Le monde de la 5G est à nos portes ! Ce qui signifie que les autorités chargées de l'application de la loi (LEA) ont un mal de tête : Des débits de données 10 à 100 fois supérieurs à la normale se profilent à l'horizon.
Les autorités chargées de l'application de la loi interceptent et analysent souvent les données de communication lorsqu'elles enquêtent sur un suspect d'intérêt. Toutefois, pour mettre les nouveaux volumes en perspective, il y aura désormais 100 Mbps par suspect. Ainsi, 10 sujets seulement produiront 324 téraoctets (To) de données au cours d'un seul mois ! Avec de telles quantités de données, les anciennes méthodes de stockage dans une base de données relationnelle ne fonctionnent plus.
En outre, trouver quoi que ce soit dans ces 324 téraoctets revient à chercher une aiguille dans une botte de foin. Il faut savoir qu'un système de stockage en réseau (NAS) typique lit environ 200 Mo/s, de sorte qu'une recherche en série dans ces 324 To prendrait environ 19 jours. Les autorités chargées de la protection de l'environnement ne peuvent pas attendre 19 jours pour effectuer une recherche ; un centre de surveillance doit fournir des résultats en quelques secondes.
Pour que cela soit possible, les nouveaux centres de surveillance doivent :
- Disposer d'une base de données et d'une architecture d'indexation horizontalement évolutives, capables de répartir la charge sur plusieurs serveurs et dont la capacité n'est pas limitée. En cas d'augmentation de la charge, vous devez pouvoir ajouter des serveurs et/ou des espaces de stockage supplémentaires et continuer à travailler.
- Être capable de gérer un nombre important de cibles. Outre les lignes fixes et mobiles, le suspect peut également disposer de toute une série de dispositifs liés à l'internet des objets (IOT). Il peut s'agir de caméras, de véhicules à conduite autonome ou d'autres dispositifs intelligents. Ces dispositifs fournissent un "modèle de vie" au suspect et peuvent aider les forces de l'ordre à résoudre et à prévenir des crimes.
- Ingérer le trafic à des débits de plusieurs gigabits, le classer en temps réel et indexer les informations (en mémoire) pour obtenir des résultats de recherche très rapides. Cela nécessite des architectures multithread sophistiquées, une classification intelligente des applications et des services au moment de l'ingestion, et un pipeline très rapide vers le stockage, qui peut être un goulot d'étranglement potentiel.
- Fournir un filtrage intelligent et configurable du contenu. Cela permet aux forces de l'ordre d'écarter le trafic sans importance afin que l'espace de stockage précieux ne soit pas utilisé pour des données cryptées ou pour le film en ligne préféré d'un méchant.
Un centre de surveillance doit également...
Une fois que toutes ces données ont été stockées avec succès, l'étape suivante consiste à s'assurer qu'elles peuvent être retrouvées. L'indexation intelligente et évolutive des données est essentielle. Cela signifie qu'il faut employer une stratégie de partage pour répartir les données sur les serveurs, de manière très efficace. Cela facilitera un accès très rapide aux requêtes les plus utilisées par les analystes. Par exemple, la recherche d'événements de communication en temps réel.
En outre, un aspect souvent négligé de l'ensemble du système consiste à s'assurer que la suppression des données anciennes ou non pertinentes est efficace et simple. C'est presque aussi important que de pouvoir les ajouter efficacement. En supprimant efficacement des données, les précieuses ressources de l'unité centrale et du disque ne sont pas utilisées pour des données qui ne sont plus nécessaires.
La recherche et l'interrogation deviennent de plus en plus difficiles à mesure que les volumes de données augmentent. Trouver une aiguille dans une botte de foin est beaucoup plus difficile lorsque la botte de foin est 100 fois plus grande qu'elle ne l'était auparavant ! La stratégie globale consiste à regrouper les données pour obtenir une vue d'ensemble des résultats, puis à permettre à l'analyste de zoomer sur les données spécifiques qui l'intéressent. Les moyens les plus courants de se concentrer sur des données clés consistent à permettre à l'analyste de spécifier des calendriers, des données de localisation ou d'autres requêtes intelligentes sur ce qu'il souhaite voir.
Le suivi est indispensable. Ainsi, lorsque de nouveaux événements intéressants surviennent, l'analyste doit être immédiatement informé et en mesure d'examiner l'événement en question, sans avoir à le rechercher. L'analyse avancée en arrière-plan permet également d'identifier des modèles clés et d'apporter des tendances aux analystes, sans que ces derniers aient à rechercher les données.
Puissant et facile à utiliser
Toute cette puissance et cette flexibilité signifient-elles que les applications de centre de surveillance de la prochaine génération, prêtes pour la 5G, seront difficiles à utiliser ? Non, pas du tout !
Un bon moteur de recherche offrira une fonctionnalité facile à utiliser pour tous les niveaux d'analyse, par exemple : "Lire tous les appels téléphoniques avec le numéro de téléphone 421-555-9696". Mais il fournira également des requêtes avancées qui pourront être exploitées par des utilisateurs chevronnés, par exemple : "Trouver tous les événements de messagerie électronique capturés dans un rayon de 10 miles autour du Great Mall à Milpitas, CA, entre 22 heures et 23 heures le7 novembre, et dont l'appareil était un iPhone". Les utilisateurs avancés pourront également partager les requêtes qu'ils auront créées, ce qui permettra à d'autres utilisateurs d'y accéder.
Au-delà de l'échelle, les nouveaux centres de surveillance doivent également être en mesure d'importer et d'analyser d'autres données que celles reçues par le biais de l'interception légale. Des sources de données externes peuvent être utilisées pour compléter les données d'interception légale. Il peut s'agir d'autres données relatives aux communications, telles que les relevés détaillés d'appels (CDR) et les relevés de communications internet (ICR). Toutefois, les systèmes les plus souples pourront également ingérer de multiples sources de métadonnées et identifier automatiquement leurs types de données et leur structure. Permettre aux services répressifs d'analyser les données d'interception légale en parallèle avec les immatriculations de véhicules, les dossiers financiers, les lecteurs automatiques de plaques d'immatriculation, les dossiers d'arrestation, ou presque n'importe quoi d'autre. La possibilité de combiner toutes ces sources de données et de les interroger simultanément aide les analystes à faciliter l'obtention de résultats à partir de nombreuses pièces d'un grand puzzle.
Conclusion
La 5G augmente considérablement les volumes de données et un centre de surveillance de nouvelle génération est indispensable pour que les forces de l'ordre puissent suivre. Ce n'est pas seulement une question d'échelle. Il s'agit également de fournir des outils et des analyses permettant d'analyser avec succès et rapidité toutes les données. Un centre de surveillance doté des toutes dernières fonctionnalités fournira des informations exploitables à ceux qui en ont besoin. Il contribue à faire en sorte que les bons gagnent la guerre technologique !
À propos de SS8
SS8 fournit des plateformes de renseignement légal. Elle travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de services de communication, les organismes chargés de l'application de la loi et les organismes de normalisation. Sa technologie intègre les méthodologies évoquées dans ce blog et les portefeuilles de produits Xcipio®et Intellego®sont utilisés dans le monde entier pour la capture, l'analyse et la fourniture de données dans le cadre d'enquêtes criminelles.
