Haurus nous répond : « Alors je dis aux avocats, osez analyser les données ! »
Parole de flic
Le 21 janvier 2021 à 14h09
15 min
Droit
Droit
L'ex-officier de police judiciaire affecté à la DGSI, sous le pseudonyme « Haurus », revendait des données sur le darknet. Il vient de publier un guide consacré aux techniques d'enquête en matière de téléphonie afin d'aider les avocats à mieux analyser ces données, et auquel nous avions déjà consacré un article. Il répond à nos questions.
D'où vous est venue l'idée de ce guide ?
C’est une idée qui m’est venue à l’issue d’un long processus. En effet durant ma carrière, l’utilisation des techniques d’investigation de téléphonie ne s’inscrivait qu’au travers du prisme d’un enquêteur. Je n’étais que d’un côté de la procédure pénale, le plus important finalement. Côté dans lequel il s’agit de présenter des éléments téléphoniques et numériques au magistrat, bien souvent sous un angle partiel/défavorable pour le mis en cause.
Puis un jour, le 24 septembre 2018, je suis devenu moi-même le mis en cause en question. J’ai donc pu me rendre compte de l’utilisation et de l’interprétation qui était faite de ces éléments. Et ce qui m’a le plus interpellé, c’est la méconnaissance du sujet par une partie des auxiliaires de justice. Le magistrat se reposait exclusivement sur les conclusions et les déductions formulées parfois péremptoirement par les enquêteurs, sans forcément avoir les connaissances nécessaires pour en questionner la pertinence et la valeur probante.
Parallèlement, par manque de temps et d’outils, les avocats n’ont pas forcément les moyens de le faire utilement non plus. J’ai vécu cela comme un réel déséquilibre dans le rapport de force. On me reprochait de continuer à endosser une attitude d’enquêteur, mais à juste titre. Il était important pour moi que mes avocats comprennent exactement de quoi nous parlions. Parce qu’une défense efficace ne peut exister que si l’on appréhende cette matière qu’est la téléphonie mobile et qui est omniprésente dans les procédures judiciaires.
À ma sortie de détention, pendant un an, j’ai pris le temps d’écrire ce guide, en espérant qu’il donne envie aux avocats d’explorer les données techniques des procédures, d’oser analyser et d’avoir les moyens d’exercer un réel contre-pouvoir quand les éléments présentés peuvent être discutés.
J’ai souhaité réaliser un guide qui vulgarise la matière pour les profanes et qui complète les connaissances des avocats initiés avec un maximum d’informations en un minimum de temps. Ce livre est accessible à tous.
Comment expliquez-vous que personne n'a proposé de tel guide, à la fois technique et juridique, jusque-là ?
C’est un domaine très technique, beaucoup d’enquêteurs ont les notions essentielles pour pouvoir user de la téléphonie mobile au quotidien, mais peu ont une réelle spécialisation sur cette matière. On peut supposer aussi qu’ils n’ont pas particulièrement envie de dévoiler aux avocats la façon dont ils exploitent les données et quelles sont les limites.
C’est très clairement un monopole permettant de garder l’avantage, et ce dès le stade de la garde à vue. Pour autant ce que j’avance est accessible au grand public, je me contente de le mettre en perspective au travers de mon expérience d’enquêteur.
Vous vous présentez sur LinkedIn comme « consultant indépendant en cyberinvestigation et analyse de données mobiles au sein des procédures judiciaires » : ce livre vise-t-il également à vous introduire dans le milieu des avocats, pour les assister comme « expert » ?
Pour dire vrai, dans mon malheur, j’ai eu la chance d’assister en direct à tout ce qui fait la beauté de la profession d’avocat, des personnes impliquées, réellement habitées par la nécessité de défendre, de protéger, les droits des citoyens. Malgré toutes les difficultés qu’ils peuvent rencontrer face à la machine judiciaire, ils continuent inlassablement de protéger notre société de l’inacceptable. Je n’avais pas cette vision-là du métier lorsque j’étais enquêteur.
À l’heure actuelle, nous faisons l’éloge de la protection de la vie privée tout en mettant en place des outils de plus en plus intrusifs. Sans aucune transparence. Je vous avoue que j’ai envie d’apporter ma pierre à l’édifice. J’ai une expérience enrichissante et valorisante. Et c’est surtout une thématique qui me passionne. Si cela peut se concrétiser par l’apport de conseils spécifiques dans le cadre d’enquête, j’en serai ravi.
Pensez-vous qu'il y ait beaucoup d'enquêtes, et/ou de procès, où les preuves obtenues par l'investigation technique seraient bancales ou contestables, tant d'un point de vue technique que juridique ?
Je ne risquerais pas à m’avancer sur le plan juridique, mais de par mon expérience d’enquêteur et au travers des affaires dont j’ai eu la charge, je sais à quel point il est possible de présenter les faits d’une certaine manière, mais pas d’une autre, comme on dirait en langage de parquetier « charger la barque ».
Un procès-verbal vous dira : « Monsieur Dupont entretient plusieurs communications avec une personne défavorablement connue des services de police ». Dans quel but ? « Colorer » le dossier. Sans détails. Mais en regardant les données de la Fadette, on se rendra compte que ce contact est le 54e sur 70 et qu’il l’a appelé deux fois en un an. Un autre procès-verbal affirmera que Pierre et Sarah se sont rencontrés, car ils bornaient aux mêmes endroits. Mais on ne précisera pas des détails importants qui pourraient remettre en question cette affirmation.
Alors je dis aux avocats, osez analyser les données, forgez vous une expérience utile pour un débat judiciaire équitable. Cela vaut également pour les magistrats, les policiers, les enseignants, étudiants en droit. Mais aussi tout citoyen soucieux de la façon dont sont utilisées leurs données.
Il est indéniable que la téléphonie mobile est une arme forte et nécessaire dans la traque contre la délinquance et la criminalité, mais on ne doit pas faire dire aux éléments ce qui nous arrange au risque d’un débat biaisé. Comme il faut aussi accepter quand la preuve téléphonique et numérique est indiscutable. Mais pour cela, encore faut-il comprendre les moyens ayant permis de la recueillir, puis la mettre en perspective pour apprécier la valeur probante de celle-ci.
Comment voyez-vous l'évolution tant de l'investigation technique que du droit afférent ?
L’investigation technique a clairement un temps de retard considérable. Il a fallu un temps très préjudiciable aux enquêtes pour être en mesure d’intercepter la VoIP lors de la mise en place de la 4G. La PNIJ est un gouffre qui n’évolue pas assez rapidement. Alors je ne vous parle même pas de la 5G. Le réel point fort, ce sont les capacités d’analyses techniques physiques des supports.
En revanche, la législation, les autorités élargissent de plus en plus considérablement les possibilités de faire appel aux interceptions de communications, à la géolocalisation et aux logiciels espions. On se dirige inexorablement vers la possibilité d’utiliser ces techniques dans toutes les enquêtes.
Peut-on réellement envisager une telle intrusion dans la vie privée pour des délits mineurs ? Quid de la conservation des données ? Je prends l’exemple du logiciel Mercure (l'outil d’analyse de données mobile de la police). Les données injectées sont conservées indéfiniment sans limites de temps. Il y a des questions importantes autour de ce thème. Et tout le monde est concerné.
Les enquêteurs sont-ils de plus en plus confrontés aux messageries chiffrées ? Et comment font-ils ? Vous évoquez notamment le maillon faible, à savoir les erreurs commises par les utilisateurs…
Aucune technologie à ce stade n’est à disposition des enquêteurs pour accéder à distance aux messages échangés via des applications telles que Signal ou Telegram. Et ils y sont confrontés en permanence. Les seuls outils en mesure de « lire » ces échanges, ce sont les keyloggers, mais dont les difficultés de mise en place restreignent leur usage.
Comme je l’explique dans mon ouvrage, il est néanmoins possible de plusieurs façons de récupérer les messages via l’attaque de l’homme du milieu, en accédant directement au compte. Ce que la double authentification limite fortement.
L’autre faiblesse également c’est la récupération directe du support et là plusieurs messageries laissent des traces totalement exploitables. Je parle de l’erreur humaine, car quand on parle d’anonymat dans l’usage des messageries cryptées, on pense être à l’abri, mais une carte SIM, un SMS, un appel involontaire, sera un élément déterminant dans l’identification de l’utilisateur.
Dans l'interview au Parisien, vous expliquez avoir eu l'occasion, lors d'une audition administrative l'an dernier à la DGSI, d'expliquer toutes les failles que vous aviez pu exploiter afin que cela ne se reproduise pas, que vous n'auriez « pas pris de risque si j'avais rencontré une difficulté. Des signaux n'ont pas été observés. Y compris côté judiciaire lorsque les magistrats ne regardaient pas le contenu des fausses réquisitions que j'émettais ». Que recommanderiez-vous aux magistrats pour éviter que de tels abus se reproduisent ?
Je recommande de sécuriser la PNIJ en ne permettant plus qu'un seul agent soit titulaire du dossier et qu'il soit deux minimum pour permettre un contrôle, que la hiérarchie soit obligatoirement associée au dossier, et que les magistrats puissent valider par l'interface la mise en place d'écoute ou de géo-localisation. Quand on ouvre un dossier PNIJ, on indique le magistrat en charge. Celui-ci reçoit une alerte. Mais ils ne lisent pas les alertes. Et ça je le savais.
Que pensez-vous de ceux qui, en réponse à ce « going dark problem », voudraient instaurer des portes dérobées, pouvoir surveiller voire s'insérer dans les conversations chiffrées ?
S’il y avait la moindre « backdoor », je peux vous assurer que ni les services de renseignement ni les services judiciaires ne s’en prévaudraient. Ce serait une solution providentielle pour les autorités, mais ce serait surtout une dérive vers la collecte de masse des données et des communications. Ce serait terrifiant.
Mais ces backdoors n’existent pas. En tant qu’ancien flic, je suis tenté de dire que oui dans les enquêtes les plus graves, nous devrions pouvoir accéder aux échanges pouvant éviter des drames. En tant que simple citoyen, j’estime que c’est une boîte de pandore.
Vous écrivez que « le ministère de la Justice fait appel à deux prestataires privés pour tenter de déchiffrer les données issues de messageries sécurisées ou de communications "PGP" ». Mais quid du centre technique d'assistance (CTA) de la DGSI, qui a précisément été créé pour tenter de décrypter les données chiffrées ?
Le CTA est un service de pointe en matière d’investigations numériques. Mais leur expertise est essentiellement axée sur le déchiffrement des supports physiques. On parle ici de tenter de déverrouiller des produits Apple, des smartphones Android chiffrés ou des smartphones PGP. Des sociétés étrangères proposent des outils performants, utilisés au cas par cas en raison du coût difficile à supporter par la justice. On ne parle pas ici du téléphone de monsieur tout le monde.
Vous écrivez également qu'en 2015, le keylogger « n'a été utilisé qu'à cinq reprises ». Or, un rapport, en 2017, avançait que, bien qu'introduite dans le Code de Procédure pénale en 2011, cette disposition « n’a jamais été mise en œuvre, faute d’offre technologique » et ce, quand bien même « les services de renseignement ont développé des compétences en la matière, preuve qu’il n’existe pas d’obstacle technique »
Les keyloggers sont utilisés en matière de renseignement. Mais ils ne sont pas à ma connaissance encore intervenus dans le cadre judiciaire. La première difficulté, c’est la réticence des services de renseignements à partager ces outils avec les services judiciaires, de peur que ces technologies se retrouvent publiquement exposées en procédure.
La deuxième, c’est le coût. Des sociétés ont développé des outils pouvant être utilisés sur des iPhone, mais non seulement la licence d’usage est hors de prix, pour un résultat incertain, mais ce sont également des sociétés étrangères qui posent la question du risque d’une porte dérobée.
Pensez-vous faire une suite au sujet d'Internet, voire des darknets ?
Je réfléchis à d’autres ouvrages, j’aime vulgariser, rendre accessible ces notions. Rien n’est encore défini.
Vous avez été fonctionnaire de police de 2009 à 2016, avant d'intégrer la DGSI : quelles sont les différences, d'un point de vue investigation technique, entre les deux ?
Ce sont deux mondes totalement différents. Néanmoins je tiens à préciser que je travaillais en section judiciaire. Les outils sont les mêmes que dans n’importe quel service d’enquête. La réelle force de la DGSI, ce sont ses experts et techniciens œuvrant au sein d’un laboratoire d’analyse forensique. Issus de la société civile, ce sont des pointures.
La loi Renseignement avait suscité beaucoup d'angoisses dans la société civile, en termes de risque de « surveillance de masse » des Français : qu'en est-il du contrôle des techniques spéciales d'enquête et de renseignement, tant en interne à la DGSI que via le GIC (le Groupement Interministériel de Contrôle, en charge des interceptions administratives demandées par les services de renseignement) et la Commission nationale de contrôle des techniques de renseignement (CNCTR) ?
Je ne peux pas rentrer dans le détail. Mais la surveillance de masse, en France, reste un fantasme. Je ne dis pas que si c’était réalisable, cela ne se ferait pas, mais d’un point de vue technique, légal, financier, comme vous avez pu le traiter par le passé, ce n’est pas concevable.
N'est-il pas ironique d'écrire un guide de vulgarisation de l'investigation technique alors que vous avez vous-même été arrêté en raison de ce que vous faisiez sur le darknet ?
J’ai tourné cette page et le temps viendra d’assumer mes responsabilités lors du procès à venir. Si j’ai été identifié, c’est en raison de la mise en place d’un « coup d’achat », pas en raison d’erreurs techniques. Cela n’enlève rien à la qualité de mon expérience et de mes connaissances.
Pourquoi être apparu sur Twitter et avoir signé ce guide, en vous reliant à Haurus, plutôt que sous une autre identité qui ne vous lierait pas à votre affaire judiciaire ?
C’est un alter ego que j’aurais aimé mettre en placard définitivement. Mais les médias m’ont fait connaître à travers « Haurus ». L’utiliser c’est l’opportunité de donner du crédit à mon ouvrage et attirer des lecteurs de tous les horizons.
Qu'auriez-vous à dire à ceux qui, anciens collègues ou simples lecteurs, pourraient être déconcertés par votre démarche, la publication de ce guide, et le fait de le lier à Haurus ?
Je trouverais cela extrêmement douteux que la police ou mes anciens collègues soient en désaccord avec cette démarche. Cela reviendrait à dire aux avocats, mais aussi à toutes les personnes désireuses d’en savoir plus sur cette thématique, qu’ils ne sont pas légitimes à en connaître.
Je me présente dans une réelle démarche pédagogique. C'est cette expérience et mes déboires judiciaires qui m’ont conduit à écrire ce livre alors j’espère qu’il sera accueilli comme je le conçois, comme l’opportunité de comprendre la téléphonie mobile d’investigation.
Où en êtes-vous, judiciairement et administrativement parlant ?
L’instruction est à présent terminée depuis un an. Je suis en attente du procès. Sur le plan administratif, je suis toujours fonctionnaire de police, affecté fictivement à la DGSI, et cela malgré deux demandes de démission qui ont été refusées. Je me demande pourquoi le ministère de l’Intérieur souhaite me compter encore parmi ses effectifs après avoir reconnu mes actes.
Néanmoins, je ne me considère plus comme flic. J’ai eu l’occasion, lors d’une audition administrative, d’expliquer quelles sont les failles internes et logicielles qui ont permis ces déboires. Je pense avoir collaboré du mieux possible. Aujourd’hui, je refais ma vie et j’avance dans mes projets.
Haurus nous répond : « Alors je dis aux avocats, osez analyser les données ! »
-
D'où vous est venue l'idée de ce guide ?
-
Comment expliquez-vous que personne n'a proposé de tel guide, à la fois technique et juridique, jusque-là ?
-
Vous vous présentez sur LinkedIn comme « consultant indépendant en cyberinvestigation et analyse de données mobiles au sein des procédures judiciaires » : ce livre vise-t-il également à vous introduire dans le milieu des avocats, pour les assister comme « expert » ?
-
Pensez-vous qu'il y ait beaucoup d'enquêtes, et/ou de procès, où les preuves obtenues par l'investigation technique seraient bancales ou contestables, tant d'un point de vue technique que juridique ?
-
Comment voyez-vous l'évolution tant de l'investigation technique que du droit afférent ?
-
Les enquêteurs sont-ils de plus en plus confrontés aux messageries chiffrées ? Et comment font-ils ? Vous évoquez notamment le maillon faible, à savoir les erreurs commises par les utilisateurs…
-
Dans l'interview au Parisien, vous expliquez avoir eu l'occasion, lors d'une audition administrative l'an dernier à la DGSI, d'expliquer toutes les failles que vous aviez pu exploiter afin que cela ne se reproduise pas, que vous n'auriez « pas pris de risque si j'avais rencontré une difficulté. Des signaux n'ont pas été observés. Y compris côté judiciaire lorsque les magistrats ne regardaient pas le contenu des fausses réquisitions que j'émettais ». Que recommanderiez-vous aux magistrats pour éviter que de tels abus se reproduisent ?
-
Que pensez-vous de ceux qui, en réponse à ce « going dark problem », voudraient instaurer des portes dérobées, pouvoir surveiller voire s'insérer dans les conversations chiffrées ?
-
Vous écrivez que « le ministère de la Justice fait appel à deux prestataires privés pour tenter de déchiffrer les données issues de messageries sécurisées ou de communications "PGP" ». Mais quid du centre technique d'assistance (CTA) de la DGSI, qui a précisément été créé pour tenter de décrypter les données chiffrées ?
-
Vous écrivez également qu'en 2015, le keylogger « n'a été utilisé qu'à cinq reprises ». Or, un rapport, en 2017, avançait que, bien qu'introduite dans le Code de Procédure pénale en 2011, cette disposition « n’a jamais été mise en œuvre, faute d’offre technologique » et ce, quand bien même « les services de renseignement ont développé des compétences en la matière, preuve qu’il n’existe pas d’obstacle technique »
-
Pensez-vous faire une suite au sujet d'Internet, voire des darknets ?
-
Vous avez été fonctionnaire de police de 2009 à 2016, avant d'intégrer la DGSI : quelles sont les différences, d'un point de vue investigation technique, entre les deux ?
-
La loi Renseignement avait suscité beaucoup d'angoisses dans la société civile, en termes de risque de « surveillance de masse » des Français : qu'en est-il du contrôle des techniques spéciales d'enquête et de renseignement, tant en interne à la DGSI que via le GIC (le Groupement Interministériel de Contrôle, en charge des interceptions administratives demandées par les services de renseignement) et la Commission nationale de contrôle des techniques de renseignement (CNCTR) ?
-
N'est-il pas ironique d'écrire un guide de vulgarisation de l'investigation technique alors que vous avez vous-même été arrêté en raison de ce que vous faisiez sur le darknet ?
-
Pourquoi être apparu sur Twitter et avoir signé ce guide, en vous reliant à Haurus, plutôt que sous une autre identité qui ne vous lierait pas à votre affaire judiciaire ?
-
Qu'auriez-vous à dire à ceux qui, anciens collègues ou simples lecteurs, pourraient être déconcertés par votre démarche, la publication de ce guide, et le fait de le lier à Haurus ?
-
Où en êtes-vous, judiciairement et administrativement parlant ?
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/01/2021 à 14h39
+1 pour l’interview et l’article sur son livre. Manach c’est comme ça que je t’aime
Le 21/01/2021 à 14h58
“et cela malgré deux demandes de démission qui ont été refusées”
Il y a une règlementation particulière à la DGSI qui permet de refuser une démission ?
Le 21/01/2021 à 15h24
Comme dans toutes les sociétés en France, si tu détiens des informations “sensibles”, on peut refuser la démission mais cela à un cout :p
Cela est souvent le cas dans le milieu militaire/armement. Il te “garde” 1 an ou 2 en dehors de la société pour éviter que tu aille chez le concurrent avec le plein d’information.
Le 21/01/2021 à 17h42
Vraiment ? Il me semblait qu’on faisait plutôt signé au nouveau salarié une clause de non-concurrence pour l’empêcher d’aller chez un concurrent après être parti de l’entreprise actuelle…
Le 22/01/2021 à 09h00
Le problème des clauses de non concurrence c’est qu’elles sont la plupart du temps illégales car mal écrites. Elles doivent être limitées dans le temps et dans l’espace et surtout elles doivent être payées.
Autant dire qu’elles sont rarement mises en œuvre et souvent contestées à juste titre aux prud’hommes quand elles sont appliquées.
Le 21/01/2021 à 17h12
Rien à voir avec la DGSI, c’est pareil pour toute la fonction publique. L’administration n’est pas obligée d’accepter la démission.
Si elle acceptait sa démission, la procédure disciplinaire s’arrêterait pour tous les faits révélés avant l’acceptation de la démission (article 59 du décret 85-986). Et il conserverait donc ses droits acquis en matière de retraite notamment.
Hors là, il va très probablement vers une révocation avec perte des droits à retraite au titre de l’article L59 du code des pensions civiles.
Soit il est très ignorant, soit il est de très mauvaise foi.
Le 21/01/2021 à 17h30
Intéressant merci
Le 26/01/2021 à 10h04
Il est intelligent, on va appeler ça “de la com’ “.
Tout comme finir son interview par “j’avance dans mes projets.”
Le 21/01/2021 à 20h32
Ce n’est pas particulier à la DGSI. La démission des fonctionnaires est soumise à l’accord de son administration dans le cas général.
https://infos.emploipublic.fr/article/la-demission-du-fonctionnaire-eea-6053
Le 21/01/2021 à 15h13
Je découvre Nextinpact, en tant qu’étudiant en droit. Mais je dois dire, que le travail de Manach a été juste impressionnant sur ces dernières 24H ! C’est rassurant de voir qu’il existe encore de vrais journalistes, niveau expert !
Je vais de suite commander le bouquin, ne serait-ce que pour mon projet de thèse.
Franchement, je suis fan, enfin un article de journaliste dans lequel on apprend quelque chose !
ET SURTOUT, n’étant pas de culture geek, pour une fois J’AI - TOUT - COM-PRIS !!
Le 21/01/2021 à 15h52
TU ne démissionnes pas, tu es démissionné de trois balles dans le dos
Le 21/01/2021 à 20h24
Super interview, merci pour le retour d’expérience
Le 22/01/2021 à 06h47
“Si j’ai été identifié, c’est en raison de la mise en place d’un « coup d’achat »”
Ça veut dire quoi ? qu’ils ont acheté l’identité du vendeur de données ?
Le 22/01/2021 à 09h46
Article 10 (art. 67 bis et 67 bis-1 du code des douanes) - Autorisation de la technique du « coup d’achat » et de l’infiltration en matière de trafic d’armes au bénéfice des agents des douanes
Le 22/01/2021 à 07h49
Je dirais qu’ils se sont fait passé pour des acheteurs pour une info particulière, et Haurus s’est fait choppé en allant chercher cette info
Le 22/01/2021 à 10h09
Le 22/01/2021 à 10h58
Merci pour ces détails :)
C’est pour les douaniers, pas pour la police, et pour du trafic d’armes (donc ce n’est probablement pas cet article qui a été utilisé)
Le 22/01/2021 à 12h56
Oui, c’était juste pour expliquer le terme, pas pour décrire le cadre légal de l’opération.
Le 22/01/2021 à 14h39
Ah ok :)