La gendarmerie française a réussi à intercepter, analyser et décrypter plus d'une centaine de millions de messages chiffrés. Elle aurait, pour cela, installé un logiciel espion dans des terminaux sécurisés EncroChat, vendus (chers) à 60 000 trafiquants de drogues, criminels et délinquants, notamment. Plusieurs centaines auraient été arrêtés.

« Le démantèlement d'un réseau crypté crée une onde de choc au sein des groupes criminels organisés à travers l'Europe », se félicitent les autorités policières et judiciaires françaises et néerlandaises, Europol et Eurojust. Lors d'une conférence de presse à La Haye (Pays-Bas), au siège d’Eurojust, ils ont présenté les « résultats impressionnants d'une équipe commune d'enquête (ECE) visant à démanteler EncroChat, un réseau téléphonique crypté largement utilisé par les réseaux criminels ».

« C’est comme si nous étions à la table de discussions des criminels, en direct, c’est ce qui rend l’enquête unique », a résumé Janine van den Berg, cheffe de la police néerlandaise. « On a utilisé le fait que les criminels font confiance aveuglément à la crypto-communication et parlent librement », a renchéri son collègue Andy Kraag, comparant ces informations à « une mine d’or nous fournissant des preuves qui nous auraient coûté des années [à établir] en temps normal ».

Au cours des derniers mois, détaille le communiqué de presse, « l'équipe commune d’enquête a permis d'intercepter, de partager et d'analyser des millions de messages échangés entre les criminels dans le but de planifier des infractions graves ». De plus, et « pour une part importante, ces messages ont été lus par les forces de l’ordre en temps réel, à l’insu des expéditeurs », confirmant les capacités de la gendarmerie française en matière de cryptanalyse et de décryptage.

L'an passé, elle révélait en effet l'existence de Gendpass, une « plateforme de déchiffrement et de cassage de mots de passe pouvant être utilisée par tous les gendarmes », peu après avoir mis au point « une nouvelle arme pour contrer le chiffrement des téléphones ». Elle avait valu au capitaine de gendarmerie et docteur Thibaut Heckmann, qui avait alors 28 ans seulement, de recevoir le prix Emerging Forensic Scientist Award de l'European Academy of Forensic Science (qui regroupe l’ensemble des laboratoires européens de criminalistique) pour son travail qualifié de « décisif dans l’expertise numérique et dans le déchiffrement de la donnée ».

• La « nouvelle arme » anti-cryptographie de la gendarmerie

50 000 cryptotéléphones EncroChat étaient en circulation en 2020

En 2017, la gendarmerie découvrait que de nombreux groupes criminels communiquaient grâce à EncroChat, une solution de chiffrement bout en bout, et que ses serveurs étaient situés en France, près de Lille.

D'après L'Essor, l’unité avait été alertée grâce à un travail de renseignement international. La gendarmerie ne détaille pas comment, techniquement, elle a procédé, sinon que « finalement, il a été possible de mettre en place un dispositif technique permettant de contourner le chiffrement et d’avoir accès à la correspondance des utilisateurs ».

L'appareil était vendu 1 000 euros, auxquels il fallait ajouter 1 500 euros d'abonnement offrant une couverture mondiale et une assistance technique 24 heures sur 24 et 7 jours sur 7, à renouveler tous les 6 mois, détaille le communiqué. « Les cryptotéléphones EncroChat ont été présentés aux clients comme la garantie d’un anonymat parfait (pas d'association de l'appareil ou de la carte SIM avec le compte du client, acquisition dans des conditions garantissant l'absence de traçabilité) et une parfaite discrétion à la fois de l'interface cryptée (double système d'exploitation, l'interface cryptée étant masquée pour être non détectable) et du terminal lui-même (retrait de la caméra, du microphone, du GPS et du port USB) ».

Le smartphone pouvait être effacé à distance par le revendeur ou le service d'assistance, offrait également « des fonctions visant à assurer « l’impunité » des utilisateurs (suppression automatique des messages sur les terminaux de leurs destinataires, code PIN spécifique destiné à la suppression immédiate de toutes les données sur l'appareil, suppression de toutes les données en cas de saisies consécutives d'un mauvais mot de passe), des fonctions apparemment spécialement développées pour permettre d'effacer rapidement les messages compromettants, par exemple au moment d’une arrestation par la police ».

EncroChat dénombrait 60 000 utilisateurs d'après la police britannique.

Détectés par le département Informatique Électronique (INL) de l'Institut de Recherche Criminelle de la Gendarmerie Nationale (IRCGN), précise le communiqué, des travaux de recherches approfondies étaient lancés dès 2017, afin d'en comprendre le fonctionnement. Début 2019 le projet CERBERUS, piloté par la gendarmerie et financé par des fonds européens, permettait l’accélération des recherches de l’IRCGN sur ces téléphones.

CERBERUS (pour Child Exploitation Response by Beating Encryption and Research to Unprotect Systems) est une plateforme de cassage de mots de passe utilisable par tout pays de l’Union. Ses missions : « extraire les secrets des périphériques chiffrés (téléphones, clefs USB, etc.) », et « déchiffrer les données afin de fournir les preuves numériques pour condamner les criminels ». Une présentation explique que « les dispositifs chiffrés sont largement utilisés, notamment par les anarchistes, les pédophiles, les trafiquants de drogue et les terroristes. Le projet CERBERUS vise à gérer la chaîne de sécurité complète, de la couche matérielle à la couche système, en passant par la couche application. Le craquage des mots de passe ne devient possible qu'une fois que les multiples étapes cryptographiques ont été identifiées et comprises ».

L'investissement, estimé à 2,6 millions d'euros, d'après L'Essor, mobilisait trois gendarmes, qui espéraient pouvoir faire les premiers tests de charge de leur nouvelle plateforme d’ici le début de l’année 2020. 

La « captation de données informatiques, une technique spéciale d’enquête »

D'après le communiqué, « l'enquête permettait de réunir des éléments sur le fonctionnement technique de la solution, et aboutissait à la mise en place d’un dispositif technique grâce auquel des communications non chiffrées des utilisateurs pouvaient être obtenues ».

La gendarmerie ne précise pas comment elle a procédé, sinon que le cadre juridique autorise la « captation de données informatiques, une technique spéciale d’enquête prévue par le droit français ». L'article 706-102-1 du Code de procédure pénale français, introduit par le projet de loi d'orientation et de programmation pour la performance de la sécurité intérieure en 2010, permet en effet de « contourner l’obstacle du chiffrement et ainsi d’accéder à des données informatiques de manière invisible pour l’utilisateur », comme le résume le capitaine Matthieu Audibert sur Twitter.

L'article avait en effet prévu, en matière de lutte contre la criminalité organisée, le recours à « un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques » (notre actualité).

Il précise également qu'à cet effet, « le procureur de la République ou le juge d'instruction peut également prescrire le recours aux moyens de l'Etat soumis au secret de la défense nationale selon les formes prévues au chapitre Ier du titre IV du livre Ier ».

Trois « dispositifs techniques », dont deux couverts par le « secret défense »

En l'espèce, la DGSI dispose officiellement depuis 2018 d'un service à compétence nationale dénommé « service technique national de captation judiciaire » (STNCJ). « Chargé de la conception, de la centralisation et de la mise en œuvre des dispositifs techniques mentionnés aux articles 706-102-1 et 706-102-2 du code de procédure pénale », il « coordonne ou réalise, en tant que de besoin, les opérations d'installation de ces mêmes dispositifs techniques (et) anime le réseau des services techniques des directions du ministère de l'Intérieur compétentes dans ce domaine ».

Si la gendarmerie précise que sa conception et son fonctionnement sont couverts par le secret de la défense nationale, et que toute divulgation d’éléments relatifs à ce dispositif technique est réprimée par la loi française (articles 413 - 9 et 413 - 10 du Code pénal français, qui encadrent les atteintes au secret de la défense nationale), elle n'en révèle pas moins avoir eu recours à trois dispositifs techniques.

Un premier « grâce auquel il a pu être accédé aux communications, de façon non chiffrée, de nombreux utilisateurs de la solution de communication impliqués dans des activités criminelles et d'animateurs de cette solution délibérément mise à la disposition d'organisations criminelles ».

Un deuxième pour lequel il a été prescrit « le recours aux moyens de l'Etat soumis au secret de la défense nationale » en application de l'article 706-102-1 du CPP.

Un troisième « dont la conception et le fonctionnement sont couverts par le secret de la défense nationale, mais qui a été reçu et déployé par un service habilité par la loi pour ce faire, le Service Central de Renseignement Criminel de la Gendarmerie Nationale (SCRC) du Pôle Judiciaire de la Gendarmerie Nationale (PJGN) en application de l’article D15-1-6 du Code de procédure pénale ».

Une « attaque gouvernementale »

Dans une longue enquête publiée sur Vice en même temps que le communiqué de presse (donc probablement de la fin de l'embargo), reposant sur de multiples témoignages de sources proches du dossier (tant du côté d'EncroChat que des autorités), le journaliste Joseph Cox explique qu'en mai, plusieurs utilisateurs remarquaient un problème : ils ne pouvaient plus effacer les fichiers. D'après un associé d'EncroChat, il ne s'agissait pas d'un bug, mais d'un malware installé pour lire les messages écrits et stockés sur le dispositif avant qu'ils ne soient chiffrés et envoyés, « une découverte dévastatrice pour une société dont le mandat principal est de protéger le contenu des communications pour des clients très sensibles ».

De plus, le malware avait été spécifiquement créé pour le modèle Aquaris X2 de BQ, le smartphone utilisé par EncroChat, mais également conçu pour être furtif, enregistrer le mot de passe du verrou d'écran, et cloner les données d'application. Réalisant qu'il faisait l'objet d'une attaque, le service diffusa une mise à jour destinée à restaurer les fonctionnalités du téléphone et recueillir des informations sur les logiciels malveillants installés sur ses appareils dans le monde entier.

Mais presque immédiatement après l'arrivée du patch, explique l'associé, le logiciel malveillant était de retour, et il pouvait désormais modifier le mot de passe de l'écran de verrouillage plutôt que de simplement l'enregistrer. Suspectant une attaque gouvernementale, EncroChat décidait de fermer son réseau.

Le communiqué précise à ce titre que « l'interception des messages EncroChat a pris fin le 13 juin 2020, lorsque la société a réalisé qu'une autorité publique avait pénétré la plate-forme [et] envoyé un avertissement à tous ses utilisateurs », les enjoignant à « se débarrasser physiquement de leur terminal ». D'après Vice, « plus d'une centaine de millions de messages chiffrés » auraient ainsi été interceptés, et décryptés. « Pour une part importante, ces messages ont été lus par les forces de l’ordre en temps réel, à l’insu des expéditeurs », précise le communiqué.

Des centaines d'arrestations, des millions d'euros et des milliers de tonnes de drogues saisis

Le 15 mars 2020, une cellule nationale d’enquête, implantée au sein du Centre de lutte Contre les Criminalités Numériques (C3N), mobilisait 60 gendarmes employés à plein temps dans cette opération (nom de code « Emma 95 »). Une « très grosse mobilisation, très rare dans une enquête judiciaire », d'après L'Essor.

Aux Pays-Bas, où se trouvent le plus grand nombre des milliers d'utilisateurs d'Encrochat, « des centaines d'enquêteurs » étaient mobilisés, plus un nombre indéterminé de policiers dans plusieurs autres pays, dont l'Espagne, la Suède, le Royaume-Uni et la Norvège.

Rien qu'aux Pays-Bas, « l'enquête a jusqu'à présent abouti à l'arrestation de plus de 100 suspects, à la saisie de drogues (plus de 8 000 kilos de cocaïne, et 1 200 kilos de méthamphétamine, 70 kilos d'héroïne), au démantèlement de 19 laboratoires de drogues synthétiques, à la saisie de dizaines d'armes à feu (automatiques), de montres de luxe et de 25 voitures, dont des véhicules à compartiments cachés, et de près de 20 millions d'euros en espèces ». Plus de 300 enquêtes auraient été ouvertes, et « davantage d'arrestations sont très susceptibles d’intervenir dans la période à venir ».

« Un grand nombre de suspects ont également été arrêtés dans plusieurs pays, notamment au Royaume-Uni, en Suède et en Norvège », selon le communiqué. L'Agence nationale britannique de lutte contre la criminalité a déclaré avoir utilisé les données d’EncroChat pour lancer des enquêtes qui ont conduit à l’arrestation de 746 personnes et à la saisie de plus de 54 millions de livres en espèces, 77 armes à feu et plus de 2 tonnes de drogue.

La police métropolitaine de Londres a utilisé ces données pour lancer ce qu’elle a qualifié de plus importante opération  jamais effectuée dans le pays contre le crime organisé, déclarant avoir arrêté « certains des criminels les plus anciens et les plus dangereux de Londres » et saisi plus de 13 millions de livres en espèces.

« Les effets de l'opération continueront de faire écho dans les cercles criminels pendant de nombreuses années, car les informations ont été fournies à des centaines d'enquêtes en cours et, en même temps, ont déclenché un très grand nombre de nouvelles enquêtes criminelles sur le crime organisé sur le continent européen et au-delà », estiment les autorités.

De nombreuses autres arrestations pourraient avoir lieu prochainement

La France, de son côté, « ne souhaite pas communiquer davantage sur ces enquêtes en cours ni sur les résultats obtenus ». Tout juste apprend-on que « le taux très élevé d'utilisateurs se livrant à des activités criminelles (plus de 90% en France, correspondant à la totalité des utilisateurs présentant une utilisation effective des terminaux) donnait notamment lieu en France à l’ouverture d’enquêtes incidentes dont les parquets territorialement compétents se saisissaient ».

« En dépit des constatations relatives à l'utilisation criminelle des terminaux Encrochat, précise la gendarmerie, les autorités françaises souhaitent que les utilisateurs se disant de bonne foi, qui souhaiteraient obtenir l’effacement de leurs données personnelles de la procédure judiciaire, puissent adresser leur demande au service d’enquête ».

Répondant aux responsables d'EncroChat, qui avait expliqué à leurs utilisateurs que leur messagerie était victime d’une « saisie illégale », par des « entités gouvernementales », la gendarmerie invite par ailleurs « toute personne se présentant comme dirigeant, représentant ou administrateur des sociétés à l’origine de ce service à se faire connaître et à faire valoir ses arguments auprès des services de gendarmerie à l’adresse suivante: [email protected]. »

D'après le communiqué commun, les informations recueillies « ont déjà été pertinentes dans un grand nombre d'enquêtes criminelles en cours, entraînant la perturbation d'activités criminelles, notamment des attaques violentes, de la corruption, des tentatives de meurtre et des transports de drogue à grande échelle. Certains messages indiquaient des plans visant à commettre des crimes violents imminents et ont déclenché une action immédiate ».

De nombreuses autres arrestations pourraient avoir lieu prochainement. Le communiqué ne précise pas, cela dit, si les autorités ont, ou non, identifié qui avait développé EncroChat, pas plus que ses revendeurs, administrateurs et autres partenaires et intermédiaires.