Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)

vers Virus Info


[accueil]  [menu]  [suivez-nous !]  [chercher]


2008-01-22 00:00

Téléphone mobile, les méthodes de la police scientifique


Si Sherlock Holmes revenait parmi nous, il devrait certainement troquer sa loupe contre un micro-ordinateur : plutôt que d'étudier minutieusement des enveloppes ayant voyagé par la poste, il aurait à expertiser des cartes SIM et des téléphones portables ! Pour la police scientifique, il y a là une mine inépuisable d'indices et même de preuves, où le citoyen de bonne foi verra plutôt de possibles atteintes à sa vie privée.

Le quotidien des expertises à vocation judiciaire n'a pas grand-chose à voir avec ce que montrent certaines séries télévisées : un policier qui découvrirait un téléphone portable sur une « scène de crime » et le mettrait aussitôt en marche pour rappeler le dernier correspondant enregistré dans le « journal » risquerait fort de commettre une faute impardonnable !
Un mobile GSM et sa carte SIM sont souvent susceptibles de « parler », c'est vrai, mais les indices qu'ils contiennent sont éminemment fragiles. En tirer des preuves capables de convaincre un tribunal nécessite une méthodologie très rigoureuse, que ne soupçonne généralement pas le grand public. Bien conseillé par des spécialistes, ou lui-même suffisamment compétent en la matière, un bon avocat ne ferait qu'une bouchée d'accusations basées sur des données informatiques pouvant s'être trouvées altérées entre la saisie de la pièce à conviction et son expertise.

Un simple exemple : éteindre un GSM avant de le mettre sous scellés risque fort de modifier des informations permettant de déterminer l'endroit où il a été utilisé pour la dernière fois, qui n'est pas nécessairement celui où on l'a trouvé. En effet, la procédure d'arrêt « propre » prévoit de prendre congé du réseau en mettant à jour les données de localisation que contient la carte SIM ! Faut-il alors le mettre brutalement hors tension en retirant sa batterie ? C'était effectivement une démarche volontiers préconisée il y a quelque temps, mais on s'est aperçu depuis que cela remettait souvent à zéro l'heure et la date internes : encore un indice envolé si elles étaient erronées ou volontairement trafiquées ! De plus, tout arrêt peut réactiver un code PIN que l'on ne connaît probablement pas, tandis que dans le cas d'un mobile étranger, le PUK ne pourra peut-être jamais être obtenu (sauf à mettre la main dessus pendant la perquisition).

Pas question non plus de laisser, sans précautions, le mobile sous tension pendant son transport au labo, car il risquerait de se relocaliser en chemin, écrasant là encore des données significatives. Du coup, certains manuels du parfait petit enquêteur prescrivent de le convoyer dans un emballage blindé, empêchant toute communication avec les réseaux, le labo devant lui-même être installé dans une « cage de Faraday » parfaitement efficace, ou être équipé d'un brouilleur. Encore faut-il que la batterie tienne suffisamment longtemps, ou que la mallette de transport soit équipée d'un chargeur universel...

Sur la table d'autopsie
Au laboratoire, pas question de retirer d'emblée la carte SIM pour l'explorer au petit bonheur : cela risquerait d'effacer la liste des derniers appels émis ou reçus, qui réside souvent dans le téléphone et non dans la carte. L'ordre des investigations revêt donc une importance capitale, et devra être scrupuleusement décrit dans le rapport d'expertise, voire convenu préalablement avec l'officier en charge de l'enquête, selon ses priorités.

D'une façon générale, on s'efforcera de recueillir le plus tôt possible une image logicielle certifiée de tout ce que contiennent le téléphone et sa carte SIM, avant de les ranger en lieu sûr. Le principe fondamental est de ne rien commettre d'irréversible, autrement dit de garder la possibilité de faire recommencer l'expertise par un spécialiste différent (qui devrait aboutir aux mêmes conclusions...) tout en apportant la preuve que l'intégrité de toutes les données a été préservée de bout en bout. En pratique, cela suppose de n'utiliser que des outils effectuant uniquement des opérations de lecture, et authentifiant les données lues au moyen de signatures cryptographiques vérifiables ultérieurement. Cela disqualifie, en principe, la plupart des utilitaires courants de gestion de cartes SIM ou de téléphones, tous capables de modifier les données lues (puisque c'est leur vocation même !). Et pourtant, bien des expertises judiciaires ont été pratiquées, jusque vers 2003 pour certains pays, avec des logiciels grand public ou même des outils de hacker !

La pierre que nous apportons très modestement à cet édifice consiste en un petit logiciel pour lecteurs PC/SC : snooper.exe, qui recherche de façon systématique tous les fichiers (même non normalisés) qu'héberge une carte SIM. L'examen de son code source ZCBasic démontre clairement qu'il ne peut causer aucune altération du contenu de la carte, puisqu'il ne met en oeuvre que la commande SELECT. Un principe fondamental, qui mérite d'être parfaitement assimilé !

Dès 2004, une université suisse nous invitait à essayer le logiciel qu'elle développait spécifiquement pour un usage criminalistique, en s'inspirant librement du fameux Cards4Labs du Netherlands Forensic Institute. Aujourd'hui, les logiciels se réclamant à tort ou à raison du label « Forensic » fleurissent un peu partout, et il faut de moins en moins souvent (doit-on le déplorer ou s'en féliciter ?) « montrer patte blanche » pour se les procurer... Certains, comme USIMdetective commencent par faire un « vidage » (garanti sans la moindre altération) de la seule carte SIM ou USIM puis analysent minutieusement cette image. D'autres, à l'instar d'Oxygen Forensic passent au peigne fin tant la carte que le mobile grâce à une connexion appropriée, récupérant au passage photos, e-mails, agendas, mémos vocaux et autres données potentiellement compromettantes. La première approche est bien évidemment indépendante de la marque et du modèle de mobile, tandis la seconde (qu'il n'est pas interdit d'utiliser en concurrence) est plus exhaustive, surtout en présence d'un mobile perfectionné, mais aussi plus délicate.

C'est pourquoi la précieuse carte SIM saisie avec le téléphone sera de préférence inspectée à part puis remplacée par une carte de test, programmée à partir de son image, mais interdisant l'inscription sur le réseau. L'équivalent, en somme, de cette BasicCard que nous avons développée pour nos propres investigations (voir notre ouvrage Téléphones GSM et PC aux éditions Dunod), notamment afin d'étudier les dysfonctionnements du 112 en collaboration avec une ONG proche de la Commission Européenne. Dans tous les cas, la qualité des rapports produits par le logiciel (mais sous la responsabilité de l'expert) doit être inattaquable, notamment en matière de traçabilité. Une bonne pratique consiste à y consigner toutes les commandes (présentation de code PIN ou PUK, sélection de fichier, lecture, etc.) envoyées à la carte, afin de pouvoir justifier, auprès des juges et de la partie adverse, qu'elles ont été émises à bon escient et sans conséquences dommageables pour la « chaîne de la preuve ».

Une machine à remonter le temps
L'approche mettant à contribution un lecteur de cartes à puce (généralement PC/SC) indépendant du téléphone peut être considérée comme l'une des plus sûres et des plus puissantes, notament en matière de récupération de SMS. Une grossière maladresse consisterait, en effet, à consulter les SMS par l'intermédiaire du téléphone lui-même, carrément sur la scène de crime. Cela pourrait suffire pour faire classer comme « lu » un message qui ne l'avait pas encore été, modifiant par là même le contenu de la carte SIM... De toute façon, ressusciter des SMS effacés ne peut guère se faire depuis le téléphone, mais plutôt en sauvegardant le contenu de la carte SIM, auquel on fera subir un traitement différé.

Semblable tour de prestidigitation est parfaitement à la portée du détective amateur : dans le fichier 7F10:6F3C de la carte SIM, le texte de chaque SMS est accompagné de données de service où un octet d'état précise son statut. Lire entièrement un message depuis le menu du téléphone le fait classer comme « lu », tandis que le supprimer ne l'efface pas sur-le-champ : l'espace mémoire correspondant est simplement classé comme « libre », mais tant qu'un nouveau SMS ne viendra pas écraser l'ancien (et cela peut arriver à tout moment si on ne prend pas de précautions...), ce dernier pourra être rendu de nouveau lisible en remettant à 01h son tout premier octet, si tant est qu'il soit toujours à 00h. Bien évidemment, ces interventions qui altèrent le contenu de la carte ne doivent se faire que sur une image de celui-ci, ou alors dans une carte de test où on aura fidèlement recopié le contenu de l'original. De même, remonter le temps à la recherche d'appels émis ou reçus, bien souvent horodatés, doit se faire avec circonspection : rappeler précipitamment un numéro peut en actualiser l'heure et la date, au risque de faire disparaître un indice capital.

On le voit sur ces quelques études de cas, expertiser un GSM ou une carte SIM à des fins policières est un travail de professionnel spécifiquement formé, habilité, et totalement impartial : même s'il est rétribué par l'une ou l'autre des parties en présence, l'expert judiciaire est au service de la vérité, un point c'est tout. Rappelons au passage que si n'importe qui peut s'auto-proclamer « expert » au titre d'une spécialité dans laquelle il estime être passé maître, l'appellation « expert judiciaire » est strictement réglementée. Même si certaines expertises (ou contre-expertises) peuvent être confiées à des prestataires privés, cela suppose de s'entourer des meilleures garanties : caractère non destructif et reproductible des opérations effectuées, traçabilité sans faille de celles-ci, application de méthodes clairement définies voire normalisées, éprouvées et admises par la communauté criminologique, utilisation d'équipements et de logiciels parfaitement validés et documentés (éventuellement open source pour plus de transparence).

Mais hors de ce contexte judiciaire, n'importe qui peut aisément jouer au détective privé sur ses propres cartes SIM et mobiles GSM, quitte à se procurer (peut-être un peu trop facilement !) des versions d'évaluation de certains logiciels éminemment professionnels. Le risque, c'est que les criminels accèdent eux aussi à un niveau de compétence suffisant pour brouiller les pistes, si ce n'est pour créer de faux indices ! Modifier adroitement le contenu d'une carte SIM, contrefaire des SMS émis ou reçus, se faire localiser ailleurs que là où l'on se trouve, tout cela est techniquement faisable, et souvent même facile. C'est là qu'intervient l'indispensable collaboration entre la police et les opérateurs de téléphonie mobile, d'habiles recoupements pouvant permettre de déjouer les ruses par trop simplistes.

Localisation ou géolocalisation ?
Le fonctionnement même des réseaux GSM suppose de suivre à la trace les mobiles lors de leurs déplacements. La localisation la plus grossière consiste à savoir dans quelle zone locale (regroupant couramment des centaines de relais !) le mobile s'est signalé pour la dernière fois. Le code correspondant (LAC ou Local Area Code) est mémorisé dans le fichier LOCI (7F20:6F7E) de la carte SIM, et actualisé lors de chaque mise hors tension du téléphone ou en cas de changement de zone locale. Il faut par contre que le réseau demande au mobile de se signaler (par exemple avant de lui acheminer une communication) pour déterminer par quel(s) relais il est couvert. Il ne le sait donc pas en permanence, mais peut le savoir à tout moment !

Cette localisation plus fine se fait en recherchant le mobile sur l'ensemble des relais de la zone locale : tous vont émettre un paging, qui restera évidemment sans réponse là où le mobile ne se trouve pas. Parfois, il restera totalement sans réponse, si le mobile a perdu brutalement tout contact avec le réseau (cela se remarque d'ailleurs quand on tente de l'appeler, fournissant parfois un précieux indice !). Une fois le mobile repéré, c'est le réseau qui va choisir le relais par l'intermédiaire duquel il va communiquer avec lui, quitte à en changer une ou plusieurs fois en cours de communication. En cas d'encombrement, il est parfaitement possible d'être servi par un relais situé jusqu'à 35 km de distance, même si l'on se trouve à quelques centaines de mètres d'un autre, qui est peut-être saturé. Il est assez facile de provoquer ce genre de situation en se plaçant volontairement dans une zone d'ombre d'un relais proche, mais en vue directe d'un relais bien plus lointain : il peut suffire de changer de pièce dans une même habitation (exemple vécu !).

Pour l'expert analysant la carte SIM, il est parfois possible de lever certains doutes en consultant le fichier BCCH (7F20:6F74), où est tenue à jour une liste (codée) des canaux « balise » des relais captés localement, que l'on s'en soit servi ou non pour communiquer. Moyennant la collaboration de l'opérateur ou un peu de « net monitoring » sur le terrain, cela peut améliorer sensiblement la précision des conclusions. De même, trouver dans la mémoire du téléphone (et non plus dans la carte SIM) le code CI (Cell Identifier) du dernier relais utilisé peut sérieusement affiner la localisation.
Ce que l'on appelle communément « géolocalisation » n'est plus, cette fois, un mécanisme indispensable au fonctionnement du réseau, mais plutôt un service supplémentaire offert (ou vendu) à ses utilisateurs. Souvent exploité pour repérer un restaurant ou une banque dans le voisinage, il peut aussi servir à des fins publicitaires (envoi de SMS « ciblés »), d'assistance (appels d'urgence), ou... policières. En attendant que tous les téléphones portables disposent un jour d'un récepteur GPS incorporé, la précision (toute relative) du repérage repose le plus souvent sur un principe de triangulation par rapport à plusieurs relais (à commencer par ceux figurant dans le fichier BCCH).
En effet, une simple mesure de timing advance permet de déterminer, à 550 m près, à quelle distance du relais se situe le mobile, mais on peut aussi se baser (plus approximativement) sur le niveau de réception du signal.

Suivant le nombre de relais intervenant dans le processus, et selon que l'on tient compte ou non de leur « sectorisation » (couverture de leurs différentes antennes), la précision effective peut varier dans une large mesure. Un « sport » particulièrement amusant consiste ainsi à trouver des lieux géographiques où l'on est systématiquement localisé avec une erreur se chiffrant en kilomètres, si ce n'est en dizaines de kilomètres. Oserons-nous insinuer que cela n'a rien d'exceptionnel ? Pire, appeler le 112 avec une carte de test imitant les identifiants d'une carte SIM déjà inscrite ailleurs sur le réseau pourrait laisser une trace très officielle (horodatée et peut-être même géolocalisée) signalant la présence d'un mobile là où il ne se trouve pas, les appels d'urgence étant dispensés de l'habituelle authentification cryptographique. Certes, falsifier ne serait-ce qu'un IMEI est d'ores et déjà considéré comme un délit, mais dans un contexte de criminalité organisée, en est-on à cela près ?

Les écoutes
La mise en oeuvre d'écoutes « légales » (autrement dit policières ou judiciaires) fait partie intégrante des spécifications GSM, et des obligations imposées aux opérateurs lors de l'attribution de leurs licences. Parfois même, c'est à eux qu'incombe la fourniture (gratuite ?) du matériel nécessaire aux autorités ! Il doit être bien clair que ce n'est pas en branchant deux pinces crocodile sur les bornes d'un répartiteur que l'on peut intercepter les communications des mobiles, même si cela serait indirectement possible lorsqu'un GSM est en relation fréquente avec une même ligne fixe. Un réseau GSM n'est rien d'autre qu'un énorme système informatique, dans lequel les équipements radio ne sont pas forcément ce qu'il y a de plus compliqué. Les communications peuvent y être cryptées, même si en pratique les exceptions à la règle ne sont pas si rares. L'interception directe, en local, du trafic radio est donc davantage une activité de pirate que d'enquêteur, compliquée de toute façon par les incessants changements de canaux ou même de relais, et par le principe même du multiplexage temporel (TDMA) de plusieurs communications voix ou données sur chaque canal.

Les écoutes officielles se pratiquent donc plutôt en étroite coopération avec les opérateurs, ceux-ci se chargeant de leur mise en oeuvre technique et livrant les communications « clef en main » à l'autorité requérante. Cela peut se faire en différé (remise de fichiers audio ou data) ou en temps réel, les conversations ou données interceptées étant alors réacheminées vers un terminal fixe ou mobile, pouvant être situé en tout endroit desservi par un réseau de télécommunications. Il a ainsi été rapporté des cas de policiers d'un certain pays pratiquant, de chez eux, des écoutes sur le territoire d'un autre état, pour le compte de collègues moins bien équipés à qui les enregistrements auraient été retransmis, à la bonne franquette, sous la forme de simples fichiers MP3 voyageant en clair par e-mail !

Sans tomber dans cette caricature, observons tout de même que le roaming étant chose courante en matière de GSM, il serait souhaitable de pouvoir assurer la continuité de surveillance de suspects parcourant le monde, et de prendre en considération le cas des petits malins qui, dans leur propre pays, sont clients d'opérateurs étrangers. Basculant fréquemment d'un réseau à l'autre, ils bénéficient en prime de coups de balai automatiques dans le mobile et la carte SIM. Cela complique évidemment les choses, expliquant peut-être les nombreux bâtons qui sont mis dans les roues des adeptes de ces formules, votre serviteur en tête : enterrement pur et simple de la carte prépayée internationale de Swisscom, obstacles aux rechargements par cartes de crédit émises à l'étranger, croisade permanente contre l'anonymat, etc. Et n'oublions pas que même en l'absence d'écoutes, les opérateurs conservent un certain temps des traces détaillées de toutes les communications émises et reçues, ne serait-ce qu'à des fins de facturation et d'analyse de trafic. Autant de renseignements dont les enquêteurs sont particulièrement friands, même si y accéder n'est pas forcément gratuit... pour le contribuable.
Patrick Gueulle

Tous les ouvrages de l'auteur




Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !


[homepage]  [RSS]  [archives]
[contact & legal & cookies]  [since 1997]