Ces experts qui font parler les téléphones criblés de balles.
Vous ne le saviez sans doute pas mais en ce moment c’est le Mois européen de la cybersécurité (ou Cybermois), soutenu par l’ENISA et qui vise à sensibiliser chacun aux bons réflexes numérique.
L’occasion pour nous de vous présente cette unité très spéciale dans les rangs de la Direction du renseignement militaire qu’on pourrait surnommer les « décodeurs de guerre » : les investigateurs sur support numérique. Leur terrain d’action ? Les entrailles numériques d’un téléphone explosé ou d’une clé USB noircie par les flammes et leur mission : en extraire la mémoire « abimée » pour faire avancer des opérations en cours.
Bienvenue dans l’univers passionnant de l’investigation sur support numérique !
Lire aussi :
Investigateur sur support numérique ou l’art de faire parler les entrailles numériques
Imaginez un garage de haute technologie, qui tiendrait dans un conteneur. On y trouve des stations d’analyse, des valises blindées de câbles, des ordinateurs configurés au poil, et surtout des cerveaux bien affûtés. Ce laboratoire mobile ou « laboratoire projetable » est un outil formidable du Centre de recherche avancée cyber (le CRAC). Il suit les opérations comme un infirmier suit un marathonien : au plus près, prêt à intervenir quand un support tombe entre les mains des soldats.
C’est un véritable centre d’exploitation du renseignement d’origine cyber (ROC). Et grâce à lui, un téléphone abandonné peut devenir une boussole stratégique.
Leur terrain de chasse : tout ce qui stocke de la mémoire
Carte mémoire, SIM, disque dur, téléphone, clé USB… C’est un peu comme fouiller dans un grenier numérique. Il faut être capable de lire ce que d’autres ont voulu cacher, parfois bien profondément. Et souvent, l’objet est endommagé.
Un support retrouvé sur un théâtre d’opérations, c’est rarement un iPhone en bon état avec son chargeur. On parle parfois de matériel criblé d’éclats, carbonisé, ou arraché dans l’urgence. Pourtant, avec de la méthode, de l’astuce et une bonne dose de persévérance, les techniciens arrivent à faire parler la mémoire.
Là où la plupart verraient un appareil HS, eux voient un gisement d’information. Un peu comme un archéologue devine une fresque sous des couches de poussière et de terre.
Des données, et ensuite ?
L’objectif n’est pas simplement de récupérer des fichiers pour les classer. L’idée, c’est de fournir des données immédiatement exploitables. Typiquement ? Une liste de numéros de téléphone, une photo géolocalisée, une conversation effacée, une trace GPS.
Dans certains cas, ces informations permettent de localiser une cache d’armes, d’identifier un point de passage utilisé régulièrement, ou même de reconstruire un organigramme d’un groupe armé.
Ces informations partent ensuite directement aux unités sur le terrain. Un petit détail déniché au fond d’un fichier corrompu peut déclencher une action opérationnelle dès le lendemain.
Quand le support est presque illisible
Parfois, les données ne sont pas seulement cachées. Elles sont abîmées, éclatées, dispersées sur des fragments de mémoire qui ne tiennent plus qu’à un fil. C’est dans ces cas-là que les experts ISN (investigation sur support numérique) sortent l’artillerie technique.
Ils travaillent avec des outils qui permettent de reconstruire des partitions, de décrypter des formats exotiques, de contourner des protections logicielles, voire de relire un support illisible en surface. Pas besoin d’être un hacker hollywoodien, mais il faut clairement avoir la tête bien faite.
Un background en informatique est un plus, évidemment. Connaître les systèmes de fichiers, comprendre comment un téléphone Android gère sa mémoire, savoir reconnaître une structure de base de données, ça aide. Mais surtout, il faut être têtu. Quand un support ne veut rien livrer, c’est là que le métier commence.
La pépite qui change tout
Souvent, le volume de données récupérées est énorme. Des dizaines de gigaoctets à trier, à recouper, à interpréter. Il faut savoir distinguer l’utile de l’anecdotique, ce qui peut faire rebondir une enquête de ce qui n’est que bruit de fond.
Et puis, il y a ces moments rares, où la pépite tombe. Un SMS planqué dans une mémoire temporaire, un fichier .log qui liste des connexions Wi-Fi, une adresse email récurrente. Des petits cailloux dans la forêt, mais qui, mis bout à bout, tracent un chemin.
Ce genre de trouvaille, c’est ce qui relance une mission, ce qui fait basculer un rapport. Et pour celui ou celle qui l’a trouvée, c’est souvent la meilleure récompense. Parce que tout le travail d’analyse prend alors du sens concret.
Vivre au rythme des opérations
Dans cette section, on ne travaille pas comme dans une entreprise de cybersécurité classique. On vit au rythme des opérations. Quand une mission se prépare, tout le monde est sur le pont. Quand les forces récupèrent un support en urgence, l’équipe ESM est prête à bondir.
Même à distance, même si le support arrive par d’autres canaux, le travail ne manque jamais. Les données sont là, en attente d’un œil expert. Il suffit parfois d’un peu de patience et de flair pour faire émerger ce qui compte.
Il n’y a pas de routine. Chaque mission est différente, chaque support est un casse-tête. Et c’est peut-être ça, au fond, qui rend ce métier aussi stimulant. Il ne s’agit pas seulement de technique, mais aussi d’instinct, de curiosité et d’un certain goût pour l’enquête invisible.
En savoir plus sur le Cybermois : Cybermalveillance.gouv.fr
