Encrochat
Image : Cathryn Virginia 
Crime

La police a démantelé un réseau de téléphonie cryptée utilisé par le crime organisé

La police a surveillé des millions de messages cryptés envoyés via Encrochat, un réseau utilisé par des criminels pour discuter de trafics de drogue, de meurtres et d'extorsion.
05 juillet 2020, 6:41pm

Quelque chose n'allait pas. Depuis le début de l'année, la police ne cessait pas d'arrêter les associés de Mark*, un trafiquant de drogue présumé, basé au Royaume-Uni. Mark prenait pourtant très au sérieux la sécurité de son opération : son gang utilisait des noms de code pour discuter de leurs affaires et communiquait via des téléphones personnalisés et cryptés, fabriqués par une société appelée Encrochat.

Comme les messages étaient cryptés sur les appareils eux-mêmes, la police ne pouvait pas mettre les téléphones du groupe sur écoute, ni intercepter les messages, comme le feraient normalement les autorités. Sur Encrochat, les criminels parlaient ouvertement et négociaient leurs affaires dans les moindres détails, avec des listes de prix, des noms de clients, et des références explicites aux grandes quantités de drogues qu'ils vendaient, selon des documents obtenus par Motherboard auprès de sources proches du monde criminel.

C'est peut-être une coïncidence, mais dans le même temps, les polices britannique et européenne ont arrêté un grand nombre de criminels. À la mi-juin, les autorités ont arrêté un membre présumé d'un autre gang de trafiquants de drogue. Quelques jours plus tard, les forces de l'ordre ont saisi des millions de dollars de drogues illégales à Amsterdam. C'était comme si la police détenait simultanément des personnes appartenant à des gangs sans aucun lien entre eux. « Les flics sont partout ou quoi, écrit le dealer dans un des messages que nous avons obtenus. Je n’arrive toujours pas à croire qu’ils aient mis la main sur tous mes gars. »

Les messages de Mark et ceux des dizaines de milliers d'autres utilisateurs présumés d'Encrochat n'étaient pas vraiment sécurisés. Les autorités françaises avaient pénétré le réseau Encrochat, utilisé cet accès pour installer un outil technique dans ce qui semble être une opération de piratage de masse, et avaient lu tranquillement les communications des utilisateurs pendant des mois. Les enquêteurs ont ensuite partagé ces messages avec des agences dans toute l'Europe.

« Alors que les dealers planifiaient leurs transactions, que les blanchisseurs d'argent lavaient leurs profits, et que même les criminels discutaient de leur prochain meurtre, les agents lisaient leurs messages »

Ce n'est qu'aujourd'hui que l'on se rend compte de l'ampleur étonnante de l'opération. Elle représente l'une des plus grandes infiltrations d'un réseau de communication utilisé principalement par des criminels. Les utilisateurs d'Encrochat s'étendant au-delà de l'Europe, jusqu'au Moyen-Orient et ailleurs. Les agences françaises, néerlandaises et européennes ont surveillé et enquêté sur « plus de cent millions de messages cryptés » envoyés entre les utilisateurs d'Encrochat en temps réel, ce qui a conduit à des arrestations au Royaume-Uni, en Norvège, en Suède, en France et aux Pays-Bas.

Alors que les dealers planifiaient leurs transactions, que les blanchisseurs d'argent lavaient leurs profits, et que même les criminels discutaient de leur prochain meurtre, les agents lisaient leurs messages et commençaient à sortir les suspects de la rue. Ces messages « ont permis de comprendre un nombre sans précédent de crimes graves, notamment les grandes cargaisons internationales de drogue et les laboratoires de drogue, les meurtres, les vols main armée, les extorsions, les vols qualifiés, les agressions graves et les prises d'otages. Les couloirs internationaux de la drogue et du blanchiment d'argent sont devenus évidents », ont déclaré les forces de l'ordre néerlandaises.

1593688533129-encrochat_cash

Un téléphone Encrochat. Image : Twitter/@misdaadnieuw2

Les documents que nous avons obtenus détaillent certaines des informations interceptées par les autorités, et exposent non seulement les actions d'un présumé trafiquant de drogue, mais montrent à quel point les forces de l'ordre semblent avoir pénétré des organisations criminelles présumées. Les noms de code renvoient vers des blanchisseurs d'argent, des fournisseurs, des livreurs ou encore des clients de kétamine, d'amphétamine, de cannabis et d'héroïne.

Les messages montrent comment les gangs auraient ordonné à leurs membres de recueillir de l'argent auprès des clients, comment le blanchir en toute sécurité et où cacher la drogue. Dans des sections méticuleuses et horodatées, les messages d'Encrochat exposent les crimes présumés les uns après les autres. « Ils sont foutus », a déclaré l'une des sources qui nous a fourni les documents. Ils parlent de meurtre, d'achat de kilos, d'achat d'armes à feu [...] de millions de pilules » au téléphone, faisant référence au trafic de drogue à grande échelle et à d'autres crimes.

« Ce qui semble n'être possible que dans les thrillers et les films policiers s'est passé sous nos yeux. Nous avons capté des messages qui nous donnent une vision de la vie quotidienne dans le monde du crime » – Andy Kraag, chef du département national des enquêtes criminelles aux Pays-Bas

« Ils les auront tous », nous a déclaré une autre source proche des utilisateurs criminels d'Encrochat, alors que les arrestations commençaient à avoir lieu. Nous avons accordé l'anonymat à de multiples sources dans cette histoire pour les protéger des représailles des forces de l'ordre ou des criminels violents.

Rien qu'aux Pays-Bas, « l'enquête a permis jusqu'à présent d'arrêter plus de 100 suspects, de saisir de grandes quantités de drogues, plus de 8 000 kilos de cocaïne et 1 200 kilos de cristal meth, de démanteler 19 laboratoires de drogues synthétiques, de saisir des dizaines d'armes à feu (automatiques), des montres coûteuses et 25 voitures, y compris des véhicules équipés de compartiments cachés, et près de 20 millions d'euros en espèces », ont déclaré les autorités dans un communiqué de presse. « Ce qui semble n'être possible que dans les thrillers et les films policiers s'est passé sous nos yeux, a déclaré Andy Kraag, chef du département national des enquêtes criminelles aux Pays-Bas, lors d'une conférence de presse. Nous avons capté des messages qui nous donnent une vision de la vie quotidienne dans le monde du crime. »

Sur un de ses sites connexes, Encrochat affirme qu'il s'agit d'une « solution de sécurité de bout en bout » qui peut « garantir l'anonymat », et que les messages envoyés via Encrochat sont « l'équivalent électronique d'une conversation normale entre deux personnes dans une pièce vide », promettant des « communications sans souci ». Il est dit que « nos serveurs, situés à l'étranger dans notre centre de données, ne créent, ne stockent ou ne décryptent jamais les clés, les conversations de messages ou les données des utilisateurs ». Il existe de nombreux types de personnes qui peuvent vouloir des communications sécurisées, notamment les professionnels de la sécurité ou les avocats. Le site indique qu'Encrochat a des revendeurs à Amsterdam, Rotterdam, Madrid et Dubaï, mais la société est très secrète et ne fonctionne pas comme une entreprise technologique normale.

1593688593290-OCP-DSC_0018

Un moulin à pilules découvert par les forces de l'ordre. Image : OCP

Dans une déclaration qui nous a été envoyée par une personne disposant d'une adresse mail de l'entreprise, Encrochat se positionne comme une entreprise légitime avec des clients dans 140 pays, mais des sources baignant dans la clandestinité disent que beaucoup de ces clients sont en réalité des criminels. Les autorités françaises estiment que plus de 90 % des clients français de la société ont « commis des activités illégales ».

« Nous sommes une société commerciale qui offre des services de sécurisation des communications sur les appareils mobiles, peut-on lire dans la déclaration. Nous nous efforçons de trouver la meilleure technologie sur le marché afin de fournir un service fiable et sûr à toute organisation ou tout individu qui souhaite sécuriser ses informations. » « Je n'ai jamais rien vu de tel », nous a déclaré la source proche des utilisateurs criminels d'Encrochat, décrivant l'action des forces de l'ordre.

***

Acheter un dispositif Encrochat n'est pas toujours aussi simple que d'entrer dans un magasin. Un homme qui est actuellement en prison et qui a utilisé des appareils Encrochat dans le passé nous explique qu’il a acheté un téléphone chez un détaillant particulier qui lui a été recommandé. « Il a un magasin légal, mais je ne l'ai pas rencontré là-bas. Je l'ai rencontré dans une ruelle et ça ressemblait à un trafic de drogue, nous dit-il. Après ça, je lui ai parlé au téléphone et je suis allé dans sa ville pour le rencontrer. »

Les téléphones Encrochat ne sont ni plus ni moins que des appareils Android modifiés. Certains modèles utilisent le « BQ Aquaris X2 », un smartphone Android commercialisé en 2018 par une société espagnole, selon les documents ayant fait l'objet d'une fuite. Encrochat a pris le modèle de base, a installé ses propres programmes de messagerie cryptée qui acheminent les données à travers les propres serveurs de la société, et a même physiquement retiré du téléphone les fonctionnalités de GPS, d'appareil photo et de microphone. Les téléphones Encrochat avaient également une fonction permettant de supprimer rapidement tout contenu de l'appareil en entrant un code PIN, et utilisaient deux systèmes d'exploitation en même temps. De cette façon, si l'utilisateur voulait le faire ressembler à un téléphone portable inoffensif, il pouvait charger la version normale d'Android. Pour revenir à ses conversations sensibles, il lui suffisait de passer au système Encrochat. La société a vendu les téléphones sur abonnement, pour un coût de plusieurs milliers de dollars par an.

Encrochat n'est pas la seule à proposer ce type de téléphones. Ces sociétés dites de « sécurité téléphonique » cachent souvent leur propriété, et certaines agissent en complicité avec des criminels. La société MPC, par exemple, était directement gérée par une organisation criminelle. Vincent Ramos, fondateur d'une autre société appelée Phantom Secure, est actuellement en prison pour avoir avoué à des agents infiltrés qu'il avait conçu le dispositif pour faciliter le trafic de drogue. Ces entreprises engagent régulièrement des distributeurs dans différents pays et villes qui vendent les téléphones directement aux clients. Dans au moins un cas, Encrochat a engagé d'anciens militaires pour vendre les téléphones à des criminels.

1593688641334-encrochat-phone

Une capture d'écran d'une vidéo YouTube montrant un dispositif Encrochat. Image : YouTube

L'industrie est très compétitive et les entreprises répandent constamment des rumeurs sur les prétendues violations de la sécurité des appareils des concurrents, allant même jusqu'à publier des vidéos sur YouTube pour les discréditer. Dans le passé, Encrochat a bloqué les domaines web utilisés par les appareils d'autres entreprises pour distinguer ses propres clients de ceux des autres. Cela signifie que les trafiquants de drogue avaient souvent besoin du même téléphone que tous leurs collaborateurs pour ne pas être coupés des conversations importantes. « Il a besoin d'un putain de téléphone, lit-on dans un des messages entrants sur le prétendu téléphone de Mark. Quel genre de dealer n'a pas de téléphone ? »

Les vendeurs d'Encrochat ont également fait de la publicité pour leurs produits sur des sites utilisés par des criminels, en ciblant leurs annonces directement sur un certain type de consommateurs. Martin Kok, un ancien criminel devenu blogueur, a écrit sur son site Butterfly Crime en 2015 : « Sur plusieurs sites, ces appareils [les téléphones cryptés] sont mis en vente parce que beaucoup de leurs futurs clients ne sont que des criminels. Une publicité sur un site de vente de vélos n'aurait aucun sens pour une telle entreprise. »

Encrochat contrôlait une part considérable de l'infrastructure de communication du crime organisé en Europe et dans divers pays non européens. Alors que c'est une organisation de trafic de drogue écossaise qui a fondé MPC et que les clients de Phantom Secure comprenaient des membres du cartel de Sinaloa, Encrochat était principalement utilisé par des gangsters sur le continent européen.

Un couple de Britanniques qui a assassiné un boss du crime et un braqueur, où l'un faisait le travail et l'autre faisait le guet, a utilisé des téléphones Encrochat. Dans l'un des meurtres, le tueur à gage a utilisé une mitrailleuse. Et les gangs de trafiquants de drogue les plus violents du Royaume-Uni ont utilisé des téléphones Encrochat. « Ils sont devenus la norme dans l'industrie », a confirmé le détenu.

***

En mai dernier, certains utilisateurs d'Encrochat ont remarqué un problème : la fonction de suppression totale tant vantée de leur téléphone ne fonctionnait plus. Un représentant d'Encrochat nous a dit qu'à ce moment là, ils pensaient que peut-être l'utilisateur avait oublié son code PIN de réinitialisation, ou que la fonction de suppression n'était pas configurée correctement. Pas de quoi s’inquiéter ; les utilisateurs font parfois des erreurs. Le mois suivant, Encrochat a réussi à traquer un de ses dispositifs X2 qui avait le problème de réinitialisation. Sauf que l’erreur était tout sauf humaine. Le représentant d'Encrochat nous a dit qu'il avait trouvé un malware dans l'appareil. Le téléphone avait été piraté.

Les compagnies de téléphone offrant des services de cryptage ont déjà été la cible de pirates informatiques par le passé. En 2017, un site a publié des données extraites de Ciphr, une autre société active dans ce domaine. Ces données comprenaient des adresses électroniques et des codes IMEI liés à des téléphones. Le cas d'Encrochat est cependant différent. Le malware avait été installé sur l'appareil lui-même, de sorte qu'il pouvait lire les messages écrits et enregistrés sur le téléphone avant qu'ils ne soient cryptés et envoyés sur Internet. C'était une circonstance dévastatrice pour une entreprise qui promettait de protéger les communications de ses clients.

Le représentant nous a indiqué que le malware avait été créé spécifiquement pour le modèle X2. En plus de perturber la fonction de suppression, le malware a été conçu pour rester invisible, enregistrer le mot de passe de verrouillage de l'écran et copier les données de l'application.

Deux jours après, réalisant que c'était une attaque, Encrochat a lancé une mise à jour de ses modèles X2 pour restaurer les fonctionnalités du téléphone et recueillir des informations sur les logiciels malveillants installés sur ses appareils dans le monde entier. « Nous l'avons fait pour éviter de nouveaux dégâts, a ajouté le représentant de la société. Encrochat a mis en place ce système de surveillance pour garder un oeil sur ses appareils sans les avoir physiquement entre les mains.

Mais peu après la mise à jour, les hackers ont attaqué à nouveau et cette fois-ci de manière encore plus intensive. Le malware a refait surface avec la possibilité de changer le mot de passe pour déverrouiller l'écran au lieu de simplement l'enregistrer. Ils n'avaient pas l'intention de s'arrêter là, bien au contraire.

1593688759786-NCA-cash

De l'argent liquide saisi par les forces de l'ordre. Image : NCA

Passant en mode d'urgence complet, Encrochat a envoyé un message à ses utilisateurs pour les informer de l'attaque en cours. La société en a également informé son fournisseur de SIM, l’entreprise de télécommunications néerlandaise KPN, qui a ensuite bloqué les connexions aux serveurs dangereux. Encrochat a coupé son propre service SIM ; la société avait prévu une autre mise à jour mais ne pouvait pas garantir qu'elle n'avait pas déjà été contaminée par des logiciels malveillants. KPN a également fait allusion à une collaboration avec les forces de l'ordre, mais a préféré ne pas faire de commentaires sur ce point. Dès qu'Encrochat a rétabli le service Sim, KPN a supprimé le pare-feu, permettant aux serveurs des pirates de communiquer à nouveau avec les téléphones.

Encrochat a été piégé et a décidé de tout arrêter. La société soupçonne que l'attaque n'était pas le fait d'un concurrent, mais d'un gouvernement. « En raison du haut niveau de sophistication de l'attaque et du code malveillant, nous ne pouvons plus garantir la sécurité de votre appareil, lit-on dans le message envoyé par Encrochat à ses utilisateurs. Nous vous invitons à vous débarrasser de votre appareil immédiatement. »

« Les autorités avaient tout : des photos de drogue sur la balance, des kilos de cocaïne, des sacs remplis d'ecstasy, des pochons de cannabis, des messages sur des accords déjà scellés »

Mais ce message est arrivé trop tard. Les forces de l'ordre avaient déjà extrait les données du cache des appareils d'Encrochat. Les communications des trafiquants de drogue avaient déjà été exposées. Dans un communiqué de presse, les forces de l'ordre françaises n'ont pas expliqué l'opération en détail, mais ont déclaré que « l'enquête a permis de recueillir des éléments concernant l'opération [d'Encrochat] et a conduit à la création d'un dispositif technique qui a recueilli des communications non cryptées ».

Les autorités françaises ont également indiqué avoir utilisé des mécanismes juridiques qui permettent de saisir des données avec leurs outils « sans le consentement des parties concernées afin d'accéder en tout lieu à des données informatiques dans le but de les enregistrer, de les archiver puis de les transmettre ».

En bref, les autorités avaient tout : des photos de drogue sur la balance, des kilos de cocaïne, des sacs remplis d'ecstasy, des pochons de cannabis, des messages sur des accords déjà scellés, des photos de famille et des discussions portant sur d'autres activités.

Dernièrement, les forces de l'ordre avaient déjà pris des mesures contre les sociétés de sécurité téléphonique. En 2018, le FBI a arrêté le propriétaire de Phantom Secure, en essayant de le convaincre d'installer une porte dérobée dans le système de communication de l'entreprise avant de fermer complètement le réseau. Le propriétaire a refusé.

1593688346521-SWROCU-1-kilo-blocks-of-cocaine

Des kilos de cocaïne saisis par les forces de l'ordre. Image : SWROCU

Dans ce cas, les autorités ont pu avoir accès non seulement à ce que les criminels se disaient entre eux, mais aussi aux communications qu'ils échangeaient lorsqu'ils pensaient être complètement protégés. « Faites-leur payer 33 500 chacun », dit l'un des messages extraits de l’appareil Encrochat censé appartenir à Mark. D'autres documents évoquent des envois de drogue vers l'Europe. Les messages remontent à plusieurs mois, certains même avant qu'Encrochat ne découvre le malware.

Dans un message d'Encrochat obtenu de façon plutôt ironique par les enquêteurs, un membre présumé d'un gang dit à un autre que les iPhones ne sont pas à l'abri d'un examen de police.

À la suite du message d'Encrochat, les utilisateurs du réseau ont commencé à paniquer, selon d'autres captures d'écran de messages que nous avons obtenus. Plusieurs personnes ont essayé de déterminer si leur modèle particulier de téléphone Encrochat avait été touché.
Le coup d'État policier silencieux dans Encrochat est terminé. Au cours des jours suivants, les pièces du puzzle ont commencé à s’emboiter. Les cargaisons détournées, les raids sur les trafiquants de drogue, le nombre croissant d'arrestations. Le fil conducteur était Encrochat.

La source dans l'industrie de la sécurité téléphonique a dit qu'après cet épisode, les détaillants d'Encrochat ne pouvaient plus accéder au portail utilisé pour gérer les ventes, les empêchant d’accéder aux fonds.

En ce moment, le monde criminel est en plein désarroi, leur principal moyen de communication s'est rompu. Paranoïaques, certaines personnes se déconnectent, ne sachant plus à quels appareils faire confiance. D'autres essaient de traverser les frontières avant d'être arrêtés, a déclaré la source proche des utilisateurs criminels d'Encrochat. Acheter de la drogue en gros est devenu beaucoup plus difficile.

Dans le communiqué de presse, les autorités françaises ont écrit que « malgré la découverte d'une utilisation criminelle des terminaux Encrochat », la police espère que « les utilisateurs [qui ont utilisé le service] de bonne foi et qui veulent supprimer leurs données personnelles de la procédure judiciaire enverront une demande au service d'enquête ». Elles ont également invité les directeurs et gestionnaires d'Encrochat à les contacter s'ils voulaient discuter de la légalité du déploiement de l'outil technique de lecture des messages par les forces de l'ordre.

D'autres entreprises concurrentes tentent déjà de combler le vide laissé par Encrochat. Une société appelée Omerta fait déjà de la publicité directement auprès des anciens clients d'Encrochat. « ENCROCHAT A ÉTÉ HACKÉ, LES UTILISATEURS EXPOSÉS ET ARRÊTÉS – LE ROI EST MORT », dit un article sur leur site. Dans un mail, Omerta nous a dit avoir récemment enregistré un trafic d'utilisateurs plus important. « Vous avez échappé de justesse à la récente extinction massive ? Célébrez avec une réduction de 10 %. Rejoignez la famille Omerta et communiquez en toute impunité. »

*Le prénom a été modifié pour des raisons juridiques.

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.