Exclusif PC INpact : « Bonjour collègue, on vient de procéder à une interpellation sur l’A86, on voudrait que tu nous sortes deux STIC (…) on ne sait pas si tu es capable de le faire ». Des internautes ont visiblement réussi à récupérer les données STIC (Système de Traitement des Infractions Constatées) de plusieurs personnalités du rap… par simple coup de fil. Le Parquet a ouvert plusieurs enquêtes et l'IGS est saisie. Explications.
Le principe fait appel à une technique bien connue en informatique. C’est l'ingénierie sociale (ou social engineering en anglais) qui, rappelle Wikipedia « est une forme d'acquisition déloyale d'information » qui « exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé » ici le STIC.
STIC ? Le Système de Traitement des Infractions Constatées est un fichier géant répertoriant les données issues des enquêtes menées par la police. Il sert à la fois aux enquêtes judiciaires (recherche des auteurs d'infractions), comme aux investigations administratives (enquêtes préalables) dans certains contextes. Par exemple quand une personne postule pour certains emplois publics ou sensibles. Près de 6,5 millions de personnes mises en cause y sont enregistrées ainsi que 30 millions de victimes. Autant dire un océan d’information qui normalement doit être colmaté contre le risque de fuite.
Exploiter le maillon faible de la chaîne de sécurité du STIC
Pour autant, des individus sont visiblement parvenus à déjouer les protections informatiques les plus solides en visant le maillon faible de la chaîne de sécurité. Selon ce qui ressort de plusieurs enregistrements, ils téléphonent à un commissariat, mettent les personnes en confiance en multipliant les « collègues » voire le tutoiement. Ils simulent une urgence pour réclamer le contenu du STIC. À cette fin, ils épèlent le vrai nom d'un chanteur ainsi que sa date de naissance, deux données récupérées facilement sur Wikipédia par exemple. Et quand le correspondant fait preuve de résistance, ils roulent des épaules, jouent d'arguments d’autorité pour ordonner au policier subalterne cette communication...
Selon les bruits ambiants, les appels semblent passer via Skype. La Fouine, Morsay, Booba et Rhoff sont parmi les potentielles victimes de ce « viol vocal » (et nom d'un site internet éponyme). Mis en confiance, les policiers contactés dévoilent donc le contenu des fichiers STIC avec la liste des infractions en relation avec les personnes mises en cause. Le rappeur Cortex a été aussi victime d’une telle pratique comme il le reconnait dans cette vidéo postée depuis son compte YouTube officiel :
A ceci près que la vidéo du « viol vocal » de son STIC a été retirée (nous n'avons pas eu de retour des autres chanteurs pour l'instant.)
Les recommandations de la CNIL
Fait notable, cette possible fuite d’informations confidentielles, aspirées par simple coup de fil, intervient alors que la CNIL vient de lancer de nouveaux contrôles sur le fichier STIC. Comme lors d’un précédent contrôle, la Commission informatique et Libertés veut notamment s’assurer d’« une meilleure confidentialité des données contenues dans le fichier en limitant au strict nécessaire le nombre d'agents autorisés à le consulter ». Dans le passé, un commandant de police avait été poursuivi pour avoir fourni à des journalistes des données contenues dans le STIC. Il avait été mis en examen pour « détournement de données confidentielles » et « violation du secret professionnel ».
Contactée, la CNIL nous explique qu’elle n’est pas alertée des cinq cas évoqués. « En revanche, la pratique consistant à se faire passer pour quelqu’un pour obtenir des informations issues du STIC est connue de la CNIL, mais il s’agit plus souvent d’enquêteurs privés ».
Ce genre d’astuce était donc connue même de la Commission chargée de protéger les données personnelles. Que recommande du coup la Commission pour colmater cette fuite ? « Pour éviter ce type d’abus, nous recommandons traditionnellement de tenir un registre des consultations indirectes (par téléphone) de fichiers à la demande de policiers inconnus du service requis (la main courante informatisée peut en faire office) ». La CNIL juge aussi utile « de demander systématiquement le matricule du fonctionnaire et ses noms, prénoms, grades et fonction » et « de pratiquer un contre-appel sur un téléphone portable ». Cependant, on le voit, il est simple d’utiliser frauduleusement un téléphone mobile et même d’inventer un nom.
Quatre enquêtes du Parquet à Paris, l'IGS saisie
Du côté de la Préfecture de Police de Paris, cette diffusion ne fait pas du tout rire. Nous apprenons qu’à la suite de ces vidéos, « une enquête est en cours à la demande des quatre parquets de l’agglomération parisienne ». Mieux : « L’inspection générale des services (IGS) est également saisie pour des faits qui pourraient être éventuellement reprochés au policier. »
Pour les qualifications pénales retenues soit à l’encontre des policiers soit des personnes qui les ont sollicités « tout dépendra de la qualification retenue » mais « il est évidemment illicite de faire passer de telles informations » nous indique la Préfecture. Usurpation d’identité, fausse identité de fonctionnaire, accès à un fichier STIC, diffusion de ces données, etc. « Pour les policiers, on verra s’ils seront ou non poursuivis. Tout dépendra des parquets ». Pour sa part, la Prefecture estime qu’ils ont été « abusés », qu’ils étaient « de bonne foi ».
Mais comment se fait-il que de telles informations soient données aussi facilement ? « Pour le moment pas de réponse ». Autre chose, la « préfecture de Police de Paris n’a pas été la seule à être victime. Il y a eu d’autres genres d’appel en province » apprend-on.
Enfin, dernier détail important : le STIC relate des infractions constatées, non des condamnations contrairement à ce qu’indiquent les auteurs de ces « canulars ». Quand tel chanteur est mis en cause, cela veut dire qu’il y a eu une enquête, ni plus ni moins. « Il a été mis en cause, non condamné et nous n’avons pas accès au fichier de la justice qui centralise ces informations » qu’on retrouve dans le casier judiciaire. « Une voisine vous met en cause, vous serez fiché au STIC comme auteur potentiel » relativise la Préfecture.
Outre ses bugs de mise à jour, si le STIC n’est pas encore le reflet du casier juridique, on sait que sa fusion avec JUDEX est programmée. Ce qui accentue d’autant l'urgence de colmater ses fuites.
Commentaires (103)
#1
les potentielles victimes de ce « viol vocal », petit nom fleuri ces pratiques
Non, vous n’avez rien compris.
Violvocal c’est juste un site de t’chat vocal ->http://www.violvocal.com/
Connu jusqu’à là pour avoir organisé des « ownages » téléphoniques, ou encore pour avoir DDoS quelques sites.
Faîtes quand même quelques recherches avant de parler de ça…
#2
Il est vraiment temps que ce fichier disparaisse.
Cela fait des années que les dérives concernant ce fichier STIC sont pointées du doigt. Déjà, le fait que les victimes soient fichées plusieurs années, leur empêchant l’accès à certains emplois, est scandaleux, et en plus les fuites sont régulières.
Parfois comme dans ce cas, des policiers un trop soumis au système hiérarchique lâchent des infos sans contrôle, d’autres les revendent.
#3
viol vocal " /> " /> " />
“viol” c’est comme “pirate”, un mot utilisé à tort et travers…
#4
Le rappeur Cortex
" />" />
Pardon mais c’est trop bon.
Après pour le peu que j’ai entendu, ils ont quand même été bien malin, le fait de faire croire qu’ils ont été coupés du central puis redirigé, ou comme c’est écrit utilisation du “collègue” ou mise sous pression car supérieur hiérarchique.
Je pense aussi que le fait de voir tous ces documentaires enquêtes exclusives, 90” enquête et autres permettent d’avoir beaucoup d’informations sur le fonctionnement de ces services et cela a du bien aider.
#5
#6
Je ne connais aucun de ces artiste, mais c’est pas le sujet.
Après être malin je ne le crois pas, on attaque toujours une forteresse par son point faible et/ou par ruse.
Après va falloir créer une application (genre Itruc) pour automatiser tout ça ….
#7
#8
Testé et approuvé " />
Dis donc Marc, tu en as fait des bétises
#9
Tout ces fichiers c’est le grand déballage, j’ai travaillé 20 pige pour la RATP, une fois un chef de dépôt de bus à réussi à avoir des informations médicale à mon sujet, il avait eu par téléphone le contenu de ma dernière prescription, ça ma rendu fou… Imaginez les dérivent de tout ça…
#10
#11
#12
C’est marrant la critique sur les problèmes du STIC mais n’oublions pas que se faire passer pour quelqu’un que l’on est pas afin d’avoir accès à certaines infos, c’est un délit pénal…
Il ya eu des erreurs certes mais faut arrêter ce matraquage systématique sur tout ce qui touche les forces de l’ordre ou la justice … Parce que le problème c’est que tout le monde mange, pourtant beaucoup font très bien leur boulot.
Où j’étais, toute demande d’information se faisait uniquement sur la base d’un document prouvant l’autorisation d’accès aux données, rien par téléphone ou autre moyen comme ça, sans justification.
Idem pour les infos que j’ai eu à demander à la police, toujours avec document original signé et tamponné, ils lachaient rien par téléphone.
Alors que certains (beaucoup) aient un problème avec ce corps de métiers c’est un fait (malheureusement) mais ne jetez pas la pierre à tout le monde…
#13
#14
10 % de la population mise en cause, 50 % de fichés comme victimes, ça fait un sacré paquet de gens.
je vais user de mon droit d’accès et de rectification pour voir si j’y suis (et de quel côté, des 10 % ou des 50 % ^^)
#15
#16
Ceci est valable pour presque tout.
C’est toujours la même chose avec les fichiers… ils sont créés pour servir et être détournés.
#17
oui, ce sont les fichiers de fichage le problème :
http://www.partipirate.org/spip.php?article38
#18
#19
#20
Wesh !
#21
#22
Bah, pour l’instant pas de quoi crier au loup. Ca doit même leur ramener de l’audience.
#23
#24
#25
#26
#27
#28
Pour sa part, la Prefecture estime qu’ils ont été « abusés », qu’ils étaient « de bonne foi ».
Je suis choqué que la Préfecture préfère excuser les policiers ayant laisser fuiter des informations personnelles en violation de la loi plutôt que de dire qu’elle va sanctionner ces manquements graves et renforcer la sensibilisation et les procédures pour éviter que cela ne se reproduise. " />
#29
C’est le fameux Ulcan qui a fait ce coup, il avait déjà fait des canulars contre Morsay et ses fameux clash sur WoW
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
Déjà, toute personne qui est fichée dans ce Stic devrait en être informée, ainsi que de son contenu, c’est la moindre des choses.
Je suis peut-être un voyou et je le sais même pas. " />
#40
#41
#42
#43
#44
Le problème avec tous ces fichiers fourre-merde, c’est qu’ils ne sont jamais mis à jour ni utilisés correctement.
On peut perdre un emploi simplement parce qu’un fonctionnaire s’est trompé de fiche pour enregistrer ou lire un renseignement, à cause d’une homonymie, d’un caractère oublié/ajouté/remplacé au nom par erreur etc…
Y’a quelque temps une entreprise s’est retrouvée fichée à la banque de France après avoir réclamé en justice le paiement d’une facture à un client… Le gland qui a rempli les documents a inversé les deux SIRET, et du coup le plaignant s’est retrouvé fiché à la place de son client, se retrouvant alors subitement obligé de payer ses fournisseur “au cul du camion”, ces derniers refusant les traites différées habituelles.
J’ai aussi vu quelqu’un fiché à la BDF pour un chèque sans provision de quelques Euro, chèque établi plusieurs années auparavant avec un compte clôturé depuis, que la banque a accepté d’encaisser malgré le dépassement de la date limite de validité (un an après l’émission)
On retrouve aussi les habituels PV pour excès de vitesse envoyés aux mauvaises personnes, leur informatique étant capable de lire une plaque dégueulasse mais pas de vérifier si le modèle de véhicule correspond bien à la plaque lue…
#45
Normalement les rappeurs,ils les fument les stic ?
" />
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
#56
#57
#58
Si je peux me permettre, personnellement c’est le bruit que certains de ces “rappeurs” appellent musique que je trouve être un “viol vocal” :-°
#59
#60
#61
#62
#63
#64
#65
#66
#67
#68
#69
#70
" />
On a retrouvé le coupable : c’est Skype. Faut l’arrêter et faire une loi interdisant/modérant/purifiant … Wait, Belkacem est déjà sur le coup ?
" />
#71
#72
#73
En temps normal (hors médiatisation), ils auraient un blâme puis un avertissement après 10 blâmes. " />
#74
Quelques reponses tordues…
Mais comment se fait-il que de telles informations soient données aussi facilement ? « Pour le moment pas de réponse ».
Traduction: Question genante. Une autre, s’il vous plait.
Autre chose, la « préfecture de Police de Paris n’a pas été la seule à être victime. Il y a eu d’autres genres d’appel en province » apprend-on.
Traduction: On s’est avoir comme des bleus, mais on n’est pas les seuls.
Enfin, dernier détail important : le STIC relate des infractions constatées, non des condamnations contrairement à ce qu’indiquent les auteurs de ces « canulars ». Quand tel chanteur est mis en cause, cela veut dire qu’il y a eu une enquête, ni plus ni moins. « Il a été mis en cause, non condamné et nous n’avons pas accès au fichier de la justice qui centralise ces informations » qu’on retrouve dans le casier judiciaire. « Une voisine vous met en cause, vous serez fiché au STIC comme auteur potentiel » relativise la Préfecture.
C’est exact (et meme pire vu que, dans votre exemple, la voisine aussi s’y retrouve fichee) mais vu que le STIC n’est pas mis a jour correctement, le flou et les fuites peuvent etre tres dommageables. “Vous etes fiches au STIC”, ca n’a aucun sens: comme victime, comme temoin, comme suspect, comme accuse, comme vague connaissance d’un accuse? Vous etes totalement mis hors de cause dans une affaire? Vous restez fiches des annees durant. Une erreur est commise a la mise a jour? Difficile a savoir, a signaler et a corriger.
Les critiques sur ce fichier ont ete nombreuses, et une faille de securite aussi beante ne va pas les calmer.
#75
#76
#77
Les sociétés de crédit en France ont un fichier négatif de la population. Ce qui fait c’est impossible de faire jouer la concurrence. Ce fichier la personne n’en parle.
#78
Surtout ce qui m’interpelle, c’est la conception du fichier/logiciel.
Soit c’est très ancien, soit c’est il y a eu une maitrise d’ouvrage incompétente ou qu’un chef à imposé comme modèle pour une appli nationale, un fichier Acces fait localement par un collaborateur (très) vaguement développeur. Voire un peu des trois …
Une “affaire” a bien apparemment une ouverture, mais n’a pas d’intervenants définis, de phases définis, ni de clôture (un workflow pour ceux qui connaissent). En gros la saisie et le suivi, c’est nimportnawak !
Yapluka faire table rase et refaire une appli dans les normes, et c’est même pas la peine de faire une récupération des données du STIC.
Cela aurait dû être fait depuis longtemps, car tant que l’on utilisera le STIC, ses données seront sujettes à caution et feront des années de données de perdu pour son successeur.
#79
Joli social engineering " />
#80
se faire passer pour quelqu’un que l’on est pas afin d’avoir accès à certaines infos, c’est un délit pénal…
mais le mal est fait
#81
#82
PC Inpact cité par le monde ! Respect " />
L’article du Monde
" />
#83
" />" />" />" />" />" />" />" />
" />" />" />" />" />" />" />" />" />
Mais quelle bande de boulets de merde ces flics !
Non mais sans deconner…..
#84
#85
#86
#87
Des retours de médaille quoi, voilà quoi, qu’est-ce qui croivent quoi, voilà.
#88
Et sinon tout ces rappeurs c’est des vraies racailles ou ils se la (sur)jouent ?
#89
Y a pas mal de chose qui me turlupine.
Premièrement, visiblement ça choque pas grand monde l’aisance morale avec laquelle des personnes se font passer pour des fonctionnaires de Police aux fins d’obtenir des informations normallement sécurisées.
Non visiblement c’est normale, voir comme dirait certains “C’est le jeux ma pove lucette”.
Rien de bien choquant visiblement donc…
Pas plus que l’intrusion dans la vie d’un particulier, et la diffusion de ces infos. Normale en somme.
Ensuite la facilité avec laquelle les gens interprétent les informations.
J’ai commencé par lire que le STIC c’était un fichier en gros ou la Police pouvait constaté la culpabilité des gens.
Youpie kaï….
Merci a ceux qui ont tenté d’éclaircir ce point, mais visiblement ça n’a servit a rien.
Ensuite on a eu le droit a un “Pourquoi les victimes sont elles enregistrées! C’est inadmissible !”
C’est vrai c’est stupide! Pourquoi le Policier de marseille aurait besoin de savoir que Mme ou Mr Truc muche a été auditionné en tant que victime dans le commissariat Paris 15e…. Ben oui le brave fonctionnaire qui a retrouvé le bien volé c’est idiot mais il est sensé connaitre tout les renseignements de toutes les procédure de Police faite en France. Il est con ce fonctionnaire aussi. Du coup pour l’affaire qu’il l’occupe il a pas besoin de recontacter le service ou le dossier a été traité, ni même le parquet concerné. D’ailleurs les autres services judiciaires ils servent à rien eux non plus.
Un autre truc aussi pas mal.
“63% des informations du STIC sont fausses!”
Et moi qui avait cru lire “modifiées”, soit je connais vraiment plus rien de la langue française, soit le dictionnaire des synonymes va devoir encore prendre en épaisseur.
Je sais que je suis une brelle en orthographe et grammaire, et je pense que certains vont avoir les yeux qui piquent en me relisant, mais là va falloir que je reprennes les bases du coup pour “comprendre” le sens des mots.
Alors je passe sur les commentaires sur les reportages police/gendarmerie/justice genres 60”. Si vous voulez vous renseignez sur ce genre de profession je vous invite a faire un “stage” dans ce genre de métier, car c’est pas avec 5-6 reportages que l’on peut se prendre pour Colombo ou Arsène Lupin surtout que les informations communiqués sont filtrés 50 fois avant d’être difusées. Et pas que par le gouvernement (conspiration politique quand tu nous tiens..et du coup j’ai pas passé ce point…téigneux je suis.)
La palme.
“Ficher les gens c’est mal!”…..
Eh Bisounours viens par là j’ai des copains a te présenter.
Déjà, c’est une remarque que je trouve particulérièment idiote car par nature un service qui fait des enquètes, fait de la collecte d’informations, donc de la création de fichiesr en rapport avec leur enquêtes.
Donc de l’information Judiciaire concernant la Police et la Gendarmerie.
Et donc oui la question “Etes vous connus des services de Police/Gendarmerie/Justice” est une questions balotte.
Quand on sait qu’une bonne partie de l’enquête justement sers a savoir si oui il y a eu ou non “intention coupable”, le bandit pas trop con est sencé répondre “Oui” quand il est connu. L’abrutie finit qui est passé 20 fois par la case “audition d’un mise en cause” qui réponds “non” à la question, au moins le flic aura pas gros efforts pour prouver le manque totale de bonne foi de l’individu.
Deuxièmenent, parceque normallement, et je dis bien normallement ce genre d’info doit rester confidentielles, donc discourir sur le fait qu’il existe un fichier STIC qui puisse être “publique” c’est très … génant pour celui qui lance ce débat.
Après ne pas du tout vouloir de fichier, c’est comme ne pas vouloir du tout de service d’orde, ou de services répréssif (que dis je!).
Pardon de services faisant appliquer la Loi.
Je ne dirais qu’une chose. Si ca vous gonfle demandez a ce qu’il y ai une journée nationale sans Police/Gendarmerie. Je me marres d’avance quand vous constaterez que votre voisin/voisine vous veux du bien (paranoïa quand tu nous tiens!).
D’ailleurs je rebondis sur mon tout premier point, si les vicelards se font passer pour des fonctionnaires de Police c’est qu’il y a une raison.
Une dernière dans les points négatifs…
“Des personnes ce sont vu refuser des boulots à cause d’une consultation STIC.”
Soit c’est encore une info du genre “Le cousin, de la grand mère de ma voisine à vu une baleine dans l’étang! Si si je vous le jure!”
Soit j’invite les personnes ayant fait justement l’objet d’avis négatif sur leur embauche sur la seul base du STIC à faire un petit tour chez un avocat.
On a des droits et on doit les faire respecter.
Ca c’était pour les points négatifs, et encore je crois que j’en oublis après 9 pages de commentaires, des liens à tour la rigot, et autre page internet.
Pour les points neutres….
Et oui Mr et Mme, la Police ce sont des être humains! On vous a mentit! Ils peuvent faire des bourdes eux aussi!
Et du coup comme la Justice française est sympa elle a créer la notion de doute en droit, et du coup le système judiciaire c’est adapté car tout le monde peux faire une connerie.
Comme ça avant de condamner un innocent (et oui ca arrive), y a pas mal de pare feu à franchir, et si ils sont franchit c’est qu’il y a eu une succéssion de grosses conneries.
Et les représentants de l’ordre/justice qui en font les frais ca existe aussi. Sauf que ça ne ce sait pas trop. Car crucifier à la porte un ripoux c’est un bon point. Ce planter de gars… publiquement ça le fait moins. (politiquement aussi). Donc on le dit pas et du reste le public s’en fout pas mal qu’un glandu se fasse mettre profond par le système qu’il a juré défendre. Il était trop con lui ausi tien….
Tiens d’ailleurs, comme il le dit le vilain dans son dialgue par skype. “Tu as le droit de consulter le STIC?”.
Comment a t’il fait pour obtenir la bonne personne en ligne? Serie de bourde à plus savoir en finir? Un petit malin qui a communiquer certaines information?
Le système n’est pas fiable à 100%! Comment est ce possible!
A la différence du point où, dans d’autre emploi une erreur de ce genre peut ne pas être sanctionné, chez les condés comme chez les jambons, y a l’effet kiss mais pas cool! La sanction disciplinaire( en plus du pénale le cas échéant! Et même si vous êtes pas mis au parfum c’est le genre de décision qui est un peu (ironique) systématique.
Et ausi la sanction officieuse (que tout bon employeur applique…chiote de vie ou les gens on la rancune…).
En gros c’est “bienvenue au placard” ou “tu reverra pas ton gosse plus d’une fois par tranche de 6 mois car ta mute tu te la car ou je pense, et maintenant tu bosseras de nuit en plus”. (ça c’est la sanction pas officiel du tout mais qui fonctionne très bien quand même quand on peux pas te gauler autrement).
Mais bon faut bien dire aussi, ceux qui donnent ce genre d’infos par tel sans vérifs, ils ont bouletés et en puissance. Je pleurerais pas sur leur effets “pas cool” donc.
J’ai bien aimé d’ailleurs le commentaire d’une personne sur le fait qu’il y ai une procédure et que ce genre d’info ne transite que par radio. Si la Police avait du matos fiable et qui fonctionne ca se saurait (je dit police car j’ai cru comprendre que les gendarmes étaient un poil mieux lotis. Mais seulement un poil).
Du coup la radio qui captent pas ou qui ne transmette pas, ça n’arrive jamais et les fonctionnaires sur le terrains n’utilisent jamais le téléphones perso pour demander des renseignements. Jam