Certification des accès frauduleux aux comptes avec IP | FEDIS

Prérequis fondamentaux pour la certification

La certification d’accès abusifs est possible seulement si :

• Vous avez repris le contrôle du compte (mot de passe changé, hacker expulsé) ;
• Les journaux d’activité sont accessibles (activity log, historique accès, dispositifs utilisés) ;
• Les accès abusifs sont visibles dans les journaux avec IP, date/heure, dispositif ;
• Les journaux n’ont pas encore été supprimés (généralement conservés 6-12 mois).

Important : Si le hacker a toujours le contrôle ou les journaux ne sont pas accessibles, la certification n’est pas techniquement possible.

📧 Certification Google / Gmail

• Activity log complet : https://myaccount.google.com/device-activity avec IP accès, dispositifs, localisations ;
• Google Takeout : archive complète Gmail (MBOX), Drive, Calendar, Photos, YouTube, Contacts ;
• Gmail activity : emails lus, envoyés, supprimés avec timestamp et IP ;
• Drive activity : fichiers téléchargés, modifiés, partagés par le hacker ;
• Calendar activity : rendez-vous modifiés/supprimés ;
• Photos access : photos visualisées/téléchargées ;
• YouTube activity : vidéos téléversées/supprimées, commentaires ;
• Dispositifs reconnus : quel dispositif a utilisé le hacker (modèle, système d’exploitation, navigateur) ;
• Sessions actives : sessions simultanées depuis IP différentes (physiquement impossible).

Données techniques acquises : IP publique hacker, géolocalisation (pays/ville), ISP provider, User Agent, timestamp UTC.

💼 Certification Microsoft 365 / Outlook

• Page dispositifs : https://account.microsoft.com/devices avec dispositifs utilisés pour accès ;
• Recent activity : historique accès avec IP et localisation ;
• Outlook activity : emails lus/envoyés depuis IP non autorisée ;
• OneDrive activity : fichiers téléchargés, modifiés, partagés ;
• Teams activity : chats lus, messages envoyés ;
• Office 365 audit log : journal complet activité compte d’entreprise ;
• Sign-in logs : tentatives accès réussies/échouées avec IP ;
• Unusual activity alerts : alertes Microsoft pour accès suspects.

Données techniques acquises : IP accès, localisation, device type, navigateur, apps utilisées, horaires accès.

📱 Certification Facebook / Instagram / Meta

• Où vous vous êtes connecté : section Facebook/Instagram avec IP, dispositifs, localisations accès ;
• Sessions actives : sessions actuelles non autorisées ;
• Dispositifs reconnus : quel dispositif a utilisé le hacker ;
• Télécharger vos informations : archive complète activité compte (posts, messages, photos, vidéos, recherches) ;
• Activity log : actions accomplies par le hacker (posts publiés, messages envoyés, photos téléversées) ;
• Login alerts : notifications accès suspects reçues ;
• Authorized apps : apps connectées au compte utilisées pour accès.

Données techniques acquises : IP publique, ville approximative, type dispositif, navigateur, timestamp accès.

🍎 Certification Apple iCloud

• Dispositifs associés : https://appleid.apple.com avec dispositifs connectés à l’Apple ID ;
• Activity log : accès récents avec IP et localisation ;
• iCloud access : d’où a été accédé iCloud Drive, Photos, Contacts ;
• Find My iPhone activity : utilisation Find My par le hacker ;
• iMessage/FaceTime access : messages lus/envoyés ;
• Password changes : tentatives changement mot de passe ;
• Two-factor notifications : notifications 2FA reçues pour accès suspects.

Données techniques acquises : IP, localisation, device model, iOS version, timestamp.

🛒 Autres plateformes certifiables

• Amazon : Login history avec IP, dispositifs connectés, commandes non autorisées ;
• PayPal : Historique accès IP, transactions suspectes, dispositifs connectés ;
• Dropbox : Security events, fichiers téléchargés, linked devices ;
• LinkedIn : Where you’re signed in, recent activity, devices ;
• Twitter/X : Apps and sessions, login history ;
• TikTok : Security and login, devices ;
• Spotify : Account overview, recent activity ;
• Netflix : Recent device streaming activity.

Demander un devis

Nous fournirons immédiatement l’évaluation de faisabilité technique (vérification prérequis), la modalité d’acquisition, les délais d’exécution et le devis économique détaillé. Intervention rapide disponible pour cas urgents (journaux à risque suppression).

Demander un devis

🌐 Adresse IP publique du hacker

L’IP publique est l’élément probatoire fondamental pour identifier l’agresseur :

• IP address complète : ex. 185.220.101.45, 91.198.174.192 ;
• Timestamp précis : date et heure exacte accès (UTC) ;
• Géolocalisation IP : pays, région, ville approximative (utilisant base de données MaxMind, IPinfo) ;
• ISP identification : quel fournisseur internet fournit cette IP (ex. Rostelecom Russie, Orange France, Free) ;
• Reverse DNS lookup : hostname associé à l’IP ;
• IP reputation : l’IP est-elle connue pour activités malveillantes ? Est-ce un VPN/Proxy/Tor exit node ? ;
• ASN (Autonomous System Number) : identifiant réseau ISP.

Usage légal : Avec IP publique, Police peut demander à ISP identification abonné titulaire connexion au moment de l’accès.

📱 Dispositif et User Agent utilisés

Identification du dispositif utilisé par le hacker :

• Type dispositif : smartphone, tablette, ordinateur bureau/portable ;
• Système d’exploitation : Windows 10/11, macOS, iOS, Android (version spécifique) ;
• Navigateur utilisé : Chrome, Firefox, Safari, Edge (version) ;
• User Agent string : chaîne technique complète identificative ;
• Modèle dispositif : iPhone 12, Samsung Galaxy S21, MacBook Pro (quand disponible) ;
• Résolution écran : indication dimensions display ;
• App utilisée : accès depuis app mobile officielle ou navigateur web.

Pertinence probatoire : Démontre dispositif hacker différent des légitimes de la victime.

⏰ Timeline chronologique accès

Reconstruction temporelle complète de la violation :

• Premier accès abusif : quand le hacker est entré la première fois ;
• Accès successifs : fréquence et pattern temporel (chaque jour à 3h du matin ? Une seule fois ?) ;
• Durée sessions : combien de temps est resté connecté ;
• Actions accomplies : qu’a-t-il fait pendant chaque session (lu email X, téléchargé fichier Y, envoyé message Z) ;
• Dernier accès abusif : quand le hacker a perdu accès ;
• Découverte violation : quand la victime s’en est rendu compte ;
• Reprise contrôle : quand mot de passe changé et hacker expulsé ;
• Overlap temporel : accès simultanés impossibles (victime à Paris, hacker en Russie même moment).

🎯 Actions spécifiques accomplies par le hacker

Documentation détaillée des activités abusives :

• Emails lus : quels emails a-t-il ouvert et quand ;
• Emails envoyés : messages envoyés depuis votre compte (phishing, escroqueries, diffamation) ;
• Emails supprimés : preuves détruites par le hacker ;
• Fichiers téléchargés : documents, photos, vidéos copiés de Drive/OneDrive ;
• Fichiers modifiés/supprimés : documents altérés ou détruits ;
• Fichiers partagés : documents rendus accessibles à tiers ;
• Posts publiés : contenus publiés sur réseaux sociaux depuis votre compte ;
• Messages envoyés : chats/DM envoyés à contacts ;
• Mots de passe changés : tentatives modification identifiants ;
• Paramètres modifiés : transfert email activé, 2FA désactivé ;
• Achats effectués : commandes Amazon/PayPal non autorisées.

⚖️ Comparaison IP légitime vs IP abusive

Démonstration que accès proviennent de source différente de la victime :

• IP habituelle victime : pattern normal accès (ex. toujours depuis 93.45.xxx.xxx Orange Fibre Paris) ;
• IP hacker : complètement différente (ex. 185.220.xxx.xxx Rostelecom Saint-Pétersbourg) ;
• Pattern géographique : victime toujours France, hacker depuis Russie/Nigeria/Roumanie ;
• Pattern temporel : victime accède heures ouvrables, hacker la nuit heures françaises ;
• Accès impossibles : login simultané depuis Paris (victime) et Lagos (hacker) – physiquement impossible ;
• Dispositifs incongrus : victime utilise iPhone/Mac, hacker utilise Android/Windows ;
• Carte visuelle : visualisation géographique accès légitimes vs abusifs.

📧 Emails lus/envoyés sans autorisation

Scénario typique : Hacker accède à Gmail/Outlook, lit emails confidentiels (contrats, données sensibles, communications personnelles), envoie emails depuis votre compte (phishing aux contacts, demandes argent, diffamation), supprime emails pour cacher traces.

Ce que nous certifions : Activity log Gmail/Outlook avec IP hacker mise en évidence, timestamp accès, liste emails lus/envoyés/supprimés, géolocalisation IP (ex. Roumanie tandis que victime en France), comparaison avec IP légitime victime.

Délit : Accès abusif + éventuellement interception communications si emails lus.

💾 Fichiers volés du stockage cloud

Scénario typique : Hacker télécharge documents confidentiels de Google Drive/OneDrive/Dropbox (contrats, bilans, projets, photos personnelles), partage fichiers avec comptes externes, supprime documents pour sabotage.

Ce que nous certifions : Drive/OneDrive activity log avec IP téléchargement, liste fichiers téléchargés avec timestamp, fichiers partagés avec qui, éventuelles suppressions, géolocalisation IP hacker, device utilisé.

Délit : Accès abusif + atteintes aux données si fichiers supprimés + possible vol propriété intellectuelle.

📱 Profil social utilisé pour escroqueries/diffamation

Scénario typique : Hacker accède à Facebook/Instagram, publie posts diffamatoires, envoie messages aux contacts demandant argent avec excuses (“je suis en difficulté, prête-moi argent”), publie photos/vidéos compromettantes.

Ce que nous certifions : Facebook “Où vous vous êtes connecté” avec IP hacker, device utilisé, timestamp, “Télécharger vos informations” avec posts/messages envoyés par le hacker, comparaison IP victime vs hacker.

Délit : Accès abusif + escroquerie si demandes argent + diffamation si posts offensants.

🛒 Achats frauduleux avec compte e-commerce

Scénario typique : Hacker utilise compte Amazon/PayPal violé pour faire achats non autorisés, change adresse livraison, vide solde PayPal.

Ce que nous certifions : Amazon login history avec IP commande frauduleuse, PayPal transaction history avec IP transaction, timestamp, géolocalisation (commande faite depuis IP étrangère), détails commande/transaction.

Délit : Accès abusif + fraude informatique.

💔 Harcèlement numérique d’ex-partenaire

Scénario typique : Ex-partenaire connaît toujours mot de passe (jamais changé après rupture), accède régulièrement à Gmail/iCloud pour lire emails, contrôler Calendar (où vous êtes, avec qui), voir Google Photos/iCloud Photos, tracer position via Find My.

Ce que nous certifions : Activity log Gmail/iCloud avec pattern accès suspects depuis IP/dispositif ex-partenaire, fréquence accès (chaque jour pendant mois), actions accomplies (emails lus, Calendar visualisé, Photos accédées), corrélation IP avec résidence ex.

Délit : Accès abusif + harcèlement.

💼 Sabotage d’entreprise par ex-employé

Scénario typique : Ex-employé licencié a toujours accès à Microsoft 365 d’entreprise (identifiants non révoqués), accède et supprime documents, emails, projets par vengeance, télécharge données confidentielles avant sortie définitive.

Ce que nous certifions : Microsoft 365 audit log d’entreprise avec accès ex-employé post-licenciement, IP accès (depuis domicile ex-employé, pas depuis bureau), fichiers supprimés/téléchargés, timeline actions vs date licenciement.

Délit : Accès abusif + atteintes aux données + possible violation secret d’entreprise.

🇫🇷 Réglementation française – Art. 323-1 Code pénal

Délit principal : Accès frauduleux à système de traitement automatisé de données.

Article 323-1 Code pénal : “Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende.”

Peines aggravées (jusqu’à 3 ans et 100 000 €) si :

• Suppression ou modification de données ;
• Altération du fonctionnement du système ;
• Introduction frauduleuse de données.

Art. 323-2 C.P. : Entrave ou faussement du fonctionnement d’un système – jusqu’à 5 ans et 150 000 €.

🔗 Délits connexes fréquents

• Art. 226-15 C.P. – Atteinte au secret des correspondances (si emails lus) ;
• Art. 323-3 C.P. – Suppression de données (si fichiers supprimés) ;
• Art. 313-1 C.P. – Escroquerie (si utilisé compte pour achats/transactions non autorisés) ;
• Art. 222-33-2-2 C.P. – Harcèlement (si accès répétés d’ex-partenaire) ;
• Art. 226-1 C.P. – Atteinte vie privée (si diffusées photos intimes).

🇪🇺 Directive européenne 2013/40/UE

La Directive 2013/40/UE sur les attaques contre les systèmes d’information oblige les États membres UE à criminaliser l’accès abusif aux systèmes informatiques. Chaque pays a implémenté avec ses propres normes pénales nationales équivalentes à l’Art. 323-1 français.

Harmonisation UE : La certification forensique avec méthodologie eIDAS est reconnue dans tous États UE pour procédures pénales relatives aux accès abusifs.

Processus de certification

1. Vérification prérequis techniques :
   
   • Compte récupéré par la victime ? Mot de passe changé ?
   • Activity log accessibles ?
   • Accès abusifs visibles dans journaux avec IP ?
   • Journaux pas encore supprimés ?
   • Si tous prérequis satisfaits → nous procédons
2. Acquisition forensique immédiate :
   
   • Accès guidé (avec identifiants client) aux sections activity log plateforme ;
   • Screenshots multiples haute résolution de : activity log complet, accès avec IP mis en évidence, dispositifs utilisés, actions accomplies ;
   • Téléchargement export complet quand disponible (Google Takeout, Facebook Télécharger vos informations, Microsoft data export) ;
   • Acquisition source HTML pages journaux ;
   • Horodatage qualifié eIDAS sur chaque acquisition ;
   • Calcul hash SHA-256 de chaque fichier acquis ;
3. Analyse technique approfondie :
   
   • IP analysis : geolocation lookup (MaxMind GeoIP2), ISP identification (WHOIS), reverse DNS, IP reputation check (AbuseIPDB, Shodan) ;
   • Device fingerprinting : analyse User Agent, identification système exploitation/navigateur/device model ;
   • Timeline reconstruction : chronologie complète premier accès → actions → dernier accès → reprise ;
   • Comparaison patterns : IP/device/horaires victime vs hacker pour mettre en évidence incohérences ;
   • Accès impossibles : identification chevauchements temporels physiquement impossibles ;
4. Documentation actions accomplies :
   
   • Extraction liste emails lus/envoyés/supprimés avec timestamp ;
   • Extraction fichiers téléchargés/modifiés/supprimés du cloud ;
   • Extraction posts/messages sociaux publiés/envoyés ;
   • Extraction transactions/commandes effectuées ;
   • Cross-reference chaque action avec IP/timestamp hacker ;
5. Rapport technique complet :
   
   • Executive summary pour Police/Gendarmerie ;
   • Section IP analysis détaillée ;
   • Timeline graphique accès ;
   • Carte géographique IP victime vs IP hacker ;
   • Liste actions accomplies avec preuves ;
   • Comparaison patterns ;
   • Annexes techniques (screenshots, export, hash) ;

Demander un devis

Nous fournirons immédiatement l’évaluation de faisabilité (vérification prérequis), la modalité technique d’acquisition, les délais d’exécution et le devis économique détaillé. Intervention URGENTE 24-48h disponible pour cas avec journaux à risque suppression imminente.

Demander un devis