Les communications sont passées du mode traditionnel (voix, courrier électronique et SMS offerts par les opérateurs de télécommunications) à des applications cryptées et "over-the-top" (OTT). Malheureusement, les services répressifs du monde entier ne disposent pas d'informations vitales pour leurs enquêtes. En outre, comme les règles de confidentialité des applications OTT sont régies par leur pays d'origine, l'accès peut être lent, voire bloqué (dans la quasi-totalité des cas). Cela empêche les autorités chargées de l'application des lois d'accéder aux communications stockées ou aux informations sur les abonnés. En outre, avec le lancement des communications 5G et l'accès facile à l'internet par fibre optique, les autorités chargées de la protection des données sont confrontées à un défi de plus en plus important : des volumes de données de l'ordre de centaines de gigabits, voire de térabits ?
Comment les analystes de la LEA peuvent-ils obtenir les renseignements dont ils ont besoin à partir des applications et des communications cryptées ?
L'une des réponses est l'enregistrement des communications Internet (ICR). Les ICR fournissent des informations approfondies, au niveau de l'application, sur chaque paquet et chaque flux. Les ICR peuvent être générés à partir de paquets bruts, dans le cadre de communications interceptées, ou peuvent être générés en temps réel à partir de liaisons internet fonctionnant à des gigabits ou des térabits. Même lorsque les communications sont cryptées, les RIC fournissent des informations beaucoup plus pertinentes, au niveau de l'enquête, que de simples enregistrements de flux. Les enquêteurs qui utilisent les RIC gagnent en efficacité lorsqu'ils analysent les communications Internet capturées. Même avec un filet plus large, ils peuvent fournir des informations sur la planification, le recrutement et la hiérarchie des organisations.
Les RIC offrent quatre facteurs de différenciation uniques et puissants :
- 1) réduire les enregistrements tout en maintenant la fidélité grâce à la synthèse
- 2) associer tous les flux d'un service au service
- 3) détection des dispositifs et services cryptés
- 4) l'identification des services utilisés dans les canaux de communication
Synthèse
Les sites web modernes et les applications OTT impliquent un grand nombre de flux de communication. Par exemple, une visite sur CNN.com génère plus de 300 flux uniques. Presque tous ces flux sont des associations avec des services de réseaux sociaux, des moteurs de recherche, des analyses web, des réseaux de diffusion de contenu et des outils de marketing. Présentés individuellement, ces flux prendraient le temps d'un analyste et consommeraient de l'espace dans la base de données, de l'espace sur l'écran et gêneraient l'indexation, avec peu ou pas de valeur médico-légale. CNN.com n'est pas unique en termes de nombre de flux - c'est le cas de presque tous les sites d'information, de recherche, de vente au détail ou de divertissement.
La plateforme d'interception idéale apprendrait à connaître les sites Internet modernes et les applications OTT et serait en mesure d'optimiser les résultats pour une fidélité maximale à la criminalistique et à la valeur d'investigation. En conséquence, les résultats de la session se présentent sous la forme d'un enregistrement unique, puissant et de haute définition qui fournit à l'enquêteur ce dont il a besoin et rend compte de tous les paquets à travers tous les flux. Bien que la présence du cryptage puisse avoir un impact sur le nombre d'enregistrements, l'association (décrite ci-dessous) permet de résoudre ce problème.
Association
Comme indiqué plus haut, une application OTT ou un site internet moderne peut donner lieu à des centaines de flux individuels. En outre, l'utilisateur type d'un smartphone ou d'un ordinateur de bureau a plusieurs applications ou pages ouvertes en même temps. Identifier quels flux sont associés à quelle application est essentiel pour une comptabilité et des enquêtes correctes.
En d'autres termes, la plateforme d'interception idéale ne se contenterait pas d'apprendre et de connaître les sites internet modernes et les applications OTT, elle serait en mesure d'associer l'application mère aux flux enfants appropriés. L'association peut être utilisée sur des applications telles que Facebook, Google Search, MSN Search, Yahoo Search, Skype, Gmail, WhatsApp, Twitter, YouTube, Instagram, LinkedIn, Pinterest, Reddit, Flickr, Apple iMessage, Apple iCloud et d'autres encore. La fonctionnalité d'association est un énorme avantage pour les analystes LEA qui déterminent l'utilisation des applications et les activités qui y sont liées.
Détection d'événements cryptés
Dans le monde d'aujourd'hui, la plupart des communications concernées sont censées être cryptées. Une fois les certificats initiaux et les échanges de clés terminés, les flux suivants sont entièrement cryptés. Toutefois, malgré l'utilisation du chiffrement et les efforts des développeurs, certaines informations critiques peuvent encore être fournies aux autorités chargées de l'application de la loi. Le moteur de la plateforme d'interception idéale exploite les informations encore disponibles pour enrichir les renseignements tirés des flux cryptés. Il est également capable de détecter et d'enrichir les enregistrements dérivés des flux cryptés, créant ainsi des enregistrements de haute définition. L'extraction enrichie permet d'obtenir de nouvelles informations sur les activités d'un utilisateur, ses canaux de communication et ses habitudes de vie.
Identification du service
Ainsi, malgré l'utilisation du chiffrement dans de nombreuses applications OTT, il est possible de tirer de nombreux enseignements des flux de paquets. En associant cette connaissance à une heuristique sur le flux lui-même, il est possible d'identifier le type d'information utilisé par l'application. Par exemple, les communications chiffrées suivantes sont identifiables :
- Tweets/emails/messages directs utilisant Apple iMessage, Skype, Twitter, WhatsApp, Signal, WeChat, QQ Chat, SnapChat, Viber, Line, Telegram, Gmail et Facebook
- Téléchargement sur Pinterest, YouTube, Instagram et Flickr
- Transferts de fichiers (vers le haut ou vers le bas) à l'aide de Dropbox, iDrive, GoogleDrive, OneDrive
- Posts/commentaires sur LinkedIn, Pinterest, Instagram et Reddit
- Un appel utilisant Apple Facetime, Google Voice, Skype et WhatsApp avec une différenciation entre un appel vocal et un appel vidéo
Ainsi, même si la communication est passée de traditionnelle à OTT et cryptée, les dernières plateformes d'interception peuvent toujours fournir aux autorités chargées de l'application de la loi des informations succinctes et vitales nécessaires aux enquêtes criminelles. L'utilisation de méthodologies d'ingénierie qui permettent à la technologie d'"apprendre" et de "devenir" consciente donne une image plus globale de la façon dont un utilisateur passe d'une application à l'autre et de ce qu'il fait dans cette application.
À propos du Dr Keith Bhatia
En tant que PDG de SS8, Keith combine ses vastes connaissances techniques et commerciales pour faire avancer l'avenir de l'intelligence légale. Au cours de son mandat, il a positionné SS8 en tant que leader dans un monde connecté par la 5G et façonné par une numérisation et une automatisation croissantes. Keith est passionné par la façon dont la technologie peut avoir un impact positif sur notre monde.
À propos de SS8 Networks
SS8 fournit des plateformes de renseignement légal. Elle travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de communication, les organismes chargés de l'application de la loi et les organismes de normalisation, et sa technologie intègre les méthodologies évoquées dans ce blog. Xcipio® a déjà fait ses preuves pour répondre aux exigences très élevées de la 5G et offre la possibilité de transcoder (convertir) entre les versions de transfert d'interception légale et les familles de normes. Intellego® XT prend nativement en charge les transferts ETSI, 3GPP et CALEA, ainsi que les variantes nationales. Le composant MetaHub d'Intellego XT est un outil d'analyse de données de premier ordre. Les deux portefeuilles de produits sont utilisés dans le monde entier pour la capture, l'analyse et la fourniture de données dans le cadre d'enquêtes criminelles.
