LA MESSAGERIE DU CRIME (1/5). « L’Obs » raconte les coulisses du décryptage de la messagerie canadienne sécurisée, prisée des narcotrafiquants, qui a permis aux polices européennes de déjouer des crimes, de faire tomber leurs auteurs et de mieux comprendre l’organisation des trafics. Tout démarre fin 2016, en Belgique, avec la saisie dans des affaires de cocaïne de téléphones équipés d’une obscure application…
Ce 23 février 2021, Jean-François Eap adresse un message aux 160 000 utilisateurs de son service de communication crypté Sky ECC. Un faux article du « Washington Times » mettant en doute la fiabilité de son application de téléphonie sécurisée circule alors sur le web. Un mauvais coup derrière lequel il perçoit l’ombre de ses concurrents. « Sky ECC est impiratable. Nous sommes fiers de disposer de la plateforme de communication la plus sûre du monde », écrit le start-upper canadien signant son message d’un simple « Jean, PDG et fondateur ». Pour prouver ses dires, il annonce offrir 5 millions de dollars à celui qui parviendra à « hacker » sa messagerie.
Cas d’hubris 2.0 : il l’ignore alors mais, quelques jours plus tôt, dans le cadre d’une enquête de longue haleine, les policiers belges, français et néerlandais ont réussi à discrètement pirater la plateforme qu’ils soupçonnent d’être essentiellement utilisée par des membres du narcobanditisme. « Nous n’avons pas eu l’outrecuidance de réclamer la récompense », ironise aujourd’hui Nicolas Guidoux, sous-directeur de la lutte contre la cybercriminalité à la Direction centrale de la Police judiciaire (DCPJ).
1,5 milliard de messages interceptés
A défaut d’empocher la récompense, les enquêteurs sont tombés sur une véritable mine d’or. Cette infiltration policière va déboucher sur la plus grosse fuite de données sur le crime organisé avec près de 1,5 milliard de messages interceptés. De véritables « narcos leaks » : sur la plateforme, les criminels discutaient sans précaution de conteneurs de cocaïne à expédier ou de cibles à exécuter.
« Le système de cryptage des communications contribuait à mettre en confiance les malfaiteurs qui, se sentant de fait à l’abri de toute interception, procédaient sans précaution dans leurs échanges, allant jusqu’à poser avec les futures victimes d’assassinat alors que, dans le même temps, ils mettaient localement tout en œuvre pour effacer le produit de leur crime », écrit un policier français dans un procès-verbal (PV).
Depuis la chute de cette « messagerie du crime », les services de police européens enchaînent les coups de filet et les saisies record. Selon les chiffres du parquet de Paris, l’opération aurait permis à ce jour l’arrestation dans le monde de 5 270 personnes, la saisie de 172 tonnes de cocaïne et de 187 tonnes de résine de cannabis, mais également la confiscation de près de 700 millions d’euros de liquidités et de biens non mobiliers. A l’automne s’ouvrira ainsi à Bruxelles le plus vaste procès lié à l’« affaire Sky ECC » : 125 prévenus doivent y comparaître dans une salle d’audience délocalisée en périphérie de la ville dans une ancienne base de l’Otan.
L’analyse de la masse des données collectées a également permis de remettre à jour la cartographie de la criminalité organisée en Europe, révélant l’ampleur de la corruption comme celles des importations de cocaïne et des montants financiers en jeu. « Sky ECC a démontré que la force financière des groupes criminels, spécialement dans le trafic de drogue, dépasse largement les analyses produites à ce jour », écrit le Service d’information, de renseignement et d’analyse stratégique sur la criminalité organisée (Sirasco) dans son dernier rapport. « La chute de Sky ECC marque un tournant dans la lutte contre le crime organisé », confiait lors d’une récente conférence Jean-Philippe Lecouffe, le directeur exécutif adjoint des opérations d’Europol, l’agence de coopération entre les polices européennes. « Cette affaire nous a déniaisés sur la réalité du crime organisé et sur les menaces que celui-ci fait peser sur la nation », confie-t-on au parquet de Paris.
Drôles de téléphones, Mocro Maffia et café malfamé
L’enquête, sans doute la plus vaste jamais menée en Europe, débute fin 2016 en Belgique. Dans le cadre d’affaires liées au port d’Anvers, première porte d’entrée de la cocaïne sur le Vieux Continent, les policiers saisissent à plusieurs reprises des téléphones équipés d’une application inconnue de leurs services dont ils se montrent incapables de déchiffrer le contenu. D’autant plus que celui-ci semble s’effacer à distance une fois les propriétaires des appareils arrêtés.
De l’autre côté de la frontière, les policiers néerlandais s’intéressent eux aussi à ces drôles de téléphones qu’ils voient apparaître dans un nombre croissant d’affaires. Le 29 mars 2018, le patron d’une agence de publicité est assassiné dans ses bureaux à Amsterdam. La victime est le frère de Nabil Bakkali, un tueur à gages repenti. Six jours plus tôt, ce dernier a obtenu le statut de « témoin de la Couronne » dans l’enquête visant Ridouan Taghi, Néerlandais d’origine marocaine considéré comme le parrain de la Mocro Maffia, nébuleuse criminelle présente aux Pays-Bas et en Belgique. Selon les premiers éléments de l’enquête, le suspect de l’assassinat communiquait par le biais de Sky ECC avec Taghi, alors en cavale à Dubaï – il sera arrêté en décembre 2019.
Les policiers belges et néerlandais enquêtent de concert et cherchent à en savoir plus sur Sky ECC. Première découverte : si la plateforme canadienne possède son propre site internet, il s’avère impossible d’y commander directement ses téléphones. Après avoir pris contact par e-mail, le client potentiel se voit adresser en retour le tarif des appareils et des abonnements – autour de 600 euros pour trois mois –, ainsi que le courriel du revendeur le plus proche de chez lui.
Les Belges lancent une première opération d’infiltration : il s’agit d’acquérir un de ces appareils. Ils découvrent alors un réseau de commercialisation des plus surprenants. « Un rendez-vous était alors donné, le cas présent dans une arrière-boutique d’un café malfamé, avec un revendeur. Ce dernier n’acceptait que l’argent liquide et ne demandait aucun justificatif de domicile, ni aucune pièce d’identité. De plus, aucune facture ou document de vente n’était remis », explique un PV. De quoi intriguer les policiers. Lors de l’infiltration suivante, ils tombent sur deux revendeurs porteurs de bracelets électroniques, visiblement pas vraiment engagés dans un projet de réinsertion professionnelle.
Même constat, côté néerlandais : un des revendeurs s’est révélé avoir été condamné pour des faits d’homicide et de possession de stupéfiants. Ce dernier donne, en outre, rendez-vous à l’agent infiltré dans une boutique de téléphonie d’Amsterdam défavorablement connue des services de police néerlandais, selon l’expression consacrée. « Ces dernières années, de nombreux criminels avec différents antécédents ont été observés au magasin », explique un PV néerlandais.
Une villa à 6 millions
Cet univers semi-clandestin contraste avec celui dans lequel évolue Sky Global Holdings Inc, la société mère de Sky ECC. Basée à Vancouver, ville de la côte ouest du Canada réputée pour son dynamisme et sa douceur de vivre, la start-up occupe un étage entier de la Jameson House, un gratte-ciel rutilant du quartier d’affaires construit par l’agence du célèbre architecte Norman Foster. Jeune entrepreneur de la tech, Jean-François Eap colle aux canons du genre : bouille ronde de gamin, tee-shirt de fonction, présence erratique au bureau. Outre Sky Global, il dirige une vingtaine d’entreprises dont un restaurant japonais spécialiste du « hand roll ».
Le trentenaire travaille en famille. Réfugié cambodgien devenu ingénieur sur le tard, son père gère la partie technique. Occupant un bureau mitoyen de son fils, sa mère supervise la comptabilité, tout en veillant sur le moral des soixante salariés. Les locaux de la start-up hébergent également la société de design d’intérieur de sa compagne, Jennifer, née à Pékin. En 2017, ce couple à succès a acquis pour 6 millions d’euros une propriété sur les hauteurs verdoyantes de la capitale de la Colombie-Britannique. Pas mal pour un entrepreneur ayant commencé son aventure dans un petit studio dix ans plus tôt.
Si Sky Global commercialise plusieurs applications, parmi lesquelles une de cryptomonnaies et une autre de cartes-cadeaux, son produit phare demeure sa messagerie ultrasécurisée. Une plateforme destinée à des « personnes et des industries ayant des préoccupations accrues en matière de confidentialité », selon le marketing de la société. Dans les couloirs, il se murmure que le rappeur Drake figure parmi les utilisateurs. « Notre clientèle est un étrange mélange. Nous avons honnêtement de tout, des prostituées aux journalistes, aux espions, aux cadres dirigeants », dira un des distributeurs de Sky ECC.
Un « code sous pression »
En apparence, ces téléphones cryptés ressemblent à des appareils des plus classiques : il s’agit de BlackBerry, d’iPhone ou de Google Pixel… A un détail près : la plupart des fonctionnalités (caméra, microphone, sortie USB…) ont été désactivées. Une fois la technologie de cryptage installée, seuls les échanges entre utilisateurs Sky sont possibles.
En outre, ces téléphones disposent d’un « mode furtif » dissimulant l’application sous l’icône de la calculatrice et d’un « code sous pression » permettant d’effacer instantanément toutes les données. « Si un policier tentait de le faire, ça réinitialisait le téléphone comme un téléphone normal », expliquera un revendeur serbe aux enquêteurs français. Se disant attachée à la vie privée de ses utilisateurs, la société canadienne affirme ne pas disposer de leurs identités réelles et ne pas collaborer avec les services de police.
Pour les enquêteurs belges et néerlandais, aucun doute : sous couvert de discours marketing aux accents libertariens, Sky Global fournirait sciemment aux organisations mafieuses, par le biais de canaux de commercialisation occultes, une application facilitant la perpétration de leurs crimes.
Des serveurs à Roubaix
Dans le cadre de leur enquête, ils ont remarqué une particularité intéressante : les deux serveurs de Sky ECC sont hébergés chez OVH, une société française basée à Roubaix (Nord). Fin 2018, ils adressent donc une demande d’entraide à la justice française.
A l’époque, ces téléphones commencent aussi à apparaître dans les radars des policiers français. Dans une conversation téléphonique interceptée, un trafiquant en fuite au Maroc et son beau-frère resté en France évoquent la nécessité de se parler désormais par le biais de ces appareils :
« J’ai récupéré un téléphone, mais je sais pas si ça marche avec le tien, explique le beau-frère. – Un Sky ?
– Ouais.
– Euh… Nan nan, ça marche pas.
– Vas-y, vas-y. Dans ton entourage, y’a personne qu’y en a un ?
– Euh, si… Envoie, bah si, envoie-moi, envoie-moi ton adresse. »
En février 2019, une enquête préliminaire est ouverte au parquet de Lille pour association de malfaiteurs et infraction à la législation sur les moyens de cryptologie, la société canadienne n’ayant pas rempli ses obligations en la matière. Nom de code de l’enquête : « Vanilla », une référence au film « Vanilla Sky » (2001), de Cameron Crowe, avec Tom Cruise.
Mi-juin, les policiers français placent un système d’interception des communications sur les serveurs Sky ECC à Roubaix. La mission s’avère délicate. « Quand vous pénétrez dans un système, même si vous le faites de la manière la plus discrète possible, vous laissez toujours une trace », explique Nicolas Guidoux, à la DCPJ. Chez Sky Global, personne ne remarque l’intrusion.
« El Chapo is back »
L’enquête prend alors un tournant. Sous l’égide d’Europol, une équipe commune d’enquête se met en place. En France, le dossier ouvert à Lille est transmis à la Juridiction nationale Chargée de la Lutte contre la Criminalité organisée (Junalco), basée au parquet de Paris qui vient alors de voir le jour. Dans un premier temps, toutes les communications sont enregistrées dans l’espoir d’être un jour déchiffrées. En attendant, les enquêteurs font une nouvelle et réjouissante découverte : une partie des métadonnées (dates des messages, pseudonymes, noms des groupes…) circule en clair entre les deux serveurs. En les croisant avec des bornages téléphoniques et d’autres données, elles permettent de livrer des informations pertinentes sur les utilisateurs.
Un premier constat frappe les enquêteurs : de nombreuses conversations de groupes portent des noms suggérant une activité criminelle : « Vendetta 2 », « El Chapo is back » ou encore « 730 » ou « 1700 », soit les numéros de quais sensibles du port d’Anvers…
Deuxième constat : le service support de Sky reçoit de fréquentes demandes d’effacement à distance. Tout comme les revendeurs, parfois dans des messages qui laissent peu de doutes sur les activités des utilisateurs : « Salut, fréro peux-tu effacer ce téléphone, il a été arrêté […] Et pourrais-tu préparer deux nouveaux téléphones pour demain », écrit ainsi un client belge.
Autre découverte : 10 % des utilisateurs mondiaux sont localisés en Belgique. Et parmi ces utilisateurs belges, 70 % sont localisés dans la région d’Anvers. De nombreux appareils activent aussi l’itinérance à Dubaï, lieu de refuge des criminels – en particulier des têtes de réseaux.
Collecte des espèces
A l’époque, les policiers européens ne sont alors pas les seuls à s’intéresser à Sky ECC : les services américains mènent leurs propres investigations. Elles portent sur des soupçons de blanchiment de la part des dirigeants. En mai 2020, ils adressent une demande d’entraide à la Belgique : un associé de Sky serait à la recherche d’un contact sur place pouvant récupérer des sommes en espèces, les convertir en bitcoins et les envoyer ensuite au Canada. L’argent correspond aux revenus devant être reversés à la société mère.
Un agent infiltré belge joue les collecteurs. Il se voit remettre 560 000 euros en trois fois. « Les billets […] empestaient les produits chimiques, ce qui suggère qu’ils pourraient avoir été présents à un moment donné dans un ou plusieurs labos de drogues », indique un rapport de police sur l’opération.
t des trafiquants : s’appuyant sur des distributeurs et revendeurs occultes, Sky ECC fait ensuite remonter l’argent par un mécanisme de collecte d’espèces auprès des points de vente. « Le cash était ensuite échangé contre des cryptomonnaies par des banquiers parallèles spécialisés dans la compensation », explique le Sirasco dans son dernier rapport.
La chute d’EncroChat
A l’été 2020, un dossier parallèle vient bousculer l’enquête. Le 2 juillet, les cybergendarmes français et la police néerlandaise annoncent le démantèlement d’EncroChat, une messagerie cryptée concurrente elle aussi prisée des criminels. L’opération peut s’avérer à double tranchant. D’un côté, la chute d’EncroChat peut provoquer une migration des utilisateurs vers Sky ; de l’autre, elle peut aussi nourrir les doutes de certains à l’égard de ces téléphones chiffrés. Les jours suivants, les policiers constatent d’ailleurs que de nombreux utilisateurs s’enquièrent d’éventuelles failles auprès du service support de Sky.
La start-up, elle, cherche à profiter de la chute du concurrent. Pour ce faire, Jean-François Eap lance son premier concours de hacking : « Essayez de craquer notre système de cryptage impénétrable SKY ECC et gagnez 1 000 000 USD [dollars américains] », écrit-il le 18 juillet 2020. Destiné à séduire de nouveaux clients comme à rassurer les anciens, le coup de com porte ses fruits : le nombre de téléphones Sky en circulation passe de 80 000 en avril 2020 à 145 000 en novembre 2020. Pour le plus grand bonheur des policiers.
A suivre dès demain sur notre site…
Par
https://www.nouvelobs.com/justice/20230831.OBS77577/affaire-sky-ecc-comment-les-policiers-ont-infiltre-le-whatsapp-des-narcos.html
.
Les commentaires récents