEG

Arc (HES-SO// Haute école de Suisse

Occidentale) Une brève présentation des personnes interviewées

et des institutions qu’elles représentent figure à la fin du débat.

17format magazine no 6


Internet est un facilitateur pour commettre des délits

qui existaient bien avant l’apparition du web. Les

escroqueries consistant à manipuler une personne

afin de lui extorquer de l’argent ou des données

personnelles, telles que les arnaques aux petites

annonces, en sont un exemple.

Romain Roubaty : Je peux volontiers vous donner la

définition de notre institut, l’ILCE. La cybercriminalité

peut se définir comme un ensemble d’infractions

ayant pour objet un système informatique (exemple :

la soustraction de données (art. 143 CPS), l’accès

indu à un système informatique (art. 143bis CPS),

la détérioration de données (art. 144bis CPS)) ou

impliquant l’utilisation d’un système informatique

comme vecteur de commission (exemple :

l’escroquerie sur internet, le cyberharcèlement, la

cyberpornographie, etc.).

magazine : Quelles sont selon vous les

principales menaces liées à la cybercriminalité

auxquelles la police suisse sera confrontée au cours

des prochaines années ?

Romain Roubaty : Vous répondre par une liste de

méfaits existants actuellement serait mésestimer

l’adversaire. Le propre de ce milieu, c’est sa vitesse

d’évolution, sa faculté d’adaptation aux nouveautés,

son ingéniosité à trouver les failles technologiques,

sa capacité à inventer de nouveaux stratagèmes

pour arnaquer les utilisateurs un soupçon crédules.

Pour illustrer mon propos, j’aimerais relever la

problématique qu’engendrent les ransomwares.

C’est l’évolution de l’attaque « la bourse ou la vie »

d’antan. Les montants demandés sont relativement

bas, de façon à persuader « la cible » que c’est

en payant qu’elle dépensera le moins d’argent

(par rapport au fait de payer des spécialistes

qui essaieraient de décrypter les documents,

de plus, avec une très petite chance de succès).

J’entends même qu’un certain nombre de policiers

recommandent de payer, ne sachant d’ailleurs pas

vraiment que proposer de mieux.

Daniel Nussbaumer : Nous nous trouvons au

centre d’une révolution digitale caractérisée

par le développement et l’amélioration très

rapide de nouvelles technologies. Nous nous

déplacerons bientôt dans des voitures autonomes

et ne devrons plus nous préoccuper d’acheter du

lait, car notre frigo s’en chargera lui-même. Ces

évolutions technologiques sont regroupées sous la

dénomination « Internet des objets ». Elles exerceront

une influence cruciale sur notre quotidien. Des

délinquants ingénieux trouveront donc des moyens

pour détourner ces

technologies à des

fins délictueuses. Au

cours des prochaines

années, le plus grand

défi des autorités de

poursuite pénale sera

donc d’être capable de

suivre les évolutions

technologiques afin de pouvoir, d’une part,

protéger les infrastructures de manière efficace,

et, d’autre part, prévenir des infractions, c’est-

à-dire empêcher leur survenance. Alors que la

protection des infrastructures critiques telles que

les centrales nucléaires ou les banques est une

prérogative de la Confédération, les corps de police

cantonaux doivent, dans le cadre de leurs devoirs

de prévention, sauvegarder d’autres infrastructures

critiques, telles que des bâtiments publics de type

écoles ou administrations communales ou encore les

institutions privées telles les PME ou les habitations

privées. La mise en œuvre de ces mesures de

protection ne requiert bien évidemment pas que

l’engagement des corps de police, mais aussi le

concours des potentiels lésés eux-mêmes.

Hans Rudolf Flury : La professionnalisation des

criminels sur le net est une vraie tendance. Par le

passé, les arnaques sur internet étaient grossières

et mal imitées. Aujourd’hui, elles sont de plus en

plus sophistiquées. Les faux courriels envoyés

par les escrocs sont de meilleure qualité, avec un

vocabulaire soigné qui imite le style d’écriture du

prétendu directeur de l’entreprise. Le cybercrime est

plus organisé. Il suffit de quelques personnes pour

former une équipe. Issues parfois de pays différents,

elles se répartissent les tâches. L’une s’occupe de

créer de fausses pages et se charge d’hameçonner les

internautes. L’autre organise le blanchiment de l’argent

reçu des victimes. Si l’escroquerie nécessite d’autres

services, ils seront achetés auprès de personnes tierces

qui les offrent sur le darknet. L’essor du darknet, tout

« La mise en œuvre de ces mesures de protection ne requiert bien évidemment pas que l’engagement des corps de police, mais aussi le concours des potentiels lésés eux-mêmes. »


comme le paiement par monnaies virtuelles sont

aussi des tendances qui exigent des connaissances

d’enquêteur très spécifiques. Enfin, la technologie suit

une évolution constante dont la police doit pouvoir

suivre le rythme soutenu. À titre d’exemple, au vu

de la quantité plus importante d’appareils connectés

au réseau internet (Internet des objets), les attaques

DDoS deviendront plus fréquentes et disposeront

d’une surface d’attaque plus conséquente.

Comprendre les phases et le mécanisme d’une telle

attaque est donc primordial pour les investigations. La

Conférence des commandants des polices cantonales

de Suisse (CCPCS) et fedpol élaborent un dispositif

national relatif à la cybercriminalité et à la forensique

informatique, qui est sensé règler entièrement les

questions touchant à l’organisation et à l’infrastructure

de la poursuite pénale de la cybercriminalité en

Suisse. Cette analyse globale portera notamment

sur le niveau de spécialisation nécessaire pour

les investigations et sur les besoins en matière de

formation qui en découlent.

magazine : On évoque souvent la menace

de la cybercriminalité pour les particuliers ou les

entreprises – qu’en est-il de la vulnérabilité des

polices elles-mêmes ?

Daniel Nussbaumer : Il est évident que les services

de police peuvent eux aussi devenir la cible de

cybercriminels. Ceci peut prendre la forme d’une

attaque par déni de service ou – pire encore –

d’une intrusion dans un serveur qui sera ensuite

infecté par un maliciel dans le but de télécharger,

puis de dérober des données confidentielles. Les

corps de police se doivent donc de protéger leurs

infrastructures informatiques comme le font les

entreprises privées. Les

corps de police doivent

par ailleurs développer

des scénarios de

remplacement afin

de pouvoir continuer

à assurer les opérations de police et de sauvetage

en cas de dysfonctionnement des infrastructures

critiques, telles que les systèmes de communications.

Romain Roubaty : Les grandes entreprises et les

gouvernements sont évidemment bien mieux

équipés que les petites PME ou le grand public pour

faire face à ces phénomènes. Je pense à la qualité

de l’infrastructure, aux backups. Néanmoins, les

attaques de type déni de service, prise de contrôle

d’éléments liés à l’Internet des objets (par exemple,

prise de contrôle d’un véhicule à distance) font

réfléchir les polices sur les problèmes du futur.

Hans Rudolf Flury : À fedpol, nous sommes très

sensibles aux questions de sécurité informatique et

nos dispositifs de sécurité sont renforcés. Parce que

nous sommes une police, nous sommes justement

très conscients de ne pas être à l’abri d’une

cyberattaque ciblée. Les mesures de sécurité prises

pour protéger nos infrastructures sont essentielles.

D’un autre côté, nous sommes aussi régulièrement

victimes d’usurpation d’identité : fedpol est utilisé

pour le phishing et pour arnaquer des gens en notre

nom. Le travail de sensibilisation et de prévention

que nous réalisons au moyen de nos alertes est donc

très important.

magazine : De quels moyens (ressources

financières, ressources humaines, ressources matériel,

etc.) disposez-vous / votre institution pour lutter contre

la cybercriminalité ?

Romain Roubaty : Si vous parlez de financement

public, la réponse est : absolument rien. Tous

les projets, cours, mandats tant du CINC que de

l’ILCE sont autoporteurs. Nous devons donc pour

chaque cours, chaque projet, trouver les ressources

pour pouvoir le réaliser. Au niveau matériel, le

CINC possède deux grosses machines d’analyse,

du matériel de copie pour la préservation de la

preuve, une valise d’analyse de matériel nomade, et

il dispose de plusieurs serveurs de données et de

nombreux logiciels spécialisés.

Daniel Nussbaumer : Pour combattre la

cybercriminalité, le canton de Zurich s’est, quant à

lui, doté d’un centre de compétences qui regroupe

aujourd’hui seize personnes dont deux procureurs,

une procureure adjointe, deux secrétaires

administratives, deux policiers de la Police

municipale de Zurich ainsi que ma division qui

compte neuf policiers cantonaux. Ces collaboratrices

et collaborateurs sont principalement chargés de

« Parce que nous sommes une police, nous sommes justement très

conscients de ne pas être à l’abri d’une cyberattaque ciblée. »



cyberinfractions généralement internationales et

d’une grande complexité. Les cas de cybercriminalité

moins complexes, tels que des infractions d’ordre

sexuel ou en lien avec les stupéfiants, sont traités par

des enquêteurs spécialisés de la Police cantonale de

Zurich.

Hans Rudolf Flury : Internet et donc la

cybercriminalité dépassent les frontières. La lutte

contre la cybercriminalité n’est efficace qu’avec

une collaboration entre les partenaires nationaux et

internationaux. Les ressources se situent tout d’abord

dans les polices cantonales. Au niveau fédéral,

fedpol offre des ressources plus spécialisées. La

coopération internationale avec Europol et Interpol

permet non seulement l’échange d’information,

mais aussi de connaissances. Ce sont ces échanges

intenses entre les partenaires et leurs ressources qui

offrent un dispositif effectif pour combattre ensemble

la cybercriminalité. Grâce à un regroupement

des unités spécialisées en IT et cybercriminalité

dans le futur « centre de compétence forensique

informatique et cybercriminalité » de fedpol, les

ressources pourront être engagées de manière

plus flexible et plus rapide. La concentration des

compétences spécialisées et la simplification de la

structure permetteront d’optimiser les processus.

magazine : Quels moyens supplémentaires

vous faudrait-il idéalement pour optimiser la lutte

contre la cybercriminalité ?

Romain Roubaty : Lorsque nous sommes habitués

à faire avec ce dont nous disposons, une telle

question surprend. Je pourrais vous dire : plus de

financement, plus de personnes, plus de temps pour

la recherche. Soyons pragmatiques : en Suisse, il

faudrait en premier lieu un meilleur partage entre les

acteurs et un certain regroupement des forces. Cela

me semble absolument nécessaire.

Daniel Nussbaumer : En termes de ressources

personnelles ou d’infrastructures, un petit pays

comme la Suisse ne pourra jamais régater avec les

grands États. Par contre, il est évident que les petits

corps ou les petits pays doivent aussi, en fonction de

leurs possibilités, participer de manière adéquate à

la lutte contre la cybercriminalité au niveau mondial.

L’objectif premier des corps de police suisses devrait

être d’améliorer la mise en réseau au niveau national

et international, de réduire les barrières légales et de

mieux coordonner les procédures pénales au niveau

national comme international afin de pouvoir assurer

un soutien mutuel en cas d’incident et une utilisation

coordonnée et ciblée des ressources disponibles.

Les phénomènes (inter-)nationaux ne peuvent être

combattus de manière efficace que dans un cadre

(inter-)national de coopération.

Hans Rudolf Flury : Les moyens et les efforts

actuels qui sont entrepris au niveau national entre

Confédération et cantons sont essentiels. Il faut

définir les rôles de chacun dans la poursuite pénale

de la cybercriminalité pour pouvoir concentrer les

ressources de manière

efficace. Enfin, il est

aussi important de se

pencher sur le niveau de

spécialisation nécessaire

pour les enquêtes et

sur les besoins en matière de formation qui en

découlent. Ces points sont des éléments-clé du

dispositif national relatif à la cybercriminalité et à

la forensique informatique élaboré par la CCPCS et

fedpol.

magazine : Que préconisez-vous en ma-

tière de formation pour les policiers généralistes /

pour les spécialistes ?

Hans Rudolf Flury : Aujourd’hui, pas une enquête,

même la plus simple, n’échappe au cybermonde.

Tous les criminels ont un téléphone portable

ou un ordinateur, les voitures sont équipées de

GPS – la cybertechnologie est omniprésente. La

lutte contre la criminalité en général, et contre la

cybercriminalité en particulier, doit donc relever

un double défi : d’un côté, le policier généraliste

doit avoir les connaissances de base nécessaires

pour affronter les problématiques courantes de

cybercriminalité. De l’autre, il faut des spécialistes

extrêmement bien formés, capables de faire face

aux défis technologiques pointus. Cela exige une

double approche : d’une part, un enseignement

systématique dans la formation de base, et de l’autre,

des formations performantes telles qu’il en existe

« [E]n Suisse, il faudrait en premier lieu un meilleur partage entre les acteurs et un certain regroupement des forces. »



déjà ou sont planifiées au sein de l’ISP, des hautes

écoles et universités. Enfin, des offres de formation

continue pour former les policiers expérimentés à la

cybercriminalité.

Daniel Nussbaumer : L’importance de la cyber-

criminalité croît, comme en atteste l’augmentation du

nombre de cas recensés. Les phénomènes liés à la

cybercriminalité et les méthodes de travail y relatives

sont nombreux et très dynamiques. C’est pourquoi

la lutte contre la cybercriminalité ne doit pas rester

uniquement une affaire de spécialistes. Elle concerne

de plus en plus la base des organisations policières.

Selon la difficulté des cas, les efforts nécessaires à leur

résolution et leur traitement ne devraient pas forcément

être du ressort des spécialistes, mais de l’ensemble de

la police judiciaire ou de la gendarmerie. Il est par

conséquent important de transférer continuellement

des compétences spécialisées vers les généralistes. Il

est essentiel de tenir compte du développement et de

l’amélioration très rapides des nouvelles technologies.

Des phénomènes qui sont aujourd’hui traités par des

policiers spécialistes seront

gérés dans dix ans par des

généralistes. Les concepts

de formation en matière de

cybercriminalité doivent

donc être conçus de manière

flexible. Si la formation de cyberenquêteurs issus de

la gendarmerie ou de la police judiciaire peut être

assurée par des e-learnings ou des cours proposés

par l’Institut Suisse de Police, les cyberenquêteurs

spécialisés devront eux être formés par des hautes

écoles.

Romain Roubaty : Nous préconisons une formation

en quatre paliers : le niveau de base, ou NT2P

(Nouvelles Technologies et Préservation des Preuves)

pour tous les policiers. C’est un cours de deux jours

permettant tout d’abord aux policiers d’appréhender

le vocabulaire et les concepts de base leur permettant

d’échanger avec les spécialistes. Ils acquièrent ensuite

les bons réflexes en matière de préservation de la

preuve numérique, tant du point de vue technique

que juridique. Enfin, c’est l’occasion d’apprendre à

trouver des informations publiques sur le net et de

pouvoir répondre correctement à des cas concrets

liés à l’informatique, cas que les policiers peuvent

rencontrer dans l’exercice de leur métier.

Cette formation peut être complétée par deux

niveaux intermédiaires, l’un tourné vers l’analyse

des smartphones, l’autre vers l’analyse des résultats

extraits par les spécialistes IT des corps de police.

Enfin, pour les spécialistes, il existe toute une série de

CAS en investigation numérique, allant de l’analyse

des systèmes de fichiers standards jusqu’à l’analyse

de machines utilisées pour réaliser des actions de

criminalité informatique, en passant par l’analyse de

systèmes vivants et de réseaux.

Nous nous sommes déjà mis au travail, en collaborant

en particulier avec les commandants RBT. Le premier

niveau a déjà été réalisé à plusieurs reprises. Pour les

CAS en investigation numérique, la cinquième volée

d’étudiants a terminé ses études au printemps passé.

magazine : Où situez-vous la frontière

entre cybercriminalité et cyberguerre ? Quel serait le

rôle des polices suisses en cas de cyberguerre ?

Romain Roubaty : Vandalisme, désinformation,

espionnage, sabotage sont les quatre éléments

principaux d’attaque, allant du moins au plus

dangereux. Selon qu’ils sont réalisés par des

individus ou des gouvernements, on parlera plutôt

de cybercriminalité ou de cyberguerre. Selon la cible

aussi, si elle consiste à attaquer le réseau d’une PME

ou à pirater une infrastructure sensible, comme le rail.

Aujourd’hui, ces différentes attaques sont menées par

des groupuscules ou par de grandes organisations,

techniques ou politiques, et la frontière entre criminalité

et guerre devient floue. Vous parlez au conditionnel

et ce n’est pas, de mon avis, le bon temps. La réalité,

c’est le présent. Les tentatives d’intrusion sont légions.

Certains sabotages mis en place par des virus (Stuxnet,

DuQu, Sauron…) montrent que la cyberguerre est une

réalité. La géographie de la toile fait qu’il n’est pas facile

de déterminer si une action est interne ou externe, si

elle vient d’un unique hacker très doué, d’un groupe

mafieux, ou d’un service offensif d’un État. Est-ce le

rôle de l’armée, celui de la police ? Il m’est d’avis qu’il

faut consacrer toute l’énergie à lutter et à se protéger

plutôt qu’à définir et cantonner les rôles.

Daniel Nussbaumer : Les (cyber)attaques peuvent

être d’origine délictueuse ou être liées à un conflit

armé. En ce sens, le monde virtuel ne se distingue

pas fondamentalement du monde réel. Au début

« [I]l faut consacrer toute l’ énergie à lutter et à se

protéger plutôt qu’ à définir et cantonner les rôles. »



d’une procédure (pénale), cette distinction n’est pas

toujours évidente. La différence entre cyberguerre et

cybercriminalité a trait au mobile. Les cyberinfractions

sont commises pour des raisons financières ou

personnelles, alors qu’une cyberguerre a pour but

de paralyser des infrastructures vitales, d’affaiblir un

pays ou de récolter des informations stratégiques.

Cette frontière est particulièrement ténue lorsqu’il

s’agit d’espionnage économique ou industriel. En

matière de cyberguerre, le rôle de la police serait

étroitement lié au type de cas rencontré.

Hans Rudolf Flury : La cyberguerre caractérise une

action entreprise par des acteurs étatiques présents


PortraitsRomain Roubaty est au bénéfice d’une formation de

mathématicien. Il est à la fois responsable du CINC

(Centre d’Investigation Numérique et de Cryptologie)

de la Haute École Arc et des CAS en Investigation

Numérique ainsi que de la partie informatique du

MAS en lutte contre la criminalité économique.

Par leurs cours, leurs conférences, leurs

mandats, le CINC et l’ILCE (Institut de Lutte contre

la Criminalité Économique) sont actifs dans la lutte

contre le cybercrime.

Daniel Nussbaumer a complété ses études de droit

à l’Université de Zurich par une thèse de doctorat et

un brevet d’avocat. Il a travaillé comme procureur

au Ministère public de Zurich avant de rejoindre

la Police cantonale de Zurich en 2013 au sein de

laquelle il dirigera pendant trois ans la division

d’enquête en matière de criminalité économique. Il

est aujourd’hui à la tête de la division cybercrime.

La Police cantonale de Zurich assume une

mission fondamentale en matière de prévention et

de répression de la cybercriminalité sur son territoire

cantonal. La division cybercrime s’engage à cet effet,

aux côtés de la Police municipale et du Ministère

public de Zurich, au sein du Centre de compétence

cybercrime zurichois.

Hans Rudolf Flury est chef de la Police judiciaire

fédérale à l’Office fédéral de la police (fedpol). Le

domaine cybercriminalité est sous sa responsabilité.

Active dans la répression de la cybercriminalité, la

police fédérale coordonne les enquêtes concernant

plusieurs cantons ou ayant un lien avec l’étranger.

Elle établit une vue d’ensemble des cas au niveau

suisse. fedpol, dans sa fonction de police judiciaire

fédérale, enquête pour le Ministère public de la

Confédération (MPC) sur les cas de cybercriminalité

au niveau fédéral. Les citoyens victimes de cybercrime

peuvent annoncer à fedpol les cas ou soupçons de

cybercriminalité au moyen d’un formulaire en ligne.

Ces annonces permettent d’identifier les dangers

actuels et pertinents et de publier des alertes

préventives. En matière de formation, les spécialistes de

fedpol soutiennent le cours ISP Coopération policière

internationale. Un cours de base sur les phénomènes

de la cybercriminalité est au programme.

dans les cyberspace dans le but de prendre un

avantage militaire. La guerre ne se jouerait plus

uniquement par voie terrestre ou aérienne, mais aussi

à travers internet. En cas d’attaque sur les systèmes,

par exemple, l’armée est compétente pour lancer

une cyberdéfense. La Centrale d’enregistrement et

d’analyse pour la sûreté de l’information (MELANI) a

pour tâche de protéger les infrastructures vitales de

notre pays (p. ex. l’approvisionnement en énergie, les

activités bancaires, les télécommunications, etc.), en

particulier quand ces dernières dépendent du bon

fonctionnement des infrastructures d’information et

de communication. Les polices restent compétentes

en ce qui concerne la cybercriminalité.

Documents

Débat Les polices suisses face à la cybercriminalité · Pour illustrer mon propos, j’aimerais relever la problématique qu’engendrent les . ransomwares C’est l’évolution