Trois ans plus tard, le piratage du cryptophone EncroChat entraîne 6 500 arrestations et saisies pour 900 millions d’euros

Comment la police française a piraté EncroChat

La gendarmerie nationale française a commencé à enquêter sur EncroChat en 2017 après avoir récupéré des téléphones EncroChat de groupes criminels organisés impliqués dans le trafic de drogue. Des enquêtes ultérieures ont conduit à la découverte de serveurs EncroChat hébergés dans un centre de données géré par la société de cloud computing OVH à Roubaix, en France.

EncroChat a vendu ses cryptophones Android BQ Aquaris X2 et X3 Android pour environ 1 000 € chacun et a proposé des abonnements avec une couverture mondiale, au coût de 1 500 € pour six mois.

Le téléphone promettait aux utilisateurs des communications cryptées sécurisées et l’anonymat en leur attribuant un pseudonyme. Il avait la capacité de supprimer des messages et un code PIN pour effacer le téléphone en cas d’urgence.

Les enquêteurs ont pu procéder à une ingénierie inverse du réseau de 72 machines virtuelles d’EncroChat utilisé pour gérer les clés de chiffrement, analyser les journaux d’événements, surveiller l’utilisation des cartes SIM et les attribuer au bon appareil, configurer de nouveaux téléphones et gérer les appels vocaux, les services clients et d’autres tâches.

L’agence de renseignement française DGSE a fourni un implant logiciel, livré aux téléphones déguisés en mise à jour logicielle, qui a initialement collecté des données historiques de la mémoire des téléphones infectés, y compris les messages de chat stockés, les carnets d’adresses, les notes et le numéro IMEI unique de chaque téléphone.

Dans la deuxième étape, l’implant a intercepté les messages de chat entrants et sortants et les a transmis à un serveur géré par le Centre de lutte contre la criminalité numérique (C3N) de la gendarmerie à Pontoise, dans les deux étapes en utilisant un serveur « load balancer » compromis au centre de données de Roubaix.

Par ailleurs, la National Crime Agency du Royaume-Uni a développé son propre implant pour pénétrer EncroChat, qui a exploité un logiciel d’enregistrement des erreurs dans le système d’exploitation du téléphone Android, connu sous le nom de Marvin APK, pour collecter des données, mais a choisi de ne pas le déployer après que les Français aient développé leur propre implant.

Enquête néerlandaise

La police nationale néerlandaise et le bureau du procureur général ont ouvert une enquête, nom de code 26 Lamont, dans les personnes qui dirigeaient l’EncroChat, qui était alors l’un des plus grands réseaux téléphoniques cryptés, aux Pays-Bas.

Les Pays-Bas ont mis en place une équipe commune d’enquête (ECE) avec les Français en avril 2020, avec le soutien de l’Agence de l’UE pour la coopération diplomatique à La Haye, Eurojust, et de l’Agence européenne de coopération des services répressifs, Europol.

La police néerlandaise a analysé plus de 20 millions de messages de chat, ce qui a conduit à de nombreuses enquêtes, arrestations et condamnations aux Pays-Bas, a déclaré le procureur national néerlandais pour la coopération internationale, Renske Mackor.

« Nous considérons ces suspects comme des personnes importantes dans la couche intermédiaire de l’organisation criminelle autour d’EncroChat. Ils sont liés au conseil d’administration d’EncroChat et communiquent avec la couche de revendeurs », a-t-elle déclaré.

La police néerlandaise a arrêté trois suspects aux Pays-Bas en 2022, soupçonnés de participation à une organisation criminelle, de blanchiment d’argent et de complicité avec des crimes commis par les clients d’EncroChat.

Les suspects ont d’abord été placés en détention provisoire, mais ont été libérés sous condition. Mackor a déclaré qu’elle espérait qu’un procès aurait lieu en 2024.

Un quatrième suspect est en fuite et recherché par les polices française et néerlandaise.

Arrestations françaises

À son apogée en 2020, 100 gendarmes ont travaillé à plein temps sur l’enquête EncroChat au niveau central et dans les bureaux locaux en France. Dix gendarmes ont été déployés à Europol pendant 18 mois.

Les enquêteurs français ont identifié une douzaine de personnes soupçonnées de diriger EncroChat ou de faire partie du réseau de revendeurs de téléphones EncroChat.

Il s’agit notamment du directeur principal d’EncroChat, des développeurs de solutions, des responsables logistiques, des membres de la structure de blanchiment d’argent et des revendeurs téléphoniques.

« L’enquête sur la structure d’EncroChat a été complexe, compte tenu de la structure de l’organisation elle-même, mais surtout compte tenu de son emplacement sur différents continents, et a nécessité de nombreux actes de société internationale, dont certains sont encore en cours de préparation et/ou de mise en œuvre », a déclaré Etienne.

Les crimes faisant l’objet d’une enquête comprennent la fourniture, le transfert et l’importation illégaux de dispositifs cryptographiques en France, qui comprennent des infractions commises au Canada, en République dominicaine, en Espagne, aux Pays-Bas, au Royaume-Uni, en Allemagne, à Hong Kong et au Panama.

Trois personnes ont été arrêtées en Espagne en juin 2022 et extradées vers la France en vertu de mandats d’arrêt européens.

Ils ont été accusés d’association de criminels en vue de préparer des infractions passibles d’une peine pouvant aller jusqu’à 10 ans d’emprisonnement, de complot en vue d’acquérir, de transformer ou de vendre des stupéfiants, de complot en vue d’importer des stupéfiants en bande organisée, d’avoir aidé et encouragé l’acquisition d’armes et de munitions et de blanchiment d’argent.

D’autres personnes hors de l’Union européenne recherchées en France n’ont pas encore été inculpées.

Quelque 84 autres procédures judiciaires sont en cours en France, dont huit à Lille, décrites comme « accessoires » à l’enquête française sur les propriétaires et les organisateurs d’EncroChat.

Elles ont conduit à 165 arrestations et à la saisie de plus de deux tonnes de cannabis en plus de 118 kilos de cocaïne, 155 kilos d’héroïne, cinq armes, 110 véhicules et plus de 4 millions d’euros en France.

Opération Emma

Europol a mis en place une task force opérationnelle (OTF), nom de code Emma, pour analyser les données recueillies à partir d’EncroChat opérant à partir de son siège à La Haye.

Emma a réuni des enquêteurs et des experts d’Europol, des États membres de l’UE et d’autres pays, dont le Royaume-Uni, pour évaluer les données.

Une grande équipe d’experts spécialisés d’Europol a analysé plus de 115 millions de messages et de données reçus des partenaires français et néerlandais de l’ECE.

Le commandant en second de la division cyberespace de la gendarmerie, Christophe Husson, a déclaré qu’il y avait deux défis majeurs, intercepter les communications et ensuite exploiter la masse de données collectées.

Europol a recoupé et analysé 1,3 terraoctet de données, en les combinant avec les informations de sa propre base de données pour fournir près de 700 paquets de données de renseignement aux pays du monde entier. L’enquête a touché 123 pays.

« Une enquête conjointe sur EncroChat nous a permis de découvrir un instantané unique de la criminalité organisée et des groupes criminels organisés qui opéraient dans l’UE mais aussi au-delà », a déclaré Jean-Philippe Lecouffe, directeur exécutif adjoint d’Europol, Opérations.

Lecouffe a déclaré que l’opération Emma multipliait les efforts déployés par les États membres collaborateurs contre le crime organisé et serait un modèle pour les collaborations futures. Europol soutient depuis les enquêtes dérivées lancées dans le monde entier, a-t-il déclaré.

Les tribunaux européens affirment qu’EncroChat est légal

Les procureurs ont critiqué les rapports suggérant que la nouvelle opération de piratage pourrait ne pas être légale en vertu des lois européennes, soulignant les décisions de justice aux Pays-Bas et en France qui ont trouvé des preuves du réseau téléphonique piraté pourraient être utilisées dans des affaires pénales.

La Cour suprême néerlandaise a statué le 13 juin 2023 que les tribunaux néerlandais pouvaient légalement utiliser des éléments recueillis par les enquêteurs français d’EncroChat et d’un deuxième réseau téléphonique crypté, Sky ECC, comme preuve dans les affaires pénales néerlandaises.

Le tribunal a conclu, à la suite de renvois par deux tribunaux régionaux aux Pays-Bas, que les tribunaux néerlandais devraient respecter les décisions judiciaires qui sous-tendent les enquêtes dans d’autres pays dans les affaires pénales, citant le principe de « confiance interétatique » entre les États membres de l’UE.

Cela continuera d’être le cas à moins qu’un tribunal du pays collaborateur ne statue irrévocablement que l’enquête était illégale ou qu’il y ait des indications concrètes que les résultats de l’enquête ne sont pas fiables, a déclaré Mackor.

L’Institut médico-légal néerlandais a examiné la fiabilité des résultats de l’outil d’interception français et a indiqué qu’il ne voyait aucune raison de douter de la fiabilité ou de la fiabilité des données recueillies, a-t-elle ajouté.

« La Cour suprême a en outre statué que dans les affaires pénales actuelles, il n’y a pas d’indications concrètes que les données ne seraient pas fiables. Ainsi, pour l’instant, le ministère public néerlandais ne voit pas la nécessité de revoir la fiabilité des données », a-t-elle déclaré.

La décision de la Cour suprême néerlandaise s’inscrit dans le cadre d’autres décisions des tribunaux européens concernant l’évaluation et l’utilisation des preuves issues des enquêtes françaises sur EncroChat et un autre réseau téléphonique crypté, Sky ECC.

« Elle marque une tendance importante dans la recevabilité et la fiabilité des preuves issues des données issues de l’enquête française. À cet égard, cela marque également une nouvelle période dans la jurisprudence internationale », a-t-elle déclaré.

« On s’attend à ce que dans les futures affaires liées au crime organisé, le partage des preuves et la coopération pour obtenir des preuves deviennent encore plus cruciaux. »

Arrêt de la Cour de cassation

La chambre criminelle de la Cour de cassation de Paris, a rendu deux arrêts sur la validité de la saisie des données EncroChat.

Carole Etienne, procureur général du tribunal judiciaire de Lille, a déclaré que la première décision du 11 octobre 2022 validait la capture et la modification de tout système informatique en vertu de la loi française et reconnaissait que l’utilisation du secret de la défense nationale pour protéger le fonctionnement du dispositif de capture était conforme à la constitution française.

Dans la seconde décision du 10 mai 2023, le tribunal a confirmé qu’en l’absence de données et de description dans le cadre du processus de capture numérique, les enquêteurs français n’étaient pas tenus de produire un certificat de véracité pour authentifier les données utilisées dans les poursuites.

Au Royaume-Uni, l’Investigatory Powers Tribunal a statué en mai que la National Crime Agency (NCA) avait obtenu légalement des mandats pour recevoir des messages des téléphones EncroChat piratés. L’admissibilité des éléments de preuve d’EncroChat continue de faire l’objet de contestations judiciaires devant un certain nombre de cours de la Couronne.