La police néerlandaise a utilisé un modèle d’apprentissage profond pour prédire les menaces à la vie

L’Institut médico-légal des Pays-Bas (INF) a mis au point un logiciel pour aider la police néerlandaise à filtrer les messages mettant la vie en danger envoyés par des criminels présumés à l’aide du réseau téléphonique crypté EncroChat.

Après avoir placé un « implant logiciel » sur un serveur EncroChat à Roubaix, les enquêteurs de Français ont commencé à collecter des données en direct à partir de téléphones le 1er avril 2020, qu’ils ont ensuite partagées avec la police néerlandaise via un lien informatique sécurisé.

Avec l’infiltration du réseau conduisant à l’interception d’au moins 25 millions de messages, la police néerlandaise voulait un moyen de prédire quels messages contenaient de graves menaces à la vie afin qu’ils puissent agir.

Pour ce faire, l’équipe d’analyse médico-légale du Big Data (FBDA) de l’INF a modifié un modèle informatique qu’elle avait déjà mis au point à la fin de 2019 pour rechercher les messages liés à la drogue envoyés entre criminels présumés dans de grandes quantités de données de communication, dans le cadre d’un projet de recherche et développement.

EncroChat, qui compte 60 000 utilisateurs dans le monde et environ 9 000 utilisateurs au Royaume-Uni (voir la carte de distribution ci-dessous), a été utilisé par des groupes criminels organisés pour le trafic de drogue, le blanchiment d’argent et le complot visant à tuer des criminels rivaux.

L’INF a déclaré à Computer Weekly que le logiciel « parler de drogue » a été développé à l’interne avant d’être modifié pour la détection des « menaces à la vie » et transmis à la police. L’INF a ajouté que le logiciel n’a pas été utilisé dans les enquêtes criminelles au cours de cette période de développement.

En utilisant des techniques d’apprentissage profond, l’équipe de la FBDA a d’abord formé le réseau neuronal du modèle à la compréhension du langage générique en lui faisant lire des pages Web et des articles de journaux, avant de l’introduire aux messages des criminels présumés, afin qu’il puisse apprendre comment ils communiquent.

« L’équipe a alors commencé à utiliser des techniques similaires pour développer un modèle pour reconnaître les messages mettant la vie en danger. Ce modèle était prêt lorsque les conversations d’EncroChat ont afflué dans la police à Driebergen le 1er avril », a déclaré le NFI dans un communiqué.

Pour aider le modèle à identifier les messages qui contenaient de graves menaces au sujet des meurtres ou des enlèvements planifiés, par exemple, l’INF a créé une liste de « mots de signal » qui pourraient indiquer quand de tels crimes étaient sur le point d’avoir lieu.

« Par exemple, ils utilisent les mots « mort », « sommeil », « poupées », « pop off », « disparaître » et ainsi de suite. Les policiers ont ensuite qualifié les résultats de « menaçants » ou de « non menaçants ». Par exemple, le mot « sommeil » peut également être très bien utilisé dans un contexte non menaçant », a déclaré l’INF.

Pour empêcher le modèle d’étiqueter les messages non pertinents comme menaçants et pour identifier ceux qui ont une forte probabilité d’être menaçants, l’INF a utilisé des dizaines de milliers de phrases contenant ces mots de signal pour le former.

Parce que le modèle avait déjà suivi une formation en compréhension de la langue lorsqu’on lui a appris à reconnaître le « discours sur la drogue », l’INF a dit qu’il n’avait fallu que quelques semaines pour qu’il apprenne comment les criminels présumés communiquaient, et plusieurs autres pour qu’il distingue si les messages contenaient une menace.

Bien que l’INF ne puisse garantir une précision de 100 %, le modèle estime les chances qu’un message soit menaçant en marquant chacun sur une échelle de zéro à un – plus il est susceptible de contenir du contenu menaçant.

L’INF a écrit dans sa déclaration qu’un humain prendra toujours la décision finale d’intervenir lorsque des messages menaçants sont identifiés, le modèle étant utilisé pour mettre en évidence où il doit regarder.

La police néerlandaise a mis en place une équipe de menaces à la vie et a utilisé le logiciel pour effectuer des recherches automatisées de mots clés qui pourraient indiquer des situations potentiellement mortelles.

En juillet 2020, les enquêteurs néerlandais avaient averti 22 personnes qu’elles risquaient d’être victimes de violences de la part de gangs criminels – trois mois après la mise en ligne de l’implant espion logiciel sur le réseau EncroChat.

Computer Weekly a demandé à la police néerlandaise et au parquet néerlandais si le logiciel de détection de la « drogue- parler » ou « menace à la vie » avait été utilisé dans toute autre enquête – y compris la violation du plus grand réseau de cryptophones au monde, Sky ECC, par les autorités belges et néerlandaises en mars 2021 – mais n’a reçu aucune réponse au moment de la publication.

Bien que les autorités européennes chargées de l’application de la loi d’un certain nombre de pays différents aient collaboré tout au long de l’enquête SurCroChat, une combinaison de la rapidité de l’opération et des différentes exigences de la police a permis à chaque pays participant de construire sa propre technologie pour analyser les données.

Comment les autorités britanniques ont trié les données

La National Crime Agency (NCA) du Royaume-Uni, par exemple, a commencé à travailler avec le Français et Dutch Joint Investigation Team et Europol pour développer une technologie de transport et de tri des données EncroChat avant qu’elles ne soit transmises au Royaume-Uni en janvier 2020.

L’agence criminelle a fourni des techniques analytiques et des recherches de mots clés pour aider Europol dans l’analyse des données.

Lorsque l’implant a été mis en ligne le 1er avril 2020, la gendarmerie de Français a transmis des messages et des images interceptés à une équipe internationale d’Europol basée à La Haye, aux Pays-Bas.

Les enquêteurs du Centre opérationnel conjoint mis en place pour analyser les données d’EncroChat chez Europol ont utilisé des recherches par mots clés pour identifier les menaces à la vie et les activités à haut risque des bandes criminelles, y compris les dangers pour les enfants, l’utilisation d’armes à feu et les informations relatives au terrorisme.

Les analystes ont trié pour identifier les menaces à la vie à mesure que le matériel arrivait.

Les enquêteurs de la NCA basés à Europol ont pu accéder au système informatique de la gendarmerie de Français pour accéder aux données en temps réel à partir de téléphones lorsqu’il y avait une menace imminente pour la vie.

Europol a fourni aux enquêteurs britanniques des téléchargements de nuit de données recueillies à partir de téléphones identifiés comme étant au Royaume-Uni, par le biais de l’Échange de fichiers grande Europol, une partie de son réseau informatique sécurisé Sienne.

En quelques jours, les enquêteurs britanniques ramassaient des messages qui montraient que des gens étaient en danger, alors que des bandes criminelles, dont les revenus avaient diminué pendant le confinement de Covid, faisaient appel à de vieilles dettes.

Les travaux ont commencé sur les moyens d’alerter les équipes d’enquête sur les victimes potentielles, sans divulguer la source du renseignement EncroChat, qui aurait pu alerter les gangs criminels du monde entier que le réseau téléphonique avait été compromis.

Bien que l’outil néerlandais d’apprentissage automatique ait été utilisé par la police néerlandaise, il n’a pas été utilisé par d’autres pays lors de l’opération EncroChat.

L’ANC a construit des capacités technologiques et spécialisées d’exploitation des données pour traiter les données d’EncroChat et localiser les délinquants présumés en analysant des millions de messages et des centaines de milliers d’images.

Le logiciel, écrit dans le langage de programmation Python, a été en mesure de traiter les messages historiques extraits de la base de données dans le téléphone d’EncroChat, appelé Royaume, et les messages texte en direct envoyés à partir de milliers de téléphones.

L’agence criminelle a envoyé des trousses de renseignement, sous forme de fichiers CSV, aux unités régionales du crime organisé, au Service de police d’Irlande du Nord, à la Police écossaise, à la Police métropolitaine, à la Border Force, au Service pénitentiaire et à HM Revenue & Customs.

Ils étaient chargés d’analyser les données pour obtenir d’autres indications de menaces à la vie, au commerce de la drogue et à d’autres crimes.

En juillet 2020, en collaboration avec d’autres forces de police, l’ANC a révélé qu’elle avait empêché 200 menaces à vie de la part de bandes rivales qui avaient été enlevés et exécutés.

Bien qu’il n’y ait aucune indication que des logiciels de détection similaires ont été utilisés en Suède, un rapport publié par le Département national des opérations (NOA) de la police suédoise a déclaré que les autorités avaient réussi à éviter 10 meurtres planifiés sur la base d’informations d’EncroChat au printemps 2020.