La cyberunité de la police israélienne s’occupe des cas les plus complexes dans ce domaine. “Les gens devraient nous considérer comme le FBI israélien“, explique un officier supérieur de police. Reportage exclusif dans le cadre de la conférence Cybertech Global à Tel Aviv
L’unité nationale de cybercriminalité de la police israélienne opère sous l’appellation de l’unité Lahav-433 et gère les cas de cybercriminalité les plus complexes du pays. Le chef de l’unité est le surintendant principal Avi Maiberg, un enquêteur chevronné de Lahav-433.
“Pour comprendre le caractère unique de l’unité Lahav-433, il faut nous considérer comme le FBI israélien“, déclarent Yaniv Azani, chef de la technologie et chef adjoint de l’unité, et Shira Bella, officier technologique de l’unité. L’unité opère à partir de sa base à Lod, dans le bâtiment abritant le Lahav-433, et est accessible par un long couloir de bureaux d’enquête se divisant en plusieurs salles d’interrogatoire. Une porte au bout du couloir mène au QG de l’unité.
L’immeuble de Lahav-433 ressemble à un immeuble de bureaux moyen accueillant des entreprises de haute technologie : des bureaux s’étendant sur un couloir principal, une salle de conférence moderne et des écrans d’ordinateur sur chaque bureau. L’unité est divisée en trois principaux domaines d’activité : enquêtes, renseignement et technologie. Il dispose d’un conseiller juridique dédié spécialisé dans la technologie. En plus de la cyberunité, une unité sœur, désignée Unité 105, a été créée pour prévenir la violence contre les mineurs sur Internet. Toutes les enquêtes sont confiées à l’unité conformément à l’approbation du chef du Lahav-433, et les trois domaines d’activité traitent chaque cas en coopération. L’unité est relativement petite et intime, et tout le monde est impliqué dans tout. «Nous canalisons nos ressources en fonction des besoins opérationnels», explique Azani.
L’un des cas que la cyberunité a récemment résolu, grâce à un effort de coopération avec toutes les autres sous-unités de Lahav-433, impliquait l’organisation criminelle “420” – les opérateurs du réseau ” Telegrass “.
Cette organisation criminelle a utilisé l’application de messagerie Telegram et des infrastructures technologiques de pointe pour vendre des stupéfiants en Israël et dans le monde. Les autres opérations de l’unité qui ont été annoncées comprennent la capture, il y a deux ans, du hacker d’Ashkelon et le piratage de la carte Leumi. “Évidemment, nous ne pouvons pas révéler toutes nos méthodes de fonctionnement, mais nos capacités en matière de technologie, de renseignement et d’enquête, sont intégrées et couvrent tous les domaines cibles pertinents – le dark web, les réseaux sociaux, les applications de messagerie instantanée, les forums Internet et toute autre plate-forme utilisée par les criminels “, explique Azani.
Le déroulement d’une enquête
Comment la police mène-t-elle une cyberenquête? Eh bien, la source de la plainte peut être tout civil se présentant à un poste de police et se plaignant d’une activité criminelle présumée dans le cyberespace ou «le domaine en ligne», comme l’appelle le jargon officiel de la police israélienne. De telles activités peuvent inclure un piratage dans un téléphone mobile, une surveillance suspectée, une attaque de rançonware, un vol d’argent (par exemple, une compromission du courrier électronique commercial / une attaque BEC), l’extorsion, la fraude, et ainsi de suite. Les plaintes peuvent également provenir de sources étrangères.
La police israélienne est signataire de la Convention de Budapest sur la cybercriminalité et entretient de vastes alliances de coopération internationale avec divers pays et Interpol. Une autre source pourrait être un phénomène national. Le centre national de cyberintervention fonctionne dans le cadre que la cyberunité surveille, de manière routinière, l’ensemble de l’activité de cybercriminalité signalée en Israël. Par exemple, si l’unité constate une concentration de cas de plaintes provenant de différents endroits du pays partageant tous un dénominateur commun, elle peut lancer une enquête. Encore une fois, la cyberunité ne s’occupe que des cas complexes. De nombreuses cyberenquêtes sont menées par les divisions centrales d’enquête respectives des districts de police concernés.
Une fois que l’unité a reçu un dossier d’enquête, les éléments de renseignement, d’enquête et de technologie se concertent pour consolider une ligne de conduite. Dans certains cas, l’enquête s’avère assez simple, le crime ayant déjà été commis et le suspect appréhendé. Dans de tels cas, l’unité recueillera rapidement des preuves médico-légales auprès des ressources informatiques et de communication pertinentes afin de signifier un acte d’accusation. Dans d’autres cas, l’enquête peut prendre des mois ou même plus, ce qui est similaire à la nature des enquêtes complexes que l’unité Lahav-433 mène normalement. Dans ces situations, le processus de traitement de l’affaire commence normalement par la collecte de renseignements et de preuves, et ce n’est que lorsqu’une infrastructure suffisante aura été consolidée que l’unité signifiera un acte d’accusation. “Dans l’affaire Telegrass, par exemple, il nous a fallu des mois pour assembler la carte complète et réaliser que nous faisions face à une organisation criminelle. Finalement, nous avons réussi à le définir comme tel conformément à la législation israélienne. Il faut un travail minutieux de tous les organes de l’unité “, explique Azani.
Les défis ne s’arrêtent pas une fois qu’une ligne de conduite a été décidée. Comme l’enquête se déroule dans le domaine virtuel, les objectifs disparaissent parfois de la vue. Si l’objectif change de matériel, utilise un VPN (Virtual Private Network) ou se dissimule en utilisant diverses méthodes, la police doit trouver des moyens créatifs pour assurer la continuité de l’effort de collecte de renseignements et de preuves. La transition des navigateurs Web, des applications de messagerie instantanée et des réseaux sociaux vers le chiffrement de bout en bout ne facilite pas le travail des forces de l’ordre. “Le chiffrement, la monnaie décentralisée, les services VPN, et autres, sont des outils à la disposition de tout civil, qui représentent un défi technologique pour la police”, déclare Azani, sans trop en révéler.
“Si cela ne suffit pas, la police opère dans un cadre juridique contrairement à la plupart des autres agences de sécurité israéliennes impliquées dans la cyber (nétique). L’implication de ce fait est que parfois vous avez une image presque complète de qui a commis le crime et comment, mais vous manquez toujours des informations probantes pour compléter le tableau afin de permettre la mise en accusation. De nombreuses questions juridiques sont toujours en cours vis-à-vis du monde technologique tout en continuant de défier le monde juridique, y compris le conseil juridique, le procureur général, le ministère public et même les juges.
“Pour la cyberunité, ces contraintes signifient que vous êtes parfois obligé de lutter contre le crime avec les mains liées dans le dos, mais nous réussissons tout de même. Une partie du mérite de ce succès devrait être attribuée à la surveillance juridique étroite de notre conseiller juridique, qui surveille chaque enquête dès le premier jour, ainsi qu’au cyber-service du parquet, qui nous soutient régulièrement “, souligne Azani. À la fin du processus, la plupart des enquêtes menées par l’unité évoluent en actes d’accusation. Un petit pourcentage est abandonné faute de preuves, tandis que d’autres enquêtes sont retardées en attendant des informations complémentaires ou des efforts d’enquête.
Un outil essentiel: les alliances coopératives
La guerre contre la cybercriminalité avait commencé il y a de nombreuses années avec la section des délits informatiques créée par la police, et a pris de l’ampleur il y a environ cinq ans, avec la création de la cyberunité. Dans le même temps, le concept traditionnel d’application de la loi doit encore s’adapter au domaine virtuel. “L’une des principales difficultés est la nature du domaine en ligne et l’absence de frontières territoriales”, explique Azani.
“Presque tous les organes chargés de l’application des lois, en Israël ou dans le monde, sont essentiellement définis par territoire : un pays, une région, une ville, etc. Dans le cyberespace, en revanche, il n’y a pas de frontières. Si un civil dépose un plainte auprès du district nord, mais que le pirate opère sous la juridiction du district sud, et qu’il y a d’autres victimes dans tout le pays, ainsi que dans d’autres pays, qui devrait diriger le processus d’enquête? Le même problème existe entre les différents pays. Certes, la coopération internationale a été très productive, mais si Israël soumet une commande avec une demande d’informations d’un fournisseur dans un autre pays, le résultat dépendra de la législation et de la réglementation locales de ce pays, des accords internationaux et même des relations diplomatiques.
La cybercriminalité n’est pas limitée par des frontières territoriales. L’attaquant peut pirater une infrastructure légitime dans un pays, la contaminer et attaquer un objectif dans un autre pays à travers elle. Il en va de même en Israël. L’activité criminelle en Israël et à l’étranger a fait la transition vers le cyberespace il y a longtemps, sous la forme consistant à employer des pirates informatiques, des informaticiens, des experts en communication et d’autres professionnels. Ils développent l’ensemble d’outils dont ils ont besoin pour faire la transition vers la cybercriminalité », explique Azani.
Un autre aspect de l’activité de la police est la nécessité d’alliances coopératives. La cyberunité de la police israélienne n’est qu’une des nombreuses organisations similaires en Israël. Les agences de sécurité israéliennes, la National Cyber Authority, les agences d’application de la loi et le parquet sont quelques-unes des autres organisations s’occupant de cybernétique en Israël. Apparemment, chacun a une portion différente du gâteau. En réalité, cependant, les morceaux du gâteau se chevauchent parfois. Le caractère unique de la police réside dans le fait qu’elle mène l’effort d’application de la loi vis-à-vis de l’axe pénal.
“Presque toutes les enquêtes dans le cyber-monde sont menées dans le cadre d’un effort de coopération avec plusieurs organisations en Israël ou à l’étranger. Dans certaines situations, les affaires seront transférées d’une organisation à une autre : par exemple, si l’affaire avait commencé comme une affaire pénale et a évolué par la suite en une affaire terroriste, ou vice versa. Dans certaines situations, l’affaire peut avoir commencé comme une cyber-enquête et s’est ensuite transformée en une enquête menée par l’Unité Nationale des Crimes Economiques. Ce ne sont que quelques exemples “, note l’officier.
La guerre contre la cybercriminalité implique sans aucun doute certaines contraintes uniques qui découlent du fait qu’en fin de compte, le dossier d’enquête devrait se retrouver devant un tribunal. Dans la plupart des cas, l’avocat de la défense tentera de déceler des failles dans l’acte d’accusation et dans le processus de collecte des preuves qui ont conduit à l’acte d’accusation, et les membres de la cyberunité feront tout pour que les preuves liées à l’affaire soient solides et inattaquables. Cette réalité impose des contraintes uniques aux personnes de l’unité, auxquelles les autres agences de sécurité ne sont pas confrontées. Ces contraintes exigent que les gens de la cyberunité soient créatifs et ingénieux, dans les limites de la loi.
“L’un de nos défis pour 2020 est la nécessité de réviser le cadre législatif et réglementaire existant afin qu’ils correspondent aux évolutions technologiques et permettent à la police d’améliorer son efficacité dans la lutte contre la cybercriminalité. Les gens du ministère de la Justice comprennent que le cadre législatif devrait s’adapter aux changements technologiques. Les organisations criminelles en Israël sont déjà actives dans le cyberespace, ainsi que les organisations criminelles d’outre-mer qui utilisent parfois des infrastructures israéliennes, ce qui crée une partie de la complexité juridique “, conclut Azani.