Vue d'ensemble
Il existe deux grands types de capacités de surveillance : l'interception ciblée et l'interception en masse. L'interception ciblée, ou surveillance ciblée, se concentre sur des individus ou un sujet d'intérêt (SoI) sous le contrôle du gouvernement ou de la justice et peut être effectuée ouvertement ou secrètement. Chaque surveillance est effectuée dans le cadre d'une enquête ou d'une opération spécifique. Les interceptions ciblées sont généralement réservées à la lutte contre la criminalité grave et organisée, y compris le terrorisme et les menaces graves pour la vie, et se présentent généralement sous trois formes principales : L'interception légale, l'identification tactique et l'interférence des équipements tactiques. Ces méthodes d'interception englobent l'interception de toutes les données de communication et de localisation.
La surveillance de masse est parfois appelée surveillance "passive" ou "non dirigée". Elle ne vise pas un individu en particulier, mais rassemble de grandes quantités d'informations en vue d'une éventuelle consultation ultérieure.
Interception légale, identification tactique et équipement tactique
L'interception légale est la possibilité pour les agents chargés de l'application de la loi mandatés par le gouvernement ou les agents agréés appropriés de demander un mandat judiciaire pour permettre l'interception ciblée en temps réel de données de communication. L'interception est secrète et, dans ce cas, elle est spécifique à un seul utilisateur final et à ses appareils. Cette capacité est étroitement réglementée dans chaque pays et ne permet aucune intrusion collatérale sur d'autres personnes non mandatées par le mandat judiciaire, ce qui constitue une riche source de renseignements.
L'identification tactique est un autre outil dans le domaine de l'interception ciblée et se présente généralement sous deux formes. La première est une technique qui permet à un système tactique déployé localement de scanner les dispositifs de communication ciblés. Lorsqu'un appareil est détecté et localisé, les données sont rapportées. Il est alors possible d'identifier le ou les individus en possession de l'appareil. La deuxième partie de l'identification tactique est constituée par les capteurs d'identité internationale d'abonné mobile (IMSI). Les IMSI grabbers permettent l'identification localisée des équipements de communication mobile que les personnes portent sur elles. Cette méthode est légèrement plus intrusive, car elle couvre une zone plus large. L'intrusion collatérale doit être comparée au crime ou à la menace que représente la SoI.
La dernière interception ciblée se présente sous la forme d'une interface d'équipement tactique. Cette méthode permet aux agents mandatés d'exploiter les capacités d'investigation cybernétique contre des dispositifs d'intérêt. Cela peut inclure le déploiement de logiciels malveillants et de vers, et permet l'extraction ciblée d'informations de localisation, l'identification du sujet, la surveillance et la perturbation des appareils ciblés.
Interception en vrac
L'interception de masse est la capacité de collecter des données en masse sur tous les appareils connectés à un réseau ou à une région géographique. L'étendue et la richesse des données peuvent aller des métadonnées de communication de base, des enregistrements téléphoniques, à la localisation et aux informations sur les tours de téléphonie cellulaire.
La principale utilisation de l'analyse des interceptions en vrac est la capacité d'analyser historiquement des parcelles de vie. Par exemple, dans le cadre d'une enquête sur un meurtre, les relevés téléphoniques d'un sujet d'intérêt peuvent être cités à comparaître avec les données de la tour cellulaire pour aider à prouver ou à réfuter que le sujet d'intérêt a été en contact avec la victime ou qu'il se trouvait dans la zone locale au moment de l'incident. La différence entre l'interception ciblée et l'interception en vrac est que les relevés téléphoniques en vrac montrent un appel, mais pas son contenu. En revanche, une interception ciblée aurait permis de saisir l'intégralité de la communication.
L'interception de masse intelligente peut actuellement être utilisée pour enregistrer uniquement des métadonnées telles que les enregistrements détaillés des appels (CDR) ou les enregistrements détaillés du protocole Internet (IPDR). Essayer d'enregistrer un réseau IP complet de niveau opérateur est très coûteux et n'est souvent pas commercialement viable. Alors que la capacité de stockage augmente et que le prix par octet continue de diminuer, la vitesse des réseaux augmente également. Il sera extrêmement difficile d'enregistrer tout le trafic ou tout le réseau IP.
Cependant, les applications à faible bande passante et à forte valeur ajoutée peuvent être enregistrées en masse. Ces applications comprennent la voix, les SMS, le chat et le courrier électronique. Il n'est pas nécessaire d'enregistrer les personnes qui utilisent des services de streaming tels que les vidéos Netflix, mais il est relativement facile d'identifier les applications, puis de les ingérer et de les conserver.
Le renseignement de source ouverte (OSINT) est la collecte et l'analyse d'informations provenant de sources publiques ou ouvertes. Ce type de renseignement relève principalement du segment de l'interception de masse. Cependant, en raison du volume de données, l'analyse de ces données doit être très fine.
Conclusion
L'interception ciblée et certaines interceptions de masse fournissent aux forces de l'ordre les outils nécessaires au maintien d'une société plus sûre. Les deux types d'interception ont leur place et offrent des avantages dans leur application, sous réserve d'un contrôle réglementaire approprié et d'une sécurité ferme. L'interception est et restera une ressource vitale et nécessaire dans la lutte contre le terrorisme et la grande criminalité organisée.
David Anstiss est architecte de solutions senior chez SS8 Networks. Il travaille chez SS8 depuis 2015 et possède une expérience significative en matière de technologie d'architecture de réseau critique et d'analyse de données avancée. Il est chargé de travailler à la fois avec les agences de renseignement et les fournisseurs de services de communication (CSP) du monde entier et joue un rôle déterminant pour les aider à passer à la 5G, en définissant les exigences du système pour répondre à la conformité réglementaire. En tant que membre de l'ETSI, il représente le SS8 pour veiller à ce que l'adoption d'une infrastructure native dans le nuage soit conforme aux meilleures pratiques de l'industrie et pour garantir le maintien de la conformité de l'interception légale.
À propos de SS8 Networks
SS8 fournit des plateformes de renseignement légal. Elle travaille en étroite collaboration avec les principales agences de renseignement, les fournisseurs de communication, les organismes chargés de l'application de la loi et les organismes de normalisation, et sa technologie intègre les méthodologies évoquées dans ce blog. Xcipio® a déjà fait ses preuves pour répondre aux exigences très élevées de la 5G et offre la possibilité de transcoder (convertir) entre les versions de transfert d'interception légale et les familles de normes. Intellego® XT prend nativement en charge les transferts ETSI, 3GPP et CALEA, ainsi que les variantes nationales. Le composant MetaHub d'Intellego XT est un outil d'analyse de données de premier ordre. Les deux portefeuilles de produits sont utilisés dans le monde entier pour la capture, l'analyse et la fourniture de données dans le cadre d'enquêtes criminelles.
