tracer les criminels en cyber espace la méthodologie des recherches internet à laide dun exemple...

Tracer les criminels en cyber espace

La méthodologie des recherches Internetà l’aide d’un exemple

Formation Magistrats2006

© FCCU 2004 - 2006

Architecture

ConnexionConnexionphysiquephysique

Accès à Accès à InternetInternet

Utilisation Utilisation de servicesde servicessur Internetsur Internet

InternetInternet

02 / 123 12 12

123.132.213.231

mr.x@mailsrv.com

Fournisseurd’accèsà Internet

Opérateur télécom

Utilisateur final

Fournisseur de service Internet

L’architecture d’Internet : éléments de base

• Adresse Internet : adresse unique par ordinateur (adresse IP = adresse Internet Protocol)• Ex: 214.96.65.121• Adresse statique pour les serveurs• Adresse dynamique pour les utilisateurs (durée de la session)• Adresses internes / externes• Attribution par IANA et disponibles dans des bases de données

• Noms de domaines : adresse facile à retenir just.fgov.be• Domaines “Top level”: *.com, *.net, *.org, *,edu, ... *.be, *,fr, ...• Les Domain-Name-Servers : relation nom de domaine et adresse IP• Les serveurs WHOIS : qui a enrégistré un nom de domaine

• Attention !! • Le pays où est enregistré le nom de domaine n’est pas

nécessairement le pays où se situe l’ordinateur !!

Méthodologie

Méthode d’enquête

• Prouver les faits• Localisation dans le temps et l’espace :

qui est compétent ?Problèmes avec l’aspect transfrontalier.

• Préjudices / prouver les conséquences

• Indiquer les auteurs• Investigation via les éléments techniques

=> Ordinateur : qui l’a utilisé ?• Exclure les personnes non-suspectes• Problèmes : les connexions anonymes

(bibliothèques, cybercafés, abonnement hacké, ordinateur hacké, Internet libre, WIFI)

Méthode d’enquête (suite)

• Démontrer les intentions de l’auteur• Par la fréquence des faits• Par les traces des manipulations effectuées• Par le fait qu’il utilise de fausses identités

• Réunir toutes les preuves matérielles de manière cohérente et les rapporter par PV

• Backups / entreposage du matériel saisi au greffe

Méthode pour la recherche d’un auteur

• A partir d’information disponible :rechercher un élément qui peut directement ou indirectement mener à l’adresse IP de l’auteur au moment des faits• Dans l’entête d’un e-mail / message de groupe de discussion• Dans un message SMS (ex: plus loin)• Dans les données disponibles chez les fournisseurs de services

Internet (ISP)

• Dès que l’on connaît le moment et l’adresse IP• Vérifier si IP statique ou dynamique• Vérifier si abonnement hacké / ordinateur hacké• Demande des données logging chez les IAP

(fournisseurs d’accès Internet)• Eventuellement confirmation chez les opérateurs Télécom

Menaces par mail

Adresse IP & timestampdans l’entête technique

ExempleL’envoi d’un sms par le web

Expéditeur

Fournisseur d’accès Internet

(IAP)

Fournisseur de services de messages SMS sur Internet

GSM appelé

INTERNET

0486 / 134613Adresse IP attribuée

à l’expéditeur

Ligne téléphone / câble

Schéma d’envoi d’un message SMS via Internet et loggings des tracesSchéma d’envoi d’un message SMS via Internet et loggings des traces

Startscherm SMS dienst

Ecran à remplir le message Orange

Ecran message envoyé

Expéditeur

Fournisseur d’accès Internet

(IAP)

Fournisseur de services de messages SMS sur Internet

GSM du fournisseur de services SMS

GSM appelé

INTERNET

0486 134613Adresse IP attribuée

à l’expéditeur

Ligne téléphone / câble

Schéma d’envoi d’un message SMS via Internet et loggings des traces

Réception du texte sur le GSM 0486 134613

03Oct 14:30L’après-cours était très amusant.C’est à refaire. Mr XXX (http://www.pi.be)

0486999998

Phase 1Etape 2

Phase 1Etape 1

WHOIS DATABASE :qui a enregistré le domaine ?

Première phase

• Etape une : identification de l’“expéditeur SMS” :• www.pi.be => Planet Internet SA• 0486 999998 => GSM Planet Internet SA

(éventuellement identification de ce n° par réquisitoire)

• Etape deux : réquisitoire à Planet Internet SA• Donne l’adresse IP de l’utilisateur de votre service et le

moment où il a placé le message qui• a été envoyé le 19 Sep à 10:20• vers le numéro 0486 134613

Expéditeur

Fournisseur d’accès Internet

(IAP)

Fournisseur de services de messages SMS sur Internet

GSM du fournisseur de services SMS

GSM appelé

INTERNET

0486 999998 0486 / 134613Adresse IP attribuée

à l’expéditeur

Logging Logging Planet InternetPlanet Internet

Adresse IP de l’expéditeurAdresse IP de l’expéditeurau moment de créationau moment de créationdu message SMSdu message SMS

n° de GSM de l’appelén° de GSM de l’appeléet moment de l’envoiet moment de l’envoi

Ligne téléphone / câble

Schéma d’envoi d’un message SMS via Internet et loggings des traces

19 Sep 10:200486 134613

195.238.3.11619 Sep 10:18

IP WHOIS DATABASE :qui gère l’adresse IP ?

Phase deux

• Etape une : identification du fournisseur d’accès Internet• Vérifier dans la base de données 195.238.3.116

=> Skynet SA (probablement une adresse dynamique)• Si c’est une société (pas IAP) ou un particulier

=> l’étape deux n’est pas nécessaire

• Etape deux : investiguer chez Skynet SA• Donne l’identification (+ le numéro d’appelant)

de l’abonné Skynet qui• le 19 Sep à 10:18 • était connecté avec l’adresse IP 195.238.3.116

Expéditeur

Fournisseur d’accès Internet

(IAP)

Fournisseur de services de messages SMS sur Internet

GSM du fournisseur de services SMS

GSM appelé

INTERNET

0486 999998 0486 / 134613Adresse IP attribuée

à l’expéditeur

Logging Logging IAPIAP

Adresse IPAdresse IPabonné abonné début sessiondébut sessionfin sessionfin sessionvolume INvolume INvolume OUTvolume OUT

n° tél n° tél appelantappelant

Ligne téléphone / câble

Schéma d’envoi d’un message SMS via Internet et loggings des traces

195.238.3.11619 Sep 10:18

ID abonnéNom abonnéAdresse abonnéN° tél appelant

Troisième phase

• La réponse est bien complète mais ...• Sommes-nous certains que c’est l’ utilisateur véritable ?

(“nom d’abonné + mot de passe” souvent abusé)• Abus facile dans les connexions Internet via téléphone & ADSL

• Nous voulons la certitude (et disculper les innocents)• Si nous avons reçu le numéro de l’appelant

=> examiner la banque de données publique => identification=> si c’est un numéro secret => réquisitoire pour identification

• Si le n° de l’appelant <> n° de l’utilisateur attitré=> identification et confirmation de l’appel : réquisitoire chez l’opérateur télécom ou le fournisseur ADSL (Belgacom)

Expéditeur

Fournisseur d’accès Internet

(IAP)

Fournisseur de services de messages SMS sur Internet

GSM du fournisseur de services SMS

GSM appelé

INTERNET

0486 999998 0486 / 134613Adresse IP attribuée

à l’expéditeur

N° téléphonique de l’expéditeur

Ligne téléphone / câble

Schéma d’envoi d’un message SMS via Internet et loggings des traces

N° tél appelantNom de l’abonnéAdresse de l’abonnéConfirmation de l’appel

Logging Logging opérateur télécom opérateur télécom

Moment définiMoment définiDuréeDuréeN° tél appelantN° tél appelantN° tél appeléN° tél appelé(n° de tel IAP)(n° de tel IAP)

N° tél de l’abonnéN° tél de l’abonné

19 Sep 10:18

Utilité et conclusions

Quelques exemples utilites des recherches Internet

• Connexions faits avec les boîtes webmail • sur le serveur (p.ex. Hotmail)• localisation d’une personne “disparue”

• Traces sur un site web “annonces”• Qui a posté le message suspect ?• Escroqueries

• L’envoi e-mail• Origine d’un mail (menaces, escroqueries)

• Chat• Le serveur de chat => qui utilise un tel nickname ? quelle adresse IP ?• Distribution de pédoporno• Avec qui a chatté la personne disparue ?

Concrètement pour l’enquête

• La combinaison de l’IP et du moment est nécessairepour l’identification (et aussi pour déterminer les faits)

• Les réquisitoires mentionnent de préférence exactement les données souhaitées avec les réquisitoires corrects : (identification 46bis – aperçu connexions : 88 bis CIC)

• Vu la grande quantité et le volume des données :demander de les fournir dans un format fichier sur un support de données ou via mail=> l’analyse des données devient possible

• Rapidité de délivrance des réquisitoires est nécessaire