Cybercriminalité

Recall – Une fausse bonne idée et des risques trop forts pour notre sécurité

Il y a quelques jours, la société Microsoft (le 20 mai 2024 sur son blog) annonçait une toute nouvelle fonctionnalité disponible pour les systèmes disposant des fonctionnalités d’intelligence artificielle appelés « Copilot+PC », à savoir les ordinateurs disposant de composants dédiés à l’intelligence artificielle (NPU ou « neural processing unit ») pour lesquels des options supplémentaires de Windows sont développées.

En effet, cette nouveauté est révélée au moment de mettre en avant cette nouvelle gamme de fonctionnalités et il s’agit manifestement de créer un effet « waouh » démonstratif des capacités et des ambitions de Microsoft dans le domaine.

Présentation de la fonctionnalité Recall

Le principe qui nous est expliqué et que des captures de l’écran sont réalisées régulièrement, traitées par les fonctionnalités d’intelligence artificielle de Windows permettant ensuite à l’utilisateur de faire des recherches en langue naturelle jusqu’à trois mois en arrière, puis d’afficher les résultats correspondants sous forme graphique.

Copie d'écran d'un résultat de recherche Recall avec 8 vignettes d'images 4 correspondant aux résultats de la recherche textuelle et 4 autres à la recherche dans le contenu de l'image. L'interface propose de filtrer les résultats par application.

Copie d’écran de la présentation des résultats de recherche « Recall » publiée sur le site de Microsoft

Traduit automatiquement (certainement par une IA), la fonction s’appellerait en français « Rappel » et est décrite sur le site de l’éditeur. Il semblerait que Recall aille plus loin que l’interprétation des images, mais se cale aussi par rapport aux différentes applications utilisées (et y capture peut-être des informations directement), puisqu’il est possible de filtrer les résultats par application.

Réactions de la communauté

Les réactions ne se sont pas faites attendre dans les communautés attentives à la sécurité numérique et à la vie privée.

Dans la communauté de la sécurité numérique, c’est Kevin Beaumont (alias GossiTheDog) qui est le plus souvent cité, car ayant réalisé lui-même un certain nombre d’essais pour en avoir le cœur net et publié ses résultats sur ses comptes de réseaux sociaux.

Citation post sur le fédivers par Kevin Beaumont au-dessus d'une vidéo du PDG de Miscrosoft Satya Nadella "For those who aren’t aware, Microsoft have decided to bake essentially an infostealer into base Windows OS and enable by default. From the Microsoft FAQ: “Note that Recall does not perform content moderation. It will not hide information such as passwords or financial account numbers." Info is stored locally - but rather than something like Redline stealing your local browser password vault, now they can just steal the last 3 months of everything you’ve typed and viewed in one database."

Post sur le fedivers de Kevin Beaumont du 21/05/2024 https://cyberplace.social/@GossiTheDog/112479974357074203

L’inquiétude de Kevin Beaumont est expliquée très clairement dès le départ: Microsoft ne proposerait ni plus ni moins que d’intégrer par défaut dans son système d’exploitation une fonctionnalité qui est typique des logiciels malveillants de type « infostealer » (voir par exemple le blog de Sekoia qui décrit régulièrement ces logiciels malveillants), documentée d’ailleurs comme la technique T1113 dans le référentiel MITRE ATT&CK. En fait, même si T1113 référence la notion de capture d’écran telle qu’on peut la faire soi-même sur son ordinateur ou téléphone mobile, elle est ici implémentée par Recall de façon systématique par défaut, permanente (toutes les x secondes) sauf quand on la mettrait en pause, requêtable et accolée à une base de données.

Dans son article de blog écrit quelques heures plus tard, Kevin Beaumont démontre comment un attaquant va pouvoir facilement exploiter Recall et récupérer les informations ainsi stockées. En particulier, les informations ne sont pas stockées de façon plus sécurisée que les données habituelles d’utilisation du système d’exploitation et une partie au moins de l’indexation est réalisé dans une simple base SQLite, c’est-à-dire un fichier texte, stocké dans un des répertoires du système (accessible avec les droits d’administrateur, mais aussi requêtable par l’utilisateur lui-même via son interface Recall donc peut-être ultérieurement via une interface de programmation avec les droits de l’utilisateur).

Dans la communauté de la défense de la vie privée, on peut citer Eva Galperin, experte de l’Electronic frontier foundation et intervenant notamment dans le cadre de la Coalition contre les stalkerwares (logiciels espions qui peuvent être utilisés notamment par des proches abusifs):

Citant un article du site Web de la BBC (https://www.bbc.com/news/articles/cpwwqp6nx14o) qui dit (reprenant la défense de Microsoft), "...a would-be hacker would need to gain physical access to your device, unlock it and sign in before they could access saved screenshots."Celle-ci répond: I've got some news for Microsoft about how domestic abuse works.

Post sur le fedivers d’Eva Galperin du 22/05/2024 https://hachyderm.io/@evacide/112481894385686328

En effet encore, la défense consistant à dire qu’il n’est possible d’accéder que physiquement aux données ne tient pas la route, puisque dans une grande partie des abus constatés par la Coalition, c’est justement un proche qui installe et consulte l’historique de sa victime et qui aura ici d’autant plus de facilité à l’imposer de façon toxique que ce serait une fonction du système dont la désactivation lui paraîtra suspecte et qui de toutes façons fait tout pour connaître ou contrôler les mots de passe utilisés par sa victime.

L’autorité britannique en charge de la protection des données personnelles ICO a quant à elle déclaré ouvrir une enquête, dans un premier temps en interrogeant l’éditeur.

Scénarios problématiques

Derrière le risque même que pose cette fonctionnalité, il convient de décrire concrètement les situations problématiques qu’elle rend possibles, exploitables par les acteurs malveillants ou des logiciels malveillants totalement automatisés :

  • capture de conversations confidentielles (à l’insu des correspondants) – pourra-t-on faire confiance à un utilisateur de Microsoft Windows lors d’une visio-conférence pour ne pas prendre de copies d’écran ?
  • capture de données qui s’affichent dans les logiciels de gestion de mots de passe
  • capture et interprétation de messages malveillants (spams) affichés sur l’écran, y compris de liens suspects qui pourraient se retrouver dans l’historique Recall alors même qu’on aurait déjà supprimé le message suspect ?
  • et bien sûr, atteintes à la propriété intellectuelle (contrefaçon d’images et de vidéos)
  • comme évoqué plus haut, espionnage forcé par un proche abusif (plus besoin de « stalkerware » imposé, il est ici installé par défaut dans les systèmes Windows avec cette fonction Recall)
  • copies de documents confidentiels et échappement aux procédures de lutte contre les fuites de données implémentées dans les organisations (le DLP ou data loss prevention, comme documenté ici sur le site de Microsoft)

En plus de ces enjeux de sécurité, cette fonctionnalité pourrait poser des grosses questions de perte de temps et d’espace disque:

  • est-ce qu’il est bien utile de conserver une mémoire des informations qu’on a volontairement supprimées (les spams qu’on a supprimés de sa boîte de courrier électronique qui réapparaîtraient dans les recherches) ?
  • les nombreuses publicités qui s’affichent sur l’écran ne vont-elles pas encombrer inutilement le disque dur ?
  • ou bien encore, est-il bien utile de conserver plusieurs fois au format image la copie d’un texte et les mots indexés à l’intérieur du texte, d’un document qu’on est en train d’éditer ?

Réponses apportées par Microsoft

Les réponses de Microsoft sont de deux niveaux (documentés sur page Web décrivant la fonctionnalité) :

  • les données sont protégées par le système d’exploitation et ne sont accessibles que grâce à un accès physique;
  • il est possible de désactiver totalement, temporairement ou par application la fonctionnalité Recall, et celle-ci est désactivée par défaut lors de la navigation Web dite « privée ».

Sur le premier point, Kevin Beaumont (voir plus haut) et d’autres ont clairement démontré que ce n’était pas une véritable protection contre les accès malveillants. Les systèmes d’exploitation de Microsoft ont beaucoup progressé en sécurité au cours des dix dernières années, Recall y crée une brèche non raisonnable.

Analyse personnelle

Sur le plan sécuritaire, je rejoins l’analyse de l’ensemble des experts résumée ci-dessus, la fonctionnalité Recall telle qu’elle est implémentée ne devrait pas être activée par défaut et je déconseille à tout responsable de la sécurité des systèmes d’information de l’autoriser dans son organisation.

Est-ce qu’une telle fonctionnalité de mémoire est souhaitable ? Oui pourquoi pas, on peut imaginer une fonction (intégrée au système, mais aussi pourquoi pas offerte par un éditeur tiers), permettant d’enregistrer de façon ciblée des sessions de travail et pas uniquement par des copies d’écran, mais aussi par des collectes de données utiles spécifiques à chaque application. Ainsi, on pourrait imaginer un collecteur de ces métadonnées d’activité – et éventuellement de copies d’écran prises aux moments appropriés – adapté à tous les types de logiciels, exploitant dans un format ouvert les étapes de travail dans son logiciel de création graphique, de bureautique ou de travail en groupe.

Décision de la CJUE du 06/10/2020 sur les données de connexion

Dans une décision du 06 octobre 2020, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur plusieurs affaires tendant à questionner le régime français de conservation des données de connexion par les opérateurs, à des fins de renseignement ou de police judiciaire.

Plusieurs articles reviennent dans le détail sur cette décision (voir Nextinpact par exemple). Je vous propose pour ma part un avis personnel sur les différents points avancés dans cette décision et ce en quoi ils ne répondent pas forcément totalement aux nécessités objectives des enquêtes judiciaires.

J’avais déjà développé sur ce blog le dispositif de la loi pour la confiance dans l’économie numérique (LCEN) prévoyant les modalités de conservation des données par les fournisseurs d’accès à Internet et les hébergeurs, ainsi que celui qui concerne de façon parallèle les opérateurs de communications électroniques. Ce sont ces dispositions qui sont discutées (dans l’affaire numéro C‑512/18 de la CJUE)  et le cas échéant remises en cause par les parties demanderesses dans l’affaire jugée par la CJUE. La demande portait aussi sur certaines techniques spéciales de renseignement et sur la législation belge que je ne discuterai pas ici.

Vous noterez dans la décision ou dans les articles qui la commentent que cette affaire est issue d’une série de questions préjudicielles posées par le Conseil d’Etat français dans le dossier. Cette juridiction sera donc appelée à fonder sa décision sur la réponse apportée par la CJUE.

Le Conseil d’Etat posait ainsi les questions suivantes:

« 1)       L’obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l’article 15, paragraphe 1, de la directive [2002/58], ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l’utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la [Charte] et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 [TUE] ?

2)      Les dispositions de la directive [2000/31], lues à la lumière des articles 6, 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la [Charte], doivent-elles être interprétées en ce sens qu’elles permettent à un État d’instaurer une réglementation nationale imposant aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne et aux personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services, de conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires, afin que l’autorité judiciaire puisse, le cas échéant, en requérir communication en vue de faire respecter les règles relatives à la responsabilité civile ou pénale ? »

Enfin, il faut se rappeler qu’un cadre juridique européen de la conservation des données par les opérateurs (directive 2006/24/CE) existait jusqu’à sa remise en cause en 2014 par une décision de la même CJUE du 08 avril 2014.

Plusieurs points de l’arrêt méritent donc qu’on s’y attarde:

Conservation ciblée et uniquement en matière de criminalité grave

Les points 147 à 151 de la décision précisent qu’il serait possible, dans le cadre du droit européen, de prévoir la conservation ciblée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, tout comme aux fins de la sauvegarde de la sécurité nationale.

Ce ciblage recouvrirait les « catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue ».

Ce qui est décrit relève donc d’un acte d’investigation ou de surveillance, mais a fortiori pas de mesures « préventives » comme l’indique la Cour, puisque cela suppose d’avoir – au moment où la mesure est ordonnée – des éléments sur les personnes visées et les moyens de communication utilisés.

En outre, cette reprise d’une distinction entre criminalité grave et d’autres formes de délinquance, présente dans des décisions précédentes de la Cour, se heurte notamment au fait que toutes les infractions commises, qui nécessitent des investigations sur les moyens de communication, ne relèvent pas de la criminalité dite grave. C’est le cas en particulier des infractions intégralement commises sur un moyen de communication électronique: que penser des infractions de l’article 24 de la loi sur la liberté de la presse punies d’un an de prison (provocation à la haine ou à la discrimination) ou le harcèlement par un moyen de communication électronique de l’article 222-16 du code pénal puni lui aussi d’un an d’emprisonnement ? On pourrait aussi citer parmi les nombreux exemples le délit de diffusion de fausse information (article 322-14 du code pénal) dans le but de faire croire qu’une destruction, une dégradation ou une détérioration dangereuse pour les personnes va être ou a été commise, puni de deux ans d’emprisonnement.

On notera enfin, qu’il n’existe à ce jour, aucune définition officielle, aucune liste de critères permettant de définir ce qui relèverait de la criminalité grave telle que l’entend la CJUE dans ses décisions, renvoyant à la sagesse des législateurs. On peut toutefois par exemple citer la Convention de Palerme, convention des Nations unies de lutte contre le crime transnational organisé, qui précise en son article 2 b) « L’expression “infraction grave” désigne un acte constituant une infraction passible d’une peine privative de liberté dont le maximum ne doit pas être inférieur à quatre ans ou d’une peine plus lourde; ». Cela recouvre un plan très large des délits définis dans notre code pénal. En tout état de cause, si on applique immédiatement cette décision de la CJUE plus aucune enquête pour ces criminalités « non graves » sur Internet ne pourrait avoir lieu, or comme nous le rappelait avant-hier Mathieu Audibert, « la recherche des auteurs d’infractions est nécessaire à la sauvegarde de principes et droits de valeur constitutionnelle ».

Conservation de l’adresse IP et des identités civiles

Dans la section suivante, aux points 152 à 160, la Cour distingue de façon bizarre la question de la conservation des adresses IP de connexion et celle des identités des utilisateurs des services. Elle conclut en effet que les adresses IP ne pourraient être conservées que pour les besoins liées à la criminalité grave, tandis que les identités civiles pourraient être conservées (aux fins d’identifier l’utilisateur d’un terminal) y compris pour des enquêtes sur des faits de moindre gravité.

Or, si aucun lien n’est fait entre l’équipement terminal (et donc l’usager) et l’adresse IP utilisée à un instant t, la conservation des données sur l’identité civile n’apporte rien à l’enquête judiciaire sur Internet.

En pratique, il convient d’attendre la décision que prendra le Conseil d’Etat pour ces affaires. Il se pourrait en outre que l’arrêt de la CJUE soit le support de recours devant les juridictions quant aux moyens de preuve utilisés actuellement dans de nombreuses affaires judiciaires. Pour moi, et encore une fois je m’exprime ici à titre personnel, il n’y a qu’une conclusion possible à ce débat qui date de l’abrogation de la directive 2006/24/CE en 2014: il est nécessaire, comme nous y appelait déjà François Molins, procureur général près la Cour de cassation en avril 2019, de clarifier urgemment la rédaction des directives 2000/31/CE et 2002/58/CE, et parvenir à un texte européen harmonisant le cadre de la conservation des données indispensables aux enquêtes judiciaires, y compris en rentrant dans le détail des critères minimum permettant de protéger les droits fondamentaux. 

Crise du COVID-19 et cybermenaces #RépondrePrésent

Pour la gendarmerie nationale, la crise sanitaire du Coronavirus est un enjeu à trois égards: répondre aux nouvelles missions rendues nécessaires par l’accompagnement des mesures sanitaires et continuer à offrir un service de sécurité au public à la hauteur de ses attentes, tout en prenant en compte les contraintes pesant sur nos propres personnels évidemment.

Evidemment, il en est de même dans le champ des cybermenaces et le réseau CyberGend répond présent!

La première étape pour nous fut d’analyser rapidement l’évolution de la menace, en observant les premières remontées du terrain et ce qui se passait dans les autres pays. D’emblée, les escroqueries liées à la thématique du Coronavirus (commercialisation de produits de santé) et les hameçonnages sur le même thème (notamment sur les dispositifs d’accompagnement ou les appels aux dons), puis les changements liés au télétravail (organisation dégradée des entreprises, collectivités et administrations, perte des réflexes, risques supplémentaires sur des réseaux plus ouverts, etc.) ont été identifiés comme premières tendances. En outre, les publics à prioritairement protéger étaient selon notre analyse: les professions médicales, la logistique et l’alimentation.

Immédiatement, la seconde étape a consisté à mettre en oeuvre une stratégie de veille ciblée sur Internet à la recherche des infractions, d’ouvrir des enquêtes et de prendre des mesures préventives (saisie de noms de domaine). Le réseau CyberGend, plus spécifiquement le C3N et sous sa coordination les antennes du C3N dans les 9 principales régions qui ont été ainsi mobilisés. L’un des enjeux est aussi de pouvoir toujours prendre en compte les victimes de cybercriminalité et de recevoir les plaintes, partout sur le territoire, y compris dans une situation sanitaire complexe. C’est en particulier le cas pour les attaques par rançongiciel qui ont touché plusieurs entreprises et associations depuis le début de la crise et sur lequel les enquêteurs NTECH et les C3N se mobilisent.

En outre, nous avons observé le développement de nombreux phénomènes de diffusion de fausses informations ou de théories complotistes. Ils sont souvent repris et corrigés par les grands médias, mais il ne faut pas s’interdire de douter face à une information surprenante et réfléchir avant de la rediffuser.

Quasiment dans le même temps, les actions de prévention ont été multipliées, au contact des secteurs les plus directement concernés. Par exemple, dès le début de la crise, les pharmacies ont été sensibilisées à des tentatives d’escroqueries les ciblant pour la fourniture en gros de produits sanitaires. Depuis, les actions de sensibilisation se multiplient sur le terrain, les gendarmes des sections opérationnelles de lutte contre les cybermenaces, les référents sûreté dans les départements, contactant progressivement l’ensemble des secteurs économiques clé et les collectivités locales, avec des messages de sensibilisation et proposant un diagnostic de la situation de sécurité numérique dans le contexte de la crise.

Cet article de Nice Matin montre l’action des enquêteurs NTECH au contact des victimes, pour prévenir, détecter et enquêter.

 

Prévention: La gendarmerie relaie aussi les messages de ces partenaires, ici le centre Européen de lutte contre la cybercriminalité d’Europol EC3, ou encore www.cybermalveillance.gouv.fr

Enfin, c’est évidemment la sécurité de nos propres systèmes d’information à laquelle nous veillons tout particulièrement.

Une coopération exceptionnelle

Beaucoup d’entre nous vivent très certainement cette période comme une occasion formidable d’échanger énormément avec ses différents contacts par des moyens électroniques. Force est de constater que dans le secteur de la sécurité numérique, les échanges sont nombreux. Je vais en citer quelques-uns.

En France, les différentes associations sont mobilisées et Signal Spam ou le CESIN dont je vous ai parlé plusieurs fois sont actifs pour échanger et réagir aux incidents qui ont pu émailler les dernières semaines et surtout s’entraider. Le groupement d’intérêt public ACYMA, gestionnaire du portail www.cybermalveillance.gouv.fr est particulièrement à l’oeuvre pour prodiguer des conseils et continuer à assister les victimes d’actes de Cybermalveillance.

Deux collectifs internationaux de la cybersécurité ont vu le jour et sont particulièrement actifs, échangeant des indicateurs de compromission (ces détails qui permettent à d’autres de détecter des attaques ou des comportements illégaux que les partenaires ont déjà documenté) et se coordonnant pour mener les actions permettant de faire cesser les activités cybercriminelles: la Cyber Threat Coalition, et la COVID CTI League. Bien entendu, comme d’autres services d’enquête spécialisés dans le monde, nous y sommes présents.

Pour en apprendre un peu plus sur les coulisses de l’action de la gendarmerie dans la dimension cyber de cette crise sanitaire, vous pouvez écouter le podcast que Nolimitsecu y a consacré cette semaine.

… #RépondrePrésent

Plus que jamais, pendant cette crise sanitaire du Coronavirus, la gendarmerie se devait de #RépondrePrésent, et je puis témoigner que tous les jours, l’ensemble des personnels du réseau CyberGend sont mobilisés pour anticiper, détecter, investiguer et accompagner nos concitoyens plus que jamais concernés par les menaces dans l’espace numérique qu’ils utilisent quotidiennement.

De l’anonymat sur Internet

Beaucoup de débats ces dernières années, ces derniers mois et ces derniers jours sur l’anonymat sur Internet. Ce n’est pas un problème nouveau, que je vous propose de traiter sous trois angles: du point de vue de l’usager qui souhaite rester anonyme sur Internet, de celui qui observe les anonymes et du point de vue de l’enquête judiciaire.

Du point de vue de l’usager qui souhaite rester anonyme

Plutôt que de limiter le problème à la distinction anonymat / pseudonymat (et vous verrez plus bas que la loi reconnaît les deux notions qui recouvrent deux étapes distinctes dans la démarche d’anonymisation), je vous propose de prendre un peu de recul sur l’ensemble des questions que peut se poser un usager lambda dans son usage de l’Internet:

  1. est-ce que le site Web (ou tout autre service) connaît mon identité, a besoin de connaître mon identité, ou toutes données relatives à ma personne ?
  2. de façon générale, est-ce que je peux être sur Internet comme dans la rue, un anonyme parmi les autres ?
  3. est-ce que je peux m’exprimer librement si j’utilise mon nom ?
  4. est-ce que les autres ont besoin de connaître mon nom quand je m’exprime sur Internet ?
  5. est-ce que je peux rester anonyme quand j’échange sur ce site de jeux en ligne où je ne fais que me divertir avec les autres ? sur ce site de rencontres ? sur ce site médical ?…

Dans toutes ces questions, on distingue deux problèmes: l’anonymat par rapport au service, au prestataire auquel on se connecte, et l’anonymat par rapport aux autres (ceux avec qui j’échange, ceux qui peuvent consulter ces échanges ou les informations que je publie).

S’agissant de l’identité vis-à-vis d’un service Internet simplement visité, consulté, les données collectées par le prestataire sont régies actuellement par les dispositions du règlement général sur la protection des données personnelles (RGPD), et les modalités de collecte sont directes (informations fournies explicitement par l’utilisateur) ou indirectes (les fameux cookies notamment qui permettent de croiser une identité ou d’autres données collectées par un tiers avec la navigation sur le site). Laissons de côté ces questions qui ne sont pas l’objet principal des débats qui nous amènent à ce billet, mais qu’il faut toujours conserver à l’esprit quand on parle d’anonymat sur Internet.

En matière de publicité de l’identité lorsque l’on publie un contenu sur Internet, la loi pour la confiance dans l’économie numérique est claire (j’en parlais en 2013 sur ce même blog, le temps passe vite) – même si elle n’est pas totalement adaptée au format des médias sociaux – notamment en matière d’édition d’un service de communication au public en ligne (un site Web, un blog…) :

  • si on publie à titre professionnel (indépendant ou au travers d’une entreprise notamment), il faut mettre à disposition les informations d’identité de la personne ou de l’entreprise, ainsi que de l’hébergeur;
  • si on publie à titre purement personnel (comme le présent blog), il faut a minima avoir communiqué ces informations à son hébergeur, et la loi parle explicitement ici de la possibilité ainsi donnée de « préserver son anonymat ».

Dans beaucoup de cas, on utilisera un pseudonyme unique (qui peut éventuellement évoluer dans le temps selon les règles des plateformes), permettant de distinguer chaque intervenant. Dans certains cas, les plateformes acceptent les publications « anonymes » (même si subsistent des obligations de conservation de données comme évoqué plus bas), comme le fameux forum 4chan, mais dans les pratiques plus récentes des réseaux sociaux de questions/réponses type Ask.fm ou Curious.cat.

Par extension aux médias sociaux qui ne sont qu’une forme de présentation de ces publications (même si elles sont très interactives et je ne parle pas ici des messages privés), la loi reconnaît donc très clairement un droit à l’anonymat.

Maintenant, quelles sont les données minimales qui doivent être collectées par l’hébergeur (ou le prestataire de la plateforme sociale) ? Elles sont fixées dans un décret en Conseil d’Etat numéro 2011-219 du 25 février 2011. Pour une présentation détaillée, vous pouvez encore une fois consulter l’article que j’y consacrais en 2011.

Parmi ces données, le nom et prénom ou la raison sociale doivent être conservées, uniquement dans la mesure où elles sont habituellement collectées par le prestataire. En revanche, pour chaque contribution à une publication (création, modification ou suppression de contenu), l’hébergeur doit conserver non seulement l’identifiant de l’utilisateur (dans son système d’information, un identifiant unique ou le pseudonyme choisi par exemple) mais aussi l’adresse IP, ainsi que l’horodatage.

Si on interprète strictement la loi LCEN, il subsiste donc un doute:

  • si on assimile un compte de média social à un « service de communication au public en ligne », la fourniture de l’identité au prestataire est obligatoire (article 6, III, 2/ de la LCEN) ;
  • si on estime qu’on est face à un autre objet juridique, alors c’est le principe de la collecte habituelle par le prestataire qui s’applique, et du besoin de le conserver.

Ce point de débat mériterait d’être tranché par un statut juridique spécifique aux plateformes sociales (si certains de mes lecteurs connaissent des jurisprudences sur ce point, n’hésitez pas à les partager). Au passage, la même question se pose très certainement pour les sites médicaux où l’on pose des questions, ou les sites de rencontres.

L’anonymat du point de vue de l’observateur

La question est d’abord peu juridique et plusieurs motivations poussent le lecteur à se poser des questions sur les publications anonymes:

  • la curiosité (pourquoi pas, c’est humain!)
  • le besoin de comprendre le point de vue depuis lequel s’exprime la personne (dans ce cas, ce n’est pas forcément l’identité qui intéresse le lecteur, mais par exemple le métier, le lieu, l’âge, etc.)
  • le souhait d’interagir de façon directe (mais souvent d’autres moyens de communication respectant l’anonymat sont proposés)
  • pouvoir se plaindre de la publication (droit de réponse, demander le retrait du contenu, porter plainte, etc.)

Pour toutes ces raisons, la révélation de l’identité réelle n’est pas absolument indispensable, ni prévue par la loi.

Maintenant cette révélation est-elle souhaitable ? L’argument souvent rapporté est que l’anonymat (et donc souvent, l’utilisation d’un pseudonyme sur les réseaux sociaux), désinhiberait les personnes qui s’expriment (et donc les pousserait à avoir des propos outranciers voire illégaux) et les installerait parfois – ou souvent – dans un sentiment d’impunité.

Intuitivement on peut tous admettre qu’effectivement cette assertion est correcte. L’anonymat – même relatif – enlève ou allège certaines inhibitions. Au passage cela peut aussi être positif et pousser certaines personnes habituellement discrètes à plus s’exprimer et donc à développer le partage, sans compter les nombreuses autres bonnes raisons de rester anonyme (discrétion, etc.). Si on regarde du côté des études scientifiques, je n’en citerais qu’une (Tsikerdekis, 2012) et qui indique que de façon générale, l’utilisation d’un pseudonyme ou la publication anonyme ne rend pas particulièrement plus agressif, mais qu’en revanche sur un sujet qui tient à cœur pour la personne qui s’exprime, l’utilisation d’un pseudonyme peut conduire à une expression plus agressive.

Qu’en conclure ? Avant tout qu’une plateforme qui autorise l’utilisation de pseudonymes doit être attentive aux débats qui s’y produisent, il y a de plus fortes chances qu’ils s’enveniment. Mais même sur les plateformes où l’on utilise normalement son nom véritable (comme les réseaux sociaux professionnels), on rencontre aussi des dérives. Ensuite, qu’il faut certainement apprendre à se servir d’un média social (éviter les conflits, respecter les autres, respecter les limites de la loi, etc.). Enfin, qu’au-delà du rôle des individus et des plateformes il faut que les autorités en charge de l’application de la loi puissent faire leur travail.

Du point de vue de l’enquête judiciaire

Cela nous amène au dernier point, celui des investigations judiciaires (pénales, ou sous l’autorité du juge civil agissant sur requête par exemple). Deux points de vue: est-ce que les médias sociaux et l’utilisation de pseudonymes ont un impact fort voire insurmontable sur leur travail ? est-ce que ces investigations peuvent se dérouler normalement ?

La première question est plus un point de vue sociétal. Mon avis très personnel est le suivant: la loi prévoit explicitement le droit à l’anonymat lorsqu’on publie sur Internet, et c’est une bonne chose. Il faut donc se donner les moyens de détecter et d’enquêter. Je ne détaillerais pas tous les moyens d’action et sites de signalement de contenus illicites (publics tels que PHAROS ou privés tel que Pointdecontact, en France).

Je m’appesantirai en revanche sur la possibilité d’enquêter. J’indiquais tout à l’heure les obligations de conservation de données prévues par la LCEN et son décret d’application. Sans ces données, les investigations ne sont pas possibles. Il existe un débat sur la nécessité de cette conservation et sa proportionnalité (pour toute publication ici, pendant un an), toujours est-il que si ces données ne sont pas accessibles à l’enquête judiciaire, cette enquête n’est pas possible et il est impossible de prédire si une publication nécessitera ou non une enquête judiciaire.

Maintenant, lorsque ces données sont conservées, est-ce que l’enquête judiciaire y a bien accès ? Lorsque tout se déroule en France, aucun problème, sauf défaut de l’hébergeur. En revanche, lorsque cet hébergeur est à l’étranger, il peut y avoir conflit avec la législation de cet autre pays. Toute la question est de savoir si, lorsqu’un service est offert depuis l’étranger sur le territoire national, la législation du pays où se trouve l’utilisateur s’applique, ou bien celle où se trouve la plateforme. S’agissant de la protection des données personnelles, le RGPD évoqué plus haut a tranché, c’est la législation du pays où se trouve la personne qui prime. En matière de publications sur Internet, le débat juridique n’est pas tranché.

En pratique, régulièrement, les plateformes de réseaux sociaux refusent à des enquêteurs et à des magistrats français la possibilité d’accéder à ces données, estimant par exemple que tel message ne relève pas d’une infraction en matière de haine, ou que le service d’enquête n’aurait pas pouvoir juridictionnel parce que le suspect serait dans un pays tiers, etc. C’est une partie du débat des lois en cours de discussion en France (proposition de loi sur la lutte contre la haine sur Internet), déjà votées ailleurs (NetzDG en Allemagne), ou de la proposition de règlement sur l’accès transfrontières à la preuve numérique au niveau européen (e-Evidence).

A suivre donc !

 

Le hameçonnage ciblé (« spear phishing ») à la une d’un rapport d’Europol

Le centre Européen de lutte contre la cybercriminalité d’Europol (EC3) a mis en ligne cette semaine un rapport sur le hameçonnage ciblé (« spear phishing ») qui est issu des travaux de leur Joint advisory group lors de sa réunion du mois de mars dernier. La philosophie de ces travaux est de proposer une vision conjointe de l’industrie et des services d’enquête sur cette menace.

Le hameçonnage est l’utilisation du courrier électronique (ou une autre forme de contact et de messagerie parfois, mais le courrier électronique reste largement majoritaire) pour contacter une victime (ou l’un de ses employés) pour l’un des usages suivants:

  • collecter des identifiants de connexion,
  • obtenir d’autres informations confidentielles (documents financiers, données personnelles),
  • délivrer des logiciels malveillants (rançongiciel, troyen d’accès à distance, enregistreur de frappes au clavier, …),
  • convaincre une victime de réaliser une opération contraire à ses intérêts (comme un virement bancaire).

On dira que le hameçonnage est ciblé s’il est destiné à un public bien déterminé: des destinataires précis au sein d’une même entreprise, des participants à une liste de discussion traitant d’un sujet sensible ou intéressant quant aux objectifs des attaquants (par exemple une liste de discussion par courrier électronique entre spécialistes d’un même domaine industriel). Ce ciblage est évalué par opposition aux campagnes de hameçonnage envoyées vers des destinataires sans relation particulière par exemple dans le contexte de l’envoi de spams.

Un chiffre clé à retenir de ce rapport est que 65% des attaques ciblées constatées en Europe auraient utilisé en 2018 la technique du hameçonnage ciblé.

Le rapport décrit ensuite les techniques employées pour réaliser ce type d’attaques:

  • la reconnaissance, via la collecte d’informations (en sources ouvertes la plupart du temps, notamment par la présence de l’organisation cible et de ses employés sur les réseaux sociaux professionnels)
  • envoi de messages depuis l’extérieur ou l’intérieur (une fois un premier compte compromis), adjonction de pièces jointes piégées, ou de liens vers des pages web piégées (utilisation des logos ou de noms de domaines semblables à ceux de l’entreprise ou d’un partenaire de confiance, téléchargement de fichiers piégés)
  • et par la suite, il pourra s’agir soit d’installer par ce biais des outils malveillants pour parcourir le réseau de l’organisation, copier des données, ou de plus en plus souvent ces derniers mois chiffrer les données de l’entreprise et réclamer une rançon (utilisation de rançongiciels chiffrants ou cryptolockers).

Enfin, le rapport apporte un certain nombre de conseils sur la façon de prévenir et réagir face à de telles attaques, y compris sur la coopération avec les autorités. J’insisterai plus particulièrement sur ce dernier point: si vous êtes victimes d’une telle campagne, signalez-le aux autorités, gendarmerie ou police et s’il s’agit plus spécifiquement d’une extorsion suite à l’installation d’un rançongiciel chiffrant, ne payez pas la rançon ! Si nécessaire, faites-vous accompagner par un prestataire pour la restauration de vos données, et pendant le même temps faites confiance aux autorités d’enquête pour investiguer sur l’origine de la demande de rançon.

Pour compléter les conseils apportés dans ce rapport d’Europol, n’hésitez pas à consulter les didacticiels présentés par nos amis de CYBERMALVEILLANCE.GOUV.FR; en particulier les documents sur le hameçonnage, les fichiers chiffrés avec demande de rançon et la sauvegarde de ses données.

Ne tombez pas dans le panneau!

Le message est simple aujourd’hui:

Ne tombez pas dans le panneau!

Cette semaine, j’ai reçu un appel au bureau d’une personne qui pensait m’avoir déjà eu en ligne. Malheureusement pour lui, ce n’était pas la même personne, il venait de se faire escroquer par un usurpateur.

Les scénarios de ces escroqueries sont multiples, ils ont souvent plusieurs étapes et plusieurs intervenants. Les plus courants commencent de deux façons:

  • Un dialogue sur un site de rencontres
  • Un échange suite à une petite annonce

Sur les sites de rencontre, la conversation s’engage et la victime commence à faire confiance. Dans certains cas, une relation se noue et l’escroc (ou les escrocs, car il est possible qu’ils se relaient derrière le même pseudonyme) demande de l’argent pour payer des frais médicaux ou même le voyage ou les frais de visa pour rencontrer son nouvel amour.

Evidemment, le paiement est toujours par des moyens inhabituels pour beaucoup d’entre nous: cartes bancaires prépayées ou coupons de recharges pour ces cartes, virements Western Union. D’ailleurs, très souvent (et c’est une bonne chose!) les buralistes posent des questions aux personnes qui se présentent pour acheter les coupons de recharge, et lorsqu’ils ont un doute ils sensibilisent les clients sur les risques d’escroquerie.

Parfois, l’escroquerie est plus agressive et la victime se voit menacée de révéler ses échanges, accusée de pédophilie (la personne avec qui elle discutait disant être mineure), et dans certains cas des vidéos ont été enregistrées à son insu suite à des discussions qu’elle croyait intimes et l’escroc menace de révéler ces vidéos à tous ses amis et contacts professionnels (chantage dit à la webcam).

Souvent encore, il y a une dernière étape avec l’intervention d’un soi disant service de police spécialisé qui contacte la victime par courrier électronique pour lui réclamer le paiement d’une amende ou alors de risquer des poursuites. C’est là que mon nom se retrouve souvent utilisé, un soi disant « Commissaire Général Eric Freyssinet » d’un service spécialisé en cybercriminalité fantaisiste, et le courriel est envoyé depuis une adresse gratuite (gmail, yahoo, hotmail, etc.).

Au passage:

Police et gendarmerie utilisent des adresses de courrier électronique officielles en gendarmerie.interieur.gouv.fr ou interieur.gouv.fr.

Jamais un policier ou un gendarme ne vous demandera de payer une amende directement dans un courrier électronique.

C’est intéressant d’utiliser le nom d’un policier ou d’un gendarme connu, parce qu’on trouve des traces de celui-ci sur Internet et la victime peut tomber dans le panneau (malheureusement !).

Dernier conseil: quand vous avez un doute suite à une discussion ou une transaction sur Internet, n’hésitez pas à en parler à un ami ou un membre de votre famille ou appelez le numéro Info Escroqueries 0 805 805 817 (lundi-vendredi 9h-18h30, numéro vert). Je compte sur mes lecteurs pour faire passer le message !

Vague d’extorsions par courriels avec un de vos mots de passe!

Depuis quelques jours, j’ai reçu plusieurs signalements de personnes qui étaient victimes d’une tentative d’extorsion par courrier électronique. Le même sujet a été décrit voilà quelques jours par Brian Krebs sur son blog.

Le schéma est le suivant:

  • Expéditeur = adresse bizarre en outlook.com ou autre service gratuit
    • Objet du message = « Re: prenom.nom – motdepasse »
  • Texte = un message en anglais rappelant le mot de passe, et indiquant que grâce à un virus implanté sur votre ordinateur l’escroc a pu vous observer visiter un site web pornographique et vous enregistrer à cette occasion grâce à votre webcam, menaçant ensuite de diffuser la vidéo à vos contacts. Le message réclame ensuite une rançon en bitcoins de $1900
  • Adresse Bitcoin = différente dans tous les exemples que j’ai pu voir

Le texte du message ressemble à celui-ci :

Let’s get straight to the point. I am aware [mot de passe] is your pass word. Moreover, I know about your secret and I’ve proof of it. You don’t know me and no one hired me to examine you.

It is just your misfortune that I discovered your bad deeds. Well, I installed a malware on the adult videos (adult porn) and you visited this website to have fun (you know what I mean). While you were watching video clips, your web browser started out working as a Rdp (Remote desktop) that has a keylogger which provided me accessibility to your display and also webcam. Right after that, my software program collected your complete contacts from facebook, as well as e-mail.

I then put in much more time than I probably should have into your life and made a two screen video. First part displays the recording you had been viewing and second part shows the video from your web cam (its you doing dirty things).

Honestly, I want to forget about you and let you get on with your life. And I am about to give you 2 options that will achieve that. The above choices to either ignore this letter, or perhaps pay me $1900. Let us examine those two options in more detail.

First Option is to ignore this e-mail. Let’s see what is going to happen if you pick this path. I will send out your video to your contacts including relatives, co-workers, and many others. It does not help you avoid the humiliation your family will face when friends discover your sordid videos from me.

Other Option is to make the payment of $1900. We’ll call it my “confidentiality charges”. Let me tell you what happens if you pick this option. Your secret remains your secret. I’ll destroy the recording immediately. You keep your lifetime as though nothing like this ever occurred.

At this point you may be thinking, “I should call the cops”. Let me tell you, I have covered my steps in order that this message can’t be tracked to me plus it will not stop the evidence from destroying your health. I am not planning to dig a hole in your pocket. I am just looking to get compensated for efforts and time I place into investigating you. Let’s assume you decide to generate pretty much everything disappear and pay me the confidentiality fee. You will make the payment via Bitcoins (if you don’t know how, type « how to buy bitcoins » in search engine)

Amount to be sent: $1900
Receiving Bitcoin Address: [adresse différente pour chaque escroquerie]
(It’s case sensitive, so you should copy and paste it carefully)

Tell nobody what you would use the bitcoin for or they might not offer it to you. The method to obtain bitcoins usually takes a few days so do not wait.
I have a specific pixel within this email message, and now I know that you have read through this e mail. You now have two days in order to make the payment. If I do not receive the BitCoins, I will certainly send out your video recording to all your contacts including members of your family, colleagues, and so on. You better come up with an excuse for friends and family before they find out. Nonetheless, if I receive the payment, I will erase the proof and all other proofs immediately. It is a non-negotiable one time offer, so don’t ruin my personal time & yours. Your time is running out.

Hypothèses

Les hypothèses évoquées par Brian Krebs sont qu’il s’agit vraisemblablement de messages envoyés au hasard à une liste de personnes sur la base d’une fuite de données massive telle qu’on a malheureusement pu en avoir beaucoup au cours des dernières années. Cela converge avec les témoignages que j’ai pu recevoir.

Recommandations

Les recommandations que je pourrais faire aux victimes de cette tentative d’extorsion sont simples:

  • Ne pas payer la rançon, ne pas contacter l’escroc, ne pas répondre
  • Comme il s’agit ici d’une tentative reposant sur une vraie base de données volée, il est probable que vous reconnaissiez le mot de passe. Si vous l’utilisez encore sur un de vos comptes (courrier électronique, réseau social, etc.), changez-le très rapidement. La CNIL propose de très bons conseils sur les mots de passe, notamment en vous incitant à utiliser un logiciel de gestion des mots de passe.
  • Vous pouvez vérifier si votre adresse ou vos pseudonymes sont présents dans des détournements connus en les vérifiant sur haveibeenpwned. Dans ce cas modifiez aussi vos mots de passe pour ces comptes.

Percev@l – plateforme de signalement des fraudes aux cartes de paiement – est ouverte!

Depuis quelques jours, un nouveau téléservice est disponible sur service-public.fr. Il permet aux victimes de fraude à leur carte de paiement de se signaler auprès des autorités.

Un tel service était nécessaire et attendu depuis longtemps. En effet, la fraude aux cartes de paiement a lieu essentiellement sur Internet aujourd’hui (à plus de 70% selon les statistiques publiées par l’Observatoire de la sécurité des moyens de paiement). Cela veut dire que le lieu où se commet réellement l’infraction n’a en général aucun rapport avec l’endroit où se trouve la victime. De surcroît, c’est le cumul des informations provenant des nombreuses victimes qui permettra d’identifier les fraudeurs et leur mode opératoire et facilitera la coopération internationale (plus facile si on peut identifier un préjudice conséquent lié aux mêmes auteurs).

Lorsqu’on constate un paiement frauduleux avec son numéro de carte bancaire (en consultant son relevé de compte en ligne, ou encore en étant prévenu par sa banque ou son prestataire de paiement), les opérations suivantes peuvent maintenant être réalisées par les victimes:

  • Mettre sa carte en opposition en contact son organisme de paiement (en général par un simple appel téléphonique)
  • Réaliser son signalement sur le téléservice Percev@l (on le retrouve simplement sur le site service-public.fr en cherchant Percev@l ou « fraude carte bancaire »)
  • Transmettre le récépissé fourni par Percev@l à sa banque pour faciliter les opérations de remboursement (le récépissé est mis à disposition automatiquement dans votre porte-documents sur le site service-public.fr)

Pour se connecter à Percev@l, l’usager doit utiliser un identifiant FranceConnect. Celui-ci est accessible à tous les résidents français grâce à leurs comptes Ameli, des Impôts ou encore Laposte ou Mobileconnectetmoi. Très rapidement, la plateforme FranceConnect sera interopérable avec d’autres agrégateurs d’identité à travers l’ensemble de l’Union européenne dans le cadre du règlement européen eIDAS.

Ensuite, les informations fournies sont directement traitées par des analystes et des enquêteurs du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie et les rapprochements ainsi réalisés contribuent à l’ouverture d’enquêtes judiciaires qui peuvent être traités par des services spécialisés de gendarmerie ou de police partout en France.

Ce téléservice était attendu – j’en parlais dans mon livre La cybercriminalité en mouvement en 2012: il fait l’objet en particulier d’une recommandation dans le rapport de 2014 sur la lutte contre la cybercriminalité. Les banques et les commerçants en ligne sont aussi particulièrement mobilisés et ils ont été associés à la construction de ce projet; ils coopéreront évidemment aux enquêtes judiciaires.

Souhaitons que Percev@l soit utilisé par une partie importante des victimes de fraude à leur carte de paiement. Ils contribueront ainsi à la lutte contre cette forme malheureusement trop répandue de cybermenace. Percev@l contribue pleinement au volet numérique de la Police de sécurité du quotidien et s’intègre au programme Ma gendarmerie en ligne! de la gendarmerie nationale.

Campagne de hameçonnage ciblant les clients d’OVH

Depuis quelques jours une campagne de hameçonnage cible plus particulièrement les clients d’OVH, la gendarmerie du Doubs et du territoire de Belfort sur sa page Facebook.

En effet, j’ai moi-même reçu trois messages de hameçonnage successifs ciblant le même nom de domaine dont je suis le gestionnaire chez OVH (envoyés à l’adresse de contact du nom de domaine):

  • 7 mars 2018 15:27, objet: « Fermeture du XXX » XXX étant le nom de domaine, provenant apparemment de « <support@ovh.com> »
  • 8 mars 2018 05:24, objet: « [ֹOVֹH] : erreur ! », provenant apparemment de « [ֹOVֹH] » <support@ovh.net>
  • et de façon identique le 10 mars 2018 17:20

Jetons un œil à l’aspect du dernier message:

 

Si l’on passe la souris au dessus de l’URL qui devrait être celle du site d’OVH on obtient en réalité:

(la zone floutée correspond à l’adresse de contact du nom de domaine ciblé). Si l’on suit cette adresse, après deux redirections on se retrouve sur l’adresse (ATTENTION ne pas vous rendre sur cette adresse sans précautions !):

Le site Web est celui d’une société d’informatique allemande dont le site Web a été modifié pour afficher une page ressemblant à celle d’OVH:

Comment se protéger ?

Suivant les solutions de sécurité dont vous disposez sur votre ordinateur, vous serez éventuellement averti qu’il s’agit en réalité d’une page de hameçonnage connue. Ainsi, à l’heure où j’écris ces lignes, Windows Defender de Microsoft le signale correctement lorsqu’on visite cette page.

Si vous voulez participer à signaler ce type de messages et de pages de phishing c’est assez simple. L’association Signal Spamdont j’ai parlé plusieurs fois ici – fournit un plugin pour votre navigateur Web qui permet de signaler les messages non sollicités et les pages Web de hameçonnage.

Les signalements sont non seulement traités par Signal Spam, mais font l’objet d’une transmission vers les éditeurs des différents navigateurs.

Une mise à jour récente des modules de signalement de Signal Spam autorise désormais le signalement des URL (adresses internet) de phishing. Concrètement, cela signifie qui si au cours de votre navigation sur internet vous tombez sur un site de phishing, il vous est possible d’utiliser le même bouton Signal Spam installé dans votre navigateur (chrome, safari, ou firefox) qui sert traditionnellement au signalement d’un courriel indésirable pour signaler le site de phishing. Le module Signal Spam reconnaîtra que vous naviguez sur une page de phishing, et signalera l’URL.

L’URL ainsi signalée sera placée dans une liste noire qui préviendra la navigation sur ce site par d’autres utilisateurs de Signal Spam. Il est bien sûr possible de signaler un « faux-positifs », c’est à dire un signalement que vous estimez erroné, ou de poursuivre malgré tout votre navigation sur le site de phishing en pleine connaissance de cause.

En outre, la mise à jour des modules intègre également une protection de votre messagerie contre les messages de phishing : une alerte s’affichera lorsque vous vous apprêtez à ouvrir un message contenant des liens identifiés comme dangereux.

Le fonctionnement de cette fonctionnalité STOP PHISHING – développée par Signal Spam en partenariat avec la société Verifrom vous est expliqué dans la vidéo ci-dessous:

Une vidéo proposée par la CNIL vous informe très précisément sur la façon d’installer le plugin dans votre navigateur:

Enfin, le service cybermalveillance.gouv.fr vous propose une fiche de prévention sur le sujet du hameçonnage:

Recrutement 2016 d’officiers commissionnés dans le domaine cyber en gendarmerie

Le journal officiel du 24 mars 2016 comporte deux annonces qui peuvent intéresser mes lecteurs, tous deux implantés à Pontoise (95):

  • Avis de vacance d’emploi d’un expert de haut niveau en technologies numériques chargé de projet et développement de techniques de déprotection logicielle à la division ingénierie numérique du départ de l’institut de recherche criminelle de la gendarmerie nationale au pôle judiciaire de la gendarmerie nationale NOR: INTJ1608188V
  • Avis de vacance d’un emploi d’expert de haut niveau en technologies numériques chargé de projet et développement de techniques de déprotection matérielle à la division ingénierie numérique du départ de l’institut de recherche criminelle de la gendarmerie nationale au pôle judiciaire de la gendarmerie nationale NOR: INTJ1608185V

Il s’agit de postes d’officiers de gendarmerie commissionnés, sous la forme d’un premier contrat de 5 ans pouvant être renouvelé jusqu’à 17 ans au maximum.