Conspirations criminelles via messages cryptés : les dessous d'une opération policière inédite

Et en Belgique ? Silence radio. "Il est peu probable qu’un juge d’instruction communique la source à l’origine de l’enquête", explique le parquet de Bruxelles à La Libre Belgique le 5 juillet 2020. Le parquet fédéral fait quant à lui savoir au même moment qu’il utilisera bien volontiers les informations recueillies lors de cette opération. Sans plus de précisions.

Début septembre, sollicité cette fois par la RTBF à propos d’éventuels prolongements du dossier EncroChat chez nous, le parquet de Bruxelles répond laconiquement : "dossier du parquet fédéral". Des investigations sont donc bel et bien en cours en Belgique à cette époque… Mais "pas de commentaire". Aucune information officielle ne fait état de la participation des autorités belges dans le décryptage des messages d’EncroChat ou d’autres modèles de téléphones ultra-sécurisés de type "cryptophone" employés à des fins criminelles.

En réalité, depuis fin 2019, des enquêteurs belges travaillent dans le plus grand secret avec le parquet fédéral et le parquet d’Anvers, sous la direction d’un juge d’instruction anversois. Cible : le réseau "SKY ECC", concurrent d’EncroChat. Que ce soit dans les rangs de la police ou de la justice, très peu de personnes sont au courant. L’information est hypercloisonnée afin d’éviter les fuites. Il est vrai qu’aux Pays-Bas, les recherches autour d’EncroChat ont révélé "des indices de fuite au niveau des services de police", qui sont pris "extrêmement au sérieux". Elles ont démontré "clairement le rôle de la corruption tout au long de la chaîne de trafic illicite", selon Europol.

La prudence des autorités policières et judiciaires belges sur l’enquête en cours est aussi justifiée par la nécessité de ne pas éveiller les soupçons du réseau de communication visé. Là aussi, le dossier EncroChat a valeur d’exemple : en juin, l’entreprise de télécommunications chiffrées s’était rendu compte de l’intrusion et avait envoyé un message d’alerte à tous ses clients leur indiquant qu’elle avait été "infiltrée illégalement par des entités gouvernementales" et leur conseillant de se débarrasser de leurs téléphones.

Les policiers belges ont-ils utilisé un mouchard comme l’auraient fait leurs homologues français ?

Discrètement, voir secrètement, des enquêteurs belges de la police judiciaire fédérale, dont des spécialistes en technologies et informatique au sein notamment de la "federal computer crime unit", travaillent durant des mois sur "SKY ECC". D’une part, ils pistent les revendeurs. D’autre part, ils utilisent tous les moyens à leur disposition pour répertorier et déchiffrer les messages cryptés liés au crime organisé, pour localiser les téléphones utilisés, pour découvrir l’identité de leurs propriétaires et lister les suspects.

Sans surprise, l’exercice de cartographie des appareils "cryptophones" fait apparaître une activité particulièrement importante à Anvers, carrefour portuaire et routier bien connu du trafic de drogue. Cependant, tout le pays est concerné et l’enquête révèle des éléments un peu moins attendus : certains utilisateurs des moyens de communication en question appartiennent aux hautes sphères de la société.

Dossier sensible, par son ampleur et par son contenu

Les forces de l’ordre œuvrant sur le dossier devenu tentaculaire se fixent un triple objectif : désorganiser le réseau en arrêtant les revendeurs d’appareils, appréhender les criminels "de terrain" et remonter vers ceux qui se chargeraient de faciliter leurs activités, de les informer, de les aider à blanchir l’argent, voire de les protéger à partir d’une position privilégiée en scellant des pactes de corruption. "C’est le dossier le plus sensible auquel j’ai été confronté, par son ampleur et par son contenu", nous affirme en cours d’investigations une source proche de l’enquête.

Comment les policiers s’y prennent-ils ? Dans le dossier Encrochat, chapeauté par les justices française et néerlandaise, les enquêteurs ont utilisé un mouchard numérique, selon plusieurs médias. Le journal "Le Monde" indique ainsi que "les limiers français ont très vraisemblablement réussi à envoyer, sur des milliers de téléphones EncroChat, un logiciel invisible capable de siphonner leur contenu et de lire les échanges entre les suspects." Il est possible que les experts belges utilisent une méthode similaire, une sorte d’outil de hack permettant d’accéder aux messages chiffrés. Sujet sensible : en France, la conception et le fonctionnement du dispositif sont "couverts par le secret de la défense nationale", ainsi que l’indique un document publié sur le site de l’agence de coopération judiciaire européenne Eurojust.

Par ailleurs, des procédés type "IMSI-catcher", des "intercepteurs de carte SIM", permettent de localiser avec précision les usagers d’appareils téléphoniques et de récolter certaines données au sujet des communications. D’autres techniques de recherche basées sur la collecte de signaux sans fil existent, exploitant par exemple les connexions wifi des appareils. Les "cryptophones" sont généralement moins exposés. Les enquêteurs auraient-ils trouvé une faille ?

Une enquête longue. Et le Covid n’est pas seul responsable

Le travail de collecte et d’analyse de données est fastidieux. Les moyens et les efforts déployés sont importants, bien avant de passer au coup de filet d’une ampleur inédite en Belgique, avec des perquisitions et des arrestations visant simultanément plusieurs organisations.

Début novembre 2020, la Belgique est en pleine seconde vague Covid et, comme bon nombre d’entreprises, la police déplore des cas positifs et des mises en quarantaine. Une personne bien informée nous dresse cependant une liste de plusieurs autres éléments pouvant expliquer la longueur de l’enquête. Premièrement, il faut déployer d’énormes efforts face aux gageures techniques posées par le dossier.

Deuxièmement, il s’agit de mettre en place un dispositif de taille considérable pour "analyser les informations contenues dans les millions (!!!) de messages interceptés". Troisièmement, il convient de se préparer à réagir chaque fois que les messages révéleront la nécessité d’une intervention urgente des forces de l’ordre. Quatrièmement, des coopérations avec d’autres pays sont nécessaires avec les efforts de coordination afférents.

Les échanges sur ce dossier se révèlent intenses et coordonner les opérations au niveau international prend du temps. Cinquièmement, il est impératif d’enquêter en respectant le cadre législatif, "ancien et pas nécessairement adapté à l’évolution actuelle des technologies", déplore notre interlocuteur, qui ajoute : "Nous devons prendre des précautions afin que tout ne s’écroule pas en raison de fautes de procédure ".

En outre, comme nous l’indique une autre personne proche de l’enquête, il peut y avoir un intérêt à jouer les prolongations dès lors que les suspects ne se savent pas écoutés. Cela permet d’accumuler les indices. Dans le dossier EncroChat, la police néerlandaise expliquait que c’était "comme si nous étions à la table des criminels, en direct". En développant cette image, on pourrait dire que des services travaillant sur le dossier ont gardé le bar ouvert, malgré la fatigue, car le banquet rassemblait des invités de marque et que leurs discussions sont intéressantes.

L’utilisation d’un appareil de modèle "cryptophone", à l’origine destiné à un usage militaire, n’est pas en soi illégale. Des applications de messagerie très populaires comme WhatsApp ou Signal utilisent un cryptage de bout en bout des communications. La différence dans le cas des communications ultra-sécurisées, c’est que la protection dépasse le périmètre de l’application elle-même. Elle est étendue à l’appareil, au système d’exploitation, au réseau de serveurs, à la connexion. De multiples couches sont appliquées. Aux quatre coins du monde, cette protection est précieuse pour des activistes, des responsables politiques, des chefs d’industrie ou encore des journalistes.

Collecter des données à grande échelle en respectant la loi

Les méthodes de sécurisation des communications n’étant pas proscrites, les autorités se préoccupent plutôt du contenu des messages envoyés et reçus en traquant les communications à caractère criminel. Mais le dossier EncroChat a soulevé une question importante : les éléments constitutifs d’infractions ont-ils été récoltés conformément à ce que permet la loi ? Certains spécialistes du droit, notamment aux Pays-Bas, émettent des doutes, arguant du fait que les communications n’auraient pas été captées sur base de soupçons concrets d’infraction. Les enquêteurs auraient plutôt récolté massivement des données afin d’y chercher des actes potentiellement délictueux, ce qui rendrait les éléments irrecevables en justice de leur point de vue.

Autrement dit, la police et la justice belge doivent veiller à ce qu’on ne puisse pas leur reprocher d’avoir tendu un filet de taille disproportionnée par rapport à l’objectif poursuivi. En France, la justice a motivé la captation des données informatiques à grande échelle sur EncroChat par le fait que cette entreprise avait "vocation à servir les organisations criminelles" et par "le taux très élevé d’utilisateurs se livrant à des activités criminelles (plus de 90% en France, correspondant à la totalité des utilisateurs présentant une utilisation effective des terminaux)", tout en reconnaissant la possible existence d’utilisateurs de bonne foi.

En Belgique, une fois la synthèse du cadre opérationnel et législatif réalisée, les données récoltées et analysées, les suspects identifiés et localisés, les interventions minutieusement préparées et coordonnées en lien avec les autres pays concernés… Bref, après des mois de travail… Les forces de l’ordre ont procédé aux perquisitions et interpellations. Le coup est rude pour le crime organisé et ses systèmes de communication secrets.

Ce n’est pas pour autant la fin de l’histoire. D’une part, la récolte d’indices en cours d’investigations donnera sans doute lieu à d’autres opérations de plus ou moins grande envergure, ouvrant la porte vers de nouvelles pistes pour la police et la justice. D’autre part, les défis restent nombreux car les organisations criminelles s’adaptent et font sans cesse évoluer leurs méthodes. Ces derniers mois, les criminels se seraient montrés de plus en plus prudents dans leurs communications. Des organisations auraient "sauté" d’un réseau d’échanges secrets à l’autre, remplaçant régulièrement leurs appareils, afin de compliquer la tâche des policiers.

Le défi reste important pour l’avenir

Dans un entretien accordé à la RTBF le 20 octobre dernier, le directeur de la police judiciaire fédérale Eric Snoeck confiait qu’il fallait rapidement renforcer les services de police belges avec du matériel informatique encore plus sophistiqué et des enquêteurs spécialisés dans le digital afin de ne pas être semé par les criminels sur le terrain technologique.

Les forces de l’ordre du monde entier sont concernées. Cette opération le démontre. Autre illustration, de moins grande envergure : le 16 octobre, Europol annonçait que des enquêteurs espagnols, néerlandais et américains suspectaient certains trafiquants de drogue de développer leurs propres applications mobiles de cryptage de communication.

Au-delà des frontières européennes, la "commission de lutte contre la criminalité de la Nouvelle-Galles du Sud" (Australie) note dans son rapport annuel 2019-2020, à propos des dispositifs cryptophones, qu’il est "essentiel que la commission et les autres organismes chargés de l’application de la loi élaborent des stratégies à long terme afin de faire face aux fournisseurs de services qui opèrent pour les organisations criminelles. Des renseignements de la commission indiquent qu’un membre haut placé d’un gang de motards investit dans un large réseau crypté et fait intervenir des associés pour la distribution de la technologie en Australie."

Partout dans le monde, plusieurs fournisseurs de cryptophones restent actifs aujourd’hui, continuant de développer et de vanter des modèles de communications chiffrées dits "100% sûrs" et des appareils présentés comme intraçables.

Note de la rédaction: informée d’investigations en cours, la RTBF a choisi de ne pas en faire état avant l’action de police afin de ne pas nuire gravement à une enquête relative à des dossiers dans lesquels l’intégrité physique de certaines personnes pouvait être mise en danger.