tracer les criminels en cyber espace la méthodologie des recherches internet à laide dun exemple...
TRANSCRIPT
Tracer les criminels en cyber espace
La méthodologie des recherches Internetà l’aide d’un exemple
Formation Magistrats2006
© FCCU 2004 - 2006
Architecture
ConnexionConnexionphysiquephysique
Accès à Accès à InternetInternet
Utilisation Utilisation de servicesde servicessur Internetsur Internet
InternetInternet
02 / 123 12 12
123.132.213.231
Fournisseurd’accèsà Internet
Opérateur télécom
Utilisateur final
Fournisseur de service Internet
L’architecture d’Internet : éléments de base
• Adresse Internet : adresse unique par ordinateur (adresse IP = adresse Internet Protocol)• Ex: 214.96.65.121• Adresse statique pour les serveurs• Adresse dynamique pour les utilisateurs (durée de la session)• Adresses internes / externes• Attribution par IANA et disponibles dans des bases de données
• Noms de domaines : adresse facile à retenir just.fgov.be• Domaines “Top level”: *.com, *.net, *.org, *,edu, ... *.be, *,fr, ...• Les Domain-Name-Servers : relation nom de domaine et adresse IP• Les serveurs WHOIS : qui a enrégistré un nom de domaine
• Attention !! • Le pays où est enregistré le nom de domaine n’est pas
nécessairement le pays où se situe l’ordinateur !!
Méthodologie
Méthode d’enquête
• Prouver les faits• Localisation dans le temps et l’espace :
qui est compétent ?Problèmes avec l’aspect transfrontalier.
• Préjudices / prouver les conséquences
• Indiquer les auteurs• Investigation via les éléments techniques
=> Ordinateur : qui l’a utilisé ?• Exclure les personnes non-suspectes• Problèmes : les connexions anonymes
(bibliothèques, cybercafés, abonnement hacké, ordinateur hacké, Internet libre, WIFI)
Méthode d’enquête (suite)
• Démontrer les intentions de l’auteur• Par la fréquence des faits• Par les traces des manipulations effectuées• Par le fait qu’il utilise de fausses identités
• Réunir toutes les preuves matérielles de manière cohérente et les rapporter par PV
• Backups / entreposage du matériel saisi au greffe
Méthode pour la recherche d’un auteur
• A partir d’information disponible :rechercher un élément qui peut directement ou indirectement mener à l’adresse IP de l’auteur au moment des faits• Dans l’entête d’un e-mail / message de groupe de discussion• Dans un message SMS (ex: plus loin)• Dans les données disponibles chez les fournisseurs de services
Internet (ISP)
• Dès que l’on connaît le moment et l’adresse IP• Vérifier si IP statique ou dynamique• Vérifier si abonnement hacké / ordinateur hacké• Demande des données logging chez les IAP
(fournisseurs d’accès Internet)• Eventuellement confirmation chez les opérateurs Télécom
Menaces par mail
Adresse IP & timestampdans l’entête technique
ExempleL’envoi d’un sms par le web
Expéditeur
Fournisseur d’accès Internet
(IAP)
Fournisseur de services de messages SMS sur Internet
GSM appelé
INTERNET
0486 / 134613Adresse IP attribuée
à l’expéditeur
Ligne téléphone / câble
Schéma d’envoi d’un message SMS via Internet et loggings des tracesSchéma d’envoi d’un message SMS via Internet et loggings des traces
Startscherm SMS dienst
Ecran à remplir le message Orange
Ecran message envoyé
Expéditeur
Fournisseur d’accès Internet
(IAP)
Fournisseur de services de messages SMS sur Internet
GSM du fournisseur de services SMS
GSM appelé
INTERNET
0486 134613Adresse IP attribuée
à l’expéditeur
Ligne téléphone / câble
Schéma d’envoi d’un message SMS via Internet et loggings des traces
Réception du texte sur le GSM 0486 134613
03Oct 14:30L’après-cours était très amusant.C’est à refaire. Mr XXX (http://www.pi.be)
0486999998
Phase 1Etape 2
Phase 1Etape 1
WHOIS DATABASE :qui a enregistré le domaine ?
Première phase
• Etape une : identification de l’“expéditeur SMS” :• www.pi.be => Planet Internet SA• 0486 999998 => GSM Planet Internet SA
(éventuellement identification de ce n° par réquisitoire)
• Etape deux : réquisitoire à Planet Internet SA• Donne l’adresse IP de l’utilisateur de votre service et le
moment où il a placé le message qui• a été envoyé le 19 Sep à 10:20• vers le numéro 0486 134613
Expéditeur
Fournisseur d’accès Internet
(IAP)
Fournisseur de services de messages SMS sur Internet
GSM du fournisseur de services SMS
GSM appelé
INTERNET
0486 999998 0486 / 134613Adresse IP attribuée
à l’expéditeur
Logging Logging Planet InternetPlanet Internet
Adresse IP de l’expéditeurAdresse IP de l’expéditeurau moment de créationau moment de créationdu message SMSdu message SMS
n° de GSM de l’appelén° de GSM de l’appeléet moment de l’envoiet moment de l’envoi
Ligne téléphone / câble
Schéma d’envoi d’un message SMS via Internet et loggings des traces
19 Sep 10:200486 134613
195.238.3.11619 Sep 10:18
IP WHOIS DATABASE :qui gère l’adresse IP ?
Phase deux
• Etape une : identification du fournisseur d’accès Internet• Vérifier dans la base de données 195.238.3.116
=> Skynet SA (probablement une adresse dynamique)• Si c’est une société (pas IAP) ou un particulier
=> l’étape deux n’est pas nécessaire
• Etape deux : investiguer chez Skynet SA• Donne l’identification (+ le numéro d’appelant)
de l’abonné Skynet qui• le 19 Sep à 10:18 • était connecté avec l’adresse IP 195.238.3.116
Expéditeur
Fournisseur d’accès Internet
(IAP)
Fournisseur de services de messages SMS sur Internet
GSM du fournisseur de services SMS
GSM appelé
INTERNET
0486 999998 0486 / 134613Adresse IP attribuée
à l’expéditeur
Logging Logging IAPIAP
Adresse IPAdresse IPabonné abonné début sessiondébut sessionfin sessionfin sessionvolume INvolume INvolume OUTvolume OUT
n° tél n° tél appelantappelant
Ligne téléphone / câble
Schéma d’envoi d’un message SMS via Internet et loggings des traces
195.238.3.11619 Sep 10:18
ID abonnéNom abonnéAdresse abonnéN° tél appelant
Troisième phase
• La réponse est bien complète mais ...• Sommes-nous certains que c’est l’ utilisateur véritable ?
(“nom d’abonné + mot de passe” souvent abusé)• Abus facile dans les connexions Internet via téléphone & ADSL
• Nous voulons la certitude (et disculper les innocents)• Si nous avons reçu le numéro de l’appelant
=> examiner la banque de données publique => identification=> si c’est un numéro secret => réquisitoire pour identification
• Si le n° de l’appelant <> n° de l’utilisateur attitré=> identification et confirmation de l’appel : réquisitoire chez l’opérateur télécom ou le fournisseur ADSL (Belgacom)
Expéditeur
Fournisseur d’accès Internet
(IAP)
Fournisseur de services de messages SMS sur Internet
GSM du fournisseur de services SMS
GSM appelé
INTERNET
0486 999998 0486 / 134613Adresse IP attribuée
à l’expéditeur
N° téléphonique de l’expéditeur
Ligne téléphone / câble
Schéma d’envoi d’un message SMS via Internet et loggings des traces
N° tél appelantNom de l’abonnéAdresse de l’abonnéConfirmation de l’appel
Logging Logging opérateur télécom opérateur télécom
Moment définiMoment définiDuréeDuréeN° tél appelantN° tél appelantN° tél appeléN° tél appelé(n° de tel IAP)(n° de tel IAP)
N° tél de l’abonnéN° tél de l’abonné
19 Sep 10:18
Utilité et conclusions
Quelques exemples utilites des recherches Internet
• Connexions faits avec les boîtes webmail • sur le serveur (p.ex. Hotmail)• localisation d’une personne “disparue”
• Traces sur un site web “annonces”• Qui a posté le message suspect ?• Escroqueries
• L’envoi e-mail• Origine d’un mail (menaces, escroqueries)
• Chat• Le serveur de chat => qui utilise un tel nickname ? quelle adresse IP ?• Distribution de pédoporno• Avec qui a chatté la personne disparue ?
Concrètement pour l’enquête
• La combinaison de l’IP et du moment est nécessairepour l’identification (et aussi pour déterminer les faits)
• Les réquisitoires mentionnent de préférence exactement les données souhaitées avec les réquisitoires corrects : (identification 46bis – aperçu connexions : 88 bis CIC)
• Vu la grande quantité et le volume des données :demander de les fournir dans un format fichier sur un support de données ou via mail=> l’analyse des données devient possible
• Rapidité de délivrance des réquisitoires est nécessaire