IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 181
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 181
    Points : 149 229
    Points
    149 229
    Par défaut Un ancien policier explique comment il a déjoué les contrôles internes de la DGSI et de la PNIJ
    Un agent de la DGSI mis en examen pour avoir vendu des informations sur le darknet,
    jusqu'à dévoiler votre vie complète (RIB, géolocalisation, etc.)

    Un policier affecté à la Direction générale de la sécurité intérieure (DGSI), l’agence française de renseignements chargée du contre-espionnage, de la lutte contre le terrorisme, de la lutte contre la cybercriminalité et de la surveillance de groupes, d'organisations et de phénomènes sociaux potentiellement menaçants, a été placé en garde à vue puis mis en examen le 26 septembre à Nanterre (Hauts-de-Seine). Deux jours plus tard, il a été mis en détention provisoire.

    Ce gardien de la paix, appartenant à une division sensible du principal service de renseignement intérieur français, est soupçonné d’avoir monnayé les informations auxquelles il avait accès. Provenant des fichiers confidentiels de police, celles-ci auraient été vendues sur le Darknet en échange de Bitcoin.

    Selon une source proche de l’enquête, l’agent avait noué des contacts avec des membres du monde de la criminalité organisée ainsi qu’avec des spécialistes de l’intelligence économique intéressés par l’obtention de telles données. Aucun lien avec le terrorisme n’a été mis en évidence. Le policier, en poste dans les Hauts-de-Seine, est également soupçonné d’avoir eu un rôle actif dans la confection de faux documents administratifs.

    Les autorités françaises n'ont pas dévoilé le nom de cet officier, mais ont indiqué qu'il opérait sous le pseudonyme Haurus sur un marché noir appelé Black Hand. Les enquêteurs sont persuadés que les criminels à qui Haurus a vendu les fichiers confidentiels les ont utilisés pour créer de faux documents.

    Les autorités françaises ont également déclaré que l'agent avait proposé un service permettant de localiser les appareils mobiles en fonction d'un numéro de téléphone fourni. Il a présenté le système comme un moyen de dépister les épouses ou les membres de gangs criminels concurrents. Les enquêteurs pensent que Haurus utilisait les ressources de la police française conçues dans le but de traquer les criminels pour ce service.

    Nom : police.png
Affichages : 7191
Taille : 250,1 Ko

    Il a également proposé un service indiquant aux acheteurs s'ils étaient suivis par la police française et quelles informations les agents avaient sur eux. Affecté à la division « J », branche judiciaire du renseignement intérieur, le policier avait accès à la Plateforme nationale des interceptions judiciaires, mise en place en 2016 par le ministère de la Justice.

    Des responsables ont déclaré avoir retrouvé l'identité réelle de Haurus après s'être emparés du portail Black Hand et l'avoir fermé le 12 juin de cette année. Ils ont également été en mesure de retrouver certains des documents mis en vente sur le marché à l'aide de son code personnel informatique, ajouté à des documents officiels et permettant de suivre leur historique. Chaque fonctionnaire dispose en effet d’un code personnel, indispensable pour se connecter à son ordinateur et pour effectuer des consultations. Les processus internes de sécurité permettent de retracer en temps réel ou de manière différée l’origine des interrogations de fichiers.

    Cette affaire se démarque des autres car ce sont généralement des pirates informatiques et des cybercriminels qui vendent ces données, et non des policiers.

    Une illustration dans la manière d’opérer du gardien de la paix ?

    Sous couvert d’anonymat, un de ces « clients » a raconté au Parisien, qui assure avoir recoupé son témoignage, comment il a pu faire affaire avec le policier mis en cause.

    Comment êtes-vous entré en contact avec ce policier ?

    Je cherchais la date de naissance d’un individu dans le cadre d’un « doxxing » classique (NDLR : divulgation d’informations privées sur le Web pour nuire). Je voulais aussi des infos sur ma fiche de recherche en France et sur la conduite à tenir en cas d’interpellation. Je suis tombé sur son annonce. C’était exceptionnel !

    Quels services proposait-il ?

    Des prestations ultra-ciblées, et très prisées. Surtout par les créanciers occultes, les réseaux de passeurs, les trafiquants de voitures volées, les voyous en cavale ayant besoin d’une doublette (NDLR : seconde identité) en cas de contrôle.

    Nom : dgsi.png
Affichages : 6870
Taille : 294,9 Ko

    Pour 30 euros, on lui donnait un numéro de téléphone, il sortait le relevé bancaire du titulaire. Pour 50 euros, il donnait son identité. Pour 150 euros, on récupérait l’état civil complet, numéro de permis, date de délivrance, numéro de carte d’identité, de Sécurité sociale, les véhicules immatriculés… Autant d’informations permettant de passer n’importe quel contrôle de police poussé. On pouvait même vérifier les vols d’avion réservés au nom d’une personne.

    Pour 300 euros, on pouvait voler une vie complète. Il était aussi possible de « checker » des documents internes de la PJ et d’interroger la base de données Interpol. Mais le plus intéressant c’était le pack à 300 euros. Via un simple numéro de téléphone, il pouvait récupérer les fadettes (NDLR : listing d’appels), la géolocalisation, y compris des mois en arrière. C’est ce qui m’avait le plus bluffé. Il y avait un surcoût pour les politiques ou personnes publiques : je pense que ces personnes ont un statut spécial.

    Comment a-t-il été repéré, selon vous ?

    C’était du suicide de vendre ce genre d’infos. N’importe qui aurait pu le griller bien qu’il ait utilisé le maximum de sécurité. Toutes nos discussions étaient sécurisées. Je pense qu’il en avait marre de son « taf » de fonctionnaire payé au lance-pierre et qu’il a basculé. Haurus était un gars très sérieux et - ceux qui ont traité avec lui vous le diront - apprécié pour sa fiabilité. Il ne voulait pas que les informations vendues puissent servir à des terroristes.

    Sources : Le Parisien (interview, plus de détails)

    Et vous ?

    Qu'en pensez-vous ?
    Cela met-il en exergue le danger qu'il peut y avoir à centraliser les données comme sur le système TES ?

    Voir aussi :

    Black Hand, l'un des plus importants forum du Dark Web en France, a été démantelé suite à une mobilisation de plus de 40 agents de la DDNRED
    France : le fichier des titres électroniques sécurisés (TES) est généralisé à l'ensemble du pays. Qu'en est-il des recommandations ?
    Un programmeur dérobe le code source du logiciel d'espionnage de son ex-employeur pour le revendre sur le darknet et se fait prendre
    AlphaBay et Hansa, deux sites populaires de ventes illégales sur le darknet, ont été fermés par les forces de l'ordre
    Les marchés noirs sur le darknet réalisent des millions de dollars par mois, en vendant des produits illicites, notamment des stupéfiants
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2016
    Messages
    373
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : septembre 2016
    Messages : 373
    Points : 1 201
    Points
    1 201
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Il ne voulait pas que les informations vendues puissent servir à des terroristes.
    La bonne blague, il vérifié l'identité de chaque personne à qui il vendais des infos ? :')

    Citation Envoyé par Stéphane le calme Voir le message
    Et vous ?

    Qu'en pensez-vous ?
    Cela met-il en exergue le danger qu'il peut y avoir à centraliser les données comme sur le système TES ?
    J'en pense que c'est la preuve que plus un groupe ou un état à d'information plus gros sont les abus. C'est pratique pour lutter contre le terrorisme, et encore. En revanche, combien de personne innocente on subit du cyber-harcélement, ce sont faite voler leur identité à cause des informations vendu par ce mec ?
    Combien de mec on profité de tout ça pour leur méfait ?

    Qui nous dit qu'il n'y en à pas d'autre qui agissent ainsi en étant plus discret ?

    Sa laisse à réfléchir.

  3. #3
    Expert confirmé Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 241
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 241
    Points : 4 818
    Points
    4 818
    Par défaut
    Le petit joueur. Au moins les contractants de la NSA ne font pas dans la demi-mesure : ils laissent trainer les outils et failles qui permettent d'accéder à ces informations... La preuve avec wannaCry

    Je ne sais pas ce qu'il risque comme peine, mais les décideurs, tout là-haut, devrait peut-être remettre en cause les lois renseignement et anti-terroriste. Ainsi que les mega-fichiers avec leurs accès open bar.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  4. #4
    Membre averti
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    février 2006
    Messages
    113
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Vendée (Pays de la Loire)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : Industrie

    Informations forums :
    Inscription : février 2006
    Messages : 113
    Points : 347
    Points
    347
    Par défaut
    Bien moi j'ai pas de portable

    NDLR : vive la France, vive les photocopies!

    Si on rentre dans un réseau il faut prendre conscience de ce que ça implique et le téléphone c'est ça, les liens que l'on tisse au fil des coups (de fil). Si tu marches dans la neige tu laisses des traces, des odeurs. La nature n'a pas changé c'est l'homme qui a évolué.

  5. #5
    Futur Membre du Club Avatar de JeanBond
    Femme Profil pro
    Étudiante
    Inscrit en
    septembre 2018
    Messages
    31
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Autre

    Informations professionnelles :
    Activité : Étudiante

    Informations forums :
    Inscription : septembre 2018
    Messages : 31
    Points : 7
    Points
    7
    Par défaut
    Comme c'est étonnant ! Le renseignement français n'est pas encadré par le juge, et depuis la loi renseignement, anti-terro, ils peuvent faire ce qui veulent sans l'autorisation du juge. Sauf que ça devient problématique quand on donne pleins pouvoir à une authorité sans quelle soit contrôlé.
    La définition de la folie, c'est de refaire toujours la même chose, et d'attendre des résultats différents. - Albert Einstein

  6. #6
    Membre expert
    Inscrit en
    juin 2009
    Messages
    1 024
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 024
    Points : 3 141
    Points
    3 141
    Par défaut
    Citation Envoyé par JeanBond Voir le message
    Comme c'est étonnant ! Le renseignement français n'est pas encadré par le juge, et depuis la loi renseignement, anti-terro, ils peuvent faire ce qui veulent sans l'autorisation du juge. Sauf que ça devient problématique quand on donne pleins pouvoir à une authorité sans quelle soit contrôlé.
    De mémoire il peuvent commencer sans juge, mais il y a une intervention à postériori d'un juge administratif, qui reste un magistrat en théorie indépendant... C'est l'état d'urgence qui permet(tait?) de s'en passer pour les perquisitions etc.

  7. #7
    Membre habitué Avatar de VinnieMc
    Inscrit en
    décembre 2005
    Messages
    208
    Détails du profil
    Informations forums :
    Inscription : décembre 2005
    Messages : 208
    Points : 155
    Points
    155
    Par défaut
    Pardon de me citer:

    ...C'est justement ce qui va mener aux problèmes d'usurpation d'identité puisque les bons profils auront une valeur marchande, je parle même pas des abus de la part des employés et la corruption qui va avec, Amazon est en plein dans une enquête interne pour ces raisons. On voit aussi ça avec les vols de compte YT, Twitter et cie., le chantage des ransomwares. Si tu te fais voler ton identité numérique tu n’existes plus donc tu seras prêt à faire tout pour la récupérer. Surveillance = corruption, en politique c'est très connu...
    https://www.developpez.com/actu/2255...-des-victimes/

  8. #8
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 442
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 442
    Points : 76 854
    Points
    76 854
    Billets dans le blog
    2
    Par défaut Un ancien policier explique comment il a déjoué les contrôles internes de la DGSI et de la PNIJ
    « J’aurais pu être repéré dix fois, le système n’est quasiment pas sécurisé », un ex-agent de la DGSI raconte
    comment il a déjoué les contrôles internes des services de renseignement français

    « Le jour, j’étais un bon flic, le soir, j’endossais le rôle d’Haurus », confesse Christophe B., un ex-agent de la Direction générale de la sécurité intérieure (DGSI). Pendant plusieurs années, il a abusé de ses privilèges au sein des services de renseignement français pour vendre des informations confidentielles sur le Darknet. Mais cela aurait-il été possible si les bonnes mesures de sécurité étaient mises en place au sein de la DGSI ?

    Hier mardi a débuté le procès de Christophe B., un ancien policier de la DGSI accusé d'avoir vendu sur le Darknet des informations confidentielles émanant de fichiers policiers.

    Fils de gendarme, il a intégré l’école de police en 2008. Pendant quelques années, il a enquêté sur les délits routiers à Paris, avant de postuler à la DGSI en 2016. Il rejoint ainsi l'unité judiciaire des services de renseignement où il travaille en tant qu'enquêteur en contre-terrorisme, spécialisé dans l’islam radical. C'est d'ailleurs dans le cadre d'une enquête sur un supposé terroriste qu'il est amené à investiguer sur le Darknet.

    Sur le Darknet, le policier âgé aujourd'hui de 35 ans se crée un profil avec le pseudo Baudelaire93 pour mener ses investigations. En se baladant sur cette partie obscure d'Internet, il rencontre un individu avec le pseudo Jojodelavega qui recherche certaines informations. Des informations que, Chrsitophe B., en vertu de ses privilèges pourrait s'octroyer facilement. D'abord, il ignore l'offre, mais en se rappelant des difficultés financières qu'il traverse, il se dit pourquoi ne pas le faire juste cette fois.

    L'appétit venant en mangeant, il le refait encore et encore, jusqu'à ne plus s'en passer. Il s’est lancé dans des recherches illégitimes dans les fichiers de police pour livrer des informations confidentielles contre de l’argent, et ce, pour répondre aux commandes de Jojodelavega. Il s'agissait d'abord de consultation de fichiers dispersés : permis de conduire, immatriculations, antécédents judiciaires, etc. Puis, cela a pris d'autres proportions quand il a commencé à toucher à la plateforme nationale des interceptions judiciaires (PNIJ) et à vendre des données issues des téléphones mobiles, entre autres.

    Fin 2017, il perd contact avec Jojodelavega, mais cela ne l'arrête pas. L'ex-agent de la DGSI crée une nouvelle identité, « Haurus », et crée une boutique en ligne sur le Darknet, où il propose d’identifier quiconque avec une plaque d’immatriculation, de fournir des adresses, de cerner tout l’entourage d’une personne, etc. Ses prestations allaient de 100 euros à 300 euros et jusqu'à 800 euros si la recherche était compliquée. Si l’on ne sait pas combien cela lui a rapporté, Haurus dit avoir gagné seulement quelques dizaines de milliers d'euros (payés en bitcoins). Les conséquences auraient toutefois été plus graves, car, la police note par exemple que des personnes ont été tuées après que Haurus avait fait des recherches illégitimes sur elles.

    Comment Haurus a-t-il pu passer outre les contrôles internes de la DGSI et de la PNIJ ?

    Dans un interview au média L'Obs, Haurus explique comment il a passé outre les contrôles internes de la DGSI et de la PNIJ. « J’aurais pu être repéré dix fois », explique-t-il. Mais « le système n’est quasiment pas sécurisé, et le fait est que c’est pratique courante de demander les fadettes [relevés des appels téléphoniques transmis par les opérateurs de téléphonie mobile, NDLR] de sa femme, par exemple. Mon exigence en termes de moralité est basse… Je peux vous parler du nombre de fois où on a imité la signature de l’interprète en langue arabe qui n’était pas disponible pour un gardé à vue, parce qu’il était urgent d’envoyer le procès-verbal. »

    Pour les recherches auprès de la PNIJ, Christophe B. explique qu'il suffisait de créer un nouveau dossier, « avec un nom bidon, une enquête préliminaire, un numéro de procédure » puis de l’associer au magistrat qu’il faut. « J’adressais mes requêtes aux juges dont je savais que la PNIJ était comme de la magie noire pour eux, qu’ils n’ouvriraient jamais le dossier. J’étais du coup le seul à voir ce qui se passait dedans. » En un an et demi, il a pu ainsi effectuer près de 400 recherches illégitimes auprès de la PNIJ, selon les enquêteurs.

    Dans une interview accordée au média Le Parisien au début de l'année, Haurus avait été interrogé sur le fait de savoir comment un policier affecté au contre-terrorisme peut en arriver à marchander des informations confidentielles sur le Darknet. À cette question, il a précisé qu'il n'a pas utilisé les moyens de la DGSI, ni porté atteinte au secret-défense. « J'ai eu recours à des fichiers de police accessibles dans n'importe quel service d'enquête. »

    À la question de savoir s'il y a des failles de sécurité à la DGSI, Haurus n'a pas voulu être sévère : « Je ne veux pas accabler mon ancien service. J'ai eu l'occasion lors d'une audition administrative l'an dernier à la DGSI d'expliquer toutes les failles que j'ai pu exploiter afin que cela ne se reproduise pas. Mais la réalité, c'est que lorsque je me suis lancé dans cette affaire, je n'aurais pas pris de risque si j'avais rencontré une difficulté. Des signaux n'ont pas été observés. Y compris côté judiciaire lorsque les magistrats ne regardaient pas le contenu des fausses réquisitions que j'émettais. » Autrement, le système n'est pas aussi sécurisé qu'il devrait l'être.

    Cette thèse se renforce par un livre édité par Christophe B. pour partager son expérience. Dans ce livre qui s'adresse à tous les acteurs de la procédure judiciaire (avocats, magistrats, enquêteurs, etc.), l'ex-agent de la DGSI parle de la façon opaque dont sont conservées les données. Il explique aussi le fait qu'on prône en permanence le respect de la vie privée, alors qu'au même moment, on met en place des outils de plus en plus intrusifs.

    Sources : L'Obs, Le Parisien

    Et vous ?

    Que pensez-vous du fait qu'un brigadier de la DGSI puisse vendre des informations confidentielles sur le Darknet ?
    Cela ne traduit-il pas l'insuffisance, voire l'absence de protections et mesures de sécurité standard ?
    Les données confidentielles des citoyens stockées dans les administrations sont-elles suffisamment sécurisées ?

    Voir aussi :

    Combien pourrait coûter une nouvelle identité numérique ? Un ingénieur parcourt le Dark Web pour y répondre !
    Un programmeur dérobe le code source du logiciel d'espionnage de son ex-employeur pour le revendre sur le darknet et se fait prendre
    Un dealeur Franco-Israélien opérant sur le Dark Web tombe dans les filets de la justice US, après analyse de ses transactions effectuées en bitcoins
    Black Hand, l'un des plus importants forums du Dark Web en France, a été démantelé suite à une mobilisation de plus de 40 agents de la DDNRED
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  9. #9
    Expert confirmé

    Profil pro
    Inscrit en
    janvier 2011
    Messages
    2 868
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 868
    Points : 4 142
    Points
    4 142
    Par défaut
    Bonsoir,

    Que pensez-vous du fait qu'un brigadier de la DGSI puisse vendre des informations confidentielles sur le Darknet ?
    Plus connu sous le nom de ripoux.

    Cela ne traduit-il pas l'insuffisance, voire l'absence de protections et mesures de sécurité standard ?
    La police et la justice française sont à la ramasse en terme de méthodologie, d'infra et d'efficacité dans leurs process ... Pas étonnant que la sécurité soit une vraie passoire.

    Les données confidentielles des citoyens stockées dans les administrations sont-elles suffisamment sécurisées ?
    Non absolument pas ...

    > N'importe qui sur demande peut avoir accès à vos infos fiscales sur simple demande aux Impôts

    > N'importe quel agent d'une carsat , d'une cpam ou d'une caf peut avoir accès aux infos de n'importe quelle personne en France . Même sur simple requête d'un numéro sécu (même partielle) ... un comble !

    La sécurité , cela nous fait une belle jambe

  10. #10
    Invité
    Invité(e)
    Par défaut Merci, chère "neswletter" et cher forum, maintenant je sais combien je vaut.!
    Cela ne traduit-il pas l'insuffisance, voire l'absence de protections et mesures de sécurité standard ?
    Avec mon âge qui avance, ma mémoire recule... et je me suis doté d'un smartphone où j'ai mis plein de choses venant combler les lacunes de ma cervelle. Et je rigolais chaque fois que je devais "cliquer pour ici accepter..." ou encore quand un site de vente de gamelles, fourchettes et autres bricoles, m'impose une "identification forte"... Je rigolais car je me disais que les GAFAM savent déjà tout de moi, bien plus et bien avant les renseignements généraux (excusez cette vieille dénomination qui trahit mon âge !).
    Je rigolais... mais je rigole moins maintenant que je sais ce que valent mes aide-mémoire soigneusement rangés sur des "nuages" où moi-même je me perds.
    Je me croyais si peu de si peu de valeur et suffisamment protégé en renonçant à tous les réseaux sociaux.
    Mais voici que désormais je retrouverais de la valeur...
    Et je réponds à la question en citant un de mes maîtres de 1968 : "chaque fois qu'on élève une barrière en remplacement d'une règle morale, on ne fait qu'inviter à la franchir".

Discussions similaires

  1. Réponses: 6
    Dernier message: 31/03/2019, 23h01
  2. Réponses: 0
    Dernier message: 29/05/2018, 23h38
  3. Réponses: 1
    Dernier message: 09/06/2017, 16h43
  4. Fraude fiscale: le fils du couple Balkany mis en examen
    Par Mingolito dans le forum Politique
    Réponses: 1
    Dernier message: 27/05/2016, 18h02
  5. examen pour la fonction publique
    Par blue dans le forum Etudes
    Réponses: 3
    Dernier message: 27/03/2007, 11h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo