Votre nom :
Votre email :
Email du destinataire :

Comment la police a retrouvé le tueur de Toulouse avec son adresse IP

L‘identification de l’adresse IP du terroriste de Toulouse a été un élément clé de l’enquête. Comment cette donnée informatique a-t-elle pu être décelée, identifiée puis utilisée ? Gros plan sur les traces numériques que l’on laisse sur le web sans forcément le savoir.

Les « sources proches de l’enquête » ont confirmé le fait que l’investigation s’est considérablement accélérée à partir du moment où l’adresse IP du frère du terroriste présumé dans les meurtres de Toulouse et Montauban a été décelée sur leboncoin.fr, via une annonce concernant la vente d’un scooter de grosse cylindrée : le premier militaire assassiné avait été contacté par le tueur, qui désirait lui acheter son deux-roues. A partir de là, la cyber-enquête a été ouverte : étude de toutes les annonces de la victime, y compris sur d’autres sites que leboncoin.fr, inventaire des ordinateurs utilisés, recherche des personnes ayant consulté l’annonce, etc.

Comment la police peut retrouver une personne ayant consulté une annonce ?

On peut facilement concevoir la détection d’un internaute qui a eu des échanges (mail, téléphone) avec un vendeur. Mais comment identifier quelqu’un qui a simplement consulté une annonce sur un site web ? Tout simplement grâce à son adresse IP. Pour rappel, chaque box internet possède une adresse IP, c’est à dire un identifiant de connexion. Cette adresse peut-être fixe (comme chez Free par exemple) ou changer à chaque redémarrage de box (comme chez Orange par exemple, où l’adresse IP est dynamique, flottante).

Or cette adresse IP est automatiquement détectée par les sites web comme leboncoin.fr, et stockée dans une base de données du site, pendant une année entière : cela sert à bannir les spammeurs, ou à renseigner les policiers qui en font la demande, dans le cadre d’une enquête. Il s’agit d’une obligation légale pour les sites où les internautes peuvent être à l’origine de « créations de contenus ». Mais qu’en est-il des internautes qui ne créent aucun contenu, qui se contente simplement de consulter, comme par exemple les 500 personnes qui ont lu l’annonce du militaire ?

Difficile de répondre à cette question. Mais si les adresses IP des « simples lecteurs » sont répertoriées, le procureur et la police judiciaire sont en droit d’en demander l’accès.

Comment peut-on identifier une personne à partir d’une adresse IP ?

Tout est affaire de recoupage : chaque adresse IP de box ou routeur possède des numéros (ou plage de numéros) propres à chaque Fournisseur d’Accès à Internet (FAI). Par exemple, l’adresse fictive 88.164.168.49 peut être attribuée à Free (ou en tout cas un de ses abonnés).

Ces mêmes FAI ont l’obligation de conserver pendant un an les logs (journaux) des connexions de leurs abonnés, pour répondre aux éventuelles demandes de la police judiciaire. L’opérateur fournit ainsi aux enquêteurs l’identité du détenteur d’une adresse IP.

Si la consultation du site a été faite via un smartphone et sa connexion 3G, alors de la même façon, l’opérateur peut retrouver une adresse IP. Et si ce n’est pas le cas, il peut tout de même géolocaliser grossièrement l’auteur, et même filtrer ses appels téléphoniques.

L’adresse IP permet-elle d’identifier à coup sûr une personne ?

Hélas non, et nous l’avons vu avec Hadopi, où l’adresse IP de personnes innocentes était impliquée dans des téléchargements illégaux. Il suffit pour cela d’utiliser une connexion qui n’est pas la sienne. Plusieurs cas de figure existent :

  • La connexion depuis un cybercafé : il existe des solutions pour retrouver un internaute qui s’est connecté depuis un cybercafé, mais c’est un peu plus long que pour un internaute connecté depuis son domicile (recherche du cybercafé, recherche du PC utilisé, étude des vidéos de surveillance, analyse des paiements et des identités déclarées, etc.).
  • La connexion depuis un réseau Wi-Fi ouvert : les hotspots complètements ouverts (pas de cryptage), que l’on retrouve dans les restaurants ou les aéroports, sont des espaces de connexion par définition très discrets (mais également très peu sécurisés)
  • La connexion depuis un hotspot communautaire : les clients SFR peuvent se connecter sur toutes (ou presque) les Neufbox, de même pour les abonnés Free, Bouygues, et prochainement Orange. Ce type de connexion se fait en entrant ses identifiants client, de sorte qu’on est forcément identifié auprès du FAI. Mais certains identifiants privés circulent sur le web, et peuvent être utilisés par n’importe qui pour surfer discrètement, depuis la box de quelqu’un d’autre.
  • La connexion depuis une connexion Wi-Fi crackée : certaines protections Wi-Fi comme par exemple le cryptage WEP sont très faciles à cracker. D’autres chiffrements plus résistants peuvent eux aussi être contournés, notamment si le mot de passe qui les protège est trop facile à deviner. Auquel cas, un inconnu peut se connecter incognito à une box, sans crainte d’être identifié.

D’autres moyens techniques, comme les connexions utilisant des filtres tels que les proxys ou les VPN, permettent de brouiller les pistes et de fournir par exemple une adresse IP autre que la sienne, appartenant à un serveur à l’autre bout du monde.

Bref, sur l’investigation visant à identifier et localiser l’assassin de Toulouse et Montauban, les cyber-enquêteurs ont eu la chance de traquer une personne n’ayant pas spécialement pris de précautions sur le plan informatique : ils ont pu obtenir des résultats fiables et rapides.

Mais quelles que soient les précautions prises, une connexion informatique laisse forcément des traces qui aideront à identifier une personne recherchée. Tenez-vous le pour dit !

 

Source : slate.fr

Image : By Stijn.Berghmans (Own work) [CC0], via Wikimedia Commons

TAGS internetpédagogieWiFi

Aucun commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«2 + 2 = 5 (selon Radiohead)»

Dans le texte ci dessus, quel est le résultat de 2+2 selon radiohead ?

Votre réponse :