Renseignement criminel et cyber

Renseignement criminel

Dossier : Le renseignement criminel | Magazine N°808 Octobre 2025

Le développement du monde « cyber » a entraîné l’apparition de nouvelles formes de criminalité, qui posent des problèmes eux-mêmes nouveaux aux enquêteurs et qui ont entraîné en retour le développement de nouvelles techniques d’enquête. La criminalité cyber est marquée par la sérialité des faits, qui jouent sur l’éclatement territorial et sur la multiplication de délits identiques d’ampleur individuelle variable. En réponse, il est efficace de regrouper les enquêtes sur des pôles nationaux et d’impliquer des spécialistes cyber auprès des enquêteurs généralistes. Le foisonnement des techniques d’enquête est impressionnant, mais ces techniques doivent rester dans un cadre légal. Notons que les informateurs, vieille technique d’enquête, gardent toute leur pertinence dans ce domaine nouveau.

Le renseignement criminel peut prendre des formes très différentes les unes des autres et avoir des enjeux multiples. Il en va ainsi du « cyber ». Avant d’évoquer le renseignement criminel d’origine cyber et le renseignement criminel d’intérêt cyber, il est indispensable de définir d’abord ce que recouvre le terme « cyber » dans le contexte pénal et d’indiquer en quoi le renseignement criminel cyber est utile.

Les infractions cyber

En matière d’enquête judiciaire, on distingue traditionnellement les infractions pénales « purement cyber », des infractions « cyber au sens large ».

Les infractions pénales « purement cyber » (cybersécurité) sont constituées des atteintes aux systèmes de traitement automatisé de données (STAD), définies et réprimées par les articles 323-1 et suivants du code pénal (CP) : ransomwares (rançongiciels), intrusion dans un STAD, déni de service, « défaçage » d’un site web, etc. S’y ajoutent les atteintes au droit des données personnelles (articles 226-16 et suivants du CP), quasi consubstantielles de l’informatique et du numérique, tant il est vrai qu’un vol de données personnelles est souvent le fruit d’une cyberattaque.

Les infractions « cyber au sens large » sont toutes les infractions qui, quoique pouvant être perpétrées par des moyens physiques classiques, prospèrent et voient leur commission facilitée ou leurs effets amplifiés par la mise en œuvre d’internet, des réseaux sociaux, de réseaux numériques publics (ex. : téléphonie mobile, échange de courriels), de l’intelligence artificielle, d’un logiciel, etc. Le droit français prévoit d’ailleurs explicitement l’aggravation de certaines infractions pénales lorsqu’elles ont été commises en utilisant un service de communication au public en ligne.

Parmi ces dernières, il est stimulant de citer la loi sur la liberté de la presse de 1881 (!), actualisée à plusieurs reprises : provocation à la commission d’un crime ou d’un délit suivie d’effet (art. 23), appel à la haine, à la violence ou à la discrimination (art. 24), diffamation (art. 30 et suivants), etc. Le code pénal mentionne quant à lui l’apologie du terrorisme (art. 421-2-5 et 421-2-5-1), le harcèlement en ligne (art. 223-33-22), le harcèlement sexuel (art. 222-33), le doxing ou divulgation de données personnelles (art. 223-1-1), la pédopornographie (art. 227-23), le grooming ou sollicitation d’enfants par un adulte à des fins sexuelles (art. 227-26), les « sextorsions » (art. 312-10), les deepfakes (art. 226-8 et 226-8-1), le proxénétisme en ligne (art. 225-7), etc.

Divers codes encadrent ou interdisent les ventes – y compris en ligne – de produits ou services spécifiques (stupéfiants, armes à feu, médicaments, jeux d’argent et paris, tabac, alcool, etc.), les atteintes au droit de la propriété intellectuelle (ex. : streaming illicite gratuit de contenus payants), etc.

Les phénomènes sériels

Le simple fait de catégoriser ces familles d’infractions et d’identifier en quoi les technologies numériques favorisent leur commission constitue une illustration de ce qu’est le renseignement criminel en matière cyber. En effet, l’une des modalités du renseignement criminel est d’étudier les enquêtes judiciaires avec un point de vue macroscopique, pour effectuer des recoupements et identifier – le cas échéant – des phénomènes sériels. Un auteur d’infraction suivant un même mode opératoire très spécifique pour une multiplicité de faits sur un grand nombre de victimes sera ainsi plus facilement identifiable.

Outre son intérêt opérationnel très direct (trouver un fait dans la série pour lequel un auteur sériel a commis une erreur permettant in fine de l’identifier), cette identification de sérialités vise aussi à favoriser une meilleure prise en compte judiciaire du phénomène et une optimisation des moyens dédiés aux enquêtes. Ainsi, la spécificité de certaines atteintes cyber est la fragmentation géographique des victimes sur l’ensemble du territoire national (et parfois au-delà des frontières hexagonales), alors que – jusqu’à une période très récente – le dépôt de plainte était nécessairement physique et son traitement généralement territorialisé (compétence du tribunal judiciaire du lieu de commission physique des faits, en matière cyber cela se traduit souvent par l’emplacement physique des serveurs compromis ou par le lieu de résidence de la victime personne physique ou morale).

Sous l’égide de la section J3 spécialisée en cybercriminalité du parquet de Paris, qui dispose d’une compétence nationale, le traitement des attaques par ransomware n’est plus morcelé : chaque famille de faits est attribuée pour enquête à une unité de police ou de gendarmerie donnée, « souche virale par souche virale » et non victime par victime ; à titre d’exemple, le groupe criminel organisé Lockbit et son ransomware éponyme avaient été attribués pour enquête – avec succès ! – à la division des opérations de l’Unité nationale cyber de la Gendarmerie nationale (UNCyber, anciennement Centre de lutte contre les criminalités numériques, C3N), quels que fussent le nombre « d’infections » et la localisation des victimes en France.

L’efficacité du regroupement des enquêtes

De même, certaines escroqueries sérielles en ligne créent un préjudice individuel relativement modeste (de quelques euros à quelques centaines d’euros par personne), mais sur un nombre de victimes considérable (jusqu’à plusieurs milliers). Une prise en compte de ces faits de façon individualisée et localisée est non seulement inefficace, mais vouée à l’échec : en de telles circonstances, le coût de chaque enquête (en réquisitions judiciaires payantes pour identifier des adresses IP ou des numéros de téléphone, en heures de travail, etc.) est supérieur au préjudice individuel, l’engorgement judiciaire implique de faire des choix parfois difficiles (ex. : classement sans suite en dessous d’un seuil de préjudice fixé au cas par cas par le procureur) et les mécanismes de coopération judiciaire internationale – lorsqu’ils doivent être activés – donnent la priorité aux affaires les plus sensibles ou au préjudice le plus important.

A contrario, un regroupement en 2018 du phénomène sériel des escroqueries dites « au faux support technique Microsoft », à l’échelle nationale, pour enquête par l’UNCyber de la Gendarmerie a permis d’aboutir, un an plus tard, au démantèlement d’un groupe criminel organisé et à la saisie de plusieurs millions d’euros d’avoirs criminels, ainsi qu’au recensement de 8 000 victimes. En pareil cas, la stratégie judiciaire peut aussi s’appuyer sur l’espoir raisonnable d’une réponse pénale in fine plus forte par les juges du siège.

Affaire GhostECC : écran de smartphone équipé du système criminel.

La nécessité de spécialistes cyber

Par ailleurs, certains modes opératoires criminels cyber sont mis en œuvre de façon générique : utilisation d’adresses e-mail spécifiques (éventuellement réputées anonymes), achat de noms de domaine internet, hébergement de sites web chez des hébergeurs exotiques se targuant d’être non coopératifs avec les autorités judiciaires (bullet-proof), blanchiment du fruit de l’infraction en cryptoactifs en passant par des services de mixing (opacification), utilisation d’un pseudonyme unique et très discriminant, réseaux spécifiques de communication chiffrée, etc. Les enquêtes Encrochat, GhostECC, Bitzlato et Prison Break, conduites avec succès par la Gendarmerie, ont été à ce titre emblématiques du rôle central des infrastructures cyber, en appui de la criminalité organisée classique.

Dès lors, même pour des infractions spécialisées hors du champ cyber (stupéfiants, proxénétisme, crimes de haine, protection des mineurs, délinquance économique et financière, etc.), il peut être pertinent de faire appel à l’appui d’enquêteurs non spécialisés dans ces domaines mais spécialisés en cyber. Ces derniers disposent en effet de la compréhension des mécanismes facilitateurs cyber, de la connaissance de l’écosystème des prestataires cyber (licites ou illicites), des moyens d’en identifier les utilisateurs et de mieux les entraver. De tels enquêteurs spécialisés cyber pourront ainsi collecter, exploiter et faire fructifier le renseignement d’origine cyber, ainsi que le renseignement d’intérêt cyber, tous deux étant devenus des éléments cruciaux dans de très nombreuses enquêtes.

Affaire Encrochat : container transformé en chambre de torture.

L’OSINT

Le renseignement d’origine cyber est celui que l’on obtient par la mise en œuvre de techniques numériques, généralement en ligne. Le renseignement d’origine sources ouvertes (ROSO ou OSINT pour Open Source INTelligence, terme anglophone plus courant) est l’une d’elles. Automatisée ou manuelle, l’OSINT peut être conduite sous forme de veille thématique (ex. : vente de cocaïne) ou de recherche ponctuelle très ciblée sur un individu (ex. : rechercher tous les « amis » sur les réseaux sociaux de la victime d’un homicide). Elle peut s’effectuer sur un site web donné (ex. : surveiller les revendications d’actes terroristes), sur un réseau social spécifique, voire sur un canal ou un groupe donné dudit réseau (SOCMINT, SOCial Media INTelligence, ex. : channel de ventes d’armes sur Telegram), sur des supports cartographiques en ligne ou grâce à l’analyse fine d’images et de vidéos (GEOINT, GEOspatial INTelligence, technique qui ne relève pas uniquement de l’OSINT).

Saisie du site internet de blanchiment en cryptoactifs Bitzlato.

Une variété de techniques d’investigation

Lorsque le contenu ou la cible que l’on souhaite (sur)veiller nécessite la création d’un login-mot de passe et d’interagir avec la cible (ex. : « devenir ami avec » un autre individu sur Facebook, fournir un paiement en argent ou en nature pour être admis sur un forum, etc.), le code de procédure pénale français impose un cadre strict et aux limites bien établies : l’enquête sous pseudonyme (ESP). De même, les investigations relatives aux cryptoactifs peuvent nécessiter de mettre en œuvre des outils et techniques particuliers d’OSINT (ex. : lecture et exploitation des blockchains).

Le renseignement d’origine cyber peut aussi être obtenu par des perquisitions numériques, réalisées par la saisie et l’exploitation d’un support physique (disque dur, smartphone, clé USB, etc.), d’une copie ou d’extraits de serveurs d’entreprise, ou en ligne (par exemple en se connectant, sous le contrôle du magistrat et avec des limites, sur la boîte e-mail du suspect ou sur son historique d’achats sur un site de commerce en ligne, sur le profil personnel du défunt, compte Google, compte Apple-iCloud, etc.). Elles aussi extrêmement encadrées en droit français, les interceptions de communications et de données, et l’accès à distance aux données d’un ordinateur ou d’un smartphone à l’insu de son utilisateur (« captation de données informatiques à distance »), peuvent également être considérées comme du renseignement d’origine cyber, même si certains puristes les classent plus volontiers dans la catégorie du ROEM (renseignement d’origine électromagnétique, en anglais SIGINT, SIGnals INTelligence).

Le renseignement d’intérêt cyber

Le renseignement, quelle que soit son origine, peut également être d’intérêt cyber : il s’agit du renseignement criminel qui intéresse la prévention, la détection ou la répression des infractions « purement cyber ». Ainsi, effectuer une veille permanente sur le Wall of Shame d’un ransomware (site web où sont placardées les victimes) et (sur)veiller les forums spécialisés dans les ventes de leaks (fuites de données) constituent des actes essentiels pour tout cyberenquêteur, ainsi que pour mieux connaître et anticiper la menace (rôle du commandement du ministère de l’Intérieur dans le cyberespace). Cette veille peut prendre la forme d’une souscription payante à des prestataires spécialisés en « flux CTI (Cyber Threat Intelligence) ».

Cela permet notamment de recenser les faits commis, les victimes n’ayant pas forcément conscience qu’elles ont été victimes d’une compromission ; lorsque ces dernières la détectent, leur réflexe est d’alerter la Commission nationale informatique et libertés (CNIL), comme la loi les y oblige, mais pas nécessairement de porter plainte au pénal, même si le récent article L. 12-10-1 du code des assurances conditionne désormais l’exécution des contrats d’assurance au dépôt de plainte en cas de cyberattaque.

Les leaks peuvent également présenter un intérêt direct pour faire avancer certaines enquêtes déjà en cours. Il en va ainsi de certaines fuites de mots de passe, qui peuvent être utiles par exemple pour déverrouiller un fichier chiffré suspect. Il en fut également ainsi du « leak Conti », qui a permis d’éclairer les enquêteurs sur le fonctionnement interne de ce groupe criminel éponyme spécialisé dans les ransomwares ; ce leak du tchat interne du groupe avait fuité à la suite des dissensions entre membres ukrainiens et russes consécutives à l’invasion de l’Ukraine en février 2022.

Les informateurs

À l’aune de ce dernier exemple, il convient enfin de ne pas négliger les renseignements confidentiels qui peuvent être transmis, de façon discrète, par des individus à des enquêteurs : même dans le milieu dématérialisé de la cyber, les sources humaines de renseignement (Gendarmerie nationale), les « indics » (Police nationale) ou les aviseurs (Douanes) peuvent contribuer à apporter un coup d’accélérateur considérable au cours d’une enquête. Distincts des repentis mais aussi des lanceurs d’alerte, qui disposent chacun d’un statut juridique très spécifique, ces individus se différencient par ailleurs des simples « honorables correspondants » (ou « agents de renseignement » dans le jargon gendarmique), qui sont issus des partenaires institutionnels de confiance et avec lesquels des liens réguliers et ouverts sont entretenus.

« Recrutés » au sein ou en raison de leurs liens avec le milieu criminel, les « informateurs » peuvent recevoir une rétribution ponctuelle (cf. article 2 du décret n° 2015-1897 du 30 décembre 2015). Au regard des risques de dérive ou de manipulation, ce processus est très strictement encadré au sein de la Gendarmerie. Si cette pratique est relativement utilisée pour obtenir des renseignements dans les milieux criminels physiques classiques (avec entretiens en face-à-face et rétributions en numéraire), elle demeure encore embryonnaire dans le milieu cyber. Le recrutement et l’entretien de sources humaines de renseignement d’origine ou d’intérêt cyber sont l’un des défis à venir !