Aujourd'hui, les agences chargées de l'application de la loi (LEA) et les organisations de renseignement connexes sont assiégées sur un certain nombre de fronts et devront changer et faire évoluer des pratiques et des flux de travail vieux de plusieurs décennies pour maintenir leur capacité à détecter et à agir sur des renseignements crédibles issus de la surveillance des réseaux de communication.
Cette déclaration liminaire n'est pas faite avec désinvolture ou sans justification empirique. Les utilisateurs de réseaux et les entreprises sont de plus en plus sophistiqués et soucieux du respect de leur vie privée. Cela se traduit par une augmentation de l'utilisation de nombreuses formes de cryptage sur le réseau, telles que les VPN ou les techniques de cryptage des points finaux, qui entravent gravement (au mieux) ou annulent totalement (au pire) la pratique de la LI. Appelé "Going Dark" par l'industrie, ce problème est très préoccupant car il est considéré comme rendant la poursuite de la justice de plus en plus aveugle.
Le développement, le déploiement et l'utilisation d'applications augmentent, sous l'effet de l'adoption d'appareils mobiles comme moyen d'accès à l'internet. Dans le contexte de la LI, cela se traduit par une complexité et une variété accrues du trafic (plus de "bits" à comprendre et pour lesquels il faut construire des analyseurs). Et comme les appareils mobiles sont très pratiques, chaque utilisateur génère généralement une plus grande partie de ce trafic sans avoir besoin d'être lié à un point d'accès fixe.
Les fournisseurs de services de communication, stimulés par la prévalence d'applications "cool" que leurs abonnés ont intégrées à leur mode de vie, augmentent la capacité du cœur et du tissu d'accès, comme le montrent l'adoption et le déploiement à l'échelle mondiale de la 4G, de l'IMS, du WiFi, du Carrier Ethernet et des cœurs IP 100G. Cela pose le problème du "Big Data", qui a pour effet de rendre difficile l'identification des données/appels suspects, alors qu'il y a beaucoup plus de données de bruit blanc provenant des utilisateurs normaux du réseau.
Comment les analystes peuvent-ils trouver des renseignements exploitables dans les données reçues d'un sujet d'intérêt, alors que l'utilisation personnelle du réseau par ce sujet a potentiellement été multipliée par dix et qu'il communique désormais avec un réseau de cyber-identités non attribuées ?
Comprendre les ensembles de données volumineuses grâce à l'analyse visuelle
L'analyse visuelle est un nouvel outil essentiel qui facilite la compréhension des ensembles de données volumineuses et permet aux analystes de déterminer rapidement les relations, les modèles de comportement anormaux et les flux d'informations. Grâce à cet outil, les analystes peuvent écarter ou se concentrer sur certaines zones d'un sous-ensemble de données et rejeter le reste, jugé non pertinent pour leur enquête.
Il s'agit d'une évolution de deux domaines d'étude - l'information et la visualisation scientifique - qui se concentre sur la possibilité d'un raisonnement analytique et d'une compréhension par la présentation de données à l'aide de techniques visuelles interactives. En règle générale, l'analyse visuelle est utilisée pour traiter des données dont la complexité innée, la taille massive et les exigences analytiques pluridisciplinaires (analyse des "modèles" par la machine couplée à l'analyse basée sur l'intuition humaine) rendent le problème impossible à traiter autrement. La prise en compte de l'ensemble des données, l'examen du problème et la formulation d'une conclusion sont considérés comme irréalisables sans ces méthodes.
L'analyse visuelle a été définie comme la "science du raisonnement analytique facilité par des interfaces visuelles interactives". Elle intègre de nombreuses nouvelles techniques à des approches établies dans le domaine de la recherche universitaire, afin de parvenir plus rapidement à un résultat éclairé, en dépit de la taille et de la complexité de l'ensemble des données. L'objectif ultime, dans le contexte de la LI, est d'obtenir les renseignements exploitables les plus précis, à partir des informations sur les communications reçues en vertu d'un mandat, en mobilisant le moins possible le temps et les efforts de l'analyste chargé de l'affaire.
Ainsi, l'analyse visuelle est considérée comme l'une des pierres angulaires de la discipline scientifique du raisonnement analytique - une pratique qui s'efforce d'aider à appliquer des jugements humains pour parvenir à des conclusions à partir d'une combinaison de preuves et d'hypothèses, puis de les afficher à l'aide d'un certain nombre de différentes données/représentations visuelles. Ces représentations des données transforment des millions de lignes de données de communication (dans le contexte de la LI) en une forme visible qui met en évidence des caractéristiques importantes, notamment des points communs, des relations et des anomalies dans l'ensemble de l'utilisation de l'infrastructure de communication par un sujet. L'objectif de cette analyse est souvent de déduire l'intention du ou des sujets au stade de la planification ou d'obtenir des preuves d'un acte répréhensible après coup.
Changement de paradigme pour les LEA
Ce type de capacité constitue un véritable changement de paradigme pour une grande partie de la communauté des forces de l'ordre qui, jusqu'à présent, s'en remettait au travail acharné des analystes pour interpréter les données à l'aide d'outils maison, d'une utilisation astucieuse d'Excel et de tableaux croisés dynamiques ou même, dans certains cas, de comparaisons sur papier. Ces méthodes ont encore une certaine validité, mais pas lorsqu'elles sont appliquées à l'ensemble des Big Data.
L'analyse visuelle doit être considérée comme un moyen de trier le bruit blanc et de parvenir à des conclusions préliminaires, après quoi ces autres traitements du sous-ensemble critique exposé des données peuvent être utilisés pour valider l'hypothèse (dans ce contexte, culpabilité du sujet ou confirmation de l'intention).
En fin de compte, l'analyste structurera sa vision et son étude des données sous la forme d'une série de questions "pourquoi", "quoi" et "comment". Les réponses à ces questions définiront la technique d'analyse visuelle à utiliser et une grande partie du flux de travail à suivre pour parvenir à une conclusion. Les prochains blogs consacrés à des exemples spécifiques de techniques d'analyse visuelle respecteront ce format basé sur des questions, avec des exemples concrets et la réflexion qui les sous-tend.
Pourquoi
- Pourquoi devons-nous utiliser une technique analytique ?
- Pour décrire quelque chose [inventaire de "x"]
- Tester une hypothèse et la prouver/défaire
- Prédire un résultat sur la base des résultats/données collectés - c'est typiquement là que l'analyse visuelle sera utilisée.
Ce qu'il faut faire
- Quelle est la question à laquelle vous essayez de répondre ?
- Quels sont les résultats de l'analyse/exploration initiale ?
Comment
- Comment les données sont-elles collectées ?
- Observation
- Échantillonnage
- Cela permet naturellement de normaliser les données observées en catégories
- Expérimentation [c'est la plus pertinente dans le contexte du LI]
- Lorsque nous manipulons l'environnement pour contrôler les conditions et les normaliser de manière à ce que les résultats ne soient pas influencés par des facteurs externes [par exemple, dans le contexte du LI, l'application d'une fonction d'accès normalisée dans le réseau et d'une spécification de transfert de données clairement définie].
- Comment voulez-vous que les données soient formatées/présentées ?
- Comment l'ensemble de données petit/moyen/grand doit-il être modélisé en vue d'une analyse approfondie/suivie supplémentaire ?
Comment les résultats finaux seront-ils présentés ?
La façon dont cela fonctionne en pratique fera l'objet de mon prochain blog, alors que nous examinerons un exemple pratique d'analyse de grille en conjonction avec les graphiques sociaux et l'analyse des réseaux sociaux (SNA), toutes des techniques d'analyse visuelle. Ces traitements des données seront utilisés pour démontrer le filtrage d'un énorme ensemble de données, puis pour montrer visuellement les relations dans les données et la manière dont elles peuvent être fusionnées par l'effondrement de multiples cyber-identités attribuables à des utilisateurs ou à des groupes uniques, en acteurs physiques/suspects d'intérêt.
-
Brett Taylor
Ingénieur commercial principal, SS8
À propos de SS8 Networks
SS8 fournit des plateformes de renseignement légal. Elle travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de communication, les organismes chargés de l'application de la loi et les organismes de normalisation, et sa technologie intègre les méthodologies évoquées dans ce blog. Xcipio® a déjà fait ses preuves pour répondre aux exigences très élevées de la 5G et offre la possibilité de transcoder (convertir) entre les versions de transfert d'interception légale et les familles de normes. Intellego® XT prend nativement en charge les transferts ETSI, 3GPP et CALEA, ainsi que les variantes nationales. Le composant MetaHub d'Intellego XT est un outil d'analyse de données de premier ordre. Les deux portefeuilles de produits sont utilisés dans le monde entier pour la capture, l'analyse et la fourniture de données dans le cadre d'enquêtes criminelles.
