La Gendarmerie Nationale a développé un malware pour compromettre les conversation de la messagerie chiffrée EncroChat, une technologie utilisée par des milliers de criminels. Son action a permis aux polices européennes de démanteler des réseaux de grands envergure, avec des arrestations et des saisies records à la clé.

C’est un coup de filet d’une ampleur rarissime. Le 2 juillet, la Gendarmerie nationale a annoncé que les travaux de son centre de lutte contre les criminalités numériques (C3N) ont permis de démanteler d’importants réseaux de drogue et de vente d’armes blanches, entre autres activités criminelles. À la clé, des centaines de criminels écroués, des dizaines de millions d’euros et de drogues saisies.

Pour parvenir à ce résultat, les autorités françaises ont créé de toutes pièces un malware destiné à intercepter les conversations des téléphones ultra-sécurisés d’EncroChat. Résultat : pendant plusieurs semaines, des millions de messages de criminels français, néerlandais ou encore britanniques ont été aspirés par les enquêteurs. Ces données sont autant de preuves des méfaits. « C’est comme si nous étions à la table des criminels », a expliqué Janine van den Berg, directrice de la police néerlandaise. Eurojust, l’unité de coopération judiciaire de l’Union européenne, a publié un rapport sur l’opération, qui a mobilisé près d’une dizaine d’organisations.

Les téléphones des cybercriminels ont été compromis par un malware made in France. // Source : Louise Audry pour Numerama

Qui est EncroChat ?

En 2017, les autorités françaises sont confrontées pour la première fois au nom « EncroChat », qui désigne alors un moyen de communication sécurisé pour téléphone, comme il en existe plusieurs dans le monde criminel.

  • Des téléphones vendus à plusieurs milliers d’euros l’année

Une entreprise du même nom commercialise des téléphones (en théorie) ultra-sécurisés. Sur un de ses sites (tombé depuis), elle promet que l’anonymat des utilisateurs sera garanti, car sa technologie permet « l’équivalent électronique d’une conversation entre deux personnes dans une pièce vide. »

Pour s’offrir un des téléphones, il faut payer un abonnement, estimé à plus de 1 000 euros pour 6 mois, qui donne aussi accès à un service de maintenance. Ce prix exorbitant n’a pas empêché l’entreprise de convaincre environ 60 000 clients. La discussion  depuis un EncroChat ne peut se faire que vers un autre EncroChat, ce qui force les criminels à souscrire à plusieurs abonnements d’un coup.

  • EncroChat opérait depuis la France

Les investigations techniques de la gendarmerie ont conclu que si l’entreprise n’était pas déclarée en France, elle opérait cependant depuis des serveurs OVH hébergés près de Lille. Elle a donc décidé de se saisir du sujet.

Interrogée par Motherboard, EncroChat se présente comme une entreprise classique, qui aurait des clients dans plus de 140 pays. Mais de leur côté, les autorités françaises assurent qu’au moins 90 % des clients d’EncroChat (soit l’intégralité de ceux qui ont activé leur terminal) « se livrent à des activités criminelles. » Les différents témoignages et rapports d’enquête évoquent des transactions officieuses sur le marché noir. Pour se procurer un EncroChat, il fallait avoir le bon contact, et négocier dans la discrétion d’une arrière-boutique.

  • Des dirigeants non identifiés

Le hack a permis de lever le voile sur l’identité de nombreux criminels, mais celle des dirigeants reste secrète.

Quelles protections promettent les téléphones d’EncroChat ?

EncroChat avait plusieurs arguments de vente pour convaincre les criminels d’utiliser ses appareils.

  • Des communications chiffrées

Les messages envoyés entre téléphones EncroChat sont chiffrés directement sur les smartphones. Concrètement, le logiciel déguise les messages en une suite de chiffre et de lettres aléatoires, que seul un autre EncroChat peut déchiffrer. Si les forces de l’ordre parviennent à intercepter un message (par exemple en ayant accès au réseau téléphonique ou au Wi-Fi), elles ne parviendraient pas à le comprendre, puisqu’il serait protégé par la couche de chiffrement. EncroChat prétendait qu’eux-mêmes ne disposaient pas des clés pour inverser le chiffrement.

  • Un téléphone minimaliste

La plupart des téléphones fournis par EncroChat sont des BQ Aquaris X2, un modèle Android espagnol, sorti en juin 2018, qui coûte un peu plus de 150 euros sur les sites d’e-commerce. Mais ceux de EncroChat ont subi quelques ajustements : l’entreprise se débarrasse des composants qui permettent le fonctionnement du GPS, de la caméra et du micro. Le téléphone doit être le plus discret possible, et le meilleur moyen d’empêcher un traçage ou une écoute est de le rendre physiquement impossible.

Après ce bidouillage, l’entreprise va ajouter ses programmes de chiffrement fait maison et diriger les communications uniquement vers ses serveurs. Au bout de cette transformation, le BQ Aquarius X2 ne permet en pratique que de parler via la messagerie sécurisée.

  • Une version miroir pour passer les contrôles 

Les utilisateurs ont la possibilité de démarrer leur téléphone sur une version d’Android classique plutôt que sur EncroChat. Ils peuvent ainsi l’utiliser pour des conversations moins sensibles, ou le présenter comme un téléphone classique en cas d’interpellation.

  • Un bouton rouge pour supprimer les données

Les criminels ont la possibilité d’effacer l’intégralité des données de leur téléphone en utilisant un code PIN. Cette fonctionnalité offre une porte de sortie en cas de saisie du téléphone par les autorités.

Comment les autorités ont-elles attaqué les téléphones d’EncroChat ? 

La Gendarmerie écrit que son enquête a abouti « à la mise en place d’un dispositif technique grâce auquel des communications non chiffrées des utilisateurs pouvaient être obtenues.  » Dit de façon plus crue, les forces de l’ordre ont développé un malware. Elles ne s’étendent pas en détail technique, mais les développeurs d’EncroChat ont noté l’« extrême sophistication du programme ».

  • Les autorités françaises déploient un malware de haut niveau

Le malware français se compose de trois fonctionnalités : il est capable de s’installer discrètement sur le terminal téléphonique et de rester sous le radar ; d’intercepter les communications sur le réseau d’EncroChat pour lire les messages avant qu’ils soient chiffrés ; d’enregistrer le mot de passe de l’appareil et de copier les données.

Pour parvenir à ce résultat, plusieurs organisations françaises ont travaillé sur l’outil. En conséquence, une grande partie du développement du malware est protégé par le secret de la défense nationale prévu dans la loi. La gendarmerie a à elle seule mobilisé plus de 60 agents.

D’après Motherboard, le malware a été créé sur mesure pour le BQ Aquarius X2 utilisé par EncroChat. Une fois les messages déchiffrés, les enquêteurs français les ont partagés avec leurs homologues européens.

  • Panique chez EncroChat

En mai 2020, des utilisateurs d’EncroChat s’inquiètent d’un dysfonctionnement de leur appareil : la fonctionnalité d’effacement d’urgence est désactivée. Les développeurs parviennent à trouver un des modèles affectés, et ils y trouvent un malware. Deux jours plus tard, ils déploient une mise à jour pour restaurer la fonctionnalité et en savoir plus sur le malware.

À peine le patch publié, le malware réapparait, dans une version plus virulente. Les propriétaires d’EncroChat décident d’avertir leurs clients entre le 12 et le 13 juin : « étant donné la sophistication de l’attaque et du code, nous ne pouvons plus garantir la sécurité de vos téléphones ». Ils vont même jusqu’à conseiller de se débarrasser physiquement des appareils.

La structure dénonce alors une « saisie illégale », par des «  entités gouvernementales ».

  • Un hack permis par une spécificité de la loi française

Dans leur rapport, les enquêteurs présentent le cadre légal de ce piratage, en invoquant l’article 706-102-1 du Code de procédure pénale français : «  Il peut être recouru à la mise en place d’un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre. » Ils insistent pour mettre en avant que cette pratique est « strictement encadrée. »

Quel bilan pour le hack opéré par la Gendarmerie nationale ?

Rassurés par ces différentes précautions de sécurités, la plupart des criminels s’envoyaient des messages pour discuter les prix de leurs produits, les noms des clients, ou encore pour préméditer des meurtres. Le tout, avec un très grand niveau de détail.

« Nous avons capturé des messages qui nous donnent une vision de la vie quotidienne du monde criminel » se félicitait Andy Kraag, un dirigeant des forces de l’ordre néerlandaises.  Les autorités parlent d’un accès à plus de 100 millions de messages chiffrés. Les criminels discutent de leurs cachettes de drogues, leurs techniques de blanchiment d’argent, ou encore leurs préméditations de meurtre. Pendant plusieurs semaines, les forces de l’ordre ont disposé d’un accès privilégié à l’arrière-boutique des criminels, remplies de preuves de leurs méfaits.

En France, les enquêteurs ont ouvert plusieurs procédures d’enquête et arrêté une centaine de suspects. En Angleterre, ce sont plus de 700 suspects qui ont été interpellés. En Hollande, en Norvège, en Espace ou encore en Allemagne, les services de police ont pu saisir des tonnes de drogues (cocaïne, meth, cannabis), des centaines d’armes à feu, des voitures, et plusieurs dizaines de millions d’euros en cash.

Ce bilan matériel exceptionnel s’additionne à un gain de connaissances inestimable sur les modes opératoires des criminels.

Quelle suite pour l’affaire EncroChat ?

  • Va-t-on retrouver les responsables ? 

EncroChat a fermé ses activités, mais ces dirigeants n’ont pas donné de signe de vie. Dans leur rapport d’enquête, les forces de l’ordre tentent une main tendue : « Dès lors que la structure en charge du fonctionnement de cette solution technique EncroChat a prévenu ses utilisateurs d’une action prétendument « illégale » contre ses serveurs, toute personne se présentant comme dirigeant, représentant ou administrateur des sociétés à l’origine de ce service est invité à se faire connaître et à faire valoir ses arguments auprès des services de gendarmerie. » 

Elle propose également une adresse de contact pour les utilisateurs qui se « disent de bonne foi » et « souhaiteraient obtenir l’effacement de leurs données personnelles de la procédure judiciaire ». Pas sûr que cet appel aux témoignages rencontre un grand succès…

  • Les enquêtes sont loin d’être finies

Les données obtenues par le hack n’ont pas toutes été analysées, et pourraient mener à d’autres arrestations de cybercriminels. L’enquête a mis en avant un autre problème, celui de la corruption de certains services de police, qui devrait déclencher des investigations en interne dans les pays concernés.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux