Le cybercriminaliste

Comme leur nom l’indique, les criminalistes sont amenés à enquêter sur des crimes. Ils sont donc de toutes les séries criminelles. Mais on les trouve aussi chez CFF Informatique: Oliver Hochgartz est l’un d’eux.

Le cybercriminaliste Oliver Hochgartz au centre de forensique CFF, entouré de ses outils de travail. C’est dans cette salle sécurisée que les appareils saisis sont analysés.
Le cybercriminaliste Oliver Hochgartz au centre de forensique CFF, entouré de ses outils de travail. C’est dans cette salle sécurisée que les appareils saisis sont analysés.

    Qu’ils soient camouflés dans des tenues de cosmonautes sur une scène de crime, drapés de blanc dans un laboratoire d’analyse ou devant un écran d’ordinateur avec un t-shirt punk-rock sur le dos, les criminalistes de la police scientifique apparaissent dans toutes les séries criminelles du monde, aux côtés des agents de police judiciaire. Ils récoltent des preuves, reconstituent le déroulement de crimes, aident même parfois les autorités à arrêter des suspects.

     

    Loin des clichés

    Les clichés télévisuels font sourire Oliver Hochgartz, 47 ans, criminaliste chez CFF Informatique. Certes, au fond, le cœur du métier reste le même. «Nous aussi, nous prélevons et analysons des traces – dans des ordinateurs, des appareils mobiles et des systèmes informatiques. Mais les détails sont souvent moins spectaculaires qu’à la télé», fait remarquer l’expert. Oliver Hochgartz n’est donc pas un personnage lunatique accro à ses écrans, mais un père de famille droit dans ses bottes. Il porte des chemises, et non des t-shirts punk-rock, et peut se targuer d’une longue expérience d’informaticien ainsi que d’une formation complémentaire de cybercriminaliste – on est donc loin du hacker professionnel.

     

    De l’informatique à la cybercriminalité

    Oliver Hochgartz travaille depuis 16 ans chez CFF Informatique et depuis 2010 au sein de l’équipe Forensique ICT, où il a toujours joué un rôle actif: il a évalué divers outils d’analyse et défini des processus ainsi que la collaboration avec HR, le Service juridique et les autorités. Aujourd’hui, il traite environ 70 cas graves par année. Il s’agit généralement d’infractions de conformité ou d’infractions aux instructions, d’introduction de programmes malveillants (chevaux de Troie, virus, etc.) ou d’utilisation abusive d’Internet – consultation de contenus pornographiques, etc. (voir encadré).

     

    Chaque cas est un nouveau défi

    Qu’est-ce qui motive Oliver Hochgartz dans son travail? «J’aime investiguer, chaque cas me donne de nouveaux défis à relever», répond le cybercriminaliste, l’œil pétillant. Sa sacoche à outils abrite de nombreux adaptateurs pour ordinateurs portables, tablettes et smartphones en tous genres. Avec cet attirail, il peut copier les données de quasiment tous les appareils. Pour les analyser, le forensicien travaille avec divers programmes, selon la fonction requise. «Quand je travaille avec les outils d’analyse, je plonge complètement dans l’univers des bits et des bytes.» Ce qui l’oblige à suivre régulièrement des cours de formation continue.

    1 | 3 Oliver Hochgartz travaille depuis plus de 16 ans chez CFF Informatique, depuis 2010 au sein de l’unité Forensique ICT.
    2 | 3 Prescriptions strictes: lors de la copie d’un disque dur, un appareil spécial (à gauche sur la photo) empêche toute modification des données.
    3 | 3 Coup d’œil dans la caisse à outils du spécialiste: l’appareil de lecture (à gauche dans la sacoche) et les différents adaptateurs permettent à Oliver Hochgartz de copier les données de quasiment tous les appareils.

    Rigueur et flexibilité exigées

    La droiture qui caractérise Oliver Hochgartz lui est certainement d’une grande utilité dans son travail. Car chaque cas et chaque manipulation requièrent une rigueur absolue dans le respect des dispositions légales et des directives de Forensique ICT. C’est pourquoi le spécialiste n’intervient généralement que sur demande du Service juridique CFF, du Centre des sinistres et de droit pénal ou de HR. Et il fait preuve d’une neutralité absolue. «Je ne cherche pas à savoir à qui appartiennent les appareils saisis ou qui se cache derrière tel ou tel numéro», affirme le cybercriminaliste. Il se contente de constater les traces qu’il débusque ou de dresser la liste des sites Internet consultés. «Parfois, les soupçons se confirment; d’autres fois, ils sont écartés.» Si des doutes subsistent, le cas est examiné avec le Service juridique.

     

    Une heure ne suffit pas

    Étant donné qu’on ne peut pas prévoir les cas à l’avance, le traqueur de données doit faire preuve d’une grande flexibilité. La sauvegarde et l’analyse des données prennent du temps. Oliver Hochgartz est donc parfois amené à travailler tard le soir ou le week-end. Car c’est là toute la différence entre la télé et la réalité: il faut plus d’une heure pour résoudre un cas.

     

    C’est le moins qu’on puisse dire: copier un disque dur prend entre deux et quatre heures, réaliser une première analyse à l’aide des programmes spécialisés demande quatre ou cinq heures supplémentaires. Si d’autres analyses spécifiques sont nécessaires, Oliver Hochgartz risque d’y consacrer un jour de travail complet. Cela étonne toujours ses mandants et ses partenaires: «Les analyses faites en dix minutes n’existent qu’à la télévision», fait remarquer le cybercriminaliste en riant.

    Forensique ICT

    L’unité Forensique ICT est rattachée à Sécurité et management des risques de CFF Informatique (IT-SR). Elle se charge du relevé et de l’analyse des traces de divers types d’incidents informatiques.

    • Cyberattaques: lorsque des programmes malveillants (virus, chevaux de Troie, etc.) s’introduisent dans les systèmes informatiques des CFF par l’intermédiaire de courriels ou de sites Internet ou en cas d’attaque par des groupes de hackers, Forensique ICT cherche à comprendre comment les agresseurs se sont infiltrés dans les systèmes.
    • Infractions de conformité: en cas de soupçon de corruption ou de malversation, Forensique ICT conserve les appareils utilisés ainsi que les traces décelées dans les systèmes informatiques.
    • Utilisation abusive d’Internet et autres infractions aux instructions: Forensique ICT peut intervenir si, par exemple, des collaborateurs sont soupçonnés de passer trop de temps à surfer sur Internet. L’équipe contrôle en outre régulièrement des sites Internet qui ne sont pas clairement catégorisés pour s’assurer que des contenus pornographiques ou à caractère raciste ne s’y dissimulent pas.

    Dans l’exécution de ses tâches, Forensique ICT respecte les directives du droit du travail et de la protection des données.